Un’inserzione pubblicata nelle scorse ore sul forum underground XSS ha attratto la mia attenzione: un gruppo chiamato HAXORTeam ha messo in vendita l’accesso alla rete interna di IIX (Israeli Internet eXchange), l’Internet Exchange ufficiale dello Stato di Israele. Prezzo richiesto: 150.000 dollari, pagabili in Monero o Bitcoin, con servizio di escrow incluso.

“Hack sensitive communications between Israeli government, institutions and influential organizations”
— HAXORTeam, XSS Forum, 13 maggio 2025

Nel post pubblicato alle 16:13 (UTC+3), il gruppo criminale descrive con orgoglio le potenzialità dell’accesso offerto:

• Intercettare comunicazioni sensibili di enti governativi, istituzioni e organizzazioni strategiche
• Deviare e manipolare il traffico per eseguire furto dati, sabotaggio o deployment di malware
• Condurre attacchi mirati su obiettivi israeliani
• Accedere a proprietà intellettuali, dati finanziari e risorse classificate
• Disintegrare servizi critici
• Facilitare il movimento laterale nella rete e nuove fasi di compromissione

Il post è firmato da un utente con nickname HAXORTeam, appena registrato (11 maggio 2025) ma già con punteggio di “reazione” pari a 11.

Perché un Internet Exchange è un bersaglio strategico

L’IIX non è un semplice nodo: è la spina dorsale della connettività nazionale israeliana. È l’infrastruttura tramite cui i principali ISP, enti pubblici e fornitori cloud si interconnettono per scambiarsi dati in modo diretto, veloce e resiliente.

Un attore con accesso privilegiato alla sua rete interna può:

• Manipolare routing BGP per indirizzare il traffico attraverso server malevoli
• Monitorare metadati e pattern di comunicazione
• Effettuare BGP hijacking su larga scala
• Isolare digitalmente il Paese con tecniche di “network partitioning”
• Impiantare persistent access in altri peer connessi, inclusi servizi cloud, CDN e DNS root israeliani

Perfetto, grazie per la precisazione. Integro ora un paragrafo chiaro e conciso basato sulla descrizione tecnica dell’IIX che hai fornito, con stile coerente al resto dell’articolo e orientamento tecnico-geopolitico.

IIX: il cuore della rete israeliana

L’Israel Internet Exchange (IIX), gestito dalla Israel Internet Association (ISOC-IL), è il principale punto di interconnessione tra i provider Internet israeliani con connessioni che vanno da 1 fino a 200 Gbit. È qui che gli ISP si “incontrano” per scambiarsi il traffico in modo diretto, senza passare per dorsali internazionali o cavi sottomarini. Una struttura essenziale per garantire latenza minima, risparmio economico e sovranità digitale.

Dal punto di vista tecnico, l’IIX è uno switch a Layer3 (routing) collocato nel data center sotterraneo Med-1, uno dei più grandi del Paese. Gli operatori che vogliono fare peering devono stabilire un collegamento fisico, nel rispetto delle policy definite dallo statuto IIX. Una volta connessi, il traffico tra i vari ISP israeliani può fluire in modo locale, senza deviazioni verso hub europei.

Precedenti storici: quando l’IXP diventa arma

Quello in vendita oggi non è un caso isolato. Gli Internet Exchange sono da anni un obiettivo privilegiato degli attori statali e dei gruppi APT, per le loro potenzialità di sorveglianza e sabotaggio.

• 2018 – DE-CIX Frankfurt: la Corte federale tedesca rivelò che l’intelligence USA, tramite la NSA, aveva cercato di intercettare massivamente il traffico passante per DE-CIX, il più grande IX europeo. Il caso sollevò un acceso dibattito politico sull’ingerenza estera nelle infrastrutture di rete.
• 2020 – Iran IXP: attacchi attribuiti a gruppi affiliati al Mossad e alla CIA avrebbero compromesso temporaneamente le tabelle di routing del principale IX iraniano, causando disservizi a cascata su provider locali. Nessuna rivendicazione ufficiale, ma una conferma implicita da parte di fonti militari israeliane.
• 2023 – Ucraina: durante i primi mesi della guerra, alcuni nodi IX secondari nella regione orientale vennero disattivati da remoto tramite accessi precedentemente compromessi, provocando isolamento digitale locale e interferenze su comunicazioni militari.

Questi episodi dimostrano che l’accesso a un IXP non è un semplice breach tecnico, ma una leva di potere strategico, utile per spionaggio, destabilizzazione e warfare digitale.

Il riferimento a target specifici ucraini nel post (citando “Ukraine intellectual property, financial or classified information”) suggerisce anche connessioni con attori filo-russi, o quantomeno una visione transnazionale dell’attacco, coerente con le tattiche dei gruppi APT sponsorizzati da stati.

Sebbene il prezzo di 150.000$ sia elevato risulta compatibile con l’interesse di soggetti avanzati (militari, intelligence, gruppi APT) disposti a pagare cifre alte per penetrare nodi di rilevanza critica.

In particolare, è plausibile che il venditore agisca come Initial Access Broker, ossia un intermediario che compromette infrastrutture e poi rivende l’accesso a gruppi più organizzati, capaci di monetizzarlo attraverso sabotaggi, intelligence o ransomware.

Questa annuncio rappresenta un precedente pericoloso: la compromissione di un Internet Exchange equivale a colpire il sistema nervoso digitale di una nazione. Non si tratta solo di un rischio teorico, ma di una minaccia immediata alla sicurezza nazionale e globale, con ripercussioni su intelligence, difesa e stabilità geopolitica.

In attesa di una risposta ufficiale dalle autorità israeliane o da ISOC-IL, resta una certezza: il cybercrime si sta evolvendo, e ora punta direttamente ai punti vitali dell’infrastruttura Internet globale.

L'articolo Israeli Internet Exchange compromesso: rischio sabotaggi e intercettazioni a livello statale proviene da il blog della sicurezza informatica.

Negli ultimi anni l’attenzione politica si è ampliata al di fuori dei confini nazionali dei diversi stati. Dall’oramai superata pandemia causata dal COVID-19 e la (ri)nascita dei diversi conflitti nelle diverse parti del mondo hanno ampliato l’informazione pubblica portando sul tavolo le dichiarazioni e decisioni a livello sovranazionale.

L’Unione Europea ha ricevuto molta copertura mediatica negli ultimi anni si pensi all’AI ACT e tutte le discussioni portate sul tema intelligenza artificiale ed il GDPR nell’ambito della protezione dei dati. Al di fuori delle misure designate all’industria digitale è stata molta sentita l’iniziativa ReArm Europe [1] sia tra i favorevoli che tra gli oppositori a tale progetto.

Questo scenario non può che essere considerato estremamente positivo dove le diverse discussioni vengono messe su un piano multigiurisdizionale su decisioni che altresi, se affrontati autonomamente dai singoli stati, risulterebbero complesse e poco aderenti ad un percorso comune.

Questo articolo vuole affrontare principalmente 2 prese di posizione della Commissione Europea (con una digressione iniziale in ambito Italia) andando a discuterne nel merito. L’intero contenuto si attiene (per quanto possibile) al principio di carità senza voler assumere una sorta di malizia nelle istituzioni che verranno citate.

Tutte le situazioni proposte verranno discusse in quanto rischio (e se attuate, minaccia) al diritto della privacy e al (pseudo)anonimato in ambito digitale e di come è stato gestito il contrapeso in relazione alla sicurezza o tutela di determinate categorie.

Ricordiamo che la privacy è considerato un diritto fondamentale nell’articolo 12 della Dichiarazione Universale dei Diritti Umani [2] e articolo 17 Patto Internazionale sui Diritti Civili e Politici (1966)[3] e ci si aspetta che tale diritto venga tutelato da parte di quei paesi (Italia ed Europa inclusi) che fanno della democrazia il loro perno politico.

Ovviamente sta al singolo decidere che valore dare a tale diritto ma quando una istituzione forza in maniera unilaterale misure che mettono a rischio il rispetto di quest’ultimo è come minimo necessario portare l’attenzione sul tema.

AGCOM – L’erotismo non ha identità

L’ AgCom ha rilasciato, nella giornata del 18 Aprile 2025, un comunicato stampa riguardante le linee guide sulla verifica dell’età degli utenti di “piattaforme di video sharing e i siti web” [4] alla quale i fornitori si dovranno adeguare entro 6 mesi dalla pubblicazione della delibera. Attenendoci alle dichiarazioni pubblicate il sistema di verifica dell’età si baserà su 2 passaggi “logicamente distinti” con 3 attori principali : utente, fornitori di servizi e un terzo ente indipendente.

L’utente dovrà identificarsi all’ente terzo che validerà la sua data di nascita (eg:/ definire se utente minorenne o meno) dopodichè per poter iniziare una sessione sul servizio il fornitore dovrà richiedere una convalida da parte del terzo ente.

Non vengono citati nessuno di questi “soggetti terzi indipendenti certificati” ne tantomeno come viene costituito il processo di verifica ma solamente i criteri che verranno presi in considerazione tra i quali:

• Proporzionalità
• Protezione dei dati personali
• Sicurezza Informatica
• Precisione ed Efficacia

Tale processo viene descritto da AGCOM come meccanismo di “doppio-anonimato” ma ci permettiamo di definire tale affermazione come molto fuorviante. Se il terzo ente deve avere la mia identità di base l’anonimato viene meno nonostante il fornitore di servizi non abbia conoscenza diretta se non l’età dell’utente. A voler essere piu’ precisi, il processo di convalida è il contrario di un meccanismo di “doppio-anonimato” che va anzi ad aggiungere artefatti per il tracciamento degli utenti. tale principio deve essere cristallino e spiegato agli utenti (la quale AGCOM si impegna a tutelare) senza mezzi termini.

Ad essere pignoli non è stata neanche data una definizione di cosa si ritenga un rischio o un pericolo per il minore (ci si è limitati all’equazione visione di contenuti pornografici = danno), si potrebbe facilmente argomentare che una modella postando foto in lingerie linkando il suo profilo OnlyFans nella descrizione sia piu’ dannoso per individui minorenni di un video con atti sessuali reperibile su PornHub.

Nonostante la scadenza relativamente breve entro la quale i fornitori di servizi dovranno adeguarsi per poter operare nei confini italiani non è ancora chiaro come dovrà avvenire la identificazione degli utenti (eg:/ SPID, foto carta identità). Questa non chiarezza lascia abbastanza perplessi vista una consultazione pubblica a riguardo iniziata nel 2024 [5] ma si può presuporre che si tratti di una lacuna comunicativa sul comunicato attuale e che dovremo aspettare la pubblicazione della delibera per maggiori informazioni a riguardo.

Come oramai risaputo queste linee guida hanno uno scopo preciso ovvero “garantire una protezione efficace dei minori dai pericoli del web”, non a caso ciò è un’estensione della legge 159 del 13 novembre 2023 (“Decreto Caivano”) a realtà come siti di scommesse e gioco d’azzardo ponendo i fornitori stessi come responsabili della verifica dell’età della loro utenza.

Nessuno vuole (e deve) affermare che visione di materiale pornografico non sia un rischio (ovviamente con il giusto grado di gravità) in particolare per utenti minorenni. Sono diversi gli studi sul tema quali Problematic Pornography Use: Legal and Health Policy Considerations [6] che va ad analizzare come la visione di pornografia online sia terreno fertile per lo sviluppo della PPU (Problematic Pornography Use) e di come non importi quanto materiale venga visionato ma in quale condizione dello sviluppo cerebrale avviene e in che modalità. Lo studio intitolato Pornography Consumption and Cognitive-Affective Distress ha ricercato le diverse distorsioni causate da un uso eccessivo di materiale pornografico portando a diversi problemi relazionali e la creazione di disfunzioni mentali future.

Proprio perchè siamo ben consci del rischio possiamo permetterci di affermare che tale linee guida non sono per nulla efficaci al problema che si vuole risolvere. La facilità di raggiramento a questo tipo di misure è oramai una ovvietà che è però presente e non va ignorata, per considerare “efficace” una misura deve come minimo essere robusta ai diversi strumenti di raggiro. In caso contrario si ottiene solo una soluzione non al passo coi tempi portando ad un nulla di fatto se non spreco di tempo e risorse alle istituzioni pubbliche.

Ma escludendo questa sfumatura dal discorso assumiamo che l’idea di AGCOM riesca nel suo intento, il risultato non sarebbe una percentuale inferiore di minorenni che usufruiscono di materiale a luci rosse ma bensi l’allontanamento di questo tipo di utenti da canali “leciti” che offrono questo tipo di materiale. Piattaforme come PornHub, XVIDEOS, YouPorn e similari sono stati messi immediatamento sotto i riflettori non appena annunciata la verifica dell’età. Ricordiamoci che tali siti hanno dei controlli e codici di condotta nella pubblicazioni di contenuti andando a punire e segnalare potenziali divulgazioni illecite.

Queste piattaforme (con oramai milioni di utenti annuali) cercano di limitare revenge porn o divulgazione non consensuale mantenendo un ambiente sex positive e principalmente ludico per i suoi utenti dove, nonostante l’enorme varietà di contenuti, non sarà mai terreno fertile per contenuti di violenza, abusi o similari.

Esistono realtà molto piu’ pericolose (alla quale bisognerebbe dare la priorità) che non hanno l’interesse ad adeguarsi a qualsivoglia normativa o bypassandole sfruttando piattaforme di per se neutre (vedasi Telegram). Parliamo di canali/gruppi che si possono trovare tranquillamente su Telegram, siti alternativi con meno restrizioni sui contenuti caricati o qualsiasi altro luogo che incentiva lo scambio di materiale tra utenti. Questi ambienti vanno contrastati non solamente con norme e regole ma con vere e proprie operazioni sul campo che devono essere continue e supportate dalle giuste risorse. Andare a forzare l’accesso tramite verifica dell’età nei modi proposti da AGCOM rischiano di far avvvenire uno shift pesante di minori su piattaforme con meno controllo sui contenuti. Inoltre materiale “estremo” o meno può essere facilmente reperibile su Google Images [7], la soluzione sarebbe richiedere verifica dell’età per determinate query su un motore di ricerca? X/Twitter permette tranquillamente foto e video di nudo, anche questa piattaforma deve essere soggetta a tale misura?

In un mondo ideale nessuno vorrebbe che dei minori (in particolare con età

Senza l’ausilio di mezzi termini, dobbiamo accettare che se un minore vuole accedere a contenuti pornografici lo farà a discapito delle barriere imposte. Allo stesso modo bisogna capire che la pornografia offerta come esperienza ludica può essere sicuramente origine di diversi problemi sulla persona ma i danni sono estremamente minori di altri metodi di condivisione di materiale.

Il rischio di avere un aumento di pubblico in ambienti dove il revenge porn è sdoganato, lo scambio di materiale tra diversi utenti incensurato e un controllo assente di questo tipo di contenuti è relativamente maggiore di un uso svogliato sui siti porno tradizionali e questa misura porterà solamente a una maggiore frequentazione di aree molto opache. Non solo non è una misura efficace come pianificato dall’AGCOM ma potrebbe persino peggiorare la situazione avendo meno monitoraggio, e quindi meno controllo, sul fenomeno.

Avendo questa base possiamo proseguire con il prossimo punto ovvero sulla proporzionalità. Fino a che punto possiamo modificare libertà altrui per la tutela di un sottoinsieme di utenti online?

Il solo porre questa domanda può far sembrare una persona come insensibile agli occhi altrui quando in realtà è segno di pragmaticità unito al bilanciamento di costi-benefici. È necessario analizzare il problema in maniera fredda senza scadere in un semplice “ed i bambini?” creando una “plot armor” senza una vera e propria argomentazione.

In primo luogo si può facilmente risalire a diversi tentativi della politica nel portare misure simili anche al di fuori di siti pornografici o di gambling (ne abbiamo discusso in un articolo precedente [8]) mettendo a dura prova il principio di carità con la quale abbiamo iniziato l’articolo. Le motivazioni portate sono tra le piu’ varie ma si ricade sempre nella tutela dei minori o nel contrasto all’abuso dell’anonimato da parte di persone che performano hate speech su diversi canali social.

Qualsivoglia stato proponga questo tipo di regolamentazione crea un precedente che minaccia il libero uso di internet ampliando la possibilità di schedare e monitorare anche alle istituzioni governative rendendole di fatto parte all’interno del threat model di chi decide di valorizzare il proprio diritto alla privacy e/o anonimato. Uno stato Europeo dovrebbe tutelare tale diritto e non esserne nemico. Togliere anche solo parte di questo diritto non risolverà il problema dell’hate speech o del razzismo ma diminuirà l’accesso libero a determinati individui di interagire con parte della rete.

Tornando alla pornografia il discorso non si discosta di molto e non dobbiamo trovare una situazione nella quale qualcuno non vuole far sapere ad un ente terzo la sua frequentazione piu o meno assidua di siti per adulti, se un individuo vuole visitare determinati siti senza farlo sapere a qualche ente o persona questa sua volontà deve essere rispettata.

Per essere il piu’ schietti possibile il rispetto di questa volontà non può essere di fatto denigrata per negligenza da parte di chi dovrebbe davvero tutelare i minori. Non dimentichiamoci che la responsabilità diretta nel tutelare i minorenni a contenuti non adatti a loro (eg:/ pornografia e gioco d’azzardo) è del loro genitore/tutore. Se davvero il problema sta nella frequentazione continua di tali contenuti da parte di minorenni dobbiamo chiederci come sia possibile un’utilizzo incontrollato dell’internet.

Togliendo persone con un’età avanzata (>60 anni) oramai chiunque è a conoscenza della facilità nel reperire qualsivoglia video o immagine con un semplice motore di ricerca. Ma allo stesso tempo è anche oramai vero che tutti i dispositivi possono essere facilmente configurati per implementare misure di parental control che possono prevenire la visione di determinati contenuti (o al piu’ notificare il genitore contenuti inappropiati visionati sul dispositivo del figlio).

Alla luce dell’ovvio, perchè sembra un’oltraggio dare la giusta responsabilità a chi responsabile non lo è? In aggiunta, perchè mai la non adeguata preparazione (o totale/parziale disinteresse) da parte dei tutori dovrebbe risolversi con una misura come quella proposta da AGCOM?

