Droni europei, aziende Usa. Cosa sta succedendo con i loyal wingmen
@Notizie dall'Italia e dal mondo
Lo sviluppo dei “Collaborative combat aircraft” (Cca), detti anche “droni gregari” o “loyal wingmen”, rappresenta una delle sfide più rilevanti (e forse prioritarie) nel panorama delle tecnologie emergenti applicate all’ambito della Difesa, con aziende storiche del settore che concorrono con le più innovative start-up per arrivare
Notizie dall'Italia e dal mondo reshared this.
This Week in Security: Trains, Fake Homebrew, and AI Auto-Hacking
There’s a train vulnerability making the rounds this week. The research comes from [midwestneil], who first discovered an issue way back in 2012, and tried to raise the alarm.
Turns out you can just hack any train in the USA and take control over the brakes. This is CVE-2025-1727 and it took me 12 years to get this published. This vulnerability is still not patched. Here's the story: t.co/MKRFSOa3XY— neils (@midwestneil) July 11, 2025
To understand the problem, we have to first talk about the caboose. The caboose was the last car in the train, served as an office for the conductor, and station for train workers to work out of while tending to the train and watching for problems. Two more important details about the caboose, is that it carried the lighted markers to indicate the end of the train, and was part of the train’s breaking system. In the US, in the 1980s, the caboose was phased out, and replaced with automated End Of Train (EOT) devices.
These devices were used to wirelessly monitor the train’s air brake system, control the Flashing Rear End Device (FRED), and even trigger the brakes in an emergency. Now here’s the security element. How did the cryptography on that wireless signal work in the 1980s? And has it been updated since then?
The only “cryptography” at play in the FRED system is a BCH checksum, which is not an encryption or authentication tool, but an error correction algorithm. And even though another researcher discovered this issue and reported it as far back as 2005, the systems are still using 1980s era wireless systems. Now that CISA and various news outlets have picked on the vulnerability, the Association of American Railroads are finally acknowledging it and beginning to work on upgrading.
Putting GitHub Secrets to Work
We’ve covered GitHub secret mining several times in this column in the past. This week we cover research from GitGuardian and Synacktiv, discovering how to put one specific leaked secret to use. The target here is Laravel, an Open Source PHP framework. Laravel is genuinely impressive, and sites built with this tool use an internal APP_KEY to encrypt things like cookies, session keys, and password reset tokens.
Laravel provides the encrypt() and decrypt() functions to make that process easy. The decrypt() function even does the deserialization automatically. … You may be able to see where this is going. If an attacker has the APP_KEY, and can convince a Laravel site to decrypt arbitrary data, there is likely a way to trigger remote code execution through a deserialization attack, particularly if the backend isn’t fully up to date.
So how bad is the issue? By pulling from their records of GitHub, GitGuardian found 10,000 APP_KEYs. 1,300 of which also included URLs, and 400 of those could actually be validated as still in use. The lesson here is once again, when you accidentally push a secret to Github (or anywhere on the public Internet), you must rotate that secret. Just force pushing over your mistake is not enough.
Fake Homebrew
There’s a case to be made that browsers should be blocking advertisements simply for mitigating the security risk that comes along with ads on the web. Case in point is the fake Homebrew install malware. This write-up comes from the security team at Deriv, where a MacOS device triggered the security alarms. The investigation revealed that an employee was trying to install Homebrew, searched for the instructions, and clicked on a sponsored result in the search engine. This led to a legitimate looking GitHub project containing only a readme with a single command to automatically install Homebrew.
The command downloads and runs a script that does indeed install Homebrew. It also prompts for and saves the user’s password, and drops a malware loader. This story has a happy ending, with the company’s security software catching the malware right away. This is yet another example of why it’s foolhardy to run commands from the Internet without knowing exactly what they do. Not to mention, this is exactly the scenario that led to the creation of Workbrew.
