Apache StreamPipes è una piattaforma open-source per l’analisi e l’elaborazione di dati in tempo reale (streaming analytics), pensata soprattutto per IoT, Industria 4.0 e sistemi di monitoraggio.

In parole semplici: serve a raccogliere, elaborare e analizzare flussi continui di dati (sensori, log, eventi, stream) senza dover scrivere molto codice.

Una vulnerabilità recentemente scoperta identificata come CVE-2025-47411, rivela che il meccanismo di identificazione dell’utente dello strumento può essere sfruttato per consentire agli utenti standard di assumere il controllo amministrativo totale.

Il team di sviluppo ha chiuso la vulnerabilità nell’ultima versione del software. Agli utenti che utilizzano le versioni interessate si consiglia di eseguire l’aggiornamento alla versione 0.98.0, che risolve il problema.

Secondo quanto affermato, un utente con un account legittimo e non amministratore può sfruttare questa vulnerabilità la quale colpisce un’ampia gamma di installazioni, in particolare le versioni di Apache StreamPipes dalla 0.69.0 alla 0.97.0.

Questo furto di identità viene realizzato “manipolando i token JWT”, le credenziali sicure utilizzate per gestire le sessioni utente. Creando token specifici, un aggressore può ingannare il sistema facendogli credere di essere l’amministratore, aggirando i controlli standard dei privilegi.

La vulnerabilità consente a un aggressore di “scambiare il nome utente di un utente esistente con quello di un amministratore”. Per uno strumento progettato per gestire i dati dell’IoT industriale, le implicazioni di un’acquisizione amministrativa sono gravi.

Una volta ottenuto il controllo amministrativo, un aggressore può mettere in atto “manomissioni dei dati, accessi non autorizzati e altre violazioni della sicurezza “. Ciò potrebbe consentire a malintenzionati di corrompere i dati analitici o interrompere il flusso di informazioni negli ambienti industriali.

L'articolo Vulnerabilità critica in Apache StreamPipes: aggiornamento urgente necessario proviene da Red Hot Cyber.

Nel 2025, la criminalità informatica andrà sempre più oltre il “semplice denaro”: gli attacchi non riguardano solo fatture per tempi di inattività e pagamenti di riscatti, ma anche conseguenze umane reali, dalle interruzioni dell’assistenza sanitaria alle molestie delle vittime, fino a rapimenti, torture e minacce alle famiglie dei dirigenti.

Gli effetti collaterali degli attacchi informatici

Gli effetti collaterali degli attacchi informatici vengono solitamente discussi di sfuggita. Il settore è abituato a misurare i danni in termini monetari: pagamenti di riscatti, costi di inattività e reazioni degli investitori.

Ciò che rimane fuori è ciò che accade alle persone: pazienti, dipendenti, genitori, intere città. E così tante storie di questo tipo si sono accumulate nell’ultimo che sembra essere stato un punto di svolta: il costo umano degli incidenti informatici è diventato troppo evidente per essere ignorato.

L’esempio più tragico ha riguardato un attacco ransomware contro l’azienda britannica Synnovis, fornitore di servizi di laboratorio e di patologia per i principali ospedali londinesi. La violazione si è verificata nel 2024, ma nel 2025 una delle aziende sanitarie interessate ha confermato ufficialmente che un paziente era deceduto durante i disagi causati dall’attacco e dai problemi successivi . Questo è significativo non perché “possibili decessi correlati al ransomware” non fossero stati discussi prima, ma perché ha segnato la prima volta in cui è stato ufficialmente riconosciuto un collegamento diretto tra un attacco informatico e un decesso.

Un’altra vicenda di quest’anno dimostra quanto in basso siano disposti a scendere i criminali quando si tratta di fare pressione sulle loro vittime. Nel loro attacco alla rete di istituti per l’infanzia Kido International, gli autori sono andati oltre la pubblicazione di documenti: hanno anche reso pubbliche immagini di bambini e informazioni personali, inclusi indirizzi di casa e recapiti di adulti. In sostanza, le informazioni sui bambini in età prescolare sono diventate uno strumento di intimidazione. È significativo che ciò abbia persino provocato una reazione negativa all’interno della comunità criminale: un gruppo rivale ha pubblicamente umiliato gli aggressori su un forum specializzato, e alcuni dei materiali sono stati rimossi. Ma il fatto rimane: i confini di ciò che è accettabile nel ricatto continuano a sfumare.

