I ricercatori di Google avvertono che gli hackerstanno sfruttando una vulnerabilità critica in Gladinet Triofox per eseguire da remoto codice con privilegi SYSTEM, aggirando l’autenticazione e ottenendo il controllo completo del sistema.
La vulnerabilità, identificata come CVE-2025-12480 (punteggio CVSS 9.1), è correlata alla logica di controllo degli accessi: i privilegi amministrativi vengono concessi se la richiesta proviene da localhost.
Questo consente agli aggressori di falsificare l’intestazione HTTP Host e penetrare nel sistema senza password, secondo gli esperti del Google Threat Intelligence Group (GTIG). Si noti che se il parametro facoltativo TrustedHostIp non è configurato in web.config, il controllo localhost diventa l’unica barriera, lasciando vulnerabili le installazioni con impostazioni predefinite.
Una patch per CVE-2025-12480 è stata inclusa nella versione 16.7.10368.56560, rilasciata il 26 luglio, e gli esperti di Google hanno confermato al produttore che il problema è stato risolto.
Tuttavia, gli esperti segnalano di aver già rilevato attività dannose correlate a questo bug. Ad esempio, ad agosto, un gruppo di hacker identificato con il codice UNC6485 ha attaccato i server Triofox che eseguivano la versione obsoleta 16.4.10317.56372.
In questo attacco, gli aggressori hanno sfruttato l’antivirus integrato di Triofox. Inviando una richiesta GET da localhost al referrer HTTP, gli hacker hanno ottenuto l’accesso alla pagina di configurazione AdminDatabase.aspx, che viene avviata per configurare Triofox dopo l’installazione. Gli aggressori hanno quindi creato un nuovo account Cluster Admin e hanno caricato uno script dannoso.
Gli hacker hanno configurato Triofox in modo che utilizzasse il percorso di questo script come posizione dello scanner antivirus. Di conseguenza, il file ha ereditato le autorizzazioni del processo padre di Triofox ed è stato eseguito con l’account SYSTEM.
Lo script ha quindi avviato un downloader di PowerShell, che ha scaricato il programma di installazione di Zoho UEMS. Utilizzando Zoho UEMS, gli aggressori hanno implementato Zoho Assist e AnyDesk per l’accesso remoto e lo spostamento laterale, e hanno utilizzato Plink e PuTTY per creare tunnel SSH verso la porta RDP dell’host (3389).
Gli esperti consigliano agli utenti di aggiornare Triofox all’ultima versione 16.10.10408.56683 (rilasciata il 14 ottobre) il prima possibile, di controllare gli account degli amministratori e di assicurarsi che l’antivirus integrato non esegua script non autorizzati.
@Informatica (Italy e non Italy 😁) Secondo il Mobile Security Index 2025, la principale minaccia alla sicurezza delle aziende si trova nel palmo della mano dei loro dipendenti. Il fattore umano è la vera fragilità. Ecco cosa emerge dal report di Verizon L'articolo
Amazon ha segnalato un complesso attacco informatico in cui gli aggressori hanno sfruttato simultaneamente due vulnerabilitàzero-day, presenti nei prodotti Citrix e Cisco. Secondo il responsabile della sicurezza informatica dell’azienda, CJ Moses, un gruppo sconosciuto ha ottenuto l’accesso ai sistemi sfruttando le falle prima che fossero rese pubbliche e ha distribuito malware personalizzato.
L’incidente è stato rilevato dalla rete honeypot MadPot di Amazon. Sono stati rilevati tentativi di sfruttare la vulnerabilitàCVE-2025-5777 in Citrix NetScaler ADC e NetScaler Gateway, un errore di lettura fuori dai limiti.
Questa vulnerabilità consentiva a un aggressore di leggere da remoto il contenuto della memoria del dispositivo e di ottenere dati sensibili della sessione. La vulnerabilità è stata denominata ufficiosamente CitrixBleed 2, in onore di un bug precedente che consentiva agli hacker di rubare i token di autenticazione degli utenti.
Citrix ha pubblicato una patch il 17 giugno, ma ulteriori osservazioni hanno dimostrato che l’exploit era stato utilizzato attivamente anche prima del rilascio della patch. All’inizio di luglio, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti e ricercatori indipendenti hanno confermato lo sfruttamento della vulnerabilità, che ha consentito il dirottamento delle sessioni utente.
Mentre i ricercatori di Amazon analizzavano l’attacco a Citrix, hanno scoperto un altro componente dannoso che prendeva di mira Cisco Identity Services Engine. Si è scoperto che sfruttava un endpoint di rete precedentemente non descritto, vulnerabile a un errore di deserializzazione dei dati. Queste informazioni sono state condivise con Cisco, e le aziende hanno successivamente assegnato al bug l’identificatore CVE-2025-20337.
Questa seconda vulnerabilità ha ricevuto il punteggio massimo di gravità di 10 sulla scala CVSS. Ha consentito ad aggressori remoti e non autorizzati di eseguire codice arbitrario sul server con privilegi di root.Secondo Moses, ciò che è stato particolarmente allarmante è stato il fatto che gli attacchi siano iniziati prima che Cisco documentasse ufficialmente la vulnerabilità e rilasciasse aggiornamenti completi. Questo “sfruttamento della finestra di patch” è considerato una tecnica tipica utilizzata da aggressori ben preparati che monitorano le modifiche al codice e trasformano immediatamente i bug scoperti in strumenti di attacco.
Dopo essere penetrati in Cisco ISE, gli hacker hanno installato una backdoor personalizzata, progettata specificamente per questa piattaforma. Operava esclusivamente nella RAM, senza lasciare praticamente alcuna traccia, e si infiltrava nei processi Java attivi utilizzando un meccanismo di riflessione.
Il malware si registrava nel sistema come listener HTTP, intercettando tutto il traffico proveniente dal server Tomcat. La crittografia DES e la codifica Base64 non standard venivano utilizzate per scopi stealth, e il controllo degli accessi richiedeva la conoscenza di determinate intestazioni HTTP. Sulla base di una combinazione di indicatori, gli esperti hanno concluso che l’attacco non è stato condotto da hacker casuali, ma da un gruppo con una conoscenza approfondita dell’architettura Cisco ISE e delle applicazioni Java aziendali.
Il fatto che possedessero contemporaneamente exploit per CitrixBleed 2 e CVE-2025-20337indica un elevato livello di sofisticazione da parte degli aggressori. Tali capacità potevano essere possedute solo da un team con ricercatori interni sulle vulnerabilità o con accesso a informazioni non pubbliche sulle vulnerabilità. Né Cisco né Citrix hanno ancora rivelato chi si cela dietro gli attacchi o lo scopo dell’operazione.
Il team di Amazon Threat Intelligence ritiene che questo incidente sia un buon esempio di una tendenza sempre più pericolosa: grandi gruppi APT sfruttano simultaneamente più vulnerabilità per penetrare nei servizi critici, ovvero quelli responsabili dell’autenticazione, del controllo degli accessi e delle policy di rete all’interno delle infrastrutture aziendali.
Amazon segnala un attacco informatico che sfrutta vulnerabilità zero-day in Citrix e Cisco, permettendo agli aggressori di accedere ai sistemi e distribuire malware.