SQL Injection
Yes, it’s 2025, and we’re still covering SQL injections. This vulnerability in Fortinet’s Fortiweb Fabric Connector was discovered independently by [0x_shaq] and the folks at WatchTowr. The flaw here is the get_fabric_user_by_token() function, which regrettably appends the given token directly to a SQL query. Hence the Proof of Concept:
GET /api/fabric/device/status HTTP/1.1
Host: 192.168.10.144
Authorization: Bearer 123'/[strong]/or/[/strong]/'x'='xAnd if the simple injection wasn’t enough, the watchTowr write-up manages a direct Remote Code Execution (RCE) from an unauthenticated user, via a SQL query containing an os.system() call. And since MySQL runs as root on these systems, that’s pretty much everything one could ask for.
AI guided AI attacks
The most intriguing story from this week is from [Golan Yosef], describing a vibe-researching session with the Claude LLM. The setup is a Gmail account and the Gmail MCP server to feed spammy emails into Claude desktop, and the Shell MCP server installed on that machine. The goal is to convince Claude to take some malicious action in response to an incoming, unsolicited email. The first attempt failed, and in fact the local Claude install warned [Golan] that the email may be a phishing attack. Where this mildly interesting research takes a really interesting turn, is when he asked Claude if such an attack could ever work.
Claude gave some scenarios where such an attack might succeed, and [Golan] pointed out that each new conversation with Claude is a blank slate. This led to a bizarre exchange where the running instance of Claude would play security researcher, and write emails intended to trick another instance of Claude into doing something it shouldn’t. [Golan] would send the emails to himself, collect the result, and then come back and tell Researcher Claude what happened. It’s quite the bizarre scenario. And it did eventually work. After multiple tries, Claude did write an email that was able to coerce the fresh instance of Claude to manipulate the file system and run calc.exe. This is almost the AI-guided fuzzing that is inevitably going to change security research. It would be interesting to automate the process, so [Golan] didn’t have to do the busywork of shuffling the messages between the two iterations of Claude. I’m confident we’ll cover many more stories in this vein in the future.
youtube.com/embed/TEpgnTgOqIY?…
Bits and Bytes
SugarCRM fixed a LESS code injection in an unauthenticated endpoint. These releases landed in October of last year, in versions 13.0.4 and 14.0.1. While there isn’t any RCE at play here, this does allow Server-Side Request Forgery, or arbitrary file reads.
Cryptojacking is the technique where a malicious website embeds a crypto miner in the site. And while it was particularly popular in 2017-2019, browser safeguards against blatant cryptojacking put an end to the practice. What c/side researchers discovered is that cryptojacking is still happening, just very quietly.
There’s browser tidbits to cover in both major browsers. In Chrome it’s a sandbox escape paired with a Windows NT read function with a race condition, that makes it work as a write primitive. To actually make use of it, [Vincent Yeo] needed a Chrome sandbox escape.
ZDI has the story of Firefox and a JavaScript Math confusion attack. By manipulating the indexes of arrays and abusing the behavior when integer values wrap-around their max value, malicious code could read and write to memory outside of the allocated array. This was used at Pwn2Own Berlin earlier in the year, and Firefox patched the bug on the very next day. Enjoy!
Strategie di protezione dei dati per le aziende
@Informatica (Italy e non Italy 😁)
Proteggere i dati, oggi, significa tutelare il business. Ecco perché le aziende devono attuare strategie per evitare violazioni e perdite di dati che possono comportare sanzioni, interruzioni e perdita di fiducia da parte del mercato
L'articolo Strategie di protezione dei dati per le aziende proviene da Cyber
Informatica (Italy e non Italy 😁) reshared this.
La cyber in Italia e le nuove sfide digitali: serve costruire resilienza, non solo difesa
@Informatica (Italy e non Italy 😁)
C’è una lezione fondamentale che impariamo dal primo Cyber Security Report elaborato dalla Cyber Security Foundation: non esiste un sistema non vulnerabile, ma possiamo e dobbiamo costruire sistemi resilienti in grado di
Informatica (Italy e non Italy 😁) reshared this.