Non c’è nessuna proporzionalità in questo. Uno stato non dovrebbe aderire alle responsabilità di un tutore andando a limitare libertà di tutti indiscriminatamente, specialmente se si tratta di privacy/anonimato in ambito internet. Il semplice fatto che sia necessario un documento di identità per poter accedere a qualsivoglia risorsa online è una limitazione (per chi non lo ha, non vuole cederlo o li viene rimossa la possibilità i accedere secondo le regole imposte da AGCOM) e come tale va ponderata con estrema attenzione e, sopratutto, adeguatamente giustificata prima di attuarla.

Come gia detto ad inizio sezione, si è consci dei rischi sull’utilizzo della pornografia dei minorenni e proprio alla luce di questo si richiede che vengano trovate soluzioni veramente efficaci andando a studiare il problema in maniera analitica sul perchè e sul come tali contenuti sono cosi liberamente accessibili ai piu’ giovani. Proprio per questo si dovrebbe chiedere di responsabilizzare i genitori in maniera adeguata e in caso di spiegarli come attuare in maniera pratica la tutela che viene richiesta per questo tipo di utenti.

È una soluzione “efficace” al 100%? Assolutamente no. È meglio delle misure che vanno a limitare diritti altrui? Lasciamo al lettore la risposta.

Lascia molto perplessi il tipo di comunicazione su questo tipo di regolamentazioni. Vengono vendute come la soluzione finale per la risoluzione di problemi che possono essere risolti in maniera (al piu’) sommaria con il solo appoggio della creazione di leggi. In parallelo si sta cercando di (ri)sdoganare l’argomentazione “se non hai nulla da nascondere non dovresti preoccuparti” (già adeguatamente analizzata in un articolo precedente [9]).

Tornando sul tecnico ci sono diversi aspetti della comunicazione AGCOM che dovrebbero come minimo essere chiariti se (proprio) si vuole attuare un meccanismo di age verification come quello proposto.

1. Non sono stati spiegati i processi e/o criteri per definire un ente terzo “certificato” e quindi valido per la verifica dell’età. Bisogna che vengano spiegati ai consumatori diversi aspetti quali la durata della retenzione dei dati (ed esattamente quali).
2. Il meccanismo “doppio-anonimato” è spiegato in maniera accettabile ma non è ben chiaro se un’istituzione o organo governativo può in qualunque maniera accertare se un determinato individuo ha ceduto la sua identità ad un “terzo ente certificato”.
3. Come verrà giudicata sufficente la sicurezza informatica di un “terzo ente certificato”? Sono previsti degli assesment (se si quali) da parte di enti nazionali (eg:/ ACN, AGCOM) o basterà la certificazione da aziende private? Inoltre tale requisito verrà controllato ad inervalli regolari o solamente prima di ricevere la “certificazione”. Data la natura dei dati si ritiene consono una spiegazione approfondita sul tema.
4. Perchè non è stato considerato un sistema di Age Verification direttamente sul device e come una misura che prevede di cedere la propria identità digitale a terzi sia stata considerata piu’ valida rispetto alle alternative.
5. Per verificare la pluralità di opinioni all’interno del processo di decisione, iniziato oramai nel 2024, ci si auspica di sapere quali sono stati i 13 soggetti che hanno partecipato alla consultazione pubblica.

Prima di lasciare questa sezione “calda” ci teniamo a precisare che nessuno vuole condannare i genitori/tutori di minori che sono entrati in contatto con materiale pornografico online, tutt’altro. Avere tale ruolo in un mondo digitalizzato ha le sue sfide che non vanno sottovalutate ma allo stesso tempo non vanno delegate ad altri soggetti. Purtroppo ricadere nei soliti luogi comuni senza avere un approccio proattivo che tenda almeno a mitigare o rendere difficile specifici comportamenti (sia subiti che attuati) su internet (eg:/ visione di materiale pornografico, hate speech, bullismo) risulta essere la maniera piu’ facile ma non piu’ efficace. È comprensibile come parte dell’utenza online trovi plausibile una misura simile ma chiediamo a questi ultimi di informarsi quali ripercussioni tali misure possano avere ad un livello piu’ ampio.

Non avendo una preparazione adeguata, siamo aperti ad ospitare (in qualsiasi forma) esperti nel settore che possano proporre diverse misure del problema e soprattutto di darli la giusta magnitudo senza destare un panico ingiustificato e che non limitino diritti fondamentali sulla quale si basa il sistema sociale della quale facciamo parte.

ProtectEU – Non esistono backdoor buone, non esistono backdoor cattive

Dopo questo breve zoom sul bel paese possiamo spostarci a livello macro, cosa succede in Unione Europea? Come detto in precedenza si è spesso parlato di GDPR ed AI Act cercando di regolamentare diverse realtà in ambito digitale a protezione dei cittadini di questa enorme comunità (e mercato economico). Come detto nell’introduzione, buona parte dell’attenzione dei cittadini appartenenti ai 27 membri dell’EU è stato il progetto ReArm Europe (o Readiness 2030), un progetto che mira ad aumentare la spesa militare dell’unione motivata principalmente dal conflitto Russo-Ucraino che compie oramai piu’ di 3 anni.

Al di fuori delle minacce esterne l”EU sta sviluppando diverse misure per la protezione interna da diverse realtà criminali di rilevanza secondo l’EU.
fonte European Commission
Dopo diverse istanze e discussioni parlamentari, la commissione europea ha annunciato una road-map ad hoc per aumentare la protezione, mitigazione e contrasto di minacce interne su diversi livelli. tale progetto è stato denominato “ProtectEU – the European Internal Security Strategy” [10] con la sua prima apparizione pubblica tramite un documento pubblicato il 1 Aprile 2025.

Dopo aver letto il documento, le FAQ allegate [11] e le dichiarazioni di Henna Virkkunen (Executive Vice-President for Tech Sovereignty, Security and Democracy) sul tema [12] abbiamo diverse perplessità da mostrare al nostro pubblico riguardo alla crittografia e accesso da parte delle forze dell’ordine ad informazioni cifrate.

Iniziamo con il cosa ha destato perplessità nello specifico. All’interno del documento (fonte 10) abbiamo diverse affermazioni sugli obbiettivi a riguardo tra cui:

1. […] The Commission will present in the first half of 2025 a roadmap setting out the legal and practical measures it proposes to take to ensure lawful and effective access to data. In the follow-up to this Roadmap, the Commission will prioritise an assessment of the impact of data retention rules at EU level and the preparation of a Technology Roadmap on encryption, to identify and assess technological solutions that would enable law enforcement authorities to access encrypted data in a lawful manner, safeguarding cybersecurity and fundamental rights.
2. present a Technology Roadmap on encryption to identify and assess technological solutions to enable lawful access to data by law enforcement authorities in 2026.
3. Around 85% of criminal investigations now rely on law enforcement authorities’ ability to access digital information.

Il messaggio è abbastanza chiaro, l’EU vuole attuare de-facto una backdoor alle diverse tecnologie che offrono canali crittografici ai loro utenti con una promessa di mantenere integra la sicurezza dei cittadini. Per iniziare partiamo dal punto 3 della lista soprastante riguardo a quel 85% citato anche dalla stessa Henna Virkkunen. Non è stato ben chiarito come si è arrivato a tale percentuale ma la fonte citata nel documento riporta ad un ulteriore documento (2019) intitolato “Recommendation for a COUNCIL DECISION authorising the opening of negotiations in view of an agreement between the European Union and the United States of America on cross-border access to electronic evidence for judicial cooperation in criminal matters” [13] dove viene semplicemente presentato il dato ma con un ulteriore dettaglio.

More than half of all criminal investigations today require access to cross-border electronic evidence. Electronic evidence is needed in around 85% of criminal investigations, and in two-thirds of these investigations there is a need to obtain evidence from online service providers based in another jurisdiction.

Facendo breve ricerche si può trovare un “Working Document” datato 2018 sempre riguardo le evidenze digitali, il dato si basa sulle richieste di accesso a stati non EU, questo rende l’affermazione “[…] 85% delle investigazioni richiede accesso alle evidenze digitali” molto fuorviante e poco “onesto” da parte di una istituzione come la commisione europea. Piu’ nel dettaglio riguarda specificamente richieste di tipo giudiziaro (“judicial”) dove il 25% sono effettivamente richieste negate ed il 45% di una mancanza di conferma in maniera tempestiva.

Non si tratta di semplice pignoleria ma di una richiesta di offrire le informazioni in maniera corretta al fine di evitare di “forzare” i dati per giustificare qualsivoglia misura. Nello stesso documento si evince l’85% delle investigazoni che necessitano (in maniera rilevante) accesso a evidenze digitali ma solamente di investigazioni cross-border (fuori dai confini) dove nel 65% dei casi è necessario di una richiesta ad accesso ai dati.

È quindi inspiegabile delle dichiarazioni di Henna Virkkunen e chi ha redatto le FAQ riguardo ProtectEU.

Inoltre tali numeri sono inflazionati da 3 stati dell’EU che formano il 75% delle richieste totali : UK, Francia e Germania. In aggiunta il 70% delle richieste totali sono state inviate a Google e Meta (all’epoca Facebook).

Nel documento citato si possono trovare le diverse tabelle per ogni stato in maniera tale da potersi fare un’idea dei numeri “crudi”, l’unica pecca è che non sono diversificate le richieste all’interno ed all’esterno dei confini EU o degli stati singoli. Inoltre bisognerebbe approfondire come sono state svolte le richieste e/o se erano presenti adeguate prove a motivare l’accesso ai dati ma anche assumendo tali richieste siano 100% motivate le affermazioni rimangono fuorvianti.

Al di là delle dichiarazioni e delle diverse percentuali mostrate cerchiam di ragionare sul fulcro del discorso: accesso da parte delle forze dell’ordine a dati cifrati. Che esse siano comunicazioni, backup di dati o metadati (molto sottovalutati, non tutti hanno chiaro il concetto del “We kill based on metadata” [14]) l’EU sta programmando di dare accesso in chiaro tenendo conto degli aspetti legislativi e di sicurezza.

La base delle diverse argomentazioni contro tale misura si basano fondamentalmene su 2 precisi aspetti :

• Backdoored encryption is NOT Encryption = La base della crittografia è mantenere l’accesso delle informazioni solamente a 1 o piu’ parti by design. Se un terzo attore ha la capacità di poter rompere la segretezza delle informazioni volutamente protette non si sta piu’ parlando di crittografia.
• Una backdoor è semplicemente una backdoor = In qualunque maniera venga presentata la aggiunta di una backdoor non cambia la natura dello strumento : accesso libero senza la necessità di informare il proprietario dei dati. Non si tratta solamente dell’oramai inflazionato “uno strumento viene definito dal suo uso” ma di una aggiunta di un canale che mette a rischio la sicurezza degli utenti. A quanto pare abbiamo ancora molto da imparare dal breach dei sistemi CALEA degli US da parte di APT cinesi [15]. Per proteggersi dalle minacce bisogna comprendere che creare delle finestre di accesso come queste aumenta il rischio e non il contrario.

L’EU deve assolutamente confrontarsi con la community della sicurezza informatica in Europa per poter comprendere fino in fondo perchè tale misura non è una buona idea. La crittografia non è negoziabile, 39 organizzazioni e 43 esperti hanno pubblicato una lettera aperta alla Commissione Europea a riguardo [16] e ci auguriamo che venga ascoltati adeguatamente se davvero si vuole valutare la sicurezza dei cittadini.

Assumendo il principio di carità anche in questo caso, i governi cambiano e con loro anche l’utilizzo dei diversi strumenti presenti in precedenza. Come la Russia è cambiata[17], come l’USA sta cambiando [18][19] anche l’Europa può cambiare e non possiamo permettere che in tali scenari un qualsasi governo o corpo politico abbia la possibilità di rompere la crittografia dei cittadini. Dobbiamo porre molta attenzione alle cattive intenzioni ma ancora di piu’ a chi a tali misure presentate con le migliori intenzioni.

Ovviamente la domanda (lecita) piu’ comune sarà : quale è l’alternativa per contrastare chi effetua crimini con il supporto della crittografia?

Per rispondere, nei limiti delle nostre conoscenze, è importante sottolineare come non esistano silver bullets (no, neanche una backdoor governativa può fermare diversi abusi perpetuati online), ciò richiede implicitamente sforzi combinati tra diverse specializzazioni ed un potenziamento delle forze dell’ordine sotto diversi aspetti (fortunatamente, ProtectEU prevede il potenziamento dell’Europol).

• Studio e monitoraggio dei metadati = Con le giuste capacità e raccolta di questo tipo di informazioni è possibile tracciare l’origine di diversi abusi senza la necessità di rompere la crittografia.
• E2E User Reporting = Sono diversi gli studi che esplorano diversi strumenti che possono essere utili nel reportare utenti fraudolenti in ambienti End2End Encrypted. Tra questi il paper CDT intitolato “Approaches to Content Moderation in End-to-End Encrypted Systems” [20] offre diverse possibilità pratiche a riguardo. Ciò che è necessario è (1) creare uno schema legislativo adatto per far si che i provider e le forze dell’ordine riescano ad investigare partendo dai report degli utenti e (2) trovare misure per incentivare gli utenti a reportare quando necessario.
• Fully Homomorphic Encryption [21][22] = Questo tipo di crittografia permette di eseguire analisi di dati criptati senza la necessità di avere accesso al plaintext. Una tecnologia a tratti sorprendente ma che non ha ricevuto la giusta attenzione dai policy maker. Bisogna supportare la ricerca a riguardo e spingere i diversi service provider e forze dell’ordine ad adottare questo tipo di crittografia.

Ovviamente le proposte di cui sopra (che non sono le uniche ne tantomeno le migliori) richiedono risorse e training da parte di tutti gli attori coinvolti e si potrebbe contro argomentare che una backdoor “legale” sia piu’ ecnomica e “facile” da usare. A questo non c’è una soluzione e l’unica cosa che si può controbattere è che la sicurezza, la privacy e la libertà hanno un costo che deve essere preso a carico (senza scorciatoie) dalle istituzioni che devono tutelare tutti e 3 questi aspetti della società.

Per chi avesse sufficente conoscenza delle scelte in ambito EU sul tema crittografia si ricorderà sicuramente la proposta di legge etichettata come “Chat Control”[23] che dava non solo accesso a comunicazioni cifrate ma permetteva la scansione di queste. La motivazione principale portata sul tavolo della commissione era la protezione dei minori online aumentando la capacità di individuare materiale pedopornografico. Molte realtà responsabili per la tutela della privacy hanno espresso la loro forte opposizione alla proposta [24][25] (a onor del vero anche un numero non indifferente di parlamentari EU hanno fatto lo stesso [26]), alla fine la proposta non ha ricevuto la maggioranza risultando in un nulla di fatto.

Questa specifica parte di ProtectEU è sostanzialmente la stessa proposta ma con un vestito diverso portando l’attenzione sul crimine piuttosto che su prevenzione di divulgazione di materiale CSAM. Tale comportamento mette a dura prova il principio di carità con la quale abbiamo introdotto l’articolo, le contro-argomentazioni a Chat Control non differiscono di molto su quelle di ProtectEU ed è quindi difficile capire come mai un’istituzione di alto livello possa ricadere nello stesso errore due volte.

La Commissione Europea sta continuando a tentare di ottenere accesso a dati crittografati nonostante le diverse discussione avute sul tema, in futuro non ci sarà da stupirsi di un ennesimo tentativo nel rompere la crittografia all’interno del territorio EU.

EU CryptoBan – Le sfide si devono affrontare, non nascondere

Rimaniamo sempre in ambito EU ma questa volta lasciamo la crittografia E2E da parte e facciamo entrare nella discussione le critpovalute, in particolare quelle fortemente orientate all’anonimato come ZCash e, il piu’ conosciuto, Monero. Tale decisione ha origine dal regolamento 2024/1624 [26].

L’EU ha deciso che dal 1 Luglio 2027 [27] verrà redatto un regolamento Anti-Riciclaggio in ambito Europeo (Anti-Money Laundering Regulation) dove tra i punti focali abbiamo :

1. Richiesta di processi (full) KYC per ogni singolo utente presente su una piattaforma crypto e per transazioni superiori a €1000.
2. Creazione di una nuova autorità AMLA (Anti-Money Laundering Authority) responsabile per il mantenimento e rispetto di tale regolamento (già 40 servizi crypto sono stati riconosciuti dall’UE che dovranno adattarsi a tale regolamento).
3. Ban di tutte le criptovalute che offrono anonimato alle transazioni degli utenti che dovranno essere delistate da tutti i provider.

A discapito degli altri punti, in questa sede ci focalizzeremo sul punto (3). Ovviamente il problema che si vuole cercare di affrontare è quello dei mercati illeciti (eg:/ droga, estorsione, vendita di illeciti) che si appoggiano a tali criptovalute per nascondere le transazioni e mettere in difficoltà eventuali indagini. Non solo l’acquisto di queste crypto verrà disincentivato ma anche mixers ed altri tool di anonimato che rientrano nella DeFi (Decentralized Finance).

Importante sottolineare che la custodia privata delle valute come Monero non verrà resa illegale ma viene creato un paradosso. Per poter eseguire transazioni sopra spiegate viene reso necessario mostrare la propria identità rendendo inutile l’utilizzo di tale criptovaluta. In breve alla base della regolamentazione è di rendere il piu’ tracciabile possibile ogni singola transazione blockchain all’interno dei confini EU.

Chiediamo venia al lettore se non entreremo nelle specifiche tecniche che permettono di mitigare la tracciabilità delle transazioni Monero, Dash o ZCash. Per mantenere il focus dell’articolo chiediamo, a chi non abbia abbastanza conoscenza a riguardo, di focalizzarsi sul fatto in se.

Uno dei paper piu’ visionari in ambito sicurezza informatica è stato redatto da Adam Young e Moti Yung chiamato “Cryptovirology – Extortion-Based Security Threats and Countermeasures” [28] (1996) la quale proponeva diverse analisi su come la crittografia potesse creare danni oltre che anonimato e/o privacy. In questo paper abbiamo diverse previsioni come l’estorsione tramite crittografia (ransomware) e l’utilizzo di criptovalute per poter monetizzare.

Il concetto di Young e Yung è divenuto una realtà tangibile, ad oggi il mondo ransomware e quello dei dark-markets sono dei veri e propri fenomeni caratterizzati da una forte persistenza motivata dalle ingenti somme che circolano al loro interno. La parola “persistenza” deve essere il pivot del discorso, il mondo criminale nasce sotto determinati requisiti piu’ o meno incentivanti ma allo stesso modo agisce con lungimiranza e preparazione.

