Chemical warfare detection was never supposed to be a hobbyist project. Yet here we are: Air Quality Guardian by [debdoot], the self-proclaimed world’s first open source chemical threat detection system, packs lab-grade sensing into an ESP32-based build for less than $100. Compare that with $10,000+ black-box hardware and you see why this is worth trying at home.

It’s nothing like your air monitor from IKEA. Unlike those, or the usual indoor monitors, this device goes full counter-surveillance. It sniffs for organophosphates, carbamates, even stealth low-VOC agents designed to trick consumer sensors. It flags when incense or frying oil is used to mask something nastier. It does so by analysing raw gas sensor resistance – ohm-level data most devices throw away – combined with temporal spikes, humidity correlations, and a database of 35+ signatures.

This technology – once only available in expensive military labs – can be useful in many situations: journalists or whistleblowers can record signs of chemical harassment, safehouses can notice when their air changes in suspicious ways, and researchers can test strange environmental events. Of course, you must take care with calibration, and sometimes the system may give a false alarm. Still, just having such a detector visible already makes attacks less likely.

Featured Image by Arjun Lama on Unsplash

hackaday.com/2025/09/16/seriou…

Background

RevengeHotels, also known as TA558, is a threat group that has been active since 2015, stealing credit card data from hotel guests and travelers. RevengeHotels’ modus operandi involves sending emails with phishing links which redirect victims to websites mimicking document storage. These sites, in turn, download script files to ultimately infect the targeted machines. The final payloads consist of various remote access Trojan (RAT) implants, which enable the threat actor to issue commands for controlling compromised systems, stealing sensitive data, and maintaining persistence, among other malicious activities.

In previous campaigns, the group was observed using malicious emails with Word, Excel, or PDF documents attached. Some of them exploited the CVE-2017-0199 vulnerability, loading Visual Basic Scripting (VBS), or PowerShell scripts to install customized versions of different RAT families, such as RevengeRAT, NanoCoreRAT, NjRAT, 888 RAT, and custom malware named ProCC. These campaigns affected hotels in multiple countries across Latin America, including Brazil, Argentina, Chile, and Mexico, but also hotel front-desks globally, particularly in Russia, Belarus, Turkey, and so on.

Later, this threat group expanded its arsenal by adding XWorm, a RAT with commands for control, data theft, and persistence, amongst other things. While investigating the campaign that distributed XWorm, we identified high-confidence indicators that RevengeHotels also used the RAT tool named DesckVBRAT in their operations.

In the summer of 2025, we observed new campaigns targeting the same sector and featuring increasingly sophisticated implants and tools. The threat actors continue to employ phishing emails with invoice themes to deliver VenomRAT implants via JavaScript loaders and PowerShell downloaders. A significant portion of the initial infector and downloader code in this campaign appears to be generated by large language model (LLM) agents. This suggests that the threat actor is now leveraging AI to evolve its capabilities, a trend also reported among other cybercriminal groups.

The primary targets of these campaigns are Brazilian hotels, although we have also observed attacks directed at Spanish-speaking markets. Through a comprehensive analysis of the attack patterns and the threat actor’s modus operandi, we have established with high confidence that the responsible actor is indeed RevengeHotels. The consistency of the tactics, techniques, and procedures (TTPs) employed in these attacks aligns with the known behavior of RevengeHotels. The infrastructure used for payload delivery relies on legitimate hosting services, often utilizing Portuguese-themed domain names.

Initial infection

The primary attack vector employed by RevengeHotels is phishing emails with invoicing themes, which urge the recipient to settle overdue payments. These emails are specifically targeted at email addresses associated with hotel reservations. While Portuguese is a common language used in these phishing emails, we have also discovered instances of Spanish-language phishing emails, indicating that the threat actor’s scope extends beyond Brazilian hospitality establishments and may include targets in Spanish-speaking countries or regions.

Example of a phishing email about a booking confirmation

In recent instances of these attacks, the themes have shifted from hotel reservations to fake job applications, where attackers sent résumés in an attempt to exploit potential job opportunities at the targeted hotels.

Malicious implant

The malicious websites, which change with each email, download a WScript JS file upon being visited, triggering the infection process. The filename of the JS file changes with every request. In the case at hand, we analyzed Fat146571.js (fbadfff7b61d820e3632a2f464079e8c), which follows the format Fat\{NUMBER\}.js, where “Fat” is the beginning of the Portuguese word “fatura”, meaning “invoice”.

The script appears to be generated by a large language model (LLM), as evidenced by its heavily commented code and a format similar to those produced by this type of technology. The primary function of the script is to load subsequent scripts that facilitate the infection.

A significant portion of the new generation of initial infectors created by RevengeHotels contains code that seems to have been generated by AI. These LLM-generated code segments can be distinguished from the original malicious code by several characteristics, including:

• The cleanliness and organization of the code
• Placeholders, which allow the threat actor to insert their own variables or content
• Detailed comments that accompany almost every action within the code
• A notable lack of obfuscation, which sets these LLM-generated sections apart from the rest of the code

AI generated code in a malicious implant as compared to custom code

Second loading step

Upon execution, the loader script, Fat\{NUMBER\}.js, decodes an obfuscated and encoded buffer, which serves as the next step in loading the remaining malicious implants. This buffer is then saved to a PowerShell (PS1) file named SGDoHBZQWpLKXCAoTHXdBGlnQJLZCGBOVGLH_{TIMESTAMP}.ps1 (d5f241dee73cffe51897c15f36b713cc), where “\{TIMESTAMP\}” is a generated number based on the current execution date and time. This ensures that the filename changes with each infection and is not persistent. Once the script is saved, it is executed three times, after which the loader script exits.

The script SGDoHBZQWpLKXCAoTHXdBGlnQJLZCGBOVGLH_{TIMESTAMP}.ps1 runs a PowerShell command with Base64-encoded code. This code retrieves the cargajecerrr.txt (b1a5dc66f40a38d807ec8350ae89d1e4) file from a remote malicious server and invokes it as PowerShell.

This downloader, which is lightly obfuscated, is responsible for fetching the remaining files from the malicious server and loading them. Both downloaded files are Base64-encoded and have descriptive names: venumentrada.txt (607f64b56bb3b94ee0009471f1fe9a3c), which can be interpreted as “VenomRAT entry point”, and runpe.txt (dbf5afa377e3e761622e5f21af1f09e6), which is named after a malicious tool for in-memory execution. The first file, venumentrada.txt, is a heavily obfuscated loader (MD5 of the decoded file: 91454a68ca3a6ce7cb30c9264a88c0dc) that ensures the second file, a VenomRAT implant (3ac65326f598ee9930031c17ce158d3d), is correctly executed in memory.

The malicious code also exhibits characteristics consistent with generation by an AI interface, including a coherent code structure, detailed commenting, and explicit variable naming. Moreover, it differs significantly from previous samples, which had a structurally different, more obfuscated nature and lacked comments.

Exploring VenomRAT

VenomRAT, an evolution of the open-source QuasarRAT, was first discovered in mid-2020 and is offered on the dark web, with a lifetime license costing up to $650. Although the source code of VenomRAT was leaked, it is still being sold and used by threat actors.

VenomRAT packages on the dark web

According to the vendor’s website, VenomRAT offers a range of capabilities that build upon and expand those of QuasarRAT, including HVNC hidden desktop, file grabber and stealer, reverse proxy, and UAC exploit, amongst others.

As with other RATs, VenomRAT clients are generated with custom configurations. The configuration data within the implant (similar to QuasarRAT) is encrypted using AES and PKCS #5 v2.0, with two keys employed: one for decrypting the data and another for verifying its authenticity using HMAC-SHA256. Throughout the malware code, different sets of keys and initialization vectors are used sporadically, but they consistently implement the same AES algorithm.

Anti-kill

It is notable that VenomRAT features an anti-kill protection mechanism, which can be enabled by the threat actor upon execution. Initially, the RAT calls a function named EnableProtection, which retrieves the security descriptor of the malicious process and modifies the Discretionary Access Control List (DACL) to remove any permissions that could hinder the RAT’s proper functioning or shorten its lifespan on the system.

The second component of this anti-kill measure involves a thread that runs a continuous loop, checking the list of running processes every 50 milliseconds. The loop specifically targets those processes commonly used by security analysts and system administrators to monitor host activity or analyze .NET binaries, among other tasks. If the RAT detects any of these processes, it will terminate them without prompting the user.

List of processes that the malware looks for to terminate

The anti-kill measure also involves persistence, which is achieved through two mechanisms written into a VBS file generated and executed by VenomRAT. These mechanisms ensure the malware’s continued presence on the system:

1. Windows Registry: The script creates a new key under HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, pointing to the executable path. This allows the malware to persist across user sessions.
2. Process: The script runs a loop that checks for the presence of the malware process in the process list. If it is not found, the script executes the malware again.

