Un’inserzione pubblicata nelle scorse ore sul forum underground XSS ha attratto la mia attenzione: un gruppo chiamato HAXORTeam ha messo in vendita l’accesso alla rete interna di IIX (Israeli Internet eXchange), l’Internet Exchange ufficiale dello Stato di Israele. Prezzo richiesto: 150.000 dollari, pagabili in Monero o Bitcoin, con servizio di escrow incluso.

“Hack sensitive communications between Israeli government, institutions and influential organizations”
— HAXORTeam, XSS Forum, 13 maggio 2025

Nel post pubblicato alle 16:13 (UTC+3), il gruppo criminale descrive con orgoglio le potenzialità dell’accesso offerto:

• Intercettare comunicazioni sensibili di enti governativi, istituzioni e organizzazioni strategiche
• Deviare e manipolare il traffico per eseguire furto dati, sabotaggio o deployment di malware
• Condurre attacchi mirati su obiettivi israeliani
• Accedere a proprietà intellettuali, dati finanziari e risorse classificate
• Disintegrare servizi critici
• Facilitare il movimento laterale nella rete e nuove fasi di compromissione

Il post è firmato da un utente con nickname HAXORTeam, appena registrato (11 maggio 2025) ma già con punteggio di “reazione” pari a 11.

Perché un Internet Exchange è un bersaglio strategico

L’IIX non è un semplice nodo: è la spina dorsale della connettività nazionale israeliana. È l’infrastruttura tramite cui i principali ISP, enti pubblici e fornitori cloud si interconnettono per scambiarsi dati in modo diretto, veloce e resiliente.

Un attore con accesso privilegiato alla sua rete interna può:

• Manipolare routing BGP per indirizzare il traffico attraverso server malevoli
• Monitorare metadati e pattern di comunicazione
• Effettuare BGP hijacking su larga scala
• Isolare digitalmente il Paese con tecniche di “network partitioning”
• Impiantare persistent access in altri peer connessi, inclusi servizi cloud, CDN e DNS root israeliani

Perfetto, grazie per la precisazione. Integro ora un paragrafo chiaro e conciso basato sulla descrizione tecnica dell’IIX che hai fornito, con stile coerente al resto dell’articolo e orientamento tecnico-geopolitico.

IIX: il cuore della rete israeliana

L’Israel Internet Exchange (IIX), gestito dalla Israel Internet Association (ISOC-IL), è il principale punto di interconnessione tra i provider Internet israeliani con connessioni che vanno da 1 fino a 200 Gbit. È qui che gli ISP si “incontrano” per scambiarsi il traffico in modo diretto, senza passare per dorsali internazionali o cavi sottomarini. Una struttura essenziale per garantire latenza minima, risparmio economico e sovranità digitale.

Dal punto di vista tecnico, l’IIX è uno switch a Layer3 (routing) collocato nel data center sotterraneo Med-1, uno dei più grandi del Paese. Gli operatori che vogliono fare peering devono stabilire un collegamento fisico, nel rispetto delle policy definite dallo statuto IIX. Una volta connessi, il traffico tra i vari ISP israeliani può fluire in modo locale, senza deviazioni verso hub europei.

Precedenti storici: quando l’IXP diventa arma

Quello in vendita oggi non è un caso isolato. Gli Internet Exchange sono da anni un obiettivo privilegiato degli attori statali e dei gruppi APT, per le loro potenzialità di sorveglianza e sabotaggio.

• 2018 – DE-CIX Frankfurt: la Corte federale tedesca rivelò che l’intelligence USA, tramite la NSA, aveva cercato di intercettare massivamente il traffico passante per DE-CIX, il più grande IX europeo. Il caso sollevò un acceso dibattito politico sull’ingerenza estera nelle infrastrutture di rete.
• 2020 – Iran IXP: attacchi attribuiti a gruppi affiliati al Mossad e alla CIA avrebbero compromesso temporaneamente le tabelle di routing del principale IX iraniano, causando disservizi a cascata su provider locali. Nessuna rivendicazione ufficiale, ma una conferma implicita da parte di fonti militari israeliane.
• 2023 – Ucraina: durante i primi mesi della guerra, alcuni nodi IX secondari nella regione orientale vennero disattivati da remoto tramite accessi precedentemente compromessi, provocando isolamento digitale locale e interferenze su comunicazioni militari.

Questi episodi dimostrano che l’accesso a un IXP non è un semplice breach tecnico, ma una leva di potere strategico, utile per spionaggio, destabilizzazione e warfare digitale.

Il riferimento a target specifici ucraini nel post (citando “Ukraine intellectual property, financial or classified information”) suggerisce anche connessioni con attori filo-russi, o quantomeno una visione transnazionale dell’attacco, coerente con le tattiche dei gruppi APT sponsorizzati da stati.

Sebbene il prezzo di 150.000$ sia elevato risulta compatibile con l’interesse di soggetti avanzati (militari, intelligence, gruppi APT) disposti a pagare cifre alte per penetrare nodi di rilevanza critica.

In particolare, è plausibile che il venditore agisca come Initial Access Broker, ossia un intermediario che compromette infrastrutture e poi rivende l’accesso a gruppi più organizzati, capaci di monetizzarlo attraverso sabotaggi, intelligence o ransomware.

Questa annuncio rappresenta un precedente pericoloso: la compromissione di un Internet Exchange equivale a colpire il sistema nervoso digitale di una nazione. Non si tratta solo di un rischio teorico, ma di una minaccia immediata alla sicurezza nazionale e globale, con ripercussioni su intelligence, difesa e stabilità geopolitica.

In attesa di una risposta ufficiale dalle autorità israeliane o da ISOC-IL, resta una certezza: il cybercrime si sta evolvendo, e ora punta direttamente ai punti vitali dell’infrastruttura Internet globale.

L'articolo Israeli Internet Exchange compromesso: rischio sabotaggi e intercettazioni a livello statale proviene da il blog della sicurezza informatica.

Stipendi ridotti ai neoassunti e ai precari, organici della redazione del Tg insufficienti dopo i numerosi pensionamenti, carriere e retribuzioni bloccate da troppi anni e lontane da quelle delle altre tv nazionali, nessun piano di sviluppo e investimenti: accade a La7 nonostante gli ottimi dati di bilancio e gli straordinari risultati di ascolto, spinti proprio dai Tg e dai programmi di informazione e dalla crescita su tutte le piattaforme, che trainano l’intero gruppo editoriale.

L’assemblea dei giornalisti de La 7 chiede all’azienda e al Direttore il riconoscimento concreto dell’impegno della redazione attraverso i corretti strumenti del CNLG e degli accordi integrativi aziendali, l’adeguamento degli organici e degli stipendi dei neoassunti, un piano per la stabilizzazione dei colleghi precari, progetti editoriali chiari e regole per favorirne lo sviluppo.

L’assemblea conferma al Comitato di redazione il pacchetto di tre giornate di sciopero già assegnatogli.

Documento approvato dall’assemblea dei giornalisti de La7 con un solo astenuto, nessun voto contrario.

dicorinto.it/associazionismo/a…

Negli ultimi anni l’attenzione politica si è ampliata al di fuori dei confini nazionali dei diversi stati. Dall’oramai superata pandemia causata dal COVID-19 e la (ri)nascita dei diversi conflitti nelle diverse parti del mondo hanno ampliato l’informazione pubblica portando sul tavolo le dichiarazioni e decisioni a livello sovranazionale.

L’Unione Europea ha ricevuto molta copertura mediatica negli ultimi anni si pensi all’AI ACT e tutte le discussioni portate sul tema intelligenza artificiale ed il GDPR nell’ambito della protezione dei dati. Al di fuori delle misure designate all’industria digitale è stata molta sentita l’iniziativa ReArm Europe [1] sia tra i favorevoli che tra gli oppositori a tale progetto.

Questo scenario non può che essere considerato estremamente positivo dove le diverse discussioni vengono messe su un piano multigiurisdizionale su decisioni che altresi, se affrontati autonomamente dai singoli stati, risulterebbero complesse e poco aderenti ad un percorso comune.

Questo articolo vuole affrontare principalmente 2 prese di posizione della Commissione Europea (con una digressione iniziale in ambito Italia) andando a discuterne nel merito. L’intero contenuto si attiene (per quanto possibile) al principio di carità senza voler assumere una sorta di malizia nelle istituzioni che verranno citate.

Tutte le situazioni proposte verranno discusse in quanto rischio (e se attuate, minaccia) al diritto della privacy e al (pseudo)anonimato in ambito digitale e di come è stato gestito il contrapeso in relazione alla sicurezza o tutela di determinate categorie.

Ricordiamo che la privacy è considerato un diritto fondamentale nell’articolo 12 della Dichiarazione Universale dei Diritti Umani [2] e articolo 17 Patto Internazionale sui Diritti Civili e Politici (1966)[3] e ci si aspetta che tale diritto venga tutelato da parte di quei paesi (Italia ed Europa inclusi) che fanno della democrazia il loro perno politico.

Ovviamente sta al singolo decidere che valore dare a tale diritto ma quando una istituzione forza in maniera unilaterale misure che mettono a rischio il rispetto di quest’ultimo è come minimo necessario portare l’attenzione sul tema.

AGCOM – L’erotismo non ha identità

L’ AgCom ha rilasciato, nella giornata del 18 Aprile 2025, un comunicato stampa riguardante le linee guide sulla verifica dell’età degli utenti di “piattaforme di video sharing e i siti web” [4] alla quale i fornitori si dovranno adeguare entro 6 mesi dalla pubblicazione della delibera. Attenendoci alle dichiarazioni pubblicate il sistema di verifica dell’età si baserà su 2 passaggi “logicamente distinti” con 3 attori principali : utente, fornitori di servizi e un terzo ente indipendente.

L’utente dovrà identificarsi all’ente terzo che validerà la sua data di nascita (eg:/ definire se utente minorenne o meno) dopodichè per poter iniziare una sessione sul servizio il fornitore dovrà richiedere una convalida da parte del terzo ente.

Non vengono citati nessuno di questi “soggetti terzi indipendenti certificati” ne tantomeno come viene costituito il processo di verifica ma solamente i criteri che verranno presi in considerazione tra i quali:

• Proporzionalità
• Protezione dei dati personali
• Sicurezza Informatica
• Precisione ed Efficacia

Tale processo viene descritto da AGCOM come meccanismo di “doppio-anonimato” ma ci permettiamo di definire tale affermazione come molto fuorviante. Se il terzo ente deve avere la mia identità di base l’anonimato viene meno nonostante il fornitore di servizi non abbia conoscenza diretta se non l’età dell’utente. A voler essere piu’ precisi, il processo di convalida è il contrario di un meccanismo di “doppio-anonimato” che va anzi ad aggiungere artefatti per il tracciamento degli utenti. tale principio deve essere cristallino e spiegato agli utenti (la quale AGCOM si impegna a tutelare) senza mezzi termini.

