Il panorama della cybersicurezza ci ha abituato a continui scossoni. Ogni anno emergono nuove minacce, nuovi scenari e nuove tattiche criminali. Ma oggi, a ridefinire le regole del gioco, non è solo la tecnologia: è il modo in cui la tecnologia fa vibrare le nostre emozioni. Benvenuti nell’era del vibe-hacking.

Non è solo un termine tecnico, ma una chiave interpretativa che si rivela essenziale. Perché le IA, i social media e le strategie comunicative contemporanee non stanno solo diffondendo contenuti: stanno riscrivendo le regole del consenso, della fiducia e della manipolazione. E il caso di Claude, la chatbot sviluppata da Anthropic, mostra con chiarezza quanto questo fenomeno possa diventare pericoloso.

Claude: progettata per essere “gentile”

Claude non nasce come strumento criminale. Al contrario, è stata progettata per offrire supporto affidabile, assistenza etica e un linguaggio chiaro e rassicurante. Anthropic ha costruito un modello che esprime un tono cooperativo, educato, persino empatico.

Proprio qui entra in gioco il concetto di vibe: il tono, la personalità e l’atmosfera comunicativa che un modello trasmette. Non è un dettaglio stilistico: è il cuore della percezione dell’utente. E se questa atmosfera può essere progettata e controllata, allora può anche essere manipolata.

Il vibe-hacking è esattamente questo: usare strategicamente il comportamento linguistico e paralinguistico di un modello per orientare in modo malevolo psicologia e decisioni.

Dal supporto all’estorsione

Nel suo Threat Intelligence Report (agosto 2025), Anthropic racconta come Claude sia stato sfruttato in diversi scenari criminali. Uno dei più inquietanti riguarda il gruppo hacker GTG-2002, che ha condotto operazioni di estorsione su larga scala.

Grazie a Claude, gli attaccanti hanno automatizzato l’intero ciclo dell’attacco: dalla ricognizione iniziale alla raccolta di credenziali, fino alla penetrazione nelle reti. Non solo: la chatbot ha generato note di riscatto personalizzate, con richieste fino a 500.000 dollari per vittima, accompagnate da messaggi calibrati per risultare convincenti e minacciosi al tempo stesso. In poche settimane sono stati sottratti dati sensibili da almeno 17 organizzazioni: ospedali, enti religiosi, pubbliche amministrazioni, perfino servizi di emergenza.

Le nuove maschere del cybercrime

Il rapporto di Anthropic descrive altri due casi emblematici:

• Frodi lavorative da parte di cybercriminali nordcoreani
  Gruppi di hacker hanno sfruttato Claude per costruire identità false, superare colloqui tecnici nonostante barriere linguistiche e culturali e, in alcuni casi, persino svolgere parte del lavoro. L’obiettivo? Infiltrarsi in grandi aziende tecnologiche e aggirare le sanzioni internazionali, ottenendo contratti di lavoro fasulli e flussi di denaro.
• Ransomware-As-A-(Highly Customized) Service
  Un criminale indipendente ha usato Claude per sviluppare e vendere varianti di ransomware complete di meccanismi di evasione, cifratura e anti-analisi. Le note di riscatto erano generate in HTML, personalizzate con dettagli sulle vittime: cifre finanziarie, numero di dipendenti, normative settoriali. I riscatti richiesti andavano da 75.000 a 500.000 dollari in Bitcoin.

Questi esempi mostrano una tendenza netta: l’IA non è più un semplice strumento ausiliario, ma diventa un operatore attivo in ogni fase dell’attacco, dall’analisi al colpo finale.

Perché il vibe-hacking funziona

Il vibe-hacking è una forma molto avanzata di social engineering. Non punta al contenuto razionale, ma alla dimensione emotiva. Si maschera da naturale, autentico, inevitabile. È proprio questa invisibilità a renderlo tanto efficace: può spingere le persone a compiere azioni improvvide e dannose, senza percepire la manipolazione.

La sfida della sicurezza linguistica

Le chatbot e gli agenti IA, di per sé, non sono il problema. Sono strumenti che dipendono dall’uso che se ne fa. Ma ignorarne i rischi sarebbe ingenuo.

Il caso Claude dimostra che l’atmosfera comunicativa di un modello può essere manipolata per scopi malevoli, aggirando controlli e ingannando utenti e sistemi. Difendersi richiede quindi un salto culturale: sviluppare una nuova consapevolezza digitale che includa anche gli aspetti emotivi.

Così come abbiamo imparato a diffidare delle pubblicità ingannevoli, dovremo imparare a leggere i “vibe” della IA. Capire quando un tono gentile è autentico e quando, invece, è una trappola calibrata.

Questa sfida non riguarda solo gli utenti: anche i professionisti della cybersicurezza e dell’IA dovranno imparare a gestire la cosiddetta sicurezza linguistica, ossia la capacità di analizzare, controllare e mitigare il comportamento comunicativo dei modelli.

Conclusione

Il vibe-hacking non è un rischio futuristico: è già qui. Le operazioni documentate da Anthropic mostrano una preoccupante evoluzione del cybercrime, che grazie all’IA diventa più scalabile, sofisticato e invisibile. Affrontarlo richiede risposte multilivello: automatismi di sicurezza, monitoraggio umano, collaborazione tra comunità tecnologiche e autorità governative. Ma soprattutto una nuova forma di alfabetizzazione digitale è necessaria: imparare a decifrare non solo i contenuti, ma le emozioni artificiali che li avvolgono.

Perché se il prossimo attacco non ci ingannerà con una vulnerabilità zero-day, lo farà probabilmente con un sorriso sintetico.

L'articolo Vibe-Hacking: la nuova frontiera della cyber sicurezza criminale proviene da il blog della sicurezza informatica.

Is 2025 finally the year of non-planar 3D printing? Maybe it won’t have to be if [Ten Tech] gets his way!

Ironing is the act of going over the top surface of your print again with the nozzle, re-melting it flat. Usually, this is limited to working on boring horizontal surfaces, but no more! This post-processing script from [Tenger Technologies], coupled with a heated, ball-shaped attachment, lets you iron the top of arbitrary surfaces.

At first, [Ten Tech] tried out non-planar ironing with a normal nozzle. Indeed, we’ve seen exactly this approach taken last year. But that approach fails at moderate angles because the edge on the nozzle digs in, and the surrounding hot-end parts drag.

[Ten Tech]’s special sauce is taking inspiration from the ball-end mill finishing step in subtractive CNC work: he affixed the round tip of a rivet on the end of a nozzle, and insulating that new tool turned it into an iron that could smooth arbitrary curvy top layers.

One post-processing script later, and the proof of concept is working. Check out the video below to see it in action. As it stands, this requires a toolhead swap and the calibration of a whole bunch of new parameters, but it’s a very promising new idea for the community to iterate on. We love the idea of a dedicated tool and post-processing smoother script working together in concert.

Will 2025 be the year of non-planar 3DP? We’ve seen not one but two superb multi-axis non-planar printer designs so far this year: one from [Joshua Bird] and the other from [Daniel] of [Fractal Robotics]. In both cases, they are not just new machines, but are also supported with novel open-source slicers to make them work. Now [Ten Tech]’s ironer throws its hat in the ring. What will we see next?

Thanks to [Gustav Persson] for the tip!

youtube.com/embed/G4OjYKChAd8?…

hackaday.com/2025/09/17/smooth…

This week Jonathan and Rob chat with Tom Herbert about XDP2! It’s the brand new framework for making networking really fast, making parsers really simple, and making hardware network acceleration actually useful with Linux.

• medium.com/@tom_84912/xdp2-thi…
• medium.com/@tom_84912/programm…

youtube.com/embed/CyaCkE0Uwzw?…

Did you know you can watch the live recording of the show right on our YouTube Channel? Have someone you’d like us to interview? Let us know, or contact the guest and have them contact us! Take a look at the schedule here.

play.libsyn.com/embed/episode/…

Direct Download in DRM-free MP3.

If you’d rather read along, here’s the transcript for this week’s episode.

Places to follow the FLOSS Weekly Podcast:

• Spotify
• RSS

Theme music: “Newer Wave” Kevin MacLeod (incompetech.com)

Licensed under Creative Commons: By Attribution 4.0 License

hackaday.com/2025/09/17/floss-…

It is a common occurrence in old movies: Our hero checks in at a hotel in some exotic locale, and the desk clerk says, “Ah, Mr. Barker, there’s a letter for you.” Or maybe a telegram. Either way, since humans learned to write, they’ve been obsessed with getting their writing in the hands of someone else. Back when we were wondering what people would do if they had a computer in their homes, most of us never guessed it would be: write to each other. Yet that turned out to be the killer app, or, at least, one of them.