Visto che sono stati citati diverse volte sia il mondo ransomware che quello dei dark-markets come fattori rilevanti alla necessità di queste regolamentazioni (sia da politici che dalla opinione pubblica), possiamo portare la nostra attenzione qui prima di muoverci sull’impatto che questo tipo di regolamentazione potrà avere sugli utenti.

Le criptovalute sono un’opzione di pagamento non la causa dei diversi crimini in questione ed anche solo immaginare che “tagliare” (parte di) queste opzioni risolva il problema è sintomo di un modo di pensare pericolosamente naive e semplicistico. Nel caso del mondo ransomware un approccio pro-attivo alla sicurezza informatico (sia livello macro che locale) è la vera soluzione. In ambito dark markets un potenziamento delle forze dell’ordine, un ampliamento delle collaborazioni tra i divers stati, training continuo e uno sviluppo di diversi strumenti di tracciamento è la chiave per poter contrastare tale fenomeno.

Vogliamo contrastare tali crimini? Focalizziamoci sulle cause e non offriamo alle minacce la possibilità di rendere realtà l’ipotesi delle “dark stablecoins” [29] dove si avrà meno raggio d’azione potenziando le capacità di tali attori. Ancora una volta le buone intenzioni possono portare a conseguenze irriversibili e auto-sabotanti.

Lo studio “Cryptocurrencies and drugs: Analysis of cryptocurrency use on darknet markets in the EU and neighbouring countries” (2023) [30] portato avanti da EUDA (European union Drugs Agency) ha mostrato come, tra le nazioni coinvolte, il ban delle criptovalute non ha risolto in nessuna maniera le attività dei dark markets.

Eight of the 54 countries (~15 %) in the sample have outright bans on cryptocurrencies, yet
engagement with DNM continues in these locations, particularly among those in the EU’s
Southern Neighbourhood.

Metodi di pagamento alternativi esistono già e vengono usate in questi ambienti per il riciclaggio di denaro sia per i gruppi RaaS che per il mondo dei dark markets. Inoltre risulta estremente difficile eseguire un vero e proprio ban su qualsivoglia crypto disponibile, gli exchanger peer2peer esistono e continuano ad essere usati rendendo difficile l’implementazione di processi KYC. In breve, anche se fosse la giusta strada, è troppo tardi per bannare anche parte di questa tecnologia.

Le alternative nasceranno sicuramente (eg:/ exchanger illeciti, voucher, gift cards, acquisto di asset controllati dalle minacce, cash via posta) ed avremo nuovi sintomi la quale renderà piu’ difficile le operzioni di contrasto e dove sicuramente dei ban non saranno cosi’ semplici da attuare (in maniera democratica). Nuovamente vendere queste soluzioni come l’argento per sconfingere Dracula è molto pericoloso, bisogna focalizzarsi sulle cause non sui sintomi.

La privacy e l’anonimato passano anche per le finanze e gli acquisti che un individuo vuole eseguire online, tale processo può essere eseguito in diversi modi non solo con le criptovalute. Mullvad [31] stesso consiglia ai suoi clienti di pagare in contanti per via postale rimanendo anonimi il piu’ possibile, se si vuole dare tracciabilità al 100% per mitigare le finanze illecite allora dovremmo vietare il contante?

La DeFi ha il suo valore nel mondo privacy/anonimato e come tale non va vietata a priori, il founder di Ethereum ha ammesso di aver utilizzato il mixer Tornado Cash [32] per fare donazioni all’Ucraina. Tale esempio è focale su come, anche se si è localizzati in uno stato favorevole, il diritto alla privacy deve essere preservato senza discriminazioni.

Wanting to donate to Ukraine is a great example of a valid need for financial privacy: even if the government where you live is in full support, you might not want Russian government to have full details of your actions.
— Jeff Coleman | Jeff.eth (@technocrypto) August 9, 2022

L’impatto che tale decisione avrà su questo tipo di utenti potrà rilevarsi irreversibile, nuovamente l’UE mostra ottusità nel contrasto del crimine. Questa incapacità di trovare soluzioni nuove e di evitare manovre semplici per fenomeni complessi è un grave segnale della direzione presa dalla commissione e di chi la rappresenta. Bisogna ristabilire un ambiente dove ogni decisione deve essere (1) soppesata in maniera adeguata, (2) presentata in maniera corretta e (3) basata con studio ed occhio empirico lasciando da parte asserzioni forvianti.

Considerazioni Finali – Investimenti, sensibilità ed empatia

I bassi investimenti in R&D dell’EU rispetto al resto del mondo [33][34][35] (portate da diverse cause che non copriremo in questa sede) hanno reso l’ambiente interno ai confini non adatto alle sfide moderne (non solo in ambito sicurezza ma anche economico e militare). La necessità di investire in ricerca, potenziare le forze dell’ordine e selezionare approcci efficacci si fa sentire piu’ che mai e sta portando a scelte politiche rischiose della quale potremo pagarne il prezzo in un futuro non troppo lontano.

Al di fuori di ciò si vuole sottolineare al come tali propost vengono presentate facendo leva su argomenti sensibili (tutela dei minori, utilizzo criminali di diverse tecnologie, tutela degli utenti online da diversi abusi) sfruttando la cosidetta weaponized empathy [36]. Questo approccio è una sfida (tra le tante) per gli ambienti democratici e non ha la giusta importanza nell’opinione pubblica. Tramite l’utilizzo dell’emapatia/emozioni/sensibilità si può convincere un pubblico di cose [37] false o portarli a supportare decisioni non adatte ai problemi posti.

L’opinione pubblica è certamente divisa quando si tratta di proposte sull’inserimento di identità digitali per social media o internet in generale, il che è lecito. Ciò che sorprene è la mancanza di argomentazioni pragmatiche sui pro e contro su chi vorrebbe tale proposta venga attivata. No, dire che se non hai nulla da nascondere non è una argomentazione. Affermare che la scelta di AGCOM tuteli i minori nemmeno. E neanche asserire che valute come Monero vengano usate solamente da criminali e che per questo debbano essere vietate.

Chiunque è responsabile di scegliere se mantenere la propria privacy online (e a che intensità) ma nessuno deve poter permettersi di limitare tale libertà. Se la sensibilità vale per una sponda deve essere giustificata anche dall’altra allo stesso modo.

Si parla spesso di introdurre una qualche forma di educazione sentimentale all’interno delle scuole col fine di evitare esperienze spiacevoli che si sono riscontrate all’interno di diverse comunità. Al di là di come la si pensi sul tema sarebbe interessante presentare tale proposta anche come misura (anche) per poter “rafforzare” le persone e renderle piu’ resilienti quando esposte a diversi segnali (tra cui weaponized empathy)? Quando tali proposte vengono annunciate è presente un clima basato per la maggior parte sulla emotività e su affermazioni di senso comune (“i minori vanno tutelati online”) senza dimostrazioni sulla efficacia cosi tanto richiesta.

Lavorare su questo aspetto sarà d’aiuto non solo in questi casi ma anche per fenomeni come la disinformazione o truffe che fanno leva sulla sensibilita’ altrui. Online le minacce ci sono e se si decide di accederci è necessario farlo con la giusta preparazione e conoscenza.

La sicurezza si ottiene anche grazie alla resilienza. Per ottenere resilienza bisogna uscire da zone di comfort ed entrare in contatto con la realtà dei fatti senza edulcorarla e questo richiede di rivalutare alcune posizioni che prima si consideravano “sacre”.

L'articolo L’Anonimato Digitale In Pericolo! Cosa Sta Decidendo l’Unione Europea? proviene da il blog della sicurezza informatica.

When you think of Singer, you usually think of sewing machines, although if you are a history buff, you might remember they diversified into calculators, flight simulation, and a few other odd businesses for a while. [Techmoan] has an unusual device from Singer that is decidedly not a sewing machine. It is a 1970s-era multimedia briefcase called the Audio Study Mate. This odd beast, as you can see in the video below, was a cassette player that also included a 35mm filmstrip viewer. Multimedia 1970s-style!

The film strip viewer is a bright light and a glass screen with some optics. You have to focus the image, and then a button moves the film one frame. However, that’s for manual mode. However, the tape could encode a signal to automatically advance the frame. That didn’t work right away.

Luckily, that required a teardown of the unit to investigate. Inside was a lot of vintage tech, and at some point, the auto advance started working somewhat. It never fully worked, but for a decades-old electromechanical device, it did pretty well.

We do, sometimes, miss what you could pull off with 35mm film.

youtube.com/embed/d38vzTbevAg?…

hackaday.com/2025/05/15/not-a-…

As with all aging bodies, clogged tubes form an increasing issue. So too with the 47-year old Voyager 1 spacecraft and its hydrazine thrusters. Over the decades silicon dioxide from an aging rubber diaphragm in the fuel tank has been depositing on the inside of fuel tubes. By switching between primary, backup and trajectory thrusters the Voyager team has been managing this issue and kept the spacecraft oriented towards Earth. Now this team has performed another amazing feat by reviving the primary thrusters that had been deemed a loss since a heater failure back in 2004.

Unlike the backup thrusters, the trajectory thrusters do not provide roll control, so reviving the primary thrusters would buy the mission a precious Plan B if the backup thrusters were to fail. Back in 2004 engineers had determined that the heater failure was likely unfixable, but over twenty years later the team was willing to give it another shot. Analyzing the original failure data indicated that a glitch in the heater control circuit was likely to blame, so they might actually still work fine.

To test this theory, the team remotely jiggled the heater controls, enabled the primary thrusters and waited for the spacecraft’s star tracker to drift off course so that the thrusters would be engaged by the board computer. Making this extra exciting was scheduled maintenance on the Deep Space Network coming up in a matter of weeks, which would troubleshooting impossible for months.

To their relief the changes appears to have worked, with the heaters clearly working again, as are the primary thrusters. With this fix in place, it seems that Voyager 1 will be with us for a while longer, even as we face the inevitable end to the amazing Voyager program.

hackaday.com/2025/05/15/voyage…

The drivetrain of most modern bicycles has remained relatively unchanged for nearly a century. There have been marginal upgrades here and there like electronic shifting but you’ll still mostly see a chain with a derailleur or two. [Matthew] is taking a swing at a major upgrade to this system by replacing the front derailleur with a torque converter, essentially adding an automatic transmission to his bicycle.

Most of us will come across a torque converter in passenger vehicles with automatic transmissions, but these use fluid coupling. [Matthew] has come up with a clever design that uses mechanical coupling instead using a ratchet and pawl mechanism. There are two gear ratios here, a 1:1 ratio like a normal bicycle crank and a 1.5:1 ratio that is automatically engaged if enough torque is applied to the pedals. This means that if a cyclist encounters a hill, the gear automatically shifts down to an easier gear and then will shift back once the strenuous section is finished.

[Matthew] machined all the parts for this build from scratch, and the heavy-duty solid metal parts are both impressive but also show why drivetrains like this haven’t caught on in the larger bicycling world since they’re so heavy. There have been some upgrades in internally geared hubs lately though, which do have a number advantages over traditional chain and derailleur-based bikes with the notable downside of high cost, and there have been some other interesting developments as well like this folding mechanical drivetrain and this all-electric one.

youtube.com/embed/cMhvfIiR5gs?…

Thanks to [Keith] for the tip!

hackaday.com/2025/05/15/automa…

Once a printed circuit board (PCB) has been assembled it’s rather hard to look inside of it, which can be problematic when you have e.g. a multilayer PCB of an (old) system that you really would like to dissect to take a look at the copper layers and other details that may be hidden inside, such as Easter eggs on inner layers. [Lorentio Brodeso]’s ‘LACED’ project offers one such method, using both chemical etching and a 5 Watt diode engraving laser to remove the soldermask, copper and FR4 fiberglass layers.

This project uses sodium hydroxide (NaOH) to dissolve the solder mask, followed by hydrogen chloride (HCl) and hydrogen peroxide (H₂O₂) to dissolve the copper in each layer. The engraving laser is used for the removing of the FR4 material. Despite the ‘LACED’ acronym standing for Laser-Controlled Etching and Delayering, the chemical method(s) and laser steps are performed independently from each other.

This makes it in a way a variation on the more traditional CNC-based method, as demonstrated by [mikeselectricstuff] (as shown in the top image) back in 2016, alongside the detailed setup video of how a multi-layer PCB was peeled back with enough resolution to make out each successive copper and fiberglass layer.

The term ‘laser-assisted etching’ is generally used for e.g. glass etching with HF or KOH in combination with a femtosecond laser to realize high-resolution optical features, ‘selective laser etching’ where the etchant is assisted by the laser-affected material, or the related laser-induced etching of hard & brittle materials. Beyond these there is a whole world of laser-induced or laser-activated etching or functionalized methods, all of which require that the chemical- and laser-based steps are used in unison.

Aside from this, the use of chemicals to etch away soldermask and copper does of course leave one with a similar messy clean-up as when etching new PCBs, but it can provide more control due to the selective etching, as a CNC’s carbide bit will just as happily chew through FR4 as copper. When reverse-engineering a PCB you will have to pick whatever method works best for you.

Top image: Exposed inner copper on multilayer PCB. (Credit: mikeselectricstuff, YouTube)

hackaday.com/2025/05/15/laced-…

Metalized Mylar “space blankets” are sold as a survivalist’s accessory, primarily due to their propensity for reflecting heat. They’re pretty cheap, and [HamJazz] has performed some experiments on their RF properties. Do they reflect radio waves as well as they reflect heat? As it turns out, yes they do.

Any antenna system that’s more than a simple radiator relies on using conductive components as reflectors. These can either be antenna elements, or the surrounding ground acting as an approximation to a conductor. Radio amateurs will often use wires laid on the ground or buried within it to improve its RF conductivity, and it’s in this function that he’s using the Mylar sheet. Connection to the metalized layer is made with a magnet and some aluminium tape, and the sheet is strung up from a line at an angle. It’s a solution for higher frequencies only due to the restricted size of the thing, but it’s certainly interesting enough to merit further experimentation.

As you can see in the video below, his results are derived in a rough and ready manner with a field strength meter. But they certainly show a much stronger field on one side resulting from the Mylar, and also in an antenna that tunes well. We would be interested to conduct a received signal strength test over a much greater distance rather than a high-level field strength test so close to the antenna, but it’s interesting to have a use for a space blanket that’s more than just keeping the sun away from your tent at a hacker camp. Perhaps it could even form a parabolic antenna.

youtube.com/embed/X1sDYBe5wY0?…

Thanks [Fl.xy] for the tip!

hackaday.com/2025/05/15/mylar-…

Last time we talked about how the original PC has a limit of 640 kB for your programs and 1 MB in total. But of course those restrictions chafed. People demanded more memory, and there were workarounds to provide it.

However, the workarounds were made to primarily work with the old 8088 CPU. Expanded memory (EMS) swapped pages of memory into page frames that lived above the 640 kB line (but below 1 MB). The system would work with newer CPUs, but those newer CPUs could already address more memory. That led to new standards, workarounds, and even a classic hack.

XMS

If you had an 80286 or above, you might be better off using extended memory (XMS). This took advantage of the fact that the CPU could address more memory. You didn’t need a special board to load 4MB of RAM into an 80286-based PC. You just couldn’t get to with MSDOS. In particular, the memory above 1 MB was — in theory — inaccessible to real-mode programs like MSDOS.

Well, that’s not strictly true in two cases. One, you’ll see in a minute. The other case is because of the overlapping memory segments on an 8088, or in real mode on later processors. Address FFFF:000F was the top of the 1 MB range.

PCs with more than 20 bits of address space ran into problems since some programs “knew” that memory access above that would wrap around. That is FFFF:0010, on an 8088, is the same as 0000:0000. They would block A20, the 21st address bit, by default. However, you could turn that block off in software, although exactly how that worked varied by the type of motherboard — yet another complication.

XMS allowed MSDOS programs to allocate and free blocks of memory that were above the 1 MB line and map them into that special area above FFFF:0010, the so-called high memory area (HMA).
The 640 kB user area, 384 kB system area, and almost 64 kB of HMA in a PC (80286 or above)
Because of its transient nature, XMS wasn’t very useful for code, but it was a way to store data. If you weren’t using it, you could load some TSRs into the HMA to prevent taking memory from MSDOS.

Protected Mode Hacks

There is another way to access memory above the 1 MB line: protected mode. In protected mode, you still have a segment and an offset, but the segment is just an index into a table that tells you where the segment is and how big it is. The offset is just an offset into the segment. So by setting up the segment table, you can access any memory you like. You can even set up a segment that starts at zero and is as big as all the memory you can have.
A protected mode segment table entry
You can use segments like that in a lot of different ways, but many modern operating systems do set them up very simply. All segments start at address 0 and then go up to the top of user memory. Modern processors, 80386s and up, have a page table mechanism that lets you do many things that segments were meant to do in a more efficient way.

However, MS-DOS can’t deal with any of that directly. There were many schemes that would switch to protected mode to deal with upper memory using EMS or XMS and then switch back to real mode.

Unfortunately, switching back to real mode was expensive because, typically, you had to set a bit in non-volatile memory and reboot the computer! On boot, the BIOS would notice that you weren’t really rebooting and put you back where you were in real mode. Quite a kludge!

There was a better way to run MSDOS in protected mode called Virtual86 mode. However, that was complex to manage and required many instructions to run in an emulated mode, which wasn’t great for performance. It did, however, avoid the real mode switch penalty as you tried to access other memory.

Unreal Mode

In true hacker fashion, several of us figured out something that later became known as Unreal Mode. In the CPU documentation, they caution you that before switching to real mode, you need to set all the segment tables to reflect what a segment in real mode looks like. Obviously, you have to think, “What if I don’t?”

Well, if you don’t, then your segments can be as big as you like. Turns out, apparently, some people knew about this even though it was undocumented and perhaps under a non-disclosure agreement. [Michal Necasek] has a great history about the people who independently discovered it, or at least, the ones who talked about it publicly.

The method was doomed, though, because of Windows. Windows ran in protected mode and did its own messing with the segment registers. If you wanted to play with that, you needed a different scheme, but that’s another story.

