Having a chiller is often essential for the chemistry laboratory, but what if you’re somewhere without easy access to water, nevermind a mains outlet to plug your usual chiller into? In that case you can build a portable one that will happily run off the 12 VDC provided by a mobile source like the accessory outlet in a car while reusing the water from its reservoir, as demonstrated by [Markus Bindhammer] in a recent video.

The build uses a compressor-based freezer as the base, which is significantly more capable than the typical Peltier-cooled refrigerators that cannot cool as fast or efficiently. The changes he made involve running in- and outlet tubing into the freezer’s compartment, with a submerged 12 VDC water pump providing the water to the outlet. This pump is controlled by a variable speed controller board that’s put in a box on the outside with the power lead also sneaking into the freezer. With these modifications in place the freezer’s functionality isn’t significantly impacted, so it can be used as normal.

After filling the compartment with water, the lid is closed and the freezer engaged. The pump controller is then switched on, with the water flow adjusted to fit the distillation job at hand. Although in this case a fairly small freezer was modified, nobody is saying that you cannot also do it with a much larger freezer, and fill it with ice cream and other treats to help it and lab critters cool down faster.

youtube.com/embed/eRXgIcXboKU?…

hackaday.com/2025/08/06/a-port…

Australia is known for great beaches, top-tier coffee, and a laidback approach to life that really doesn’t square with all the rules and regulations that exist Down Under. What it isn’t known for is being a spacefaring nation.

As it stands, a startup called Gilmour Space has been making great efforts to give Australia the orbital launch capability it’s never had. After numerous hurdles and delays, the company finally got their rocket off the launch pad. Unfortunately, it just didn’t get much farther than that.

You Will Not Go To Space Today

Gilmour Space was founded back in 2013, and established its rocketry program two years later. The company has a straightforward mission—it aims to provide Australian-made launch vehicles for putting satellites into orbit. Over the past decade, the company has been working hard on establishing a spaceport and building a series of ever-larger rockets, inching its way towards its stated goal.

The company aims to reach space with the Eris rocket. The 23-meter-long, 30-tonne vehicle came about after years of engineering work, and stands as Australia’s only realistic bid to join the exclusive club of nations capable of orbital launches. The three-stage rocket uses four hybrid rocket motors in the first stage, one in the second stage, and a liquid rocket engine in the third stage. It’s intended to carry payloads up to 300 kg into orbit. The Eris was first assembled and staged on the company’s launch pad in Bowen, Queensland, in early 2024, and even fully fueled up for a dress rehearsal in September last year. However, local aviation authority CASA was not yet satisfied with preparations, and had not provided the required permits for launch. Since then, the wait has continued, with an expected launch date in March 2025 passing by without fanfare. Even with CASA approval, the Australian Space Agency was still not satisfied with Gilmour’s preparations.

Ultimately, the company would wait long eighteen months for complete regulatory approval to launch their Eris rocket from the Bowen orbital spaceport. Ultimately, everything finally fell into place, with the company set to launch on July 30.

youtube.com/embed/4H7Lw8vuS1Q?…

The launch began as so many do, with smoke billowing from the pad as the four first-stage rocket motors ignited. Seconds later, Eris began to inch into the sky… only to falter at low altitude. Having barely cleared the top of the launch structure, the rocket began to fall back to Earth, toppling over sideways while creating a relatively small fireball in its failure. One presumes the payload—a jar of Vegimite sandwich spread—was lost.
Founder Adam Gilmour suggested one of the main engines may have failed during the short 14-second flight. Credit: ABC News via YouTube screenshot
Speaking after the event to ABC News, Gilmour Space founder Adam Gilmour speculated as to what happened. “From the videos, it looks like we lost one of the main engines a few seconds into the flight,” he stated. “I’m hoping the next rocket goes to orbit, and if it does, then the next rocket after that will be our first commercial one that takes satellites up.”

It may not have been much to look at, but the company was nonetheless positive about finally making forward steps towards its eventual goal. “Today, Eris became the first Australian made orbital launch vehicle to lift off from Australian soil — achieving around 14 seconds of flight,” stated the company. “For a maiden test flight, this is a strong result and a major step forward for Australia’s sovereign space capability.” Gilmour Space noted its multiple successes—all four rocket engines igniting successfully, the rocket clearing the tower, and the positive operation of its flight software and control systems. While the launch failed to get far off the pad—for reasons yet to be fully determined—the company was ultimately upbeat, and looks towards its second test flight of the Eris rocket.

youtube.com/embed/hWUQrFSYZqA?…

Indeed, this result has long been expected by Gilmour Space founder, Adam Gilmour. In interviews earlier this year, he noted that the complexities of large scale rocketry meant he didn’t expect grand achievements from the first test flight. “It’s very hard to test an orbital rocket without just flying it,” he told the Sydney Morning Herald in March this year. “We don’t have high expectations we’ll get to orbit… I’d personally be happy to get off the pad.”

Gilmour Space still has a long way to go to reach orbit—roughly 100 km or so, given the rocket only just got off the pad. Still, it’s hardly the first space program to face early failures on its way to the heavens. If anything, the test launch actually happening has reignited interest in the project, bringing renewed attention to the Australian effort to finally join the space club.

hackaday.com/2025/08/06/austra…

La nuova app di Jack Dorsey, Bitchat, è improvvisamente sbarcata sull’App Store e ha suscitato grande scalpore, non tanto per la sua innovazione quanto per il suo creatore.

Il fondatore di Twitter e Block ha scritto personalmente il codice core dell’app in un weekend di inizio luglio, per poi renderla disponibile per il download su iOS. L’attenzione era rivolta alla semplicità e alla privacy, ma quel minimalismo nascondeva rischi che stanno già iniziando a emergere.

La caratteristica principale di Bitchat è la sua totale indipendenza da Internet. Il programma funziona sulla base di una rete mesh Bluetooth, consentendo agli utenti di scambiare messaggi senza Wi-Fi e comunicazioni mobili, se si trovano entro un raggio d’azione di circa 100 metri. Questo approccio rende l’applicazione particolarmente utile in condizioni di segnale debole, ad esempio durante festival, in montagna o durante calamità naturali. Esempi di soluzioni simili sono già esistiti: ad esempio, l’applicazione Bridgefy è stata utilizzata attivamente durante le proteste di Hong Kong, quando era fondamentale non essere intercettati tramite Internet.

L’interfaccia di Bitchat è estremamente essenziale: niente registrazione, login o profilo. L’utente accede immediatamente alla chat e può impostare un nome a piacere, modificabile a piacimento. Tutto ciò rende l’esperienza di comunicazione semplice e pressoché anonima, ma allo stesso tempo si apre a possibili abusi.

Il ricercatore di sicurezza Alex Radosha ha affermato che il sistema potrebbe essere facilmente falsificato perché l’identificazione dell’utente manca a livello architetturale. Ha sottolineato che “i dettagli contano in crittografia”, suggerendo che l’apparenza di sicurezza in questo caso non garantisce una vera protezione. Lo stesso Dorsey ha detto che il programma non era stato sottoposto a verifica indipendente e potrebbe contenere vulnerabilità. Allo stesso tempo, continua a presentarlo come una piattaforma di comunicazione privata.

La situazione è aggravata dal fatto che decine di app false con lo stesso nome sono già apparse sul Google Play Store, raccogliendo migliaia di download. In assenza di una versione ufficiale per Android, questo apre la strada agli aggressori che possono sostituire l’app e iniettare codice dannoso sotto le mentite spoglie di Bitchat.

