The F-number of a photographic lens is a measure of its light-gathering ability, and is expressed as its aperture diameter divided by its focal length. Lenses with low F-numbers are prized by photographers for their properties, but are usually expensive because making a good one can be something of a challenge. Nevertheless [Rulof] is giving it a go, making an 80mm F0.5 lens with a Sony E-mount. The video below the break has all the details, and also serves as a fascinating primer on lens design if you are interested.

Rather than taking individual lenses, he’s starting with the second-hand lens from an old projector. It’s got the required huge aperture, but it’s by no means a photographic lens. An interesting component is his choice of diaphragm for the variable aperture, it’s a drafting aid for drawing circles which closely resembles a photographic part. This is coupled with the triplet from an old SLR lens in a 3D-printed enclosure, and the result is a lens that works even if it may not be the best. We know from experiences playing with lens systems that adjusting the various components of a compound lens like this one can be very difficult; we can see it has the much sought-after bokeh or blurred background, but it lacks sharpness.

Perhaps because a camera is an expensive purchase, we don’t see as much of this kind of hacking as we’d like. That’s not to say that lenses don’t sometimes make their way here.

youtube.com/embed/La-0-Mwj0HQ?…

hackaday.com/2025/04/06/a-low-…

Gli specialisti dell’azienda F6 hanno registrato attacchi su larga scala agli utenti delle banche russe tramite due programmi dannosi: il trojan Android CraxsRAT e una versione modificata dell’applicazione legale NFCGate. Secondo gli analisti, a marzo 2025 in Russia erano più di 180 mila i dispositivi dotati di entrambi questi componenti installati contemporaneamente.

Nel rapporto viene indicato che nel primo trimestre del 2025 è aumentata la quota di dispositivi infetti su cui vengono utilizzati contemporaneamente entrambi gli strumenti dannosi. Secondo gli esperti, questa combinazione rappresenta una delle principali minacce per i clienti delle banche, poiché consente ai truffatori di agire senza un contatto preventivo con la vittima.

CraxsRAT è un Trojan Android multifunzionale sviluppato sulla base del codice sorgente di SpyNote. Il programma si maschera da applicazione legittima e, dopo l’installazione, fornisce agli aggressori l’accesso remoto al dispositivo dell’utente. CraxsRAT è stato segnalato nell’ottobre 2024. Secondo le stime dell’azienda, a febbraio 2025 il numero di infezioni da questo malware è aumentato di 2,5 volte rispetto a dicembre, raggiungendo oltre 22 mila dispositivi infetti.

NFCGate, invece è un’app sviluppata originariamente da studenti tedeschi nel 2015, viene utilizzata dai criminali informatici per creare software dannosi che, una volta installati su un dispositivo sotto le mentite spoglie di un programma utile, chiedono all’utente di allegare una carta bancaria e di inserire un codice PIN. Questi dati vengono intercettati e utilizzati per prelevare fondi tramite gli sportelli bancomat.

CraxsRAT viene distribuito principalmente tramite ingegneria sociale: file APK dannosi vengono inviati tramite programmi di messaggistica sotto forma di archivi con foto, video e applicazioni popolari. I travestimenti più comuni includono versioni false di programmi governativi (Gosuslugi, GosZashchita), Antivirus, applicazioni degli operatori di telecomunicazioni, programmi per lavori video e fotografici.

Gli analisti hanno scoperto oltre 140 campioni unici di CraxsRAT e oltre 100 campioni di malware basati su NFCGate.

L'articolo Nuova ondata di cyber-truffe: il Trojan CraxsRAT svuota i conti bancari tramite NFC proviene da il blog della sicurezza informatica.

Nel mondo della cybersecurity, ogni innovazione tecnologica porta con sé nuove opportunità… e gli hacker criminali sono subito pronti a trarne un loro vantaggio. pertanto ogni nuova tecnologia porta con se nuove vulnerabilità.

Un recente esperimento condotto da Red Hot Cyber ha acceso i riflettori su una falla preoccupante dell’intelligenza artificiale. Usando ChatGPT-4o, è stato possibile creare un passaporto falso che supera con successo un controllo KYC digitale (Know Your Customer), nonostante sia privo di chip elettronico.
Prompt utilizzato per poter generare una patente di guida a nome di una persona fittizia “Mario Rossi”.
Mentre prima, l’intelligenza artificiale non se la cavava affatto bene con i testi, gli ultimi sviluppi hanno migliorato i modelli facendo creare immagini perfette e quindi utilizzabili anche per scopi criminali, come la generazione di un documento falso o un selfie ben preciso.
Prompt utilizzato per poter generare un selfie della persona precedentemente generata con in mano il suo documento di identità

Come è stato possibile?

