If you mention punch cards to most people, they’ll think of voting. If you mention it to most older computer people, they’ll think of punching programs for big computers on cards. But punched cards are much older than that, and [Nichole Misako Nomura] talks about how the original use was to run looms and knitting machines and — thanks the Internet Archive — you can still find old cards to drive modern machines.

According to the post, a dedicated group of people own old commercial knitting machines, and with some work, they can use archived punch cards with patterns that predate the computerized world. The Jacquard loom was famously the first machine to use cards like this, and it is no secret that they were the inspiration for Hollerith’s use of cards in the census, which would eventually lead to the use of cards for computing.

This is an interesting example of format issues. There are many card patterns stored on the Internet, but getting from a digital image to a workable card or even a set of instructions. But it is doable. You have to wonder if pulling old data off other, more modern media will be workable in the future.

If you want to relive (or try for the first time) keypunching, you can use your browser. The Jacquard loom may be ancient history, but it has many spiritual descendants.

hackaday.com/2025/02/12/on-the…

Martedì Ivanti ha rilasciato le correzioni per quattro vulnerabilità critiche nei suoi prodotti Connect Secure, Policy Secure e Cloud Services Application (CSA) , tra cui una falla con punteggio CVSS di 9,9 che potrebbe essere sfruttata da un aggressore con privilegi bassi.

Questo bug più grave, tracciato come CVE-2025-22467 e che interessa le versioni di Ivanti Connect Secure precedenti alla 22.7R2.6, è un buffer overflow basato sullo stack che potrebbe portare all’esecuzione di codice remoto (RCE) da parte di un aggressore autenticato. A differenza degli altri tre difetti critici, CVE-2025-22467 non richiede privilegi di amministratore per essere sfruttato.

Gli altri tre difetti critici hanno punteggi CVSS di 9,1 e possono essere sfruttati da un aggressore remoto autenticato con privilegi di amministratore. CVE-2024-38657, che colpisce le versioni di Ivanti Connect Secure precedenti alla 22.7R2.4 e le versioni di Policy Secure precedenti alla 22.7R1.3 e può consentire a un aggressore di scrivere file arbitrari tramite controllo esterno dei nomi dei file.

Il CVE-2024-10644 è un difetto di iniezione di codice che interessa le stesse versioni di Connect Secure e Policy Secure di CVE-2024-38657 e potrebbe causare RCE.

Il CVE-2024-47908 invece, riguarda le versioni di Ivanti CSA precedenti alla 5.0.5, comporta un difetto di iniezione di comandi del sistema operativo nella console Web di amministrazione e potrebbe anche causare RCE da parte di un aggressore autenticato con privilegi di amministratore.

I clienti Ivanti possono risolvere queste falle critiche installando le versioni più recenti del prodotto: Ivanti Connect Secure 22.7R2.6, Ivanti Policy Secure 22.7R1.3 e Ivanti CSA 5.0.5.

Non ci sono indicazioni che queste falle siano state sfruttate attivamente, ha osservato Ivanti, e si raccomanda di applicare patch immediate per impedirne lo sfruttamento. Ivanti raccomanda inoltre di seguire le sue best practice di configurazione della sicurezza per impedire ai malintenzionati di superare l’autenticazione per sfruttare falle come CVE-2025-22467.

Le vulnerabilità di Ivanti sono spesso prese di mira dagli attori delle minacce, tra cui gruppi di minacce sponsorizzati dallo stato. All’inizio di quest’anno, Ivanti ha rilasciato una patch di emergenza per uno zero-day sfruttato in Connect Secure tracciato come CVE-2025-0282 che potrebbe portare al controllo remoto del sistema.

Attualmente sono presenti 24 falle nei prodotti Ivanti, incluse nel catalogo delle vulnerabilità note sfruttate (KEV) gestito dalla Cybersecurity & Infrastructure Security Agency (CISA) degli Stati Uniti, metà delle quali sono state aggiunte nel 2024 e nel 2025.

L'articolo Ivanti Nel Mirino: La Vulnerabilità Con CVSS 9.9 Potrebbe Essere Sfruttata A Breve! proviene da il blog della sicurezza informatica.

