The Franck–Hertz experiment was a pioneering physics observation announced in 1914 which explained that energy came in “packets” which we call “quanta”, marking the beginning of quantum physics. Recently, [Markus Bindhammer] wrote in to let us know he had redone the experiment for himself.

In the original experiment a mercury vacuum tube was used, but in his recreation of the experiment [Markus] uses a cheaper argon tube. He still gets the result he is looking for though, which is quite remarkable. If you watch the video you will see the current readings clump around specific voltage levels. These voltage levels indicate that energy is quantized, which was a revolutionary idea at the time. If you’re interested in how contemporary physics regards, particles, waves, and quanta, check out this excellent presentation: But What Actually Is a Particle? How Quantum Fields Shape Reality.

Before closing we have to say that the quality of [Markus]’s build was exceptional. He made a permanent enclosure for his power supplies, made custom PCBs, used ferrule crimps for all his wire interconnects, included multiple power switches and dials, professionally labeled and insulated everything, and even went to the trouble of painting the box! Truly a first class build. One thing that surprised us though was his use of rivets where we would almost certainly have used bolts or screws… talk about confidence in your workmanship!

If you’re interested in quantum physics it is certainly a topic we have covered here at Hackaday. Check out Quantum Mechanics And Negative Time With Photon-Atom Interactions or Shedding Light On Quantum Measurement With Calcite.

youtube.com/embed/4ivK8oBjy3Y?…

hackaday.com/2025/06/17/a-diy-…

Siccome qui nel Fediverso siete un po' tutti matti con queste storie di diritti umani, ambiente, ecc. ecc. ( 😀 ) mi permetto di raccontarvi del mio telefono, nel caso vi interessasse.

E' un telefono fatto da un'azienda olandese, la #Fairphone appunto, con in testa l'idea della sostenibilità, sia a livello sociale che ambientale.

E' un telefono assemblato da persone che ricevono uno stipendio dignitoso, che lavorano in ditte che garantiscono diritti sindacali, non vengono coinvolti bambini, i materiali provengono da produttori che si impegnano per la sostenibilità ambientale delle loro attività, c'è molto materiale riciclato e infine è progettato in maniera modulare, in modo da poter essere riparabile e finire più tardi possibile in una discarica (si rompe la fotocamera? Vai sul sito ti compri il pezzo di ricambio, apri il telefono, togli la fotocamera vecchia e monti la nuova)

Ora... io non vi consiglio assolutamente di comprarlo, è un telefono "difficile" (nel senso che è fatto da una piccola azienda che non ha le possibilità di giganti come Samsung o Apple), costa un botto (a parità di prestazione da Mediaworld ne trovate che costano la metà ma del resto se vuoi pagare degli stipendi dignitosi ai lavoratori da qualche parte quei soldi dovranno venire fuori...), l'affidabilità non è proprio delle migliori (ma negli anni è aumentata molto) e se avete un problema il supporto tecnico vi risponde con due settimane di ritardo (però esiste una community dove si trova gente parecchio preparata e disponibile).

Detto questo, se siete di quei "woke" che mettono i diritti umani e l'ambiente davanti a tante altre cose forse questo telefono (che, ripeto, io vi sconsiglio di comprare) potrebbe interessarvi.

C'è anche una versione "de-googlizzata" che usa /e/OS.

Ha 5 anni di garanzia.

Se decideste di comprarlo poi non venite a dirmi che è colpa mia, io vi ho solo detto che esiste, non vi ho detto di comprarlo.

Fate circolare un po' il messaggio, magari a qualcuno dei vostri contatti interessa.

fairphone.com/

We are Fairphone

We make technology with a purpose—designed to last longer, perform better, and make a real impact. And we’ve been at it for more than a decade.

^Fairphone

We will be in Harvard Square at 6pm today, June 17th, to map surveillance cameras. Meet us at Cambridge Kiosk (former Out of Town News).

On Saturday, June 21st, we will be at the Boxborough Fifers Day. Tell us if you will help us at the table.

masspirates.org/blog/2025/06/1…

Considered by many to be just a dull output for sequential text, the command-line terminal is a veritable canvas to the creative software developer. With the cursor as the brush, entire graphical user interfaces can be constructed, or even a basic text-based dashboard on which values can be updated without redrawing the entire screen over and over, or opting for a much heavier solution like a GUI.

Ncurses is one of the most well-known and rather portable Terminal User Interface (TUI) libraries using that such cursor control, and more, can be achieved in a fairly painless manner. That said, for anyone coming from a graphical user interface framework, the concepts and terminology with ncurses and similar can be confusingly different yet overlapping, so that getting started can be somewhat harrowing.

In this article we’ll take a look at ncurses’ history, how to set it up and how to use it with C and C++, and many more languages supported via bindings.