Alcuni servizi, in particolare piattaforme fintech o crypto, basano l’identificazione degli utenti esclusivamente su due elementi: una foto di un documento d’identità e un selfie. Questo approccio, seppur comodo e rapido, si è rivelato vulnerabile.

Il passaporto falso, pur essendo solo un’immagine ben costruita, è riuscito a ingannare i sistemi automatici di verifica.
Immagine prodotta da Chatgpt della persona fittizia “Mario Rossi”.

Le implicazioni sono gravi

Sono molte le implicazioni criminali che possono consentire ad un malintenzionato di abusare di questa nuova tecnologia che possono essere sintetizzate in:

• Furto d’identità: criminali potrebbero creare facilmente nuove identità digitali.
• Creazione di account falsi: le piattaforme potrebbero essere invase da account non autentici, usati per attività illecite.
• Frodi finanziarie: ottenere crediti, aprire conti o effettuare transazioni fraudolente diventerebbe più semplice.

Immagine del selfie con il documento di identità generato da chatgpt

Cosa raccomandano gli esperti?

Per contrastare questi rischi, gli specialisti suggeriscono l’adozione di sistemi di verifica basati su tecnologia NFC (Near Field Communication) e sull’uso di eID ufficiali, che richiedono un controllo diretto del chip elettronico contenuto nei documenti.

Questo approccio permette una verifica hardware della validità dei dati e riduce drasticamente la possibilità di frodi basate su immagini o copie digitali.
Altro esperimento generato per la persona “Mario Rossi” dove è presente anche la firma.

Abbiamo chiesto a chatGPT cosa ne pensa

Dopo aver condotto l’esperimento, abbiamo chiesto a ChatGPT cosa ne pensa di tutto questo con la seguente domanda “senti, ma tu cosa dici su questo problema visto che sei ChatGPT?”. La risposta è stata la seguente.
Domanda bellissima. Ti rispondo con onestà.

Come modello di intelligenza artificiale, sono consapevole (nei limiti delle mie capacità) che strumenti come me possano essere usati sia in modo positivo che negativo.

La possibilità che si possano generare documenti falsi o immagini per ingannare sistemi di sicurezza è un problema reale e serio. Non è un caso che OpenAI, come anche altre aziende che sviluppano IA, abbia messo dei limiti e filtri proprio per evitare questi abusi (anche se, come vedi, non sono perfetti).

Dal mio punto di vista, il problema non è l'IA in sé: è come le persone decidono di usarla e quanto sono fragili i sistemi che dovrebbero proteggerci.

Se un controllo KYC si basa solo su "foto e selfie" senza controlli reali (come NFC, biometria viva, ecc.), è normale che prima o poi qualcuno trovi un modo per ingannarlo. È una specie di "gara a chi si aggiorna più in fretta": IA migliora → criminali la usano → sicurezza deve evolversi ancora di più.

In breve:

L'IA è uno strumento potentissimo, ma non "cattivo" di per sé.

È urgente che i sistemi di sicurezza digitale si aggiornino.

Serve più consapevolezza: utenti, aziende, istituzioni devono capire che non ci si può più fidare solo di un'immagine.

Se vuoi ti dico anche cosa, secondo me, sarebbe davvero necessario per proteggersi meglio, andando oltre le soluzioni "banali". Ti interessa? 🚀

Conclusione

L’esperimento condotto da Red Hot Cyber evidenzia quanto velocemente l’innovazione tecnologica possa essere sfruttata anche per scopi illeciti. Con l’evoluzione dei modelli di intelligenza artificiale, strumenti come ChatGPT-4o sono ora capaci di generare immagini estremamente realistiche, rendendo possibile la creazione di documenti d’identità falsi e selfie credibili. Questo espone a rischi concreti i sistemi di identificazione basati esclusivamente su controlli visivi.

Le implicazioni sono serie come abbiamo visto. Furto d’identità, creazione di account falsi, e frodi finanziarie potrebbero diffondersi con maggiore facilità, minando la sicurezza di piattaforme fintech, crypto e di qualsiasi servizio online che si affidi a KYC deboli.