Modern Times

These days, we don’t even use video cards with a paltry 1 MB or even 100 MB of memory! Your PC can adroitly handle tremendous amounts of memory. I’m writing this on a machine with 64 GB of physical memory. Even my smallest laptop has 8 GB and at least one of the bigger ones has more.

Then there’s virtual memory, and if you have solid state disk drives, that’s probably faster than the old PC’s memory, even though today it is considered slow.

Modern memory systems almost don’t resemble these old systems even though we abstract them to pretend they do. Your processor really runs out of cache memory. The memory system probably manages several levels of cache. It fills the cache from the actual RAM and fills that from the paging device. Each program can have a totally different view of physical memory with its own idea of what physical memory is at any given address. It is a lot to keep track of.

Times change. EMS, XMS, and Unreal mode seemed perfectly normal in their day. It makes you wonder what things we take for granted today will be considered backward and antiquated in the coming decades.

hackaday.com/2025/05/15/rememb…

Un nuovo nome sta guadagnando rapidamente visibilità nei meandri del cybercrime underground: Machine1337, un attore malevolo attivo sul noto forum XSS[.]is, dove ha pubblicato una serie impressionante di presunte violazioni di dati ai danni di colossi tecnologici e piattaforme popolari, tra cui Microsoft, TikTok, Huawei, Steam, Temu, 888.es e altri ancora.

Il post shock: 4 milioni di account Office 365

Tra le inserzioni più eclatanti figura una pubblicazione che afferma di essere in possesso di 4 milioni di credenziali Microsoft Office 365 e Microsoft 365, vendute al prezzo di 5000 dollari. Nel post viene anche fornito un link per scaricare un campione da 1.000 record, una prassi comune nei mercati underground per “dimostrare” la genuinità del materiale in vendita. L’attore fornisce un contatto Telegram diretto e rimanda al suo canale ufficiale @Machine******. Il post è accompagnato da un’immagine che mostra il logo di Microsoft e frasi promozionali come:

🔥 DAILY LIVE SALES 🔥
📌 Premium Real-Time Phone Numbers for Sale
good luck! 🚀

Una retorica che mescola ironia, branding e un tono apparentemente professionale, tipico degli attori che cercano di affermarsi come “venditori affidabili” nel dark web.

Una raffica di violazioni: da TikTok a Huawei

Nelle ore successive alla pubblicazione dell’annuncio Microsoft, Machine1337 ha pubblicato altri post che dichiarano la compromissione di:

• Huawei – 129 milioni di record
• TikTok – 105 milioni di record
• Steam – 89 milioni di account, postato più volte con aggiornamenti
• Temu – 17 milioni di record
• 888.es – 13 milioni di record

Queste presunte violazioni sembrano essere parte di un’offensiva coordinata per dimostrare la “potenza” del threat actor e attrarre acquirenti nei suoi canali Telegram.

Identità e contatti: l’ecosistema Telegram

Machine1337 si presenta come un attore organizzato. Sul suo canale Telegram, pubblica anche un avviso importante per evitare impersonificazioni:

“Il mio unico contatto ufficiale è: @Energy************
Canale ufficiale: @Machine************
Fate attenzione ai fake. Non sono responsabile per problemi con impostori.”

In un altro messaggio consiglia di visitare un altro canale afferente ad un’altra community underground dove, secondo le sue parole, “real shit goes down there.”

Possibili implicazioni e autenticità

Sebbene la quantità di dati rivendicati sia impressionante, non è possibile confermare al 100% l’autenticità di ogni dump pubblicato, almeno fino a quando non emergono conferme da parte delle aziende coinvolte o da analisi indipendenti OSINT/DFIR.

Tuttavia, la mole e la frequenza degli annunci di Machine1337 suggeriscono o una reale disponibilità di fonti compromesse (es. broker di accesso iniziale, botnet di infostealer) o una manovra di disinformazione e marketing aggressivo per ottenere fondi da utenti del forum XSS.

Il 13 maggio è stato ufficialmente creato il canale Telegram Machine1337, punto centrale della comunicazione del threat actor omonimo. Nel messaggio di benvenuto, l’utente si presenta come Red Teamer, Penetration Tester e Offensive Security Researcher, specificando di essere attualmente impegnato nello studio dell’API Testing e dell’analisi di malware. Il tono è quello di un professionista della sicurezza informatica che si muove però su un doppio binario: da un lato competenze legittime, dall’altro attività chiaramente legate al cybercrime.

Nel canale vengono anche menzionate l’intenzione di collaborare a progetti open source e una sezione “Visitor Count”, in cui probabilmente si monitora l’attività degli utenti. Il canale stesso è legato a un gruppo di discussione (accessibile solo tramite richiesta) e offre una sottoscrizione a pagamento, presumibilmente per accedere ai contenuti premium o ai database completi.

La presenza su Telegram conferma ancora una volta come questo strumento sia uno degli hub preferiti dai threat actor per diffondere i propri contenuti e stabilire un canale diretto con potenziali acquirenti.

Conclusione

Machine1337 si inserisce in una nuova generazione di threat actors che non solo monetizzano i dati rubati, ma costruiscono vere e proprie strategie di branding e marketing per affermarsi nei circuiti del cybercrime.

Con vendite quotidiane pubblicizzate, dump multipli e una presenza su Telegram molto attiva, sarà fondamentale tenere sotto osservazione questa figura nei prossimi mesi.

L'articolo Machine1337: Il threat actor che rivendica l’accesso a 4 milioni di account Microsoft 365 proviene da il blog della sicurezza informatica.

Launching rockets into the sky can be a thrill, but why not make the fall just as interesting? That is exactly what [I Build Stuff] thought when attempting to build a self-landing payload. The idea is to release a can sized “satellite” from a rocket at an altitude upwards of 1 km, which will then fly back down to the launch point.

The device itself is a first-person view (FPV) drone running the popular Betaflight firmware. With arms that swing out with some of the smallest brushless motors you’ve ever seen (albeit not the smallest motor), the satellite is surprisingly capable. Unfortunately due to concerns over the legality of an autonomous payload, the drone is human controlled on the descent.

Using collaborated efforts, a successful launch was flown with the satellite making it to the ground unharmed, at least for the most part. While the device did show capabilities of being able to fly back, human error led to a manual recovery. Of course, this is far from the only rocketry hack we have seen here at Hackaday. If you are more into making the flight itself interesting, here is a record breaking one from USC students.

youtube.com/embed/7yVFZn87TkY?…

Thank you [Hari Wiguna] for the great tip!

hackaday.com/2025/05/15/fpv-dr…

It was such an innocent purchase, a slightly grubby and scuffed grey plastic box with the word “P O L A R O I D” intriguingly printed along its top edge. For a little more than a tenner it was mine, and I’d just bought one of Edwin Land’s instant cameras. The film packs it takes are now a decade out of production, but my Polaroid 104 with its angular 1960s styling and vintage bellows mechanism has all the retro-camera-hacking appeal I need. Straight away I 3D printed an adapter and new back allowing me to use 120 roll film in it, convinced I’d discover in myself a medium format photographic genius.

But who wouldn’t become fascinated with the film it should have had when faced with such a camera? I have form on this front after all, because a similar chance purchase of a defunct-format movie camera a few years ago led me into re-creating its no-longer-manufactured cartridges. I had to know more, both about the instant photos it would have taken, and those film packs. How did they work?

A Print, Straight From The Camera

An instant photograph reveals itself. Akos Burg, courtesy of One Instant.
In conventional black-and-white photography the film is exposed to the image, and its chemistry is changed by the light where it hits the emulsion. This latent image is rolled up with all the others in the film, and later revealed in the developing process. The chemicals cause silver particles to precipitate, and the resulting image is called a negative because the silver particles make it darkest where the most light hit it. Positive prints are made by exposing a fresh piece of film or photo paper through this negative, and in turn developing it. My Polaroid camera performed this process all-in-one, and I was surprised to find that behind what must have been an immense R&D effort to perfect the recipe, just how simple the underlying process was.

My dad had a Polaroid pack film camera back in the 1970s, a big plastic affair that he used to take pictures of the things he was working on. Pack film cameras weren’t like the motorised Polaroid cameras of today with their all-in-one prints, instead they had a paper tab that you pulled to release the print, and a peel-apart system where after a time to develop, you separated the negative from the print. I remember as a youngster watching this process with fascination as the image slowly appeared on the paper, and being warned not to touch the still-wet print or negative when it was revealed. What I was looking at wasn’t a negative printing process as described in the previous paragraph but something else, one in which the unexposed silver halide compounds which make the final image are diffused onto the paper from the less-exposed areas of the negative, forming a positive image of their own when a reducing agent precipitates out their silver crystals. Understanding the subtleties of this process required a journey back to the US Patent Office in the middle of the 20th century.

It’s All In The Diffusion

The illustration from Edwin Land’s patent US2647056.
It’s in US2647056 that we find a comprehensive description of the process, and the first surprise is that the emulsion on the negative is the same as on a contemporary panchromatic black-and-white film. The developer and fixer for this emulsion are also conventional, and are contained in a gel placed in a pouch at the head of the photograph. When the exposed film is pulled out of the camera it passes through a set of rollers that rupture this pouch, and then spread the gel in a thin layer between the negative and the coated paper. This gel has two functions: it develops the negative, but over a longer period it provides a wet medium for those unexposed silver halides to diffuse through into the now-also-wet coating of the paper which will become the print. This coating contains a reducing agent, in this case a metalic sulphide, which over a further period precipitates out the silver that forms the final visible image. This is what gives Polaroid photographs their trademark slow reveal as the chemistry does its job.

I’ve just described the black and white process; the colour version uses the same diffusion mechanism but with colour emulsions and dye couplers in place of the black-and-white chemistry. Meanwhile modern one-piece instant processes from Polaroid and Fuji have addressed the problem of making the image visible from the other side of the paper, removing the need for a peel-apart negative step.

Given that the mechanism and chemistry are seemingly so simple, one might ask why we can no longer buy two-piece Polaroid pack or roll film except for limited quantities of hand-made packs from One Instant. The answer lies in the complexity of the composition, for while it’s easy to understand how it works, it remains difficult to replicate the results Polaroid managed through a huge amount of research and development over many decades. Even the Impossible Project, current holders of the Polaroid brand, faced a significant effort to completely replicate the original Polaroid versions of their products when they brought the last remaining Polaroid factory to production back in 2010 using the original Polaroid machinery. So despite it retaining a fascination among photographers, it’s unlikely that we’ll see peel-apart film for Polaroid cameras return to volume production given the small size of the potential market.

Hacking A Sixty Year Old Camera

Five minutes with a Vernier caliper and openSCAD, and this is probably the closest I’ll get to a pack film of my own.
So having understood how peel-apart pack film works and discovered what is available here in 2025, what remains for the camera hacker with a Land camera? Perhaps the simplest idea would be to buy one of those One Instant packs, and use it as intended. But we’re hackers, so of course you will want to print that 120 conversion kit I mentioned, or find an old pack film cartridge and stick a sheet of photographic paper or even a Fuji Instax sheet in it. You’ll have to retreat to the darkroom and develop the film or run the Instax sheet through an Instax camera to see your images, but it’s a way to enjoy some retro photographic fun.

Further than that, would it be possible to load Polaroid 600 or i-Type sheets into a pack film cartridge and somehow give them paper tabs to pull through those rollers and develop them? Possibly, but all your images would be back to front. Sadly, rear-exposing Instax Wide sheets wouldn’t work either because their developer pod lies along their long side. If you were to manage loading a modern instant film sheet into a cartridge, you’d then have to master the intricate paper folding arrangement required to ensure the paper tabs for each photograph followed each other in turn. I have to admit that I’ve become fascinated by this in considering my Polaroid camera. Finally, could you make your own film? I would of course say no, but incredibly there are people who have achieved results doing just that.

My Polaroid 104 remains an interesting photographic toy, one I’ll probably try a One Instant pack in, and otherwise continue with the 3D printed back and shoot the occasional 120 roll film. If you have one too, you might find my 3D printed AAA battery adapter useful. Meanwhile it’s the cheap model without the nice rangefinder so it’ll never be worth much, so I might as well just enjoy it for what it is. And now I know a little bit more about his invention, admire Edwin Land for making it happen.

Any of you out there hacking on Polaroids?

hackaday.com/2025/05/15/fallin…

Trends

Relative stability from quarter to quarter. The percentage of ICS computers on which malicious objects were blocked remained unchanged from Q4 2024 at 21.9%. Over the last three quarters, the value has ranged from 22.0% to 21.9%.

The quarterly figures are decreasing from year to year. Since Q2 2023, the percentage of ICS computers on which malicious objects were blocked has been lower than the indicator of the same quarter of the previous year. Compared to Q1 2024, the figure decreased by 2.5 pp.

Percentage of ICS computers on which malicious objects were blocked, Q1 2022–Q1 2025

In January–March 2025, the figures were the lowest compared to the same months of the previous four years.

Percentage of ICS computers on which malicious objects were blocked, Jan 2021–Mar 2025

The biometrics sector continues to lead the selected industries / OT infrastructure types. This is the only OT infrastructure type where the percentage of ICS computers on which malicious objects were blocked increased during the quarter.

Threat levels in different regions still vary. In Q1 2025, the percentage of affected ICS computers ranged from 10.7% in Northern Europe to 29.6% in Africa. In eight out of 13 regions, the figures ranged from 19.0% to 25.0%.

The percentage of ICS computers on which denylisted internet resources were blocked continues to decrease. It reached its lowest level since the beginning of 2022. In the first three months of 2025, the corresponding figures were lower than those in January–March of the previous three years.

Percentage of ICS computers on which denylisted internet resources were blocked, Jan 2022–Mar 2025

Changes in the percentage of ICS computers on which initial-infection malware was blocked lead to changes in the percentage of next-stage malware. In Q1 2025, the percentage of ICS computers on which various types of malware spread via the internet and email were blocked increased for the first time since the beginning of 2023.

The internet is the primary source of threats to ICS computers. The main categories of threats from the internet are denylisted internet resources, malicious scripts and phishing pages.

The main categories of threats spreading via email are malicious documents, spyware, malicious scripts and phishing pages.

The percentage of ICS computers on which malicious scripts and phishing pages, and malicious documents were blocked increased in Q1 2025. In January–March, the monthly values in these two categories of threats were higher than in the same months of 2024.

Percentage of ICS computers on which malicious objects were blocked, Jan 2022–Mar 2025

The leading category of malware used for initial infection of ICS computers (see below) is malicious scripts and phishing pages.

Most malicious scripts and phishing pages act as droppers or loaders of next-stage malware (spyware, crypto miners and ransomware). The strong correlation between the values for malicious scripts and phishing pages, and spyware is clearly visible in the graph below.

Percentage of ICS computers on which malicious objects were blocked, Jan 2023–Mar 2025

Similar to malicious scripts and phishing pages, the percentage of ICS computers on which spyware was blocked was higher in the first three months of 2025 than in the same months of 2024.

Percentage of ICS computers on which spyware was blocked, Jan 2022–Mar 2025

The percentage of ICS computers on which miners (web miners and miners in the form of executable files for Windows) were blocked in Q1 2025 also increased.

Statistics across all threats

In Q1 2025, the percentage of ICS computers on which malicious objects were blocked remained at the same level as in the previous quarter: 21.9%.

Percentage of ICS computers on which malicious objects were blocked, Q1 2022–Q1 2025

Compared to Q1 2024, the percentage of ICS computers on which malicious objects were blocked decreased by 2.5 pp. However, it increased from January to March of 2025 when it reached its highest value in the quarter.

Percentage of ICS computers on which malicious objects were blocked, Jan 2023–Mar 2025

Regionally, the percentage of ICS computers on which malicious objects were blocked ranged from 10.7% in Northern Europe to 29.6% in Africa.

Regions ranked by percentage of ICS computers on which malicious objects were blocked, Q1 2025

In six of the 13 regions surveyed in this report, the figures increased from the previous quarter, with the largest change occurring in Russia.

Changes in percentage of ICS computers on which malicious objects were blocked,
Q1 2025

Selected industries

The biometrics sector led the ranking of the industries and OT infrastructures surveyed in this report in terms of the percentage of ICS computers on which malicious objects were blocked.

Ranking of industries and OT infrastructures by percentage of ICS computers on which malicious objects were blocked, Q1 2025

The biometrics sector was also the only OT infrastructure type where the percentage of ICS computers on which malicious objects were blocked increased slightly. Despite this, the long-term trend is clearly downward.

Percentage of ICS computers on which malicious objects were blocked in selected industries

Diversity of detected malicious objects

In Q1 2025, Kaspersky security solutions blocked malware from 11,679 different malware families in various categories on industrial automation systems.

Percentage of ICS computers on which the activity of malicious objects from various categories was blocked

The largest proportional increase in Q1 2025 was in the percentage of ICS computers on which web miners (1.4 times more than in the previous quarter) and malicious documents (1.1 times more) were blocked.

Main threat sources

Depending on the threat detection and blocking scenario, it is not always possible to reliably identify the source. The circumstantial evidence for a specific source can be the blocked threat’s type (category).

The internet (visiting malicious or compromised internet resources; malicious content distributed via messengers; cloud data storage and processing services and CDNs), email clients (phishing emails), and removable storage devices remain the primary sources of threats to computers in an organization’s OT infrastructure.

In Q1 2025, the percentage of ICS computers on which threats from the internet and email clients were blocked increased for the first time since the end of 2023.

Percentage of ICS computers on which malicious objects from various sources were blocked

The rates for all threat sources varied across the monitored regions.

• The percentage of ICS computers on which threats from the internet were blocked ranged from 5.2% in Northern Europe to 12.8% in Africa.
• The percentage of ICS computers on which threats from email clients were blocked ranged from 0.88% in Russia to 6.8% in Southern Europe.
• The percentage of ICS computers on which threats from removable media were blocked ranged from 0.06% in Australia and New Zealand to 2.4% in Africa.

Threat categories

Typical attacks blocked within an OT network are a multi-stage process, where each subsequent step by the attackers is aimed at increasing privileges and gaining access to other systems by exploiting security flaws in industrial enterprises, including OT infrastructures.

It is worth noting that during the attack, intruders often repeat the same steps (TTP), especially when they use malicious scripts and established communication channels with the management and control infrastructure (C2) to move laterally within the network and advance the attack.

Malicious objects used for initial infection

In Q1 2025, the percentage of ICS computers on which denylisted internet resources were blocked decreased to its lowest value since the beginning of 2022.

