Worst Clock Ever Teaches You QR Codes
[WhiskeyTangoHotel] wrote in with his newest clock build — and he did warn us that it was minimalist and maybe less than useful. Indeed, it is nothing more than a super-cheap ESP32-C3 breakout board with an OLED screen and some code. Worse, you can’t even tell the time on it without pointing your cell phone at the QR code it generates. Plot twist: you skip the QR code and check the time on your phone.
But then we got to thinking, and there is actually a lot to learn from here on the software side. This thing pulls the time down from an NTP server, formats it into a nice human-readable string using strftime, throws that string into a QR code that’s generated on the fly, and then pushes the bits out to the screen. All in a handful of lines of code.
As always, the secret is in the libraries and how you use them, and we wanted to check out the QR code generator, but we couldn’t find an exact match for QRCodeGenerator.h. Probably the most popular library is the Arduino QRCode library by [ricmoo]. It’s bundled with Arduino, but labelled version 0.0.1, which we find a little bit modest given how widely it’s used. It also hasn’t been updated in eight years: proof that it just works?
That library drew from [nayuki]’s fantastically documented multi-language QR-Code-generator library, which should have you covered on any platform you can imagine, with additional third-party ports to languages you haven’t even heard of. That’s where we’d go for a non-Arduino project.
What library did [WTH] use? We hope to find out soon, but at least we found a couple good candidates, and it appears to be a version of one or the other.
We’ve seen a lot of projects where the hacker generates a QR code using some online tool, packs the bits into a C header array, and displays that. That’s fine when you only need a single static QR code, but absolutely limiting when you want to make something dynamic. You know, like an unreadable clock.
You will not be surprised to know that this isn’t the first unreadable QR-code clock we’ve featured here. But it’s definitely the smallest and most instructive.
youtube.com/embed/rA7HXQxqpPA?…
Radio Apocalypse: Clearing the Air with SCATANA
For the most part, the Radio Apocalypse series has focused on the radio systems developed during the early days of the atomic age to ensure that Armageddon would be as orderly an affair as possible. From systems that provided backup methods to ensure that launch orders would reach the bombers and missiles, to providing hardened communications systems to allow survivors to coordinate relief and start rebuilding civilization from the ashes, a lot of effort went into getting messages sent.
Strangely, though, the architects of the end of the world put just as much thought into making sure messages didn’t get sent. The electronic village of mid-century America was abuzz with signals, any of which could be abused by enemy forces. CONELRAD, which aimed to prevent enemy bombers from using civilian broadcast signals as navigation aids, is a perfect example of this. But the growth of civil aviation through the period presented a unique challenge, particularly with the radio navigation system built specifically to make air travel as safe and reliable as possible.
Balancing the needs of civil aviation against the possibility that the very infrastructure making it possible could be used as a weapon against the U.S. homeland is the purpose of a plan called Security Control of Air Traffic and Air Navigation Aids, or SCATANA. It’s a plan that cuts across jurisdictions, bringing military, aviation, and communications authorities into the loop for decisions regarding when and how to shut down the entire air traffic system, to sort friend from foe, to give the military room to work, and, perhaps most importantly, to keep enemy aircraft as blind as possible.
Highways in the Sky
As its name suggests, SCATANA has two primary objectives: to restrict the availability of radio navigation aids during emergencies and to clear the airspace over the United States of unauthorized traffic. For safety’s sake, the latter naturally follows the former. By the time the SCATANA rules were promulgated, commercial aviation had become almost entirely dependent on a complex array of beacons and other radio navigation aids. While shutting those aids down to deny their use to enemy bombers was obviously the priority, safety demanded that all the planes currently using those aids had to be grounded as quickly as possible.
Understanding the logic behind SCATANA requires at least a basic insight into these radio navigation aids. The Federal Communications Commission (FCC) has jurisdiction over these aids, listing “VOR/DME, ILS, MLS, LF and HF non-directional beacons” as subject to shutdown in times of emergency. That’s quite a list, and while the technical details of the others are interesting, particularly the Adcock LF beacon system used by pilots to maneuver onto a course until alternating “A” and “N” Morse characters merged into a single tone, but for practical purposes, the one with the most impact on wartime security is the VOR system.
VOR, which stands for “VHF omnidirectional range,” is a global system of short-range beacons used by aircraft to determine their direction of travel. The system dates back to the late 1940s and was extensively built out during the post-war boom in commercial aviation. VOR stations define the “highways in the air” that criss-cross the country; if you’ve ever wondered why the contrails of jet airliners all follow similar paths and why the planes make turns at more or less the same seemingly random point in the sky, it’s because they’re using VOR beacons as waypoints.
In its simplest form, a VOR station consists of an omnidirectional antenna transmitting at an assigned frequency between 108 MHz and 117.95 MHz, hence the “VHF” designation. The frequency of each VOR station is noted on the sectional charts pilots use for navigation, along with the three-letter station identifier, which is transmitted by the station in Morse so pilots can verify which station their cockpit VOR equipment is tuned to.
Each VOR station encodes azimuth information by the phase difference between two synchronized 30 Hz signals modulated onto the carrier, a reference signal and a variable signal. In conventional VOR, the amplitude-modulated variable signal is generated by a rotating directional antenna transmitting a signal in-phase with the reference signal. By aligning the reference signal with magnetic north, the phase angle between the FM reference and AM variable signals corresponds to the compass angle of the aircraft relative to the VOR station.
youtube.com/embed/R0Vzaf14SKQ?…
More modern Doppler VORs, or DVORs, use a ring of antennas to electronically create the reference and variable signals, rather than mechanically rotating the antenna. VOR stations are often colocated with other radio navigation aids, such as distance measuring equipment (DME), which measures the propagation delay between the ground station and the aircraft to determine the distance between them, or TACAN, a tactical air navigation system first developed by the military to provide bearing and distance information. When a VOR and TACAN stations are colocated, the station is referred to as a VORTAC.
Shutting It All Down
At its peak, the VOR network around the United States numbered almost 1,000 stations. That number is on the decrease now, thanks to the FAA’s Minimum Operational Network plan, which seeks to retire all but 580 VOR stations in favor of cockpit GPS receivers. But any number of stations sweeping out fully analog, unencrypted signals on well-known frequencies would be a bonanza of navigational information to enemy airplanes, which is why the SCATANA plan provides specific procedures to be followed to shut the whole thing down.
SCATANA is designed to address two types of emergencies. The first is a Defense Emergency, which is an outright attack on the United States homeland, overseas forces, or allied forces. The second is an Air Defense Emergency, which is an aircraft or missile attack on the continental U.S., Canada, Alaska, or U.S. military installations in Greenland — sorry, Hawaii. In either case, the attack can be in progress, imminent, or even just probable, as determined by high-ranking military commanders.
In both of those situations, military commanders will pass the SCATANA order to the FAA’s network of 22 Air Route Traffic Control Centers (ARTCC), the facilities that handle traffic on the routes defined by VOR stations. The SCATANA order can apply to all of the ARTCCs or to just a subset, depending on the scale of the emergency. Each of the concerned centers will then initiate physical control of their airspace, ordering all aircraft to land at the nearest available appropriate airport. Simultaneously, if ordered by military authority, the navigational aids within each ARTCC’s region will be shut down. Sufficient time is obviously needed to get planes safely to the ground; SCATANA plans allow for this, of course, but the goal is to shut down navaids as quickly as possible, to deny enemy aircraft or missiles any benefit from them.
As for the specific instructions for shutting down navigational aids, the SCATANA plan is understandable mute on this subject. It would not be advisable to have such instructions readily available, but there are a few crumbs of information available in the form of manuals and publicly accessible documents. Like most pieces of critical infrastructure these days, navaid ground stations tend to be equipped with remote control and monitoring equipment. This allows maintenance technicians quick and easy access without the need to travel. Techs can perform simple tasks, such as switching over from a defective primary transmitter to a backup, to maintain continuity of service while arrangements are made for a site visit. Given these facts, along with the obvious time-critical nature of an enemy attack, SCATANA-madated navaid shutdowns are probably as simple as a tech logging into the ground station remotely and issuing a few console commands.
A Day to Remember
For as long as SCATANA has been in effect — the earliest reference I could find to the plan under that name dates to 1968, but the essential elements of the plan seem to date back at least another 20 years — it has only been used in anger once, and even then only partially. That was on that fateful Tuesday, September 11, 2001, when a perfect crystal-blue sky was transformed into a battlefield over America.
By 9:25 AM Eastern, the Twin Towers had both been attacked, American Airlines Flight 77 had already been hijacked and was on its way to the Pentagon, and the battle for United Flight 93 was unfolding above Ohio. Aware of the scope of the disaster, staff at the FAA command center in Herndon, Virginia, asked FAA headquarters if they wanted to issue a “nationwide ground stop” order. While FAA brass discussed the matter, Ben Sliney, who had just started his first day on the job as operations manager at the FAA command center, made the fateful decision to implement the ground stop part of the SCATANA plan, without ordering the shutdown of navaids.
The “ground stop” orders went out to the 22 ARTCCs, which began the process of getting about 4,200 in-flight aircraft onto the ground as quickly and safely as possible. The ground stop was achieved within about two hours without any further incidents. The skies above the country would remain empty of civilian planes for the next two days, creating an eerie silence that emphasized just how much aviation contributes to the background noise of modern life.
youtube.com/embed/bo1ZtpKqlYw?…
PCBs the Prehistoric Way
When we see an extremely DIY project, you always get someone who jokes “well, you didn’t collect sand and grow your own silicon”. [Patrícia J. Reis] and [Stefanie Wuschitz] did the next best thing: they collected local soil, sieved it down, and fired their own clay PCB substrates over a campfire. They even built up a portable lab-in-a-backpack so they could go from dirt to blinky in the woods with just what they carried on their back.
This project is half art, half extreme DIY practice, and half environmental consciousness. (There’s overlap.) And the clay PCB is just part of the equation. In an effort to approach zero-impact electronics, they pulled ATmega328s out of broken Arduino boards, and otherwise “urban mined” everything else they could: desoldering components from the junk bin along the way.
The traces themselves turned out to be the tricky bit. They are embossed with a 3D print into the clay and then filled with silver before firing. The pair experimented with a variety of the obvious metals, and silver was the only candidate that was both conductive and could be soldered to after firing. Where did they get the silver dust? They bought silver paint from a local supplier who makes it out of waste dust from a jewelry factory. We suppose they could have sat around the campfire with some old silver spoons and a file, but you have to draw the line somewhere. These are clay PCBs, people!
Is this practical? Nope! It’s an experiment to see how far they can take the idea of the pre-industrial, or maybe post-apocalyptic, Arduino. [Patrícia] mentions that the firing is particularly unreliable, and variations in thickness and firing temperature lead to many cracks. It’s an art that takes experience to master.
We actually got to see the working demos in the flesh, and can confirm that they did indeed blink! Plus, they look super cool. The video from their talk is heavy on theory, but we love the practice.
DIY clay PCBs make our own toner transfer techniques look like something out of the Jetsons.
media.ccc.de/v/38c3-clay-pcb/o…
Il RE di RaidForums resta in bilico. La battaglia tra USA e Portogallo per la sua estradizione
L’Alta Corte di Londra ha annullato la decisione di estradare il cittadino portoghese Diogo Santos Coelho negli Stati Uniti. Il giovane, noto con lo pseudonimo di Omnipotent, era l’amministratore di uno dei più grandi forum di hacker, RaidForums.
La storia inizia nel gennaio 2022, quando Coelho si reca nel Regno Unito per far visita alla madre. Lì viene arrestato. Da allora, è in un limbo da più di tre anni: due Paesi si contendono la sua estradizione.
Gli Stati Uniti chiedono l’estradizione di Coelho per crimini legati alla gestione di RaidForums. Il Portogallo ha inviato un proprio ordine, citando i danni arrecati alle sue organizzazioni e ai suoi cittadini.
Lo stesso Coelho voleva recarsi in Portogallo e ha ufficialmente accettato l’estradizione.
Le autorità britanniche si sono trovate in una situazione difficile. La legge prevede una procedura speciale nel caso in cui più paesi richiedano l’estradizione di una persona. Ma nel suo caso queste regole non sono state rispettate.
Il Ministro dell’Interno ordinò che Coelho fosse trasferito negli Stati Uniti, ma lo fece frettolosamente. Il tribunale stabilì che la decisione si basava su documenti inesatti e che era stata presa senza tenere conto della posizione della difesa.
Il problema principale era che a Coelho non fu data l’opportunità di presentare le sue argomentazioni per l’estradizione in Portogallo. Le sue argomentazioni non furono nemmeno prese in considerazione.
Il giudice Linden ha riscontrato diverse violazioni. Secondo l’ordinanza del tribunale, al ministro è stato detto che le accuse statunitensi e portoghesi erano “identiche”, sebbene l’ordinanza portoghese includesse ulteriori accuse di riciclaggio di denaro e frode fiscale.
Inoltre, la decisione si basava sul presupposto che tutte le vittime si trovassero negli Stati Uniti. Ma le prove dimostravano il contrario: le vittime erano sparse in tutto il mondo, compreso il Portogallo stesso.
La corte ha inoltre affermato che il ministro non ha tenuto conto della natura più grave delle accuse portoghesi e dei legami personali di Coelho con il Paese. Gli è stato diagnosticato l’autismo, è a rischio di suicidio e riceve assistenza familiare e terapeutica nel suo Paese d’origine.
Il Ministero dell’Interno è ora tenuto a riesaminare le richieste concorrenti. A Coelho è stato concesso il diritto di presentare le sue argomentazioni prima che venga presa una nuova decisione.
Come ha osservato lo stesso Coelho, questo non garantisce l’estradizione in Portogallo, ma dà ai suoi avvocati la possibilità di essere ascoltati. Tra le argomentazioni della difesa c’è il fatto che alcuni dei presunti crimini siano stati commessi quando era minorenne, nonché il suo status di vittima della tratta di esseri umani.
L'articolo Il RE di RaidForums resta in bilico. La battaglia tra USA e Portogallo per la sua estradizione proviene da il blog della sicurezza informatica.
A New Generation of Spacecraft Head to the ISS
While many in the industry were at first skeptical of NASA’s goal to put resupply flights to the International Space Station in the hands of commercial operators, the results speak for themselves. Since 2012, the SpaceX Dragon family of spacecraft has been transporting crew and cargo from American soil to the orbiting laboratory, a capability that the space agency had lost with the retirement of the Space Shuttle. Putting these relatively routine missions in the hands of a commercial provider like SpaceX takes some of the logistical and financial burden off of NASA, allowing them to focus on more forward-looking projects.
But as the saying goes, you should never put all of your eggs in one basket. As successful as SpaceX has been, there’s always a chance that some issue could temporarily ground either the Falcon 9 or the Dragon.
While Russia’s Progress and Soyuz vehicles would still be available in an emergency situation, it’s in everyone’s best interest that there be multiple backup vehicles that can bring critical supplies to the Station.
Which is precisely why several new or upgraded spacecraft, designed specifically for performing resupply missions to the ISS and any potential commercial successor, are coming online over the next few years.
In fact, one of them is already flying its first mission, and will likely have arrived at the International Space Station by the time you read this article.
Cygnus XL
The Cygnus was the second commercial spacecraft to deliver cargo to the ISS back in 2013, and like the Dragon, has gone through several upgrades and revisions over the years. Rather than starting from a clean slate, the Orbital Sciences Corporation based the vehicle’s pressurized module on the Multi-Purpose Logistics Module which was originally designed to fly inside the Space Shuttle’s cargo bay to provide onboard laboratory space before the construction of the ISS. This was paired with a service module that was derived from their line of communication satellites.
It retains the same 3.07 m (10.1 ft) diameter of the original Cygnus, but the length of the vehicle has been increased from 5.14 m (16.9 ft) to 8 m (26 ft). This has nearly doubled the internal pressurized volume of the craft, and the payload capacity has been increased from 2,000 kg (4,400 lb) to 5,000 kg (11,000 lb).
While the Dragon can autonomously dock with the ISS, the Cygnus XL needs to be captured by an astronaut using the Station’s robotic arm, and manually moved into position where it’s eventually bolted into place — a process known as berthing. This is a more labor intensive method of connecting a visiting spacecraft, but it does have at least one advantage, as the diameter of the berthing ports is larger than that of the docking ports. At least in theory, this means Cygnus XL would be able to deliver bulkier objects to the Station than the Dragon or any other spacecraft that makes use of the standard docking ports.
Like the earlier versions of the craft, Cygnus XL is an expendable vehicle, and lacks the heat shield that would be necessary to reenter Earth’s atmosphere safely. Once the vehicle delivers its cargo and is detached from the Station, it’s commanded to perform a deorbit maneuver which will cause it to burn up in the atmosphere. But even this serves an important function, as the astronauts will load the vehicle with trash before it departs, ensuring that refuse from the Station is destroyed in a safe and predictable manner.
HTV-X
Like the Cygnus XL, the HTV-X is an upgraded version of a spacecraft which has already visited the ISS, namely the H-II Transfer Vehicle (HTV). Designed and built by the Japan Aerospace Exploration Agency (JAXA), the first flight of this upgraded cargo vehicle is tentatively scheduled for late October.
Attached to the opposite side of the service module is an unpressurized cargo module. This is similar to the “trunk” of the Dragon spacecraft, in that it’s essentially just a hollow cylinder with shelves and mounting points inside. This module could potentially be used to bring up components that are intended to be attached to the outside of the ISS, or it could hold experiments and modules that are designed to be exposed to the space environment.
Like the Cgynus XL, the HTV-X will berth to the ISS rather than dock, and it will also burn up after its mission is complete. However the HTV-X is designed to fly freely on its own for up to 18 months after it delivers its cargo to the Station, which JAXA calls the “Technology Demonstration Phase” of the mission. This will essentially allow the agency to perform a second mission after the vehicle has completed its supply run, greatly improving the overall cost effectiveness of the program.