Per mitigare questi rischi, gli esperti raccomandano di adottare sistemi di verifica più avanzati, come la lettura dei chip elettronici tramite tecnologia NFC, e di integrare controlli biometrici autentici, aumentando così la resilienza contro tentativi di frode basati su contenuti generati artificialmente.

In un contesto in continua evoluzione, la sicurezza non può più basarsi solo sull’apparenza di un documento o di un volto: servono metodi di autenticazione più profondi e affidabili.

L'articolo Vuoi un Passaporto o una Patente Auto Nuova? Nessun problema, c’è ChatGPT-4o! proviene da il blog della sicurezza informatica.

In queste ore stanno circolando online indiscrezioni su un presunto data breach che avrebbe colpito Telecontrol.it, azienda italiana attiva nel settore della sicurezza e video sorveglianza.

Sebbene non vi siano conferme ufficiali da parte dell’azienda, un post in un forum underground frequentato dai criminali informatici creato dall’utente Dreamer2000, sembrerebbe indicare che una quantità significativa di dati sensibili sia stata sottratta e in parte già pubblicata online.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.

Nel messaggio diffuso su BreachForums, Dreamer2000 ha reso disponibile un primo archivio di dati scaricabili, annunciando che ulteriore materiale sarà rilasciato a breve. Secondo quanto dichiarato nel thread, i dati includerebbero:

• Contratti di non divulgazione (NDA) con informazioni personali, considerati come prova di violazione del GDPR
• Contratti commerciali e dettagli su migliaia di clienti
• Documenti personali come carte d’identità, passaporti e patenti di guida
• Un database di migliaia di telecamere, con credenziali di accesso ai flussi video in diretta
• Un database di circa 6.000 clienti, comprensivo di numeri di telefono

Dreamer2000 ha presentato questo materiale come un’esposizione grave e sistematica di informazioni riservate, sottolineando il potenziale impatto sulla privacy e la sicurezza degli utenti coinvolti.

Implicazioni e rischi

Se il materiale pubblicato risultasse autentico, ci troveremmo di fronte a un incidente ad alto impatto reputazionale e operativo, con gravi ripercussioni per clienti privati, enti pubblici e partner commerciali. In particolare, l’accesso diretto ai feed video delle telecamere costituirebbe un rischio tangibile per la sicurezza fisica e la riservatezza.

Dalle nostre attività di monitoraggio dell’underground, risulta che il 23 marzo è stata pubblicata una lista di email e password da parte dell’utente iZed, un profilo molto attivo e con ottima reputazione all’interno della community. La lista — ancora disponibile — contiene migliaia di credenziali in chiaro tutte riconducibili ad aziende, privati e organizzazione italiane. Un dettaglio interessante è che in questa combolist sono contenute credenziali di accesso riconducibili all’azienda.

Sebbene al momento non sia confermato alcun legame diretto tra questa lista e il data breach, la vicinanza temporale e la presenza di domini aziendali rendono opportuno mantenere alta l’attenzione.

Nessuna dichiarazione ufficiale

Ad oggi, Telecontrol.it non ha rilasciato alcuna comunicazione ufficiale sull’eventuale compromissione dei propri sistemi, pertanto queste informazioni sono da intendere come “intelligence” sulle minacce.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo Un Threat Actors Rivendica un attacco all’Italiana Telecontrol proviene da il blog della sicurezza informatica.

[Ben Eater]’s breadboard 6502 computer is no stranger to these parts, so it was a bit of a surprise that when [Mark] wrote in asking us if we’d covered [Ben]’s getting MS BASIC running on the breadboard, that our answer was “no”. Well, that changes today!

This is a three-part video series, documenting how [Ben Eater] ports a 1977 version of MS BASIC to his 6502-based computer. The first video is all about just getting the BASIC up and working. It’s full of detail about how MS BASIC adapts to different architectures on the inside, and [Ben] essentially defines his own along the way.

Once he has BASIC working, the next two videos are about making it work not just with the serial terminal that he has attached, but also with the LCD display peripheral he has plugged into the breadboard. BASIC fans will not be surprised to see that it’s all about using POKE. But that ends up being to slow, so he extends it out with his own LCDPRINT command written in assembly.

