At the dawn of the PC, IBM provided the Basic Input Output System (BIOS). It took care of bringing the machine up, and exposed a series of software hooks for the hardware. Over the years the BIOS and its updated descendants served us well, but as we entered a 64-bit world its limitations began to show.

The replacement was the Unified Extensible Firmware Interface or UEFI, and the chances are you’re viewing this on a machine which uses it in some capacity. But what if you only have UEFI and need BIOS to run a piece of older software? Never fear, because here’s CSMWrap, which brings it back, just for you.

Under the hood it’s a wrapper for the SeaBIOS compatibility support module, doing the work of setting up the memory mapping such that it will load, and ensuring that other services such as the VGA BIOS are loaded. As it stands it can boot FreeDOS and some older Windows versions under UEFI in QEMU, and it’s claimed also run on real hardware. We don’t often need to run DOS on our 2025 machine, but it’s neat to know we can.

Meanwhile if the BIOS interests you, know that there’s also an open source BIOS for the earliest of PCs.

BIOS header image: Thomas Schanz, CC BY-SA 4.0.

hackaday.com/2025/05/29/bring-…

Microsoft vuole rivoluzionare il modo in cui vengono gestiti gli aggiornamenti su Windows. L’azienda ha annunciato una nuova piattaforma di orchestrazione degli aggiornamenti che punta a trasformare completamente il processo. La piattaforma permette di centralizzare l’aggiornamento di qualsiasi applicazione, driver o componente software direttamente tramite Windows Update. L’obiettivo è ambizioso: dire addio agli aggiornamenti separati gestiti da ogni singola app e portare tutto sotto il controllo centralizzato del sistema operativo.

Attualmente, su Windows, ogni software ha il suo sistema di aggiornamento: alcuni notificano automaticamente, altri richiedono il controllo manuale, altri ancora vengono completamente ignorati. Questo crea frammentazione e potenziali falle di sicurezza. La nuova piattaforma di Microsoft consente agli sviluppatori di integrare i propri aggiornamenti in Windows Update. Inoltre potranno eliminare la necessità di implementare meccanismi separati di controllo, pianificazione o registrazione. Gli utenti, invece, potranno godere di notifiche più coerenti e di uno storico aggiornamenti unificato.

Secondo quanto dichiarato, la piattaforma supporterà una vasta gamma di formati di applicazioni, comprese quelle confezionate come MSIX, APPX e persino alcune Win32 personalizzate. Gli sviluppatori potranno gestire gli aggiornamenti usando API WinRT o script PowerShell, ma dovranno prima registrarsi all’anteprima privata per accedere alle funzionalità.

La mossa rappresenta un importante passo in avanti verso una gestione intelligente e centralizzata del software. Se adottata saràin grado di migliorare non solo la sicurezza ma anche l’esperienza d’uso su Windows. Tuttavia, resta da capire se le aziende terze decideranno di adottare questo nuovo approccio. Oppure se continueranno a preferire le loro soluzioni proprietarie per il controllo degli aggiornamenti.

Con questa iniziativa, Microsoft dimostra di voler affrontare una delle criticità più diffuse nei sistemi Windows: la dispersione degli aggiornamenti

Unificando tutto sotto un unico sistema, l’azienda punta a offrire maggiore coerenza, sicurezza e controllo. Se l’iniziativa dovesse essere adottata su larga scala, potremmo dire definitivamente addio agli aggiornamenti dimenticati e ai software obsoleti.

L'articolo Windows Update sarà per tutti? Persino il Blocco Note ha paura! proviene da il blog della sicurezza informatica.

I ricercatori di Socket hanno scoperto una campagna attiva che utilizza decine di pacchetti npm dannosi in grado di raccogliere e rubare informazioni dai sistemi delle vittime.

Secondo gli esperti, nelle ultime due settimane, aggressori hanno pubblicato 60 pacchetti in npm contenenti un piccolo script che viene attivato durante l’installazione. Lo script è responsabile della raccolta di nomi host, indirizzi IP, elenchi di server DNS e percorsi di directory e della successiva trasmissione di queste informazioni agli aggressori tramite un webhook Discord.

