X-ray crystallography, like mass spectroscopy and nuclear spectroscopy, is an extremely useful material characterization technique that is unfortunately hard for amateurs to perform. The physical operation isn’t too complicated, however, and as [Farben-X] shows, it’s entirely possible to build an X-ray diffractometer if you’re willing to deal with high voltages, ancient X-ray tubes, and soft X-rays.

[Farben-X] based his diffractometer around an old Soviet BSV-29 structural analysis X-ray tube, which emits X-rays through four beryllium windows. Two ZVS drivers power the tube: one to drive the electron gun’s filament, and one to feed a flyback transformer and Cockroft-Walton voltage multiplier which generate a potential across the tube. The most important part of the imaging system is the X-ray collimator, which [Farben-X] made out of a lead disk with a copper tube mounted in it. A 3D printer nozzle screws into each end of the tube, creating a very narrow path for X-rays, and thus a thin, mostly collimated beam.

To get good diffraction patterns from a crystal, it needed to be a single crystal, and to actually let the X-ray beam pass through, it needed to be a thin crystal. For this, [Farben-X] selected a sodium chloride crystal, a menthol crystal, and a thin sheet of mica. To grow large salt crystals, he used solvent vapor diffusion, which slowly dissolves a suitable solvent vapor in a salt solution, which decreases the salt’s solubility, leading to very slow, fine crystal growth. Afterwards, he redissolved portions of the resulting crystal to make it thinner.
The diffraction pattern generated by a sodium chloride crystal.
For the actual experiment, [Farben-X] passed the X-ray beam through the crystals, then recorded the diffraction patterns formed on a slide of X-ray sensitive film. This created a pattern of dots around the central beam, indicating diffracted beams. The mathematics for reverse-engineering the crystal structure from this is rather complicated, and [Farben-X] hadn’t gotten to it yet, but it should be possible.

We would recommend a great deal of caution to anyone considering replicating this – a few clips of X-rays inducing flashes in the camera sensor made us particularly concerned – but we do have to admire any hack that coaxed such impressive results out of such a rudimentary setup. If you’re interested in further reading, we’ve covered the basics of X-ray crystallography before. We’ve also seen a few X-ray machines.

youtube.com/embed/EKCt-dHuzS4?…

hackaday.com/2025/07/07/buildi…

E’ stato sviluppato un proof-of-concept (PoC) di un exploit per una falla critica che consente l’escalation dei privilegi locali, interessando varie distribuzioni Linux principali, come Fedora e SUSE. La vulnerabilità, monitorata con il codice CVE-2025-6019, consente agli utenti non privilegiati di ottenere l’accesso root sfruttando il demone udisksd e la sua libreria backend libblockdev, creando significativi rischi per la sicurezza dei sistemi multiutente e degli ambienti condivisi.

La vulnerabilità sfrutta una vulnerabilità fondamentale nel modo in cui il demone udisksd elabora le richieste di comunicazione D-Bus dagli utenti del gruppo allow_active. Quando i sistemi correttamente configurati ricevono operazioni relative al disco tramite chiamate D-Bus, il demone presuppone erroneamente che la sola appartenenza al gruppo fornisca un’autorizzazione sufficiente per operazioni sensibili.

Ricordiamo che il demone udisksd è un componente di sistema su Linux responsabile della gestione dei dispositivi di archiviazione (dischi rigidi, SSD, chiavette USB, CD/DVD, ecc.). Questo PoC consente agli aggressori di aggirare i controlli di sicurezza previsti ed eseguire operazioni privilegiate con permessi di root.

Il vettore di attacco si concentra sulla gestione impropria dell’autorità dell’utente durante le comunicazioni interprocesso tramite D-Bus. I ricercatori di sicurezza hanno scoperto che il demone udisksd non riesce a convalidare adeguatamente il contesto dell’utente che effettua l’invocazione, affidandosi invece esclusivamente a controlli dei privilegi basati sul gruppo.

Secondo l’analisi di SecureLayer7, questo difetto di progettazione crea un percorso sfruttabile in cui le chiamate D-Bus possono essere manipolate per innescare operazioni privilegiate non autorizzate. L’analisi statica del codice sorgente di udisks2 e libblockdev ha rivelato diversi pattern preoccupanti nel percorso di escalation dei privilegi. Il flusso di esecuzione vulnerabile segue il seguente schema: udisks_daemon_handle_mount → polkit_check → blkdev_mount.
Immagine dell’esecuzione dell’exploit dal blog di securelayer7.net
Questa sequenza consente agli utenti non privilegiati di far sì che udisksd esegua operazioni di montaggio con permessi di root, aggirando di fatto il modello di sicurezza previsto. Il processo di exploit richiede una sofisticazione tecnica minima, il che lo rende particolarmente pericoloso. Gli aggressori necessitano solo dell’appartenenza al gruppo allow_active e della capacità di eseguire comandi udisksctl.