WiFi-enabled ‘smart’ light bulbs are everywhere these days, and each one of them has a microcontroller inside that’s capable enough to run all sorts of interesting software. For example, [vimpo] decided to get one running a minimal Minecraft server. The Bl602-equipped board inside the LED lightbulb. (Credit: vimpo, YouTube) Inside the target bulb is a BL602 MCU by Bouffalo Lab, that features not only a radio supporting 2.4 GHz WiFi and BLE 5, but also a single-core RISC-V CPU that runs at 192 MHz and is equipped with 276 kB of RAM and 128 kB flash.
This was plenty of space for the minimalist Minecraft server [vimpo] wrote several years ago. The project says it was designed for “machines with limited resources”, but you’ve still got to wonder if they ever thought it would end up running on a literal lightbulb at some point.
It should be noted, of course, that this is not the full Minecraft server, and it should only be used for smaller games like the demonstrated TNT run mini game.
Perhaps the next challenge will be to combine a large set of these light bulbs into a distributed computing cluster and run a full-fat Minecraft server? It seems like a waste to leave the BL602s and Espressif MCUs that are in these IoT devices condemned to a life of merely turning the lights on or off when we could have them do so much more.
Check Point looks at a very niche phishing group named Payroll Pirates that uses malvertising to target the users of payroll systems, credit unions, and trading platforms
AWS dug through its honeypot data and confirmed that CVE-2025-5777 (Cisco ISE RCE) and CVE-2025-5777 (memory leak in Citrix NetScaler) were exploited as zero-days before their patches.
Nothing new here except the confirmation that an APT was behind the attacks
The Amazon threat intelligence team has identified an advanced threat actor exploiting previously undisclosed zero-day vulnerabilities in Cisco Identity Service Engine (ISE) and Citrix systems.
@Informatica (Italy e non Italy 😁) Qualcuno, in queste ore, sta perdendo l’accesso ai propri server. Non per un banale errore di configurazione o per un attacco di concorrenti sleali, ma perché altri — molto probabilmente una forza di polizia internazionale — ha iniziato a bussare ai loro admin panel. Il bersaglio sembra essere
The human body and sharp objects don’t get along very well, especially when they are being wielded with ill-intent. Since antiquity there have been various forms of armor designed to protect the wearer, but thankfully these days random sword fights don’t often break out on the street. Still, [SCREEN TESTED] wanted to test the viability of 3D printed chain mail — if not for actual combat, at least for re-enactment purposes.
He uses tough PLA to crank out a bed worth of what looks like [ZeroAlligator]’s PipeLink Chainmail Fabric, which just so happens to be the trending result on Bambu’s MakerWorld currently. The video shows several types of mail on the printer, but the test dummy only gets the one H-type pattern, which is a pity — there’s a whole realm of tests waiting to be done on different mail patterns and filament types.
In any case, the mail holds up fairly well to puncture from scissors and screwdrivers — with a heavy sweater or proper gambeson (a quilted cloth underlayer commonly worn with armor) on underneath, it looks like it could actually protect you. To slashing blows, PLA holds up astoundingly well, barely marked even by slashes from an actual sword. As for projectiles, well, everyone knows that to an arrow, chain mail is made of holes, and this PLA-based armor is no different (as you can see at 8:30 in the video below).
If you want to be really safe when the world goes Mad Max, you’d probably want actual chain mail, perhaps from stainless steel. On the other hand, if someone tries to mug you on the way home from a con, cosplay armor might actually keep you safer than one might first suspect. It’s not great armor, but it’s a great result for homemade plastic armor.
In the beginning he purchased a bunch of RA70 and RA72 drives and board sets but none of them worked. As there are no schematics it’s very difficult to figure out how they’re broken and how to troubleshoot them.
Fortunately his friend sent him an “unhealthy” Memorex 214 84MB hard drive, also known as a Fujitsu 2312. The best thing about this hard drive is that it comes complete with a 400 page manual which includes the full theory of operation and a full set of schematics. Score!
After removing the fan and popping the lid we see this Fujitsu 2312 is chock-full of 7400 series logic. For power this drive needs 24 volts at 6 amps, 5 volts at 4.5 amps, and -12 volts at 4 amps. Fitting the drive into the PDP-11 rack requires a little mechanical adjustment but after making some alterations the hard drive and a TU58 tape drive fit in their allotted 3U rack space.
After a little bit of fiddling with the drive controller board the Control Status Register (RKCS1) reads 000200, which indicates fully functional status. At this point the belief is that this computer would boot off this drive, if only it contained an operating system. The operating system for this machine is RSX11. And that, dear reader, is where we are now. Does anyone have a copy of RSX11 and a suggestion for how we get it copied onto the Fujitsu 2312? We wouldn’t want to have to toggle-in our operating system each time we boot…
Un tribunale di Londra ha condannato la 47enne cinese Zhimin Qian, nota anche come Yadi Zhang, a 11 anni e 8 mesi di carcere per aver riciclato Bitcoin ottenuti attraverso il più grande schema Ponzi di investimenti in criptovalute della storia cinese. Tra il 2014 e il 2017, lo schema ha truffato oltre 128.000 persone, costando loro oltre 7,3 miliardi di dollari in criptovalute.
L’indagine internazionale, condotta dalle forze dell’ordine britanniche e cinesi, è durata sette anni e ha portato al sequestro di 61.000 bitcoin. Al momento della confisca, il loro valore è salito circa 7,3 miliardi di dollari.
Si tratta del più grande sequestro di criptovalute nella storia del Regno Unito, che ha superato persino il sequestro di oltre 94.000 bitcoin per un valore di 3,6 miliardi di dollari effettuato dal Dipartimento di Giustizia degli Stati Uniti nel 2022, in relazione all’attacco informatico a Bitfinex.
Oltre a Bitcoin, le forze dell’ordine hanno sequestrato a Zhimin Qian beni per un valore di 11 milioni di sterline (14,4 milioni di dollari), tra cui portafogli crittografici, dispositivi crittografati, denaro contante e oro.
Dal 2014 al 2017, Qian ha gestito un enorme schema Ponzi chiamato Lantian Gerui (che in cinese significa “Cielo Blu”) in Cina. L’azienda sosteneva di investire in prodotti sanitari ad alta tecnologia e di estrarre Bitcoin, e alla fine ha raccolto oltre 40 miliardi di yuan (circa 5,6 miliardi di dollari) da circa 130.000 investitori, promettendo rendimenti dal 100% al 300%. Molte vittime dello schema hanno investito tutti i loro risparmi pensionistici e altri beni nello schema.
All’epoca, Qian si guadagnò il soprannome di “Bitcoin Queen” perché promuoveva attivamente le criptovalute in generale e Bitcoin in particolare, definendole “oro digitale”.
Nel 2017, quando lo schema Ponzi fallì e attirò l’attenzione delle autorità cinesi, Qian convertì tutti i fondi ricevuti dagli “investitori” in Bitcoin e fuggì nel Regno Unito sotto falso nome, entrando nel Paese con documenti falsi.
Arrivata nel Regno Unito nel settembre 2017, Qian assunse degli assistenti e affittò una villa in un quartiere esclusivo di Londra per 17.000 sterline (circa 23.000 dollari) al mese. Viaggiò in tutta Europa e nel Sud-est asiatico, soggiornando in hotel di lusso e acquistando costosi gioielli e orologi. Tentò anche di riciclare criptovalute attraverso l’acquisto di immobili di lusso a Londra e Dubai.
