Salta al contenuto principale


Open Cardiography Signal Measuring Device


A light grey box about the size of a brick with exposed screws held in a person's hand. There are two illuminated push buttons on the bottom left of the top panel. One is illuminated blue while the other is green. A small square screen sits next to a bank of nine different sections with an LED indicator and text of "HW, BAT, HBEAT, ECG, LOD +, LOD -, PPG, Pump, Valve."

Much of the world’s medical equipment is made by a handful of monopolistic megacorps, but [Milos Rasic] built an open cardiography signal measuring device for his master’s thesis.

Using a Pi Pico W for the brains, [Rasic]’s device can record, store and analyze the data from an arm cuff, stethoscope, electrocardiograph (ECG), and pulse oximeter. This data can be used for monitoring blood pressure in patients and he has results from some of his experiments to determine the optimal algorithm for the task on the GitHub if you really want to get into the nitty gritty details.

Inside the brick-sized enclosure is the custom PCB, an 18650 Li-ion cell, and a pneumatic assembly for the arm cuff. Medical sensors attach via GX12 connectors on the back, a USB type B connector is used for data, and a USB C connector provides power for the device. The brightly colored labels will no doubt come in handy in a clinical setting where you really want to be sure you’ve got everything plugged in correctly.

Want more open medical equipment? How about an open ECG or this less accurate, but more portable, credit card ECG? We’d be remiss not to mention the huge amount of work on ventilators during the worst days of the COVID-19 pandemic as well.


hackaday.com/2024/11/13/open-c…



#RaccoonForFriendica esce dalla versione beta! Pubblicata la release 0.1.0 dell'app che offre funzionalità interessanti anche con Mastodon

Aggiornamento: Raccoon for Friendica, il client mobile per Friendica e Mastodon è sbarcato anche su F-Droid

Friendica è una piattaforma social davvero straordinaria e può vantare una serie di caratteristiche che la rendono unica nel panorama della federazione:

  • supporto a testo formattato, post lunghi, titli e spoiler;
  • supporto nativo ai gruppi ActivityPub;
    messaggi diretti;
  • una galleria multimediale dove è possibile gestire foto album;
  • la possibilità di organizzare i contati in cerchie;
  • la possibilità di citare (cross-post) post di altri utenti;
  • importazione di feed RSS;
  • un calendario eventi integrato;
    e ovviamente molto altro (fare riferimento alla documentazione ufficiale)…

L'interfaccia web è ottima per accedere a tutte queste funzionalità, ma su un dispositivo mobile ci sono vincoli diversi per usabilità e leggibilità, quindi è utile avere un'app per utilizzare le più importanti tra le funzioni offerte dalla piattaforma.

Funzionalità principali dell'app:
  • visualizzazione della timeline con la possibilità di cambiare tipo di feed (pubblica, locale iscrizioni e liste personalizzate);
  • dettaglio post, ovvero la possibilità di aprire una conversazione nel suo contesto, visualizzare le risposte, le ricondivisioni e gli utenti che hanno aggiunto il post ai preferiti;
  • dettaglio utente con la possibilità di visualizzare post, post e risposte, post fissati e multimediali, registrarsi per ricevere le notifiche da un utente, seguirlo o inviare una richiesta di seguirlo, visualizzare i seguaci e seguiti;
  • supporto ai gruppi ActivityPub (ovvero le liste di distribuzione), con la possibilità di aprire i thread in modalità forum (o modalità Lemmy);
  • visualizzare i post di tendenza, gli hashtag e i link in tendenza e (se è stato effettuato l'accesso) i suggerimenti su chi seguire;
  • seguire/smettere di seguire un hashtag e visualizzare tutti i post che lo contengono;
    interagire con i post (ricondividere, - aggiungere ai preferiti o segnalibri) e – nel caso dei propri post – modificarli, cancellarli o fissarli sul profilo;
  • ricerca globale di hashtag, post e utenti in base a termini di ricerca specifici;
  • personalizzare l'aspetto dell'applicazione cambiando i colori del tema, il font o la dimensione del testo, ecc.
  • effuare l'accesso tramite il protocollo OAuth2 (o, solo su Friendica, accedere con le proprie credenziali);
  • visualizzare e modificare i dati del proprio profilo;
  • visualizzare e filtrare l'elenco delle notifiche in arrivo;
  • gestire le proprie richieste di essere seguito e accettarle/rifiutarle;
  • visualizzare la lista dei propri preferiti, segnalibri o hashtag seguiti;
  • creare post e risposte con allegati (e testo alternativo per ogni allegato), spoiler e (solo su Friendica) titolo con formattazione in HTML, BBCode (su Friendica) o Markdown (su Mastodon);
  • schedulare post per una data futura (e cambiare la data di schedulazione) o salvarlo nelle bozze locali;
  • segnalare post e utenti agli amministratori per la moderazione dei contenuti;
    silenziare/bloccare utenti (e annullare queste operazioni) e gestire la lista dei propri utenti silenziati o bloccati;
  • gestire le proprie cerchie (liste definite dagli utenti), che su Friendica possono essere utilizzate anche come opzione di visibilità dei post;
  • visualizzare i sondaggi in modalità di sola lettura;
  • supporto multi-account con la possibilità di cambiare account (e, in modalità anonima, di cambiare istanza);
  • inviare messaggi diretti (solo su Friendica) ad altri utenti e visualizzare le conversazioni;
    gestire la propria galleria multimediale (solo su Friendica);
  • visualizzare il proprio calendario (only on Friendica) in modalità sola lettura.

github.com/LiveFastEatTrashRac…

in reply to informapirata ⁂

Grazie a voi per i feedback e devo chiedere scusa a @informapirata ⁂ :privacypride: per tutte le volte che gli ho rotto le scatole in questi mesi (chiedendo consigli o verifiche).

In ogni caso sappiate che:
- per me è stato divertente e molto istruttivo sviluppare un client per Friendica/Mastodon, quindi oltre a passare il tempo sono cresciuto professionalmente;
- mica finisce qui 😂 anzi, la parte migliore sarà evolvere il progetto da ora in avanti!

@Signor Amministratore ⁂ @0ut1°°k @Fedi.Tips

reshared this



Landscape Motif Makes This E-Ink Weather Display Easy to Understand


24784815

True weather geeks will disagree, but there might be a better way to know how to dress for the day than divining what the weather will likely be from the current readings for temperature, pressure, humidity, and wind. Sure, the data will give you a good idea of where the weather is heading, but perhaps a quick visual summary such as the one offered by this pictorial landscape weather display is a better way to get out the door in the morning.

While many consumer weather stations incorporate some kind of graphical forecast for quick reference, [lds133] took a slightly different approach to forecasting. A cartoon landscape represents the day ahead, with various elements representing the coming weather scrolling across the display as time progresses. Trees are used to indicate wind direction and speed, with palm trees indicating south wind and pine trees winds from the north, and the taller the trees, the stronger the wind. The forest floor rises and falls with the expected temperature, the sun and moon appear at the proper time to indicate sunrise and sunset, and cloud icons are added when needed to show the degree of cloud cover. And because into each life a little rain must fall, animations show when you can expect rain or snow.

As for the electronics, if you think this would be a perfect application for an E-ink module, [lds133] agrees. The 296×128 pixel Waveshare display is the perfect aspect ratio for the job and provides nice, crisp icons. The display is updated every 15 minutes from the OpenWeather API by a Python program running on an ESP32 behind the scenes.

We’ve seen similar graphical forecast displays before, but we get it if that’s not your thing. Perhaps a more data-driven weather forecast will suit you better?


hackaday.com/2024/11/13/landsc…



FLOSS Weekly Episode 809: Pi4J – Stable and Boring on the Raspberry Pi


24776031

This week, Jonathan Bennett and David Ruggles chat with Frank Delporte about Pi4J, the friendly Java libraries for the Raspberry Pi, that expose GPIO, SPI, I2C and other IO interfaces. Why would anyone want to use Java for the Pi? And what’s changed since the project started? Listen to find out!


youtube.com/embed/jqTopQ4keUw?…

Did you know you can watch the live recording of the show Right on our YouTube Channel? Have someone you’d like us to interview? Let us know, or contact the guest and have them contact us! Take a look at the schedule here.

Direct Download in DRM-free MP3.

If you’d rather read along, here’s the transcript for this week’s episode.

Places to follow the FLOSS Weekly Podcast:


hackaday.com/2024/11/13/floss-…



Messaggi Effimeri WhatsApp: Cosa Sono e Come Si Utilizzano


Negli ultimi anni, la privacy online è diventata una preoccupazione crescente, soprattutto quando si tratta di messaggi e comunicazioni personali. WhatsApp ha risposto a questa esigenza introducendo la funzione dei “messaggi effimeri”, una caratteristica pensata per rendere le conversazioni più sicure e temporanee. Ma cosa significa esattamente inviare un messaggio effimero su WhatsApp?

Come funziona questa opzione e quali sono i vantaggi reali per gli utenti?
In questo articolo, scopriremo insieme tutto quello che c’è da sapere sui messaggi effimeri di WhatsApp.

Vedremo come attivarli, quali sono le limitazioni e come questa funzionalità può migliorare la protezione dei tuoi dati. Dalla sicurezza alla comodità, esploreremo anche quando e perché è utile utilizzare questa funzione nelle nostre chat quotidiane.

Cosa sono i Messaggi Effimeri di WhatsApp


I messaggi effimeri di WhatsApp sono una funzionalità che consente di inviare messaggi, foto, video e messaggi vocali che scompaiono automaticamente dopo un periodo di tempo prestabilito. Quando attivi questa modalità in una chat, ogni contenuto inviato viene eliminato dopo che il destinatario lo ha visualizzato o dopo un periodo (ad esempio) di 7 giorni, a seconda delle impostazioni scelte.