If the user who executed the malware has administrator privileges, the malware takes additional steps to ensure its persistence. It sets the SeDebugPrivilege token, enabling it to use the RtlSetProcessIsCritical function to mark itself as a critical system process. This makes the process “essential” to the system, allowing it to persist even when termination is attempted. However, when the administrator logs off or the computer is about to shut down, VenomRAT removes its critical mark to permit the system to proceed with these actions.

As a final measure to maintain persistence, the RAT calls the SetThreadExecutionState function with a set of flags that forces the display to remain on and the system to stay in a working state. This prevents the system from entering sleep mode.

Separately from the anti-kill methods, the malware also includes a protection mechanism against Windows Defender. In this case, the RAT actively searches for MSASCui.exe in the process list and terminates it. The malware then modifies the task scheduler and registry to disable Windows Defender globally, along with its various features.

Networking

VenomRAT employs a custom packet building and serialization mechanism for its networking connection to the C2 server. Each packet is tailored to a specific action taken by the RAT, with a dedicated packet handler for each action. The packets transmitted to the C2 server undergo a multi-step process:

1. The packet is first serialized to prepare it for transmission.
2. The serialized packet is then compressed using LZMA compression to reduce its size.
3. The compressed packet is encrypted using AES-128 encryption, utilizing the same key and authentication key mentioned earlier.

Upon receiving packets from the C2 server, VenomRAT reverses this process to decrypt and extract the contents.

Additionally, VenomRAT implements tunneling by installing ngrok on the infected computer. The C2 server specifies the token, protocol, and port for the tunnel, which are sent in the serialized packet. This allows remote control services like RDP and VNC to operate through the tunnel and to be exposed to the internet.

USB spreading

VenomRAT also possesses the capability to spread via USB drives. To achieve this, it scans drive letters from C to M and checks if each drive is removable. If a removable drive is detected, the RAT copies itself to all available drives under the name My Pictures.exe.

Extra stealth steps

In addition to copying itself to another directory and changing its executable name, VenomRAT employs several stealth techniques that distinguish it from QuasarRAT. Two notable examples include:

• Deletion of Zone.Identifier streams: VenomRAT deletes the Mark of the Web streams, which contain metadata about the URL from which the executable was downloaded. By removing this information, the RAT can evade detection by security tools like Windows Defender and avoid being quarantined, while also eliminating its digital footprint.
• Clearing Windows event logs: The malware clears all Windows event logs on the compromised system, effectively creating a “clean slate” for its operations. This action ensures that any events generated during the RAT’s execution are erased, making it more challenging for security analysts to detect and track its activities.

Victimology

The primary targets of RevengeHotels attacks continue to be hotels and front desks, with a focus on establishments located in Brazil. However, the threat actors have been adapting their tactics, and phishing emails are now being sent in languages other than Portuguese. Specifically, we’ve observed that emails in Spanish are being used to target hotels and tourism companies in Spanish-speaking countries, indicating a potential expansion of the threat actor’s scope. Note that among earlier victims of this threat are such Spanish-speaking countries as Argentina, Bolivia, Chile, Costa Rica, Mexico, and Spain.

It is important to point out that previously reported campaigns have mentioned the threat actor targeting hotel front desks globally, particularly in Russia, Belarus, and Turkey, although no such activity has yet been detected during the latest RevengeHotels campaign.

Conclusions

RevengeHotels has significantly enhanced its capabilities, developing new tactics to target the hospitality and tourism sectors. With the assistance of LLM agents, the group has been able to generate and modify their phishing lures, expanding their attacks to new regions. The websites used for these attacks are constantly rotating, and the initial payloads are continually changing, but the ultimate objective remains the same: to deploy a remote access Trojan (RAT). In this case, the RAT in question is VenomRAT, a privately developed variant of the open-source QuasarRAT.

Kaspersky products detect these threats as HEUR:Trojan-Downloader.Script.Agent.gen, HEUR:Trojan.Win32.Generic, HEUR:Trojan.MSIL.Agent.gen, Trojan-Downloader.PowerShell.Agent.ady, Trojan.PowerShell.Agent.aqx.

Indicators of compromise

fbadfff7b61d820e3632a2f464079e8c Fat146571.js
d5f241dee73cffe51897c15f36b713cc SGDoHBZQWpLKXCAoTHXdBGlnQJLZCGBOVGLH_{TIMESTAMP}.ps1
1077ea936033ee9e9bf444dafb55867c cargajecerrr.txt
b1a5dc66f40a38d807ec8350ae89d1e4 cargajecerrr.txt
dbf5afa377e3e761622e5f21af1f09e6 runpe.txt
607f64b56bb3b94ee0009471f1fe9a3c venumentrada.txt
3ac65326f598ee9930031c17ce158d3d deobfuscated runpe.txt
91454a68ca3a6ce7cb30c9264a88c0dc deobfuscated venumentrada.txt

securelist.com/revengehotels-a…

Un ricercatore di sicurezza ha recentemente sviluppato unexploit 0-click per il demone kernel SMB3 di Linux (ksmbd), sfruttando due vulnerabilità specifiche. Questo exploit consente l’esecuzione di codice remoto (RCE) in modalità kernel senza alcuna interazione da parte dell’utente, rappresentando una minaccia significativa per i sistemi vulnerabili.

Il primo bug, identificato come CVE-2023-52440, riguarda un overflow SLUB nel metodo ksmbd_decode_ntlmssp_auth_blob(). Questo errore si verifica durante l’autenticazione NTLM, quando la lunghezza della chiave di sessione (sess_key_len) è controllata dall’utente.

Impostando un valore eccessivo per questa lunghezza, è possibile sovrascrivere porzioni di memoria adiacenti, consentendo l’esecuzione di codice arbitrario. L’exploit è stato testato su una versione 6.1.45 di Linux, con tutte le mitigazioni standard attive, come SMAP, SMEP, KPTI, KASLR e altre.

Il secondo bug, CVE-2023-4130, è una vulnerabilità di lettura fuori dai limiti (OOB read) nel metodo smb2_set_ea(). Questa falla consente a un utente autenticato di leggere dati sensibili dalla memoria kernel, sfruttando la gestione errata degli attributi estesi (xattr) nei file condivisi tramite SMB3. La combinazione di queste due vulnerabilità permette di ottenere un controllo completo sul sistema bersaglio.

L’exploit sviluppato utilizza una tecnica di “heap spraying” per manipolare la memoria heap, creando condizioni favorevoli per l’esecuzione del codice maligno. Una volta ottenuto l’accesso alla memoria kernel, viene eseguita una catena di ritorno (ROP) per eseguire un reverse shell, ottenendo così il controllo remoto del sistema. Questo processo avviene senza alcuna interazione da parte dell’utente, rendendo l’attacco particolarmente insidioso.

Il ricercatore ha testato l’exploit su un sistema con un singolo core x86_64, ma ha osservato che su sistemi multi-core l’affidabilità dell’exploit diminuisce a causa della gestione per CPU delle allocazioni di memoria. Inoltre, l’exploit può causare instabilità nel sistema bersaglio, richiedendo interventi per ripristinare la stabilità dopo l’esecuzione dell’attacco.

Per mitigare questa vulnerabilità, è consigliabile aggiornare il sistema alla versione più recente del kernel Linux, in quanto le versioni successive alla 6.1.45 hanno corretto entrambe le vulnerabilità. Inoltre, è importante configurare correttamente i permessi di accesso alle condivisioni SMB, limitando l’accesso in scrittura solo agli utenti autorizzati. Disabilitare l’esposizione di ksmbd su Internet e monitorare attivamente le attività sospette possono contribuire a ridurre il rischio di sfruttamento di questa vulnerabilità.

Questo caso evidenzia l’importanza di mantenere aggiornati i sistemi e di applicare le best practice di sicurezza per prevenire attacchi sofisticati come questo. La comunità di ricerca sulla sicurezza continua a monitorare e analizzare tali vulnerabilità per migliorare la protezione dei sistemi informatici.

L'articolo Vulnerabilità critica in Linux: exploit 0-click N-Days permette l’esecuzione di codice remoto proviene da il blog della sicurezza informatica.

I sistemi di intelligenza artificiale sono sempre più sotto attacco. Il dato emerge da “Trend Micro State of AI Security Report, 1H 2025“. L’azienda esorta gli addetti ai lavori e i leader della comunità IT a seguire le migliori pratiche per l’implementazione di stack applicativi IA sicuri, al fine di evitare furti di dati, avvelenamento dei modelli, richieste di estorsioni e altri attacchi.

