Acid rain sucks, particularly if you run a fancy university with lots of lovely statues outside. If you’d like to try and predict when it’s going to occur, you might like this project from [Mohammad Nihal].

When rain is particularly acidic, it’s usually because of the combination of sulfur dioxide or nitrogen dioxide and moisture in the atmosphere. This combination ends up making sulfuric acid or nitric acid that then falls to the ground as precipitation. The low-pH rain that results can harm ecosystems, melt statues, and just generally give everyone a hard time.

[Mohammed] decided to try and predict acid rain by building a simple device based on an Arduino Nano. It records SO2 levels with an MQ-136 gas sensor, and NO2 levels with an unspecified MEMS-based sensor. There’s also a DHT11 temperature & humidity sensor in the mix, which is important since moisture content plays a role. The Arduino reads these sensors and uses a simple predictive algorithm to create an “Acid Rain Risk Score” that is displayed on a 16×2 character LCD. It’s all wrapped up in a fun 3D printed enclosure that looks like a cloud.

There are some limitations to the device. Namely, it doesn’t necessarily have a great read on atmospheric SO2 and NO2 levels in the atmosphere, particularly at altitudes where rain is formed, because the sensor sits inside the device indoors. However, the basic concept is there, and improvements could certainly be made with some upgrades and further research.

hackaday.com/2025/12/01/sensor…

Ammettiamolo: nel mondo dell’Information Technology (IT) e della Cyber Security, le 24 ore non sono uguali per tutti. La vera risorsa scarsa non è il tempo, ma il bandwidth del cervello.

Se ci sentiamo costantemente sotto assedio, se la nostra giornata è una corsa reattiva da un alert urgente all’altro, abbiamo un problema di architettura cognitiva, non di gestione del tempo.

La differenza tra un team sovraccarico che naviga a vista e un team chirurgico e ad alto impatto non sta negli tool di ultima generazione, ma nel loro sistema operativo interno.

È ora di smettere di rincorrere l’illusione della “gestione del tempo” e di iniziare a padroneggiare ciò che conta davvero: il nostro focus e la nostra energia cognitiva.

Esploriamo come passare dalla RAM satura alla lucidità operativa, trasformando la gestione del rischio da una reazione stanca a una strategia deliberata.

Quando l’allarme è solo rumore

Il risultato del sovraccarico è l’Alert Fatigue. È la condizione per cui l’esposizione cronica a False Positive ci porta a desensibilizzarci.

Quando il True Positive arriva in una coda di 99 avvisi irrilevanti, la nostra velocità di reazione non è più determinata dalla nostra skill, ma dalla nostra tolleranza alla frustrazione e dalla nostra attenzione esaurita.

Urgenza vs. Rischio di Impatto

La vecchia matrice urgente/importante non funziona più perché ogni cosa “importante” è quasi sempre anche “urgente”.

Cosa possiamo fare per riprendere il controllo?

Dobbiamo smettere di sentirci responsabili per tutti i task e concentrarci principalmente sulle Critical Few (le poche cose critiche ed essenziali).

Applichiamo quindi il Principio di Pareto (80/20) e domandiamoci:

Quali 20% di task o vulnerability possono mitigare l’80% del rischio complessivo?

Ogni mattina, identifichiamo le nostre 3 attività che, se completate, avranno il massimo impatto sulla nostra giornata e sul rischio aziendale.

Se abbiamo completato solo quelle, la nostra giornata è stata comunque un successo, indipendentemente dal resto della To-Do List.

Deep Work: la VPN mentale per la concentrazione

Il nostro valore non è nel lavoro superficiale (Shallow Work – rispondere a email e chat), ma nel Deep Work.

Il Deep Work (lavoro profondo) è lo stato di concentrazione senza distrazioni che spinge le nostre capacità cognitive al limite e crea nuovo valore.

Stop al Multitasking: un mito distruttivo!

Ogni volta che saltiamo da un task all’altro, il nostro cervello paga un costo di switching.

La parte di noi che decide (la corteccia prefrontale) si stanca e lascia una residual attention (attenzione residua), come una tab del browser rimasta aperta in background che ci rallenta.

Dobbiamo creare una VPN mentale per il nostro Deep Work:

1. Time Boxing: prenotiamo blocchi di tempo non negoziabili nel nostro calendar.
2. Isolamento Rituale: durante il Time Box, chiudiamo Outlook. Ci stiamo letteralmente disconnettendo dal rumore per connetterci al segnale.

Ego Depletion: ogni scelta svuota la batteria

Ogni decisione, dalla scelta della colazione alla prioritizzazione di un patching, consuma energia (questo è l’Ego Depletion).

• Automatizziamo o deleghiamo il più possibile le micro-decisioni (es. l’ordine delle email, i processi di workflow standard).
• Conserviamo l’energia per le macro-decisioni critiche (es.incident response complesso, analisi strategica, zero-day).

La padronanza del nostro sistema

Smettiamo di credere di poter hackerare il tempo!

Non possiamo aggiungere ore al giorno, ma possiamo aggiungere qualità al nostro focus.

Nel mondo Cyber/IT, la nostra vera architettura di sicurezza non è solo la nostra suite di tool o il nostro firewall,

è la stabilità e la lucidità della nostra mente!

Se siamo costantemente reattivi, saturi di alert e stanchi, siamo un sistema operativo con risorse insufficienti e un obiettivo facile per chiunque debba eseguire un exploit.

Il professionista resiliente, invece, ha il controllo sui suoi input (le distrazioni) e sui suoi processi (il Deep Work), garantendo che la risorsa più critica di tutte ossia il suo capitale cognitivo sia sempre on target.

La padronanza operativa inizia con la padronanza di sé!

Ecco 3 domande essenziali per applicare subito un fix al nostro sistema operativo personale:

Analisi del Rischio : quali sono le 3 attività a massimo impatto che, se eseguite in Deep Work questa settimana, ridurranno significativamente un rischio o sbloccheranno un valore critico?

Ottimizzazione della RAM : quale singola micro-decisione o task ripetitivo potremmo documentare e delegare/automatizzare subito per liberare il nostro cervello dal “rumore di fondo” decisionale?

Resilienza Operativa : trattiamo il nostro sonno e le nostre pause come un requisito operativo o come un optional?

L'articolo Benessere Cognitivo e Produttività per professionisti IT e Cyber Security proviene da Red Hot Cyber.

Airbus ha annunciato il richiamo di circa 6.500 aeromobili A320 a causa di potenziali guasti al sistema di controllo ELAC causati da potenti brillamenti solari. Il richiamo è avvenuto in seguito a un’improvvisa perdita di quota durante un volo da Cancún, in Messico, a Newark, che ha causato un atterraggio di emergenza e 15 passeggeri feriti.

Secondo Reuters , la decisione di richiamare l’aereo è stata presa in seguito a un’indagine sull’incidente che ha coinvolto il JetBlue A320. L’indagine ha stabilito che l’incidente è stato causato dalla risposta errata del sottosistema ELAC alle intense eruzioni solari.