Questa funzione è pensata per migliorare la privacy degli utenti, riducendo la permanenza dei contenuti nelle conversazioni e quindi abbassando il rischio che informazioni sensibili possano essere lette o condivise in futuro. In altre parole, i messaggi effimeri sono un modo per mantenere una comunicazione più discreta e temporanea, ideale per chi desidera avere il controllo totale su ciò che viene condiviso.

Tuttavia, è importante sapere che questa funzionalità non è infallibile: se un destinatario salva un contenuto prima che scada, quel messaggio può essere conservato. Nonostante ciò, i messaggi effimeri rappresentano un passo avanti nella protezione della privacy rispetto ai messaggi tradizionali, che restano visibili nella cronologia della chat senza limiti temporali.

Come Attivare i Messaggi Effimeri su WhatsApp


Attivare i messaggi effimeri su WhatsApp è un processo semplice, che ti consente di proteggere meglio la tua privacy e avere il controllo sui messaggi che invii. La funzionalità è disponibile sia su WhatsApp Mobile (per dispositivi Android e iOS) che su WhatsApp Web, con un’interfaccia leggermente diversa a seconda del dispositivo. Ecco come procedere in entrambi i casi.

Attivare i Messaggi Effimeri su WhatsApp Mobile (Android e iOS)


  1. Apri WhatsApp
    Lancia l’app WhatsApp sul tuo smartphone.
  2. Seleziona la Chat
    Vai alla chat individuale o di gruppo in cui desideri attivare i messaggi effimeri. Tieni presente che questa funzione può essere attivata in chat singole o di gruppo, ma solo gli amministratori di un gruppo possono attivarla per tutti i partecipanti.
  3. Accedi alle Impostazioni della Chat
    Tocca il nome del contatto o del gruppo nella parte superiore della schermata per entrare nel menu delle informazioni della chat.
  4. Attiva i Messaggi Effimeri
    Scorri verso il basso fino a trovare l’opzione “Messaggi effimeri”. Tocca questa voce.
  5. Abilita la Funzione
    Comparirà la sezione “Messaggi Effimeri”, dove sarà possibile scegliere il Timer di distruzione dei messaggi. Le scelte saranno 24 ore, 7 giorni o 90 giorni. E’ possibile anche attivare l’opzione di creazione dei messaggi effimeri di default su tutte le nuove chat create dal momento dell’attivazione in poi.
  6. Disattivare i Messaggi Effimeri
    Se desideri disattivare i messaggi effimeri, basta tornare nella stessa sezione e selezionare “No”. I messaggi già inviati non saranno eliminati, ma quelli futuri non avranno più la funzione di scomparire.


24776009Schermata di Android Mobile di attivazione dei messaggi Effimeri 24776011Schermata di Android Mobile di attivazione dei messaggi Effimeri, dove specificare la durata dei messaggi

Attivare i Messaggi Effimeri su WhatsApp Web


Su WhatsApp Web, l’abilitazione dei messaggi effimeri è leggermente diversa rispetto alla versione mobile, ma altrettanto semplice. Ecco i passaggi da seguire:

  1. Accedi a WhatsApp Web
    Apri web.whatsapp.com nel tuo browser e scansiona il QR code con il tuo smartphone per collegarti.
  2. Seleziona la Chat
    Una volta connesso, seleziona la chat in cui vuoi abilitare i messaggi effimeri.
  3. Accedi alle Impostazioni della Chat
    Clicca sul nome del contatto o del gruppo in alto per accedere alle informazioni della chat.
  4. Attiva i Messaggi Effimeri
    Scorri fino a trovare l’opzione “Messaggi effimeri” e clicca su di essa.
  5. Abilita la Funzione
    Nella finestra “che “Inizia ad usare i messaggi effimeri”, clicca su “OK” per attivare i messaggi effimeri. Come nella versione mobile, i messaggi inviati in questa chat scompariranno automaticamente dopo 7 giorni.
  6. Disattivare i Messaggi Effimeri
    Per disabilitare la funzione, basta fare lo stesso clic sulla voce “Messaggi effimeri” e selezionare “Disattiva”.


24776013Schermata di WhatsApp Web dove è possibile una volta selezionato un contatto o una chat, una volta cliccato sul nome, l’attivazione dei messaggi effimeri. 24776015Schermata di WhatsApp web di autorizzazione all’utilizzo delle funzionalità di messaggi effimeri. 24776017Schermata di WhatsApp Web dove impostare il tempo della durata dei messaggi

Vantaggi della Funzione dei Messaggi Effimeri


Come abbiamo visto, i messaggi effimeri su WhatsApp sono una funzionalità che offre una maggiore protezione della privacy e un controllo migliore sulla gestione delle conversazioni. I principali vantaggi di questa funzione, possono essere riassunti in:

Maggiore Privacy


I messaggi effimeri offrono un notevole incremento della privacy nelle conversazioni. Ogni volta che invii un messaggio, foto o video, questi scompaiono automaticamente dopo un periodo prestabilito. Questo significa che le informazioni non rimarranno mai visibili a lungo nella cronologia della chat, riducendo significativamente il rischio che vengano recuperate o lette da altre persone in futuro, anche se il tuo dispositivo dovesse essere compromesso o perso inavvertitamente.

Controllo sui Contenuti


I messaggi effimeri ti permettono di avere un maggiore controllo su ciò che invii. Non c’è più bisogno di preoccuparsi di messaggi che restano nel sistema per sempre. Una volta che il destinatario visualizza il messaggio, esso si cancella automaticamente, evitando che i tuoi contenuti possano essere riutilizzati o diffusi in modo indesiderato.

Infatti, una delle principali preoccupazioni quando si inviano messaggi sensibili è il rischio che questi vengano condivisi senza il tuo permesso. Sebbene non possieda una protezione assoluta (ad esempio, se un destinatario fa una foto dello stesso messaggio con un altro smartphone), la funzione dei messaggi effimeri riduce il rischio che il contenuto venga inoltrato o condiviso ulteriormente.

Migliore Gestione dello Spazio


Un ulteriore vantaggio dei messaggi effimeri è la gestione più efficiente dello spazio di archiviazione sul tuo dispositivo. Poiché i messaggi vengono eliminati automaticamente dopo un determinato periodo, non accumuli contenuti che potrebbero non essere più necessari. Questo aiuta a mantenere la cronologia delle chat più pulita e a ridurre il peso dei dati memorizzati sullo smartphone, specialmente per chi ha molte conversazioni attive.

Semplicità e Accessibilità


La funzione dei messaggi effimeri è estremamente facile da utilizzare, sia su WhatsApp mobile che su WhatsApp Web. Non è necessario installare applicazioni o configurare impostazioni complicate. Basta attivare solamente l’opzione direttamente nelle impostazioni della chat, e il gioco è fatto, come visto nel capitolo “Come Attivare i Messaggi Effimeri su WhatsApp”. Inoltre, puoi disattivarla in qualsiasi momento se cambi idea, garantendo flessibilità e un’esperienza utente molto semplice.

Limitazioni dei Messaggi Effimeri: Le cose Importanti Da Sapere


Anche se i messaggi effimeri offrono numerosi vantaggi in termini di privacy e sicurezza, è importante conoscere i suoi limiti soprattutto per evitare potenziali sorprese. Sebbene possiedano diverse qualità utili, i messaggi temporanei non sono una soluzione perfetta e ci sono alcuni aspetti da considerare prima di utilizzarli in modo diffuso.

Possibilità di Fare Screenshot


Una delle principali limitazioni dei messaggi effimeri è che, sebbene questi si autodistruggano dopo un periodo definito, gli utenti possono comunque fare uno screenshot del contenuto prima che questo scompaia. Questo significa che se invii una foto o un messaggio sensibile, c’è sempre il rischio che il destinatario possa catturare una copia del contenuto. WhatsApp non avvisa quando un destinatario effettua uno screenshot, quindi non puoi sapere con certezza se qualcuno ha salvato il messaggio prima che scomparisse.

Impossibilità di Recuperare i Messaggi


Una volta che un messaggio effimero è stato visualizzato e il timer è scaduto, non c’è modo di recuperarlo. Se per errore invii un contenuto importante e poi decidi di volerlo riprendere, dovrai accettare che il messaggio è andato perso. WhatsApp non offre alcuna funzione di recupero dei messaggi effimeri, il che può essere problematico se si tratta di informazioni cruciali.

Funzionalità Limitata nei Backup


I messaggi effimeri non vengono inclusi nei backup di WhatsApp. Se fai un backup della tua chat e successivamente ripristini il dispositivo, i messaggi temporanei non saranno recuperabili. Ciò significa che, se fai affidamento su backup per conservare determinate conversazioni, i messaggi effimeri non saranno mai archiviati, rendendo ancora più difficile il recupero in caso di necessità.

Disponibilità Limitata a Versioni Aggiornate


La funzione dei messaggi effimeri è disponibile solo per gli utenti che utilizzano versioni aggiornate di WhatsApp. Se tu o il tuo interlocutore non avete la versione più recente dell’app, i messaggi effimeri potrebbero non funzionare correttamente, o addirittura non essere disponibili. Pertanto, entrambi i partecipanti alla conversazione devono avere una versione compatibile dell’app per poter utilizzare questa funzionalità senza problemi.

Rischio di Confusione nelle Conversazioni


Un altro aspetto negativo è che i messaggi effimeri generano confusione, soprattutto in conversazioni più lunghe. Se non si è abituati a questo tipo di comunicazione, può essere facile dimenticare che un messaggio o una foto si autodistruggerà dopo un certo tempo. Questo può portare a malintesi, in particolare se si fa affidamento su queste informazioni come riferimenti futuri, in quanto potrebbero non essere più disponibili quando necessario.

Conclusioni


I messaggi effimeri di WhatsApp rappresentano una delle funzionalità più innovative per garantire maggiore privacy e controllo nelle conversazioni. Consentono agli utenti di inviare contenuti temporanei che si eliminano automaticamente dopo un periodo prestabilito, riducendo così i rischi di diffusione involontaria di informazioni sensibili. Sebbene questa funzione offra vantaggi notevoli, come una gestione più sicura dei dati e una maggiore tranquillità per chi desidera limitare la permanenza dei contenuti nelle proprie chat, è importante essere consapevoli delle sue limitazioni.