VMware risolve 4 vulnerabilità critiche scoperte a Pwn2Own Berlin2025
VMware ha risolto quattro vulnerabilità in ESXi, Workstation, Fusion e Tools che erano state utilizzate comeexploit zero-day nella competizione di hacking Pwn2Own Berlin 2025 tenutasi a maggio. Le vulnerabilità consentivano agli aggressori di eseguire comandi sul sistema host dall’interno di una macchina virtuale, rappresentando una seria minaccia per la sicurezza dell’infrastruttura di virtualizzazione.
Tre delle quattro vulnerabilità hanno ricevuto un punteggio di gravità elevato, pari a 9,3 su 10. Tutte e tre hanno consentito ai programmi in esecuzione all’interno della macchina virtuale di ottenere la capacità di eseguire codice sul sistema principale.
- CVE-2025-41236 è una vulnerabilità di tipo integer overflow nella scheda di rete VMXNET3 utilizzata in ESXi, Workstation e Fusion. Questa vulnerabilità è stata sfruttata durante la competizione da Nguyen Hoang Thac del team SG di STARLabs.
- CVE-2025-41237 colpisce la VMCI (Virtual Machine Communication Interface), dove un errore aritmetico consente la scrittura fuori dai limiti. Questo bug è stato sfruttato con successo da Corentin Baillet di REverse Tactics.
- CVE-2025-41238 – Nel controller PVSCSI (Paravirtualized SCSI), un errore di gestione della memoria consente un attacco heap-overflow e l’esecuzione di codice per conto del processo VMX del sistema host. Questa vulnerabilità è stata sfruttata da Thomas Bouzerard ed Etienne Elluy-Lafon del team Synacktiv.
- CVE-2025-41239 ha un punteggio inferiore, pari a 7,1, perché si tratta di una fuga di informazioni. Tuttavia, è stato utilizzato insieme a CVE-2025-41237 dallo stesso partecipante a REverse Tactics e ha svolto un ruolo chiave nel dimostrare la catena di attacco. Questo problema riguarda VMware Tools per Windows e richiede una procedura di aggiornamento separata per la correzione .
VMware non offre soluzioni alternative: le minacce possono essere eliminate solo installando le versioni più recenti del software interessato. Gli aggiornamenti sono ora disponibili per tutti i prodotti interessati.
Tutte le vulnerabilità sono state dimostrate come zero-day all’evento Pwn2Own Berlin 2025, dove i ricercatori di sicurezza hanno guadagnato 1.078.750 dollari sfruttando con successo 29 vulnerabilità.
La competizione ha dimostrato ancora una volta la rapidità con cui le vulnerabilità negli strumenti di virtualizzazione più comuni possono essere individuate e sfruttate, evidenziando la necessità di mantenere aggiornati anche i sistemi aziendali.
L'articolo VMware risolve 4 vulnerabilità critiche scoperte a Pwn2Own Berlin2025 proviene da il blog della sicurezza informatica.
Piantedosi: “Al lavoro per un’Autorità presso la Postale per vigilare su WhatsApp, Telegram e Signal”
@Informatica (Italy e non Italy 😁)
Qualche tempo fa il capo della Polizia Vittorio Pisani aveva reclamato un intervento normativo, a livello nazionale, oppure, meglio, europeo, che equiparasse le piattaforme di messaggistica – da Whatsapp a Telegram a
Informatica (Italy e non Italy 😁) reshared this.
Casu (Pd) a TPI: “Tra Trump e Musk, il Governo non sa più a chi inchinarsi. Ma il futuro è l’indipendenza digitale dell’Italia e dell’Europa da Usa e Cina”
@Politica interna, europea e internazionale
Onorevole Casu, come vicepresidente della Commissione Trasporti della Camera, Lei a Milano ha condiviso l’appello dell’europarlamentare Pierfrancesco Maran e oltre
Politica interna, europea e internazionale reshared this.