Dream Chaser
Far and away the most ambitious of these new spacecraft is the Dream Chaser, developed by Sierra Space. Reminiscent of a miniature version of the Space Shuttle, this winged vehicle is designed to land like an airplane at the end of its mission. This not only means it can bring material back down to Earth at the end of its mission, but that it can do so in a much less jarring manner than a capsule that ends up splashing down into the ocean under parachutes. This is a huge benefit when dealing with fragile cargo or scientific experiments, and is a capability not offered by any other currently operational spacecraft.
The Dream Chaser has been in active development for over 20 years, but its origins date back even farther than that, as it’s based on HL-20 Personnel Launch System concept from the 1980s. While it was initially designed for crew transport, it lost out to SpaceX and Boeing during NASA’s Commercial Crew Program selection in 2014. It did however secure a contract from the space agency in 2016 for six cargo missions to the ISS. To qualify for these missions, several changes were made to the original design, such as the addition of an expendable module that will attach to the rear of the vehicle to increase its relatively limited internal cargo capacity of 910 kg (2,000 lb) by 4,500 kg (10,000 lb).
The first orbital test flight of the Dream Chaser is currently scheduled to take place before the end of the year, but that date has already slipped several times. Being a reusable vehicle like the Dragon, the first Dream Chaser spaceplane is expected to fly multiple operational missions while a second craft is being assembled.
After completing their contractually obligated missions to the ISS, there are currently plans for the Dream Chaser to fly at least one mission for the United Nations Office for Outer Space Affairs, which will carry an array of scientific experiments provided by member nations that do not have their own domestic space programs. The company also says they remain committed to bringing the crewed version of Dream Chaser to fruition, likely as part of their partnership with Blue Origin to develop the Orbital Reef — a “mixed-use business park” in space.
Time is Running Out
It might seem strange that three different spacecraft are scheduled to enter service before the end of the year, but of course, the clock is ticking. Although the date has been pushed out a number of times over the years, the current 2030 timeline for the decommissioning of the International Space Station seems to be holding so far. With as little as five years left to go before the ISS joins us Earthlings back here on the surface, it’s now or never for any vehicles designed for service missions. This is doubly true for companies such as Sierra Space, who have already agreed to perform a set number of missions.
At the same time, any of these vehicles could support a future commercial space station, should one actually materialize. We’ve covered some of the post-ISS plans previously, but given how volatile the aerospace world is, nothing is a given until it’s actually in orbit.
Listening for the Next Wow! Signal with Low-Cost SDR
As you might expect, the University of Puerto Rico at Arecibo has a fascination with radio signals from space. While doing research into the legendary “Wow! Signal” detected back in 1977, they realized that the burst was so strong that a small DIY radio telescope would be able to pick it up using modern software-defined radio (SDR) technology.
This realization gave birth to the Wow@Home project, an effort to document both the hardware and software necessary to pick up a Wow! class signal from your own backyard. The University reasons that if they can get a bunch of volunteers to build and operate these radio telescopes, the resulting data could help identify the source of the Wow! Signal — which they believe could be the result of some rare astrophysical event and not the product of Little Green Men.
Ultimately, this isn’t much different from many of the SDR-based homebrew radio telescopes we’ve covered over the years — get a dish, hook your RTL-SDR up to it, add in the appropriate filters and amplifiers, and point it to the sky. Technically, you’re now a radio astronomer. Congratulations. In this case, you don’t even have to figure out how to motorize your dish, as they recommend just pointing the antenna at a fixed position and let the rotation of the Earth to the work — a similar trick to how the legendary Arecibo Observatory itself worked.
The tricky part is collecting and analyzing what’s coming out of the receiver, and that’s where the team at Arecibo hope to make the most headway with their Wow@Home software. It also sounds like that’s where the work still needs to be done. The goal is to have a finished product in Python that can be deployed on the Raspberry Pi, which as an added bonus will “generate a live preview of the data in the style of the original Ohio State SETI project printouts.” Sounds cool to us.
If you’re interested in lending a hand, the team says they’re open to contributions from the community — specifically from those with experience RFI shielding, software GUIs, and general software development. We love seeing citizen science, so hopefully this project finds the assistance and the community it needs to flourish.
Thanks to [Mark Stevens] for the tip.
BMW nel mirino: Everest Ransomware minaccia la pubblicazione di dati critici
La cybergang Everest, nota per il suo approccio aggressivo al cybercrime, ha reso pubblica sul suo DLS (Data Leak Site) una presunta violazione che coinvolge BMW.
Il post pubblicato mostra che i documenti critici dell’audit BMW saranno accessibili online tra poche ore, mentre altri dettagli importanti rimarranno disponibili per poco più di un giorno.
Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.
Everest, attiva da diversi anni nel panorama del cybercrime internazionale, ha già colpito in passato grandi enti e aziende. Tra i loro attacchi più noti si ricorda quello alla SIAE, dove furono sottratti dati sensibili relativi alla gestione dei diritti d’autore italiani.
Negli ultimi sette giorni, il DLS di Everest ha pubblicato dati di tre aziende italiane, confermando la sua crescente attività sul territorio nazionale. Secondo l’immagine trapelata, i documenti BMW saranno disponibili fino al 14 settembre 2025, con una prima parte dei file accessibile tra circa 4 ore e 47 minuti, mentre ulteriori documenti saranno visibili tra 1 giorno e 13 ore.
La nuova struttura del DLS di Everest rende più immediata la visualizzazione dei countdown e il monitoraggio delle pubblicazioni, aumentando la pressione sulle aziende colpite affinché intervengano rapidamente. Questo episodio conferma come la cybergang stia consolidando la propria reputazione nel settore della cyber extortion e delle fughe di dati sensibili.
Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione dell’organizzazione qualora voglia darci degli aggiornamenti su questa vicenda e saremo lieti di pubblicarla con uno specifico articolo dando risalto alla questione. RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali.
L'articolo BMW nel mirino: Everest Ransomware minaccia la pubblicazione di dati critici proviene da il blog della sicurezza informatica.
Italia sotto attacco DDoS da parte dei filorussi di NoName057(16)? Pochi disservizi
Gli hacker di NoName057(16), da qualche giorno hanno riavviato le loro attività ostili contro diversi obiettivi italiani, attraverso attacchi di Distributed Denial-of-Service (DDoS).
Sulla base di quanto osservato, le infrastrutture italiane hanno rafforzato la loro struttura e il periodo di interruzione del servizio è in forte diminuzione rispetto a 2 anni fa, fino quasi ad azzerarsi, grazie all’attuazione di misure contro gli attacchi DDoS e alla crescente consapevolezza che tali attacchi hanno comportato inevitabilmente.
Di seguito gli obiettivi rivendicati nella giornata di oggi dal gruppo di hacktivisti:
- Ministero della Difesa italiano (non risponde al ping) check-host.net/check-report/2e38b31bka1
- Marina Militare Italiana (non risponde al ping) check-host.net/check-report/2e38b4cakf13
- Direzione del sistema portuale del Tirreno centro-settentrionale check-host.net/check-report/2e38bc40k98a
- Azienda italiana per l’energia (non risponde al ping) check-host.net/check-report/2e38be92kd4
- Amministrazione del sistema portuale del Mar Tirreno settentrionale check-host.net/check-report/2e38fbbdk74d
- Ministero del Lavoro e delle Politiche Sociali check-host.net/check-report/2e38ce5ckdc5
- Amministrazione del sistema portuale dei porti dell’Adriatico orientale Trieste e Monfalcone check-host.net/check-report/2e38cfb7k174
- Associazione dei porti di Genova check-host.net/check-report/2e38cfcak762
- Amministrazione del sistema portuale check-host.net/check-report/2e38e509kd71
- Acantho Italia check-host.net/check-report/2e38e509kd71
- SPID (Sistema di identificazione e accesso) check-host.net/check-report/2e38e4e9k6c6
NoName057(16) è un gruppo di hacker che si è dichiarato a marzo del 2022 a supporto della Federazione Russa. Hanno rivendicato la responsabilità di attacchi informatici a paesi come l’Ucraina, gli Stati Uniti e altri vari paesi europei. Questi attacchi vengono in genere eseguiti su agenzie governative, media e siti Web di società private.
Che cos’è un attacco Distributed Denial of Service
Un attacco DDoS (Distributed Denial of Service) è un tipo di attacco informatico in cui vengono inviate una grande quantità di richieste a un server o a un sito web da molte macchine diverse contemporaneamente, al fine di sovraccaricare le risorse del server e renderlo inaccessibile ai suoi utenti legittimi.
Queste richieste possono essere inviate da un grande numero di dispositivi infetti da malware e controllati da un’organizzazione criminale, da una rete di computer compromessi chiamata botnet, o da altre fonti di traffico non legittime. L’obiettivo di un attacco DDoS è spesso quello di interrompere le attività online di un’organizzazione o di un’azienda, o di costringerla a pagare un riscatto per ripristinare l’accesso ai propri servizi online.
Gli attacchi DDoS possono causare danni significativi alle attività online di un’organizzazione, inclusi tempi di inattività prolungati, perdita di dati e danni reputazionali. Per proteggersi da questi attacchi, le organizzazioni possono adottare misure di sicurezza come la limitazione del traffico di rete proveniente da fonti sospette, l’utilizzo di servizi di protezione contro gli attacchi DDoS o la progettazione di sistemi resistenti agli attacchi DDoS.
Occorre precisare che gli attacchi di tipo DDoS, seppur provocano un disservizio temporaneo ai sistemi, non hanno impatti sulla Riservatezza e Integrità dei dati, ma solo sulla loro disponibilità. pertanto una volta concluso l’attacco DDoS, il sito riprende a funzionare esattamente come prima.
Che cos’è l’hacktivismo cibernetico
L’hacktivismo cibernetico è un movimento che si serve delle tecniche di hacking informatico per promuovere un messaggio politico o sociale. Gli hacktivisti usano le loro abilità informatiche per svolgere azioni online come l’accesso non autorizzato a siti web o a reti informatiche, la diffusione di informazioni riservate o il blocco dei servizi online di una determinata organizzazione.
L’obiettivo dell’hacktivismo cibernetico è di sensibilizzare l’opinione pubblica su questioni importanti come la libertà di espressione, la privacy, la libertà di accesso all’informazione o la lotta contro la censura online. Gli hacktivisti possono appartenere a gruppi organizzati o agire individualmente, ma in entrambi i casi utilizzano le loro competenze informatiche per creare un impatto sociale e politico.
È importante sottolineare che l’hacktivismo cibernetico non deve essere confuso con il cybercrime, ovvero la pratica di utilizzare le tecniche di hacking per scopi illeciti come il furto di dati personali o finanziari. Mentre il cybercrime è illegale, l’hacktivismo cibernetico può essere considerato legittimo se mira a portare all’attenzione pubblica questioni importanti e a favorire il dibattito democratico. Tuttavia, le azioni degli hacktivisti possono avere conseguenze legali e gli hacktivisti possono essere perseguiti per le loro azioni.
Chi sono gli hacktivisti di NoName057(16)
NoName057(16) è un gruppo di hacker che si è dichiarato a marzo del 2022 a supporto della Federazione Russa. Hanno rivendicato la responsabilità di attacchi informatici a paesi come l’Ucraina, gli Stati Uniti e altri vari paesi europei. Questi attacchi vengono in genere eseguiti su agenzie governative, media e siti Web di società private
Le informazioni sugli attacchi effettuati da NoName057(16) sono pubblicate nell’omonimo canale di messaggistica di Telegram. Secondo i media ucraini, il gruppo è anche coinvolto nell’invio di lettere di minaccia ai giornalisti ucraini. Gli hacker hanno guadagnato la loro popolarità durante una serie di massicci attacchi DDOS sui siti web lituani.
Le tecniche di attacco DDoS utilizzate dal gruppo sono miste, prediligendo la “Slow http attack”.
L'articolo Italia sotto attacco DDoS da parte dei filorussi di NoName057(16)? Pochi disservizi proviene da il blog della sicurezza informatica.
Give Your Band The Music Of The Bands
The way to get into radio, and thence electronics, in the middle years of the last century, was to fire up a shortwave receiver and tune across the bands. In the days when every country worth its salt had a shortwave station, Cold War adversaries boomed propaganda across the airwaves, and even radio amateurs used AM that could be listened to on a consumer radio, a session in front of the dial was sure to turn up a few surprises. It’s a lost world in the 21st century, as the Internet has provided an easier worldwide medium and switch-mode power supplies have created a blanket of noise. The sounds of shortwave are thus no longer well known to anyone but a few enthusiasts, but that hasn’t stopped [gnd buzz] investigating their potential in electronic music.
There’s very little on the air which couldn’t be used in some form by the musician, but the samples are best used as the base for further processing. One example takes a “buzzer” signal and turns it into a bass instrument. The page introduces the different types of things which can be found on the bands, for which with the prevalence of WebSDRs there has never been a lower barrier to entry.
If you’re too young to have scanned the bands, a capable receiver can now be had for surprisingly little.
Radio dial header: Maximilian Schönherr, CC BY-SA 3.0.
Phishing con stile! I cyber criminali allegano GIF dei supereroi nel malware
Gli analisti di F6 hanno pubblicato uno studio su una nuova campagna di phishing attiva dalla primavera del 2025. Il gruppo, denominato ComicForm, ha inviato e-mail contenenti allegati dannosi ad aziende russe, bielorusse e kazake nei settori industriale, finanziario, turistico, biotecnologico e altri.
La prima e-mail registrata con oggetto “Report di verifica per firma” è stata inviata il 3 giugno 2025. L’allegato conteneva un archivio contenente un file eseguibile che ha avviato una catena di infezione in più fasi.
Durante l’attivazione, sono stati scaricati un loader .NET offuscato, il modulo MechMatrix Pro.dll e il dropper Montero.dll. Quest’ultimo è rimasto nel sistema, si è aggiunto alle eccezioni di Windows Defender, ha iniettato il payload nei processi e ha avviato lo spyware FormBook.
Una scoperta curiosa è stata la presenza di animazioni GIF di supereroi da Tumblr e Giphy incorporate nel codice del malware. Queste non sono state utilizzate nell’attacco, ma è stata proprio questa “estetica” a far guadagnare agli aggressori il soprannome ComicForm.
La caratteristica principale delle email era l’indirizzo di ritorno rivet_kz@…, registrato presso un servizio di posta elettronica gratuito. Le email provenivano dai domini .ru, .by e .kz, contenevano oggetti relativi a fatture, contratti e documenti bancari ed erano accompagnate da archivi con file infetti. In alcuni casi, provenivano dagli indirizzi IP 185.130.251[.]14, 185.246.210[.]198 e 37.22.64[.]155. Una delle email era stata inviata a un indirizzo email aziendale di Beeline Kazakhstan.
Successivamente, il 25 luglio, F6 ha rilevato una nuova ondata di email inviate per conto di un’azienda kazaka. Le email contenevano un link “Conferma password” che conduceva a una pagina di accesso falsa. Le informazioni di accesso della vittima venivano inviate a una risorsa di terze parti e il codice della pagina inseriva automaticamente l’indirizzo email dell’utente e aggiungeva uno screenshot del sito web aziendale per aumentare la credibilità.
Un’analisi dell’infrastruttura ha rivelato l’utilizzo di un’ampia gamma di domini nelle aree .ru, .kz, .vn, .id, .ng, .glitch.me e altre. Alcune risorse sono state compromesse. Gli esperti hanno riscontrato somiglianze con un attacco dell’aprile 2025 a una banca bielorussa, che ha utilizzato tecniche e servizi simili per rubare dati tramite la piattaforma Formspark.
ComicForm rimane attivo a partire da settembre 2025, utilizzando sia la vecchia infrastruttura che i nuovi domini. Tuttavia, l’indirizzo rivet_kz@….ru non compare più nelle mailing list recenti. L’analisi del grafico ha rivelato un’espansione della rete di risorse utilizzate dagli aggressori.
F6 ha concluso che ComicForm è attivo almeno da aprile 2025, prendendo di mira organizzazioni di diversi paesi e settori. Il gruppo combina l’invio di email tramite FormBook con la creazione di pagine di phishing che impersonano servizi aziendali.
L'articolo Phishing con stile! I cyber criminali allegano GIF dei supereroi nel malware proviene da il blog della sicurezza informatica.
Un manifesto dopo 72 ore! I Criminali Informatici si ritireranno davvero?
Quindici tra i più noti gruppi di criminali informatici, tra cuiScattered Spider, ShinyHunters e Lapsus$, hanno annunciato la loro chiusura. La loro dichiarazione collettiva, pubblicata su BreachForums, è il messaggio più esplicito proveniente dall’underground degli ultimi anni.
Il gruppo ha sottolineato che il loro obiettivo non era tanto l’estorsione quanto dimostrare la debolezza dei sistemi digitali. Ora, tuttavia, hanno dichiarato di preferire il “silenzio” agli attacchi pubblici.
Il documento, pubblicato sotto diversi pseudonimi di noti hacker, sostiene che la decisione sia stata presa dopo tre giorni di silenzio, dedicati dai partecipanti alle proprie famiglie e alla revisione dei propri piani in caso di persecuzione. Hanno affermato di aver “aspettato a lungo” nelle ultime 72 ore per confermare finalmente la loro strategia di uscita e il loro allineamento interno.
Il testo elenca gli incidenti di alto profilo degli ultimi mesi. Tra questi, la chiusura degli stabilimenti Jaguar, gli attacchi a Google che avrebbero interessato i servizi Workspace, Gmail e Person Finder, e gli attacchi all’infrastruttura di Salesforce e CrowdStrike. Gli autori hanno sottolineato di aver deliberatamente bloccato il progresso di alcuni attacchi informatici, lasciando le aziende nel limbo, e di aver gradualmente abbandonato i propri strumenti, tra cui il servizio di posta elettronica Tutanota.