Tra queste, la possibilità di fare screenshot, l’impossibilità di recuperare i messaggi dopo la loro cancellazione, e l’assenza di backup per i contenuti effimeri sono fattori che gli utenti devono tenere in considerazione.

In definitiva, i messaggi effimeri sono uno strumento utile per chi cerca di aumentare la propria privacy, ma non sono una soluzione perfetta. Essere informati su come funziona questa funzione e sui suoi limiti è essenziale per utilizzarla in modo consapevole e sicuro. Se usata correttamente, può rappresentare un ulteriore passo verso una gestione più sicura delle nostre comunicazioni digitali.

L'articolo Messaggi Effimeri WhatsApp: Cosa Sono e Come Si Utilizzano proviene da il blog della sicurezza informatica.




Attacco alla Rete Tor: Gli Hacker Hanno usato Pacchetti Falsi per Screditare la Rete


Il mese scorso, gli operatori di Tor Relay e gli amministratori di sistema del progetto hanno iniziato a ricevere reclami dagli ISP relativamente ad una scansione di massa delle porte dei server. Come si è scoperto , queste denunce erano legate ad un attacco coordinato e allo spoofing IP: gli aggressori hanno falsificato altri indirizzi IP associati a Tor per far sembrare che massicci scansioni delle porte provenissero dalla rete Tor.

A partire dal 20 ottobre gli specialisti di Tor Project hanno indagato su quanto stava accadendo insieme agli esperti di InterSecLab e GreyNoise. Di conseguenza, il 7 novembre 2024, è stata scoperta la fonte dell’attacco e il problema è stato risolto.

Il blog del progetto afferma che l’attacco mirava a “interrompere il progetto Tor e la rete Tor“. Gli aggressori hanno utilizzato pacchetti SYN falsificati per far sembrare che gli indirizzi IP dei relè Tor fossero la fonte delle scansioni di porte in blocco.

Questa attività non poteva passare inosservata e ha portato a numerosi reclami sugli abusi. Si ritiene che l’obiettivo degli aggressori fosse quello di disturbare la rete Tor e il progetto Tor, poiché gli indirizzi IP finivano nelle blacklist. L’operatore Tor Pierre Bourdon ha parlato in dettaglio di come è stato effettuato esattamente questo attacco. Ora gli sviluppatori sostengono che l’incidente non ha avuto alcun impatto sugli utenti Tor e sulla loro sicurezza.

L’attacco ha avuto un impatto limitato sulla rete Tor, ha comportato la chiusura temporanea di diversi relè e ha causato inutili stress e disagi a molti operatori di relè che sono stati costretti a rispondere ai reclami in arrivo. Sebbene questo attacco fosse rivolto alla nostra comunità, gli attacchi di spoofing IP possono verificarsi a qualsiasi servizio online“, scrive il team di Tor Project. “C’è ancora molto lavoro da fare: dobbiamo supportare gli operatori di inoltro nel ripristino dei loro account e aiutare gli ISP a sbloccare gli indirizzi IP dei nodi di autorità di directory Tor.”

I rappresentanti del Progetto Tor scrivono che nel corso delle indagini e dell’eliminazione delle conseguenze di questo attacco, hanno dovuto affrontare “casi di comportamento non professionale in cui il rifiuto di indagare e la disattenzione non hanno fatto altro che aumentare le conseguenze dell’attacco”. Ma gli sviluppatori ringraziano anche le numerose organizzazioni e individui che non si sono fatti da parte per il loro aiuto e supporto.

Va inoltre notato che la maggior parte delle segnalazioni di attacchi provengono da watchdogcyberdefense[.]com e il progetto Tor esorta la comunità di sicurezza a trattare questi avvisi con cautela.

L'articolo Attacco alla Rete Tor: Gli Hacker Hanno usato Pacchetti Falsi per Screditare la Rete proviene da il blog della sicurezza informatica.



@RaccoonForFriendica the first stable version 0.1.0 has finally been released! 🎉🎊🎉

Here is the changelog, compared the latest beta:
🦝 feat: make crash reports opt-in (disabled by default);
🦝 feat: add option to keep app bars fixed while scrolling;
🦝 fix: transition between images/videos in detail view;
🦝 fix: unmute videos in detail view;
🦝 enhancement: update licenses;
🦝 chore: update dependencies;
🦝 chore: update user manual.

If no blocking issues are reported, I intend to make it easier to install the app (by distributing on other alternative stores, e.g. setting up the submission procedure to F-Droid), translate the UI and/or user manual into more languages, etc.

Wish me good luck and remember to #livefasteattrash!

#friendica #friendicadev #androidapp #androiddev #fediverseapp #raccoonforfriendica #kotlin #multiplatform #kmp #compose #cmp #opensource #procyonproject

reshared this

in reply to Maxdid

@Maxdid puoi avere più account e switchare da uno all'altro, dalla schermata profilo in alto a destra nella barra c'è un pulsante di "gestione account" (icona utente+ingranaggio) che apre una bottom sheet da cui puoi selezionare "Aggiungi nuovo" e rifare login. Da quel momento in poi puoi cambiare account usando la stessa bottom sheet.

RaccoonForFriendica reshared this.



Making Sense of Real-Time Operating Systems in 2024


24766219

The best part about real-time OS (RTOS) availability in 2024 is that we developers are positively spoiled for choice, but as a corollary this also makes it a complete pain to determine what the optimal choice for a project is. Beyond simply opting for a safe choice like FreeRTOS for an MCU project and figuring out any implications later during the development process, it can pay off massively to invest some time up-front matching the project requirements with the features offered by these various RTOSes. A few years ago I wrote a primer on the various levels of ‘real-time’ and whether you may even just want to forego an RTOS at all and use a simple Big Loop™ & interrupt-based design.

With such design parameters in mind, we can then look more clearly at the available RTOS options available today, which is the focus of this article. Obviously it won’t be an exhaustive comparison, and especially projects like FreeRTOS have seen themselves customized to various degrees by manufacturers like ST Microelectronics and Espressif, among others. This also brings to the forefront less pleasant considerations, such as expected support levels, as illustrated by e.g. Microsoft’s Azure RTOS (formerly ThreadX) recently getting moved to the Eclipse Foundation as the Apache ThreadX open source project. On one hand this could make it a solid open-source licensed RTOS, or it could have been open sourced because Microsoft has moved on to something else and cleared out its cupboard.

Thus without further ado, let’s have a look at RTOSes in 2024 and which ones are worth considering, in my opinion.

Answering Some Questions


A crucial distinction when looking at operating systems for embedded systems is the kind of platform it is. If it’s something along the lines of an x86, Cortex-A ARM or similar, you’re likely looking at a desktop-like system, where a real-time OS such as VxWorks, QNX, a BSD or Linux (with or without real-time patches) is probably the best choice, if only due to hardware support concerns. For situations where hard real-time considerations are the most essential, an FPGA/CPLD-based solution might instead be worth it, but this is of course less flexible than an MCU-based solution.

If at this point an MCU-based solution seems the most sensible one, the next logical question is ‘which one RTOS?’. The answer to this is hidden somewhere in long lists of RTOSes, such as the one found over at Wikipedia, or the one over at the OSRTOS website. Assuming for a moment that we are looking only at open source RTOSes here that are seeing active development, we can narrow it down somewhat to the following list:

Of note is that the popular Mbed project was abandoned in July of 2024, rendering the future of this RTOS highly uncertain. Even with that one taken out of the picture, we are still left with an impressive list. Is NuttX better than ThreadX? What about Zephyr versus RIOT or ChibiOS/RT? Merely reading the bullet points for the features gets one only so far. Perhaps the most important questions here pertain to issues such as:

  • Build system requirements
  • Demands on a specific compiler (version)
  • Programming languages one can use with the OS
  • Whether direct hardware access to peripherals is allowed or require going through a HAL of some description.
  • Support availability when something inevitably doesn’t work as expected.
  • Accessibility of the source code when reading through it (readability, documentation, etc.)


Baseline Expectations


The baseline for the build environment demands and supported features is set here at FreeRTOS. It runs on a wide range of (MCU) platforms, provides a number of schedulers, SMP support, happily compiles with just about any compiler toolchain and is C-based so can be used with any programming language that can cooperate with C APIs. Direct hardware access is the standard way for peripherals and the OS generally gets out of your way beyond scheduling and multi-tasking matters. This ‘stay out of the way’ approach persists with developer tools and configuration, which works as easily in Vim as in any other editor.

ThreadX

As of writing the documentation is a stack of Markdown files on GitHub which are clearly not converted yet from their Azure OS era, and ‘getting started’ refers to connecting to the Microsoft Azure cloud. Building the library is apparently done using CMake, Ninja and the standard ARM GCC toolchain for ARM targets, but where’s a sample project and what about other MCU platforms?

After confusing myself clicking through the ‘documentation’ for a while, I’m sure that I would not pick this RTOS as I am spending far too much time even figuring out the basics.

Contiki-NG

Documentation exists and doesn’t look too bad, but you’re pushed right into using a Docker image for development. Fortunately native installation instructions are provided for Linux and MacOS, but not Windows. It’s clear that this RTOS is focused on Internet of Things projects, while the ability to easily run the code as a native (Linux) process is nifty.

Feels like this RTOS could be nice for network-related projects.

OpenERIKA

Confusing website and the impression is that it’s ‘free’, but do not expect any support unless you’re willing to pay for it. Hard pass.

MicroC/OS

I’m sure that Silicon Labs had good intentions with their Micrium OS site, but it’s too hard to find anything on it, never mind how to get started with the thing, plus it seems locked to Silabs devices. Ditto for the Weston-Embedded website. Hard pass.

RIOT

Seems to use basic tools and the standard platform toolchains per the ‘getting started‘ documentation. Build system is GNU Make-based, which is very flexible and should integrate with other build systems with little issue. Quite a lot of documentation to dig through, and might be worth scratching an itch with that FreeRTOS doesn’t cover?