Di conseguenza, il sistema ha interpretato erroneamente i movimenti della colonna di controllo. Il produttore ha raccomandato di ripristinare l’aggiornamento software L104 alla versione precedente o di sostituire il modulo di elaborazione.

Oltre 6.000 aeromobili A320 sono interessati dal richiamo. Lufthansa, IndiGo, easyJet, JetBlue, American Airlines e Air France sono state costrette a mettere a terra una parte significativa delle loro flotte, causando ritardi e cancellazioni diffuse durante il fine settimana. La sola Air France ha cancellato 35 voli sabato.

Nel frattempo, IndiGo, easyJet, JetBlue e American Airlines hanno ripristinato in modo indipendente l’aggiornamento problematico: l’operazione ha richiesto solo poche ore, evitando qualsiasi interruzione dei loro programmi.

Solo gli aerei più vecchi necessitano della sostituzione del modulo computer. Secondo una fonte del settore RBC, sembrerebbe che gli aerei della Federazione russa sono immuni a questo problema.

Perchè? l’“immunità” degli A320 russi è dovuta al fatto che il loro software non è stato aggiornato dal 2022 a causa delle sanzioni. Il problematico aggiornamento L104 è stato rilasciato solo nel 2024.”

L'articolo Patch o atterri! 6.500 Airbus A320 richiamati per una patch di urgenza proviene da Red Hot Cyber.

OpenAI, un’azienda valutata circa 500 miliardi di dollari, si trova ad affrontare una concorrenza tecnica sempre più agguerrita. L’ultima versione di Gemini 3 di Google, in particolare, supera GPT-5 di OpenAI in diverse aree.

“Il mondo di oggi è profondamente diverso dalla situazione di due anni fa, quando OpenAI era più avanti di tutti gli altri”, ha dichiarato al Financial Times Thomas Wolf, co-fondatore e direttore scientifico della piattaforma di intelligenza artificiale Hugging Face.

Lo stesso CEO di OpenAI, Sam Altman, ha recentemente ammesso in una nota trapelata al personale che l’azienda deve prepararsi a un periodo di intensa concorrenza.

Solo un anno fa, la posizione di Google sembrava meno favorevole, ma dopo la conferenza degli sviluppatori di maggio e il lancio dello strumento fotografico Nano Banana, il numero di utenti mensili dell’app Gemini è salito da 400 milioni a 650 milioni. Tuttavia, questa crescita non sembra procedere in modo graduale. Nel frattempo, la capitalizzazione di mercato di Alphabet si avvicina ai 4.000 miliardi di dollari.

Sebbene OpenAI vanti circa 800 milioni di utenti settimanali, i dati dello strumento di analisi Similarweb, secondo il Financial Times, mostrano che le persone ora trascorrono più tempo su Gemini che su ChatGPT. La sfida principale di OpenAI risiede nel generare entrate sufficienti, potenzialmente attraverso l’integrazione pubblicitaria e l’espansione della sua base di abbonati.

Un vantaggio fondamentale per Google: l’azienda ha addestrato Gemini 3 utilizzando i propri chip Tensor Processing Unit invece di affidarsi all’hardware Nvidia. “Questo approccio completamente integrato tra hardware e software ci consente di raggiungere consumatori, clienti e aziende su questa scala “, ha dichiarato al Financial Times Koray Kavukcuoglu, architetto AI di Google e CTO di DeepMind.

Parallelamente, Anthropic, fondata nel 2021 da ex dipendenti di OpenAI, sta costruendo una solida attività imprenditoriale.

L’azienda sta raccogliendo capitali per una valutazione prevista di circa 300 miliardi di dollari. Secondo il Financial Times, il chatbot Claude è particolarmente apprezzato dai clienti aziendali nel settore della programmazione

L'articolo OpenAI sotto pressione. Google e Anthropic stanno recuperando proviene da Red Hot Cyber.

If you own a handheld transceiver of any type then the chances are it will come with a “rubber duck” style antenna. These flexible rubber-coated antennas are a compromise in performance, being significantly smaller than a wavelength at their frequency of operation. [OM40ET] has an interesting video in which he investigates this by tearing down a cheap rubber duck antenna and an even cheaper fake.

These antennas usually have a flexible upper section and a bulge at the bottom over the connector. The fake one has nothing in the bulge except the antenna wire and thus has a very high SWR, while the “real” one has a loading coil. This coil is an interesting design, because it’s designed such that the antenna has two resonant points at the 2 metre and 70 centimetre amateur bands. On paper it’s a tapped coil fed at the tap through a capacitor for matching, but a more detailed appraisal will tell you that the two halves of the coil are designed to return those two resonances. It’s still a not-very-good antenna, but the fact that it works at all is something.

If you want something better at VHF and haven’t got much space, all is not lost. We recently featured a VHF magnetic loop.

youtube.com/embed/O8fsiwHHRRs?…

hackaday.com/2025/11/30/all-ha…

A nove mesi dall’entrata in vigore del Digital Operational Resilience Act (DORA), il settore finanziario europeo si trova di fronte a una sfida cruciale: garantire una resilienza dei dati all’altezza delle nuove normative. Secondo un recente sondaggio di Veeamcondotto da Censuswide, il 96% delle organizzazioni finanziarie in EMEA ammette che il proprio livello di resilienza non è ancora sufficiente per soddisfare i requisiti imposti dal regolamento europeo.

La normativa DORA, entrata in vigore a gennaio 2025, nasce con l’obiettivo di rafforzare la sicurezza digitale e la continuità operativa delle istituzioni finanziarie, in un contesto in cui le minacce informatiche sono sempre più sofisticate e pervasive. Eppure, nonostante il 94% delle aziende intervistate dichiari di attribuire oggi a DORA una priorità maggiore rispetto al passato, il percorso verso la piena conformità è tutt’altro che concluso.

Cybersecurity sotto pressione

Il regolamento ha avuto un impatto diretto sui team IT e di sicurezza: il 41% delle organizzazioni segnala un aumento dello stress e della pressione interna, mentre il 37% deve affrontare costi crescenti imposti dai fornitori ICT. A ciò si aggiunge un dato preoccupante: il 20% delle aziende non ha ancora ottenuto il budget necessario per implementare le misure richieste dalla normativa DORA.

In questo scenario, la cybersecurity diventa il pilastro su cui costruire una vera resilienza operativa. Non si tratta solo di proteggere i dati, ma di garantire che siano sempre disponibili, recuperabili e sicuri, anche in caso di attacco o interruzione. La “resilienza radicale” promossa da Veeam si fonda proprio su questo principio: offrire soluzioni in grado di integrare backup, ripristino, portabilità e intelligence, in ambienti cloud, virtuali, fisici, SaaS e Kubernetes.