La dichiarazione contiene anche avvertimenti diretti. Cita Kering, Air France, American Airlines, British Airways e altre grandi aziende che, secondo il gruppo, non hanno ancora ricevuto richieste di riscatto, nonostante la possibilità che i loro dati siano già stati compromessi. Il messaggio sottolinea che i governi di Stati Uniti, Regno Unito, Francia e Australia si illudono di avere il controllo della situazione, mentre gli aggressori continuano a monitorarne le attività.
Particolare enfasi è posta sugli arresti. Gli hacker hanno espresso solidarietà per gli otto detenuti, quattro dei quali si trovano nelle carceri francesi, definendoli “capri espiatori”. Hanno affermato che questi individui erano vittime delle indagini, ma non vi erano prove credibili a loro carico. Gli autori hanno affermato di aver intenzionalmente lasciato tracce per depistare le indagini e ridurre i rischi per i veri partecipanti, utilizzando tecniche di ingegneria sociale .
I conflitti con le forze dell’ordine e le agenzie di intelligence sono specificamente menzionati. Il testo afferma che i partecipanti hanno appreso tecniche di distrazione dai “migliori”, citando direttamente l’esperienza della CIA e le “lezioni di Langley”. Sottolineano che, a lungo termine, la pianificazione e l’influenza sono più importanti dell’abilità tecnica.
La parte finale della dichiarazione suona come un addio.
I gruppi di hacker affermano che i loro compiti sono completati ed è ora di sparire. Alcuni intendono “godersi i loro paracaduti d’oro” e accumulare milioni, altri intendono concentrarsi sulla ricerca e sullo sviluppo tecnologico, e altri ancora si ritireranno semplicemente nell’ombra. Gli autori, tuttavia, non hanno escluso la possibilità che i loro nomi continuino a emergere in future pubblicazioni sugli attacchi informatici ai danni di aziende e agenzie governative, ma hanno sottolineato che ciò non significa che continueranno a essere attivi.
Nonostante il roboante manifesto d’addio, gli analisti sono scettici sulla situazione attuale. Black Duck ha avvertito che tali dichiarazioni dovrebbero essere prese con cautela: spesso indicano solo una ritirata temporanea. BeyondTrust ha aggiunto che la storia di GandCrab, che “se n’è andato” nel 2019 ed è tornato come REvil, ha dimostrato che gli annunci clamorosi nel mondo criminale raramente sono definitivi. Bugcrowd ha sottolineato che i criminali si stanno riorganizzando o creando nuove strutture, mentre iCOUNTER ha definito tali processi parte del normale ciclo dell’underground.
Pertanto, la “dipartita” simultanea di quindici gruppi è stata un evento degno di nota nel mondo della criminalità informatica, ma non rappresenta affatto la vera scomparsa della minaccia. Cambiare nomi e ruoli non elimina il fenomeno ransomware in sé ; si limita a mascherarlo, lasciando aziende ed enti governativi esposti agli stessi rischi.
We apologise for our silence and the ambiguities of our message, whose sole destinataries did not understand the profound meaning.
These 72 hours spent in silence have been important for us to speak with our families, our relatives, and to confirm the efficiency of our contingency plans and our intents.
These 72 hours had hoped for a long time.
As you know, the last weeks have been hectic. Whilst we were diverting you, the FBI, Mandiant, and a few others by paralyzing Jaguar factories, (superficially) hacking Google 4 times, blowing up Salesforce and CrowdStrike defences, the final parts of our contingency plans were being activated.
You might or might not have realized, but our behaviour evolved recently. When we entered into Google systems, we decided not to pursue over a certain point. In between others, we willingly left them in wonder of whether Google's Workspace, Person Finder, GMAIL including legacy branches got dominated.
This has been happening more and more, as we decided to progressively abandon some of our tools (Hello, Tutanota) and our correspondents to their own faith.
Will Kering, Air France, American Airlines, British Airlines, and among many other critical infrastructure face THE CONSEQUENCES OF THEIR PUBLIC OR SECRET databreaches? I'd wonder too if I was them, as they know some have yet to receive any demand for ransom - or anything else.
Are their data currently being exploited, whilst US, UK, AU, and French authorities fill themselves with the illusions thinking they have gotten the situation under control?
Do they know that we're observing them as they painfully try to upload their HD logos to the BF servers? As they painfully try to convince judges that they have found, for the second time in a row, the real Hollow? As they pretend to arrest members of the real dark forces, on the other side of the Mediterranean, to better protect the system and its real leaders?
Have they not realized we were everywhere?
Vanity is never but an ephemeral triumph. And manipulation of opinion is never anything else than vanity.
This is why we have decided that silence will now be our strength.
You may see our names in new databreach disclosure reports from the tens of other multi billion dollar companies that have yet to disclose a breach, as well as some governmental agencies, including highly secured ones, that does not mean we are still active.
Judicial decisions will keep on busy police officers, magistrates and journalists.
They will all be dead traces of the past.
We want to share a thought for the eight people that have been raided or arrested in relations to these campaigns, Scattered Spider and/or ShinyHunters groups since beginning on April 2024 and thereafter 2025, and especially to the four who are now in custody in France.
We want to expand our regrets to their relatives, and apologise for their sacrifice. Any State needs its scapegoat. Those carefully selected targets are the last collateral victims of our war on power, and the use of our skills to humiliate those who have humiliated, predate those who have predated. We have ensured that the investigations targeting them will progressively fall apart, and that their mild vanity peccati will not inflict on them, long term consequences.
We have done so by ensuring that enough of our dirty laundry would hint to them, whilst keeping them away from any serious liability. We've learnt this from the best. This fine, funambulist equilibrium, so few are capable of reaching, is taught on an every day basis at Langley.
This is the last lesson we wanted to share with you. Talent and skill is not everything. Planning and power rule the world.
We will not try to help anyone anymore, directly or indirectly, to establish their innocence.
We've decided to let go.
It is now time to offer you what you have been waiting for. The truth.
We LAPSUS$, Trihash, Yurosh, yaxsh, WyTroZz, N3z0x, Nitroz, TOXIQUEROOT, Prosox, Pertinax, Kurosh, Clown, IntelBroker, Scattered Spider, Yukari, and among many others, have decided to go dark.
Our objectives having been fulfilled, it is now time to say goodbye.
If you worry about us, don't. The most stupid (Yurosh, Intel - say hi, you poor La Santé impersonator) will enjoy our golden parachutes with the millions the group accumulated. Others will keep on studying and improving systems you use in your daily lifes. In silence.
Others finally will just go gentle into that good night.
Thank you to everyone who has watched and stuck around.
Goodbye.
L'articolo Un manifesto dopo 72 ore! I Criminali Informatici si ritireranno davvero? proviene da il blog della sicurezza informatica.
When Is Your Pyrex Not The Pyrex You Expect?
It’s not often that Hackaday brings you something from a cooking channel, but [I Want To Cook] has a fascinating look at Pyrex glassware that’s definitely worth watching. If you know anything about Pyrex it’s probably that it’s the glass you’ll see in laboratories and many pieces of cookware, and its special trick is that it can handle high temperatures. The video takes a look at this, and reveals that not all Pyrex is the same.
Pyrex was a Corning product from the early 20th century, and aside from its many laboratory and industrial applications has been the go-to brand for casserole dishes and much more in the kitchen ever since. It’s a borosilicate glass, which is what gives it the special properties, or at least in some cases it used to be a borosilicate glass. It seems that modern-day American Pyrex for the kitchen is instead a soda glass, which while it still makes a fine pie dish, doesn’t quite have the properties of the original.
The video explains some of the differences, as well as revealing that the American version is branded in lower case as pyrex while the European version is branded uppercase as PYREX and retains the borosilicate formulation. Frustratingly there’s no quick way to definitively tell whether a piece of lower-case pyrex is soda glass or not, because the brand switch happened before the formulation switch.
In all probability in the kitchen it makes little difference which version you own, because most users won’t give it the extreme thermal shock required to break the soda version. But some Hackaday readers do plenty of experiments pushing the limits of their glassware, so it’s as well to know that seeking out an older PYREX dish could be a good move.
If you’d like to know more about glass, we’ve got you covered.
youtube.com/embed/2DKasz4xFC0?…
Getting the Most out of ISM Transceivers Using Math
WiFi is an excellent protocol, but it certainly has its weaknesses. Its range in even a normal home is relatively limited, so you could imagine the sort of performance you’d expect through the hundred meters of dense woodland that [DO3RB] is trying to penetrate. So naturally the solution was to develop a new wireless transceiver for the ISM band.
Of course, getting reliable packet transmission is tough. In a building with brick walls, WiFi will get around five to ten percent packet loss. For TCP to remain reliable, one percent packet loss is the maximum designed loss of this wireless protocol. In reality, the transceiver achieves 0.075% packet loss real world.
The crux of the magic behind this excellent reliability is the extended binary Golay code. By halving the bitrate, the Golay code is able to correct for up to four errors per codeword. While a more complicated scheme could have been used, the Golay code allowed for easy porting to an MCU thus simplifying the project. All this is encoded with frequency shift keying in the ISM band.
This magic is tied up inside an tiny SAMD21 paired with a RFM12BP wireless front end. Using TinyUSB, the interface shows up to the host as a USB Ethernet adapter making for seamless networking setups. With reliable bi-directional communication, you could theoretically use this as a home networking solution. However, this is realistically best for IoT devices as the speeds are around 56 kbit/s.
While this is an incredibly simple system, harking back to 90s networking, it certainly gets the job done in a neat and tidy manner. And if you too wish hark back to 90s radio communications, make sure to check out this satellite imagery hack next!
Thanks [Bernerd] for the tip!
It’s A Variable Capacitor, But Not As We Know It
Radio experimenters often need a variable capacitor to tune their circuits, as the saying goes, for maximum smoke. In decades past these were readily available from almost any scrap radio, but the varicap diode and then the PLL have removed the need for them in consumer electronics. There have been various attempts at building variable capacitors, and here’s [radiofun232] with a novel approach.
A traditional tuning capacitor has a set of meshed semicircular plates that have more of their surface facing each other depending on how far their shaft is turned. The capacitor presented in the first video below has two plates joined by a hinge in a similar manner to the covers of a book. It’s made of tinplate, and the plates can be opened or closed by means of a screw.
The result is a capacitor with a range from 50 to 150 picofarads, and in the second video we can see it used with a simple transistor oscillator to make a variable frequency oscillator. This can form the basis of a simple direct conversion receiver.
We like this device, it’s simple and a bit rough and ready, but it’s a very effective. If you’d like to see another unusual take on a variable capacitor, take a look at this one using drinks cans.
youtube.com/embed/ZPH6YKi-nzI?…
youtube.com/embed/iP3CnMHhO7Y?…
Smooth! Non-Planar 3D Ironing
Is 2025 finally the year of non-planar 3D printing? Maybe it won’t have to be if [Ten Tech] gets his way!
Ironing is the act of going over the top surface of your print again with the nozzle, re-melting it flat. Usually, this is limited to working on boring horizontal surfaces, but no more! This post-processing script from [Tenger Technologies], coupled with a heated, ball-shaped attachment, lets you iron the top of arbitrary surfaces.
At first, [Ten Tech] tried out non-planar ironing with a normal nozzle. Indeed, we’ve seen exactly this approach taken last year. But that approach fails at moderate angles because the edge on the nozzle digs in, and the surrounding hot-end parts drag.
One post-processing script later, and the proof of concept is working. Check out the video below to see it in action. As it stands, this requires a toolhead swap and the calibration of a whole bunch of new parameters, but it’s a very promising new idea for the community to iterate on. We love the idea of a dedicated tool and post-processing smoother script working together in concert.
Will 2025 be the year of non-planar 3DP? We’ve seen not one but two superb multi-axis non-planar printer designs so far this year: one from [Joshua Bird] and the other from [Daniel] of [Fractal Robotics]. In both cases, they are not just new machines, but are also supported with novel open-source slicers to make them work. Now [Ten Tech]’s ironer throws its hat in the ring. What will we see next?
Thanks to [Gustav Persson] for the tip!
youtube.com/embed/G4OjYKChAd8?…
hackaday.com/2025/09/17/smooth…
FLOSS Weekly Episode 847: This is Networking
This week Jonathan and Rob chat with Tom Herbert about XDP2! It’s the brand new framework for making networking really fast, making parsers really simple, and making hardware network acceleration actually useful with Linux.
youtube.com/embed/CyaCkE0Uwzw?…
Did you know you can watch the live recording of the show right on our YouTube Channel? Have someone you’d like us to interview? Let us know, or contact the guest and have them contact us! Take a look at the schedule here.
play.libsyn.com/embed/episode/…
Direct Download in DRM-free MP3.
If you’d rather read along, here’s the transcript for this week’s episode.
Places to follow the FLOSS Weekly Podcast:
Theme music: “Newer Wave” Kevin MacLeod (incompetech.com)
Licensed under Creative Commons: By Attribution 4.0 License
hackaday.com/2025/09/17/floss-…
Forgotten Internet: The Story of Email
It is a common occurrence in old movies: Our hero checks in at a hotel in some exotic locale, and the desk clerk says, “Ah, Mr. Barker, there’s a letter for you.” Or maybe a telegram. Either way, since humans learned to write, they’ve been obsessed with getting their writing in the hands of someone else. Back when we were wondering what people would do if they had a computer in their homes, most of us never guessed it would be: write to each other. Yet that turned out to be the killer app, or, at least, one of them.
What’s interesting about the hotel mail was that you had to plan ahead and know when your recipient would be there. Otherwise, you had to send your note to their home address, and it would have to wait. Telegrams were a little better because they were fast, but you still had to know where to send the message.
Early Days
In addition to visiting a telegraph office, or post office, to send a note somewhere, commercial users started wanting something better at the early part of the twentieth century. This led to dedicated teletype lines. By 1933, though, a network of Teletype machines — Telex — arose. Before the Internet, it was very common for a company to advertise its Telex number — or TWX number, a competing network from the phone company and, later, Western Union — if they dealt with business accounts.
Fax machines came later, and the hardware was cheap enough that the average person was slightly more likely to have a fax machine or the use of one than a Telex.
Computers
It is hard to remember, but through much of this time, you were probably more likely to have access to a fax machine than a computer that was connected to anyone outside of your immediate office. In 1962, MIT’s Compatible Time-Sharing System (CTSS) had a way for users to share files, and, of course, they did. By 1962, the IBM 1440 could send messages from terminal to terminal. Not really email, but it was a start.
People sharing files on CTSS led to a MAIL command by 1965. Each user had a local file called, in a fit of originality, MAIL BOX. Anyone could append messages to the file, but only the owner could read or edit it. Other early systems got the idea quickly.
By 1971, ARPANET — the granddaddy of the Internet — got SNDMSG to handle mail between networked computers. It could also transfer files. Each address had a local part and a remote hostname. In between? The “@” sign. The first message went between two PDP-10 machines that were in sight of each other. The developer, Ray Tomlinson, is often credited with inventing modern email. He would continue to drive mail innovation as part of the International Network Working Group.
youtube.com/embed/hXwjwZrp5WQ?…
Tomlinson’s program caused an explosion of similar mail programs. Unix had one. IBM was developing what would eventually become its office suite for mainframe computers. The University of Illinois had PLATO IV, which offered, among other things, mail.
The Rest of the World
In 1978, CompuServe started offering mail, primarily aimed at commercial customers. In the next year, they’d launch MicroNET, allowing people to dial into a computer to, among other things, send and receive mail.
By 1981, Compuserve rebranded its mail service as EMAIL, although it probably wasn’t the first to coin that term. That same year, IBM rolled out its internal system to the rest of the world. PROFS was widely used in the business world, and it wasn’t uncommon to hear people say they “sent you a PROFS.”
The biggest differentiator, of course, was if you could send mail to other people using your (presumably big) computer, other people on your network, or anywhere. There were plenty of schemes to get local mail off the local machine, like UUCP, for example.
The 1980s saw an explosion of LANs that had their own servers, and these usually offered, at least, local mail services. Of course, you could also buy software from Microsoft, Lotus, or others to provide mail.
The Internet
Back then, normal people didn’t have access to the Internet. That’s how companies like CompuServe, and their main competitor The Source, managed to entice people to sign up for services. They would often have gateways to other mail systems and, eventually, the Internet, too. But 1985 would see the formation of Quantum Link. Never heard of them? Maybe you’ll remember in 1989 when they changed their name to America Online and, later, AOL.
For whatever reason, AOL took over that market. By 1995, AOL had around three million active users, and its signature “You’ve got mail!” audio clip, voiced by the late Elwood Edwards, was a cultural icon. In addition to email, it pioneered instant messaging and flooded the market with free trial disks.
youtube.com/embed/dudJjUU9Nhs?…
Of course, people started getting access to the actual Internet, so all the specialized mail providers suffered.
Milestones
The first head of state to send an email? Queen Elizabeth II, back in 1976. Jimmy Carter was the first known presidential candidate to use email in 1976. Astronauts on the Space Shuttle (STS-43 in 1991) were the first to send email from space. It was pretty complicated, as Scott Manley discusses in the video below.
youtube.com/embed/0mBurvPxNRI?…
Less inspiring, Gary Thuerk sent the first spam message over ARPANET in 1978. The topic? A new product for DEC.
Modern Mail
Modern mail primarily relies on SMTP, IMAP, and, sometimes POP. Surprisingly, these protocols date back to the early 1980s, but were mostly part of the ARPANET until the Internet opened up.
Of course, the protocols have changed with time. E-mail needed to adapt to TCP/IP and DNS. Today, the protocols have provisions for validating senders to help stop spam, as well as to encrypt messages. But at the core, the technology that moves mail around the Internet is mostly unchanged. The nice thing: you can send to someone without knowing where they’ll be and when they’ll be there. Mr. Barker doesn’t have to get a packet from the front desk anymore.
American Science and Surplus Ends Online Sales
For nearly 90 years, American Science and Surplus has been shipping out weird and wonderful stuff to customers far and wide. In the pre-Internet days, getting their latest catalog in the mail — notable for its hand-drawn illustrations and whimsical style — was always exciting. From Romanian gas masks to odd-ball components, there was no telling what new wonders each issue would bring. In time, the printed catalog gave way to a website, but the eclectic offerings and hand-drawn images remained.