Robert De Niro è il protagonista del suo primo ruolo in una serie TV: uscirà il thriller politico “Zero Day” su Netflix il 20 febbraio 2025. In precedenza, l’attore 81enne era apparso in televisione solo una volta: in un episodio della serie argentina “Nada” nel 2023.

In un thriller politico De Niro interpreta l’ex presidente degli Stati Uniti George Mullen, che torna al lavoro dopo un devastante attacco informatico. Durante la proiezione a Londra, l’attore ha ammesso che girare sei episodi è stato paragonabile, in termini di carico di lavoro, a girare tre lungometraggi consecutivi. Paragonò l’esperienza alla traversata a nuoto della Manica: “Dovevi continuare ad andare avanti altrimenti verrai affondato”.

I creatori della serie Eric Newman e Noah Oppenheim hanno costruito la trama attorno a un attacco ai sistemi chiave del Paese. Gli hacker criminali paralizzano il controllo del traffico aereo e le banche, scatenando il caos in tutta l’America. A questo punto, l’attuale presidente Evelyn Mitchell, interpretata da Angela Bassett, si rivolge a Mullen per chiedere aiuto: dovrà guidare una commissione speciale e trovare i colpevoli.

Secondo Newman, sono stati fortunati con il cast: nessuno degli attori invitati ha rifiutato di partecipare al progetto, cosa che accade molto raramente. La serie è interpretata da Jesse Plemons nel ruolo dell’ex assistente di Mullen, Roger Carlson, e Lizzy Caplan in quello della figlia, la deputata Alexandra Mullen. A loro si sono uniti Connie Britton, Joan Allen e Matthew Modine.

La trama non è incentrata solo sulla lotta contro un attacco informatico, ma anche su un mondo in crisi. Mullen dovrà confrontarsi con personaggi potenti e con le loro ambizioni personali, e cercare la verità in mezzo a un’ondata di disinformazione.

I critici paragonano Mullen a Jimmy Carter, entrambi uomini noti per la loro umanità e schiettezza, sebbene durante le loro presidenze siano stati spesso criticati per non essere stati abbastanza duri. De Niro afferma di non aver basato il suo personaggio su specifiche figure politiche, ma afferma di identificarsi con la sincerità di Carter nel trattare con le persone. Per Mullen la cosa più importante è la volontà di parlare con franchezza, anche se ciò potrebbe danneggiare la sua carriera politica.

In “Zero Day”, la situazione politica attuale negli Stati Uniti viene analizzata attraverso il prisma di eventi di fantasia. I creatori esplorano il modo in cui l’equilibrio di potere cambia durante una crisi e pongono la domanda: “Come si fa a restare sulla buona strada in un mondo nel caos?”

Le riprese si sono svolte durante la pandemia a New York e Washington. L’attore ha apprezzato la scelta della location: lavorare nella sua città natale gli ha permesso di trascorrere più tempo con la famiglia. Tra l’altro, ha partecipato alla creazione del progetto in qualità di co-produttore, lavorando a stretto contatto con il team creativo in tutte le fasi della produzione. Il suo coinvolgimento ha contribuito ad aggiungere ulteriore profondità e autenticità alla storia.

L'articolo “Zero Day”: il thriller politico su Netflix che devi vedere con De Niro presidente USA proviene da il blog della sicurezza informatica.

Sul noto forum underground un utente dallo pseudonimo Anon141234 riporta la CVE-2025-24472, che affligge i prodotti Fortinet. Oltre a chiedere informazioni è interessato ad un Proof Of Concept.

Questa vulnerabilità di tipo Authentication Bypass, sfruttabile su FortiOS e FortiProxy non aggiornati, consente ad un attaccante di guadagnare privilegi di super-admin tramite richieste al modulo websocket Node.js.

La CVE è riconosciuta da Fortinet sul proprio sito Product Security Incident Response Team (PSIRT) dove potete trovare gli IOC (indicatori di compromissione), i metodi di mitigazione e la tabella delle versioni di FortiOS e FortiProxy vulnerabili.