NuttX, Zephyr, ChibiOS/RT

RTOSes which have lots of bullet points are kinda fancy, but demanding the use of KConfig with NuttX, the insistence on setting up a special Python-based development with Zephyr and the seemingly hard requirement to use the special IDE with ChibiOS/RT all makes for problematic choices that will make developing with these either impossible — KConfig on Windows — or integrating with other build systems impossible to tedious.

While I’m not a Python hater, my experiences with Python-based build environments and tools are very negative, and I’d rather avoid such unnecessary dependencies in a development workflow. If you’re a Python fan, you might want to look more seriously at Zephyr.

With that said, the remaining RTOSes in the list are fairly small and can probably be skipped safely.

FreeRTOS


Back in my original 2021 article I covered getting started with FreeRTOS, which at the time was focused mostly on STM32 and similar ARM-based MCUs. Since then I have extensively expanded my use of FreeRTOS in the form of Espressif ESP32 development, both on the base ESP32 MCU and the ESP32-S3. This provided a range of interesting perspectives, also since I was porting significant amounts of cross-platform C and C++ code to these MCUs.

An important aspect of FreeRTOS is that it is commonly included in MCU SDKs, as is the case with Espressif’s ESP-IDF. It supports three different versions of FreeRTOS: the single-core ‘vanilla’ FreeRTOS, the Espressif (SMP) version and Amazon’s SMP FreeRTOS. Espressif’s version is optimized for the dual-core design of the ESP32 and ESP32-S3 and the default choice. What this demonstrates clearly is that the strength of FreeRTOS lies in its flexibility. You can slot in any custom scheduler, heap allocation algorithm, and pile on additions that are optimized for the target platform.

ESP-IDF provides partial POSIX compatibility, which uses FreeRTOS primitives internally. In order to port projects based on the cross-platform PoCo libraries, I added FreeRTOS support to these in the compatible NPoCo project. With this approach I can use virtually all of the features provided by the PoCo libraries also with (ESP-IDF) FreeRTOS, while allowing for the exact same code to compile on desktop platforms. The only platform-specific elements (e.g. start-up and peripheral use) are handled by compile-time preprocessor inclusions.

Drawing Conclusions


Although there are many ways to go about developing a project and advocating a particular approach is the best way to end up forever shunned by friends & colleagues, looking at a different approach can be enlightening. Over my own career I have gravitated strongly towards simplicity and reducing potential pain points. A big part of this is finding the optimal ways to do as little work as possible, which is where my own approach to MCU-based RTOSes comes from. I really don’t want to write more code than absolutely necessary, also because new code has new bugs.

As software is incredibly flexible, the real value in an (RT)OS lies in the scheduler, heap allocator and similar elements which provide the primitives on which other features can be built. While many RTOSes seem to go out of their way to (incompatibly) replicate the scope of the entire Linux kernel space & userspace in miniature, this to me at least seems restrictive. What I personally appreciate in FreeRTOS is that you can have as much or as little FreeRTOS in your code as you want, making it extremely hackable.

For others their priorities may be completely different, in which case any of the other RTOSes may work better, which is also perfectly fine. As long as the project is completed on time, within budget and no keyboards were thrown through the room, there are no wrong choices.


hackaday.com/2024/11/13/making…



Il più recente aereo di Mosca è già obsoleto. Ecco perché

@Notizie dall'Italia e dal mondo

L’Airshow di Zuhai rappresenta un’occasione preziosa per mettere in mostra (così come per osservare) alcuni dei prodotti più avanzati dell’industria aerospaziale globale. L’edizione di quest’anno ha ospitato, tra le altre cose, anche il primo debutto pubblico del caccia di quinta generazione russo Sukhoi Su-57 (nome



Scoperto Ymir: il Ransomware che sfida le difese delle Aziende con tecniche mai viste prima


Gli specialisti di Kaspersky Lab hanno scoperto un nuovo malware ransomware chiamato Ymir, che utilizza meccanismi avanzati per aggirare il rilevamento e la crittografia dei dati dell’organizzazione vittima. Il malware prende il nome dalla luna irregolare di Saturno, che orbita nella direzione opposta alla rotazione del pianeta. Questo nome riflette la combinazione non convenzionale di funzionalità di gestione della memoria utilizzate da Ymir.

I ricercatori hanno scoperto Ymir mentre analizzavano un attacco contro un’organizzazione anonima in Colombia avvenuto in più fasi. In primo luogo, gli aggressori hanno utilizzato lo stealer RustyStealer per rubare le credenziali aziendali dei dipendenti. Ciò ha consentito loro di accedere al sistema e di mantenerne il controllo abbastanza a lungo da impiantare il ransomware.

Questo comportamento è solitamente tipico dei cosiddetti broker di accesso iniziale (IaB). Di solito poi vendono l’accesso al sistema attaccato nel Dark Web ad altri aggressori. In questo caso, però, gli aggressori utilizzando l’accesso per lanciare un ransomware.

“Se i cosiddetti “broker” e coloro che hanno distribuito il ransomware sono le stesse persone, allora possiamo parlare di una deviazione dalla tendenza principale: gli aggressori hanno ulteriori opportunità di hacking senza fare affidamento sui gruppi tradizionali che offrono la crittografia come servizio ( RaaS)”, commenta Konstantin Sapronov, capo del team globale di risposta agli incidenti informatici presso Kaspersky Lab.

Va notato che gli aggressori hanno utilizzato una combinazione non standard delle funzioni malloc , memmove e memcmp per eseguire codice dannoso direttamente nella memoria. Questo approccio differisce dal tipico flusso di esecuzione sequenziale tipicamente utilizzato nei comuni ransomware e consente ai criminali di eludere il rilevamento in modo più efficace.

Inoltre, Ymir consente agli aggressori di crittografare selettivamente i file, il che dà loro un maggiore controllo sulla situazione. Utilizzando il comando path, gli aggressori possono specificare la directory in cui il malware deve cercare i dati. Se un file è nella lista bianca, Ymir lo salterà e non lo crittograferà.

Il ransomware utilizza ChaCha20, un moderno malware a flusso ad alta velocità e sicurezza. Le sue prestazioni sono superiori all’algoritmo di crittografia Advanced Encryption Standard (AES). Sebbene gli aggressori non abbiano ancora denunciato pubblicamente il furto di dati né avanzato alcuna richiesta, gli esperti monitorano attentamente ogni nuova attività.

“Finora non abbiamo notato l’emergere di nuovi gruppi che attaccano con questo ransomware. Solitamente gli aggressori pubblicano informazioni sui data leak site o su forum o portali del dark web per esigere un riscatto dalle vittime. Ma nel caso di Ymir ciò non è ancora avvenuto. Resta quindi aperta la questione su chi si celi dietro il nuovo ransomware. Crediamo che questa possa essere una nuova campagna”, chiarisce Konstantin.

L'articolo Scoperto Ymir: il Ransomware che sfida le difese delle Aziende con tecniche mai viste prima proviene da il blog della sicurezza informatica.



Cacciamine senza equipaggio, l’idea di Francia e Regno Unito che avvantaggia anche l’Italia

@Notizie dall'Italia e dal mondo

Le Forze armate del futuro saranno sempre più il risultato di un’ibridazione tra sistemi pilotati da esseri umani e da remoto. In un momento in cui i droni, di ogni foggia e forma, stanno facendo il loro ingresso sul mercato degli equipaggiamenti militari, Francia



A Vintage Radiator Core, From Scratch


24757857

There are sadly few 1914 Dennis fire engines still on the road, so when the one owned by Imperial College in London needs a spare part, it can not be ordered from the motor factors and must be made from scratch. Happily, [Andy Pugh] is an alumnus with the required metalworking skills, so in the video below we see him tackling the manufacture of flattened brass tubes for its radiator core.

Forming a round tube to a particular shape is done by pulling it through a die whose profile gradually changes from round to the desired shape. We see him make a couple of tries at this, finally succeeding with one carefully designed to have a constant circumference. The use of CNC machining is something that wouldn’t have been available in the Dennis works in the early 20th century, so we can marvel at the skills of the machinists back then who made the original. Here in 2024 he makes a drawing rig with a geared chain drive suitable for larger scale production.

The video is both a fascinating look at tube drawing and a mind-cleansing piece of workshop observation, and we have to say we enjoyed watching it. If [Andy]’s name sounds familiar to you, this might be because this isn’t the first go he’s had at manufacturing vehicle parts.

youtube.com/embed/ZALnd4zbfjQ?…


hackaday.com/2024/11/13/a-vint…




Some of the most popular content on Facebook leading up to the election was AI-generated Elon Musk inspiration porn made by people in other countries that went viral in the US.#AI #Facebook #AISlop


Chi è Pete Hegseth, il nuovo capo del Pentagono scelto da Trump

@Notizie dall'Italia e dal mondo

Donald Trump, presidente eletto degli Stati Uniti, ha annunciato di aver scelto Pete Hegseth come membro del suo nuovo gabinetto, nel ruolo di segretario della Difesa. Il nuovo capo del Pentagono non viene dagli apparati ed è un conservatore di lunga data. Nel comunicato che ne annuncia la nomina, Trump



A Teletype by Any Other Name: The Early E-mail and Wordprocessor


24751297

Some brand names become the de facto name for the generic product. Xerox, for example. Or Velcro. Teletype was a trademark, but it has come to mean just about any teleprinter communicating with another teleprinter or a computer. The actual trademark belonged to The Teletype Corporation, part of Western Electric, which was, of course, part of AT&T. But there were many other companies that made teleprinters, some of which were very influential.

The teleprinter predates the computer by quite a bit. The original impetus for their development was to reduce the need for skilled telegraph operators. In addition, they found use as crude wordprocessors, although that term wouldn’t be used for quite some time.