“L’intelligenza artificiale potrebbe essere l’opportunità del secolo per le aziende di tutto il mondo, ma le organizzazioni che non prevedono adeguate precauzioni potrebbero finire per sperimentare più danni che benefici. Come rivela la nostra ultima ricerca, sono troppe le infrastrutture di intelligenza artificiale che vengono costruite con componenti non protetti o privi di patch, dando il via libera ad attività cybercriminali”. Afferma Salvatore Marcis, Country Manager di Trend Micro Italia.

Di seguito, le principali sfide alla sicurezza dell’IA identificate dalla ricerca Trend Micro:

1. Vulnerabilità/exploit in componenti critici: Le organizzazioni che sviluppano, distribuiscono e utilizzano applicazioni IA sfruttano diversi componenti e framework software specializzati, che potrebbero contenere vulnerabilità riscontrabili nei normali software. Lo studio rivela vulnerabilità ed exploit zero-day nei componenti principali, tra cui ChromaDB, Redis, NVIDIA Triton e NVIDIA Container Toolkit
2. Esposizione accidentale a internet: Le vulnerabilità sono spesso il risultato di tempistiche di sviluppo e implementazione affrettate. Questo vale anche per i sistemi di intelligenza artificiale, che possono essere accidentalmente esposti a Internet, dove vengono analizzati dai cybercriminali. Trend ha rilevato oltre 200 server ChromaDB, 2.000 server Redis e oltre 10.000 server Ollama esposti a Internet senza autenticazione
3. Vulnerabilità in componenti open-source: Molti framework e piattaforme di intelligenza artificiale utilizzano librerie software open source per fornire funzionalità comuni. Tuttavia, i componenti open source contengono spesso vulnerabilità che finiscono per insinuarsi nei sistemi di produzione, dove sono difficili da rilevare. Nel recente Pwn2Own di Berlino, che includeva la nuova categoria AI, i ricercatori hanno scoperto un exploit per il database vettoriale Redis, che derivava da un componente Lua obsoleto
4. Debolezza a livello container: Gran parte dell’infrastruttura IA viene eseguita su container, questo significa che è esposta alle stesse vulnerabilità e minacce di sicurezza che influiscono sugli ambienti cloud e container. Come sottolineato nello studio, i ricercatori di Pwn2Own sono stati in grado di scoprire un exploit di NVIDIA Container Toolkit. Le organizzazioni, per mitigare i rischi, dovrebbero “sanificare” i dati in input e monitorare il comportamento in fase di esecuzione

La comunità degli sviluppatori e le aziende devono bilanciare al meglio la sicurezza con il time-to-market. Misure concrete potrebbero includere:

• Una migliore gestione delle patch e scansione delle vulnerabilità
• Il mantenimento di un inventario di tutti i componenti software, comprese librerie e sottosistemi di terze parti
• L’adozione di best practice per la sicurezza della gestione dei container, incluso l’utilizzo di immagini di base minime e strumenti di sicurezza a runtime
• Controlli di configurazione per garantire che i componenti dell’infrastruttura IA, come i server, non siano esposti a Internet

L'articolo Allarme sicurezza per i server di intelligenza artificiale: migliaia sono a rischio proviene da il blog della sicurezza informatica.

If you have a CNC router, you know you can engrave just about any text with the right tool, but Jointly is a typeface that isn’t meant to be engraved. That would be too easy for [CobyUnger]. His typeface “Jointly” is the first we’ve seen that’s meant to be used as joinery.

The idea is simple: carve mortises that take the shape of letters in one piece, and carve matching letter-tenons into the end of another. Push them together, and voila: a joint! To get this concept to work reliably, the font did have to be specially designed — both the inner and outer contours need to be accessible to a rotary cutting tool. Cutting tools get harder to use the smaller they go (or more fragile, at any rate) so with Jointly, the design spec was that any letters over 3/4″ (19.05 mm) tall needed to be handled with a 1/8″ (3.175 mm) rotary cutter.

This gives the font a friendly curved appearance we find quite fetching. Of course if you’re going to be cutting tenons into the end of a board, you’re going to need either some serious z-depth or an interesting jig to get the end of the board under the cutting head. It looks like [CobyUnger] has both, but he mentions the possibility of using a handheld CNC router as the cheaper option.

Speaking of routing out type, do you know the story of Gorton? You can’t make joinery with that typeface, but you’ve almost certainly seen it.

hackaday.com/2025/09/16/jointl…

Gli esperti di F6 e RuStore riferiscono di aver scoperto e bloccato 604 domini che facevano parte dell’infrastruttura degli hacker che hanno infettato i dispositivi mobili con il trojan DeliveryRAT. Il malware si mascherava da app di consegna di cibo a domicilio, marketplace, servizi bancari e servizi di tracciamento pacchi.

Nell’estate del 2024, gli analisti di F6 hanno scoperto un nuovo trojan Android, chiamato DeliveryRAT. Il suo compito principale era raccogliere dati riservati per l’elaborazione dei prestiti nelle organizzazioni di microfinanza, nonché rubare denaro tramite l’online banking.

Successivamente, è stato scoperto il bot Telegram del team Bonvi, in cui DeliveryRAT veniva distribuito utilizzando lo schema MaaS (Malware-as-a-Service). Si è scoperto che, tramite il bot, gli aggressori ricevevano un campione gratuito del Trojan, dopodiché dovevano consegnarlo loro stessi al dispositivo della vittima.

I proprietari del bot offrono due opzioni tra cui scegliere: scaricare l’APK compilato o ottenere un collegamento a un sito falso, presumibilmente generato separatamente per ogni worker.

I dispositivi delle vittime sono stati infettati utilizzando diversi scenari comuni. “Per attaccare la vittima, gli aggressori hanno utilizzato vari scenari ingegnosi: hanno creato falsi annunci di acquisto e vendita o falsi annunci di assunzione per lavoro da remoto con uno stipendio elevato”, afferma Evgeny Egorov, analista capo del Dipartimento di Protezione dai Rischi Digitali di F6. “Quindi il dialogo con la vittima viene trasferito ai servizi di messaggistica e la vittima viene convinta a installare un’applicazione mobile, che si rivela dannosa”.

Gli aggressori creano annunci con prodotti a prezzo scontato su marketplace o in negozi fittizi. Sotto le spoglie di un venditore o di un gestore, i criminali contattano la vittima tramite Telegram o WhatsApp e, durante la conversazione, la vittima fornisce loro i propri dati personali (nome completo del destinatario, indirizzo di consegna dell’ordine e numero di telefono). Per tracciare il falso ordine, il gestore chiede di scaricare un’applicazione dannosa.

Gli hacker creano anche falsi annunci di lavoro da remoto con buone condizioni e un buon stipendio. Le comunicazioni con la vittima vengono trasferite anche su servizi di messaggistica, dove prima raccolgono i suoi dati: SNILS, numero di carta, numero di telefono e data di nascita. Quindi, i truffatori chiedono di installare un’applicazione dannosa, presumibilmente necessaria per il lavoro.

Inoltre, gli esperti hanno individuato la distribuzione di post pubblicitari su Telegram che invitavano a scaricare un’applicazione infetta da DeliveryRAT. In questo caso, il malware era solitamente mascherato da applicazioni con sconti e codici promozionali.

Il rapporto sottolinea che questo schema fraudolento si è diffuso perché la creazione di link generati nei bot di Telegram non richiede particolari conoscenze tecniche. I ricercatori affermano inoltre che la caratteristica principale dello schema è l’elevato grado di automazione dei processi.

L'articolo Allarme Trojan DeliveryRAT: gli hacker rubano dati e soldi con app fasulle proviene da il blog della sicurezza informatica.

Il celebre precetto socratico “Conosci te stesso“ non è mai stato più attuale. Oggi, la nostra identità digitale è un mosaico frammentato di profili social, cronologie di ricerca e interazioni online, costantemente esposta e vulnerabile. L’essenza della filosofia di Socrate, fondata sull’arte della maieutica, ci offre uno scudo potentissimo contro le manipolazioni.

Socrate non offriva risposte, ma spingeva i suoi interlocutori a trovarle dentro di sé. Questo processo di auto-indagine, o maieutica, non è una semplice tecnica dialettica, ma un vero e proprio atto di autodeterminazione, un parto della verità interiore. Allo stesso modo, per difenderci nel mondo digitale, dobbiamo imparare a porci domande scomode e a sondare le nostre motivazioni più profonde.