Lo script è rivolto agli utenti Windows, Linux e macOS, utilizza controlli di base per bypassare la sandbox ed è progettato specificamente per rilevare l’impronta digitale di qualsiasi sistema che interagisca con uno dei pacchetti dannosi.

I ricercatori hanno identificato tre account npm, ciascuno dei quali ha pubblicato 20 pacchetti dannosi: bbbb335656, cdsfdfafd1232436437 e sdsds656565. Tutti i pacchetti contenevano lo stesso codice per raccogliere i dati e li passavano allo stesso webhook Discord.

“Il numero totale di download di pacchetti supera attualmente i 3.000, consentendo agli aggressori di creare una mappa delle reti di sviluppatori e aziende che potrebbe diventare una vera e propria roadmap per gli attacchi futuri. Al momento in cui scriviamo, tutti i pacchetti sono ancora disponibili su npm. Abbiamo presentato una richiesta per rimuoverli”, affermano gli esperti nel loro rapporto.

Secondo Socket, poiché lo script dannoso raccoglie identificatori di rete sia interni che esterni, consente agli aggressori di collegare ambienti di sviluppo privati ​​a infrastrutture pubbliche.

L'articolo Allarme NPM: scoperti 60 pacchetti che rubano i tuoi dati con un semplice install proviene da il blog della sicurezza informatica.

Internet sta diventando giorno dopo giorno una vasta rete di sorveglianza. Di particolare preoccupazione è il fatto che le nuove tecnologie abbinate all’intelligenza artificiale possono facilmente raccogliere dati e creare profili attendibili delle persone e quindi complicare ulteriormente la privacy degli utenti.

I commenti abituali su YouTube non sono più solo dichiarazioni innocenti, ma possono diventare la base per creare quasi un dossier su una persona. Un nuovo servizio online chiamato YouTube-Tools sostiene di essere in grado di trovare quasi tutti i commenti che un utente ha mai lasciato sulla piattaforma e poi di usare l’intelligenza artificiale per crearne un profilo, includendo anche la possibile posizione geografica, la lingua madre, gli interessi e persino le opinioni politiche.

Lo strumento è nato come parte di una serie crescente di servizi online nati con un sito per l’analisi dei nickname di League of Legends. Ora utilizza un modello linguistico modificato di Mistral per generare brevi report analitici sugli utenti di YouTube in base ai commenti. Il creatore sostiene di aver realizzato il progetto per le esigenze della polizia e degli investigatori privati, ma chiunque può accedere al sito: tutto ciò di cui hai bisogno è una carta di credito e un indirizzo email; l’abbonamento costa circa 20 dollari al mese.

Lo strumento rappresenta una seria minaccia alla privacy. I report vengono generati in pochi secondi e contengono dati sufficienti affinché l’intelligenza artificiale evidenzi dettagli potenzialmente identificativi. Tali tecnologie potrebbero rivelarsi una vera manna per combattere il bullismo online: si sono già verificati casi in cui altri strumenti per sviluppatori sono stati utilizzati da comunità impegnate in attività di stalking e raccolta di prove incriminanti.

Il servizio sembra violare l’informativa sulla privacy di YouTube, che afferma chiaramente che la raccolta automatizzata di informazioni è consentita solo in conformità con il file robots.txt o con l’autorizzazione scritta di YouTube. Tuttavia, YouTube Tools sembra ignorare queste restrizioni e continua a raccogliere dati.

Un test funzionale ha dimostrato che il servizio funziona davvero. Quando veniva inserito il nome di un commentatore casuale, il sistema generava decine di commenti da video diversi e compilava automaticamente un paragrafo analitico. Ad esempio, ha sottolineato un possibile collegamento con l’Italia citando riferimenti alla cucina e ai programmi televisivi italiani, e ha interpretato le sue opinioni culturali sulla base di diverse frasi sulla mascolinità e sulla società.

Secondo il sito, il database comprende 1,4 miliardi di utenti e 20 miliardi di commenti, anche se YouTube stesso ha più di 2,5 miliardi di utenti, il che significa che non è completamente coperto.