Telegraph

24751301An 1855 keyboard telegraph (public domain).
Early communication was done by making and breaking a circuit at one station to signal a buzzer or other device at a distant station. Using dots and dashes, you could efficiently send messages, but only if you were proficient at sending and receiving Morse code. Sometimes, instead of a buzzer, the receiving device would make marks on a paper — sort of like a strip recorder.

In the mid-1800s, several attempts were made to make machines that could print characters remotely. There were various schemes, but the general idea was to move a print head remotely and strike it against carbon paper to leave a letter on a blank page.

By 1874, the Frenchman Èmile Baudot created a 5-bit code to represent characters over a teleprinter line. Like some earlier systems, the code used two shift characters to select uppercase letters (LTRS) and figures (FIGS). This lets the 32 possible codes represent 26 letters, 10 digits, and a few punctuation marks. However, if the receiver missed a shift character, the message would garble badly. This was especially a problem over radio links.

Paper Tape


Donald Murray made a big improvement in 1901. Instead of directly sending characters from a keyboard to the wire, his apparatus let the operator punch a paper tape. Then a machine used the paper tape to send characters to the remote station which would punch an identical tape. That tape could go through another machine to print out the text on it. Murray rearranged the Baudot code slightly, adding things we use today, like the carriage return and the line feed.

The problem that remained was keeping the two ends of the circuit in sync. An engineer working for the Morton Salt Company solved that problem, which Edward Klienschmitt independently improved. The basic idea had been around for a while — using a start pulse to kick off each character — but these two patents around 1919 made it work.

Patents


Instead of fighting a big patent war, the two companies, Morkrum (partly owned by the owner of Morton Salt) and Klienschmitt, merged in 1924 and produced an even better machine. This was the birth of the modern teleprinter. In fact, the company that was formed from this merger would eventually become The Teletype Corporation and was bought by AT&T in 1930 for $30 million in stock.

Some early teleprinters were page printers that typed on the page like a typewriter. Others were tape printers that spit out a tape with letters on it. Often, the tape had a gummed back so the operator could cut it into strips and stick it to a telegram form, something you may have seen in old movies.

In addition to public telegrams, there were networks of commercial stations known as Telex and TWX — precursors to modern e-mail. These networks were like a phone system for teleprinters. You’d dial a Telex number and send a message to that machine. Many teleprinters had an internal wheel that a technician could set (by breaking off tabs) to send a WRU code (who are you) in response to a query. So connecting to the Hackaday Telex and sending WRU might reply “HACKDAY.” In addition, you could ring a bell on the remote machine. So a single bell might be a normal message, but ten bells might indicate an urgent message.

Word Processing


While replacing telegraphs was an obvious use of teleprinter technology, you might wonder how people could use these as crude word processors. The key was the paper tape and a simple paper tape trick. A Baudot machine would have five possible punches on one row of the tape. You can think of it as a binary number from 00000 (no punch) to 11111 (all positions punched out). The trick is that if all positions are punched out, the reader would ignore that position and move on to the next character. They also usually had a code that would stop the reading process.

This allowed you to do a few things. First, you could punch a tape and then make many copies of the same document. If you made a mistake, you could overpunch the tape to remove any unpunched holes and “delete” characters. It was also common to use several fully punched-out characters as a leader or a trailer, which allowed you to line up two tapes and paste them together.

So, to insert something, you could identify about a dozen characters around the insert and over-punch them. Then, you’d prepare another tape that had the new text, including the characters you punched over. You’d start that tape with a leader and end it with a trailer of fully punched positions. Then, you can cut the old tape and splice the new tape’s leader and trailer over the parts you punched out in the first step. A lot of work? Yes, but it’s way better than retyping everything by hand.

Once you create your master tape, you could turn out many originals. You could even do a sort of mail merge. Suppose I have a form letter reminding you to pay your bill. The master tape would have a pause in key places. So, the operator would do something like type the date, name, and address. Then, they would press start. The tape would type “Dear ” and then read a stop code. The operator could type the name and press start again. Now, the tape would run up until a later point, and another stop code would let the operator enter the account number and press start again. The next stop might be for the balance due, and a final stop for the due date. Pretty revolutionary for the 1940s.

Really high-tech installations used two tapes, one loop with the form letter and another unlooped tape with the input data. The operator did almost nothing, and all the letters were printed automatically.

24751303An ASR-33 (CC-BY-SA-3.0 by [ArnoldReinhold])Of course, not all teleprinters were used like this. Many teletypes had letters in their name to indicate their configuration. An RO, for example, had no keyboard or paper tape. KSR teletypes (e.g., KSR 28) had keyboards and no tape equipment. An ASR (like an ASR 33) had both keyboards and a paper tape reader and writer). These ASR 33s were especially popular as I/O devices for early microcomputers. Teleprinters were also used on many early computers. Both the Harvard Mark I and the MIT Whirlwind I used Frieden Flexowriters, a teleprinter made by Frieden, a company eventually acquired by the Singer sewing machine company.

Flexowriters were known to be used to generate form letters for both the White House and the United States Congress. Combined with an autopen, the system could create letters that people would perceive as hand-typed and signed, even though they were really automatically generated. You can see a Flexowriter in action in the video below.

youtube.com/embed/uqyVgrplrno?…

Handwriting Computer


Another trick was to take a tape with a header and a trailer and paste them together to form a loop. Then the printer would just print the same thing over and over. I saw a particularly odd use of this back in the 1970s.

I was in a mall. There was a booth there purporting to have a handwriting analysis computer. I wasn’t willing to spend $2 on an obvious scam, but I hovered around, trying to understand how it worked. It was oddly familiar, but I couldn’t place it. The machine was very large and had many blinking lights and spinning disks. It looked like a prop from a very cheap 1950s science fiction movie.

People would pay their money and write something on a piece of blank paper. The clerk would take that paper and place it in a slot. With the press of a button, the machine would suck the paper in and spit it out with some fortune cookie message towards the bottom of the page. It might say, “You are stronger than people realize.”

24751306The bulk of a Flexowriter like this one was hidden under the “computer” (CC-BY-SA-3.0 by [Godfrey Manning])After a half hour, I remembered where I recognized the machine from. The big box was, of course, a fraud. But it was hiding something and the only part of that something visible was a row of brown buttons. Those brown buttons belonged to a Frieden Flexowriter. You can see the brown buttons near the top of the unit in the picture.

Once I realized that was the “brain” of the device, it was obvious how it worked. Hidden inside was the paper tape reader. It had a loop of tape containing some line feeds, a fortune, more line feeds, and a stop code. The whole loop might have had a dozen or so fortune cookies, each with a stop code at the end of each.

When you put the paper in the slot, it really went around the teleprinter’s platen. You press the start tape button, and the line feeds suck up the paper and advance past the writing. Then, the fortune types out on the page. The final line feeds eject the page, and then it stops, ready for the next fortune. Pretty clever, although totally fraudulent.

Death of the Teleprinter


Teleprinters couldn’t survive the “glass teletype” revolution. CRT-based terminals swept away the machines from most applications. Real wordprocessors and magnetic media wiped out the applications in wordprocessing and typesetting.

Companies like Teletype, Olivetti, and Siemens (disclosure: Hackaday is part of Supply Frame, which is part of Siemens) stopped making teleprinters֫. In today’s world, these seem impossibly old-fashioned. But in 1932, they were revolutionary, as seen in the video below.

youtube.com/embed/n-eFFd5BmpU?…

If you noticed the similarity between most modern teleprinters and electric typewriters, you aren’t wrong. Linux will still let you log in using a hardcopy terminal.


hackaday.com/2024/11/13/a-tele…



We talk about Apple's latest security change, the big move to Bluesky

We talk about Applex27;s latest security change, the big move to Bluesky#Podcast



Guerra Autonoma: Al China Air Show Debutta la legione robotica dei Robot Wolf


No, non si tratta di un nuovo episodio di Black Mirror.

Alla 15ª China International Aerospace Expo (China Air Show), non solo è possibile ammirare vari modelli di aerei militari solcare il cielo azzurro, ma anche assistere alle capacità avanzate di diversi equipaggiamenti senza pilota. Tra questi, il “Robot Wolf,” sviluppato autonomamente in Cina, ha fatto il suo debutto dinamico in questa esposizione.

Il team Robot Wolf è suddiviso in unità con ruoli specifici: un veicolo di comando principale, un robot Wolf da ricognizione ed esplorazione, un robot Wolf per attacchi di precisione, e un robot Wolf di supporto logistico. Il robot da ricognizione è incaricato della raccolta di informazioni sugli obiettivi, mentre il robot d’attacco di precisione, equipaggiato con un’arma da fuoco, rappresenta la principale forza offensiva del gruppo. Il robot di supporto logistico può trasportare rifornimenti e munizioni, integrandosi con il sistema di operazioni collettive, che consente l’interconnessione tra persone, veicoli e unità Wolf, per una condivisione delle informazioni e una cooperazione autonoma e dinamica. Il robot d’attacco può quindi lanciare colpi di precisione sugli obiettivi grazie ai dati trasmessi dai robot da ricognizione.

youtube.com/embed/UjPn1dZX2l8?…

In scenari operativi reali, queste unità robotiche possono condurre operazioni personalizzate per i soldati su terreni complessi. Questa strategia intelligente e autonoma per operazioni di gruppo senza pilota è particolarmente efficace in ambienti complessi come aree urbane, montuose e d’altipiano, dove le comunicazioni e le capacità offensive tradizionali sono spesso limitate. Grazie a questi avanzati robot Wolf, le squadre speciali e di fanteria possono eseguire operazioni integrate su larga scala, offrendo così uno strumento strategico all’avanguardia.

Il “Robot Wolf” rappresenta un importante passo avanti nelle tecnologie di automazione e robotica militare, mettendo in luce la crescente capacità della Cina di sviluppare equipaggiamenti avanzati e indipendenti. Grazie alla suddivisione dei compiti tra robot di comando, ricognizione, attacco e supporto, questa piattaforma dimostra un alto livello di integrazione tra intelligenza artificiale e operazioni tattiche. La possibilità di comunicazione autonoma e la coordinazione in tempo reale tra le varie unità Wolf offrono nuove prospettive per l’efficacia delle operazioni in contesti complessi e pericolosi, migliorando significativamente le prestazioni tattiche e riducendo il rischio per il personale militare.