Tools And Curses

The acronym TUI is actually a so-called retronym, as TUIs were simply the way of life before the advent of bitmapped, videocard-accelerated graphics. In order to enable more than just basic, sequential character output, the terminal had to support commands that would move the cursor around the screen, along with commands that affect the way text is displayed. This basic sequence of moving the cursor and updating active attributes is what underlies TUIs, with the system’s supported character sets determining the scope of displayed characters.

Ncurses, short for “new curses“, is an evolution of the curses library by Ken Arnold as originally released in 1978 for BSD UNIX, where it saw use with a number of games like Rogue. Originally it was a freely distributable clone of System V Release 4.0 (SVr4) curses by the time of its release in 1993, based on the existing pcurses package. Later, ncurses adopted a range of new features over the course of its subsequent development by multiple authors that distinguished it from curses, and would result in it becoming the new de-facto default across a wide range of platforms.

The current version is maintained by Thomas Dickey, and the ncurses library and development files are readily available from your local package manager, or downloadable from the ncurses website. Compiling and running ncurses-based application is straightforward on Linux, BSD, and MacOS courtesy of the libncurses and related files being readily available and often already installed. On Windows you can use the MinGW port, with MSYS2 providing an appropriate terminal emulator, as well as the pacman package manager and access to the same ncurses functionality as on the other platforms.

Hello Curses

The core ncurses functionality can be accessed after including the ncurses.h header. There are two standard extensions in the panel.h and menu.h headers for panel stack management and menus, respectively. Panels are effectively wrappers around an ncurses window that automate a lot of the tedious juggling of multiple potentially overlapping windows. The menu extension is basically what it says on the tin, and makes creating and using menus easier.

For a ‘hello world’ ncurses application we’d write the following:

This application initializes ncurses before writing the Hello World! string to both the top left, at (2, 2) and the center of the terminal window, with the terminal window size being determined dynamically with getmaxyx(). The mvprintw() and mvwprintw() work like printf(), with both taking the coordinates to move the cursor to the indicated position in row (y), column (x) order. The extra ‘w’ after ‘mv’ in the function name indicates that it targets a specific window, which here is stdscr, but could be a custom window. Do note that nurses works with y/x instead of the customary x/y order.

Next, we use attributes in this example to add some color. We initialize a pair, on index 1, using predefined colors and enable this attribute with attron() and the COLOR_PAIR macro before printing the text. Attributes can also be used to render text as bold, italic, blinking, dimmed, reversed and many more styles.

Finally, we turn the color attribute back off and wait for a keypress with getch() before cleaning up with endwin(). This code is also available along with a Makefile to build it in this GitHub repository as hello_ncurses.cpp. Note that on Windows (MSYS2) the include path for the ncurses header is different, and you have to compile with the -DNCURSES_STATIC define to be able to link.

Here the background, known as the standard screen (stdscr) is used to write to, but we can also segment this surface into windows, which are effectively overlays on top of this background.

Multi-Window Application

The Usagi Electric 1 (UE1) emulator with ncurses front-end.
There’s more to an ncurses application than just showing pretty text on the screen. There is also handling keyboard input and continuously updating on-screen values. These features are demonstrated in e.g. the emulator which I wrote recently for David Lovett’s Usagi Electric 1 (UE1) vacuum tube-based 1-bit computer. This was my first ever ncurses project, and rather educational as a result.

Using David’s QuickBasic-based version as the basis, I wrote a C++ port that differs from the QB version in that there’s no single large loop, but rather a separate CPU (processor.cpp) thread that processes the instructions, while the front-end (ue1_emu.cpp) contains the user input processing loop as well as the ncurses-specific functionality. This helps to keep the processor core’s code as generic as possible. Handling command line flags and arguments is taken care of by another project of mine: Sarge.

This UE1 front-end creates two ncurses windows with a specific size, draws a box using the default characters and refreshes the windows to make them appear. The default text is drawn with a slight offset into the window area, except for the ‘title’ on the border, which is simply text printed with leading and trailing spaces with a column offset but on row zero.

Handling user input with getch() wouldn’t work here, as that function is specific to stdscr and would foreground that ‘window’. Ergo we need to use the following: int key = wgetch(desc). This keeps the ‘desc’ window in focus and obtains the key input from there.

During each CPU cycle the update_display() function is called, in which successive mvwprintw() calls are made to update on-screen values, making sure to blank out previous data to prevent ghosting, with [url=https://linux.die.net/man/3/clrtoeol]clrtoeol()[/url] and kin as the nuclear option. The only use of attributes is with color and bold around the processor state, indicating a running state in bold green and halted with bold red.

Finally, an interesting and crucial part of ncurses is the beep() function, which does what it says on the tin. For UE1 it’s used to indicate success by ringing the bell of the system (inspired by the Bendix G-15), which here provides a more subtle beep but can be used to e.g. indicate a successful test run. There’s also the flash() function that unsurprisingly flashes the terminal to get the operator’s attention.