Percentage of ICS computers on which denylisted internet resources were blocked, Q1 2022–Q1 2025

The decline in the percentage of denylisted internet resources since November 2024 was likely influenced not only by proactive threat mitigation at various levels, but also by techniques used by attackers to circumvent the blocking mechanisms based on the resource’s reputation, thus redistributing the protection burden to other detection technologies.

A detected malicious web resource may not always be added to a denylist because attackers are increasingly using legitimate internet resources and services such as content delivery network (CDN) platforms, messengers, and cloud storage. These services allow malicious code to be distributed through unique links to unique content, making it difficult to use reputation-based blocking tactics. We strongly recommend that industrial organizations implement policy-based blocking of such services, at least for OT networks where the need for such services is extremely rare for objective reasons.

The percentage of ICS computers on which malicious documents as well as malicious scripts and phishing pages were blocked increased slightly, to 1.85% (by 0.14 pp) and 7.16% (by 0.05 pp) respectively.

Next-stage malware

Malicious objects used to initially infect computers deliver next-stage malware – spyware, ransomware, and miners – to victims’ computers. As a rule, the higher the percentage of ICS computers on which the initial infection malware is blocked, the higher the percentage for next-stage malware.

In Q1 2025, the percentage of ICS computers on which spyware and ransomware were blocked decreased, reaching 4.20% (by losing 0.1 pp) and 0.16% (by losing 0.05 pp) respectively. Conversely, the indicator for miners increased. The percentage of ICS computers on which miners in the form of executable files for Windows and web miners were blocked increased to 0.78% (by 0.08 pp) and 0.53% (by 0.14 pp), respectively. The latter indicator reached its highest value since Q3 2023.

Percentage of ICS computers on which web miners were blocked, Q1 2022–Q1 2025

Self-propagating malware

Self-propagating malware (worms and viruses) is a category unto itself. Worms and virus-infected files were originally used for initial infection, but as botnet functionality evolved, they took on next-stage characteristics.

To spread across ICS networks, viruses and worms rely on removable media, network folders, infected files including backups, and network attacks on outdated software, such as Radmin2.

In Q1 2025, the percentage of ICS computers on which worms and viruses were blocked decreased to 1.31% (by losing 0.06 pp) and 1.53% (by losing 0.08 pp), respectively.

AutoCAD malware

AutoCAD malware is typically a low-level threat, coming last in the malware category rankings in terms of the percentage of ICS computers on which it was blocked.

In Q1 2025, the percentage of ICS computers on which AutoCAD malware was blocked continued to decrease (by losing 0.04 pp) and reached 0.034%.

You can find more information on industrial threats in the full version of the report.

securelist.com/industrial-thre…

You’d think a paper from a science team from Carnegie Mellon would be short on fun. But the team behind LegoGPT would prove you wrong. The system allows you to enter prompt text and produce physically stable LEGO models. They’ve done more than just a paper. You can find a GitHub repo and a running demo, too.

The authors note that the automated generation of 3D shapes has been done. However, incorporating real physics constraints and planning the resulting shape in LEGO-sized chunks is the real topic of interest. The actual project is a set of training data that can transform text to shapes. The real work is done using one of the LLaMA models. The training involved converting Lego designs into tokens, just like a chatbot converts words into tokens.

There are a lot of parts involved in the creation of the designs. They convert meshes to LEGO in one step using 1×1, 1×2, 1×4, 1×6, 1×8, 2×2, 2×4, and 2×6 bricks. Then they evaluate the stability of the design. Finally, they render an image and ask GPT-4o to produce captions to go with the image.

The most interesting example is when they feed robot arms the designs and let them make the resulting design. From text to LEGO with no human intervention! Sounds like something from a bad movie.

We wonder if they added the more advanced LEGO sets, if we could ask for our own Turing machine?

hackaday.com/2025/05/15/welcom…

Un’onda d’urto tra vulnerabilità, webshell e gruppi ransomware

Il 14 maggio 2025, il team di intelligence di ReliaQuest ha aggiornato la propria valutazione su una pericolosa vulnerabilità: CVE-2025-31324, una falla di tipo “unrestricted file upload” nel componente SAP NetWeaver Visual Composer, che consente l’esecuzione remota di codice (Remote Code Execution – RCE). Sebbene inizialmente classificata come una semplice “remote file inclusion”, ulteriori analisi hanno rivelato che la natura della falla era decisamente più pericolosa: chiunque, senza autenticazione, poteva caricare file JSP malevoli sul server SAP e ottenere l’accesso remoto.

La piattaforma Recorded Future, in una nota pubblicata il 15 maggio, ha confermato che le campagne di attacco condotte dai gruppi ransomware BianLian e RansomEXX (Defray777) hanno sfruttato attivamente questa vulnerabilità, nonostante SAP avesse già rilasciato una patch il 24 aprile. Il componente coinvolto, va detto, è deprecato dal 2015. Ma come sappiamo bene, nella sicurezza informatica ciò che è vecchio non muore mai… spesso resta esposto, ignorato, e tremendamente vulnerabile.

Cosa dicono i dati: IP, domini e infrastrutture dannose

Secondo l’analisi condotta da Insikt Group (Recorded Future), le infrastrutture dannose riconducibili agli attacchi includono:

• Gli indirizzi IP 184.174.96.70 e 184.174.96.74, entrambi classificati con un rischio moderato (30/100).
• Il dominio dns.telemetrymasterhostname.com, associato alle fasi C2 (command and control) dell’attacco, valutato con un rischio molto alto (66/100).
• Il prodotto coinvolto: SAP NetWeaver Visual Composer, con un indice di rischio di 66, e classificato come obiettivo critico dell’infrastruttura malevola.
• La vulnerabilità principale: CVE-2025-31324, che raggiunge un punteggio di rischio massimo pari a 99.

Tutti questi elementi compongono il mosaico tecnico che ha permesso l’esecuzione remota di codice nei sistemi compromessi.

La dinamica dell’attacco: dalle JSP ai payload modulari

Gli attori della minaccia hanno sfruttato l’endpoint /developmentserver/metadatauploader per caricare JSP webshell come helper.jsp, cache.jsp, rrx.jsp, dyceorp.jsp all’interno della directory:

j2ee/cluster/apps/sap.com/irj/servlet_jsp/irj/root/

Queste webshell consentivano il controllo remoto tramite richieste HTTP GET, permettendo una piena esecuzione di comandi sul server vittima.

Nel caso specifico di RansomEXX, l’infrastruttura di attacco si è dimostrata particolarmente sofisticata: dopo l’upload iniziale, gli attori hanno utilizzato MSBuild per compilare e attivare un backdoor modulare denominata PipeMagic. Questa, a sua volta, ha consentito l’iniezione in memoria del noto framework di red-teaming Brute Ratel, all’interno del processo dllhost.exe. Tutto questo è stato eseguito in modalità stealth, grazie alla tecnica Heaven’s Gate, che permette di passare da 32-bit a 64-bit mode aggirando le difese basate su syscall.

Il ruolo della Cina e la minaccia APT sulle infrastrutture critiche

Non meno rilevante è l’altra faccia di questa minaccia: la componente APT (Advanced Persistent Threat). Il gruppo cinese Chaya_004, secondo Forescout, avrebbe compromesso oltre 581 sistemi SAP NetWeaver non aggiornati e individuato altri 1.800 domini in fase di targeting, inclusi ICS (sistemi di controllo industriale) situati in Stati Uniti, Regno Unito e Arabia Saudita. Altri tre gruppi APT, UNC5221, UNC5174 e CL-STA-0048, avrebbero partecipato a campagne simili, come riportato da EclecticIQ.

Questi attacchi indicano un chiaro interesse geopolitico e strategico nei confronti di infrastrutture industriali e sistemi critici occidentali, aggravando l’urgenza di mitigare la vulnerabilità CVE-2025-31324. SAP, parallelamente, ha rilasciato una patch anche per la vulnerabilità CVE-2025-42999, che veniva utilizzata in combinazione per ottenere un impatto maggiore.

Tecniche MITRE ATT&CK associate

Le TTP (Tactics, Techniques, and Procedures) osservate fanno riferimento a una lunga lista di tecniche MITRE ATT&CK, tra cui:

• T1055.003 – Inject into Process
• T1202 – Indirect Command Execution
• T1548.002 – Bypass User Account Control
• T1071.001 – Application Layer Protocol: Web Protocols
• T1190 – Exploit Public-Facing Application
• T1140 – Deobfuscate/Decode Files or Information

Schermata prelevata dalla piattaforma di intelligence di Recorded Future, partner strategico di Red Hot Cyber
Il vettore d’attacco è chiaro: esposizione pubblica, upload di codice malevolo, comandi remoti, iniezione in memoria e persistente presenza in sistemi compromessi. Una perfetta catena d’infezione in stile APT mista a dinamiche ransomware.

Il prezzo della trascuratezza

Questa campagna mostra, ancora una volta, come l’inerzia nella gestione dei software deprecati e il ritardo nell’applicazione delle patch di sicurezza rappresentino il terreno fertile per minacce sempre più sofisticate. Che si tratti di ransomware o cyber spionaggio, la porta d’ingresso è sempre la stessa: vulnerabilità note, ma ignorate.

Questo articolo si basa su informazioni, integralmente o parzialmente tratte dalla piattaforma di intelligence di Recorded Future, partner strategico di Red Hot Cyber e punto di riferimento globale nell’intelligence sulle minacce informatiche. La piattaforma fornisce analisi avanzate utili a individuare e contrastare attività malevole nel cyberspazio.

L'articolo Ransomware su SAP NetWeaver: sfruttato il CVE-2025-31324 per l’esecuzione remota di codice proviene da il blog della sicurezza informatica.

A terrarium is a little piece of the living world captured in a small enclosure you can pop on your desk or coffee table at home. If you want to keep it as alive as possible, though, you might like to implement some controls. That’s precisely what [yotitote] did with their smart terrarium build.

At the heart of the build is an ESP32 microcontroller. It’s armed with temperature and humidity sensors to detect the state of the atmosphere within the terrarium itself. However, it’s not just a mere monitor. It’s able to influence conditions by activating an ultrasonic fogger to increase humidity (which slightly impacts temperature in turn). There are also LED strips, which the ESP32 controls in order to try and aid the growth of plants within, and a small OLED screen to keep an eye on the vital signs.

It’s a simple project, but one that serves as a basic starting point that could be readily expanded as needed. It wouldn’t take much to adapt this further, such as by adding heating elements for precise temperature control, or more advanced lighting systems. These could be particularly useful if you intend your terrarium to support, perhaps, reptiles, in addition to tropical plant life.

Indeed, we’ve seen similar work before, using a Raspberry Pi to create a positive environment to keep geckos alive! Meanwhile, if you’re cooking up your own advanced terrarium at home, don’t hesitate to let us know.

hackaday.com/2025/05/15/smart-…

I ricercatori di sicurezza hanno individuato un nuovo metodo d’attacco in cui i cybercriminali sfruttano gli inviti di Google Calendar per veicolare malware. La tecnica impiegata si basa su un sistema di offuscamento avanzato, dove un solo carattere apparentemente innocuo cela codice malevolo pronto a colpire.

Questa tecnica sottolinea come gli attori delle minacce continuino a raffinare le proprie strategie, puntando su servizi considerati affidabili per bypassare le difese di sicurezza tradizionali. Nel marzo 2025, gli analisti di sicurezza di Aikido hanno individuato un pacchetto npm sospetto, denominato “os-info-checker-es6”. Sebbene apparisse come un modulo legittimo per la raccolta di informazioni sul sistema operativo, il pacchetto nascondeva codice potenzialmente dannoso.

Ciò che catturò la loro attenzione fu quello che sembrava essere solo un carattere di barra verticale (“|”) nel codice, ma che in realtà nascondeva qualcosa di molto più sinistro.

“Ciò che abbiamo scoperto è stato affascinante: quel singolo carattere non era in realtà un semplice simbolo di pipe, ma conteneva caratteri Unicode Private Use Area (PUA) invisibili”, hanno spiegato i ricercatori nella loro analisi. Questi caratteri PUA sono riservati nello standard Unicode alle applicazioni personalizzate e sono intrinsecamente non stampabili, il che li rende perfetti per nascondere codice dannoso.

Una volta decodificato, questo carattere apparentemente innocuo si trasformava in istruzioni codificate in base64 che alla fine si collegavano a Google Calendar per operazioni di comando e controllo. L’indagine ha rivelato che il malware era progettato per recuperare payload dannosi tramite un URL di invito di Google Calendar. L’invito del calendario conteneva stringhe codificate in base64 che, una volta decodificate, indirizzavano le vittime a un server controllato dall’aggressore.

Una volta che un bersaglio interagisce con questi inviti del calendario, può essere indirizzato a siti Web fraudolenti progettati per rubare credenziali o informazioni finanziarie. Gli aggressori non si sono fermati a un solo pacchetto. Tutti questi pacchetti hanno aggiunto il dannoso “os-info-checker-es6” come dipendenza, creando una superficie di attacco più ampia.

Come Proteggersi

Google ha riconosciuto la minaccia e consiglia agli utenti di abilitare l’impostazione “mittenti noti” in Google Calendar per difendersi da questo tipo di phishing. Gli esperti di sicurezza consigliano inoltre:

• Diffidate degli inviti inaspettati nel calendario, soprattutto quelli programmati per un futuro molto lontano.
• Verifica l’identità del mittente prima di accettare inviti o cliccare sui link.
• Mantenere il software aggiornato per correggere le vulnerabilità della sicurezza.
• Segnala gli inviti sospetti al calendario come spam tramite la funzione di segnalazione di Google Calendar.

Questo attacco dimostra come i criminali informatici continuino a trovare modi innovativi per diffondere payload dannosi, sfruttando piattaforme affidabili e sofisticate tecniche di offuscamento.

L'articolo Google Calendar Sotto Tiro! Un Solo Carattere Nasconde Un Attacco Malware Avanzato proviene da il blog della sicurezza informatica.

Has anybody heard of the ATW800 transputer workstation? The one that used a modified Atari ST motherboard as a glorified I/O controller for a T-series transputer? No, we hadn’t either, but transputer superfan [Axel Muhr] has created the ATW800/2, an Atari Transputer card, the way it was meant to be.

The transputer was a neat idea when it was conceived in the 1980s. It was designed specifically for parallel and scientific computing and featured an innovative architecture and dedicated high-speed serial chip-to-chip networking. However, the development of more modern buses and general-purpose CPUs quickly made it a footnote in history. During the same period, a neat transputer-based parallel processing computer was created, which leveraged the Atari ST purely for its I/O. This was the curious ATW800 transputer workstation. That flopped as well, but [Axel] was enough of a fan to take that concept and run with it. This time, rather than using the Atari as a dumb I/O controller, the card is explicitly designed for the Mega-ST expansion bus. A second variant of the ATW800/2 is designed for the Atari VME bus used by the STe and TT models—yes, VME on an Atari—it was a thing.

The card hosts an FPGA module, specifically the Tang 20k, that handles the graphics, giving the Atari access to higher resolutions, HDMI output, and GPU-like acceleration with the right code. The FPGA also contains a ‘synthetic’ transputer core, compatible with the Inmos T425, with 6Mb of RAM to play with. Additionally, the board contains an original Inmos C011 link adapter chip and a pair of size-1 TRAM slots to install two physical transputer cards. This allows a total of two transputers, each with its dedicated RAM, to be installed and networked with the synthetic transputer and the host system. The FPGA is configured to allow the host CPU and any of the transputers direct access to the video RAM, so with proper coding, the same display can mix 68K and parallel computing applications simultaneously. The original ATW800 couldn’t do that!

In addition to the transputer support and boosted graphics, the card also provides a ROM big enough to switch between multiple Atari TOS versions, USB loop-through ports to hook up to a lightning-ST board, and a MicroSD slot for extra local storage. What a project!

If you don’t know what the transputer is (or was), read our quick guide. Of course, forty-year-old silicon is rare and expensive nowadays, so if you fancy playing with some hardware, might we suggest using a Pi Pico instead?

Thanks to [krupkaj] for the tip!

hackaday.com/2025/05/14/fancy-…

If you talk about Starlink, you are usually talking about the satellites that orbit the Earth carrying data to and from ground stations. Why not? Space is cool. But there’s another important part of the system: the terminals themselves. Thanks to [DarkNavy], you don’t have to tear one open yourself to see what’s inside.

The terminal consists of two parts: the router and the antenna. In this context, antenna is somewhat of a misnomer, since it is really the RF transceiver and antenna all together. The post looks only at the “antenna” part of the terminal.

The unit is 100% full of printed circuit board with many RF chips and a custom ST Microelectronics Cortex A-53 quad-core CPU. There was a hack to gain root shell on the device. This led to SpaceX disabling the UART via a firmware update. However, there is still a way to break in.

[DarkNavy] wanted to look at the code, too, but there was no easy way to dump the flash memory. Desoldering the eMMC chip and reading it was, however, productive. The next step was to create a virtual environment to run the software under Qemu.

There were a few security questions raised. We wouldn’t call them red flags, per see, but maybe pink flags. For example, there are 41 trusted ssh keys placed in the device’s authorized_keys file. That seems like a lot for a production device on your network, but it isn’t any smoking gun.

We’ve watched the cat-and-mouse between Starlink and people hacking the receivers with interest.

hackaday.com/2025/05/14/inside…

Plywood is an interesting material: made up of many layers of thin wood plys, it can be built up into elegantly curved shapes. Do you need to limit it to just wood, though? [Zach of All Trades] has proved you do not, when he embedded a light guide, LEDs, microcontrollers and touch sensors into a quarter inch (about six millimeter) plywood layup in the video embedded below.

He’s using custom flexible PCBs, each hosting upto 3 LEDs and the low-cost PY32 microcontroller. The PY32 drives the RGB LEDs and handles capacitive touch sensing within the layup. In the video, he goes through his failed prototypes and what he learned: use epoxy, not wood glue, and while clear PET might be nice and bendy, acrylic is going to hold together better and cuts easier with a CO2 laser.

The wood was sourced from a couple of sources, but the easiest was apparently skateboard kits– skateboards are plywood, and there’s a market of people who DIY their decks. The vacuum bag setup [Zach] used looks like an essential tool to hold together the layers of wood and plastic as the epoxy cures. To make the bends work [Zach] needed a combination of soaking and steaming the maple, before putting it into a two-part 3D printed mold. The same mold bends the acrylic, which is pre-heated in an oven.