Earlier this year, the company turned to crowd funding to help stay afloat. That they were able to raise almost $200,000 speaks to how much support they had from their community of customers, but while it put the company in a better position, the writing was on the wall. The warehouse space required to support their mail order operations was simply too expensive to remain viable.
But it’s not all bad news. At least two of the company’s physical storefronts, located in Milwaukee, Wisconsin and Geneva, Illinois will remain open and operate under the ownership of the employees themselves. The fate of the third store in Park Ridge, Illinois is less clear. They currently don’t have a buyer, but it sounds like they haven’t given up hope of selling it yet.
Anyone in the Illinois area feel like getting some buddies together and buying a turn-key surplus business?
Naturally Radioactive Food and Safe Food Radiation Levels
There was a recent recall of so-called ‘radioactive shrimp’ that were potentially contaminated with cesium-137 (Cs-137). But contamination isn’t an all-or-nothing affair, so you might wonder exactly how hot the shrimp were. As it turns out, the FDA’s report makes clear that the contamination was far below the legal threshold for Cs-137. In addition, not all of the recalled shrimp was definitely contaminated, as disappointing as all of this must be to those who had hoped to gain radioactive Super Shrimp powers.
After US customs detected elevated radiation levels in the shrimp that was imported from Indonesia, entry for it was denied, yet even for these known to be contaminated batches the measured level was below 68 Bq/kg. The FDA limit here is 1,200 Bq/kg, and the radiation level from the potassium-40 in bananas is around the same level as these ‘radioactive shrimp’, which explains why bananas can trigger radiation detectors when they pass through customs.
But this event raised many questions about how sensible these radiation checks are when even similar or higher levels of all-natural radioactive isotopes in foods pass without issues. Are we overreacting? How hot is too hot?
Healthy Radiation, Normal Radiation
Ionizing radiation from nuclear sources forms both an unavoidable and an essential part of food safety. The practice of food irradiation involves exposing food to gamma rays in order to destroy anything that is still alive in it, like bacteria and other potentially harmful microorganisms. Much like heating with pasteurization and similar practices that aim to wipe out these microorganisms, this can render food safe for consumption for much longer than would otherwise be possible.
Whereas food irradiation does not actually introduce radioactive isotopes to the foodstuffs, these isotopes can still enter prospective food in other ways. Long before these infamous Indonesian shrimp – likely prawns – found themselves post-mortem on their way to the US, these critters were either happily galivanting about in the Pacific Ocean or less happily stuck in a shrimp farm, doing all the things that pre-mortem shrimp do. This includes consuming a lot of shrimp food, starting with plankton and moving up to worms, bivalves and other crustaceans as they mature.
All of these food sources along with the water that they live in contain some level of radioactive isotopes, ranging from the uranium-238 that’s plentiful in seawater, to tritium from atmospheric sources, and manmade isotopes like cesium-137 from nuclear weapons testing. Most isotopes, including Cs-137, do not bioaccumulate: in humans Cs-137 has a biological half-life of about 70 days . This suggests that this particular batch of whiteleg shrimp ingested some kind of relatively Cs-137-rich food shortly before harvesting.
The Pacific Ocean area was a particularly prolific area when it came to nuclear weapons testing, with of the worldwide approximately 2,121 tests so far the US and France detonating a significant number in the Pacific. Tests such as the 15 megaton Castle Bravo experiment featuring the ironically named SHRIMP device, which significantly raised the amount of carbon-14 (C-14), Cs-137, and strontium-90 (Sr-90) in the region. Due to its bioaccumulating nature, Sr-90 with its 29-year half life poses a particular risk, while C-14 with its 5,700-year half life is generally deemed of no consequence, on par with the normal intake of potassium-40 as both isotopes behave in a very similar way in the body.
Although the amount of Cs-137 from these tests has reduced significantly due to natural radioactive decay, this provides one potential path through which these and many other isotopes from both manmade and natural sources can find themselves inside small crustaceans prior to their untimely demise at the hand of bipedal primates with an appetite for seafood.
The one question that remains here is how we can know that a certain amount of an isotope per kg of foodstuff is too much for human consumption. How dangerous is the radioactive potassium-40 in bananas really?
Setting Limits
We earlier listed the FDA’s 1,200 Bq/kg as the limit for the Cs-137. A radioactive source rates one Becquerel if it undergoes one disintegration event per second, and dividing this by the weight gives a rough measure of radiation density. But all decay biproducts aren’t created equally. If we look at the FDA guidance documents pertaining to radionuclides in imported food, we can see that this listed limit pertains to the so-called Derived Intervention Levels (DILs), superseding the older Levels of Concern (LOCs). The same document lists the DILs for other isotopes, including:
- Sr-90 at 160 Bq/kg.
- Iodine-131 at 170 Bq/kg.
- Cs-134 + Cs-137 at 1,200 Bq/kg.
- Pu-238 + Pu-239 + Am-241 at 2 Bq/kg.
What these isotopes have in common is that they are generally only produced by artificial sources, while omitting a very common natural isotope like potassium-40 (K-40) which only forms the third-largest source of natural background radiation after thorium-232 and uranium-238. Since K-40 is readily present in soil and anywhere else that other potassium isotopes are present, it’s practically unavoidable to consume significant amounts of K-40 each day, regardless of whether you’re a crustacean, plant or mammal.
K-40 is both a beta and gamma emitter, with approximately 140 grams of it present at any given time in a 70 kg adult human body, where it is responsible for an approximate constant 4,000 Bq of radiation.
Despite the long half-life of 1.248 billion years, K-40’s prevalence makes up for this sluggish nuclear decay rate, with around 4,000 of such disintegration events happening inside an adult human body each second, as a K-40 nucleus decays into either argon-40 or calcium-40 via gamma or beta decay respectively.
We can contrast this with Cs-137’s 30 year half-life and somewhat similar decay into barium. Nearly 95% of Cs-137 nuclei decay into the metastable barium-137m via beta decay, before decaying into the stable barium-137 via gamma decay. The remaining 4% decay immediately via beta decay into this stable nucleus.
The much shorter half-life and primary gamma decay route make Cs-137 significantly more radiologically active than K-40. Yet while more gamma radiation may sound worse, one has to remember that the biological impact for radiation exposure once ingested is flipped around. For example, while the very powerful alpha radiation is luckily stopped by the top layers of our skin and dissipates its energy mostly in dead skin cells, you don’t want the same to happen to living cells like the inside of your lungs or various other soft issues, with alpha radiation absolutely cooking the nearest layers of cells.
This is where gamma decay ironically helps to distribute the radiation exposure from Cs-137 somewhat, while also complicating the comparison with K-40, as that isotope decays mostly via beta decay and thus can potentially do more damage per event to local tissue as beta radiation does not travel as far through the body.
Overabundance Of Caution
The American Nuclear Society (ANS) article on the “contaminated shrimp” event probably puts this event in best context. Normally shrimp from the Pacific region contains some level of Cs-137, but these recent batches caught the attention at the importing ports due to a 100x higher level of Cs-137 than normally seen. That sounds like a problem, but it only places the shrimp roughly in line with bananas.
A 2023 study performed in Poland found that of animal products produced in that country, cattle muscle tissue showed Cs-137 levels up to 23.5 Bq/kg (wet weight), sheep nearly 50 Bq/kg, and in wild game animals some muscle tissue scored well over 4,000 Bq/kg. All of which place these commonly consumed animal tissues well above the typical value for Indonesian shrimp, and either in the ballpark or significantly above that of the ‘contaminated’ shrimp.
Threshold Models
Government regulations pertaining to radiation exposure are most often based on the linear no-threshold (LNT) model, which extrapolates down from very high radiation doses where we can measure the damage more easily. But it does so linearly, making the assumption that ten multiple small doses, even if they are spread out over time, are equivalent to one exposure that is ten times as strong.
Recent studies have suggested that below 100 mSv there are no observable effects, which suggests that a model that incorporates a threshold might make more sense for radiological contamination of food.
The National Academy of Science report on low levels of radiation from 2005, on which most of the US regulations are based, at the time rejected the threshold model due to insufficient evidence. They also cite studies where very small doses are claimed to have negative effects on children still in the womb, suggesting that the lower threshold may not be uniform across different populations.
Even if a lower threshold does exist, and there is an increasing push by scientists for moving past the LNT, establishing the exact value for this threshold is difficult. Below a certain dosage, there just isn’t significant epidemiological data. You cannot prove a negative: “below this level there will be no increased risk of cancer”. One can only say that no excess risk was detected in this or that particular study.
Add in sensitivity about manmade radioisotopes in drinking water, food, and anything else that is sold or presented to the public, and most governments take the LNT approach even if it is likely to be very conservative. And that, in short, is why we got a ‘radioactive’ shrimp recall, when eating that banana might arguably be more hazardous for you.
Oil-Based Sprengel Pump Really Sucks
Have you heard of the Sprengel pump? It’s how they drew hard vacuum back before mechanical pumps were perfected — the first light bulbs had their vacuums drawn with Sprengel pumps, for example. It worked by using droplets of a particular liquid to catch air particles, and push them out a narrow tube, thereby slowly evacuating a chamber. The catch is that that liquid used to be mercury, which isn’t something many of us have on hand in kilogram quantities anymore. [Gabriel Wolffe] had the brainwave that one might substitute modern vacuum pump oil for mercury, and built a pump to test that idea.
Even better, unlike the last (mercury-based) Sprengel pump we saw, [Gabriel] set up his build so that no glassblowing is required. Yes, yes, scientific glassblowing used to be an essential skill taught in every technical college in the world. Nowadays, we’re glad to have a design that lets us solder brass fittings together. Technically you still have to cut an eyedropper, but that’s as complex as the glasswork gets. Being able to circulate oil with a plastic tube and peristaltic pump is great, too.
If you try it, you need to spring for vacuum pump oil. This type of pump is limited in the vacuum it can draw by the vapor pressure of the fluid in use, and just any oil won’t do. Most have vapor pressures far in excess of anything useful. In the old days, only mercury would cut it, but modern chemistry has come up with very stable oils that will do nearly as well.
How well? [Gabriel] isn’t sure; he bottomed out his gauge at 30 inches of Mercury (102 kPa). It may not be any lower than that, but it’s fair to say the pump draws a healthy vacuum without any unhealthy liquid metals. Enough to brew up some tubes, perhaps.
youtube.com/embed/WczS2cb8ppA?…
The Practicality Of Solar Powered Meshtastic
A Meshtastic node has been one of the toys of the moment over the last year, and since they are popular with radio amateurs there’s a chance you’ll already live within range of at least one. They can typically run from a lithium-ion or li-po battery, so it’s probable that like us you’ve toyed with the idea of running one from a solar panel. It’s something we have in common with [saveitforparts], whose experiments with a range of different solar panels form the subject of a recent video.
He has three different models: one based around a commercial solar charger, another using an off-the-shelf panel, and a final one using the panel from a solar garden light. As expected the garden light panel can’t keep an ESP32 with a radio going all day, but the other two manage even in the relatively northern climes of Alaska.
As a final stunt he puts one of the nodes out on a rocky piece of the southern Alaskan coastline, for any passing hacker to find. It’s fairly obviously in a remote place, but it seems passing cruise ships will be within its range. We just know someone will take up his challenge and find it.
youtube.com/embed/rh1tN8CnPL0?…
DK 10x02 - E... se facessimo gli europei?
Con il collasso democratico degli USA ormai innegabile, l'Europa si accorge all'improvviso di essere legata mani e piedi a un impero che affonda. E la reazione dei nostri politici è di reiterare le professioni di atlantismo e di fede in un mitologico "Occidente" che sono servite negli ultimi settant'anni. Con risultati, come vediamo, disastrosi. E se per cambiare, invece di scimmiottare gli americani, facessimo gli europei?
spreaker.com/episode/dk-10x02-…
RHC intervista ShinyHunters: “I sistemi si riparano, le persone restano vulnerabili!”
ShinyHunters è un gruppo noto per il coinvolgimento in diversi attacchi informatici di alto profilo. Formatosi intorno al 2020, il gruppo ha guadagnato notorietà attraverso una serie di attacchi mirati a varie aziende, che hanno portato al furto e alla vendita di grandi quantità di dati sensibili.
ShinyHunters è stato collegato a violazioni di sicurezza che hanno coinvolto aziende come Microsoft, Banco Santander, Ticketmaster e molte altre. Questi dati venivano spesso venduti su forum del dark web, come ad esempio il vecchio BreachForums, che è stato per un periodo gestito da ShinyHunters.
Recentemente il gruppo ha guadagnato grande notorietà dopo la massiccia violazione di dati ai danni di Salesforce, episodio che ha portato anche Google a monitorare da vicino e ad attribuire loro il nome in codice UNC6240.
La violazione di Salesforce ha permesso agli attaccanti di ottenere accessi a moltissime aziende di moltissimi settori, come Palo Alto, Zscaler, ClaudFlare e Tenable. Negli ultimi giorni molte aziende hanno condiviso dichiarazioni ufficiali sulle violazioni subite, emntre altre azienda ancora non hanno fatto dichiarazioni pubbliche.
Molti analisti ritengono che ShinyHunters sia formato da individui legati al gruppo cybercriminale “The Com”, un ecosistema di hacker provenienti prevalentemente dal Nord America e dal Regno Unito. Negli ultimi mesi, ShinyHunters ha intensificato le proprie attività prendendo di mira numerose organizzazioni. Ogni operazione viene puntualmente rivendicata sul loro canale Telegram ufficiale, dove offrono anche la possibilità di acquistare i dati trafugati.
Tra gli attacchi più rilevanti rivendicati pubblicamente figurano Jaguar Land Rover, compromissione alla quale ShinyHunters ha preso parte e che avrebbe causato interruzioni significative alla produzione, la violazione ai marchi di moda di Kering (controlla brand come Gucci, Balenciaga e Saint Laurent), i cui dati aziendali sono stati messi in vendita dal gruppo sui propri canali.
ShinyHunters si conferma così come una delle principali minacce attuali nel panorama cybercriminale, capace di combinare tecniche di data breach su larga scala con una forte strategia di comunicazione e monetizzazione.
Intervista a ShinyHunters
RHC: ShinyHunters, grazie per aver accettato di essere ospite di RedHotCyber! Prima di iniziare, ti diamo la possibilità di presentarti ai nostri lettori. Che cos’è e come è nato ShinyHunters? Inoltre potete spiegare una volta per tutta la differenza tra voi, Scattered Spider e LAPSUS? Siete un Rebranding di un gruppo già esistito, avete fatto parte di altri gruppi come il vostro?
ShinyHunters: ShinyHunters è un gruppo nato da una comunità underground con un obiettivo semplice: dimostrare che i sistemi che sembrano “solidi” in realtà sono fragili. Non siamo un rebranding di Scattered Spider o LAPSUS$, nonostante le frequenti comparazioni dei media. Questi gruppi hanno caratteristiche proprie. Siamo emersi con una nostra identità, non come un ufficiale spin-off di nessuno. La differenza? Ci concentriamo di più su un impatto elevato con meno “teatralità”, mentre altri gruppi tendono ad essere più caotici o opportunistici.
RHC: Qual è la vostra principale spinta? Guadagno economico, rivendicazioni politiche/sociali o desiderio di notorietà?
ShinyHunters: La nostra motivazione? È una combinazione di fattori. C’è l’aspetto finanziario—ovviamente, è una parte importante. Ma c’è anche l’ego, il desiderio di dimostrare il nostro valore e la soddisfazione di scuotere l’industria. La fama arriva naturalmente, ma non è l’unico obiettivo.
RHC: Potete rivelare le dimensioni del vostro gruppo? Per aumentare i membri del vostro gruppo avete un programma di affiliazione strutturato? Avete dei requisiti per far parte del team?
ShinyHunters: La dimensione e la struttura del gruppo sono piccole ma efficienti. Non siamo un esercito di migliaia di persone. Non abbiamo un “programma di affiliazione” aperto, ma utilizziamo un meccanismo di reclutamento basato sulla reputazione. I requisiti non riguardano solo le competenze tecniche; la mentalità, la riservatezza e la lealtà sono molto più importanti.
RHC: Sembrerebbe che voi privilegiate molto gli attacchi tramite ingegneria sociale. Reputate che questa tecnica sia più semplice ed efficace per ottenere un accesso iniziale? è colpa della poca consapevolezza e formazione delle vittime?
ShinyHunters: Sì, ci affidiamo molto all’ingegneria sociale. Perché? Perché la tecnologia può essere riparata, ma gli esseri umani? Sono deboli fin dall’inizio. La mancanza di consapevolezza e formazione rende questo il percorso più veloce. Non c’è bisogno di un’arma zero-day quando una semplice telefonata può aprire la porta.
RHC: Per i vostri attacchi utilizzate exploit prodotti da voi? come programmare i potenziali miglioramenti?
ShinyHunters: Non scriviamo sempre exploit da zero. Il mondo underground è pieno di idee, e noi combiniamo ciò che è disponibile con la nostra creatività. L’innovazione non riguarda solo il nuovo codice, ma anche nuovi modi di utilizzare qualcosa che è considerato comune.
RHC: In media, qual è il livello di sicurezza che avete trovato nelle vostre vittime? Cosa consigliereste alle organizzazioni per evitare di essere colpite da gruppi come il vostro?
ShinyHunters: Molte grandi organizzazioni hanno una sicurezza mediocre. Dall’esterno, sembrano forti, ma all’interno sono un disastro. Una raccomandazione: costruire una cultura della sicurezza, non solo strumenti. Senza di essa, tutti i dispositivi sono solo un’illusione di protezione.
RHC: Come scegliete i vostri bersagli? Ci sono settori o Paesi che vi interessano di più? Se sì, per quali ragioni?