Ad essere pignoli non è stata neanche data una definizione di cosa si ritenga un rischio o un pericolo per il minore (ci si è limitati all’equazione visione di contenuti pornografici = danno), si potrebbe facilmente argomentare che una modella postando foto in lingerie linkando il suo profilo OnlyFans nella descrizione sia piu’ dannoso per individui minorenni di un video con atti sessuali reperibile su PornHub.

Nonostante la scadenza relativamente breve entro la quale i fornitori di servizi dovranno adeguarsi per poter operare nei confini italiani non è ancora chiaro come dovrà avvenire la identificazione degli utenti (eg:/ SPID, foto carta identità). Questa non chiarezza lascia abbastanza perplessi vista una consultazione pubblica a riguardo iniziata nel 2024 [5] ma si può presuporre che si tratti di una lacuna comunicativa sul comunicato attuale e che dovremo aspettare la pubblicazione della delibera per maggiori informazioni a riguardo.

Come oramai risaputo queste linee guida hanno uno scopo preciso ovvero “garantire una protezione efficace dei minori dai pericoli del web”, non a caso ciò è un’estensione della legge 159 del 13 novembre 2023 (“Decreto Caivano”) a realtà come siti di scommesse e gioco d’azzardo ponendo i fornitori stessi come responsabili della verifica dell’età della loro utenza.

Nessuno vuole (e deve) affermare che visione di materiale pornografico non sia un rischio (ovviamente con il giusto grado di gravità) in particolare per utenti minorenni. Sono diversi gli studi sul tema quali Problematic Pornography Use: Legal and Health Policy Considerations [6] che va ad analizzare come la visione di pornografia online sia terreno fertile per lo sviluppo della PPU (Problematic Pornography Use) e di come non importi quanto materiale venga visionato ma in quale condizione dello sviluppo cerebrale avviene e in che modalità. Lo studio intitolato Pornography Consumption and Cognitive-Affective Distress ha ricercato le diverse distorsioni causate da un uso eccessivo di materiale pornografico portando a diversi problemi relazionali e la creazione di disfunzioni mentali future.

Proprio perchè siamo ben consci del rischio possiamo permetterci di affermare che tale linee guida non sono per nulla efficaci al problema che si vuole risolvere. La facilità di raggiramento a questo tipo di misure è oramai una ovvietà che è però presente e non va ignorata, per considerare “efficace” una misura deve come minimo essere robusta ai diversi strumenti di raggiro. In caso contrario si ottiene solo una soluzione non al passo coi tempi portando ad un nulla di fatto se non spreco di tempo e risorse alle istituzioni pubbliche.

Ma escludendo questa sfumatura dal discorso assumiamo che l’idea di AGCOM riesca nel suo intento, il risultato non sarebbe una percentuale inferiore di minorenni che usufruiscono di materiale a luci rosse ma bensi l’allontanamento di questo tipo di utenti da canali “leciti” che offrono questo tipo di materiale. Piattaforme come PornHub, XVIDEOS, YouPorn e similari sono stati messi immediatamento sotto i riflettori non appena annunciata la verifica dell’età. Ricordiamoci che tali siti hanno dei controlli e codici di condotta nella pubblicazioni di contenuti andando a punire e segnalare potenziali divulgazioni illecite.

Queste piattaforme (con oramai milioni di utenti annuali) cercano di limitare revenge porn o divulgazione non consensuale mantenendo un ambiente sex positive e principalmente ludico per i suoi utenti dove, nonostante l’enorme varietà di contenuti, non sarà mai terreno fertile per contenuti di violenza, abusi o similari.

Esistono realtà molto piu’ pericolose (alla quale bisognerebbe dare la priorità) che non hanno l’interesse ad adeguarsi a qualsivoglia normativa o bypassandole sfruttando piattaforme di per se neutre (vedasi Telegram). Parliamo di canali/gruppi che si possono trovare tranquillamente su Telegram, siti alternativi con meno restrizioni sui contenuti caricati o qualsiasi altro luogo che incentiva lo scambio di materiale tra utenti. Questi ambienti vanno contrastati non solamente con norme e regole ma con vere e proprie operazioni sul campo che devono essere continue e supportate dalle giuste risorse. Andare a forzare l’accesso tramite verifica dell’età nei modi proposti da AGCOM rischiano di far avvvenire uno shift pesante di minori su piattaforme con meno controllo sui contenuti. Inoltre materiale “estremo” o meno può essere facilmente reperibile su Google Images [7], la soluzione sarebbe richiedere verifica dell’età per determinate query su un motore di ricerca? X/Twitter permette tranquillamente foto e video di nudo, anche questa piattaforma deve essere soggetta a tale misura?

In un mondo ideale nessuno vorrebbe che dei minori (in particolare con età

Senza l’ausilio di mezzi termini, dobbiamo accettare che se un minore vuole accedere a contenuti pornografici lo farà a discapito delle barriere imposte. Allo stesso modo bisogna capire che la pornografia offerta come esperienza ludica può essere sicuramente origine di diversi problemi sulla persona ma i danni sono estremamente minori di altri metodi di condivisione di materiale.

Il rischio di avere un aumento di pubblico in ambienti dove il revenge porn è sdoganato, lo scambio di materiale tra diversi utenti incensurato e un controllo assente di questo tipo di contenuti è relativamente maggiore di un uso svogliato sui siti porno tradizionali e questa misura porterà solamente a una maggiore frequentazione di aree molto opache. Non solo non è una misura efficace come pianificato dall’AGCOM ma potrebbe persino peggiorare la situazione avendo meno monitoraggio, e quindi meno controllo, sul fenomeno.

Avendo questa base possiamo proseguire con il prossimo punto ovvero sulla proporzionalità. Fino a che punto possiamo modificare libertà altrui per la tutela di un sottoinsieme di utenti online?

Il solo porre questa domanda può far sembrare una persona come insensibile agli occhi altrui quando in realtà è segno di pragmaticità unito al bilanciamento di costi-benefici. È necessario analizzare il problema in maniera fredda senza scadere in un semplice “ed i bambini?” creando una “plot armor” senza una vera e propria argomentazione.

In primo luogo si può facilmente risalire a diversi tentativi della politica nel portare misure simili anche al di fuori di siti pornografici o di gambling (ne abbiamo discusso in un articolo precedente [8]) mettendo a dura prova il principio di carità con la quale abbiamo iniziato l’articolo. Le motivazioni portate sono tra le piu’ varie ma si ricade sempre nella tutela dei minori o nel contrasto all’abuso dell’anonimato da parte di persone che performano hate speech su diversi canali social.

Qualsivoglia stato proponga questo tipo di regolamentazione crea un precedente che minaccia il libero uso di internet ampliando la possibilità di schedare e monitorare anche alle istituzioni governative rendendole di fatto parte all’interno del threat model di chi decide di valorizzare il proprio diritto alla privacy e/o anonimato. Uno stato Europeo dovrebbe tutelare tale diritto e non esserne nemico. Togliere anche solo parte di questo diritto non risolverà il problema dell’hate speech o del razzismo ma diminuirà l’accesso libero a determinati individui di interagire con parte della rete.

Tornando alla pornografia il discorso non si discosta di molto e non dobbiamo trovare una situazione nella quale qualcuno non vuole far sapere ad un ente terzo la sua frequentazione piu o meno assidua di siti per adulti, se un individuo vuole visitare determinati siti senza farlo sapere a qualche ente o persona questa sua volontà deve essere rispettata.

Per essere il piu’ schietti possibile il rispetto di questa volontà non può essere di fatto denigrata per negligenza da parte di chi dovrebbe davvero tutelare i minori. Non dimentichiamoci che la responsabilità diretta nel tutelare i minorenni a contenuti non adatti a loro (eg:/ pornografia e gioco d’azzardo) è del loro genitore/tutore. Se davvero il problema sta nella frequentazione continua di tali contenuti da parte di minorenni dobbiamo chiederci come sia possibile un’utilizzo incontrollato dell’internet.

Togliendo persone con un’età avanzata (>60 anni) oramai chiunque è a conoscenza della facilità nel reperire qualsivoglia video o immagine con un semplice motore di ricerca. Ma allo stesso tempo è anche oramai vero che tutti i dispositivi possono essere facilmente configurati per implementare misure di parental control che possono prevenire la visione di determinati contenuti (o al piu’ notificare il genitore contenuti inappropiati visionati sul dispositivo del figlio).

Alla luce dell’ovvio, perchè sembra un’oltraggio dare la giusta responsabilità a chi responsabile non lo è? In aggiunta, perchè mai la non adeguata preparazione (o totale/parziale disinteresse) da parte dei tutori dovrebbe risolversi con una misura come quella proposta da AGCOM?

Non c’è nessuna proporzionalità in questo. Uno stato non dovrebbe aderire alle responsabilità di un tutore andando a limitare libertà di tutti indiscriminatamente, specialmente se si tratta di privacy/anonimato in ambito internet. Il semplice fatto che sia necessario un documento di identità per poter accedere a qualsivoglia risorsa online è una limitazione (per chi non lo ha, non vuole cederlo o li viene rimossa la possibilità i accedere secondo le regole imposte da AGCOM) e come tale va ponderata con estrema attenzione e, sopratutto, adeguatamente giustificata prima di attuarla.

Come gia detto ad inizio sezione, si è consci dei rischi sull’utilizzo della pornografia dei minorenni e proprio alla luce di questo si richiede che vengano trovate soluzioni veramente efficaci andando a studiare il problema in maniera analitica sul perchè e sul come tali contenuti sono cosi liberamente accessibili ai piu’ giovani. Proprio per questo si dovrebbe chiedere di responsabilizzare i genitori in maniera adeguata e in caso di spiegarli come attuare in maniera pratica la tutela che viene richiesta per questo tipo di utenti.

È una soluzione “efficace” al 100%? Assolutamente no. È meglio delle misure che vanno a limitare diritti altrui? Lasciamo al lettore la risposta.

Lascia molto perplessi il tipo di comunicazione su questo tipo di regolamentazioni. Vengono vendute come la soluzione finale per la risoluzione di problemi che possono essere risolti in maniera (al piu’) sommaria con il solo appoggio della creazione di leggi. In parallelo si sta cercando di (ri)sdoganare l’argomentazione “se non hai nulla da nascondere non dovresti preoccuparti” (già adeguatamente analizzata in un articolo precedente [9]).

Tornando sul tecnico ci sono diversi aspetti della comunicazione AGCOM che dovrebbero come minimo essere chiariti se (proprio) si vuole attuare un meccanismo di age verification come quello proposto.