YouTube-Tools è stato lanciato appena una settimana fa ed è un fork di LoL-Archiver. Lo sviluppatore possiede anche altri servizi simili: nHentai-Archiver analizza i commenti degli utenti su una popolare piattaforma per l’hosting di manga per adulti, Kick-Tools mostra la cronologia delle chat e dei ban degli utenti sul servizio di streaming video Kick e Twitch-Tools mostra la cronologia dei messaggi di un utente specifico su Twitch nei canali monitorati. Al momento della pubblicazione, i canali Twitch seguiti sono oltre 39.000.

Lo sviluppatore ha ammesso esplicitamente che l’obiettivo finale è tracciare l’attività dei singoli utenti. Sostiene che il sito è rivolto ai professionisti: detective, giornalisti e addetti alla sicurezza. Allo stesso tempo, la politica del servizio stabilisce che l’accesso è consentito solo con una licenza, ma in realtà chiunque può iscriversi in pochi minuti senza fornire alcun documento a supporto.

Come misura di “verifica”, lo sviluppatore cita l’accettazione dei termini di utilizzo e la verifica casuale (KYC) di coloro che sollevano sospetti. Ha fatto l’esempio della rimozione di un utente per aver utilizzato un indirizzo e-mail temporaneo, ma ha sottolineato che prima viene concesso l’accesso e solo in seguito avviene la verifica.

L’analisi comportamentale dell’intelligenza artificiale è disponibile solo nella sezione YouTube e, secondo lo sviluppatore, ha lo scopo di velocizzare il lavoro degli investigatori. Tuttavia, questo approccio consente di farsi un’idea molto rapidamente dell’utente, anche se questi non rivela direttamente dati personali.

Lo sviluppatore ha riconosciuto che i rischi per la privacy sono reali, ma insiste sul fatto che cerca di ridurli al minimo tramite filtraggio interno. Ha aggiunto che era pronto a cancellare le informazioni archiviate su richiesta ufficiale. Non viene però specificato come l’utente possa scoprire che i suoi dati sono già stati analizzati.

Il problema della raccolta automatica dei dati pubblici sta diventando sempre più acuto. In precedenza, i ricercatori brasiliani avevano pubblicato una cache di due miliardi di messaggi provenienti da server Discord aperti. In precedenza, sulla stessa piattaforma era stato chiuso il progetto Spy Pet, che utilizzava un metodo simile. Ora YouTube si trova ad affrontare una nuova ondata di interrogativi sulle misure adottate per proteggere i propri utenti da analisi indesiderate delle loro attività pubbliche.

L'articolo Commenti su YouTube? L’IA trasforma i tuoi commenti in un dossier personale proviene da il blog della sicurezza informatica.

A letter by Sen. Ron Wyden about surveillance of senators’ phone lines has an important lesson for journalists, too: Be careful in selecting your phone carrier.

On May 21, Wyden wrote his Senate colleagues revealing which wireless carriers inform customers about government surveillance requests (Cape, Google Fi, and US Mobile), and which don’t (AT&T, Boost Mobile, Charter/Spectrum, Comcast/Xfinity Mobile, T-Mobile, and Verizon).

A handy chart at the bottom of the senator’s press release provides a quick summary.

Wyden’s letter was inspired in part by a Department of Justice inspector general report that revealed that the DOJ had collected phone records of Senate staff as part of leak investigations under the first Trump administration.

But that report wasn’t just about surveillance of the Senate. It also discussed how the DOJ surveilled journalists at The New York Times, The Washington Post, and CNN in 2020-21 as part of leak investigations related to news reporting about the Trump campaign’s connections with Russia and Russia’s interference in the 2016 election.

Investigators demanded telephone records from phone companies for the work and personal phones of journalists at all three outlets. In all three cases, the telephone companies turned over the records, which would have shown the numbers dialed, the date and time of calls, and their duration — information that could reveal the identities of confidential sources.

The telephone companies apparently didn’t notify the Times, Post, or CNN that their records had been sought, even though they legally could have done so. The DOJ also didn’t give the news outlets notice, taking advantage of internal guidelines that allowed them to delay notice to news media companies about legal demands for communications records from third parties in certain circumstances. (The rules for delayed notice from the DOJ remain in effect in the recently revised DOJ news media guidelines.)