Nell’ottobre 2018, le forze dell’ordine britanniche ricevettero informazioni su un tentativo di vendita di beni criminali a Londra e avviarono un’indagine. Fu allora che le autorità rintracciarono Qian e perquisirono la sua villa londinese. Tuttavia, la truffatrice viveva sotto falso nome di Yadi Zhang e, a quel punto, gli investigatori non erano a conoscenza della sua vera identità.
Dopo la perquisizione, Qian fuggì da Londra e sfuggì alla giustizia per quasi sei anni. Fu arrestata solo nel 2024 a York. Il suo assistente e complice, era stato arrestato in precedenza, nel maggio 2021, nella stessa villa e successivamente condannato a sei anni e otto mesi di carcere per favoreggiamento del riciclaggio di denaro.
Secondo quanto riportato dai media, durante la perquisizione, la polizia ha trovato il diario di Qian, in cui aveva annotato le sue “aspirazioni e intenzioni”. Ad esempio, desiderava diventare regina di Liberland, uno stato autoproclamato tra Croazia e Serbia, e sognava anche di “incontrare il Duca e i membri della famiglia reale”.
Oltre a Qian e Wen, è stato condannato un altro partecipante alla frode di 47 anni, del Derbyshire, che aiutava Qian ad affittare immobili e gestiva trasferimenti di criptovalute. Ha ricevuto una condanna a quattro anni e 11 mesi per trasferimento di beni ottenuti illegalmente (criptovalute), sebbene il suo avvocato abbia affermato di non essere a conoscenza della reale portata dei crimini di Qian.
Vale la pena notare che i bitcoin sequestrati possono ora essere utilizzati per risarcire le vittime o trattenuti dalle autorità britanniche. Una decisione in merito non è stata ancora presa e il Tesoro del Regno Unito non ha ancora commentato la situazione.
L’Australian Security Intelligence Organisation (ASIO) ha lanciato l’allarme sulla prontezza degli stati autoritari ad andare oltre lo spionaggio informatico per arrivare al sabotaggio diretto delle infrastrutture critiche.
Mike Burgess, a capo dell’Australian Security Intelligence Organisation (ASIO), ha dichiarato che i governi stranieri stanno sempre più prendendo in considerazione l’idea di colpire sistemi energetici, telecomunicazioni e reti finanziarie utilizzando la tecnologia per attacchi informatici distruttivi.
Secondo il capo dell’agenzia, negli ultimi anni le agenzie di intelligence hanno osservato un crescente interesse da parte di diversi stati per scenari “ad alto impatto”, dall’interruzione delle comunicazioni allo spoofing o all’avvelenamento delle riserve idriche.
Tali azioni, ha sottolineato Burgess, non sono più solo teoriche. Secondo l’ASIO, diversi paesi hanno creato squadre speciali che studiano come paralizzare le infrastrutture di altri stati in caso di conflitto. Mentre in precedenza l’obiettivo di tali strutture era quello di ottenere segretamente dati e interferire con i processi interni, ora si stanno preparando al sabotaggio.
La situazione, secondo lui, è aggravata da una combinazione di fattori: lo sviluppo dell’intelligenza artificiale, l’emergere di strumenti commerciali per attacchi informatici e la possibilità di noleggiare servizi dannosi sul darknet. Queste tendenze rendono l’accesso agli strumenti di sabotaggio significativamente più facile e gli autori più difficili da rintracciare.
L’agenzia prevede che nei prossimi cinque anni la minaccia di sabotaggio, anche attraverso mezzi digitali, aumenterà sia in termini di preparazione tecnica degli aggressori sia in termini di determinazione ad agire.
Burgess ha osservato che le minacce moderne non solo stanno diventando più numerose, ma anche meno distinte. L’ASIO stima che gli stessi attori possano combinare intelligence, attacchi informatici e l’uso di proxy criminali, sfumando il confine tra attività militare e criminale. Tali tendenze, ha affermato, stanno portando a un “ambiente di sicurezza degradato”, in cui gli stati che aderiscono a modelli autoritari agiscono in modo sempre più aggressivo e meno prevedibile.
Ha citato come esempi i gruppi cinesi Salt Typhoon e Volt Typhoon. Il primo è specializzato in cyberspionaggio e ha già condotto ricognizioni sulle reti di telecomunicazioni australiane, mentre il secondo si stava preparando per operazioni distruttive, ottenendo l’accesso a strutture critiche statunitensi con il potenziale di disattivarle.
Tali intrusioni, ha sottolineato il direttore dell’ASIO, forniscono a un avversario la capacità tecnica di disattivare le comunicazioni o l’alimentazione elettrica in qualsiasi momento e, in tali circostanze, ulteriori sviluppi dipendono esclusivamente dalla volontà politica, non dalla disponibilità di strumenti.
Ha prestato particolare attenzione al problema dell’impreparazione delle aziende a tali minacce. A suo avviso, la maggior parte degli incidenti aziendali si verifica a causa di vulnerabilità ben note e della negligenza delle misure di sicurezza di base. Nonostante i rischi siano stati identificati da tempo, il management spesso percepisce gli attacchi informatici come imprevisti. Allo stesso tempo, ha sottolineato, la protezione contro il sabotaggio richiede gli stessi approcci gestionali del monitoraggio di guasti interni, furti o incidenti.
Burgess ha esortato le aziende ad abbandonare un approccio superficiale alla sicurezza e ad andare oltre presentazioni e report. Ha sottolineato che i dirigenti devono comprendere chiaramente quali dati, sistemi e servizi sono critici per l’azienda e i suoi clienti, dove sono archiviati, chi vi ha accesso e quanto sono protetti. Solo allora potranno costruire un sistema di sicurezza coeso che elimini le lacune tra i reparti e le soluzioni isolate.
Secondo il responsabile dell’ASIO, la mancanza di misure globali non può essere giustificata né dalla complessità delle tecnologie né dalla mancanza di risorse. Se i rischi sono prevedibili e le vulnerabilità sono note, l’inazione si trasforma in una violazione deliberata della sicurezza.
Ha sottolineato che ignorare queste minacce nel contesto attuale è inaccettabile, soprattutto considerando che i potenziali avversari dispongono già di tutto il necessario per attaccare le infrastrutture, comprese le capacità di intelligenza artificiale.
Nel Patch Tuesday di novembre, Microsoft ha corretto 63 vulnerabilità, tra cui una vulnerabilitàzero-day critica che era già stata sfruttata in attacchi. Questa volta, le correzioni hanno interessato un’ampia gamma di componenti Windows e prodotti Microsoft, dal kernel del sistema operativo alla suite Office e alle soluzioni cloud.
Secondo l’azienda stessa, la vulnerabilità più pericolosa riguardava il kernel di Windows e consentiva di ottenere privilegi di sistema; alla vulnerabilità è stato assegnato l’identificatore CVE-2025-62215. La falla consentiva l’escalation dei privilegi locali sfruttando una sincronizzazione non corretta durante la condivisione delle risorse. La scoperta del bug è stata fatta dal team interno di Microsoft per le minacce informatiche.
Delle vulnerabilità rimanenti, 29 riguardano l’escalation dei privilegi, 16 consentono l’esecuzione di codice remoto, 11 forniscono accesso a informazioni sensibili, tre causano crash di sistema, due aggirano i meccanismi di sicurezza e due comportano la manomissione dei dati. Quattro delle vulnerabilità scoperte sono state classificate come “critiche”, anche a causa della possibilità di esecuzione di codice remoto.