Le lacune da colmare

Il sondaggio evidenzia come molte organizzazioni siano ancora lontane dal soddisfare alcuni requisiti fondamentali del DORA. Il 24% non ha avviato test di continuità operativa, né implementato procedure di segnalazione degli incidenti. Il 21% non ha ancora garantito l’integrità dei backup e il recupero sicuro dei dati e il 34% considera la gestione del rischio dei fornitori terzi il requisito più difficile da implementare, a causa della scarsa visibilità sulle supply chain e della complessità delle reti esterne.

Secondo Alessio di Benedetto, Country Manager di Veeam Software Italia, “La normativa DORA ha acceso i riflettori sulla necessità di una resilienza operativa concreta. In Italia, molte aziende stanno ancora cercando di colmare il divario tra conformità e protezione reale. In Veeam crediamo che la cybersecurity debba essere al centro di questa trasformazione: non solo per difendere i dati, ma per garantirne disponibilità e ripristino immediato. È il momento di andare oltre il backup tradizionale e costruire una resilienza digitale duratura“.

È qui che la cybersecurity assume un ruolo strategico: non solo come strumento di protezione, ma come leva per una governance più consapevole e integrata.

Verso una resilienza informatica duratura

La normativa DORA non è solo una questione di conformità, ma un’occasione per ripensare laresilienza informatica. Le organizzazioni che sapranno investirvi, puntando su cybersecurity e data protection avanzata, saranno le più pronte ad affrontare le sfide future.

L’iniziativa “Veeam è Molto di Più” invita aziende e professionisti ad andare oltre il semplice backup e considerarlo non più come una semplice copia dei dati, ma come pilastro strategico per garantire continuità, sicurezza e agilità del business. La vera resilienza nasce dalla capacità diripristinare rapidamente sistemi e ambienti, di gestire laportabilità dei dati tra cloud, infrastrutture virtuali e container, e diproteggerli con soluzioni sicure, immutabili e crittografate. In un modello dicloud ibrido, che unisce flessibilità e controllo, la resilienza dei dati diventa così una necessità strategica per assicurare la continuità operativa in un mondo in cui le interruzioni non sono più l’eccezione, ma la norma.

L'articolo Ricerca Veeam sull’applicazione della normativa DORA: il 96% delle aziende finanziarie in EMEA non è pronto proviene da Red Hot Cyber.

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha imposto un’accelerazione decisiva per la sicurezza informatica italiana. Con la Determinazione n. 333017/2025, ha formalizzato la figura del Referente CSIRT, il punto di contatto obbligatorio con il CSIRT Italia nell’ambito della Direttiva NIS2.

La finestra temporale è ristretta: dal 20 novembre al 31 dicembre 2025. Questa scadenza non è un mero adempimento, ma un test concreto di resilienza per tutte le organizzazioni NIS2.

In un contesto di minacce in aumento, la capacità di reagire in modo rapido e coordinato è il fattore discriminante tra contenimento del danno e caos operativo.

L’OBBLIGO NIS2: DALLA NOMINA FORMALE ALLA REALTÀ OPERATIVA

Il Referente CSIRT è la figura responsabile della gestione e notifica degli incidenti significativi. La sfida principale non è nominare una persona, ma garantire che questo ruolo sia integrato in un processo di Incident Response (IR) funzionante.

Il Rischio della Conformità Fittizia

La Determina ACN definisce l’obbligo, ma molti aspetti operativi restano in ombra. Il rischio più evidente è la nomina puramente formale, priva di reali capacità operative.

Secondo Riccardo Margarito, Cyber Security Expert in Nais: «La paper compliance è una falsa conformità che nasconde gravi gap operativi. L’obbligo di notifica all’ACN scatta entro le 24 ore dal momento in cui l’incidente è noto. Senza un vero processo IR e di “contenimento dell’incidente” (eradication) a seguito di un’analisi preliminare svolta da un SOC L2-L3, la notifica sarà inevitabilmente tardiva.»

Questo problema è aggravato dall’approccio ancora largamente reattivo e non preventivo in Italia: oltre il 50% delle organizzazioni interviene sulla propria superficie d’attacco solo dopo aver subito un incidente, un’inerzia incompatibile con le tempistiche NIS2.

IL CONTO ALLA ROVESCIA TECNICO: PRONTEZZA NELLE PRIME ORE

La crescente domanda di un Referente CSIRT realmente competente non è un vezzo normativo, ma la risposta diretta a un panorama di minacce sempre più mirato. L‘ACN, ENISA e il CSIRT Italia delineano un ecosistema ad altissima pressione: oltre la metà degli incidenti registrati (53,7%) ha colpito le “entità essenziali” definite dalla NIS2, dimostrando che la criticità normativa funge ormai da vero e proprio faro per gli attaccanti. La PA rimane il bersaglio primario, seguita dal settore sanitario che registra un inquietante +40% di attacchi nel 2025 e il manifatturiero assediato da un aumento del 71% nell’attività criminale.

Sul fronte della prontezza operativa, la vera battaglia non si combatte sulla quantità di notifiche, ma sulla loro qualità. L’esperto Riccardo Margarito sposta il focus dall’evento in sé alla comprensione profonda dell’intrusione: «Il vero ostacolo non è la notifica, ma la qualità del dato che la alimenta. La risposta iniziale non può limitarsi a constatare il danno, ma deve fondarsi su una triade operativa irrinunciabile: Deep Visibility, Automation & Threat Intelligence.»

La figura del Referente CSIRT non deve limitarsi a gestire un allarme, ma deve interpretare l’intera Kill Chain, distinguendo un falso positivo dall’azione mirata di un noto gruppo Ransomware. Margarito definisce la gestione dell’attacco come una vera e propria “Golden Hour”: il momento cruciale in cui si gioca la partita tra la detection del SOC e l’effettivo dispiegamento delle procedure di Incident Response. Se in quell’ora l’azienda non ha la capacità di correlare i segnali o identificare i primi accessi, la notifica all’ACN rischia di essere tardiva o priva dei fondamentali IoC (Indicators of Compromise) e IoA (Indicators of Attack) richiesti. Il dato più allarmante è che in Italia e in Europa, il 74% delle violazioni viene rilevato da terze parti (come il law enforcement) e non dai team interni, un indicatore inequivocabile di una profonda carenza di Self-Detection.

IL LABIRINTO GIURIDICO: REFERENTE CSIRT VS. DPO

La sovrapposizione tra NIS2 e GDPR è una delle criticità maggiori in caso di attacco. In presenza di dati personali, si attivano due figure con mandati distinti: il Referente CSIRT, responsabile verso ACN, il DPO, responsabile verso il Garante Privacy.

Ivana Genestrone, Avvocato e DPO, consulente legale per Nais, evidenzia il doppio binario normativo: «Il Referente tutela la resilienza dei servizi essenziali e notifica gli incidenti significativi secondo NIS2. Il DPO valuta l’impatto sui dati personali e supporta il soggetto nella fase di valutazione dell’evento/incidente, della sua qualificazione come Data Breach e della eventuale necessità di procedere anche con la comunicazione agli interessati.

