We’ve seen a great many cat feeders over the years. Some rely on the Internet of Things, and some rely on fancy microcontrollers. [Larry Cook], on the other hand, built his using a simple 4060 binary counter chip.

The feeder is built out of old plywood, and the whole thing runs off an old 12-volt DC wall wart and a lead-acid battery to keep it going in a power outage. The dry cat food is stored in hopper above a drum, with the drum rotated by a 12-volt DC gearmotor. The gearmotor is activated on a schedule—either every 4 hours, or every 5.5 hours, depending on setting. There’s then a four-digit 7-segment display for counting the total number of feedings.

The manner of operation is simple. The 4060 binary counter slowly counts up to 8,196 on a 1.11 Hz or 0.83 Hz clock, for four hour or 5.5 hour operation respectively. When it hits that threshold, it fires the gear motor. The gear motor then rotates the drum for one revolution, dumping a preset amount of food. At the end of a revolution, it triggers a hall sensor which resets the circuit.

The best thing about this design? It’s been in service for ten years. [Larry’s] original video is a big contrast to his latest one, but it shows the same feeder doing the same job, all this time.

We love a good cat feeder, and it’s great to see one built with simple old-school parts, too. Video after the break.

youtube.com/embed/PT58t5Y_sG4?…

youtube.com/embed/rK-8faJf2jY?…

[Thanks to Cprossu for the tip!]

hackaday.com/2024/09/06/an-aut…

Gli analisti di JFrog hanno scoperto un nuovo attacco, a cui hanno dato il nome Revival Hijack . Si è scoperto che gli aggressori registrano nuovi progetti in PyPI utilizzando i nomi di pacchetti precedentemente eliminati per sferrare attacchi alle catene di approvvigionamento.

Secondo i ricercatori, questa tecnica “avrebbe potuto essere utilizzata per dirottare 22.000 pacchetti PyPI, portando successivamente a centinaia di migliaia di download di pacchetti dannosi”.

Tali attacchi sono possibili perché i nomi dei pacchetti rimossi da PyPI diventano nuovamente disponibili per la registrazione. Cioè, gli sviluppatori che decidono di rimuovere il proprio progetto da PyPI ricevono solo un avvertimento sulle possibili conseguenze.

“L’eliminazione di questo progetto renderà il suo nome disponibile a qualsiasi altro utente PyPI”, si legge nell’avviso. “Gli utenti potranno creare nuove versioni utilizzando questo nome di progetto purché i nomi dei file distribuiti non corrispondano ai nomi dei file precedentemente distribuiti.”

Si segnala che PyPI dispone di una blacklist chiusa che contiene i nomi dei pacchetti per i quali non è possibile registrare nuovi progetti. Tuttavia, la maggior parte dei pacchetti rimossi non sono inclusi in questo elenco.

Secondo JFrog, più di 22.000 pacchetti vulnerabili al Revival Hijack sono già stati rimossi da PyPI, alcuni dei quali erano piuttosto popolari. Pertanto, in media, 309 pacchetti vengono rimossi da PyPI al mese, il che significa che si aprono costantemente nuove opportunità per gli aggressori.

I ricercatori citano ad esempio il caso del pacchetto pingdomv3, che è stato rimosso da PyPI il 30 marzo 2024. Il nome del pacchetto è stato intercettato lo stesso giorno e gli aggressori hanno immediatamente pubblicato un aggiornamento in cui è stato aggiunto al pacchetto un trojan Python, offuscato tramite Base64 e destinato all’ambiente CI/CD Jenkins.

Per mitigare i rischi derivanti dal Revival Hijack, gli specialisti di JFrog sono intervenuti e hanno creato nuovi progetti Python, utilizzando un account denominato security_holding per “assumere” i nomi dei pacchetti remoti più popolari. I ricercatori hanno anche cambiato i numeri di versione in 0.0.0.1 per garantire che gli utenti attivi non potessero ricevere l’aggiornamento.