Pertanto, il tentativo di lanciare un’applicazione di messaggistica radicalmente decentralizzata e semplice si è scontrato con questioni fondamentali di sicurezza e autenticazione. Quello che sembrava un nuovo passo verso la comunicazione privata e offline si è rivelato una dimostrazione di quanto facilmente l’atmosfera delle “giuste vibrazioni” possa trasformarsi in una vulnerabilità se le basi tecniche non sono protette in modo sicuro.

L'articolo Bitchat, l’app di messaggistica indipendente da internet di Jack Dorsey genera dubbi sulla Privacy proviene da il blog della sicurezza informatica.

Nel 2025 continua l’ondata di licenziamenti nella Silicon Valley.

I CEO della Silicon Valley gridano che l’intelligenza artificiale porterà una nuova rivoluzione in termini di efficienza e che sarà anche la luce del futuro per rimodellare la produttività. Tuttavia, quando questo dividendo tecnologico ricade sulle teste dei lavoratori comuni, spesso c’è solo una ragione apparentemente valida per i licenziamenti.

Il risparmio economico ottenuto grazie all’uso dell’intelligenza artificiale sembra essere diventato un elemento importante nei report finanziari aziendali, ma affinché funzioni davvero e venga utilizzata in modo stabile, sempre più aziende devono aumentare gli investimenti nella successiva manutenzione, nella revisione dei contenuti, nella sicurezza e nella conformità e in altri aspetti.

Di conseguenza, è emersa silenziosamente una nuova professione: ripulire i problemi causati dall’IA.

Si tratta principalmente di rilavorazioni, risanamenti e supporto ai clienti, riparando i siti compromessi dall’IA.

Il denaro risparmiato dall’intelligenza artificiale viene speso per la “rielaborazione”

Gli strumenti di intelligenza artificiale hanno invaso i processi aziendali interni e rappresentano la tendenza aziendale più evidente degli ultimi due anni.

OpenAI, Google Gemini, Anthropic Claude... I modelli emergono uno dopo l’altro e prodotti/funzioni sono sempre più incentrati sul posto di lavoro, lo scenario più produttivo: scrivere testi, modificare codice, generare script per il servizio clienti, l’intelligenza artificiale è utilizzata come uno strumento magico per il lavoro, come se il suo utilizzo potesse ridurre i costi e aumentare l’efficienza da un giorno all’altro.

Il CEO di Anthropic, Dario Amodei, ha dichiarato in un’intervista rilasciata a maggio che nei prossimi uno-cinque anni metà dei posti di lavoro entry-level saranno sostituiti dall’intelligenza artificiale e il tasso di disoccupazione negli Stati Uniti potrebbe salire al 10-20%.

Ma un recente rapporto della BBC, ha rivelato l’altro lato di questo “impiego” dell’IA: molte aziende che hanno risparmiato sul budget grazie all’IA stanno spendendo più soldi in rilavorazioni e conseguenze. Sarah Skidd è una copywriter freelance che lavora negli Stati Uniti. A maggio di quest’anno, ha ricevuto un incarico urgente da un’agenzia di contenuti: modificare il copywriting basato sull’intelligenza artificiale di tutte le pagine del sito web di un hotel.

20 ore di lavoro, con una tariffa oraria di 100 dollari, per un totale di 2.000 dollari: il denaro che “originariamente si intendeva risparmiare” è stato speso nuovamente sotto forma di tariffe più elevate.

Inizialmente, il cliente sperava che usare ChatGPT per scrivere i testi gli avrebbe fatto risparmiare una notevole quantità di denaro. Tuttavia, il testo insipido, vuoto e privo di appeal commerciale non solo non è riuscito a coinvolgere gli utenti, ma ha anche indebolito l’immagine del marchio. Ha dichiarato senza mezzi termini: “A prima vista è ovvio che sia stato scritto da un’intelligenza artificiale. È completamente poco convincente”.

Questi testi generati dall’intelligenza artificiale presentano strutture sintattiche monotone, ritmi rigidi e mancanza di emotività. Sono quasi impossibili da riparare e possono solo essere demoliti e ricominciati da capo.

Naturalmente lei non fa eccezione

Skidd ha notato che la principale fonte di reddito per molti dei suoi colleghi si è spostata dalla creazione di contenuti alla correzione di ciò che l’intelligenza artificiale scrive. “Ora il 90% dei documenti forniti dai clienti è scritto dall’intelligenza artificiale, ma quasi sempre dobbiamo rivederli”, ha ammesso un collega.

Fenomeni simili di rielaborazione dell’IA hanno iniziato a diffondersi anche nei settori tecnici, come lo sviluppo e le operazioni.

Nel Regno Unito, Sophie Warner, fondatrice dell’azienda di marketing digitale Create Designs, ha recentemente ricevuto il maggior numero di richieste da clienti “ingannati” da ChatGPT. Un cliente ha seguito il tutorial sull’intelligenza artificiale per modificare il codice, ma il sito web si è bloccato ed è stato hackerato, rimanendo paralizzato per tre giorni, con una conseguente perdita di 360 sterline.

Non sono cadute nella trappola solo le piccole e medie imprese, ma anche i grandi clienti sono stati colpiti.

Warner ha affermato che ora applica una “tariffa per la risoluzione dei problemi” per individuare bug causati dall’intelligenza artificiale, problemi che avrebbero potuto essere evitati in anticipo. Come dice il proverbio cinese, tracciare una linea vale meno di un dollaro; sapere dove tracciarla vale 10.000 dollari.

Se le aziende utilizzano l’intelligenza artificiale, devono esserne responsabili

L’intenzione originaria della maggior parte delle aziende di introdurre l’intelligenza artificiale non è complicata: ridurre i costi e aumentare l’efficienza.

Potrebbe sembrare un dividendo tecnologico da non perdere, ma il sondaggio “State of AI Survey” pubblicato a marzo dalla società di consulenza gestionale globale McKinsey & Company mostra che, lo scorso anno, il 78% delle aziende utilizzava l’intelligenza artificiale in almeno un processo aziendale, una percentuale significativamente superiore al 55% previsto per il 2023. Tuttavia, la riduzione media dei costi è stata inferiore al 10% e la crescita del fatturato inferiore al 5%.

Data questa disparità, la sua reale fruibilità è secondaria; la chiave è far vedere agli altri che la si sta utilizzando. Anche se l’implementazione è frettolosa e il processo è macchinoso, dare l’impressione di aver risolto il problema è molto più importante che risolverlo effettivamente.

L'articolo L’Intelligenza Artificiale non riduce i costi, li aumenta! Dalla Silicon Valley la nuova realtà proviene da il blog della sicurezza informatica.

Mentre l’ondata di caldo e il desiderio di una pausa estiva spingono milioni di persone verso spiagge e città d’arte, i criminali informatici non vanno in vacanza. Anzi, approfittano proprio di questo periodo per intensificare le loro attività, puntando su bersagli che in questo momento gestiscono una quantità enorme di dati sensibili: gli hotel, in particolare quelli di lusso.

Di recente, sui forum clandestini del dark web, è apparso un post che ha sollevato un’allerta significativa tra gli esperti di sicurezza informatica.

