Si tratta ancora di rumors, ma sono sussurri abbastanza espliciti quelli che riguardano SUSE ed il gruppo svedese EQT che al momento ne detiene la proprietà: secondo Reuters, che millanta una fonte interna che al momento rimane anonima, SUSE starebbe per essere messa in vendita per una cifra intorno ai 6 miliardi di dollari. Come...

🔗 Leggi il post completo

Il TUXEDO Gemini 17 Gen4 è l’ultima proposta di TUXEDO Computers, azienda tedesca specializzata in hardware ottimizzato per sistemi GNU/Linux. Questo notebook, lanciato a dicembre 2025 nella versione con processore Intel Core i9-14900HX, è...

🔗 Leggi il post completo

Blender è un software libero e open source dedicato alla grafica 3D, nato nel 1994 come progetto interno dello studio di animazione olandese NeoGeo. Inizialmente sviluppato come strumento proprietario, nel 2002 è stato rilasciato...

🔗 Leggi il post completo

Le comunicazioni che sono arrivate nell’ultima settimana via mail a tutti i sostenitori della FSFE (Free Software Foundation Europe) lasciano tra lo sbigottito e il perplesso, e dimostra ancora una volta il vecchio detto popolare che recita “neanche il cane scodinzola per niente“. Per capire quale sia il problema ed a cosa si riferisca basta...

🔗 Leggi il post completo

FFmpeg è uno dei più celebri e potenti strumenti open source per la manipolazione di file multimediali, in grado di registrare, convertire e trasmettere audio e video in tempo reale. Nato nel 2000 come progetto guidato da...

🔗 Leggi il post completo

SparkyLinux è una distribuzione GNU/Linux che adotta un modello particolare che prevede 2 rami principali: il ramo semi‑rolling, basato su Debian Testing, e il ramo stabile, basato su Debian Stable. Questa architettura di sviluppo consente agli utenti di scegliere se...

🔗 Leggi il post completo

All’inizio di questo mese di marzo è arrivata una notizia dagli Stati Uniti che, visto il complicato momento storico, avrebbe tranquillamente potuto passare inosservata, ma che in realtà ha scatenato una vera e propria mobilitazione nelle community open-source e specificamente presso quanti si occupano di distribuzioni Linux. La questione è ben riassunta da questo articolo...

🔗 Leggi il post completo

Nel forum ufficiale di Manjaro Linux è apparso un documento destinato a far discutere: il “Manjaro 2.0 Manifesto”, una proposta che mira a ridefinire profondamente la struttura organizzativa del progetto e il suo rapporto con la comunità.
L'articolo Manjaro 2.0: il manifesto che potrebbe cambiare il futuro della distribuzione proviene da Marco's Box.

🔗 Leggi il post completo

OpenRazer è un driver accompagnato da un demone, cioè un servizio in background, progettato per lo spazio utente e pensato per offrire agli utenti delle distribuzioni GNU/Linux un controllo completo sulle periferiche Razer. Il...

🔗 Leggi il post completo

E’ da un po’ che non riuscivo a prendere del tempo per aggiornare questo blog e, visti gli avvenimenti che hanno determinato e stanno determinando la sicurezza nelle ultime settimane, riapro con un post sull’Iran.

L’11 marzo 2026 Stryker, uno dei colossi mondiali della tecnologia medicale, ha scoperto cosa significa avere l’intero ambiente Microsoft trasformato in un kill‑switch remoto, azionato da un gruppo hacktivista filo‑iraniano che si firma Handala Hack e che l’intelligence occidentale riconduce alla costellazione iraniana Yellow Phobos / Void Manticore / Red Sandstorm. Nel giro di minuti, migliaia di endpoint aziendali – dai server Windows alle workstation fino agli smartphone con profili corporate – sono stati resettati o wipati, i portali di login hanno iniziato a mostrare il logo di Handala e la supply chain sanitaria globale ha avuto un assaggio molto concreto di cosa significhi un attacco distruttivo contro un fornitore critico.​