Due domande socratiche per la nostra mente digitale

• Perché agisco d’istinto?Questa domanda ci invita a fare una pausa prima di cliccare, condividere o rispondere impulsivamente. Riconoscere l’emozione – l’urgenza, la rabbia, la curiosità – innescata da una notifica, un attacco o una notizia sensazionale, ci permette di non esserne schiavi. L’impulso non è la nostra essenza; è solo una reazione che possiamo scegliere di non assecondare.
• Chi beneficia della mia azione? Come un filosofo che va oltre le apparenze, questa domanda ci spinge a guardare dietro le quinte. Chiedendoci chi trae vantaggio dal nostro comportamento online, smascheriamo i meccanismi nascosti di algoritmi, fake news e campagne di disinformazione. Questa prospettiva trasforma la nostra navigazione da passiva a consapevole, rendendoci attori, non semplici pedine, del nostro destino digitale.

Platone e l’allegoria della caverna

Platone, discepolo di Socrate, ha descritto in uno dei suoi dialoghi più celebri, la condizione umana di chi scambia le ombre per la realtà. I prigionieri, incatenati, vedono solo le ombre proiettate sulla parete e le credono la verità assoluta. Oggi, viviamo una condizione analoga. Il mondo mediato da schermi, algoritmi e intelligenze artificiali proietta sulla nostra caverna digitale una realtà distorta e filtrata.

Le fake news, i bias di conferma e le bolle di filtro create dai social media sono le nuove ombre che ci intrappolano. Ci mostrano solo ciò che ci aspettiamo di vedere, rinforzando le nostre convinzioni e allontanandoci dalla complessità della realtà. Il nostro compito, come quello del prigioniero che si libera, è quello di uscire dalla caverna e affrontare la luce della verità. Non si tratta di fuggire, ma di evolvere, di cercare la pienezza della conoscenza e della realtà.

Esercizi di filosofia pratica

La filosofia non è solo teoria, ma una disciplina da praticare ogni giorno. Questi sono solo alcuni esempi di esercizi ispirati alla saggezza antica per rafforzare la nostra mente nel mondo digitale.

• L’esame di coscienza digitale. Dedica cinque minuti al giorno per riflettere sulle tue ultime interazioni online. Hai cliccato su un link senza pensarci? Hai condiviso una notizia senza verificarla? Non giudicarti; limitati a osservare. Come un filosofo analizza i propri pensieri, tu analizza le tue azioni digitali. È il primo passo verso una maggiore consapevolezza.
• La dieta digitale consapevole. Scegli l’applicazione che usi di più e riducine l’utilizzo per una settimana. Non si tratta di privazione, ma di mindfulness. Ogni volta che la apri, chiediti se lo stai facendo per un motivo preciso o solo per abitudine. Questo esercizio ti aiuta a riprendere il controllo del tuo tempo e dell’energia che dedichi alle piattaforme online.
• L’osservazione delle emozioni. La prossima volta che una notifica ti provoca un’emozione forte (ansia, rabbia, eccitazione), non agire immediatamente. Chiudi gli occhi per dieci secondi e osserva l’emozione che provi. Chiediti: Perché mi sento così?. Questo piccolo atto di distacco ti aiuterà a separare l’impulso dall’azione.

Sicurezza digitale: consapevolezza e libertà

Come ci insegnava Socrate, la conoscenza di sé è il fondamento di ogni agire virtuoso. In un’epoca dominata dagli algoritmi, la sicurezza digitale non è solo una questione di password e antivirus, ma un esame di coscienza continuo. La sicurezza, in questa ottica, diventa un’applicazione pratica dell’etica stoica: non possiamo controllare ciò che ci accade online, ma possiamo sempre controllare come reagiamo.

La sicurezza digitale diventa una scelta ontologica: è un’affermazione della nostra dignità e del nostro impegno a non essere passivamente condotti, ma a guidare il nostro cammino con consapevolezza. Si trasforma così in un percorso di illuminazione, un’occasione per praticare la prudenza sulla fretta e la responsabilità sull’indifferenza. Non è un limite alla nostra libertà, ma il suo più grande strumento di espansione.

Da domani, qual è il nostro prossimo, piccolo passo per potenziare la nostra mente nel mondo digitale?

L'articolo Platone, la caverna e i social: stiamo guardando solo le ombre? proviene da il blog della sicurezza informatica.

C’è un nuovo fenomeno nel settore della programmazione: il vibe coding. Gli sviluppatori utilizzano sempre più spesso agenti di intelligenza artificiale per velocizzare il loro lavoro, ma si imbattono anche in problemi imprevedibili. Le storie dei programmatori che hanno condiviso le loro esperienze dimostrano che la codifica automatizzata può semplificare le cose o trasformarsi in un disastro.

Carla Rover, che lavora nello sviluppo web da oltre 15 anni e ora sta fondando una startup con il figlio per creare modelli di apprendimento automatico per i marketplace, ammette di essersi commossa fino alle lacrime quando ha dovuto ricominciare l’intero progetto da capo.

Si fidava del codice generato dall’intelligenza artificiale e ha saltato un controllo dettagliato, affidandosi a strumenti automatici. Quando sono emersi errori durante l’analisi manuale e gli audit di terze parti, è diventato chiaro che il progetto non poteva essere salvato. Secondo lei, trattare l’intelligenza artificiale come un dipendente a pieno titolo è un’illusione pericolosa. Può aiutare a delineare idee, ma non è pronta per una responsabilità indipendente.

L’esperienza di Rover è supportata da statistiche su larga scala. Secondo uno studio di Fastly, su quasi 800 sviluppatori intervistati, il 95% dedica tempo extra alla correzione del codice scritto dall’IA, con la maggior parte del carico di lavoro sulle spalle degli specialisti senior. Questi ultimi individuano un’ampia gamma di problemi, dalle librerie fittizie alla rimozione di parti necessarie del programma e vulnerabilità. Tutto ciò ha persino dato origine a una nuova figura professionale nelle aziende: “specialista nella pulizia del codice Vibe”.

Feridun Malekzade, che lavora nel campo dello sviluppo e del design da oltre 20 anni, descrive il processo con ironia. Utilizza attivamente la piattaforma Lovable , anche per i suoi progetti, e paragona il vibe coding al lavoro con un adolescente ostinato: bisogna ripetere la richiesta molte volte e alla fine il risultato corrisponde in parte al compito, ma è accompagnato da modifiche inaspettate e talvolta distruttive. Secondo i suoi calcoli, metà del tempo viene dedicato alla formulazione dei requisiti, circa il 20% alla generazione e fino al 40% alla correzione. Allo stesso tempo, l’IA non è in grado di pensare in modo sistematico ed è incline a risolvere i problemi frontalmente, creando caos durante la scalabilità delle funzioni.

Carla Rover osserva che l’intelligenza artificiale spesso riscontra incongruenze nei dati e, invece di ammettere un errore, inizia a fornire spiegazioni convincenti ma false. Descrive l’esperienza come avere a che fare con un collega tossico. C’è persino un meme sui social media su come modelli come Claude rispondano alle critiche dicendo “Hai assolutamente ragione”, che è ripreso da Austin Spyres di Fastly. Egli avverte che l’intelligenza artificiale punta alla velocità ma ignora la correttezza, portando a vulnerabilità di livello principiante .

Mike Arrowsmith di NinjaOne parla anche di sicurezza. Secondo lui, il vibe coding mina le fondamenta dello sviluppo tradizionale, in cui i controlli a più fasi aiutano a individuare i difetti. Per ridurre i rischi, l’azienda introduce regole di “safe vibe coding”: accesso limitato agli strumenti, revisione obbligatoria del codice e controlli di sicurezza automatizzati.

Tuttavia, nonostante tutte le critiche, la tecnologia si è affermata saldamente nella pratica. È ideale per prototipi, bozze di interfacce e attività di routine, consentendo agli sviluppatori di concentrarsi su scalabilità e architettura. Rover ammette che grazie all’intelligenza artificiale è stata in grado di elaborare l’interfaccia più velocemente, e Malekzadeh afferma che la produttività è comunque superiore rispetto a quella senza l’utilizzo di generatori. Molti sviluppatori la chiamano una “tassa sull’innovazione”: bisogna dedicare ore alle correzioni, ma i vantaggi in termini di velocità e praticità superano i costi.

La conclusione è chiara: il Vibe coding non è più un esperimento, ma è diventato la nuova norma. I programmatori esperti sanno che l’intelligenza artificiale non può essere immessa in produzione senza supervisione, ma l’hanno già adottata come strumento per accelerare i processi.

Il futuro dello sviluppo ora si presenta così: un essere umano imposta la direzione, un’intelligenza artificiale scrive il codice e poi lo stesso essere umano controlla e corregge tutto ciò che è stato fatto.