Un utente ha messo in vendita una “ampia collezione di 38.000 immagini scansionate ad alta risoluzione di documenti d’identità e passaporti degli ospiti” di un hotel a 4 stelle situato a Venezia. L’autore dell’annuncio ha specificato che i dati sono stati ottenuti tramite un “accesso non autorizzato nel luglio 2025”, sottolineando la loro freschezza.

Il post, pubblicato sulla nota piattaforma underground DarkForums, includeva anche degli esempi (debitamente censurati nell’immagine sottostante) di documenti d’identità dei clienti dell’hotel, molti dei quali appartenenti a cittadini italiani.

La vendita di questi dati rappresenta una minaccia concreta e multifattoriale.

Con l’identità digitale di una persona a disposizione, i criminali possono compiere una serie di attività illecite, tra cui:

• Furto di identità: Le informazioni contenute nei documenti (nome, cognome, data di nascita, luogo di residenza e, in alcuni casi, codice fiscale) possono essere usate per aprire conti bancari fraudolenti, richiedere prestiti a nome della vittima o stipulare contratti di telefonia e altri servizi.
• Accesso a servizi finanziari: Le copie dei documenti possono essere utilizzate per superare le verifiche “Know Your Customer” (KYC) richieste da molte banche e piattaforme di scambio di criptovalute.
• Truffe mirate: I criminali possono sfruttare queste informazioni per creare truffe di “phishing” o “smishing” (via SMS) estremamente convincenti, in cui si fingono enti governativi o istituzioni finanziarie per estorcere ulteriori dati o denaro.
• Ricatto: La conoscenza dei dati personali può essere usata per minacciare o ricattare le vittime.

Il fatto che il furto sia avvenuto in un hotel di lusso aggiunge un ulteriore livello di preoccupazione. Gli ospiti di strutture di questo tipo sono spesso persone facoltose o di alto profilo, rendendole bersagli ancora più appetibili per i criminali, che puntano a un guadagno maggiore e a un potenziale accesso a reti di contatti e informazioni sensibili.

Questo incidente è un monito che la sicurezza dei dati non va in vacanza.

Per i viaggiatori, è fondamentale essere consapevoli dei rischi e, per quanto possibile, verificare le politiche di sicurezza delle strutture ricettive. Per gli operatori del settore alberghiero, è un richiamo urgente a rafforzare le proprie difese informatiche, in un’epoca in cui un singolo attacco può mettere a rischio la reputazione e la sicurezza di migliaia di persone.

L'articolo Italiani in vacanza, identità in vendita: soggiorno 4 stelle… Sono in 38.000, ma sul dark web proviene da il blog della sicurezza informatica.

Google ha rilasciato gli aggiornamenti di sicurezza di agosto per Android, che contengono patch per sei vulnerabilità. Due di queste sono legate ai componenti Qualcomm e sono già state sfruttate in attacchi mirati. Le vulnerabilità sotto attacco sono state identificate con gli identificatori CVE-2025-21479 e CVE-2025-27038 e il team di sicurezza di Android ne è venuto a conoscenza già nel gennaio 2025.

Il primo problema (CVE-2025-21479) è correlato a un’autorizzazione non corretta nel framework grafico, che può causare il danneggiamento della memoria a causa dell’esecuzione di comandi non autorizzati nel micromodulo GPU in base a una determinata sequenza di comandi.

Il secondo problema (CVE-2025-27038) è un bug di tipo use-after-free che causa il danneggiamento della memoria quando si utilizzano i driver GPU Adreno per il rendering in Chrome.

È importante notare che Google ha incluso le patch annunciate da Qualcomm nell’aggiornamento già a giugno di quest’anno. All’epoca, il produttore aveva avvertito che, secondo le informazioni del Google Threat Analysis Group, le vulnerabilità CVE-2025-21479, CVE-2025-21480 e CVE-2025-27038 potevano essere sfruttate “nell’ambito di attacchi mirati limitati”.

“A maggio, ai partner OEM sono state fornite le correzioni per i problemi che riguardavano il driver dell’unità di elaborazione grafica (GPU) Adreno, insieme alla forte raccomandazione di distribuire l’aggiornamento ai dispositivi interessati il prima possibile”, ha affermato Qualcomm all’epoca.

Inoltre, con il rilascio degli aggiornamenti di agosto, Google ha corretto una vulnerabilità critica nel componente di sistema (CVE-2025-48530). Questo problema poteva essere sfruttato per l’esecuzione di codice remoto senza privilegi, ma solo se combinato con altri bug. Non era richiesta alcuna interazione da parte dell’utente.

Tradizionalmente, gli sviluppatori di Google rilasciavano due livelli di aggiornamento: 2025-08-01 e 2025-08-05. Quest’ultimo include tutte le patch del primo, oltre a correzioni per componenti closed-source e sottosistemi del kernel che potrebbero non essere applicabili a tutti i dispositivi Android.

L'articolo Due Vulnerabilità Android Sfruttate Attivamente: Google Rilascia Patch Critiche proviene da il blog della sicurezza informatica.

carabinieri.it/Internet/ImageS…

#ArmadeiCarabinieri
#notiziariostorico
@Storia

I ricercatori di Nextron Systems hanno scoperto un nuovo malware per Linux rimasto inosservato per oltre un anno. Consente agli aggressori di ottenere un accesso SSH persistente e di bypassare l’autenticazione sui sistemi compromessi. Il malware si chiama Plague ed è un PAM (Pluggable Authentication Module) dannoso. Utilizza tecniche di offuscamento e mascheramento multilivello per eludere il rilevamento da parte delle soluzioni di sicurezza.

Plague è in grado di resistere al debug e all’analisi, nasconde le sue stringhe e i suoi comandi, utilizza password hardcoded per l’accesso nascosto e può anche nascondere tracce di sessioni che potrebbero rivelare l’attività degli aggressori. Una volta caricato, il malware ripulisce l’ambiente dalla sua attività: reimposta le variabili ambientali relative a SSH e reindirizza la cronologia dei comandi su /dev/null per nascondere il registro delle azioni, i metadati e cancellare le tracce digitali dai registri di sistema.

“Plague è profondamente radicato nello stack di autenticazione, può sopravvivere agli aggiornamenti di sistema e non lascia praticamente alcuna traccia. In combinazione con l’offuscamento e la modifica dell’ambiente, questo rende Plague quasi impercettibile agli strumenti di sicurezza tradizionali”, afferma Pierre-Henri Pezier, ricercatore di Nextron Systems. “Il malware pulisce attivamente il suo ambiente di esecuzione per nascondere le sessioni SSH. Variabili come SSH_CONNECTION e SSH_CLIENT vengono rimosse tramite unsetenv e HISTFILE viene reindirizzato a /dev/null per evitare la registrazione.”

Analizzando i campioni, i ricercatori hanno trovato artefatti di compilazione che indicano uno sviluppo attivo e a lungo termine del malware utilizzando diverse versioni di GCC e per diverse distribuzioni Linux. Inoltre, nonostante diverse versioni di questo malware siano state caricate più volte su VirusTotal nel corso dell’ultimo anno, nessun motore antivirus le ha rilevate come dannose.

“Plague è una minaccia avanzata e in continua evoluzione per Linux. Utilizza meccanismi di autenticazione di base per mantenere una presenza furtiva e persistente sul sistema“, aggiunge Pezier. “Offuscamenti sofisticati, credenziali statiche e manipolazione dell’ambiente di esecuzione lo rendono praticamente invisibile alle difese standard.”