Tre mesi dopo, JFrog scoprì che questi pacchetti erano stati scaricati quasi 200.000 volte, grazie a script automatizzati ed errori degli utenti.

Per proteggersi da tali attacchi, gli esperti raccomandano che gli utenti e le organizzazioni utilizzino il blocco dei pacchetti per rimanere su determinate versioni note e affidabili, nonché per verificare l’integrità dei pacchetti, verificarne i contenuti, monitorare i cambiamenti di proprietà e l’attività di aggiornamento atipica.

L'articolo La fantasia dell’Hacking non ha confini! Revival Hijack: sfrutta pacchetti PyPI eliminati per attacchi alla supply chain proviene da il blog della sicurezza informatica.

Have you ever scanned old negatives or print photographs? Then you’ve probably wondered about the resolution of your scanner, versus the resolution of what you’re actually scanning. Or maybe, you’ve looked at digital cameras, and wondered how many megapixels make up that 35mm film shot. Well [ShyStudios] has been pondering these very questions, and they’ve shared some answers.

The truth is that film doesn’t really have a specific equivalent resolution to a digital image, as it’s an analog medium that has no pixels. Instead, color is represented by photoreactive chemicals. Still, there are ways to measure its resolution—normally done in lines/mm, in the simplest sense.

[ShyStudios] provides a full explanation of what this means, as well as more complicated ways of interpreting analog film resolution. Translating this into pixel equivalents is messy, but [ShyStudios] does some calculations to put a 35mm FujiColor 200 print around the 54 megapixel level. Fancier films can go much higher.

Of course, there are limitations to film, and you have to use it properly. But still, it gives properly impressive resolution even compared to modern cameras. As it turns out, we’ve been talking about film a lot lately! Video after the break.

youtube.com/embed/Ch_1_f4K78w?…

Thanks to [Stephen Walters] for the tip!

hackaday.com/2024/09/06/how-mu…

Writing for Hackaday involves drinking from the firehose of tech news, and seeing the latest and greatest of new projects and happenings in the world of hardware. But sometimes you sit back in a reflective mood, and ask yourself: didn’t this all used to be more exciting? If you too have done that, perhaps it’s worth considering how our world of hardware hacking is fueled, and what makes stuff new and interesting.

Hardware projects are like startup fads

When AliExpress has hundreds of kits for them, Nixie clocks are a mature project sector, by any measure.
Hardware projects are like startup fads, they follow the hype cycle. Take Nixie clocks for instance, they’re cool as heck, but here in 2024 there’s not so much that’s exciting about them. If you made one in 2010 you were the talk of the town, in 2015 everyone wanted one, but perhaps by 2020 yours was simply Yet Another Nixie Clock. Now you can buy any number of Nixie clock kits on Ali, and their shine has definitely worn off. Do you ever have the feeling that the supply of genuinely new stuff is drying up, and it’s all getting a bit samey? Perhaps it’s time to explore this topic.

I have a theory that hardware hacking goes in epochs, each one driven by a new technology. If you think about it, the Arduino was an epoch-defining moment in a readily available and easy to use microcontroller board; they may be merely a part and hugely superseded here in 2024 but back in 2008 they were nothing short of a revolution if you’d previously has a BASIC Stamp. The projects which an Arduino enabled produced a huge burst of creativity from drones to 3D printers to toaster oven reflow and many, many, more, and it’s fair to say that Hackaday owes its early-day success in no small part to that little board from Italy. To think of more examples, the advent of affordable 3D printers around the same period as the Arduino, the Raspberry Pi, and the arrival of affordable PCB manufacture from China were all similar such enabling moments. A favourite of mine are the Espressif Wi-Fi enabled microcontrollers, which produced an explosion of cheap Internet-connected projects. Suddenly having Wi-Fi went from a big deal to built-in, and an immense breadth of new projects came from those parts.

Tell us then, What’s new?

