Negli ultimi giorni è stata individuata una campagna di malvertising che ha come bersaglio gli utenti aziendali che cercano di scaricare Microsoft Teams. A prima vista, l’attacco sembra banale: un annuncio sponsorizzato porta a una pagina di download, l’utente scarica un file chiamato MSTeamsSetup.exe e lo avvia. Ma i dettagli fanno la differenza, e sono proprio questi dettagli che rendono l’operazione tanto insidiosa.

Il file non è un normale eseguibile malevolo, è firmato digitalmente. Per molti, questo è sinonimo di affidabilità. In realtà, gli attaccanti hanno trovato un modo per sfruttare la fiducia nella firma digitale a proprio vantaggio: utilizzano certificati “usa-e-getta”, validi solo per poche ore o pochi giorni, giusto il tempo necessario a distribuire il malware e infettare sistemi prima che la firma venga invalidata o segnalata come sospetta. È un approccio veloce e automatizzato che riduce la possibilità che i controlli di sicurezza basati sulla reputazione abbiano il tempo di reagire.

La catena di compromissione, passo dopo passo

L’intero attacco, come analizzato dai ricercatori di Conscia, può essere visto come una catena di compromissione composta da fasi distinte ma strettamente collegate.

1. Dall’annuncio al download
   Tutto parte da un annuncio sponsorizzato o un link alterato nei risultati dei motori di ricerca. L’utente clicca e viene dirottato su una sequenza di redirect (es. team.frywow[.]com → teams-install[.]icu), fino ad arrivare alla pagina che propone l’installer fasullo. In questa fase i segnali sospetti sono già presenti: URL anomali, domini con TLD rari come .icu, redirect multipli.
2. L’illusione del file firmato
   L’utente scarica MSTeamsSetup.exe nella cartella Downloads e lo esegue. A colpo d’occhio, il file sembra legittimo perché porta una firma digitale. Ma se si va a vedere meglio, il certificato è stato emesso da un’entità mai vista prima e ha una validità ridicolmente breve, spesso inferiore alle 72 ore. Questo è il primo vero campanello d’allarme.
3. Il loader che apre la strada
   Una volta avviato, l’installer non fa ciò che promette. Al contrario, esegue un loader che scarica e deposita componenti aggiuntivi, spesso in cartelle come %APPDATA%\Microsoft\Teams\ o %TEMP%. Per garantire che il codice malevolo si riattivi anche al riavvio, vengono create chiavi di registro (HKCU\…\Run) o attività pianificate con nomi rassicuranti come TeamsUpdate. Sono piccoli dettagli che però, se osservati in un ambiente aziendale, fanno la differenza tra un falso allarme e una compromissione reale.
4. Evasione e comunicazione col C2
   Per sfuggire ai controlli, il malware sfrutta strumenti già presenti in Windows: PowerShell con comandi encoded, rundll32 e regsvr32. Questi strumenti, usati in contesti sospetti, permettono di eseguire codice senza attirare troppa attenzione. Subito dopo, il loader prova a contattare il server di comando e controllo — ad esempio nickbush24[.]com — utilizzando richieste HTTPS che imitano il traffico di un browser reale. Questo traffico verso domini nuovi o poco noti è un altro indicatore importante.

Segnali da non ignorare

Ogni fase lascia tracce osservabili che possono essere rilevate se si sa cosa cercare:

• Un certificato valido meno di 72 ore, emesso da un ente sconosciuto.
• Chiavi di registro o scheduled task con nomi legati a “update” o “Teams”.
• Comandi PowerShell con -EncodedCommand o uso anomalo di rundll32/regsvr32.
• Connessioni outbound verso domini con TLD rari o registrati di recente.

Non è un singolo segnale che fa la differenza, ma la combinazione: se almeno due o tre di questi elementi si verificano insieme, è molto probabile di trovarsi davanti a questa specifica catena malevola.

Come difendersi in pratica

Per ridurre i rischi, è fondamentale agire su più livelli. Alcune misure concrete:

• Rafforzare le regole ASR in Microsoft Defender, in particolare quelle che impediscono l’esecuzione di file scaricati dal web e il lancio di processi sospetti da applicazioni Office o browser.
• Monitorare i certificati: segnalare automaticamente i binari firmati da enti non riconosciuti o con certificati validi pochi giorni.
• Integrare feed di threat intelligence per individuare connessioni verso domini appena registrati o con reputazione bassa.

Formare gli utenti: spiegare di scaricare Teams solo dal portale ufficiale Microsoft e di diffidare degli annunci sponsorizzati nei motori di ricerca.

Infine, avere un playbook di risposta agli incidenti pronto è essenziale: isolamento dell’endpoint, raccolta delle evidenzie (hash, chiavi di registro, scheduled task), verifica delle connessioni di rete e rotazione immediata delle credenziali compromesse.

Perché è un attacco diverso dal solito

Quello che rende questa campagna particolarmente pericolosa non è tanto la complessità tecnica, quanto la velocità. Gli attaccanti hanno imparato ad automatizzare il ciclo di vita: creano un certificato, registrano un dominio, distribuiscono il file, raccolgono dati e cambiano tutto di nuovo — spesso nell’arco di poche ore.