L'articolo Un Anno di Silenzio! Scoperto Plague, il Malware Linux che Nessuno Aveva Visto proviene da il blog della sicurezza informatica.

L’infrastruttura ShadowSyndicate, nota anche come Infra Storm, è finita sotto i riflettori dei ricercatori di sicurezza dopo che questi ultimi hanno identificato significative sovrapposizioni con alcuni dei più grandi programmi ransomware. Attivo da metà 2022, il gruppo è associato a marchi come AlphaV/BlackCat, LockBit, Royal, Play, Cl0p, Cactus e RansomHub. A differenza dei tradizionali broker di primo accesso (IaB), opera più come partecipante ai RaaS di alto livello , fornendo servizi o infrastrutture a vari partner criminali.

Secondo Intrinsec, le connessioni di ShadowSyndicate vanno ben oltre il tipico panorama della criminalità informatica, con tattiche e strumenti presenti nel loro arsenale che riecheggiano gli approcci di gruppi come TrickBot, Ryuk/Conti, FIN7 e TrueBot, tutti noti per le loro sofisticate tecniche di infiltrazione, la capacità di eludere il rilevamento e l’uso di una varietà di exploit.

Il punto di partenza dell’indagine è stato costituito da due indirizzi IP che utilizzavano la stessa impronta digitale SSH. Utilizzando Shodan e Fofa, lo studio è stato esteso a 138 server accomunati da caratteristiche simili. Le intersezioni identificate includono la partecipazione a un attacco che sfruttava la vulnerabilità Citrix Bleed (CVE-2023-4966), in cui sono stati sfruttati i server da LockBit e ThreeAM.

Sono state trovate corrispondenze anche con l’infrastruttura utilizzata negli attacchi MOVEit e ScreenConnect, con quest’ultimo exploit che prende di mira due vulnerabilità contemporaneamente: CVE-2024-1708 e CVE-2024-1709. I singoli server di ShadowSyndicate corrispondono a host precedentemente associati a UAC-0056 (noto anche come Cadet Blizzard) e Cl0p.

Il quadro tecnico complessivo ha inoltre rivelato collegamenti con altri gruppi che collaborano con i programmi Black Basta e Bl00dy, nonché attività sospette legate a Cicada3301, un possibile rebranding di BlackCat. Anche gli infostealer AMOS e Poseidon, distribuiti tramite falsi annunci Google e esche di phishing LLM, dimostrano un collegamento con questa infrastruttura.

Anche la configurazione tecnica della rete è di interesse. Lo studio evidenzia la presenza di un hosting a prova di bomba ( BPH ), camuffato da servizi VPN, VPS e proxy legittimi, ma che in realtà fornisce una piattaforma solida per operazioni informatiche criminali. Vengono menzionati i sistemi autonomi AS209588 (Flyservers), AS209132 (Alviva Holding) e l’ampia struttura AS-Tamatiya, che unisce 22 ASN. L’hosting opera sotto la copertura di giurisdizioni offshore, tra cui Panama, Seychelles e Isole Vergini.

Mentre il rapporto Intrinsec valuta i collegamenti confermati con attori statali con un livello di sicurezza moderato, i riferimenti a figure di alto livello e alle operazioni ibride di manipolazione delle informazioni indicano un ruolo molto più ampio per questa infrastruttura.

Lo studio menziona quindi intersezioni con DecoyDog (una variante di PupyRAT tramite tunneling DNS), nonché l’uso dei downloader dannosi Amadey e Nitol. A maggio 2025, la rete è rimasta attiva, continuando a scansionare le vulnerabilità e a distribuire componenti dannosi.

Nel complesso, questi risultati delineano il quadro di un ecosistema altamente tecnologico, resiliente e multistrato che supporta non solo i tradizionali schemi di estorsione, ma è anche strettamente legato ad attori che operano a livello di interessi nazionali.

ShadowSyndicate dimostra non solo un approccio commerciale, ma una struttura in grado di coordinare le azioni con diversi segmenti di minacce informatiche, dagli infostealer e botnet alle complesse catene di attacco che utilizzano vulnerabilità zero e loader speciali.

L'articolo ShadowSyndicate: l’infrastruttura MaaS dietro ai maggiori attacchi ransomware proviene da il blog della sicurezza informatica.

A nome dell’Associazione Luca Coscioni, esprimiamo il nostro profondo cordoglio per la morte di un giurista straordinario e di un uomo che ha saputo mettere la sua competenza e il suo rigore al servizio della libertà e dei diritti fondamentali.

La sua voce è stata per noi un riferimento morale e culturale in molte battaglie per l’affermazione dello Stato di diritto e la tutela della dignità della persona. Con sensibilità e coraggio, ha saputo unire il pensiero giuridico più alto a un impegno civile concreto, sempre dalla parte delle persone più vulnerabili.

Per noi Vladimiro è stato anche un amico, generoso e attento, con cui abbiamo condiviso riflessioni profonde e momenti cruciali di confronto, sempre guidati da valori comuni: la laicità delle istituzioni, il rispetto dell’autonomia individuale, la difesa dei diritti civili.

Ci mancherà la sua intelligenza limpida, la sua ironia sottile, la sua determinazione gentile.

Con Marco Cappato e l’Associazione Luca Coscioni tutta, lo ricorderemo con affetto, stima e gratitudine.

Un abbraccio affettuoso alla sua famiglia.

L'articolo È morto Vladimiro Zagrebelsky proviene da Associazione Luca Coscioni.

Dichiarazione di Chiara Lalli, Mirella Parachini e Anna Pompili, responsabili della campagna Aborto senza ricovero

La vicenda siciliana ripropone la questione della garanzia di un servizio medico essenziale, quale l’interruzione volontaria della gravidanza (IVG), anche laddove ci siano alte percentuali di obiezione di coscienza tra i ginecologi.

L’articolo 9 della legge 194, quello che permette al personale sanitario di sollevare obiezione di coscienza, è certamente il più applicato, ma non – guardacaso – nella sua interezza. La seconda parte, infatti, impone agli “enti ospedalieri” e alle “case di cura autorizzate” di assicurare “in ogni caso l’espletamento delle procedure previste dall’articolo 7 e l’effettuazione degli interventi di interruzione della gravidanza richiesti secondo le modalità previste dagli articoli 5, 7 e 8. La regione ne controlla e garantisce l’attuazione”.

La legge stessa, dunque, fornisce gli strumenti per garantire alle donne l’accesso all’IVG. Basterebbe applicarla, il che vale anche per le strutture sanitarie con il 100% di obiettori di coscienza, che sono comunque tenute ad assicurare il percorso per l’IVG.

C’è poi l’aggiornamento delle linee di indirizzo ministeriali sulla IVG farmacologica che permettono la deospedalizzazione della procedura. Sono passati ben 5 anni, e solo in due Regioni è ammessa, con la possibilità di autosomministrazione del misoprostolo a domicilio. È evidente che, anche se non risolutiva, la deospedalizzazione limiterebbe enormemente il peso dell’obiezione di coscienza sull’accesso all’IVG. C’è da chiedersi come mai proprio nelle Regioni – come la Sicilia – dove questi ostacoli sono più pesanti e dove i bilanci della sanità sono più problematici, non si sia pensato a questa semplice soluzione.

Ecco perché abbiamo lanciato la campagna Aborto senza ricovero. Per garantire a tutte le donne di scegliere, per non sprecare risorse preziose e per chiedere ai consigli regionali di approvare procedure chiare e uniformi per l’aborto farmacologico in modalità ambulatoriale e senza ricovero.

