Over on Instructables, [Logan Fouts] shows us the Contrib Cal GitHub desk gadget. This build will allow you to sport your recent GitHub commit activity on your wall or desk with an attractive diffuse light display backed by a 7×4 matrix of multicolor LEDs. Motivate yourself and impress your peers!
This humble project is at the same time multifaceted. You will build a case with 3D printing, make a diffuse screen by gluing and cutting, design a LED matrix PCB using KiCad, solder everything together, and then program it all with Python. The brains of the operation are a Raspberry Pi Zero W.
The Instructables article will run you through the required supplies, help you to print the case, explain how to solder the LEDs, tell how to install the heat-set inserts for high quality screw attachments, explain wiring and power, tell you about how to use the various screws, then tell you about where to get more info and the required software on GitHub: Contrib Cal v2.
Fresh hacks here! Get your fresh hot hacks right here! Elliot and Dan teamed up this week to go through every story published on our pages to find the best of the best, the cream of the crop, and serve them up hot and fresh for you. The news this week was all from space, with the ISS getting its latest push from Dragon, plus <<checks notes>> oh yeah, life on Mars. Well, maybe, but it’s looking more and more like we are not alone, or at least not a few million years ago.
But even if we are, plenty is still going on down here to keep you interested. Like homebrewing? Good, because we looked at DIY inductors, wire nuts, and even a dope — but nope — ultralight helicopter. Into retro? We’ve got you covered with a loving look at IRC, a 60s bedside computer guaranteed to end your marriage, and a look at the best 8-bit language you never heard of.
We looked at a rescued fume hood, sensors galore on your phone, a rug that should have — and did, kind of — use a 555, and raytracing for the rest of your natural life. As for “Can’t Miss Articles,” Elliot could barely contain himself with the bounty of projects written up by our Hackaday writers, not to mention Arya’s deep dive into putting GPS modules to work in your builds.
Two billion downloads per week. That’s the download totals for the NPM packages compromised in a supply-chain attack this week. Ninety-nine percent of the cloud depends on one of the packages, and one-in-ten cloud environments actually included malicious code as a result of the hack. Take a moment to ponder that. In a rough estimate, ten percent of the Internet was pwned by a single attack.
What extremely sophisticated technique was used to pull off such an attack? A convincing-looking phishing email sent from the newly registered npmjs.help domain. [qix] is the single developer of many of these packages, and in the midst of a stressful week, fell for the scam. We could refer to the obligatory XKCD 2347 here. It’s a significant problem with the NPM model that a single developer falling for a phishing email can expose the entire Internet to such risk.
And once that account was compromised, it didn’t take long for the mystery attacker to push malicious code. Within an hour, cryptocurrency stealing code was added to two dozen packages. Within a couple hours, the compromise was discovered and the cleanup effort began.
BREAKING
LARGEST SUPPLY CHAIN ATTACK IN HISTORY PULLS OFF MASSIVE CRYPTO HEIST
ATTACKS STEAL $20.05 OF ETH. ENTIRE WORLD CRUMBLING
While the attack was staggering in its breadth, in the end only a few hundred dollars worth of cryptocurrency was actually stolen as a result. Why was such a successful attack, when measured by deployment, so minimal in actual theft? Two reasons: First, the malware was only live for two hours before takedowns began. And a related second reason, the malicious code was specifically aimed at developer and end-user machines, while the majority of the installs were on servers and cloud deployments, where cryptocurrency transactions weren’t happening.
It brings to mind the question, what could have happened? Instead of looking for cryptocurrency to steal, if the malicious code was tailored to servers and stealth, how long would it have taken to detect? And is there malicious code on NPM and in other places that we just haven’t discovered yet?
SAP ERP CVEs
Let’s break down this Alphabet soup. SAP is an acronym for “Systems, Applications and Products in Data Processing”, a German company providing business software. ERP is their Enterprise Resource Planning software, and of course a CVE is a Common Vulnerabilities and Exposure. So to translate the acronyms, SAP’s accounting software has vulnerabilities. And in this case, CVE-2025-42944 is a ten out of ten on the CVSS severity scale.
In fact, there are four vulnerabilities altogether, all CVSS of nine or higher, and all in the underlying NetWeaver platform. SAP owned up to the problems, commenting that they operated as a backdoor, allowing unauthorized access. Patches are available for all of these issues, but some of them have been found in use in the wild.
The issue here is Microsoft’s support for RC4 encryption in Active Directory. RC4, also known as ARC4, is a pseudorandom number generator developed at RSA in 1987. This continuing support leads to an attack known as kerberoasting.
Kerberos is one of the protocols that powers Active Directory. It works through a sort of ticket signing system. The server doing the signing takes a hash of a password and uses that hash as an encryption key to encrypt the Kerberos ticket. There are two possible problems. First, that password may be a human generated password, and therefore a weak password. And second, the legacy combination of RC4 and original NT hashing makes for extremely fast offline password guessing.
So here’s the kerberoasting attack: Take any account in the Active Directory, and request a Kerberos ticket, specifying the legacy RC4 encryption. Take this offline ticket to a modern CPU/GPU, and use Hashcat to crack that password, at a guess rate measured in the billions per second. Once that password is discovered, arbitrary Kerberos tickets can be signed, providing access to basically any account on the AD system.
This was part of the 2024 ransomware attack on Ascension health, and why the US senate is taking notice. What’s strange is how resistant Microsoft has been to fixing this issue. Microsoft states that RC4 only makes up .1% of traffic, which is nonsense, since the attack doesn’t rely on traffic. Finally in 2026, new installs of Windows server 2025 will disable RC4 by default.
Reverse Engineering and TLS Hacking
We get a great primer from [f0rw4rd] on how to defeat TLS certificates, in a very specific scenario. That scenario is reverse engineering an embedded or industrial Linux system. One of the tools you might want to use is to intercept traffic from the embedded system to some web server, but if that system uses HTTPS, it will fail to verify that certificate. What is a researcher to do?