Per i difensori, questo significa che non si può più contare soltanto sui feed di minacce che arrivano con ritardo. Servono telemetria in tempo reale, regole comportamentali e capacità di risposta automatizzata. È una corsa contro il tempo, e la velocità del SOC diventa il fattore decisivo.

L'articolo Falso installer di Microsoft Teams! Certificati usa-e-getta e una backdoor nel download proviene da il blog della sicurezza informatica.

All’inizio di questo mese, è emersa una notizia riguardante l’azienda cinese Kaiwa Technology, che avrebbe creato un “robot per la gravidanza”. La notizia era accompagnata da immagini vivide: una figura a grandezza naturale con uno scomparto trasparente nell’addome contenente un utero artificiale.

Le notizie sostenevano che l’ideatore dell’idea, un certo Zhang Qifeng, prevedeva di svelare un prototipo entro un anno e di vendere il dispositivo a meno di 100.000 yuan, ovvero circa 13.900 dollari. La combinazione di tempistiche promettenti, prezzo relativamente accessibile e immagini d’impatto ha garantito la rapida diffusione della notizia.

La notizia ha rapidamente fatto il suo ingresso nelle pubblicazioni in lingua inglese, tra cui il Daily Mail e Newsweek, e blog e aggregatori tecnologici come Interesting Engineering hanno iniziato a ripubblicare materiali generati interamente da reti neurali. Tuttavia, quando si è trattato di verificare i fatti, si è scoperto che la storia era letteralmente sospesa nell’aria.

Un’indagine di Snopes ha rivelato che le immagini erano generate da reti neurali e che la persona con quel nome era assente sia dai database scientifici sia dagli elenchi degli ex studenti delle università a cui era attribuita. Diverse redazioni si sono affrettate a rimuovere i loro materiali. I giornalisti di Live Science hanno contattato la Nanyang Technological University, che ha confermato che non ci sono ex studenti con quel nome e che presso l’istituto non è stata condotta alcuna ricerca sull'”utero robotico”. Due verifiche indipendenti hanno portato alla stessa conclusione: le splendide immagini erano un’invenzione.

Questo successo si spiega con il fatto che ai lettori viene offerta una soluzione semplice a un argomento incredibilmente complesso. La storia prometteva un prototipo già pronto, un prezzo “da elettrodomestico” ed era accompagnata da immagini vivide. In questo contesto, pochi si sono accorti della mancanza di prove: è esattamente così che funziona la manipolazione emotiva nei media moderni.

Se si solleva la questione e ci si chiede cosa sia realmente necessario per far nascere un bambino fuori dal corpo della madre in tutta sicurezza, si scopre che i problemi sono molti di più delle soluzioni tecniche.

Il primo e forse più importante ostacolo è la placenta. Non è solo un canale di alimentazione, ma un sistema vivente che regola l’apporto di ossigeno, bilancia i nutrienti, elimina i prodotti di scarto e fornisce protezione immunitaria. Un analogo ingegnerizzato richiederebbe una complessa rete di pompe, ossigenatori e microcanali che dovrebbero funzionare in modo affidabile per mesi e adattarsi alle crescenti esigenze del feto. Finora, il collegamento dei vasi sanguigni animali a sistemi esterni ha avuto successo solo per brevi periodi, il che è incomparabile alla durata completa di una gravidanza umana.

L’ambiente amniotico non è meno importante. Protegge dallo stress meccanico, trasmette segnali per il corretto sviluppo dei polmoni e del sistema muscolo-scheletrico e mantiene temperatura e composizione costanti. I “biobag” temporanei per gli agnelli hanno dimostrato che il liquido può preservare i tessuti per diversi giorni o settimane, ma mantenere i parametri necessari per nove mesi senza accumulo di tossine e con la necessaria stimolazione meccanica è tutta un’altra storia.

A questo si aggiunge il rischio di infezioni. L’ambiente all’interno dell’utero è praticamente sterile, ma in un sistema artificiale con tubi e sensori, ogni connessione diventa un potenziale punto di ingresso per i microbi. Mantenere una pulizia assoluta per un periodo così lungo con un monitoraggio costante è attualmente irrealistico.

La complessità è aggravata dalla regolazione ormonale. I livelli di progesterone, estrogeni e altri fattori fluttuano durante la gravidanza, coordinando la crescita e la preparazione al travaglio. Non si tratta di un apporto statico di nutrienti, ma di un sistema di feedback dinamico. Nessun esperimento è ancora riuscito a riprodurre un processo endocrino così complesso.

Un altro problema è la difesa immunitaria. Normalmente, la madre trasmette anticorpi al feto, che permettono al neonato di iniziare le prime settimane di vita con un sistema di difese già pronto. Un impianto artificiale dovrebbe in qualche modo fornire una protezione simile.

E infine, c’è il parto vero e proprio. Non è una semplice procedura meccanica. In breve tempo, la respirazione e la circolazione si ristabiliscono e i meccanismi di termoregolazione si attivano. Rendere questa transizione sicura in un ambiente artificiale è un compito irto di troppi rischi.