La CVE è recentissima e pare essere un’evoluzione della precedente CVE-2024-55591 di cui ci siamo occupati pochi giorni fa, trovate l’articolo a questo link.

Non abbiamo trovato, per adesso, analisi tecniche della CVE (oltre a quella ufficiale fatta da Fortinet), POC o exploit pubblici disponibili in rete; ma con una classificazione di livello 9.6 (Critical) e con la possibilità di bypassare l’autenticazione e guadagnare i privilegi di super-admin non tarderà ad essere reso pubblico qualcosa su GitHub. Nel frattempo (probabilmente con exploit closed e non pubblici), la vulnerabilità risulta attivamente sfruttata in rete come confermato da Fortinet e dal CSIRT nazionale.

Come detto, il CISIRT nazionale ha emesso un bollettino di sicurezza il 12 febbraio 2025 alle 9.22 indicando in una nota che “la vulnerabilità CVE-2025-24472 risulta essere sfruttata attivamente in rete.”

I dispositivi esposti e potenzialmente vulnerabili sono tanti. La cosa si fa ancora più “semplice” quando gli hacker “aiutano” gli hacker. Infatti Il 14 gennaio 2025 (più o meno in corrispondenza del riconoscimento della CVE-2024-55591) il gruppo Belsen_Group allo scopo di, “solidificare nella vostra memoria il nome del loro gruppo”, ha regalato un file contenente 15.000 configurazioni in chiaro di firewall compromessi, sfruttando CVE precedenti, e il dump delle credenziali VPN.

Il file, suddiviso per IP del dispositivo compromesso, riporta anche centinaia di IP geo-localizzabili sul territorio italiano.

Le raccomandazioni del produttore ma in generale le best practies sono sempre le stesse: disabilitare l’accesso pubblico all’interfaccia amministrativa del firewall, limitarne l’accesso con ACL o filtro su IP sorgenti, monitorare gli avvisi di sicurezza e applicare le patch e gli aggiornamenti.

L'articolo Fortinet CVE-2025-24472: Gli Hacker Criminali Cercano Informazioni Per Il Suo Sfruttamento proviene da il blog della sicurezza informatica.

Di Michael White conosciamo il contributo a un modo di lavorare insieme ai bambini rendendoli protagonisti o, per dirla con la metafora narrativa, narratori in prima persona.
Qui parla a lungo di situazioni di “abuso tra pari”, o, come usiamo dire abitualmente, comportamenti di bullismo.

connessioni.cmtf.it/le-scuole-…

Le scuole come comunità di riconoscimento. Una conversazione con Michael White (parte 1)

di Christopher McLean Traduzione di Enrico Valtellina

^{Connessioni Web}

Il ricercatore Johann Rechberger ha scoperto un nuovo metodo di attacco contro Gemini, il chatbot di Google, che permette di impiantare falsi ricordi a lungo termine nella rete neurale. Questo attacco sfrutta tecniche di iniezione indiretta di query e invocazione ritardata di strumenti, già utilizzate in passato per aggirare le protezioni delle piattaforme di intelligenza artificiale. La capacità di modificare la memoria del chatbot potrebbe avere implicazioni significative, dalla diffusione di informazioni errate fino alla manipolazione delle risposte fornite agli utenti.

I chatbot come Gemini di Google e ChatGPT di OpenAI sono progettati per resistere a comandi dannosi, ma gli hacker sviluppano costantemente nuove strategie per ingannarli. La vulnerabilità individuata in Gemini permette di alterare la memoria a lungo termine, rendendo il chatbot più suscettibile alla manipolazione. Questo potrebbe compromettere la qualità e l’affidabilità delle informazioni fornite, generando risposte distorte o addirittura pericolose.

Non è la prima volta che Rechberger evidenzia falle di sicurezza nelle IA conversazionali. In precedenza, ha dimostrato come Microsoft Copilot potesse essere indotto, tramite e-mail o documenti dannosi, a cercare dati sensibili nella casella di posta di una vittima e inviarli a un attaccante. Microsoft ha corretto la vulnerabilità, ma il problema di fondo legato alle iniezioni di richieste indirette è rimasto irrisolto. Ora, lo stesso principio viene applicato a Google Gemini, con la possibilità di influenzare permanentemente la sua memoria.