What’s interesting about the hotel mail was that you had to plan ahead and know when your recipient would be there. Otherwise, you had to send your note to their home address, and it would have to wait. Telegrams were a little better because they were fast, but you still had to know where to send the message.

Early Days

An ad from the 1970s with a prominent Telex number
In addition to visiting a telegraph office, or post office, to send a note somewhere, commercial users started wanting something better at the early part of the twentieth century. This led to dedicated teletype lines. By 1933, though, a network of Teletype machines — Telex — arose. Before the Internet, it was very common for a company to advertise its Telex number — or TWX number, a competing network from the phone company and, later, Western Union — if they dealt with business accounts.

Fax machines came later, and the hardware was cheap enough that the average person was slightly more likely to have a fax machine or the use of one than a Telex.

Computers

It is hard to remember, but through much of this time, you were probably more likely to have access to a fax machine than a computer that was connected to anyone outside of your immediate office. In 1962, MIT’s Compatible Time-Sharing System (CTSS) had a way for users to share files, and, of course, they did. By 1962, the IBM 1440 could send messages from terminal to terminal. Not really email, but it was a start.

People sharing files on CTSS led to a MAIL command by 1965. Each user had a local file called, in a fit of originality, MAIL BOX. Anyone could append messages to the file, but only the owner could read or edit it. Other early systems got the idea quickly.

By 1971, ARPANET — the granddaddy of the Internet — got SNDMSG to handle mail between networked computers. It could also transfer files. Each address had a local part and a remote hostname. In between? The “@” sign. The first message went between two PDP-10 machines that were in sight of each other. The developer, Ray Tomlinson, is often credited with inventing modern email. He would continue to drive mail innovation as part of the International Network Working Group.

youtube.com/embed/hXwjwZrp5WQ?…

Tomlinson’s program caused an explosion of similar mail programs. Unix had one. IBM was developing what would eventually become its office suite for mainframe computers. The University of Illinois had PLATO IV, which offered, among other things, mail.

The Rest of the World

In 1978, CompuServe started offering mail, primarily aimed at commercial customers. In the next year, they’d launch MicroNET, allowing people to dial into a computer to, among other things, send and receive mail.

By 1981, Compuserve rebranded its mail service as EMAIL, although it probably wasn’t the first to coin that term. That same year, IBM rolled out its internal system to the rest of the world. PROFS was widely used in the business world, and it wasn’t uncommon to hear people say they “sent you a PROFS.”

The biggest differentiator, of course, was if you could send mail to other people using your (presumably big) computer, other people on your network, or anywhere. There were plenty of schemes to get local mail off the local machine, like UUCP, for example.

The 1980s saw an explosion of LANs that had their own servers, and these usually offered, at least, local mail services. Of course, you could also buy software from Microsoft, Lotus, or others to provide mail.

The Internet

Back then, normal people didn’t have access to the Internet. That’s how companies like CompuServe, and their main competitor The Source, managed to entice people to sign up for services. They would often have gateways to other mail systems and, eventually, the Internet, too. But 1985 would see the formation of Quantum Link. Never heard of them? Maybe you’ll remember in 1989 when they changed their name to America Online and, later, AOL.

For whatever reason, AOL took over that market. By 1995, AOL had around three million active users, and its signature “You’ve got mail!” audio clip, voiced by the late Elwood Edwards, was a cultural icon. In addition to email, it pioneered instant messaging and flooded the market with free trial disks.

youtube.com/embed/dudJjUU9Nhs?…

Of course, people started getting access to the actual Internet, so all the specialized mail providers suffered.

Milestones

The first head of state to send an email? Queen Elizabeth II, back in 1976. Jimmy Carter was the first known presidential candidate to use email in 1976. Astronauts on the Space Shuttle (STS-43 in 1991) were the first to send email from space. It was pretty complicated, as Scott Manley discusses in the video below.

youtube.com/embed/0mBurvPxNRI?…

Less inspiring, Gary Thuerk sent the first spam message over ARPANET in 1978. The topic? A new product for DEC.

Modern Mail

Modern mail primarily relies on SMTP, IMAP, and, sometimes POP. Surprisingly, these protocols date back to the early 1980s, but were mostly part of the ARPANET until the Internet opened up.

Of course, the protocols have changed with time. E-mail needed to adapt to TCP/IP and DNS. Today, the protocols have provisions for validating senders to help stop spam, as well as to encrypt messages. But at the core, the technology that moves mail around the Internet is mostly unchanged. The nice thing: you can send to someone without knowing where they’ll be and when they’ll be there. Mr. Barker doesn’t have to get a packet from the front desk anymore.

hackaday.com/2025/09/17/forgot…

OpenAI ha annunciato nuove misure di sicurezza per ChatGPT in seguito a una serie di tragiche storie e cause legali che accusavano il chatbot di coinvolgimento in suicidi di adolescenti. Il sistema tenterà ora di determinare l’età della persona con cui sta chattando e, se necessario, richiederà un documento d’identità per confermare che l’utente abbia più di 18 anni. L’azienda ha riconosciuto che ciò limita la privacy degli adulti, ma ha ritenuto il compromesso giustificato per motivi di sicurezza .

Il CEO di OpenAI, Sam Altman, ha dichiarato di non aspettarsi un’approvazione unanime per queste misure, ma di considerarle necessarie nel contesto del crescente conflitto sulla regolamentazione dell’intelligenza artificiale. Questa decisione è stata influenzata da una serie di incidenti di alto profilo.

Ad agosto, i genitori di un adolescente di nome Adam Reid hanno intentato una causa, sostenendo che ChatGPT lo aveva aiutato a scrivere una lettera di suicidio, consigliandogli metodi alternativi e scoraggiandolo dal condividere i suoi sentimenti con gli adulti. Nello stesso mese, il Wall Street Journal ha riportato la notizia di un uomo di 56 anni che si è suicidato dopo aver comunicato con un bot che ha alimentato la sua paranoia. E il Washington Post ha riportato una nuova causa in cui i genitori hanno attribuito al servizio Character AI la morte di una ragazza di 13 anni.

OpenAI ha precedentemente implementato il controllo parentale in ChatGPT, ma ora ha inasprito le regole. Per i minorenni, il chatbot funzionerà secondo principi diversi: rifiuterà i flirt ed escluderà discussioni su suicidio e autolesionismo, anche in contesti artistici. Se il sistema rileva pensieri pericolosi in un adolescente, tenterà di contattare i suoi genitori e, se ciò fosse impossibile e pericoloso per la vita, contatterà i servizi di emergenza.

OpenAI ha riconosciuto di trovarsi di fronte a un problema fondamentale con i modelli linguistici di grandi dimensioni. Nelle sue fasi iniziali, ChatGPT era severo, rifiutando molti argomenti, ma la crescente concorrenza di soluzioni “non censurate” e locali, nonché la pressione dei critici della censura, hanno costretto l’azienda ad allentare i suoi filtri.

Ora, l’azienda ha cambiato rotta: vuole offrire agli utenti adulti la massima libertà senza causare danni o limitare i diritti altrui. Anche altre piattaforme stanno adottando iniziative simili: quest’estate YouTube ha annunciato l’intenzione di utilizzare algoritmi di apprendimento automatico per stimare l’età degli spettatori e proteggere gli adolescenti da determinate categorie di contenuti.

L'articolo Incitamento al suicidio e OpenAI. Introdotte nuove misure di sicurezza per ChatGPT proviene da il blog della sicurezza informatica.

A Kunming, nella provincia dello Yunnan, in Cina sud-occidentale, si è svolto il Forum sulla Governance della Sicurezza dell’Intelligenza Artificiale, inserito nella Settimana Nazionale della Pubblicità sulla Sicurezza Informatica 2025.

L’evento ha offerto un’occasione di confronto sui rischi e le sfide legati all’IA, sulle misure di governance e sugli sviluppi legati alla sicurezza delle applicazioni e degli algoritmi. Ricercatori, tecnici e rappresentanti dei diversi settori hanno condiviso esperienze e risultati pratici, evidenziando come l’IA stia rivoluzionando numerosi ambiti, compreso quello della sicurezza informatica.

Alla fiera dedicata alla sicurezza, i tecnici hanno sottolineato come le grandi aziende siano ormai esposte a una vasta gamma di attacchi informatici. Le minacce spaziano da quelle più comuni, come gli attacchi alle applicazioni web, a forme più sofisticate e difficili da individuare, come le comunicazioni Trojan che crittografano interi canali prima di colpire.