La ricerca moderna si concentra su un obiettivo diverso: aiutare i neonati estremamente prematuri. Sistemi sperimentali hanno permesso di mantenere gli agnelli in camere sterili con fluidi, collegate a un sistema di ossigenazione esterno, per diversi giorni o settimane. Negli Stati Uniti, questo è in atto presso il Children’s Hospital di Philadelphia, e sistemi simili sono in fase di sviluppo in Europa. Il loro obiettivo è prolungare la vita dei nati prematuri, non sostituire l’intera gravidanza.

È proprio su questo che insistono gli esperti. Live Science ha citato Harvey Klayman della Yale School of Medicine, il quale ha sottolineato che l’idea di trasferire completamente il processo a una macchina non solo è lontana dalla realtà, ma solleva anche serie preoccupazioni etiche. La strada responsabile è quella di migliorare gradualmente l’assistenza ai neonati prematuri, piuttosto che soccombere alle fantasie di robot con uteri artificiali.

L’immagine di una figura umanoide con un bambino in grembo è impressionante, ma l’immagine in sé non è una prova. I veri successi derivano da piccoli ma comprovati passi: tempi limitati, compiti mirati e obiettivi medici specifici. Sono questi risultati, non miti grandiosi, a far progredire la medicina.

L'articolo Arriva il robot per la gravidanza! Notizia falsa o un segno premonitore del futuro? proviene da il blog della sicurezza informatica.

Il NIST, attraverso il suo National Cybersecurity Center of Excellence (NCCoE), ha pubblicato la prima bozza di un nuovo documento dedicato alla crittografia post-quantistica (PQC).

Da sempre gli algoritmi crittografici proteggono i nostri dati digitali più riservati dagli accessi non autorizzati. Finora hanno funzionato bene, perché anche i computer più potenti non sono stati in grado di superarli. Ma all’orizzonte c’è una sfida: i computer quantistici, che un domani potrebbero rompere gli algoritmi tradizionali e rendere vulnerabili informazioni oggi considerate sicure.

Per questo servono nuovi algoritmi, capaci di resistere sia ai computer attuali che a quelli quantistici del futuro. È qui che entra in gioco la PQC, ossia la crittografia “resistente ai quanti”. Il progetto del NCCoE, chiamato Migration to PQC, nasce proprio per aiutare aziende e istituzioni a pianificare e testare questa transizione.

Perché agire adesso?

Anche se non sappiamo quando arriveranno i computer quantistici davvero potenti (alcuni esperti dicono entro 10 anni), conviene iniziare subito a muoversi. Storicamente, infatti, ci vuole molto tempo per passare da un nuovo algoritmo alla sua adozione completa nei sistemi informativi.

Inoltre, esiste un rischio concreto noto come “harvest now, decrypt later”: un attaccante può raccogliere oggi grandi quantità di dati cifrati, conservarli e aspettare che, un giorno, un computer quantistico permetta di decifrarli. In questo modo, informazioni sensibili e di lunga durata potrebbero essere compromesse anche se oggi sembrano protette.

Il contenuto del documento

Il nuovo white paper (CSWP 48) aiuta le organizzazioni a capire come collegare la migrazione alla PQC con le pratiche di gestione del rischio già esistenti. In pratica, mette in relazione le capacità dimostrate nel progetto NCCoE con due documenti fondamentali e ben noti del NIST:

• Il Cybersecurity Framework 2.0 (CSF 2.0), usato in tutto il mondo per gestire i rischi informatici.
• Il catalogo SP 800-53, che raccoglie i controlli di sicurezza e privacy per proteggere i sistemi informativi.

L’obiettivo è aiutare le organizzazioni a pianificare la migrazione verso la crittografia post-quantistica in modo ordinato, allineando i nuovi sforzi con pratiche già consolidate e individuando i controlli di sicurezza più adatti.

Il NIST raccoglierà commenti su questa bozza fino al 20 ottobre 2025, tramite la pagina del progetto NCCoE.

L'articolo Il NIST Verso la Post-Quantum Cryptography proviene da il blog della sicurezza informatica.

In questo episodio vediamo come l’IA possa potenziare la nostra capacità di spiegare, trasmettere, insegnare agli altri ciò che sappiamo.

zerodays.podbean.com/e/io-e-ch…

Can you play DOOM in Discord? At first glance, that may seem rather nonsensical, as Discord is a proprietary chat service and neither a hardware device nor something else that may seem like an obvious target for being (ab)used for demon-shooting points. That is, until you look at Discord’s content embedding feature. This is where [PortalRunner]’s Doomcord hack comes into play, allowing you to play the entire game in a Discord client by submitting text messages after embedding a very special image URL.

Rather than this embedding being done in the client as done with e.g., IRC clients, the Discord backend handles the content fetching, caching, and handing off to clients. This system can easily be used with an animated GIF of gameplay, but having it be seen as a GIF file required adding .gif to the end of the URL to trick Discord’s backend into not simply turning it into a static PNG. After this, Discord’s throttling of message speed turned out to kill the concept of real-time gameplay, along with the server load.

