[Usagi Electric] is known for minicomputers, but in a recent video, he shows off his TMS9900-based homebrew computer. The TMS9900 CPU was an early 16-bit CPU famously used in the old TI-99/4A computer, but as the video points out, it wasn’t put to particularly good use in the TI-99/4A because its RAM was hidden behind an inefficient interface and it didn’t leverage its 16-bit address space.

The plan is for this computer to have 2K words of ROM, 6K words of RAM, and three serial lines: one for the console terminal, another for a second user console terminal, and the third for access to a tape drive.

Note that we have two user terminals: this is a multiuser system! The computer will use the TI series 10 “Insight” data terminal.

In the video, [Usagi Electric] spends a fair bit of time making the rack-mount casing for his computer and its two power supplies. The UART for 300-baud terminal access is currently in breadboard format, but it is set up to transmit and is functional so far! Up next will be support for receiving. The UART he’s using is the TR1602B, and he spends some time reviewing its datasheet in this video.

If you’re interested in the TMS9900, you might like to check out TMS9900 Retro Build and How The TI-99/4A Home Computer Worked.

youtube.com/embed/OUp0VRuMVCA?…

hackaday.com/2025/11/17/tms990…

The infrared transceiver installed on the washing machine. (Credit: Severin)
Since modern household appliances now have an MCU inside, they often have a diagnostic interface and — sometimes — more. Case in point: Miele washing machines, like the one that [Severin] recently fixed, leading to the firmware becoming unhappy and refusing to work. This fortunately turned out to be recoverable by clearing the MCU’s fault memory, but if you’re unlucky, you will have to recalibrate the machine, which requires very special and proprietary software.

Naturally, this led [Severin] down the path of investigating how exactly the Miele Diagnostic Utility (MDU) and the Program Correction (PC) interface communicate. Interestingly, the PC interface uses an infrared LED/receiver combination that’s often combined with a status LED, as indicated by a ‘PC’ symbol. This interface uses the well-known IrDA standard, but [Severin] still had to track down the serial protocol.

Research started with digging into a spare 2010-era Miele EDPW 206 controller board with the 65C02-like Mitsubishi 740 series of 8-bit MCUs. These feature a mask ROM for the firmware, so no easy firmware dumping. Fortunately, the Miele@Home ‘smart appliance’ feature uses a module that communicates via UART with the MCU, using a very similar protocol, including switching from 2400 to 9600 baud after a handshake. An enterprising German user had a go at reverse-engineering this Miele@Home serial protocol, which proved to be incredibly useful here.

What is annoying is that the PC interface requires a special unlock sequence, which was a pain to figure out. Fortunately, the SYNC pin on the MCU’s pins for (here unused) external memory was active. It provided insight in which code path was being followed, making it much easier to determine the unlock sequence. As it turned out, 11 00 00 02 13 were the magic numbers to send as the first sequence.

After this, [Severin] was able to try out new commands, including 30 which, as it turns out, can be used to dump the mask ROM. This enabled the creation of a DIY transceiver you can tape to a fully assembled washing machine, for testing. As of now, the next target is a Miele G651 I Plus-3 dishwasher, which annoyingly seems to use a different unlock key.

Of course, you can just trash the electronics and roll your own. That happens more often than you might think.

Thanks to [Daniel] for the tip.

hackaday.com/2025/11/17/revers…

Un nuovo allarme sulla sicurezza nel mondo degli investimenti online viene portato all’attenzione da Paragon sec, azienda attiva nel settore della cybersecurity, che ha pubblicato su LinkedIn un post, riferendosi a una sito che prometterebbe guadagni facili ma potrebbe nascondere rischi fraudolenti.

Tale sito pubblicizza Senvix è una piattaforma di trading di criptovalute basata su intelligenza artificiale: analizza costantemente i dati di mercato (prezzi, volumi, sentiment) con algoritmi avanzati per identificare opportunità di trading e, a seconda della versione, può generare segnali o anche eseguire operazioni automaticamente tramite broker partner.