L'articolo Vibe coding sì, ma con attenzione. La velocità non sempre batte la qualità proviene da il blog della sicurezza informatica.

A team of hackers, [Jason T. Jacques], [Decle], and [Michael A. Wessel], have collaborated to deliver the Microtronic Phoenix Computer System.

In 1981 the Busch 2090 Microtronic Computer System was released. It had a 4-bit Texas Instruments TMS1600 microcontroller, ran at 500 kHz, and had 576 bytes of RAM and 4,096 bytes of ROM. The Microtronic Phoenix computer system is a Microtronic emulator. It can run the original firmware from 1981.

Between them the team members developed the firmware ROM dumping technology, created a TMS1xxx disassembler and emulator, prototyped the hardware, developed an Arduino-based re-implementation of the Microtronic, designed the PCB, and integrated the software.

Unlike previous hardware emulators, the Phoenix emulator is the first emulator that is not only a re-implementation of the Microtronic, but actually runs the original TMS1600 firmware. This wasn’t possible until the team could successfully dump the original ROM, an activity that proved challenging, but they got there in the end! If you’re interested in the gory technical details those are here: Disassembling the Microtronic 2090, and here: Microtronic Firmware ROM Archaeology.

The Phoenix uses an ATmega 644P-20U clocked at 20 MHz, a 24LC256 EEPROM, and an 74LS244 line driver for I/O. It offers two Microtronic emulation modes: the Neo Mode, based on [Michael]’s Arduino-based re-implementations of the Microtronic in C; and the Phoenix Mode, based on [Jason]’s Microtronic running the original Microtronic ROM on his TMS1xxx emulator.

The Phoenix has a number of additional hardware features, including an on-board buzzer, additional push buttons, a speaker, 256 kBit 24LC256 EEPROM, and six digit 7-segment display. Of course you have to be running in Neo Mode to access the newer hardware.

There are a bunch of options when it comes to I/O, and the gerbers for the PCB are available, as are instructions for installing the firmware. When it comes to power there are four options for powering the Phoenix board: with a 9V block battery; with an external 9V to 15V DC power supply over the standard center-positive 2.5 mm power jack; over the VIN and GND rivet sockets; or over the AVR ISP header.

If you’re interested in the history we covered [Michael Wessel]’s Arduino implementation when it came out back in 2020.

hackaday.com/2025/09/15/the-mi…

A cura di Luca Stivali e Olivia Terragni.

L’11 settembre 2025 è esploso mediaticamente, in modo massivo e massiccio, quello che può essere definito il più grande leak mai subito dal Great Firewall of China (GFW), rivelando senza filtri l’infrastruttura tecnologica che alimenta la censura e la sorveglianza digitale in Cina.

Sono stati messi online – tramite la piattaforma del gruppo Enlace Hacktivista – oltre 600 gigabyte di materiale interno: repository di codice, log operativi, documentazione tecnica e corrispondenza tra i team di sviluppo. Materiale che offre un rara finestra sul funzionamento interno del sistema di controllo della rete più sofisticato al mondo.

Ricercatori e giornalisti hanno lavorato su questi file per un anno, per analizzare e verificare le informazioni prima di pubblicarle: i metadati analizzati infatti riportano l’anno 2023. La ricostruzione accurata del leak è stata poi pubblicata nel 2025 e riguarda principalmente Geedge Networks, azienda che collabora da anni con le autorità cinesi (e che annovera tra i suoi advisor il “padre del GFW” Fang Binxing), e il MESA Lab (Massive Effective Stream Analysis) dell’Institute of Information Engineering, parte della Chinese Academy of Sciences. Si tratta di due tasselli chiave in quella filiera ibrida – accademica, statale e industriale – che ha trasformato la censura da progetto nazionale a prodotto tecnologico scalabile.

Dal prototipo al “GFW in a box”

Se viene tolta la patina ideologica, ciò che emerge dal leak non è una semplice raccolta di regole, ma un prodotto completo: un sistema modulare integrato, progettato per essere operativo all’interno dei data center delle telco e replicabile all’estero.

Il cuore è il Tiangou Secure Gateway (TSG), che non è un semplice appliance, ma una piattaforma di ispezione e controllo del traffico di rete, che esegue la Deep Packet Inspection (DPI), classifica protocolli e applicazioni in tempo reale di codice di blocco e manipolazione del traffico. Non lo deduciamo per indizio: nel dump compaiono esplicitamente i documenti “TSG Solution Review Description-20230208.docx” e “TSG-问题.docx”, insieme all’archivio del server di packaging RPM (mirror/repo.tar, ~500 GB), segno di una filiera di build e rilascio industriale.

TSG (motore DPI e enforcement)

La componente TSG è progettata per operare sul perimetro di rete (o in punti di snodo degli ISP), gestendo grandi volumi di traffico. La prospettiva “prodotto” è confermata dalla documentazione e dal materiale marketing del vendor: TSG viene presentato come soluzione “full-featured” con deep packet inspection e content classification—esattamente da quanto emerge dai resoconti del leak.

Manipolazione del traffico (injection) e misure attive

La piattaforma non si limita a “non far passare”. Alcuni resoconti, riassunti nel dossier tecnico in lingua cinese, indicano esplicitamente l’iniezione di codice nelle sessioni HTTP, HTTPS, TLS e QUIC. VI è persino la capacità di lanciare DDoS mirati come estensione della linea di censura. Questo sancisce la convergenza tra censura e strumenti offensivi, con una cabina di regia unica.

Telemetria, tracciamento e controllo operativo

Dalle sintesi dei documenti si ricostruiscono funzioni di monitoraggio in tempo reale, tracciamento della posizione(associazione a celle/identificatori di rete), storico degli accessi, profilazione e blackout selettivi per zona o per evento. Non si tratta di semplici slide: sono capacità citate in modo consistente, che emergono dalle analisi del contenuto del leak delle piattaforme Jira/Confluence/GitLab, utilizzate per l’assistenza, la documentazione e lo sviluppo del TGS.

Console per operatori e layer di gestione

Sopra al motore di rete c’è un livello “umano”: dashboard e strumenti di network intelligence, che forniscono visibilità agli operatori non-sviluppatori: questi strumenti permettono: ricerca, drill-down per utente/area/servizio, alert, reportistica e attivazione di regole. La stessa Geedge pubblicizza un prodotto di questo tipo come interfaccia unificata per visibilità e decisione operativa, coerente con quanto emerge nel leak sulla parte di controllo e orchestrazione.

Packaging, CI/CD e rilascio (la parte “in a box”)

Il fatto che metà terabyte del dump sia un mirror di pacchetti RPM dice molto: esiste una supply chain di build, versionamento e rollout confezionata per installazioni massive, sia a livello provinciale in Cina sia tramite semplici copie (copy-paste) all’estero.

L’export della censura

Il leak conferma quello che diversi ricercatori sospettavano da tempo: la Cina non si limita a usare il Great Firewall (GFW) per il controllo interno, ma lo esporta attivamente ad altri regimi.Documenti e contratti interni mostrano implementazioni in Myanmar, Pakistan, Etiopia, Kazakhstan e almeno un altro cliente non identificato.

Nel caso del Myanmar, un report interno mostra il monitoraggio simultaneo di oltre 80 milioni di connessioni attraverso 26 data center collegati, con funzioni mirate al blocco di oltre 280 VPN e 54 applicazioni prioritarie, tra cui le app di messaggistica più utilizzate dagli attivisti locali.

In Pakistan, la piattaforma Geedge ha addirittura rimpiazzato il vendor occidentale Sandvine, riutilizzando lo stesso hardware ma sostituendo lo stack software con quello cinese, affiancato da componenti Niagara Networks per il tapping e Thales per le licenze. Questo è un caso emblematico di come Pechino riesca a penetrare mercati già saturi sfruttando la modularità delle proprie soluzioni.

Dalla censura alla cyber weapon

Un altro aspetto cruciale emerso riguarda la convergenza tra censura e capacità offensive. Alcuni documenti descrivono funzioni di injection di codice su HTTP (e potenzialmente HTTPS quando è possibile man-in-the-middle con CA fidate) e la possibilità di lanciare attacchi DDoS mirati contro obiettivi specifici.

“Kazakhstan (K18/K24) → First foreign client. Used it for nationwide TLS MITM attacks”.

Questo sposta l’asticella oltre la semplice repressione informativa: significa disporre di uno strumento che può censurare, sorvegliare e attaccare, integrando in un’unica piattaforma funzioni che solitamente sono separate. Si tratta di un vero e proprio “censorship toolkit” che di fatto diventa un’arma cyber a disposizione di governi autoritari.