Gli aggiornamenti hanno interessato sia le versioni moderne di Windows che i sistemi legacy. Windows 10 ha ricevuto l’aggiornamento per la prima volta nell’ambito del supporto esteso.
Microsoft ha inoltre rilasciato una correzione non programmata per un bug che impediva agli utenti di registrarsi al programma ESU. Oltre alle correzioni delle vulnerabilità, l’azienda ha rilasciato anche gli aggiornamenti KB5066835 e KB5066793 per Windows 11 e la build KB5068781 per Windows 10.
Oltre a Microsoft, anche altri fornitori hanno rilasciato aggiornamenti. Adobe ha corretto le vulnerabilità in InDesign, Illustrator, Photoshop e altri prodotti. Cisco ha corretto bug in diverse soluzioni, tra cui ASA e sistemi di identificazione utente, e ha lanciato l’allarme per una nuova ondata di attacchi che sfruttano vecchie vulnerabilità. È stato corretto un bug critico relativo all’esecuzione di codice remoto nella libreria JavaScript expr-eval.
Fortinet ha rilasciato un aggiornamento per FortiOS che risolve un problema di escalation dei privilegi. Il bollettino sulla sicurezza Android di Google di novembre ha corretto due vulnerabilità . Inoltre, Ivanti , SAP , Samsung e QNAP hanno rilasciato i loro aggiornamenti mensili in sincronia con Microsoft. Nello specifico, QNAP ha corretto sette vulnerabilità zero-day dimostrate durante la competizione di hacking Pwn2Own Ireland 2025.
Questo mese, le vulnerabilità nei prodotti Microsoft Office, inclusi Excel e Word, meritano un’attenzione particolare. Sono stati corretti sia i difetti di divulgazione delle informazioni sia i bug che potrebbero consentire l’esecuzione di codice dannoso all’apertura dei documenti. Sono state identificate vulnerabilità anche in Kerberos di Windows, nei componenti DirectX, nei driver Bluetooth e Wi-Fi, in Desktop remoto e nell’interfaccia utente grafica del sottosistema Windows per Linux.
Alcuni problemi hanno interessato Visual Studio e le estensioni CoPilot, evidenziando la vulnerabilità degli strumenti di sviluppo.
Un elenco completo delle vulnerabilità risolte è disponibile nella documentazione ufficiale di Microsoft. Dato lo sfruttamento attivo di alcune di queste vulnerabilità, si consiglia di aggiornare i sistemi alla versione più recente il prima possibile.
Dal 12 novembre 2025, l’AGCOM ha riportato che in linea con l’art. 13-bis del decreto Caivano (dl123/2023), 47 siti per adulti raggiungibili dall’Italia avrebbero dovuto introdurre un sistema di verifica dell’identità per impedire l’accesso ai minori.
Age Verification sui siti per adulti dal 12 di novembre in Italia
Una misura attesa da mesi, annunciata come un passo deciso verso la tutela dei più giovani online. Tuttavia, a distanza di un giorno dalla scadenza fissata, i principali portali per adulti sono ancora liberamente accessibili, senza alcun tipo di verifica aggiuntiva. Schermata di PornHub accessibile al solo click “Ho 18 anni o più – entra”. Visitando oggi il più grande hub mondiale di contenuti per adulti, Pornhub, il sito si presenta esattamente come prima: una schermata iniziale in cui l’utente deve semplicemente dichiarare di avere almeno 18 anni per entrare. Una finestra standard, identica a quella visibile in altri Paesi dove, tuttavia, esistono veri controlli di accesso. Basta cliccare “Ho 18 anni o più – Entra” per poter accedere liberamente a tutti i contenuti.
Questa situazione solleva più di una domanda. L’Italia aveva promesso un intervento deciso, dopo mesi di discussioni e pressioni da parte di associazioni e politici. Ma oggi la realtà è che nulla è cambiato: i siti restano aperti e la verifica dell’identità rimane solo sulla carta. Una vicenda che richiama alla mente altri casi in cui annunci e provvedimenti si sono rivelati inefficaci o incompleti. Age verification sul portale dell’Autorità per le garanzie nelle comunicazioni che riporta l’attivazione dal 12 di novembre.
Un paese che ne esce fuori indebolito
Premesso che noi di Red Hot Cyber riteniamo che il provvedimento, anche se attuato, sarebbe stato comunque un pagliativo, è evidente che il problema non è solo tecnico ma anche politico e culturale. L’uso di strumenti come VPN, Tor Browser o proxy consente di aggirare facilmente qualsiasi blocco o restrizione geografica, rendendo la misura una barriera solo apparente. Inoltre, in un contesto così destrutturato, a gonfiarsi il portafogli sarebbero i criminali informatici che spaccerebbero VPNinfostealer con VPN Gratuite e incetta di dati personali.
Ma c’è un aspetto ancora più preoccupante: l’immagine che l’Italia trasmette alla comunità internazionale. Quando un Paese annuncia una misura di controllo e poi non la applica, ne esce indebolito. E questo non riguarda soltanto la gestione dei contenuti per adulti, ma più in generale la credibilità nel far rispettare le proprie leggi digitali. Schermata di YouPorn accessibile al solo click “Ho 18 anni o più – entra”. Un precedente simile si era già verificato con il caso DeepSeek, l’intelligenza artificiale cinese che era stata “vietata” in Italia ma di fatto mai realmente bloccata. Una storia che si ripete, dimostrando come spesso gli annunci non si traducano in risultati concreti.
E ora?
Ci si chiede allora cosa pensino oggi i gestori dei 47 siti per adulti che erano stati messi sotto osservazione: forse si domandano quanto seriamente l’Italia voglia davvero affrontare il tema. Una domanda che, purtroppo, ci facciamo anche noi.
Al momento, non si parla di sanzioni né di provvedimenti concreti contro i siti che non hanno rispettato l’obbligo di introdurre un sistema di verifica dell’età. Nessuna multa, nessuna azione da parte delle autorità competenti sembra essere stata avviata.
Un silenzio che stride con quanto avvenuto, ad esempio, in Francia, dove dopo il lancio ufficiale del sistema di Age Verification, solo pochi portali erano rimasti operativi senza adeguarsi alle nuove regole, e furono rapidamente bloccati o costretti a conformarsi. In Italia, invece, l’impressione è che tutto sia rimasto fermo al livello delle dichiarazioni di principio, senza alcun seguito concreto.
E così, mentre la tecnologia e la rete corrono a una velocità sempre maggiore, l’Italia sembra rimanere ferma nel limbo delle buone intenzioni e delle grandi promesse.
Ci viene in mente una frase molto lontana, ma ancora attuale del grande Adriano Olivetti, che descrive perfettamente la situazione di oggi:
“L’Italia procede ancora nel compromesso, nei vecchi sistemi del trasformismo politico, del potere burocratico, delle grandi promesse, dei grandi piani e delle modeste realizzazioni.”
L’intelligenza artificiale si sta mangiando Internet (e non è una bolla) State pronti. Perché quello che sta succedendo adesso non è una bolla. È un cambio di specie.
Rust is the new hotness in programming languages because of how solid its memory protections are. Race conditions and memory leaks are hardly new issues however, and as greybeards are wont to point out, they were kind of a solved problem already: we have Ada. So if you want a memory-protected kernel but aren’t interested in the new kids’ rusty code, you might be interested in the Ironclad OS kernel, written entirely in Ada.