Ultimately it didn’t quite come together, but after some epoxy pour touch-up he’s left with a fun and decorative headphone stand. [Zach] has other projects in mind with this technique, and its got our brains percolating as well. Imagine incorporating strain gauges to drive the LEDs so you could see loading in real time, or a sound-reactive speaker housing. The sky’s the limit now that the technique is out there, and we look forward to see what people make of it.

The last time we heard from [Zach of All Trades] he was comparing ten cent micro-controllers; it looks like the PY32 came out on top. Oddly enough, this seems to be the first hack we have featuring it. If you’ve done something neat with ten cent micros (or more expensive ones) or know someone who did, don’t forget to let us know! We love tips. [Zach] sent in the tip about this video, and his reward is gratitude worth its weight in gold.

youtube.com/embed/VsFqkddhs3w?…

hackaday.com/2025/05/14/led-la…

If you want read-only memory today, you might be tempted to use flash memory or, if you want old-school, maybe an EPROM. But there was a time when that wasn’t feasible. [Igor Brichkov] shows us how to make a core rope memory using a set of ferrite cores and wire. This was famously used in early UNIVAC computers and the Apollo guidance computer. You can see how it works in the video below.

While rope memory superficially resembles core memory, the principle of operation is different. In core memory, the core’s magnetization is what determines any given bit. For rope memory, the cores are more like a sensing element. A set wire tries to flip the polarity of all cores. An inhibit signal stops that from happening except on the cores you want to read. Finally, a sense wire weaves through the cores and detects a blip when a core changes polarity. The second video, below, is an old MIT video that explains how it works (about 20 minutes in).

Why not just use core memory? Density. These memories could store much more data than a core memory system in the same volume. Of course, you could write to core memory, too, but that’s not always a requirement.

We’ve seen a resurgence of core rope projects lately. Regular old core is fun, too.

youtube.com/embed/cdeHAdR83b8?…

youtube.com/embed/ndvmFlg1WmE?…

hackaday.com/2025/05/14/your-o…

Treat dispensers are old hat around here, but what if kitty doesn’t need the extra calories — and actually needs to drop some pounds? [MethodicalMaker] decided to link the treat dispenser to a cat wheel, and reward kitty for healthy behaviors. The dispenser can be programmed to make the cat run long enough to burn the calories of its treat. Over time, kitty can be trained to run longer between treats to really melt off the pounds.

The wheel itself is an off the shelf model called “One Fast Cat”; apparently these are quite cheap second hand as most cats don’t really see the point in exercise. [MethodicalMaker] glued evenly-spaced magnets along the rim in order to track the rotation with a hall effect sensor. A microcontroller is watching said sensor, and is programmed to release the treats after counting off a set number of revolutions. Control over the running distance and manual treat extrusion is via web portal, but the networking code had difficulty on the Arduino R4 [MethodicalMaker] started with, so he switched to an ESP32 to get it working.

The real interesting part of this project is the physical design of the treat dispenser: it uses a double-auger setup to precisely control treat release. The first auger lives inside a hopper that holds a great many treats, but it tended to over-dispense so [MethodicalMaker] methodically made a second auger that sits beneath the hopper. The handful of treats extruded by the first auger are dispensed individually by the second auger, aided by a photosensor inside the exit chute to count treats. This also lets the machine signal when it needs refilled. For precise control, continuous servos are used to drive the augers. Aside from the electronics, everything is 3D printed; the STLs are on Printables, and the code is on GitHub.

If you don’t have a cat wheel, DIY is an option. If you don’t have a cat, we’ve also highlighted dog treat dispensers. If you don’t have either, check with your local animal shelter; we bet good money there are oodles ready to adopt in your town, and then you’ll have an excuse to enter one of your projects into our ongoing Pet Hacks Contest.

youtube.com/embed/nUOUaUAySG0?…

hackaday.com/2025/05/14/2025-p…

Earlier this month we covered the brewing controversy over libogc, the community-developed C library that functions as the backbone for GameCube and Wii homebrew software. Questions about how much of the library was based on leaked information from Nintendo had been circulating for decades, but the more recent accusations that libogc included code from other open source projects without proper attribution brought the debate to a head — ultimately leading Wii Homebrew Channel developer Hector Martin to archive the popular project and use its README as a central point to collect evidence against libogc and its developers.

At the time, most of the claims had to do with code being taken from the Real-Time Executive for Multiprocessor Systems (RTEMS) project. Martin and others in the community had performed their own investigations, and found some striking similarities between the two codebases. A developer familiar with both projects went so far as to say that as much as half the code in libogc was actually lifted from RTEMS and obfuscated so as to appear as original work.

While some of these claims included compelling evidence, they were still nothing more than accusations. For their part, the libogc team denied any wrongdoing. Contributors to the project explained that any resemblance between libogc code and that of either leaked Nintendo libraries or other open source projects was merely superficial, and the unavoidable result of developing for a constrained system such as a game console.

But that all changed on May 6th, when the RTEMS team released an official statement on the subject. It turns out that they had been following the situation for some time, and had conducted their own audit of the libogc code. Their determination was that not only had RTEMS code been used without attribution, but that it appeared at least some code had also been copied verbatim from the Linux kernel — making the license dispute (and its solution) far more complex.

Permissive vs Restrictive

At first glance, this all might seem like something of a non-issue. After all, libogc, RTEMS, and the Linux kernel are all open source projects. Surely, the point of releasing these projects as open source in the first place was to facilitate and even encourage the sharing of source code. In a sense, this could be looked at as the system working as intended.

Indeed, it’s not the reuse of code that’s really the issue here. The problem stems from the licenses by which the respective projects have made their source code available, and more specifically, how well those licenses integrate with each other.

When the complaint was that libogc was using large swaths of code from RTEMS, the path towards compliance was simple as latter project was released under what’s known as a permissive license, namely, the 2-Clause BSD License. As the name implies, permissive licenses such as this give the user broad rights on how they can reuse the code

For example, one could take BSD-licensed code, merge it as-is into a closed source project, and sell the resulting software for profit without violating the license. All the original project asks in return is that you give proper attribution. In this case, that means acknowledging you used code from said project in the documentation, and including a copy of the license.

Returning to libogc, the issue at hand could be resolved with a single commit to the project’s GitHub repository. A simple notice that the project used code from RTEMS and a copy of the BSD license is all it would take to satisfy the requirements. That the libogc developers will not make even such a simple concession in the face of overwhelming evidence that they did indeed reuse code is frankly indefensible; a sentiment expressed in the statement from the RTEMS developers:

RTEMS is open source and this means RTEMS can be copied and used as long as the license conditions are met and copyright is maintained. We are at a loss why there has been removal of license details and copyright and a general disregard to apply appropriate attributions. As a result the RTEMS license and copyright holders reserve their rights in relation to the copying of RTEMS code.

That being said, the revelation that libogc would appear to include code from the Linux kernel complicates matters considerably. Unlike RTEMS, Linux is licensed under the GPL v2 — a license that is not only far more restrictive, but viral in nature.

The Case for Kernel Code

It’s that viral aspect of the license that promises to give libogc the most trouble. If they did indeed use code from the Linux kernel, that would mean there are only two solutions. Either the offending code must be removed, or the entire project will need to be re-licensed under the GPL v2.

For a codebase as old as libogc, changing the license would be a massive undertaking, as every person who’s added code to the project would have to agree to have their individual contribution re-licensed. The libogc repository lists dozens of contributors, and that’s only since project was added to GitHub. As there appears to be no CREDITS file that lists the contributions before the advent of Git, there may be no way to know at this point how many contributors there actually are and what they added.

So the question of whether or not libogc uses Linux code is going to be critical to determining how the project moves forward. The RTEMS statement doesn’t go into great detail about this claim, simply stating that the “spinlock implementation is copied directly from Linux circa 2.4 or 2.6 release series.” Sure enough, when comparing the file spinlock.h file from the latest version of libogc to linux-2.6.0/include/asm-ppc/spinlock.h there are indeed functions which are nearly identical:

That said, this may not be as damning as it seems. To play Devil’s advocate, one could argue that the terse nature of assembly code means that a certain level of similarity is unavoidable between the two implementations. Of course, convention can only get you so far. It’s one thing to independently arrive at the same assembly code, but this explanation becomes harder to believe when you consider the identical variable names and comments.

What’s Next?

As of this writing, the libogc project has not made an official statement on the situation. We reached out to maintainer Dave [WinterMute] Murphy before going to press with this article, but he declined to comment, saying that he first needed to confer with the original developer of the library, Michael [shagkur] Wiedenbauer.

At the same time, our contacts within the RTEMS project have indicated they believe they have sufficient evidence to have libogc removed from GitHub if necessary. However, they’re understandingly hesitant to disrupt the Wii homebrew community over an issue that could ultimately be resolved with a simple discussion. While the potential use of Linux code does add a considerable wrinkle to the overall situation, if the libogc project would at least acknowledge the use of RTEMS code and properly attribute it after all these years, it would at least be a step in the right direction.

We’ll continue to keep an eye on the situation, and bring you updates as we have them. In the meantime, we think the final line of the RTEMS statement nicely summarizes the biggest takeaway from this whole mess:

Our goal now is to provide education on how the behavior engaged in by the devkitPro/libOGC project is a very good example of what not to do.

hackaday.com/2025/05/14/rtems-…

When [Kasyan] was six years old, he saw a RADUGA computer, a Russian unit from the 1990s, and it sparked his imagination. He has one now that is a little beat up, but we feel like he sees it through his six-year-old eyes as a shiny new computer. The computer, which you can see in the video below, was a clone of the Spectrum 48K.

The box is somewhat klunky-looking, and inside is also a bit strange. The power supply is a — for the time — state-of-the-art switching power supply. Since it wasn’t in good shape, he decided to replace it with a more modern supply.

The main board was also not in good shape. A Zilog CPU is on a large PCB with suspicious-looking capacitors. The mechanical keyboard is nothing more than a array of buttons, and wouldn’t excite today’s mechanical key enthusiast.

The computer isn’t working yet. [Kasyan] is looking for someone who has the exact schematic, although he’s found a similar one and identified at least some of the problems on the board.

The USSR did a lot of work with early computing, but we don’t hear as much about it. That’s surprising, as they had a very active home computer scene.

youtube.com/embed/HxvSitPXkg4?…

hackaday.com/2025/05/14/raduga…

I ricercatori hanno individuato una nuova campagna malware che sfrutta gli attacchi ClickFix. Ora gli aggressori prendono di mira anche gli utenti Linux.

Gli attacchi ClickFix sono una forma di ingegneria sociale. Di recente si sono diffuse diverse varianti di tali attacchi. In genere, le vittime vengono attirate su siti truffaldini e indotte con l’inganno a eseguire comandi PowerShell dannosi, infettando di fatto manualmente il loro sistema con un malware. Ad esempio, gli aggressori giustificano la necessità di eseguire determinati comandi risolvendo problemi di visualizzazione del contenuto nel browser oppure chiedendo all’utente di risolvere un CAPTCHA falso.

In genere, tali attacchi prendono di mira i sistemi Windows e inducono la vittima a eseguire uno script di PowerShell, che provoca l’infezione da malware. Tuttavia, in una nuova campagna individuata dai ricercatori di Hunt.io, gli aggressori hanno adattato per la prima volta questa tecnica ai sistemi Linux.

La campagna, che gli esperti attribuiscono al gruppo di hacker pakistano APT36 (noto anche come Transparent Tribe), utilizza un falso sito web del Ministero della Difesa indiano contenente un collegamento a un presunto comunicato stampa ufficiale. Quando i visitatori arrivano su questo sito, la piattaforma rileva il loro sistema operativo e lancia un attacco appropriato.

In questo modo, agli utenti Windows viene mostrata una pagina a schermo intero con un avviso sui diritti limitati per l’utilizzo del contenuto. Facendo clic sul pulsante Continua viene avviato JavaScript che copia il comando dannoso MSHTA negli appunti della vittima, invitandola a incollarlo ed eseguirlo in un terminale Windows.

Questo avvia un loader basato su .NET che si connette all’indirizzo dell’attaccante e l’utente visualizza un file PDF che dovrebbe indurlo in un falso senso di sicurezza e far sembrare la situazione più plausibile.

Se il visitatore utilizza Linux, viene reindirizzato a una pagina con un CAPTCHA falso, dove, premendo il pulsante “Non sono un robot“, un comando shell viene copiato negli appunti. Alla vittima viene quindi chiesto di premere ALT+F2, incollare il comando e premere Invio per eseguirlo.

Il comando avvia il payload mapeal.sh sul sistema dell’utente, il quale, secondo i ricercatori, non esegue ancora alcuna azione dannosa, limitandosi a ricevere in background un’immagine JPEG dal server degli aggressori (trade4wealth[.]in).

Gli esperti ritengono che i membri di APT36 stiano attualmente semplicemente testando l’efficacia di tali attacchi su Linux, poiché è sufficiente sostituire l’immagine con uno script shell per installare il malware ed eseguire altre azioni dannose.

L’adattamento di ClickFix a Linux è un’ulteriore prova dell’efficacia di tali attacchi. Le varianti di ClickFix sono ora disponibili per tutti e tre i principali sistemi operativi desktop. La versione di ClickFix per macOS è stata individuata già nell’ottobre dell’anno scorso.

L'articolo ClickFix Sbarca su Linux! Il Malware ora si installa anche per gli utenti del Pinguino proviene da il blog della sicurezza informatica.

There was a time when version control was an exotic idea. Today, things like Git and a handful of other tools allow developers to easily rewind the clock or work on different versions of the same thing with very little effort. I’m here to encourage you not only to use version control but also to go even a step further, at least for important projects.

My First Job

The QDP-100 with — count ’em — two 8″ floppies (from an ad in Byte magazine)
I remember my first real job back in the early 1980s. We made a particular type of sensor that had a 6805 CPU onboard and, of course, had firmware. We did all the development on physically big CP/M machines with the improbable name of Quasar QDP-100s. No, not that Quasar. We’d generate a hex file, burn an EPROM, test, and eventually, the code would make it out in the field.

Of course, you always have to make changes. You might send a technician out with a tube full of EPROMs or, in an emergency, we’d buy the EPROMs space on a Greyhound bus. Nothing like today.

I was just getting started, and the guy who wrote the code for those sensors wasn’t much older than me. One day, we got a report that something was misbehaving out in the field. I asked him how we knew what version of the code was on the sensor. The blank look I got back worried me.

Seat of the Pants

Version control circa 1981 alongside a 3.5-inch floppy that held much more data
Turns out, he’d burn however many EPROMs were required and then plow forward developing code. We had no idea what code was really running in the field. After we fixed the issue, I asked for and received a new rule. Every time we shipped an EEPROM, it got a version number sticker, and the entire development directory went on an 8″ floppy. The floppy got a write-protect tab and went up on the shelf.

I was young. I realize now that I needed to back those up, too, but it was still better than what we had been doing.

Enter Meta Version Control

Today, it would have been easy to label a commit and, later, check it back out. But there is still a latent problem. Your source code is only part of the equation when you are writing code. There’s also your development environment, including the libraries, the compiler, and anything else that can add to or modify your code. How do you version control that? Then there’s the operating system, which could interact with your code or development tools too.

Maybe it is a call back to my 8″ floppy days, but I have taken to doing serious development in a virtual machine. It doesn’t matter if you use QEMU or VirtualBox or VMWare. Just use it. The reason is simple. When you do a release, you can backup the entire development environment.

When you need to change something five years from now, you might find the debugger no longer runs on your version of the OS. The compiler fixed some bugs that you rely on or added some that you now trip over. But if you are in your comfy five-year-old virtual environment, you won’t care. I’ve had a number of cases where I wish I had done that because my old DOS software won’t run anymore. Switched to Linux? Or NewOS 2100^tm? No problem, as long as it can host a virtual machine.

Can’t decide on which one to use? [How to Simple] has some thoughts in the video below.

youtube.com/embed/pZjvyGMBiOQ?…

How About You?

How about it? Do you or will you virtualize and save? Do you use containers for this sort of thing? Or do you simply have faith that your version-controlled source code is sufficient? Let us know in the comments.

If you think Git is just for software, think again.

hackaday.com/2025/05/14/versio…

L’8 maggio 2025, un attaccante criminale noto con lo pseudonimo xuii ha annunciato la pubblicazione di dati riservati provenienti dal Pakistan Intelligence Bureau (IB), promettendo una versione a pagamento contenente file classificati come “Confidenziali” e “Top Secret”. Questo evento rappresenta una delle più gravi minacce informatiche alla sicurezza nazionale del Pakistan, con potenziali implicazioni anche per la sicurezza nucleare del Paese.

Dettagli dell’Attacco

Secondo quanto riportato da xuii su un noto forum underground, l’attacco ha colpito in modo diretto:

• Il Bureau dell’Intelligence del Pakistan (IB), inclusi:
• L’Intelligence Bureau Division (IBD)
• L’Intelligence Bureau Headquarters (IBHQ)
• L’Inter-Services Intelligence (ISI), con la promessa di future fughe di dati altamente sensibili.

La rete di comunicazione nazionale, provocando – secondo le dichiarazioni dell’attore – un blackout totale delle comunicazioni, con l’interruzione dei segnali mobili e militari.

Motivazioni e Obiettivi

L’attacco sembra avere una duplice finalità:

Economica: monetizzare la vendita di dati riservati tramite una versione a pagamento della fuga di informazioni.

Strategica: destabilizzare le infrastrutture critiche del Pakistan, in particolare quelle legate alla difesa e alla comunicazione.

Impatto sulle Infrastrutture Critiche

L’attacco ha colpito in modo trasversale:

• Settore delle telecomunicazioni: blackout delle torri mobili e dei segnali militari.
• Sistemi di comunicazione militare: compromissione delle reti di comando e controllo.
• Sicurezza nazionale: rischio di esposizione di dati nucleari e operazioni segrete.
• Contenuti della Fuga di Dati

Sebbene i dettagli completi non siano ancora stati divulgati, sono stati pubblicati online diversi file e immagini che sembrano appartenere a personale dell’intelligence pakistana. Le immagini caricate includono nomi, volti e potenzialmente informazioni identificative di agenti e funzionari.