Il colpo più significativo ha avuto un impatto sociale

Nel Regno Unito, l’attacco alla Jaguar Land Rover ha rappresentato il colpo economico più significativo. La produzione è stata interrotta per circa cinque settimane e i danni totali, la ripresa e gli effetti a cascata lungo la catena di approvvigionamento sono stati stimati in oltre 2 miliardi di sterline. L’incidente ha avuto anche una dimensione sociale: i fornitori dipendenti dagli ordini della casa automobilistica hanno dovuto affrontare problemi finanziari e licenziamenti, mentre le famiglie dei dipendenti vivevano in costante tensione: le persone temevano di perdere il reddito, di non pagare l’affitto e semplicemente di non arrivare a fine anno. L’azienda stessa non ha annunciato licenziamenti di massa, ma il livello di ansia tra i lavoratori ha contribuito all’impatto dell’attacco, sebbene non fosse quello riflesso nei dati contabili.

Un’altra tendenza allarmante per il 2025 è la convergenza tra criminalità informatica e violenza fisica, in particolare nel settore delle criptovalute. Ricercatori e aziende di sicurezza stanno documentando un aumento della cosiddetta “violenza come servizio”, in cui minacce, intimidazioni e attacchi stanno diventando parte integrante degli strumenti criminali. L’incidente più eclatante è stato il rapimento del co-fondatore di Ledger, David Ballan, e di sua moglie: i criminali hanno chiesto un riscatto ai colleghi di Ballan e l’incidente è stato accompagnato da una brutalità che di recente sarebbe sembrata “fuori luogo”. Allo stesso tempo, il settore sta richiamando l’attenzione sulle statistiche osservative: ad esempio, l’appassionato e imprenditore Jameson Lopp, che tiene un registro pubblico di tali incidenti, ha contato decine di attacchi violenti legati alle criptovalute nel 2025.

La pressione si intensifica nel 2026

La pressione si intensifica anche nell’estorsione “classica”. Uno studio di Semperis ha rilevato che circa il 40% delle vittime di estorsione ha subito minacce di violenza fisica, non solo astratte, ma anche mirate, quando i criminali dimostrano di conoscere la vita privata e i percorsi delle loro famiglie: dove vivono i loro capi, dove vanno a scuola i loro figli, cosa fanno a casa. Non si tratta più solo di una contrattazione per il riscatto, ma di un attacco psicologico che spinge la vittima a capitolare.

In mezzo a questa escalation, anche le notizie provenienti dalle forze dell’ordine sono preoccupanti. L’Europol ha riferito di un’operazione della Task Force Operativa GRIMM: 193 sospettati sono stati arrestati in casi di omicidi su commissione, intimidazioni e torture. Secondo l’agenzia, tali schemi spesso coinvolgono adolescenti, reclutati o costretti a svolgere compiti “per denaro”. Questa non è più una storia di malware, ma di cartelli criminali violenti in cui l’elemento digitale è solo il biglietto d’ingresso.

Un’altra tendenza di quest’anno sono i “rapimenti virtuali”, in cui i criminali utilizzano l’intelligenza artificiale. L’FBI ha avvertito che i truffatori utilizzano foto dai social media, generando immagini o audio/video convincenti tramite deepfake per ritrarre una persona in pericolo e chiedendo un riscatto ai familiari. A volte, si affidano persino a vere denunce di scomparsa per rendere la storia più credibile. Secondo l’FBI, centinaia di queste truffe hanno fruttato ai criminali circa 2,7 milioni di dollari lo scorso anno. Le raccomandazioni sono semplici ma essenziali: contattare la polizia, rispettare gli ordini di “non chiamata” e avere una parola d’ordine familiare in anticipo per verificare l’autenticità della situazione.

Concludendo

Il 2026 si prospetta molto frizzante è vero.

Ci sono conseguenze che potrebbero colpire intere città contemporaneamente, anche in assenza di vittime. A novembre, Crisis24, fornitore del sistema di allerta di emergenza CodeRED per i comuni statunitensi, è stato attaccato. L’incidente ha provocato il furto di dati ai cittadini, interrompendo temporaneamente l’accesso all’app di allerta e costringendo le autorità a replicare le notifiche tramite i social media. Fortunatamente, durante il periodo di inattività non si sono verificate emergenze gravi, ma la vulnerabilità in sé è evidente: un attacco riuscito a tali servizi potrebbe causare il caos non “in una sala server”, ma per le strade.