ShinyHunters: Scegliamo obiettivi che promettono un alto “valore” sia finanziario che simbolico. Le industrie della tecnologia, della sanità e dell’aviazione sono tutte attraenti per il loro ampio impatto. Per quanto riguarda i paesi? Dipende dal contesto politico, ma il nostro focus è più globale che nazionale.
RHC: Esistono aziende o categorie di vittime che ritenete “off limits”? Vi ponete dei limiti morali nelle vostre azioni?
ShinyHunters:Ci sono dei confini morali. Anche se può sembrare ironico, non attacchiamo indiscriminatamente ospedali o organizzazioni umanitarie. C’è una linea sottile che non attraversiamo, anche se è vaga. Non siamo “salvatori”, ma non siamo nemmeno privi di una bussola morale.
RHC: Avete preso di mira sistemi legati all’aviazione. Cosa vi ha spinto a colpire un settore così critico e regolamentato? Potete spiegare quali tecniche avete usato per penetarre un sistema così complesso, quanto tempo di lavoro vi è servito per arrivare al risultato, e se dal vostro punto di vista l’operazione ha prodotto un ritorno sull’investimento (ROI) proporzionato allo sforzo?
ShinyHunters: Perché il settore dell’aviazione? Per la sua criticità. Penetrare in un sistema così grande è una prova di abilità. Richiede tempo serve pazienza, osservazione e tattiche multilivello. Il ritorno sull’investimento vale la pena? Per noi, sì. L’impatto è maggiore del semplice denaro.
RHC: Riguardo alla pianificazione delle vostre campagne, come decidete i settori dove focalizzarsi? Inoltre come selezionate le persone da contattare per il vostro social engineering?
ShinyHunters: Valutiamo i settori in base alla vulnerabilità e ai potenziali effetti a catena. Per l’ingegneria sociale, selezioniamo individui con ampio accesso ma bassi livelli di consapevolezza come il personale di supporto, i contrattisti e i partner. Queste persone spesso forniscono punti di accesso.
RHC: Potete darci qualche informazione sui tool che usate? Oltre a quelli leciti (eg:/ AnyDesk) come affrontate la creazione dei vostri tool? C’è un tipo di tool che richiede più attenzioni di altri? Per la creazione del vostro ransomware invece avete preso spunto da altri ransomware presenti nel panorama? Viene tutto creato da voi o vi affidate a developers esterni?
ShinyHunters: Utilizziamo un mix di strumenti legittimi (come il desktop remoto) e i nostri. Costruiamo ransomware ispirati a strumenti esistenti, ma li modifichiamo per adattarli alle nostre esigenze. Non tutti noi siamo programmatori; a volte collaboriamo con parti esterne.
RHC: C’è qualcosa che governi, aziende o opinione pubblica hanno frainteso sul vostro gruppo ed attività? Sul vostro canale Telegram avete detto diverse volte che le forze dell’ordine hanno arrestato le persone sbagliate. Inoltre cosa vi spinge a chiedere il licenziamento di operatori/agenti che investigano su di voi? Sentite maggiori pressioni rispetto ai vostri periodo di attività precedenti?
ShinyHunters: Ci sono molti malintesi. I media e il governo spesso accusano o arrestano ingiustamente persone ai margini della società. Perché deridiamo le autorità? Perché sono spesso più impegnate a trovare capri espiatori che a capire come operiamo. La pressione sta aumentando, ma fa parte del gioco.
RHC: L’attacco alla supply chain di Salesforce, attraverso il componente Drift, ha avuto un impatto globale senza precedenti. Qual era l’obiettivo primario dell’operazione: spionaggio, monetizzazione immediata, o dimostrazione di forza tecnica?
ShinyHunters: L’obiettivo era una combinazione: monetizzazione rapida mentre si dimostrava forza. L’azione di spionaggio potrebbe essere stata un effetto collaterale, ma il punto era dimostrare la fragilità delle catene di approvvigionamento globali, anche in una compagnia grande come Salesforce.
RHC: Nel caso della compromissione della supply chain di Salesforce, la vera vulnerabilità sembra essere stata l’utilizzo di credenziali OAuth già valide, più che un exploit tecnico. Potete chiarire se tali credenziali siano state ottenute attraverso campagne mirate (phishing, social engineering), acquistate nel mercato underground, oppure sfruttando configurazioni deboli o errori lato cliente/fornitore?
ShinyHunters: Sì, le vulnerabilità non sono sempre nel software, ma nella configurazione e nelle persone. Le credenziali valide possono provenire da phishing, ingegneria sociale o anche dal mercato nero. La verità è che la porta viene aperta dall’interno, non distrutta dall’esterno.
RHC: Dai primi riscontri emerge che gran parte dei dati esfiltrati riguarda sistemi di ticketing usati dalle aziende per gestire assistenza e richieste interne. Diverse fonti sostengono però che la vera “miniera d’oro” siano le informazioni tecniche e riservate contenute in questi ticket. Potete darci qualche dettaglio in più sulla tipologia di dati più sensibili che avete trovato e sul loro reale valore rispetto a semplici dati anagrafici dei clienti?
ShinyHunters:I dati dei clienti sono importanti, ma non sono il nucleo. Il vero tesoro si trova nel sistema di ticketing interno: documentazione tecnica, mappe dell’infrastruttura, conversazioni riservate. Questo è più prezioso di migliaia di email dei clienti.
RHC: Ultimamente sono stati fermati vari membri del vostro team, siete molto attenzionati da varie forze dell’ordine e sicuramente nel mondo della cybersecurity avete gli occhi addosso. Per questo motivo avete deciso di pubblicare il post di addio su breachforums.hn?
ShinyHunters: Alcuni membri sono stati effettivamente arrestati. Questo è un fatto. Il nostro post di addio sul forum? Può essere interpretato come un segno di rassegnazione, o semplicemente come un nuovo capitolo. Il mondo underground è sempre pieno di strati di significato.
RHC: Sempre nel vostro canale Telegram avete postato screen riconducibili ad accesso a LERS di Google e Panel dell’FBI. Non vi sembra di esagerare con le vostre provocazioni? Ovviamente siete a conoscenza delle conseguenze eppure mantenete una posizione rigida e sfacciata, come mai però avete dichiarato di cessare le vostre attività? Comprendete che agli occhi degli analisti sembra essere un tentativo di rebranding o di una falsa exit?
ShinyHunters: È stata una provocazione? Sì. Eravamo consapevoli dei rischi? Assolutamente. Perché è continuata? Perché dimostra che nessun sistema è intoccabile. La dichiarazione di fermo? Potrebbe essere un trucco, potrebbe essere reale. Lasciamo che il pubblico indovini.
RHC: Il vostro collettivo e’ composto da ragazzi giovani e teenager. Le vostre abilità sono innegabili e sicuramente sopra la media di alcuni professionisti del settore. Nonostante ciò vi possiamo assicurare che le opportunità di soddisfazione e carriere altrettanto remunerative come alternativa al crimini sono fattibili, in particolare per gente che riesce a spendere il proprio tempo su questo campo come voi. Perché avete abbracciato la criminalità? Vi siete creati una realtà che poteva darvi soddisfazioni e prestigio sia tra i più giovani che i più veterani ma avete deciso di sviarla per farla diventare di fatto un gruppo di estorsionisti. Considereste una sorta di “redenzione” su questo fronte al costo di chiudere i ponti con il mondo del crimine? Davvero considerate il costo penale (oltre che i danni alle organizzazioni) accettabile per continuare le vostre azioni? Cosa rende così interessante il mondo del crimine ai vostri occhi (denaro a parte)?
ShinyHunters: Molti di noi sono giovani. Sappiamo che ci sono vie legali che possono portare al riconoscimento. Ma il crimine offre sfide, libertà e una scorciatoia per la reputazione. Ne vale la pena? La risposta di ognuno è diversa. La redenzione è possibile, ma non sarà economica.
RHC: ShinyHunters, grazie per il vostro tempo e per le preziose risposte. Ci teniamo a sottolineare con non tutti coloro che lavorano nella security “lecita” dividono il mondo in buoni e cattivi e solo perché venite etichettati come “minacce” comprendiamo che la fuori sono solo sfumature di questi due poli. Speriamo vivamente (se ciò che avete detto nel vostro messaggio d’addio e veritiero) che possiate riconciliare i vostri comportamenti ed azioni considerando non solo di smettere ma di usare le vostre conoscenze all’interno di una community sana sia per voi sia per la sicurezza in generale. Vi lasciamo quest’ultimo spazio per dire quello che volete in totale libertà.
ShinyHunters: Non pensate a noi come a semplici “minacce” o “criminali.” Rappresentiamo una debolezza trascurata. Se volete davvero che ci fermiamo, rafforzate il sistema, educate le persone e create percorsi attraenti per i giovani talentuosi. Fino a quando ciò non accadrà, gruppi come il nostro continueranno a emergere.
Il nostro contatto ufficiale del canale. Abbiamo 2 canali ufficiali e abbiamo ingannato molte persone facendole credere che il nostro account su Telegram sia solo uno, e questo è il nostro obiettivo affinché Telegram non blocchi il nostro canale tutto in una volta.
Scattered Lapsus Hunters Official: https://t.me/+FInBlpGYJlA2NTQ9
Group: https://t.me/+COakigt517JlZDI1
Scattered Lapsus Hunters Part 2: https://t.me/+l7481fEs8Qo3NzZl
Scattered Lapsus Hunters Part 3: https://t.me/+YSzJ2twGKxI4NTdl
Scattered Lapsus Hunters Part 4: https://t.me/+Bs61zhw_lNFiMDg9
L'articolo RHC intervista ShinyHunters: “I sistemi si riparano, le persone restano vulnerabili!” proviene da il blog della sicurezza informatica.
Perl torna nella top 10 dei linguaggi di programmazione più popolari
TIOBE Software ha pubblicato la classifica di settembre dei linguaggi di programmazione più popolari. Il momento clou della pubblicazione è stato il ritorno di Perl nella top 10, balzando dal 27° al 10° posto.
Solo un anno fa, Perl era considerata un “outsider“, ma ora il suo indice è del 2,03%. Per fare un confronto, era del 2,08% ad agosto e dell’1,76% a luglio. Questa crescita è particolarmente notevole se si considera che durante gli “anni d’oro” di Perl salì al terzo posto in classifica (marzo 2005), per poi scendere per decenni.
Secondo il direttore di TIOBE, Paul Jansen, la spiegazione tecnica di questo aumento risiede nell’elevato numero di libri su Perl disponibili su Amazon: ci sono quattro volte più libri su Perl che libri su PHP e sette volte più libri su Rust. Tuttavia, le vere ragioni di questo aumento rimangono poco chiare.
Lo stesso Jansen suggerisce che la comunità stia adottando sempre più Perl 5 come linguaggio “principale”. La storia di Perl 6, in seguito ribattezzato Raku, durò quasi due decenni e portò a un rallentamento nello sviluppo di Perl 5. Molti sviluppatori passarono quindi a Python. Oggi, Perl 6/Raku si classifica solo al 129° posto nell’indice e non ha praticamente alcun impatto sul settore, mentre Perl 5 riceve aggiornamenti regolari e sta tornando ad attirare l’attenzione.
A settembre, Python ha mantenuto il primo posto con il 25,98% (in crescita del 5,81% su base annua). C++ è rimasto al secondo posto (8,8%), seguito da C (8,65%) e Java (8,35%). Anche C# è entrato nella top five (6,38%). JavaScript rimane al sesto posto (3,22%), seguito da Visual Basic (2,84%) e Go (2,32%). Delphi/Object Pascal è salito al nono posto (2,26%), seguito da Perl. SQL, Fortran e PHP, invece, hanno perso terreno.
Altri cambiamenti degni di nota includono un crescente interesse per Ada (14° posto, in crescita di 12 punti) e R (13° posto, in crescita di 2 punti). Rust, MATLAB e Kotlin hanno perso terreno.
La classifica TIOBE viene aggiornata mensilmente e riflette la popolarità dei linguaggi in base alle query di ricerca su Google, Amazon, Wikipedia, Bing e oltre 20 altri servizi. Non classifica il “miglior” linguaggio o il volume di codice scritto, ma funge piuttosto da indicatore della rilevanza delle competenze e da guida per le decisioni di sviluppo strategico.
I dati storici evidenziano tendenze a lungo termine: Python occupa costantemente una delle prime 3 posizioni dal 2020, C e C++ occupano il primo posto da oltre tre decenni e linguaggi come Delphi/Object Pascal e Ada stanno tornando sorprendentemente in auge dopo una lunga pausa.
Le classifiche della Hall of Fame ci ricordano che Python è stato nominato “linguaggio dell’anno” più spesso, ben otto volte dal 2007. Ma anche C, Java e persino Go si sono distinti nel corso degli anni.
Gli autori dell’indice sottolineano che stanno continuando a perfezionare la metodologia di calcolo. Prevedono di ampliare l’elenco delle lingue di ricerca (ad esempio, includendo la lingua cinese Baidu) e di introdurre indici separati per database e framework.
L'articolo Perl torna nella top 10 dei linguaggi di programmazione più popolari proviene da il blog della sicurezza informatica.
Reviewing Deluxe Paint, 40 Years On
When Deluxe Paint came out with the original Amiga in 1985, it was the killer app for the platform. [Christopher Drum] starts his recent article on just that note, remembering the day he and his mother walked into a computer store, and walked out with a brand new Amiga… thanks entirely to Deluxe Paint. Forty years on, how well can this killer app compete?
[Christopher] isn’t putting Deluxe Paint head-to-head with modern Photoshop; they’re hardly in the same class. Not Photoshop, no, but modern applications that do what Deluxe Paint did so well: pixel art. There was no need to call it pixel art back then, no, but with the resolutions on hand, all digital art was pixel art in 1985.
Or 1989, which is when Deluxe Paint III came out– that’s the last version written by Dan Silva and coincidentally the last version [Christopher] owned, and the one he focuses in on his tests. It has held up amazingly well.
Sure, you don’t get a full 24-bit colour palette, but most pixel artists stick to limited palettes still anyway. You don’t quite get a modern UI, but presence of useful keyboard shortcuts allows a Hands-On-Keybord-And-Mouse (We’ll call it HOKAM, in honour of HOTAS in aerospace) workflow that is incredibly efficient.
About the only things [Christopher] found Deluxe Paint III lacked compared to its successors were a proper layering system, and of course the infinite undo we’ve all gotten so used to. (DPIII has an undo button, but it could only store one operation.) He also complained about cursor latency for some brushes, but we wonder if that might have had something to do with Windows and the emulation layer adding a delay. One thing Amiga was always known for back in the day was the snappy cursor movement, even when the processor was loaded.
There were just as many features he found had been forgotten in the new generation — like palatte swapping animations, or flood-filling line gradients.
Anyone who owned an Amgia probably has fond memories of it, but alas, in spite of Commodore’s recent resurrection, we’re not likely to see a new one soon. On the other hand, at least when it comes to pixel art, there’s apparently no need to upgrade.
(Thumbnail and header image by Avril Harrison, distributed by Electronic Arts with Deluxe Paint.)
Hacker Scattered LAPSUS$ Hunters: accesso non autorizzato a Google LERS
I dirigenti di Google hanno affermato che gli hacker hanno creato un account falso sul Law Enforcement Request System (LERS), la piattaforma aziendale utilizzata dalle forze dell’ordine per inviare richieste ufficiali di dati.
Alla fine della scorsa settimana, i membri dei gruppi di hacker Scattered Spider, LAPSUS$ e Shiny Hunters (che affermano di essersi uniti e ora si fanno chiamare Scattered LAPSUS$ Hunters) hanno annunciato su Telegram di aver ottenuto l’accesso sia al portale Google LERS sia al sistema di controllo dei precedenti eCheck dell’FBI.
LERS ed eCheck sono utilizzati dalle forze di polizia e dalle agenzie di intelligence di tutto il mondo per trasmettere citazioni e ordini, nonché richieste di divulgazione urgente di informazioni. L’accesso non autorizzato a questi sistemi ha consentito agli aggressori di impersonare agenti delle forze dell’ordine e di accedere ai dati sensibili degli utenti.
“Abbiamo accertato che nel nostro sistema di richieste delle forze dell’ordine è stato creato un account fraudolento e lo abbiamo disattivato”, ha dichiarato ai giornalisti un portavoce di Google. “Nessuna richiesta è stata effettuata tramite questo account fraudolento. Non è stato effettuato alcun accesso ai dati”.
L’FBI ha rifiutato di commentare le dichiarazioni dei colpevoli.
Si noti che gli hacker hanno pubblicato screenshot dell’accesso presumibilmente ottenuto poco dopo aver annunciato la loro intenzione di “nascondersi”.
Ricordiamo che all’inizio di quest’anno, il collettivo Scattered LAPSUS$ Hunters ha attirato molta attenzione dopo attacchi su larga scala a Salesforce.
Inizialmente gli aggressori hanno utilizzato l’ingegneria sociale per indurre i dipendenti a collegare lo strumento Data Loader alle istanze aziendali di Salesforce, che è stato poi utilizzato per rubare dati e commettere estorsioni.
Successivamente, gli hacker hanno compromesso il repository GitHub di Salesloft e hanno utilizzato Trufflehog per scoprire segreti nel codice sorgente privato. Ciò ha permesso loro di trovare token di autenticazione per Salesloft Drift, utilizzati per sferrare ulteriori attacchi e il conseguente furto di massa di dati da Salesforce.
Il fatto è che gli specialisti di Google Threat Intelligence (Mandiant) sono stati i primi a notare cosa stava succedendo, hanno attirato l’attenzione sugli attacchi a Salesforce e Salesloft e hanno avvisato tutti della necessità di rafforzare le proprie difese.
Dopodiché, gli hacker hanno iniziato a ridicolizzare regolarmente l’FBI, Google, Mandiant e i ricercatori di sicurezza informatica nelle pubblicazioni sui loro canali Telegram.