1. Non sono stati spiegati i processi e/o criteri per definire un ente terzo “certificato” e quindi valido per la verifica dell’età. Bisogna che vengano spiegati ai consumatori diversi aspetti quali la durata della retenzione dei dati (ed esattamente quali).
2. Il meccanismo “doppio-anonimato” è spiegato in maniera accettabile ma non è ben chiaro se un’istituzione o organo governativo può in qualunque maniera accertare se un determinato individuo ha ceduto la sua identità ad un “terzo ente certificato”.
3. Come verrà giudicata sufficente la sicurezza informatica di un “terzo ente certificato”? Sono previsti degli assesment (se si quali) da parte di enti nazionali (eg:/ ACN, AGCOM) o basterà la certificazione da aziende private? Inoltre tale requisito verrà controllato ad inervalli regolari o solamente prima di ricevere la “certificazione”. Data la natura dei dati si ritiene consono una spiegazione approfondita sul tema.
4. Perchè non è stato considerato un sistema di Age Verification direttamente sul device e come una misura che prevede di cedere la propria identità digitale a terzi sia stata considerata piu’ valida rispetto alle alternative.
5. Per verificare la pluralità di opinioni all’interno del processo di decisione, iniziato oramai nel 2024, ci si auspica di sapere quali sono stati i 13 soggetti che hanno partecipato alla consultazione pubblica.

Prima di lasciare questa sezione “calda” ci teniamo a precisare che nessuno vuole condannare i genitori/tutori di minori che sono entrati in contatto con materiale pornografico online, tutt’altro. Avere tale ruolo in un mondo digitalizzato ha le sue sfide che non vanno sottovalutate ma allo stesso tempo non vanno delegate ad altri soggetti. Purtroppo ricadere nei soliti luogi comuni senza avere un approccio proattivo che tenda almeno a mitigare o rendere difficile specifici comportamenti (sia subiti che attuati) su internet (eg:/ visione di materiale pornografico, hate speech, bullismo) risulta essere la maniera piu’ facile ma non piu’ efficace. È comprensibile come parte dell’utenza online trovi plausibile una misura simile ma chiediamo a questi ultimi di informarsi quali ripercussioni tali misure possano avere ad un livello piu’ ampio.

Non avendo una preparazione adeguata, siamo aperti ad ospitare (in qualsiasi forma) esperti nel settore che possano proporre diverse misure del problema e soprattutto di darli la giusta magnitudo senza destare un panico ingiustificato e che non limitino diritti fondamentali sulla quale si basa il sistema sociale della quale facciamo parte.

ProtectEU – Non esistono backdoor buone, non esistono backdoor cattive

Dopo questo breve zoom sul bel paese possiamo spostarci a livello macro, cosa succede in Unione Europea? Come detto in precedenza si è spesso parlato di GDPR ed AI Act cercando di regolamentare diverse realtà in ambito digitale a protezione dei cittadini di questa enorme comunità (e mercato economico). Come detto nell’introduzione, buona parte dell’attenzione dei cittadini appartenenti ai 27 membri dell’EU è stato il progetto ReArm Europe (o Readiness 2030), un progetto che mira ad aumentare la spesa militare dell’unione motivata principalmente dal conflitto Russo-Ucraino che compie oramai piu’ di 3 anni.

Al di fuori delle minacce esterne l”EU sta sviluppando diverse misure per la protezione interna da diverse realtà criminali di rilevanza secondo l’EU.
fonte European Commission
Dopo diverse istanze e discussioni parlamentari, la commissione europea ha annunciato una road-map ad hoc per aumentare la protezione, mitigazione e contrasto di minacce interne su diversi livelli. tale progetto è stato denominato “ProtectEU – the European Internal Security Strategy” [10] con la sua prima apparizione pubblica tramite un documento pubblicato il 1 Aprile 2025.

Dopo aver letto il documento, le FAQ allegate [11] e le dichiarazioni di Henna Virkkunen (Executive Vice-President for Tech Sovereignty, Security and Democracy) sul tema [12] abbiamo diverse perplessità da mostrare al nostro pubblico riguardo alla crittografia e accesso da parte delle forze dell’ordine ad informazioni cifrate.

Iniziamo con il cosa ha destato perplessità nello specifico. All’interno del documento (fonte 10) abbiamo diverse affermazioni sugli obbiettivi a riguardo tra cui:

1. […] The Commission will present in the first half of 2025 a roadmap setting out the legal and practical measures it proposes to take to ensure lawful and effective access to data. In the follow-up to this Roadmap, the Commission will prioritise an assessment of the impact of data retention rules at EU level and the preparation of a Technology Roadmap on encryption, to identify and assess technological solutions that would enable law enforcement authorities to access encrypted data in a lawful manner, safeguarding cybersecurity and fundamental rights.
2. present a Technology Roadmap on encryption to identify and assess technological solutions to enable lawful access to data by law enforcement authorities in 2026.
3. Around 85% of criminal investigations now rely on law enforcement authorities’ ability to access digital information.

Il messaggio è abbastanza chiaro, l’EU vuole attuare de-facto una backdoor alle diverse tecnologie che offrono canali crittografici ai loro utenti con una promessa di mantenere integra la sicurezza dei cittadini. Per iniziare partiamo dal punto 3 della lista soprastante riguardo a quel 85% citato anche dalla stessa Henna Virkkunen. Non è stato ben chiarito come si è arrivato a tale percentuale ma la fonte citata nel documento riporta ad un ulteriore documento (2019) intitolato “Recommendation for a COUNCIL DECISION authorising the opening of negotiations in view of an agreement between the European Union and the United States of America on cross-border access to electronic evidence for judicial cooperation in criminal matters” [13] dove viene semplicemente presentato il dato ma con un ulteriore dettaglio.

More than half of all criminal investigations today require access to cross-border electronic evidence. Electronic evidence is needed in around 85% of criminal investigations, and in two-thirds of these investigations there is a need to obtain evidence from online service providers based in another jurisdiction.

Facendo breve ricerche si può trovare un “Working Document” datato 2018 sempre riguardo le evidenze digitali, il dato si basa sulle richieste di accesso a stati non EU, questo rende l’affermazione “[…] 85% delle investigazioni richiede accesso alle evidenze digitali” molto fuorviante e poco “onesto” da parte di una istituzione come la commisione europea. Piu’ nel dettaglio riguarda specificamente richieste di tipo giudiziaro (“judicial”) dove il 25% sono effettivamente richieste negate ed il 45% di una mancanza di conferma in maniera tempestiva.

Non si tratta di semplice pignoleria ma di una richiesta di offrire le informazioni in maniera corretta al fine di evitare di “forzare” i dati per giustificare qualsivoglia misura. Nello stesso documento si evince l’85% delle investigazoni che necessitano (in maniera rilevante) accesso a evidenze digitali ma solamente di investigazioni cross-border (fuori dai confini) dove nel 65% dei casi è necessario di una richiesta ad accesso ai dati.

È quindi inspiegabile delle dichiarazioni di Henna Virkkunen e chi ha redatto le FAQ riguardo ProtectEU.

Inoltre tali numeri sono inflazionati da 3 stati dell’EU che formano il 75% delle richieste totali : UK, Francia e Germania. In aggiunta il 70% delle richieste totali sono state inviate a Google e Meta (all’epoca Facebook).

Nel documento citato si possono trovare le diverse tabelle per ogni stato in maniera tale da potersi fare un’idea dei numeri “crudi”, l’unica pecca è che non sono diversificate le richieste all’interno ed all’esterno dei confini EU o degli stati singoli. Inoltre bisognerebbe approfondire come sono state svolte le richieste e/o se erano presenti adeguate prove a motivare l’accesso ai dati ma anche assumendo tali richieste siano 100% motivate le affermazioni rimangono fuorvianti.

Al di là delle dichiarazioni e delle diverse percentuali mostrate cerchiam di ragionare sul fulcro del discorso: accesso da parte delle forze dell’ordine a dati cifrati. Che esse siano comunicazioni, backup di dati o metadati (molto sottovalutati, non tutti hanno chiaro il concetto del “We kill based on metadata” [14]) l’EU sta programmando di dare accesso in chiaro tenendo conto degli aspetti legislativi e di sicurezza.

La base delle diverse argomentazioni contro tale misura si basano fondamentalmene su 2 precisi aspetti :

• Backdoored encryption is NOT Encryption = La base della crittografia è mantenere l’accesso delle informazioni solamente a 1 o piu’ parti by design. Se un terzo attore ha la capacità di poter rompere la segretezza delle informazioni volutamente protette non si sta piu’ parlando di crittografia.
• Una backdoor è semplicemente una backdoor = In qualunque maniera venga presentata la aggiunta di una backdoor non cambia la natura dello strumento : accesso libero senza la necessità di informare il proprietario dei dati. Non si tratta solamente dell’oramai inflazionato “uno strumento viene definito dal suo uso” ma di una aggiunta di un canale che mette a rischio la sicurezza degli utenti. A quanto pare abbiamo ancora molto da imparare dal breach dei sistemi CALEA degli US da parte di APT cinesi [15]. Per proteggersi dalle minacce bisogna comprendere che creare delle finestre di accesso come queste aumenta il rischio e non il contrario.

L’EU deve assolutamente confrontarsi con la community della sicurezza informatica in Europa per poter comprendere fino in fondo perchè tale misura non è una buona idea. La crittografia non è negoziabile, 39 organizzazioni e 43 esperti hanno pubblicato una lettera aperta alla Commissione Europea a riguardo [16] e ci auguriamo che venga ascoltati adeguatamente se davvero si vuole valutare la sicurezza dei cittadini.

Assumendo il principio di carità anche in questo caso, i governi cambiano e con loro anche l’utilizzo dei diversi strumenti presenti in precedenza. Come la Russia è cambiata[17], come l’USA sta cambiando [18][19] anche l’Europa può cambiare e non possiamo permettere che in tali scenari un qualsasi governo o corpo politico abbia la possibilità di rompere la crittografia dei cittadini. Dobbiamo porre molta attenzione alle cattive intenzioni ma ancora di piu’ a chi a tali misure presentate con le migliori intenzioni.

Ovviamente la domanda (lecita) piu’ comune sarà : quale è l’alternativa per contrastare chi effetua crimini con il supporto della crittografia?

Per rispondere, nei limiti delle nostre conoscenze, è importante sottolineare come non esistano silver bullets (no, neanche una backdoor governativa può fermare diversi abusi perpetuati online), ciò richiede implicitamente sforzi combinati tra diverse specializzazioni ed un potenziamento delle forze dell’ordine sotto diversi aspetti (fortunatamente, ProtectEU prevede il potenziamento dell’Europol).