Questa innovazione potrebbe rivoluzionare il modo in cui vengono condotte le operazioni militari, specialmente in ambienti urbani e montani, dove le difficoltà logistiche e di comunicazione sono spesso significative. Inoltre, la flessibilità e l’autonomia delle unità Wolf aprono nuove possibilità per impieghi a lungo termine, con minore dipendenza dal supporto diretto delle truppe. Con questi sviluppi, la Cina punta a consolidare la propria posizione come leader nel campo delle tecnologie militari avanzate, suggerendo che il futuro della guerra sarà sempre più segnato dall’integrazione tra uomini e macchine autonome.

L'articolo Guerra Autonoma: Al China Air Show Debutta la legione robotica dei Robot Wolf proviene da il blog della sicurezza informatica.



La Palestina vuole i Mondiali e piange i calciatori uccisi a Gaza


@Notizie dall'Italia e dal mondo
Nonostante i calciatori uccisi a Gaza, le strutture sportive distrutte e il campionato bloccato a causa delle limitazioni di movimento imposte da Israele nei Territori occupati, la federazione palestinese ha deciso di tentare di qualificarsi alle fasi finali della coppa del mondo



Mattarella risponde a Elon Musk: “L’Italia sa badare a se stessa”


@Politica interna, europea e internazionale
Il presidente della Repubblica Sergio Mattarella ha risposto a Elon Musk, che aveva attaccato la magistratura del nostro Paese, ricordando all’uomo più ricco del mondo che “l’Italia sa badare a se stessa”. “L’Italia è un grande paese democratico e devo



NASA Announces New Trials for In-Space Laser Welding


24737031

In-space manufacturing is a big challenge, even with many of the same manufacturing methods being available as on the ground. These methods include rivets, bolts, but also welding, the latter of which was first attempted fifty years ago by Soviet cosmonauts. In-space welding is the subject of a recently announced NASA collaboration. The main aspects to investigate are the effects of reduced gravity and varying amounts of atmosphere on welds.

The Soviets took the lead in space welding when they first performed the feat during the Soyuz-6 mission in 1969. NASA conducted their own welding experiments aboard Skylab in 1973, and in 1984, the first (and last) welds were made in open space during an EVA on the Salyut-7 mission. This time around, NASA wants to investigate fiber laser-based welding, as laid out in these presentation slides. The first set of tests during parabolic flight maneuvers were performed in August of 2024 already, with further testing in space to follow.

Back in 1996 NASA collaborated with the E.O. Paton Welding Institute in Kyiv, Ukraine, on in-space welding as part of the ISWE project which would have been tested on the Mir space station, but manifesting issues ended up killing this project. Most recently ESA has tested in-space welding using the same electron-beam welding (EBW) approach used by the 1969 Soyuz-6 experiment. Electron beam welding has the advantage of providing great control over the weld in a high-vacuum environment such as found in space.

So why use laser beam welding (LBW) rather than EBW? EBW obviously doesn’t work too well when there is some level of atmosphere, is more limited with materials and has as only major advantage that it uses less power than LBW. As these LBW trials move to space, they may offer new ways to create structure and habitats not only in space, but also on the lunar and Martian surface.


Featured image: comparing laser beam welding with electron beam welding in space. (Source: E. Choi et al., OSU, NASA)


hackaday.com/2024/11/13/nasa-a…




Per gli Stati Uniti ora a Gaza va meglio e Israele non ostacola l’aiuto umanitario


@Notizie dall'Italia e dal mondo
Affermano il contrario otto gruppi umanitari, tra cui Oxfam e Save the Children, secondo i quali il governo Netanyahu non ha soddisfatto le richieste presentate proprio dagli americani un mese fa e i palestinesi rischiano la carestia, specie



Threats in space (or rather, on Earth): internet-exposed GNSS receivers


24728941

What is GNSS?


Global Navigation Satellite Systems (GNSS) are collections, or constellations of satellite positioning systems. There are several GNSSs launched by different countries currently in operation: GPS (US), GLONASS (Russia), Galileo (EU), BeiDou Navigation Satellite System (BDS, China), Navigation with Indian Constellation (NavIC, India) and Quazi-Zenith Satellite System (QZSS, Japan). These systems are used for positioning, navigation and timing (PNT) by a wide range of industries: agriculture, finance, transportation, mobile communications, banking and others.

There are three major segments involved in GNSS operations:

  • The satellites themselves, orbiting Earth at an altitude of 19,000–36,000 kilometers (11,800–22,400 miles).
  • The control segment consisting of ground-based master control stations, monitoring stations and data upload stations (or ground antennas). Monitor stations track satellites and collect various associated data, such as navigation signals, range or carrier measurements. They then transmit the data to the master control stations. The master control stations in their turn adjust the satellite orbit parameters if necessary, using data upload stations to upload commands to the satellites.
  • Various user hardware, such as mobile phones, vehicles, etc. that receives satellite signals and uses them to derive position and time information to operate correctly.

Both monitor stations and user devices are equipped with GNSS receivers, the former being more complex than the latter. These receivers may be accessed through a control interface, which enables configuring and troubleshooting them. However, if accessed by an adversary, it may pose a significant threat given that critical operations, such as air traffic control and marine navigation, may rely on these receivers. In this article, we’ll review the state of GNSS receiver security in 2024.

What are the threats to GNSS systems?


There are several possible attack vectors against GNSS systems. First, satellite signal may be jammed. By the time a GNSS signal reaches a ground-based receiver, its power is rather low. If another device’s signal in the same or an adjacent frequency band is powerful enough, the receiver may not detect the GNSS signal. The interference may be both accidental and intentional. There’s a number of inexpensive devices available online and designed to jam GNSS signals.

Second, GNSS signal may be blocked in some areas by large structures, such as skyscrapers and other tall buildings. This could hardly be considered an intentional attack, however; as cities grow, the number of such areas may grow, too.

Third, GNSS signal may be spoofed. Unlike jamming, spoofing is always an intentional attack. The attacker uses a ground-based device, which imitates a satellite, providing invalid information to the GNSS receiver. As a result, the receiving device calculates an incorrect position.

Fourth, physical attacks against satellites are possible, although not likely. And, last but not least, a cyberattack can be conducted against a vulnerable GNSS receiver.

Internet-exposed GNSS receivers and attacks on them


In 2023, at least two black hat groups conducted multiple attacks against GNSS receivers. In May that year, SiegedSec, a hacktivist and crimeware group, gained access to satellite receivers in Colombia in response to a hacker being arrested by authorities. In mid-2023, the group targeted devices belonging to multiple entities in the U.S., and claimed to have accessed satellite receivers in Romania. Although they haven’t caused any damage apart from accessing sensitive data and publishing screenshots through their channels, unauthorized access by an attacker to GNSS receivers can be a lot more destructive.

Another group attacking satellite receivers in 2023 was GhostSec. Throughout the year, they targeted numerous GNSS receivers in various countries including Russia and Israel. In some of the attacks they claimed to have not only accessed but also wiped data from the compromised satellite receivers, which illustrates the possible damage from such incidents.

Cybersecurity firm Cyble analyzed the attack surface against satellite receivers from five major vendors, and found out that as of March 2023, thousands of these receivers were exposed online. Broken down by vendor, the numbers were as follows:

VendorNumber of exposed receiversTop countries
GNSS-13,641USA
Japan
Canada
GNSS-24,864Australia
Greece
Italy
GNSS-3899Russia
Poland
USA
GNSS-4343South Korea
USA
France
GNSS-528China
Thailand
USA

Internet-exposed GNSS receivers in 2024


A year later, we decided to look at how the situation had changed. During our research, we analyzed information on satellite receiver vulnerabilities that had already been available online. Kaspersky solutions were not used to gather the information on these vulnerabilities; instead, third-party search engines designed to map and gather information about internet-connected devices and systems were used.

We first performed research similar to that done by Cyble (as far as we could guess their methodology) by searching for all exposed instances produced by five major GNSS receiver vendors without specifying that they should be satellite receivers. Our investigation revealed that, as of July 2024, 10,128 instances used globally were exposed over the internet, which was even more than in March 2023.

VendorNumber of exposed receiversTop countries
GNSS-15,858USA
Ecuador
Jamaica
GNSS-22,094Australia
Thailand
Russia
GNSS-3901USA
Germany
Russia
GNSS-4890Austria
USA
France
GNSS-5385Thailand
USA
China

With these results, we conducted broader research covering 70 GNSS receiver vendors used globally. This time, we performed a more specific search for exposed instances that included the vendor name and the use of “GNSS” systems clearly specified.

Our research revealed that 3,028 receivers remained vulnerable to attacks over the internet.

TOP 5 vendors whose GNSS receivers are vulnerable to internet attacks (download)

We used the information collected above to compile a list of countries with the highest numbers of mentions among those most affected by the exposed instances for the major GNSS receiver vendors. Most vulnerable receivers by a specific vendor were largely found in the United States, Germany, Australia, Russia and Japan.

TOP 5 countries with the highest numbers of exposed receivers by certain vendors (download)

In a July 2024 global overview not limited to specific vendors, we found almost 3,937 GNSS instances accessible over the internet. From the geographical point of view, most of the exposed receivers – over 700 instances – were located in Ecuador. Jamaica was the second with 500 instances, closely followed by the United States. Almost 400 exposed receivers were found in the Czech Republic and China, and almost 300 were located in Brazil. Japan, Russia, Canada and Germany were among most vulnerable countries, too.

TOP 10 countries with the highest numbers of exposed receivers (download)

If we look at the anonymized data about the entities that use these exposed instances, we can see that most of the vulnerable receivers belong to organizations in the following industries: telecommunications, cloud computing and energy. However, at least one e-commerce retailer is also using exposed GNSS receivers.