Ora, gli Scattered LAPSUS$ Hunters hanno pubblicato un lungo messaggio su un dominio associato a BreachForums, affermando che stanno cessando le operazioni.
“Abbiamo deciso che d’ora in poi la nostra forza risiede nel silenzio”, hanno scritto gli aggressori. “Continuerete a vedere i nostri nomi nei resoconti sulle fughe di dati di decine di aziende multimiliardarie che non hanno ancora ammesso l’attacco, così come di alcune agenzie governative, comprese quelle altamente protette. Ma questo non significa che siamo ancora attivi”.
L'articolo Hacker Scattered LAPSUS$ Hunters: accesso non autorizzato a Google LERS proviene da il blog della sicurezza informatica.
Perovskite Solar Cell Crystals See the Invisible
A new kind of ‘camera’ is poking at the invisible world of the human body – and it’s made from the same weird crystals that once shook up solar energy. Researchers at Northwestern University and Soochow University have built the first perovskite-based gamma-ray detector that actually works for nuclear medicine imaging, like SPECT scans. This hack is unusual because it takes a once-experimental lab material and shows it can replace multimillion-dollar detectors in real-world hospitals.
Current medical scanners rely on CZT or NaI detectors. CZT is pricey and cracks like ice on a frozen lake. NaI is cheaper, but fuzzy – like photographing a cat through steamed-up glass. Perovskites, however, are easier to grow, cheaper to process, and now proven to detect single photons with record-breaking precision. The team pixelated their crystal like a smartphone camera sensor and pulled crisp 3D images out of faint radiation traces. The payoff: sharper scans, lower radiation doses, and tech that could spread beyond rich clinics.
Perovskite was once typecast as a ‘solar cell wonder,’ but now it’s mutating into a disruptive medical eye. A hack in the truest sense: re-purposing physics for life-saving clarity.
A 10″ Telescope, Because You Only Live Once
Why build a telescope? YOLO, as the kids say. Having decided that, one must decide what type of far-seer one will construct. For his 10″ reflector, [Carl Anderson] once again said “Yolo”— this time not as a slogan, but in reference to a little-known type of reflecting telescope.
The Yolo-pattern telescope was proposed by [Art Leonard] back in the 1960s, and was apparently named for a county in California. It differs from the standard Newtonian reflector in that it uses two concave spherical mirrors of very long radius to produce a light path with no obstructions. (This differs from the similar Schiefspiegler that uses a convex secondary.) The Yolo never caught on, in part because of the need to stretch the primary mirror in a warping rig to correct for coma and astigmatism.
[Carl] doesn’t bother with that, instead using modern techniques to precisely calculate and grind the required toric profile into the mirror. Grinding and polishing was done on motorized jigs [Carl] built, save for the very final polishing. (A quick demo video of the polishing machine is embedded below.)
The body of the telescope is a wooden truss, sheathed in plywood. Three-point mirror mounts alowed for the final adjustment. [Carl] seems to prefer observing by eye to astrophotography, as there are no photos through the telescope. Of course, an astrophotographer probably would not have built an F/15 (yes, fifteen) telescope to begin with. The view through the eyepiece on the rear end must be astounding.
If you’re inspired to spend your one life scratch-building a telescope, but want something more conventional, check out this comprehensive guide. You can go bit more modern with 3D printed parts, but you probably don’t want to try spin-casting resin mirrors. Or maybe you do: YOLO!
youtube.com/embed/zbaz4PCu6TA?…
Nuova campagna di SEO Poisoning colpisce gli utenti cinesi con malware
Gli utenti di lingua cinese sono stati presi di mira da una nuova campagna di SEO Poisoning che utilizza falsi siti web di app popolari per distribuire malware nei risultati di ricerca. Secondo un rapporto di Fortinet FortiGuard Labs, gli aggressori hanno utilizzato plugin SEO per ottenere un posizionamento elevato su Google e hanno registrato domini quasi indistinguibili da quelli originali. Le sostituzioni utilizzavano modifiche minime ai caratteri e descrizioni credibili, che inducevano le vittime a scaricare programmi di installazione infetti invece delle app originali.
Attraverso questo schema, sono state introdotte nei dispositivi modifiche del trojan RAT della famiglia Gh0st RAT: varianti di HiddenGh0st e Winos (ValleyRAT). Quest’ultimo è associato al gruppo Silver Fox (SwimSnake, Valley Thief, UTG-Q-1000, Void Arachne), attivo almeno dal 2022.
L’attacco è iniziato quando gli utenti cercavano prodotti come DeepL Translate, Google Chrome, Signal, Telegram , WhatsApp e WPS Office su Google. Invece di risorse ufficiali, sono finiti su copie accuratamente costruite, il cui download veniva avviato tramite programmi di installazione trojanizzati.
Il processo era controllato da uno script che formava una catena a più fasi: prima veniva richiesto un file JSON con un collegamento aggiuntivo, quindi il nuovo JSON puntava all’indirizzo di download finale del pacchetto dannoso. All’interno del programma di installazione era presente un modulo DLL che eseguiva controlli per bypassare l’analisi. Estraeva una seconda libreria, il cui compito era sovraccaricare gli strumenti di analisi, costringendoli a consumare risorse e rallentarli.
La stessa libreria garantiva la decompressione e l’avvio del payload principale. In precedenza, veniva verificata la presenza dell’antivirus 360 Total Security. Se l’antivirus era installato, il malware utilizzava l’intercettazione dell’oggetto COM TypeLib per insinuarsi nel sistema ed eseguire il file insalivation.exe. In assenza di un antivirus, l’infiltrazione veniva garantita tramite un collegamento di Windows che puntava allo stesso file eseguibile.
La fase finale prevedeva il caricamento di AIDE.dll, che attivava tre componenti chiave. Il primo era il modulo C2, che gestiva la comunicazione crittografata con il server remoto e caricava plugin aggiuntivi. Il secondo era Heartbeat, che raccoglieva informazioni di sistema, incluso un elenco dei processi in esecuzione, e verificava le funzionalità di sicurezza. Il terzo era Monitor, che monitorava l’attività degli utenti, verificava il mantenimento della stabilità e inviava regolarmente segnali al server di controllo.
Le funzioni di controllo includevano la possibilità di installare plugin, intercettare l’input da tastiera e il contenuto degli appunti e rubare i portafogli di criptovalute associati a Ethereum e Tether. Alcuni plugin offrivano la possibilità di acquisire screenshot, precedentemente registrati come parte del toolkit Winos.
Gli esperti sottolineano che gli installer contenevano sia un’applicazione legittima che una parte dannosa , motivo per cui gli utenti non si sono accorti dell’infezione. Inoltre, i falsi sono arrivati persino ai primi posti dei risultati di ricerca, il che rende il controllo dei nomi di dominio e delle fonti di download una misura di sicurezza fondamentale.
L'articolo Nuova campagna di SEO Poisoning colpisce gli utenti cinesi con malware proviene da il blog della sicurezza informatica.
Making a Laptop with a Mechanical Keyboard
A laptop is one of the greatest tools at the disposal of a hacker. They come in all manner of shapes and sizes with all manner of features. But perhaps the greatest limit held by all laptops is their chiclet keyboard. While certainly serviceable, a proper mechanical keyboard will always reign supreme, which is why [flurples] built a laptop around a mechanical keyboard.
Such a keyboard could not fit inside any normal laptop, so a custom machined case was in order. The starting point was a standard Framework Laptop 13. Its open source documentation certainly helped the project, but numerous parts such as the audio board and fingerprint sensor are not documented making for a long and tedious process. But the resulting machined aluminum case looks at least as good as a stock Framework chassis, all be it, quite a bit thicker.
The resulting laptop retains three of the four modular input ports the Framework is known for, but one was sacrificed for a USB-A hub and HDMI port exposed by a custom carrier. Only one of the USB-As is externally accessible, with one used as a mouse dongle hider, and the other for keyboard connectivity.
The keyboard itself uses Kailh Choc Sunset switches, with the PCB resting on o rings for a more consistent typing experience. The key caps come from two sets of caps, with the shift and escape keys being dyed an excellent shade of orange. Sitting on the right hand side below the keyboard is a trio of rotary encoders. Using low profile encoders, the knobs blend neatly into the overall laptop, perhaps being invisible at first glance.
The rotary encoders forced a speaker arrangement redesign. Instead of siting next to the battery where the rotary encoders now are, they are attached to the top cover above the battery. This change required lengthening the speaker connector cables, but otherwise worked extremely well.
If you enjoy the work of laptop case replacement, make sure to check out this Toshiba Libretto get a fresh lease on life with a re-designed case.
youtube.com/embed/kGHAUogFsYY?…
How to Have a Medium Format Camera Without Breaking The Bank
For most people, experimentation with film photography comes in the form of the 35 mm format. Its ubiquity in snapshot photography means cameras are readily available at all levels, and the film offers a decent compromise between resolution and number of shots per dollar spent.
For those who wish to take their film photography further there’s the so-called medium format 120 roll film, but here opting for a higher-end camera can become expensive. Fortunately [Javier Doroteo] is here with a 3D printed medium format camera designed to use lenses intended for the Mamiya Press cameras, and from where we’re sitting it looks very nicely designed indeed.
All the files can be found on Printables along with a list of the other parts required. It’s made simple by the Mamiya lenses incorporating the shutter, but there’s still a lot of attention that has been paid to the back of the camera. This is the third version of the design and it shows, details such as the film holder and light proofing are well thought out.
Photography is so often a world in which collecting the latest kit is seen as more important than the photographs themselves, so we like and encourage camera hackers as a reaction to all that. If you’d like to see another medium format camera, this certainly isn’t the first we’ve brought you.
2025 Hackaday Component Abuse Challenge: Let the Games Begin!
In theory, all parts are ideal and do just exactly what they say on the box. In practice, everything has its limits, most components have non-ideal characteristics, and you can even turn most parts’ functionality upside down.
The Component Abuse Challenge celebrates the use of LEDs as photosensors, capacitors as microphones, and resistors as heat sources. If you’re using parts for purposes that simply aren’t on the label, or getting away with pushing them to their absolute maximum ratings or beyond, this is the contest for you.
If you committed these sins against engineering out of need, DigiKey wants to help you out. They’re probably got the right part, and they’re providing us with three $150 gift certificates to give out to the top projects. (If you’re hacking just for fun, well, you’re still in the running.)
This is the contest where the number one rule is that you must break the rules, and the project has to work anyway. You’ve got eight weeks, until Nov 11th. Open up a project over at Hackaday.io, pull down the menu to enter in the contest, and let the parts know no mercy!
Honorable Mention Categories:
We’ve come up with a few honorable mention categories to get your ideas flowing. You don’t have to fit into one of these boxes to enter, but we’ll be picking our favorites in these four categories for a shout-out when we reveal the winners.
- Bizarro World: There is a duality in almost every component out there. Speakers are microphones, LEDs are light sensors, and peltier coolers generate electricity. Turn the parts upside down and show us what they can do.
- Side Effects: Most of the time, you’re sad when a part’s spec varies with temperature. Turn those lemons into lemonade, or better yet, thermometers.
- Out of Spec: How hard can you push that MOSFET before it lets go of the magic smoke? Show us your project dancing on the edge of the abyss and surviving.
- Junk Box Substitutions: What you really needed was an igniter coil. You used an eighth-watt resistor, and got it hot enough to catch the rocket motor on fire. Share your parts-swapping exploits with us.
Inspiration
Here’s a trick to double the current that a 555 timer can sink. We’d love to see other cases of 555 abuse, of course, but any other IC is fair game.
Resistors get hot. Thermochromic paint changes color with temperature. Every five years or so, we see an awesome new design. This ancient clock of [Sprite_tm]’s lays the foundation, [Daniel Valuch] takes it into the matrix, and [anneosaur] uses the effect to brighten our days.
Or maybe you have a new twist on the absolutely classic LEDs-as-light-sensors? Just because it’s been done since the early says of [Forrest Mims] doesn’t mean we don’t want to see your take.
Get out there and show us how you can do it wrong too.
This Rail Speeder Needs a Little Work
If you take the wheels off a FIAT Punto, you might just notice that those rims fit nicely on a rail. [AT Lab] did, and the resulting build makes for a very watchable video.
Some of us have been known to spend a little too much time chasing trains, and there’s little on rails that won’t catch a railfan’s eye. That goes for rail speeders too, home constructed railcarts for exploring abandoned lines, and there are some great builds out there. We like the one in the video below the break, but we can’t help noticing a flaw which might just curtail its career.
It’s a simple enough build, a wooden chassis, a single motor and chain drive to one axle. All the wheel fittings are 3D printed, which might be a case of using the one tool you have to do everything, but seems to work. It rides well on the test track which appears to be an abandoned industrial siding, but it’s in those wheels we can see the problem and we guess that perhaps the builder is not familiar with rails. The Punto wheels have an inner rim and an outer rim, while a true rail wheel only has an inner one. There’s a good reason for this; real railways have points and other trackwork, not to mention recessed rails at road crossings or the like. We love the cart, but we’d cut those inner rims off to avoid painful derailments.
If you’re up for the ultimate railway build, take care not to go near a live line, and make sure you follow this video series.
youtube.com/embed/B5Wa9CKcUPk?…
Una Sigaretta elettronica diventa un Server Web. E che Hacking sia!
Richard Stallman disse molti anni fa “fare giocosamente qualcosa di difficile, che si utile oppure no, questo è hacking!”
L’ingegnere rumeno e maestro di origami Bogdan Ionescu, noto con il soprannome BogdanTheGeek, ha dimostrato che le sigarette elettroniche usa e getta possono essere utilizzate per scopi diversi da quelli per cui sono state progettate. Ha trasformato quindi un dispositivo dismesso in un server web funzionante .
Ionescu aveva a lungo collezionato sigarette elettroniche usate per ricavarne batterie da utilizzare in altri progetti. Ma con l’avvento di modelli più “avanzati”, rivolse la sua attenzione ai microcontrollori integrati. In uno di questi dispositivi, trovò un chip etichettato PUYA C642F15. Dopo averlo studiato, si scoprì che si trattava di un microcircuito PY32F002B con un core Arm Cortex M0+ a una frequenza di 24 MHz. È costituito da 24 KB di memoria flash e 3 KB di RAM.
Per gli standard moderni, il set è modesto: a titolo di paragone, anche un telefono di dieci anni fa riuscirebbe a malapena a caricare Google, e questo chip è circa cento volte più lento.
Ma l’ingegnere ha deciso di usarlo per gestire il suo server. La base era la capacità del microcontrollore di funzionare con il protocollo SLIP (Serial Line Internet Protocol), un metodo obsoleto per la trasmissione di dati Internet tramite un’interfaccia seriale. Ciò ha permesso di trasformare la sigaretta elettronica nell’equivalente di un semplice modem con una velocità di circa 56 Kbps. Inoltre, Ionescu ha aggiunto la libreria uIP 0.9, che fornisce il supporto TCP/IP e la possibilità di distribuire pagine web.
Inizialmente, il risultato sembrava deludente: il ping impiegava un secondo e mezzo con metà dei pacchetti persi e una semplice pagina veniva caricata in più di 20 secondi. Ma dopo alcuni miglioramenti, la situazione è cambiata. L’ingegnere ha aggiunto un buffer circolare per l’elaborazione dei dati, che ha accelerato significativamente lo scambio. Ulteriori ottimizzazioni hanno ridotto il ritardo a 20 millisecondi senza perdita di pacchetti. Una pagina intera iniziava a caricarsi in circa 160 millisecondi.
Il server era in grado di ospitare una copia del blog di Ionescu sull’esperimento. L’intero sito stava in 20 KB di memoria flash. Chiunque poteva aprire una pagina basata su un chip da una sigaretta elettronica usa e getta, ma il carico era superiore a quello che il dispositivo poteva gestire. Con un numero elevato di connessioni, i visitatori iniziarono a visualizzare l’errore 503, la risposta standard in caso di sovraccarico del server.
Il progetto si chiamava VapeServer e ha dimostrato che i dispositivi elettronici che normalmente finirebbero in discarica possono essere riutilizzati. Secondo una ricerca dell’Università di Oxford e della Faraday Foundation, nel Regno Unito vengono gettati ogni settimana circa 1,3 milioni di sigarette elettroniche usa e getta. Oltre alle batterie, contengono anche controller , connettori USB-C e altri dispositivi elettronici adatti alla sperimentazione.
Ionescu ha pubblicato il codice sorgente di VapeServer su GitHub . Lì ha anche pubblicato il suo progetto semihost-ip, che consente di eseguire l’hosting su qualsiasi processore Arm con una quantità minima di codice. Per l’ingegnere, questa esperienza è diventata una dimostrazione del fatto che anche le apparecchiature “usa e getta” possono sorprendere. Sebbene la risorsa sia limitata, il fatto che la sigaretta elettronica possa funzionare come server sottolinea chiaramente le possibilità di riutilizzo dell’elettronica .
L'articolo Una Sigaretta elettronica diventa un Server Web. E che Hacking sia! proviene da il blog della sicurezza informatica.
Serious Chemical Threat Sniffer on a Budget
Chemical warfare detection was never supposed to be a hobbyist project. Yet here we are: Air Quality Guardian by [debdoot], the self-proclaimed world’s first open source chemical threat detection system, packs lab-grade sensing into an ESP32-based build for less than $100. Compare that with $10,000+ black-box hardware and you see why this is worth trying at home.
It’s nothing like your air monitor from IKEA. Unlike those, or the usual indoor monitors, this device goes full counter-surveillance. It sniffs for organophosphates, carbamates, even stealth low-VOC agents designed to trick consumer sensors. It flags when incense or frying oil is used to mask something nastier. It does so by analysing raw gas sensor resistance – ohm-level data most devices throw away – combined with temporal spikes, humidity correlations, and a database of 35+ signatures.
This technology – once only available in expensive military labs – can be useful in many situations: journalists or whistleblowers can record signs of chemical harassment, safehouses can notice when their air changes in suspicious ways, and researchers can test strange environmental events. Of course, you must take care with calibration, and sometimes the system may give a false alarm. Still, just having such a detector visible already makes attacks less likely.