• Studio e monitoraggio dei metadati = Con le giuste capacità e raccolta di questo tipo di informazioni è possibile tracciare l’origine di diversi abusi senza la necessità di rompere la crittografia.
• E2E User Reporting = Sono diversi gli studi che esplorano diversi strumenti che possono essere utili nel reportare utenti fraudolenti in ambienti End2End Encrypted. Tra questi il paper CDT intitolato “Approaches to Content Moderation in End-to-End Encrypted Systems” [20] offre diverse possibilità pratiche a riguardo. Ciò che è necessario è (1) creare uno schema legislativo adatto per far si che i provider e le forze dell’ordine riescano ad investigare partendo dai report degli utenti e (2) trovare misure per incentivare gli utenti a reportare quando necessario.
• Fully Homomorphic Encryption [21][22] = Questo tipo di crittografia permette di eseguire analisi di dati criptati senza la necessità di avere accesso al plaintext. Una tecnologia a tratti sorprendente ma che non ha ricevuto la giusta attenzione dai policy maker. Bisogna supportare la ricerca a riguardo e spingere i diversi service provider e forze dell’ordine ad adottare questo tipo di crittografia.

Ovviamente le proposte di cui sopra (che non sono le uniche ne tantomeno le migliori) richiedono risorse e training da parte di tutti gli attori coinvolti e si potrebbe contro argomentare che una backdoor “legale” sia piu’ ecnomica e “facile” da usare. A questo non c’è una soluzione e l’unica cosa che si può controbattere è che la sicurezza, la privacy e la libertà hanno un costo che deve essere preso a carico (senza scorciatoie) dalle istituzioni che devono tutelare tutti e 3 questi aspetti della società.

Per chi avesse sufficente conoscenza delle scelte in ambito EU sul tema crittografia si ricorderà sicuramente la proposta di legge etichettata come “Chat Control”[23] che dava non solo accesso a comunicazioni cifrate ma permetteva la scansione di queste. La motivazione principale portata sul tavolo della commissione era la protezione dei minori online aumentando la capacità di individuare materiale pedopornografico. Molte realtà responsabili per la tutela della privacy hanno espresso la loro forte opposizione alla proposta [24][25] (a onor del vero anche un numero non indifferente di parlamentari EU hanno fatto lo stesso [26]), alla fine la proposta non ha ricevuto la maggioranza risultando in un nulla di fatto.

Questa specifica parte di ProtectEU è sostanzialmente la stessa proposta ma con un vestito diverso portando l’attenzione sul crimine piuttosto che su prevenzione di divulgazione di materiale CSAM. Tale comportamento mette a dura prova il principio di carità con la quale abbiamo introdotto l’articolo, le contro-argomentazioni a Chat Control non differiscono di molto su quelle di ProtectEU ed è quindi difficile capire come mai un’istituzione di alto livello possa ricadere nello stesso errore due volte.

La Commissione Europea sta continuando a tentare di ottenere accesso a dati crittografati nonostante le diverse discussione avute sul tema, in futuro non ci sarà da stupirsi di un ennesimo tentativo nel rompere la crittografia all’interno del territorio EU.

EU CryptoBan – Le sfide si devono affrontare, non nascondere

Rimaniamo sempre in ambito EU ma questa volta lasciamo la crittografia E2E da parte e facciamo entrare nella discussione le critpovalute, in particolare quelle fortemente orientate all’anonimato come ZCash e, il piu’ conosciuto, Monero. Tale decisione ha origine dal regolamento 2024/1624 [26].

L’EU ha deciso che dal 1 Luglio 2027 [27] verrà redatto un regolamento Anti-Riciclaggio in ambito Europeo (Anti-Money Laundering Regulation) dove tra i punti focali abbiamo :

1. Richiesta di processi (full) KYC per ogni singolo utente presente su una piattaforma crypto e per transazioni superiori a €1000.
2. Creazione di una nuova autorità AMLA (Anti-Money Laundering Authority) responsabile per il mantenimento e rispetto di tale regolamento (già 40 servizi crypto sono stati riconosciuti dall’UE che dovranno adattarsi a tale regolamento).
3. Ban di tutte le criptovalute che offrono anonimato alle transazioni degli utenti che dovranno essere delistate da tutti i provider.

A discapito degli altri punti, in questa sede ci focalizzeremo sul punto (3). Ovviamente il problema che si vuole cercare di affrontare è quello dei mercati illeciti (eg:/ droga, estorsione, vendita di illeciti) che si appoggiano a tali criptovalute per nascondere le transazioni e mettere in difficoltà eventuali indagini. Non solo l’acquisto di queste crypto verrà disincentivato ma anche mixers ed altri tool di anonimato che rientrano nella DeFi (Decentralized Finance).

Importante sottolineare che la custodia privata delle valute come Monero non verrà resa illegale ma viene creato un paradosso. Per poter eseguire transazioni sopra spiegate viene reso necessario mostrare la propria identità rendendo inutile l’utilizzo di tale criptovaluta. In breve alla base della regolamentazione è di rendere il piu’ tracciabile possibile ogni singola transazione blockchain all’interno dei confini EU.

Chiediamo venia al lettore se non entreremo nelle specifiche tecniche che permettono di mitigare la tracciabilità delle transazioni Monero, Dash o ZCash. Per mantenere il focus dell’articolo chiediamo, a chi non abbia abbastanza conoscenza a riguardo, di focalizzarsi sul fatto in se.

Uno dei paper piu’ visionari in ambito sicurezza informatica è stato redatto da Adam Young e Moti Yung chiamato “Cryptovirology – Extortion-Based Security Threats and Countermeasures” [28] (1996) la quale proponeva diverse analisi su come la crittografia potesse creare danni oltre che anonimato e/o privacy. In questo paper abbiamo diverse previsioni come l’estorsione tramite crittografia (ransomware) e l’utilizzo di criptovalute per poter monetizzare.

Il concetto di Young e Yung è divenuto una realtà tangibile, ad oggi il mondo ransomware e quello dei dark-markets sono dei veri e propri fenomeni caratterizzati da una forte persistenza motivata dalle ingenti somme che circolano al loro interno. La parola “persistenza” deve essere il pivot del discorso, il mondo criminale nasce sotto determinati requisiti piu’ o meno incentivanti ma allo stesso modo agisce con lungimiranza e preparazione.

Visto che sono stati citati diverse volte sia il mondo ransomware che quello dei dark-markets come fattori rilevanti alla necessità di queste regolamentazioni (sia da politici che dalla opinione pubblica), possiamo portare la nostra attenzione qui prima di muoverci sull’impatto che questo tipo di regolamentazione potrà avere sugli utenti.

Le criptovalute sono un’opzione di pagamento non la causa dei diversi crimini in questione ed anche solo immaginare che “tagliare” (parte di) queste opzioni risolva il problema è sintomo di un modo di pensare pericolosamente naive e semplicistico. Nel caso del mondo ransomware un approccio pro-attivo alla sicurezza informatico (sia livello macro che locale) è la vera soluzione. In ambito dark markets un potenziamento delle forze dell’ordine, un ampliamento delle collaborazioni tra i divers stati, training continuo e uno sviluppo di diversi strumenti di tracciamento è la chiave per poter contrastare tale fenomeno.

Vogliamo contrastare tali crimini? Focalizziamoci sulle cause e non offriamo alle minacce la possibilità di rendere realtà l’ipotesi delle “dark stablecoins” [29] dove si avrà meno raggio d’azione potenziando le capacità di tali attori. Ancora una volta le buone intenzioni possono portare a conseguenze irriversibili e auto-sabotanti.

Lo studio “Cryptocurrencies and drugs: Analysis of cryptocurrency use on darknet markets in the EU and neighbouring countries” (2023) [30] portato avanti da EUDA (European union Drugs Agency) ha mostrato come, tra le nazioni coinvolte, il ban delle criptovalute non ha risolto in nessuna maniera le attività dei dark markets.

Eight of the 54 countries (~15 %) in the sample have outright bans on cryptocurrencies, yet
engagement with DNM continues in these locations, particularly among those in the EU’s
Southern Neighbourhood.

Metodi di pagamento alternativi esistono già e vengono usate in questi ambienti per il riciclaggio di denaro sia per i gruppi RaaS che per il mondo dei dark markets. Inoltre risulta estremente difficile eseguire un vero e proprio ban su qualsivoglia crypto disponibile, gli exchanger peer2peer esistono e continuano ad essere usati rendendo difficile l’implementazione di processi KYC. In breve, anche se fosse la giusta strada, è troppo tardi per bannare anche parte di questa tecnologia.

Le alternative nasceranno sicuramente (eg:/ exchanger illeciti, voucher, gift cards, acquisto di asset controllati dalle minacce, cash via posta) ed avremo nuovi sintomi la quale renderà piu’ difficile le operzioni di contrasto e dove sicuramente dei ban non saranno cosi’ semplici da attuare (in maniera democratica). Nuovamente vendere queste soluzioni come l’argento per sconfingere Dracula è molto pericoloso, bisogna focalizzarsi sulle cause non sui sintomi.

La privacy e l’anonimato passano anche per le finanze e gli acquisti che un individuo vuole eseguire online, tale processo può essere eseguito in diversi modi non solo con le criptovalute. Mullvad [31] stesso consiglia ai suoi clienti di pagare in contanti per via postale rimanendo anonimi il piu’ possibile, se si vuole dare tracciabilità al 100% per mitigare le finanze illecite allora dovremmo vietare il contante?

La DeFi ha il suo valore nel mondo privacy/anonimato e come tale non va vietata a priori, il founder di Ethereum ha ammesso di aver utilizzato il mixer Tornado Cash [32] per fare donazioni all’Ucraina. Tale esempio è focale su come, anche se si è localizzati in uno stato favorevole, il diritto alla privacy deve essere preservato senza discriminazioni.

Wanting to donate to Ukraine is a great example of a valid need for financial privacy: even if the government where you live is in full support, you might not want Russian government to have full details of your actions.
— Jeff Coleman | Jeff.eth (@technocrypto) August 9, 2022

L’impatto che tale decisione avrà su questo tipo di utenti potrà rilevarsi irreversibile, nuovamente l’UE mostra ottusità nel contrasto del crimine. Questa incapacità di trovare soluzioni nuove e di evitare manovre semplici per fenomeni complessi è un grave segnale della direzione presa dalla commissione e di chi la rappresenta. Bisogna ristabilire un ambiente dove ogni decisione deve essere (1) soppesata in maniera adeguata, (2) presentata in maniera corretta e (3) basata con studio ed occhio empirico lasciando da parte asserzioni forvianti.

Considerazioni Finali – Investimenti, sensibilità ed empatia

I bassi investimenti in R&D dell’EU rispetto al resto del mondo [33][34][35] (portate da diverse cause che non copriremo in questa sede) hanno reso l’ambiente interno ai confini non adatto alle sfide moderne (non solo in ambito sicurezza ma anche economico e militare). La necessità di investire in ricerca, potenziare le forze dell’ordine e selezionare approcci efficacci si fa sentire piu’ che mai e sta portando a scelte politiche rischiose della quale potremo pagarne il prezzo in un futuro non troppo lontano.