Plan C thus morphed into using Chocolate Doom headless, rendering gameplay into cached video files by using the demo gameplay feature in DOOM. The Doomcord server template project provides a server if you want to give it a whirl yourself. Since this uses recorded gameplay, the switch was made from GIF to the WEBP format to save space, along with a cache expiry system. Just level 1 with all possible input sequences takes up 12 TB of disk space.

youtube.com/embed/ZFV76-qJhM4?…

hackaday.com/2025/09/28/playin…

In today’s “News from the Dystopia” segment, we have a story about fighting retail theft with drones. It centers on Flock Safety, a company that provides surveillance technologies, including UAVs, license plate readers, and gunshot location systems, to law enforcement agencies. Their flagship Aerodome product is a rooftop-mounted dock for a UAV that gets dispatched to a call for service and acts as an eye-in-the-sky until units can arrive on scene. Neat idea and all, and while we can see the utility of such a system in a first responder situation, the company is starting to market a similar system to retailers and other private sector industries as a way to contain costs. The retail use case, which the story stresses has not been deployed yet, would be to launch a drone upon a store’s Asset Protection team noticing someone shoplifting. Flock would then remotely pilot the drone, following the alleged thief back to their lair or hideout and coordinating with law enforcement, who then sweep in to make an arrest.

Police using aerial assets to fight crime is nothing new; California has an entire entertainment industry focused on live-streaming video from police chases, after all. What’s new here is that these drones lower the bar for getting aerial support into the mix. At a $1,000 per hour or more to operate, it’s hard to justify sending a helicopter to chase down a shoplifter. Another objection is that these drones would operate entirely for the benefit of private entities. One can certainly make a case for a public interest in reducing retail theft, since prices tend to increase for everyone when inventory leaves the store without compensation. But we don’t know if we really like the idea of being tailed home by a drone just because a minimally trained employee on the Asset Protection team of BigBoxCo is convinced a crime occurred. It’s easy enough to confuse one person for another or to misidentify a vehicle, especially on the potato-cams retailers seem to love using for their security systems. We also really don’t like one of the other markets Flock is targeting: residential HOAs. The idea of neighborhoods being patrolled by drones and surveilled by license plate cameras is a bridge too far, at least to our way of thinking.

Are you old enough to remember when having access to a T1 line was a true mark of geek cachet? We sure are, and in a time when the plebes were stuck with 9,600-baud dial-up over their POTS lines, working on a T1 line was a dream come true. Such was the allure that we can even recall apartment complexes in the tech neighborhoods outside of Boston listing T1 lines among their many amenities. It was pretty smart marketing, all things considered, especially compared to the pool you could only use three months a year. But according to a new essay by J. B. Crawford over at “Computers Are Bad”, T1 lines were actually pretty crappy, even in the late 90s and early 2000s. The article isn’t just dunking on T1, of course, but rather a detailed look at the whole T-carrier system, which can trace its roots back to the 1920s with Bell’s frequency-division multiplexing trunking systems. T1 was an outgrowth of those trunking systems, intended to link central offices but evolving to service customers on the local loop. Fascinating stuff, as always, especially the bit about replacing the loading coils that were used every 6,600′ along trunk lines to compensate for capacitance with repeaters.

We’ve heard of bricking a GPU, but ordering a GPU and getting a brick instead is something new. A Redditor who ordered an RTX 5080 from Amazon was surprised to find a plain old brick in the package instead. To be fair, whoever swiped the card was kind enough to put the brick in the original antistatic bag; one can’t be too careful, after all. The comments on the Reddit post have a good selection of puns — gigabricks, lol — and good fun was had by all, except perhaps for the unfortunate brickee. The article points out that this might not be a supply chain issue, such as the recent swap of a GPU for a backpack, which, given the intact authentication seals, was likely done at the factory. In this case, it seems like someone returned the GPU after swapping it out for the brick, assuming (correctly, it would seem) that Amazon wouldn’t check the contents of the returned package beyond perhaps weighing it. How the returned inventory made it back into circulation is a bit of a mystery; we thought returned items were bundled together on pallets and sold off at auction.

Speaking of auctions, someone just spent almost half a million bucks on one of the nine estimated remaining wooden-cased Apple I computers. It’s a lovely machine, to be sure, with its ByteShop-style wooden case intact and in excellent shape. The machine is still working, too, which is a nice plus, but $475,000? Even with a Dymo embossed label in Avocado Green — or is that Harvest Gold? — that seems a bit steep. There’s apparently some backstory to the machine that lends to its provenance, including former ownership by the first female graduate of Stanford Law School, June Blodgett Moore. This makes it the “Moore Apple-1” in the registry (!) for these machines, only 50 of which were ever made. One wonders if the registry makes allowance for basic maintenance of vintage electronics like these machines; does routine recapping affect their value?