La narrazione ufficiale dell’azienda, almeno nelle prime ore, è stata prudente: “network disruption”, incidente circoscritto al “Microsoft environment”, nessuna evidenza pubblica di ransomware o malware tradizionale, nessun riferimento esplicito a wiper nel comunicato ai clienti. Eppure le evidenze raccolte nei report di threat intelligence e le testimonianze interne vanno in tutt’altra direzione, parlando di cancellazione massiva di dati, factory reset orchestrati da remoto e indisponibilità diffusa dei dispositivi in decine di sedi nel mondo. Il punto interessante, per una community nerd e tecnica, non è solo il “chi” ma soprattutto il “come”: invece di far leva su un ennesimo payload custom, Handala avrebbe scelto un approccio quasi “living off the SaaS”, abusando di Microsoft Intune per distribuire comandi di remote wipe perfettamente legittimi ma usati con finalità distruttive.

Per capire perché questo incidente pesa più di altri sul piano strategico bisogna partire dal contesto geopolitico. Handala rivendica l’operazione come ritorsione per l’attacco contro la scuola di Minab in Iran, incastonandola in un ciclo di escalation che vede Stati Uniti e Israele da un lato e Teheran dall’altro, con il cyber come teatro operativo ormai pienamente integrato in quello cinetico. Sullo sfondo c’è il ruolo del Corpo delle Guardie Rivoluzionarie Islamiche (IRGC), che tramite media di Stato come l’agenzia Tasnim ha iniziato a pubblicare liste di “obiettivi legittimi” tra le big tech occidentali, indicando strutture di Google, Microsoft, Nvidia, IBM, Oracle, Palantir e Amazon in Israele e nel Golfo come possibili target di future azioni di “infrastructure warfare”. In questo schema, colpire un fornitore medicale come Stryker non è solo un’operazione di sabotaggio episodica, ma un messaggio: l’Iran‑verse cyber non si limita più a entità governative o utility regionali, può aggredire nodi sistemici della sanità globale e disarticolare la capacità operativa degli ospedali occidentali senza toccare direttamente i loro sistemi clinici.

Dal punto di vista tecnico, il quadro che emerge secondo diverse fonti di cyber intelligence è quello di un’operazione costruita intorno a un wiper, o comunque a un effetto wiper‑like, con un’architettura pensata per massimizzare la distruzione più che l’estorsione. A differenza del classico schema ransomware – cifratura, nota di riscatto, canale di negoziazione – qui il focus è la cancellazione irreversibile dei dati sui sistemi aziendali, l’arresto forzato della produzione, il lock‑out degli utenti dalle applicazioni critiche. Nelle prime ore Stryker ha parlato di impatto confinato all’ecosistema Microsoft, ma i report descrivono un effetto domino su più regioni, dal quartier generale europeo in Irlanda agli stabilimenti di produzione in Nord America e Asia, con shutdown degli ambienti industriali, perdita dei canali di comunicazione interna e cancellazione remota degli endpoint gestiti via MDM.

Il passaggio chiave è il controllo dell’infrastruttura di gestione centralizzata. Yellow Phobos è noto per un modus operandi identity‑centric: phishing mirato, furto di credenziali, abuso di account validi, focus su Microsoft Entra ID e Microsoft 365, e pivot sugli strumenti di orchestrazione come Intune, automazioni Azure o Group Policy per scalare rapidamente i privilegi dentro il tenant. Nel caso Stryker, fonti vicine all’indagine hanno raccontato come il gruppo non avrebbe necessariamente spinto un eseguibile wiper classico, ma sfruttato la console Intune per emettere comandi di remote wipe e factory reset verso qualsiasi dispositivo associato al profilo aziendale, inclusi i telefoni personali BYOD con un work profile. Il risultato è un “wiper as a feature”: invece di un malware che sovrascrive i settori del disco, una tempesta di azioni amministrative legittime ma concatenate per ottenere lo stesso esito, con un livello di tracciabilità e attribuzione ancora più insidioso perché si confonde con l’attività di gestione quotidiana.

