[MIKROWAVE1] claims he’s not a radio repair guy, but he agreed to look at a malfunctioning Hallicrafters S-120 shortwave receiver. He lets us watch as he tries to get it in shape in the video below. You’ll see that one of his subscribers had done a great job restoring the radio, but it just didn’t work well.

Everything looked great including the restored parts, so it was a mystery why things wouldn’t work. However, every voltage measured was about 20V too low. Turns out that the series fuse resistor had changed value and was dropping too much voltage.

That was an easy fix and got three of the radio’s four bands working. The fourth band had some problems. Fixing some grounding helped, but the converter tube was weak and a new replacement made it work much better.

There were some other minor issues, but in the end, the radio was back to its original glory. We have to warn you that restoring old radios can be addictive. The good news is, thanks to the Internet, you don’t have to figure it all out yourself or find a local expert who will take an apprentice. Hallicrafters was a huge name in the radio business after World War II, and, for that matter, during the war, too.

youtube.com/embed/gpDXRFH6E9w?…

hackaday.com/2024/09/08/repair…

La sezione Domande frequenti (FAQ) è stata aggiornata sul sito Web di Telegram.

Ora indica chiaramente come segnalare contenuti illegittimi e fornisce informazioni di contatto per i servizi di messaggistica che accettano tali messaggi. A quanto pare, i cambiamenti sono legati all’arresto di Pavel Durov in Francia e alle accuse mosse contro di lui di favoreggiamento di terroristi, spacciatori e distributori di pornografia infantile.

Le FAQ ora affermano che gli utenti di Telegram possono segnalare contenuti illegali all’amministrazione utilizzando il pulsante Segnala integrato in ciascuna applicazione (non è ancora apparso nella versione Windows verificata).

Puoi anche inviare una richiesta di rimozione ad abuse@telegram.org (link per inviare email) inserendo un collegamento all’oggetto che richiede attenzione (messaggio o canale). I reclami sulla violazione del copyright sono accettati anche via e-mail a dmca@telegram.org (link per inviare email).

I media stranieri hanno anche notato che dalla sezione FAQ è scomparsa la dichiarazione secondo cui il servizio non accetta tutte le chat su Telegram, comprese le chat di gruppo, gli incontri privati ​​e le richieste di divulgazione delle informazioni scambiate. La scomparsa di questa posizione è stata percepita come un presagio di un cambiamento nella politica di moderazione del messenger (è in corso la pulizia dei contenuti in Telegram, Durov ne ha parlato in particolare in una conversazione con Tucker Carlson ).

Come si è scoperto, la dichiarazione sulla privacy delle chat è stata semplicemente spostata in un’altra sezione. Il 5 settembre, il creatore del servizio di messaggistica istantanea, dopo un lungo silenzio, ha pubblicato un lungo commento sul suo canale Telegram, esprimendo sorpresa di essere ritenuto personalmente responsabile dell’abuso dello strumento di comunicazione virtuale da lui creato.

Durov ha anche sottolineato che Telegram non è affatto un paradiso per i senza legge, come sostengono alcuni media. L’amministrazione del servizio cancella ogni giorno milioni di post e canali dannosi e riferisce pubblicamente sul lavoro svolto, nonostante sia incredibilmente difficile trovare un equilibrio tra sicurezza e privacy.

Il compito è complicato anche dalla vastità del pubblico di Telegram: quasi 1 miliardo di utenti che vivono in diversi paesi, le cui sottigliezze legislative devono essere prese in considerazione, volenti o nolenti.

Nell’UE il servizio IM ha addirittura un proprio rappresentante, che risponde sempre tempestivamente a tutte le richieste, e le autorità francesi dispongono di altri canali per il contatto diretto. L’altro giorno si è saputo che nel caso di Durov era stata formulata un’altra accusa : violazione di una legge francese sull’uso della crittografia ormai dimenticata da tempo. Obbliga le società e i servizi IT a fornire all’autorità di regolamentazione francese ANSSI la documentazione tecnica per gli strumenti crittografici, nonché i codici sorgente del software che li utilizza.

L'articolo Telegram volta Pagina e Aggiorna le FAQ: Come Segnalare Contenuti Illegali proviene da il blog della sicurezza informatica.

Ever been working on a project and get stuck on one of those last little details? That’s what happened to [Empire of Scrap]. He’s building an Ohio Scientific (OSI) superboard II replica. He wants it to be accurate down to the dates on the chips. It is quite an impressive build. The problem is the crystal. OSI used large crystals, even by early 1980s standards. The crystal is in a large can with thick pins, like something you’d expect to find in old radio equipment. The problem is that this crystal package isn’t made anymore.

The crystal had to be exactly 3.932160 MHz, and while [Empire] has a huge collection of vintage crystals, he didn’t have the right one from the 70s. He did, however, have that value in a modern crystal.

The solution? Hide the new crystal in the can of an older one. The only problem is that crystals are sealed. The bottom appeared to be some sort of plastic or resin. Gong after it with a side cutter, [Empire] realized it was glass! Thankfully, none of it got in his eyes, though his hands may have taken a bit of a beating.

With the old crystal’s shell hollowed out, [Empire] installed the modern device and potted everything in resin. The transplant worked. Now, all that’s left is to fire up the OSI and start hacking.

Want to build a replica computer but don’t want to hunt down the parts? Check out [Taylor] and [Amy’s] build of this minipet. Regardless of the size of the case, crystals all work in the same way.

youtube.com/embed/BLoZoBzXXkk?…

hackaday.com/2024/09/08/the-hi…

L’analisi delle minacce legate alla campagna Konni mostra la crescente attività del gruppo Kimsuky, che utilizza vari metodi per attacchi furtivi. Il pericolo risiede nell’utilizzo di servizi cloud e FTP legittimi per infettare gradualmente i sistemi target, rendendo difficile il rilevamento di file dannosi. La campagna colpisce non solo i sistemi della Corea del Sud, ma anche le agenzie governative russe e altri obiettivi internazionali.

Utilizzando tecniche come spear-phishing e documenti dannosi (ad esempio file con estensione “.exe”, “.scr”, “.ppam”), gli aggressori mascherano i loro attacchi come richieste o documenti legittimi. In uno di questi attacchi, scoperto nel 2022, gli aggressori hanno utilizzato documenti falsi relativi alla politica estera, alle transazioni fiscali e finanziarie russe, confermando gli obiettivi più ampi della campagna.

Per eseguire comandi di controllo remoto, gli aggressori utilizzano domini e servizi di hosting gratuiti, che rendono più semplice creare e nascondere server di comando e controllo (C2). Un elemento importante degli attacchi è la modifica e l’iniezione di malware attraverso la creazione di (RAT) utilizzando PowerShell e VBS, che poi eseguono comandi crittografati sui dispositivi compromessi.

I numerosi file scoperti durante l’analisi dimostrano la capacità del gruppo di adattarsi alle condizioni e di utilizzare metodi sofisticati per aggirare i sistemi di sicurezza tradizionali, compresi gli attacchi basati su file e senza file. I moderni sistemi di rilevamento e risposta degli endpoint (EDR) aiutano a identificare le minacce più rapidamente e a prevenirle nelle fasi iniziali, riducendo il rischio di violazioni dei dati su larga scala.