OK, not entirely in classic Ada– they claim to use SPARK, too, but since SPARK and Ada converged syntax-wise over a decade ago, we’re just going to call it Ada. The SPARK toolchain means they can get this kernel “formally-verified” however, which is a big selling point. If you’re not into CS, that just means the compiler can confirm the code is going to do what we want under all possible conditions — which is a nice thing to be able to say about the heart of your operating system, I think we can all agree. It’s a nice thing to be able to say about any code, which is one reason why you might want to be programming in Ada.
It’s also not something we can say without qualifications about Ironclad OS, as the verification process is still ongoing. Still, that lofty goal certainly sets Ironclad apart from other POSIX kernel projects.
Yes, the Ironclad OS kernel is POSIX compliant, like its Rust-based equivalent Redox OS. While it would be nice to see some innovation outside the POSIX box (outside of whatever Redmond’s doing these days), making the kernel POSIX-compliant certainly makes it a lot more useful. The Ironclad OS kernel is fully open source under GPLv3, with no binary blobs built in. The OSF will like that, and the rest of us should be able to tack on the binary blobs needed to run our hardware as usual, so it’s win-win.
They’re currently targeting RISC-V and x86, with test platforms being MilkV and LattePanda SBCs. If someone was willing to take on the project single-handedly, they could probably strongarm the project into supporting other architectures, if there’s are any other SBCs popular these days. PowerPC, perhaps?
For the supported architectures, there is already a usable (for some values of the word) distribution in the form of Gloire, which is appropriately named after the first ocean-going Ironclad vessel. The header image is a screenshot from an X-server on running on that distribution.
[Mellow Labs] wanted to grab a multimeter that could do Bluetooth. Those are cheap and plentiful, but the Bluetooth software was, unsurprisingly, somewhat lacking. A teardown shows a stock Bluetooth module. A quick search found a GitHub with software. But then he had a fiendish idea: could you replace the Bluetooth module with an ESP32 and use WiFi instead of Bluetooth?
This was as good an excuse as any to buy a cheap logic analyzer. Armed with some logic captures, it was easy to figure out how to fake the meter into thinking a Bluetooth client was connected.
Oddly enough, the data is “encrypted” with XOR, and an AI website was able to identify the raw data versus the encrypted data and deduce the key. The rest, as they say, was software. Well, except for one hardware problem: The ESP32 needed more power, but that was a fairly simple fix.
The entire thing fit the case beautifully. Now the meter streams a web page instead of requiring Bluetooth. Great job!
ma quanto sono strano a me della foto interessa un fatto marginale premesso che per me trump è un burattino del kremlino e andrebbe perseguito per quello della situazione quindi mi dispiace che il nome Maxwell sia finito lì in mezzo. Essendo J. K. Maxwell il mio idolo.
Should you spend some time around the less scientifically informed parts of the internet, it’s easy to find “Free power” stories. Usually they’re some form of perpetual motion machine flying in the face of the laws of conservation of energy, but that’s not to say that there is no free power.
Of course, he’s not discovered perpetual motion. Rather, while an LED normally requires a bit of current to light up properly, it seems many will produce a tiny amount of light on almost nothing. Ambient electromagnetic fields are enough, and it’s this effect that’s under investigation. Using a phone camera and a magnifier as a light detector he’s able to observe the feeble glow as the device is exposed to ambient fields.
In effect this is using the LED as the very simplest form of radio receiver, a crystal set with no headphone and only the leads, some wires, and high value resistors as an antenna. The LED is after all a diode, and it can thus perform as a rectifier. We like the demonstration even if we can’t quite see an application for it.
While we’re no longer taking new entries for the 2025 Component Abuse Challenge, we’ve still got plenty of creative hacks from the competition to show off. We’re currently tabulating the votes, and will announce the winners of this particularly lively challenge soon.
This week Jonathan and Ben chat with Jason Shepherd about Ocre and Atym.io! That’s the lightweight WebAssembly VM that lets you run the same containers on Linux and a host of embedded platforms, on top of the Zephyr embedded OS. What was the spark that led to this project’s creation, what does Atym.io bring to the equation, and what are people actually doing with it? Watch to find out!
Did you know you can watch the live recording of the show right on our YouTube Channel? Have someone you’d like us to interview? Let us know, or have the guest contact us! Take a look at the schedule here.
In the global game of nuclear brinksmanship, secrets are the coin of the realm. This was especially true during the Cold War, when each side fielded armies of spies to ferret out what the other guy was up to, what their capabilities were, and how they planned to put them into action should the time come. Vast amounts of blood and treasure were expended, and as distasteful as the whole thing may be, at least it kept armageddon at bay.
But secrets sometimes work at cross-purposes to one’s goals, especially when one of those goals is deterrence. The whole idea behind mutually assured destruction, or MAD, was the certain knowledge that swift retaliation would follow any attempt at a nuclear first strike. That meant each side had to have confidence in the deadliness of the other’s capabilities, not only in terms of their warheads and their delivery platforms, but also in the systems that controlled and directed their use. One tiny gap in the systems used to transmit launch orders could spell the difference between atomic annihilation and at least the semblance of peace.
During the height of the Cold War, the aptly named Survivable Low-Frequency Communication System was a key part of the United States’ nuclear deterrence. Along with GWEN, HFGCS, and ERCS, SLFCS was part of the alphabet soup of radio systems designed to make sure the bombs got dropped, one way or another.
Skipping the Skip
Nuking the atmosphere, for science. The Starfish Prime tests showed how easily one could deprive one’s enemy of the use of the ionosphere. Source: USAF 1352nd Photographic group, public domain. The hams have a saying: “When all else fails, there’s amateur radio.” It’s true, but it comes with a huge caveat, since hams rely on the ionosphere to bounce their high-frequency (HF) signals around the world. Without that layer of charged particles, their signals would just shoot off into space instead of traveling around the world.
For the most part, the ionosphere is a reliable partner in amateur radio’s long-distance communications networks, to the point that Cold War military planners incorporated HF links into their nuclear communications systems. But since at least the Operation Argus and Operation Hardtack tests in 1958, the United States had known about the effect of high-altitude nuclear explosions on the ionosphere. Further exploration of these effects through the Starfish Prime tests in 1962 revealed just how vulnerable the ionosphere is to direct attack, and how easy it would be to disrupt HF communications networks.
The vulnerability of the ionosphere to attack was very much in the minds of U.S. Air Force commanders during the initial design sessions that would eventually lead to SLFCS. They envisioned a system based on the propagation characteristics of the EM spectrum at lower frequencies, in the low-frequency (LF) and very-low-frequency (VLF) bands. While wavelengths in the HF part of the spectrum are usually measured in meters, LF and VLF waves are better measured in kilometers, ranging between 1 and 100 kilometers.
At these wavelengths, radio behaves very differently than they do further up the dial. For LF signals (30 to 300 kHz), the primary mode of propagation is via ground waves, in which signals induce currents in the Earth’s surface. These currents tend to hug the surface, bending with its curvature and propagating long distances. For VLF signals (3 to 30 kHz), Earth-ionosphere waveguide propagation dominates. Thanks to their enormous wavelengths, which are comparable to the typical altitude of the lowest, or D-layer, of the ionosphere, the waves “see” the space between the ground and the ionosphere as a waveguide, which forms a low-loss path that efficiently guides them around the globe.