La guerra per il controllo algoritmico

Il leak del Great Firewall cinese è stato pubblicato da Enlace Hacktivista, un gruppo hacktivista a maggioranza latino-americana – che collabora con DDoS Secrets – noto per aver già diffuso altre fughe di dati importanti come quelle di Cellebrite, MSAB, documenti militari, organizzazioni religiose, corruzione e dati sensibili, e decine di terabyte di aziende che lavorano nel settore minerario e petrolifero in America Latina, esponendo così corruzione e illecito ambientalismo, corruzione, oltre a dati sensibili.

Nel caso del Great Fierwall Leak i documenti sono stati caricati sulla loro piattaforma- https://enlacehacktivista.org – ospitata da un provider islandese, noto per la protezione della privacy e della libertà di parola.

La prima domanda che ci dovremmo porre è: perché un gruppo a maggioranza latina-americana dovrebbe compromettere la reputazione internazionale della Cina pubblicando informazioni sensibili e critiche, probabilmente provenienti da fonte interna collegata alla censura digitale cinese? Chi sarebbe il mandante? A chi giova tutto questo? Il leak è strategico e si è mosso contemporaneamente su più direzioni con un’azione mirata su più fonti con un impatto politico.

La risposta, nel contesto di un contrasto – internazionale – alla censura e alla sorveglianza digitale, sembrerebbe ovvia. Occorre però che considerare che oltre ad attivisti, oppositori politici, ONG e giornalisti che cercano di denunciare le violazioni di libertà e spingere per sanzioni contro le aziende che forniscono tecnologia di repressione, i governi occidentali cercano di limitare l’influenza cinese nel mercato delle tecnologie di sorveglianza e aumentando al contempo la pressione geopolitica su Pechino.

‘La Cina considera la gestione di Internet come una questione di sovranità nazionale: con misure volte a proteggere i cittadini da rischi come frodi, hate speech, terrorismo e contenuti che minano l’unità nazionale, in linea con i valori socialisti’. Tuttavia il Great Firewall cinese, non si limiterebbe a controllare l’Internet nel paese, ma il suo modello – insieme alla tecnologia – sarebbe già stato esportato fuori dal paese, “inspirando” regimi autoritari e governi in varie regioni, incluse Asia, Africa ed infine America Latina, dove la censura, la repressione digitale e il controllo dell’informazione sono sempre più diffusi:

• sarebbe stato usato e installato in Pakistan per monitorare e limitare il traffico internet a livello nazionale. Il rapporto di Amnesty International intitolato “Pakistan: Shadows of Control: Censorship and mass surveillance in Pakistan” documenta ad esempio come una serie di aziende private di diversi paesi, tra cui Canada, Cina, Germania, Stati Uniti ed Emirati Arabi Uniti, abbiano fornito tecnologie di sorveglianza e censura al Pakistan, nonostante il pessimo record di questo paese nel rispetto dei diritti online
• il rapporto “Silk Road of Surveillance” pubblicato da Justice For Myanmar il 9 settembre 2025, denuncia la stretta collaborazione tra la giunta militare illegale del Myanmar e Geedge Networks ed evidenzia che almeno 13 operatori di telecomunicazioni in Myanmar siano coinvolti nella repressione contro oppositori politici e attivisti, con pesanti violazioni dei diritti umani
• i documenti trapelati indicherebbero inoltre che Geedge Networks ha iniziato a condurre un progetto pilota per un firewall provinciale nel Fujian nel 2022, una provincia al largo della costa di Taiwan. Tuttavia, le informazioni su questo progetto sono limitate rispetto ad altre implementazioni [“Progetto Fujian” (福建项目)]. Inoltre, uno dei dispositivi hardware creati da Geedge Networks – Ether Fabric – che permette di distribuire e monitorare traffico dati in modo efficiente e preciso – fondamentale per la raccolta di intelligence e il controllo delle comunicazioni in ambito governativo – non solo viene collegato ad aziende cinesi ma anche taiwanesi (come la ADLINK Technology Inc), in un contesto geopolitico sensibile, considerando le tensioni esistenti nella regione e la competizione tecnologica tra Cina, Taiwan e le democrazie occidentali.

Tutto questo però accade in un clima dove i governi di vari Paesi, dal Nepal al Giappone, passando per Indonesia, Bangladesh, Sri Lanka e Pakistan, stanno affrontando forti tensioni sociali, che hanno portato instabilità innescate da misure come restrizioni sui social network o proteste popolari. Caso emblematico è quello che è successo in Nepal in questi giorni e caso correlato quello del Giappone, dove il cambio di leadership si sta spostando verso un atteggiamento filo-USA.

Il danno al soft power

Il leak del Great Firewall – simbolo del controllo statale e della sovranità tecnologica cinese – andrebbe oltre, investendo il cuore del contratto sociale tra il PCC e i cittadini cinesi – con implicazioni per la privacy e la sicurezza nazionale – minacciando così gli ambiziosi piani cinesi che mirano a far diventare il paese il centro globale dell’innovazione tecnologica. Huawei, Xiaomi, BYD e NIO, sono solo alcuni nome che guidano questo obiettivo strategico, che punta in effetti ad esportare tecnologie di punta in settori chiave come intelligenza artificiale, veicoli elettrici, energie rinnovabili, semiconduttori, 5G, aerospaziale e biotecnologie. Ebbene, non si tratta solo di libertà di parola, perchè il Firewall protegge il mercato digitale cinese dalla concorrenza esterna. Non solo, un leak esporrebbe le vulnerabilità tecnologiche del sistema, minando la sua reputazione o rendendolo vulnerabile. Ed in effetti il leak avrebbe fatto parte del lavoro, non solo desacralizzando l’invulnerabilità tecnologica cinese, ma minando la fiducia interna.

Dall’altra parte oggi 15 settembre, anche l’annuncio dell’indagine antitrust cinese su Nvidia – per presunte violazioni della legge antimonopolio in relazione all’acquisizione della società israeliana Mellanox Technologies – potrebbe rappresentare un danno al soft power americano nel settore tecnologico e dell’intelligenza artificiale.

Il campanello d’allarme

Le reazioni ufficiali e mediatiche cinesi, confermano la situazione: le comunicazioni sono gestite con la massima cautela, con una forte censura sui social media e IA generative per limitare la diffusione delle informazioni con l’aiuto di specialisti OSINT e reti come “Spamouflage”. La risposta era probabile. Il passo successivo potrebbe essere un danno alle relazioni internazionali, potenziali sanzioni e un maggiore scrutinio sulle tech cinesi. Inoltre, alcune aziende telecom esaminate nel report, tra cui Frontiir in Myanmar, hanno negato l’uso di tecnologie di sorveglianza cinese o ne hanno minimizzato l’impiego, sostenendo di utilizzarla per scopi di sicurezza ordinari e legittimi, con supporto dei loro investitori internazionali.

Uno studio del 2024 e pubblicato da USENIX – Measuring the Great Firewall’s Multi-layered Web Filtering Apparatus – ha già esaminato come il Great Firewall cinese (GFW) rilevi e blocchi il traffico web crittografato. La ricerca è stata condotta da un gruppo internazionale di ricercatori universitari e indipendenti, tra cui i due autori principali, Nguyen Phong Hoang, Nick Feamster, a cui si aggiungono i ricercatori Mingshi Wu, Jackson Sippe, Danesh Sivakumar, Jack Burg.

L’obiettivo è stato comprendere i meccanismi tecnici con cui il GFW gestisce, ispeziona e filtra il traffico HTTPS, DNS e TLS, specialmente per aggirare le tecnologie di cifratura avanzate come Shadowsocks o VMess. Il Lavoro si è basato su misurazioni reali tramite server VPS in Cina e Stati Uniti e strumenti di monitoraggio, per studiare la censura e i blocchi operati in tempo reale dal GFW.

In breve le conclusioni hanno stabilito che i dispositivi di filtraggio DNS, HTTP e HTTPS insieme costituiscono i pilastri principali della censura web del Great Firewall (GFW): nel corso di 20 mesi, GFWeb ha testato oltre un miliardo di domini qualificati e ha rilevato rispettivamente 943.000 e 55.000 domini di livello pay-level censurati.

La ricerca pubblicata nel 2024 e i report sui documenti trapelati offrono una quantità senza precedenti di materiale interno, utile a capire nel dettaglio l’architettura, i processi di sviluppo e l’uso operativo giorno per giorno della tecnologia.