One possible solution is to abuse LD_PRELOAD to poison the application. This approach uses dynamic library loading to insert a “malicious” library before program execution. tls-preloader is a tool to do exactly this, and supports multiple SSL/TLS libraries, allowing sniffing all that useful TLS data.
The Rest of the Story
Just recently we mentioned several 0-day vulnerabilities that were being used for in-the-wild attacks. This week we have updates on a couple of those. First is the iOS and macOS vulnerability in DNG image file processing. The basic issue is that this file type has a TIFF header that includes a SamplesPerPixel metadata, and a SOF3 section with a component count. A properly formatted file will have consistency between these two elements, and the Apple file processing didn’t handle such an inconsistency correctly, leading to memory corruption and potentially Remote Code Execution (RCE).
The other recent 0-day is a FreePBX flaw that was discovered through the presence of a clean.sh script on multiple FreePBX installs. The flaw was an automatic class loader that allowed an unauthenticated user to include module files when calling the ajax.php endpoint. One way to turn this into an exploit is SQL injection in one of the modules. This is what has been patched, meaning there are likely more exploits to find using this php injection quirk.
Bits and Bytes
The Apple CarPlay SDK had a buffer overflow that was reachable by a device connecting to the vulnerable head unit. Researchers from oligo discovered this flaw, and presented it at Def Con this year. The end result is root-level RCE, and while Apple has already published an SDK update, most cars are still vulnerable to this one.
And finally, enjoy [LaurieWired] taking a look at this year’s International Obfuscated C Code Contest (IOCCC) winners. This contest is all about pushing the limits in how terrifying C code can be, while still compiling and doing something interesting. And these entries don’t disappoint.
Non brilliamo molto nella sicurezza informatica, ma sugli Spyware siamo tra i primi della classe!
Secondo una ricerca dell’Atlantic Council, il settore dello spyware è in piena espansione, poiché gli investitori rivolgono sempre più la loro attenzione a questo settore eticamente discutibile ma altamente redditizio. La maggior parte del denaro è destinata ad aziende negli Stati Uniti e in Israele, ma al terzo posto troviamo l’Italia.
E gli investimenti americani nello spyware sono triplicati nell’ultimo anno.
L’Italia al terzo posto nella guerra degli spyware
Lo studio dell’Atlantic Council ha preso in esame 561 organizzazioni provenienti da 46 paesi dal 1992 al 2024. Nel farlo, gli esperti sono riusciti a identificare 34 nuovi investitori, portando il loro numero totale a 128 (rispetto ai 94 del 2024). Si nota che il maggiore interesse per lo spyware è dimostrato dagli investitori americani: nel 2024 sono state identificate 20 nuove società investitrici negli Stati Uniti, per un totale di 31. Questa crescita ha superato di gran lunga quella di altri Paesi, tra cui Israele, Italia e Regno Unito.
Pertanto, il numero di investitori identificati nell’UE e in Svizzera è stato di 31, con l’Italia, considerata un hub chiave per lo spyware, che ha rappresentato la quota maggiore con 12 investitori. Il numero di investitori in Israele è stato di 26.
Tra gli investitori americani, gli analisti dell’Atlantic Council annoverano i grandi hedge fund DE Shaw & Co. e Millennium Management, la nota società commerciale Jane Street e la grande società finanziaria Ameriprise Financial.
Secondo il rapporto, tutti loro hanno inviato fondi al fornitore israeliano di spyware legale Cognyte. Si sottolinea che questa azienda è stata precedentemente collegata a violazioni dei diritti umani in Azerbaigian, Indonesia e altri paesi.
L’acquisto di Paragon Solution
Un altro esempio degno di nota degli investimenti americani nello spyware è la recente acquisizione del noto fornitore israeliano di spyware Paragon Solutions da parte di AE Industrial Partners, una società di private equity con sede in Florida specializzata in sicurezza nazionale.
Gli autori del rapporto sottolineano che, sebbene i politici americani abbiano sistematicamente combattuto la diffusione e l’abuso di spyware, talvolta con misure politiche severe, esiste una significativa discrepanza tra loro e gli investitori statunitensi, perché “i dollari statunitensi continuano a finanziare proprio le entità che i politici statunitensi stanno cercando di combattere”.
Un esempio citato è il fornitore di spyware Saito Tech (ex Candiru), presente nell’elenco delle sanzioni del Dipartimento del Commercio degli Stati Uniti dal 2021 e che ha ricevuto nuovi investimenti dalla società statunitense Integrity Partners nel 2024. Oltre a concentrarsi sugli investimenti, l’Atlantic Council scrive che il mercato globale degli spyware è “in crescita ed evoluzione”, e ora include quattro nuovi fornitori, sette nuovi rivenditori o broker, 10 nuovi fornitori di servizi e 55 nuovi individui associati al settore.
Ad esempio, tra i fornitori recentemente identificati figurano l’israeliana Bindecy e l’italiana SIO. Tra i rivenditori figurano società di facciata associate ai prodotti del Gruppo NSO (come la panamense KBH e la messicana Comercializadora de Soluciones Integrales Mecale). Tra i nuovi fornitori di servizi figurano la britannica Coretech Security e la statunitense ZeroZenX.
Broker e rivenditori, sono il cuore pulsante degli spyware
Il rapporto evidenzia il ruolo centrale svolto da tali rivenditori e broker, che rappresentano un “gruppo di attori poco studiato”.
“Queste organizzazioni agiscono da intermediari, oscurando i collegamenti tra venditori, fornitori e acquirenti. Spesso, gli intermediari mettono in contatto i fornitori con nuovi mercati regionali. Questo crea una catena di fornitura complessa e opaca per lo spyware, rendendo estremamente difficile comprendere le strutture aziendali, le manipolazioni giurisdizionali e le responsabilità“, hanno dichiarato gli autori dello studio a Wired .
