Rocket Roll Control, The Old Fashioned Way
The vast majority of model rockets go vaguely up and float vaguely downwards without a lot of control. However, [newaysfactory] built a few rockets that were altogether more precise in their flight, thanks to his efforts to master active roll control.
[newaysfactory] started this work a long time ago, well before Arduinos, ESP32s, and other highly capable microcontroller platforms were on the market. In an era when you had to very much roll your own gear from the ground up, he whipped up a rocket control system based around a Microchip PIC18F2553. He paired it with a L3G4200D gyro, an MPXH6115A barometer, and an MMA2202KEG accelerometer, chosen for its ability to provide useful readings under high G acceleration. He then explains how these sensor outputs were knitted together to keep a rocket flying straight and true under active control.
[newaysfactory] didn’t just master roll control for small rockets; he ended up leveraging this work into a real career working on fully-fledged autopilot systems. Sometimes your personal projects can take your career in interesting directions.
youtube.com/embed/AFb85zKAyqU?…
Lithium-Ion Batteries: WHY They Demand Respect
This summer, we saw the WHY (What Hackers Yearn) event happen in Netherlands, of course, with a badge to match. Many badges these days embrace the QWERTY computer aesthetic, which I’m personally genuinely happy about. This one used 18650 batteries for power, in a dual parallel cell configuration… Oh snap, that’s my favourite LiIon cell in my favourite configuration, too! Surely, nothing bad could happen?
Whoops. That one almost caught me by surprise, I have to shamefully admit. I just genuinely love 18650 cells, in all glory they bring to hardware hacking, and my excitement must’ve blindsided me. They’re the closest possible entity to a “LiIon battery module”, surprisingly easy to find in most corners of this planet, cheap to acquire in large quantities, easy to interface to your projects, and packing a huge amount of power. It’s a perfect cell for many applications I and many other hackers hold dear.
Sadly, the 18650 cells were a bad choice for the WHY badge, for multiple reasons at once. If you’re considering building a 18650-based project, or even a product, let me show you what exactly made these cells a bad fit, and how you might be able to work around those limitations on your own journey. There’s plenty of technical factors, but I will tell you about the social factors, because these create the real dealbreaker here.
Three Thousand Participants
A 18650 cell is like a bigger sister to an AA battery – power at your fingertips, just, you’re playing with heaps more power. You can take a 18650 cell and have it power a small yet nimble robot on wheels, or an ultra powerful flashlight, or a handheld radio packing quite a transmit power punch. You can release its power on accident, too, and that gets nasty quick.
Short-circuiting a 18650 cell is a surprisingly straightforward way to melt metal, and by extent, start a small fire. It’s also not that hard to short-circuit a 18650 cell, especially and specifically unprotected ones. This is a big part of why consumer oriented gadgets use AAs instead of 18650s – it’s perhaps less powerful, sure, but it’s also a significantly less dangerous cell.
The Instructions, They Do Nothing!
WHY sold a little over 3700 tickets. I would not expect 100% attendance, but I’m comfortable saying it must’ve been around three thousand people. Sadly, “three thousand people” is far beyond the point when you can hope to give people handling instructions for something as easy to mishandle as LiIon cells, even for a nominally hacker audience.
Of course, you can try and give people instructions. You can talk to each badge recipient individually, release booklets demonstrating what to do and not to do with a 18650 cell, add silkscreen instructions for a just-in-place reminder, or maybe have them sign a release form, though it’s unlikely that kind of trick would be legal in the EU. Sadly, WHY organizers never came close to doing any of these things. It also wouldn’t really matter if they did. These instructions will always, inevitably be outright ignored by a sizeable percentage of users.
You can build a badge or any sort of other device using unprotected 18650s, which expects the end user to handle them, like the WHY badge does, and it will be more or less safe as long as the end user is yourself, with 18650 handling experience that I’m sure is to match. Giving it to a friend, caseless? You can talk to your friend and explain 18650 handling basics to them, sure, but you’re still running some degree of risk. My hunch is, your friend could very well refuse such a gift outright. Giving it to a hundred people? You’re essentially playing with fire at someone else’s house.
Just Why Did That Happen?
Hackaday has traditionally used AA cells for our badges, which has definitely help us mostly avoid any Lithium-related issues. Most other conferences have been using pouch cells, which traditionally come with short-circuit protection and don’t threaten to ignite stuff from contact with a piece of metal. 18650 cells are not even cheaper at scale – they’re nice, sure, I wrote as much, but those nice things are quickly negated by the whole “firestarter” thing.
On the other hand, 18650 cells do work for a hacker or a small team of hackers skilled enough to stay cautious, and it also works well at scale when the cell is permanently encased within the shell, like in most powerbanks and laptops. It fails as soon as you expect people to plug batteries in and out, or carry them separately. Respecting Lithium-Ion batteries means being aware of their shortcomings, and for 18650 cells, that means you should avoid having people manually handle them at scale.
Here’s the kicker about the WHY badge situation. I was confused by the WHY badge switching to 18650 cells this year, away from overcurrent-protected pouch cells, which were used by previous iterations of WHY (MCH, SHA) without an issue in sight. So, I’ve asked around, and what I got from multiple sources is – the 18650 usage decision was pushed top-down, with little regard for physical safety. Sadly, this makes sense – it’s how we saw it implemented, too.
Making Audible Sense Of A Radiation Hunt
The clicking of a Geiger counter is well enough known as a signifier of radioactive materials, due to it providing the menacing sound effect any time a film or TV show deals with radiation. What we’re hearing is the electronic detection of an ionization event in a Geiger-Muller tube due to alpha or beta radiation, which is great, but we’re not detecting gamma radiation.
For that a scintillation detector is required, but these are so sensitive to background radiation as to make the clicking effect relatively useless as an indicator to human ears. Could a microcontroller analyse the click rate and produce an audible indication? This is the basis of [maurycyz]’s project, adding a small processor board to a Ludlum radiation meter.
When everything sounds like a lot of clicks, an easy fix might be to use a divider to halve the number and make concentrations of clicks sound more obvious. It’s a strategy with merit, but one that results in weaker finds being subsumed. Instead the approach here is to take a long-term background reading, and compare the instantaneous time between clicks with it. Ths any immediate click densities can be highlighted, and those which match the background can be ignored. SO in goes an AVR128 for which the code can be found at the above link.
The result is intended for rock prospecting, a situation where it’s much more desirable to listen to the clicks than look at the meter as you scan the lumps of dirt. It’s not the first project in this line we’ve brought you, another one looked at the scintillation probe itself.
Hanyuan-1: il computer quantistico cinese che funziona a temperatura ambiente e sfida gli USA
Il primo computer quantistico atomico cinese ha raggiunto un importante traguardo commerciale, registrando le sue prime vendite a clienti nazionali e internazionali, secondo quanto riportato dai media statali. L’Hubei Daily, quotidiano statale della provincia di Hubei in Cina, ha riportato che la prima unità commerciale Hanyuan-1è stata consegnata a una filiale del fornitore di telecomunicazioni China Mobile, con un ordine anche da parte del Pakistan. Le vendite sono state valutate in oltre 40 milioni di yuan (circa 5 milioni di euro).
Temperatura ambiente e produzione di massa
Il rapporto afferma che l’Hanyuan-1 è una delle poche macchine nel campo emergente del calcolo quantistico atomico ad aver raggiunto la produzione di massa e la spedizione in tutto il mondo. Lo sviluppo della macchina, che può essere utilizzata per eseguire calcoli complessi come la modellazione finanziaria e l’ottimizzazione logistica, è stato guidato dall’Accademia di Scienza e Innovazione Tecnologica delle Misure di Precisione dell’Accademia Cinese delle Scienze, con sede nel centro di Wuhan.
Utilizzando i principi della meccanica quantistica, i computer quantistici possono eseguire calcoli e risolvere problemi complessi molto più velocemente dei computer classici. Questo risultato si ottiene utilizzando i qubit, che possono essere simultaneamente sia 0 che 1 grazie a una proprietà chiamata sovrapposizione. Tuttavia, i ricercatori faticano ancora a eliminare gli errori nei dispositivi che gestiscono milioni di qubit.
Con questa sfida ancora irrisolta, gli sviluppatori hanno adottato un approccio pratico, concentrandosi inizialmente su applicazioni industriali che coinvolgono solo poche decine o poche centinaia di qubit. Queste macchine sono chiamate computer quantistici di scala intermedia (NISQ). L’Hanyuan-1 è una di queste macchine. Secondo i rapporti, il computer quantistico atomico dispone di 100 qubit e raggiunge “standard prestazionali di livello mondiale”.
A differenza di altri computer quantistici che utilizzano ioni, fotoni o “atomi artificiali”, l’Hanyuan-1 utilizza atomi con carica neutra come qubit e li manipola con laser per eseguire calcoli. L’Hanyuan-1 è stato presentato a giugno, segnando il culmine di quasi 20 anni di ricerca e impegno ingegneristico che hanno portato non solo all’indipendenza dei suoi componenti principali, ma anche a diverse scoperte scientifiche.
Focus su applicazioni avanzate reali
Dal 2018, gli Stati Uniti limitano l’accesso della Cina ad alcuni componenti per il calcolo quantistico, come i laser, stimolando i progressi della Cina in questo campo. Il rapporto afferma che il team di Wuhan ha superato diverse sfide per sviluppare un laser che soddisfi requisiti di alta precisione. Di conseguenza, il laser è significativamente più economico e utilizza solo un decimo della potenza dei laser stranieri.
“Questo risultato rompe la dipendenza della Cina dalle catene di approvvigionamento occidentali e stabilisce un vantaggio indipendente nell’hardware per il calcolo quantistico atomico”, si legge nel rapporto. Rispetto ai tradizionali computer quantistici superconduttori, il computer atomico consuma significativamente meno energia, è molto più semplice da manutenere ed è “esponenzialmente” più economico da installare.
Questo perché il sistema non richiede raffreddamento criogenico. L’intero sistema può essere integrato in tre rack standard e funziona in un ambiente di laboratorio standard. Il rapporto afferma che il team si sta preparando a costruire il primo centro cinese di calcolo quantistico atomico in grado di supportare requisiti di calcolo altamente complessi, come l’analisi del rischio finanziario per migliaia di utenti aziendali.
Il documento citava un responsabile di progetto anonimo che affermava: “La concorrenza nel settore si concentra attualmente sulla praticità del sistema e sulle capacità ingegneristiche piuttosto che sul numero di qubit. Il responsabile del progetto ha dichiarato: “Continueremo a migliorare le prestazioni complessive dei computer quantistici atomici, concentrandoci su applicazioni avanzate come la scoperta di farmaci e la progettazione di materiali”.
Dalla dipendenza all’autonomia sul quantum computing
Ha aggiunto: “Il nostro obiettivo è fornire servizi di calcolo atomico scalabili entro il 2027. La commercializzazione dell’Hanyuan-1 dimostra il rapido progresso della Cina nel calcolo quantistico. Nonostante le restrizioni statunitensi sulle esportazioni di tecnologia, la Cina ha raggiunto una svolta grazie al proprio sviluppo tecnologico.
In particolare, il fatto che non richieda raffreddamento criogenico e sia a basso costo lo rende vantaggioso per l’uso commerciale. I computer quantistici superconduttori richiedono temperature estremamente basse, prossime allo zero assoluto, con conseguenti costi operativi significativi. Un esperto di calcolo quantistico ha affermato: “I computer quantistici atomici funzionano a temperatura ambiente e sono facili da manutenere, il che li rende estremamente pratici. Tuttavia, permangono le sfide nell’aumentare il numero di qubit e ridurre i tassi di errore”.
Gli esperti ritengono che la Cina abbia adottato una strategia incentrata sulla praticità del calcolo quantistico. Invece di competere sul numero di qubit, si sta concentrando sullo sviluppo di sistemi con applicazioni pratiche. L’industria prevede che il calcolo quantistico rivoluzionerà diversi campi, tra cui la finanza, lo sviluppo di farmaci, l’ottimizzazione logistica e la crittografia. Tuttavia, si prevede che la commercializzazione richiederà ancora tempo.
Nel contesto dell’intensificarsi della competizione tecnologica tra Stati Uniti e Cina, il calcolo quantistico sta diventando un altro ambito di competizione, dopo l’intelligenza artificiale e i semiconduttori. La commercializzazione dell’Hanyuan-1 da parte della Cina indica che la Cina sta iniziando a ottenere risultati tangibili in questa competizione.
L'articolo Hanyuan-1: il computer quantistico cinese che funziona a temperatura ambiente e sfida gli USA proviene da Red Hot Cyber.
Addio al malware! Nel 2025 i criminal hacker entrano con account legittimi per restare invisibili
Un report di FortiGuard relativo alla prima metà del 2025 mostra che gli aggressori motivati economicamente stanno rinunciando sempre più a exploit e malware sofisticati. Invece di implementare strumenti utilizzano account validi e strumenti di accesso remoto legittimi per penetrare nelle reti aziendali senza essere rilevati.
Questo approccio si è dimostrato non solo più semplice ed economico, ma anche significativamente più efficace: gli attacchi che utilizzano password rubate sfuggono sempre più spesso al rilevamento.
Gli esperti riferiscono che nei primi sei mesi dell’anno hanno indagato su decine di incidenti in diversi settori, dalla produzione alla finanza e alle telecomunicazioni. L’analisi di questi casi ha rivelato uno schema ricorrente: gli aggressori ottengono l’accesso utilizzando credenziali rubate o acquistate , si connettono tramite VPN e quindi si muovono nella rete utilizzando strumenti di amministrazione remota come AnyDesk, Atera, Splashtop e ScreenConnect.
Questa strategia consente loro di mascherare la loro attività come attività di amministratore di sistema ed evitare sospetti. FortiGuard conferma questi risultati nello stesso periodo: le tendenze relative alle perdite di password documentate nei documenti open source corrispondono a quelle identificate durante le indagini interne. In sostanza, gli aggressori non devono “hackerare” i sistemi nel senso tradizionale del termine: accedono semplicemente utilizzando le credenziali di accesso di qualcun altro, spesso ottenute tramite phishing o infostealervenduti su piattaforme clandestine.
In un attacco analizzato, gli aggressori hanno utilizzato credenziali valide per connettersi a una VPN aziendale senza autenticazione a più fattori , quindi hanno estratto le password dell’hypervisor salvate dal browser dell’utente compromesso e hanno crittografato le macchine virtuali. In un altro caso, un operatore ha ottenuto l’accesso tramite un account di amministratore di dominio rubato e ha installato in massa AnyDesk sull’intera rete utilizzando RDP e criteri di gruppo, consentendogli di spostarsi tra i sistemi e di rimanere inosservato per periodi di tempo più lunghi. Ci sono stati anche casi in cui gli aggressori hanno sfruttato una vecchia vulnerabilità in un server esterno, implementato diversi strumenti di gestione remota e creato account di servizio fittizi per spostare e poi rubare documenti di nascosto.
L’analisi ha dimostrato che il furto di password rimane una delle strategie più economiche e accessibili. Il costo dell’accesso dipende direttamente dalle dimensioni e dall’area geografica dell’azienda: per le organizzazioni con oltre un miliardo di dollari di fatturato nei paesi sviluppati, può raggiungere i 20.000 dollari, mentre per le aziende più piccole nelle regioni in via di sviluppo, si aggira sulle centinaia di dollari. Le massicce campagne di infostealing forniscono un flusso costante di dati aggiornati e la bassa barriera all’ingresso rende tali attacchi appetibili anche per gruppi meno addestrati.
Il vantaggio principale di questo schema è la furtività. Il comportamento degli aggressori è indistinguibile da quello dei dipendenti legittimi, soprattutto se si connettono durante il normale orario di lavoro e agli stessi sistemi.
Gli strumenti di sicurezza focalizzati sulla scansione di file dannosi e processi sospetti spesso non sono in grado di rilevare anomalie quando l’attacco si limita all’accesso di routine e alla navigazione in rete. Inoltre, quando si rubano manualmente dati tramite interfacce RDP o funzionalità RMM integrate, è difficile risalire ai file trasferiti, poiché tali azioni non lasciano artefatti di rete evidenti.
Secondo le osservazioni di FortiGuard, gli aggressori coinvolti in tali campagne continuano a utilizzare attivamente Mimikatz e le sue varianti per estrarre le password dalla memoria, e continuano a utilizzare l’exploit Zerologon per l’escalation dei privilegi. A volte, utilizzano anche manualmente utility come GMER, rinominate “strumenti di sistema”, per nascondere la propria presenza.
FortiGuard sottolinea che la protezione da tali minacce richiede un ripensamento degli approcci. Affidarsi esclusivamente ai tradizionali sistemi EDR che analizzano il codice dannoso non garantisce più una sicurezza affidabile. Una strategia basata sugli account e sul comportamento degli utenti sta diventando più efficace.
Le aziende devono creare i propri profili di attività normale e rispondere tempestivamente alle deviazioni, ad esempio accessi da posizioni geografiche insolite, connessioni simultanee a più server o attività al di fuori dell’orario di lavoro.
Si raccomanda particolare attenzione all’autenticazione a più fattori, non solo per il perimetro esterno, ma anche all’interno della rete. Anche se un aggressore ottiene una password, richiedere un’autenticazione aggiuntiva ne rallenterà i progressi e creerà maggiori possibilità di essere individuato. È inoltre importante limitare i privilegi di amministratore, impedire l’uso di account privilegiati tramite VPN e monitorarne gli spostamenti all’interno dell’infrastruttura.
FortiGuard consiglia alle organizzazioni di controllare rigorosamente l’uso di strumenti di amministrazione remota. Se tali programmi non sono necessari per motivi aziendali, è opportuno bloccarli e monitorare eventuali nuove installazioni o connessioni di rete ad essi associate. Inoltre, si consiglia di disabilitare SSH, RDP e WinRM su tutti i sistemi in cui non sono necessari e di configurare avvisi per la riattivazione di questi servizi. Secondo gli analisti, tali misure possono rilevare anche tentativi nascosti di spostamento laterale all’interno della rete.