La categorizzazione dell’incidente: lo snodo critico

Nelle prime ore è essenziale classificare correttamente l’evento come: incidente NIS2, data breach GDPR, oppure entrambi (caso frequente nei ransomware).

Il problema è che senza competenze integrate, molte aziende non riescono a categorizzare correttamente l’incidente, ritardando una delle due notifiche.

Sulla gestione della crisi, Genestrone è netta: «L’analisi tecnica del Referente – IoC , impatto, categorizzazione – deve alimentare immediatamente la valutazione legale del DPO. Senza un flusso decisionale chiaro, il rischio è una doppia sanzione: per mancata conformità NIS2 e per gestione errata del data breach.»

LA FUGA DI COMPETENZE E IL TREND DELL’OUTSOURCING

Dal confronto quotidiano con le imprese, Nais – specializzata in servizi gestiti cyber e IT – registra una costante: la criticità non è solo normativa o tecnologica, ma soprattutto umana.
La carenza di competenze cyber è strutturale: le aziende faticano a trovare profili qualificati e i team interni assorbono nuove responsabilità senza adeguata formazione, anche in vista della NIS2. Ne deriva un divario crescente tra richieste normative e capacità operative.

In assenza di figure ibride capaci di unire competenze legali e tecniche, l’esternalizzazione emerge come risposta pragmatica per garantire la conformità.

«Il mercato italiano è molto eterogeneo: accanto alle realtà più strutturate c’è un ampio tessuto di PMI che si confronta con la NIS2 senza risorse dedicate», osserva Bianca Amico di Meane, Head of Marketing & Business Development di Nais. «La difficoltà è sempre la stessa: trovare una figura che unisca aspetti legali e tecnici. Per molte aziende questa combinazione non è costruibile internamente. L’esternalizzazione a un Referente CSIRT As-a-Service non significa acquistare una persona, ma un ecosistema: playbook, competenze integrate, SOC e Incident Response».

CONCLUSIONE: L’ORA DELLA VERITÀ OPERATIVA

La scadenza di fine dicembre 2025 non è negoziabile. La nomina del Referente CSIRT è la formalizzazione del punto nevralgico della risposta cyber nazionale. Le aziende soggette alla NIS2 devono comprendere che trattare questa figura come una semplice incombenza amministrativa espone l’organizzazione a un rischio inaccettabile, specialmente in un contesto di minacce incessanti (ACN, ENISA).

La vera conformità NIS2 richiede un Referente CSIRT con autorità esecutiva, supportato da un processo di Incident Response validato e da una sinergia impeccabile con la funzione legale (DPO). Quando si verifica l’incidente, la velocità con cui vengono raccolti gli IoC e notificati all’ACN è la differenza tra la resilienza e la sanzione.

La nomina del Referente CSIRT non è un semplice adempimento formale, ma una funzione critica per garantire la resilienza cyber nelle prime ore dell’incidente. Richiede competenze legali, tecniche e di coordinamento integrate – molto più della semplice “nomina”.

L'articolo La nomina del Referente CSIRT: un passo cruciale per la sicurezza informatica italiana proviene da Red Hot Cyber.

Questo articolo analizza la disclosure presentata a Microsoft e consultabile in inglese su digitaldefense, dove sono disponibili immagini, video dimostrativi e un esempio di codice Python.

Negli ultimi anni la sicurezza delle comunicazioni digitali ha amplificato un certo paradigma: l’attacco non punta più soltanto a violare l’infrastruttura, ma a smantellare la fiducia dell’utente sfruttando ogni tipo di aggancio cognitivo.

Se email, calendari e piattaforme di collaborazione rappresentano il centro di gravità della vita aziendale, la superficie di attacco più efficace non è quella puramente tecnica, ma quella capace di incide sul fattore umano.

Il fenomeno analizzato dal presente articolo non riguarda prodotti certamente marginali o scenari teorici. Colpisce Outlook Web e Outlook Desktop nella sua versione moderna, nonché Microsoft Teams sia in versione Web sia Desktop. Parliamo quindi dell’ecosistema su cui si fonda la quotidianità operativa di moltissime aziende. In questo quadro merita un’annotazione significativa: la versione “classica” di Outlook, quella storica e meno recente, non è affetta dal problema. Il comportamento critico emerge soltanto nel nuovo stack applicativo, dove l’interfaccia ha assunto un ruolo più centrale e integrato nell’esperienza utente.

In questo contesto, le evidenze riportate nel prosieguo dell’articolo, relative a un ambiente di comunicazione basato su Microsoft Outlook e Teams, assumono un’importanza critica. Comprenderle significa acquisire consapevolezza di quanto possa accadere nella quotidianità operativa di un’azienda.

Mostreremo come sia possibile, con relativa semplicità, manipolare l’interfaccia, alterare l’identità dei mittenti e indirizzare l’utente verso destinazioni controllate dall’attaccante. Tutto questo sfruttando la fiducia consolidata negli strumenti di produttività che utilizziamo ogni giorno, aumentando drasticamente le probabilità di successo delle campagne malevole.

Si tratta di un caso emblematico di come anche gli strumenti più comuni, se non supportati da un modello di sicurezza adeguato, possono trasformarsi in vettori di rischio tanto subdoli quanto inattesi.

A rendere la questione ancora più rilevante è il contesto della disclosure. Le vulnerabilità sono state segnalate a Microsoft MSRC per la prima volta nel dicembre 2024 (VULN-144184). Nonostante l’evidente impatto sulla fiducia dell’utente e sulla capacità di inganno dell’interfaccia, il comportamento è stato classificato come “atteso” oppure non meritevole di un intervento correttivo.

La segnalazione è stata riaperta nell’ottobre 2025 (VULN-164593), con un set di evidenze tecniche più ampio, prove complete dell’intera catena di attacco e l’introduzione di due ulteriori criticità capaci di alterare il comportamento degli strumenti. Anche queste nuove vulnerabilità sono state definite “moderate“, senza alcuna data stimata di remediation (ETA), mentre le due evidenze di impersonificazione, che consentono di presentare un aggressore come un contatto interno legittimo, sono state considerate come un comportamento previsto.

A complicare ulteriormente il quadro è la scelta di non associare alcuna CVE. La motivazione ufficiale è che non viene richiesto alcun intervento agli utenti e che eventuali mitigazioni possono essere applicate in modo silente lato SaaS. Questo approccio esclude la possibilità di riconoscere le vulnerabilità in modo trasparente e impedisce di attribuire il merito a chi le ha individuate. Di conseguenza si indebolisce la catena di fiducia tra ricercatori e vendor, scoraggiando la divulgazione responsabile e normalizzando il rischio per gli utenti finali.