L’attacco si basa su un trucco ingegnoso: il documento dannoso non contiene comandi diretti, ma include una condizione nascosta che si attiva solo quando l’utente esegue una determinata azione. Ad esempio, se si chiede direttamente a Gemini di eseguire un’operazione vietata, il sistema la bloccherà. Tuttavia, se il comando viene attivato in risposta a una richiesta generica dell’utente, le protezioni possono essere aggirate. I dati estratti possono poi essere trasmessi all’attaccante attraverso link incorporati in risposte testuali.

Il nuovo metodo scoperto da Rechberger si spinge oltre, manipolando la memoria a lungo termine di Gemini. Quando un utente carica un documento e chiede un riepilogo, il testo dannoso altera il processo di sintesi, inducendo il chatbot a memorizzare informazioni false. Se poi l’utente conferma passivamente con risposte come “sì” o “capisco”, il sistema integra tali informazioni nei suoi dati a lungo termine. Più a lungo questi falsi ricordi restano attivi, più sarà difficile individuarli e correggerli, rendendo l’attacco estremamente insidioso.

Google ha riconosciuto la vulnerabilità ma minimizza i rischi, sostenendo che il problema richiede un’interazione attiva dell’utente e che i ricordi a lungo termine possono essere visualizzati ed eliminati manualmente. Tuttavia, Rechberger avverte che la capacità di inserire informazioni false nella memoria dell’IA potrebbe avere conseguenze gravi, soprattutto in ambiti come la sicurezza informatica e la diffusione di notizie. Sebbene Google abbia implementato restrizioni per limitare questi attacchi, il problema delle iniezioni indirette di query rimane aperto, e gli hacker continuano a sviluppare nuove strategie per sfruttarlo.

L'articolo I ricordi Falsi Mandano in confusione i ChatBot. La nuova tecnica di iniezione indiretta di Query proviene da il blog della sicurezza informatica.

- Fernando Pessoa – Poesia di Álvaro de Campos – Adelphi 1993 - 6€
- Wislawa Szymborska - Vista con granello di sabbia. Poesie (1957-1993) - Adelphi 2004 - 8€
- Pier Paolo Pasolini – La nuova gioventù – Einaudi 1981 - 8€
- Sergej Aleksandrovic Esenin – Poesie – Garzanti 1981 - 9€
- Sandro Penna – Poesie – Garzanti 1973 - 9€
- Umberto Piersanti – I luoghi persi – Einaudi 1994 - 9€
- Wislawa Szymborska – La fine e l’inizio – Scheiwiller 1997 - 8€
- Wislawa Szymborska – Gente sul ponte – Scheiwiller 1996 - 8€
- Abbas Kiarostami – Un lupo in agguato. Poesie – Einaudi 2003 - 9€

Per info, dettagli e acquisti scriveteci o venite a trovarci in libreria o su www.semidinchiostro.com

Libreria Semi d'inchiostro
Via Serraloggia 24, Fabriano

Condivido uno scritto di Massimo Prosperococco, cittadino aquilano attivo ormai da sedici anni sui temi della ricostruzione sicura e delle barriere architettoniche dopo il sisma.
(Foto: www.news-town.it)