L'articolo Addio al malware! Nel 2025 i criminal hacker entrano con account legittimi per restare invisibili proviene da Red Hot Cyber.
Adding ISA Ports To Modern Motherboards
Modern motherboards don’t come with ISA slots, and almost everybody is fine with that. If you really want one, though, there are ways to get one. [TheRasteri] explains how in a forum post on the topic.
Believe it or not, some post-2010 PC hardware can still do ISA, it’s just that the slots aren’t broken out or populated on consumer hardware. However, if you know where to look, you can hack in an ISA hookup to get your old hardware going. [TheRasteri] achieves this on motherboards that have the LPC bus accessible, with the use of a custom PCB featuring the Fintek F85226 LPC-to-ISA bridge. This allows installing old ISA cards into a much more modern PC, with [TheRasteri] noting that DMA is fully functional with this setup—important for some applications. Testing thus far has involved a Socket 755 motherboard and a Socket 1155 motherboard, and [TheRasteri] believes this technique could work on newer hardware too as long as legacy BIOS or CSM is available.
It’s edge case stuff, as few of us are trying to run Hercules graphics cards on Windows 11 machines or anything like that. But if you’re a legacy hardware nut, and you want to see what can be done, you might like to check out [TheRasteri’s] work over on Github. Video after the break.
youtube.com/embed/putHMSzu5og?…
L’aggiornamento di sicurezza per WSUS ha interrotto gli hotpatch su Windows Server 2025
Una patch straordinaria ha risolto una falla di sicurezza nel servizio di aggiornamento dei server Windows (WSUS), ma a quanto pare, ha causato l’interruzione dell’applicazione di hotpatch su determinati server Windows 2025.
Ricordiamo che Microsoft Hotpatch è una tecnologia sviluppata da Microsoft che consente di applicare aggiornamenti di sicurezza alle macchine Windows senza richiedere un riavvio del sistema. È stata introdotta inizialmente per Windows Server Azure Edition, ma Microsoft sta progressivamente estendendola ad altre versioni di Windows, incluse quelle desktop (in fase sperimentale).
La Cybersecurity and Infrastructure Security Agency (CISA) ha disposto che le agenzie governative degli Stati Uniti proteggessero i loro sistemi, dopo aver incluso tale vulnerabilità nel proprio catalogo KEV.
Attualmente, il gruppo di monitoraggio Internet Shadowserver sta seguendo oltre 2.600 istanze online di WSUS che utilizzano le porte predefinite (8530/8531), tuttavia non ha reso noto il numero di quelle già protette.
Purtroppo, l’aggiornamento di emergenza sta causando questo problema, e questo emerge dopo che diverse aziende di sicurezza informatica hanno confermato che la falla di gravità critica CVE-2025-59287 consentiva la Remote Code Executio (RCE) e che gli exploit sono online.
“Un numero molto limitato di macchine registrate per Hotpatch ha ricevuto l’aggiornamento prima che il problema venisse risolto. L’aggiornamento è ora disponibile solo per le macchine che non sono registrate per ricevere gli aggiornamenti Hotpatch”, afferma Microsoft . “Questo problema riguarda solo i dispositivi Windows Server 2025 e le macchine virtuali (VM) registrate per ricevere gli aggiornamenti Hotpatch.”
Microsoft ha interrotto la distribuzione dell’aggiornamento KB5070881 per i dispositivi Windows Server 2022 registrati con Hotpatch. Gli utenti che hanno già installato l’aggiornamento non saranno più coperti dagli aggiornamenti Hotpatch previsti per novembre e dicembre.
Gli amministratori che hanno fatto il download dell’aggiornamento affetto da bug, ma non lo hanno ancora distribuito, hanno la possibilità di risolvere il problema installando l’aggiornamento di sicurezza KB5070893.
Questo aggiornamento, rilasciato un giorno dopo KB5070881, è stato appositamente creato per risolvere la vulnerabilità CVE-2025-59287 senza influire sull’hotpatching. Per procedere, occorre accedere a Impostazioni, quindi a Windows Update e selezionare l’opzione Sospendi aggiornamenti. A questo punto, gli amministratori devono riabilitare gli aggiornamenti e cercare manualmente gli aggiornamenti disponibili per ottenere quello corretto.
L'articolo L’aggiornamento di sicurezza per WSUS ha interrotto gli hotpatch su Windows Server 2025 proviene da Red Hot Cyber.
Reproduced and Recovered: the First Chinese Keyboard-based MingKwai Typewriter
We all know what a typewriter looks like, and how this has been translated directly into the modern day computer keyboard, or at least many of us think we do. Many cultures do not use a writing system like the Roman or Cyrillic-style alphabets, with the Chinese writing system probably posing the biggest challenge. During the rise of mechanical typewriters, Chinese versions looked massive, clumsy and slow as they had to manage so many different symbols. All of them, except for one prototype of the MingKwai, which a group of Chinese enthusiasts have recently built themselves using the patent drawings.
Interestingly, when they started their build, it was thought that every single prototype of the MingKwai had been lost to time. That was before a genuine prototype was found in a basement in New York and acquired by Stanford University Libraries, creating the unique experience of being able to compare both a genuine prototype and a functional recreation.
Considered to be the first Chinese typewriter with a keyboard, the MingKwai (明快打字機, for ‘clear and fast’) was developed by [Lin Yutang] in the 1940s. Rather than the simple mechanism of Western typewriters where one key is linked directly to one hammer, the MingKwai instead uses the keys as a retrieval, or indexing mechanism.
Different rows select a different radical from one of the multiple rolls inside the machine, with a preview of multiple potential characters that these can combine to. After looking at these previews in the ‘magic eye’ glass, you select the number of the target symbol. In the video by the Chinese team this can be seen in action.
Although [Lin]’s MingKwai typewriter did not reach commercialization, it offered the first glimpse of a viable Chinese input method prior to computer technology. These days the popular pinyin uses the romanized writing form, which makes it somewhat similar to the standard Japanese input method using its phonetic kana system of characters. Without such options and within the confined system of 1940s electromechanical systems, however, the MingKwai is both an absolute marvel of ingenuity, and absolutely mindboggling even by 2020s standards.
youtube.com/embed/-IhuFgiWNS4?…
Regular Old Diodes Can Be More Photosensitive Than You Think
[Dhananjay Gadre] happened across a useful little trick the other day. Take any old 1N4148 or 1N914 glass-package signal diode and wire it up right, and you’ve got yourself a nifty little IR detector.
The trick is to treat the diode just like you would a proper IR photodiode. The part should be reverse biased with a resistor inline, and the signal taken from the anode side. Point an IR remote at your little diode and you’ll readily see the modulated signal pop up on a scope, clear as day.
The phenomenon is discussed at length over on Stack Exchange. Indeed, it’s a simple fact that most semiconductor devices are subject to some sort of photoelectric effect or another. It’s just that we stick the majority of them in opaque black packages so it never comes up in practice. In reality, things like photodiodes and phototransistors aren’t especially different from the regular parts—they’re just put in transparent packages and engineered and calibrated to give predictable responses when used in such a way.
Is this the way you’d go if your project needed an IR detector? Probably not—you’d be better served buying the specific parts you need from the outset. But, if you find yourself in a pinch, and you really need to detect some IR signals and all you’ve got on hand is glass-package signal diodes? Yeah, you can probably get it to work.
While this trick is well known to many oldheads, it’s often a lightbulb moment for many up-and-coming engineers and makers to realize this. Glass-packaged diodes aren’t the only light-sensitive parts out there, either. As we’ve explored previously, certain revisions of Raspberry Pi would reboot if exposed to a camera flash, while you can even use regular old LEDs as sensors if you’re so inclined. If you’ve got your own secret knowledge about how to repurpose regular components in weird ways, don’t hesitate to notify the tipsline!
Print-and-Clamp: Rubber Band PCB Stand Slides into Duty
When it comes to soldering on a PCB it almost always helps to have some way to hold the board off your workbench, allowing leads to pass though with out making it unstable and keeping it level while working with tiny components. This project sent in by [Mel] was born out of necessity he was going to be teaching a soldering class and needed a way to keep boards in place, and so designed this Print-in-place PCB holder.
While there are certainly a long list of products designed to serve this function [Mel] took advantage of some idle 3D printers to turn out PCB stands that require no assembly, just the addition of a rubber band and they are ready for use. Part of the challenge of print in place 3D prints is dialing in the tolerances of your design and printer, and for this [Mel] printed some smaller slider mechanisms that were quick to print and iterate with until he was happy and could start turning out the larger design using those values.
The full PCB holder includes 3 independent sliders allowing for boards of all shapes and sizes to be held. To tension the board mounts there is a slow lower down on the uprights to allow for a rubber band to be added pulling all three towards the center. Finally [Mel] included small trays between the 3 sliders to give you a convenient place to components are you assemble your board. The 3D print falls are all available for download and [Mel] also included the small slider as a 3D print for you to check your printer tollerances before you run off the final design. Thanks [Mel] for sending in your soldering tool design, it’s a great addition to some of our other soldering assistant devices we’ve featured.
Dual-Arm Mobile Bot Built on IKEA Cart Costs Hundreds, Not Thousands
There are many incredible open-source robotic arm projects out there, but there’s a dearth of affordable, stable, and mobile robotic platforms with arms. That’s where XLeRobot comes in. It builds on the fantastic LeRobot framework to make a unit that can be trained for autonomous tasks via machine learning, as well as operated remotely.
The top bin holds dual arms and a central stalk with a “head”. There’s still room left in that top bin, a handy feature that gives the robot a place to stow or carry objects.
The bottom of the cart gets the three-wheeled motion unit. Three omnidirectional wheels provide a stable base while also allowing the robot to propel itself in any direction and turn on a dime. The motion unit bolts to the bottom, but because the IKEA cart’s shelf bottoms are a metal mesh, no drilling is required.
It’s all very tidy, and results in a mobile robotics platform that is cheap enough for most hobbyists to afford, while being big enough to navigate indoor environments and do useful tasks.
Sound intriguing? You don’t even need to build one before playing with it, because it’s possible to pilot a simulated XLeRobot in VR. If you have Ubuntu and a Quest 3, you can be up and running in about 10 minutes.
The first link in this post is the project’s main page, and the GitHub repository is where the 3D models and design files live. Heavy use of 3D printing and open software means costs can be kept low, which keeps things accessible.
Want a closer look at the inner workings? Check out the build video, embedded just below.
youtube.com/embed/upB1CEFeOlk?…
MCE Blaster Translates TTL For Modern(ish) Monitors
VGA isn’t much used anymore, but it’s not hard to get a hold of monitors with that input. How about the older standards like EGA, CGA, or MDA? Well, it’s good luck on eBay or at the recycling yard to get a period-appropriate monitor, but the bulky, fragile CRTs seem to have been less likely to survive than computers that drove them. That’s what [Scrap Computer]’s MCE Blaster is for: it sits betwixt the retrocomputer’s TTL output and the VGA input of a (more) modern monitor, be it CRT or LCD.
Taking the TTL input and spitting out a properly-formatted VGA signal isn’t trivial, but with a Raspberry Pi Pico (or Pico2) sitting in the middle, there’s plenty of horsepower to act as a translator. There’s a certain irony in having a video dongle with more horsepower than your whole machine, but that’s the price of progress, perhaps. This project is cheaper and simpler to implement than others that connect to upscalers.
MCEBlaster is now on rev 0.3, which aside from adding compatibility with the Pi Pico, also allows a TLL offset. The older versions had a problem where it was possible to perfectly synchronize the sampling rate of the Pi Pico with the TLL signal from the computer’s graphics adapter… but during the crossover period between pulses, which wasn’t exactly ideal. The offset allows for that. There are also trim pots to manually adjust the R, G, and B channels. This has the fun result of allowing you to turn down the R and B channels so you can pretend your CRT has a green phosphor, or dial down the G and zero the B to get a homey amber glow. It also lets you correct the brightness, if things are looking a little dim or overblown.
The whole thing is open source on GitHub, with an active development community. We’ve embedded the rev.0.3 release video below so you can see how it works and how well it works.
Of course, CGA and EGA weren’t the only options back in the day, and we covered some of the competition before. Thanks to the open-source nature of this project, MCE Blaster may support some of them someday, too.
youtube.com/embed/SX1B-mfE6yk?…
Dentro NVIDIA: Jensen Huang guida 36 manager, 36.000 dipendenti e legge 20.000 email al giorno
Il CEO di NVIDIA, Jen-Hsun Huang, oggi supervisiona direttamente 36 collaboratori suddivisi in sette aree chiave: strategia, hardware, software, intelligenza artificiale, pubbliche relazioni, networking e assistenti esecutivi. Un cambiamento notevole rispetto ai 55 diretti riportati nel marzo 2024.
Nove dirigenti operano nel settore hardware, sette nell’intelligenza artificiale e tecnologie avanzate, e tre nelle pubbliche relazioni. Tra i principali nomi figurano Jonah Alben (Senior Vice President of GPU Engineering), Dwight Diercks (Executive Vice President of Software), Bill Dally (Chief Scientist) e Xinzhou Wu (Vice President Automotive).
Nel frattempo, il numero totale dei dipendenti NVIDIA è cresciuto del 21,6% in un solo anno, toccando quota 36.000. Un’espansione che segna la possibile transizione da un modello organizzativo orizzontale a una struttura più verticale.
L’hardware resta il cuore dell’azienda
Nonostante l’ascesa dell’intelligenza artificiale, Huang continua a concentrare l’attenzione sull’hardware, pilastro storico dell’azienda. Le divisioni che rispondono direttamente al CEO includono GPU, telecomunicazioni e sistemi DGX. Parallelamente, le tecnologie emergenti — tra cui AI, embodied intelligence e guida autonoma — stanno diventando il secondo pilastro strategico di NVIDIA.
A guidare questo settore è Xinzhou Wu, ex dirigente di Qualcomm e XPeng Motors, oggi al vertice della divisione Automotive. Sotto la sua direzione, i ricavi del comparto automobilistico NVIDIA sono quasi raddoppiati, passando da 281 a 567 milioni di dollari tra gli esercizi 2024 e 2025.
Un leader con 36 interlocutori diretti
Gestire un numero così ampio di collaboratori diretti non è comune tra i CEO del settore tecnologico. Elon Musk, ad esempio, conta 19 diretti in Tesla e solo cinque nella startup xAI. Tuttavia, Huang ha sempre sostenuto un modello orizzontale, basato sulla trasparenza e sul flusso rapido delle informazioni.
Il manager riceve ogni settimana migliaia di e-mail dai dipendenti — circa 20.000 — e risponde personalmente a molte di esse. Questa comunicazione diretta, che evita riunioni individuali, ha permesso a Huang di mantenere una visione precisa dei progetti e del mercato.
Tuttavia, con l’espansione dell’organico, questa struttura si è dimostrata sempre più complessa da mantenere. Il numero di diretti riporti è quindi sceso da 55 a 36, un segnale di progressiva verticalizzazione dell’organizzazione.
Profitti record e crescita esplosiva
Nel 2024 NVIDIA ha registrato un utile netto di 29,5 miliardi di dollari, con un incremento annuo del 600%. Nei primi tre mesi del 2025, il profitto ha già toccato 14,8 miliardi, in aumento del 628% rispetto all’anno precedente.
Questa crescita senza precedenti ha comportato anche un’espansione della forza lavoro, la più ampia degli ultimi 16 anni. Ma un’organizzazione di tali dimensioni richiede un equilibrio tra velocità decisionale e gestione del flusso informativo.
La cultura interna di Huang: disciplina e risultati
Jensen Huang è noto per il suo stile di leadership rigoroso. Niente palestre, sale relax o spazi ricreativi negli uffici NVIDIA: tutto è orientato all’efficienza. Le lunghe ore di lavoro e le scadenze continue sono considerate parte integrante della cultura aziendale.
Nonostante il suo carattere esigente, Huang è conosciuto per la fedeltà verso i dipendenti: raramente licenzia. Anche di fronte a gravi errori tecnici — come nel 2009, quando un difetto di progettazione costò 200 milioni di dollari — preferì riassegnare il personale piuttosto che allontanarlo.
Come ha affermato un dirigente di NVIDIA: “Potrebbe rimproverarti, urlarti contro o addirittura insultarti, ma non ti licenzierà mai”. Anche quando il contesto aziendale è sfavorevole e un reparto deve essere chiuso, “farà del suo meglio per riassegnare i dipendenti ad altre posizioni che ne hanno bisogno”.
La sua filosofia è riassunta in una frase spesso citata all’interno dell’azienda: “Il secondo posto è solo il primo dei perdenti.”
Con questa mentalità, Huang ha trasformato NVIDIA da produttore di schede grafiche in una potenza mondiale dell’intelligenza artificiale e del calcolo avanzato.
NVIDIA e la nuova era del calcolo ad alte prestazioni
Negli ultimi anni NVIDIA non si è limitata a dominare il mercato delle GPU, ma ha progressivamente conquistato un ruolo centrale anche nel campo del calcolo scientifico e dei supercomputer. I suoi processori alimentano oggi i sistemi più avanzati al mondo, utilizzati per la simulazione climatica, la modellazione molecolare e la ricerca sull’energia pulita. Questa espansione ha trasformato la società in un’infrastruttura essenziale della ricerca e dell’innovazione globale.
Con l’introduzione dell’architettura Blackwell, annunciata nel 2025, NVIDIA ha fatto un ulteriore salto generazionale. I nuovi chip, progettati per combinare intelligenza artificiale e calcolo classico, promettono prestazioni mai viste con una drastica riduzione dei consumi energetici. L’azienda ha già annunciato partnership con università e centri di ricerca per integrare Blackwell nei supercomputer di nuova generazione.
Questa strategia mira a rafforzare il predominio di NVIDIA nel segmento dei data center, dove oggi l’azienda controlla oltre l’80 % del mercato delle GPU per l’AI. La capacità di unire potenza computazionale e sostenibilità energetica sarà la chiave del suo vantaggio competitivo nel decennio a venire.