So back to 2024, and a Hackaday writer at her desk in the English countryside. 3D printers are still our bread and butter, but they’re on Amazon special offer these days. Small Linux boards are ten a penny, and microcontrollers that put the Arduino’s ATmega in the shade are only a few cents from China. It almost feels as though everything is mainstream, and all we’re getting are increments rather than huge leaps. I want new stuff again, I want exciting stuff!

Happily, the world of technology doesn’t stand still. We all know that the Next Big Thing is just around the corner, and our desire to make cool new stuff will be revitalised by it. But what will it be? My eyes are on ASIC fabrication, I think Tiny Tapeout must only be the start of perhaps the most exciting epoch of them all. But what do you think on the matter, where will your Next Big Thing come from? We’re really interested to hear your views in the comments.

Header image: The RepRap Mendel 3D printer, one of the more successful early affordable designs. Dkoukoul, CC BY-SA 3.0.

hackaday.com/2024/09/06/ask-ha…

What’s a dog to do if they want to do some accessible skateboarding? [Simone Giertz]’s three-legged pup, [Scraps], got the chance to try a LEGO Technic board for her thrills.

This electric LEGO skateboard features six motors and paw pedals to let [Scraps] steer while [Giertz] remotely controls the speed of the board. While it’s not a particularly fast ride, it does let [Scraps] live out her dreams of being a YouTube dog skateboard celebrity.

A video from [Giertz] wouldn’t be complete without a life lesson, and this time it was the importance of rest to the creative process. Sometimes when a solution eludes you, it’s just time to take a break. The steering mechanism, in particular, was giving her trouble but became simple the next morning. We’re also treated to an adorable shot of [Scraps] napping when the initial shoot of her riding the board wasn’t going as planned.

Want to try your hand at making your own skateboard? How about a deck from recycled plastic, tank treads instead of wheels, or is a rocket-powered skateboard more your speed?

youtube.com/embed/N1eo5bXtZeM?…

hackaday.com/2024/09/06/an-ele…

[Thomas Roche] of NinjaLab is out with EUCLEAK, (pdf) a physical attack against Infineon security microcontrollers, and the security tokens that contain them. The name is a portmanteau of Euclidean and leak. And no surprise, it’s a data leak in some implementations of the Extended Euclidean Algorithm (EEA), a component of an Elliptical Curve Digital Signature Algorithm (ECDSA).

OK, time to step back. Infineon microcontrollers are the digital smart parts inside popular security tokens like the Yubikey 5, some Java smart cards, and even the Infineon TPMs. These devices all serve a similar purpose. They store one or more secret keys, and are guaranteed to never disclose those keys. Instead, they use their secret keys to do cryptographic functions, like ECDSA signatures, and output the result. There’s even a special set of tests, the Common Criteria, that are intended to backstop these guarantees. What’s interesting is that an otherwise excellent product like the Yubikey 5, that passes all these auditing and certification processes, is still vulnerable.

The actual attack is to perform ECDSA signatures while monitoring the physical chip with an electromagnetic probe. This tiny directional antenna can pick up on EM noise generated by the microprocessor. That EM noise leaks timing information about the internal state of the cryptography, and the secret key can be derived as a result.

This process does require physical access to the token for several minutes. To get useful readings, the plastic case around the security token does need to be disassembled to get the probe close enough to pick up signals. From there it’s at least an hour of post-processing to actually get the key. And most of these security tokens intentionally make the disassembly process rather difficult. The point isn’t that it’s impossible to open up, but that it’s impossible not to notice that your token has been tampered with.

Infineon has updated their libraries, doing more active countermeasures to make cryptography state indistinguishable from other CPU activity noise. If you have one of the affected devices, if a firmware update is not an option, setting a PIN or other biometric is quite effective at preventing the attack.

What might be most notable about this attack isn’t the attack itself, but that none of the test and audit framework around these devices protected against it. Our take here isn’t that those things are without merit, but instead that no certification can anticipate every way such a system could go wrong.