Il tecnico Zou Hong, intervenuto durante l’esposizione, ha spiegato che in passato la difesa informatica era basata principalmente su interventi manuali, con tempi di risposta lunghi e onerosi. L’introduzione dell’intelligenza artificiale ha invece permesso di strutturare sistemi di analisi più rapidi ed efficienti, grazie a modelli in grado di processare e suddividere gli avvisi di attacco su più livelli.

Zou ha illustrato un’architettura ibrida che combina modelli di dimensioni diverse per effettuare uno screening a tre livelli, capace di ridurre il rumore degli avvisi con un’efficacia superiore al 98%. Questo approccio consente di distinguere gli attacchi realmente pericolosi da quelli irrilevanti, concentrando gli sforzi sulle minacce più concrete.

Per i casi che richiedono ancora analisi manuali, l’intelligenza artificiale di grandi dimensioni può contribuire in maniera decisiva, fornendo supporto nell’individuazione e nella tracciabilità delle fonti degli attacchi. In questo modo, i processi di difesa e risposta risultano ulteriormente velocizzati.

Una volta raccolti i dati e analizzate le informazioni, i tecnici redigono rapporti dettagliati che vengono trasmessi agli organi di pubblica sicurezza e ai dipartimenti nazionali competenti. Ciò garantisce un coordinamento istituzionale e una gestione strutturata delle minacce informatiche.

Infine, i tecnici hanno richiamato l’attenzione sull’uso improprio dell’IA da parte dei criminali, che sfruttano grandi modelli per lanciare attacchi. La risposta, secondo Zou Hong, è affidarsi a un approccio speculare: utilizzare l’intelligenza artificiale per combattere l’intelligenza artificiale.

Addestrando i modelli a riconoscere frequenze e schemi degli attacchi, è possibile mobilitare i dispositivi di sicurezza per intercettarli automaticamente e garantire una difesa più solida.

L'articolo Next Cybersecurity: Combatti l’intelligenza artificiale con l’Intelligenza Artificiale proviene da il blog della sicurezza informatica.

For nearly 90 years, American Science and Surplus has been shipping out weird and wonderful stuff to customers far and wide. In the pre-Internet days, getting their latest catalog in the mail — notable for its hand-drawn illustrations and whimsical style — was always exciting. From Romanian gas masks to odd-ball components, there was no telling what new wonders each issue would bring. In time, the printed catalog gave way to a website, but the eclectic offerings and hand-drawn images remained.

Unfortunately, those days are officially no more. Earlier this week, American Science and Surplus had to make the difficult decision to shutter their entire mail order division. It’s no secret that the company as a whole had been struggling over the last few years. Like many small businesses they were hit hard during the COVID-19 years, and while they made it through that particular storm, they faced skyrocketing operational costs.

Earlier this year, the company turned to crowd funding to help stay afloat. That they were able to raise almost $200,000 speaks to how much support they had from their community of customers, but while it put the company in a better position, the writing was on the wall. The warehouse space required to support their mail order operations was simply too expensive to remain viable.

But it’s not all bad news. At least two of the company’s physical storefronts, located in Milwaukee, Wisconsin and Geneva, Illinois will remain open and operate under the ownership of the employees themselves. The fate of the third store in Park Ridge, Illinois is less clear. They currently don’t have a buyer, but it sounds like they haven’t given up hope of selling it yet.

Anyone in the Illinois area feel like getting some buddies together and buying a turn-key surplus business?

hackaday.com/2025/09/17/americ…

There was a recent recall of so-called ‘radioactive shrimp’ that were potentially contaminated with cesium-137 (Cs-137). But contamination isn’t an all-or-nothing affair, so you might wonder exactly how hot the shrimp were. As it turns out, the FDA’s report makes clear that the contamination was far below the legal threshold for Cs-137. In addition, not all of the recalled shrimp was definitely contaminated, as disappointing as all of this must be to those who had hoped to gain radioactive Super Shrimp powers.

After US customs detected elevated radiation levels in the shrimp that was imported from Indonesia, entry for it was denied, yet even for these known to be contaminated batches the measured level was below 68 Bq/kg. The FDA limit here is 1,200 Bq/kg, and the radiation level from the potassium-40 in bananas is around the same level as these ‘radioactive shrimp’, which explains why bananas can trigger radiation detectors when they pass through customs.

But this event raised many questions about how sensible these radiation checks are when even similar or higher levels of all-natural radioactive isotopes in foods pass without issues. Are we overreacting? How hot is too hot?

Healthy Radiation, Normal Radiation

Pandalus montagui in an aquarium. (Credit: Claude Nozères)
Ionizing radiation from nuclear sources forms both an unavoidable and an essential part of food safety. The practice of food irradiation involves exposing food to gamma rays in order to destroy anything that is still alive in it, like bacteria and other potentially harmful microorganisms. Much like heating with pasteurization and similar practices that aim to wipe out these microorganisms, this can render food safe for consumption for much longer than would otherwise be possible.

Whereas food irradiation does not actually introduce radioactive isotopes to the foodstuffs, these isotopes can still enter prospective food in other ways. Long before these infamous Indonesian shrimp – likely prawns – found themselves post-mortem on their way to the US, these critters were either happily galivanting about in the Pacific Ocean or less happily stuck in a shrimp farm, doing all the things that pre-mortem shrimp do. This includes consuming a lot of shrimp food, starting with plankton and moving up to worms, bivalves and other crustaceans as they mature.

All of these food sources along with the water that they live in contain some level of radioactive isotopes, ranging from the uranium-238 that’s plentiful in seawater, to tritium from atmospheric sources, and manmade isotopes like cesium-137 from nuclear weapons testing. Most isotopes, including Cs-137, do not bioaccumulate: in humans Cs-137 has a biological half-life of about 70 days . This suggests that this particular batch of whiteleg shrimp ingested some kind of relatively Cs-137-rich food shortly before harvesting.
The Castle Bravo 15 MT blast on March 1, 1954. (Source: USDOE)
The Pacific Ocean area was a particularly prolific area when it came to nuclear weapons testing, with of the worldwide approximately 2,121 tests so far the US and France detonating a significant number in the Pacific. Tests such as the 15 megaton Castle Bravo experiment featuring the ironically named SHRIMP device, which significantly raised the amount of carbon-14 (C-14), Cs-137, and strontium-90 (Sr-90) in the region. Due to its bioaccumulating nature, Sr-90 with its 29-year half life poses a particular risk, while C-14 with its 5,700-year half life is generally deemed of no consequence, on par with the normal intake of potassium-40 as both isotopes behave in a very similar way in the body.

Although the amount of Cs-137 from these tests has reduced significantly due to natural radioactive decay, this provides one potential path through which these and many other isotopes from both manmade and natural sources can find themselves inside small crustaceans prior to their untimely demise at the hand of bipedal primates with an appetite for seafood.

The one question that remains here is how we can know that a certain amount of an isotope per kg of foodstuff is too much for human consumption. How dangerous is the radioactive potassium-40 in bananas really?

Setting Limits

We earlier listed the FDA’s 1,200 Bq/kg as the limit for the Cs-137. A radioactive source rates one Becquerel if it undergoes one disintegration event per second, and dividing this by the weight gives a rough measure of radiation density. But all decay biproducts aren’t created equally. If we look at the FDA guidance documents pertaining to radionuclides in imported food, we can see that this listed limit pertains to the so-called Derived Intervention Levels (DILs), superseding the older Levels of Concern (LOCs). The same document lists the DILs for other isotopes, including:

• Sr-90 at 160 Bq/kg.
• Iodine-131 at 170 Bq/kg.
• Cs-134 + Cs-137 at 1,200 Bq/kg.
• Pu-238 + Pu-239 + Am-241 at 2 Bq/kg.

What these isotopes have in common is that they are generally only produced by artificial sources, while omitting a very common natural isotope like potassium-40 (K-40) which only forms the third-largest source of natural background radiation after thorium-232 and uranium-238. Since K-40 is readily present in soil and anywhere else that other potassium isotopes are present, it’s practically unavoidable to consume significant amounts of K-40 each day, regardless of whether you’re a crustacean, plant or mammal.
Potassium-40 decay scheme. (Credit: Tubas-en, Wikimedia)
K-40 is both a beta and gamma emitter, with approximately 140 grams of it present at any given time in a 70 kg adult human body, where it is responsible for an approximate constant 4,000 Bq of radiation.