Negli ultimi anni, le campagne associate a Kimsuky hanno incluso non solo attacchi mirati contro agenzie governative, ma anche attacchi contro rappresentanti di operazioni di criptovaluta, indicando le motivazioni finanziarie del gruppo.

L'articolo Attacco inaspettato. Come la Corea Del Nord Minaccia le Agenzie Governative Russe proviene da il blog della sicurezza informatica.

E’ stata segnalata da Alessandro Bottonelli la ricezione di email di spam che sembrano provenire da LinkedIn. Queste email, benché apparentemente legittime, presentano caratteristiche sospette che lasciano pensare siano tentativi di phishing.

Il consiglio per tutti gli utenti è di non cliccare su nessun link contenuto in tali email e di condividere questo avviso, in particolare per sensibilizzare gli utenti meno esperti, spesso più vulnerabili a tali truffe online.

Raccomandazioni

Lato nostro possiamo solo ricordare cosa occorre fare quando ci si trova di fronte ad una email di dubbia provenienza e ricordarvi di aumentare l’attenzione.

Sii cauto con le email non richieste

• Non cliccare su link sospetti: Evita di cliccare su link o scaricare allegati in email che sembrano sospette, specialmente se provengono da mittenti sconosciuti o non richiesti.
• Controlla attentamente il mittente: I cybercriminali spesso falsificano l’indirizzo email del mittente. Controlla sempre l’indirizzo completo e non solo il nome visualizzato.

2. Verifica l’URL prima di inserire dati

• Controlla l’URL: Prima di inserire informazioni sensibili su un sito, verifica che l’URL inizi con “https” (il che indica che il sito è sicuro) e che il dominio sia corretto.
• Diffida di URL abbreviati: Se ricevi un URL abbreviato, cerca di espanderlo usando un servizio apposito per verificare la destinazione.

3. Non condividere informazioni sensibili via email

• Le aziende legittime non chiedono mai informazioni sensibili via email: Se ricevi una richiesta di dati personali, contatta direttamente l’azienda tramite canali ufficiali, evitando di rispondere all’email.

4. Attenzione ai segnali di allarme

• Grammatica e formattazione scadente: Email di phishing spesso contengono errori grammaticali o stilistici. Le aziende legittime tendono a inviare comunicazioni ben curate.
• Richieste urgenti: Se l’email ti spinge a compiere un’azione immediata (“aggiorna il tuo account ora”, “offerta limitata”), è probabile che si tratti di un tentativo di phishing.

5. Utilizza l’autenticazione a due fattori (2FA)

• Aggiungi un ulteriore livello di protezione: Anche se i tuoi dati d’accesso vengono compromessi, l’autenticazione a due fattori può impedire ai malintenzionati di accedere ai tuoi account.

6. Aggiorna regolarmente il software e gli antivirus

• Mantieni sempre aggiornato il tuo sistema operativo: Installa regolarmente aggiornamenti di sicurezza per proteggere i tuoi dispositivi da vulnerabilità.
• Utilizza un buon software antivirus: Un buon antivirus può rilevare e bloccare tentativi di phishing e malware nascosti negli allegati.

7. Diffida delle richieste di pagamento o donazioni

• Non inviare mai denaro: Se ricevi una richiesta di denaro tramite email o messaggi da fonti non verificate, contatta l’organizzazione attraverso canali ufficiali prima di effettuare donazioni o pagamenti.

8. Educa te stesso e i tuoi collaboratori

• Formazione continua: Organizza sessioni di formazione per educare te stesso, la tua famiglia o i tuoi colleghi a riconoscere i tentativi di phishing.

Seguendo queste raccomandazioni, puoi ridurre notevolmente il rischio di cadere vittima di un attacco di phishing.

L'articolo Allarme phishing su LinkedIn: Come riconoscere le email truffa e proteggersi proviene da il blog della sicurezza informatica.

It is common these days to have a soldering iron where you can set the temperature using some sort of digital control. But how accurate is it? Probably pretty accurate, but [TheHWCave] picked up a vintage instrument on eBay that was made to read soldering iron temperature. You can see the video below, which includes an underwhelming teardown.

The device is a J thermocouple and a decidedly vintage analog meter. What’s inside? Nearly nothing. So why did the meter not read correctly? And where is the cold junction compensation?

The probe seemed okay when used with a modern meter. However, driving the meter directly showed a problem. It seemed like something was wrong with the meter’s movement.

Pulling the meter out revealed a handwritten label identifying the meter as having a full-scale deflection of just over 27 millivolts and using a 0.5 ohm external resistor. Unsurprisingly, the old meter had some issues with the thermocouple.

Pulling the meter showed that the compensation was actually inside the meter casing. The meter’s problem was due to these extra components: an NTC thermistor and a custom wire-wound resistor. Changing the resistor fixed the box. This time, he put the two components outside the meter housing in the vast space of the nearly empty case.

Today, we take measuring temperature for granted. Only the cheapest meters lack temperture measurement and you can use other techniques like IR sensors, too. But this was an interesting look at how it was done “back in the day” and an interesting repair, too.

Thermocouples are an old standby for measuring high temperatures. With modern tech, it is pretty simple to compensate them.

youtube.com/embed/p0MMBTacfw0?…

hackaday.com/2024/09/07/how-ho…

[Mike] from Leaded Solder has a soft spot for old computers, and a chance encounter with a friend sent them deep down the deep hole that is the world of 80s and 90s-era Japanese home computers. Many people playing with these machines have all kinds of issues to deal with, such as rotting cartridges, failing components, and just dirt and mank in critical places. [Mike] decided that working on an MSX-standard custom programmable cartridge would be sensible, but then got stuck on how the MSX cartridge mapping works.
The Konami 128K scheme uses 4 to 4-of-8 mapping.
You may recall that the MSX platform is not a single computer but a standard to which many (mainly Japanese) manufacturers designed their products. This disconnected the software writers from the hardware makers and is essentially a mirror of the IBM-PC clone scene.

The MSX is based around the Z80, which has a 16-bit address bus, restricting it to 64K of ROM or RAM. The MSX has two cartridge slots, an ‘internal’ slot for the BIOS and RAM and a fourth for ‘misc’ use. Each of these is mapped internally into the physical address space. The cartridge slots have 64K of addressable space mapped into the Z80 physical space.

If this was not complicated enough, many MSX games and applications exceeded this restriction and added a layer of mapping inside the cartridge using bank switching. A register in the cartridge could change the upper bits of the address allowing ROMs larger than 64K.

[Mike] wanted to replicate the method Konami used for their games. Their first target was The Maze of Galious, which requires a 128K ROM. Their scheme requires additional hardware to map each of the four 16K slots in the cartridge interface to four of the eight 16K slots of the ROM chip. The game selects which bits of the ROM it needs as the game progresses. The implementation uses an old 74LS670, which can still be bought from old stock as a 4×4 bit register file and a two-way dip selector switch. This allowed [Mike] to fit four games into a single SST39SF040 4MBit parallel flash chip. After a few false starts with the details of address bit selection, they were rewarded by Galious booting up without any additional work needed. If you own an MSX-compatible machine and want to build one for yourself, the full KiCAD project is available on the project GitHub page.