Revival Hijack on PyPI

We’ve repeatedly covered Typosquatting in various repositories, and even the more subtle dependency confusion over the years. Revival Hijack probably isn’t completely new, but researchers at JFrog have announced it and taken a major step towards preventing it in the PyPI repository, partially in response to finding it in use in the wild.

The idea here is pretty simple. For various reasons, packages on PyPI get deleted. PyPI makes it abundantly clear to the dev deleting the package, that among other things, the package name will become available for others to register. If someone else registers that name, and releases a new build with a higher version number, pip will gladly perform the update where the old package is installed.

The danger, of course, is that this quirk will be used to ship malicious packages. That’s not a theoretical issue, either. The pingdomv3 package was first published in 2019, retired and deleted in March 2024, and republished shortly after. Within a few days, the package was updated to include a malicious payload. Interestingly, the payload checked for a Jenkins environment, and downloaded and ran a script. JFrog’s automated monitoring caught the suspicious behavior, and PyPI removed the malicious package soon after. That one in particular got added to PyPI’s list of permanently retired package names.

Going forwards, JFrog is grabbing deleted package names with significant download counts, and holding them safely in a dedicated user account. It will be interesting to see if this attack or mitigations against it start showing up in other repositories.

SIM Card WiFi

WiFi security is a bizarre mish-mash of modern and legacy tech. Case in point, you can use a RADIUS server and a 2G SIM card to handle WiFi authentication. The authentication server generates a random challenge, and the SIM generates a signed response and temporary encryption key. It’s a cool, quirky idea, with a significant drawback. For effective authentication, the central server has to know the secret key of the authenticating SIM. Since that’s the primary thing SIMs are designed to prevent, the whole idea is of limited use, without a source for custom SIM cards.

Bits and Bytes

To really understand what a program is doing, running a system trace is hard to beat. That is a capture of every system call, which effectively captures every interaction with the rest of the system. The only real problem is that that much information is often like drinking from the firehose. To try to help with that problem, we now have Traceeshark, which loads system trace captures into Wireshark, which already has great tools for dealing with an overabundance of information.

And finally for this week, researchers at Praetorian took a look at the Rspack GitHub repository, and found several GitHub Actions vulnerabilities. GitHub Actions are automated actions in response to things like changes and pull requests. Projects often set up continuous integration pipelines in Actions, and run a test suite and build for each change. That does get a bit dicey, when running on pull requests from untrusted contributors. And that’s what was found at Rspack. New contributors could make pull requests that would automatically launch an Action run. From within the action, it was possible to leak both an NPM deployment token, as well as a GitHub Person Access Token. Whoops!

hackaday.com/2024/09/06/this-w…

Gli esperti hanno pubblicato il codice dell’exploit e un’analisi dettagliata della vulnerabilità zero-day di Google Chrome.

L’exploit PoC si riferisce a un bug di Type Confusion con ID CVE-2024-5274 (punteggio CVSS: 8,8) nel motore V8, che viene utilizzato per elaborare JavaScript nel browser. Il problema si verifica perché il programma interpreta erroneamente un tipo di dati come un altro tipo, il che può portare a arresti anomali, danneggiamento dei dati e persino esecuzione di codice arbitrario.

Google ha inizialmente rilasciato una correzione per la vulnerabilità nel maggio 2024, ma i dettagli tecnici sono stati nascosti per impedire agli aggressori di sfruttare la falla. La situazione è cambiata dopo che i ricercatori @mistymntncop e @buptsb hanno pubblicato il codice dell’exploit su GitHub .

Avere un codice PoC ha lati positivi e negativi. Da un lato è utile per gli specialisti della sicurezza informatica che possono studiare la vulnerabilità e sviluppare misure di protezione più efficaci. D’altro canto il codice può essere utilizzato dagli hacker per creare veri e propri exploit ed effettuare attacchi.