Al di fuori di ciò si vuole sottolineare al come tali propost vengono presentate facendo leva su argomenti sensibili (tutela dei minori, utilizzo criminali di diverse tecnologie, tutela degli utenti online da diversi abusi) sfruttando la cosidetta weaponized empathy [36]. Questo approccio è una sfida (tra le tante) per gli ambienti democratici e non ha la giusta importanza nell’opinione pubblica. Tramite l’utilizzo dell’emapatia/emozioni/sensibilità si può convincere un pubblico di cose [37] false o portarli a supportare decisioni non adatte ai problemi posti.

L’opinione pubblica è certamente divisa quando si tratta di proposte sull’inserimento di identità digitali per social media o internet in generale, il che è lecito. Ciò che sorprene è la mancanza di argomentazioni pragmatiche sui pro e contro su chi vorrebbe tale proposta venga attivata. No, dire che se non hai nulla da nascondere non è una argomentazione. Affermare che la scelta di AGCOM tuteli i minori nemmeno. E neanche asserire che valute come Monero vengano usate solamente da criminali e che per questo debbano essere vietate.

Chiunque è responsabile di scegliere se mantenere la propria privacy online (e a che intensità) ma nessuno deve poter permettersi di limitare tale libertà. Se la sensibilità vale per una sponda deve essere giustificata anche dall’altra allo stesso modo.

Si parla spesso di introdurre una qualche forma di educazione sentimentale all’interno delle scuole col fine di evitare esperienze spiacevoli che si sono riscontrate all’interno di diverse comunità. Al di là di come la si pensi sul tema sarebbe interessante presentare tale proposta anche come misura (anche) per poter “rafforzare” le persone e renderle piu’ resilienti quando esposte a diversi segnali (tra cui weaponized empathy)? Quando tali proposte vengono annunciate è presente un clima basato per la maggior parte sulla emotività e su affermazioni di senso comune (“i minori vanno tutelati online”) senza dimostrazioni sulla efficacia cosi tanto richiesta.

Lavorare su questo aspetto sarà d’aiuto non solo in questi casi ma anche per fenomeni come la disinformazione o truffe che fanno leva sulla sensibilita’ altrui. Online le minacce ci sono e se si decide di accederci è necessario farlo con la giusta preparazione e conoscenza.

La sicurezza si ottiene anche grazie alla resilienza. Per ottenere resilienza bisogna uscire da zone di comfort ed entrare in contatto con la realtà dei fatti senza edulcorarla e questo richiede di rivalutare alcune posizioni che prima si consideravano “sacre”.

L'articolo L’Anonimato Digitale In Pericolo! Cosa Sta Decidendo l’Unione Europea? proviene da il blog della sicurezza informatica.

Google ha rilasciato aggiornamenti mensili per Android che risolvono 46 vulnerabilità. Uno di questi problemi è già stato sfruttato dagli aggressori e comporta l’esecuzione di codice arbitrario nella libreria FreeType.

Alla vulnerabilità sotto attacco è stato assegnato l’identificatore CVE-2025-27363 (punteggio CVSS 8.1) e rappresenta un problema nel componente di sistema che potrebbe causare l’esecuzione di codice locale senza richiedere privilegi aggiuntivi. Per sfruttare il bug non è richiesta alcuna interazione da parte dell’utente.

La causa principale del problema CVE-2025-27363 risiede nella libreria di rendering dei font open source FreeType e il bug è stato segnalato per la prima volta a marzo 2025. All’epoca, gli esperti spiegarono che la vulnerabilità era pericolosa per tutte le versioni di FreeType fino alla 2.13 ed era già stata sfruttata in attacchi.

“È stato riscontrato un problema di scrittura fuori limite nelle versioni di FreeType precedenti alla 2.13.0 quando si tentava di analizzare le strutture dei sottoglifi dei font associati ai file TrueType GX e dei font variabili”, hanno scritto i ricercatori. — Il codice vulnerabile assegna un valore short con segno a un valore long senza segno e poi aggiunge un valore statico, che provoca un overflow e l’allocazione di un buffer troppo piccolo nell’heap. Il codice scrive quindi fino a sei numeri interi lunghi con segno, estendendosi oltre i limiti di questo buffer. Ciò potrebbe portare all’esecuzione di codice arbitrario.”

Come riporta ora Google, la vulnerabilità potrebbe effettivamente essere soggetta a “sfruttamento limitato e mirato”. L’azienda non ha ancora diffuso dettagli su questi attacchi.

Altre vulnerabilità risolte da Google questo mese includono problemi in Framework, System, Google Play e nel kernel Android, nonché bug di sicurezza nei componenti proprietari di MediaTek, Qualcomm, Arm e Imagination Technologies. La maggior parte di essi sono correlati all’escalation dei privilegi.

L'articolo Aggiornamenti Android: corretta una grave falla già sfruttata, ecco cosa rischi proviene da il blog della sicurezza informatica.

When you think of Singer, you usually think of sewing machines, although if you are a history buff, you might remember they diversified into calculators, flight simulation, and a few other odd businesses for a while. [Techmoan] has an unusual device from Singer that is decidedly not a sewing machine. It is a 1970s-era multimedia briefcase called the Audio Study Mate. This odd beast, as you can see in the video below, was a cassette player that also included a 35mm filmstrip viewer. Multimedia 1970s-style!

The film strip viewer is a bright light and a glass screen with some optics. You have to focus the image, and then a button moves the film one frame. However, that’s for manual mode. However, the tape could encode a signal to automatically advance the frame. That didn’t work right away.

Luckily, that required a teardown of the unit to investigate. Inside was a lot of vintage tech, and at some point, the auto advance started working somewhat. It never fully worked, but for a decades-old electromechanical device, it did pretty well.

We do, sometimes, miss what you could pull off with 35mm film.

youtube.com/embed/d38vzTbevAg?…

hackaday.com/2025/05/15/not-a-…

As with all aging bodies, clogged tubes form an increasing issue. So too with the 47-year old Voyager 1 spacecraft and its hydrazine thrusters. Over the decades silicon dioxide from an aging rubber diaphragm in the fuel tank has been depositing on the inside of fuel tubes. By switching between primary, backup and trajectory thrusters the Voyager team has been managing this issue and kept the spacecraft oriented towards Earth. Now this team has performed another amazing feat by reviving the primary thrusters that had been deemed a loss since a heater failure back in 2004.

Unlike the backup thrusters, the trajectory thrusters do not provide roll control, so reviving the primary thrusters would buy the mission a precious Plan B if the backup thrusters were to fail. Back in 2004 engineers had determined that the heater failure was likely unfixable, but over twenty years later the team was willing to give it another shot. Analyzing the original failure data indicated that a glitch in the heater control circuit was likely to blame, so they might actually still work fine.

To test this theory, the team remotely jiggled the heater controls, enabled the primary thrusters and waited for the spacecraft’s star tracker to drift off course so that the thrusters would be engaged by the board computer. Making this extra exciting was scheduled maintenance on the Deep Space Network coming up in a matter of weeks, which would troubleshooting impossible for months.

To their relief the changes appears to have worked, with the heaters clearly working again, as are the primary thrusters. With this fix in place, it seems that Voyager 1 will be with us for a while longer, even as we face the inevitable end to the amazing Voyager program.

hackaday.com/2025/05/15/voyage…

The drivetrain of most modern bicycles has remained relatively unchanged for nearly a century. There have been marginal upgrades here and there like electronic shifting but you’ll still mostly see a chain with a derailleur or two. [Matthew] is taking a swing at a major upgrade to this system by replacing the front derailleur with a torque converter, essentially adding an automatic transmission to his bicycle.

Most of us will come across a torque converter in passenger vehicles with automatic transmissions, but these use fluid coupling. [Matthew] has come up with a clever design that uses mechanical coupling instead using a ratchet and pawl mechanism. There are two gear ratios here, a 1:1 ratio like a normal bicycle crank and a 1.5:1 ratio that is automatically engaged if enough torque is applied to the pedals. This means that if a cyclist encounters a hill, the gear automatically shifts down to an easier gear and then will shift back once the strenuous section is finished.

[Matthew] machined all the parts for this build from scratch, and the heavy-duty solid metal parts are both impressive but also show why drivetrains like this haven’t caught on in the larger bicycling world since they’re so heavy. There have been some upgrades in internally geared hubs lately though, which do have a number advantages over traditional chain and derailleur-based bikes with the notable downside of high cost, and there have been some other interesting developments as well like this folding mechanical drivetrain and this all-electric one.

youtube.com/embed/cMhvfIiR5gs?…

Thanks to [Keith] for the tip!

hackaday.com/2025/05/15/automa…

Once a printed circuit board (PCB) has been assembled it’s rather hard to look inside of it, which can be problematic when you have e.g. a multilayer PCB of an (old) system that you really would like to dissect to take a look at the copper layers and other details that may be hidden inside, such as Easter eggs on inner layers. [Lorentio Brodeso]’s ‘LACED’ project offers one such method, using both chemical etching and a 5 Watt diode engraving laser to remove the soldermask, copper and FR4 fiberglass layers.

This project uses sodium hydroxide (NaOH) to dissolve the solder mask, followed by hydrogen chloride (HCl) and hydrogen peroxide (H₂O₂) to dissolve the copper in each layer. The engraving laser is used for the removing of the FR4 material. Despite the ‘LACED’ acronym standing for Laser-Controlled Etching and Delayering, the chemical method(s) and laser steps are performed independently from each other.

This makes it in a way a variation on the more traditional CNC-based method, as demonstrated by [mikeselectricstuff] (as shown in the top image) back in 2016, alongside the detailed setup video of how a multi-layer PCB was peeled back with enough resolution to make out each successive copper and fiberglass layer.

The term ‘laser-assisted etching’ is generally used for e.g. glass etching with HF or KOH in combination with a femtosecond laser to realize high-resolution optical features, ‘selective laser etching’ where the etchant is assisted by the laser-affected material, or the related laser-induced etching of hard & brittle materials. Beyond these there is a whole world of laser-induced or laser-activated etching or functionalized methods, all of which require that the chemical- and laser-based steps are used in unison.

Aside from this, the use of chemicals to etch away soldermask and copper does of course leave one with a similar messy clean-up as when etching new PCBs, but it can provide more control due to the selective etching, as a CNC’s carbide bit will just as happily chew through FR4 as copper. When reverse-engineering a PCB you will have to pick whatever method works best for you.

Top image: Exposed inner copper on multilayer PCB. (Credit: mikeselectricstuff, YouTube)

hackaday.com/2025/05/15/laced-…

Metalized Mylar “space blankets” are sold as a survivalist’s accessory, primarily due to their propensity for reflecting heat. They’re pretty cheap, and [HamJazz] has performed some experiments on their RF properties. Do they reflect radio waves as well as they reflect heat? As it turns out, yes they do.

Any antenna system that’s more than a simple radiator relies on using conductive components as reflectors. These can either be antenna elements, or the surrounding ground acting as an approximation to a conductor. Radio amateurs will often use wires laid on the ground or buried within it to improve its RF conductivity, and it’s in this function that he’s using the Mylar sheet. Connection to the metalized layer is made with a magnet and some aluminium tape, and the sheet is strung up from a line at an angle. It’s a solution for higher frequencies only due to the restricted size of the thing, but it’s certainly interesting enough to merit further experimentation.