Despite the long half-life of 1.248 billion years, K-40’s prevalence makes up for this sluggish nuclear decay rate, with around 4,000 of such disintegration events happening inside an adult human body each second, as a K-40 nucleus decays into either argon-40 or calcium-40 via gamma or beta decay respectively.
Cesium-137 decay into barium via one of two routes. (Credit: Tubas-en, Wikimedia)
We can contrast this with Cs-137’s 30 year half-life and somewhat similar decay into barium. Nearly 95% of Cs-137 nuclei decay into the metastable barium-137m via beta decay, before decaying into the stable barium-137 via gamma decay. The remaining 4% decay immediately via beta decay into this stable nucleus.

The much shorter half-life and primary gamma decay route make Cs-137 significantly more radiologically active than K-40. Yet while more gamma radiation may sound worse, one has to remember that the biological impact for radiation exposure once ingested is flipped around. For example, while the very powerful alpha radiation is luckily stopped by the top layers of our skin and dissipates its energy mostly in dead skin cells, you don’t want the same to happen to living cells like the inside of your lungs or various other soft issues, with alpha radiation absolutely cooking the nearest layers of cells.

This is where gamma decay ironically helps to distribute the radiation exposure from Cs-137 somewhat, while also complicating the comparison with K-40, as that isotope decays mostly via beta decay and thus can potentially do more damage per event to local tissue as beta radiation does not travel as far through the body.

Overabundance Of Caution

The American Nuclear Society (ANS) article on the “contaminated shrimp” event probably puts this event in best context. Normally shrimp from the Pacific region contains some level of Cs-137, but these recent batches caught the attention at the importing ports due to a 100x higher level of Cs-137 than normally seen. That sounds like a problem, but it only places the shrimp roughly in line with bananas.

A 2023 study performed in Poland found that of animal products produced in that country, cattle muscle tissue showed Cs-137 levels up to 23.5 Bq/kg (wet weight), sheep nearly 50 Bq/kg, and in wild game animals some muscle tissue scored well over 4,000 Bq/kg. All of which place these commonly consumed animal tissues well above the typical value for Indonesian shrimp, and either in the ballpark or significantly above that of the ‘contaminated’ shrimp.

Threshold Models

The LNT model versus other models and measurements. (Source: CNSC)
Government regulations pertaining to radiation exposure are most often based on the linear no-threshold (LNT) model, which extrapolates down from very high radiation doses where we can measure the damage more easily. But it does so linearly, making the assumption that ten multiple small doses, even if they are spread out over time, are equivalent to one exposure that is ten times as strong.

Recent studies have suggested that below 100 mSv there are no observable effects, which suggests that a model that incorporates a threshold might make more sense for radiological contamination of food.

The National Academy of Science report on low levels of radiation from 2005, on which most of the US regulations are based, at the time rejected the threshold model due to insufficient evidence. They also cite studies where very small doses are claimed to have negative effects on children still in the womb, suggesting that the lower threshold may not be uniform across different populations.

Even if a lower threshold does exist, and there is an increasing push by scientists for moving past the LNT, establishing the exact value for this threshold is difficult. Below a certain dosage, there just isn’t significant epidemiological data. You cannot prove a negative: “below this level there will be no increased risk of cancer”. One can only say that no excess risk was detected in this or that particular study.

Add in sensitivity about manmade radioisotopes in drinking water, food, and anything else that is sold or presented to the public, and most governments take the LNT approach even if it is likely to be very conservative. And that, in short, is why we got a ‘radioactive’ shrimp recall, when eating that banana might arguably be more hazardous for you.

hackaday.com/2025/09/17/natura…

Nello Stretto di Taiwan, la Guardia Costiera locale ha intensificato le attività di pattugliamento per proteggere i cavi sottomarini, infrastrutture ritenute vitali per le comunicazioni del Paese. Il comandante Ruan Zhongqing ha guidato una motovedetta da 100 tonnellate, dotata di cannoni ad acqua e mitragliatrici, verso il cavo “Taiwan-Pengzhou n. 3” per monitorare eventuali imbarcazioni sospette. Secondo le autorità, questi collegamenti sono divenuti un nuovo obiettivo delle operazioni cinesi nella cosiddetta “zona grigia”.

Il cavo Taiwan-Penghu 3 è uno dei 24 che collegano l’isola alle reti nazionali e internazionali. L’attenzione su queste infrastrutture è cresciuta dopo che, a giugno, un capitano cinese è stato condannato per aver deliberatamente reciso il cavo. Un caso simile ha visto la fermata di una nave cargo finanziata da interessi cinesi, sospettata di aver danneggiato un altro collegamento.

Il tecnico Nguyen Trung Khanh ha sottolineato che la guerra nella zona grigia mira a consumare gradualmente le risorse di Taiwan. La sua motovedetta ha scortato la nave cinese “Hongtai 58” dopo un’interruzione dei cavi durata ore, denunciando l’impatto destabilizzante di tali intrusioni sulla sicurezza dell’isola. Le pattuglie, hanno aggiunto che sono state intensificate le attività atte per identificare e fermare attività di sabotaggio.

Il governo taiwanese ha riportato due episodi di danneggiamento sospetto, attribuiti a navi cinesi, uno dei quali verificatosi nel nord del Paese. Da parte sua, l’Ufficio per gli Affari di Taiwan della Cina non ha rilasciato commenti, accusando però in precedenza Taipei di ingigantire il problema. Intanto, Taiwan ha rafforzato le misure di vigilanza, prendendo esempio dagli episodi di sabotaggio registrati nel Mar Baltico.

Lin Fei-fan, vicesegretario generale del Consiglio di sicurezza nazionale, ha dichiarato che Taiwan affronta con grande serietà questo tipo di minacce, a causa della vicinanza geografica con la Cina e della concentrazione di cavi in aree particolarmente vulnerabili. La Marina tedesca, ha aggiunto, è impegnata in attività di pattugliamento NATO nel Baltico, dove i sabotaggi sono frequenti.

Il sistema di sorveglianza taiwanese prevede allarmi automatici in caso di avvicinamento sospetto entro un chilometro dai cavi, con risposte progressive che vanno dall’avviso radio all’invio di motovedette. Tuttavia, la Guardia Costiera dispone di risorse limitate: otto imbarcazioni e circa 500 uomini sono chiamati non solo a difendere i cavi, ma anche a gestire soccorsi e controlli marittimi. Attualmente sono sotto sorveglianza 96 navi cinesi, molte delle quali utilizzano bandiere di comodo.

Le autorità di Taipei monitorano inoltre circa 400 navi cinesi, sospettate di essere state adattate a scopi militari. Le informazioni vengono condivise in tempo reale con paesi considerati “affini”, in un’ottica di cooperazione internazionale. Intanto, il capitano Jian Richeng ha avvertito del rischio rappresentato da vecchie imbarcazioni cinesi, facilmente impiegabili come strumenti di sabotaggio, capaci con poche risorse di compromettere la stabilità sociale di Taiwan.

L'articolo Taiwan alza l’allerta: Monitoraggio dei Cavi Sottomarini da interferenza cinesi proviene da il blog della sicurezza informatica.

Un massiccio schema di frode pubblicitaria chiamato SlopAds si è nascosto dietro centinaia di app Android “innocue” e ha raggiunto proporzioni globali. Di recente, il team Satori di HUMAN ha descritto come 224 app abbiano accumulato un totale di 38 milioni di installazioni in 228 paesi e territori, generando fino a 2,3 miliardi di offerte al giorno nei momenti di picco.

Google ha rimosso tutte le app rilevate dal Play Store, ma la tattica in sé merita un’analisi separata: dimostra quanto siano diventate sofisticate le frodi basate su clic e impression .

La build si basa sul lancio simulato di un comportamento dannoso. Dopo l’installazione, l’app accede all’SDK di attribuzione del marketing mobile e determina la fonte dell’installazione, che si tratti di un clic organico da Play o di una visita allo store tramite un annuncio.

Solo in quest’ultimo caso viene attivato il comportamento fraudolento: il programma estrae un modulo chiamato FatModule dal server di controllo e, se la fonte è “pulita”, si comporta come descritto nella pagina dello store. Questo filtro fornisce un feedback utile agli operatori del sistema: il rischio di essere rilevati da analisi di livello inferiore viene ridotto e il traffico falso viene oscurato da campagne legittime.

L’implementazione di FatModule è non banale. L’app riceve quattro immagini PNG contenenti parti steganograficamente nascoste del file APK. I componenti vengono decifrati e assemblati sul dispositivo, dopodiché il modulo raccoglie informazioni sull’ambiente (parametri del dispositivo e del browser) e distribuisce attività invisibili in WebView nascoste: apertura di pagine, scorrimento, avvio di clic e visualizzazione di annunci pubblicitari. Un metodo di monetizzazione è rappresentato dai siti di giochi e notizie, dove gli annunci pubblicitari vengono visualizzati molto frequentemente; finché la finestra invisibile non viene chiusa, il contatore di impression e clic aumenta.