A Much Deeper Rabbit Hole

By the time that you find yourself writing an ncurses-based application on the level of, say, Vim, you will need a bit more help just keeping track of all the separate windows that you will be creating. This is where the Panel library comes into play, which are basically wrappers for windows that automate a lot of the tedious stuff such as refreshing windows and keeping track of the window stack.

Applications also love to have menus, which can either be painstakingly created and managed using core ncurses features, or simplified with the Menu library. For everyone’s favorite data-entry widget, there is the Forms library, which provides not only the widgets, but also provides field validation features. If none of this is enough for your purposes, then there’s the Curses Development Kit (CDK). For less intensive purposes, such as just popping up a dialog from a shell script, there is the dialog utility that comes standard on Linux and many other platforms and provides easy access to ncurses functionality with very little fuss.

All of which serves to state that the ground covered in this article merely scratches the surface, even if it should be enough to get one at least part-way down the ncurses rabbit hole and hopefully appreciative of the usefulness of TUIs even in today’s bitmapped GUI world.

Header image: ncurses-tetris by [Won Yong Jang].

hackaday.com/2025/06/17/a-gent…

Come abbiamo visto, è guerra informatica tra Israele ed Iran.

Dopo gli attacchi di Predatory Sparrow alla Bank Sepah, ora un gruppo che si fa chiamare APTiran, colpisce le infrastrutture di Israele. Si tratta di un collettivo di hacker criminali che avrebbe lanciato una significativa campagna informatica contro Israele, sostenendo di aver violato infrastrutture governative, accademiche e altre infrastrutture critiche.

Gli attacchi di APTIran ad israele

In una serie di post online, il gruppo ha citato il conflitto geopolitico in corso come movente, affermando che gli attacchi sono una ritorsione per le azioni militari israeliane. Le entità prese di mira, tra cui ministeri e università, sono fondamentali per la sicurezza nazionale e la società civile israeliana, rendendo le presunte violazioni una seria preoccupazione nazionale.

Abbiamo avuto accesso a molti sistemi del governo israeliano (non intendiamo rivelarlo, stiamo solo prendendo provvedimenti). Sulla base delle informazioni ottenute, anche i sistemi che in precedenza rispondevano tramite IP esterni a Israele risultano ora inaccessibili. Le esperienze passate dimostrano che in tali circostanze il regime sionista ha adottato una strategia in cui non sono disponibili sistemi e si limita ad adottare misure offensive, evitando una posizione difensiva. Sottolineiamo ancora una volta che dovreste astenervi dall’affidarvi a sistemi di accesso come Iran Access, perché abbiamo utilizzato direttamente i server del governo israeliano per sfruttare alcune vulnerabilità.

Il gruppo afferma di utilizzare attacchi ransomware distruttivi e “unidirezionali” con ceppi come ALPHV e LockBit, suggerendo che il loro obiettivo sia quello di causare disagi diffusi piuttosto che ottenere un risarcimento.

Gli aggressori avrebbero anche preso di mira server ospedalieri e sistemi del settore finanziario. Nell’ambito della loro campagna, gli hacker hanno minacciato di trasformare i dispositivi infetti di enti governativi e cittadini comuni in una rete “zombie” su larga scala.

Il gruppo avrebbe fatto trapelare enormi quantità di dati sensibili per corroborare le proprie affermazioni, tra cui:

• Oltre 350.000 credenziali di accesso per .gov.ili sistemi del governo israeliano ( ).
• Circa 300 database sarebbero stati sottratti dai server israeliani.
• Numerose credenziali di accesso per varie .ac.ilistituzioni accademiche israeliane ( ).

Sicurezza nazionale e timore di utilizzo di backdoor

APTIran rilancia l’allarme sulla sicurezza nazionale, evidenziando come, in un contesto di crescente instabilità cibernetica, l’utilizzo di tecnologie non prodotte da vendor affidabili rappresenti un rischio diretto per le infrastrutture critiche del Paese. In uno scenario da “teatro di guerra digitale”, ogni componente importata o sviluppata da soggetti esterni può diventare uno strumento di intrusione, controllo o sabotaggio da parte del nemico.

Il gruppo, noto per le sue attività di cyberspionaggio, sottolinea che recenti attacchi informatici contro infrastrutture israeliane potrebbero scatenare azioni di ritorsione su larga scala, e ribadisce quindi l’urgenza di isolare completamente le infrastrutture nazionali, anche quelle teoricamente su reti separate. APTIran esorta i funzionari governativi a non fare affidamento su reti, dispositivi o software che non siano interamente sotto controllo interno, per evitare che backdoor o falle nascoste vengano sfruttate da attori ostili.

Il messaggio si chiude con un richiamo netto: la protezione delle infrastrutture digitali non è solo un obbligo tecnico, ma un dovere pubblico e patriottico. In un’epoca in cui la sicurezza informatica coincide sempre più con la sicurezza dello Stato, la vigilanza e l’autosufficienza tecnologica diventano elementi centrali nella difesa nazionale.