Una cultura aziendale forgiata sull’ambizione
Dietro ai successi tecnologici di NVIDIA si nasconde una cultura organizzativa unica, forgiata dal carisma e dalla disciplina di Jensen Huang. L’azienda si distingue per un approccio radicalmente meritocratico, dove la velocità di esecuzione e l’attenzione al dettaglio contano più delle gerarchie. Non esistono uffici lussuosi o benefit superflui: tutto è orientato all’eccellenza e all’innovazione.
Il motto interno, “No excuses, just results”, riassume la filosofia di Huang. Ogni progetto è trattato come una missione critica e ogni errore come un’occasione di miglioramento. Questa mentalità ha permesso all’azienda di superare momenti difficili, come il crollo del mercato delle criptovalute o le sfide geopolitiche legate all’export dei chip verso la Cina.
Allo stesso tempo, NVIDIA mantiene un legame di lealtà con i suoi collaboratori storici: molti dei top manager lavorano al fianco di Huang da oltre vent’anni. In un settore in cui il turnover è elevato, questa continuità interna è considerata una delle chiavi del suo successo duraturo.
L'articolo Dentro NVIDIA: Jensen Huang guida 36 manager, 36.000 dipendenti e legge 20.000 email al giorno proviene da Red Hot Cyber.
Chiuso Userbox e arrestato l’Admin dalla polizia di Mosca. Qualcosa sta cambiando
Negli ultimi mesi sembrerebbe che la Federazione Russa stia dando una vera e propria stretta al crimine informatico, in controtendenza rispetto a quanto eravamo abituati a vedere in passato, quando molti gruppi di cyber criminali operavano quasi indisturbati, spesso godendo di una sorta di protezione tacita.
Dopo gli arresti legati da parte del Ministero degli Interni Russo della gang di medusa Stealer di una settimana fa, un nuovo colpo è stato inferto con la detenzione del proprietario del bot di hacking “Userbox”, avvenuta oggi a Mosca.
Detenzione del proprietario della casella utente
Il proprietario del bot di hacking Userbox, noto anche come User_Search, è stato arrestato a Mosca, ha riferito Baza sul suo canale Telegram . Userbox è inattivo dal 1° novembre 2025. Il suo sviluppatore è accusato di accesso non autorizzato a informazioni informatiche.
Dal 1° novembre 2025, Userbox non risponde più alle richieste degli utenti. Quando si tenta di seguire un collegamento che in precedenza conduceva a una versione sbloccata del servizio IT , il browser visualizza un errore lato server. Il bot di Telegram ha smesso di funzionare dopo che le forze dell’ordine hanno fatto irruzione nel team di Userbox.
Il nome del sospettato è Igor Morozov. È accusato di accesso non autorizzato a informazioni informatiche .
Il colpo della polizia informatica di Mosca
Nel febbraio 2025, in seguito al fallimento dell’aggregatore di dati “God’s Eye”, Userbox è emerso come piattaforma sostitutiva. Previamente, nel dicembre 2024, “God’s Eye” aveva iniziato a limitare la quantità di dati resi disponibili su richiesta degli utenti, adducendo come motivazione una normativa russa più stringente. Contestualmente, il team di “God’s Eye” è stato oggetto di un’indagine penale, a partire da un sequestro eseguito nel febbraio 2025, per l’uso illecito di dati personali, ai sensi del primo comma dell’articolo 272 del Codice Penale.
Dalla primavera del 2025, il mercato russo dei bot per l’information mining ha subito cambiamenti significativi. Una nuova legislazione ha introdotto la responsabilità penale per la gestione di dati personali trapelati. Queste modifiche normative riflettono un cambiamento nell’attenzione del governo: non più sui singoli hacker, ma sull’infrastruttura IT del data trading nel suo complesso.
Di conseguenza, come riportato da CNews , circa il 40% delle piattaforme IT in lingua russa specializzate nell’open data mining ha sospeso le operazioni o chiuso i battenti. Il mercato di tali servizi IT, potrebbe migrare verso il darkweb e finire sotto il controllo di operatori stranieri.
Clienti chiave
La maggior parte delle violazioni del 2024 ha interessato rivenditori, catene di farmacie, servizi online, servizi di consegna e servizi di ristorazione , osserva Nikita Novikov, esperto di sicurezza informatica di Angara Security : “Il mercato del data mining ha acquisito un’enorme quantità di dati sulle persone: il loro indirizzo, la loro famiglia, i loro interessi e le loro preferenze. Ciò ha notevolmente semplificato il lavoro degli ingegneri sociali , che ora lo sfruttano attivamente”.
Il data mining mobile è diventato significativamente più costoso: una chiamata mensile e i dettagli di un messaggio costano più dei dati sulle transazioni di un conto bancario, sebbene anche questi ultimi siano aumentati di prezzo, ma non in modo così netto rispetto ai livelli del 2022.
L'articolo Chiuso Userbox e arrestato l’Admin dalla polizia di Mosca. Qualcosa sta cambiando proviene da Red Hot Cyber.
Europe's 'Jekyll and Hyde' tech strategy
IT'S MONDAY, AND THIS IS DIGITAL POLITICS. I'm Mark Scott, and have partnered with YouGov and Microsoft for a dinner in Brussels on Dec 10 to recap the digital policymaking highlights of 2025 and to look ahead to what is in store for next year.
If you would like to attend, please let me know here. The event will include exclusive insight from YouGov on Europeans' attitudes toward technology. Spaces are limited, so let me know asap.
— November will again show how much the European Union is split over the bloc's strategy toward technology.
— The annual climate change talks begin in Brazil on Nov 10. The tech industry's impact has gone from bad to worse.
— Big Tech firms have massively increased their spending on tech lobbying within the EU institutions. Here are the stats.
Let's get started:
Folding Lamp Becomes A Tasty Reverb Tank
If you’re a musician and you want a reverb effect, there are lots of ways to go about it. You can use software plugins, all kinds of rack-mount effects, or pedals. Or, as [David] has done, you could go with a lamp.
[David’s] build is straightforward enough in concept—he just chose a relatively unconventional item to use as a reverb tank. The lamp might seem like an odd choice, but it actually does a decent job at resonating because of its metal construction and the multiple springs that tension the structure. [David] turns the lamp into a reverb by fitting it with a Vidsonix Ghost audio transducer to put sound into the structure—picture the magnetic driver of a loudspeaker without the cone fitted, and you get the idea. Piezo elements were then used as contact mics to pick up reverberations from the lamp itself. Everything was assembled with a bunch of lab stands that give the build a rather nice aesthetic. The reverb time isn’t particularly long, but the sound is hauntingly beautiful.
You can use all kinds of random stuff as a reverb tank, even a trash can if so desired.
youtube.com/embed/JBb6G1VJM-I?…
Repurposing Dodgy Android TV Boxes As Linux Boxes
Marketplaces and e-waste recycling centers are practically overflowing with the things: ARM-based streaming TV boxes that run some — usually very outdated and compromised — version of Android. While you can use them for their promised streaming purposes, they’re invariably poorly optimized and often lie about their true hardware specifications. Which leaves the most important question: can you install Linux on these SBCs and use them as a poor man’s Raspberry Pi alternative? The answer, according to [Oleksii’s Tech] on YouTube is ‘sorta’.
The commonly seen X96Q clone Android TV box that [Oleksii] bought for $10 is a good example. The clone advertises itself as based on a quad-core Cortex-A53 AllWinner H313 SoC, like the genuine X96Q, but actually has a Rockchip RK3229 inside with correspondingly far lower performance. After you have determined what the actual hardware inside the box is, you can get a copy of Armbian for that particular SoC. Here, the Rk322x-box minimal image was used, with the box booting straight off an SD card. Some Android TV boxes require much more complicated methods to even boot off external media, so this was a lucky break.
Continuing the hardware scam, it was advertised as having 2 GB of RAM and 16 GB of Flash, but it actually has just 1 GB of RAM and 8 GB of eMMC Flash. This was enough to get Armbian desktop up and running, but that’s about all you can do on the desktop. Desktop application performance was atrocious, mostly due to the CPU’s quad Cortex-A7 cores struggling to keep up.
As also suggested in the comments, the best use for these low-spec SBCs is probably to run light server applications on them, including Pi-Hole, Samba, an IRC bouncer, and so on. They’re pretty low-power, often have the requisite Ethernet built in, and it keeps another bit of potential e-waste from getting scrapped.
youtube.com/embed/b1UIIlYLM4I?…
Quando Google indicizza anche l’inganno! Le reti fantasma scoperte da RHC che penalizzano la SERP
Analisi RHC sulla rete “BHS Links” e sulle infrastrutture globali di Black Hat SEO automatizzato
Un’analisi interna di Red Hot Cyber sul proprio dominio ha portato alla luce una rete globale di Black Hat SEO denominata “BHS Links”, capace di manipolare gli algoritmi di Google attraverso backlink automatizzati e contenuti sintetici.
Molti di questi siti, ospitati su reti di proxy distribuite in Asia, generavano backlink automatizzati e contenuti sintetici con l’obiettivo di manipolare gli algoritmi di ranking dei motori di ricerca.
Queste infrastrutture combinavano IP rotanti, proxy residenziali e bot di pubblicazione per simulare segnali di traffico e autorità, una strategia pensata per rendere l’attacco indistinguibile da attività organica e per aggirare i controlli automatici dei motori di ricerca.
Dalle infrastrutture asiatiche a “BHS Links”
Nel corso dell’indagine però, tra i vari cluster osservati, uno in particolare ha attirato l’attenzione per dimensioni, coerenza e persistenza operativa: la rete non asiatica denominata “BHS Links”, attiva almeno da maggio 2025.
A differenza dei gruppi asiatici frammentati, BHS Links si presenta come un ecosistema strutturato di “Black Hat SEO as a Service”, che sfrutta automazione, tecniche antiforensi e domini compromessi per vendere ranking temporanei a clienti anonimi di vari settori, spesso ad alto rischio reputazionale (scommesse, pharma, trading, adult).
Architettura e domini coinvolti
L’infrastruttura di BHS Links comprende decine di domini coordinati, tra cui:
- bhs-links-anchor.online
- bhs-links-ass.online
- bhs-links-boost.online
- bhs-links-blast.online
- bhs-links-blastup.online
- bhs-links-crawlbot.online
- bhs-links-clicker.online
- bhs-links-edge.online
- bhs-links-elite.online
- bhs-links-expert.online
- bhs-links-finder.online
- bhs-links-fix.online
- bhs-links-flux.online
- bhs-links-family.online
- bhs-links-funnel.online
- bhs-links-genie.online
- bhs-links-hub.online
- bhs-links-hubs.online
- bhs-links-hive.online
- bhs-links-info.online
- bhs-links-insight.online
- bhs-links-keyword.online
- bhs-links-launch.online
- bhs-links-move.online
- bhs-links-net.online
- bhs-links-power.online
- bhs-links-pushup.online
- bhs-links-rankboost.online
- bhs-links-rise.online
- bhs-links-signal.online
- bhs-links-snap.online
- bhs-links-spark.online
- bhs-links-stack.online
- bhs-links-stacker.online
- bhs-links-stats.online
- bhs-links-storm.online
- bhs-links-strategy.online
- bhs-links-target.online
- bhs-links-traffic.online
- bhs-links-vault.online
- bhs-links-zone.online
Ogni dominio funge da nodo di ridistribuzione: aggrega backlink, genera nuove pagine, replica codice HTML da siti legittimi e rimanda al canale Telegram ufficiale t.me/bhs_links.
Molti domini sono protetti da Cloudflare e ospitati su server offshore, rendendo difficile la tracciabilità. I log forensi indicano anche filtraggio selettivo di Googlebot e pattern di cloaking deliberato.
Cloaking attivo rilevato su bhs-links-blaze.online
Un test condotto da RHC tramite curl con differenti User-Agent ha evidenziato un comportamento di cloaking selettivo, pratica vietata dalle Google Search Essentials.
C:\Users\OSINT>curl -I -A "Googlebot/2.1 (+google.com/bot.html)" bhs-links-blaze.online
HTTP/1.1 403 Forbidden
Server: cloudflare
C:\Users\OSINT>curl -I -A "Mozilla/5.0 (Windows NT 10.0; Win64; x64)" bhs-links-blaze.online
HTTP/1.1 200 OK
Server: cloudflare
Il sito blocca deliberatamente i crawler di Google, rendendo invisibili i propri contenuti promozionali per evitare penalizzazioni. La regola Cloudflare è simile a:
Regola: Block Googlebot
Condizione: (http.user_agent contains “Googlebot”)
Azione: Block
Dal punto di vista forense, si tratta di una tecnica antiforense deliberata, utile a eludere i controlli automatici di Google, nascondere la rete di clienti e backlink generati artificialmente e disturbare l’analisi OSINT basata su crawling.
Target italiani e sfruttamento del “trust locale”
Durante l’analisi del codice sorgente di più domini BHS, RHC ha rilevato centinaia di link verso siti italiani legittimi, tra cui:
Ansa, repubblica.it, gazzetta.it, fanpage.it, legaseriea.it, adm.gov.it, gdf.gov.it, liceoissel.edu.it, meteofinanza.com, aranzulla.it, superscudetto.sky.it.
Tutti i domini citati sono vittime passive di citazione algoritmica e non coinvolti in attività illecite.
Questi siti web non sono compromessi: vengono citati in modo passivo per sfruttarne la reputazione. È una strategia basata sul cosiddetto trust semantico, dove la semplice co-occorrenza tra un sito affidabile e un dominio malevolo induce l’algoritmo a interpretare quest’ultimo come credibile. In altre parole, BHS Links non buca i siti, ma li usa come riflettori reputazionali. Una tattica che consente ai clienti di ottenere boost di ranking temporanei, soprattutto nei settori gambling, forex e adult.
Come nascondono i link
Nel codice sorgente delle pagine analizzate compare un elemento ricorrente: una lista racchiusa in un blocco <ul style="display:none">. Questa sintassi HTML/CSS significa letteralmente “crea una lista non ordinata, ma non mostrarla all’utente”, il browser riceve il markup ma non lo rende visibile perché la regola CSS display:none impedisce la visualizzazione dell’elemento e di tutto il suo contenuto.
A prima vista può sembrare innocuo, ma in realtà rappresenta una delle tattiche più subdole del cloaking semantico: i link vengono resi invisibili ai visitatori umani, ma restano presenti nel sorgente e dunque leggibili dai crawler dei motori di ricerca.
In questo modo il network BHS Links inietta decine di riferimenti nascosti verso domini esterni, forum, casinò online e siti di affiliazione, tutti corredati dal marchio “TG @BHS_LINKS – BEST SEO LINKS – https://t.me/bhs_links”. Il server può servire due versioni della stessa pagina, una pubblica e “pulita” per gli utenti e una destinata ai bot, oppure lasciare lo stesso HTML che, pur essendo nascosto via CSS, viene comunque indicizzato come shadow content: un contenuto fantasma che vive nel codice ma non sulla pagina visibile.
Googlebot e altri crawler analizzano il sorgente e i link anche quando sono nascosti tramite CSS; di conseguenza i riferimenti invisibili vengono interpretati come segnali di co-occorrenza e autorevolezza, attribuendo al dominio malevolo una falsa credibilità. In termini pratici, BHS Links crea così un ponte reputazionale artificiale tra i propri domini e portali reali (testate giornalistiche, siti regolamentati, blog autorevoli). Per l’utente tutto appare normale; per l’algoritmo si tratta invece di una rete ricca di collegamenti tematici e autorevoli. È proprio questa discrepanza, tra ciò che vede l’uomo e ciò che interpreta l’algoritmo, a rendere l’avvelenamento semantico così efficace e difficile da individuare.
Le prove dell’inganno semantico: oltre l’iniezione
In tutti i casi analizzati, dopo l’iniezione di codice già descritta, le evidenze tecniche convergono su altri due indizi ricorrenti che completano la triade dell’inganno semantico:
- hash differenti tra la versione “normale” e quella servita a Googlebot,
- rotazione semantica dei blocchi dinamici del CMS
Questi elementi, nel loro insieme, costituiscono la firma tecnica ricorrente dell’operazione BHS Links.
Gli Hash divergenti
Gli hash SHA-256 calcolati per ogni file confermano con precisione la manipolazione semantica.
Nel caso d’esempio, i valori rilevati mostrano due versioni distinte della stessa pagina:
2C65F50C023E58A3E8E978B998E7D63F283180495AC14CE74D08D96F4BD81327→normal.html, versione servita all’utente reale6D9127977AACF68985B9EF374A2B4F591A903F8EFCEE41512E0CF2F1EDBBADDE→googlebot.html, versione destinata al crawler di Google
La discrepanza tra i due hash è la prova più diretta di cloaking attivo: il server restituisce due codici HTML diversi a seconda di chi effettua la richiesta.
Il file diff.txt, con hash FF6B59BB7F0C76D63DDA9DFF64F36065CB2944770C0E0AEBBAF75AD7D23A00C6, documenta le righe effettivamente differenti tra le due versioni, costituendo la traccia forense della manipolazione.
Ecco invece come appare uno dei siti citati, rimasto intatto e non alterato da cloacking
La rotazione semantica: la riscrittura invisibile
Dopo la verifica degli hash, l’analisi del codice rivela un’ulteriore strategia di manipolazione: la rotazione semantica dei contenuti.
In questo schema, il CMS Bitrix24 genera blocchi dinamici con ID diversi a seconda dello user-agent. I file normal.html e googlebot.html mostrano lo stesso contenuto ma con ordine invertito, una rotazione semantica che modifica la priorità logica dei link interni. Agli occhi di Googlebot il sito appare semanticamente riscritto: alcune sezioni, spesso quelle contenenti riferimenti nascosti al marchio BHS Links, acquisiscono un peso maggiore nel grafo semantico, influenzando la valutazione di autorevolezza. È una manipolazione invisibile ma precisa, che agisce sulla gerarchia cognitiva dell’algoritmo.
Per verificare l’anomalia, RHC ha confrontato le due versioni di alcuni siti acquisite in locale: normal.html (utente reale) e googlebot.html (crawler Google).