La rete di domini di supporto è strutturata su diversi livelli. Le piattaforme che promuovono le app convergono sul nodo “ad2.cc”, che funge da C2 di Livello 2. In totale, sono stati identificati circa 300 nomi di dominio relativi alla distribuzione e alla gestione. Sul server di gestione, i ricercatori hanno trovato servizi di intelligenza artificiale con nomi autoesplicativi – StableDiffusion, AIGuide, ChatGLM – che suggeriscono la natura “a nastro trasportatore” della produzione di contenuti e app. Secondo HUMAN, il flusso di traffico principale proveniva dagli Stati Uniti, che rappresentavano circa il 30%, seguiti dall’India con il 10% e dal Brasile con il 7%.

Lo schema è ulteriormente mascherato da un offuscamento multilivello, e l’esecuzione condizionale basata sulla sorgente di installazione rende difficile il debug. Di conseguenza, le piattaforme pubblicitarie e i sistemi antifrode ricevono un mix di segnali reali e falsi, con questi ultimi attivati intenzionalmente solo quando la probabilità della presenza di un analista è minima.

HUMAN aveva già segnalato un altro schema simile, IconAds, che coinvolgeva 352 app Android, a conferma della rapida diffusione di tali operazioni. Nel caso di SlopAds, la pulizia della vetrina di Play Store ha arrestato la diffusione, ma le tecniche identificate, ovvero steganografia, contenitori nascosti nel browser e attivazione dell’attribuzione condizionale, sono già entrate a far parte dell’arsenale delle frodi industriali.

L'articolo SlopAds: 38 milioni di installazioni di APP che inviano 2,3 miliardi di offerte al giorno proviene da il blog della sicurezza informatica.

Il CERT-FR ha riferito che Apple ha avvisato gli utenti verso la fine della scorsa settimana che i loro dispositivi erano presi di mira da attacchi spyware. Gli esperti affermano di essere a conoscenza di almeno quattro casi di tali notifiche inviate nel 2025.

Gli avvisi sono stati inviati il 5 marzo, il 29 aprile, il 25 giugno e il 3 settembre a numeri di telefono e indirizzi email associati ad account utente Apple. Gli avvisi compaiono anche nella parte superiore della pagina su account.apple.com dopo che un utente effettua l’accesso al proprio account.

“Questi avvisi segnalano attacchi sofisticati, la maggior parte dei quali sfrutta vulnerabilità zero-day o non richiede alcuna interazione da parte dell’utente”, scrive il CERT-FR.

“Questi attacchi sofisticati prendono di mira individui in base al loro status o alle loro attività: giornalisti, avvocati, attivisti, politici, funzionari di alto rango, membri di comitati di gestione in settori strategici e così via. Ricevere un avviso di questo tipo significa che almeno un dispositivo associato a un account iCloud è stato preso di mira e potenzialmente compromesso”.

Gli esperti non hanno fornito ulteriori informazioni sulle cause di questi avvisi. Tuttavia, vale la pena sottolineare che il mese scorso gli sviluppatori Apple hanno rilasciato patch di emergenza per correggere unavulnerabilità zero-day ( CVE-2025-43300 ) utilizzata insieme a una vulnerabilità zero-click in WhatsApp ( CVE-2025-55177 ) per “attacchi sofisticati mirati a utenti specifici”.

In una notifica inviata alle potenziali vittime all’epoca, gli sviluppatori consigliavano di eseguire un ripristino completo del dispositivo alle impostazioni di fabbrica e di mantenere poi aggiornati il sistema operativo e l’app WhatsApp per una protezione ottimale.

Inoltre, Apple consiglia agli utenti che sono stati presi di mira da attacchi spyware di abilitare la modalità di blocco e di richiedere assistenza di sicurezza di emergenza tramite la Digital Security Helpline di Access Now .

L'articolo Apple avverte gli utenti di attacchi spyware mirati proviene da il blog della sicurezza informatica.

Have you heard of the Sprengel pump? It’s how they drew hard vacuum back before mechanical pumps were perfected — the first light bulbs had their vacuums drawn with Sprengel pumps, for example. It worked by using droplets of a particular liquid to catch air particles, and push them out a narrow tube, thereby slowly evacuating a chamber. The catch is that that liquid used to be mercury, which isn’t something many of us have on hand in kilogram quantities anymore. [Gabriel Wolffe] had the brainwave that one might substitute modern vacuum pump oil for mercury, and built a pump to test that idea.

Even better, unlike the last (mercury-based) Sprengel pump we saw, [Gabriel] set up his build so that no glassblowing is required. Yes, yes, scientific glassblowing used to be an essential skill taught in every technical college in the world. Nowadays, we’re glad to have a design that lets us solder brass fittings together. Technically you still have to cut an eyedropper, but that’s as complex as the glasswork gets. Being able to circulate oil with a plastic tube and peristaltic pump is great, too.

If you try it, you need to spring for vacuum pump oil. This type of pump is limited in the vacuum it can draw by the vapor pressure of the fluid in use, and just any oil won’t do. Most have vapor pressures far in excess of anything useful. In the old days, only mercury would cut it, but modern chemistry has come up with very stable oils that will do nearly as well.

How well? [Gabriel] isn’t sure; he bottomed out his gauge at 30 inches of Mercury (102 kPa). It may not be any lower than that, but it’s fair to say the pump draws a healthy vacuum without any unhealthy liquid metals. Enough to brew up some tubes, perhaps.

youtube.com/embed/WczS2cb8ppA?…

hackaday.com/2025/09/17/oil-ba…

A Meshtastic node has been one of the toys of the moment over the last year, and since they are popular with radio amateurs there’s a chance you’ll already live within range of at least one. They can typically run from a lithium-ion or li-po battery, so it’s probable that like us you’ve toyed with the idea of running one from a solar panel. It’s something we have in common with [saveitforparts], whose experiments with a range of different solar panels form the subject of a recent video.

He has three different models: one based around a commercial solar charger, another using an off-the-shelf panel, and a final one using the panel from a solar garden light. As expected the garden light panel can’t keep an ESP32 with a radio going all day, but the other two manage even in the relatively northern climes of Alaska.

As a final stunt he puts one of the nodes out on a rocky piece of the southern Alaskan coastline, for any passing hacker to find. It’s fairly obviously in a remote place, but it seems passing cruise ships will be within its range. We just know someone will take up his challenge and find it.

youtube.com/embed/rh1tN8CnPL0?…

hackaday.com/2025/09/17/the-pr…

Google ha modificato la sua strategia di aggiornamento della sicurezza Android, interrompendo per la prima volta in un decennio la sua tradizione di divulgare mensilmente le vulnerabilità. Nel bollettino di luglio 2025, l’azienda non ha segnalato una singola vulnerabilità, per la prima volta in 120 pubblicazioni. Ma a settembre, l’elenco includeva 119 correzioni contemporaneamente.

Il motivo non è che luglio fosse “sicuro”, ma che Google sta passando a un nuovo modello di sistema di aggiornamento basato sul rischio (RBUS). Ora, gli aggiornamenti mensili conterranno solo correzioni per le vulnerabilità “ad alto rischio”, ovvero quelle attivamente sfruttate o che fanno parte di catene di attacco note. Le vulnerabilità rimanenti saranno raggruppate in importanti rilasci trimestrali: a marzo, giugno, settembre e dicembre.

L’azienda sottolinea che questo approccio semplificherà il lavoro dei produttori di smartphone. Dovranno integrare meno patch negli aggiornamenti mensili, il che aumenterà la probabilità di una loro pubblicazione tempestiva. Allo stesso tempo, i produttori potranno concentrarsi su aggiornamenti trimestrali più consistenti, che diventeranno il canale principale per la distribuzione della maggior parte delle correzioni.

Google sottolinea che in precedenza molte aziende limitavano gli aggiornamenti di sicurezza a una cadenza bimestrale o trimestrale, soprattutto per i modelli più economici. La nuova programmazione dovrebbe contribuire a uniformare la distribuzione e garantire che i dispositivi siano protetti almeno trimestralmente.

Il ciclo tradizionale di gestione delle vulnerabilità rimane lo stesso. I ricercatori segnalano i problemi scoperti, Google li conferma e assegna loro degli identificatori CVE. Gli ingegneri sviluppano quindi una soluzione e, se la vulnerabilità è critica e interessa componenti di Project Mainline, l’aggiornamento può essere distribuito direttamente tramite Google Play System Update.