Featured Image by Arjun Lama on Unsplash
RevengeHotels: a new wave of attacks leveraging LLMs and VenomRAT
Background
RevengeHotels, also known as TA558, is a threat group that has been active since 2015, stealing credit card data from hotel guests and travelers. RevengeHotels’ modus operandi involves sending emails with phishing links which redirect victims to websites mimicking document storage. These sites, in turn, download script files to ultimately infect the targeted machines. The final payloads consist of various remote access Trojan (RAT) implants, which enable the threat actor to issue commands for controlling compromised systems, stealing sensitive data, and maintaining persistence, among other malicious activities.
In previous campaigns, the group was observed using malicious emails with Word, Excel, or PDF documents attached. Some of them exploited the CVE-2017-0199 vulnerability, loading Visual Basic Scripting (VBS), or PowerShell scripts to install customized versions of different RAT families, such as RevengeRAT, NanoCoreRAT, NjRAT, 888 RAT, and custom malware named ProCC. These campaigns affected hotels in multiple countries across Latin America, including Brazil, Argentina, Chile, and Mexico, but also hotel front-desks globally, particularly in Russia, Belarus, Turkey, and so on.
Later, this threat group expanded its arsenal by adding XWorm, a RAT with commands for control, data theft, and persistence, amongst other things. While investigating the campaign that distributed XWorm, we identified high-confidence indicators that RevengeHotels also used the RAT tool named DesckVBRAT in their operations.
In the summer of 2025, we observed new campaigns targeting the same sector and featuring increasingly sophisticated implants and tools. The threat actors continue to employ phishing emails with invoice themes to deliver VenomRAT implants via JavaScript loaders and PowerShell downloaders. A significant portion of the initial infector and downloader code in this campaign appears to be generated by large language model (LLM) agents. This suggests that the threat actor is now leveraging AI to evolve its capabilities, a trend also reported among other cybercriminal groups.
The primary targets of these campaigns are Brazilian hotels, although we have also observed attacks directed at Spanish-speaking markets. Through a comprehensive analysis of the attack patterns and the threat actor’s modus operandi, we have established with high confidence that the responsible actor is indeed RevengeHotels. The consistency of the tactics, techniques, and procedures (TTPs) employed in these attacks aligns with the known behavior of RevengeHotels. The infrastructure used for payload delivery relies on legitimate hosting services, often utilizing Portuguese-themed domain names.
Initial infection
The primary attack vector employed by RevengeHotels is phishing emails with invoicing themes, which urge the recipient to settle overdue payments. These emails are specifically targeted at email addresses associated with hotel reservations. While Portuguese is a common language used in these phishing emails, we have also discovered instances of Spanish-language phishing emails, indicating that the threat actor’s scope extends beyond Brazilian hospitality establishments and may include targets in Spanish-speaking countries or regions.
Example of a phishing email about a booking confirmation
In recent instances of these attacks, the themes have shifted from hotel reservations to fake job applications, where attackers sent résumés in an attempt to exploit potential job opportunities at the targeted hotels.
Malicious implant
The malicious websites, which change with each email, download a WScript JS file upon being visited, triggering the infection process. The filename of the JS file changes with every request. In the case at hand, we analyzed Fat146571.js (fbadfff7b61d820e3632a2f464079e8c), which follows the format Fat\{NUMBER\}.js, where “Fat” is the beginning of the Portuguese word “fatura”, meaning “invoice”.
The script appears to be generated by a large language model (LLM), as evidenced by its heavily commented code and a format similar to those produced by this type of technology. The primary function of the script is to load subsequent scripts that facilitate the infection.
A significant portion of the new generation of initial infectors created by RevengeHotels contains code that seems to have been generated by AI. These LLM-generated code segments can be distinguished from the original malicious code by several characteristics, including:
- The cleanliness and organization of the code
- Placeholders, which allow the threat actor to insert their own variables or content
- Detailed comments that accompany almost every action within the code
- A notable lack of obfuscation, which sets these LLM-generated sections apart from the rest of the code
AI generated code in a malicious implant as compared to custom code
Second loading step
Upon execution, the loader script, Fat\{NUMBER\}.js, decodes an obfuscated and encoded buffer, which serves as the next step in loading the remaining malicious implants. This buffer is then saved to a PowerShell (PS1) file named SGDoHBZQWpLKXCAoTHXdBGlnQJLZCGBOVGLH_{TIMESTAMP}.ps1 (d5f241dee73cffe51897c15f36b713cc), where “\{TIMESTAMP\}” is a generated number based on the current execution date and time. This ensures that the filename changes with each infection and is not persistent. Once the script is saved, it is executed three times, after which the loader script exits.
The script SGDoHBZQWpLKXCAoTHXdBGlnQJLZCGBOVGLH_{TIMESTAMP}.ps1 runs a PowerShell command with Base64-encoded code. This code retrieves the cargajecerrr.txt (b1a5dc66f40a38d807ec8350ae89d1e4) file from a remote malicious server and invokes it as PowerShell.
This downloader, which is lightly obfuscated, is responsible for fetching the remaining files from the malicious server and loading them. Both downloaded files are Base64-encoded and have descriptive names: venumentrada.txt (607f64b56bb3b94ee0009471f1fe9a3c), which can be interpreted as “VenomRAT entry point”, and runpe.txt (dbf5afa377e3e761622e5f21af1f09e6), which is named after a malicious tool for in-memory execution. The first file, venumentrada.txt, is a heavily obfuscated loader (MD5 of the decoded file: 91454a68ca3a6ce7cb30c9264a88c0dc) that ensures the second file, a VenomRAT implant (3ac65326f598ee9930031c17ce158d3d), is correctly executed in memory.
The malicious code also exhibits characteristics consistent with generation by an AI interface, including a coherent code structure, detailed commenting, and explicit variable naming. Moreover, it differs significantly from previous samples, which had a structurally different, more obfuscated nature and lacked comments.
Exploring VenomRAT
VenomRAT, an evolution of the open-source QuasarRAT, was first discovered in mid-2020 and is offered on the dark web, with a lifetime license costing up to $650. Although the source code of VenomRAT was leaked, it is still being sold and used by threat actors.
VenomRAT packages on the dark web
According to the vendor’s website, VenomRAT offers a range of capabilities that build upon and expand those of QuasarRAT, including HVNC hidden desktop, file grabber and stealer, reverse proxy, and UAC exploit, amongst others.
As with other RATs, VenomRAT clients are generated with custom configurations. The configuration data within the implant (similar to QuasarRAT) is encrypted using AES and PKCS #5 v2.0, with two keys employed: one for decrypting the data and another for verifying its authenticity using HMAC-SHA256. Throughout the malware code, different sets of keys and initialization vectors are used sporadically, but they consistently implement the same AES algorithm.
Anti-kill
It is notable that VenomRAT features an anti-kill protection mechanism, which can be enabled by the threat actor upon execution. Initially, the RAT calls a function named EnableProtection, which retrieves the security descriptor of the malicious process and modifies the Discretionary Access Control List (DACL) to remove any permissions that could hinder the RAT’s proper functioning or shorten its lifespan on the system.
The second component of this anti-kill measure involves a thread that runs a continuous loop, checking the list of running processes every 50 milliseconds. The loop specifically targets those processes commonly used by security analysts and system administrators to monitor host activity or analyze .NET binaries, among other tasks. If the RAT detects any of these processes, it will terminate them without prompting the user.
List of processes that the malware looks for to terminate
The anti-kill measure also involves persistence, which is achieved through two mechanisms written into a VBS file generated and executed by VenomRAT. These mechanisms ensure the malware’s continued presence on the system:
- Windows Registry: The script creates a new key under HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, pointing to the executable path. This allows the malware to persist across user sessions.
- Process: The script runs a loop that checks for the presence of the malware process in the process list. If it is not found, the script executes the malware again.
If the user who executed the malware has administrator privileges, the malware takes additional steps to ensure its persistence. It sets the SeDebugPrivilege token, enabling it to use the RtlSetProcessIsCritical function to mark itself as a critical system process. This makes the process “essential” to the system, allowing it to persist even when termination is attempted. However, when the administrator logs off or the computer is about to shut down, VenomRAT removes its critical mark to permit the system to proceed with these actions.
As a final measure to maintain persistence, the RAT calls the SetThreadExecutionState function with a set of flags that forces the display to remain on and the system to stay in a working state. This prevents the system from entering sleep mode.
Separately from the anti-kill methods, the malware also includes a protection mechanism against Windows Defender. In this case, the RAT actively searches for MSASCui.exe in the process list and terminates it. The malware then modifies the task scheduler and registry to disable Windows Defender globally, along with its various features.
Networking
VenomRAT employs a custom packet building and serialization mechanism for its networking connection to the C2 server. Each packet is tailored to a specific action taken by the RAT, with a dedicated packet handler for each action. The packets transmitted to the C2 server undergo a multi-step process:
- The packet is first serialized to prepare it for transmission.
- The serialized packet is then compressed using LZMA compression to reduce its size.
- The compressed packet is encrypted using AES-128 encryption, utilizing the same key and authentication key mentioned earlier.
Upon receiving packets from the C2 server, VenomRAT reverses this process to decrypt and extract the contents.
Additionally, VenomRAT implements tunneling by installing ngrok on the infected computer. The C2 server specifies the token, protocol, and port for the tunnel, which are sent in the serialized packet. This allows remote control services like RDP and VNC to operate through the tunnel and to be exposed to the internet.
USB spreading
VenomRAT also possesses the capability to spread via USB drives. To achieve this, it scans drive letters from C to M and checks if each drive is removable. If a removable drive is detected, the RAT copies itself to all available drives under the name My Pictures.exe.
Extra stealth steps
In addition to copying itself to another directory and changing its executable name, VenomRAT employs several stealth techniques that distinguish it from QuasarRAT. Two notable examples include:
- Deletion of Zone.Identifier streams: VenomRAT deletes the Mark of the Web streams, which contain metadata about the URL from which the executable was downloaded. By removing this information, the RAT can evade detection by security tools like Windows Defender and avoid being quarantined, while also eliminating its digital footprint.
- Clearing Windows event logs: The malware clears all Windows event logs on the compromised system, effectively creating a “clean slate” for its operations. This action ensures that any events generated during the RAT’s execution are erased, making it more challenging for security analysts to detect and track its activities.
Victimology
The primary targets of RevengeHotels attacks continue to be hotels and front desks, with a focus on establishments located in Brazil. However, the threat actors have been adapting their tactics, and phishing emails are now being sent in languages other than Portuguese. Specifically, we’ve observed that emails in Spanish are being used to target hotels and tourism companies in Spanish-speaking countries, indicating a potential expansion of the threat actor’s scope. Note that among earlier victims of this threat are such Spanish-speaking countries as Argentina, Bolivia, Chile, Costa Rica, Mexico, and Spain.
It is important to point out that previously reported campaigns have mentioned the threat actor targeting hotel front desks globally, particularly in Russia, Belarus, and Turkey, although no such activity has yet been detected during the latest RevengeHotels campaign.
Conclusions
RevengeHotels has significantly enhanced its capabilities, developing new tactics to target the hospitality and tourism sectors. With the assistance of LLM agents, the group has been able to generate and modify their phishing lures, expanding their attacks to new regions. The websites used for these attacks are constantly rotating, and the initial payloads are continually changing, but the ultimate objective remains the same: to deploy a remote access Trojan (RAT). In this case, the RAT in question is VenomRAT, a privately developed variant of the open-source QuasarRAT.
Kaspersky products detect these threats as HEUR:Trojan-Downloader.Script.Agent.gen, HEUR:Trojan.Win32.Generic, HEUR:Trojan.MSIL.Agent.gen, Trojan-Downloader.PowerShell.Agent.ady, Trojan.PowerShell.Agent.aqx.
Indicators of compromise
fbadfff7b61d820e3632a2f464079e8c Fat146571.js
d5f241dee73cffe51897c15f36b713cc SGDoHBZQWpLKXCAoTHXdBGlnQJLZCGBOVGLH_{TIMESTAMP}.ps1
1077ea936033ee9e9bf444dafb55867c cargajecerrr.txt
b1a5dc66f40a38d807ec8350ae89d1e4 cargajecerrr.txt
dbf5afa377e3e761622e5f21af1f09e6 runpe.txt
607f64b56bb3b94ee0009471f1fe9a3c venumentrada.txt
3ac65326f598ee9930031c17ce158d3d deobfuscated runpe.txt
91454a68ca3a6ce7cb30c9264a88c0dc deobfuscated venumentrada.txt
Vulnerabilità critica in Linux: exploit 0-click N-Days permette l’esecuzione di codice remoto
Un ricercatore di sicurezza ha recentemente sviluppato unexploit 0-click per il demone kernel SMB3 di Linux (ksmbd), sfruttando due vulnerabilità specifiche. Questo exploit consente l’esecuzione di codice remoto (RCE) in modalità kernel senza alcuna interazione da parte dell’utente, rappresentando una minaccia significativa per i sistemi vulnerabili.
Il primo bug, identificato come CVE-2023-52440, riguarda un overflow SLUB nel metodo ksmbd_decode_ntlmssp_auth_blob(). Questo errore si verifica durante l’autenticazione NTLM, quando la lunghezza della chiave di sessione (sess_key_len) è controllata dall’utente.
Impostando un valore eccessivo per questa lunghezza, è possibile sovrascrivere porzioni di memoria adiacenti, consentendo l’esecuzione di codice arbitrario. L’exploit è stato testato su una versione 6.1.45 di Linux, con tutte le mitigazioni standard attive, come SMAP, SMEP, KPTI, KASLR e altre.
Il secondo bug, CVE-2023-4130, è una vulnerabilità di lettura fuori dai limiti (OOB read) nel metodo smb2_set_ea(). Questa falla consente a un utente autenticato di leggere dati sensibili dalla memoria kernel, sfruttando la gestione errata degli attributi estesi (xattr) nei file condivisi tramite SMB3. La combinazione di queste due vulnerabilità permette di ottenere un controllo completo sul sistema bersaglio.
L’exploit sviluppato utilizza una tecnica di “heap spraying” per manipolare la memoria heap, creando condizioni favorevoli per l’esecuzione del codice maligno. Una volta ottenuto l’accesso alla memoria kernel, viene eseguita una catena di ritorno (ROP) per eseguire un reverse shell, ottenendo così il controllo remoto del sistema. Questo processo avviene senza alcuna interazione da parte dell’utente, rendendo l’attacco particolarmente insidioso.
Il ricercatore ha testato l’exploit su un sistema con un singolo core x86_64, ma ha osservato che su sistemi multi-core l’affidabilità dell’exploit diminuisce a causa della gestione per CPU delle allocazioni di memoria. Inoltre, l’exploit può causare instabilità nel sistema bersaglio, richiedendo interventi per ripristinare la stabilità dopo l’esecuzione dell’attacco.
Per mitigare questa vulnerabilità, è consigliabile aggiornare il sistema alla versione più recente del kernel Linux, in quanto le versioni successive alla 6.1.45 hanno corretto entrambe le vulnerabilità. Inoltre, è importante configurare correttamente i permessi di accesso alle condivisioni SMB, limitando l’accesso in scrittura solo agli utenti autorizzati. Disabilitare l’esposizione di ksmbd su Internet e monitorare attivamente le attività sospette possono contribuire a ridurre il rischio di sfruttamento di questa vulnerabilità.
Questo caso evidenzia l’importanza di mantenere aggiornati i sistemi e di applicare le best practice di sicurezza per prevenire attacchi sofisticati come questo. La comunità di ricerca sulla sicurezza continua a monitorare e analizzare tali vulnerabilità per migliorare la protezione dei sistemi informatici.
L'articolo Vulnerabilità critica in Linux: exploit 0-click N-Days permette l’esecuzione di codice remoto proviene da il blog della sicurezza informatica.
Jointly is a Typeface Designed for CNC Joinery
If you have a CNC router, you know you can engrave just about any text with the right tool, but Jointly is a typeface that isn’t meant to be engraved. That would be too easy for [CobyUnger]. His typeface “Jointly” is the first we’ve seen that’s meant to be used as joinery.
This gives the font a friendly curved appearance we find quite fetching. Of course if you’re going to be cutting tenons into the end of a board, you’re going to need either some serious z-depth or an interesting jig to get the end of the board under the cutting head. It looks like [CobyUnger] has both, but he mentions the possibility of using a handheld CNC router as the cheaper option.
Speaking of routing out type, do you know the story of Gorton? You can’t make joinery with that typeface, but you’ve almost certainly seen it.
Great Firewall sotto i riflettori: il leak che svela l’industrializzazione della censura cinese
A cura di Luca Stivali e Olivia Terragni.
L’11 settembre 2025 è esploso mediaticamente, in modo massivo e massiccio, quello che può essere definito il più grande leak mai subito dal Great Firewall of China (GFW), rivelando senza filtri l’infrastruttura tecnologica che alimenta la censura e la sorveglianza digitale in Cina.
Sono stati messi online – tramite la piattaforma del gruppo Enlace Hacktivista – oltre 600 gigabyte di materiale interno: repository di codice, log operativi, documentazione tecnica e corrispondenza tra i team di sviluppo. Materiale che offre un rara finestra sul funzionamento interno del sistema di controllo della rete più sofisticato al mondo.
Ricercatori e giornalisti hanno lavorato su questi file per un anno, per analizzare e verificare le informazioni prima di pubblicarle: i metadati analizzati infatti riportano l’anno 2023. La ricostruzione accurata del leak è stata poi pubblicata nel 2025 e riguarda principalmente Geedge Networks, azienda che collabora da anni con le autorità cinesi (e che annovera tra i suoi advisor il “padre del GFW” Fang Binxing), e il MESA Lab (Massive Effective Stream Analysis) dell’Institute of Information Engineering, parte della Chinese Academy of Sciences. Si tratta di due tasselli chiave in quella filiera ibrida – accademica, statale e industriale – che ha trasformato la censura da progetto nazionale a prodotto tecnologico scalabile.