Alla luce delle segnalazioni ricevute riguardo a diffusi attacchi informatici contro le infrastrutture del regime israeliano, esiste la possibilità di misure di ritorsione da parte del nemico. Pertanto, ancora una volta, esortiamo fermamente tutti i funzionari e i responsabili a isolare completamente le infrastrutture critiche del Paese, anche quelle situate su reti separate, e ad attuare con la massima serietà le misure di sicurezza necessarie. La sicurezza nazionale e la protezione delle infrastrutture critiche sono un dovere nazionale e pubblico. Grazie per la vostra collaborazione e vigilanza in questa importante questione.

Un messaggio minaccioso contro Albania e Stati Uniti

In un ultimo post sul suo canale ufficiale APTIran lancia un messaggio minaccioso e simbolico dopo l’attacco a Bank Sepah, paragonando la propria azione al colpo di un’aquila contro un passero – raro ma letale. Il gruppo avverte che anche Paesi come Albania e Stati Uniti restano nel mirino, criticando affermazioni di sicurezza “24/7” e invitando i dirigenti della banca a riflettere sulle conseguenze di una ricaduta. Il messaggio è chiaro: nessun bersaglio è scelto a caso, e le vendette saranno proporzionate al potenziale reale dell’obiettivo.

È raro che un’aquila cacci un passero; Ma quando ciò accade, è così decisivo e istruttivo che anche gli altri passeri intraprendono una traiettoria di volo.Paesi come l’Albania e gli Stati Uniti sono ancora nella nostra lista di obiettivi, quindi è consigliabile evitare esagerazioni e affermazioni infondate. Ogni obiettivo è definito in base al suo vero potenziale. In questo momento critico, abbiamo un messaggio rivolto ai dirigenti della Bank Sepah: una persona saggia non viene morsa due volte dallo stesso insetto. Per coloro che dichiarano di avere un monitoraggio 24 ore su 24, 7 giorni su 7, è meglio controllare esattamente in quali attività è coinvolta questa banca.

Il problema dell’attribuzione degli attacchi

Nel panorama delle guerre ibride contemporanee, il confine tra attori statali e non statali risulta sempre più sfumato. Gruppi come APTIran operano in un’area grigia, dove risulta difficile stabilire con certezza se le loro azioni siano direttamente controllate dai governi di riferimento o semplicemente tollerate, ispirate o sostenute indirettamente. Questa ambiguità strategica rappresenta uno degli strumenti più potenti della guerra informatica moderna.

L’attribuzione di un attacco cyber, oggi, è spesso un’operazione complessa e incerta. In un contesto come quello attuale, dove le tensioni geopolitiche sono elevate e l’uso di strumenti digitali è sistemico, l’abilità di un attore nel “non essere ufficialmente correlato” a un governo consente a quest’ultimo di negare ogni coinvolgimento diretto, evitando ripercussioni diplomatiche o militari. Questa dinamica permette ai governi di mantenere una posizione ambivalente: da un lato alimentano capacità offensive tramite gruppi “non ufficiali”, dall’altro negano ogni responsabilità pubblicamente.

È proprio questa incertezza ad alimentare il clima di instabilità e sfiducia a livello globale. L’impossibilità di attribuire con chiarezza le responsabilità consente alle operazioni cibernetiche offensive di proliferare senza conseguenze dirette, rendendo i sistemi critici – tanto civili quanto militari – vulnerabili. In un mondo dove l’identità digitale può essere mascherata, l’assenza di trasparenza diventa essa stessa un’arma, e la sicurezza nazionale si gioca sempre più sul terreno dell’ambiguità.

L'articolo E’ cyberwar tra Israele ed Iran! APTiran colpisce Israele e avverte sul pericolo delle backdoor proviene da il blog della sicurezza informatica.

On the desktop, most people use the official HTML and JavaScript-based client for Discord in either a browser or a still-smells-like-a-browser Electron package. Yet what if there was a way to use a third-party client and even run it on Windows XP, Windows 95, and NT 3.1? This is exactly what [iDontProgramInCpp] did with their Discord Messenger project.

Fortunately, as a web ‘app’ the Discord API is readily accessible and they don’t seem to be in a rush to ban third-party clients. But it did require a bit of work to add newer versions of TLS encryption to Windows XP and older. Fortunately OpenSSL still supports these older platforms, so this was not a major hurdle and Windows XP happily ran this new Discord client. That left porting to older Windows versions.

Most of the challenge lies in writing shims for API calls that do not exist on these older platforms when backporting software from Windows XP to older Windows versions, and GCC (MinGW) had to be used instead of MSVC, but this also was a relatively minor detail. Finally, Windows NT 3.1 was picked as the last challenge for Discord Messenger, which ran into MSVCRT runtime issues and required backporting features to the NT 3.1 version that was still part of the OS back then.