L’aborto con il metodo farmacologico è sicuro ed efficace e il ricovero non ne aumenta la sicurezza, ma ne decuplica i costi. È il principio dell’appropriatezza delle procedure: a parità di efficacia e di sicurezza, se la persona che deve esservi sottoposta la richiede, deve essere privilegiata la modalità assistenziale che comporta minore spreco di risorse per la sanità pubblica.

È un dovere non solo per evitare lo spreco di risorse, ma anche – in questo caso – per garantire il diritto di scelta delle donne, un principio irrinunciabile e che dovrebbe essere sempre garantito.

Si può firmare QUI

L'articolo Applicare la legge 194, garantire un servizio essenziale proviene da Associazione Luca Coscioni.

Introduction

In a recent incident response case in Brazil, we spotted intriguing new antivirus (AV) killer software that has been circulating in the wild since at least October 2024. This malicious artifact abuses the ThrottleStop.sys driver, delivered together with the malware, to terminate numerous antivirus processes and lower the system’s defenses as part of a technique known as BYOVD (Bring Your Own Vulnerable Driver). AV killers that rely on various vulnerable drivers are a known problem. We have recently seen an uptick in cyberattacks involving this type of malware.

It is important to note that Kaspersky products, such as Kaspersky Endpoint Security (KES), have built-in self-defense mechanisms that prevent the alteration or termination of memory processes, deletion of application files on the hard drive, and changes in system registry entries. These mechanisms effectively counter the AV killer described in the article.

In the case we analyzed, the customer sought our help after finding that their systems had been encrypted by a ransomware sample. The adversary gained access to the initial system, an SMTP server, through a valid RDP credential. They then extracted other users’ credentials with Mimikatz and performed lateral movement using the pass-the-hash technique with Invoke-WMIExec.ps1 and Invoke-SMBExec.ps1 tools. The attacker achieved their objective by disabling the AV in place on various endpoints and servers across the network and executing a variant of the MedusaLocker ransomware.

In this article, we provide details about the attack and an analysis of the AV killer itself. Finally, we outline the tactics, techniques, and procedures (TTPs) employed by the attackers.

Kaspersky products detect the threats encountered in this incident as:

• Trojan-Ransom.Win32.PaidMeme.* (MedusaLocker variant)
• Win64.KillAV.* (AV killer)

Incident overview

The attack began using valid credentials obtained by the attacker for an administrative account. The adversary was able to connect to a mail server via RDP from Belgium. Then, using Mimikatz, the attacker extracted the NTLM hash for another user. Next, they used the following PowerShell Invoke-TheHash commands to perform pass-the-hash attacks in an attempt to create users on different machines.
Invoke-WMIExec -Target "<IP>" -Domain "<DOMAIN>" -Username "<USER>" -Hash "<HASH>" -Command "net user User1 Password1! /ad" -verbose
Invoke-SMBExec -Target "<IP>" -Domain "<DOMAIN>" -Username "<USER>" -Hash "<HASH>" -Command "net user User2 Password1! /ad" -verbose
Invoke-SMBExec -Target "<IP>" -Domain "<DOMAIN>" -Username "<USER>" -Hash "<HASH>" -Command "net localgroup Administrators User1 /ad" -verbose
An interesting detail is that the attacker did not want to create the same username on every machine. Instead, they chose to add a sequential number to the end of each username (e.g., User1, User2, User3, etc.). However, the password was the same for all the created users.

Various artifacts, including the AV killer, were uploaded to the C:\Users\Administrator\Music folder on the mail server. These artifacts were later uploaded to other machines alongside the ransomware (haz8.exe), but this time to C:\Users\UserN\Pictures. Initially, Windows Defender was able to contain the ransomware threat on some machines right after it was uploaded, but the attacker soon terminated the security solution.

The figure below provides an overview of the incident. We were able to extract evidence to determine the attacker’s workflow and the involved artifacts. Fortunately, the analyzed systems still contained relevant information, but this is not always the case.

Incident flow

This kind of attack highlights the importance of defense in depth. Although the organization had an AV in place, the attacker was able to use a valid account to upload an undetectable artifact that bypassed the defense. Such attacks can be avoided through simple security practices, such as enforcing the use of strong passwords and disabling RDP access to public IPs.

The AV killer analysis

To disable the system’s defenses, the attackers relied on two artifacts: ThrottleBlood.sys and All.exe. The first is a legitimate driver originally called ThrottleStop.sys, developed by TechPowerUp and used by the ThrottleStop app. The application is designed to monitor and correct CPU throttling issues, and is mostly used by gamers. The driver involved in the incident has a valid certificate signed on 2020-10-06 20:34:00 UTC, as show below:
Status: The file is signed and the signature was verified
Serial number: 0a fc 69 77 2a e1 ea 9a 28 57 31 b6 aa 45 23 c6
Issuer: DigiCert EV Code Signing CA
Subject: TechPowerUp LLC
TS Serial number: 03 01 9a 02 3a ff 58 b1 6b d6 d5 ea e6 17 f0 66
TS Issuer: DigiCert Assured ID CA-1
TS Subject: DigiCert Timestamp Responder
Date Signed: 2020-10-06 20:34:00 UTC

When loaded, the driver creates a device at .\\.\\ThrottleStop, which is a communication channel between user mode and kernel mode.

ThrottleStop device driver communication overview

Communication with the driver is carried out via IOCTL calls, specifically using the Win32 DeviceIoControl function. This function enables the use of IOCTL codes to request various driver operations. The driver exposes two vulnerable IOCTL functions: one that allows reading from memory and another that allows writing to it. Both functions use physical addresses. Importantly, any user with administrative privileges can access these functions, which constitutes the core vulnerability.

The driver leverages the MmMapIoSpace function to perform physical memory access. This kernel-level API maps a specified physical address into the virtual address space, specifically within the MMIO (memory-mapped I/O) region. This mapping enables reads and writes to virtual memory to directly affect the corresponding physical memory. This type of vulnerability is well-known in kernel drivers and has been exploited for years, not only by attackers but also by game cheaters seeking low-level memory access. The vulnerability in ThrottleStop.sys has been assigned CVE-2025-7771. According to our information, the vendor is currently preparing a patch. In the meantime, we recommend that security solutions monitor for the presence of this known vulnerable driver in the operating system to help prevent exploitation by EDR killers like the one described in this article.

The second artifact, All.exe, is the AV killer itself. Our analysis began with a basic inspection of the file.

First, we inspected its properties. While searching for relevant strings, we noticed a pattern: multiple antivirus process names inside the binary. The following image shows an excerpt of our query.

AV names inside the binary

We were able to map all the processes that the malware tries to kill. The table below shows each one of them, along with the corresponding vendor. As we can see, the artifact attempts to kill the main AV products on the market.

When the binary is executed, it first loads the ThrottleBlood.sys driver using Service Control Manager (SCM) API methods, such as OpenSCManagerA() and StartServiceW().

ThrottleStop/ThrottleBlood driver loading process

The AV killer needs the ThrottleStop driver to hijack kernel functions and enable the execution of kernel-mode-only routines from user mode. To invoke these kernel functions using the driver’s vulnerable read/write primitives, the malware first retrieves the base address of the currently loaded kernel and the addresses of the target functions to overwrite. It achieves this by utilizing the undocumented NtQuerySystemInformation function from Win32.