Nel codice servito a Googlebot compaiono ID di sezione diversi generati dal CMS, come helpdesk_article_sections_lGqiW e helpdesk_article_sections_0A6gh, mentre nella versione normale gli stessi blocchi assumono ID differenti, ad esempio C7TgM e pAZJs.
Questa variazione non cambia l’aspetto visivo della pagina, ma modifica la struttura logica letta dal motore di ricerca: Googlebot interpreta i contenuti con una gerarchia diversa, assegnando maggiore rilevanza a certi link interni. È il meccanismo della rotazione semantica: una riscrittura invisibile che orienta la comprensione algoritmica della pagina.
Nel codice della versione per bot, è inoltre presente una riga che non esiste nel file normale:form.setProperty("url_page","https://helpdesk.bitrix24.it/open/19137184/,TG @BHS_LINKS - BEST SEO LINKS - https://t.me/bhs_links")
Il furto semantico: quando il Black Hat SEO diventa un’arma reputazionale
Le stesse tecniche di manipolazione semantica impiegate dal network BHS Links, se rivolte contro domini legittimi, si trasformano in Negative SEO: un’arma reputazionale capace di contaminare i risultati di ricerca, duplicare contenuti e indurre l’algoritmo di Google a svalutare la fonte originale.
Il caso Red Hot Cyber
Durante l’analisi, RHC ha documentato la duplicazione dell’headline istituzionale
“La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.”
Questa frase, appartenente al portale ufficiale Red Hot Cyber, è comparsa su portali spam e domini compromessi di varia provenienza, accostata a titoli pornografici o clickbait.
Le evidenze raccolte mostrano risultati su Google come:
peluqueriasabai.es— Donna cerca uomo Avezzano contacted the booker and set uprestaurantele42.fr— Emiok OnlyFans porn I have seen a few delightful FBSMlucillebourgeon.fr— La Camila Cruz sex total GFE and I walked away as superbenedettosullivan.fr— Baad girl Sandra her images caught my eye and I had timeserrurier-durand.fr— Sexs web the girl is a striking bisexual African American
In tutti i casi, la descrizione sotto il titolo riportava il testo di Red Hot Cyber, creando un effetto paradossale:
contenuti pornografici o spam presentati con il tono di una testata di cybersecurity affidabile.
Questo meccanismo è il cuore del furto semantico: l’algoritmo di Google unisce automaticamente titolo e descrizione in base a indizi semantici, generando risultati ibridi e apparentemente credibili.
Così, brand reali e frasi autorevoli diventano involontarie esche reputazionali per spingere in alto network malevoli.
Nel caso Red Hot Cyber, la frase originale è stata estratta dal dominio principale, indicizzata in cache e riutilizzata per costruire falsi snippet di autorevolezza, che rafforzano l’immagine di affidabilità dei siti compromessi.
È una forma di Negative SEO di terza generazione: non distrugge direttamente il sito bersaglio, ma ne riutilizza l’identità per ingannare gli algoritmi di ranking e, con essi, la percezione stessa della reputazione digitale.
Il secondo livello dell’inganno: il circuito TDS
Dietro al furto semantico si nasconde una struttura più profonda e funzionale: il Traffic Direction System (TDS) della rete BHS Links.
L’analisi dei dump HTML e delle stringhe Base64 decodificate ha permesso di risalire a questa infrastruttura, progettata per smistare e monetizzare il traffico manipolato attraverso il SEO.
I reindirizzamenti individuati puntano verso un gruppo stabile di domini che costituisce il cuore del circuito dating-affiliate della rete, attivo da mesi e già osservato in contesti internazionali.
Tra i principali, seekfinddate.com agisce come nodo centrale di smistamento, presente nella quasi totalità dei dump analizzati.
Da lì, il traffico viene indirizzato verso romancetastic.com, singlegirlsfinder.com, finddatinglocally.com, sweetlocalmatches.com e luvlymatches.com, che operano come landing page di reti di affiliazione riconducibili a circuiti come Traffic Company, AdOperator e ClickDealer.
A collegare questi livelli si trovano domini-ponte come go-to-fl.com, bt-of-cl.com e bt-fr-cl.com, che mascherano i redirect e spesso si appoggiano a Cloudflare per nascondere l’origine del traffico.
Completano la catena front-end alternativi come mydatinguniverse.com, chilloutdate.com, privatewant.com e flirtherher.com, che reindirizzano dinamicamente in base all’indirizzo IP, alla lingua o al dispositivo dell’utente.
In pratica, le pagine compromesse o sintetiche della rete BHS includono redirect cifrati che portano prima ai nodi TDS e poi alle landing di affiliazione o alle truffe a tema dating.
L’analisi dei parametri (tdsid, click_id, utm_source, __c) conferma il tipico schema di tracciamento d’affiliazione: una pagina BHS, un dominio TDS (ad esempio seekfinddate.com), e infine una landing commerciale o fraudolenta.
Ospitati su reti proxy distribuite in Asia e protetti da Cloudflare, questi siti generano backlink e contenuti sintetici per ingannare i motori di ricerca, simulando popolarità e autorevolezza.
L’analisi incrociata degli indirizzi IP e dei sistemi autonomi (ASN) conferma la sovrapposizione infrastrutturale tra i due livelli della rete.
I domini del circuito “dating-affiliate”, come seekfinddate.com, romancetastic.com, singlegirlsfinder.com e mydatinguniverse.com, risultano ospitati su Amazon AWS (AS16509), mentre i domini del network BHS Links, come bhs-links-zone.online, bhs-links-anchor.online e bhs-links-suite.online, sono serviti da Cloudflare (AS13335).
Questa doppia architettura lascia pensare a una divisione di ruoli precisa: Amazon ospita i nodi di smistamento e monetizzazione, mentre Cloudflare garantisce l’offuscamento e la persistenza dei domini SEO.
La ripetizione degli stessi blocchi IP e la coincidenza tra ASN dimostrano che si tratta di un’infrastruttura coordinata, in cui la reputazione viene manipolata su un fronte e monetizzata sull’altro.
Caso correlato: il cluster “Permanent Backlinks” e la rete delle repliche sincronizzate
Durante l’indagine sul network BHS Links, Red Hot Cyber ha identificato un secondo gruppo di portali riconducibile al dominio permanentbacklinks.com, che mostra affinità strutturali e operative con le reti analizzate in precedenza.
Il sito si configura come una piattaforma architetturale dedicata alla gestione automatizzata di backlink, con logiche compatibili con i cluster di link building già osservati.
A differenza dei domini BHS, focalizzati sulla manipolazione diretta dei segnali di ranking e sul cloaking selettivo, il cluster Permanent Backlinks agisce come back-end infrastrutturale, un hub di raccolta, replica e distribuzione di liste di domini progettato per alimentare più istanze con dataset identico.
Non ospita vere “directory SEO”, ma costruisce ecosistemi coerenti che si auto-riferiscono per resistere alle penalizzazioni e garantire continuità ai clienti.
Il dominio permanentbacklinks.com rappresenta il fulcro di questa rete di repliche sincronizzate, che include, tra gli altri, livebacklinks.com, backlinks.directory, addurl.pro, addurl.pw, linkwebdirectory.com e publicdirectory.in.
Questi ultimi si comportano come satellite d’invio: il modulo “Add Your Link” consente di inserire un dominio o un link, mostrando nella stessa pagina la sezione “Rules & Regulations” ,con limiti di 255 caratteri, esclusione dei domini scaduti, guest submission disabilitata e promessa di “delivery report” visibili solo all’interno dell’account.
Subito sotto il form compare un secondo pulsante, “Proceed to permanentbacklinks.com”, che rimanda esplicitamente al sito madre.
Il funzionamento è chiaro: l’utente compila il modulo sul portale satellite, ma per più link viene indirizzato all’hub centrale per completare o acquistare il servizio. Non si tratta quindi di una directory autonoma, bensì di un frontend promozionale e funzionale collegato all’hub principale, incaricato di raccogliere traffico e invii.
Analisi tecnica e risultati PowerShell
Le analisi condotte da RHC con ambiente PowerShell su otto portali del cluster, tra cui addurl.pro, addurl.pw, livebacklinks.com, backlinks.directory, linkwebdirectory.com, publicdirectory.in, onlinelinkdirectory.com e permanentbacklinks.com, hanno evidenziato un’infrastruttura generata in modo uniforme.
Le pagine HTML presentano dimensioni simili e una struttura pressoché identica, con variazioni minime nel markup riconducibili a un medesimo builder.
Solo permanentbacklinks.com espone un modulo attivo (action="/search/websites.php?", campo q), a conferma del suo ruolo di nodo operativo principale, mentre gli altri siti, pur privi di form visibili, condividono lo stesso dataset e layout funzionale.
Sette portali, tra cui addurl.pro, addurl.pw, livebacklinks.com, backlinks.directory, linkwebdirectory.com, publicdirectory.in e onlinelinkdirectory.com, condividono lo stesso blocco HTML “Contact Us”, con hash identico e path unificato (/contact-us/).
Questo elemento, apparentemente secondario, costituisce un indicatore architetturale chiaro dell’impiego di un builder o di un motore di pubblicazione comune, coerente con un sistema multi-istanza gestito da un nodo centrale. L’analisi del codice evidenzia inoltre la presenza di una Google Maps API key esposta su permanentbacklinks.com, mentre gli altri domini non restituiscono alcuna chiave, suggerendo il riuso di asset e configurazioni all’interno dello stesso ecosistema.
La discrepanza nei risultati di VirusTotal è significativa:
permanentbacklinks.com viene rilevato da Kaspersky come “phishing”, mentre gli altri risultano “puliti” per tutti i motori.
La differenza riflette il diverso ruolo dei due domini nella rete: il primo funge da hub centrale interattivo, con moduli e redirect attivi, mentre il secondo opera come mirror passivo, privo di form o chiamate POST.
In questo contesto, il rilevamento non implica un comportamento fraudolento in senso stretto, ma una corrispondenza euristica con schemi tipici delle piattaforme di raccolta dati o automazione SEO.
È un segnale tecnico coerente con un’infrastruttura a più livelli, dove solo il nodo centrale gestisce effettivamente il flusso delle richieste.
Con un elevato grado di confidenza tecnica, l’insieme di tutte le evidenze discusse descrive un sistema di repliche sincronizzate, in cui i portali satellite operano come interfacce di raccolta e vetrine di servizio, mentre l’hub centrale gestisce la propagazione e la sincronizzazione dei contenuti.
Non è stato rilevato un inoltro automatico dei dati, la verifica richiederebbe l’analisi dei pacchetti POST e degli header HTTP, ma la coerenza di struttura, regole e collegamenti suggerisce una gestione centralizzata dei dataset, tipica di una piattaforma di link automation distribuita.
Inoltre, l’analisi automatizzata condotta in PowerShell ha restituito un output coerente con questa interpretazione, evidenziando corrispondenze tra i domini e la presenza di mirror attivi sullo stesso root IP o su subnet contigue.
Le informazioni WHOIS mostrano date di registrazione e rinnovo sincronizzate, mentre le sezioni di output dedicate agli hash e alle “fingerprint HTML parziali” indicano la presenza di un builder comune.
Regole interne e firma: il cuore dell’architettura di inganno algoritmico, repliche sincronizzate (non mirror 1:1)
Il punto non è quanti siti compongano la rete, ma come vengono replicati.
Le differenze tra gli hash SHA-256 dimostrano che non si tratta di copie statiche, ma di versioni generate dallo stesso motore con piccole variazioni di markup, un comportamento coerente con un sistema multi-istanza sincronizzato progettato per eludere la correlazione diretta.
Le analisi condotte da RHC mostrano che le pagine /domain-list-321 dei vari domini elencano le stesse sequenze di record, con gli stessi ID e la stessa struttura.
In particolare, il record #320166 associato a redhotcyber.com compare in posizione identica e con stato “Active” su tutte le istanze, rappresentando la firma di un dataset centralizzato che alimenta più nodi.
Il punto
In chiave OSINT, la logica è chiara: stesso dataset, renderer diversi.
La rete riduce la possibilità di tracciamento algoritmico ma conserva pattern ricorrenti, come struttura, ID dei record e elementi di fiducia, che la rendono riconoscibile a un’analisi forense.
Perché compare “Red Hot Cyber” (e a cosa serve davvero)
La ricorrenza di redhotcyber.com nel dataset non genera backlink editoriali né valore SEO reale: serve a truccare il contesto semantico.
È trust spoofing: in mezzo a domini casuali, inserire riferimenti a portali noti e legittimi, come testate, enti pubblici o siti tech, eleva artificialmente la percezione di autorevolezza (“se A cita B, allora A deve essere affidabile”).
In questo schema, Red Hot Cyber non è un destinatario reale ma un elemento di reputazione simulata, usato come decorazione di fiducia.
Non si tratta quindi di una rete che vende link, ma di un’infrastruttura che vende fiducia apparente, replicando in modo sincronizzato gli stessi dataset su più domini.
In sintesi, la rete non crea autorevolezza: la imita.
E nel farlo, utilizza brand legittimi per mascherare una struttura industriale di ranking fittizio, progettata per sopravvivere anche dopo la sua individuazione.
Le evidenze tecniche confermano l’esistenza di un builder unificato: meta tag, librerie JavaScript (jQuery, Popper, Bootstrap) e la variabile window._trfd con identificatore dcenter:"sg2" risultano identici su tutte le istanze. Anche il footer, con la dicitura “© aboutdirectory.com 2025”, è invariato.
Tutti i domini principali risolvono su IP della stessa area (Singapore, AS26496 – GoDaddy.com LLC), organizzati in due segmenti: 184.168.x.x per il core stabile e 118–119.139.x.x per la capacità elastica e le repliche di backup.
Questo design suggerisce un sistema “churn and replace”: una logica di rotazione selettiva che consente di rimpiazzare rapidamente un dominio compromesso senza interrompere la distribuzione del dataset.
Permanent Backlinks funge così da nodo di persistenza del più ampio ecosistema BHS Links, garantendo la continuità del segnale e replicando i contenuti su più host sincronizzati.
Il “peccato capitale” SEO: la manipolazione dei link
Il Black Hat SEO racchiude le tattiche che violano i termini di servizio di Google per manipolare i ranking dei motori di ricerca. Tra queste, la più nota è il link building manipolativo, ovvero la creazione massiva di backlink artificiali per simulare autorevolezza.
Nei primi anni del web le directory rappresentavano uno strumento legittimo di visibilità. Con l’evoluzione del SEO aggressivo la logica è mutata: la qualità ha lasciato spazio alla quantità, generando network automatizzati di link come quelli analizzati nel cluster BHS Links da Red Hot Cyber.
Con gli aggiornamenti Panda e Penguin Google ha introdotto filtri per penalizzare schemi di linking innaturali. Servizi come permanentbacklinks.com, basati su migliaia di link non curati, rientrano oggi tra i casi di unnatural linking, esposti al rischio di penalità algoritmica o manuale. Gli algoritmi riconoscono ormai con facilità pattern geometrici e ripetizioni di struttura (la cosiddetta impronta algoritmica) che rivelano la natura artificiale della rete.
Negative SEO: confine e relazione con il Black Hat SEO (BHS)
Se il Black Hat SEO mira a costruire un’autorevolezza fittizia, il Negative SEO rappresenta il suo rovescio: le stesse tecniche trasformate in un’arma reputazionale. Non servono più a far salire un sito nei risultati, ma a farne scendere un altro, erodendo la fiducia che l’algoritmo ripone nel dominio colpito.
In questa declinazione offensiva, strumenti come link farm, reti PBN (Private Blog Network), cloaking o reindirizzamenti ingannevoli vengono utilizzati non per promuovere, ma per contaminare. Il bersaglio si ritrova improvvisamente circondato da migliaia di backlink tossici o da copie spurie dei propri contenuti, fino a subire una penalizzazione algoritmica o manuale. La logica si inverte: ciò che nel Black Hat SEO è costruzione artificiale di autorevolezza, nel Negative SEO diventa demolizione della reputazione altrui.
La linea che separa i due fenomeni è sottile ma sostanziale. Il primo serve a gonfiare la visibilità di chi lo adotta, il secondo a distruggere quella di un concorrente. Entrambi manipolano l’algoritmo, ma in direzioni opposte: il Black Hat fabbrica fiducia, il Negative SEO la corrode.
A rendere il fenomeno ancora più insidioso è la sua ambiguità operativa. Molti servizi nati con finalità promozionali, come la vendita di backlink o i pacchetti di guest post su siti compromessi, finiscono per produrre effetti collaterali di Negative SEO anche senza intenzione diretta. La diffusione automatizzata di link su larga scala, priva di filtri di qualità o controllo sull’origine dei domini, genera una rete di contaminazioni digitali che colpisce indistintamente vittime e aggressori. In questo ecosistema distorto, la linea di confine tra promozione e sabotaggio si dissolve, e il posizionamento sui motori di ricerca diventa un campo di battaglia dove la reputazione è la prima vittima.
Rilevamento e analisi dei segnali di attacco SEO
La diagnostica forense SEO parte spesso da segnali visibili direttamente nella Google Search Console (GSC), che rappresenta il primo strumento di allerta in caso di inquinamento o attacco.
Tra i sintomi più frequenti si osservano:
- un crollo improvviso del traffico organico, non giustificato da aggiornamenti di algoritmo o stagionalità;
- una perdita anomala di ranking su keyword strategiche, spesso sostituite da risultati di siti di scarsa qualità;
- la comparsa di Azioni manuali per link non naturali o contenuti sospetti.
Questi indizi, presi insieme, suggeriscono che il dominio possa essere stato esposto a campagne di link tossici o schemi di manipolazione tipici del Negative SEO. Da qui si procede all’analisi tecnica dei backlink, alla verifica dei referral sospetti e all’eventuale bonifica tramite strumenti di disavow.
Audit dei backlink
L’audit dei backlink è una delle fasi più importanti nella diagnosi di compromissioni SEO.
Attraverso l’analisi sistematica dei collegamenti in ingresso, è possibile distinguere i link organici e progressivi, generati nel tempo da contenuti autentici o citazioni spontanee, da quelli artificiali o tossici, prodotti in modo massivo da reti automatizzate come BHS Links.