Critically for the survivability aspect of SLFCS, both of these modes are relatively immune to the ionospheric effects of a nuclear blast. That’s true even for VLF, which would seem to rely on an undisturbed ionosphere to form the “roof” of the necessary waveguide, but the disruption caused by even a large blast is much smaller than their wavelengths, rendering any changes to the ionosphere mostly invisible to them.
Big Sticks
Despite the favorable propagation modes of LF and VLF for a communications system designed to survive a nuclear exchange, those long wavelengths pose some challenges. Chief among these is the physical size of the antennas necessary for these wavelengths. In general, antenna size is proportional to wavelength, which makes the antennas for LF and VLF quite large, at least on the transmitting side. For SLFCS, two transmission sites were used, one at Silver Creek, Nebraska, and another in the middle of the Mojave Desert in Hawes, California. Since ground wave propagation requires a vertically polarized signal, each of these sites had a guyed mast radiator antenna 1,226 feet (373 meters) tall.
While the masts and guy wire systems were as reinforced as possible, there’s only so much that can be done to make a structure like that resist a nuke. Still, these structures were rated for a “moderate” nuclear blast within a 10-mile (16-km) radius. That would seem to belie the “survivable” goal of the system, since even at the time SLFCS came online in the late 1960s, Soviet ICBM accuracy was well within that limit. But the paradox is resolved by the fact that SLFCS was intended only as a backup method of getting launch orders through to ICBM launch facilities, to be used to launch a counterattack after an initial exchange that hit other, more valuable targets (such as the missile silos themselves), leaving the ionosphere in tatters.
The other challenge of LF/VLF communications is the inherently low data transfer rates at these frequencies. LF and VLF signals only have perhaps a kilohertz to as few as a few hertz of bandwidth available, meaning that they can only encode data at the rate of a few tens of bits per second. Such low data rates preclude everything but the most basic modulation, such as frequency-shift keying (FSK) or its more spectrally efficient cousin, minimum-shift keying (MSK). SLFCS transmitters were also capable of sending plain old continuous wave (CW) modulation, allowing operators to bang out Morse messages in a pinch. When all else fails, indeed.
No matter which modulation method was used, the idea behind SLFCS was to trade communications speed and information density for absolute reliability under the worst possible conditions. To that end, SLFCS was only intended to transmit Emergency Action Messages (EAMs), brief alphanumeric strings that encoded specific instructions for missile commanders in their underground launch facilities.
Buried Loops
SLFCS receiver equipment giving off Fallout vibes in the Oscar-Zero launch control center at the Ronald Reagan Minuteman Missile State Historic Site. While the transmitting side of the SLFCS equation was paradoxically vulnerable, the receiving end of the equation was anything but. These missile alert facilities (MAFs), sprinkled across the upper Midwest, consisted of ten launch facilities with a single Minuteman III ICBM in an underground silo, along with one underground launch control center, or LCC. Above ground, the LCC sports a veritable antenna farm representing almost the entire RF spectrum, plus a few buried surprises, such as the very cool HFGCS antenna silos, which can explosively deploy any of six monopole antennas up from below ground to receive EAMs after the LCC has gotten its inevitable nuking.
The other subterranean radio surprise at LCCs is the buried SLFCS antenna. The buried antenna takes advantage of the induced Earth currents in ground wave propagation, and despite the general tendency for LF antennas to be large is actually quite compact. The antennas were a magnetic loop design, with miles of wire wrapped around circular semi-rigid forms about 1.5 meters in diameter. Each antenna consisted of two loops mounted orthogonally, giving the antenna a globe-like appearance. Each loop of the antenna was coated with resin to waterproof and stiffen the somewhat floppy structure a bit before burying it in a pit inside the LCC perimeter fence. Few examples of the antenna exist above ground today, since most were abandoned in place when SLFCS was decommissioned in the mid-1980s. One SLFCS antenna was recently recovered, though, and is currently on display at the Titan Missile Museum in Arizona.
Like many Cold War projects, the original scope of SLFCS was never fully realized. The earliest plans called for around 20 transmit/receive stations, plus airplanes equipped with trailing wire antennas over a mile long, and more than 300 receive-only sites across the United States and in allied countries. But by the time plans worked their way through the procurement process, technology had advanced enough that military planners were confident that they had the right mix of communications modes for the job. In the end, only the Nebraska and California transmit/receive sites were put into service, and even the airborne transmitters idea was shelved thanks to excessive drag caused by that long trailing wire. Still, the SLFCS towers and the buried loop antennas stayed in service until the mid-1980s, and the concept of LF and VLF as a robust backup for strategic comms lives on with the Air Force’s Minimum Essential Emergency Communications Network.
All’inizio si parlava di “virus” poi sono comparsi i “worm” seguiti poi dai “macro virus”.
A questi si sono presto affiancati altri tipi di software ostili come i keylogger o i locker.
Ad un certo punto abbiamo tutti iniziato a chiamarli più genericamente malware.
E proprio come i virus biologici, i malware si sono evoluti nel tempo; alcuni, sono altamente opportunisti, compaiono per sfruttare opportunità a breve termine mentre altri si sono evoluti per sfruttare difetti e problemi più fondamentali presenti nei sistemi IT che non sono ancora stati risolti.
Da Creeper a moderni Ransomware
I primi virus della storia informatica risalgono agli anni 70/80. Il primo malware della storia informatica è stato Creeper, un programma scritto per verificare la possibilità che un codice potesse replicarsi su macchine remote.
Il programma chiamato Elk Cloner è invece accreditato come il primo virus per computer apparso al mondo. Fu creato nel 1982da Rich Skrenta sul DOS 3.3 della Apple e l’infezione era propagata con lo scambio di floppy disk: il virus si copiava nel settore di boot del disco e veniva caricato in memoria insieme al sistema operativo all’avvio del computer.
Nel corso degli anni ottanta e nei primi anni novanta, Con la proliferazione dei floppy disk si ebbe una notevole diffusione dei virus, infatti una pratica assai comune era lo scambio di floppy in ogni ambito lavorativo .Bastavano pochi floppy infetti per far partire un attacco su vasta scala
Dalla metà degli anni novanta, invece, con la diffusione di internet, i virus ed i cosiddetti malware in generale, iniziarono a diffondersi assai più velocemente, usando la rete e lo scambio di e-mail come fonte per nuove infezioni.
Il primo virus informatico che si guadagnò notorietà a livello mondiale venne creato nel 1986 da due fratelli pakistani proprietari di un negozio di computer per punire, secondo la loro versione, chi copiava illegalmente il loro software. Il virus si chiamava Brain, si diffuse in tutto il mondo, e fu il primo esempio di virus che infettava il settore di avvio del DOS.
Il primo file infector invece apparve nel 1987. Si chiamava #Lehigh e infettava solo il file command.com. Nel 1988Robert Morris Jr. creò il primo #worm con diffusione su internet, il Morris worm. L’anno seguente, nel 1989, fecero la loro comparsa i primi virus polimorfi, con uno dei più famosi: Vienna, e venne diffuso il trojanAIDS (conosciuto anche come Cyborg), molto simile al trojan dei nostri giorni chiamato PGPCoder. Entrambi infatti codificano i dati del disco fisso chiedendo poi un riscatto all’utente per poter recuperare il tutto( il funzionamento è lo stesso degli attuali #Ransomware).
Nel 1995 il primo macrovirus, virus scritti nel linguaggio di scripting di programmi di Microsoft come Word ed Outlook che infettano soprattutto le varie versioni dei programmi Microsoft attraverso lo scambio di documenti. Concept fu il primo macro virus della storia.