The MSX isn’t a well-known platform in the West, and MSX hacks are a rarity here, but in the spirit of retro, here’s a hack to add support for a retro gamepad to the MSX. Also, if you can’t find a period MSX, you can always build one.

hackaday.com/2024/09/07/buildi…

Although we generally assume that opacity is the normal look for animals like us humans, this factoid is only correct for as long as you maintain the dissimilar optical refraction indices of skin and the more aqueous underlying structures. What if you could change the refraction index of skin? If you could prevent the normal scattering at the interface, you could reveal the structures underneath, effectively rendering skin transparent. [Zihao Uo] and others demonstrate this in a paper published in Science.

The substance they used was the common food dye known as tartrazine, which also goes by the names of Yellow 5 and E102 when it is used in food (like Doritos), cosmetics, and drugs. By rubbing the tartrazine into the skin of mice, the researchers were able to observe underlying blood vessels and muscles. Simulations predicted that the dye would change the refraction index mismatch between lipids and water which normally causes the light scattering that creates the skin’s opaque appearance. With the dye rubbed into the skin, the effect worked to a depth of about 3 mm, which makes it useful for some research and possible medical applications, but not quite at the ‘jellyfish-transparency’ levels that some seem to have imagined at the news.

Researchers and medical personnel have long wished for this kind of in vivo tissue transparency. A 2019 review article by [Mikhail Inyushin] and colleagues in Molecules provides an overview of the many possible ways, both genetic and chemical, that you might see through skin. Tartrazine has a significant advantage: it is generally considered to be a harmless food dye. In addition, reversing the effect is as simple as washing the dye off.

Naturally, human skin will be trickier than that of mice due to the varying presence of melanin. So it will take more work to use this technique on people, but there are many mice and other common lab test critters who are breathing a deep sigh of relief as the scalpel can be put away for some types of studies.

For now, better to stick with MRI. And fair warning: there’s no need to rush out to rub Doritos on your PCB — it doesn’t work.

hackaday.com/2024/09/07/render…

While version control used to be reserved for big corporate projects, it is very mainstream these days. You can attribute much of that to Git, the software that has nearly displaced other version control. Git works well, it is versatile, and it scales well. It is easy to use as an individual developer or as part of a worldwide team. But Git is also one of those things that people don’t always study, they just sort of “pick it up” as they go. That motivated [Glasskube] to create “The Guide to Git I Never Had.”

If you are ready to click away because you are not a software person, hang on. Git is actually useful for many different kinds of data, and there are a number of hardware projects that use Git in some form. That’s especially true if the project has some code associated with it, but there are projects that consist of PCBs, reverse engineering documentation, or schematics.

Simplistically, Git tracks a bunch of files and lets you rewind in time to answer the question: what did this look like a month ago? Or a year ago? However, the real power lies in producing and merging branches.

For example, you might be working on a product and decided to add feature “A.” Meanwhile, your partner decides to work on feature “B.” No problem. You can each work in your own separate branch and get everything working. You don’t even have to be connected to a server until the very end.

When either of you are ready, you can merge your branch with the main branch. Often, this can be done automatically, but Git knows when it is in over its head and will ask for help. When you are both done merging, both of your changes are “live.” If you do it right, Git can also help answer the question: why did we make that change two years ago? It is surprising how often that’s important.

If you think Git is just for code, we can show you some strange examples. If you don’t fancy reading a blog post to learn Git, would you like to play a game?

hackaday.com/2024/09/07/get-th…

Whenever you buy a servo, it usually comes with a little baggie full of various plastic horns. Most of us pick our favorite and use it in our projects. Some of us hack them up, glue them back together, and do all kinds of weird things with them. And others skip them entirely, going for direct drive instead. In a new video, [Dynamix Systems] explores when going direct drive is the right solution.

The video primarily concerns servos as they’re used in the context of aero modeling. In this regard, the video points out that while stock servo horns are easy to use, they can be cumbersome and clumsy. For example, you often end up with horns and control linkages protruding out into the airstream, adding drag and generally making things a bit inelegant. They can also snag on things and easily damage your servos or controls.

Using direct shaft couplers can be a much tidier solution in some respects. The servo can be coupled directly to the axis of motion, allowing it to be hidden inside a wing or tail surface. It can require a little more finesse in installation and design, but they’re much less likely to snag on things or be damaged. There’s also a drag benefit if you do it right. [Dynamix Systems] notes that you’ll want to source some shaft couplers to do this properly, which you can make yourself or buy online fairly easily.

It’s great to see how tidy direct drive really is. We’ve seen some other nifty servo tricks of late, too. Video after the break.

youtube.com/embed/zr02G2yCvGU?…

hackaday.com/2024/09/07/should…

My sister is a beekeeper, or maybe a meta-beekeper. She ends up making more money by breeding and selling new queen bees to other beekeepers than she does by selling honey, but that doesn’t mean that she doesn’t also process the sweet stuff from time to time. She got a free steam-heated oscillating hot knife, used for cutting the waxy caps off of the tops of the cells before spinning the combs down to extract honey, and she thought it might be easier to use than her trusty hand-held electric hot knife.

The oscillating knife, which was built something like a century ago, hadn’t been used in decades. All of the grease had turned to glue, and the large v-belt wheel that made it go was hard to turn by hand, and the motor was missing anyway. So she gave it to my father and me as a project. How could we resist?

We found the original manual on the Internet, which said that it would run from any 1/2 hp motor, or could be optionally driven by a takeoff wheel from a tractor – unfortunately not an option in my sister’s honey house. But we did find a 3/4 hp bench grinder at Harbor Freight that conveniently fit inside the case, and bought the smallest v-belt pulley wheel that would fit the grinder’s arbor. We thought we were geniuses, but when we hooked it all up, it just stalled.

We spent more than a few hours taking the mechanism apart. It was basically an eccentric shaft with a bearing on the end, and the bearing ran back and forth in the groove of a sliding mechanism that the knife blade attached to. As mentioned above, everything was gunked, so we took it all apart. The bearing was seized, so we freed that up by getting the sand out of the balls. The bearing couldn’t move freely in the slide either, but we filed that down until it just moved freely without noticeable play. We added grease from this century, and reassembled it. It turned fine by hand.

But with the belt and motor attached, the mechanism still had just enough friction to stall out the motor. Of course we wrapped some rope around the shaft and pull-started it, and it made a hell of a racket, nearly vibrated itself off the table, and we could see that the marvelous zinc-coated frame that held it all together was racking under the tension. It would require a wholly new housing to be viable, and we hadn’t even figured out a source of steam to heat the knife.

In short, it was more trouble than it was worth. So we packed up the bench grinder in the original container, and returned it no-worse-for-wear to the Freight. But frankly, we had a fantastic time playing around with a noble machine from a long-gone past. We got it “working” even if that state was unworkable, and we were only out the cost of the small v-belt pulley. Who says all of your projects have to be a success to be fun?