Un’analisi di questo tipo non si limita a contare i link, ma valuta la qualità semantica, la coerenza tematica e la distribuzione geografica delle sorgenti. Quando numerosi backlink provengono da domini appena registrati, con struttura HTML simile o ancore ripetitive, il segnale diventa chiaro: si è di fronte a un ecosistema costruito per alterare il ranking.
Nel caso specifico di BHS Links, il tracciamento dei collegamenti ha evidenziato pattern ricorrenti: picchi improvvisi di link in uscita, ancore manipolate con parole chiave commerciali, e riferimenti incrociati verso directory nascoste. Tutti indizi tipici di un’operazione di SEO artificiale, mirata non solo a spingere i propri domini, ma anche a inquinare semanticamente quelli legittimi collegati.
Risposta e mitigazione
Quando un dominio mostra segnali di compromissione o riceve backlink tossici, la prima azione consiste nel mappare e isolare i domini sospetti. I link dannosi possono essere raccolti in un semplice file di testo (.txt, codifica UTF-8) nel seguente formato:
domain:bhs-links-hive.online
domain:bhs-links-anchor.online
domain:bhs-links-blaze.online
domain:backlinks.directory
Il file va poi caricato nella Google Search Console, sezione Disavow Tool, per comunicare al motore di ricerca di ignorare i link provenienti da quei domini. È importante monitorare nel tempo gli effetti dell’operazione: la rimozione dell’impatto negativo può richiedere settimane, a seconda della frequenza di scansione del sito da parte di Googlebot.
In caso di penalizzazione manuale, è possibile presentare una richiesta di riconsiderazione, fornendo una documentazione chiara delle azioni intraprese:
- descrivere il tipo di manipolazione o attacco subito (p.es. link innaturali, contenuti generati automaticamente);
- spiegare in dettaglio le misure correttive adottate (rimozione e/o disavow dei link, bonifica del server, rimozione di contenuti spam);
- allegare documentazione pertinente (per esempio screenshot, elenco dei cambiamenti, file di disavow, registri delle richieste di rimozione link) per illustrare l’intervento;
- verificare che il sito sia accessibile a Googlebot (nessun blocco in robots.txt, pagine chiave indicizzabili e sitemap aggiornate)
Difesa preventiva e monitoraggio
Una strategia di difesa realmente efficace passa dalla prevenzione continua e dal controllo costante dell’ecosistema digitale. Le pratiche più raccomandate includono:
- audit periodici dei backlink (almeno mensili), per intercettare rapidamente picchi anomali o nuovi domini di provenienza sospetta;
- verifica regolare dei file .htaccess e robots.txt, per individuare tempestivamente eventuali iniezioni di codice, redirect non autorizzati o blocchi impropri al crawler;
- monitoraggio dei DNS e delle classi IP condivise (Class C), utile per individuare co-hosting rischiosi o connessioni con reti compromesse;
- formazione SEO interna e sensibilizzazione del personale, per evitare la collaborazione con fornitori o agenzie che utilizzano tecniche “black hat” mascherate da strategie di link building aggressive
I danni causati da una operazione di SEO Negativa
Un’operazione di SEO negativa può iniziare con una serie di azioni malevole mirate a compromettere la sua reputazione agli occhi dei motori di ricerca. Gli attaccanti possono, come in questo caso, generare migliaia di backlink di bassa qualità da siti spam o penalizzati, facendo sembrare che il portale stia tentando di manipolare artificialmente il proprio posizionamento. Questo tipo di attacco può indurre Google a ridurre la fiducia nel dominio, con un conseguente calo drastico del ranking organico e una perdita significativa di traffico.
Un caso tipico è la duplicazione dei contenuti, e questo può avvenire quando elementi distintivi del portale, come headline originali o slogan, vengono copiati e riutilizzati da siti terzi in modo malevolo. Ad esempio, l’headline “La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.”, originariamente concepita per promuovere la filosofia di Red Hot Cyber, è stata rilevata in diversi post pubblicati su portali sconosciuti o di scarsa qualità, come visto in precedenza, utilizzati per pratiche di black SEO.
I danni derivanti da un’operazione di black SEO possono essere profondi e di lunga durata, andando ben oltre la semplice perdita di posizionamento sui motori di ricerca. Oltre al calo di traffico organico e alla riduzione della visibilità, il portale può subire un deterioramento della fiducia sia da parte degli utenti sia degli algoritmi di ranking. Quando un sito viene associato, anche indirettamente, a pratiche di spam, link farming o duplicazione di contenuti, i filtri di Google e Bing possono applicare penalizzazioni algoritmiche o manuali che richiedono mesi per essere rimosse.
In sostanza, in ambito digitale, la fiducia è un capitale che si perde in un giorno e si ricostruisce in mesi: una volta compromessa, nessuna ottimizzazione tecnica può restituirla immediatamente
Conclusioni
Questo articolo non nasce per raccontare l’ignoto, ma per spiegare.
Le reti di backlink automatizzate e le tecniche di Black Hat SEO sono note agli addetti ai lavori, ma raramente vengono descritte nel loro funzionamento reale.
Red Hot Cyber le ha analizzate con metodo OSINT e test tecnici verificabili, documentando con rigore come manipolano la fiducia algoritmica e la percezione di autorevolezza.
Non si tratta di puntare il dito, ma di comprendere un meccanismo che altera la trasparenza della rete, per restituire alla comunità la conoscenza di ciò che opera nell’ombra della SERP.
Quando la fiducia è l’unico algoritmo che non si può corrompere, difendere la trasparenza non è più una scelta tecnica, ma un atto di resistenza digitale.
L'articolo Quando Google indicizza anche l’inganno! Le reti fantasma scoperte da RHC che penalizzano la SERP proviene da Red Hot Cyber.
Presunto Data Leak da EY: 4 TB di Backup SQL Esposti su Cloud Azure
Negli ultimi giorni il presunto data leak di Ernst & Young (EY) è diventato uno dei temi più discussi nel panorama della cybersecurity internazionale.
Ho deciso di ricostruire la vicenda passo dopo passo, partendo dalle evidenze tecniche condivise da Recorded Future e dall’analisi di Neo Security, per capire non solo come è avvenuta l’esposizione, ma anche cosa può insegnarci sul controllo degli asset digitali in ambienti cloud complessi come quelli di EY.
Il file, in formato .BAK, era raggiungibile senza autenticazione e potrebbe aver contenuto informazioni sensibili, come chiavi API, credenziali di servizio e token di autenticazione.
Recentemente si sono verificati episodi di blocchi riguardanti AWS e Microsoft Azure, a causa di configurazioni di accesso errate. Questi eventi fanno apparire il cloud come una fortezza fragile, che può essere compromessa da un semplice guasto o da una configurazione scorretta.
L’episodio, pur essendo stato risolto rapidamente e senza evidenze di accessi malevoli, apre interrogativi sulla sicurezza post-acquisizione e sulla gestione della superficie d’attacco cloud.
La “cartografia digitale” di Neo Security
Come spiegato nel post ufficiale di Neo Security e nel report di Recorded Future, la scoperta è avvenuta durante un’operazione di attack surface mapping finalizzata a mappare le esposizioni pubbliche di grandi organizzazioni internazionali.
Durante la scansione, il team ha individuato un file .BAK accessibile senza autenticazione e ha eseguito una HEAD request, una richiesta HTTP che consente di leggere solo le intestazioni del file senza scaricarlo.
La risposta — HTTP 200 OK con un Content-Length di circa 4 TB — è bastata per capire che si trattava di un backup di dimensioni imponenti, potenzialmente contenente dati interni di grande valore.
Attraverso un’analisi dei metadati DNS e SOA, il bucket è stato collegato al dominio ey.com, riconducendolo all’infrastruttura EY.
In seguito, i ricercatori hanno identificato il file come un backup completo di Microsoft SQL Server, comprensivo non solo dello schema e dei dati applicativi, ma anche di possibili credenziali, chiavi API, token OAuth e password di servizio.
Dentro l’indagine di Neo Security
Neo Security descrive il proprio lavoro non come una semplice attività di scanning, ma come una vera e propria “cartografia digitale del rischio”, volta a individuare ciò che spesso le organizzazioni stesse ignorano di possedere.
Durante questa mappatura, il team ha rilevato l’anomalia su Azure e, attraverso una serie di richieste HTTP passive, ha confermato che il bucket era pubblicamente accessibile e conteneva un file di backup di circa 4 TB.
Secondo i ricercatori, la causa risiede in una ACL (Access Control List) configurata in modo errato: probabilmente un processo di backup automatizzato impostato su public per effetto di impostazioni di default troppo permissive.
Dopo la segnalazione, EY ha reagito con prontezza, chiudendo l’esposizione entro circa una settimana e collaborando con Neo Security nella fase di triage.
Pur non essendoci prove di un’esfiltrazione, il team sottolinea che i dati “potrebbero essere stati visibili a più soggetti durante la finestra temporale”, data la presenza costante di scanner automatici nel cyberspazio.
L’esposizione nel tempo digitale
Nel suo articolo, Neo Security amplia la riflessione con un esempio concreto che rende perfettamente l’idea di cosa accade quando un asset cloud diventa pubblico anche solo per pochi minuti.
L’autore racconta di un precedente incident fintech, in cui un ingegnere aveva accidentalmente impostato come pubblico un bucket Amazon S3 e poi, dopo appena cinque minuti, aveva corretto l’errore convinto di essere al sicuro.
Non lo era affatto. In quei pochi minuti, l’intero database — con dati personali, credenziali e segreti aziendali — era già stato intercettato e copiato.
“Gli attaccanti non scansionano casualmente. Dispiegano migliaia di scanner automatizzati in ogni angolo di Internet.
Dispositivi IoT compromessi? Botnet. Router domestici violati? Botnet. Istanze cloud bucate? Botnet.”
(Neo Security, “The 4 TB Time Bomb”)
Queste reti di scanner distribuiti non “navigano” come utenti umani: setacciano costantemente l’intero spazio IPv4 — oltre 4,3 miliardi di indirizzi — in pochi minuti, sfruttando un’infrastruttura massicciamente parallela e ottimizzata per un solo scopo: trovare dati esposti.
È una sorta di “corsa all’oro automatizzata”, in cui ogni secondo conta. Ogni nuovo bucket S3, blob Azure o storage GCS configurato male diventa immediatamente bersaglio di migliaia di richieste simultanee.
Il tempo che separa lo stato misconfigured da exfiltrated non si misura più in ore o minuti, ma in secondi.
Nel caso citato da Neo Security, l’azienda vittima aveva registrato un picco anomalo del 400% sul traffico del sito web proprio in quei cinque minuti di esposizione: non erano utenti, ma bot automatizzati che scandagliavano ogni endpoint, alla ricerca di altri varchi.
Pochi minuti dopo, il database era già nei circuiti underground e l’azienda, schiacciata dal danno reputazionale e dai costi legali, non si è mai ripresa.
Questo esempio non serve a drammatizzare, ma a chiarire un punto fondamentale:
in un mondo dove le botnet scandagliano in tempo reale l’intera Internet, non esiste “errore temporaneo”. Anche un’esposizione di pochi istanti basta perché i dati vengano individuati, copiati e diffusi.
La dichiarazione EY
A seguito della divulgazione, EY ha diffuso una nota ufficiale:
“Several months ago, EY became aware of a potential data exposure and immediately remediated the issue. No client information, personal data, or confidential EY data has been impacted. The issue was localised to an entity that was acquired by EY Italy and was unconnected to EY global cloud and technology systems.”
La società precisa che l’incidente non avrebbe coinvolto la rete globale, ma una entità acquisita da EY Italia, separata dall’infrastruttura centrale del gruppo.
La dichiarazione di EY ha un tono rassicurante, ma mette in luce un punto critico spesso sottovalutato: la gestione della sicurezza nelle entità acquisite.
Ogni acquisizione porta con sé infrastrutture, procedure e talvolta vulnerabilità ereditate. Se questi ambienti non vengono integrati e sottoposti agli stessi standard globali, possono trasformarsi in punti ciechi nel perimetro di sicurezza.
Nel caso EY, non si tratta di un attacco sofisticato, bensì di un errore di configurazione in un ambiente ereditato. Tuttavia, in un contesto globale e distribuito, un singolo bucket dimenticato può generare un impatto reputazionale enorme — anche senza una violazione effettiva dei dati.
Impatto e raccomandazioni di Recorded Future
Nel suo commento finale, l’analista del team CTI di Recorded Future ricorda che, considerato il ruolo di EY nella gestione di audit, finanza e M&A, un’esposizione di questo tipo — se sfruttata — avrebbe potuto avere conseguenze regolatorie, operative e reputazionali.
L’azienda raccomanda di:
- riesaminare periodicamente le ACL e le policy di accesso ai bucket cloud;
- implementare strumenti di Cloud Security Posture Management (CSPM) per identificare configurazioni errate;
- adottare soluzioni di Attack Surface Management (ASM) per garantire una visibilità costante sugli asset esposti.
Il caso EY dimostra che oggi la sicurezza nel cloud non dipende solo da firewall o crittografia, ma dalla consapevolezza completa degli asset digitali. Un singolo bucket mal configurato può trasformarsi in una bomba da 4 terabyte, pronta a esplodere sulla reputazione di un colosso globale.
Che l’origine sia una società acquisita in Italia o un processo di backup automatizzato, l’insegnamento resta lo stesso:
“You can’t defend what you don’t know you own.”
Non puoi difendere ciò che non sai di possedere — una frase che riassume perfettamente il cuore della sicurezza cloud moderna.
Fonti:
- NeoSecurity: “The 4TB time bomb: when EY’s cloud went public (and what it taught us)”
- SDXCentral: EY subject of whopping 4TB data breach following cloud migration error
- Cyber Security News: EY Data Leak – Massive 4TB SQL Server Backup Exposed Publicly on Microsoft Azure
- Recorded Future
L'articolo Presunto Data Leak da EY: 4 TB di Backup SQL Esposti su Cloud Azure proviene da Red Hot Cyber.
Is This The Last PCB You’ll Ever Buy?
Breadboards are great, but as the world moves more and more to having SMD as a standard, prototyping straight PCBs is becoming more common. If you’re mailing off to China for your PCBs, it’s shockingly quick for what it is, but a one-week turnaround is not “rapid prototyping”. [Stephen Hawes] has been on a quest on his YouTube channel for the ideal rapid-prototyping PCB solution, and he thinks he’s finally got it.
Now, if you’re only doing single-layer PCBs, this is a solved problem. You can mechanically mill, or laser cut, or chemically etch your way to PCB perfection, far faster than the Chinese fabs can get you a part. If you want a double-sided board, however, vias are both a pain in the keister to do yourself, and a rate-limiting step.
[Stephen Hawes] hit on the idea of buying a bulk set of PCBs from the usual vendors. The boards will be simple copper pours with vias in a grid with just a bit of etching. PCB Vendors are good at that, after all, and it’s not going to cost much more than raw copper. [Stephen] then uses the template of this “viagrid” board to lay out the circuit he’s prototyping, and it’s off to the races.
Or, off to the laser, rather. Unlike the fiber laser he showed us previously, [Stephen] is now recommending a diode-pumped solid state (DPSS) laser, as they can blast the copper off without burning FR4 substrate. Given that the vias are now part of the design, everything needs to line up perfectly, so his viagrid PCB design has a few features to lock it in using LightBurn’s “frame” feature. The DPSS laser barely shows up on the copper, but shines brilliantly off the fiberglass, and VIGrid takes advantage of this fact. He’s also got a 3D printed jig to hold everything in alignment once it’s dialed in, even for running off many boards.
This laser is just as fast as the fiber laser, giving you PCBs in minutes. And while vias are apparently best left to the professionals, through-hole components can easily be accommodated, with the laser able to cut the FR4 on request. All of his lightburn and files for the varigrid PCB are available on GitHub. [Stephen] is also looking for collaborators to see if this technique can be used without the very-expensive Commarker laser, and to come up with a better name than varigrid.
As [Stephen] says in the video, if you combine this with a pick-and-place and a reflow oven, you can go from design to a working two-layer PCB in about 90 minutes, which is a very exciting prospect for engineering companies and maker-spaces alike. Words like “game-changing” get thrown around a lot, but this just might warrant it, at least for those who have a need for speed and can afford the tools.
What do you think? Is viagrid the rapid-prototyping revolution we’ve been waiting for, or is the headline of this article still subject to Betteridge’s Law?
Thanks to [Keith Olson] for the tip.
youtube.com/embed/A_IUIyyqw0M?…
3D Printering: Liquid-Filled Filament Was Not On Our Bingo Card
[Prusa] have a number of announcements, and one of the more unusual ones is that liquid printing is coming to the Prusa XL. Specifically, printing in real, heat-resistant silicone (not a silicone-like plastic) is made possible thanks to special filament and a special toolhead. It’s the result of a partnership with Filament2, and the same process could even be used to print with other liquids, including chocolate.
The process is as unusual as it is clever. The silicone is a two-part formula, but there is no reservoir or pump involved. Instead, there are two filaments, A and B. When mixed, they cure into solid silicone.
What is unusual is that these filaments have a liquid core. Upon entering the extruder, the outer sheath is cut away, and the inner liquid feeds into a mini mixing nozzle. The nozzle deposits the mixed silicone onto the print, where it cures. It isn’t clear from the demo where the stripped outer casing goes, but we assume it must get discarded or is possibly stowed temporarily until it can be removed.
Liquid-core filament is something we certainly didn’t have on our bingo card, but we can see how it makes sense. A filament format means the material can be handled, fed, and deposited precisely, benefiting from all of the usual things a filament-based printer is good at doing.
What’s also interesting is that the liquid toolhead can co-exist with other toolheads on the XL; in fact, they make a point of being able to extrude silicone as well as the usual thermoplastics into the same print. That’s certainly a trick no one else has been able to pull off.
There are a few other announcements as well, including a larger version of their Core One printer and an open-source smart spool standard called OpenPrintTag, a reusable and reprogrammable NFC insert for filament spools that gives you all of the convenience of automating color and material reading without the subtle (or overt) vendor lock-in that comes with it.