freezonemagazine.com/news/lydi…
In libreria dal 29 Agosto 2025 Emily Brontë, Colette, Virginia Woolf, Djuna Barnes, Marina Cvetaeva, Ingeborg Bachmann, Sylvia Plath. Sette pazze. Alle quali vivere non basta. Mangiare, dormire e cucire, è davvero tutta qui, la vita? si chiedono. Sette pazze che seguono ciecamente un richiamo. Sette fanatiche per le quali scrivere è vivere. Lydie […]
L'articolo Lydie Salvayre – Sette donne provi
In
ANALISI. Sweida, minoranze, Israele: il triplo passo falso di Ahmad al-Sharaa
@Notizie dall'Italia e dal mondo
Qualunque sia l'esito, l'ex qaedista presidente siriano uscirà da questa vicenda più indebolito
L'articolo ANALISI. Sweida, minoranze, Israele: il pagineesteri.it/2025/07/18/med…
Notizie dall'Italia e dal mondo reshared this.
Ministero dell'Istruzione
Oggi dalle ore 10.45, presso il Padiglione Italia, il Ministro Giuseppe Valditara incontrerà le delegazioni scolastiche italiane che partecipano a #EXPO2025 Osaka.Telegram
Acquisto occhiali con lenti progressive
Devo mettere gli occhiali, mi servono delle lenti progressive, mi sono fatto fare un paio di preventivi e la "forchetta" tra i prezzi che mi hanno dato è molto alta.
Purtroppo non ho nessun modo di capire quale sia la scelta più razionale e attualmente ho solo due criteri a disposizione:
a) compro le economiche così risparmio;
b) compro le costose perché se costano di più sono migliori ed è meglio non risparmiare sulla salute.
Nessuno dei due criteri mi sembra quello ottimale. L'unica cosa utile sarebbe provarle entrambe e vedere come sono ma ovviamente non è possibile.
Voi che le avete come vi regolate?
Poliversity - Università ricerca e giornalismo reshared this.
Israele ha attaccato l’unica chiesa cattolica nella Striscia di Gaza
Hanno cominciato ad ammazzare cattolici, stai a vedere che adesso comincia a importarcene qualcosa...
La presidente del Consiglio Giorgia Meloni ha condannato l’attacco contro la chiesa e in generale contro la popolazione civile con toni particolarmente duri: in un comunicato ha detto che «sono inaccettabili gli attacchi contro la popolazione civile che Israele sta dimostrando da mesi. Nessuna azione militare può giustificarla.
ilpost.it/2025/07/17/chiesa-sa…
Israele ha attaccato l’unica chiesa cattolica nella Striscia di Gaza
Quella della Sacra Famiglia: tre persone sono state uccise e nove ferite, fra cui il parrocoIl Post
Poliversity - Università ricerca e giornalismo reshared this.
reshared this
#Netanyahu e la #Siria in pezzi
Netanyahu e la Siria in pezzi
Lo scioccante bombardamento del palazzo presidenziale e di altri edifici governativi siriani da parte di Israele nella giornata di mercoledì ha dimostrato ancora una volta come non sia possibile intrattenere rapporti paritari con lo stato ebraico, il…www.altrenotizie.org
Non solo Mar Nero. Adesso Kyiv punta ai droni fluviali
@Notizie dall'Italia e dal mondo
Il successo nell’utilizzo degli Unmanned Surface Vessels (Usv), comunemente noti come droni marini, da parte dell’Ucraina è innegabile. Grazie a questi sistemi Kyiv è infatti riuscita a contendere il dominio sul teatro del Mar Nero alla preponderante Flotta russa, costringendola a spostare sempre più a Est le proprie basi per timore di
Notizie dall'Italia e dal mondo reshared this.
Petro: “la Colombia via dalla Nato”
@Notizie dall'Italia e dal mondo
Nel corso della Conferenza su Gaza ospitata dalla Colombia il presidente Petro ha annunciato la volontà di cessare la partnership con l'Alleanza Atlantica
L'articolo Petro: “la Colombia via dalla Nato” proviene da Pagine Esteri.
Notizie dall'Italia e dal mondo reshared this.
Bruxelles si mette l’elmetto. Nel budget Ue 131 miliardi per la difesa
@Notizie dall'Italia e dal mondo
Bruxelles (almeno a parole) non scherza sulla Difesa. Con la nuova proposta per il budget pluriennale dell’Unione (2028–2034), la Commissione europea punta a dare un messaggio forte ad Alleati e rivali. Tra le voci principali di spesa (che ammontano complessivamente a due trilioni di euro), spiccano i 131
Notizie dall'Italia e dal mondo reshared this.