As you can see in the video below, his results are derived in a rough and ready manner with a field strength meter. But they certainly show a much stronger field on one side resulting from the Mylar, and also in an antenna that tunes well. We would be interested to conduct a received signal strength test over a much greater distance rather than a high-level field strength test so close to the antenna, but it’s interesting to have a use for a space blanket that’s more than just keeping the sun away from your tent at a hacker camp. Perhaps it could even form a parabolic antenna.

youtube.com/embed/X1sDYBe5wY0?…

Thanks [Fl.xy] for the tip!

hackaday.com/2025/05/15/mylar-…

Last time we talked about how the original PC has a limit of 640 kB for your programs and 1 MB in total. But of course those restrictions chafed. People demanded more memory, and there were workarounds to provide it.

However, the workarounds were made to primarily work with the old 8088 CPU. Expanded memory (EMS) swapped pages of memory into page frames that lived above the 640 kB line (but below 1 MB). The system would work with newer CPUs, but those newer CPUs could already address more memory. That led to new standards, workarounds, and even a classic hack.

XMS

If you had an 80286 or above, you might be better off using extended memory (XMS). This took advantage of the fact that the CPU could address more memory. You didn’t need a special board to load 4MB of RAM into an 80286-based PC. You just couldn’t get to with MSDOS. In particular, the memory above 1 MB was — in theory — inaccessible to real-mode programs like MSDOS.

Well, that’s not strictly true in two cases. One, you’ll see in a minute. The other case is because of the overlapping memory segments on an 8088, or in real mode on later processors. Address FFFF:000F was the top of the 1 MB range.

PCs with more than 20 bits of address space ran into problems since some programs “knew” that memory access above that would wrap around. That is FFFF:0010, on an 8088, is the same as 0000:0000. They would block A20, the 21st address bit, by default. However, you could turn that block off in software, although exactly how that worked varied by the type of motherboard — yet another complication.

XMS allowed MSDOS programs to allocate and free blocks of memory that were above the 1 MB line and map them into that special area above FFFF:0010, the so-called high memory area (HMA).
The 640 kB user area, 384 kB system area, and almost 64 kB of HMA in a PC (80286 or above)
Because of its transient nature, XMS wasn’t very useful for code, but it was a way to store data. If you weren’t using it, you could load some TSRs into the HMA to prevent taking memory from MSDOS.

Protected Mode Hacks

There is another way to access memory above the 1 MB line: protected mode. In protected mode, you still have a segment and an offset, but the segment is just an index into a table that tells you where the segment is and how big it is. The offset is just an offset into the segment. So by setting up the segment table, you can access any memory you like. You can even set up a segment that starts at zero and is as big as all the memory you can have.
A protected mode segment table entry
You can use segments like that in a lot of different ways, but many modern operating systems do set them up very simply. All segments start at address 0 and then go up to the top of user memory. Modern processors, 80386s and up, have a page table mechanism that lets you do many things that segments were meant to do in a more efficient way.

However, MS-DOS can’t deal with any of that directly. There were many schemes that would switch to protected mode to deal with upper memory using EMS or XMS and then switch back to real mode.

Unfortunately, switching back to real mode was expensive because, typically, you had to set a bit in non-volatile memory and reboot the computer! On boot, the BIOS would notice that you weren’t really rebooting and put you back where you were in real mode. Quite a kludge!

There was a better way to run MSDOS in protected mode called Virtual86 mode. However, that was complex to manage and required many instructions to run in an emulated mode, which wasn’t great for performance. It did, however, avoid the real mode switch penalty as you tried to access other memory.

Unreal Mode

In true hacker fashion, several of us figured out something that later became known as Unreal Mode. In the CPU documentation, they caution you that before switching to real mode, you need to set all the segment tables to reflect what a segment in real mode looks like. Obviously, you have to think, “What if I don’t?”

Well, if you don’t, then your segments can be as big as you like. Turns out, apparently, some people knew about this even though it was undocumented and perhaps under a non-disclosure agreement. [Michal Necasek] has a great history about the people who independently discovered it, or at least, the ones who talked about it publicly.

The method was doomed, though, because of Windows. Windows ran in protected mode and did its own messing with the segment registers. If you wanted to play with that, you needed a different scheme, but that’s another story.

Modern Times

These days, we don’t even use video cards with a paltry 1 MB or even 100 MB of memory! Your PC can adroitly handle tremendous amounts of memory. I’m writing this on a machine with 64 GB of physical memory. Even my smallest laptop has 8 GB and at least one of the bigger ones has more.

Then there’s virtual memory, and if you have solid state disk drives, that’s probably faster than the old PC’s memory, even though today it is considered slow.

Modern memory systems almost don’t resemble these old systems even though we abstract them to pretend they do. Your processor really runs out of cache memory. The memory system probably manages several levels of cache. It fills the cache from the actual RAM and fills that from the paging device. Each program can have a totally different view of physical memory with its own idea of what physical memory is at any given address. It is a lot to keep track of.

Times change. EMS, XMS, and Unreal mode seemed perfectly normal in their day. It makes you wonder what things we take for granted today will be considered backward and antiquated in the coming decades.

hackaday.com/2025/05/15/rememb…

Un nuovo nome sta guadagnando rapidamente visibilità nei meandri del cybercrime underground: Machine1337, un attore malevolo attivo sul noto forum XSS[.]is, dove ha pubblicato una serie impressionante di presunte violazioni di dati ai danni di colossi tecnologici e piattaforme popolari, tra cui Microsoft, TikTok, Huawei, Steam, Temu, 888.es e altri ancora.

Il post shock: 4 milioni di account Office 365

Tra le inserzioni più eclatanti figura una pubblicazione che afferma di essere in possesso di 4 milioni di credenziali Microsoft Office 365 e Microsoft 365, vendute al prezzo di 5000 dollari. Nel post viene anche fornito un link per scaricare un campione da 1.000 record, una prassi comune nei mercati underground per “dimostrare” la genuinità del materiale in vendita. L’attore fornisce un contatto Telegram diretto e rimanda al suo canale ufficiale @Machine******. Il post è accompagnato da un’immagine che mostra il logo di Microsoft e frasi promozionali come:

🔥 DAILY LIVE SALES 🔥
📌 Premium Real-Time Phone Numbers for Sale
good luck! 🚀

Una retorica che mescola ironia, branding e un tono apparentemente professionale, tipico degli attori che cercano di affermarsi come “venditori affidabili” nel dark web.

Una raffica di violazioni: da TikTok a Huawei

Nelle ore successive alla pubblicazione dell’annuncio Microsoft, Machine1337 ha pubblicato altri post che dichiarano la compromissione di:

• Huawei – 129 milioni di record
• TikTok – 105 milioni di record
• Steam – 89 milioni di account, postato più volte con aggiornamenti
• Temu – 17 milioni di record
• 888.es – 13 milioni di record

Queste presunte violazioni sembrano essere parte di un’offensiva coordinata per dimostrare la “potenza” del threat actor e attrarre acquirenti nei suoi canali Telegram.

Identità e contatti: l’ecosistema Telegram

Machine1337 si presenta come un attore organizzato. Sul suo canale Telegram, pubblica anche un avviso importante per evitare impersonificazioni:

“Il mio unico contatto ufficiale è: @Energy************
Canale ufficiale: @Machine************
Fate attenzione ai fake. Non sono responsabile per problemi con impostori.”

In un altro messaggio consiglia di visitare un altro canale afferente ad un’altra community underground dove, secondo le sue parole, “real shit goes down there.”

Possibili implicazioni e autenticità

Sebbene la quantità di dati rivendicati sia impressionante, non è possibile confermare al 100% l’autenticità di ogni dump pubblicato, almeno fino a quando non emergono conferme da parte delle aziende coinvolte o da analisi indipendenti OSINT/DFIR.

Tuttavia, la mole e la frequenza degli annunci di Machine1337 suggeriscono o una reale disponibilità di fonti compromesse (es. broker di accesso iniziale, botnet di infostealer) o una manovra di disinformazione e marketing aggressivo per ottenere fondi da utenti del forum XSS.

Il 13 maggio è stato ufficialmente creato il canale Telegram Machine1337, punto centrale della comunicazione del threat actor omonimo. Nel messaggio di benvenuto, l’utente si presenta come Red Teamer, Penetration Tester e Offensive Security Researcher, specificando di essere attualmente impegnato nello studio dell’API Testing e dell’analisi di malware. Il tono è quello di un professionista della sicurezza informatica che si muove però su un doppio binario: da un lato competenze legittime, dall’altro attività chiaramente legate al cybercrime.

Nel canale vengono anche menzionate l’intenzione di collaborare a progetti open source e una sezione “Visitor Count”, in cui probabilmente si monitora l’attività degli utenti. Il canale stesso è legato a un gruppo di discussione (accessibile solo tramite richiesta) e offre una sottoscrizione a pagamento, presumibilmente per accedere ai contenuti premium o ai database completi.

La presenza su Telegram conferma ancora una volta come questo strumento sia uno degli hub preferiti dai threat actor per diffondere i propri contenuti e stabilire un canale diretto con potenziali acquirenti.

Conclusione

Machine1337 si inserisce in una nuova generazione di threat actors che non solo monetizzano i dati rubati, ma costruiscono vere e proprie strategie di branding e marketing per affermarsi nei circuiti del cybercrime.

Con vendite quotidiane pubblicizzate, dump multipli e una presenza su Telegram molto attiva, sarà fondamentale tenere sotto osservazione questa figura nei prossimi mesi.

L'articolo Machine1337: Il threat actor che rivendica l’accesso a 4 milioni di account Microsoft 365 proviene da il blog della sicurezza informatica.

Launching rockets into the sky can be a thrill, but why not make the fall just as interesting? That is exactly what [I Build Stuff] thought when attempting to build a self-landing payload. The idea is to release a can sized “satellite” from a rocket at an altitude upwards of 1 km, which will then fly back down to the launch point.

The device itself is a first-person view (FPV) drone running the popular Betaflight firmware. With arms that swing out with some of the smallest brushless motors you’ve ever seen (albeit not the smallest motor), the satellite is surprisingly capable. Unfortunately due to concerns over the legality of an autonomous payload, the drone is human controlled on the descent.

Using collaborated efforts, a successful launch was flown with the satellite making it to the ground unharmed, at least for the most part. While the device did show capabilities of being able to fly back, human error led to a manual recovery. Of course, this is far from the only rocketry hack we have seen here at Hackaday. If you are more into making the flight itself interesting, here is a record breaking one from USC students.

youtube.com/embed/7yVFZn87TkY?…

Thank you [Hari Wiguna] for the great tip!

hackaday.com/2025/05/15/fpv-dr…

It was such an innocent purchase, a slightly grubby and scuffed grey plastic box with the word “P O L A R O I D” intriguingly printed along its top edge. For a little more than a tenner it was mine, and I’d just bought one of Edwin Land’s instant cameras. The film packs it takes are now a decade out of production, but my Polaroid 104 with its angular 1960s styling and vintage bellows mechanism has all the retro-camera-hacking appeal I need. Straight away I 3D printed an adapter and new back allowing me to use 120 roll film in it, convinced I’d discover in myself a medium format photographic genius.