Questo approccio è perfettamente coerente con le TTP mappate nel framework MITRE ATT&CK per Handala / Yellow Phobos negli ultimi anni. Sul fronte dell’accesso iniziale, il gruppo ha storicamente combinato spear phishing (T1566) con l’exploitation di servizi esposti (T1190) e il riuso di account validi (T1078), spesso attraverso campagne di brand impersonation che mimano attori fidati come provider di sicurezza o vendor IT per indurre l’utente a consegnare credenziali o token. Una volta dentro, la persistenza passa attraverso l’abuso sistematico di account amministrativi compromessi, l’uso estensivo di interpreter di scripting e strumenti nativi (T1059) e l’escalation via exploitation di vulnerabilità note (T1068), con il movimento laterale orchestrato tramite servizi remoti (T1021) e alternate authentication material (T1550) per attraversare velocemente boundary logici e geografici. L’impatto, come dimostra il caso Stryker, è centrato su data destruction (T1485), endpoint DoS (T1499) e defacement (T1491), con i portali di autenticazione brandizzati Handala a sigillare visivamente la presa di controllo dell’infrastruttura.

Un altro elemento non trascurabile è il ruolo delle identità hacktiviste multiple che orbitano intorno a Yellow Phobos. Handala Hack è solo una delle maschere: le cronache degli ultimi anni hanno già visto Homeland Justice rivendicare operazioni distruttive contro il governo albanese, compresa la compromissione dei sistemi email del parlamento con conseguente sospensione dei servizi, mentre Anonymous for Justice ha firmato presunti wiping contro target israeliani nei settori legale, utilities e servizi finanziari. La logica è quella di una franchising strategy ideologica: nomi e logo cambiano a seconda del messaggio politico e del teatro operativo, ma le infrastrutture, le toolchain e il know‑how restano nelle mani dello stesso cluster operativo legato all’apparato di sicurezza iraniano. Per chi difende, questo rende meno utile concentrarsi sulla “sigla” e obbliga a riconoscere pattern tecnici ricorrenti, come l’abuso di provider di cloud occidentali, il riciclo creativo di domini typo‑squatting e un elenco crescente di IoC che spaziano da indirizzi IP a domini come handala‑hack.to, justicehomeland.* e una lunga serie di pseudo‑brand di big tech usati per phishing e comando e controllo.

Sul terreno, l’effetto dell’attacco è stato immediato anche fuori da Stryker. In Australia, ad esempio, le autorità sanitarie hanno messo in stato di allerta gli ospedali che dipendono da dispositivi e impianti Stryker, consapevoli che una disruption prolungata nella catena di fornitura può tradursi in ritardi nelle procedure chirurgiche, difficoltà nella manutenzione e nei richiami di sicurezza dei device. Al di là del singolo caso, il messaggio per il settore healthcare è che la resilienza non può essere pensata solo dentro il perimetro ospedaliero: un wiper‑driven incident su un player di medtech upstream può avere un impatto sistemico paragonabile a un attacco diretto a un grande ospedale universitario o a una centrale elettrica regionale.

Guardando oltre il perimetro sanitario, l’elenco di minacce diffuse dall’IRGC contro data center e uffici di big tech nel Golfo e in Israele apre un fronte nuovo, in cui i cloud provider e i grandi vendor di AI, storage e analytics non sono più solo infrastrutture di riferimento ma target dichiarati di operazioni di “infrastructure warfare”. Gli episodi recenti che citano attacchi con droni contro data center AWS negli Emirati Arabi Uniti e in Bahrain – ancora da chiarire nei dettagli tecnici – confermano che il confine tra attacco fisico e attacco logico si va sfumando: la stessa facility può finire in un rapporto di intelligence come potenziale obiettivo cinetico e, contemporaneamente, come nodo da degradare via campagne cyber destruttive o di preposizionamento.