TOP 10 companies that use exposed GNSS receivers (download)

Most of the discovered instances ran on various open-source and proprietary Linux distributions. However, we also found exposed Windows-based receivers. Moreover, different devices had different versions of the OS installed, which made the attack surface on the vulnerable GNSS receivers even broader.

TOP 10 exposed GNSS receiver OS versions
TOP 10 exposed GNSS receiver OS versions

The exposed devices were vulnerable to a range of flaws, which could cause various types of damage to the system. Among the most frequently occurring vulnerabilities in the GNSS receivers were denial of service vulnerabilities, which could render the device useless if exploited; exposure of information resulting in data breaches, privilege escalation flaws, a buffer overflow, and several code injection or execution flaws that could result in the attacker gaining control over the receiver.

TOP 10 vulnerabilities found in GNSS receivers exposed to the internet
TOP 10 vulnerabilities found in GNSS receivers exposed to the internet

In November, we performed the global research again to find out that the number of exposed receivers reached 4,183. Compared to July, there was a slight shift in the geography of these receivers: while Ecuador remained the number 1 affected country, Jamaica, Czech Republic and Russia left the TOP 10, Germany jumped to the second place, and Iran entered the list as the fourth most vulnerable country.

TOP 10 countries with the highest number of exposed receivers, November 2024 (download)

Protection against space-related threats


Besides basic cybersecurity rules that equally apply to all computer systems, there are specialized tools that are designed to address space-related threats. For example, to improve threat identification and information exchange in this area, the Aerospace Corporation has created the Space Attack Research and Tactic Analysis (SPARTA) matrix, designed to formalize TTPs of space-related threat actors.

The SPARTA project also provides a mapping of MITRE’s D3FEND matrix, which covers possible countermeasures and defense tactics, to space-related threats. This mapping can help organizations develop a robust defense for their space systems.

Conclusions


GNSS systems are vital for a wide range of industries that rely on satellites for positioning and time synchronization. An attack against such a system may cause significant damage to the target organization. There are several ways an attacker can interfere with a GNSS. Some of these, such as physical attacks on satellites, are rather expensive and unlikely, while others are easy enough for a malicious group to pull off. One of these vectors is exploitation of ground-based GNSS receivers, which are available over the internet and vulnerable to known or as-yet-unknown flaws. The year 2023 saw a series of attacks on GNSS receivers by hacktivist groups.

As the results of our research show, as at July 2024, there were still nearly 4000 vulnerable devices that could be exploited by adversaries. To protect their systems from internet-based attacks, organizations should keep GNSS receivers unreachable from the outside. If internet access is a necessity, we recommend protecting your devices with robust authentication mechanisms.


securelist.com/internet-expose…



Come è andato il Patch Tuesday di Novembre? 91 errori, 4 critici e 2 sfruttati attivamente


Il Patch Tuesday di novembre di Microsoft ha corretto 91 vulnerabilità. Tra queste ci sono quattro vulnerabilità zero-day critiche delle quali 2 sfruttate attivamente attraverso l’esecuzione di codice remoto.

Categorie di vulnerabilità risolte


Di seguito la categorizzazione delle vulnerabilità risolte con il patch tuesday di Novembre:

  • 26 Elevazione delle vulnerabilità dei privilegi;
  • 2 Funzionalità di sicurezza: bypassare le vulnerabilità;
  • 52 Vulnerabilità relative all’esecuzione di codice in modalità remota;
  • 1 Vulnerabilità nella divulgazione di informazioni;
  • 4 Vulnerabilità di tipo Denial of Service;
  • 3 Vulnerabilità legate allo spoofing.

Tuttavia, l’elenco non include 2 vulnerabilità nel browser Edge, che erano state corrette in precedenza, il 7 novembre.

Delle quattro vulnerabilità critiche corrette nel Patch Tuesday di novembre, due sono già state sfruttate attivamente dagli aggressori e tre sono state divulgate pubblicamente. Microsoft classifica una vulnerabilità zero-day come un problema non noto o sfruttato attivamente quando non è stata ancora rilasciata una correzione ufficiale.

Vulnerabilità sfruttate attivamente


  • CVE-2024-43451 (punteggio CVSS : 6,5) – Vulnerabilità relativa alla divulgazione dell’hash NTLM
    Una vulnerabilità consente a un utente malintenzionato remoto di ottenere gli hash NTLMv2 degli utenti con un’interazione minima con un file dannoso. Secondo Microsoft, anche una semplice azione come selezionare (clic singolo) o visualizzare (clic destro) un file può portare a una fuga di dati.
  • CVE-2024-49039 (punteggio CVSS : 8,8) – Vulnerabilità legata all’elevazione dei privilegi nell’Utilità di pianificazione di Windows. Un’applicazione appositamente predisposta può aumentare i privilegi a un livello di integrità medio, il che potrebbe consentire a un utente malintenzionato di eseguire codice o accedere a risorse a un livello di integrità superiore rispetto a ambiente di esecuzione.


Vulnerabilità divulgate pubblicamente che non sono state utilizzate negli attacchi


  • CVE-2024-49040 (punteggio CVSS : 7,5) – Vulnerabilità di spoofing in Microsoft Exchange Server
    Un problema consente lo spoofing dell’indirizzo del mittente nei messaggi di posta elettronica inviati ai destinatari locali. Dopo l’aggiornamento, Microsoft avviserà gli utenti delle e-mail sospette con una notifica che recita: “Avviso: questa e-mail potrebbe essere sospetta. Si prega di controllare la fonte prima di aprire collegamenti o allegati.”
  • CVE-2024-49019 (punteggio CVSS : 7,8) – Vulnerabilità relativa all’elevazione dei privilegi nei servizi certificati Active Directory. Questo difetto consente di ottenere i diritti di amministratore di dominio tramite l’uso dei certificati incorporati della versione 1. Il problema è correlato ai modelli di certificato in cui la fonte del nome del soggetto è la richiesta e i diritti di registrazione dei certificati vengono forniti a un’ampia gamma di utenti.

Le patch di Microsoft mirano a prevenire l’ulteriore sfruttamento di queste vulnerabilità e a migliorare la sicurezza degli utenti di fronte alla crescente attività dei criminali informatici. Questa pagina fornisce un elenco completo delle vulnerabilità risolte negli aggiornamenti del Patch Tuesday di novembre 2024.

Nel Patch Tuesday di ottobre, Microsoft ha corretto 118 vulnerabilità, due delle quali sono state attivamente sfruttate dagli aggressori. Tre delle vulnerabilità identificate hanno un livello di gravità critico, 113 sono classificate come importanti e due sono classificate come moderate.

L'articolo Come è andato il Patch Tuesday di Novembre? 91 errori, 4 critici e 2 sfruttati attivamente proviene da il blog della sicurezza informatica.



Dossieraggi e intercettazioni abusive: analogie e differenze tra i casi Equalize e Gr Sistemi


@Informatica (Italy e non Italy 😁)
Non solo Equalize fra gli scandali dei dossieraggi con strane relazioni fra società private ed esponenti delle forze dell'ordine e dei servizi. Il caso di Gr Sistemi svelato dal Fatto quotidiano

L'articolo proviene

reshared this



Ti Sentono, Ti Vedono, Ti Tracciano! Come i Servizi Segreti Accedono ai Dati delle App senza Mandato


I funzionari dei servizi segreti statunitensi hanno avviato una disputa sulla necessità di un mandato per accedere ai dati sulla posizione raccolti tramite le comuni app per smartphone. Secondo comunicazioni interne ottenute da 404 Media, alcuni rappresentanti del servizio hanno affermato che le persone stesse accettano di essere tracciate quando accettano i termini di utilizzo delle applicazioni. Spesso però gli utenti non si rendono nemmeno conto che i dati possono arrivare alle autorità.

La corrispondenza trapelata ha rivelato dettagli sull’utilizzo da parte dei servizi segreti statunitensi (USSS) di uno strumento chiamato Locate X, che consente di tracciare i movimenti di una persona utilizzando il proprio telefono.

Nel 2023, un audit ha rilevato che i servizi segreti, le forze dell’ordine doganali e le forze dell’immigrazione avevano avuto accesso illegalmente a tali dati. In risposta alla richiesta dei giornalisti, i rappresentanti dei servizi segreti hanno affermato che questo strumento ormai non viene più utilizzato.
24724296Esempio di corrispondenza dei dipendenti USSS ( 404 Media )
Locate X è sviluppato da Babel Street e raccoglie dati sui movimenti delle persone attraverso app su dispositivi iOS e Android. Le app trasmettono le informazioni ai data broker, che poi alimentano sistemi come Locate X. In precedenza, i giornalisti avevano scoperto che lo strumento poteva tracciare i movimenti delle persone, ad esempio, coloro che hanno visitato determinate cliniche, fino al loro luogo di residenza.

Le informazioni sull’utilizzo di Locate X sono apparse per la prima volta nel 2020 grazie alla pubblicazione del Protocollo. Si è scoperto che l’USSS e altre agenzie utilizzano il programma per rintracciare i truffatori, come coloro che rubano i dati delle carte bancarie. Uno dei documenti affermava che lo strumento aiuta a identificare i telefoni situati nei luoghi in cui sono stati registrati casi di skimming.

Tuttavia, all’interno dei servizi segreti c’era disaccordo sulla legalità dell’utilizzo dei dati senza mandato. Alcuni dipendenti credevano che lo strumento rientrasse nella decisione della Corte Suprema nel caso Timothy Carpenter, che stabilì che l’accesso ai dati del cellulare richiedeva un mandato. Ma Babel Street ha insistito sul fatto che lo strumento dell’azienda non viola la legge, poiché i dati vengono raccolti con il consenso degli utenti e sono resi anonimi. Tuttavia, una recente dimostrazione di Locate X ha dimostrato che è possibile identificare facilmente un utente tramite l’identificatore pubblicitario univoco del suo telefono.