And finally, continuing with the vintage theme, we’ve been following the adventures of [Buy It Fix It] over on YouTube as he attempts to revive a Williams Defender arcade machine from the 1980s. We remember this game well, having fed far too many quarters into the one at the Crazy 8s Pool and Arcade back in the day. This machine is in remarkably good shape for being over 40 years old, but it still needed some TLC to get it running again. The video documents a series of cascading failures and maddening intermittent faults, requiring nearly every tool in his kit to figure out. At the end of the second video, [Buy It] reckons he put 60 hours into the repair, a noble effort with fantastic results. Enjoy!

youtube.com/embed/IpuPvdyxeW0?…

youtube.com/embed/PyCM_PB92r4?…

hackaday.com/2025/09/28/hackad…

Over the years, we’ve brought you many stories of the creative artwork behind electronic event badges, but today we may have a first for you. [Spencer] thinks nobody before him has made a badge powered by a Z80, and we believe he may be right. He’s the originator of the RC2014 Z80-based retrocomputer, and the badge in question comes from the recent RC2014 Assembly.

Fulfilling the function of something you can write your name on is a PCB shaped like an RC2014 module, with LEDs on all the signal lines. It could almost function as a crude logic analyser for the system, were the clock speed not far too high to see anything. To fix this, [Spencer]’s badge packs a single-board RC2014 Micro with a specially slow clock, and Z80 code to step through all memory addresses, resulting in a fine set of blinkenlights.

Thus was created the first Z80-based event badge, and we’re wondering whether or not it will be the last. If you’re curious what this RC2014 thing is about, we reviewed the RC2014 Micro when it came out.

hackaday.com/2025/09/28/decora…

These days, video cards are virtually supercomputers. When they aren’t driving your screen, they are decoding video, crunching physics models, or processing large-language model algorithms. But it wasn’t always like that. The old video cards were downright simple. Once PCs gained more sophisticated buses, video cards got a little better. But hardware acceleration on an old-fashioned VGA card would be unworthy of the cheapest burner phone at the big box store. Not to mention, the card is probably twice the size of the phone. [Bits and Bolts] has a look at several old cards, including a PCI version of the Tseng ET4000, state-of-the-art of the late 1990s.

You might think that’s a misprint. Most of the older Tseng boards were ISA, but apparently, there were some with the PCI bus or the older VESA local bus. Acceleration here typically meant dedicated hardware for handling BitBlt and, perhaps, a hardware cursor.

It is fun watching him test these old cards and work on them under the microscope, too. Since the PCI bus was new when this board was introduced, it apparently had some bugs that made it incompatible with certain motherboards.

We recall being blown away by the color graphics these boards provided when they were new. Now, of course, you wouldn’t see graphics like this even on a cheap video game. Still, fun to take a walk down memory lane with these old boards.

[Bits and Bolts] definitely has a hobby. We love that these were high-tech in their day, but now designing a VGA card is well within reach for anyone adept at using FPGAs.

youtube.com/embed/2aapI_uyvII?…

hackaday.com/2025/09/28/a-walk…

Dato che si inizia a parlare incessantemente di robot umanoidi e intelligenza artificiale, gli hacker hanno voluto dare una guardatina a questa nuova tecnologia che sempre di più invaderà lo spazio del nostro futuro. E non è andata bene.

Il 27 settembre 2025 sono emerse nuove preoccupazioni riguardo ai robot prodotti dalla cinese Unitree Robotics, dopo la segnalazione di serie vulnerabilità che potrebbero esporre migliaia di dispositivi a rischi di controllo remoto e utilizzo malevolo.

Secondo quanto riportato da IEEE Spectrumgiovedì 25 settembre, i ricercatori hanno individuato una falla critica nel sistema Bluetooth Low Energy (BLE) utilizzato dai robot dell’azienda per la configurazione iniziale della rete WiFi. Tale debolezza consentirebbe a un aggressore di ottenere i privilegi di root sul sistema Android dei dispositivi, acquisendone il controllo totale.

Il ricercatore di sicurezza Andreas Makris ha spiegato che, una volta compromesso un robot, l’infezione può diffondersi automaticamente ad altri dispositivi Yushu nel raggio di azione del Bluetooth, trasformandoli in una botnet in grado di replicarsi senza intervento umano.

Il meccanismo di autenticazione appare particolarmente fragile: i robot Unitree consentono l’accesso semplicemente attraverso la crittografia di una stringa hardcoded, “unitree”. In questo modo un attaccante potrebbe inserire codice arbitrario mascherato da SSID e password della rete WiFi. Nel momento in cui il robot tenta la connessione, il codice verrebbe eseguito con privilegi di amministratore, senza alcuna verifica aggiuntiva.

Makris ha aggiunto che un exploit di questo tipo potrebbe persino impedire l’aggiornamento del firmware da parte dell’utente, lasciando i dispositivi permanentemente vulnerabili e aprendo la strada a un controllo di massa. Tra i modelli interessati risultano i cani robot quadrupedi Go2 e B2 e i robot umanoidi G1 e H1. È la prima volta che una falla di tale portata viene resa pubblica su una piattaforma robotica umanoide commerciale.