All’interno di un’azienda, ente o organizzazione con footprint cloud esteso e dipendenza strutturale da ambienti Microsoft, la lezione del caso Stryker è tanto banale quanto scomoda: la tua superficie d’attacco più critica non è solo l’ennesimo zero‑day, ma il layer di identity e di gestione centralizzata che hai costruito per semplificarti la vita. La strategia di mitigazione descritta – MFA ovunque, soprattutto sugli account privilegiati, principle of least privilege spinto sulle console amministrative, PAM per isolare e tracciare l’uso delle credenziali ad alto impatto, RBAC rigoroso sui sistemi di endpoint management, EDR e SIEM con regole specifiche per rilevare movimenti laterali e azioni massive di wipe/reset – non è più “best practice”, è la baseline minima per sopravvivere a un avversario che ha dimostrato di saper trasformare Intune nel proprio wiper distribuito. L’altro pezzo del puzzle è la preparedness: backup offline e immutabili delle configurazioni critiche, runbook di incident response che contemplino la perdita simultanea di migliaia di endpoint, canali di comunicazione fuori banda pronti per quando la posta e i sistemi di messaggistica aziendale spariscono in un colpo solo.

In prospettiva, il caso Stryker rischia di essere ricordato come uno spartiacque, non tanto per la tecnologia impiegata – nessun exploit miracoloso, nessun malware da collezione – ma per il salto concettuale nell’abuso delle piattaforme di gestione cloud come arma di distruzione su larga scala. È un modello replicabile, economicamente efficiente per l’attaccante e perfettamente allineato a una dottrina in cui il cyber non serve solo a rubare dati o a fare pressione tramite estorsione, ma a erodere la capacità industriale e la fiducia nelle infrastrutture digitali dei Paesi avversari.

SuperTux è un videogioco platform bidimensionale di origine americana completamente libero e open source, sviluppato per funzionare su più sistemi operativi. Non va confuso con SuperTuxKart, che appartiene a un genere completamente diverso e...

🔗 Leggi il post completo

Nel 2024 avevamo già presentato Cleaner Advanced, un piccolo script Bash pensato per concentrare in un unico comando diverse operazioni di manutenzione tipiche della distribuzione GNU/Linux Arch Linux. Per tutti i dettagli operativi e...

🔗 Leggi il post completo

Come ricorderanno i lettori del blog, la backdoor XZ che ha investito ormai due anni fa tutti i sistemi Linux che fornivano quel pacchetto, non è stato un caso a sé stante, non ha riguardato unicamente uno strumento open-source contaminato da malintenzionati, bensì l’intero mondo open-source. Perché, al netto del problema in sé, erano state...

🔗 Leggi il post completo

GIMP 3.2 è disponibile: arrivano livelli vettoriali, editing non distruttivo, nuovi strumenti e miglior compatibilità con PSD e altri formati grafici. Scopri le novità.
L'articolo GIMP 3.2: arrivano livelli vettoriali e editing non distruttivo proviene da Marco's Box.

🔗 Leggi il post completo

GIMP (GNU Image Manipulation Program) è uno dei software di elaborazione grafica più noti e apprezzati al mondo. Si tratta di un programma multi-piattaforma, disponibile per GNU/Linux, macOS e Windows, che offre strumenti professionali per la modifica e la creazione di immagini...

🔗 Leggi il post completo

Ogni settimana, il mondo del software libero e open source ci offre una moltitudine di aggiornamenti e nuove versioni di software. Anche se non tutti sono di grande rilevanza, molti di questi possono risultare...

🔗 Leggi il post completo

Il Parlamento europeo ha compiuto un passo decisivo nel dibattito sulla tutela della privacy online, votando per porre fine alla scansione indiscriminata delle chat private prevista dalle misure contro gli abusi sessuali sui minori....

🔗 Leggi il post completo

Il Progetto Debian ha annunciato ieri 14 marzo 2026 la disponibilità generale di Debian 13.4, 4° aggiornamento della serie Debian 13 “Trixie”. Questa distribuzione, completamente libera e open source, rappresenta uno dei pilastri del...

🔗 Leggi il post completo

Il Parlamento europeo blocca la scansione di massa delle chat private nel dibattito sul Chat Control, difendendo privacy e crittografia end-to-end.
L'articolo Il Parlamento europeo blocca Chat Control: stop alla scansione di massa delle chat private proviene da Marco's Box.