Questa cornice solleva una domanda scomoda per il settore. Se una vulnerabilità non compromette i sistemi dell’azienda che li sviluppa ma mina la fiducia degli utenti che li utilizzano ogni giorno, può davvero essere trattata come un problema secondario?

Dal phishing alla “interface poisoning”

Le campagne di phishing classiche cercano di convincere l’utente ad aprire un allegato o cliccare un link sospetto. Oggi il livello si alza: il sospetto potrebbe non bastare. L’attaccante può impersonare identità interne e presentarsi attraverso indicatori visivi credibili: nome, foto profilo, contesto aziendale.

La chiave di volta è la gestione dei file ICS (iCal), che Microsoft utilizza per le convocazioni calendario. Attraverso campi ical normalmente legittimi, come:

• X-ALT-DESC o DESCRIPTION, dove è possibile inserire HTML e che sarà mostrato come testo della mail al posto del body standard.
• X-MICROSOFT-SKYPETEAMSMEETINGURL, che determina il comportamento del pulsante “Join meeting“

l’attaccante non sfrutta un exploit, ma funzionalità standard, manipolandole a proprio favore.

Risultato:

• l’evento malevolo si inserisce automaticamente in Outlook e Teams,
• l’interfaccia mostra mittente, titolo, immagine e pulsanti come se provenissero da un contatto interno,
• il tasto “Partecipa” di Outlook e di Teams può essere fatto puntare a un sito realizzato per sottrazione credenziali o download di malware.
• Il messaggio nel body sarà innocuo o assente, e il messaggio che l’utente vedrà sarà la descrizione dell’evento, evitando così l’intervento dei filtri antispam (provato con 2 differenti vendor)

Questa dinamica comporta un salto qualitativo: l’utente non vede più un link sospetto, vede una funzione di piattaforma affidabile.

La schermata parla: fidati di ciò che vedi

Il valore di un’interfaccia moderna sta nella capacità di astrarre complessità. Ma dove l’interfaccia semplifica, si creano “zone cieche” per la sicurezza.

Quando un utente vede nel calendario un invito:

• dal proprio CFO,
• con la sua immagine di profilo,
• dentro un ambiente aziendale familiare,
• con il pulsante standard “Partecipa alla riunione”,

il livello di diffidenza arriva quasi a zero.
Non c’è più contesto sospetto, non c’è un dominio esterno nel corpo della mail, non c’è un banner di avvertimento.

L’attacco sfrutta la fiducia sedimentata nell’ecosistema Microsoft 365, non una falla tecnica isolata.

L’anomalia più subdola: l’assenza della traccia

Nei casi osservati emerge un ulteriore elemento che amplifica il rischio: la scomparsa della dicitura “per conto di” (on behalf of) dalla mail ricevuta, ottenuta con un semplice accorgimento tecnico, come l’inserimento di una lunga sequenza di caratteri “_” (underscore) nel nome del mittente. L’utente si trova di fronte a un messaggio email che sembra provenire da un account interno (ma anche esterno), completo di tutti gli elementi grafici associati a quel contatto che l’interfaccia ci farebbe normalmente vedere, come foto profilo e informazioni correlate. Non perché tali elementi siano stati alterati o generati artificialmente, ma perché le applicazioni coinvolte estraggono e mostrano realmente i dati del contatto impersonato. Questo accade anche se l’email è stata inviata tramite SMTP da un servizio terzo, ad esempio Gmail senza l’essenziale necessità di registrate domini fake per indurre in errore l’occhio dell’utente.

Il punto critico si manifesta quando il contenuto dell’invito viene automaticamente proiettato nel calendario: l’email, pur alterata, mantiene ancora tracce della sua origine esterna, mentre l’evento calendarizzato le perde completamente. Nel calendario spariscono i riferimenti a servizi terzi, sparisce qualsiasi indicazione del reale mittente e rimane solo la rappresentazione “pulita” dell’identità impersonata, con il relativo nome e la foto profilo aziendale. L’invito non è più una comunicazione sospetta, ma un appuntamento apparentemente interno, coerente e perfettamente integrato nel contesto lavorativo.

La mail è il punto di ingresso e l’utente quindi si trova di fronte a un messaggio che sembra provenire da un account interno, completo di tutti gli elementi grafici associati a quel contatto, come foto profilo e informazioni correlate. Non perché tali elementi siano stati alterati o forzati, ma perché le applicazioni coinvolte mostrano effettivamente i dati del contatto impersonato. Questo accade anche se l’email è stata inviata tramite SMTP da un servizio terzo, ad esempio Gmail.

È vero che osservando gli header del messaggio o esplorando angoli meno evidenti dell’interfaccia si possono individuare gli indizi dell’origine reale. Ma la domanda è tanto semplice quanto scomoda: quanti utenti lo faranno davvero? Nella percezione visiva e nell’uso quotidiano, l’unica identità che rimane è quella impersonata, mentre il mittente reale scompare.

Non si tratta di una vulnerabilità tecnica in senso tradizionale, ma di un difetto nella presentazione che indebolisce il modello di fiducia. L’identità visibile non corrisponde all’identità reale, creando un contesto in cui l’interfaccia diventa parte dell’inganno.

Calendar flooding: l’attacco silenzioso e scalabile

L’inserimento automatico di inviti in calendario apre un altro vettore: il calendar flooding.
Un attaccante può saturare l’agenda aziendale di eventi fraudolenti:

• senza superare barriere tecniche,
• senza interattività dell’utente,
• senza innescare filtri anti-phishing tradizionali.

Perché è critico?

• Molti utenti interagiranno con almeno uno degli eventi, anche solo per curiosità.
• L’impatto di un singolo click è sufficiente: credenziali rubate, dropper attivato, sessione compromessa.
• Tanti più eventi avremo a calendario, magari posizionati a distanza temporale di sicurezza (es: tra 1,2 mesi nel futuro) , tante più possibilità avrà l’attacante che un utente vittima ci clicchi.

Il rischio scala linearmente col numero di target, non con la complessità dell’attacco.

L’aspetto più insidioso non è quindi soltanto la manipolazione del messaggio email. Arriva una mail, e immediatamente compare un invito nel calendario dell’utente, senza che sia necessaria alcuna azione. Il contenuto della mail può contenere alterazioni, indicatori sospetti o tracce dell’origine reale. L’evento calendarizzato invece no. È la versione “pulita”, priva di ogni riferimento a terze parti.

Nel momento in cui l’invito viene inseritocome evento di calendario in Outlook o Teams, il sistema perde completamente i riferimenti all’indirizzo o al servizio esterno che lo ha generato. Rimane soltanto la rappresentazione visiva dell’account impersonato: nome, foto profilo, entità apparente dell’organizzatore. Tutto ciò che potrebbe suggerire un’origine non legittima viene assorbito dall’interfaccia.

L’email è il vettore di ingresso, l’evento calendario è il cavallo di Troia. L’utente, o peggio ancora un gruppo aziendale che usa il calendario come fonte operativa, non vede più solo un messaggio sospetto o un mittente anomalo. Vede un appuntamento interno, formalmente coerente con il contesto aziendale e accompagnato dalla UI che ha imparato a considerare “sicura”.