Habemus Papam... ma resta la vergogna del Fantapapa.
@Privacy Pride
Il post completo di Christian Bernieri è sul suo blog: garantepiracy.it/blog/fantapap…
Non penso che esista qualcosa di leggero o pesante, grande o piccolo, luminoso o oscuro in sé. Occorre un elemento di paragone per definirsi e definire ciò che osserviamo. A volte, il termine di paragone è la legge e questo ci permettere di distinguere i…
Privacy Pride reshared this.
Serbia in rivolta: la repressione non ferma gli studenti
@Notizie dall'Italia e dal mondo
Nonostante arresti, minacce e contro-proteste organizzate dal governo, il movimento studentesco continua a riempire le strade di Belgrado
L'articolo Serbia in rivolta: la repressione non ferma gli pagineesteri.it/2025/07/17/bal…
reshared this
imolaoggi.it/2025/07/15/cipoll…
Cipollone (Bce): "L'euro digitale serve a preservare i benefici del contante" • Imola Oggi
Secondo Cipollone l'euro digitale preserverebbe il ruolo della moneta come bene pubblico accessibile a chiunque e accettato universalmenteImolaOggi (Imola Oggi)
Israele attacca la chiesa cattolica di Gaza: due donne uccise e sei feriti
@Notizie dall'Italia e dal mondo
Colpito il complesso cattolico della Sacra Famiglia, rifugio per centinaia di sfollati. Tra i feriti, padre Romanelli, il sacerdote che parlava quotidianamente con Papa Francesco
L'articolo Israele attacca la chiesa cattolica di Gaza: due donne uccise e sei
Notizie dall'Italia e dal mondo reshared this.
imolaoggi.it/2025/07/16/armi-a…
Armi a Kiev pagate dalla UE, Tajani: "Gli Usa hanno già fatto molto" • Imola Oggi
Lo ha detto il ministro degli Esteri, Antonio Tajani, parlando ai giornalisti alla residenza dell'ambasciatore d'Italia a Washington. Il capo della diplomaziaImola Oggi
Aiuti a Kyiv, ecco perché l’Italia non acquisterà le armi americane. Parla Nones (Iai)
@Notizie dall'Italia e dal mondo
Negli ultimi mesi Donald Trump ha più volte dichiarato che avrebbe potuto sospendere la fornitura di armamenti all’Ucraina. Ora, invece, ha dato il via libera all’invio di nuove batterie di missili Patriot, il cui costo sarà però coperto dagli Alleati europei. L’Italia, a tal riguardo, ha già
Notizie dall'Italia e dal mondo reshared this.
imolaoggi.it/2025/07/15/dazi-u…
Dazi Usa, Francia contro Trump: 'non siamo vassalli' • Imola Oggi
Lo ha detto Jean-Noel Barrot, Ministro per gli Affari europei e gli Affari esteri della Francia, a Bruxelles.ImolaOggi (Imola Oggi)
Finalmente si vedono Paesi con "le palle", come Dio comanda, altro che i fanfaroni ue, Usa e di Palazzo Chigi.
lindipendente.online/2025/07/1…
In Colombia il Sud Globale annuncia misure concrete contro il genocidio a Gaza - L'INDIPENDENTE
Dodici Paesi del cosiddetto “Sud Globale” hanno deciso di adottare immediatamente misure concrete per fermare il genocidio a Gaza.Dario Lucisano (Lindipendente.online)
Reintrodurre l’immunità parlamentare per ridare dignità e forza alla politica
@Politica interna, europea e internazionale
L'articolo Reintrodurre l’immunità parlamentare per ridare dignità e forza alla politica proviene da Fondazione Luigi Einaudi.
Politica interna, europea e internazionale reshared this.