I ricercatori hanno contattato Unitree Robotics già a maggio 2025, ma dopo diversi tentativi di comunicazione senza risultati, l’azienda avrebbe smesso di rispondere lo scorso luglio. La mancanza di collaborazione ha spinto alla divulgazione pubblica della vulnerabilità. Makris ha ricordato inoltre di aver già identificato in passato una backdoor nel modello Yushu Go1, sollevando dubbi sull’origine di tali falle: se siano frutto di negligenza nello sviluppo o di implementazioni intenzionali.

Un’ulteriore segnalazione è arrivata da Victor Mayoral-Vilches, fondatore di Alias Robotics, secondo cui i robot Yushu inviano ai server cinesi dati di telemetria che potrebbero includere informazioni audio, video e spaziali. Mayoral-Vilches ha evidenziato come questi dispositivi siano ampiamente diffusi a livello globale, ma molti utenti non siano consapevoli dei rischi legati al loro utilizzo. In attesa di risposte ufficiali, l’esperto consiglia agli utilizzatori di collegare i robot esclusivamente a reti WiFi isolate e di disattivarne la connettività Bluetooth come misura di protezione immediata.

Le preoccupazioni non riguardano solo la sfera privata. Ad agosto 2025, la città di Taipei ha impiegato il modello Go2 per attività di pattugliamento urbano, scelta che ha suscitato interrogativi sulla sicurezza dei dati. Già il 5 maggio 2025 la Commissione speciale della Camera dei Rappresentanti degli Stati Uniti sulla concorrenza strategica con la Cina aveva inviato una lettera al Segretario alla Difesa, al Segretario al Commercio e al presidente della Federal Communications Commission, avvertendo che Yushu “rappresenta una minaccia crescente per la sicurezza nazionale”.

Secondo quanto riportato, i robot dell’azienda sarebbero già stati adottati in contesti sensibili come prigioni, corpi di polizia e basi militari statunitensi. La presenza di backdoor e la possibilità di sorveglianza remota hanno spinto alcuni osservatori a definirli “cavalli di Troia con telecamere”.

Ad oggi, Unitree Robotics non ha rilasciato alcun commento ufficiale.

L'articolo Falle critiche nei robot cinesi. Una bonet di robot zombie può essere controllata a distanza proviene da il blog della sicurezza informatica.

We are proud to sponsor The Abolition and Alternatives Conference (AAC) on October 3–5. The conference is organized and hosted by The Black Response at their offices at 245 Main Street, Cambridge, MA, 02142 on Friday and Saturday. On Sunday, it will be at The Foundry – 101 Roger Street Cambridge, MA – Kendall Square. The conference schedule is available.

We encourage all Pirates to attend and support this conference, especially, but not exclusively, the ShotSpotter and Police Surveillance track. If you can not attend, or even if you can, please consider giving a donation to The Black Response or print out their poster and put it up in your neighborhood. See you next week!

Details on the conference are reproduced below. Edits are only for clarity:

This free, in-person event will bring together community members, organizers, and advocates for a weekend of in-depth learning and discussion focused on alternative public safety and community care, housing justice, and the impacts of surveillance technologies like ShotSpotter. It will include keynote addresses from Fatema Ahmad (Muslim Justice League), Stephanie Guirand (The Black Response), and Spencer Piston (Boston University).

Food will be provided, childcare will be available, and we encourage attendees to share any additional access needs via the conference interest form. TBR will be reaching out to invite participation as speakers and facilitators. For questions, please contact Stephanie at general@theblackresponsecambridge.com.

Throughout the conference, participants will have the opportunity to choose from panels in four tracks:

Housing Justice

This track features panels led by the Cambridge Housing Justice Coalition (CHJC). CHJC is a coalition of activist groups and concerned Cambridge residents who believe housing is a basic human right. The panels and workshops on this track will focus on housing justice and its intersections with the prison industrial complex.

ShotSpotter and Police Surveillance

This track will be led by the #StopShotSpotter Coalition Camberville. In this track, coalition members will provide an introduction to ShotSpotter, the audio-surveillance technology. We will examine its impact in Cambridge, the national landscape, and broader conversations about surveillance tech.

Alternatives and Community Care

This track will be led by members of the Massachusetts Community Care Network (MCCN). This track will include panels of responders, program directors, and organizers working to make alternatives to policing real. It includes a panel on the movement with Daanika Gordon, Spencer Piston, and Minali Aggarwal.

Community Concerns (Anti-Racism, Immigration Justice, Justice for Palestine, and Black Lives Matter)

This track will discuss concerns that come directly from the communities we serve and work with. These concerns also intersect with the movement for abolition and alternatives. They include Justice for Palestine, Immigration Justice, and Anti-Racism. In this tract we intend to learn from organizers leading these movements in Massachusetts.

masspirates.org/blog/2025/09/2…

[Simone]’s AI assistant, dubbed Max Headbox, is a wakeword-triggered local AI agent capable of following instructions and doing simple tasks. It’s an experiment in many ways, but also a great demonstration not only of what is possible with the kinds of open tools and hardware available to a modern hobbyist, but also a reminder of just how far some of these software tools have come in only a few short years.

Max Headbox is not just a local large language model (LLM) running on Pi hardware; the model is able to make tool calls in a loop, chaining them together to complete tasks. This means the system can break down a spoken instruction (for example, “find the weather report for today and email it to me”) into a series of steps to complete, utilizing software tools as needed throughout the process until the task is finished.