Ma attenzione: realizzare spyware è solo fare un puzzle
Quasi sempre non si tratta di aziende che sviluppano internamente malware costruiti sfruttando vulnerabilità scoperte da loro stesse (0day): le società che commercializzano spyware spesso non cercano e non scoprono direttamente i bug. Al contrario, la filiera vede la presenza di broker di exploit 0day che fungono da intermediari: questi broker acquistano vulnerabilità da ricercatori o scopritori e le rivendono—talvolta tramite aste private—a operatori che poi le integrano in strumenti di sorveglianza.
Quindi non bisogna pensare che realizzare uno spyware richieda necessariamente capacità tecniche di scoperta di vulnerabilità; nella pratica commerciale descritta basta produrre il software che sfrutta gli exploit 0day ottenuti di ricercatori di sicurezza, che li hanno venduti a loro volta ai broker. Questo spiega perché il mercato dello spyware può funzionare anche separando nettamente il lavoro di ricerca delle vulnerabilità dalla loro applicazione operativa.
Dopo che la vulnerabilità in FreePBX è stata scoperta, è stata immediatamente sfruttata attivamente nell’ecosistema della telefonia IP. La comunità ha notato compromissioni di massa il 21 agosto 2025, e da allora sintomi identici e tracce di manomissioni hanno iniziato a comparire sui forum. I ricercatori di watchTowr Labs hanno confermato che si tratta di un attacco remoto senza autenticazione correlato al modulo Endpoint commerciale e a un errore nell’elaborazione del class autoloader.
Al problema è stato assegnato l’identificatore CVE-2025-57819. FreePBX è un’interfaccia web per Asterisk utilizzata da tutti, dagli appassionati di home office ai fornitori di servizi e ai sistemi aziendali, quindi l’impatto si estende oltre i pannelli interni, consentendo l’accesso a chiamate, segreteria telefonica e registrazioni delle chiamate.
Il primo campanello d’allarme, il 25 agosto, è stato il crash di massa dell’interfaccia con un errore PHP relativo a una classe Symfony mancante. Il giorno successivo, uno degli amministratori ha mostrato un file .clean.sh improvvisamente apparso sul server. Lo script ha analizzato i log in “/var/log/*”, ha cancellato selettivamente le righe in cui potevano esserci riferimenti a web shell e nomi di servizi, per poi cancellarsi. Tale pulizia dei log è un tipico segnale di post-exploitation, quando gli aggressori cancellano le tracce e complicano l’analisi dell’incidente.
WatchTowr ha implementato un sensore FreePBX completamente monitorato e ne ha confrontato il comportamento prima e dopo le correzioni. È emerso che l’accesso diretto al codice vulnerabile si trova all’interno del modulo Endpoint e che il bundle di routing /admin/ajax.php e il meccanismo di caricamento automatico delle classi svolgono un ruolo cruciale. Il codice sorgente di FreePBX prevede un controllo class_exists per il valore del parametro del modulo e, con il valore di caricamento automatico PHP predefinito, questa chiamata passa una stringa all’utente fpbx_framework_autoloader.
Se si invia un modulo del tipo “FreePBXmodulesendpointajax“, l’autoloader raccoglie il percorso “/admin/modules/endpoint/ajax.php” e include semplicemente il file corrispondente, prima che la sessione venga verificata. In questo modo, il codice del modulo viene avviato senza login, ma a quel punto entra in gioco l’errore di validazione in Endpoint: l’iniezione SQL nei parametri del gestore ajax consente di manipolare il database di FreePBX.
In pratica, gli aggressori hanno prima creato un amministratore nascosto “ampuser” – ciò è confermato dalle richieste honeypot catturate, in cui un’operazione INSERT è stata iniettata nella tabella ampusers nel parametro brand. Quindi, per passare dall’accesso al database all’esecuzione di comandi, hanno aggiunto un record alla tabella cron_jobs con la pianificazione standard “* * * * *”, specificando il payload nel campo command – in questo modo, il codice è stato eseguito una volta al minuto per conto delle utilità di sistema di FreePBX. Questa catena watchTowr è stata riprodotta in laboratorio e, per verificare le tracce, è stato pubblicato un generatore di artefatti di rilevamento, che alternativamente tenta di registrare la web shell tramite cron o di aggiungere un nuovo utente.
Gli sviluppatori di FreePBX hanno risposto prontamente e hanno raccomandato di chiudere temporaneamente l’interfaccia di amministrazione tramite elenchi IP o un firewall e di installare aggiornamenti non pianificati per il modulo Endpoint. Per FreePBX 16/17, è stato suggerito il comando “fwconsole ma downloadinstall endpoint –edge”, per PBXAct 16 – “–tag 16.0.88.19”, per PBXAct 17 – “–tag 17.0.2.31”.
Nella descrizione dell’incidente, il team di FreePBX ha specificamente osservato che, a partire dal 21 agosto 2025, una persona sconosciuta ha iniziato ad accedere ai sistemi versione 16 e 17 accessibili da Internet senza un adeguato filtraggio e, dopo il login iniziale e una serie di passaggi sono stati concessi i diritti di root. Allo stesso tempo, watchTowr sottolinea che la correzione modulare risolve l’SQL injection, ma la causa principale, ovvero il caricamento automatico nel kernel, richiede ancora una riconsiderazione, poiché la connessione pre-autenticazione dei singoli file “.php” all’interno di “admin/modules” rimane una via accessibile.
In risposta alle crescenti violazioni dello spazio aereo, la Nato ha annunciato il lancio dell’iniziativa Eastern sentry, destinata a rafforzare la presenza militare lungo il fianco orientale dell’alleanza. A darne notizia sono stati il Segretario Generale Mark Rutte e il
La mia città (Reggio Emilia) è particolarmente brava nella gestione di viabilità e piste ciclabili.
Fino a qualche anno fa ne avevamo alcune ma poi, dal giorno alla notte, sono state tracciate con la vernice moltissime linee ai lati dalle carreggiate. Quando i reggiani si sono svegliati non potevano saperlo, ma erano diventati i cittadini della città "con più piste ciclabili d'Italia". Qualsiasi cosa volesse intendere il Comune, noi la leggiamo così: che quantità non significa qualità.