This article is part of the Hackaday.com newsletter, delivered every seven days for each of the last 200+ weeks. It also includes our favorite articles from the last seven days that you can see on the web version of the newsletter. Want this type of article to hit your inbox every Friday morning? You should sign up!

hackaday.com/2024/09/07/fun-an…

Nella vivace città di Dubai, uno chef ha preso una decisione insolita che avrebbe cambiato per sempre il menù di una famosa catena di pizzerie. Spartak Arutyunyan, responsabile dello sviluppo del menù per Dodo Pizza, si è rivolto al chatbot di OpenAI, ChatGPT, per elaborare una nuova ricetta per la pizza. Il risultato? Un mix selvaggio di sapori che è diventato un successo immediato.

La nascita della “Pizza Tuttofare”

ChatGPT, noto per la sua capacità di generare idee creative, è stato incaricato di riflettere le tradizioni culinarie di Dubai.

Il chatbot ha suggerito una ricetta che includeva pollo shawarma arabo, formaggio paneer grigliato indiano, erbe mediorientali Za’atar e salsa tahini. Questo miscuglio di sapori interculturali potrebbe sembrare insolito, ma ha toccato un nervo scoperto nei clienti.

Arutyunyan ha ammesso: “Come chef, non mescolerei mai questi ingredienti su una pizza, ma il mix di sapori era comunque sorprendentemente buono”. La pizza, soprannominata “Everything Pizza”, ha iniziato a vendere come il pane e rimane una scelta popolare nel menu.

L’intelligenza artificiale in cucina: successi e fallimenti

L’uso dell’intelligenza artificiale in cucina non è una novità. L’anno scorso, un “negozio di frullati su misura” chiamato BetterBlends a San Francisco ha chiuso i battenti dopo che la sua attività di ricette di frullati iper-personalizzate non ha avuto successo. Allo stesso modo, un negozio di tacos a Dallas ha sperimentato l’intelligenza artificiale generativa, con risultati sorprendenti.

Venecia Willis, direttrice culinaria di Velvet Taco, ha condiviso la sua esperienza con ChatGPT. “Penso che l’intelligenza artificiale sia un ottimo strumento da usare quando si è in un momento di crisi creativa, per far ripartire il cervello: ‘quella combinazione potrebbe funzionare, proviamola’”, ha detto. “L’intelligenza artificiale può suggerire qualcosa a cui forse non avrei pensato”.

Scetticismo e potenziale

Nonostante il successo di “Everything Pizza”, alcuni esperti rimangono scettici sull’uso dei chatbot AI in cucina. Emily Bender, critica AI e professoressa di linguistica presso l’Università di Washington, ha sottolineato che la capacità di ChatGPT di generare ricette si basa su ricette esistenti disponibili online.

“Se riesci a far sì che ChatGPT tiri fuori qualcosa che sembra una ricetta, allora è perché ci sono ricette su Internet”, ha detto Bender alla BBC. Ciò solleva interrogativi sull’originalità e la creatività delle ricette generate dall’intelligenza artificiale.

Il futuro dell’intelligenza artificiale in cucina

Il successo di “Everything Pizza” dimostra che l’intelligenza artificiale può essere uno strumento prezioso per gli chef che vogliono innovare. Sebbene non tutte le ricette generate dall’intelligenza artificiale saranno dei successi, il potenziale di creatività e ispirazione è innegabile.

Man mano che l’intelligenza artificiale continua a evolversi, possiamo aspettarci di vedere creazioni culinarie più uniche ed entusiasmanti.

L'articolo ChatGPT Chief Stellato: La Pizza Creata dall’AI che Sta Conquistando Dubai proviene da il blog della sicurezza informatica.

Look, if something happened to you every three weeks or so to basically turn you into a different person and factored heavily into whether any new humans were created, you’d probably want to keep abreast of the schedule, yeah? Yeah. So, while there are, of course, a ton of ways to do this with your phone, most of those apps do gross things with your data. Are you angry yet?

[Jakoba the Online Witch] certainly was, or if not angry, at least annoyed. So she built a glowing egg timer, which shines a different color based on current point in her cycle, to let her know when she is fertile and expecting Aunt Flo.

The coolest part is that this is an actual egg from one of [Jakoba]’s backyard chickens. No. The coolest part is how she was able to make so many holes without breaking it. (It took four tries.)

After bleaching the insides, the egg was ready to glow. As [Jakoba] says, the guts are simple — just a Wemos D1 Mini ESP8266, a WS2812 LED, and a heatsink. The enclosure consists of an inverted peanut bowl with a glass ornament hot-glued in place.

Once it was put together, all she had to do was add it in Home Assistant and use the current calendar state to trigger services from the YAML configuration.

Would you prefer an on-body solution? Here’s an earring that tracks temperature.

hackaday.com/2024/09/07/glowin…

Nella sua recente pubblicazione, Pavel Durov ha riportato di come Telegram stia combattendo il fatto che la piattaforma viene abusata dai criminali.

Gli sviluppatori del Messenger hanno rimosso la funzione “Persone nelle vicinanze“, utilizzata da meno dello 0,1% degli utenti di Telegram, e hanno anche disabilitato il caricamento dei media in Telegraph. Attualmente puoi allegare immagini e video ai post su Telegraph solo utilizzando collegamenti da altre risorse.

Abbiamo notato inoltre che la funzione “Persone nelle vicinanze” ha smesso di funzionare per molti utenti alla fine di agosto, poco dopo l’arresto di Pavel Durov in Francia.

Il nuovo messaggio di Durov afferma che Telegram Premium ha recentemente raggiunto i 10 milioni di abbonati ed è ora di introdurre una serie di nuove funzionalità e abbandonare “molte di quelle obsolete”.

“Abbiamo rimosso la funzione Persone nelle vicinanze, che veniva utilizzata da meno dello 0,1% degli utenti di Telegram, ma causava problemi con bot e truffatori.

Telegram sta lanciando la funzione “Business nelle vicinanze”, dove verranno presentate le aziende verificate. Queste organizzazioni saranno in grado di visualizzare i cataloghi dei loro prodotti e accettare pagamenti.

È stato anche disabilitato il caricamento di nuovi media per Telegraph, il nostro strumento di blogging offline, che sembra essere stato utilizzato in modo improprio da individui anonimi.

Mentre il 99,999% degli utenti di Telegram non ha nulla a che fare con la criminalità, lo 0,001% delle persone coinvolte in attività illegali crea una cattiva immagine dell’intera piattaforma, mettendo a repentaglio gli interessi di quasi un miliardo dei nostri utenti.

Ecco perché quest’anno intendiamo trasformare la moderazione su Telegram da oggetto di critica a oggetto di lode”, afferma Durov.

Ricordiamo che Pavel Durov è stato arrestato in Francia il 24 agosto 2024, dopo che il suo aereo privato proveniente dall’Azerbaigian è atterrato all’aeroporto di Le Bourget.

Di conseguenza, il fondatore di Telegram è stato accusato di sei capi d’imputazione relativi a vari reati individuati sulla piattaforma (tra cui pedofilia, riciclaggio di denaro, traffico di droga e così via).