Conclusione

L’attacco informatico rivendicato da xuii rappresenta un’escalation senza precedenti nella guerra cibernetica contro il Pakistan. La possibilità che vengano divulgati dati nucleari o operazioni dell’ISI solleva preoccupazioni a livello globale. È fondamentale che le autorità pakistane rispondano con prontezza, adottando misure di sicurezza rafforzate e collaborando con la comunità internazionale per prevenire ulteriori compromissioni.

Sebbene i rapporti ufficiali tra Pakistan e Stati Uniti non siano attualmente dei migliori, complicati da divergenze strategiche e da un crescente avvicinamento di Islamabad a Mosca e Pechino, fonti diplomatiche suggeriscono che un intervento tecnico e di mediazione da parte di Washington possa aver contribuito a contenere l’escalation. Questo supporto, se confermato, dimostrerebbe come la cooperazione internazionale in ambito cibernetico resti un elemento cruciale per la stabilità globale, anche tra Paesi con relazioni bilaterali complesse.

L'articolo Shock in Pakistan: Un Hacker Criminale ruba dati “Top Secret” dai servizi segreti proviene da il blog della sicurezza informatica.

As the saying goes, modern problems require modern solutions. When the modern problem is that your smart light is being hijacked by the neighbors, [Wjen]’s modern solution is to reverse engineer and replace the mainboard.

The light in question is a Phillips Hue Ambiance, and [Wjen]’s excellently-documented six part series takes us through the process of creating a replacement light driver. It’s a good read, including reverse-engineering the PWM functions to get the lights to dim exactly like stock, and a dive into the Zigbee protocol so his rebuild light could still talk to the Philips Hue hub. The firmware [Wjen] wrote for the ESP32C6 he chose to use for this project is on GitHub, with the PCB in a second repo.

We want to applaud [Wjen] for his excellent documentation and open-sourcing (the firmware and PCB are under GPL v3). Not only do we get enough information to replicate this project perfectly if we so choose, but by writing out his design process, [Wjen] gives everyone reading a good head start in doing something similar with other hardware. Even if you’re scratching your head wondering why a light switch isn’t good enough anymore, you have to appreciate what [Wjen] is offering the community.

We’ve covered domestic brain transplants in the past — which is easier in this sort of light than the close confines of a smart bulb. If you’re still wondering why not just use a light switch, perhaps you’d rather hack the light to run doom instead.

Before you go, can we just take a moment to appreciate how bizarre the world has become that we have a DOOM-capable computer to run fancy light fixture? If you’re using what might have been a decent workstation in days of yore to perform a painfully mundane task, let us know on the tips line.

hackaday.com/2025/05/14/a-brai…

14 maggio 2025 – Nelle prime ore di questa mattina, sul forum underground russo XSS, noto per essere una vetrina di primo piano per la compravendita di dati compromessi, è apparso un post allarmante: il gruppo Machine1337 ha rivendicato una presunta violazione dei sistemi interni di Apple.com.

Il post, accompagnato dal logo della celebre azienda e firmato “Breached by Machine1337”, indica che nel febbraio 2025 Apple sarebbe stata vittima di una data breach che avrebbe comportato l’esposizione di strumenti interni. Secondo quanto dichiarato dall’attore malevolo, sono stati sottratti 3.000 file, offerti in sample con un link per il download. L’intero pacchetto viene messo in vendita per 5.000 dollari.

Nel post è presente anche un link che punta a Mega, solo che al momento non risulta disponibile al download.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.

Nel dettaglio, il messaggio sul forum recita:

“In Feb 2025, Apple.com suffered a data breach and load to the exposure of some of their internal tools.”

Anche se il messaggio presenta errori grammaticali, lascia intendere che siano stati compromessi strumenti interni aziendali, senza però specificare la natura tecnica del vettore di attacco. L’attore fornisce un contatto su Telegram per eventuali trattative.

Analisi del contesto

XSS è uno dei forum più attivi nel panorama underground, usato da gruppi come RansomHouse, Stormous e Qilin per la pubblicazione di leak, vendita di accessi RDP, vulnerabilità zero-day e molto altro. La pubblicazione di oggi si inserisce in un trend crescente di attacchi ad alto profilo mirati contro big tech e fornitori SaaS.

Al momento Apple non ha rilasciato comunicazioni ufficiali. Non è chiaro se i file contenuti nel dump siano effettivamente autentici né quali strumenti interni siano stati compromessi. Tuttavia, la reputazione del forum e la modalità con cui il leak è stato presentato spingono diversi analisti threat intel a considerare l’annuncio potenzialmente credibile, almeno nella fase iniziale.

Il threat actor Machine1337 si presenta come un profilo emergente ma già attivo nell’ecosistema underground, con una presenza confermata su XSS Forum e Telegram. La sua attività recente include la rivendicazione di un presunto data breach ai danni di Apple.com, pubblicata su XSS lanciando la vendita di 3.000 file interni, un annuncio ancora in fase di verifica da parte degli analisti.

Profilo Telegram di Machine1337

Nel suo canale Telegram (che conta 24 iscritti al momento), Machine1337 si definisce: “Red Teamer, Offensive Developer & Penetration Tester” Con un focus su:

• Red Teaming
• Penetration Testing
• Offensive Development
• Apprendimento in corso su API testing e Malware Analysis

Il canale ha subito diverse chiusure, segno che il suo contenuto ha attirato l’attenzione di moderatori o forze dell’ordine, ma ha continuato a riorganizzarsi creando versioni alternative (es. “Channel 2.0”).

Conclusioni

Mentre la comunità cybersecurity attende conferme e analisi più approfondite sul contenuto del dump, questo episodio ci ricorda come anche le aziende più protette non siano immuni da violazioni. Se confermato, il data breach di Apple del 2025 entrerà nella lista degli incidenti più significativi dell’anno.

Red Hot Cyber continuerà a monitorare la vicenda e fornirà aggiornamenti in caso di conferme ufficiali o nuove informazioni da fonti OSINT e threat intelligence.

Come nostra consuetudine, lasciamo spazio ad una dichiarazione dell’azienda qualora voglia darci degli aggiornamenti su questa vicenda e saremo lieti di pubblicarla con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono accedere utilizzare la mail crittografata del whistleblower.

L'articolo Apple nel mirino: pubblicato su XSS un presunto data breach del gigante di Cupertino proviene da il blog della sicurezza informatica.

Google’s ChromeOS and associated hardware get a lot of praise for being easy to manage and for providing affordable hardware for school and other educational settings. It’s also undeniable that their locked-down nature forms a major obstacle and provides limited reusability.

That is unless you don’t mind doing a bit of hacking. The Intel Core i3-8130U based Acer CXI3 Chromebox that the [Hardware Haven] YouTube channel got their mittens on is a perfect example.
The Acer CXI3 in all its 8th-gen Intel Core i3 glory. (Credit: Hardware Haven, YouTube)
This is a nice mini PC, with modular SODIMM RAM, an NVMe storage M.2 slot as well as a slot for the WiFi card (or SATA adapter). After resetting the Chromebox to its default configuration and wiping the previous user, it ran at just a few Watt idle at the desktop. As this is just a standard x86_64 PC, the only thing holding it back from booting non-ChromeOS software is the BIOS, which is where [MrChromebox]‘s exceedingly useful replacement BIOSes for supported systems come into play, with easy to follow instructions.

Reflashing the Acer CXI3 unit was as easy as removing the write-protect screw from the mainboard, running the Firmware Utility Script from a VT2 terminal (Ctrl+Alt+F2 on boot & chronos as login) and flashing either the RW_LEGACY or UEFI ROM depending on what is supported and desired. This particular Chromebox got the full UEFI treatment, and after upgrading the NVMe SSD, Debian-based Proxmox installed without a hitch. Interestingly, idle power dropped from 2.6 Watt under ChromeOS to 1.6 Watt under Proxmox.

If you have a Chromebox that’s supported by [MrChromebox], it’s worth taking a poke at, with some solutions allowing you to even dualboot ChromeOS and another OS if that’s your thing.

youtube.com/embed/SHVWVaJAIHs?…

hackaday.com/2025/05/14/turnin…

Un gruppo di white hat hacker europei della PCAutomotive con sede a Budapest ha dimostrato come hackerare da remoto un veicolo elettrico Nissan LEAF del 2020. Sono riusciti non solo a prendere il controllo del volante durante la guida, ma anche a tracciare l’auto in tempo reale, leggere messaggi di testo, registrare conversazioni in auto e trasmettere suoni attraverso gli altoparlanti. Tutto questo viene fatto con l’ausilio di un simulatore fatto in casa, assemblato con pezzi acquistati su eBay.

La ricerca è stata presentata alla conferenza Black Hat Asia 2025 come una presentazione tecnica di 118 pagine. Descrive in dettaglio il processo di creazione di un testbed e di sfruttamento delle vulnerabilità, tra cui l’uso del canale DNS C2 e del protocollo Bluetooth. La dimostrazione ha mostrato quanto sia facile portare a termine un attacco con un equipaggiamento minimo e competenze di base.

Le vulnerabilità identificate includono il bypass del sistema antifurto (CVE-2025-32056), l’attacco MiTM tramite componente app_redbend (CVE-2025-32057), lo stack overflow durante l’elaborazione CBR (CVE-2025-32058), RCE multipli tramite buffer overflow (CVE-2025-32059, -32061, -32062), la mancanza di verifica della firma digitale dei moduli del kernel (CVE-2025-32060), vulnerabilità che forniscono persistenza nella connessione Wi-Fi (CVE-2025-32063) e nel bootloader i.MX 6 (PCA_NISSAN_012), nonché il filtraggio errato del traffico tra i bus CAN (PCA_NISSAN_009).

Secondo PCAutomotive, tutte le vulnerabilità sono state comunicate a Nissan e ai suoi fornitori tra il 2 agosto 2023 e il 12 settembre 2024. La fonte non fornisce dettagli su come siano state eliminate. È stato pubblicato anche un video che mostra l’attacco in azione.

Particolare attenzione è stata rivolta al fatto che i ricercatori sono riusciti a girare a distanza il volante dell’auto mentre era in movimento. Ciò evidenzia la gravità delle minacce poste dalle vulnerabilità di rete nei veicoli controllati elettronicamente.

youtube.com/embed/56VreoKtStw?…

Secondo gli autori, l‘approccio dimostrato mostra come un operatore remoto può connettersi a un veicolo e controllarlo in una situazione complessa o non standard. Tuttavia, i ricercatori sottolineano che la violazione della privacy, inclusa l’intercettazione di messaggi e conversazioni, rappresenta una minaccia altrettanto grave.

In conclusione, il team ci ricorda che in un mondo in cui le automobili assomigliano sempre più a computer su ruote, potrebbe esserci un osservatore nascosto dietro ogni processo.

L'articolo Controllo Del Volante da remoto per la Nissan Leaf con pezzi comprati su eBay. E non è tutto! proviene da il blog della sicurezza informatica.

Scrivevo un paio di anni fa su queste pagine di come taluni paesi europei e non, avessero forze fresche e giovani da impiegare nel settore dell’informatica. La nostra crisi demografica è sotto gli occhi di tutti – solo i politici sognatori ancora non riescono a comprenderlo – e questo in un’ottica a lungo termine sarà certamente un problema.

Ancor di più lo sarà se non riusciremo a recuperare il gap con quei paesi vicini che hanno investito molto nella cybersecurity e nei giovani frequentatori delle scuole, delle università per la formazione sempre continua del settore. Ho visto però un barlume di speranza nell’ultima conferenza di Red Hot Cyber, in quanto presente e testimone diretto. La nutrita presenza di ragazzi, di scolaresche e di giovani, mi ha colpito molto.

Ho notato nella giornata di giovedì, una massiccia presenza di ragazzi che curiosavano, chiedevano, si informavano chiedendo allo staff di RHC dettagli, news o quanto altro di utile riguardo la cybersicurezza.
Workshop sul Cyberbullismo tenuto da Flavia Rizza, testimonial sul cyber bullismo.
La presenza di Flavia Rizza, con l’esperienza diretta sulla sua pelle, del pericolo del cyberbullismo ha acceso in questi ragazzi quella fiamma della conoscenza che spesso non riescono a far accendere tra le mura di casa. Ogni tanto venivo “placcato” da qualche ragazzo che mi chiedeva di Corrado Giustozzi, profeta in tempi non sospetti del progresso del settore cyber quando ancora in Italia non se ne parlava, per potersi confrontare con lui; i più grandicelli volevano notizie sulla cyber intelligence e come poter dare una mano alle FFOO che anche quest’anno non sono mancate alla conferenza, con la presenza del direttore della Polizia Postale Ivano Gabrielli, ed una rappresentanza della Guardia di Finanza.

Ho notato interesse anche nei temi legati alla parte giuridica, perché le parole del consigliere Giuseppe Corasaniti e dell’avvocato Paolo Galdieri hanno illuminato la giovane platea, spesso accecata dalle cronache TV riguardo i reati informatici, regalando ai giovani presenti nuove e precise informazioni, su cui studiare o per spunti di riflessione e confronto.

Non sono mancati commenti o richieste riguardo il nostro gruppo di hacker etici, Hackerhood, ed anche in questo caso, ogni domanda che mi veniva rivolta riguardo Hackerhood era per me una gioia, perché notavo negli occhi dei ragazzi, quella luce di conoscenza e desiderio di far parte del gruppo, ed io non mi sono risparmiato a far conoscere gli esponenti del gruppo di Hackerhood, presenti alla conferenza.

Ho avuto il piacere di conoscere genitori che hanno accompagnato i figli alla conferenza e vedere l’entusiasmo per la cybersecurity dei giovani essere contagioso per i padri, e scoprire con mia sorpresa come questi ragazzi siano già impiegati presso aziende che ne hanno compreso le potenzialità.

Sono stato testimone di racconti di giovani che avvicinati dalle aziende presenti alla conferenza per offrir loro un impiego, mi abbiano riferito dettagli e domande riguardo il reclutamento e le modalità dell’offerta, cui hanno detto immediatamente sì, perché consci delle loro possibilità e di quanto l’azienda chiedeva.

Questa mia quarta esperienza nella conferenza di RHC, sempre fatta da dilettante del settore quale io sono e vedendo quanto scrissi anni fa, riguardo la mancanza di risorse nuove e preparate nella cybersicurezza nel nostro paese, e di come forse – ed oggi ne sono più convinto – non potevamo reggere il confronto con gli altri paesi, mi ha convinto che così male proprio no stiamo. Anzi.

Si può ben dire che resistiamo – è sempre il mantra della nostra società la resistenza – che possiamo confrontarci con molti paesi che sono all’avanguardia nel settore e la vittoria della CTF da parte di un gruppo eterogeneo di ragazzi provenienti da diverse parti d’Italia e del mondo lo dimostra. Si può ben dire che di specialisti della cybersecurity l’Italia ne sta generando diversi e senza sosta – anche se dispiace notare ancora un gap tra uomini e donne nel settore ,segnale che forse ancora non riusciamo a diffondere bene alle donne, le potenzialità della specializzazione – che siamo passati dall’essere scimpanzé (come l’Italia cyber veniva definita qualche anno fa) ad un ruolo più attivo e centrale nel contesto europeo e mondiale. La forza delle aziende leader italiane è riconosciuta in tutto il mondo. I

l costante aumento degli attacchi cyber verso le nostre infrastrutture sia civili che non, dimostra quanto spaventa la nostra crescita. Le ingerenze degli Stati ostili e non verso la nostra politica rea di voler aumentare l’educazione cyber, sono in corso senza soste. Tutti segnali che ci indicano che stiamo sulla strada giusta e come sempre resistiamo, perché è nel nostro DNA ed anche in quello di Red Hot Cyber.

L'articolo Segnali Inarrestabili di Interesse: La Cybersicurezza Accende le Nuove Generazioni alla RHC Conference proviene da il blog della sicurezza informatica.

Odds are, if you have ridden a bicycle for any amount of time, you have crashed. Crashes are fast, violent and chaotic events that leave you confused, and very glad to have a helmet. But what if there was another way of protecting your head? [Seth] decided to find out by taking a look at the Hövding airbag helmet.

The Hövding sits around your neck and looks somewhat akin to a neck pillow. It uses accelerometers situated in the fore and aft of the device to detect what it thinks is a crash. If a crash is detected, it will release a charge of compressed helium to inflate an airbag that wraps around the user’s head protecting a larger amount of the head then a traditional helmet. It also inflates around the wearer’s neck providing neck bracing in the impact further improving safety. The inflation process is incredibly fast and violent, very much akin to a car’s airbag. [Seth] demonstrated this on the process on two occasions to great effect, and to his amazement. While the idea of relying on computers to protect your head may sound ridiculous, studies have shown that the Hövding is safer than a regular helmet in certain situations.

Unfortunately the deployment process was irreversible making the product single use. Moreover, the Hövding would deploy in a crash regardless of if you hit your head or not. While Hövding offered a crash replacement at a discount, this would have created large amounts of e-waste.
The Hövding helmet next to various commuter helmets
However, the design is not perfect. During the product’s use there were 27 reports of the device not deploying — particularly when struck by a vehicle. More reports exist of the device deploying erroneously when it detected, for example, bending over too quickly as a crash. It could not meet the US safety standards for helmets and therefore it was never allowed to be sold in the US.

Hövding argued that it was a helmet equivalent and should be exempt from those standards to no avail. Studies suggested that it was not able to properly protect against sharp corner impacts similar to the anvil tests used by the United States as the airbag would bottom out in such circumstances.

Ultimate Hövding’s failure as a business came down to software. As the project continued, scope broadened and the device’s firmware grew more complicated. New features were introduced including USB-C charging, OTA updates and phone crash notifications. However, this also appears to have resulted in a firmware bug that caused some units to not deploy, and were potentially sold this way with Hövding’s knowledge. This led the Swedish Consumer Agency to temporarily ban the product along with a stop-use and recall on all Hövding 3s. While the ban was lifted by a judge, the damage was done, consumer trust in Hövding was gone and they filed for bankruptcy in 2023. Unfortunately, this left the existing customers of the Hövding high and dry, without a working app, update method, or crash replacement program.