Le piste create in questo modo sono molto pericolose, quasi quanto le altre, quelle che sempre dal giorno alla notte si è deciso di mettere in piedi facendo diventare spazi condivisi i marciapiedi che prima erano soltanto...beh, marciapiedi. Queste sono diventate pericolose non tanto perché da quel momento bici e pedoni convivono, ma per le innumerevoli intersezioni con le vie laterali, ad esempio sulla via Emilia che tanto per chiudere il quadro ha pure tanti alberi tra la pista e la strada, così chi esce dalle vie laterali non ti vede. Ma si sa, la perfezione non è di questo mondo.
Questa lunga e doverosa premessa andava fatta per farvi capire la situazione di partenza.
Ad Aprile vicino a casa mia (che è lungo la via Emilia) iniziano a rifare una pista ciclabile, una di quelle create con la vernice tanto tempo fa, e io mi dico "dai, finalmente non ci troverò più le macchine parcheggiate sopra!
Pura illusione.
Per qualche settimana sono comparsi i cartelli del nuovo cantiere e basta.
Finché non si è visto l'inizio dei lavori, io e altri ciclisti usavamo abusivamente la pista, anche perché non sapevamo dove altro passare (in questo tratto non c'è il marciapiedi con lo spazio condiviso).
A Giugno hanno cominciato a costruire dei muretti che delimitassero la carreggiata delle automobili tenendola separata da quella delle bici. "Benissmo!" Mi son detto.
Ma a luglio le persone sfruttavano le interruzioni nei muretti (ad esempio negli incroci) per intrufolarsi e parcheggiare la macchina sulla pista, come se niente fosse. Ora chi andava in bici stava peggio di prima, perché non poteva scavalcare il muretto per mettersi nella carreggiata e aggirare l'ostacolo.
La settimana scorsa hanno messo i paletti, per evitare questi parcheggi abusivi, e ci siamo detti "Evviva! Non capiterà più!"
Niente paura, l'Amministrazione è tosta ma nei cittadini trova pane per i suoi denti: alcuni paletti sono stati rimossi, altri investiti (spero non apposta) con un'automobile, e ora si può entrare di nuovo nella pista.
Nel frattempo le moto non si fanno problemi e parcheggiano dove gli pare.
Lunedì scorso hanno iniziato i lavori per asfaltare e mi son detto "Finalmente, non ci saranno più buche!".
Ad ora, il km di pista pagato con fondi PNRR non è ancora terminato: mancano i paletti rimossi e l'asfalto non è ancora finito. Inoltre, alcuni muretti sono stati già rovinati da auto/camion che ci hanno sbattuto sopra.
Quando dico che in questo paese non ce la possiamo fare, c'è un motivo.
5 mesi per un km di pista ciclabile, e non se ne vede la fine. Nel frattempo, i ciclisti rischiano la vita non potendola usare, spesso, per lavori o per inciviltà.
chi parcheggia auto o moto all'interno di una pista ciclabile o, peggio ancora, su un marciapiede che consenta il transito a persone in carrozzina *potrebbe* trovarsi la fiancata graffiata per tutta la sua lunghezza (chiavi di casa, chiodi, persino anelli... È difficile passare accanto a un'auto o una moto che occupa il passaggio senza toccarla... Unə si mette d'impegno, ma sono *così ingombranti*...).
esattamente. Giacché certi soggetti sono totalmente privi di empatia, pensano solo a sé e al proprio mezzo meccanico, l'unico modo per far loro capire quanto possano essere nocivi certi comportamenti è colpendo il loro amato bene. Tra l'altro, si dà un bell'impulso all'economia locale: pensa quanti andranno dal carrozziere!
Il governo, le amministrazioni ci mettono del loro per fare schifezze, ma nessuno obbliga a essere stronzi. E tra noialtri italiani il numero di stronzi sembra in crescita costante. Ma il bello è che riusciamo a contagiare anche un po' di stranieri... dev'essere un virus.
Frascati diventa per un giorno il cuore pulsante dell’Europa strategica. Nella sede dell’Esa-Esrin, gli Stati Generali su difesa, spazio e cybersicurezza hanno riunito ministri, vertici militari, istituzioni comunitarie e industria. Un confronto che va oltre il tecnicismo. L’Unione si scopre vulnerabile,
@Notizie dall'Italia e dal mondo L'ex presidente di destra è stato condannato a 27 anni e tre mesi di carcere per aver pianificato un colpo di stato al fine di rimanere al potere dopo aver perso le elezioni del 2022 L'articolo AUDIO. BRASILE. Condanna Bolsonaro. “La maggior parte
@Politica interna, europea e internazionale A che punto è il percorso verso la costituzione di una effettiva sovranità digitale europea? Che tipo di strategia adottare rispetto all’oligopolio statunitense delle Big Tech? Come gestire le smisurate potenzialità dell’Intelligenza Artificiale e i rischi che queste implicano per gli esseri
@Giornalismo e disordine informativo articolo21.org/2025/09/bolsona… L’ex presidente brasiliano di estrema destra Jair Bolsonaro ha progettato un golpe per sovvertire lo stato democratico di diritto, guidando una organizzazione criminale armata. Il piano prevedeva gli omicidi del presidente Lula (liberamente
@Giornalismo e disordine informativo articolo21.org/2025/09/basilic… In Basilicata, terra che custodisce ancora la memoria del confino di Carlo Levi ad Aliano, le spoglie dello scrittore torinese rappresentano un simbolo potente contro l’oppressione e per la dignità umana. Eppure, la
@Giornalismo e disordine informativo articolo21.org/2025/09/se-la-r… “TeleMeloni sarà ricordata per tante cose: per la censura, per la propaganda sfacciata al governo di destra, per il declino editoriale e per gli abbandoni di professionisti con la “p” maiuscola. Professionisti che non ce l’hanno più fatta a restare in RAI, a lavorare