Le forze dell’ordine francesi affermano che il team di Telegram non combatte i contenuti illegali e non collabora con le autorità, rifiutandosi, ad esempio, di “fornire, su richiesta delle autorità autorizzate, informazioni o documenti necessari per l’attuazione e l’uso delle misure di intercettazione consentite dalla legge”. e significa.”

Il 28 agosto 2024 Pavel Durov è stato rilasciato sotto controllo giudiziario. Si impegna a pagare una cauzione di 5 milioni di euro e a presentarsi alla stazione di polizia due volte a settimana.

L'articolo Telegram: Addio a “Persone Nelle Vicinanze”, ma grandi novità all’orizzonte sulla Moderazione proviene da il blog della sicurezza informatica.

Buon sabato e ben ritrovato caro cyber User.

Bentornati al nostro appuntamento settimanale con le principali novità dal mondo della sicurezza informatica. Questa settimana, governi e organizzazioni globali stanno intensificando gli sforzi per proteggere infrastrutture critiche e dati sensibili. Allo stesso tempo, le minacce cyber continuano a evolversi, colpendo settori chiave con tattiche sempre più sofisticate. Esaminiamo insieme gli eventi più rilevanti.

Roadmap della Casa Bianca per proteggere il Border Gateway Protocol

In risposta alla crescente minaccia di attacchi informatici contro le infrastrutture di rete, la Casa Bianca ha pubblicato un piano dettagliato per migliorare la sicurezza del Border Gateway Protocol (BGP), fondamentale per l'instradamento dei dati su internet. Il piano prevede l'implementazione di tecnologie come la Resource Public Key Infrastructure (RPKI) per validare la legittimità dei dati che entrano nelle reti governative e prevenire attacchi di BGP hijacking. Viene inoltre raccomandato l'uso di filtri avanzati e il monitoraggio dei fornitori di servizi di rete per migliorare la gestione del rischio cyber.

Sequestrati 32 domini web legati alla disinformazione russa

Il Dipartimento di Giustizia degli Stati Uniti ha annunciato il sequestro di 32 domini web collegati a una campagna di disinformazione russa, progettata per influenzare il pubblico americano in vista delle prossime elezioni presidenziali. L'operazione, soprannominata Doppelgänger, coinvolgeva aziende e individui russi, alcuni dei quali sono stati incriminati e sanzionati per aver orchestrato un programma da 10 milioni di dollari. Tra i soggetti colpiti vi sono dirigenti di RT e altre entità legate all'amministrazione presidenziale russa.

Sprint di assunzioni nel settore cyber negli Stati Uniti

Per rispondere alla crescente domanda di esperti di cybersecurity, l'Office of the National Cyber Director (ONCD) ha lanciato un'iniziativa di assunzione chiamata "Service to America". L'obiettivo è colmare le circa 500.000 posizioni aperte nel settore cyber negli Stati Uniti, sensibilizzando sui posti di lavoro disponibili e facilitando l'accesso alla carriera, anche rimuovendo requisiti di laurea per alcuni ruoli. Si spera così di attirare più talenti, compresi i coniugi militari e altri individui che tradizionalmente incontrano barriere all'ingresso nel mondo del lavoro.

Nuove minacce: ransomware e cyber-spionaggio

Il gruppo di ransomware Fog ha spostato il proprio focus sui servizi finanziari, combinando furto di dati ed encrittazione di file per esercitare pressioni sulle vittime. Questo gruppo, noto in precedenza per aver colpito il settore educativo e ricreativo, utilizza un approccio multistrato per bloccare i file e minacciare di rilasciare dati sensibili.

Nel frattempo, in Malesia, figure politiche di alto profilo sono sotto attacco del malware Babylon RAT, distribuito tramite file ISO malevoli. Questo malware permette agli aggressori di ottenere il controllo completo dei sistemi compromessi, rubando informazioni sensibili.

Malware contro gli hacker: Lummac Stealer

Non solo le vittime comuni, ma anche gli stessi hacker sono ora nel mirino. È stato scoperto il malware Lummac Stealer, che si maschera come uno strumento per controllare account OnlyFans, ma in realtà ruba credenziali, informazioni finanziarie e portafogli di criptovalute. Questo malware si diffonde attraverso software craccato, dimostrando che nessuno è al sicuro dalle minacce cyber, nemmeno coloro che operano nell'illegalità.

Nuove vulnerabilità e aggiornamenti di sicurezza

La CISA ha aggiunto due vulnerabilità critiche presenti nei router DrayTek VigorConnect al suo catalogo Known Exploited Vulnerabilities. Questi difetti, risalenti al 2021, consentono agli attaccanti di scaricare file con privilegi di root, ed è stato recentemente osservato un aumento degli attacchi che sfruttano tali vulnerabilità.

Inoltre, Cisco Talos ha scoperto una nuova ondata di documenti Office malevoli creati con il framework MacroPack, utilizzati per distribuire payload come Havoc e PhantomCore RAT. Questi attacchi sono particolarmente insidiosi poiché i documenti vengono generati in modo rapido e distribuiti globalmente, con vari temi per ingannare le vittime.

Malware e minacce emergenti

Nuove minacce continuano ad apparire su tutti i fronti. Il malware mobile SpyAgent, ad esempio, si camuffa come app legittime per rubare chiavi mnemoniche di portafogli di criptovalute in Corea, e potrebbe presto colpire anche utenti iOS. Al contempo, il malware DarkCracks sta prendendo di mira siti WordPress e GLPI, utilizzando tecniche avanzate per evadere gli antivirus e stabilire un controllo a lungo termine dei server compromessi.

Infine, il gruppo Cicada3301 ha fatto scalpore con il suo ransomware scritto in Rust, mirato sia ai sistemi Windows che Linux/ESXi, e ha già rivendicato 23 vittime sulla propria piattaforma di estorsione.

😋 FunFact

Il FunFact di oggi è divertente, altrimenti, a guardarlo seriamente, farebbe piangere: come ti installo una estensione Chrome in maniera silente!

Infine

Le minacce informatiche continuano a evolversi, colpendo in modo sempre più mirato settori cruciali come la finanza, la politica e i servizi digitali. Allo stesso tempo, governi e organizzazioni stanno rispondendo con piani e iniziative per rafforzare la resilienza cyber e proteggere infrastrutture vitali. Restate sintonizzati per ulteriori aggiornamenti e analisi sul mondo digitale.

Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon fine settimana, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec.

buttondown.com/ninasec/archive…

As technology progresses, we generally expect processing capabilities to scale up. Every year, we get more processor power, faster speeds, greater memory, and lower cost. However, we can also use improvements in software to get things running on what might otherwise be considered inadequate hardware. Taking this to the extreme, while large language models (LLMs) like GPT are running out of data to train on and having difficulty scaling up, [DaveBben] is experimenting with scaling down instead, running an LLM on the smallest computer that could reasonably run one.