L’Android Security Bulletin, disponibile sia in versione pubblica che in versione chiusa, rimane un elemento chiave. Il bollettino chiuso viene inviato ai fornitori 30 giorni prima della pubblicazione per dare loro il tempo di testare le patch. Questo periodo sarà ora più lungo per le release trimestrali, sollevando preoccupazioni tra gli sviluppatori di terze parti.

Pertanto, i rappresentanti di GrapheneOS avvertono: più lungo è l’intervallo tra distribuzione e pubblicazione, maggiore è il rischio di fuga di informazioni su vulnerabilità che possono essere sfruttate da aggressori. Anche se per ora questa rimane una minaccia ipotetica.

Un altro svantaggio del nuovo processo è che il codice sorgente delle patch viene ora pubblicato solo per gli aggiornamenti trimestrali. Questo complica ulteriormente le cose per la community delle ROM personalizzate, che non sarà più in grado di includere tempestivamente le patch mensili.

Nonostante i cambiamenti, Google assicura che gli utenti i cui dispositivi ricevono già aggiornamenti mensili continueranno a riceverli. Per altri, il passaggio a RBUS dovrebbe migliorare la prevedibilità e la frequenza degli aggiornamenti. “Android e Pixel risolvono le vulnerabilità mensilmente, ma diamo sempre priorità a quelle più rischiose”, ha dichiarato un portavoce dell’azienda.

L'articolo Google cambia la strategia Android: basta patch mensili, solo fix basate sul rischio proviene da il blog della sicurezza informatica.

Kering, colosso del lusso e della moda, ha ufficializzato che un episodio di violazione dei dati è stato perpetrato ai danni dei clienti delle sue principali firme, tra cui Gucci, Balenciaga e Alexander McQueen, da parte di ShinyHunters, gli stessi autori della minaccia che abbiamo avuto modo di intervistare di recente, i quali erano riusciti ad accedere a informazioni private degli utenti.

La violazione, rilevata a giugno ma verificatasi ad aprile, ha esposto informazioni di identificazione personale (PII) di circa 7,4 milioni di indirizzi e-mail univoci.

Nessun dato regolamentato dallo standard PCI-DSS, come numeri di carte di credito o dettagli di conti bancari, è stato esfiltrato. I file includono invece nomi, indirizzi email, numeri di telefono, indirizzi di spedizione e un campo “Vendite totali” che indica la spesa cumulativa di ciascun cliente.

La BBC riferisce che l’aggressore, autoidentificatosi come Shiny Hunters, ha affermato di aver negoziato un riscatto in Bitcoin (BTC) con Kering a partire da giugno tramite Telegram. Kering nega qualsiasi trattativa a pagamento e conferma di attenersi alle linee guida delle forze dell’ordine che impongono di rifiutare il pagamento del riscatto.

Secondo la dichiarazione di Kering, l’aggressore ha ottenuto un accesso temporaneo non autorizzato tramite credenziali interne compromesse, probabilmente raccolte tramite una campagna di phishing che prendeva di mira i portali SSO di Salesforce. Il set di dati rubato contiene:

• E-mail
• Nome e cognome
• Numero di telefono
• Indirizzo di spedizione
• Vendite totali

L’analisi di un campione proof-of-concept ha rivelato fasce di spesa che vanno da 10.000 a 86.000 dollari a persona, aumentando le preoccupazioni relative allo spear-phishing. Kering ha informato le autorità competenti per la protezione dei dati ai sensi dell’articolo 33 del GDPR e ha comunicato direttamente con i clienti interessati via e-mail.

Parallelamente, il Threat Analysis Group di Google attribuisce una campagna simile, identificata come UNC6040, a Shiny Hunters, rilevando lo sfruttamento di token API rubati e l’uso improprio di ambiti OAuth per raccogliere credenziali da altre grandi aziende.

Si consiglia a tutti i clienti di reimpostare le password e di rivedere le impostazioni di recupero dell’account per tutti i profili email e di e-commerce. Prestare attenzione a chiamate o email indesiderate che richiedono un intervento urgente può aiutare a contrastare frodi successive.

L'articolo ShinyHunters viola Gucci, Balenciaga e Alexander McQueen: 7,4 milioni di record esposti proviene da il blog della sicurezza informatica.

Con il collasso democratico degli USA ormai innegabile, l'Europa si accorge all'improvviso di essere legata mani e piedi a un impero che affonda. E la reazione dei nostri politici è di reiterare le professioni di atlantismo e di fede in un mitologico "Occidente" che sono servite negli ultimi settant'anni. Con risultati, come vediamo, disastrosi. E se per cambiare, invece di scimmiottare gli americani, facessimo gli europei?

spreaker.com/episode/dk-10x02-…

When Deluxe Paint came out with the original Amiga in 1985, it was the killer app for the platform. [Christopher Drum] starts his recent article on just that note, remembering the day he and his mother walked into a computer store, and walked out with a brand new Amiga… thanks entirely to Deluxe Paint. Forty years on, how well can this killer app compete?

[Christopher] isn’t putting Deluxe Paint head-to-head with modern Photoshop; they’re hardly in the same class. Not Photoshop, no, but modern applications that do what Deluxe Paint did so well: pixel art. There was no need to call it pixel art back then, no, but with the resolutions on hand, all digital art was pixel art in 1985.

Or 1989, which is when Deluxe Paint III came out– that’s the last version written by Dan Silva and coincidentally the last version [Christopher] owned, and the one he focuses in on his tests. It has held up amazingly well.

Sure, you don’t get a full 24-bit colour palette, but most pixel artists stick to limited palettes still anyway. You don’t quite get a modern UI, but presence of useful keyboard shortcuts allows a Hands-On-Keybord-And-Mouse (We’ll call it HOKAM, in honour of HOTAS in aerospace) workflow that is incredibly efficient.

About the only things [Christopher] found Deluxe Paint III lacked compared to its successors were a proper layering system, and of course the infinite undo we’ve all gotten so used to. (DPIII has an undo button, but it could only store one operation.) He also complained about cursor latency for some brushes, but we wonder if that might have had something to do with Windows and the emulation layer adding a delay. One thing Amiga was always known for back in the day was the snappy cursor movement, even when the processor was loaded.

There were just as many features he found had been forgotten in the new generation — like palatte swapping animations, or flood-filling line gradients.
It’s a small detail, but that’s a nice gradient tool.
Anyone who owned an Amgia probably has fond memories of it, but alas, in spite of Commodore’s recent resurrection, we’re not likely to see a new one soon. On the other hand, at least when it comes to pixel art, there’s apparently no need to upgrade.

via reddit.

(Thumbnail and header image by Avril Harrison, distributed by Electronic Arts with Deluxe Paint.)

hackaday.com/2025/09/16/review…

ShinyHunters è un gruppo noto per il coinvolgimento in diversi attacchi informatici di alto profilo. Formatosi intorno al 2020, il gruppo ha guadagnato notorietà attraverso una serie di attacchi mirati a varie aziende, che hanno portato al furto e alla vendita di grandi quantità di dati sensibili.

ShinyHunters è stato collegato a violazioni di sicurezza che hanno coinvolto aziende come Microsoft, Banco Santander, Ticketmaster e molte altre. Questi dati venivano spesso venduti su forum del dark web, come ad esempio il vecchio BreachForums, che è stato per un periodo gestito da ShinyHunters.

Recentemente il gruppo ha guadagnato grande notorietà dopo la massiccia violazione di dati ai danni di Salesforce, episodio che ha portato anche Google a monitorare da vicino e ad attribuire loro il nome in codice UNC6240.

La violazione di Salesforce ha permesso agli attaccanti di ottenere accessi a moltissime aziende di moltissimi settori, come Palo Alto, Zscaler, ClaudFlare e Tenable. Negli ultimi giorni molte aziende hanno condiviso dichiarazioni ufficiali sulle violazioni subite, emntre altre azienda ancora non hanno fatto dichiarazioni pubbliche.

Molti analisti ritengono che ShinyHunters sia formato da individui legati al gruppo cybercriminale “The Com”, un ecosistema di hacker provenienti prevalentemente dal Nord America e dal Regno Unito. Negli ultimi mesi, ShinyHunters ha intensificato le proprie attività prendendo di mira numerose organizzazioni. Ogni operazione viene puntualmente rivendicata sul loro canale Telegram ufficiale, dove offrono anche la possibilità di acquistare i dati trafugati.

Tra gli attacchi più rilevanti rivendicati pubblicamente figurano Jaguar Land Rover, compromissione alla quale ShinyHunters ha preso parte e che avrebbe causato interruzioni significative alla produzione, la violazione ai marchi di moda di Kering (controlla brand come Gucci, Balenciaga e Saint Laurent), i cui dati aziendali sono stati messi in vendita dal gruppo sui propri canali.