[MattKC] covers the project in a recent video, as well as the AeroChat client which targets Windows Live Messenger fans. Hopefully the API that allows these projects to operate doesn’t get locked down, as third-party clients like these bring their own unique advantages to the Discord ecosystem.

youtube.com/embed/wxdn30G2LE8?…

hackaday.com/2025/06/17/how-di…

Il gruppo di hacker Predatory Sparrow ha rivendicato martedì la responsabilità di un attacco informatico contro la Bank Sepah, uno dei più antichi istituti finanziari iraniani, legato al Corpo delle Guardie della Rivoluzione Islamica (IRGC) e all’esercito.

Il gruppo ha affermato di aver “distrutto tutti i dati” della banca.

L’emittente semi-ufficiale iraniana Fars riporta che i clienti hanno riscontrato problemi con la Bank Sepah a causa di un attacco informatico, dopo che un gruppo di hacker legato a Israele ha affermato di essersi introdotto nell’istituto e di averne interrotto le operazioni. Secondo il rapporto di Fars, i problemi riscontrati con Sepah potrebbero avere ripercussioni anche sulle stazioni di servizio che si affidano alla banca per elaborare le transazioni.

L’affermazione arriva in concomitanza con le segnalazioni di diffuse interruzioni delle attività bancarie in Iran. Martedì diverse filiali della Bank Sepah sono rimaste chiuse e i clienti hanno comunicato a Iran International di non riuscire ad accedere ai propri conti.
Distruzione dell'infrastruttura della Sepah Bank, affiliata al Corpo delle Guardie Rivoluzionarie Islamiche
Noi, i Predatory Sparrow, abbiamo distrutto tutti i dati della Bank Sepah in un'operazione informatica.

La Bank Sepah era un istituto utilizzato per aggirare le sanzioni internazionali e finanziare il terrorismo attraverso i conti correnti del popolo iraniano.

La Bank Sepah ha finanziato le forze armate per procura, i programmi missilistici e il progetto nucleare militare del regime.

Questo è il destino di un'istituzione dedita a preservare le fantasie terroristiche del dittatore.

Grazie agli amici patrioti che hanno reso possibile questo attacco.
Bank Sepah ( persiano : بانک سپه , Bānke Sepah ) è una banca iraniana . Fu fondata nel 1925 come prima banca iraniana. La sua prima filiale, a Teheran, aprì quello stesso anno. La banca ha anche filiali a Francoforte, Parigi e Roma, oltre a una sussidiaria, Bank Sepah International plc, a Londra. Sepah Bank ha recentemente unito altre quattro banche iraniane e un istituto di credito: Ansar Bank, Mehr Eghtesad Bank, Hekmat Iranian Bank, Ghavamin Bank e Kosar Credit Institution. L’app Omid Bank è un prodotto di Bank Sepah.

Bank Sepah ha 1.800 filiali in Iran e altre in Gran Bretagna, Francia, Germania e Italia. Gli Stati Uniti hanno imposto sanzioni a Bank Sepah nel 2019, dopo il suo ritiro dall’accordo nucleare iraniano del 2015. Gli utenti hanno anche segnalato che le carte emesse da Kosar e Ansar, entrambe collegate alle banche militari iraniane, non funzionavano. Anche Ansar era sottoposta a sanzioni statunitensi .

Le autorità iraniane non hanno rilasciato dichiarazioni sulle interruzioni o sull’attacco informatico. Tuttavia, l’agenzia di stampa Fars dell’IRGC ha affermato che il problema alla Sepah Bank sarà risolto entro poche ore. Predatory Sparrow, che in passato aveva rivendicato operazioni informatiche contro acciaierie e stazioni di servizio iraniane, ha affermato in un post sui social media che Bank Sepah era stata utilizzata per finanziare programmi militari e aggirare le sanzioni internazionali.

Il gruppo, che l’Iran ha precedentemente accusato di avere sostegno straniero, in particolare da Israele, ha affermato di aver preso di mira la banca per il suo presunto ruolo nel sostenere gli sforzi missilistici e nucleari dell’Iran.

L'articolo Cyberattacco shock in Iran: Gli hacktivisti di Predatory Sparrow colpiscono Bank Sepah proviene da il blog della sicurezza informatica.

Autori: Simone D’Agostino e Antonio Piovesan

Abbiamo spesso parlato di casi di vettori di attacco come e-mail/sms di phishing, siti abbeveratoio (watering hole) o altro riconducibile in generale a social engineering, quest’oggi invece vi parleremo di una nuova modalità che sfrutta una tecnologia nata da pochi anni e che si sta sempre più diffondendo.

Il 12 giugno 2025, Kaspersky GReAT ha pubblicato un’allerta riguardante una sofisticata campagna malware che sfrutta la crescente diffusione di modelli linguistici offline (Offline LLM) per colpire utenti Windows.Il malware, mai emerso prima, è stato denominato BrowserVenom: è progettato per intercettare il traffico web delle vittime, rubando credenziali e informazioni personali.

Ma la vera novità è appunto il vettore d’inganno: si presenta come una falsa versione installabile del noto LLM DeepSeek-R1.