La prova di concetto dimostra che un semplice comando come udisksctl mount -b /dev/loop0 può causare operazioni di montaggio controllate da root da parte di utenti non root, portando potenzialmente alla compromissione dell’intero sistema. La vulnerabilità interessa un’ampia gamma di distribuzioni Linux che implementano udisks2 e libblockdev nei loro ambienti desktop. I sistemi Fedora e SUSE sono particolarmente vulnerabili a causa delle loro configurazioni predefinite, che spesso includono utenti nel gruppo allow_active per le funzionalità desktop.

Il problema della sicurezza è particolarmente preoccupante per gli ambienti di elaborazione condivisi, i sistemi multiutente e qualsiasi distribuzione in cui la separazione dei privilegi è fondamentale. I responsabili della distribuzione hanno risposto con aggiornamenti di sicurezza che risolvono la vulnerabilità principale attraverso diversi meccanismi. La correzione principale prevede una verifica basata sull’UID più rigorosa, anziché basarsi esclusivamente sull’appartenenza al gruppo. Il codice aggiornato ora richiede sia l’appartenenza al gruppo che un contesto UID appropriato prima di consentire operazioni privilegiate.

Gli amministratori di sistema dovrebbero aggiornare immediatamente i pacchetti udisks2 e libblockdev alle versioni corrette. Le organizzazioni dovrebbero inoltre verificare le autorizzazioni basate sui gruppi e implementare regole polkit più rigorose per prevenire vulnerabilità simili.

L'articolo Un nuovo Exploit Poc consente Privilege Excalation su Linux utilizzando il demone udisksd proviene da il blog della sicurezza informatica.

CHIUSURA STAGIONE 9 - I LLM sono il sogno di manager e stakeholder: il lavoro (o almeno la sua parte vendibile) senza i lavoratori. Il solo vero caso d'uso è la svalutazione del lavoro e delle competenze. Da qui tutti i discorsi sulla prossima inutilità di psicologi, medici, programmatori. Gli utili idioti che abboccano sono solo quelli che credono di avere il simulacro, lo spettacolo della competenza, senza la competenza, sia un gioco vincente.

spreaker.com/episode/dk-9x36-i…

A San Francisco, chiunque abbia mai partecipato a un hackathon lo conosce. René Turcios non è un programmatore, non è un ingegnere e non si è laureato in un’università prestigiosa. Non scrive nemmeno codice. Ma dal 2023, questo ragazzo ha vinto più di duecento hackathon, portando a casa premi, rispetto e bonus piuttosto consistenti. Il suo segreto è semplice: la “programmazione a vibrazioni”.

Il termine “vibe coding” è stato coniato dal ricercatore di intelligenza artificiale Andrej Karpathy per descrivere il processo in cui un essere umano spiega un compito a parole e un’intelligenza artificiale lo trasforma in codice funzionante. Inizialmente disprezzato, questo approccio è ora utilizzato sia da startup che da grandi aziende IT, e strumenti come Cursor e Claude stanno diventando la norma.

Turcios iniziò a usare questo metodo molto prima di avere un nome. Al suo primo hackathon, inseriva semplicemente un’idea in ChatGPT: creare un convertitore di qualsiasi canzone in una versione lo-fi. E – senza scrivere nulla a mano – si aggiudicò il secondo posto. Quando i risultati furono annunciati, urlò di gioia. Nessuno lo conosceva allora, ma fu allora che capì di poter competere con laureati di Stanford e ingegneri di grandi aziende.

René ha 29 anni. È originario del Missouri ed è cresciuto in una famiglia di artisti circensi che domavano leoni e orsi. Invece di andare all’università, è diventato un giocatore professionista di Yu-Gi-Oh! e ha viaggiato per diversi anni negli Stati Uniti, partecipando a tornei e dormendo a casa di amici. A un certo punto, si è stancato e si è trasferito a San Francisco con la sua ragazza. Ha provato diversi lavori part-time e in seguito ha lanciato una startup per creare infrastrutture per il metaverso. Ma il progetto è stato presto chiuso: gli ingegneri si sono rifiutati di lavorare con l’intelligenza artificiale.