Cosa viene denunciato

Secondo il post dei ricercatori di sicurezza, diversi segnali relativi al dominio https://presidenzagoverno[.]com/ indicano che il sito in questione non sia una piattaforma di investimento legittima, ma un potenziale schema fraudolento.

Intanto il sito è un dominio .com e non ha la consueta estensione .gov.it. Sebbene non vengano specificati tutti i dettagli relativi al nome del dominio o ai numeri coinvolti, l’avvertimento invita gli utenti alla cautela e a non fidarsi di promesse di rendimenti elevati senza adeguata verifica.

L’intervento di Paragonsec rientra in un quadro più ampio di pericoli legati al trading online non regolamentato, un fenomeno sempre più sotto i riflettori e sul Quale spesso forniamo informative su Red Hot Cyber.

Inoltre all’interno del sito presidenzagoverno[.]com sono presenti diversi video deepfake, come ad esempio quello della presidente del consiglio dei ministri Giorgia Meloni, che riporta la qualità della piattaforma Senvix.

Il contesto delle truffe di trading online

Il trading online, soprattutto su criptovalute o mercati ad alta volatilità, è diventato terreno fertile per le frodi. Questo tipo di truffe è sempre più diffuso e comporta ingenti danni economici per gli investitori.

Molti truffatori fanno leva su messaggi accattivanti: “rendimento garantito“, “guadagni rapidi“, “nessun rischio“. L’utente medio, attratto da queste promesse, può cadere in siti non regolamentati, contattati via email, social network o perfino telefonate dirette.

Come riconoscere un sito di trading sospetto

Paragonsec, attraverso il suo post, sembra voler attivare un campanello d’allarme tra potenziali vittime. Ecco alcuni segnali di pericolo, confermati anche da fonti istituzionali:

• Mancanza di autorizzazioni – Un broker o una piattaforma di trading riconosciuta deve essere autorizzato da un ente di regolamentazione finanziaria nazionale (in Italia, la CONSOB) o da un organismo equivalente europeo.
• Promesse irrealistiche – Rendimenti elevatissimi, soprattutto se “garantiti” o costanti, sono un forte indicatore di potenziale schema Ponzi.
• Struttura web poco professionale – Siti mal progettati, con email da domini generici (es. Gmail), mancanza di documentazione regolamentare o informazioni societarie chiare sono segnali di scarsa affidabilità.
• Segnalazioni dall’autorità – La CONSOB, per esempio, ha una pagina “Occhio alle truffe” dove mette in guardia proprio su soggetti che non hanno l’autorizzazione.
• Difficoltà nei prelievi – Nei casi di broker truffaldini, gli utenti possono incontrare ostacoli al ritiro dei fondi, scuse tecniche o blocchi repentini.

Schena di verifica dei soggetti autorizzati (fonte CONSOB)

Un precedente recente: il caso 2139 Exchange

Il post arriva in un momento in cui il tema delle truffe nel trading è particolarmente caldo. Un esempio significativo è il 2139 Exchange, una piattaforma che prometteva rendimenti altissimi (fino all’1% al giorno) ma su cui sono emerse forti sospetti di schema Ponzi.
La CONSOB ha preso provvedimenti: ha ordinato la chiusura e l’oscuramento di siti collegati all’exchange per abusivismo finanziario, dopo aver rilevato che la società non aveva le autorizzazioni previste.
Testimonianze di utenti riportano come, inizialmente, fosse possibile prelevare piccole somme: una tattica classica per alimentare la fiducia e attirare più “investitori”.

Cosa fare se si è di fronte a un possibile scam

Alla luce dell’allerta posta dai ricercatori di sicurezza, è fondamentale adottare comportamenti prudenti:

• Prima di investire, verificare il broker su siti ufficiali (ad esempio, cercando la sua registrazione CONSOB).
• Non farsi sedurre da guadagni straordinari senza garanzia.
• Conservare tutte le comunicazioni (email, screenshot, contratti) nel caso ci fosse la necessità di denunciare o richiedere assistenza legale.
• Diiffidare di sedicenti “aiutanti del recupero fondi”: spesso, i truffatori usano anche questa tattica secondaria. Il vademecum “Un calcio alle frodi” raccomanda di non versare denaro per presunti recuperi.
• Segnalare eventuali sospetti alle autorità competenti (polizia postale, CONSOB) e valutare l’assistenza di professionisti per capire come agire.