Come funziona l’attacco

BrowserVenom si diffonde attraverso un sito fake che replica in modo credibile la homepage di DeepSeek-R1, uno dei modelli open-source più ricercati del momento, in grado di funzionare offline tramite strumenti come Ollama o LM Studio.

Catena d’infezione:

• L’utente cerca “DeepSeek R1” su Google;
• Clicca su un risultato pubblicitario o SEO manipolato;
• Apre una pagina che emula la UI ufficiale;
• Scarica un falso installer (che include Ollama o LM Studio contraffatti), al cui interno è incorporato anche BrowserVenom;
• Se l’utente dispone di privilegi di amministratore, il malware si installa e modifica i proxy dei browser.

Impatto tecnico

Una volta installato, BrowserVenom:

• Devia tutto il traffico web (HTTP/HTTPS) verso proxy remoti controllati dagli attaccanti;
• Intercetta dati di navigazione: cookie, credenziali, contenuti dei form, cronologia;
• Aggira Windows Defender mediante tecniche di evasione comportamentale;
• Persiste nel sistema modificando i file di configurazione proxy nei browser principali (Chrome, Edge, Firefox).

Analisi OSINT: come è emerso deepseek-r1.com

La nostra analisi OSINT indipendente ha individuato il dominio deepseek-r1.com come nodo centrale della campagna.
Partendo dalle tecniche descritte da Kaspersky — in particolare l’uso fraudolento del nome DeepSeek — è stato possibile, tramite monitoraggio SEO e analisi delle SERP, isolare il dominio compromesso.

Le SERP (Search Engine Results Pages) sono le pagine di risultati che i motori di ricerca mostrano all’utente quando effettua una ricerca per una certa parola chiave: al loro interno link e pagine web sono selezionati e ordinati tenendo conto della capacità dei contenuti di soddisfare l’intenzione di ricerca insieme ad altri fattori.

Il sito risultava posizionato nei primi risultati sponsorizzati o organici di Google, accanto a fonti legittime come Hugging Face o deepseek.com, sfruttando tecniche avanzate di SEO poisoning.

Cosa abbiamo scoperto

Il dominio deepseek-r1.com

• Il dominio deepseek-r1.com:
• Registrato a gennaio 2025 tramite Namecheap, con protezione privacy attiva;
• Hostato su IP 147.79.79.153 e 147.79.72.122, appartenente a un range Hostinger già associato ad attività sospette;
• Segnalato da 12 motori antivirus su VirusTotal come malware, infostealer o phishing (tra cui BitDefender, Fortinet, G-Data, Kaspersky).

Cos’è il SEO poisoning?

Il SEO poisoning è una tecnica in cui gli attaccanti manipolano i motori di ricerca per far apparire link fraudolenti accanto a contenuti legittimi.

Nel caso di deepseek-r1.com, il sito sfrutta:

• Iniezione massiva di keyword come “DeepSeek no login” o “Download GPT open source”;
• Sitemap ben strutturate e frequentemente aggiornate;
• Hosting su CMS ottimizzati (WordPress + CDN Hostinger);
• Probabile cloaking: contenuti differenti per i bot dei motori di ricerca rispetto agli utenti reali.

Il cloaking è una tecnica mediante la quale, grazie a particolari script, è possibile fare in modo che un sito web mostri ai motori di ricerca un contenuto differente da quello che realmente il sito stesso propone agli utenti fisici/ai visitatori, consentendo così di ottenere un migliore posizionamento all’interno delle pagine SERP.

Domini collegati: riflessioni e precauzioni

L’analisi ha evidenziato collegamenti tecnici e di referral tra deepseek-r1.com e altri domini:

• 8pixlabs.com: presente nei referral. Alcuni motori AV lo classificano come “malicious”, ma non vi sono elementi per attribuirgli un ruolo diretto nella catena d’infezione.
• ai-pro.org: linkato dalla falsa UI, presenta DNS Cloudflare e IP 172.67.38.167.
  È stato registrato nel 2022 via Moniker. La sua infrastruttura è menzionata in alcuni dump OSINT legati a traffico automatizzato o anomalo, ma non risulta flaggato al momento su VirusTotal.

Potrà avere vittime in Italia?

Ad oggi non risultano infezioni accertate in Italia, ma:

• Il sito è accessibile da IP italiani;
• È indicizzato su Google.it tra i risultati legittimi;
• Il file si scarica senza allarmi AV o blocchi DNS.

Indicatori di Compromissione (IoC)

• Dominio: deepseek-r1.com
• IP: 147.79.79.153 – 147.79.72.122
• CDN: Hostinger CDN
• CMS: WordPress 6.7.2
• Certificato TLS: ZeroSSL RSA, valido fino ad agosto 2025
• SHA256 (installer infetto): non pubblico, ma rilevato da almeno 12 AV

Conclusione

La campagna BrowserVenom sfrutta il boom dell’AI offline per colpire in modo silenzioso ma efficace.
Il dominio deepseek-r1.com, al centro della catena d’infezione, è stato scoperto dalla nostra redazione OSINT prima delle segnalazioni ufficiali.