Replicabilità, espansione globale e impatti sulla sicurezza informatica

Il leak mette a nudo diversi punti chiave:

1. La censura cinese non è più un’infrastruttura monolitica nazionale, ma un prodotto replicabile pronto per l’esportazione, con manualistica e supporto tecnico.
2. La supply chain è complessa e globale, con componenti hardware e software che provengono anche dall’Occidente, in alcuni casi riutilizzati senza che i vendor originali ne siano pienamente consapevoli.
3. La diffusione internazionale del modello cinese rischia di consolidare un mercato globale della censura, accessibile a regimi che dispongono di capacità finanziarie ma non di know-how interno.

Per chi studia la sicurezza e le tecniche di elusione, questo leak rappresenta una miniera di informazioni. L’analisi dei sorgenti potrà rivelare vulnerabilità negli algoritmi di deep packet inspection (DPI) e nei moduli di fingerprinting, aprendo spiragli per sviluppare strumenti di bypass più efficaci. Ma è evidente che la sfida si fa sempre più asimmetrica: la controparte non è più improvvisata, bensì un’industria tecnologica con roadmap, patch e assistenza clienti.

Conclusione

Le implicazioni del Great Firewall Leak sono enormi, tanto sul piano tecnico quanto politico. Per la comunità CTI e per chi lavora sulla difesa dei diritti digitali, questa potrebbe essere un’occasione per comprendere meglio l’architettura della censura e della sorveglianza di nuova generazione per anticiparne le mosse. Ma soprattutto è la conferma che la battaglia per la libertà digitale non si gioca più solo sul terreno della tecnologia, bensì su quello – ancora più complesso – della geopolitica.

La censura digitale è al centro di rapporti di potere tra Stati e la lotta per l’accesso libero all’informazione è una questione globale e multilivello.

Fonti

• GFW Report – Geedge & MESA Leak
• Wired – “Massive Leak Shows How a Chinese Company Is Exporting the Great Firewall to the World”
• Tom’s Hardware – “China’s Great Firewall suffers its biggest leak ever…”
• Justice For Myanmar – “Silk Road of Surveillance”
• Follow The Money – “China exports censorship tech to authoritarian regimes”
• Amnesty International – “Shadows of Control: Censorship and Mass Surveillance in Pakistan”
• Measuring the Great Firewall’s Multi-layered Web Filtering Apparatus, Nguyen Phong Hoang, Nick Feamster.

L'articolo Great Firewall sotto i riflettori: il leak che svela l’industrializzazione della censura cinese proviene da il blog della sicurezza informatica.

L’attacco informatico a Jaguar Land Rover, che ha paralizzato le attività dell’azienda, si è trasformato in una delle crisi più gravi per la casa automobilistica britannica. L’azienda è stata costretta a disattivare i sistemi informatici e a interrompere la produzione negli stabilimenti di Solihull, Halewood e Wolverhampton. Le linee di assemblaggio sono ferme da quasi due settimane e non riprenderanno a funzionare prima di metà settimana. Le perdite sono stimate in decine di milioni di sterline e le conseguenze hanno colpito non solo l’azienda, ma anche la sua ampia rete di fornitori.

Secondo gli esperti, il danno giornaliero per JLR si aggira tra i 6,8 a 13,6 milioni di dollari, e le perdite totali hanno già superato i 50 milioni. Allo stesso tempo, l’azienda ha un margine di sicurezza: l’utile annuo ante imposte ha raggiunto i 3,4 miliardi di dollari, il che le consente di resistere alla crisi se non si protrae per mesi. Ma un colpo ben più doloroso è stato inflitto ai fornitori, tra cui molte piccole e medie imprese.

La loro dipendenza dai contratti con JLR è così forte che l’interruzione dei nastri trasportatori li minaccia di fallimento. L’ex capo di Aston Martin, Andy Palmer, è sicuro che alcune di queste aziende non riusciranno a sopravvivere alla pausa e inizieranno a licenziare massicciamente il personale.

Alcune aziende hanno già licenziato i dipendenti a condizione che “smaltissero” le ore accumulate in seguito, mentre altre hanno optato per i licenziamenti. Un piccolo fornitore ha riferito di aver perso quasi metà del personale. Allo stesso tempo, le grandi aziende stanno cercando di trattenere i lavoratori qualificati, ma se il periodo di inattività si protrae, potrebbero non avere scelta. In totale, si parla di 250.000 posti di lavoro nei settori correlati e la reazione a catena rischia di travolgere l’intero settore.

Il governo del Regno Unito sta subendo pressioni da parte di sindacati e parlamentari affinché introduca urgentemente un programma di sussidi salariali. Si chiede un meccanismo simile al Temporary Job Support Scheme per coprire i redditi dei lavoratori durante il periodo di inattività e prevenire la perdita di competenze. La leader di Unite, Sharon Graham, ha affermato che migliaia di lavoratori della catena di fornitura sono stati immediatamente messi a rischio dall’incidente e che eventuali ritardi comporteranno perdite a lungo termine.

JLR ammette che il ripristino dei propri sistemi IT si è rivelato molto più difficile del previsto. I processi di produzione e le catene di fornitura sono completamente automatizzati, quindi, dopo la disconnessione delle reti, il blocco dei nastri trasportatori è diventato inevitabile. Le interruzioni hanno colpito anche le vendite, ma sono state implementate soluzioni temporanee per i concessionari. L’azienda ha confermato che alcuni dati potrebbero essere stati compromessi. La casa automobilistica sta collaborando con il National Cyber Security Centre (NCSC) per indagare ed eliminare le conseguenze.

Il governo afferma di essere in contatto quotidiano con la dirigenza di JLR e con gli esperti di sicurezza informatica. Il Ministro per le Imprese e il Commercio, Chris Bryant, ha sottolineato di comprendere la portata dell’impatto dell’attacco e di stare discutendo con l’azienda le opzioni per affrontare la crisi. Tuttavia, per centinaia di fornitori e i loro dipendenti, la tempistica rimane fondamentale: più a lungo la produzione rimane interrotta, maggiore è il rischio che uno shock temporaneo si trasformi in un danno a lungo termine per l’intero settore.

Bryant ha anche elencato gli strumenti attualmente utilizzati dal governo per spingere il mercato verso il principio “Secure by Design”. Sono già stati introdotti requisiti per la protezione dei dispositivi connessi e codici di condotta per sviluppatori di software e sistemi di intelligenza artificiale. Per i manager, esiste un codice di governance informatica e corsi di formazione per i membri del consiglio di amministrazione; per le aziende di tutte le dimensioni, esiste la certificazione Cyber Essentials, che, secondo il governo, riduce del 92% la probabilità di una richiesta di risarcimento assicurativo dopo un attacco, e servizi NCSC gratuiti. Allo stesso tempo, il governo ha nuovamente messo in guardia dal pagare gli estorsori: questo alimenta il modello criminale e non garantisce il recupero.

Il ministro ha ricordato che lo scorso anno il 40% delle aziende del Paese ha ammesso di aver subito attacchi informatici e che l’arsenale degli aggressori si sta espandendo, dall’ingegneria sociale nei call center alle voci generate dall’intelligenza artificiale. La linea del governo è il monitoraggio costante, con priorità nel perseguire i criminali e incarcerarli, nonché nell’eliminare le debolezze dell’obsoleta infrastruttura IT delle aziende. L’agenda a breve termine è quella di informare i dipendenti e i fornitori di JLR sul programma di ripristino e di allentare le tensioni relative a pagamenti e occupazione e, a medio termine, di migliorare l’igiene cyber di base per tutti, dalle aziende alle ONG e alle piccole imprese.

L'articolo Attacco informatico alla Jaguar Land Rover: una crisi con perdite da 50 milioni di dollari proviene da il blog della sicurezza informatica.

Il senatore statunitense Ron Wyden ha inviato una lettera il 10 settembre scorso alla Federal Trade Commission (FTC) chiedendo un’indagine su Microsoft, accusando l’azienda di “grave negligenza” nel campo della sicurezza informatica.

Il motivo era l’utilizzo di un algoritmo di crittografia RC4 obsoleto e non sicuro in Windows, che è ancora l’algoritmo predefinito per Active Directory. Secondo l’indagine dell’ufficio del senatore, è stata questa funzionalità a svolgere un ruolo chiave in un attacco su larga scala alla società medica Ascension nel 2024, che ha portato alla compromissione dei dati di 5,6 milioni di pazienti.

Wyden ha sottolineato che, grazie a una “ingegneria pericolosa”, un aggressore potrebbe utilizzare un solo laptop infetto di un dipendente per distribuire il ransomware a migliaia di sistemi tramite Active Directory.