Questa vulnerabilità è stata sfruttata negli attacchi ai siti web governativi della Mongolia, che hanno colpito sia gli utenti iOS che quelli Android che visitavano i siti infetti.

Gli attacchi facevano parte di una campagna più ampia che ha sfruttato anche un’altra vulnerabilità critica di Chrome, CVE-2024-4671. In entrambe le campagne gli aggressori hanno utilizzato exploit simili a quelli utilizzati dalle società di spyware commerciale Intellexa e NSO Group.

Google ha già rilasciato un aggiornamento per Chrome: versione 125.0.6422.112/.113 per Windows e Mac e versione 125.0.6422.112 per Linux. Si consiglia vivamente agli utenti di aggiornare immediatamente il proprio browser per proteggersi da possibili attacchi.

L'articolo Il Codice Exploit è Online del bug di Google Chrome: rischio di attacchi in aumento proviene da il blog della sicurezza informatica.

Kitting out a full workshop can be expensive, but if you’re only working on small things, it can also be overkill. Indeed, if your machining tends towards the miniature, consider building yourself a series of tiny machines like [KendinYap] did. In the video below, you can see the miniature electric sander, table saw, drill press, and cut-off saw put through their paces.

Just because the machines are small, doesn’t mean they’re not useful. In fact, they’re kind of great for doing smaller jobs without destroying what you’re working on. The tiny belt sander in particular appeals in this case, but the same applies to the drill press as well. [KendinYap] also shows off a tiny table and circular saw. The machines are straightforward in their design, relying largely on 3D printed components. They’re all powered by basic DC brushed motors which are enough to get the job done on the small scale.

They look particularly good if tiny scale model-making is your passion.

youtube.com/embed/PlPF8dURaII?…

hackaday.com/2024/09/06/3d-pri…

Pavel Durov ha pubblicato un ampio post sul suo canale Telegram dedicato alla sua recente detenzione in Francia e alle accuse mosse contro di lui. Durov ha ringraziato tutti per il supporto e ha raccontato come Telegram sta combattendo i contenuti illegali.

Nel suo messaggio, Durov definisce le azioni delle autorità francesi un “approccio fuorviante” e afferma che trovare un equilibrio tra privacy e sicurezza può essere difficile. Il capo di Telegram promette inoltre che ci saranno cambiamenti nel messenger e che i criminali che abusano della piattaforma verranno combattuti più attivamente.

Di seguito riportiamo integralmente la pubblicazione di Pavel Durov.
Grazie a tutti per il vostro supporto e amore!

Il mese scorso, dopo essere arrivato a Parigi, sono stato interrogato dalla polizia per quattro giorni. Sono stato informato che ero personalmente responsabile dell'uso illegale di Telegram da parte di altri perché le autorità francesi non hanno ricevuto risposte dal team di Telegram.

Ciò era inaspettato per diversi motivi:

Telegram ha un rappresentante ufficiale nell'UE che riceve e risponde alle richieste dell'UE. Il suo indirizzo email è pubblicamente disponibile per chiunque nell'UE digiti su Google: "Indirizzo Telegram UE per le forze dell'ordine".

Le autorità francesi avevano molti modi per contattarmi per chiedere aiuto. Come cittadino francese, ho visitato spesso il consolato francese a Dubai. Qualche tempo fa, quando me lo hanno chiesto, li ho aiutati personalmente a creare una hotline di Telegram per combattere le minacce terroristiche in Francia.

Se un Paese è insoddisfatto di qualche servizio Internet, secondo la prassi consolidata, avvia un procedimento legale contro il servizio stesso. Usare le leggi pre-smartphone per incolpare un CEO di crimini commessi da terzi sulla piattaforma che controlla è un approccio fuorviante. Creare tecnologia è già difficile. Nessun innovatore creerà nuovi strumenti se sa di poter essere personalmente responsabile del potenziale abuso di tali strumenti.

Trovare il giusto equilibrio tra privacy e sicurezza non è facile.