@Politica interna, europea e internazionale Il Veneto alle prese col turismo “cafone” estivo: a Padova, nello storico Prato della Valle, alcuni soggetti si sono sdraiati a prendere il sole in biancheria intima a ridosso delle statue; a Cortina, cuore delle Dolomiti, alcuni
Al centro Esa-Esrin di Frascati si sono svolti gli Stati generali della Difesa, dello Spazio e della Sicurezza, organizzati dal Parlamento europeo e dalla Commissione europea in collaborazione con l’Agenzia spaziale europea. L’evento ha riunito rappresentanti istituzionali, vertici militari
@Giornalismo e disordine informativo articolo21.org/2025/09/ranucci… “Il servizio pubblico è da molti anni e deve continuare ad essere la casa di Sigfrido Ranucci. E’ impensabile che l’informazione Rai debba fare a meno di un’offerta apprezzata da milioni di cittadini, che tiene alta – pur in
@Politica interna, europea e internazionale Da oltre settant’anni siamo abituati a pensare al sistema internazionale come a un fragile equilibrio retto dal liberalismo occidentale. Un equilibrio imperfetto basato su alcune regole minime condivise: il rispetto della sovranità, la centralità delle istituzioni multilaterali, la fiducia nel libero commercio come antidoto alla
Per capire cosa faceva Charlie Kirk bisogna conoscere una cosa molto americana: ilpost.it/2025/09/12/charlie-k… Ora, devo dire che l'orientamento della società nazionale debate in Italia è generalmente diverso, tende a favorire il rispetto reciproco e il debate come esercizio di ascolto, oltre che di argomentazione. Però il rischio dell'eccesso agonistico c'è, per questo ultimamente preferisco alternare debate classico a debate collaborativo
Così la Camera del popolo dopo una seduta straordinaria incentrata sulla situazione nella Striscia - Gli Stati si pronunciano a favore di un gruppo di esperti per la riforma dell’AVS
Il commissario europeo per la Difesa e lo Spazio, Andrius Kubilius, intervenuto a Frascati durante gli Stati generali di difesa, spazio e cybersicurezza presso la sede dell’Agenzia spaziale europea, ha messo in chiaro la posta in gioco segnando un cambio di paradigma nella visione dell’Unione europea:
“Top Gun” sembra essere destinata a diventare un pezzo del passato, con i caccia che dovranno cedere il posto alle nuove tencologie. Il Dipartimento della Difesa statunitense ha infatti inaugurato la sua prima scuola “Top Drone”, un’iniziativa destinata a migliorare l’addestramento degli operatori di
Regalo mutande assorbenti per bambini/ragazzi soggetti a enuresi. Sono: - 60 per la fascia 3-5 anni - 30 per la fascia 4-7 anni - 27 per la fascia 8-15 anni.
@Notizie dall'Italia e dal mondo Cresce il bilancio della rivolta in Nepal. Dietro le proteste la disillusione per le riforme mancate e l'indignazione per la corruzione e il nepotismo. Ma sul paese pesano anche nostalgie monarchiche e la competizione tra Pechino e New Delhi
è successo anche in ucraina. si inizia sempre dalle esercitazioni al confine. credo serve mostrare polso. mai avuto dubbi che putin intendesse allargarsi in europa.
@Privacy Pride Il post completo di Christian Bernieri è sul suo blog: garantepiracy.it/blog/espropri… Il Garante Privacy, con il nobile intento di salvare i minori dai mali del mondo, annuncia di volersi sostituire alle famiglie, privandole della responsabilità
Éric Chevillard – Santo cielo freezonemagazine.com/news/eric… In libreria dal 19 Settembre 2025 Éric Chevillard torna in Italia con il romanzo Santo cielo arricchito dalla prefazione inedita di Paolo Di Paolo. Proprio così: l’ora dei verdetti, il romanzo delle grandi rivelazioni è arrivato. Albert Moindre si trova nell’aldilà, dopo essere stato travolto da un camioncino carico di datteri e olive […] L'articolo Éric Chevillard – Santo cielo proviene da FR
When Will They Ever Learn? – A Story of U.S. Folk Music 1963-1969 freezonemagazine.com/articoli/… Ci sono raccolte che assolvono alla funzione di catalogo, preziose ma in fondo statiche. E poi ci sono operazioni come When Will They Ever Learn?, poderoso cofanetto di quattro CD pubblicato dalla Strawberry (ramo della Cherry Red Records), che non si limitano a mettere ordine tra canzoni celebri e brani dimenticati, ma
Venerdì 12, Sabato 13 e domenica 14 torniamo nelle piazze di Albano Laziale e Pavona con la raccolta firme per cancellare i poteri speciali grazie ai quali Gualtieri gioca la partita con un mazzo di carte truccato. Contro l'abuso di potere legalizzato puoi metterci la firma. Nelle locandine trovi dove e quando firmare. Massima diffusione 💪🏼
Does Silksong Seem Unreasonably Hard? You Probably Took a Wrong Turn
There is an aggrieved cry reverberating through the places on the internet where gamers gather. To hear them tell it, Hollow Knight: Silksong, the sequel to the stone-cold classic 2017 platformer, is too damned hard. There’s a particular jumping puzzle involving spikes and red flowers that many are struggling with and they’re filming their frustration and putting it up on the internet, showing their ass for everyone to see. playlist.megaphone.fm?p=TBIEA2… Even 404 Media’s own Joseph Cox hit these red flowers and had the temerity to declare Silksong a “bad game” that he was “disappointed” in given his love for the original Hollow Knight. youtube.com/embed/3yxR6H_Zh0M?…youtube.com/embed/GD8ZyYE1K7k?…youtube.com/embed/ZsmxOMijLtE?… Couldn't be me.
I, too, got to the area just outside Hunter’s March in Silksong where the horrible red flowers bloom. Unlike others, however, my gamer instincts kicked in. I knew what to do. “This is the Dark Souls Catacombs situation all over again,” I said to myself. Then I turned around and came back later.