Of course, some concessions have to be made to get an LLM running on underpowered hardware. In this case, the computer of choice is an ESP32, so the dataset was reduced from the trillions of parameters of something like GPT-4 or even hundreds of billions for GPT-3 down to only 260,000. The dataset comes from the tinyllamas checkpoint, and llama.2c is the implementation that [DaveBben] chose for this setup, as it can be streamlined to run a bit better on something like the ESP32. The specific model is the ESP32-S3FH4R2, which was chosen for its large amount of RAM compared to other versions since even this small model needs a minimum of 1 MB to run. It also has two cores, which will both work as hard as possible under (relatively) heavy loads like these, and the clock speed of the CPU can be maxed out at around 240 MHz.

Admittedly, [DaveBben] is mostly doing this just to see if it can be done since even the most powerful of ESP32 processors won’t be able to do much useful work with a large language model. It does turn out to be possible, though, and somewhat impressive, considering the ESP32 has about as much processing capability as a 486 or maybe an early Pentium chip, to put things in perspective. If you’re willing to devote a few more resources to an LLM, though, you can self-host it and use it in much the same way as an online model such as ChatGPT.

hackaday.com/2024/09/07/large-…

I ricercatori di sicurezza cinesi hanno recentemente scoperto attacchi che utilizzano la vulnerabilità CVE-2024-30051 (punteggio CVSS: 7,8), utilizzata negli attacchi informatici legati a QakBot, un noto trojan bancario. La vulnerabilità è stata notata per la prima volta dagli specialisti di Kaspersky Lab nell’aprile 2024. Il difetto è legato alla libreria “dwmcore.dll”, responsabile del processo Desktop Window Manager in Windows.

Sfruttando questa vulnerabilità, gli aggressori possono controllare il processo di allocazione della memoria, che porta a un buffer overflow e consente la scrittura dei dati al di fuori dell’area allocata. Ciò apre la porta all’esecuzione di codice arbitrario sul computer di destinazione.

Gli aggressori hanno sfruttato una vulnerabilità nel sistema DirectComposition, responsabile della gestione degli elementi visivi in ​​Windows. Hanno inviato comandi speciali attraverso funzioni vulnerabili, che hanno interrotto il normale funzionamento del sistema. Ciò ha permesso di modificare i processi di sistema e ottenere diritti di accesso elevati.

È interessante notare che per sfruttare la vulnerabilità è stata utilizzata una complessa tecnica di manipolazione della memoria, inclusa la creazione di oggetti speciali come CHolographicInteropTextureMarshaler. Durante l’attacco gli aggressori hanno inserito codice dannoso in questi oggetti e hanno controllato l’esecuzione dei comandi a livello di sistema.

Dopo aver sfruttato con successo la vulnerabilità, gli aggressori hanno caricato librerie dannose che consentivano loro di eseguire comandi arbitrari ed eseguire programmi con privilegi elevati. Ad un certo punto gli aggressori hanno addirittura sfruttato la vulnerabilità per interagire con il processo UAC (User Account Control) di Windows, che dava loro accesso alle funzioni del sistema e permetteva loro di aggirare i meccanismi di sicurezza standard.

I ricercatori sottolineano che tali tecniche per sfruttare le vulnerabilità indicano che gli sviluppatori di malware sono altamente qualificati. In particolare, gli esperti suggeriscono che QakBot abbia le risorse per acquisire e sfruttare le vulnerabilità 0day, il che conferma la sua attività a lungo termine nel campo degli attacchi informatici.

Secondo gli esperti in futuro è prevedibile un aumento del numero di tali attacchi, soprattutto da parte di gruppi finanziariamente motivati che sfruttano le moderne vulnerabilità per attaccare le grandi organizzazioni.

L'articolo QakBot e CVE-2024-30051: Nuovi Metodi di Attacco Basati su Vulnerabilità Windows proviene da il blog della sicurezza informatica.

Le autorità americane hanno accusato Michael Smith, 52 anni, di aver frodato i servizi di streaming per oltre 10 milioni di dollari. Si ritiene che Smith abbia utilizzato l’intelligenza artificiale per creare centinaia di migliaia di brani di band defunte e poi distribuirli tramite servizi di streaming (Spotify, Apple Music, YouTube Music e Amazon Music). Allo stesso tempo, Smith ha aumentato il numero di ascolti utilizzando i robot.

Il procuratore degli Stati Uniti Damian Williams ha affermato: “Come affermato, Michael Smith ha trasmesso in streaming fraudolento miliardi di volte canzoni create con l’intelligenza artificiale per rubare royalties. Attraverso il suo sfacciato schema di frode, Smith ha rubato milioni di royalties che avrebbero dovuto essere pagate a musicisti, cantautori e altri detentori di diritti le cui canzoni erano state legittimamente trasmesse in streaming. Oggi, grazie al lavoro dell’FBI e dei procuratori di carriera di questo ufficio, è tempo che Smith affronti la musica”.

Le accuse contro Smith includono frode telematica, associazione a delinquere finalizzata a commettere frode telematica e associazione a delinquere finalizzata al riciclaggio di denaro. Se condannato, Smith rischia fino a 20 anni di carcere per ogni accusa.

Secondo le forze dell’ordine, la truffa di Smith è durata circa sette anni (dal 2017 al 2024), durante i quali ha utilizzato migliaia di account fittizi creati utilizzando indirizzi email acquistati.

Smith presumibilmente ha sviluppato il proprio software per riprodurre all’infinito la sua musica AI da diversi computer, e questo software ha imitato con successo l’attività di ascoltatori reali provenienti da diverse regioni.

Secondo l’indagine, inizialmente Smith ha caricato le sue composizioni originali sui servizi di streaming, ma è diventato subito chiaro che ciò non portava molti guadagni. Cercando di aumentare la scala, ha collaborato per qualche tempo con altri musicisti, offrendosi di eseguire le loro canzoni a pagamento, ma questi tentativi non sono stati coronati da successo.

Alla fine Smith è passato alla musica generata dall’intelligenza artificiale nel 2018 e ha collaborato con un dirigente e promotore musicale di una società di musica AI senza nome. Insieme hanno creato un’enorme libreria di musica AI. Vale la pena notare che i documenti del tribunale non specificano esattamente quale metodo abbiano utilizzato Smith e i suoi complici per generare le tracce create dall’IA, o come ciò sia avvenuto esattamente.

Smith stimava di poter riprodurre in streaming le sue tracce fino a 661.440 volte al giorno, guadagnando potenzialmente 3.307,20 dollari al giorno (fino a 1,2 milioni all’anno).

Si ritiene che al culmine della sua attività, Smith abbia utilizzato più di 1.000 account bot per potenziare artificialmente le audizioni su varie piattaforme. Da un messaggio che Smith ha inviato a se stesso, aveva scritto di gestire 52 account cloud, ognuno dei quali ospitava 20 bot.

A giugno 2019, Smith guadagnava effettivamente circa 110.000 dollari al mese, condividendo una parte del reddito con i suoi co-cospiratori anonimi. Secondo il New York Times , in un’e-mail inviata all’inizio di quest’anno, Smith si vantava con il suo interlocutore di aver raggiunto i 4 miliardi di stream e di aver guadagnato un totale di 12 milioni di dollari in royalties dal 2019.