È necessario conciliare le leggi sulla privacy e i requisiti di applicazione della legge, nonché le leggi locali con le leggi dell’UE. Bisogna tenere conto dei limiti tecnologici. Come piattaforma, vuoi che i tuoi processi siano coerenti in tutto il mondo, ma non abusati nei paesi con forze dell’ordine deboli. Ci impegniamo a collaborare con le autorità di regolamentazione per trovare l’equilibrio ottimale. Sì, rispettiamo i nostri principi: la nostra esperienza è modellata dalla nostra missione di proteggere gli utenti nei regimi autoritari. Ma siamo sempre stati aperti al dialogo.

A volte non riusciamo a concordare con l'autorità di regolamentazione di un paese il giusto equilibrio tra privacy e sicurezza. In questi casi, siamo pronti a lasciare questo Paese. L'abbiamo fatto più di una volta. Quando la Russia ci ha chiesto di consegnare le “chiavi di crittografia” per consentire la sorveglianza, abbiamo rifiutato e Telegram è stato bandito in Russia. Quando l'Iran ha chiesto di bloccare i canali dei manifestanti pacifici, noi abbiamo rifiutato e Telegram è stato bandito in Iran. Siamo pronti a lasciare i mercati che non soddisfano i nostri principi, perché non lo facciamo per i soldi. Siamo spinti dal desiderio di fare del bene e di proteggere i diritti fondamentali delle persone, soprattutto laddove tali diritti vengono violati.

Ciò non significa che Telegram sia perfetto. Anche il fatto che le autorità possano confondersi su dove inviare le richieste è qualcosa che dobbiamo migliorare. Ma le affermazioni di alcuni media secondo cui Telegram è una sorta di paradiso anarchico sono assolutamente false. Rimuoviamo milioni di post e canali dannosi ogni giorno. Pubblichiamo quotidianamente rapporti sulla trasparenza. Disponiamo di linee telefoniche dirette con le ONG per elaborare rapidamente richieste di moderazione urgenti.

Tuttavia, sentiamo opinioni secondo cui ciò non è sufficiente. Il drammatico aumento del numero di utenti di Telegram fino a 950 milioni ha creato una maggiore complessità, rendendo più facile per i criminali abusare della nostra piattaforma. Ecco perché mi sono posto l'obiettivo di migliorare significativamente la situazione a questo riguardo. Abbiamo già avviato questo processo internamente e presto condividerò con voi maggiori dettagli sui nostri progressi.

Spero che gli eventi di agosto portino Telegram e l’industria dei social media nel suo insieme a diventare più sicuri e più forti.

Grazie ancora per il tuo amore e i tuoi meme.
Ricordiamo che Pavel Durov è stato arrestato in Francia il 24 agosto 2024, dopo che il suo aereo privato proveniente dall’Azerbaigian è atterrato all’aeroporto di Le Bourget.

Di conseguenza, il fondatore di Telegram è stato accusato di sei capi d’imputazione relativi a vari reati individuati sulla piattaforma (tra cui pedofilia, riciclaggio di denaro, traffico di droga e così via). Di seguito il link al suo messaggio divulgato su Telegram.

Le forze dell’ordine francesi affermano che il team di Telegram non combatte i contenuti illegali e non collabora con le autorità, rifiutandosi, ad esempio, di “fornire, su richiesta delle autorità autorizzate, informazioni o documenti necessari per l’attuazione e l’uso delle misure di intercettazione consentite dalla legge”.

Il 28 agosto 2024 Pavel Durov è stato rilasciato sotto controllo giudiziario. Si impegna a pagare una cauzione di 5 milioni di euro e a presentarsi alla stazione di polizia due volte a settimana. Gli è vietato lasciare il territorio francese. Secondo i media, è obbligato a rimanere nel Paese fino a marzo 2025.

L'articolo Pavel Durov Commenta il suo Arresto. “un equilibrio tra privacy e sicurezza può essere difficile” proviene da il blog della sicurezza informatica.