Passa ai contenuti principali

Cybersecurity orbitale, ESA lancia il primo CTF nello spazio

L’ESA ha appena annunciato qualcosa che fino a ieri sembrava fantascienza: un CTF… nello spazio.
Sì, hai capito bene. Ctrl + Space CTF sarà la prima competizione europea di hacking che si svolgerà a bordo di un satellite vero, in orbita attorno alla Terra. L’iniziativa nasce dalla collaborazione tra l’Agenzia Spaziale Europea, la società italiana D-Orbit e il mitico team mhackeroni, nome ben noto a chi bazzica il mondo dei Capture The Flag.

La fase di qualifica sarà online, in formato jeopardy da 24 ore, e si terrà dal 20 al 21 settembre 2025. Aperta a tutti i team europei, servirà a selezionare chi si giocherà la finale dal vivo, prevista dal 4 al 6 novembre all’ESA ESTEC (nei Paesi Bassi), durante la conferenza Security for Space Systems.

E qui arriva il bello: nella fase finale i team si confronteranno con sistemi reali installati a bordo dell’ION Satellite Carrier, un satellite di D-Orbit attualmente in orbita. Quindi niente ambienti virtuali, niente simulatori: si lavora su hardware orbitante.
Insomma, non il solito CTF da weekend. Qui si fa sul serio.

Le challenge saranno pensate da mhackeroni, già famosi a livello internazionale per la loro partecipazione (e i risultati) al DEF CON di Las Vegas. Ma non solo: nel 2020, mhackeroni aveva già lasciato il segno anche nella primissima edizione di Hack-A-Sat, lanciata dalla NASA e dall’US Air Force. In quell’occasione, arrivarono primi alle qualifiche e secondi assoluti nella finale, in squadra con i polacchi di p4, battendo centinaia di altri team globali.
Insomma, quando si parla di space hacking, non sono certo dei novellini.

Dietro Ctrl + Space ci sono anche l’ESA Security Office e il Cybersecurity Centre of Excellence, a dimostrazione che la sicurezza spaziale non è più una questione da film di fantascienza. È una priorità concreta.

Pensaci un attimo: ogni giorno dipendiamo sempre più dai satelliti per telecomunicazioni, GPS, previsioni meteo, osservazione della Terra... ma quanto sono davvero sicuri questi sistemi? Questa competizione è un modo concreto per scoprirlo, testando vulnerabilità ed exploit in un contesto ad altissimo rischio e valore strategico. Parliamo di cyberspazio, nel senso letterale del termine.

Il sito ufficiale è già online: security4space.esa.int. A breve pubblicheranno tutte le info per iscriversi, e stanno preparando anche una piattaforma dedicata su ctrl-space.gg.

Se sei un appassionato di CTF, o anche solo curioso di vedere dove sta andando la cybersecurity del futuro, Ctrl + Space è un’occasione più unica che rara.
Non capita tutti i giorni di poter dire: “Ho fatto hacking su un satellite”.
Tag:

Commenti

Posta un commento

Popolari

WinRAR sotto attacco, zero-day critica sfruttata da hacker russi

Il 10 agosto 2025 è stata resa pubblica la vulnerabilità CVE-2025-8088 di WinRAR, una falla di tipo directory traversal già sfruttata in attacchi mirati da RomCom, gruppo hacker legato alla Russia e noto per operazioni di cyber-spionaggio ed estorsione. Il problema risiede nella gestione dei percorsi all’interno di archivi compressi: un file RAR malevolo può includere riferimenti a directory specifiche del sistema, forzando WinRAR a estrarre file in percorsi diversi da quelli scelti dall’utente. In particolare, è possibile copiare eseguibili nelle cartelle di avvio automatico di Windows, come %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup o %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp. Alla successiva accensione del PC, il malware viene avviato in automatico, ottenendo così persistenza sul sistema e potenzialmente consentendo il controllo remoto. Gli attacchi osservati sono stati condotti tramite campagne di spear-phishing: le vittime ricevevano email contenenti...
Posta un commento
Continua a leggere »

Nuovo attacco agli ambienti ibridi Microsoft, l’allarme lanciato a Black Hat. Active Directory ed Entra ID sotto esame, la tecnica che sfida MFA e controlli tradizionali

A Black Hat USA 2025 è stata mostrata una lezione dura ma utile per chiunque gestisca identità e mail aziendali: un ricercatore ha dimostrato come, in certi ambienti ibridi che sincronizzano Active Directory locale con Microsoft Entra ID (ex Azure AD), un account cloud apparentemente a bassa priorità possa essere trasformato in un account “ibrido” con privilegi amministrativi, senza passare dalle normali barriere di autenticazione e senza far scattare gli allarmi tradizionali. La dimostrazione — presentata da Dirk-jan Mollema di Outsider Security — ha messo in luce vettori di abuso legati al server di sincronizzazione (Entra Connect), alle modalità di corrispondenza degli account tra on-prem e cloud (soft matching) e a token/claim usati nei meccanismi di delega e in Exchange ibrido. Per chi non mastica quotidianamente questi termini: molte aziende hanno ancora un Active Directory “dentro l’azienda” per utenti e servizi, e allo stesso tempo usano servizi cloud come Microsoft 365. Per fa...
Posta un commento
Continua a leggere »

Italia, via libera al contrattacco cyber. Il nostro Paese ora può rispondere colpo su colpo

Immagina una stanza blindata, luci basse, grafici e mappe digitali proiettati sulle pareti: in mezzo al tavolo, una decisione da prendere in pochi minuti. È lo scenario che la nuova norma italiana rende possibile, dando al Presidente del Consiglio il potere di autorizzare, dopo consultazione con CISR e Copasir, un contrattacco cibernetico vero e proprio. Non parliamo di alzare firewall o bloccare un IP, ma di operazioni offensive su scala statale, condotte da AISE e AISI, con il coordinamento del DIS e il supporto del Ministero della Difesa. Il quadro è stato reso operativo con il Decreto Sicurezza (DL 48/2025, legge dal 9 giugno), che ha messo nero su bianco procedure, ruoli e condizioni. La norma prevede tre requisiti fondamentali: il bersaglio dev’essere identificabile con alto grado di certezza (ad esempio un gruppo APT o un’infrastruttura C2 specifica), le difese convenzionali devono essersi dimostrate inefficaci e la minaccia deve riguardare la sicurezza nazionale o quella di un...
Posta un commento
Continua a leggere »