Se gli anni ’20 sono iniziati con il parlare di “estorsione come business”, il 2025 sembra sempre più l’anno in cui la criminalità informatica ha cessato di essere solo un business.

Dove c’è estorsione, c’è pressione sulle famiglie. Dove ci sono dati, c’è bullismo e il rischio di violenza fisica.

E più alta è la posta in gioco, che si tratti di criptovalute o di servizi critici, più è probabile che il prossimo attacco colpisca non solo i record, ma anche le persone.

L'articolo Cybercrime 2026: Quando gli attacchi informatici diventano violenza reale proviene da Red Hot Cyber.

The worst thing about the getting people together is when everyone starts fighting over their favourite map projection– maybe you like the Watterman Butterfly, but your cousin really digs Gall-Peters, and that one Uncle who insists on defending Mercator after a couple of beers. Over on Instructables [madkins9] has an answer to that problem that will still let you play a rousing game of Risk– which will surely not drag on into the night and cause further drama– skip the projection, and put the game on a globe.
The pieces are from a 1960s version. The abstract tokens have a certain charm the modern ones lack.
Most globes, being cardboard, aren’t amenable to having game pieces cling to them. [madkins9] thus fabricates a steel globe from a pair of pre-purchased hemispheres. Magnets firmly affixed to the bases of all game pieces allow them to stick firmly to the spherical play surface. In a “learn from my mistakes” moment, [madkins] suggests that if you use two pre-made hemispheres, as he did, you make sure they balance before welding and painting them.

While those of us with less artistic flair might be tempted to try something like a giant eggbot, [madkins] was able to transfer the Risk world map onto his globe by hand. Many coats of urethane mean it should be well protected from the clicking or sliding magnet pieces, no matter how long the game lasts. In another teachable moment, he suggests not using that sealer over sharpie. Good to know.

Once gameplay is finished, the wooden globe stand doubles as a handsome base to hold all the cards and pieces until the next time you want to end friendships over imaginary world domination. Perhaps try a friendly game of Settlers of Catan instead.

hackaday.com/2025/12/30/all-pr…

[Andrew Menadue] wrote in to let us know about the TULIP-DevBoard and TULIP-Module being developed on GitHub.

TULIP is short for “The Ultimate Intelligent Peripheral” and it’s an everything expansion board for the HP-41 line of handheld calculators sold by HP from 1979 to 1990. These particular calculators support Reverse Polish notation which seems to be one of those things, like the Dvorak keyboard, where once you get used to it you can never go back.

In doing the research for this article we came across the fan site hpcalc.org which has been online since 1997, although the Way Back Machine can only go back to late 1998. Still, we were impressed. It’s fun that the site still looks very much like it did 28 years ago!

The TULIP4041 is based around the RP2350 microcontroller which you might know as the heart of a Raspberry Pi Pico 2 board. The video below the break is a talk about the present and future of the TULIP project, and the slides are here: TULIP4041 – The Next Chapter.pdf (PDF).

Thanks to [Andrew] for writing in. If you’re interested in hacking the HP-41 check out HP-41C, The Forth Edition and Nonpareil RPN HP-41 Calculator Build.

youtube.com/embed/4R3ebXHAJd4?…

hackaday.com/2025/12/30/tulip-…

ofPCina

Camere d'Aria - Via Guelfa 40/4
(giovedì, 15 gennaio 17:30)

Il computer ti ha mollato? L'ingresso audio del tuo amplificatore per chitarra si è spaccato? Quel software così indispensabile per la tua sopravvivenza dà i numeri? Vuoi acquistare un nuovo pc ma hai un budget molto basso? L'aspirapolvere ha smesso di funzionare?
Beh raggiungici e cercheremo di rimediare insieme!

cameredaria.net/ofpcina/

ofpcina.net/

balotta.org/event/ofpcina-81

Hacklab Iruñerria

El Hadji gunea - Artikala Kalea 16, (errotxapea) 31014 Pamplona, Navarra
(martes, 13 enero 19:00)

Desde el Hacklab de Iruñerria nos juntaremos cada 15 dias en El Hadji gunea de la rotxapea.

Un encuentro para cacharrear y aprender colectivamente.

hacker.convoca.la/event/hackla…

With two cores at 240 MHz and about 8.5 MB of non-banked RAM if you’re using the right ESP32-S3 version, this MCU seems at least in terms of specifications to be quite the mini PC. Obviously this means that it should be capable of self-hosting its compiler, which is exactly what [Valentyn Danylchuk] did with the xcc700 C compiler project.