Non stiamo parlando di un difetto cosmetico, ma di un cortocircuito nel modello di fiducia. Si passa da una comunicazione che porta ancora con sé tracce dell’origine reale a un oggetto applicativo che non ne conserva più nessuna. L’attaccante smette di sembrare un attaccante. Diventa un collega, un manager, un referente, un contatto di fiducia. E a quel punto, l’utente smette semplicemente di difendersi.

UI vs Cybersecurity: un conflitto culturale

Il punto più delicato non riguarda esclusivamente Microsoft. È un problema di settore.
La sicurezza delle interfacce non viene trattata alla stregua delle vulnerabilità di sistema perché non produce RCE, privilege escalation o memory corruption. Non “buca” i server.

Ma la sicurezza non è solo integrità tecnica.
Una piattaforma che guida milioni di persone a cliccare automaticamente su pulsanti il cui significato può essere alterato è una piattaforma vulnerabile, anche se il backend risulti integro. Sarebbe come dire che una XSS non è una vulnerabilità, solo perché non intacca il backend.

Le aziende che oggi operano in ecosistemi Microsoft 365 non subiscono più attacchi di tipo tecnico, subiscono attacchi che tentano di minare la loro fiducia quindi la sicurezza deve essere parte integrante anche della user interface, che è di fatto quella che la maggioranza di utenti hanno a che fare continuamente tutti i giorni.

La vera domanda: “Chi stiamo proteggendo?”

Se una vulnerabilità espone al rischio “solo” gli utenti e non la piattaforma, deve essere considerata “moderata”? In un mondo fatto (ancora) da umani, la risposta è semplice: no!

Quando il perimetro privilegiato è il comportamento umano, non basta dire che il problema non intacca l’infrastruttura o i sistemi.
Un attacco che rende indistinguibili interazioni legittime e false è un problema di primo livello, perché mina il principio stesso di autenticità.

In un contesto in cui:

• i fattori sociali sono il primo ingresso agli incidenti,
• la supply chain è interconnessa,
• MFA e Zero Trust diventano baseline,
• il fattore “visivo” guida le decisioni operative,

la fiducia nell’interfaccia è un asset primario di sicurezza.
E come tale deve essere trattata.

L'articolo Apoicalypse365: Quando l’interfaccia di Microsoft Outlook diventa un’arma proviene da Red Hot Cyber.

Here’s a fun rabbit hole to run down if you don’t already have the RP2040/RP2350 PIO feather in your cap: how to serve data without CPU intervention using PIO and DMA on the RP2350.

If you don’t know much about the RP2040 or RP2350 here’s the basic run down: the original Raspberry Pi Pico was released in 2021 with the RP2040 at its heart, with the RP2350 making its debut in 2024 with the Pico 2. Both microcontrollers include a feature known as Programmed I/O (PIO), which lets you configure tiny state machines and other facilities (shift registers, scratch registers, FIFO buffers, etc) to process simple I/O logic, freeing up the CPU to do other tasks.

The bottom line is that you can write very simple programs to do very fast and efficient I/O and these programs can run separately to the other code running on your micro. In the video below, [piers] explains how it works and how he’s used it in his One ROM project.

This is the latest installment from [piers rocks] whose One ROM project we’ve been tracking since July this year when we first heard about it. Since then we’ve been watching this project grow up and we were there when it was only implemented on the STM32F4, when it was renamed to One ROM, and when it got its USB stack. Along the way [piers rocks] was on FLOSS Weekly Episode 850: One ROM To Rule Them All too.

Have you seen PIO being put to good use in other projects? Let us know in the comments, or on the tips line!

youtube.com/embed/Y8RODQZM2HY?…

hackaday.com/2025/11/30/a-deep…

The modern office environment has shifted in recent years. Employees are routinely asked to collaborate with co-workers half way around the globe and be camera ready, or whatever passes for webcam ready, in order to telecommute when they are out of office. Every office laptop, tablet, or cell phone these days comes equipped with some sort of camera sensor capable of recording at HD resolution. Twenty years ago, that was not the case. Though tech conglomerates like HP had a different idea of teleconferencing to sell back in 2005 dubbed the Halo Collaboration Studio.

The Halo Studio was a collaboration between HP and Dreamworks that was used during the production of Bee Movie. Studio heads at Dreamworks thought it necessary to install the HP teleconferencing solution inside the New York office of Jerry Seinfeld, the writer of the film, as to allow him to avoid long trips to Dreamworks production offices in Los Angeles. According to the HP Halo Collaboration Studio brochure, “Halo actually pays for itself, not only by reducing travel costs, but also by encouraging higher productivity and stronger employee loyalty.” Certainly Dreamworks believed in that sales pitch for Bee Movie, because the upfront asking price left a bit of a sting.

Less of a singular machine, more of an entire dedicated room, the Halo Studio had a $550,000 asking price. It utilized three 1280×960 resolution plasma screens each fitted with a 720p broadcast camera and even included an “executive” table for six. The room lighting solution was also part of the package as the intent was to have all participants appear true to life size on the monitors. The system ran on a dedicated T3 fiber optic connection rated at 45 Mbps that connected to the proprietary Halo Video Exchange Network that gave customers access to 24×7 tech support for the small sum of $30,000 a month.

For more Retrotechtacular stories, check out Dan’s post on the Surveyor 1 documentary. It’s out of this world.

youtube.com/embed/0E9iKKTiMSA?…

hackaday.com/2025/11/30/retrot…

Few of us keep big old cathode ray tubes in the house anymore, but we can still appreciate the form factor of the classic TV. Indeed, the Tinytron from [t0mg] is a neat little tchotchke in this vein — a miniature TV that you could just about fit on a keyring.

[t0mg] wanted this project to be quick and easy to put together. It starts with an ESP32-S3-LCD-1.69 from Waveshare. It’s an all-in-one dev module which combines the microcontroller with a small screen right out of the box. You just have to solder a single six pin header to hook it up with an SD card reader and battery, and you’re done with the electronics. Even the case is a cinch to build, with four 3D printed components that can be spat out of a Prusa MK4S in just half an hour. Programming it can be done via a web browser. Just about the only thing it’s missing is a speaker — this TV is video only.

To watch things on the Tinytron, you just have to prepare them properly and drop them on the SD card. [t0mg] provides a web page for transcoding the video files, although you can do it yourself locally with ffmpeg if you prefer.

If you’re looking for a silly gift for a TV-obsessed friend, you could probably whip up a Tinytron in a couple hours or less. It reminds us of another great project, the tiny Simpsons replica TV that endlessly plays the greatest cartoon on Earth.

youtube.com/embed/-QKKTKMmSjw?…

hackaday.com/2025/11/30/tiny-l…

Biking can be an incredibly rewarding hobby, but what do you do with all of your expensive pieces of metal and composite when you aren’t hitting the trails? They take up space that you could use for more bikes! [Chaz] figured there had to be a better way and discovered the unlikely solution of the humble garage opener.