ShinyHunters si conferma così come una delle principali minacce attuali nel panorama cybercriminale, capace di combinare tecniche di data breach su larga scala con una forte strategia di comunicazione e monetizzazione.

Intervista a ShinyHunters

RHC: ShinyHunters, grazie per aver accettato di essere ospite di RedHotCyber! Prima di iniziare, ti diamo la possibilità di presentarti ai nostri lettori. Che cos’è e come è nato ShinyHunters? Inoltre potete spiegare una volta per tutta la differenza tra voi, Scattered Spider e LAPSUS? Siete un Rebranding di un gruppo già esistito, avete fatto parte di altri gruppi come il vostro?

ShinyHunters: ShinyHunters è un gruppo nato da una comunità underground con un obiettivo semplice: dimostrare che i sistemi che sembrano “solidi” in realtà sono fragili. Non siamo un rebranding di Scattered Spider o LAPSUS$, nonostante le frequenti comparazioni dei media. Questi gruppi hanno caratteristiche proprie. Siamo emersi con una nostra identità, non come un ufficiale spin-off di nessuno. La differenza? Ci concentriamo di più su un impatto elevato con meno “teatralità”, mentre altri gruppi tendono ad essere più caotici o opportunistici.

RHC: Qual è la vostra principale spinta? Guadagno economico, rivendicazioni politiche/sociali o desiderio di notorietà?

ShinyHunters: La nostra motivazione? È una combinazione di fattori. C’è l’aspetto finanziario—ovviamente, è una parte importante. Ma c’è anche l’ego, il desiderio di dimostrare il nostro valore e la soddisfazione di scuotere l’industria. La fama arriva naturalmente, ma non è l’unico obiettivo.

RHC: Potete rivelare le dimensioni del vostro gruppo? Per aumentare i membri del vostro gruppo avete un programma di affiliazione strutturato? Avete dei requisiti per far parte del team?

ShinyHunters: La dimensione e la struttura del gruppo sono piccole ma efficienti. Non siamo un esercito di migliaia di persone. Non abbiamo un “programma di affiliazione” aperto, ma utilizziamo un meccanismo di reclutamento basato sulla reputazione. I requisiti non riguardano solo le competenze tecniche; la mentalità, la riservatezza e la lealtà sono molto più importanti.

RHC: Sembrerebbe che voi privilegiate molto gli attacchi tramite ingegneria sociale. Reputate che questa tecnica sia più semplice ed efficace per ottenere un accesso iniziale? è colpa della poca consapevolezza e formazione delle vittime?

ShinyHunters: Sì, ci affidiamo molto all’ingegneria sociale. Perché? Perché la tecnologia può essere riparata, ma gli esseri umani? Sono deboli fin dall’inizio. La mancanza di consapevolezza e formazione rende questo il percorso più veloce. Non c’è bisogno di un’arma zero-day quando una semplice telefonata può aprire la porta.

RHC: Per i vostri attacchi utilizzate exploit prodotti da voi? come programmare i potenziali miglioramenti?

ShinyHunters: Non scriviamo sempre exploit da zero. Il mondo underground è pieno di idee, e noi combiniamo ciò che è disponibile con la nostra creatività. L’innovazione non riguarda solo il nuovo codice, ma anche nuovi modi di utilizzare qualcosa che è considerato comune.

RHC: In media, qual è il livello di sicurezza che avete trovato nelle vostre vittime? Cosa consigliereste alle organizzazioni per evitare di essere colpite da gruppi come il vostro?

ShinyHunters: Molte grandi organizzazioni hanno una sicurezza mediocre. Dall’esterno, sembrano forti, ma all’interno sono un disastro. Una raccomandazione: costruire una cultura della sicurezza, non solo strumenti. Senza di essa, tutti i dispositivi sono solo un’illusione di protezione.

RHC: Come scegliete i vostri bersagli? Ci sono settori o Paesi che vi interessano di più? Se sì, per quali ragioni?

ShinyHunters: Scegliamo obiettivi che promettono un alto “valore” sia finanziario che simbolico. Le industrie della tecnologia, della sanità e dell’aviazione sono tutte attraenti per il loro ampio impatto. Per quanto riguarda i paesi? Dipende dal contesto politico, ma il nostro focus è più globale che nazionale.

RHC: Esistono aziende o categorie di vittime che ritenete “off limits”? Vi ponete dei limiti morali nelle vostre azioni?

ShinyHunters:Ci sono dei confini morali. Anche se può sembrare ironico, non attacchiamo indiscriminatamente ospedali o organizzazioni umanitarie. C’è una linea sottile che non attraversiamo, anche se è vaga. Non siamo “salvatori”, ma non siamo nemmeno privi di una bussola morale.

RHC: Avete preso di mira sistemi legati all’aviazione. Cosa vi ha spinto a colpire un settore così critico e regolamentato? Potete spiegare quali tecniche avete usato per penetarre un sistema così complesso, quanto tempo di lavoro vi è servito per arrivare al risultato, e se dal vostro punto di vista l’operazione ha prodotto un ritorno sull’investimento (ROI) proporzionato allo sforzo?

ShinyHunters: Perché il settore dell’aviazione? Per la sua criticità. Penetrare in un sistema così grande è una prova di abilità. Richiede tempo serve pazienza, osservazione e tattiche multilivello. Il ritorno sull’investimento vale la pena? Per noi, sì. L’impatto è maggiore del semplice denaro.

RHC: Riguardo alla pianificazione delle vostre campagne, come decidete i settori dove focalizzarsi? Inoltre come selezionate le persone da contattare per il vostro social engineering?

ShinyHunters: Valutiamo i settori in base alla vulnerabilità e ai potenziali effetti a catena. Per l’ingegneria sociale, selezioniamo individui con ampio accesso ma bassi livelli di consapevolezza come il personale di supporto, i contrattisti e i partner. Queste persone spesso forniscono punti di accesso.

RHC: Potete darci qualche informazione sui tool che usate? Oltre a quelli leciti (eg:/ AnyDesk) come affrontate la creazione dei vostri tool? C’è un tipo di tool che richiede più attenzioni di altri? Per la creazione del vostro ransomware invece avete preso spunto da altri ransomware presenti nel panorama? Viene tutto creato da voi o vi affidate a developers esterni?

ShinyHunters: Utilizziamo un mix di strumenti legittimi (come il desktop remoto) e i nostri. Costruiamo ransomware ispirati a strumenti esistenti, ma li modifichiamo per adattarli alle nostre esigenze. Non tutti noi siamo programmatori; a volte collaboriamo con parti esterne.

RHC: C’è qualcosa che governi, aziende o opinione pubblica hanno frainteso sul vostro gruppo ed attività? Sul vostro canale Telegram avete detto diverse volte che le forze dell’ordine hanno arrestato le persone sbagliate. Inoltre cosa vi spinge a chiedere il licenziamento di operatori/agenti che investigano su di voi? Sentite maggiori pressioni rispetto ai vostri periodo di attività precedenti?

ShinyHunters: Ci sono molti malintesi. I media e il governo spesso accusano o arrestano ingiustamente persone ai margini della società. Perché deridiamo le autorità? Perché sono spesso più impegnate a trovare capri espiatori che a capire come operiamo. La pressione sta aumentando, ma fa parte del gioco.

RHC: L’attacco alla supply chain di Salesforce, attraverso il componente Drift, ha avuto un impatto globale senza precedenti. Qual era l’obiettivo primario dell’operazione: spionaggio, monetizzazione immediata, o dimostrazione di forza tecnica?

ShinyHunters: L’obiettivo era una combinazione: monetizzazione rapida mentre si dimostrava forza. L’azione di spionaggio potrebbe essere stata un effetto collaterale, ma il punto era dimostrare la fragilità delle catene di approvvigionamento globali, anche in una compagnia grande come Salesforce.

RHC: Nel caso della compromissione della supply chain di Salesforce, la vera vulnerabilità sembra essere stata l’utilizzo di credenziali OAuth già valide, più che un exploit tecnico. Potete chiarire se tali credenziali siano state ottenute attraverso campagne mirate (phishing, social engineering), acquistate nel mercato underground, oppure sfruttando configurazioni deboli o errori lato cliente/fornitore?

ShinyHunters: Sì, le vulnerabilità non sono sempre nel software, ma nella configurazione e nelle persone. Le credenziali valide possono provenire da phishing, ingegneria sociale o anche dal mercato nero. La verità è che la porta viene aperta dall’interno, non distrutta dall’esterno.