Dal prototipo al “GFW in a box”
Se viene tolta la patina ideologica, ciò che emerge dal leak non è una semplice raccolta di regole, ma un prodotto completo: un sistema modulare integrato, progettato per essere operativo all’interno dei data center delle telco e replicabile all’estero.
Il cuore è il Tiangou Secure Gateway (TSG), che non è un semplice appliance, ma una piattaforma di ispezione e controllo del traffico di rete, che esegue la Deep Packet Inspection (DPI), classifica protocolli e applicazioni in tempo reale di codice di blocco e manipolazione del traffico. Non lo deduciamo per indizio: nel dump compaiono esplicitamente i documenti “TSG Solution Review Description-20230208.docx” e “TSG-问题.docx”, insieme all’archivio del server di packaging RPM (mirror/repo.tar, ~500 GB), segno di una filiera di build e rilascio industriale.
TSG (motore DPI e enforcement)
La componente TSG è progettata per operare sul perimetro di rete (o in punti di snodo degli ISP), gestendo grandi volumi di traffico. La prospettiva “prodotto” è confermata dalla documentazione e dal materiale marketing del vendor: TSG viene presentato come soluzione “full-featured” con deep packet inspection e content classification—esattamente da quanto emerge dai resoconti del leak.
Manipolazione del traffico (injection) e misure attive
La piattaforma non si limita a “non far passare”. Alcuni resoconti, riassunti nel dossier tecnico in lingua cinese, indicano esplicitamente l’iniezione di codice nelle sessioni HTTP, HTTPS, TLS e QUIC. VI è persino la capacità di lanciare DDoS mirati come estensione della linea di censura. Questo sancisce la convergenza tra censura e strumenti offensivi, con una cabina di regia unica.
Telemetria, tracciamento e controllo operativo
Dalle sintesi dei documenti si ricostruiscono funzioni di monitoraggio in tempo reale, tracciamento della posizione(associazione a celle/identificatori di rete), storico degli accessi, profilazione e blackout selettivi per zona o per evento. Non si tratta di semplici slide: sono capacità citate in modo consistente, che emergono dalle analisi del contenuto del leak delle piattaforme Jira/Confluence/GitLab, utilizzate per l’assistenza, la documentazione e lo sviluppo del TGS.
Console per operatori e layer di gestione
Sopra al motore di rete c’è un livello “umano”: dashboard e strumenti di network intelligence, che forniscono visibilità agli operatori non-sviluppatori: questi strumenti permettono: ricerca, drill-down per utente/area/servizio, alert, reportistica e attivazione di regole. La stessa Geedge pubblicizza un prodotto di questo tipo come interfaccia unificata per visibilità e decisione operativa, coerente con quanto emerge nel leak sulla parte di controllo e orchestrazione.
Packaging, CI/CD e rilascio (la parte “in a box”)
Il fatto che metà terabyte del dump sia un mirror di pacchetti RPM dice molto: esiste una supply chain di build, versionamento e rollout confezionata per installazioni massive, sia a livello provinciale in Cina sia tramite semplici copie (copy-paste) all’estero.
L’export della censura
Il leak conferma quello che diversi ricercatori sospettavano da tempo: la Cina non si limita a usare il Great Firewall (GFW) per il controllo interno, ma lo esporta attivamente ad altri regimi.Documenti e contratti interni mostrano implementazioni in Myanmar, Pakistan, Etiopia, Kazakhstan e almeno un altro cliente non identificato.
Nel caso del Myanmar, un report interno mostra il monitoraggio simultaneo di oltre 80 milioni di connessioni attraverso 26 data center collegati, con funzioni mirate al blocco di oltre 280 VPN e 54 applicazioni prioritarie, tra cui le app di messaggistica più utilizzate dagli attivisti locali.
In Pakistan, la piattaforma Geedge ha addirittura rimpiazzato il vendor occidentale Sandvine, riutilizzando lo stesso hardware ma sostituendo lo stack software con quello cinese, affiancato da componenti Niagara Networks per il tapping e Thales per le licenze. Questo è un caso emblematico di come Pechino riesca a penetrare mercati già saturi sfruttando la modularità delle proprie soluzioni.
Dalla censura alla cyber weapon
Un altro aspetto cruciale emerso riguarda la convergenza tra censura e capacità offensive. Alcuni documenti descrivono funzioni di injection di codice su HTTP (e potenzialmente HTTPS quando è possibile man-in-the-middle con CA fidate) e la possibilità di lanciare attacchi DDoS mirati contro obiettivi specifici.
“Kazakhstan (K18/K24) → First foreign client. Used it for nationwide TLS MITM attacks”.
Questo sposta l’asticella oltre la semplice repressione informativa: significa disporre di uno strumento che può censurare, sorvegliare e attaccare, integrando in un’unica piattaforma funzioni che solitamente sono separate. Si tratta di un vero e proprio “censorship toolkit” che di fatto diventa un’arma cyber a disposizione di governi autoritari.
La guerra per il controllo algoritmico
Il leak del Great Firewall cinese è stato pubblicato da Enlace Hacktivista, un gruppo hacktivista a maggioranza latino-americana – che collabora con DDoS Secrets – noto per aver già diffuso altre fughe di dati importanti come quelle di Cellebrite, MSAB, documenti militari, organizzazioni religiose, corruzione e dati sensibili, e decine di terabyte di aziende che lavorano nel settore minerario e petrolifero in America Latina, esponendo così corruzione e illecito ambientalismo, corruzione, oltre a dati sensibili.
Nel caso del Great Fierwall Leak i documenti sono stati caricati sulla loro piattaforma- https://enlacehacktivista.org – ospitata da un provider islandese, noto per la protezione della privacy e della libertà di parola.
La prima domanda che ci dovremmo porre è: perché un gruppo a maggioranza latina-americana dovrebbe compromettere la reputazione internazionale della Cina pubblicando informazioni sensibili e critiche, probabilmente provenienti da fonte interna collegata alla censura digitale cinese? Chi sarebbe il mandante? A chi giova tutto questo? Il leak è strategico e si è mosso contemporaneamente su più direzioni con un’azione mirata su più fonti con un impatto politico.
La risposta, nel contesto di un contrasto – internazionale – alla censura e alla sorveglianza digitale, sembrerebbe ovvia. Occorre però che considerare che oltre ad attivisti, oppositori politici, ONG e giornalisti che cercano di denunciare le violazioni di libertà e spingere per sanzioni contro le aziende che forniscono tecnologia di repressione, i governi occidentali cercano di limitare l’influenza cinese nel mercato delle tecnologie di sorveglianza e aumentando al contempo la pressione geopolitica su Pechino.
‘La Cina considera la gestione di Internet come una questione di sovranità nazionale: con misure volte a proteggere i cittadini da rischi come frodi, hate speech, terrorismo e contenuti che minano l’unità nazionale, in linea con i valori socialisti’. Tuttavia il Great Firewall cinese, non si limiterebbe a controllare l’Internet nel paese, ma il suo modello – insieme alla tecnologia – sarebbe già stato esportato fuori dal paese, “inspirando” regimi autoritari e governi in varie regioni, incluse Asia, Africa ed infine America Latina, dove la censura, la repressione digitale e il controllo dell’informazione sono sempre più diffusi:
- sarebbe stato usato e installato in Pakistan per monitorare e limitare il traffico internet a livello nazionale. Il rapporto di Amnesty International intitolato “Pakistan: Shadows of Control: Censorship and mass surveillance in Pakistan” documenta ad esempio come una serie di aziende private di diversi paesi, tra cui Canada, Cina, Germania, Stati Uniti ed Emirati Arabi Uniti, abbiano fornito tecnologie di sorveglianza e censura al Pakistan, nonostante il pessimo record di questo paese nel rispetto dei diritti online
- il rapporto “Silk Road of Surveillance” pubblicato da Justice For Myanmar il 9 settembre 2025, denuncia la stretta collaborazione tra la giunta militare illegale del Myanmar e Geedge Networks ed evidenzia che almeno 13 operatori di telecomunicazioni in Myanmar siano coinvolti nella repressione contro oppositori politici e attivisti, con pesanti violazioni dei diritti umani
- i documenti trapelati indicherebbero inoltre che Geedge Networks ha iniziato a condurre un progetto pilota per un firewall provinciale nel Fujian nel 2022, una provincia al largo della costa di Taiwan. Tuttavia, le informazioni su questo progetto sono limitate rispetto ad altre implementazioni [“Progetto Fujian” (福建项目)]. Inoltre, uno dei dispositivi hardware creati da Geedge Networks – Ether Fabric – che permette di distribuire e monitorare traffico dati in modo efficiente e preciso – fondamentale per la raccolta di intelligence e il controllo delle comunicazioni in ambito governativo – non solo viene collegato ad aziende cinesi ma anche taiwanesi (come la ADLINK Technology Inc), in un contesto geopolitico sensibile, considerando le tensioni esistenti nella regione e la competizione tecnologica tra Cina, Taiwan e le democrazie occidentali.
Tutto questo però accade in un clima dove i governi di vari Paesi, dal Nepal al Giappone, passando per Indonesia, Bangladesh, Sri Lanka e Pakistan, stanno affrontando forti tensioni sociali, che hanno portato instabilità innescate da misure come restrizioni sui social network o proteste popolari. Caso emblematico è quello che è successo in Nepal in questi giorni e caso correlato quello del Giappone, dove il cambio di leadership si sta spostando verso un atteggiamento filo-USA.
Il danno al soft power
Il leak del Great Firewall – simbolo del controllo statale e della sovranità tecnologica cinese – andrebbe oltre, investendo il cuore del contratto sociale tra il PCC e i cittadini cinesi – con implicazioni per la privacy e la sicurezza nazionale – minacciando così gli ambiziosi piani cinesi che mirano a far diventare il paese il centro globale dell’innovazione tecnologica. Huawei, Xiaomi, BYD e NIO, sono solo alcuni nome che guidano questo obiettivo strategico, che punta in effetti ad esportare tecnologie di punta in settori chiave come intelligenza artificiale, veicoli elettrici, energie rinnovabili, semiconduttori, 5G, aerospaziale e biotecnologie. Ebbene, non si tratta solo di libertà di parola, perchè il Firewall protegge il mercato digitale cinese dalla concorrenza esterna. Non solo, un leak esporrebbe le vulnerabilità tecnologiche del sistema, minando la sua reputazione o rendendolo vulnerabile. Ed in effetti il leak avrebbe fatto parte del lavoro, non solo desacralizzando l’invulnerabilità tecnologica cinese, ma minando la fiducia interna.
Dall’altra parte oggi 15 settembre, anche l’annuncio dell’indagine antitrust cinese su Nvidia – per presunte violazioni della legge antimonopolio in relazione all’acquisizione della società israeliana Mellanox Technologies – potrebbe rappresentare un danno al soft power americano nel settore tecnologico e dell’intelligenza artificiale.
Il campanello d’allarme
Le reazioni ufficiali e mediatiche cinesi, confermano la situazione: le comunicazioni sono gestite con la massima cautela, con una forte censura sui social media e IA generative per limitare la diffusione delle informazioni con l’aiuto di specialisti OSINT e reti come “Spamouflage”. La risposta era probabile. Il passo successivo potrebbe essere un danno alle relazioni internazionali, potenziali sanzioni e un maggiore scrutinio sulle tech cinesi. Inoltre, alcune aziende telecom esaminate nel report, tra cui Frontiir in Myanmar, hanno negato l’uso di tecnologie di sorveglianza cinese o ne hanno minimizzato l’impiego, sostenendo di utilizzarla per scopi di sicurezza ordinari e legittimi, con supporto dei loro investitori internazionali.
Uno studio del 2024 e pubblicato da USENIX – Measuring the Great Firewall’s Multi-layered Web Filtering Apparatus – ha già esaminato come il Great Firewall cinese (GFW) rilevi e blocchi il traffico web crittografato. La ricerca è stata condotta da un gruppo internazionale di ricercatori universitari e indipendenti, tra cui i due autori principali, Nguyen Phong Hoang, Nick Feamster, a cui si aggiungono i ricercatori Mingshi Wu, Jackson Sippe, Danesh Sivakumar, Jack Burg.
L’obiettivo è stato comprendere i meccanismi tecnici con cui il GFW gestisce, ispeziona e filtra il traffico HTTPS, DNS e TLS, specialmente per aggirare le tecnologie di cifratura avanzate come Shadowsocks o VMess. Il Lavoro si è basato su misurazioni reali tramite server VPS in Cina e Stati Uniti e strumenti di monitoraggio, per studiare la censura e i blocchi operati in tempo reale dal GFW.
In breve le conclusioni hanno stabilito che i dispositivi di filtraggio DNS, HTTP e HTTPS insieme costituiscono i pilastri principali della censura web del Great Firewall (GFW): nel corso di 20 mesi, GFWeb ha testato oltre un miliardo di domini qualificati e ha rilevato rispettivamente 943.000 e 55.000 domini di livello pay-level censurati.
La ricerca pubblicata nel 2024 e i report sui documenti trapelati offrono una quantità senza precedenti di materiale interno, utile a capire nel dettaglio l’architettura, i processi di sviluppo e l’uso operativo giorno per giorno della tecnologia.
Replicabilità, espansione globale e impatti sulla sicurezza informatica
Il leak mette a nudo diversi punti chiave:
- La censura cinese non è più un’infrastruttura monolitica nazionale, ma un prodotto replicabile pronto per l’esportazione, con manualistica e supporto tecnico.
- La supply chain è complessa e globale, con componenti hardware e software che provengono anche dall’Occidente, in alcuni casi riutilizzati senza che i vendor originali ne siano pienamente consapevoli.
- La diffusione internazionale del modello cinese rischia di consolidare un mercato globale della censura, accessibile a regimi che dispongono di capacità finanziarie ma non di know-how interno.
Per chi studia la sicurezza e le tecniche di elusione, questo leak rappresenta una miniera di informazioni. L’analisi dei sorgenti potrà rivelare vulnerabilità negli algoritmi di deep packet inspection (DPI) e nei moduli di fingerprinting, aprendo spiragli per sviluppare strumenti di bypass più efficaci. Ma è evidente che la sfida si fa sempre più asimmetrica: la controparte non è più improvvisata, bensì un’industria tecnologica con roadmap, patch e assistenza clienti.
Conclusione
Le implicazioni del Great Firewall Leak sono enormi, tanto sul piano tecnico quanto politico. Per la comunità CTI e per chi lavora sulla difesa dei diritti digitali, questa potrebbe essere un’occasione per comprendere meglio l’architettura della censura e della sorveglianza di nuova generazione per anticiparne le mosse. Ma soprattutto è la conferma che la battaglia per la libertà digitale non si gioca più solo sul terreno della tecnologia, bensì su quello – ancora più complesso – della geopolitica.
La censura digitale è al centro di rapporti di potere tra Stati e la lotta per l’accesso libero all’informazione è una questione globale e multilivello.
Fonti
- GFW Report – Geedge & MESA Leak
- Wired – “Massive Leak Shows How a Chinese Company Is Exporting the Great Firewall to the World”
- Tom’s Hardware – “China’s Great Firewall suffers its biggest leak ever…”
- Justice For Myanmar – “Silk Road of Surveillance”
- Follow The Money – “China exports censorship tech to authoritarian regimes”
- Amnesty International – “Shadows of Control: Censorship and Mass Surveillance in Pakistan”
- Measuring the Great Firewall’s Multi-layered Web Filtering Apparatus, Nguyen Phong Hoang, Nick Feamster.
L'articolo Great Firewall sotto i riflettori: il leak che svela l’industrializzazione della censura cinese proviene da il blog della sicurezza informatica.
The Microtronic Phoenix Computer System
A team of hackers, [Jason T. Jacques], [Decle], and [Michael A. Wessel], have collaborated to deliver the Microtronic Phoenix Computer System.
In 1981 the Busch 2090 Microtronic Computer System was released. It had a 4-bit Texas Instruments TMS1600 microcontroller, ran at 500 kHz, and had 576 bytes of RAM and 4,096 bytes of ROM. The Microtronic Phoenix computer system is a Microtronic emulator. It can run the original firmware from 1981.
Between them the team members developed the firmware ROM dumping technology, created a TMS1xxx disassembler and emulator, prototyped the hardware, developed an Arduino-based re-implementation of the Microtronic, designed the PCB, and integrated the software.
Unlike previous hardware emulators, the Phoenix emulator is the first emulator that is not only a re-implementation of the Microtronic, but actually runs the original TMS1600 firmware. This wasn’t possible until the team could successfully dump the original ROM, an activity that proved challenging, but they got there in the end! If you’re interested in the gory technical details those are here: Disassembling the Microtronic 2090, and here: Microtronic Firmware ROM Archaeology.
The Phoenix uses an ATmega 644P-20U clocked at 20 MHz, a 24LC256 EEPROM, and an 74LS244 line driver for I/O. It offers two Microtronic emulation modes: the Neo Mode, based on [Michael]’s Arduino-based re-implementations of the Microtronic in C; and the Phoenix Mode, based on [Jason]’s Microtronic running the original Microtronic ROM on his TMS1xxx emulator.
The Phoenix has a number of additional hardware features, including an on-board buzzer, additional push buttons, a speaker, 256 kBit 24LC256 EEPROM, and six digit 7-segment display. Of course you have to be running in Neo Mode to access the newer hardware.
There are a bunch of options when it comes to I/O, and the gerbers for the PCB are available, as are instructions for installing the firmware. When it comes to power there are four options for powering the Phoenix board: with a 9V block battery; with an external 9V to 15V DC power supply over the standard center-positive 2.5 mm power jack; over the VIN and GND rivet sockets; or over the AVR ISP header.
If you’re interested in the history we covered [Michael Wessel]’s Arduino implementation when it came out back in 2020.