🔗 Leggi il post completo

KDE Frameworks è una raccolta di oltre settanta librerie software libere (attualmente 72) basate su Qt, il noto toolkit multipiattaforma per lo sviluppo di interfacce grafiche. Queste librerie forniscono API stabili e coerenti (le API sono insiemi di funzioni e componenti pronti...

🔗 Leggi il post completo

La diffusione degli e‑book, cioè i libri digitali leggibili su dispositivi elettronici come lettori dedicati, computer, smartphone e tablet, ha trasformato profondamente il modo di leggere e organizzare i contenuti. I principali formati oggi in uso, come EPUB (Electronic...

🔗 Leggi il post completo

Il futuro di SUSE, uno dei nomi storici del mondo Linux enterprise, potrebbe presto cambiare ancora una volta. Secondo quanto riportato da Reuters, il fondo di investimento EQT AB starebbe valutando la vendita della società, in un’operazione che potrebbe raggiungere una valutazione di circa 6 miliardi di dollari. Se l’operazione dovesse concretizzarsi, sarebbe l’ennesimo passaggio […]...

🔗 Leggi il post completo

EndeavourOS è una distribuzione GNU/Linux basata su Arch Linux, progettata per offrire un’esperienza accessibile e potente, mantenendo la filosofia di semplicità e leggerezza che caratterizza l’ecosistema Arch Linux. Il progetto nasce nel 2019 come...

🔗 Leggi il post completo

OBS Studio è un software libero e open source dedicato alla registrazione video e allo streaming in diretta, progettato per offrire un controllo avanzato sulla produzione audiovisiva. Nato nel 2012 come progetto comunitario, si...

🔗 Leggi il post completo

Eccoci con la rubrica ormai settimanale dedicata all’intelligenza artificiale usata male, diventata un vero e proprio trend sul portale, dal titolo AI, Ahi. Si parte dalla notizia riportata da Phoronix, a proposito di Chardet, un rilevatore di encoding dei caratteri scritto in Python, sul cui repository GitHub è stata aperta una issue dall’utente a2mark, ossia...

🔗 Leggi il post completo

PeerTube è una piattaforma video decentralizzata e open source, sviluppata dall’associazione francese Framasoft, che nasce con l’obiettivo di offrire un’alternativa realmente libera, trasparente e indipendente ai servizi centralizzati di condivisione video controllati dalle grandi...

🔗 Leggi il post completo

Kitty è un emulatore di terminale open source che utilizza la GPU (Unità di Elaborazione Grafica) per accelerare il rendering del testo, offrendo prestazioni elevate e un ambiente moderno per chi lavora quotidianamente con...

🔗 Leggi il post completo

Se siete tra quanti hanno alzato il sopracciglio quando abbiamo parlato dell’acquisizione di Arduino da parte di Qualcomm, chiedendosi se questa nuova casa per il progetto nato in Italia avrebbe portato benefici questo articolo potrebbe interessarvi. Parte tutto da un annuncio di Canonical, l’azienda madre di Ubuntu, che ha annunciato una collaborazione con Arduino al...

🔗 Leggi il post completo

Prova a pensare al browser non come a un semplice programma per consultare pagine web, ma come a una piattaforma capace di ospitare un vero computer virtuale. È questo il punto di partenza di...

🔗 Leggi il post completo

Nuova puntata del podcast di Marco’s Box, questa volta dedicata a commentare le principali notizie di dal mondo di linux e del software libero e open source dell’ultima settimana. Trovate la puntata su Spotity, Google...

🔗 Leggi il post completo

Da molti anni NVIDIA rappresenta un punto di riferimento nel settore delle tecnologie grafiche, con soluzioni destinate sia al mercato consumer sia a quello professionale. I driver della serie 580 fanno parte del Production...

🔗 Leggi il post completo

L’ultima edizione dei Bits from the DPL, il messaggio che mensilmente Andreas Tille, Debian Project Leader, manda alla community Debian e non solo, è stato particolarmente corposo. Ricco soprattutto di contenuti utili che non si riferiscono unicamente al progetto Debian, quanto piuttosto a tutti i progetti open-source e sono spunti di riflessione che vale la...

🔗 Leggi il post completo