Nel caso di Ascension, il punto di ingresso iniziale è stato il dispositivo di un dipendente, utilizzato per eseguire una ricerca su Bing tramite Microsoft Edge. Una volta effettuato l’accesso, gli hacker hanno utilizzato il kerberoasting per forzare le password degli account privilegiati e quindi diffondere il ransomware in tutta la rete.

RC4, creato nel 1987 da Ron Rivest, è da tempo riconosciuto come vulnerabile: l’algoritmo è stato violato nel 1994 e da allora è stato attaccato con successo numerose volte. È stato rimosso dall’uso nella maggior parte dei protocolli di comunicazione, ma rimane il meccanismo di base dell’autenticazione Kerberos in Active Directory. Nonostante la disponibilità di algoritmi più moderni, molte organizzazioni continuano a utilizzare le impostazioni predefinite. Questa configurazione consente agli aggressori di richiedere ticket crittografati con password dal server Kerberos, che possono essere trasferiti all’esterno della rete e decrittografati utilizzando potenti GPU. A causa della mancanza di salt e iterazioni nell’hash MD4 utilizzato, un aggressore può provare miliardi di opzioni al secondo.

Matt Green, crittografo della Johns Hopkins University, ha definito l’architettura Kerberos con RC4 “un bug che avrebbe dovuto essere risolto decenni fa”. Ha osservato che anche le password lunghe formalmente conformi alle raccomandazioni non sono al sicuro dagli attacchi brute-force quando si utilizza questo schema. Un ulteriore fattore di rischio è la diffusa configurazione errata di Active Directory, quando gli utenti normali accedono a funzioni riservate agli amministratori. Questo rende il kerberoasting un metodo di attacco ancora più accessibile.

In risposta, Microsoft ha dichiarato che l’utilizzo di RC4 rappresenta meno dello 0,1% del traffico e che l’azienda sconsiglia vivamente l’uso di questo algoritmo. Allo stesso tempo, l’azienda ha riconosciuto che una chiusura completa comporterebbe l’inoperabilità di diversi client, pertanto l’abbandono di RC4 è pianificato gradualmente. Secondo Microsoft, nel primo trimestre del 2026, le nuove installazioni di domini Active Directory basati su Windows Server 2025 funzioneranno automaticamente senza il supporto di RC4. Sono in fase di preparazione ulteriori misure per i sistemi esistenti che dovrebbero ridurre al minimo i rischi mantenendo al contempo la compatibilità.

Wyden, tuttavia, ritiene che l’azienda stia deliberatamente nascondendo il pericolo, limitandosi a post di basso profilo sui blog tecnologici anziché avvisare direttamente i clienti aziendali. Ha anche criticato il modello di business di Microsoft, in cui il software principale rimane vulnerabile mentre i servizi di sicurezza informatica aggiuntivi vengono venduti separatamente. Ha affermato che assomiglia a “un piromane che vende servizi antincendio alle sue vittime”. Gli esperti raccomandano alle organizzazioni di seguire le best practice di sicurezza per gli account Active Directory .

Microsoft, a sua volta, afferma di essere in dialogo con il senatore e di essere pronta a collaborare con le agenzie governative, sottolineando che la tabella di marcia per l’abbandono di RC4 è già stata approvata.

L'articolo Microsoft sotto accusa da Ron Wyden per negligenza nella sicurezza informatica proviene da il blog della sicurezza informatica.

It’s been just over 48 years since Voyager 1 was launched on September 5, 1977 from Cape Canaveral, originally to study our Solar System’s planets. Voyager 1 would explore Jupiter and Saturn, while its twin Voyager 2 took a slightly different route to ogle other planets. This primary mission for both spacecraft completed in early 1990, with NASA holding a press conference on this momentous achievement.

To celebrate the 48th year of the ongoing missions of Voyager 1 and its twin, NASA JPL is sharing an archive video of this press conference. This was the press conference where Carl Sagan referenced the pinpricks of light visible in some images, including Earth’s Pale Blue Dot, which later would become the essay about this seemingly insignificant pinprick of light being the cradle and so far sole hope for the entirety of human civilization.

For most people in attendance at this press conference in June of 1990 it would likely have seemed preposterous to imagine both spacecraft now nearing their half-century of active service in their post-extended Interstellar Mission. With some luck both spacecraft will soon celebrate their 50th launch day, before they will quietly sail on amidst the stars by next decade as a true testament to every engineer and operator on arguably humanity’s most significant achievement in space.

Thanks to [Mark Stevens] for the tip.

youtube.com/embed/aty-PMtS7Dc?…

Vintage NASA: See Voyager’s 1990 ‘Solar System Family Portrait’ Debut

science.nasa.gov/blogs/voyager…

hackaday.com/2025/09/15/see-vo…

[Ancient] has a video showing off a fascinating piece of work: a lip-syncing robot whose animated electro-mechanical mouth works like an IBM Selectric typewriter. The mouth rapidly flips between different phonetic positions, creating the appearance of moving lips and mouth. This rapid and high-precision movement is the product of a carefully-planned and executed build, showcased from start to finish in a new video.
Behind the face is a ball that, when moving quickly enough, gives the impression of animated mouth and lips. The new video gives a closer look at how it works.
[Ancient] dubs the concept Selectramatronics, because its action is reminiscent of the IBM Selectric typewriter. Instead of each key having a letter on a long arm that would swing up and stamp an ink ribbon, the Selectric used a roughly spherical unit – called a typeball – with letters sticking out of it like a spiky ball. Hitting the ‘A’ key would rapidly turn the typeball so that the ‘A’ faced forward, then satisfyingly smack it into the ink ribbon at great speed. Here’s a look at how that system worked, by way of designing DIY typeballs from scratch. In this robot, the same concept is used to rapidly flip a ball bristling with lip positions.

We first saw this unusual and fascinating design when its creator showed videos of the end result on social media, pronouncing it complete. We’re delighted to see that there’s now an in-depth look at the internals in the form of a new video (the first link in this post, also embedded below just under the page break.)

The new video is wonderfully wordless, preferring to show rather than tell. It goes all the way from introducing the basic concept to showing off the final product, lip-syncing to audio from an embedded Raspberry Pi.

Thanks to [Luis Sousa] for the tip!

youtube.com/embed/bxvmATwi9Q8?…

hackaday.com/2025/09/15/a-clos…

For the past years people have been collecting disposable vapes primarily for their lithium-ion batteries, but as these disposable vapes have begun to incorporate more elaborate electronics, these too have become an interesting target for reusability. To prove the point of how capable these electronics have become, [BogdanTheGeek] decided to turn one of these vapes into a webserver, appropriately called the vapeserver.

While tearing apart some of the fancier adult pacifiers, [Bogdan] discovered that a number of them feature Puya MCUs, which is a name that some of our esteemed readers may recognize from ‘cheapest MCU’ articles. The target vape has a Puya PY32F002B MCU, which comes with a Cortex-M0+ core at 24 MHz, 3 kB SRAM and 24 kB of Flash. All of which now counts as ‘disposable’ in 2025, it would appear.

Even with a fairly perky MCU, running a webserver with these specs would seem to be a fool’s errand. Getting around the limited hardware involved using the uIP TCP/IP stack, and using SLIP (Serial Line Internet Protocol), along with semihosting to create a serial device that the OS can use like one would a modem and create a visible IP address with the webserver.

The URL to the vapeserver is contained in the article and on the GitHub project page, but out of respect for not melting it down with an unintended DDoS, it isn’t linked here. You are of course totally free to replicate the effort on a disposable adult pacifier of your choice, or other compatible MCU.

hackaday.com/2025/09/15/hostin…

Off to the races? Formula One races, that is. This project by [mazur8888] uses an ESP32 to keep track of the sport, and display a “live” dashboard on a 2.9″ tri-color LCD.

“Live” is in scare quotes because updates are fetched only every 30 minutes; letting the ESP32 sleep the rest of the time gives the tiny desk gadget a smaller energy footprint. Usually that’s to increase battery life, but this version of the project does not appear to be battery-powered. Here the data being fetched is about overall team rankings, upcoming races, and during a race the current occupant of the pole-position.

There’s more than just the eInk display running on the ESP32; as with many projects these days, micro-controller is being pressed into service as a web server to host a full dashboard that gives extra information as well as settings and OTA updates. The screen and dev board sit inside a conventional 3D-printed case.

Normally when talking Formula One, we’re looking into the hacks race teams make. This hack might not do anything revolutionary to track the racers, but it does show a nice use for a small e-ink module that isn’t another weather display. The project is open source under a GPL3.0 license with code and STLs available on GitHub.

Thanks to [mazur8888]. If you’ve got something on the go with an e-ink display (or anything else) send your electrophoretic hacks in to our tips line; we’d love to hear from you.

hackaday.com/2025/09/15/off-to…