Airbags are complex and amazing pieces of safety equipment, and while this is the first bike airbag recall we have covered, it’s not the first airbag recall we have seen.

youtube.com/embed/HS9Q6D992M4?…

hackaday.com/2025/05/13/you-wo…

[Thomas Scherrer] has an odd piece of vintage test equipment in his most recent video. An AIM LCR Databridge 401. What’s a databridge? We assume it was a play on words of an LCR bridge with a digital output. Maybe. You can see a teardown in the video below.

Inside the box is a vintage 1983 Z80 CPU with all the extra pieces. The device autoranges, at least it seems as much. However, the unit locks up when you use the Bias button, but it isn’t clear if that’s a fault or if it is just waiting for something to happen.

The teardown starts at about six minutes in. Inside is a very large PCB. The board is soldermasked and looks good, but the traces are clearly set by a not-so-steady hand. In addition to AIM, Racal Dana sold this device as a model 9341. The service manual for that unit is floating around, although we weren’t able to download it due to a server issue. A search could probably turn up copies.

From the service manual, it looks like the CPU doesn’t do much of the actual measurement work. There are plenty of other chips and a fast crystal that work together and feed an analog-to-digital converter.

LCR meters used to be somewhat exotic, but are now fairly common. It used to be common to measure reactance using a grid dip meter.

youtube.com/embed/9K21wGGuFz8?…

hackaday.com/2025/05/13/whats-…

Garage doors! You could get out of your vehicle and open and close them yourself, but that kinda sucks. It’s much preferable to have them raise and lower courtesy some mechanical contrivance, and even better if that is controlled via the web. [Juan Schiavoni] shows us how to achieve the latter with their latest project.

The web-based controller is based around a Xiao ESP32 microcontroller board, chosen for its baked-in WiFi connectivity. It’s set up to host its own web interface which you can login to with a password via a browser. If you have the correct authorization, you can then hit a button to open or close the garage door.

To interface the ESP32 with the garage door itself, [Juan] went the easy route. To trigger opening or closing the door, the ESP32 merely flicks an IO pin to toggle a transistor, which is hooked up to the button of the original garage door opener. Meanwhile, the ESP32 is also hooked up with a magnetic switch which is activated by a magnet on the garage door itself. This serves as a crude indicator as to the current status of the door—whether currently open or closed. This is crucial to ensure the indicated door status shown in the web app remains synced with the status of the door in reality.

It’s a simple project, and reminds us that we needn’t always do things the hard way. [Juan] could have figured out how to hook the ESP32 up with some radio chips to emulate the original garage door opener, but why bother? hooking it up to the original remote was far easier and more reliable anyway. We’ve seen a good few garage door hacks over the years; if you’ve got your own unique take on this classic, don’t hesitate to notify the tipsline!

[Thanks to Stillman for the tip!]

hackaday.com/2025/05/13/a-web-…

[Project 326] is following up on his thermal microscope with a thermal telescope or, more precisely, a thermal monocular. In fact, many of the components and lenses in this project are the same as those in the microscope, so you could cannibalize that project for this one, if you wanted.

During the microscope project, [Project 326] noted that first-surface mirrors reflect IR as well as visible light. The plan was to make a Newtonian telescope for IR instead of light. While the resulting telescope worked with visible light, the diffraction limit prevented it from working for its intended purpose.

Shifting to a Keplerian telescope design was more productive. One of the microscope lenses got a new purpose, and he sourced new objective lenses that were relatively inexpensive.

The lens sets allow for 5X and 10X magnification. The lenses do reduce the sensitivity, but the telescope did work quite well. If you consider that the lenses are made to focus cutting lasers and not meant for use in imaging devices, it seems like an excellent result.

Missed the thermal microscope? Better catch up! Do you need a thermal camera? Ask a duck.

youtube.com/embed/n3M8A8uNT9M?…

hackaday.com/2025/05/13/therma…

We’ve seen quite a few delta 3D printers, and a good number of toolchanging printers, but not many that combine both worlds. Fortunately, [Ben Wolpert]’s project fills that gap with a particularly elegant and precise delta toolchanger.

The hotend uses three steel spheres and triangular brackets to make a repeatable three-point contact with the toolhead frame, and three pairs of corresponding magnets hold it in place. The magnets aren’t in contact, and the three magnets on the toolhead are mounted in a rotating ring. A motorized pulley on the printer’s frame drives a cable which runs through a flexible guide and around the rotating ring.

The whole setup is very reminiscent of the Jubilee toolchanging system, except that in this case, the pulley rotates the ring of magnets rather than a mechanical lock. By rotating the ring of magnets about 60 degrees, the system can move the pairs of magnets far enough apart to remove the hotend without much force.

The rest of the toolchanging system is fairly straightforward: each tool’s parking area consists of two metal posts which slot through corresponding holes in the hotend’s frame, and the motherboard uses some RepRapFirmware macros to coordinate the tool changes. The only downside is that a cooling fan for the hotend still hadn’t been implemented, but a desk fan seemed to work well enough in [Ben]’s tests. The files for the necessary hardware and software customizations are all available on GitHub.

We’ve only seen a similar toolchanging system for a delta printer once before, but we have seen a great variety of toolchangers on the more common Cartesian systems. Don’t like the idea of changing extruders? We’ve also seen a multi-extruder printer that completely eliminates tool switching.

youtube.com/embed/GrMim3Twws8?…

hackaday.com/2025/05/13/a-tool…

You often hear that Bill Gates once proclaimed, “640 kB is enough for anyone,” but, apparently, that’s a myth — he never said it. On the other hand, early PCs did have that limit, and, at first, that limit was mostly theoretical.

After all, earlier computers often topped out at 64 kB or less, or — if you had some fancy bank switching — maybe 128 kB. It was hard to justify the cost, though. Before long, though, 640 kB became a limit, and the industry found workarounds. Mercifully, the need for these eventually evaporated, but for a number of years, they were a part of configuring and using a PC.

Why 640 kB?

The original IBM PC sported an Intel 8088 processor. This was essentially an 8086 16-bit processor with an 8-bit external data bus. This allowed for cheaper computers, but both chips had a strange memory addressing scheme and could access up to 1 MB of memory.

In fact, the 8088 instructions could only address 64 kB, very much like the old 8080 and Z80 computers. What made things different is that they included a number of 16-bit segment registers. This was almost like bank switching. The 1 MB space could be used 64 kB at a time on 16-byte boundaries.

So a full address was a 16-bit segment and a 16-bit offset. Segment 0x600D, offset 0xF00D would be written as 600D:F00D. Because each segment started 16-bytes after the previous one, 0000:0020, 0001:0010, and 0002:0000 were all the same memory location. Confused? Yeah, you aren’t the only one.

What happened to the other 360 kB? Well, even if Gates didn’t say that 640 kB was enough, someone at IBM must have. The PC used addresses above 640 kB for things like the video adapter, the BIOS ROM, and even just empty areas for future hardware. MSDOS was set up with this in mind, too.
The 640K user area, 384K system area, and almost 64K of HMA in a PC (80286 or above)
For example, your video adapter used memory above 640 kB (exactly where depended on the video card type, which was a pain). A network card might have some ROM up there — the BIOS would scan the upper memory looking for ROMs on system boot up. So while the user couldn’t get at that memory, there was a lot going on there.

What Were People Doing?

Speaking of MSDOS, you can only run one program at a time in MSDOS, right? So what were people doing that required more than 640 kB? You weren’t playing video. Or high-quality audio.

There were a few specialized systems that could run multiple DOS programs in text-based windows, DesqView and TopView, to name two. But those were relatively rare. GEM was an early Windows-like GUI, too, but again, not that common on early PCs.
Sidekick activated
However, remember that MSDOS didn’t do a lot right out of the box. Suppose you had a new-fangled network card and a laser printer. (You must have been rich back then.) Those devices probably had little programs to load that would act like device drivers — there weren’t any in MSDOS by default.

The “driver” would be a regular program that would move part of itself to the top of memory, patch MSDOS to tell it the top of memory was now less than it was before, and exit. So a 40 kB network driver would eat up from 600 kB to 640 kB, and MSDOS would suddenly think it was on a machine with 600 kB of RAM instead of 640. If you had a few of these things, it quickly added up.

TSRs

Then came Sidekick and similar programs. The drivers were really a special case of a “terminate and stay resident” or TSR program. People figured out that you could load little utility programs the same way. You simply had to hook something like a timer interrupt or keyboard interrupt so that your program could run periodically or when the user hit some keys.

Sidekick might not have been the first example of this, but it was certainly the first one to become massively successful and helped put Borland on the map, the people who were mostly famous or would be famous for Turbo Pascal and Turbo C.

Of course, these programs were like interrupt handlers. They had to save everything, do their work, and then put everything back or else they’d crash the computer. Sidekick would watch for an odd key stroke, like Ctrl+Alt or both shift keys, and then pop up a menu offering a calculator, a notepad, a calendar, an ASCII table, and a phone dialer for your modem.

Sidekick caught on and spawned many similar programs. You might want a half dozen or more resident programs in your daily MSDOS session. But if you loaded up a few TSRs and a few drivers, you were quickly running out of memory. Something had to be done!

EMS

EMS board were “expanded memory.” There actually were a few flavors, not all of which caught on. However, a standard developed by Intel, Microsoft, and Lotus did become popular.
The Captain286 EMS board used SIMs, unlike most of its contemporaries
In a nutshell, EMS reserved — at least at first — a 64 kB block of memory above the 64 kB line and then contained a lot of memory that you could switch in and out of that 64 kB block. In fact, you generally switched 16 kB at a time, so you could access four different EMS 16 kB pages at any one time.

This was complex and slow. The boards usually had some way to move the block address, so you had to take that into account. Later boards would offer even more than 64 kB available in upper memory or even allow for dynamic mapping. Some later boards even had sets of banking registers so you could context switch if your software was smart enough to do so.

EMS was important because even an 8088-based PC could use it with the right board. But, of course, newer computers like the IBM AT used 80286 processors and, later, even newer processors were common. While they could use EMS, they also had more capabilities.

Next Time

If you had a newer computer with an 80286 or better, you could directly access more memory. Did you notice the high memory area (HMA) in the memory map? That’s only for newer computers. But, either way, it was not fully supported by MSDOS.

Many boards for the newer computers could provide both EMS and just regular memory. The real issue was how could you use the “regular memory” above the 1MB line? I’ll tell you more about that next time, including a trick independently discovered by a number of hackers at about the same time.

hackaday.com/2025/05/13/rememb…

[ApprehensiveHawk6178] reports that they have made the world’s longest range LED flashlight! While technically “handheld”, you’re gonna need both hands for this monster. According to the creator, it draws 1.2 kW (20 A @ 60 V) to deliver 100,000 lumens and approximately 20,000,000 candelas.

This spotlight is made from 48 white LEDs, wired in 16S3P configuration, and is powered by a similarly beefy 20S2P battery pack. That 1.2 kW power draw generates a lot of heat which is dissipated with an array of heat sinks and five cooling fans. Total cost was in the order of $2,000 USD.

It can be controlled via Bluetooth, and can run from its batteries for 30 minutes at full power. If you’d like to geek out over the specs click-through and read the discussion, a lot of technical detail is given and there are a bunch of photos showing the internals and assembly.

We’ve seen high-output LED lights with water cooling in the past, and wonder if that might be the next step for this particular build.

Thanks to [kms] for the tip.

hackaday.com/2025/05/13/the-wo…

The life of a Hackaday writer often involves hours spent at a computer searching for all the cool hacks you love, but its perks come in not being tied to an office, and in periodically traveling around our community’s spaces. This suits me perfectly, because as well as having an all-consuming interest in technology, I am a lifelong rail enthusiast. I am rarely without an Interrail pass, and for me Europe’s railways serve as both comfortable mobile office space and a relatively stress free way to cover distance compared to the hell of security theatre at the airport. Along the way I find myself looking at the infrastructure which passes my window, and I have become increasingly fascinated with the power systems behind electric railways. There are so many different voltage and distribution standards as you cross the continent, so just how are they all accommodated? This deserves a closer look.

So Many Different Ways To Power A Train

Diesel trains like this one are for the dinosaurs.
In Europe where this is being written, the majority of main line railways run on electric power, as do many subsidiary routes. It’s not universal, for example my stomping ground in north Oxfordshire is still served by diesel trains, but in most cases if you take a long train journey it will be powered by electricity. This is a trend reflected in many other countries with large railway networks, except sadly for the United States, which has electrified only a small proportion of its huge network.

Of those many distribution standards there are two main groups when it comes to trackside, those with an overhead wire from which the train takes its power by a pantograph on its roof, or those with a third rail on which the train uses a sliding contact shoe. It’s more usual to see third rails in use on suburban and metro services, but if you take a trip to Southern England you’ll find third rail electric long distance express services. There are even four-rail systems such as the London Underground, where the fourth rail serves as an insulated return conductor to prevent electrolytic corrosion in the cast-iron tunnel linings.
These tracks in the south of England each have a 750 VDC third rail. Lamberhurst, CC BY-SA 4.0.
As if that wasn’t enough, we come to the different voltage standards. Those southern English trains run on 750 V DC while their overhead wire equivalents use 25 kV AC at 50Hz, but while Northern France also has 25 kV AC, the south of the country shares the same 3 kV DC standard as Belgium, and the Netherlands uses 1.5 kV DC. More unexpected still is Germany and most of Scandinavia, which uses 15 kV AC at only 16.7 Hz. This can have an effect on the trains themselves, for example Dutch trains are much slower than those of their neighbours because their lower voltage gives them less available energy for the same current.
This Dutch locomotive is on its 1.5 kV home turf, but it’s hauling an international service headed for the change to 3 kV DC in Belgium.
In general these different standards came about partly on national lines, but also their adoption depends upon how late the country in question electrified their network. For example aside from that southern third-rail network and a few individual lines elsewhere, the UK trains remained largely steam-powered until the early 1960s. Thus its electrification scheme used the most advanced option, 25 kV 50 Hz overhead wire. By contrast countries such as Belgium and the Netherlands had committed to their DC electrification schemes early in the 20th century and had too large an installed base to change course. That’s not to say that it’s impossible to upgrade though, as for example in India where 25 kV AC electrification has proceeded since the late 1950s and has included the upgrade of an earlier 1.5 kV DC system.

A particularly fascinating consequence of this comes at the moment when trains cross between different networks. Sometimes this is done in a station when the train isn’t moving, for example at Ashford in the UK when high-speed services switch between 25 kV AC overhead wire and 750 V DC third rail, and in other cases it happens on the move through having the differing voltages separated by a neutral section of overhead cable. Sadly I have never manged to travel to the Belgian border and witness this happening. Modern electric locomotives are often equipped to run from multiple voltages and take such changes in their stride.

Power To The People Movers

The 4-rail 750VDC system on the London Underground.
Finally, all this rail electrification infrastructure needs to get its power from somewhere. In the early days of railway electrification this would inevitably been a dedicated railway owned power station, but now it is more likely to involve a grid connection and some form of rectifier in the case of DC lines. The exception to this are systems with differing AC frequencies from their grid such as the German network, which has an entirely separate power generation and high voltage distribution system.

So that was the accumulated observations of a wandering Hackaday scribe, from the comfort of her air-conditioned express train. If I had to name my favourite of all the networks I have mentioned it would be the London Underground, perhaps because the warm and familiar embrace of an Edwardian deep tube line on a cold evening is an evocative feeling for me. When you next get the chance to ride a train keep an eye out for the power infrastructure, and may the experience be as satisfying and comfortable as it so often is for me.

Header image: SPSmiler, Public domain.

hackaday.com/2025/05/13/tracks…

Huawei Technologies e UBTech Robotics hanno unito le forze per accelerare l’impiego di robot umanoidi nelle fabbriche e nelle case cinesi. I giganti della tecnologia hanno firmato l’accordo lunedì a Shenzhen, il polo dell’innovazione meridionale dove hanno sede entrambe le aziende.

I partner intendono trasformare gli sviluppi di laboratorio in un prodotto di massa che troverà applicazione sia nell’industria che nella vita di tutti i giorni. Nell’ambito della cooperazione, le aziende creeranno fabbriche “intelligenti” in cui lavoreranno robot umanoidi. Contemporaneamente, gli ingegneri lavoreranno alla progettazione robot di servizio per la casa, sia su due gambe che su una piattaforma con ruote.

Cosa si nasconde dietro il lato oscuro della tecnologia?

Con il supporto di Huawei, UBTech costruirà un centro di innovazione in cui si concentrerà sullo sviluppo dell'”intelligenza incarnata”. Questo speciale tipo di intelligenza artificiale consente di combinare le funzioni cognitive con il corpo fisico, consentendo ai robot di interagire in modo più efficace con il mondo che li circonda e di comprenderlo meglio.

Gli sviluppi di Huawei costituiranno la base tecnologica della partnership. L’azienda fornirà i processori Ascend e Kunpeng per i sistemi di intelligenza artificiale e utilizzerà anche le sue piattaforme cloud e i suoi modelli linguistici di grandi dimensioni. Tutte queste tecnologie contribuiranno a creare una nuova generazione di robot capaci di risolvere complessi problemi intellettuali.

Come sottolineato dai rappresentanti di entrambe le aziende, l’alleanza consentirà a Huawei di unire la propria esperienza nell’intelligenza artificiale e nel cloud computing con gli sviluppi specializzati di UBTech, leader riconosciuto nella creazione di robot di servizio “intelligenti“.

Il mercato ha reagito positivamente alla notizia della collaborazione: le azioni di UBTech sono aumentate di quasi il 10% il giorno dell’annuncio. Anche l’indice Hang Seng ha registrato la sua migliore performance dall’inizio di marzo, registrando un aumento del 3%. Gli analisti sostengono che questo ottimismo è dovuto in gran parte al miglioramento delle relazioni commerciali tra Stati Uniti e Cina.

La nuova partnership rafforzerà la posizione di Huawei nel mercato cinese della robotica in rapida crescita. La società di consulenza LeadeRobot prevede che il mercato nazionale dei robot potrebbe raddoppiare quest’anno, raggiungendo i 5,3 miliardi di yuan (732 milioni di dollari).

I robot umanoidi saranno uno dei principali motori di questa crescita. Secondo la società di ricerca TrendForce, sei su undici produttori cinesi di robot umanoidi prevedono di produrne più di mille unità ciascuno entro il 2025.

L'articolo Robot Umanoidi in Ogni Casa: Huawei e UBTech Lanciano la Nuova Rivoluzione proviene da il blog della sicurezza informatica.