But who wouldn’t become fascinated with the film it should have had when faced with such a camera? I have form on this front after all, because a similar chance purchase of a defunct-format movie camera a few years ago led me into re-creating its no-longer-manufactured cartridges. I had to know more, both about the instant photos it would have taken, and those film packs. How did they work?

A Print, Straight From The Camera

An instant photograph reveals itself. Akos Burg, courtesy of One Instant.
In conventional black-and-white photography the film is exposed to the image, and its chemistry is changed by the light where it hits the emulsion. This latent image is rolled up with all the others in the film, and later revealed in the developing process. The chemicals cause silver particles to precipitate, and the resulting image is called a negative because the silver particles make it darkest where the most light hit it. Positive prints are made by exposing a fresh piece of film or photo paper through this negative, and in turn developing it. My Polaroid camera performed this process all-in-one, and I was surprised to find that behind what must have been an immense R&D effort to perfect the recipe, just how simple the underlying process was.

My dad had a Polaroid pack film camera back in the 1970s, a big plastic affair that he used to take pictures of the things he was working on. Pack film cameras weren’t like the motorised Polaroid cameras of today with their all-in-one prints, instead they had a paper tab that you pulled to release the print, and a peel-apart system where after a time to develop, you separated the negative from the print. I remember as a youngster watching this process with fascination as the image slowly appeared on the paper, and being warned not to touch the still-wet print or negative when it was revealed. What I was looking at wasn’t a negative printing process as described in the previous paragraph but something else, one in which the unexposed silver halide compounds which make the final image are diffused onto the paper from the less-exposed areas of the negative, forming a positive image of their own when a reducing agent precipitates out their silver crystals. Understanding the subtleties of this process required a journey back to the US Patent Office in the middle of the 20th century.

It’s All In The Diffusion

The illustration from Edwin Land’s patent US2647056.
It’s in US2647056 that we find a comprehensive description of the process, and the first surprise is that the emulsion on the negative is the same as on a contemporary panchromatic black-and-white film. The developer and fixer for this emulsion are also conventional, and are contained in a gel placed in a pouch at the head of the photograph. When the exposed film is pulled out of the camera it passes through a set of rollers that rupture this pouch, and then spread the gel in a thin layer between the negative and the coated paper. This gel has two functions: it develops the negative, but over a longer period it provides a wet medium for those unexposed silver halides to diffuse through into the now-also-wet coating of the paper which will become the print. This coating contains a reducing agent, in this case a metalic sulphide, which over a further period precipitates out the silver that forms the final visible image. This is what gives Polaroid photographs their trademark slow reveal as the chemistry does its job.

I’ve just described the black and white process; the colour version uses the same diffusion mechanism but with colour emulsions and dye couplers in place of the black-and-white chemistry. Meanwhile modern one-piece instant processes from Polaroid and Fuji have addressed the problem of making the image visible from the other side of the paper, removing the need for a peel-apart negative step.

Given that the mechanism and chemistry are seemingly so simple, one might ask why we can no longer buy two-piece Polaroid pack or roll film except for limited quantities of hand-made packs from One Instant. The answer lies in the complexity of the composition, for while it’s easy to understand how it works, it remains difficult to replicate the results Polaroid managed through a huge amount of research and development over many decades. Even the Impossible Project, current holders of the Polaroid brand, faced a significant effort to completely replicate the original Polaroid versions of their products when they brought the last remaining Polaroid factory to production back in 2010 using the original Polaroid machinery. So despite it retaining a fascination among photographers, it’s unlikely that we’ll see peel-apart film for Polaroid cameras return to volume production given the small size of the potential market.

Hacking A Sixty Year Old Camera

Five minutes with a Vernier caliper and openSCAD, and this is probably the closest I’ll get to a pack film of my own.
So having understood how peel-apart pack film works and discovered what is available here in 2025, what remains for the camera hacker with a Land camera? Perhaps the simplest idea would be to buy one of those One Instant packs, and use it as intended. But we’re hackers, so of course you will want to print that 120 conversion kit I mentioned, or find an old pack film cartridge and stick a sheet of photographic paper or even a Fuji Instax sheet in it. You’ll have to retreat to the darkroom and develop the film or run the Instax sheet through an Instax camera to see your images, but it’s a way to enjoy some retro photographic fun.

Further than that, would it be possible to load Polaroid 600 or i-Type sheets into a pack film cartridge and somehow give them paper tabs to pull through those rollers and develop them? Possibly, but all your images would be back to front. Sadly, rear-exposing Instax Wide sheets wouldn’t work either because their developer pod lies along their long side. If you were to manage loading a modern instant film sheet into a cartridge, you’d then have to master the intricate paper folding arrangement required to ensure the paper tabs for each photograph followed each other in turn. I have to admit that I’ve become fascinated by this in considering my Polaroid camera. Finally, could you make your own film? I would of course say no, but incredibly there are people who have achieved results doing just that.

My Polaroid 104 remains an interesting photographic toy, one I’ll probably try a One Instant pack in, and otherwise continue with the 3D printed back and shoot the occasional 120 roll film. If you have one too, you might find my 3D printed AAA battery adapter useful. Meanwhile it’s the cheap model without the nice rangefinder so it’ll never be worth much, so I might as well just enjoy it for what it is. And now I know a little bit more about his invention, admire Edwin Land for making it happen.

Any of you out there hacking on Polaroids?

hackaday.com/2025/05/15/fallin…

Trends

Relative stability from quarter to quarter. The percentage of ICS computers on which malicious objects were blocked remained unchanged from Q4 2024 at 21.9%. Over the last three quarters, the value has ranged from 22.0% to 21.9%.

The quarterly figures are decreasing from year to year. Since Q2 2023, the percentage of ICS computers on which malicious objects were blocked has been lower than the indicator of the same quarter of the previous year. Compared to Q1 2024, the figure decreased by 2.5 pp.

Percentage of ICS computers on which malicious objects were blocked, Q1 2022–Q1 2025

In January–March 2025, the figures were the lowest compared to the same months of the previous four years.

Percentage of ICS computers on which malicious objects were blocked, Jan 2021–Mar 2025

The biometrics sector continues to lead the selected industries / OT infrastructure types. This is the only OT infrastructure type where the percentage of ICS computers on which malicious objects were blocked increased during the quarter.

Threat levels in different regions still vary. In Q1 2025, the percentage of affected ICS computers ranged from 10.7% in Northern Europe to 29.6% in Africa. In eight out of 13 regions, the figures ranged from 19.0% to 25.0%.

The percentage of ICS computers on which denylisted internet resources were blocked continues to decrease. It reached its lowest level since the beginning of 2022. In the first three months of 2025, the corresponding figures were lower than those in January–March of the previous three years.

Percentage of ICS computers on which denylisted internet resources were blocked, Jan 2022–Mar 2025

Changes in the percentage of ICS computers on which initial-infection malware was blocked lead to changes in the percentage of next-stage malware. In Q1 2025, the percentage of ICS computers on which various types of malware spread via the internet and email were blocked increased for the first time since the beginning of 2023.

The internet is the primary source of threats to ICS computers. The main categories of threats from the internet are denylisted internet resources, malicious scripts and phishing pages.

The main categories of threats spreading via email are malicious documents, spyware, malicious scripts and phishing pages.

The percentage of ICS computers on which malicious scripts and phishing pages, and malicious documents were blocked increased in Q1 2025. In January–March, the monthly values in these two categories of threats were higher than in the same months of 2024.

Percentage of ICS computers on which malicious objects were blocked, Jan 2022–Mar 2025

The leading category of malware used for initial infection of ICS computers (see below) is malicious scripts and phishing pages.

Most malicious scripts and phishing pages act as droppers or loaders of next-stage malware (spyware, crypto miners and ransomware). The strong correlation between the values for malicious scripts and phishing pages, and spyware is clearly visible in the graph below.

Percentage of ICS computers on which malicious objects were blocked, Jan 2023–Mar 2025

Similar to malicious scripts and phishing pages, the percentage of ICS computers on which spyware was blocked was higher in the first three months of 2025 than in the same months of 2024.

Percentage of ICS computers on which spyware was blocked, Jan 2022–Mar 2025

The percentage of ICS computers on which miners (web miners and miners in the form of executable files for Windows) were blocked in Q1 2025 also increased.

Statistics across all threats

In Q1 2025, the percentage of ICS computers on which malicious objects were blocked remained at the same level as in the previous quarter: 21.9%.

Percentage of ICS computers on which malicious objects were blocked, Q1 2022–Q1 2025

Compared to Q1 2024, the percentage of ICS computers on which malicious objects were blocked decreased by 2.5 pp. However, it increased from January to March of 2025 when it reached its highest value in the quarter.

Percentage of ICS computers on which malicious objects were blocked, Jan 2023–Mar 2025

Regionally, the percentage of ICS computers on which malicious objects were blocked ranged from 10.7% in Northern Europe to 29.6% in Africa.

Regions ranked by percentage of ICS computers on which malicious objects were blocked, Q1 2025

In six of the 13 regions surveyed in this report, the figures increased from the previous quarter, with the largest change occurring in Russia.

Changes in percentage of ICS computers on which malicious objects were blocked,
Q1 2025

Selected industries

The biometrics sector led the ranking of the industries and OT infrastructures surveyed in this report in terms of the percentage of ICS computers on which malicious objects were blocked.

Ranking of industries and OT infrastructures by percentage of ICS computers on which malicious objects were blocked, Q1 2025

The biometrics sector was also the only OT infrastructure type where the percentage of ICS computers on which malicious objects were blocked increased slightly. Despite this, the long-term trend is clearly downward.

Percentage of ICS computers on which malicious objects were blocked in selected industries

Diversity of detected malicious objects

In Q1 2025, Kaspersky security solutions blocked malware from 11,679 different malware families in various categories on industrial automation systems.

Percentage of ICS computers on which the activity of malicious objects from various categories was blocked

The largest proportional increase in Q1 2025 was in the percentage of ICS computers on which web miners (1.4 times more than in the previous quarter) and malicious documents (1.1 times more) were blocked.

Main threat sources

Depending on the threat detection and blocking scenario, it is not always possible to reliably identify the source. The circumstantial evidence for a specific source can be the blocked threat’s type (category).

The internet (visiting malicious or compromised internet resources; malicious content distributed via messengers; cloud data storage and processing services and CDNs), email clients (phishing emails), and removable storage devices remain the primary sources of threats to computers in an organization’s OT infrastructure.