Conclusione

L’allarme è un richiamo importante per tutti coloro che operano (o vorrebbero operare) nel trading online: non tutto ciò che sembra un’opportunità lo è davvero.

Il mondo degli investimenti digitali è affascinante, ma anche insidioso. Solo con informazione, prudenza e verifiche puntuali è possibile tutelarsi da rischi seri, e potenzialmente rilevanti perdite economiche.

L'articolo La Presidenza Del Consiglio e Giorgia Meloni Advisor di Senvix? Attenzione alle truffe online! proviene da Red Hot Cyber.

Nel cuore delle infrastrutture web il controllo degli accessi è la regola che decide chi può eseguire azioni e chi può consultare risorse, l’autenticazione verifica l’identità, la gestione delle sessioni collega le richieste a quell’identità e il controllo degli accessi stabilisce se l’azione richiesta è consentita, quando questi meccanismi vengono progettati male o sparsi in modo incoerente la protezione crolla e le escalation di privilegi diventano ormai eventi prevedibili.

Tipologie di controllo e punti deboli

Esistono controlli verticali che separano funzioni sensibili per ruoli diversi, controlli orizzontali che limitano l’accesso ai dati di ogni singolo utente e controlli dipendenti dal contesto che regolano operazioni in base allo stato dell’applicazione o alla sequenza di interazioni, errori di implementazione comuni includono funzionalità amministrative esposte senza verifica, URL nascosti come unica difesa, informazioni sul ruolo memorizzate in campi controllabili dall’utente e logiche di autorizzazione distribuite tra più livelli dell’architettura in modo non coerente.

Esempi pratici di vulnerabilità

Un pannello admin accessibile semplicemente visitando un URL diventa un varco se non esiste valida verifica lato server, la cosiddetta sicurezza per oscuramento non regge quando lo stesso URL compare in codice lato client o viene reperito tramite strumenti di enumerazione, l’uso di parametri di richiesta per determinare i privilegi permette a un utente di elevare i propri diritti semplicemente modificando il parametro, le discrepanze nel matching degli endpoint e la tolleranza su maiuscole, slash finali o suffissi di file possono creare percorsi interpretati diversamente tra front end e layer di autorizzazione, l’uso di intestazioni non standard che sovrascrivono l’URL originale può vanificare regole basate su path e metodo HTTP e le protezioni basate su header Referer o geolocalizzazione sono facilmente aggirabili da un attaccante che controlla la richiesta.

Escalation orizzontale e trasformazione in verticale

Modificare un identificatore in una richiesta per visualizzare i dati di un altro utenteè una forma tipica di escalation orizzontale conosciuta anche come IDOR, questa tecnica diventa più pericolosa se il bersaglioè un account con privilegi elevati perché l’accesso a quell’account può rivelare credenziali o moduli di reset password che permettono la scalata verticale fino al controllo amministrativo, i processi a più fasi che applicano controlli solo nelle prime tappe e li ignorano nelle tappe successive offrono punti di ingresso diretti quando un attaccante invia la richiesta finale senza aver passato le verifiche intermedie.

Cause ricorrenti

Il problema nasce spesso dall’assenza di un modello unico e applicato sistematicamente, ogni sviluppatore che inventa un proprio metodo di autorizzazione introduce varianti che aumentano la probabilità di errore, le configurazioni del framework o della piattaforma possono contenere opzioni legacy che alterano il comportamento delle rotte, e infine la fiducia in informazioni esposte al client come campi nascosti o cookie non firmati rappresenta una fonte permanente di rischio.