And that has made all the difference.
In the original Dark Souls, once players clear the opening area they come to Firelink Shrine. From there they can go into Undead Burg, the preferred starting path, or descend into The Catacombs where horrifying undying skeletons block the entrance to a cave. One will open the game up before you, the other will kill new players dead. A lot of Dark Souls players have raged and quit the game over the years because they went into The Catacombs instead of the Undead Burg.
Like Dark Souls, Silksong has an open-ish world where portions of the map are hardlocked by items and soft locked by player skill checks. One of the entrances into the flower laden Hunter’s March is in an early game area blocked by a mini-boss fight with a burly ant. The first time I fought the ant, it killed me over and over again and I took that as a sign I should go elsewhere.
High skilled players can kill the ant, but it’s much easier after you’ve gotten some basic items and abilities. I had several other paths I could take to progress the game, so I marked the ant’s location and moved on.
As I explored more of Silksong, I acquired several powerups that trivialized the fight with the ant and made it easy to navigate the flower jumping puzzles behind him. The first is Swift Step, a dash ability, which is in Deep Docks in the south-eastern portion of the map. The second is the Wanderer’s Crest, which is near the start of the game behind a locked door you get the key for in Silksong’s first town.
The dash allowed me to adjust my horizontal position in the air, but it’s the Wanderer’s Crest that made the flowers easy to navigate. The red flowers are littered throughout Hunter’s March and players have to hit them with a down attack to get a boosted jump and cross pits of spikes. By default, Hornet—the player character—down attacks at a 45 degree angle. The Wanderer’s Crest allows you to attack directly below you and makes the puzzles much easier to navigate.
Cox, bless his heart, hit the burly red ant miniboss and brute forced his way past. Then, like so many other desperate gamers, he proceeded to attempt to navigate the red flower jumping puzzles without the right power ups. He had no Swift Step. He had no Wanderer’s Crest. And thus, he raged.
He’s not alone. Watching the videos of jumping puzzles online I noticed that a lot of the players didn’t seem to have the dash or the downward attack.
Games communicate to players in different ways and gamers often complain about annoying an obvious signposting like big splashes of yellow paint. But when a truly amazing game comes along that tries to gently steer the player with burly ants and difficult puzzles, they don’t appreciate it and they don’t listen. If you’re really stuck in Silksong, try going somewhere else.
Ma se c'è Friendica che ti permette di scrivere post lunghi, perché c'è tanta gente che apre un account su Mastodon e poi per scrivere un post lungo deve commentarsi 3-4 volte da sola per farcelo entrare tutto?
Voglio dire... hai fatto 30 andandotene da Facebook, a quel punto puoi fare 31 e scegliere un'istanza più adatta a te.
può anche darsi che non sappiano dell'esistenza di Friendica. Il mio primo account federato aveva il limite di 500 caratteri (che poi per quello che scrivo sono fin troppi... Per il resto ho il blog)
Charlie Kirk Was Not Practicing Politics the Right Way
Thursday morning, Ezra Klein at the New York Timespublished a column titled “Charlie Kirk Was Practicing Politics the Right Way.” Klein’s general thesis is that Kirk was willing to talk to anyone, regardless of their beliefs, as evidenced by what he was doing while he was shot, which was debating people on college campuses. Klein is not alone in this take; the overwhelming sentiment from America’s largest media institutions in the immediate aftermath of his death has been to paint Kirk as a mainstream political commentator, someone whose politics liberals and leftists may not agree with but someone who was open to dialogue and who espoused the virtues of free speech.
“You can dislike much of what Kirk believed and the following statement is still true: Kirk was practicing politics in exactly the right way. He was showing up to campuses and talking with anyone who would talk to him,” Klein wrote. “He was one of the era’s most effective practitioners of persuasion. When the left thought its hold on the hearts and minds of college students was nearly absolute, Kirk showed up again and again to break it.”
“I envied what he built. A taste for disagreement is a virtue in a democracy. Liberalism could use more of his moxie and fearlessness,” Klein continued.
Kirk is being posthumously celebrated by much of the mainstream press as a noble sparring partner for center-left politicians and pundits. Meanwhile, the very real, very negative, and sometimes violent impacts of his rhetoric and his political projects are being glossed over or ignored entirely. In the New York Times, Kirk was an “energetic” voice who was “critical of gay and transgender rights,” but few of the national pundits have encouraged people to actually go read what Kirk tweeted or listen to what he said on his podcast to millions and millions of people. “Whatever you think of Kirk (I had many disagreements with him, and he with me), when he died he was doing exactly what we ask people to do on campus: Show up. Debate. Talk. Engage peacefully, even when emotions run high,” David French wrote in the Times. “In fact, that’s how he made his name, in debate after debate on campus after campus.”
This does not mean Kirk deserved to die or that political violence is ever justified. What happened to Kirk is horrifying, and we fear deeply for whatever will happen next. But it is undeniable that Kirk was not just a part of the extremely tense, very dangerous national dialogue, he was an accelerationist force whose work to dehumanize LGBTQ+ people and threaten the free speech of professors, teachers, and school board members around the country has directly put the livelihoods and physical safety of many people in danger. We do no one any favors by ignoring this, even in the immediate aftermath of an assassination like this.
Kirk claimed that his Turning Point USA sent “80+ buses full of patriots” to the January 6 insurrection. Turning Point USA has also run a “Professor Watchlist,” “School Board Watchlist,” and “Campus Reform” for nearly a decade.
“America’s radical education system has taken a devastating toll on our children,” Kirk said in an intro video posted on these projects’ websites. “From sexualized material in textbooks to teaching CRT and implementing the 1619 Project doctrine, the radical leftist agenda will not stop … The School Board Watch List exposes school districts that host drag queen story hour, teach courses on transgenderism, and implement unsafe gender neutral bathroom policies. The Professor Watch List uncovers the most radical left-wing professors from universities that are known to suppress conservative voices and advance the progressive agenda.”