Watch Max in action in the video (also embedded just below). Max is a little slow, but not unusably so. As far as proofs of concept go, it demonstrates that a foundation for such systems is perfectly feasible on budget hardware running free, locally installed software. Check out the GitHub repository.

The name is, of course, a play on Max Headroom, the purportedly computer-generated TV personality of the ’80s who was actually an actor in a mask, just like the person behind what was probably the most famous broadcast TV hack of all time (while wearing a Max Headroom mask).

Thanks to [JasonK] for the tip!

youtube.com/embed/ZnuXIrbRQiE?…

hackaday.com/2025/09/28/fully-…

Dalla fine di luglio 2025 è stata registrata una nuova ondata di attacchi informatici che colpisce le organizzazioni dotate di firewall SonicWall, con la diffusione attiva del ransomware Akira.

Secondo i ricercatori di Arctic Wolf Labs, l’attività malevola ha subito un incremento significativo e continua a persistere. Gli aggressori ottengono l’accesso iniziale attraverso connessioni VPN SSL compromesse, riuscendo a eludere l’autenticazione multifattore (MFA). Una volta entrati nella rete, passano rapidamente alla fase di crittografia: in alcuni casi, il tempo di permanenza prima del rilascio del ransomware è stato di appena 55 minuti.

La vulnerabilità sfruttata e il ruolo delle credenziali rubate

Gli accessi abusivi sono stati collegati al CVE-2024-40766, una vulnerabilità di controllo degli accessi resa pubblica nel 2024. La principale ipotesi è che i criminali abbiano raccolto in passato credenziali da dispositivi esposti e vulnerabili, ora sfruttate anche contro apparati già aggiornati. Questo spiega perché siano stati compromessi sistemi completamente patchati, circostanza che inizialmente aveva alimentato l’ipotesi di un nuovo exploit zero-day.

Un altro elemento critico riguarda la MFA OTP di SonicWall: gli attaccanti sono riusciti ad autenticarsi anche con account protetti da questa funzione, aumentando la gravità della campagna.

Tecniche e strumenti utilizzati

Una volta ottenuto l’accesso tramite VPN SSL, gli aggressori:

• avviano la scansione della rete interna per identificare porte esposte come SMB (445), RPC (135) e SQL (1433);
• utilizzano strumenti di ricognizione e movimento laterale tra cui Impacket, SoftPerfect Network Scanner e Advanced IP Scanner;
• creano nuovi account amministrativi e innalzano i privilegi di quelli già presenti;
• installano software di accesso remoto come AnyDesk, TeamViewer e RustDesk per garantire la persistenza;
• stabiliscono connessioni nascoste tramite SSH inverso e Cloudflare Tunnels.

Per ridurre le possibilità di rilevamento, gli operatori della minaccia tentano di disattivare le soluzioni di sicurezza degli endpoint, come Windows Defender ed EDR.

In alcuni casi ricorrono alla tecnica BYOVD (bring your own vulnerable driver) per compromettere i sistemi a livello di kernel ed eliminano le copie shadow del volume per impedire eventuali ripristini.

Dalla raccolta dei dati al rilascio del ransomware

Prima di avviare la crittografia, gli attaccanti esfiltrano informazioni riservate: i file vengono compressi con WinRAR ed estratti attraverso strumenti come rclone e FileZilla. Successivamente distribuiscono il ransomware Akira, tramite file eseguibili denominati akira.exe o locker.exe, crittografando le unità di rete e avviando la richiesta di riscatto.

Raccomandazioni per le organizzazioni

Gli esperti di Arctic Wolf invitano tutte le realtà che utilizzano dispositivi SonicWall ad adottare misure immediate.

In particolare, si raccomanda di reimpostare le credenziali delle VPN SSL, inclusi gli account collegati ad Active Directory, soprattutto se i sistemi in passato hanno eseguito firmware vulnerabili a CVE-2024-40766. La semplice applicazione delle patch non è considerata sufficiente se le credenziali sono già state compromesse.

L'articolo Ransomware Akira: una nuova campagna colpisce i firewall SonicWall proviene da il blog della sicurezza informatica.

Dopo aver firmato la realizzazione del supercomputer giapponese “K”, uno dei più potenti al mondo, Fujitsu ha annunciato un nuovo progetto di punta: Post-K, basato sull’architettura ARMv8 a 64 bit. La presentazione è avvenuta durante l’International Supercomputing Conference di Francoforte, in Germania, e il lancio ufficiale è previsto entro il 2020.

Secondo le previsioni, Post-K sarà in grado di raggiungere prestazioni 100 volte superiori rispetto al suo predecessore, aprendo la strada a un livello di calcolo che potrebbe superare i 1.000 petaflop (PFLOPS).

Al momento, il supercomputer “K” – noto anche come “King” – si colloca al quinto posto nella classifica mondiale dei 500 sistemi più potenti. Le sue capacità si attestano a 10,5 PFLOPS, garantite da circa 705.000 core Sparc64 VIIIfx.