Misure pratiche e operative per difendersi

Adotta regole rigide e concedi i privilegi minimi necessari, centralizza l’enforcement delle policy di autorizzazione in un singolo componente applicativo e vieta logiche replicate, non affidarti all’oscuramento come unico meccanismo di difesa ma valida ogni richiesta lato server indipendentemente da link o interfacce client, dichiara esplicitamente i permessi richiesti da ogni risorsa a livello di codice e includi controlli automatici che falliscono in caso di omissione, testa sistematicamente con audit di sicurezza e penetration test che includano scenari di manipolazione di parametri, metodi HTTP alternativi, override di header e bypass di sequenze multi step, verifica coerentemente il trattamento di path con slash finali, variazioni di maiuscole e suffissi di file e disabilita opzioni legacy dei framework che alterano il matching degli endpoint

Pratiche di sviluppo e governance

Introduci policy di codice che impongano pattern di autorizzazione, integra controlli di sicurezza nei pipeline di CI/CD per bloccare merge che rimuovono o eludono controlli critici, usa meccanismi di firma o token per proteggere dati di sessione e parametri sensibili, documenta chiaramente i flussi di responsabilità e prevedi sempre nuova formazione specifica per gli sviluppatori sulle vulnerabilità più comuni e sulle tecniche di exploit, implementa monitoraggio e alerting che rilevino accessi anomali e sequenze di richieste non previste e predisponi procedure di risposta che riducano l’impatto in caso di abuso

Conclusione operativa

Il controllo degli accessi nonè un optional da aggiustare quando qualcosa va storto ma una componente progettuale che richiede architetture coerenti, test aggressivi e governance attiva, nelle infrastrutture moderne dove confini e responsabilità si spostano rapidamente la riduzione dell’attacco si ottiene con regole chiare, enforcement centralizzato e verifiche periodiche e solo così si limita il rischio che un semplice parametro modificabile dall’utente si trasformi nella leva che apre la città digitale alla manipolazione e al furto di privilegi.

L'articolo Alla scoperta del Controllo degli accessi: cos’è e come difendersi proviene da Red Hot Cyber.

Un’indagine su forum e piattaforme online specializzate ha rivelato l’esistenza di un fiorente mercato nero di account finanziari europei. Un’entità denominata “ASGARD”, sta pubblicizzando attivamente come il “Negozio di Account N.1“, offrendo la vendita di conti bancari, aziendali e servizi di scambio di criptovalute in numerosi Paesi UE, inclusa l’Italia.

Le offerte, promosse tramite materiale grafico professionale in lingua russa, specificano chiaramente la disponibilità di conti per diverse giurisdizioni, tra cui Spagna e Italia (EU SPAIN/ITALY), con prezzi che oscillano tra i $100 e i $650. Altri pacchetti riguardano conti in Francia (fino a $700) e Polonia/UK.
Post su un noto forum underground in lingua russa.

La Vendita di “Accessi” e i Rischi

Il venditore, che opera apertamente sotto il nome di “ASGARD”, sottolinea di non essere un “agente” ufficiale, un dettaglio che solleva immediatamente gravi preoccupazioni legali e di sicurezza. La merce offerta non è il servizio di intermediazione, ma l’accesso a conti già attivi.

Gli esperti di sicurezza informatica e riciclaggio di denaro ritengono che gli account venduti in contesti simili possano provenire da diverse fonti illecite:

• Identità Rubate (Identity Theft): Conti aperti da truffatori utilizzando documenti e dati personali sottratti a vittime ignare.
• Mule Finanziarie: Conti aperti da persone reclutate e pagate per fungere da intermediari (i “money mules”) per il riciclaggio di proventi criminali.
• Account Aziendali Fittizi: Conti creati per società di comodo, spesso utilizzati per frodi fiscali o schemi di riciclaggio su vasta scala.

Infografica riportata nel forum underground per pubblicizzare il servizio

Conti Italiani Sotto la Lente

Il fatto che i conti italiani siano esplicitamente inclusi nell’offerta (accanto a Spagna, Francia e Polonia) accende un faro sulla vulnerabilità dei sistemi di verifica KYC (Know Your Customer) di alcuni istituti finanziari operanti nel nostro Paese.