Sono infatti i più insidiosi tra i virus diffusi attraverso la posta elettronica perché sfruttano la possibilità, offerta da diversi programmi come Outlook e Outlook Express di eseguire istruzioni attive (dette script), contenute nei messaggi di posta elettronica scritti in HTML per svolgere azioni potenzialmente pericolose sul computer del destinatario.
I virus realizzati con gli script sono i più pericolosi perché possono attivarsi da soli appena il messaggio viene aperto per la
lettura. I Love You si diffuse attraverso la posta elettronica in milioni di computer di tutto il mondo, al punto che per l’arresto del suo creatore, un ragazzo delle Filippine, dovette intervenire una squadra speciale dell’FBI.
Era un messaggio di posta elettronica contenente un piccolo programma che istruiva il computer a rimandare il messaggio appena arrivato a tutti gli indirizzi contenuti nella rubrica della vittima, in questo modo generando una specie di catena di sant’Antonio automatica che saturava i server di posta.
Dal 2001 si è registrato un incremento di worm che, per diffondersi, approfittano di falle di programmi o sistemi operativi senza bisogno dell’intervento dell’utente. L’apice nel 2003 e nel 2004:SQL/Slammer, il più rapido worm della storia – in quindici minuti dopo il primo attacco, Slammer aveva già infettato metà dei server che tenevano in piedi internet mettendo fuori uso i bancomat della Bank of America, spegnendo il servizio di emergenza 911 a Seattle e provocando la cancellazione per continui inspiegabili errori nei servizi di biglietteria e check-in di alcune compagnie aeree; ed i due worm più famosi della storia: Blaster e Sasser.
Nel gennaio 2004 compare MyDoom, worm che ancora oggi detiene il record di velocità di diffusione nel campo dei virus. Anche in questo caso il vettore di contagio è la posta elettronica: MyDoom, infatti, altro non è che un tool appositamente sviluppato (su commissione) per inviare spam. E, stando alle statistiche, ha svolto molto bene il suo lavoro.
Nel 2007, invece, nascono e si diffondono Storm Worm e Zeus. Il primo è un trojan horse altamente virale (si pensa che abbia infettato decine di milioni di macchine) che permette ad un hacker di prendere il controllo del computer infetto e aggiungerlo alla rete botnet Storm.
Il secondo, invece, colpisce sistemi informatici basati su Microsoft Windows ed è ideato per rubare informazioni di carattere bancario (credenziali per accedere al conto corrente e dati della carta di credito).
Dal 2010 in poi, gli anni della #cyberwar. La sempre maggiore diffusione di computer e altri dispositivi informatici rende i virus e i malware delle vere e proprie armi a disposizione delle maggiori potenze mondiali. Lo dimostra il virus Stuxnet, un trojan che si diffonde nella seconda parte dell’anno e da molti ritenuto un’arma per colpire i sistemi informatici delle centrali nucleari iraniane. Nel 2012 viene scoperto Flame, malware utilizzato, probabilmente, in azioni di spionaggio in alcuni Paesi del Medio Oriente e scoperto da alcuni informatici iraniani.
Nel medesimo anno cominciò a diffondersi nel 2012. Basato sul trojanCitadel (che era a sua volta basato sul trojan Zeus), il suo payload mostrava un avviso che sembrava provenire dalla polizia federale (da cui prese il nome “trojan della polizia”), affermando che il computer era stato utilizzato per attività illegali (ad esempio per il download di software pirata o di materiale pedopornografico).
L’avviso informava l’utente che per sbloccare il loro sistema avrebbe dovuto pagare una multa usando un voucher di un servizio di credito prepagato anonimo, per esempio
o Paysafecard. Per rendere maggiore l’illusione che il computer fosse sotto controllo della polizia federale, lo schermo mostrava anche l’Indirizzo IP della macchina, e alcune versioni mostravano addirittura dei filmati della webcam del PC per far sembrare che l’utente fosse anche ripreso dalla polizia.
Nonostante l’apertura di un nuovo fronte, i normali internauti restano i bersagli preferiti dei creatori di virus. Lo dimostra il malwareCryptolocker, comparso per la prima volta nel 2013 e ancora attivo , anche se con altre forme e altri nomi .
Nel 2014 si è assistito alla proliferazione del trojan Sypeng che era in grado di rubare i dati delle carte di credito, di accedere al registro delle chiamate, alla messaggistica, ai segnalibri del browser e ai contatti. Il malware è stato inizialmente diffuso nei paesi di lingua russa, ma a causa della particolare dinamica della sua distribuzione, ha messo a rischio milioni di pagine web che utilizzano AdSense per visualizzare messaggi pubblicitari. Diffuso via Internet, dà modo agli hacker di crittografare tutti i dati contenuti nel disco rigido e chiedere un riscatto vero e proprio per ottenere il codice di sblocco.
Dopo i fatti di cronaca del 2019 il ransomware è diventato sicuramente il tipo di malware più noto e più temuto. Mentre molte persone potrebbero non sapere esattamente che un Bot o un RAT lo sono, praticamente tutti hanno sentito storie orribili di interi comuni, aziende o fornitori di servizi sanitari bloccati da ransomware. Potrebbero non sapere esattamente di cosa si tratta, ma sanno che è un problema attuale per qualche motivo.
Anche se i ransomware occupano la maggior parte del palcoscenico (in particolare sulla stampa generalista) non sono l’unica minaccia. Anche Keylogger, Data Stealer, RAM crapers, Bot, Banking Trojan e RAT continuano ad essere protagonisti di molti incidenti di sicurezza e provocare danni rilevanti.
Keyloger
I keyloggers sono sorprendentemente semplici ed allo stesso tempo estremamente efficaci e pericolosi. Si agganciano al flusso di dati provenienti dalle nostre tastiere, questo permette di intercettare tutto ciò che viene scritto. Il bersaglio principale sono solitamente le credenziali di accesso, ma questi malware possono intercettare anche altri tipi di informazione.
Possono essere implementati in molti modi diversi sia hardware che software. Ad esempio ne esistono alcuni progettati per essere nascosti nel connettore USB del cavo della tastiera.
DATA STEALERS
“Data Stealers”, è il nome generico utilizzato per definire qualsiasi malware che entra nella nostra macchina e va a caccia nel nostro disco rigido, e forse anche in tutta la nostra rete, se possibile, alla ricerca di file che contengano dati che valgono qualcosa per i criminali.
RAM SCRAPERS
I malware non riescono sempre a trovare ciò che vogliono nei file presenti sul nostro computer, anche se il malware ha accesso come amministratore o root. Questo perché i dati utili potrebbero esistere solo temporaneamente nella memoria prima di essere deliberatamente cancellati senza mai essere scritti su disco.
Ad esempio la memorizzazione permanente di alcuni dati è ora vietata da regolamenti come PCI-DSS, che è lo standard di sicurezza dei dati del settore delle carte di pagamento.
Però i computer DEVONO, ad esempio, disporre di una chiave privata nella RAM per eseguire la decodifica. I dati segreti DEVONO esistere temporaneamente nella RAM, anche se solo per un breve periodo. Perciò ,cose come chiavi di decrittazione, password in chiaro e token di autenticazione di siti Web sono i tipici bersagli dei RAM scrapers.