Il progetto Post-K punterà a rivoluzionare le architetture tradizionali, adottando ARMv8 a 64 bit come base. Non è ancora chiaro se verranno utilizzati core ARM standard, come i Cortex-A73 o versioni successive, oppure una soluzione sviluppata direttamente da Fujitsu, progettata per rispettare le specifiche ARM.

Tra le possibilità allo studio figura anche un approccio eterogeneo con l’integrazione di una GPU per incrementare ulteriormente le capacità di elaborazione. Tuttavia, l’azienda non ha diffuso dettagli tecnici definitivi.

L’interesse verso ARM in ambito supercomputing rappresenta un segnale di svolta. L’azienda britannica aveva già espresso l’intenzione di entrare nel mercato dei server, dominato ancora da Intel, ma le sue potenzialità sembrano più promettenti proprio nel campo dei supercomputer.

Inoltre, la progressiva maturazione della tecnologia Mali e la sua possibile applicazione come acceleratore eterogeneo potrebbero favorire lo sviluppo di sistemi ad alte prestazioni e a basso consumo energetico, uno degli obiettivi più ambiziosi nel settore del calcolo avanzato.

L'articolo Fujitsu svela Post-K: il supercomputer ARM che sarà 100 volte più veloce di “K” proviene da il blog della sicurezza informatica.

Voice assistants and smartphones are often the go-to interfaces for modern smart home systems. However, if you fancy more direct physical controls, you can go that route as well. To that end, [Salim Benbouziyane] whipped up a nifty keypad to work with his Home Assistant setup.

The build is based on an ESP32 microcontroller, which has wireless hardware onboard to communicate with the rest of [Salim’s] Home Assistant setup. Using the ESPHome firmware framework as a base, the microcontroller is connected to a four-by-three button keypad array, built using nice clicky key switches. There’s also an indicator light on top as a system status indicator. A fingerprint scanner provides an easy way for users to authenticate when disarming the alarm.

Security and speed were the push for [Salim] to whip up this system. He found it difficult to disarm his alarm in a hurry when fumbling with his phone, and the direct keypad entry method was far more desirable.

Sometimes, the easiest route to the smart home of your dreams is to just build the exact solutions you need. Video after the break.

youtube.com/embed/Mt3QerTMITg?…

hackaday.com/2025/09/28/smart-…

L’unità di intelligence israeliana, l’equivalente israeliano della National Security Agency (NSA) statunitense, è stata privata dell’accesso ad alcuni servizi cloud di Microsoft Azure dalla società con sede a Redmond. L’Unità 8200 era stata precedentemente accusata di aver spiato i palestinesi nei territori controllati da Israele utilizzando la tecnologia Microsoft.

Microsoft ha impedito al Ministero della Difesa israeliano di accedere ad alcuni dei suoi servizi cloud Azure dopo che sono emerse notizie dai media secondo cui venivano utilizzati per la sorveglianza di massa dei residenti della Cisgiordania e di Gaza , riporta The Register.

Il presidente di Microsoft, Brad Smith, ha rilasciato una dichiarazione pubblica in seguito alla pubblicazione di un articolo sul quotidiano britannico The Guardian, che accusava l’Unità 8200 dell’esercito israeliano di utilizzare la tecnologia del “gigante di Redmond ” per elaborare e archiviare “milioni di telefonate all’ora”.

La pubblicazione sosteneva che questa unità di intelligence raccoglieva i dati identificativi dei chiamanti, li classificava utilizzando algoritmi di intelligenza artificiale e poi archiviava i dati risultanti su server Azure nella regione europea, nei Paesi Bassi. Queste informazioni sarebbero state poi utilizzate per pianificare operazioni militari .

“Abbiamo informato il Ministero della Difesa israeliano della decisione di Microsoft di disattivare alcuni abbonamenti e servizi del Ministero della Difesa israeliano, tra cui alcuni servizi e tecnologie di archiviazione cloud e di intelligenza artificiale“, ha scritto Brad Smith sul blog aziendale.

Brad Smith ha ringraziato la pubblicazione per le informazioni sul database cloud utilizzato dall’esercito israeliano dal 2022. Ha anche annunciato la sua intenzione di privare il Ministero della Difesa dell’accesso ad alcuni dei servizi Microsoft che utilizza. Come osserva The Register , il sistema di sorveglianza ora utilizza Amazon Web Services anziché Microsoft Azure .

La decisione di interrompere i servizi all’Unità 8200, secondo Smith, è stata presa a seguito di un’indagine interna volta a verificare i fatti presentati nel rapporto del Guardian.

Durante l’indagine, gli specialisti Microsoft non hanno avuto accesso ai dati dei clienti nel cloud Azure, ma si sono concentrati sull’esame dei propri archivi aziendali, afferma l’azienda.

Dopo aver esaminato il contratto con il Ministero della Difesa israeliano, Microsoft ha concluso che il cliente aveva violato alcuni dei termini e delle condizioni in esso stabiliti.

L'articolo Microsoft blocca l’accesso ai servizi cloud per l’Unità di Intelligence 8200 israeliana proviene da il blog della sicurezza informatica.