In Q1 2025, the percentage of ICS computers on which threats from the internet and email clients were blocked increased for the first time since the end of 2023.

Percentage of ICS computers on which malicious objects from various sources were blocked

The rates for all threat sources varied across the monitored regions.

• The percentage of ICS computers on which threats from the internet were blocked ranged from 5.2% in Northern Europe to 12.8% in Africa.
• The percentage of ICS computers on which threats from email clients were blocked ranged from 0.88% in Russia to 6.8% in Southern Europe.
• The percentage of ICS computers on which threats from removable media were blocked ranged from 0.06% in Australia and New Zealand to 2.4% in Africa.

Threat categories

Typical attacks blocked within an OT network are a multi-stage process, where each subsequent step by the attackers is aimed at increasing privileges and gaining access to other systems by exploiting security flaws in industrial enterprises, including OT infrastructures.

It is worth noting that during the attack, intruders often repeat the same steps (TTP), especially when they use malicious scripts and established communication channels with the management and control infrastructure (C2) to move laterally within the network and advance the attack.

Malicious objects used for initial infection

In Q1 2025, the percentage of ICS computers on which denylisted internet resources were blocked decreased to its lowest value since the beginning of 2022.

Percentage of ICS computers on which denylisted internet resources were blocked, Q1 2022–Q1 2025

The decline in the percentage of denylisted internet resources since November 2024 was likely influenced not only by proactive threat mitigation at various levels, but also by techniques used by attackers to circumvent the blocking mechanisms based on the resource’s reputation, thus redistributing the protection burden to other detection technologies.

A detected malicious web resource may not always be added to a denylist because attackers are increasingly using legitimate internet resources and services such as content delivery network (CDN) platforms, messengers, and cloud storage. These services allow malicious code to be distributed through unique links to unique content, making it difficult to use reputation-based blocking tactics. We strongly recommend that industrial organizations implement policy-based blocking of such services, at least for OT networks where the need for such services is extremely rare for objective reasons.

The percentage of ICS computers on which malicious documents as well as malicious scripts and phishing pages were blocked increased slightly, to 1.85% (by 0.14 pp) and 7.16% (by 0.05 pp) respectively.

Next-stage malware

Malicious objects used to initially infect computers deliver next-stage malware – spyware, ransomware, and miners – to victims’ computers. As a rule, the higher the percentage of ICS computers on which the initial infection malware is blocked, the higher the percentage for next-stage malware.

In Q1 2025, the percentage of ICS computers on which spyware and ransomware were blocked decreased, reaching 4.20% (by losing 0.1 pp) and 0.16% (by losing 0.05 pp) respectively. Conversely, the indicator for miners increased. The percentage of ICS computers on which miners in the form of executable files for Windows and web miners were blocked increased to 0.78% (by 0.08 pp) and 0.53% (by 0.14 pp), respectively. The latter indicator reached its highest value since Q3 2023.

Percentage of ICS computers on which web miners were blocked, Q1 2022–Q1 2025

Self-propagating malware

Self-propagating malware (worms and viruses) is a category unto itself. Worms and virus-infected files were originally used for initial infection, but as botnet functionality evolved, they took on next-stage characteristics.

To spread across ICS networks, viruses and worms rely on removable media, network folders, infected files including backups, and network attacks on outdated software, such as Radmin2.

In Q1 2025, the percentage of ICS computers on which worms and viruses were blocked decreased to 1.31% (by losing 0.06 pp) and 1.53% (by losing 0.08 pp), respectively.

AutoCAD malware

AutoCAD malware is typically a low-level threat, coming last in the malware category rankings in terms of the percentage of ICS computers on which it was blocked.

In Q1 2025, the percentage of ICS computers on which AutoCAD malware was blocked continued to decrease (by losing 0.04 pp) and reached 0.034%.

You can find more information on industrial threats in the full version of the report.

securelist.com/industrial-thre…

La casa di moda Dior è stata colpita da una fuga di dati personali dei clienti che ha colpito gli utenti dei negozi online di moda e accessori del marchio. I rappresentanti dell’azienda hanno confermato che si è trattato di un caso di accesso non autorizzato a una parte delle informazioni conservate nel database di Dior Fashion and Accessories. Sebbene l’incidente sia ancora oggetto di indagine, è già noto che gli utenti provenienti dalla Corea del Sud e dalla Cina sono stati colpiti dall’attacco.

Secondo i rappresentanti di Dior, il 7 maggio 2025 è stato registrato un accesso non autorizzato alle informazioni. Poco dopo l’incidente, l’azienda ha avviato misure di contenimento e ha coinvolto esperti di sicurezza informatica terzi per valutare la portata e mitigare le conseguenze. Si sottolinea che i dati di pagamento e le password dei clienti erano conservati in un altro database, che non è stato danneggiato.

Gli avvisi inviati ai clienti cinesi e sudcoreani indicavano che i seguenti dati erano a rischio: nome completo, sesso, numero di telefono, indirizzo e-mail, indirizzo postale, cronologia degli acquisti e preferenze. Una dichiarazione ufficiale è stata pubblicata sulla versione coreana del sito web di Dior, confermando l’accaduto e invitando i clienti a prestare attenzione a possibili attacchi di phishing.

Anche gli utenti cinesi hanno iniziato a ricevere notifiche ufficiali della compromissione dei dati, il che indica la natura internazionale dell’incidente. Nonostante ciò, il numero esatto dei clienti interessati e l’elenco dei Paesi interessati restano sconosciuti. Dior, tuttavia, afferma che sta adottando misure per avvisare i clienti e le autorità di regolamentazione, in conformità con le leggi locali.

I media sudcoreani riferiscono che Dior potrebbe dover affrontare conseguenze legali per non aver informato tempestivamente le autorità di regolamentazione del Paese. Secondo la legislazione locale, le aziende che scoprono una fuga di dati personali devono informare tempestivamente le autorità competenti. Nel caso di Dior, si sostiene che le notifiche non siano state inviate a tutte le autorità necessarie.

I rappresentanti del marchio sottolineano che la sicurezza e la riservatezza dei dati dei clienti restano una priorità. Dior si scusa per ogni inconveniente e preoccupazione che questo incidente possa causare e chiede ai clienti di essere vigili e di segnalare i casi di imitazione del marchio e le richieste sospette di informazioni personali.

Nel frattempo, gli esperti continuano le indagini per determinare le fonti della fuga di notizie e prevenire che incidenti simili si ripetano in futuro.

L'articolo Dior Violata: Gli Hacker Criminali Accedono a Dati Sensibili dei Clienti Asiatici proviene da il blog della sicurezza informatica.

La più grande azienda siderurgica statunitense, Nucor, ha temporaneamente sospeso le attività in diversi suoi stabilimenti dopo che la sua infrastruttura IT interna è stata attaccata. La società lo ha annunciato nel modulo ufficiale 8-K depositato presso la Securities and Exchange Commission (SEC) degli Stati Uniti. Si specifica che l’incidente ha interessato “determinati sistemi informatici”, ma non vengono divulgati dettagli sul tipo di attacco o sui siti interessati.

L’azienda ha sottolineato che l’interruzione delle attività è stata una misura preventiva adottata “in segno di eccessiva cautela”. È attualmente in corso il processo di riavvio degli oggetti arrestati. L’incidente è oggetto di indagine da parte di una società di sicurezza informatica terza e sono coinvolte anche le forze dell’ordine.

Le unità produttive di Nucor in Alabama, Carolina del Sud e Indiana non sono state disponibili per rilasciare dichiarazioni oppure i loro numeri di telefono non erano disponibili.

Nucor gestisce più di 20 acciaierie negli Stati Uniti, nonché decine di impianti di riciclaggio di rottami metallici e di produzione di materiali da costruzione. L’azienda svolge un ruolo fondamentale nelle infrastrutture critiche del Paese e, di conseguenza, rappresenta un potenziale bersaglio sia per gli estorsori sia per i gruppi informatici stranieri.

Secondo gli esperti, gli attacchi a tali strutture possono perseguire sia obiettivi puramente criminali (ad esempio, l’interruzione delle operazioni e l’estorsione) sia obiettivi strategici. Alla conferenza RSA 2025 di maggio si è discusso delle possibili azioni da parte degli hacker cinesi che cercano di infiltrarsi nelle reti americane prima di importanti eventi geopolitici. È stato presentato uno scenario in cui interruzioni di corrente, acqua e comunicazioni paralizzano le infrastrutture civili nel mezzo di una crisi di politica estera.

Le aziende manifatturiere come Nucor sono particolarmente vulnerabili a questo tipo di minacce: i tempi di inattività delle apparecchiature causano perdite significative e hanno ripercussioni a catena sull’intero settore. In passato, incidenti simili hanno avuto gravi conseguenze. Nel 2021, ad esempio, un attacco al Colonial Pipeline ha bloccato quasi la metà della fornitura di carburante alla costa orientale degli Stati Uniti, scatenando il panico e costringendo l’azienda a pagare un riscatto di 5 milioni di dollari.

Si stima che entro il 2023 circa il 70% di tutti gli incidenti relativi ai software di crittografia industriale avesse come target i produttori anziché le aziende di servizi pubblici. Ciò conferma la tendenza a spostare il vettore di attacco verso settori vulnerabili ma critici.

Non è ancora noto quali vulnerabilità siano state sfruttate nell’attacco a Nucor né se si sia trattato di un attacco ransomware. I rappresentanti dell’azienda si sono limitati ad assicurare che i lavori di restauro erano già in corso e hanno promesso di fornire nuovi dettagli man mano che la situazione si evolveva.

L'articolo Nucor, La Più Grande Acciaieria USA si Ferma Dopo L’attacco Informatico proviene da il blog della sicurezza informatica.

You’d think a paper from a science team from Carnegie Mellon would be short on fun. But the team behind LegoGPT would prove you wrong. The system allows you to enter prompt text and produce physically stable LEGO models. They’ve done more than just a paper. You can find a GitHub repo and a running demo, too.

The authors note that the automated generation of 3D shapes has been done. However, incorporating real physics constraints and planning the resulting shape in LEGO-sized chunks is the real topic of interest. The actual project is a set of training data that can transform text to shapes. The real work is done using one of the LLaMA models. The training involved converting Lego designs into tokens, just like a chatbot converts words into tokens.

There are a lot of parts involved in the creation of the designs. They convert meshes to LEGO in one step using 1×1, 1×2, 1×4, 1×6, 1×8, 2×2, 2×4, and 2×6 bricks. Then they evaluate the stability of the design. Finally, they render an image and ask GPT-4o to produce captions to go with the image.

The most interesting example is when they feed robot arms the designs and let them make the resulting design. From text to LEGO with no human intervention! Sounds like something from a bad movie.

We wonder if they added the more advanced LEGO sets, if we could ask for our own Turing machine?

hackaday.com/2025/05/15/welcom…