Kernel base address gathering

Passing the SystemModuleInformation flag allows the function to return the list of loaded modules and drivers on the current system. The Windows kernel is referred to as ntoskrnl.exe. The base address is always different because of KASLR (Kernel Address Space Layout Randomization).

To perform read/write operations using MmMapIoSpace, the system must first determine the physical address used by the kernel. This is achieved using a technique called SuperFetch, which is packed in the open-source superfetch project available on GitHub. This project facilitates the translation of virtual addresses to physical addresses through a C++ library composed solely of header files.

Physical address calculation

The superfetch C++ library makes use of the NtQuerySystemInformation function, specifically using the SystemSuperfetchInformation query. This query returns all current memory ranges and their pages. With this information, the superfetch library can successfully translate any kernel virtual address to its respective physical address.

Calling kernel functions

Now that the physical base address has been collected, the malware must choose a kernel function that can be indirectly called by a system call (from user mode). The chosen syscall is NtAddAtom, which is rarely used and easily callable through ntdll.dll.

NtAddAtom address collection

By loading ntoskrnl.exe with the LoadLibrary function, the malware, among other things, can easily discover the offset of the NtAddAtom function and thus determine its kernel address by adding the current base address and the offset. The physical address is obtained in the same way as the kernel base. With the physical addresses and driver loaded, the malware can exploit the vulnerable IOCTL codes to read and write the physical memory of the NtAddAtom function.

Kernel code injection using vulnerable driver

To call any kernel function, the AV killer writes a small shellcode that jumps to a target address within the kernel. This target address can be any desired kernel function. Once the function completes, the malware restores the original kernel code to prevent system crashes.

Kernel code injection diagram

Process killer main routine

Having obtained all the necessary information, the AV killer starts a loop to find target processes using the Process32FirstW() and Process32NextW API calls. As we mentioned earlier, the list of target security software, such as MsMpEng.exe (Windows Defender), is hardcoded in the malware.

MsMpEng.exe match found

The AV killer checks all running processes against the hardcoded list. If any match, it kills them by using the vulnerable driver to call the PsLookupProcessById and PsTerminateProcess kernel functions.

If a process is killed, a message indicating this, along with the name of the process, is displayed in the console, as depicted in the following image. This suggests that the malware was being debugged.

MsMpEng.exe was killed

Like most antivirus software available today, Windows Defender will attempt to restart the service to protect the machine. However, the main loop of the program will continue to identify and kill the associated AV process.

Defender tries to restart, but is killed again

YARA rule

Based on our analysis of the sample, we developed the following YARA rule to detect the threat in real time. The rule considers the file type, relevant strings (most of which are related to AV processes), and library function imports.
import "pe"

rule AVKiller_MmMapIoSpace {
meta:
description = "Rule to detect the AV Killer"
author = "Kaspersky"
copyright = "Kaspersky"
version = "1.0"
last_modified = "2025-05-14"
hash = "a88daa62751c212b7579a57f1f4ae8f8"
strings:
$shellcode_template = {4? BA 00 00 40 75 00 65 48 8B}
$ntoskrnl = "ntoskrnl.exe"
$NtAddAtom = "NtAddAtom"
$ioctl_mem_write = {9C 64 00 80}
$ioctl_mem_read = {98 64 00 80}
condition:
pe.is_pe and
pe.imports("kernel32.dll", "DeviceIoControl")
and all of them
}

Victims

Based on our telemetry and information collected from public threat intelligence feeds, adversaries have been using this artifact since at least October 2024. The majority of affected victims are in Russia, Belarus, Kazakhstan, Ukraine, and Brazil.

Attribution

This particular AV killer tool was recently used in an attack in Brazil to deploy MedusaLocker ransomware within a company’s infrastructure. However, this type of malware is common among various threat actors, including various ransomware groups and affiliates.

Conclusion and recommendations

This incident offers several valuable lessons. First, that strong hardening practices must be implemented to protect servers against brute‑force attacks and restrict public exposure of remote‑access protocols. Had the victim limited RDP access and enforced robust password policies, the initial breach could have been prevented. Furthermore, this incident underscores the necessity of defense in depth. The AV killer was able to disable the system’s defenses, allowing the attacker to move laterally across machines with ease. To mitigate such threats, system administrators should implement the following mechanisms:

• Application whitelisting and strict enforcement of least‑privilege access.
• Network segmentation and isolation to contain breaches and limit lateral movement.
• Multi‑factor authentication (MFA) for all remote‑access channels.
• Regular patch management and automated vulnerability scanning.
• Intrusion detection and prevention systems (IDS/IPS) to identify anomalous behavior.
• Endpoint detection and response (EDR) tools for real‑time monitoring and remediation.
• Comprehensive logging, monitoring, and alerting to ensure rapid incident detection.
• Periodic security assessments and penetration testing to validate the effectiveness of controls.

Recently, we have seen an increase in attacks involving various types of AV killer software. Threat protection services should implement self-defense mechanisms to prevent these attacks. This includes safeguarding application files from unauthorized modification, monitoring memory processes, and regularly updating detection rules on customers’ devices.

Tactics, techniques and procedures

The TTPs identified from our malware analysis for the AV killer are listed below.

Indicators of compromise

Vulnerable ThrottleBlood.sys driver
82ed942a52cdcf120a8919730e00ba37619661a3
Malware observed in the incident
f02daf614109f39babdcb6f8841dd6981e929d70 (haz8.exe)
c0979ec20b87084317d1bfa50405f7149c3b5c5f (All.exe)
Other AV killer variants
eff7919d5de737d9a64f7528e86e3666051a49aa
0a15be464a603b1eebc61744dc60510ce169e135
d5a050c73346f01fc9ad767d345ed36c221baac2
987834891cea821bcd3ce1f6d3e549282d38b8d3
86a2a93a31e0151888c52dbbc8e33a7a3f4357db
dcaed7526cda644a23da542d01017d48d97c9533

securelist.com/av-killer-explo…

No, of course not. Per Betteridge’s law, that’s the answer to any headline with a question mark. On the other hand, while a thermal printer might not cure ADHD, it can help treat it — according to [Laurie Hérault], to the point of curing his procrastination habit. Even if you don’t have ADHD, you probably do procrastinate sometimes, so this hack is worth a look.

The printer itself is a key hardware portion of the hack, but the hack itself is purely organizational. [Laurie] started with post-its before adding automation. Before the post-it notes came a simple realization: [Laurie] could sit and play games for hours, but not buckle down for serious work for more than a few minutes, if he could even get started. (Who can’t relate?) That sent him down a rabbit hole reading about the psychology of what makes games so addictive — and the idea of “gamification” that was so popular in educational circles not long ago.

Unlike work, games give you a loop of unambiguous, instant, and continuous feedback to pump your dopamine circuits. [Laurie] uses the example of an FPS. You aim, you shoot — and either you miss, or you hit the target. Either way, there’s feedback. When you hit, your brain gives you dopamine. This fast loop of input -> feedback is what [Laurie] felt he was missing from his day.

You’d want to organize the post-its better than this. (Image by Pexels.)
That’s where the post-it notes came in. Post-its went up on a board with all of his tasks for the day; the input was his completing the tasks, and the feedback was taking them down, crumpling them up, and putting them into a clear jar that would serve as a score bar for his productivity. The feedback actually rewarded multiple senses this way: the tactility of crumpling paper, the sound of it, and the visual of the rising level of the jar.