Watch a demo of the new silicone extruder in the video, embedded just under the page break. The new toolhead will be 1,009 USD when it launches in early 2026.
youtube.com/embed/Ugew7tXiU38?…
Does 3D-Printed Foam Make Good Custom Tires?
Wouldn’t it be nice to 3D print an entire custom tire for small robots? It sure would, so [Angus] of [Maker’s Muse] decided to investigate whether nifty new filaments like expanding TPU offer anything new in this area. He did more than just print out a variety of smooth tires; he tested each with a motorized platform attached to a load cell, driving on a dusty sheet of MDF to simulate the average shop floor, or ant weight combat robot arena.
Why bother making your own wheels? As [Angus] points out, when one is designing their own robots from scratch, it’s actually quite difficult to find something off the shelf that is just the right size. And even if one does find a wheel that is just right, there’s still the matter of fitting it to the shaft. Things would be so much easier if one could simply 3D print both wheel and tire in a material that performs well.
Here’s what he found: Siraya Tech’s TPU air filament (about 70A on the Shore hardness scale) performed the best. This is TPU plus a heat-activated additive that foams up during extrusion, resulting in a flexible print that looks and feels more like foam than usual TPU. It makes a promising tire that performs as well as it looks. Another expanding filament, PEBA air (also from Siraya Tech) didn’t look or perform as well, but was roughly in the same ballpark.
Both performed better than the classic DIY options of 3D-printed plain TPU, or laser-cut EVA foam. It’s certainly a lot less work than casting custom tires.
What about adding a tread pattern? [Angus] gave it a try. Perhaps unsurprisingly, a knobby tire has worse traction compared to a smooth tire on smooth MDF. But sometimes treads are appropriate, and as [Angus] points out, if one is 3D printing tires then adding treads comes at essentially zero cost. That’s a powerful ability.
Even if you are not interested in custom wheels, that foaming TPU filament looks pretty nifty. See for yourself in the video, embedded just below. If you find yourself finding a good use for it, be sure to drop us a tip!
youtube.com/embed/Ky633_6OA6U?…
2025 Component Abuse Challenge: A Piezo Disk Powers A Transmitter
A piezo disk transducer is a handy part for reproducing beeps and boops, and can also function as a rudimentary microphone. Being a piezoelectric element, it can also generate usable power. Enough to run a radio transmitter? [b.kainka] is here to find out, with what may be the simplest possible transmitter circuit.
The active element in the circuit, such as it is, comes from a crystal. This functions as an extremely stable and high Q tuned circuit. When excited by a pulse of electricity, the circuit will carry oscillations in a similar manner to a bell ringing until the pulse is exhausted. A small lever fashioned from a piece of wire supplies the voltage by flexing the piezo disk and a contact, a diode discharges the reverse voltage as the disk returns to shape, and a small capacitor provides an AC path to ground. It works, if a small pulse of very low-power RF near the crystal’s frequency can be described as working.
It may not be the most practical transmitter, but it’s certainly something we’ve not seen before. It’s part of our 2025 Component Abuse Challenge, for which you still have time to make an entry yourself if you have one.
Pi Zero Powers A Little Indoor Rover
Not every robot has to be big. Sometimes, you can build something fun that’s better sized for exploring your tabletop rather than the wastelands of Mars. To that end, [philosiraptor] built the diminutive PITANK rover.
As you might guess from the name, the rover is based on the Raspberry Pi Zero 2. It uses the GPIO pins to output PWM signals, commanding a pair of servos that drive the tracks on either side of the ‘bot. The drivetrain and chassis are made from 3D-printed components. Controlling the robot is handled via a web interface, which [philosiraptor] coded in C# to be as responsive as possible. So you can see where you’re driving, the ‘bot is also kitted out with a camera to provide a live video feed.
Given its low ground clearance and diminutive size, you’re not going to go on big outdoor adventures with PITANK. However, if you wish to explore a nice flat indoor environment, its simple tracked drivetrain should do nicely. We’ve featured a great many rovers over the years; if you’ve got a particularly special one, don’t hesitate to notify the tipsline!
Building a Rubik’s Cube That Solves Itself
If you’re really good, it’s possible to solve a Rubik’s Cube in under 10 seconds. For the rest of us, though, it can be an exceedingly tedious task. For that reason, you might like a Rubik’s Cube that can solve itself, like the one [zeroshot] is trying to build.
What [zeroshot] built is essentially a very small robotic platform inside the center section of an existing Rubik’s Cube. It uses five gear motors that are assembled into the cube’s core, which have enough torque to rotate the individual faces quite easily. While six motors would allow more efficient solves in fewer moves, it was easier to fit just five motors inside the cube, and they’d still get the job done. The motors are controlled by an ESP32, hooked up to a bank of DRV8833 motor drivers. For now, the cube is still a work in progress. While the core can move the faces, [zeroshot] is trying to figure out how to best tackle the problem of feedback in the limited space available. After all, the ESP32 needs to know where the faces are if it’s to make the right moves to reach a solved state. Soldering wires between individual modules can be quite space inefficient; this is one build that might benefit from being integrated onto a single tiny PCB.
We’re used to seeing robots that grab a Rubik’s cube and solve it for you; we haven’t seen a lot of cubes that solve themselves. Regardless, this feat has been achieved before. Video after the break.
youtube.com/embed/pwk_pV98Wiw?…
Building A DIY Ryzen-Based PC!
This project gives a whole new meaning to DIY PC. We don’t know how capable you were as a teenager, but could you have designed your own Ryzen-based mini PC?
Whilst making repairs to laptop internals, [Dominik Baroński] was busy taking notes. Modern super-integrated laptop PCs have reached the point where all the functions of a complete PC are embedded in a single chip. But it’s a big, complicated chip with very specific feeding and care needs. Once you’ve figured out what it needs, it ‘merely’ remains to supply it power, hook up some DDR4 RAM, PCIe storage, and some USB ports, and you’re away. It sounds easy when you say it like that, but do not underestimate how difficult it is to create such a board—or even to populate it by hand—yet that’s precisely what [Dominik] has achieved.
The first video is a time-lapse of the soldering process, which isn’t very interesting beyond the fact that they didn’t even waste time making a solder paste stencil and just ran with manual tinning and hot-air reflow. Well, we guess it works, but you wouldn’t want to build a whole batch this way! Anyway, the second video, produced by YouTuber [Coleslav], is originally in Polish, but auto-dubbed to English for the rest of us, and whilst a bit long-winded, does give a flavor of how [Dominik] approached this project. There are quite a few interesting little technical details that [Coleslav] has teased out of [Dominik] when interviewing them for the video, such as they noticed that certain laptop manufacturers were reusing older PMU circuits designed to power DDR2 RAMs by tricking the controller into operating at lower DDR4 voltages by tweaking resistor values, rather than specifying a ‘proper’ (i.e. more expensive) DDR4 compliant device and redesigning the circuit. [Dominik] relied heavily on the Saturn PCB toolkit for calculating differential pairs and other physical PCB aspects to make it possible to design the circuit in KiCAD with just six layers on a minuscule 100 mm x 100 mm outline. Quite a feat!
There were issues with using certain chips that were available to buy, but the documentation was leaked, so the seller was likely not authorized. But the biggest problem is the BIOS, which was duplicated from a similar laptop. [Dominik] hopes to find help to get coreboot running on this board, at which point the archaic keyboard and system controller (now called the EC) can be junked in favor of a more hacker-friendly STM32 setup.
No PCB footprint for the Ryzen chip was available either. [Dominik] created it using a Python script that read the SVG view of the ball-out downloaded from the WikiChip site. The pad positions were known, but the names still needed to be entered manually. All 1140 of them. Once the mappings were entered, schematic symbols could be generated to complete the schematic. Next, they created a 3D model using ChatGPT to write a Python script that read in the ball positions and spat out an STL file that could be molded into a complete footprint! [Dominik] has made a short write-up on Hackaday.io with a few images, and hopefully, more details will appear in the coming months. We’ll be keeping an eye on this young maker over the next few years; we have a feeling great things are coming.
Whilst we’re on the subject of building PCs, here’s a DIY gaming laptop with a twist. At the other end of the complexity scale, here’s a neat DIY computer built from scratch.
youtube.com/embed/9TmLN8_jEKs?…
youtube.com/embed/QdZX7VL1nzk?…
Thanks to [JM] for the tip!
Scopri cos’è il ransomware. Tecniche, tattiche e procedure del cybercrime da profitto
Capire davvero cos’è il ransomware non è semplice: tra notizie frammentate e articoli tecnici, chi cerca risposte rischia di perdersi in un mare di informazioni confuse. Questo articolo nasce per fare chiarezza, offrendo una spiegazione completa e accessibile di come funziona il ransomware e del mondo criminale che lo alimenta.
Negli ultimi anni le cronache sono piene di notizie su grandi violazioni informatiche, riscatti milionari, gang cybercriminali, servizi di RaaS (Ransomware-as-a-Service) e perfino presunti conflitti cibernetici tra bande criminali. Per chi non lavora nel settore della sicurezza, termini come questi possono risultare oscuri e generare confusione. In questo articolo spiegheremo che cos’è il ransomware e come funziona il business — altamente redditizio — del crimine informatico organizzato. Offriremo un’analisi completa: partiremo dal modello di “affiliazione” e proseguiremo descrivendo tecniche, tattiche di attacco e metodi di estorsione usati dagli operatori del fenomeno.
Il ransomware cos’è
Nell’immaginario popolare, si pensa che la criminalità informatica sia legata a singoli individui con abilità informatiche eccezionali. Ma se vuoi estorcere milioni di dollari a una grande azienda, non puoi fare tutto da solo, hai bisogno di una “squadra”, ovvero: Un gruppo di hacker criminali con competenze informatiche diversificate, avanzate e verticali, che frequentano il Dark Web e che con molta probabilità vivono in Russia.
Infatti, la stragrande maggioranza dei criminali informatici non dispone di tutte le capacità tecniche necessarie per fare da soli e quindi creare malware, estorcere denaro, penetrare le aziende. Ecco appunto che nasce la RaaS, la Ransowmare as a Service, dei criminali informatici che collaborano in modo “organizzato”, per un unico scopo: estorcere tanto più denaro possibile ad una ipotetica organizzazione.
La criminalità informatica è esplosa negli ultimi anni perché i criminali si sono “specializzati” e “sotto-specializzati” in modo che ognuno potesse concentrarsi su un determinato obiettivo, su una singola fase del processo di violazione ed estorsione e tutto questo funziona terribilmente (purtroppo) bene.
La piramide del RaaS
Per RaaS, come abbiamo detto, si intende “Ransomware as a Service”, quindi Ransomware come “servizio”, un modello di business criminale dove la violazione viene condotta da un gruppo di criminali informatici militarmente organizzati. Ora analizzeremo questa piramide a tre livelli, per comprendere al meglio il suo funzionamento e la divisione dei compiti tra i criminali informatici.
Gli sviluppatori
Al primo livello troviamo gli “Sviluppatori”. Si tratta di esperti nella scrittura dei malware, di crittografia, che li realizzano, li aggiornano continuamente, creano strumenti per poter fornire sviluppate dashboard e sistemi di comando e controllo agli “affiliati”, capaci di gestire tutta la fase di infezione, che come vedremo è la fase ultima “attiva” di un attacco ransomware, prima di passare all’estorsione. Gli sviluppatori mettono a disposizione anche degli strumenti di supporto tecnico per gli affiliati, in modo che questi possano avere delle risposte immediate dagli sviluppatori su problematiche tecniche.
Gli Affiliati
Al secondo livello abbiamo gli “Affiliati”. Si tratta di altri criminali informatici che affittano il ransomware dagli sviluppatori e conducono la reale attività di attacco e di estorsione, accedendo alle reti della vittima e rimangono al suo interno per molto tempo, esfiltrando quanti più dati sensibili che gli consentiranno un ulteriore livello di persuasione nel caso in cui l’azienda non vorrà pagare la richiesta di riscatto, che vedremo nel secondo articolo.
Gli affiliati, quindi, affittano il ransomware dagli sviluppatori, accettando o concordando le provvigioni all’interno di forum underground chiusi (come i forum nelle darknet su presentazione), ma anche su forum accessibili presenti nel clearweb, come ad esempio il noto XSS.is.
Gli affiliati, in molti casi, per poter accedere ad una rete di una grande azienda, possono acquistare l’accesso dalla terza e ultima entità nella piramide RaaS, ovvero i broker di accesso.
I broker di accesso
Questi ultimi, sono di fatto dei gruppi di criminali informatici che violano le reti delle azienda per acquisirne persistenza. Sono molto esperti di tecniche di penetration test e, una volta acquisito l’accesso alla rete di una grande organizzazione, la mettono in vendita nei forum underground per poche migliaia di dollari. Gli affiliati, spesso sono clienti dei broker di accesso, in quanto consentono di velocizzare il loro flusso di lavoro, mettendo loro a disposizione accessi illeciti già verificati e disponibili e a basso costo.
L’organizzazione
Ovviamente la RaaS esiste quando c’è una organizzazione da violare. Questa organizzazione normalmente ha endpoint esposti su internet non correttamente configurati o aggiornati, che permettono ai broker di accesso di accedere all’interno delle loro reti.
Queste aziende spesso vengono identificate attraverso motori di ricerca quali Shodan, Zoomeye, Censys, IVRE che permettono di individuare con facilità le risorse esposte su internet di una organizzazione e le relative vulnerabilità esposte. Come spesso abbiamo detto, la RaaS non ha come obiettivo una specifica azienda, spesso colpisce una grande azienda, solo perché lascia una firma “indelebile” sul web delle sue intrinseche vulnerabilità dovute ad una errata postura cyber al suo interno.
Lo scenario di attacco
Ora che abbiamo scoperto tutti gli attori nel grande gioco del RaaS, ci addentreremo sul modello di attacco e quindi scopriremo le modalità di iterazione tra i tre livelli del RaaS. Ma per prima cosa iniziamo a mostrarvi la grafica numerata del percorso di attacco per semplificarci la lettura.
Ora comprenderemo con precisione tutti i passi che vengono effettuati in questa perfetta e militare organizzazione criminale che consentirà, qualora il tutto funzioni a dovere di estorcere grandissime quantità di denaro.
- I “broker di accesso”, violano le organizzazioni per acquisire persistenza nelle loro reti e mettono in vendita tali accessi nei forum underground;
- Gli “affiliati” acquistano dai “broker di accesso”, gli accessi alle reti maggiormente appetibili, per poter velocizzare e sviluppare l’attacco;
- Gli “affiliati” affittano il ransomware dagli “sviluppatori” e accettano o si accordano sulle provvigioni. Alle volte depositando delle caparre nei forum underground, che potranno essere utili per il pagamento degli “sviluppatori” o dei “broker di accesso” in caso di scomparsa del gruppo affiliato;
- Gli “sviluppatori” forniscono il ransomware agli “affiliati” provvisto di documentazione e dashboard di controllo, oltre a tutto il supporto specialistico che potrà essere utilizzato in caso di necessità da parte degli “affiliati”;
- Gli “affiliati”, utilizzando le falle acquisite dai “broker di accesso” per penetrare nella rete della vittima, rimanendo silenti per molti giorni, fino a quando non avranno prelevato una serie di informazioni sensibili che li aiuteranno nella “seconda estorsione” (che vedremo nel successivo articolo). Inoltre gli “affiliati”, procedono alla rimozione di tutti i backup presenti nei file-system, in modo da rendere ancora più difficile la ricostruzione dei dati, anche su macchine che non verranno cifrate dal ransomware. Una volta compiute queste attività, possono procedere all’avvio del ransomware;
- L’organizzazione si accorge del ransomware e si avviano le negoziazioni tra “l’organizzazione” violata e gli “affiliati”, fino al pagamento del riscatto. Gli affiliati potranno fare leva sui dati sensibili esfiltrati minacciando di pubblicarli in rete, oltre che contattare le testate giornalistiche e le figure apicali dell’azienda (come vedremo nel successivo articolo) per aumentare la pressione. L’organizzazione si avvarrà di esperti che cureranno le “trattative” con gli “affiliati”, per arrivare alla miglior “negoziazione” del pagamento del riscatto.
- L’azienda a questo punto paga il riscatto agli “affiliati” utilizzando la criptovaluta, generalmente in bitcoin e gli “affiliati”, forniscono la chiave di decrittazione dei contenuti cifrati dal ransomware;
- Gli “affiliati” spartiscono le provvigioni con gli “sviluppatori”.
La distribuzione dei guadagni
Qualsiasi pagamento di riscatto effettuato da una vittima viene suddiviso tra l’affiliato e lo sviluppatore del ransomware. Nel caso di DarkSide (il ransomware che ha bloccato Colonial Pipeline), lo sviluppatore del malware prendeva il 25% per riscatti inferiori a 500.000 dollari, ma tali provvigioni scendevano al 10% per riscatti superiori a 5 milioni di dollari.
Tutto questo viene definito con delle politiche descritte nei blog degli “sviluppatori” o nei forum underground come ad esempio XSS del quale abbiamo parlato molto di recente. Questa divisione dei pagamenti dei riscatti risulta molto chiara da vedere sulle blockchain, con le diverse azioni che separano i portafogli Bitcoin controllati dagli affiliati e dallo sviluppatore.
Se parliamo di DarkSide, lo sviluppatore ha ricevuto bitcoin per un valore di 15,5 milioni di dollari (17%), con i restanti 74,7 milioni di dollari (83%) destinati ai vari affiliati.
In totale, a DarkSide sono stati effettuati poco più di 90 milioni di dollari in pagamenti di riscatto in bitcoin, provenienti da 47 portafogli distinti.
Questo fa comprendere con relativa precisione il numero di vittime violate che hanno pagato un riscatto. Ad esempio, secondo DarkTracer, 99 organizzazioni sono state infettate dal malware DarkSide, suggerendo che circa il 47% delle vittime ha pagato un riscatto e che il pagamento medio era pari a 1,9 milioni di dollari.