RHC: Dai primi riscontri emerge che gran parte dei dati esfiltrati riguarda sistemi di ticketing usati dalle aziende per gestire assistenza e richieste interne. Diverse fonti sostengono però che la vera “miniera d’oro” siano le informazioni tecniche e riservate contenute in questi ticket. Potete darci qualche dettaglio in più sulla tipologia di dati più sensibili che avete trovato e sul loro reale valore rispetto a semplici dati anagrafici dei clienti?

ShinyHunters:I dati dei clienti sono importanti, ma non sono il nucleo. Il vero tesoro si trova nel sistema di ticketing interno: documentazione tecnica, mappe dell’infrastruttura, conversazioni riservate. Questo è più prezioso di migliaia di email dei clienti.

RHC: Ultimamente sono stati fermati vari membri del vostro team, siete molto attenzionati da varie forze dell’ordine e sicuramente nel mondo della cybersecurity avete gli occhi addosso. Per questo motivo avete deciso di pubblicare il post di addio su breachforums.hn?

ShinyHunters: Alcuni membri sono stati effettivamente arrestati. Questo è un fatto. Il nostro post di addio sul forum? Può essere interpretato come un segno di rassegnazione, o semplicemente come un nuovo capitolo. Il mondo underground è sempre pieno di strati di significato.

RHC: Sempre nel vostro canale Telegram avete postato screen riconducibili ad accesso a LERS di Google e Panel dell’FBI. Non vi sembra di esagerare con le vostre provocazioni? Ovviamente siete a conoscenza delle conseguenze eppure mantenete una posizione rigida e sfacciata, come mai però avete dichiarato di cessare le vostre attività? Comprendete che agli occhi degli analisti sembra essere un tentativo di rebranding o di una falsa exit?

ShinyHunters: È stata una provocazione? Sì. Eravamo consapevoli dei rischi? Assolutamente. Perché è continuata? Perché dimostra che nessun sistema è intoccabile. La dichiarazione di fermo? Potrebbe essere un trucco, potrebbe essere reale. Lasciamo che il pubblico indovini.

RHC: Il vostro collettivo e’ composto da ragazzi giovani e teenager. Le vostre abilità sono innegabili e sicuramente sopra la media di alcuni professionisti del settore. Nonostante ciò vi possiamo assicurare che le opportunità di soddisfazione e carriere altrettanto remunerative come alternativa al crimini sono fattibili, in particolare per gente che riesce a spendere il proprio tempo su questo campo come voi. Perché avete abbracciato la criminalità? Vi siete creati una realtà che poteva darvi soddisfazioni e prestigio sia tra i più giovani che i più veterani ma avete deciso di sviarla per farla diventare di fatto un gruppo di estorsionisti. Considereste una sorta di “redenzione” su questo fronte al costo di chiudere i ponti con il mondo del crimine? Davvero considerate il costo penale (oltre che i danni alle organizzazioni) accettabile per continuare le vostre azioni? Cosa rende così interessante il mondo del crimine ai vostri occhi (denaro a parte)?

ShinyHunters: Molti di noi sono giovani. Sappiamo che ci sono vie legali che possono portare al riconoscimento. Ma il crimine offre sfide, libertà e una scorciatoia per la reputazione. Ne vale la pena? La risposta di ognuno è diversa. La redenzione è possibile, ma non sarà economica.

RHC: ShinyHunters, grazie per il vostro tempo e per le preziose risposte. Ci teniamo a sottolineare con non tutti coloro che lavorano nella security “lecita” dividono il mondo in buoni e cattivi e solo perché venite etichettati come “minacce” comprendiamo che la fuori sono solo sfumature di questi due poli. Speriamo vivamente (se ciò che avete detto nel vostro messaggio d’addio e veritiero) che possiate riconciliare i vostri comportamenti ed azioni considerando non solo di smettere ma di usare le vostre conoscenze all’interno di una community sana sia per voi sia per la sicurezza in generale. Vi lasciamo quest’ultimo spazio per dire quello che volete in totale libertà.

ShinyHunters: Non pensate a noi come a semplici “minacce” o “criminali.” Rappresentiamo una debolezza trascurata. Se volete davvero che ci fermiamo, rafforzate il sistema, educate le persone e create percorsi attraenti per i giovani talentuosi. Fino a quando ciò non accadrà, gruppi come il nostro continueranno a emergere.

Il nostro contatto ufficiale del canale. Abbiamo 2 canali ufficiali e abbiamo ingannato molte persone facendole credere che il nostro account su Telegram sia solo uno, e questo è il nostro obiettivo affinché Telegram non blocchi il nostro canale tutto in una volta.

Scattered Lapsus Hunters Official: https://t.me/+FInBlpGYJlA2NTQ9
Group: https://t.me/+COakigt517JlZDI1
Scattered Lapsus Hunters Part 2: https://t.me/+l7481fEs8Qo3NzZl
Scattered Lapsus Hunters Part 3: https://t.me/+YSzJ2twGKxI4NTdl
Scattered Lapsus Hunters Part 4: https://t.me/+Bs61zhw_lNFiMDg9

L'articolo RHC intervista ShinyHunters: “I sistemi si riparano, le persone restano vulnerabili!” proviene da il blog della sicurezza informatica.

TIOBE Software ha pubblicato la classifica di settembre dei linguaggi di programmazione più popolari. Il momento clou della pubblicazione è stato il ritorno di Perl nella top 10, balzando dal 27° al 10° posto.

Solo un anno fa, Perl era considerata un “outsider“, ma ora il suo indice è del 2,03%. Per fare un confronto, era del 2,08% ad agosto e dell’1,76% a luglio. Questa crescita è particolarmente notevole se si considera che durante gli “anni d’oro” di Perl salì al terzo posto in classifica (marzo 2005), per poi scendere per decenni.

Secondo il direttore di TIOBE, Paul Jansen, la spiegazione tecnica di questo aumento risiede nell’elevato numero di libri su Perl disponibili su Amazon: ci sono quattro volte più libri su Perl che libri su PHP e sette volte più libri su Rust. Tuttavia, le vere ragioni di questo aumento rimangono poco chiare.

Lo stesso Jansen suggerisce che la comunità stia adottando sempre più Perl 5 come linguaggio “principale”. La storia di Perl 6, in seguito ribattezzato Raku, durò quasi due decenni e portò a un rallentamento nello sviluppo di Perl 5. Molti sviluppatori passarono quindi a Python. Oggi, Perl 6/Raku si classifica solo al 129° posto nell’indice e non ha praticamente alcun impatto sul settore, mentre Perl 5 riceve aggiornamenti regolari e sta tornando ad attirare l’attenzione.

A settembre, Python ha mantenuto il primo posto con il 25,98% (in crescita del 5,81% su base annua). C++ è rimasto al secondo posto (8,8%), seguito da C (8,65%) e Java (8,35%). Anche C# è entrato nella top five (6,38%). JavaScript rimane al sesto posto (3,22%), seguito da Visual Basic (2,84%) e Go (2,32%). Delphi/Object Pascal è salito al nono posto (2,26%), seguito da Perl. SQL, Fortran e PHP, invece, hanno perso terreno.

Altri cambiamenti degni di nota includono un crescente interesse per Ada (14° posto, in crescita di 12 punti) e R (13° posto, in crescita di 2 punti). Rust, MATLAB e Kotlin hanno perso terreno.

La classifica TIOBE viene aggiornata mensilmente e riflette la popolarità dei linguaggi in base alle query di ricerca su Google, Amazon, Wikipedia, Bing e oltre 20 altri servizi. Non classifica il “miglior” linguaggio o il volume di codice scritto, ma funge piuttosto da indicatore della rilevanza delle competenze e da guida per le decisioni di sviluppo strategico.

I dati storici evidenziano tendenze a lungo termine: Python occupa costantemente una delle prime 3 posizioni dal 2020, C e C++ occupano il primo posto da oltre tre decenni e linguaggi come Delphi/Object Pascal e Ada stanno tornando sorprendentemente in auge dopo una lunga pausa.

Le classifiche della Hall of Fame ci ricordano che Python è stato nominato “linguaggio dell’anno” più spesso, ben otto volte dal 2007. Ma anche C, Java e persino Go si sono distinti nel corso degli anni.

Gli autori dell’indice sottolineano che stanno continuando a perfezionare la metodologia di calcolo. Prevedono di ampliare l’elenco delle lingue di ricerca (ad esempio, includendo la lingua cinese Baidu) e di introdurre indici separati per database e framework.

L'articolo Perl torna nella top 10 dei linguaggi di programmazione più popolari proviene da il blog della sicurezza informatica.