These websites have been directly tied to harassment and threats against professors and school board members all over the country. Professor Watchlist lists hundreds of professors around the country, many of them Black or trans, and their perceived radical agendas, which include things like supporting gun control, “socialism,” “Antifa,” “abortion,” and acknowledging that trans people exist and racism exists. Trans professors are misgendered on the website, and numerous people who have been listed on it have publicly spoken about receiving death threats and being harassed after being listed on the site.
One professor on the watchlist who 404 Media is granting anonymity for his safety said once he was added to the list, he started receiving anonymous letters in his campus mailbox. “‘You're everything wrong with colleges,’ ‘watch your step, we're watching you’ kind of stuff,” he said, “One anonymous DM on Twitter had a picture of my house and driveway, which was chilling.” His president and provost also received emails attempting to discredit him with “all the allegedly communist and subversive stuff I was up to,” he said. “It was all certainly concerning, but compared to colleagues who are people of color and/or women, I feel like the volume was smaller for me. But it was certainly not a great feeling to experience that stuff. That watchlist fucked up careers and ruined lives.”
The American Association of University Professors said in an open letter in 2017 that Professor Watchlist “lists names of professors with their institutional affiliations and photographs, thereby making it easy for would-be stalkers and cyberbullies to target them. Individual faculty members who have been included on such lists or singled out elsewhere have been subject to threats of physical violence, including sexual assault, through hundreds of e-mails, calls, and social media postings. Such threatening messages are likely to stifle the free expression of the targeted faculty member; further, the publicity that such cases attract can cause others to self-censor so as to avoid being subjected to similar treatment.” Campus free speech rights group FIRE found that censorship and punishment of professors skyrocketed between 2020 and 2023, in part because of efforts from Professor Watchlist.
Many more professors who Turning Point USA added to their watchlist have spoken out in the past about how being targeted upended their lives, brought years of harassment down on them and their colleagues, and resulted in death threats against them and their loved ones.
At Arizona State University, a professor on the watchlist was assaulted by two people from Turning Point USA in 2023.
“Earlier this year, I wrote to Turning Point USA to request that it remove ASU professors from its Professor Watchlist. I did not receive a response,” university president Michael Crow wrote in a statement. “Instead, the incident we’ve all now witnessed on the video shows Turning Point’s refusal to stop dangerous practices that result in both physical and mental harm to ASU faculty members, which they then apparently exploit for fundraising, social media clicks and financial gain.” Crow said the Professor Watchlist resulted in “antisemitic, anti-LGBTQ+ and misogynistic attacks on ASU faculty with whom Turning Point USA and its followers disagree,” and called the organization’s tactics “anti-democratic, anti-free speech and completely contrary” to the spirit of scholarship.
Kirk’s death is a horrifying moment in our current American nightmare. Kirk’s actions and rhetoric do not justify what happened to him because they cannot be justified. But Kirk was not merely someone who showed up to college campuses and listened. It should not be controversial to plainly state some of the impact of his work.
Arizona State Police released footage of an incident between an ASU English professor, a reporter and cameraman from Turning Point USA that happened on Oct. 11. University president Dr. Michael Crow released a statement calling the men "cowards."
Liberi dai veleni di Roma ha ispirato questo pezzo straordinario che accompagnerà la nostra lotta contro l'inceneritore. SantaPalomba sarà il faro contro la tenebra inceneritorista. SantaPalomba sono donne e uomini liberi dai veleni di Roma. SantaPalomba non si piega!
The Software Engineers Paid to Fix Vibe Coded Messes
Freelance developers and entire companies are making a business out of fixing shoddy vibe coded software.
I first noticed this trend in the form of a meme that was circulating on LinkedIn, sharing a screenshot of several profiles who advertised themselves as “vibe coding cleanup specialists.” I couldn’t confirm if the accounts in that screenshot were genuinely making an income by fixing vibe coded software, but the meme gained traction because of the inherent irony in the existence of such a job existing.
The alleged benefit of vibe coding, which refers to the practice of building software with AI-coding tools without much attention to the underlying code, is that it allows anyone to build a piece of software very quickly and easily. As we’ve previously reported, in reality, vibe coded projects could result in security issues or a recipe app that generates recipes for “Cyanide Ice Cream.” If the resulting software is so poor you need to hire a human specialist software engineer to come in and rewrite the vibe coded software, it defeats the entire purpose.
LinkedIn memes aside, people are in fact making money fixing vibe coded messes.
“I've been offering vibe coding fixer services for about two years now, starting in late 2023. Currently, I work with around 15-20 clients regularly, with additional one-off projects throughout the year,” Hamid Siddiqi, who offers to “review, fix your vibe code” on Fiverr, told me in an email. “I started fixing vibe-coded projects because I noticed a growing number of developers and small teams struggling to refine AI-generated code that was functional but lacked the polish or ‘vibe’ needed to align with their vision. I saw an opportunity to bridge that gap, combining my coding expertise with an eye for aesthetic and user experience.”
Siddiqi said common issues he fixes in vibe coded projects include inconsistent UI/UX design in AI-generated frontends, poorly optimized code that impacts performance, misaligned branding elements, and features that function but feel clunky or unintuitive. He said he also often refines color schemes, animations, and layouts to better match the creator’s intended aesthetic.
Siddiqi is one of dozens of people on Fiverr who is now offering services specifically catering to people with shoddy vibe coded projects. Established software development companies like Ulam Labs, now say “we clean up after vibe coding. Literally.”
“Built something fast? Now it’s time to make it solid,” Ulam Labs says on its site. “We know how it goes. You had to move quickly, get that MVP [minimally viable product] out, and validate the idea. But now the tech debt is holding you back: no tests, shaky architecture, CI/CD [Continuous Integration and Continuous Delivery/Deployment] is a dream, and every change feels like defusing a bomb. That’s where we come in.”