L’indagine dimostra come campagne SEO ben orchestrate possano alterare i risultati di ricerca, convincendo l’utente ad affidarsi a strumenti, in questo caso di AI, manipolati per rubare credenziali o altre informazioni personali o sensibili.

L'articolo BrowserVenom, il malware che sfrutta DeepSeek per rubare dati. Può colpire anche in Italia? proviene da il blog della sicurezza informatica.

YOLO can mean many things, but in the context of [be_riddickulous]’s AI Talking Robot Dinosaur it refers to the “You Only Look Once” YOLOv11 object-detection algorithm by Ultralytics, the method by which this adorable dino recognizes colors and shapes to teach them to children.

If you’re new to using YOLO or object recognition more generally, [be_riddiculous]’s tutorial is not a bad place to get started. She goes through how many images you’ll need and what types to get the shape-and-color recognition needed for this project, as well as how to annotate them and train the model, either locally or in the cloud.

The project itself is an adorable paper-mache dinosaur with a servo-actuated mouth hiding some LEDs and a Raspberry Pi camera module to provide images. In operation, the dinosaur “talks” to children using pre-recorded voice lines, inviting them to play a game and put a specific shape, or shape of a specific color (or both) in its mouth. Then the aforementioned object detection (running on a laptop) goes “YOLO” and identifies the shape so the toy can provide feedback on the child’s choice via a speaker in the belly of the beast.

The link to the game code is currently not valid, but it looks like they used PyGame for the audio output code. A servo motor controls the mouth, but without that code it’s not entirely clear to us what it’s doing. We expect by the time you read this there’s good odds [be_riddickulous] will have fixed that link and you can see for yourself.

The only thing that holds this back from being a great toy to put in every Kindergarten class is the need to have a laptop close by to plug the webcam into. A Raspberry Pi 5 ought to have the horsepower to run YOLOv11, so with a little extra effort the whole thing could be standalone — there might even be room in there for batteries.We’ve had other hacks aimed at little ones, like a kid-friendly computer to relive the glory days of the school computer lab or one of the many iterations of the RFID jukebox idea. If you want to wow the kiddos with AI, perhaps take a look at this talking Santa plush.

Got a cool project, AI, kid-related, or otherwise? Don’t forget to toss us a tip!

hackaday.com/2025/06/17/robot-…

Una vulnerabilità nel modulo di recupero del nome utente legacy di Google permetteva di indovinare il numero di telefono completo associato a un account, conoscendo solo il nome visualizzato e parte del numero. Questa falla aumentava notevolmente il rischio di attacchi mirati, dal phishing al furto di SIM card.

La vulnerabilità è stata scoperta da un ricercatore con lo pseudonimo di BruteCat, divenuto famoso in precedenza per essere riuscito a violare gli indirizzi email privati ​​dei proprietari di account YouTube. Questa volta, ha trovato un modo per aggirare le restrizioni del modulo di recupero del nome utente di Google, progettato per browser senza supporto JavaScript. A differenza della versione attuale, il vecchio modulo non includeva meccanismi moderni di protezione contro le azioni automatiche e rimaneva accessibile alle richieste.

BruteCat notò che il modulo gli permetteva di scoprire se un determinato numero di telefono fosse associato a un account Google specifico, conoscendo il nome del profilo e parte del numero. Iniziò a inviare richieste POST, sostituendo diverse combinazioni, e riuscì ad aggirare con successo la limitazione di base sul numero di tentativi. Per riuscirci, utilizzò la rotazione scalabile degli indirizzi IPv6: grazie alle subnet /64, era possibile generare un numero virtualmente infinito di IP univoci senza attivare blocchi.

Il ricercatore ha anche trovato un modo per aggirare la protezione CAPTCHA assegnando un token BotGuard valido, ottenuto dalla versione JavaScript dello stesso modulo, al parametro “bgresponse=js_disabled”. Ha estratto questo token automaticamente utilizzando il browser Chrome headless, scrivendo uno script separato per la generazione.

Queste tecniche sono state utilizzate per creare uno strumento chiamato gpb, che ha forzato in brute force i numeri di telefono rispetto a pattern specifici di diversi paesi, utilizzando la libreria libphonenumber di Google stessa e un database predefinito di maschere. A una velocità di 40.000 query al secondo, ci sono voluti circa 20 minuti per trovare un numero completo negli Stati Uniti, 4 minuti nel Regno Unito e meno di 15 secondi nei Paesi Bassi.

Per avviare l’attacco, era necessario conoscere l’indirizzo email della vittima, ma BruteCat ha aggirato anche questo ostacolo. Ha creato un documento in Looker Studio e ha trasferito la proprietà dell’account della vittima.