Secondo la pubblicazione, quando una società di distribuzione musicale ha denunciato “numerosi abusi nel settore dello streaming” nel 2018, Smith è rimasto scioccato e ha negato fermamente qualsiasi accusa, insistendo sul fatto che “non c’era assolutamente alcuna frode”.

L'articolo Crea Musica con le AI e la fa ascoltare dai Bot. Una frode da 12 milioni di dollari ai servizi di streaming proviene da il blog della sicurezza informatica.

Gli specialisti di Kaspersky Lab hanno parlato della scoperta di numerose vulnerabilità nel terminale biometrico del produttore ZKTeco. I problemi potrebbero essere utilizzati per aggirare i sistemi di controllo degli accessi ed entrare fisicamente in aree protette, nonché per rubare dati biometrici, apportare modifiche ai database e installare backdoor.

I lettori biometrici studiati dai ricercatori sono ampiamente utilizzati in una varietà di settori in tutto il mondo, dalle centrali nucleari e manifatturiere agli uffici e alle organizzazioni sanitarie. I dispositivi supportano quattro metodi di autenticazione dell’utente: biometrico (utilizzando un volto), password, badge elettronico o codice QR, e possono memorizzare i dati biometrici di migliaia di persone.

Uno dei problemi più seri riguarda un gruppo di vulnerabilità che consente agli aggressori di ottenere l’accesso fisico ad aree riservate ( CVE-2023-3938 ), associate alle iniezioni SQL.

Gli aggressori possono incorporare dati in un codice QR per accedere a luoghi che non possono essere raggiunti senza autorizzazione. Se il terminale inizia a elaborare una richiesta contenente un codice QR così dannoso, il database lo identificherà erroneamente come proveniente dall’ultimo utente legittimo autorizzato. Alla fine, l’attacco darà all’hacker la possibilità di penetrare fisicamente in aree riservate.

“Oltre alla sostituzione del codice QR, esiste un’altra potenziale opportunità per ingannare il sistema e ottenere l’accesso alle aree protette chiuse. Se un utente malintenzionato riesce ad accedere al database di un dispositivo, può sfruttare altre vulnerabilità per scaricare una foto di un utente legittimo, stamparla e utilizzarla per ingannare la fotocamera del dispositivo e ottenere l’accesso a un’area protetta. Questo metodo, ovviamente, presenta alcune limitazioni. La foto deve essere stampata o visualizzata sullo schermo del telefono e i sensori termici del terminale biometrico devono essere disabilitati. Tuttavia, questo metodo rappresenta ancora una seria minaccia”, afferma Georgy Kiguradze, esperto di sicurezza informatica presso Kaspersky Lab.

Un altro gruppo di vulnerabilità ( CVE-2023-3940 ) è legato al furto di dati biometrici e all’installazione di backdoor. Pertanto, un potenziale utente malintenzionato può accedere a qualsiasi file sul sistema ed estrarlo. Ciò significa che gli aggressori avranno accesso ai dati biometrici sensibili degli utenti e agli hash delle password e potranno successivamente compromettere le credenziali aziendali, sebbene l’interpretazione dei dati biometrici rubati rimanga estremamente complessa.

Un altro gruppo di vulnerabilità ( CVE-2023-3941 ) consente di apportare modifiche al database del lettore biometrico. Di conseguenza, gli aggressori possono caricare i propri dati (ad esempio fotografie) nel database e aggiungersi autonomamente all’elenco degli utenti autorizzati, per poi passare attraverso tornelli o porte. Questo gruppo di vulnerabilità consente inoltre la sostituzione dei file eseguibili, rendendo potenzialmente possibile la creazione di una backdoor.

Altri gruppi di vulnerabilità ( CVE-2023-3939 , CVE-2023-3943 ) consentono l’esecuzione di comandi o codici arbitrari sul dispositivo, offrendo agli aggressori il pieno controllo con il massimo livello di privilegi. Ciò significa che l’apparecchio può essere utilizzato per sferrare attacchi ad altri nodi della rete, mettendo a rischio l’intera infrastruttura aziendale.

In totale, i ricercatori hanno scoperto 24 vulnerabilità nei terminali biometrici ZKTeco:

• 6 SQL injection;
• 7 stack buffer overflow;
• 5 command injection;
• 6 vulnerabilità varie sul file system;

Gli esperti hanno raggruppato in gruppi tutte le vulnerabilità riscontrate (molte di esse erano simili tra loro perché sorte a causa di un errore in un punto all’interno della libreria che funge da “wrapper” per il database) e le hanno registrate, dopo aver prima segnalato i problemi al produttore.

L'articolo Vulnerabilità nei Terminali ZKTeco: Gli Hacker Possono Accedere ad Aree Riservate proviene da il blog della sicurezza informatica.

Zyxel ha rilasciato patch per risolvere una vulnerabilità critica che colpisce diversi modelli di router aziendali e potenzialmente consente agli aggressori non autenticati di eseguire l’iniezione di comandi. Zyxel ha inoltre risolto quasi una dozzina di vulnerabilità negli altri suoi prodotti.

La vulnerabilità più pericolosa tra tutte quelle corrette viene tracciata con l’identificatore CVE-2024-7261 e ha ricevuto un punteggio CVSS di 9,8, che è considerato critico. Il problema è dovuto alla cattiva gestione dei dati forniti dagli utenti, che consente agli aggressori remoti di eseguire comandi arbitrari sul sistema operativo host.

“La neutralizzazione errata di elementi speciali nel parametro host nel programma CGI su alcuni punti di accesso e modelli di router potrebbe consentire a un utente malintenzionato non autorizzato di eseguire comandi inviando un cookie appositamente predisposto a un dispositivo vulnerabile“, avvertono gli ingegneri di Zyxel.

Il CVE-2024-7261 interessa i seguenti dispositivi.

• Serie NWA : NWA50AX, NWA50AX PRO, NWA55AXE, NWA90AX, NWA90AX PRO, NWA110AX, NWA130BE, NWA210AX, NWA220AX-6E. Tutte le versioni firmware fino alla 7.00 sono vulnerabili; si consiglia l’aggiornamento alla 7.00 (ABYW.2) e alle versioni successive.
• NWA1123-AC PRO: tutte le versioni firmware fino alla 6.28 sono vulnerabili, si consiglia l’aggiornamento alla 6.28 (ABHD.3) e versioni successive.
• NWA1123ACv3, WAC500, WAC500H: tutte le versioni firmware fino alla 6.70 sono vulnerabili, si consiglia l’aggiornamento alla 6.70 (ABVT.5) e successive.
• Serie WAC : WAC6103D-I, WAC6502D-S, WAC6503D-S, WAC6552D-S, WAC6553D-E, tutte le versioni firmware fino alla 6.28 sono vulnerabili, si consiglia di aggiornare alla 6.28 (AAXH.3) e alle versioni successive.
• Serie WAX : WAX300H, WAX510D, WAX610D, WAX620D-6E, WAX630S, WAX640S-6E, WAX650S, WAX655E, tutte le versioni firmware 7.00 sono vulnerabili, si consiglia l’aggiornamento a 7.00 (ACHF.2) e successive.
• Serie WBE : WBE530, WBE660S, tutte le versioni firmware fino alla 7.00 sono vulnerabili, si consiglia l’aggiornamento alla 7.00 (ACLE.2) e successive.