A key insight [Laurie] had in this process is that many productivity apps (including gamifying ones) are focused too much on high-level tasks by default. “Clean the kitchen,” for example. That’s too big! It’s daunting, and it takes too long for that immediate, gamified feedback. Instead [Laurie] breaks down “Cleaning the Kitchen” into “Clean the dishes”, “Wipe the Counter”, “Take out the Trash”, et cetera. The smaller the steps, the more frequent the reward, and the easier it is to start them without exerting much willpower: just like a video game.

Of course writing all of those post-it notes gets tedious, especially for recurring and pre-scheduled tasks, and that tedium increases exponentially when breaking tasks down into the smallest possible chunks. That’s where the thermal printer came in. [Laurie] wrote a simple software utility to allow him to create high-level tasks, and break them down into small action items that are immediately sent to the thermal printer. After that, the system works just as it does with the post-it notes. He promises to share this software, but it does not seem to have yet been released. Hopefully he’s not procrastinating on that, or our faith in the process is ruined.

Thermal printers are great for lifehacks, like this hack for receipt-like mementos, or this one to ease the load on a dungeon master. If you prefer you can skip the ‘life’ part of lifehacks, and just make an instant camera.

hackaday.com/2025/08/06/can-a-…

Reloading filament on a 3D printer is hardly anyone’s favorite task, but it’s even worse when you’re trying to shove stiff filament down a long and winding Bowden tube. Enter the speed loader from [Mr Flippant], which aims to take the pain out of this mechanically-frustrating chore.

The design is simple enough. It’s a small handheld tool that uses a 12 VDC gear motor to drive a set of Bondtech-style drive gears that you might find in an extruder. They’re assembled in a 3D printed housing with a microswitch to activate the motor, and a 9 volt battery to supply the juice.

To use the device, first thread the filament into the beginning of the Bowden tube. The idler gear is on a hinge, such that clamping it into position around the filament with the main gear activates the microswitch and turns the motor on, driving the filament all the way to the extruder. Job done! [Mr Flippant] notes that the filament should be as straight and unkinked as possible for best results, but that’s good advice when 3D printing in general.

Funnily enough, around these parts, when we talk about speed loaders, we’re usually discussing tapes.

youtube.com/embed/EtV3ZXkA_nE?…

youtube.com/embed/qL7nFMtGzdM?…

Thanks to [LookAtDaShinyShiny] for the tip!

hackaday.com/2025/08/06/a-spee…

[Avi Gupta] recently sent in their LoRaSense RGB Pi HAT project. This “HAT” (Hardware Attached to Top) is for any Raspberry Pi with 40-pin header. The core of the build is the custom printed circuit board which houses the components and interconnects. The components include an SHT31 temperature and humidity sensor, an SX1278 LoRa module, and a 10 amp 220 VAC relay. The interconnects include support for UART, I2C, SPI, and WS2812B RGB LED interfaces as well as a stackable header for daisy chaining HATs.

The attached components in combination support a wide range of use cases. Possible uses for this Raspberry Pi HAT include smart home systems, agricultural projects, industrial monitoring, smart greenhouse, remote weather stations, or alerting systems. You can detect weather conditions, send and receive information, switch mains powered loads, and use RGB LEDs for status and alerting.

If you’re interested in LoRa technology be sure to read about the Yagi antenna that sends LoRa signals farther.

hackaday.com/2025/08/05/lorase…

Il 5 agosto 2025, Adobe ha rilasciato un aggiornamento di sicurezza urgente per Adobe Experience Manager (AEM) Forms su Java Enterprise Edition (JEE), risolvendo due gravi vulnerabilità: CVE-2025-54253 e CVE-2025-54254.

La più pericolosa, il CVE-2025-54253, è una zero-day attivamente sfruttata in natura prima della patch, con un punteggio CVSS di 10.0, il massimo possibile. Un attaccante non autenticato può sfruttare questa falla per ottenere il pieno controllo del server vulnerabile, eseguendo comandi da remoto, accedendo a dati sensibili e muovendosi lateralmente nella rete.

La vulnerabilità è causata da una configurazione errata in alcune installazioni di AEM Forms, dove risulta abilitata per impostazione predefinita la modalità di sviluppo di Apache Struts. Questo consente l’esecuzione di espressioni OGNL, tipiche degli attacchi RCE. Inoltre, è stato segnalato un bypass dell’autenticazione che consente l’esecuzione degli exploit anche senza credenziali.

Adobe ha confermato che un proof-of-concept è stato pubblicamente disponibile per un breve periodo prima di essere rimosso. Tuttavia, al momento non sono noti exploit pubblici completamente funzionanti, anche se è altamente probabile che esistano versioni private utilizzate da attori malevoli.

La seconda vulnerabilità, CVE-2025-54254, è anch’essa critica (CVSS 8.6) e riguarda una falla di tipo XXE (XML External Entity) che permette la lettura arbitraria del file system. Anche in questo caso è stata confermata la disponibilità di un PoC pubblico.

Adobe invita gli utenti a installare immediatamente l’aggiornamento che porta AEM Forms su JEE alla versione 6.5.0-0108, classificata come aggiornamento di priorità 1. In assenza della possibilità di aggiornare subito, è fortemente consigliato limitare l’accesso esterno agli endpoint AEM Forms e disattivare la modalità di sviluppo di Struts in tutti gli ambienti.

Inoltre, è fondamentale controllare i log di accesso e di sistema alla ricerca di attività sospette, come richieste contenenti sintassi OGNL, che potrebbero indicare tentativi di exploit.

L'articolo Adobe Experience Manager Forms sotto attacco! Patch urgente per bug RCE zero-day da score 10 proviene da il blog della sicurezza informatica.

Il settore globale della sicurezza informatica si sta preparando per una nuova sfida: Microsoft lancia un’iniziativa Zero Day Quest aggiornata, promettendo ricompense che in precedenza sembravano fantastiche: il montepremi totale ha raggiunto i 5 milioni di dollari. Questa mossa non solo incoraggia i migliori specialisti nella ricerca di vulnerabilità , ma definisce anche nuovi standard di protezione per i servizi cloud e l’intelligenza artificiale

L’anno scorso, il lancio iniziale del programma aveva già attirato l’attenzione dell’intera comunità professionale: il montepremi era allora di 4 milioni di dollari e il format stesso aveva suscitato un interesse di rara portata. Questa volta, Microsoft alza la posta in gioco e si concentra sulle minacce più pericolose associate alle piattaforme cloud e all’intelligenza artificiale.

Gli organizzatori sottolineano che si tratta del più grande concorso pubblico di ricerca di vulnerabilità della storia, in cui gli sforzi dei principali specialisti e ingegneri dell’azienda saranno combinati per proteggere in modo proattivo dalle crescenti minacce. Questo approccio riflette la nuova strategia di Microsoft: l’enfasi è posta sulla cooperazione aperta e sulla ricerca di innovazione in un panorama di attacchi in continua evoluzione.

Zero Day Quest si basa sull’idea di incentivare l’hacking etico, ovvero la scoperta dei cosiddetti “zero day”, vulnerabilità precedentemente sconosciute che potrebbero essere sfruttate dagli aggressori per compromettere dati o distruggere infrastrutture. L’anno scorso, l’azienda ha investito 1,6 milioni di dollari solo per le scoperte nel campo dell’intelligenza artificiale di Copilot e dei servizi cloud, il che si è rivelato un incentivo significativo per le ricerche più audaci e approfondite.