Targeting the Xtensa Lx7 ISA of the ESP32-S3, this is a minimal C compiler that outputs relocatable ELF binaries. These binaries can subsequently be run with for example the ESP-IDF-based elf_loader component. Obviously, this is best done on an ESP32 platform that has PSRAM, unless your binary fits within the few hundred kB that’s left after all the housekeeping and communication stacks are loaded.

The xcc700 compiler is currently very minimalistic, omitting more complex loop types as well as long and floating point types, for starters. There’s no optimization of the final code either, but considering that it’s 700 lines of code just for a PoC, there seems to be still plenty of room for improvement.

hackaday.com/2025/12/30/xcc700…

Corso di duo acrobatico

Cascina Torchiera - Piazzale Cimitero Maggio 18, Milano
(martedì, 6 gennaio 19:00)

GallinƏ!
Da questo mese partono ben tre nuovi corsi, per cui correte in cascina, vi aspettiamo con gioia e voglia espressiva!

Da martedì 8 ottobre!

puntello.org/event/corso-di-du…

🥢BaBaInside🥢CENA_CULTURALE

BabaruM - Via F.Anderle 3, Volano - TN
(Saturday, 17 January 18:00)

BaBa Associazione Culturale é lieta di invitarVi ZooBass al suo ormai storico Format, Gourmet for People.

Siamo felici di annunciare questa cena speciale, che era tra i nostri desideri da tempo.

Il mitico

★MAOLO TORREGIANI★

Guru ed esperto lievitatore bolognese, sarà ospite nella nostra BaBaCucina, per dispensarvi un originalissimo menù 100% vegetale che guarda a Levante, stupendovi con un "dolce" tuffo finale nella Città Eterna.

IG:instagram.com/maolotorreggiani…

nei prossimi giorni.... menù rilevato!

30€ costo cena

⚠️PRENOTAZIONE OBBLIGATORIA⚠️ al numero 338 19047048 (Massimo)

FateVi Furbi e non perdeteVi quest'appuntamento. Posti limitati !!!!

✮✮✮ ORARI ✮✮✮

► 18:00 Apertura Cancelli BabaruM

► 20:00 Cena Culturale MAOLO

► 23:00 Chiusura Cancelli BabaruM

✮✮✮ Per tutti gli associati ✮✮✮

Per entrare a BabaruM ci vuole la tessera, costa 10€ e vale fino a fine Marzo 2026, comprende l’entrata libera a tutti gli eventi

RICORDATE DI PRE TESSERARVI SUL NOSTRO SITO (inaltoadestra) : www.babaassociazioneculturale.it

⚠PRE REGISTRAZIONE ONLINE OBBLIGATORIA⚠

VENITE a Trovarci in:

Bicicletta 🚲

Autobus 🚌

Correndo 🏃

In punta di Piedi 💃

Sussurrando DolciParole al vostro vicino🎎

Ad oCCHIcHIUSI 🙈

portatevi con voi solo Sorrisi e voglia di Divertirvi…. i brutti musi saranno

⛔ RIFIUTATI all’INGRESSO ⛔

Non siate timidi, fatevi incuriosire!!!

gancio.daghe.org/event/babains…

Nel palinsesto mediatico di questi giorni, tutto incentrato sulla manovra di bilancio, è passata sotto silenzio una notizia che in apparenza potrebbe non destare preoccupazioni ma che invece, se letta nel contesto della crisi socio-climatica e ambientale, dovrebbe preoccuparci seriamente: il dormiente Pichetto Fratin ha nominato ai vertici di Ispra, l’Istituto Superiore per la Protezione e la Ricerca Ambientale, l’ex Senatrice di Forza Italia Maria Alessandra Gallone.

Una nomina chiaramente politica, la prima rispetto a una tradizione consolidata di tecnici competenti in materia. Un cambio di strategia che premia ovviamente l’appartenenza partitica e non la competenza.

Stride e preoccupa la scelta di preferire una figura politica assolutamente non competente a capo di un organismo scientifico come Ispra. La componente antiscientifica della maggioranza viene ulteriormente premiata… Strano che il Ministro alla Sanità Schillaci sia ancora al suo posto.