Non restava che specificare il numero, e qui entrarono in gioco altri servizi. Ad esempio, quando si cerca di reimpostare una password su PayPal, si possono vedere più cifre di un numero di telefono di quante ne mostri Google: questo era sufficiente per restringere l’intervallo di valori possibili. Quindi BruteCat ha raccolto i numeri completi associati agli account e, secondo lui, nella stragrande maggioranza dei casi si trattava dei numeri di telefono principali dei proprietari.

I dati ottenuti hanno dato al ricercatore di sicurezza l’opportunità di effettuare attacchi mirati, dall’ingegneria sociale al furto di un numero di telefono tramite più operatori. Questo approccio è diventato particolarmente pericoloso se combinato con e-mail e altre fughe di notizie precedentemente divulgate.

Il ricercatore ha segnalato la vulnerabilità a Google il 14 aprile 2025. Inizialmente, l’azienda ha valutato il rischio come basso, ma un mese dopo, il 22 maggio, ha aumentato il livello di minaccia a medio e ha implementato misure di mitigazione temporanee. BruteCat ha ricevuto una ricompensa di 5.000 dollari per la sua ricerca.

Il 6 giugno, Google ha disattivato completamente la vulnerabilità, rendendo impossibile qualsiasi ulteriore sfruttamento. Tuttavia, non è ancora noto se questa tecnica sia stata utilizzata da qualcuno prima che la vulnerabilità venisse ufficialmente chiusa.

L'articolo BruteCat buca Google: scoperti numeri di telefono nascosti con un semplice script proviene da il blog della sicurezza informatica.

La Relazione Europea sulla Droga 2025: Tendenze e Sviluppi presenta l'ultima analisi dell'EUDA sulla situazione della droga in Europa. L’ #EUDA è l’Agenzia dell’Unione europea sulle droghe (European Union Drugs Agency). È un organismo dell’ #UE con sede a Lisbona, operativo dal 2 luglio 2024, che ha sostituito il precedente Osservatorio europeo delle droghe e delle tossicodipendenze.

Concentrandosi sul consumo di droghe illecite, sui danni correlati e sull'offerta di droga, la relazione fornisce una serie completa di dati nazionali su questi temi, nonché sui trattamenti specialistici per la tossicodipendenza e sui principali interventi di riduzione del danno.

Il report fornisce una panoramica aggiornata sulla situazione delle droghe in Europa fino alla fine del 2024, evidenziando tendenze e sviluppi rilevanti per le politiche e gli operatori del settore.

Offerta, produzione e precursori
La disponibilità di droghe illecite rimane elevata per tutte le sostanze. I dati del 2023 mostrano tendenze stabili nei sequestri e nei reati legati alla droga, con una produzione significativa e sequestri di precursori chimici.

Cannabis
È la droga illecita più consumata in Europa. I dati includono prevalenza d’uso, richieste di trattamento, sequestri, prezzo, purezza e danni associati.

Cocaina
Seconda droga più usata dopo la cannabis, con variazioni significative tra i paesi. Il report analizza uso, trattamento, sequestri, prezzo, purezza e danni.

Stimolanti sintetici
Comprendono amfetamina, metamfetamina e catinoni sintetici. L’analisi copre uso, trattamento, sequestri, prezzo, purezza e impatti sulla salute.

MDMA
Associata principalmente al contesto ricreativo e notturno. Il report esamina uso, sequestri, prezzo e purezza.

Eroina e altri oppioidi
L’eroina è l’oppioide illecito più usato e causa un notevole carico sanitario. La situazione evolve, influenzando le strategie di intervento.

Nuove sostanze psicoattive
Il mercato è dinamico, con nuove sostanze rilevate ogni anno. Include cannabinoidi sintetici, catinoni, oppioidi sintetici e nitazeni.

Altre droghe
LSD, funghi allucinogeni, ketamina, GHB e protossido di azoto sono usati in Europa. Il report analizza uso, sequestri, trattamento e danni.

Uso di droghe per via iniettiva
In calo negli ultimi dieci anni, ma ancora associato a gravi danni sanitari. Include dati su prevalenza e analisi dei residui nelle siringhe.

Malattie infettive correlate
Chi si inietta droghe è a rischio di infezioni come HIV ed epatiti B e C. Il report fornisce dati aggiornati su queste infezioni.

Morti indotte da droghe
Fondamentale per valutare l’impatto sulla salute pubblica. Include dati su overdose e sostanze coinvolte.

Trattamento con agonisti degli oppioidi
È il trattamento specialistico più comune per gli utenti di oppioidi. Il report analizza copertura, accesso e percorsi terapeutici.

Riduzione del danno
Comprende interventi per ridurre i danni sanitari, sociali ed economici. Include programmi con naloxone, stanze del consumo e trattamenti sostitutivi.

La pubblicazione è scaricabile qui edr-2025-full-book-6.06.2025-en.pdf

@Notizie dall'Italia e dal mondo