Swatantra Sohni, who started VibeCodeFixers.com, a site for people with vibe coded projects who need help from experienced developers to fix or finish their projects, says that almost 300 experienced developers have posted their profiles to the site. He said so far VibeCodeFixers.com has only connected between 30-40 vibe code projects with fixers, but that he hasn’t done anything to promote the service and at the moment is focused on adding as many software developers to the platform as possible.
Sohni said that he’s been vibe coding himself since before Andrej Karpathy coined the term in February. He bought a bunch of vibe coding related domains, and realized a service like VibeCodeFixers.com was necessary based on how often he had to seek help from experts on his own vibe coding projects. In March, the site got a lot of attention on X and has been slowly adding people to the platform since.
Sohni also wrote a “Vibecoding Community Research Report” based on interviews with non-technical people who are vibe coding their projects that he shared with me. The report identified a lot of the same issues as Siddiqi, mainly that existing features tend to break when new ones are added.
“Most of these vibe coders, either they are product managers or they are sales guys, or they are small business owners, and they think that they can build something,” Sohni told me. “So for them it’s more for prototyping. Vibe coding is, at the moment, kind of like infancy. It's very handy to convey the prototype they want, but I don't think they are really intended to make it like a production grade app.”
Another big issue Sohni identified is “credit burn,” meaning the money vibe coders waste on AI usage fees in the final 10-20 percent stage of developing the app, when adding new features breaks existing features. In theory, it might be cheaper and more efficient for vibe coders to start over at that point, but Sohni said people get attached to their first project.
“What happens is that the first time they build the app, it's like they think that they can build the app with one prompt, and then the app breaks, and they burn the credit. I think they are very emotionally connected to the app, because this act of vibe coding involves you, your creativity.”
In theory it might be cheaper and more efficient for vibe coders to start over if the LLM starts hallucinating and creating problems, but Sohni that’s when people come to VibeCodeFixers.com. They want someone to fix the bugs in their app, not create a new one.
Sohni told me he thinks vibe coding is not going anywhere, but neither are human developers.
“I feel like the role [of human developers] would be slightly limited, but we will still need humans to keep this AI on the leash,” he said.
Viviamo in un’epoca in cui l’oro non luccica, il petrolio non si estrae e i diamanti non brillano: oggi la risorsa più preziosa è la nostra attenzione. Eh già, il bene più scarso del ventunesimo secolo non è una materia prima, ma la capacità di rimanere concentrati su qualcosa senza essere interrotti da notifiche, banner lampeggianti o l’ennesimo video di gattini su TikTok. Il concetto nasce da un’osservazione semplice: l’informazione è infinita, ma l’attenzione umana è limitata. Le piattaforme digitali, i media e le aziende competono tra loro per catturare e trattenere quei preziosi secondi in cui guardiamo uno schermo, leggiamo un titolo o ascoltiamo un contenuto. È come se la nostra mente fosse un’arena di gladiatori: da una parte Netflix, dall’altra Instagram, poi YouTube, Spotify e il notiziario online. Tutti combattono per strapparci anche solo cinque minuti del nostro tempo. Non è un mistero che i giganti del web non vendano soltanto prodotti o servizi: vendono il nostro tempo di attenzione a chi paga per raggiungerci, cioè gli inserzionisti. Più tempo passiamo incollati a una piattaforma, più pubblicità vediamo, più dati regaliamo. Il meccanismo è semplice e spietato. Non a caso i feed dei social non finiscono mai (hai mai provato a raggiungere “la fine di Facebook”? Buona fortuna). È progettato così: scorrere è più facile che fermarsi. Le piattaforme hanno studiato bene la psicologia. Ogni like, notifica o messaggio privato funziona come una piccola scarica di dopamina. Un mini premio che ci spinge a tornare ancora e poi ancora. In pratica, siamo diventati giocatori compulsivi di una slot machine digitale, solo che invece di monetine, buttiamo dentro minuti (e spesso ore) della nostra giornata. Non per forza. L’ironia è che in questo “mercato” noi siamo allo stesso tempo merce e consumatori. Da un lato veniamo corteggiati, monitorati e spinti a guardare “ancora un episodio”. Dall’altro, possiamo diventare consapevoli di questi meccanismi e imparare a usare gli strumenti digitali a nostro favore. Un esempio? Decidere di spegnere le notifiche, stabilire dei tempi senza schermo o persino pagare servizi premium per liberarci dalla pubblicità. Non è una rivoluzione, ma è un modo per dire: ok, i miei occhi e il mio tempo hanno un valore, e lo gestisco io. La domanda, in fondo, è semplice: a chi vogliamo dare la nostra attenzione? Perché ogni minuto passato su un contenuto è un minuto tolto ad altro: leggere un libro, parlare con un amico, cucinare, o – perché no – non fare assolutamente niente. Che, in un mondo così saturo di stimoli, è quasi un atto di ribellione.
LaVi
in reply to Simon Perry • • •Simon Perry likes this.
Simon Perry
in reply to LaVi • •E nel frattempo io potrei quasi finire all'ospedale, investito, visto che devo passare in strada.
LaVi
in reply to Simon Perry • • •Simon Perry likes this.
marcell_o
in reply to Simon Perry • • •E tra noialtri italiani il numero di stronzi sembra in crescita costante.
Ma il bello è che riusciamo a contagiare anche un po' di stranieri... dev'essere un virus.
Simon Perry likes this.
Simon Perry
in reply to marcell_o • •@marcell_o
la stronzaggine non dovrebbe mai essere la risposta, ma come dici tu è facile abituarsi alle usanze de posto, se ti rendo o la vita più facile.
D'altra parte non succede niente, giusto?
parappappero
in reply to Simon Perry • • •Simon Perry likes this.
Simon Perry
in reply to parappappero • •@parappappero
Si può anche fare per carità, con il risultato di perdere tempo.
galinakis01
in reply to Simon Perry • • •How are you doing?
galinakis01
in reply to galinakis01 • • •Hello
Michele UsherType
in reply to Simon Perry • • •Simon Perry likes this.