Garage doors are made to lift high with moderate weight, exactly what one would expect from a bike lift. If you have high ceilings in your garage or wherever else you store your bikes there can’t be much easier than pushing a button to get your bike out of the way.

To assemble the unusual bike rack, [Chaz] mounted the motor to the wall with a few scraps of wood, and built a wooden platform that rides along the rail. This additional board allows you to use a traditional bike wheel rack to gently raise the bike. While initially [Chaz] had some questionable results, this was quickly resolved with removing the rotational elements of the mount and allowing a slight slant in the bike.

While not everyone may need to raise their bikes to the heavens, this type of simple hacking is always rewarding to see come together. If you want to see how some more bike specific tech works, check out the insides of this expensive bike seat!

youtube.com/embed/7pw7YexheQg?…

hackaday.com/2025/11/30/raise-…

It’s easy to build big wooden furniture if you have a massive industrial CNC router, but few of us are so lucky. However, you can still build sizable stuff with a smaller router if you know what you’re doing. [Aribabox] shares some useful tricks and techniques for building large workshop cabinets on smaller machines.

The key to doing this well is modularity. [Aribabox] shows off how to build excellent workshop drawers in pieces using a stackable design. Rather than having to cut out one huge side panel to cover the whole stack of drawers, each drawer can have its own side panel that easily fits on a smaller router. They can then be stacked into a stout assembly that still does its job perfectly well. Assuming your CNC router is trued up properly, you can whip up a lot of furniture quickly, just assembling everything with screws. You’ll still be able to work faster and make bigger things easier on a big machine, but a small machine can do a lot more than you think.

[Aribabox] supplies design files for a cost if you’re eager to replicate their work. If that doesn’t suit you, you can always just use the video as inspiration to work on your own modular furniture designs instead. We’ve featured other modular furniture designs before, too, that rely on 3D printed and lasercut components.

youtube.com/embed/T_Sl8GIWAq0?…

[Thanks to Hassi for the tip!}

hackaday.com/2025/11/30/how-to…

L’azienda italiana di difesa Leonardo ha presentato il suo nuovo sistema Michelangelo Dome. Secondo l’azienda, è progettato per contrastare missili ipersonici e attacchi di massa con droni. Durante la presentazione tecnica al Ministro della Difesa e ai Capi di Stato Maggiore italiani, l’Amministratore Delegato Roberto Cingolani ha annunciato l’intenzione di iniziare l’implementazione già nel 2026 e di raggiungere la piena capacità operativa entro il 2028.

Il nome dice tutto, e la somiglianza con il famoso Iron Dome israeliano è chiaramente intenzionale. Il sistema israeliano, operativo dal 2011, è servito da modello. Ma il Michelangelo Dome va ben oltre: non è concepito come un singolo sistema d’arma, ma come un’architettura completa supportata dall’intelligenza artificiale.

“Queste minacce possono verificarsi in pochi secondi “, ha affermato Cingolani. “Non abbiamo abbastanza tempo per inviare e-mail o scambiare messaggi. Dobbiamo reagire in tempo reale”.

l’intelligenza artificiale come questione di sopravvivenza

Al centro del progetto c’è la convinzione che i sistemi di comando e controllo accelerati dall’IA non siano più opzionali, ma essenziali per la sopravvivenza. Cingolani ha spiegato il passaggio dottrinale dalla rigida e lineare kill chain alla kill web distribuita e supportata dall’IA, in cui numerosi punti dati dei sensori vengono analizzati, fusi e valutati dall’IA per selezionare automaticamente il miglior meccanismo di intercettazione. Tuttavia, l’ordine finale di aprire il fuoco rimane nelle mani dell’uomo, ha sottolineato Cingolani.

L’obiettivo è trasformare le forze armate italiane e, in seguito, quelle della NATO in un unico sistema di difesa sincronizzato. Navi, sistemi terrestri, aerei da combattimento, droni e costellazioni satellitari convoglierebbero i dati in una piattaforma unificata, basata sull’intelligenza artificiale, in grado di tracciare, prevedere e neutralizzare le minacce in tempo reale.

L’alternativa, secondo Cingolani, è la cecità strategica. “Se un oggetto vola a due o tre chilometri al secondo e non so in anticipo dove colpirà tra qualche minuto, potrei essere già stato colpito. Non posso neutralizzare lo”, ha riportato Aerospace Global News.

Europa: cinque minuti all’impatto

Cingolani ha ripetutamente sottolineato la posizione geografica: l’Europa non è protetta dagli oceani. Le future armi ipersoniche potrebbero raggiungere le principali capitali in cinque-sette minuti.

Ma non si tratta solo di armi ipersoniche. Cingolani ha anche sottolineato che la guerra in Ucraina ha dimostrato come droni a basso costo possano distruggere carri armati del valore di decine di milioni. “Giovani soldati hanno montato mezzo chilo di esplosivo su droni collegati a reti satellitari commerciali e hanno neutralizzato carri armati per un valore di 20 milioni di euro “, ha affermato. Anche in questo caso, i sistemi in rete potrebbero aiutare a rilevare ed eliminare le minacce, prosegue il rapporto di Aerospace Global News.

Intelligenza artificiale, satelliti e supercomputer come spina dorsale tecnologica

Leonardo si posiziona come l’unica azienda europea dotata dell’intero stack tecnologico necessario per fornire il sistema: sensori, sistemi di intercettazione, tecnologia spaziale, capacità informatiche, sviluppo dell’intelligenza artificiale e calcolo ad alte prestazioni.

I satelliti sono al centro del piano. A Roma verranno realizzati 100 satelliti all’anno, progettati per l’allerta missilistica, il rilevamento di colonne di fumo infrarosse e la previsione della traiettoria.

“Questi satelliti devono essere in grado di rilevare un oggetto che viaggia a cinque chilometri al secondo “, ha affermato Cingolani. “Chi possiede questi satelliti possiede una capacità di rilevamento e previsione che nessun altro possiede.”

L’Italia inizierà nel 2026, poi la NATO.

Leonardo consegnerà i primi sistemi all’Italia entro il 2026 e integrerà i sistemi nazionali esistenti nella nuova architettura basata sull’intelligenza artificiale. Tuttavia, questo rappresenta solo un singolo livello di difesa. L’azienda non ha specificato di quale livello si tratterà.

L’Italia non è l’unico Paese ad ispirarsi all’Iron Dome israeliano. Anche la Turchia sta investendo molto nel suo sistema di difesa aerea integrato e multistrato, lo Steel Dome. E Taiwan, con il suo T-Dome, ha annunciato piani per un proprio sistema di difesa aerea multistrato per difendersi dalle minacce ostili.