Altre ruoli nella RaaS e forme di outsourcing
Come abbiamo visto, la RaaS ruota principalmente attorno a “sviluppatori” ed “affiliati”, ma esistono anche altre figure che mano a mano stanno prendendo forma facendo divenire la RaaS una vera e propria organizzazione aziendale, con ruoli diversificati e molteplici attività di outsourcing.
Sviluppatori SDK/Librerie
I criminali informatici che sviluppano infrastrutture che vengono rivendute agli sviluppatori di Ransomware per velocizzare il loro ciclo di sviluppo del software, come ad esempio i sistemi di pagamento in criptovaluta, i blog, e così via.
Si tratta a tutti gli effetti di componenti software criminali, che vengono acquistate dagli sviluppatori di ransomware che utilizzano all’interno delle loro soluzioni, esattamente come si stesse progettando un software lecito, utilizzano software di terze parti.
Operatori di Negoziazione
Per poter massimizzare il profitto in situazioni nelle quali le aziende sono reticenti a pagare il riscatto e per massimizzare gli sforzi messi in atto per violare e crittografare una determinata azienda, la RaaS può avvalersi su persone specializzate nella gestione dei “negoziati” tra l’azienda violata e il gruppo RaaS.
Infatti, diversi attori si stanno avvalendo di figure che gestiscono l’aspetto della negoziazione, oltre ad accumulare pressione verso l’azienda, ad esempio tramite chiamate, attacchi DDoS (Distributed Denial-of-Service) e minacce tra cui la perdita di informazioni rubate durante un l’attacco ransomware, insomma delle persone specializzate in pura “estorsione”, che possano facilitare l’attività di pagamento da parte dell’azienda.
Tecniche di estorsione
Il ransomware non è rimasto immutato dalla sua comparsa. Si può tracciare una linea che parte dal primo caso noto — il Trojan AIDS di Joseph Popp — e arriva ai casi più recenti e sofisticati come WannaCry, Maze, REvile DarkSide. Nel tempo sono cambiate le capacità tecniche dei malware, ma soprattutto si sono evolute le strategie di ricatto: i gruppi criminali hanno trasformato l’attacco informatico in un modello economico sempre più articolato e remunerativo.
Per comprendere l’attuale panorama, è utile distinguere tre principali tattiche di estorsione che si sono affermate progressivamente.
- Estorsione tramite cifratura (single extortion)
La tecnica originaria e ancora praticata consiste nel bloccare l’accesso ai dati critici della vittima mediante cifratura. Gli attaccanti chiedono un riscatto in cambio della chiave di decrittazione. Questo è il meccanismo che caratterizzava i primi ransomware e che rimane alla base di molti attacchi odierni. - Estorsione tramite pubblicazione dei dati (double extortion)
Quando la vittima rifiuta di pagare, gli aggressori ricorrono a una seconda leva: l’esfiltrazione e la minaccia di pubblicare informazioni sensibili. Questa strategia, nota come double extortion, combina la cifratura con la fuga di dati, aumentando la pressione psicologica, legale e commerciale sulla vittima — il rischio di danni reputazionali o di violazione della privacy spesso spinge le organizzazioni a trattare. - Estorsione estesa e pressione esterna (triple extortion e varianti)
Da diversi anni è emersa una terza dimensione dell’estorsione, volta ad aumentare ulteriormente la leva sul bersaglio. I criminali non si limitano a cifrare e a minacciare la pubblicazione dei dati: contattano giornalisti per ottenere visibilità sull’incidente, avvisano clienti o partner commerciali della vittima, o in alcuni casi si rivolgono direttamente a figure apicali dell’organizzazione usando informazioni riservate per ricattarli personalmente. Questa tattica amplia la catena del rischio — coinvolge stakeholder esterni e sfrutta la pressione pubblica e relazionale per forzare il pagamento
L’aggiunta di più livelli estorsivi ha trasformato il ransomware da semplice strumento tecnico a leva strategica multifattoriale: la vittima affronta non solo il blocco operativo, ma anche possibili danni legali, perdite di clienti e un danno d’immagine difficile da quantificare. Per questo motivo molte imprese oggi non considerano più i backup come unica difesa, ma integrano misure di risposta che contemplano anche la gestione della comunicazione, la negoziazione e il coinvolgimento di consulenti legali e specialisti in incident response.
Attacco e persistenza
Come abbiamo visto, i “broker di accesso”, hanno grandi capacità tecniche offensive, capaci di violare una organizzazione, pertanto a loro spetta il compito di penetrare il sistema dell’azienda e rivendere i punti di accesso agli “Affiliati”, che rimarranno all’interno delle reti fino a quando non avranno trovato dei dati tendenzialmente sensibili, capaci di ricattare la vittima attraverso la doppia estorsione, modalità introdotta da Maze (una cyber-gang ad oggi non più attiva) a fine del 2019.
Tutti sembrano concordare sul fatto che le tattiche, le tecniche e le procedure utilizzate dagli “affiliati” e dai “broker di accesso”, riflettono un modo di azione comune che incorpora un mix di funzionalità native di Windows , malware commodity e strumenti di red team pronti all’uso come Cobalt Strike, Mimikatz, powershell e backdoor .NET.
I “broker di accesso” infatti, hanno buone competenze nelle attività di penetration-test mentre gli “affiliati”, si muovono lateralmente per accedere alle infrastrutture che contengono i dati più preziosi, come ad esempi i reparti di ricerca e sviluppo, il reparto di finanza e controllo oppure l’ufficio Human Resource, con l’intento di prelevare quante più informazioni “sensibili” dall’organizzazione.
Una volta stabilita la persistenza, la banda criminale può rimanere all’interno di una organizzazione anche per 45 giorni, ma è noto che il numero dei giorni può arrivare fino a 90 (quindi 3 mesi, che di fatto possiamo paragonarlo ad un attacco APT, un Advanced persistent threat), e solo dopo aver prelevato quante più informazioni possibili utili alla seconda estorsione, avviano il payload del ransomware.
Dobbiamo quindi comprendere che il momento in cui viene percepito l’attacco informatico da parte degli utenti (qualora non sia stato rilevato un accesso in precedenza), è la fine del lavoro “tecnico”, svolto dai criminali informatici.
La richiesta di riscatto
Il ransomware, a questo punto effettua il suo lavoro, cifra i dati presenti all’interno dei server e mostra a video un programma che riporta che il computer è stato infettato, il prezzo per decifrare i dati e il tempo entro quando occorrerà pagare il riscatto. Nel caso di Ransomware come REvil (Sodinokibi), passato quel periodo, la cyber-gang raddoppia il costo del riscatto.
Schermata di blocco del ransomware REvil (Sodinokibi)
Inoltre viene prodotto un file (anche se sono molteplici le forme di azione), dove viene scritto cosa dovrà fare l’organizzazione per ottenere la chiave di cifratura che gli consentirà la decifrazione dei dati. Nello specifico viene riportato di “non perdere tempo”.
Vengono inoltre riportate le istruzioni per accedere al sito nella rete onion in totale sicurezza, specificando che è consigliato l’utilizzo di una VPN e di TOR browser. Una volta acceduto con TOR al sito .onion, occorrerà specificare un codice generalmente visualizzato dal programma sullo schermo del computer e quindi procedere con il pagamento del riscatto.
File di testo che riporta le istruzione di recupero.
Operazione di estorsione multiforme
Di recente sono state osservate una moltitudine di nuove tecniche di estorsione, capaci di aumentare la pressione verso l’organizzazione e quindi indurla a pagare il riscatto.
Ad esempio, nell’incidente subito dalla Vastaamo (una clinica psichiatrica finlandese), dopo aver cifrato i dati, gli affiliati hanno proceduto ad informare i suoi clienti che i dati delle loro cartelle cliniche sarebbero stati resi pubblici. Infatti 300 cartelle cliniche vennero pubblicate nel darweb e l’azienda fallì.
In altri casi, si è assistito a delle telefonate da parte degli affiliati verso i giornalisti per informarli che una determinata organizzazione è stata colpita da un ransomware, aumentando di fatto la circolazione delle notizie e quindi la pressione sulle organizzazioni.
In altri casi si è assistito anche a delle pressioni fatte verso i top manager delle aziende minacciandoli di pubblicare informazioni sensibili prelevate dai loro stessi pc, questo mentre l’azienda stava valutando il pagamento del riscatto del ransomware.
Un altro esempio davvero folle riportato da Mandiant, è relativo ad un affiliato di DarkSide, che era stato in grado di esfiltrare la polizza assicurativa informatica dell’azienda. Queste informazioni sono state ovviamente sfruttate dalla cyber-gang durante il processo di negoziazione del riscatto, rifiutandosi di ridurre l’importo, data la sua conoscenza dei limiti della previsti dalla polizza.
La complessità nell’attribuzione di un attacco
L’arte dell’inganno è sempre stata alla base delle attività di criminalità informatica a tutti i livelli, tanto è vero che molti libri sono stati scritti sulle tecniche di spoofing e di deception, e quindi su come ingannare gli altri a far credere di essere attaccati da un altro soggetto.
Determinare per quale paese o governo le cyber-gang possono lavorare è diventato molto difficile da comprendere negli ultimi anni, dal momento che molti gruppi cercano specificamente di lasciare delle “tracce”, per incastrare altri paesi o governi.
I false flag
I codici da soli non sono sufficienti per identificare la nazionalità degli aggressori, poiché i criminali informatici possono lasciare deliberatamente false tracce, quelle che in gergo militare vengono chiamate delle false bandiere o “false flag”.
Per “false flag”, si indica una tattica segreta perseguita nelle operazioni militari, attività di intelligence e/o di spionaggio, condotte generalmente da governi, servizi segreti, progettata per apparire come perseguita da altri enti e organizzazioni, anche attraverso l’infiltrazione o lo spionaggio all’interno di questi ultimi.
Questo si legge su wikipedia come “concetto militare”, e questo ovviamente è stato acquisito e messo in atto nella guerra informatica e nelle operazioni ransomware inserendo all’interno dei malware delle specifiche “tracce”, capaci di influenzare un analista nel far dedurre, in maniera errata, l’origine di un attacco ransomware.
Le forme di deception
Il russo risulta una lingua utilizzata in molti paesi dell’ex URSS, specialmente nel campo della tecnologia informatica, pertanto oggi potrebbe essere abbastanza complicato trarre delle conclusioni sull’impronta del malware attraverso commenti, messaggi di errore, restrizioni su base linguaggio/paese, gli IP Address dei sistemi di command and control e altro ancora.
Molti gruppi che lavorano per i governi di vari paesi, stanno specificamente cercando di lasciare degli artefatti nel codice appositamente forgiati per depistare gli analisti dalle loro vere identità e paesi di provenienza.
Sono tecniche di imitazione per far credere che l’attacco sia stato sferrato da un gruppo di un altro stato, oppure simulare ed impersonare precisamente un attore di minaccia noto, per depistare le loro tracce. Molti gruppi hanno analizzato i malware di altri concorrenti, per riportare all’interno dei loro file binari, degli artefatti che possano ricondurre a loro.
Acronimi e significati del mondo Ransomware
Il mondo del ransomware è caratterizzato da un linguaggio tecnico ricco di acronimi e termini specifici che possono rendere difficile la comprensione del fenomeno per chi non opera quotidianamente nel settore della sicurezza informatica. Molti di questi termini provengono dal gergo usato all’interno delle community cybercriminali e descrivono ruoli, modelli di business e tecniche operative proprie del crimine informatico organizzato.
Il seguente glossario raccoglie i principali acronimi e termini legati al ransomware, offrendo una panoramica chiara e sintetica del lessico usato nelle cronache di sicurezza e nelle analisi sulle minacce informatiche.
Conclusioni
Come abbiamo visto in questi due articoli, la RaaS è un fenomeno criminale altamente specializzato e organizzato, dove il potere negoziale delle informazioni ha oggi un valore impressionante.
Il panorama geopolitico di questo ultimo periodo, rende questi attacchi informatici – soprattutto se indirizzati verso i sistemi critici dei paesi – un problema di sicurezza nazionale e questo porta i governi a gestirli con la massima attenzione e questo è quello che non è gradito dai criminali informatici.
Inoltre, vista la difficoltà nell’identificare la provenienza di un attacco ransomware (è stata la Russia, la Cina o la Corea del Nord, ovviamente sono esempi), può portare ad una destabilizzazione degli equilibri geopolitici costruiti in precedenza e l’innesco di potenziali escalation.
Il fenomeno del ransomware è in verticale aumento, questo perché è estremamente remunerativo e a basso costo. Aspettiamoci quindi che le tattiche di estorsione utilizzate dalle cyber-gang continueranno ad evolversi nei prossimi anni in modo ad oggi non prevedibile e che del ransomware inizieranno a parlarne le prime pagine dei giornali.
Per questo risulta imprescindibile (come spesso riportato sulle pagine di Red Hot Cyber) regolamentare la guerra informatica liberando la mente da quello “che era” il Tallin Manual, cercando di scrivere un trattato realmente internazionale e non solo scritto a beneficio della Nato e dell’alleanza Five Eyes.
L'articolo Scopri cos’è il ransomware. Tecniche, tattiche e procedure del cybercrime da profitto proviene da Red Hot Cyber.
Che cos’è la Sicurezza Informatica. Tra minacce, cybercrime, protezione e lavoro
La cybersecurity è diventata uno dei temi più importanti nell’era digitale in cui viviamo. Con l’aumento del numero di dispositivi connessi, la diffusione di internet e la crescita esponenziale dei dati online, il rischio di attacchi informatici è aumentato in modo esponenziale.
Ma cosa si intende per cybersecurity?
In parole semplici, la cybersecurity è l’insieme di tecnologie, processi e pratiche progettati per proteggere le reti, i dispositivi e i dati da attacchi informatici, frodi e altre minacce digitali. La cybersecurity è essenziale per garantire la sicurezza online, sia per i singoli utenti che per le aziende.
Le minacce informatiche
Le minacce informatiche sono un aspetto fondamentale della cybersecurity. Ci sono molte forme di minacce informatiche, che possono essere classificate in diverse categorie.
Le minacce informatiche sono azioni che vengono eseguite da individui o gruppi di individui con l’obiettivo di danneggiare o ottenere accesso non autorizzato a sistemi informatici e dati personali. Ecco alcuni esempi più comuni:
- Virus: I virus informatici sono programmi che infettano il tuo computer e si diffondono da file in file. Possono causare il blocco del computer o la perdita di dati importanti.
- Malware: Il malware è un termine generico che si riferisce a qualsiasi tipo di software dannoso. Ad esempio, i Trojan possono farsi passare per programmi innocui per poi rubare informazioni personali come password e numeri di carte di credito.
- Phishing: Il phishing è un tentativo di frode in cui i criminali cercano di convincerti a fornire informazioni personali come le tue credenziali di accesso o i numeri di carta di credito. Di solito fanno questo attraverso email, messaggi di testo o siti web fasulli.
- Attacchi DDoS: Un attacco DDoS è un tentativo di rendere un sito web o un servizio Internet inaccessibile sovraccaricandolo con un grande volume di traffico.
In generale, queste minacce informatiche possono causare danni notevoli e quindi è importante proteggere i nostri dispositivi e dati personali.
Ma la cybersecurity non riguarda solo la prevenzione delle minacce informatiche. Include anche la protezione dei dati personali e la garanzia della privacy online. Ci sono molte tecnologie e pratiche che possono essere utilizzate per proteggere la sicurezza online, come ad esempio l’uso di password complesse, l’installazione di software antivirus e firewall, l’uso di software di crittografia per proteggere i dati sensibili e l’implementazione di processi di autenticazione a più fattori.
Infine, c’è la cyberwar, una minaccia sempre più reale in un mondo sempre più connesso. La cyberwarfare si riferisce all’uso di tecnologie informatiche per condurre attacchi militari o per combattere contro gli attacchi informatici. La cyberwarfare può essere utilizzata per disabilitare le infrastrutture critiche, come i sistemi di energia elettrica, di trasporto e di telecomunicazione.
I criminali informatici
I criminali informatici sono individui o gruppi che utilizzano le tecnologie informatiche per compiere attività illegali e dannose. Questi individui possono avere obiettivi diversi, come il furto di dati personali, la frode finanziaria, l’estorsione, il sabotaggio informatico e la spionaggio.
La maggior parte dei criminali informatici sono organizzati in gruppi criminali che operano su scala globale. Questi gruppi possono avere membri in diversi paesi e utilizzano tecnologie sofisticate per nascondere la loro identità e le loro attività. In alcuni casi, questi gruppi possono avere legami con organizzazioni criminali tradizionali, come la mafia.
I criminali informatici spesso utilizzano tecniche sofisticate per ottenere accesso ai sistemi informatici e ai dati personali. Alcune di queste tecniche includono l’utilizzo di malware, attacchi di phishing, exploit di vulnerabilità dei software, e la forza bruta per decifrare le password.
Per proteggersi dalle attività dei criminali informatici, è importante adottare buone pratiche di sicurezza informatica, come l’utilizzo di software antivirus, l’aggiornamento regolare dei software, la scelta di password robuste e l’utilizzo di software di crittografia. Inoltre, è importante non fornire informazioni personali a siti web o a individui sconosciuti e prestare attenzione ai messaggi di phishing.
Come proteggerci dalle minacce informatiche
Per proteggerci dalle minacce informatiche, è importante adottare un approccio olistico alla sicurezza informatica. Ciò significa che dobbiamo considerare la sicurezza informatica come un processo continuo che coinvolge persone, processi e tecnologie.
Un programma di ICT Risk Management (gestione del rischio informatico) può aiutare le aziende a minimizzare le minacce informatiche.
Il programma di ICT Risk Management prevede una serie di fasi, tra le quali:
- Identificazione dei rischi: identificare i potenziali rischi per la sicurezza informatica, come attacchi di phishing, malware, accesso non autorizzato, violazione della privacy e interruzioni del servizio.
- Valutazione dei rischi: valutare i rischi identificati in termini di probabilità e impatto per l’azienda.
- Mitigazione dei rischi: implementare le misure di sicurezza necessarie per mitigare i rischi identificati. Ciò può includere l’utilizzo di software di sicurezza informatica, l’implementazione di politiche e procedure di sicurezza, l’addestramento del personale, la crittografia dei dati sensibili e la gestione delle vulnerabilità dei software.