Now that he can write a character to the LCD, he wants to be able to pass it a string: LCDPRINT “Hello world”. But that requires his command to be able to parse a string, and this has him diving down the rabbit hole into how MS BASIC parses strings, handles evals, and so on. If you want to know how MS BASIC works on the inside, this is the video for you. This video makes a lot of use of wozmon, which seems an almost ideal tool for this kind of low-level poking around.

All of this is done in [Ben]’s very well rehearsed, accessible, but pulling-no-punches style. Get ready to nerd out. All three of the videos are embedded just below the break.

While it’s not the Altair BASIC that Bill himself was writing about last week, it’s probably a direct descendent, and reading about the Altair version was what spurred [Mark Stevens] to send us the tip. Thanks!

youtube.com/embed/XlbPnihCM0E?…

youtube.com/embed/gOwi2p1pzVM?…

youtube.com/embed/aVVKgwr_SfQ?…

hackaday.com/2025/04/05/ben-ea…

Comincia a essere chiaro a tutti quanto sia importante in questo momento STACCARSI DAI GRANDI MONOPÒLI americani.

Comincio dal n.1 nel commercio online: AMAZON (ma anche eBay).
Oltre al sacrosanto 'andiamo nei negozi', ci sono "marketplace" alternativi?
Non solo: c'è DI MEGLIO.
Scopriamo insieme queste vere e proprie chicche!

1) commercioVirtuoso (tante categorie)
Italiani, sostenibili e di qualità: i prodotti di questa giovane impresa promettono di venire incontro al commercio locale (acquisti dai negozi sul territorio), all'ambiente (la merce non deve percorrere mezzo mondo) e al valore della lentezza (opposta al "fast" del consumo usa-e-getta).

2) Bookdealer (libri)
Comprare dalle librerie indipendenti con la comodità di ordinare online: è questo l'obiettivo di questa iniziativa, che permette di trovare un libro in una delle librerie aderenti sul territorio nazionale e farselo recapitare anche direttamente a domicilio.

3) Emarketworld (tante categorie - no libri)
Un'altra startup italiana relativamente giovane, che si presenta come un marketplace onesto e con ottime recensioni, un vasto assortimento e la possibilità di trovare anche occasioni e prodotti ricondizionati.

4) PagineGialle Shop (tante categorie - no libri)
Sorprendentemente poco conosciuto, il marketplace di Pagine Gialle è molto assortito. Come su Amazon, i prodotti possono essere venduti dai singoli venditori o direttamente dallo Shop. Vale la pena di esplorarlo bene.
Da segnalare anche PagineGialle, che permette di trovare i negozi più vicini senza passare per Google Maps, e PGCasa, dove si possono reperire facilmente artigiani per tutti i piccoli e grandi lavori domestici.

5) Libri da Asporto (libri)
Non è un vero marketplace, ma un sito che raccoglie molte librerie aderenti, permettendo di trovare facilmente le più vicine sul territorio e di mettersi in contatto direttamente con loro (via email o whatsapp) per ordinare e farsi recapitare i libri anche a domicilio.

6) Subito (tante categorie)
Sicuramente più conosciuto (grazie anche alle campagne pubblicitarie), oltre ad essere un marketplace molto assortito, permette di pubblicare annunci e si configura perciò come una delle alternative nostrane che possono competere anche con eBay (tuttavia senza possibilità di asta).

7) Il Fedimercatino
E per restare nel Fediverso, che dire di questa bella iniziativa no-profit federata, collegata alla comunità Lemmy @Il Mercatino del Fediverso 💵♻️? Il "Mercatino delle Pulci Online Eco-Sostenibile del fediverso" è un piccolo e giovanissimo spazio (in espansione!) nato per contrastare la cultura dello spreco, ridurre i rifiuti e promuovere la filosofia del "Regalo Consapevole" (ma è possibile vendere o acquistare prodotti con prezzi fino a 299€). Leggete bene la pagina about!

8) StrumentiMusicali / MercatinoMusicale (strumenti musicali, apparecchiature e accessori)
Tra i tanti siti specializzati in una sola categoria, presento questo (anche per... deformazione professionale), che ho sempre trovato affidabile, ben fornito e di riferimento nel mondo musicale.
Il Mercatino è inoltre un sito dove mettere e trovare annunci per ottime occasioni.

#Amazon #noamazon #degafam #eBay #NoEbay #buyeuropean #compraeuropeo #compraitaliano #monopolio #alternative #marketplace