L'articolo Leonardo presenta Michelangelo Dome: il sistema AI di difesa contro missili ipersonici proviene da Red Hot Cyber.

By now we’re all familiar with the quad-rotor design most popular among modern drones, and of course there are many variants using more or less propellers and even fixed-wing drones that can fly autonomously. We’ve even seen drones that convert from rotorcraft to fixed-wing mid flight. But there are even more esoteric drones out there that are far more experimental and use even more bizarre wing designs that look like they shouldn’t be able to fly at all. Take [Starsistor]’s latest design, which uses a single motor and an unconventional single off-center wing to generate lift.

This wing, though, is not a traditional foil shape typically found on aircraft. It uses the Magnus effect to generate lift. Briefly, the Magnus effect is when lift is generated from a spinning object in a fluid. Unlike other Magnus effect designs which use a motor to spin a cylinder, this one uses a design inspired by Savonius wind turbines where a wing is free to rotate around a shaft. A single propeller provides a rotational force to the craft, allowing this off-center wing to begin spinning and generating lift. The small craft was able to sustain several flights but was limited due to its lack of active control.

[Starsistor] went through a number of iterations before finally getting this unusual craft to fly. His first designs did not have enough rotational inertia and would flip over at speed, which was fixed by moving the propeller further away from the center of the craft. Eventually he was able to get a working design to prove his conceptual aircraft, and we hope to see others from him in the future.

youtube.com/embed/oh3A8HBEQP0?…

hackaday.com/2025/11/30/magnus…

Microsoft ha avvisato gli utenti di un problema tecnico di Windows 11 : dopo il rilascio degli aggiornamenti a partire da agosto 2025, il pulsante di accesso con password potrebbe scomparire dalla schermata di blocco. Sebbene la funzionalità in sé funzioni ancora, l’icona diventa semplicemente invisibile.

Come spiegato da Microsoft nella sua guida aggiornata, il problema riguarda i dispositivi con più metodi di accesso abilitati: PIN, chiave di sicurezza, password, impronta digitale, ecc. Passando il mouse sulla posizione precedente dell’icona, viene visualizzato un hotspot invisibile. Cliccandoci sopra si apre il campo di inserimento della password. Al momento non ci sono soluzioni alternative, se non quella di affidarsi al proprio intuito. Microsoft ha dichiarato di essere al lavoro su una soluzione, ma la data di rilascio è sconosciuta.

Questo non è l’unico problema relativo all’aggiornamento KB5064081. A settembre, Microsoft aveva già risolto un bug che causava arresti anomali durante la riproduzione di video protetti da DRM (Blu-ray, DVD, TV digitale), con immagini bloccate, mosse o addirittura nere.

Nello stesso mese, l’azienda ha anche risolto altri problemi causati dagli aggiornamenti di agosto, come errori di installazione delle app per utenti non amministratori (a causa di una richiesta imprevista di Controllo dell’account utente), nonché gravi ritardi e blocchi durante lo streaming tramite NDI su Windows 10 e 11.

Inoltre, dopo i “Patch Tuesday” di agosto, Microsoft è stata costretta a rilasciare urgentemente ulteriori patch per correggere un bug che impediva l’installazione degli aggiornamenti di sicurezza tramite Windows Server Update Services (WSUS), con codice di errore 0x80240069.

Contemporaneamente è stato risolto anche un altro problema grave: un problema tecnico impediva il funzionamento delle funzioni di ripristino e reimpostazione del sistema sui dispositivi con Windows 10 e Windows 10 Enterprise.

L'articolo Windows 11, un altro problema tecnico! Il pulsante di accesso con password scompare proviene da Red Hot Cyber.

Il Cybersecurity and Infrastructure Security Agency (CISA), ha ampliato la lista delle vulnerabilità sfruttate (KEV), segnalando una nuova vulnerabilità che interessa OpenPLC ScadaBR, a causa di indizi di sfruttamento attivi in corso.

USi tratta della falla di sicurezza, identificata come CVE-2021-26829 con un punteggio CVSS di 5,4, interessa le versioni del software su Windows e Linux, a causa di una vulnerabilità di cross-site scripting (XSS) nella pagina system_settings.shtm.

Poco più di un mese dopo la segnalazione di Forescout riguardo alla scoperta di un gruppo di hacktivisti filo-russi, noto come TwoNet, che aveva preso di mira il suo honeypot nel settembre 2025, scambiandolo per un impianto di trattamento delle acque, il difetto di sicurezza è stato aggiunto al catalogo KEV.

Le versioni interessate comprendono:

• OpenPLC ScadaBR fino alla versione 1.12.4 su Windows
• OpenPLC ScadaBR fino alla versione 0.9.1 su Linux

“L’aggressore non ha tentato di escalare i privilegi o di sfruttare l’host sottostante, concentrandosi esclusivamente sul livello dell’applicazione web dell’HMI”, ha affermato Forescout.

Come riportano i ricercatori, il gruppo TwoNet ha iniziato le sue operazioni su Telegram all’inizio di gennaio, concentrandosi inizialmente sugli attacchi DDoS (Distributed Denial of Service), prima di passare a una serie più ampia di attività, tra cui il targeting di sistemi industriali, il doxxing e offerte commerciali come il ransomware-as-a-service (RaaS), l’hack-for-hire e l’intermediazione di accesso iniziale.

Il processo di distribuzione dell’impianto esca ha rivelato che l’autore dell’attacco ha impiegato circa 26 ore per passare dalla fase di accesso iniziale a quella di azione dirompente. In questo lasso di tempo, ha sfruttato credenziali predefinite per guadagnare l’accesso iniziale al sistema. Successivamente, ha condotto attività di ricognizione e instaurato la persistenza, tra le altre azioni, creando un nuovo account utente di nome “BARLATI“.

I malfattori hanno sfruttato la vulnerabilità CVE-2021-26829 per alterare la descrizione della pagina di accesso dell’HMI e visualizzare un messaggio pop-up “Hacked by Barlati”, inoltre hanno modificato le impostazioni di sistema in modo da disabilitare i registri e gli allarmi, senza rendersi conto di stare violando un sistema honeypot.

Si è scoperto che i tentativi di sfruttamento provengono dall’infrastruttura Google Cloud con sede negli Stati Uniti, il che dimostra come i malintenzionati stiano utilizzando come armi i servizi Internet legittimi per eludere il rilevamento e confondersi con il normale traffico di rete.

“Abbiamo osservato circa 1.400 tentativi di exploit che hanno interessato più di 200 CVE collegati a questa infrastruttura”, ha affermato Jacob Baines, CTO di VulnCheck . “Sebbene la maggior parte dell’attività assomigliasse ai template standard di Nuclei, le scelte di hosting, i payload e il targeting regionale dell’aggressore non erano in linea con il tipico utilizzo di OAST.”

L'articolo Vulnerabilità critica in OpenPLC ScadaBR: CISA avverte di attacchi attivi proviene da Red Hot Cyber.