Uno di loro ha persino affermato che si sarebbe licenziato se gli avessero chiesto di nuovo di usare una rete neurale. In risposta, Turcios ha chiuso l’azienda e si è messo a studiare per conto proprio. Ha iniziato a presentarsi a quasi tutti gli hackathon della città, dall’AGI House alla Frontier Tower. Non scriveva codice, sapeva solo come formulare correttamente una richiesta e sfruttare al meglio l’intelligenza artificiale. E sapeva come vincere.
Una immagine di René Turcios dal suo profilo di Instagram
Organizzatori e partecipanti agli hackathon si sono già abituati alla sua voce potente, all’immagine cyberpunk da strada e alla sua frase distintiva “Non ho scritto una sola riga di codice”. Le vittorie sono arrivate una dopo l’altra. Le startup hanno iniziato a commissionargli lo sviluppo di MVP e prototipi, che richiedevano settimane di lavoro a team di programmatori. Lui li ha realizzati in poche ore. Ora conduce personalmente workshop, insegnando sia a principianti che a sviluppatori esperti come lavorare con l’intelligenza artificiale.

Ora Turcios ha rallentato un po’. Si concentra sul suo progetto personale: creare agenti di intelligenza artificiale. Nessun team, nessun investitore, nessun sviluppatore. Fa tutto da solo, o meglio, insieme a una rete neurale. Durante una delle riunioni, ha aperto il suo portatile e ha chiesto: cosa dovremmo costruire? La conversazione verteva sui suoi personaggi preferiti di Labubus, che conserva in scatole a casa. In 15 minuti, un sito web per la rivendita di bambole era pronto.

A René non importano lauree, linguaggi di programmazione o ruoli aziendali. Ha semplicemente capito come funziona il nuovo mondo e ha imparato a giocare secondo le sue regole. O meglio, le ha riscritte.

L'articolo Non so programmare, ma ha vinto 200 hackathon! René Turcios, la leggenda del “vibe coder” proviene da il blog della sicurezza informatica.

Although not nearly as intimidating as her ceiling-mounted hanging arm body, GLaDOS spent a significant portion of the Portal 2 game in a stripped-down computer powered by a potato battery. [Dave] had already made a version of her original body, but it was built around a robotic arm that was too expensive for the project to be really accessible. For his latest project, therefore, he’s created a AI-powered version of GLaDOS’s potato-based incarnation, which also serves as a fun introduction to building AI systems.

[Dave] wanted the system to work offline, so he needed a computer powerful enough to run all of his software locally. He chose an Nvidia Jetson Orin Nano, which was powerful enough to run a workable software system, albeit slowly and with some memory limitations. A potato cell unfortunately doesn’t generate enough power to run a Jetson, and it would be difficult to find a potato large enough to fit the Jetson inside. Instead, [Dave] 3D-printed and painted a potato-shaped enclosure for the Jetson, a microphone, a speaker, and some supplemental electronics.

A large language model handles interactions with the user, but most models were too large to fit on the Jetson. [Dave] eventually selected Llama 3.2, and used LlamaIndex to preprocess information from the Portal wiki for retrieval-augmented generation. The model’s prompt was a bit difficult, but after contacting a prompt engineer, [Dave] managed to get it to respond to the hapless user in an appropriately acerbic manner. For speech generation, [Dave] used Piper after training it on audio files from the Portal wiki, and for speech recognition used Vosk (a good programming exercise, Vosk being, in his words, “somewhat documented”). He’s made all of the final code available on GitHub under the fitting name of PotatOS.

The end result is a handheld device that sarcastically insults anyone seeking its guidance. At least Dave had the good sense not to give this pernicious potato control over his home.

youtube.com/embed/Dz95q6XYjwY?…

hackaday.com/2025/07/06/buildi…

"Quando si tratta di mandare in bancarotta il nostro Paese con sprechi e corruzione, viviamo in un sistema monopartitico, non in una democrazia. Oggi, l'America Party è nato per restituirvi la libertà".

Tutto ciò è meraviglioso.

E comunque aveva ragione Yoda, "sempre due ci sono: un maestro e un apprendista".

rainews.it/articoli/2025/07/us…

Elon Musk annuncia la nascita del partito "America"

Ieri, nel giorno delle celebrazioni dell'Indipendenza Usa, aveva lanciato un sondaggio su X

^{Redazione di Rainews (RaiNews)}