According to the inspector general report, DOJ cover letters to the telephone companies asked them not to disclose the demands because the DOJ claimed it might impede the investigation. But the DOJ never sought a court order prohibiting disclosure. One prosecutor told the IG that nondisclosure orders weren’t obtained for the telephone companies “because the providers typically do not notify subscribers when their records are sought.”

That’s a problem, and it’s exactly what Wyden called out in his recent letter. Journalists can’t oppose surveillance that they don’t know about. Notification is what enables journalists (or any other customer) to fight back against overbroad, unwarranted, or illegal demands for their data. That’s exactly what the Times did when Google notified the newspaper of demands for its journalists’ email records in connection with the same leak investigation in which investigators sought phone records from Times journalists.

The Times’ contract with Google required the company to notify the news outlet of government demands. But even contractual agreements might not be enough to compel phone companies to inform their customers when they’re being spied on. Wyden’s letter reveals that “three major phone carriers — AT&T, Verizon, and T-Mobile — failed to establish systems to notify (Senate) offices about surveillance requests, as required by their Senate contracts.”

In addition, even if large news outlets could negotiate contracts with their phone carriers that require notification of surveillance requests when legally allowed, that wouldn’t help their journalists who speak to sources using personal phones that aren’t covered by their employers’ contracts. Freelance journalists are also unlikely to have the power to negotiate notification into their phone contracts.

Rather than one-off contractual agreements then, it would be better for all phone companies to follow the lead of tech companies, like Google, that have a blanket policy of notifying customers of government demands for their data, assuming they’re not gagged. These policies are now widespread in the tech world, thanks to activism by groups like the Electronic Frontier Foundation, which has long monitored tech companies’ notification policies and encouraged them to do better.

Phone companies must do better, too. It’s a shame that some of the largest wireless carriers can’t be bothered to tell their customers when they’re being surveilled. Journalists — and all of us — who care about privacy have a choice to make when selecting their wireless provider: Do they want to know when they’re being spied on, or are they OK with being left in the dark?

freedom.press/issues/phone-com…

What has the EDRis network been up to over the past two weeks? Find out the latest digital rights news in our bi-weekly newsletter. In this edition: Reopening the GDPR is a threat to our rights, 6 years of fighting censorship by Meta in Poland, & more!

The post EDRi-gram, 28 May 2025 appeared first on European Digital Rights (EDRi).

EDRi affiliate Politiscope recently hosted an event in Croatia for journalists and activists to discuss human rights impact of Artificial Intelligence (AI), raise awareness about AI related harms, and to influence future national policy to incorporate safeguards for people’s rights.

The post Croatia in preparation for AI Law: Activists warn of risks to rights and call for safeguards going beyond EU AI Act appeared first on European Digital Rights (EDRi).

Ciao, non so se capita solo a me ma vedo un incremento di profili fake.

A volte (ma poche volte) li vedo arrivare da bluesky, ma non è la regola, anzi.

Oggi, comunque, se sei un social e non hai profili fake non sei nessuno, quindi boh, dovrebbe essere buon segno? Mah!

Un esempio, qui sotto: profilo nati da due giorni e senza followers, ma che vuole seguire proprio te, senza nessuna interazione prima: naturalmente la sua lingua non è la tua e l'immagine è...beh, sempre di una bella gnocca (cosa azzeccatissima quando io sono il target, capirai...).

#fake #profilifake #scam

Domenica, dopo colazione, abbiamo deciso di fare un'escursione breve e vicino a casa.
Come per le vacanze, anche questa #escursione è stata un #compromesso fra: outdoor/divano, corsa/passeggiatina, ecc... 😅

Siamo andati a cima di #Medeglia seguendo l'itinerario di gioia ad alta quota, perché pur essendo ad un quarto d'ora da casa mia, l'ultima volta che sono stata lì era forse alle elementari.
Vista spettacolare a 360° e un pezzo di storia che non ricordavo, le fortificazioni e trincee risalenti alla 1a guerra mondiale!

Ecco qualche foto della nostra giornata:
pixelfed.uno/p/aimee80/8329302…

aimee80

2025-05-27 10:47:20

25 maggio 2025
giro ad anello: Cima di Medeglia (TI, Svizzera)