Il riferimento a banche specifiche, come ad esempio Santander e Revolut, suggerisce che l’operatore stia targettizzando istituti noti per la rapidità di apertura dei conti o per la loro natura digitale, sfruttandone eventuali debolezze nella fase di onboarding.
Canale Telegram riportato per il contatto diretto con i criminali informatici.
Per i cittadini italiani, i rischi sono duplici:

1. Vittime del Furto d’Identità: I dati personali e i documenti potrebbero essere stati utilizzati per aprire il conto, rendendo il titolare originale corresponsabile involontario di qualsiasi attività illecita svolta con quell’account.
2. Rischio di Frode: Chi acquista questi conti sul mercato nero lo fa quasi esclusivamente per riciclare denaro sporco, evadere il fisco o commettere frodi internazionali.

Il messaggio promozionale di ASGARD promette “Qualità e velocità”, caratteristiche che nel contesto del cyber-crimine si traducono in un servizio rapido per occultare la provenienza illecita del denaro.

Le autorità di polizia postale e la Guardia di Finanza sono costantemente impegnate nel monitoraggio di queste piattaforme. La vendita di questi “pacchetti finanziari” non regolamentati rappresenta una seria minaccia all’integrità del sistema finanziario europeo, facilitando la criminalità organizzata transnazionale e esponendo i cittadini al rischio di gravi sanzioni legali.

L'articolo ASGARD: Conti Bancari “Made in Italy” in VENDITA a partire da 80$! Sei tra le vittime? proviene da Red Hot Cyber.

The European Parliament has approved the EU–Singapore Digital Trade Agreement, rejecting a motion to seek a Court of Justice opinion on its legality. This decision weakens the Union’s capacity to safeguard privacy, data protection, and accountability over software systems, at a time when deregulation pressures are increasing across Europe.

The post EU adopts Digital Trade Agreement with Singapore despite warnings: a setback for digital rights and democratic oversight appeared first on European Digital Rights (EDRi).

Nov. 17th – ICYMI, during our 11/16 meeting, the United States Pirate Party officially adopted Clean Water to our platform.

The issue of clean water first came up on March 4th when the Supreme Court ruled 5-4 that the Environmental Protection Agency (EPA) cannot limit sewage discharge into water, leaving the door open for cities to dump even more sewage into bodies of water.

Soon after, we released Pirates for Water, an entry of the Through the Spyglass series reaffirming the Pirate commitment to clean water.

As of yesterday’s meeting, it has officially been added to our platform. Pirates for water indeed.

Also of note: the 2026 Pirate National Conference will take place on June 6th, 2026, a date which marks 20 years of the US Pirate Party.

Instead of simply picking a location and choosing it, supporters have had the chance to suggest cities that would be brought to a wider vote.

After weeks of voting, we are finally down to twelve picks. This next week, supporters will vote in the first round to see who will face the Top Four seeds next week.

We have fun here.

Boston, MA, Providence, RI, Portland, OR and Vicksburg, MS are currently the standout choices and the cities who have received a first round bye.

If you are interested in being apart of the process, join our Discord server and make your voice heard.

It’ll be a on a boat, regardless of location.

uspirates.org/icymi-clean-wate…

noblogo.org/transit/nessuno-st…

Transit

2025-11-17 13:28:57

Nessuno stato Palestinese: la via di Netanyahu.

(180)

La posizione del primo ministro israeliano Benjamin #Netanyahu e dei suoi governi rispetto alla nascita di uno stato palestinese è stata storicamente e sistematicamente di netta opposizione. Tale linea, consolidata nel corso di più mandati, si fonda su motivazioni di sicurezza, strategie politiche interne e supporto di alleati significativi come gli #USA, con uno specifico ruolo anche dell'Unione Europea, specialmente negli ultimi anni di conflitto e nella fragile tregua in atto.​

Netanyahu si è sempre opposto in modo esplicito alla nascita di uno stato palestinese, sia in Cisgiordania che nella Striscia di Gaza, sostenendo che la creazione di tale entità comporterebbe gravi rischi per la sicurezza di Israele e porterebbe il territorio sotto l'influenza di Hamas e di altri gruppi considerati terroristici.