Zyxel segnala inoltre che anche i router USG LITE 60AX che eseguono V2.00 (ACIP.2) sono interessati da questo problema, ma questo modello si aggiornerà automaticamente tramite il cloud alla versione V2.00 (ACIP.3), che contiene già una patch per CVE-2024-7261.

Tuttavia, il bug critico non è stato l’unico problema risolto da Zyxel questa settimana. Pertanto, il produttore ha messo in guardia su sette ulteriori vulnerabilità che colpiscono alcune serie di firewall, tra cui ATP, USG-FLEX e USG FLEX 50(W)/USG20(W)-VPN:

• CVE-2024-6343 (CVSS Score 4.9): un buffer overflow in CGI che consente a un utente malintenzionato autenticato con privilegi amministrativi di causare un rifiuto di servizio inviando richieste HTTP appositamente predisposte;
• CVE-2024-7203 (CVSS Punteggio 7.2): iniezione di comandi post-autenticazione, che consente a un utente malintenzionato autenticato con privilegi amministrativi di eseguire comandi eseguendo comandi CLI appositamente predisposti. Tale bug è stato scoperto dai ricercatori di Red Hot Cyber del gruppo di HackerHood.
• CVE-2024-42057 (CVSS Score 8.1): iniezione di comandi in VPN IPSec, che consente a un utente malintenzionato non autenticato di eseguire comandi inviando un nome utente falsificato (l’attacco avrà successo solo se il dispositivo è configurato per l’autenticazione basata sull’utente PSK e ha un utente con un nome più lungo di 28 caratteri).
• CVE-2024-42058 ( punteggio CVSS 7.5): un de referenziamento del puntatore NULL in alcune versioni di firewall, che consente a un utente malintenzionato non autenticato di condurre attacchi DoS inviando pacchetti modificati.
• CVE-2024-42059 (CVSS Punteggio 7.2): un’iniezione di comandi post-autenticazione che consente a un utente malintenzionato autenticato con privilegi amministrativi di eseguire comandi su un dispositivo interessato caricando un file di lingua compresso tramite FTP.
• CVE-2024-42060 (punteggio CVSS 7.2): iniezione di comandi post-autenticazione, che consente a un utente malintenzionato autenticato con privilegi amministrativi di eseguire comandi scaricando un file del contratto utente interno modificato su un dispositivo interessato.
• CVE-2024-42061 (punteggio CVSS 6.1): il CGI XSS riflesso Dynamic_script.cgi consente a un utente malintenzionato di indurre un utente a visitare un URL creato con un payload XSS. Un utente malintenzionato sarà in grado di ottenere informazioni sul browser se nel browser della vittima viene eseguito uno script dannoso.

Un’altra vulnerabilità ( CVE-2024-5412 , punteggio CVSS 7,5) è stata identificata in 50 prodotti Zyxel, tra cui alcune apparecchiature client, terminali in fibra ottica e router. Il problema è legato a un buffer overflow nella libreria libclinkc e consente a un utente malintenzionato non autenticato di condurre un attacco DoS inviando richieste HTTP modificate.

L'articolo Vulnerabilità critica nei router Zyxel! Patch disponibili per evitare attacchi di iniezione proviene da il blog della sicurezza informatica.

Polypropylene (PP) is a thermoplastic that has a number of properties that sets it apart from other thermoplastics which see common use with 3D printing, including PLA, ABS and nylon (PA). Much like ABS (and the similar ASA), it is a pretty touchy material to print, especially on FDM printers. Over at the [All3DP] site [Nick Loth] provides a quick start guide for those who are interested in using PP with 3D printing, whether FDM, SLS or others.

A nice aspect of printing with PP is that it requires similar temperatures for the extruder (205 – 275 °C) and print bed (80 – 100 °C) as other common FDM filaments. As long as airflow can be controlled in the (enclosed) printer, issues with warping and cracking as the extruded filament cools should not occur. Unlike ABS and ASA which also require an enclosed, temperature-controlled printing space, PP has an advantage that printing with it does not produce carcinogenic fumes (styrene, acrylonitrile, etc.), but it does have the issue of absolutely not wanting to adhere to anything that is not PP. This is where the article provides some tips, such as the use of PP-based adhesive tape on the print bed, or the use of PP-based print plates.

As far as PP longevity and recyclability goes, it compares favorably with ABS and PA, meaning it’s quite resilient and stable, though susceptible to degradation from UV exposure without stabilizers. Recycling PP is fairly easy, though much like with polymers like PLA, the economics and logistics of recycling remain a challenge.

hackaday.com/2024/09/06/gettin…

The Bluetooth SIG recently released the core specification for version 6.0 of Bluetooth. Compared to 5.x, it contains a number of changes and some new features, the most interesting probably being Channel Sounding. This builds upon existing features found in Bluetooth 5.x to determine the angle to, and direction of another device using Angle of Arrival (AoA) and Angle of Departure (AoD), but uses a new approach to much more precisely determine these parameters. as defined in the Technical Overview document for this feature.

In addition to this feature, there are also new ways to filter advertising packets, to reduce the number of packets to sift through (Decision-Based Advertising Filtering) and to filter out duplicate packets (Monitoring Advertisers). On a fundamental level, the Isochronous Adaptation Layer (ISOAL) received a new framing mode to reduce latency and increase reliability, alongside frame spacing now being negotiable and additional ways to exchange link layer information between devices.

As with any Bluetooth update, it will take a while before chipsets supporting it become widely available, and for the new features to be supported, but it gives a glimpse of what we can likely expect from Bluetooth-enabled devices in the future.

hackaday.com/2024/09/06/blueto…

It’s 2024, and there’s no getting around it. Grid energy is expensive. [Darrell] realized that a lot of his money was going on water heating, and he came up with a neat solution. What if he could hack in some solar power to slash his bills at a minimum of fuss? It worked so well for him, he’s whipped up a calculator to help others do the same.

[Darrell]’s idea was simple enough. He hooked up solar panels to just the bottom heating element of his hot water heater. This cut his power bill in half. His calculator is now up at pvh20.com, and it’s designed to help you figure out if it’s feasible for you. It takes into account your location, local power prices, and the amount of sun your area tends to get on a regular basis. It also takes into account the solar panels you intend to use and your water heater to determine how many panels you’ll need for properly hot water. Key all that in, and you’re well on your way to speccing a decent solar hot water setup. From there you’ll just need to buy the right stuff and wire it all up properly.

If you live in an area where the sun shines freely and the power is more expensive than printer ink, this could be a project well worth pursuing. Cheaper hot water is a grand thing, after all. [Darrell’s] calculator is really only the first step, and it doesn’t deal with the practicalities of installation, but that’s half the fun of a good project, right? Happy hacking!

hackaday.com/2024/09/06/hot-wa…