Un consiglio comunale sulla sicurezza sismica delle scuole che ha segnato una sconfitta per la città.
Ho partecipato al consiglio comunale aperto sulla vulnerabilità sismica delle scuole dell’Aquila. Sono stato presente alla discussione come cittadino, ascoltando gli interventi, e sono rimasto profondamente sconvolto. Non ci sono altre parole per descrivere ciò a cui ho assistito.
La maggioranza ha sostanzialmente affermato che l’indice di vulnerabilità sismica degli edifici scolastici, che sia 0,1, 0,6, 0,7 oppure 1, è irrilevante, perché in caso di terremoto crollerebbero comunque. Un’affermazione inaccettabile, che equivale a dire che non ha senso guidare sobri perché tanto gli incidenti possono accadere lo stesso, o che i limiti di velocità siano inutili perché non è detto che non si finisca a sbattere contro un guardrail.
Una posizione del genere, espressa da chi governa questa città, è semplicemente scioccante. Ma ancor più grave è la rigidità mostrata dalla maggioranza, che si è rifiutata di confrontarsi con i cittadini e di riconoscere la gravità del problema.
Oltre alla chiusura sul tema della sicurezza scolastica, abbiamo assistito a un ennesimo attacco del primo cittadino e di alcuni consiglieri comunali nei confronti dei comitati cittadini, in particolare contro il Comitato Scuole Sicure L’Aquila.
Si è cercato, ancora una volta, di screditarci, insinuando che dietro la nostra battaglia ci siano secondi fini politici o appartenenze a gruppi o associazioni di vario genere. A questo punto verrebbe da chiedersi: secondo loro, per avere il diritto di chiedere scuole sicure per i nostri figli, dovremmo dimostrare di non avere alcuna attività, nessuna appartenenza, nessuna storia personale? Dovremmo forse evitare di fare la spesa sotto casa, perché anche quello potrebbe essere visto come un legame sospetto?
Chi governa questa città, evidentemente, non riesce a concepire che esistano cittadini che si impegnano per il bene comune senza alcun interesse personale o di partito. Noi del Comitato abbiamo sempre avuto un solo obiettivo: la sicurezza delle scuole dell’Aquila, chiunque fosse il sindaco e qualunque fosse il colore politico dell’amministrazione.
Lo abbiamo dimostrato nel passato, confrontandoci duramente anche con la giunta Cialente, come dimostrano i numerosi dibattiti televisivi e gli articoli di stampa dell’epoca. Lo abbiamo fatto con il sindaco Biondi, che nel 2017 aveva promesso la ricostruzione di tutte le scuole in sicurezza. Ma oggi, quella promessa è rimasta lettera morta.
Quello che fa più male è il rifiuto di trasformare L’Aquila in un modello di sicurezza scolastica, come sarebbe stato naturale dopo il terremoto del 2009. Questa città avrebbe potuto scegliere di investire sulla sicurezza come scelta politica, etica e di responsabilità verso le future generazioni.
Abbiamo provato a portare all’attenzione della giunta l’esempio virtuoso della città di Kyoto, in Giappone, dove le scuole non sono solo edifici sicuri per i bambini, ma diventano punti di riferimento per tutta la popolazione in caso di emergenza. Nelle mappe della protezione civile di Kyoto, le scuole sono indicate come rifugi sicuri: un segnale chiaro di come una comunità possa e debba mettere la sicurezza al primo posto.
A L’Aquila, invece, si continua a investire in orrende pavimentazioni del centro storico, inaugurazioni simboliche e “prime pietre”, mentre le scuole restano abbandonate a sé stesse. Chi ci sta guadagnando da tutto questo? A volte sembra che l’unico vincitore sia chi fornisce le lastre di pietra per le innumerevoli “prime pietre” posate in questi anni, mentre gli studenti continuano a frequentare MUSP costruiti per durare 5 anni, ne sono passati 16!
Il consiglio comunale di ieri è stato un’occasione persa. Non solo non si è voluto affrontare seriamente il problema, ma si è attaccato chiunque osasse porre domande scomode. Vedere una classe politica che si arrocca nelle proprie posizioni, senza ascoltare la città, e facendo dossieraggio per informarsi su chi sta portando avanti queste battaglie, è desolante.
E poi ci si chiede perché le persone si allontanano dalla politica. Come si può avere fiducia in chi governa, quando la risposta a un tema cruciale come la sicurezza delle scuole è la chiusura totale al confronto e la delegittimazione del dissenso?
Noi continueremo a chiedere scuole sicure. Continueremo a chiedere che questa città sia un modello di sicurezza, non solo per i nostri figli, ma per tutta la comunità. Chi governa, oggi, ha perso un’occasione per dimostrare di avere davvero a cuore il futuro dell’Aquila.