- Monitoraggio e revisione: monitorare continuamente il sistema per identificare eventuali nuove minacce o vulnerabilità e revisione del programma di sicurezza informatica per garantire che sia efficace ed adeguato.
Le aziende possono anche adottare alcune buone pratiche per minimizzare le minacce informatiche, come:
- Implementare una politica di sicurezza informatica forte e comunicarla a tutti i dipendenti.
- Utilizzare software di sicurezza informatica, come firewall, antivirus e antispyware.
- Aggiornare regolarmente i software per correggere le vulnerabilità di sicurezza.
- Utilizzare password robuste e cambiare le password regolarmente.
- Prestare attenzione ai messaggi di phishing e non fornire mai informazioni personali a siti web sconosciuti.
- Crittografare i dati sensibili per proteggerli da accessi non autorizzati.
- Limitare l’accesso ai dati sensibili solo a dipendenti autorizzati.
In sintesi, proteggersi dalle minacce informatiche richiede un approccio olistico alla sicurezza informatica e l’adozione di buone pratiche di sicurezza informatica. Le aziende possono minimizzare le minacce informatiche adottando un programma di ICT Risk Management e implementando politiche e procedure di sicurezza robuste.
Gli esperti di sicurezza informatica
Gli esperti di sicurezza informatica svolgono un ruolo fondamentale nella protezione delle aziende dalle minacce informatiche. Questi specialisti sono responsabili della progettazione e implementazione di politiche, procedure e tecnologie di sicurezza informatica che proteggono i sistemi informatici e i dati dell’azienda.
Nel contesto dei programmi di ICT Risk Management, gli esperti di sicurezza informatica sono coinvolti in tutte le fasi del processo. In particolare, essi contribuiscono all’identificazione dei potenziali rischi per la sicurezza informatica, valutando le vulnerabilità dei sistemi informatici e progettando misure di sicurezza adeguate per mitigare i rischi identificati.
Gli esperti di sicurezza informatica possono anche aiutare le aziende a implementare software di sicurezza informatica, come firewall, antivirus e antispyware, e ad adottare buone pratiche di sicurezza informatica, come l’utilizzo di password robuste e il monitoraggio del sistema per identificare eventuali minacce.
Inoltre, gli esperti di sicurezza informatica sono responsabili del monitoraggio continuo dei sistemi informatici dell’azienda per identificare eventuali nuove minacce o vulnerabilità e per garantire che il programma di sicurezza informatica sia efficace e adeguato.
In sintesi, gli esperti di sicurezza informatica svolgono un ruolo critico nella protezione delle aziende dalle minacce informatiche. Nel contesto dei programmi di ICT Risk Management, essi contribuiscono all’identificazione, valutazione e mitigazione dei rischi per la sicurezza informatica, nonché alla progettazione e implementazione di politiche e procedure di sicurezza informatica.
L'articolo Che cos’è la Sicurezza Informatica. Tra minacce, cybercrime, protezione e lavoro proviene da Red Hot Cyber.
Building a Xenon Lamp for Spectroscopy
Before a spectrometer can do any useful work, it needs to be calibrated to identify wavelengths correctly. This is usually done by detecting several characteristic peaks or dips in a well-known light source and using these as a reference to identify other wavelengths. The most common reference for hobbyists is the pair of peaks produced by a mercury-vapor fluorescent light, but a more versatile option is a xenon-bulb light source, such as [Markus Bindhammer] made in his latest video.
A xenon gas discharge produces a wide band of wavelengths, which makes it a useful illumination source for absorbance spectroscopy. Even better, Xenon also has several characteristic spikes in the infrared region. For his light source, [Markus] used an H7 xenon bulb meant for a vehicle headlight. The bulb sits in the center of the source, with a concave mirror behind it and a pair of converging lenses in front of it. The converging lenses focus the light onto the end of an optical cable made of PMMA to better transmit UV. A few aluminum brackets hold all the parts in place. The concave mirror is made out of a cut-open section of aluminum pipe. The entire setup is mounted inside an aluminum case, with a fan on one end for cooling. To keep stray light out of the case, a light trap covers the fan’s outlet.
[Markus] hadn’t yet tested the light source with his unique spectrometer, but it looks as though it should work nicely. We’ve seen a wide variety of amateur spectrometers here, but it’s also illuminating to take a look at commercial scientific light sources.
youtube.com/embed/eoKuQDhld10?…
Multitasking On The Humble Z80 CPU
Multitasking is something we take for granted these days. Just about every computer we use, from our desktops to our phones, is capable of multitasking. It might sound silly to implement multitasking on lower-spec machines from many decades ago, given their limited resources, but it can be done, as [bchiha] demonstrates on a Z80-based machine.
[bchiha] has achieved pre-emptive multitasking on the TEC-1G Z80 computer, a modern reimagining of the classic Talking Electronics TEC-1 from the 1980s. The proof of concept code allows running up to eight separate tasks at once. Task switching runs on interrupts, triggered at approximately 50 Hz. When an interrupt fires, the CPU registers are transferred onto that task’s stack, and the next task’s stack is swapped to the stack pointer to allow execution of the new task to proceed. There is an overhead, of course, with [bchiha] noting that the task swapping routine itself takes about 430 clock cycles to run in between tasks.
Multitasking took some time to appear on home computers for good reason—it’s not very useful unless you have a machine with enough power to practically run multiple tasks at once. While a Z80 machine like this can do multitasking, you’d better hope each task is pretty tiny to avoid each individual task taking forever to run.
[bchiha] has made the simple multitasking code available on Github for the curious. We’ve featured multitasking work on other unconventional platforms before, too, like the Arduino Uno. Video after the break.
youtube.com/embed/tMYGlYO3v9U?…
[Thanks to Stephen Walters for the tip!]
An Audio Brick For Your Smart Home
If you’ve ever wanted to pump sound to all the rooms of your house, you might use any one of a number of commercial solutions. Or, you could go the more DIY route and whip up something like the Esparagus Audio Brick built by [Andriy].
The concept is simple—it’s a small unit, roughly the size of a brick, which streams high-quality audio. It’s based around an ESP32, which pulls in digital audio over Wi-Fi or Ethernet. The microcontroller is hooked up to a TAS5825M DAC, which comes with a built-in amplifier for convenience. The Esparagus is designed for integration with Home Assistant, allowing for easy control as part of a smart home setup. It’s also compatible with Spotify Connect, AirPlay, and Snapcast—the latter of which provides excellent sync when using multiple units across several rooms.
Design files are available on Github for the curious. We’ve seen other neat projects in this space, before, too—like the charmingly-named OtterCast. Video after the break.
youtube.com/embed/Ft5_anhSEE8?…
Building a PV Solar-Powered Quadcopter
One of the most frustrating parts about flying a quadcopter is having to regularly swap battery packs, as this massively limits what you can do with said quadcopter, never mind its effective range. Obviously, having the sun power said quadcopter during a nice sunny day would be a much better experience, but how workable is this really? While airplanes have used solar power to stay aloft practically indefinitely, a quadcopter needs significantly more power, so is it even possible? Recently, [Luke Maximo Bell] set out to give it a whirl.
His quadcopter build uses a large but very lightweight carbon fiber frame, with large 18″ propellers. This provides the required space and lift for the solar panel array, which uses 27 razor-thin panels in a 9×3 grid configuration supported by a lightweight support frame.
Due to the lightweight construction, the resulting quadcopter actually managed to fly using just the direct power from the panels. It should be noted however that it is an exceedingly fragile design, to the point that [Luke]’s cat broke a panel in the array when walking over it while it was lying upside-down on a table.
After this proof of concept, [Luke] intends to add more panels, as well as a battery to provide some buffer and autonomous flying hardware, with the goal of challenging the world record for the longest flying drone. For the rest of us, this might make for a pretty cool idea for a LoRaWAN mesh node or similar, where altitude and endurance would make for a great combo.
youtube.com/embed/isAQEU0mZBo?…
2025 Component Abuse Challenge: A Transistor As A Voltage Reference
For our 2025 Component Abuse Challenge there have been a set of entries which merely use a component for a purpose it wasn’t quite intended, and another which push misuse of a part into definite abuse territory, which damages or fundamentally changes it. [Ken Yap]’s use of a transistor base-emitter junction as a voltage reference certainly fits into the latter category.
If you forward bias a base-emitter junction, it will behave as a diode, which could be used as a roughly 0.7 volt reference. But this project is far more fun than that, because it runs the junctions in reverse biased breakdown mode. Using one of those cheap grab bags of transistor seconds, he finds that devices of the same type maintain the same voltage, which for the NPN devices he has works out at 9.5 volts and the PNP at 6.5. We’re told it damages their operation as transistors, but with a grab bag, that’s not quite the issue.
We’ve got a few days left before the end of the contest, and we’re sure you can think of something worth entering. Why not give it a go!
DIY Pinball Machine Uses Every Skill
Pinball machines have something for everyone. They’re engaging, fast-paced games available in a variety of sizes and difficulties, and legend has it that they can be played even while deaf and blind. Wizardry aside, pinball machines have a lot to offer those of us around here as well, as they’re a complex mix of analog and digital components, games, computers, and artistry. [Daniele Tartaglia] is showing off every one of his skills to build a tabletop pinball machine completely from the ground up.
This is the latest in a series of videos documenting [Daniele]’s project, so he already has the general arrangement of the game set up. He has some improved ball-counting devices to enhance the game’s ability to keep track of ball position. [Daniele] also builds a few chutes and chimneys for the ball to pass outside of the play field. Next up are flippers and some of the bumpers. The video is rounded out with conductive targets built completely from scratch using metal zip ties. With a machine as complex as this, there are many points during the build where he has to stop and redesign parts. Prototyping as he goes, [Daniele] adds to the distinctive flair of this unique game.
This build truly puts every tool in [Daniele]’s toolbox to work, from a laser cutter, lathe, and 3D printer to various microcontrollers, solenoids, and electronics. He seamlessly blends the analog world of steel ball bearings and rubber bumpers with the digital world of scoring, automation, lighting, and sound. Pinball machines are experiencing a bit of a resurgence, meaning many of the classic tables are expensive collector’s items. If you want to build your own, we featured a great resource for others like [Daniele] who want to build one of these intricate machines themselves.
Thanks to [Aaron] for the tip!
youtube.com/embed/H6bjvyqSgos?…
Supercon 2025: Streaming Live
While we’d love to have you all join us in Pasadena, the next best thing is to connect up to the festivities through the magic of the Internet. As always, the main stage talks will be streamed live to our YouTube channel, while the talks taking place in the DesignLab will be recorded and posted afterwards.
Though it’s not quite as immersive as being in the alleyway and listening to the dogs bark (if you know, you know), you can also join the #supercon-chat channel in the official Hackaday Discord server if you want to virtually rub shoulders with some of our favorite people in the world.
youtube.com/embed/DFgTwC0WEvo?…
Simple Device Can Freeze Wi-Fi Camera Feeds
Wi-Fi cameras are everywhere these days, with wireless networking making surveillance systems easier to deploy than ever. [CiferTech] has been recently developing the RF Clown—a tool that can block transmissions from these cameras at some range.
The build is based around an ESP32, with three tactile switches and an OLED display for the user interface. The microcontroller is hooked up to a trio of GT—24 Mini radio modules, which feed a bank of antennas on top of the device. Depending on the mode the device is set to, it will command these modules to jam Bluetooth, BLE, or Wi-Fi traffic in the area with relatively crude transmissions.
The use of multiple radio modules isn’t particularly sophisticated—it just makes it easier to put out more signal on more bands at the same time, flooding the zone and making it less likely legitimate transmissions will get through. Specifically, [CiferTech] demonstrates the use case of taking out a Wi-Fi camera—with the device switched on, the video feed freezes because packets from the camera simply stop making it through.
It’s perhaps impolite to interfere with the operation of somebody else’s cameras, so keep that in mind before you pursue a project like this one. Files are on GitHub for the curious. Video after the break.
youtube.com/embed/Jadzrg9bz40?…
Volumetric Display Takes a Straight Forward (and Backward) Approach
There’s something delightfully sci-fi about any kind of volumetric display. Sure, you know it’s not really a hologram, and Princess Leia isn’t about to pop out and tell you you’re her only hope, but nothing says “this is the future” like an image floating before you in 3D. [Matthew Lim] has put together an interesting one, using persistence-of-vision and linear motion.
The basic concept is so simple we’re kind of surprised we don’t see it more often. Usually, POV displays use rotary motion: on a fan, a globe, a disk, or even a drone, we’ve seen all sorts of spinning LEDs tricking the brain into thinking there’s an image to be seen. [Matthew’s] is apparently the kind of guy who sticks to the straight-and-narrow, on the other hand, because his POV display uses linear motion.
An ESP32-equipped LED matrix module is bounced up by an ordinary N20 motor that’s equipped with an encoder and driven by a DRV8388. Using an encoder and the motor driver makes sure that the pixels on the LED matrix are synced perfectly to the up-and-down motion, allowing for volumetric effects. This seems like a great technique, since it eliminates the need for slip rings you might have with rotary POV displays. It does of course introduce its own challenges, given that inertia is a thing, but I think we can agree the result speaks for itself.
One interesting design choice is that the display is moved by a simple rack-and-pinion, requiring the motor to reverse 16 times per second. We wonder if a crank wouldn’t be easier on the hardware. Software too, since [matthew] has to calibrate for backlash in the gear train. In any case, the stroke length of 20 mm creates a cubical display since the matrix is itself 20 mm x 20 mm. (That’s just over 3/4″, or about twice the with of a french fry.) In that 20 mm, he can fit eight layers, so not a great resolution on the Z-axis but enough for us to call it “volumetric” for sure. A faster stroke is possible, but it both reduces the height of the display and increases wear on the components, which are mostly 3D printed, after all.
It’s certainly an interesting technique, and the speechless (all subtitles) video is worth watching– at least the first 10 seconds so you can see this thing in action.
Thanks to [carl] for the tip. If a cool project persists in your vision, do please let us know.
youtube.com/embed/KgT20tHpk1g?…
ChatControl Gets Coup-De-Grace
Possibly the biggest privacy story of the year for Europeans and, by extension the rest of the world, has been ChatControl. Chatcontrol is a European Union proposal backed by Denmark for a mandatory backdoor in all online communications. As always with these things, it was touted as a think-of-the-children solution to online child abuse material, but as many opposed to it have warned, that concealed far more sinister possibilities. For now, it seems we can breathe easily as the Danes are reported to have formally backed away from the proposal after it was roundly condemned by the German government, sending it firmly into the political wilderness.
Hackaday readers are likely vastly more informed on this matter than many of the general public, so you’ll have no need for a primer on the obvious privacy and security concerns of such a move. From our point of view, it also suffered from the obvious flaw of being very unlikely to succeed in its stated aim. Even the most blinkered politician should understand that criminals would simply move their traffic to newly-illegal encrypted forms of communication without government backdoors. Perhaps it speaks volumes that it was the Germans who sounded its death-knell, given that state surveillance on that level is very much within living memory for many of them.
The mood in European hackerspaces has been gloomy of late on the subject, so it’s something of a cause for celebration on the continent. If only other governments on the same side of the Atlantic could understand that intrusive measures in the name of thinking of the children don’t work.
European flags: Šarūnas Burdulis, CC BY-SA 2.0 .
Making YouTube Work in the Netscape 4.5 Browser on Windows 98
The World Wide Web of the 90s was a magical place, where you couldn’t click two links without getting bombarded with phrases such as the Information Super Highway and Multimedia Experience. Of course, the multimedia experience you got on your Windows 9x PC was mostly limited to low-res, stuttery RealMedia and Windows video format clips, but what if you could experience YouTube back then, on your ‘multimedia-ready’ Celeron PC, running Netscape 4.5?
Cue the [Throaty Mumbo] bloke over on that very same YouTube, and his quest to make this dream come true. Although somewhat ridiculous on the face of it, the biggest problem is actually the era-appropriate hardware, as it was never meant to decode and display full-HD VP9-encoded videos.
Because the HTTPS requirement has meant that no 1990s or early 2000s browser will ever browse the modern WWW, a proxy was going to be needed no matter what. This Python-based proxy then got kitted out with not just the means to render down the convoluted HTML-CSS-JS mess of a YouTube page into something that a civilized browser can display, but also to fetch YouTube videos with yt-dlp and transcode it into MPEG1 in glorious SD quality for streaming to Netscape on the Windows 98 PC.
Because the same civilized browsers also support plugins, such as Netscape’s NPAPI, this meant that decoding and rendering the video was the easy part, as the browser just had to load the plugin and the latter doing all the heavy lifting. Perhaps unsurprisingly, with some tweaks even Netscape 2.0 can be used to browse YouTube and play back videos this way, with fullscreen playback and seeking support.
Although these days only a rare few modern browsers like Pale Moon still support NPAPI, it’s easy to see how the introduction of browser plugins boosted the multimedia future of the WWW that we find ourselves in today.
youtube.com/embed/PGeW-L7UPbM?…
Recovering Data from the OceanGate depths
When the files on the Titan submersible disaster were published, most people skimmed for drama. Hackers, however, would likely zoom in on the hardware autopsy. [Scott Manley] actually did this. He faced a hacker’s nightmare: three crushed PCs, bent SSDs, and an encrypted SD card from a camera that survived six kilometres under pressure, all sealed in titanium and silence.
[Scott] went all in to resurrect data. First came CT scans: firing 320 kV X-rays through a kilo of mangled electronics to hunt for intact NAND chips. When that failed, he desoldered UFS memory by hand, used custom flash readers, cloned NV-RAMs, and even rebuilt boards to boot salvaged firmware. The ultimate test was grafting the recovered chips onto donor hardware in Canada. Like the monster of Frankenstein, the system came to life.
In the end, it partially worked. Twelve stills and nine videos were retrieved, albeit none from the fatal dive. The process itself was a masterclass in deep hardware forensics, here covered in a video worth watching.
youtube.com/embed/qMUjCZ7MMWQ?…