BOT
Il botè un programma che accede alla rete attraverso lo stesso tipo di canali utilizzati dagli utenti umani (per esempio che accede alle pagine Web, invia messaggi in una chat, si muove nei videogiochi, e così via). Programmi di questo tipo sono diffusi in relazione a molti diversi servizi in rete, con scopi vari, ma in genere legati all’automazione di compiti che sarebbero troppo gravosi o complessi per gli utenti umani.Fondamentalmenteun bot stabilisce una backdoor semi-permanente in un computer in modo che gli attaccanti possano inviare comandi ovunque si trovino.
Una raccolta di bot viene chiamata botnet. L’altro termine popolare per “Bot” è “Zombi” perché possono anche agire un po ‘come agenti dormienti. I bot comprendono l’invio di carichi di spam dal tuo indirizzo IP, la ricerca di file locali, l’annullamento delle password, l’esplosione di altre macchine su Internet con inondazioni di traffico e persino il clic sugli annunci online per generare entrate pay-per-click.
BANKING TROJANS
I Trojan bancari meritano la loro sottoclasse di malware a causa della loro specializzazione. Si rivolgono esclusivamente alle informazioni bancarie online della vittima. I trojan bancari in genere includono un componente keylogger, per catturare le password mentre vengono immesse e un componente di furto di dati trovare password non crittografate o dettagli dell’account.
RATS
Il RAT – abbreviazione di Remote Access Trojan – ha molto in comune con un “bot”, ma differisce da questo perchè non fa parte di una massiccia campagna per vedere quanti “bot” possono essere richiamati e gestiti per eventi di attacco di massa .
Solitamente i RAT sono impiegati in attacchi più mirati e potenzialmente per eseguire un intrusione dannosa. Possono catturare screenshot, ascoltare l’audio delle nostre stanze attraverso il microfono del PC e accendere le nostre webcam.
Il produttore cinese GMKtec ha presentato il suo nuovo mini PC EVO-X2, equipaggiato con processore Ryzen AI Max+ 395, dichiarando prestazioni paragonabili – e in alcuni casi superiori – a quelle del mini supercomputer NVIDIA DGX Spark, ma a un prezzo decisamente inferiore.
Il DGX Spark è stato ufficialmente lanciato dopo quasi un anno di sviluppo, con un prezzo di 3.999 dollari. GMKtec, invece, propone il suo EVO-X2 a meno della metà del costo del modello NVIDIA.
Nei test interni pubblicati sul blog ufficiale di GMKtec, il mini PC EVO-X2 è stato messo a confronto con il DGX Spark su diversi modelli open source di grandi dimensioni, tra cui Llama 3.3 70B, GPT-OSS 20B, Qwen3 Coder e Qwen3 0.6B. I risultati mostrano che l’architettura eterogenea CPU+GPU+NPU e il motore XDNA 2 del processore Strix Halo offrono un vantaggio significativo nelle operazioni di inferenza in tempo reale. In particolare, EVO-X2 si distingue per la rapidità nella generazione dei token e per una latenza inferiore all’avvio rispetto al DGX Spark, rendendolo più reattivo in scenari di risposta immediata.
Nonostante il DGX Spark mantenga una potenza di calcolo di 1 PFLOP FP4 con 10 GB di memoria, risultando ideale per ambienti ad alto throughput, il mini PC di GMKtec sembra puntare su un diverso segmento di utenza: professionisti e sviluppatori che necessitano di inferenze in tempo reale e applicazioni sensibili alla latenza, ma con un budget più contenuto.
In sintesi, mentre il DGX Spark si rivolge a chi richiede la massima potenza per elaborazioni intensive, EVO-X2 propone una soluzione compatta e più accessibile, capace di offrire prestazioni competitive nei modelli AI di grandi dimensioni, con un rapporto prezzo/prestazioni favorevole.
Si parla di 11 miliardi di Euro. Una cifra da capogiro!
Il Centro Nazionale di Risposta alle Emergenze Virus Informatici (CVERC) cinese ha affermato che un’entità statale, probabilmente statunitense, era dietro un attacco del 2020 a una società di mining di Bitcoin.
Recentemente, il CVERC ha pubblicato un rapporto su Weixin che descriveva un attacco al gestore del mining pool LuBian, che operava in Cina e Iran. A seguito dell’incidente, aggressori sconosciuti hanno rubato 127.272 Bitcoin.
Secondo il centro, il proprietario dei fondi rubati era Chen Zhi, presidente del Cambodian Prince Group. All’inizio del 2021 e nel luglio 2022, ha lasciato messaggi sulla blockchain chiedendo la restituzione della criptovaluta e offrendo un riscatto, ma senza successo.
Gli esperti del CVERC osservano che i Bitcoin rubati sono stati conservati in un unico portafoglio per quasi quattro anni e sono rimasti praticamente inutilizzati. Tale comportamento, a loro avviso, è caratteristico non dei criminali comuni, ma di un’entità statale in grado di mantenere il controllo sui beni per lungo tempo.
Il rapporto collega inoltre l’incidente agli eventi del 14 ottobre 2025, quando il Dipartimento di Giustizia degli Stati Uniti ha annunciatoaccuse contro Chen Zhi per frode e riciclaggio di denaro. Secondo gli investigatori statunitensi, l’uomo dirigeva campi di lavoro forzato e centri antifrode in Cambogia.
Contemporaneamente, il Dipartimento di Giustizia degli Stati Uniti ha presentato una richiesta di confisca per circa 127.271 bitcoin, citandoli come “proventi e strumenti” di attività illegali. Il dipartimento ha affermato che la criptovaluta era precedentemente conservata nei portafogli personali di Chen Zhi, ma ora è sotto il controllo del governo statunitense.
Il CVERC afferma che la sua analisi dei registri blockchain conferma che le stesse monete sono effettivamente finite in indirizzi associati agli Stati Uniti. Pertanto, entrambe le parti concordano su un punto: i bitcoin rubati a Chen Zhi ora appartengono a Washington.
Tuttavia, il rapporto cinese non fa alcun riferimento al collegamento dell’uomo d’affari con i campi di lavoro forzato. Ciò è sconcertante, dato che Pechino condanna pubblicamente tali schemi: i cittadini cinesi ne sono spesso vittime e le autorità hanno ripetutamente segnalato operazioni congiunte per smantellarli e dure condanne per i loro organizzatori.
Altrettanto insolito è che, nelle conclusioni del rapporto, il CVERC si rivolga alla comunità blockchain cinese e agli operatori di mining pool con raccomandazioni per rafforzare la sicurezza informatica. Ciò appare contraddittorio, dato che la Cina ha ufficialmente vietato il mining e il trading di criptovalute già nel 2021.
Gli analisti ritengono che la pubblicazione del CVERC possa far parte di una campagna informativa interna volta a rafforzare l’immagine della Cina come vittima di attacchi informatici. Pechino ha già pubblicato rapporti simili, sostenendo di non condurre operazioni illecite e che le accuse di hacking degli Stati Uniti, incluso l’incidente del Volt Typhoon, sono inventate.
@Informatica (Italy e non Italy 😁) La sanità digitale, rappresenta ancora un elemento di assoluta criticità complice anche un’organizzazione non federata ed eterogenea tra regioni. A farne le spese sono spesso i pazienti ma talvolta anche […] L'articolo Sanità: una questione ancora da risolvere proviene da Edoardo Limone.
Luca Stefani
in reply to Filippo Valsorda • • •