La strategia politica di fondo è semplice quanto pericolosa: controllare Ispra significa infatti avere margine per orientarne i pareri, spesso vincolanti, in settori cruciali e potenzialmente conflittuali. Già durante la legislatura, la maggioranza ha tentato più volte di limitarne l’autonomia, con il Ministro Lollobrigida tra i più attivi in tal senso e con la Lega che spinge per limitare il peso e il valore scientifico dell’Istituto in materia di biodiversità, sulla caccia e sul consumo di suolo.

Va ricordato che Ispra è una agenzia tecnica dello Stato deputata al monitoraggio ambientale, alla ricerca applicata e alla valutazione degli impatti su aria, acqua, suolo e biodiversità. La sua autorevolezza deriva proprio dall’indipendenza scientifica: pareri e analisi tecniche e scientifiche guidano la valutazione d’impatto di grandi opere e infrastrutture, l’approvazione dei piani antismog, la gestione delle acque e della depurazione, la tutela della fauna. Per questo motivo mantenere una leadership tecnico scientifica politicamente imparziale rispetto al Governo non è un vezzo o un capriccio, ma una condizione essenziale per continuare ad averla operativa al 100% delle sue potenzialità e per poter affrontare la crisi socio-climatica e ambientale che stiamo vivendo e che è scomparsa, qualora fosse mai entrata, dall’agenda politica del Governo Meloni.

Purtroppo non è la prima volta che la destra va ad indebolire le realtà tecnico-scientifiche che si occupano di ambiente.

Emblematica, in negativo, rimane la Lombardia, dove a capo di Arpa c’è una negazionista climatica e come Direttore di Fondazione Lombardia per l’Ambiente è stata messo una persona assolutamente non competente in materia con simpatie per il mondo del negazionismo climatico e non solo.

Non ci aspettavamo certo una attenzione seria nei confronti delle questioni ambientali da parte di questa destra, ma nemmeno ci aspettavamo una strategia rivolta a indebolire e demolire gli enti fondamentali per affrontare le sfide che abbiamo di fronte.

Walter Girardi Cattaneo

L'articolo Il governo mette le mani sulla ricerca ambientale: un precedente gravissimo proviene da Possibile.

I pieni poteri che, nonostante le 25mila firme raccolte e il Giubileo di fatto finito, restano a Gualtieri e incontrano nel codice dei beni culturali uno tra i pochi autentici limiti.
Per questa ragione ieri abbiamo indetto il sit-in alla Soprintendenza Speciale di Roma.
Nell’incontro avuto a San Michele con la Capo Segreteria abbiamo rappresentato le nostre forti motivazioni e anticipato che avremmo provveduto a diffidare la Soprintendete se non fossero terminate le eventuali condotte omissive in relazione alle prerogative istituzionali calpestate da ultimo con i miseri 20 giorni dati per esprimere le posizioni degli enti nella conferenza farsa.
Tuttavia, quando, come in questo caso, c’è il coinvolgimento di autorità preposte alla tutela archeologico e paesaggistica, le conferenze di servizi devono svolgersi in 90 giorni per il loro svolgimento.
Non avendo ricevuto riscontri di alcun genere, nel primo pomeriggio l’Unione dei Comitati contro l’inceneritore ha diffidato la Soprintendente Daniela Porro informandone il Dipartimento per la tutela del patrimonio valorizzazione culturale nella figura apicale del capo dipartimento, soggetto preposto alla vigilanza.

30 dicembre 2025

✨ FESTA D'INVERNO della SCUOLA DI ITALIANO DALLA A ALLA ZAM ✨

ZAM - Milano, via Sant'Abbondio 4
(sabato, 10 gennaio 19:00)

La scuola di italiano Dalla A alla Zam non soffre il buio, il freddo né l’inverno: fa festa sempre 🧙✨!

🗓️Il 10 gennaio vi aspettiamo per una serata di autofinanziamento dell attività della scuolina.

Ci vediamo dalle 19.00 per una tombola fuori tempo massimo, chiacchiere e playlist pazze. Poi alle 20.30 cena insieme a prezzi popolari, per parlar male delle cene in famiglia e delle olimpiadi invernali. 🎯🥙

🎊Dalle 22.00 musica con:

22-00 @blumateria e @llinedj

00-2 @lollocat

Passate a ZAM per sostenere la scuola di italiano!!

Vi aspettiamo, ci trovate fino alle 2.00 am✨

puntello.org/event/sparkles-fe…