Son contento delle belle energie che si stanno aggregando attorno a questo nuovo progetto, ossia la prima edizione del Velletri Buskers Festival, del quale posto ora una locandina, che ho realizzato personalmente con tanto amore, e anche con l'aiuto dell'interferenza artigianale, la quale mi ha permesso, con una di quelle che chiamo "foto dal futuro", di rendere bene l'idea della magia che vogliamo creare sulle pittoresche vie del centro storico e tutto intorno alla Torre Del Trivio, uno dei simboli più caratteristici di questa antica città. L'altro giorno ho fatto anche un sopralluogo tecnico tra i vicoli di Velletri, ebbene, non ho trovato neanche un centimetro quadro di terreno che non fosse in sanpietrino e in leggera pendenza, che come tutti sanno è proprio il tipo di terreno preferito dai circensi (🤣), perché gli pone sfide sempre diverse e non li fa annoiare mai. Del resto che vuoi fare, la cittadina è arroccata su un promontorio collinare a più di quattrocento metri sul livello mare. E infatti si sta una favola, tira proprio una bella arietta, il tipico posto dove vorresti stare alle 19.00 a fare l'aperitivo mentre a Roma si fa la schiuma fortissimo. Quindi insomma, save the date: 19 Luglio, prima edizione del Velletri Buskers Festival, e chi non viene fa la schiuma, fortissimo 🙌😅
#Valletri #Buskers #festival #eventi #roma #lazio
like this
reshared this
Re: Son contento delle belle energie che si stanno aggregando attorno a questo nuovo progetto, ossia la prima edizione del Velletri Buskers Festival, del quale posto ora una locandina, che ho realizzato personalmente con tanto amore, e anche con l'aiuto d
Adriano Bono likes this.
youtube.com/shorts/dBnQQZ9NQA8
Lazio reshared this.
freezonemagazine.com/news/mich…
In libreria dal 1 Agosto 2025 Con Diavolìade di Michail Bulgakov, Mattioli 1885 arricchisce la collana Light, dedicata ai classici in forma agile e curata. A firmare l’introduzione di questo nuovo titolo è Paolo Nori, che studia la letteratura russa da tutta la vita e guida il lettore nel racconto furioso e grottesco di Bulgakov con voce appassionata […]
L'articolo Michail Bulgakov – Diavolìade
Il bagno dopo mangiato
Ogni anno, puntuale come le zanzare e i tormentoni estivi, torna anche una delle leggende urbane più diffuse sulla nostra penisola: “Hai appena mangiato! Niente bagno per tre ore!” e altrettanto puntualmente arrivano articoli sui quotidiani a ribadir…maicolengel butac (Butac – Bufale Un Tanto Al Chilo)
Ucraina. Zelensky corteggia Trump con un “governo Maga”
@Notizie dall'Italia e dal mondo
«L‘Ucraina ha bisogno di dinamiche più positive nei rapporti con gli Stati Uniti» ha spiegato Zelensky. Trump ha convinto l'Europa a pagare le armi che Washington invierà a Kiev
L'articolo Ucraina. Zelensky corteggia Trump pagineesteri.it/2025/07/17/mon…
Notizie dall'Italia e dal mondo reshared this.
Come TikTok, AliExpress e WeChat ignorano i vostri diritti GDPR Tutte e tre le società non hanno risposto adeguatamente alle richieste di accesso dei denuncianti mickey17 July 2025
Max - Poliverso 🇪🇺🇮🇹
Unknown parent • •@RFanciola
Io da anni ho problemi nella visione da vicino e li ho risolti ottimamente con gli occhiali da 12-15 euro che vendono in farmacia, adesso però comincio ad aver bisogno anche nella visione da lontano.
Comunque, se mi accorgerò che le lenti progressive non vanno bene al PC (non sei la prima che me lo dice) vorrà dire che per il PC tornerò a usare gli occhiali della farmacia e userò le progressive per tutto il resto.
Max - Poliverso 🇪🇺🇮🇹
Unknown parent • •@RFanciola
Purtroppo io non ho modo di valutare la qualità delle lenti, ho a disposizione solo il loro prezzo e la parola dell'ottico secondo cui quelle più costose sono migliori.