La nuova ondata della competizione inizierà con la Research Challenge, dove dal 4 agosto al 4 ottobre 2025, esperti di tutto il mondo potranno proporre soluzioni per la ricerca di vulnerabilità nelle aree di massima priorità: infrastruttura Microsoft Azure, intelligenza artificiale Copilot, piattaforme aziendali Dynamics 365 e Power Platform, nonché sistemi di autenticazione e pacchetto M365.

Per vulnerabilità critiche, così come per bug in scenari speciali, viene fornito un bonus alla ricompensa, più il 50% al pagamento e, se coincidono più criteri, l’importo massimo aumenta.

I partecipanti selezionati potrebbero ricevere un invito a un evento riservato presso la sede centrale di Microsoft a Redmond nella primavera del 2026. Qui, i migliori specialisti collaboreranno con gli ingegneri dell’azienda per analizzare collettivamente i casi più complessi, ad esempio exploit per Kubernetes o attacchi ai modelli di linguaggio Copilot. Ma l’essenza dell’evento non è la competizione, bensì la condivisione delle conoscenze: gli esperti analizzeranno gli scenari di exploit più pericolosi, dall’aggiramento delle protezioni negli ambienti virtuali agli attacchi nascosti all’intelligenza artificiale.

Il programma opera secondo rigide regole di divulgazione responsabile: i premi dipendono dalla gravità e dalla riproducibilità della vulnerabilità, nonché dal suo impatto sull’azienda, che viene valutato utilizzando parametri internazionali e modelli di rischio interni.

L’ampliamento del fondo massimo a 5 milioni di dollari non è solo un modo per sostenere l’ingegno, ma anche un riconoscimento del fatto che le nuove tecnologie richiedono maggiore attenzione alla sicurezza. Microsoft si sta concentrando sulle vulnerabilità dell’intelligenza artificiale (attacchi che possono corrompere i modelli) e sulle falle nel controllo degli accessi al cloud che potrebbero portare a violazioni su larga scala. Pone particolare enfasi sugli scenari in cui gli hypervisor o gli algoritmi di inferenza dell’intelligenza artificiale sono a rischio.

Questa strategia rispecchia una tendenza globale: le grandi aziende utilizzano il crowdsourcing per ricercare proattivamente le vulnerabilità, in modo da non cedere agli aggressori nemmeno di un passo. In condizioni in cui sono in gioco non solo i dati aziendali, ma anche la sicurezza delle infrastrutture di interi Paesi, tali iniziative stanno diventando parte integrante della protezione globale.

Tutti i risultati vengono accettati tramite il canale ufficiale MSRC e i partecipanti ricevono non solo un premio in denaro, ma anche il prestigio del riconoscimento nella comunità professionale. La storia degli anni passati dimostra che tali concorsi non si limitano a correggere gli errori, ma aumentano effettivamente la sostenibilità delle nuove tecnologie e, forse, prevengono i disastri prima che si verifichino.

L'articolo Microsoft lancia la caccia al bug da 5 milioni di dollari! E la guerra agli zero-day comincia! proviene da il blog della sicurezza informatica.

Di recente, i criminali informatici si sono nuovamente concentrati su vecchie vulnerabilità presenti nelle popolari telecamere Wi-Fi e nei DVR D-Link. La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha ufficialmente aggiunto tre pericolose vulnerabilità al suo catalogo di minacce attivamente sfruttate (KEV), nonostante siano state tutte scoperte diversi anni fa. Questa decisione è stata presa alla luce di nuove prove che dimostrano che gli aggressori continuano ad attaccare dispositivi vulnerabili in tutto il mondo e che attacchi sono già stati registrati in reti reali.

L’elenco CISA include tre vulnerabilità relative ai dispositivi D-Link DCS-2530L, DCS-2670L e DNR-322L. La prima, CVE-2020-25078 con un punteggio CVSS di 7,5, consente l’accesso remoto alla password di amministratore della telecamera. Non sono richieste tecniche complesse per lo sfruttamento; è sufficiente sfruttare una falla nei meccanismi di sicurezza di questi modelli per scoprire i dati chiave per l’accesso al dispositivo.

Il secondo problema, CVE-2020-25079 con un punteggio più alto di 8,8, è legato alla capacità di eseguire comandi sul sistema tramite il componente cgi-bin/ddns_enc.cgi. Per sfruttare questa falla è richiesta l’autorizzazione, ma una volta ottenuto l’accesso, l’aggressore può iniettare i propri comandi nel dispositivo, ampliando significativamente le capacità di controllo della telecamera.

Anche la terza vulnerabilità, CVE-2020-40799 , ha un punteggio di 8,8. Riguarda la mancanza di controllo di integrità durante il caricamento del codice sul videoregistratore D-Link DNR-322L, che consente di eseguire comandi arbitrari a livello di sistema operativo dopo aver ottenuto l’autorizzazione, aprendo la strada all’installazione di malware e a un ulteriore controllo sull’apparecchiatura.

Di particolare rilievo è il fatto che la vulnerabilità CVE-2020-40799 non è ancora stata risolta dal produttore.

Il motivo è che il modello DNR-322L è ufficialmente riconosciuto come obsoleto e non è più supportato da D-Link: il suo ciclo di vita è terminato a novembre 2021. Si consiglia ai proprietari di questi dispositivi di interromperne l’utilizzo il prima possibile e di passare a soluzioni più moderne, in cui le falle siano state risolte. Le patch per gli altri due modelli sono state rilasciate nel 2020; tuttavia, come mostrano le statistiche, molte organizzazioni e utenti privati non hanno ancora aggiornato le proprie apparecchiature e sono a rischio.

La rilevanza del problema è confermata dal fatto che già nel dicembre 2024 l’FBI (Federal Bureau of Investigation) statunitense aveva emesso un avviso secondo cui la botnet HiatusRATstava attivamente scansionando Internet alla ricerca di telecamere con una vulnerabilità non corretta, la CVE-2020-25078. Ciò significa che dispositivi incontrollati possono essere utilizzati per attività di spionaggio, attacchi alle infrastrutture e persino per organizzare nuove botnet: eventi simili sono già stati registrati più di una volta in diversi Paesi.

Alle agenzie civili federali degli Stati Uniti è stata data una scadenza rigorosa: tutte le misure per neutralizzare le vulnerabilità devono essere implementate entro il 26 agosto 2025. Tali ordini mirano a proteggere le reti critiche da attacchi che potrebbero portare a fughe di dati, interferenze con la videosorveglianza e altre conseguenze pericolose. Nel contesto odierno, le telecamere non protette stanno diventando non solo un bersaglio per gli hacker, ma anche uno strumento per campagne informatiche su larga scala, e la loro distribuzione di massa non fa che aggravare i rischi.

Nella situazione attuale, il compito di aggiornare tempestivamente tutti i dispositivi utilizzati nelle reti aziendali e domestiche, nonché la dismissione obbligatoria dei modelli non supportati, sta diventando sempre più urgente. Proteggere l’infrastruttura digitale oggi è impossibile senza una risposta tempestiva all’emergere di minacce anche “obsolete”, soprattutto quando vengono utilizzate attivamente da veri aggressori.

L'articolo Telecamere D-Link sotto attacco! Gli hacker sfruttano ancora vulnerabilità del 2020. Il CISA Avverte proviene da il blog della sicurezza informatica.