Nel corso dei decenni, il leader israeliano ha argomentato che l’origine del conflitto non dipende dall’assenza di uno stato palestinese, ma dall’opposizione all’esistenza stessa di Israele da parte di diverse parti palestinesi e arabe. Tale convinzione ha portato Netanyahu a promuovere politiche di isolamento dell’Autorità Nazionale Palestinese e al rafforzamento di Hamas a Gaza per mantenere la divisione tra i palestinesi: “Chi desidera ostacolare la nascita di uno stato palestinese deve sostenere il rafforzamento di #Hamas”, ha dichiarato in riunioni di partito.​

A partire dal ritorno alla guida di #Israele nel dicembre 2022, il governo Netanyahu ha accentuato la sua opposizione a qualsiasi riconoscimento unilaterale di uno stato palestinese. Nel 2024, la Knesset ha votato formalmente contro la nascita di uno stato palestinese, definendo l’eventuale riconoscimento “un regalo al terrorismo”. Il primo ministro ha ottenuto il sostegno sia dai partiti di destra che da quelli centristi, consolidando una linea che respinge apertamente ogni diktat internazionale su tale questione. Parallelamente, sono state accelerate le operazioni militari a Gaza e l’espansione degli insediamenti in #Cisgiordania, rallentando o impedendo ogni serio negoziato di pace.​

Gli Stati Uniti hanno storicamente sostenuto Israele anche rispetto al veto posto contro il riconoscimento di uno stato palestinese presso le Nazioni Unite. Nell’ultimo conflitto a #Gaza, Washington ha ripetutamente bloccato con il proprio veto risoluzioni ONU che chiedevano l’arresto delle ostilità e l’apertura agli aiuti umanitari, dichiarando che tali pressioni pianificate “indebolirebbero la sicurezza israeliana e rafforzerebbero Hamas”.

Tuttavia, segnali recenti indicano un leggero cambiamento: una parte del Congresso USA ha iniziato a proporre la risoluzione per il riconoscimento dello Stato palestinese, seppur senza concreto esito. La tregua attuale rimane estremamente fragile e subordinata alle dinamiche interne israeliane e alle pressioni internazionali, con il governo di Netanyahu che continua a minare la stabilità e i processi negoziali.​

L’Unione Europea si è mostrata maggiormente incline a sostenere la “soluzione a due stati”, criticando apertamente la politica israeliana contemporanea. Tuttavia, la reale capacità d’influenza della #UE sulle scelte del governo israeliano rimane marginale, sia per le profonde divergenze interne alla stessa Europa che per il peso geopolitico degli Stati Uniti nelle politiche israeliane. La posizione della UE si limita spesso a dichiarazioni di principio e pressioni diplomatiche, risultando poco efficace nel condizionare gli sviluppi concreti sul campo.​

L’opposizione di Netanyahu e del suo governo alla creazione di uno stato palestinese appare più radicata che mai nel contesto attuale. Le strategie di divisione interpalestinese, la retorica sulla sicurezza e la gestione della crisi di Gaza sono pilastri di questa immunità ai cambiamenti internazionali. Gli apparati di potere statunitensi e, in misura minore, europei, nonostante alcuni segnali di evoluzione, continuano a garantire una protezione diplomatica che rende difficile qualunque concreta attuazione della “soluzione a due stati”.#Israele vuole essere l’unico stato nella Palestina. Lo dice con le armi e la distruzione di ogni ragionevole ipotesi contraria.

#Blog #Israele #Palestina #USA #UE #Opinioni #Medioriente

Mastodon: @alda7069@mastodon.unoTelegram: t.me/transitblogFriendica: @danmatt@poliverso.orgBlue Sky: bsky.app/profile/mattiolidanie…Bio Site (tutto in un posto solo, diamine): bio.site/danielemattioli

Gli scritti sono tutelati da “Creative Commons” (qui)

Tutte le opinioni qui riportate sono da considerarsi personali. Per eventuali problemi riscontrati con i testi, si prega di scrivere a: corubomatt@gmail.com

Transit

Il blog di Alessandra Corubolo & Daniele Mattioli. On line -in varie forme- dal 2005.

^Telegram