Nella corrispondenza si discuteva anche di quali unità dei servizi segreti utilizzassero Locate X. Ad esempio, l’Office of Strategic Investigations ha utilizzato lo strumento per localizzare i telefoni negli aeroporti e durante le indagini internazionali sulle frodi legate alle criptovalute.

Il senatore Ron Wyden ha espresso preoccupazione per il fatto che il governo stia acquistando dati sulla posizione senza un mandato, aggirando così il quarto emendamento. Wyden ha affermato che il Congresso deve approvare una legislazione che stabilisca regole severe per l’uso da parte del governo dei dati commerciali. I servizi segreti, in risposta a un’inchiesta, hanno confermato di operare in conformità con le leggi e le politiche, ma non utilizzano più Locate X.

L'articolo Ti Sentono, Ti Vedono, Ti Tracciano! Come i Servizi Segreti Accedono ai Dati delle App senza Mandato proviene da il blog della sicurezza informatica.



Internet non è uno spazio multilingua


@Informatica (Italy e non Italy 😁)
Dalla moderazione dei contenuti all’hate speech, la scarsa considerazione delle piattaforme per lingue diverse dall’inglese ha un impatto anche sui diritti. Cosa cambia con l’avvento dell’intelligenza artificiale.
L'articolo Internet non è uno spazio multilingua proviene da Guerre di Rete.

L'articolo proviene da #GuerreDiRete di



Intuition about Maxwell’s Equations


24722204

You don’t have to know how a car engine works to drive a car — but you can bet all the drivers in the Indy 500 have a better than average understanding of what’s going on under the hood. All of our understanding of electronics hinges on Maxwell’s equations, but not many people know them. Even fewer have an intuitive feel for the equations, and [Ali] wants to help you with that. Of course, Maxwell’s gets into some hairy math, but [Ali] covers each law in a very pragmatic way, as you can see in the video below.

While the video explains the math simply, you’ll get more out of it if you understand vectors and derivatives. But even if you don’t, the explanations provide a lot of practical understanding

Understanding the divergence and curl operators is one key to Maxwell’s equations. While this video does give a quick explanation, [3Blue1Brown] has a very detailed video on just that topic. It also touches on Maxwell’s equations if you want some reinforcement and pretty graphics.

Maxwell’s equations can be very artistic. This is one of those topics where math, science, art, and history all blend together.

youtube.com/embed/KHaBmJ_g2VQ?…


hackaday.com/2024/11/13/intuit…



Social Network per Gli Under 16? Il mondo inizia a pensarci seriamente


Dopo che la Cina ha iniziato a valutare seriamente l’impatto dei social network sulla salute mentale dei bambini e ha introdotto misure per limitarne l’uso, e dopo la diffusione di report interni trapelati da Instagram che riportava che il social nuoce alla salute mentale di una ragazza su tre, anche la Russia e l’Australia aprono un dibattito sulla questione

Il servizio di ricerca di lavoro SuperJob ha condotto uno studio sull’atteggiamento dei russi nei confronti di un possibile divieto di accesso ai social network per gli adolescenti sotto i 16 anni. Il motivo dell’indagine è stata l’iniziativa delle autorità australiane, che intendono adottare una legge simile per proteggere le giovani generazioni dall’influenza negativa dei social network.

Secondo lo studio, il 44% dei russi sarebbe favorevole all’introduzione di tali restrizioni nel Paese. Gli argomenti principali dei sostenitori del divieto erano la protezione dei bambini dai contenuti inappropriati e la possibilità di dedicare più tempo allo studio. Il 35% degli intervistati si è espresso contro le restrizioni, sostenendo che un divieto totale è inefficace e che le informazioni dannose devono essere prese di mira. Il restante 21% dei partecipanti al sondaggio non è riuscito a decidere una posizione.

È interessante notare che le donne sono significativamente più propense a sostenere le restrizioni: il 51% contro il 36% degli uomini. I sostenitori più attivi del divieto sono stati i russi di età compresa tra 35 e 45 anni: il 54% dei rappresentanti di questa fascia d’età ha sostenuto l’iniziativa.

Tra i genitori di bambini in età scolare (7-16 anni), il livello di sostegno al divieto è stato del 46%. Il 34% dei genitori si è espresso contro le restrizioni, un altro 20% ha avuto difficoltà a rispondere.

Con un numero quasi uguale di sostenitori del divieto tra padri e madri (rispettivamente 46% e 48%), le madri hanno meno probabilità di opporsi alle restrizioni: 24% rispetto al 39% tra i padri.

Lo studio è stato condotto dall’8 all’11 novembre 2024 in tutti i distretti federali della Russia. L’indagine ha coinvolto 1.600 rappresentanti della popolazione economicamente attiva di età superiore ai 18 anni provenienti da 354 località del Paese.

L'articolo Social Network per Gli Under 16? Il mondo inizia a pensarci seriamente proviene da il blog della sicurezza informatica.



Attacchi Invisibili all’AI: I Segnalibri Nascosti nel Cuore dei Modelli di Machine Learning


Recentemente il gruppo di ricerca HiddenLayer ha presentato la tecnica “ShadowLogic”, che consente di implementare segnalibri nascosti nei modelli di machine learning. Questo metodo senza codice si basa sulla manipolazione dei grafici del modello computazionale. Consente agli aggressori di creare attacchi all’intelligenza artificiale che si attivano solo quando ricevono uno speciale messaggio di attivazione, rendendoli una minaccia seria e difficile da rilevare.

I segnalibri nel software in genere consentono agli aggressori di accedere al sistema, consentendo loro di rubare dati o effettuare sabotaggi. Tuttavia, in questo caso, il segnalibro è implementato a livello logico del modello, consente di controllare il risultato del suo lavoro. Questi attacchi persistono anche dopo un ulteriore addestramento del modello, il che ne aumenta la pericolosità.

L’essenza della nuova tecnica è che invece di modificare i pesi e i parametri del modello, gli aggressori manipolano il grafico computazionale – lo schema operativo del modello, che determina la sequenza delle operazioni e l’elaborazione dei dati. Ciò rende possibile introdurre segretamente comportamenti dannosi in qualsiasi tipo di modello, dai classificatori di immagini ai sistemi di elaborazione di testi.

Un esempio di utilizzo del metodo è una modifica del modello ResNet, ampiamente utilizzato per il riconoscimento delle immagini. I ricercatori vi hanno incorporato un segnalibro che si attiva quando nell’immagine vengono rilevati pixel rossi fissi.
24713242
I ricercatori sostengono che, se lo si desidera, il fattore scatenante può essere ben mascherato. In modo che cesserà di essere visibile all’occhio umano. Nello studio, quando veniva attivato un trigger, il modello modificava la classificazione iniziale dell’oggetto. Ciò dimostra quanto facilmente tali attacchi possano passare inosservati.
24713244
Oltre a ResNet, ShadowLogic è stato applicato con successo ad altri modelli di intelligenza artificiale, come YOLO, utilizzato per il rilevamento di oggetti nei video, e modelli linguistici come Phi-3. La tecnica consente di modificare il loro comportamento in base a determinati trigger, il che la rende universale per un’ampia gamma di sistemi di intelligenza artificiale.

Uno degli aspetti più preoccupanti di tali segnalibri è la loro robustezza e indipendenza da architetture specifiche. Ciò apre la porta agli attacchi contro qualsiasi sistema che utilizzi modelli strutturati a grafico, dalla medicina alla finanza.

I ricercatori avvertono che l’emergere di tali vulnerabilità riduce la fiducia nell’intelligenza artificiale. In un ambiente in cui i modelli sono sempre più integrati nelle infrastrutture critiche, il rischio di bug nascosti può comprometterne l’affidabilità e rallentare lo sviluppo tecnologico.

L'articolo Attacchi Invisibili all’AI: I Segnalibri Nascosti nel Cuore dei Modelli di Machine Learning proviene da il blog della sicurezza informatica.



Remember the Tri-Format Floppy Disk?


24709669

These days, the vast majority of portable media users are storing their files on some kind of Microsoft-developed file system. Back in the 1980s and 1990s, though, things were different. You absolutely could not expect a floppy disk from one type of computer to work in another. That is, unless you had a magical three-format disk, as [RobSmithDev] explains.

The tri-format disk was a special thing. It was capable of storing data in Amiga, PC, and Atari ST formats. This was of benefit for cover disks—a magazine could put out content for users across all three brands, rather than having to ship multiple disks to suit different machines.

[RobSmithDev] started investigating by reading the tri-format disk with his DiskFlashback tool. The tool found two separate filesystems. The Amiga filesystem took up 282 KB of space. The second filesystem contained two folders—one labelled PC, the other labelled ST. The Atari ST folder contained 145KB of data, while the PC folder used 248 KB. From there, we get a breakdown on how the data for each format is spread across the disk, right down to the physical location of the data. The different disk formats of each system allowed data to be scattered across the disk such that each type of computer would find its relevant data where it expected it to be.

It’s a complex bit of disk engineering that allowed this trick to work, and [Rob] explains it in great detail. We love nitty gritty storage hacks around here. Video after the break.

youtube.com/embed/WPtJf-UQ4Os?…

[Thanks to Mathieuseo for sending this in!]


hackaday.com/2024/11/12/rememb…



Virtual Private Network (VPN): Cos’è, Come Funziona e Perché


Una VPN, acronimo di Virtual Private Network, è un sistema che permette di stabilire una connessione sicura e privata attraverso una rete pubblica, come Internet. In pratica, crea quello che viene chiamato come “tunnel virtuale” attraverso cui le informazioni viaggiano criptate, proteggendo i dati aziendali da potenziali minacce esterne.

Questo processo di crittografia garantisce che solo gli utenti autorizzati possano accedere ai dati, rendendo invisibile la connessione agli utenti malintenzionati. In sintesi, una Virtual Private Network rappresenta uno strumento chiave per ogni azienda che voglia proteggere i propri dati e garantire un ambiente sicuro per tutti gli utenti connessi alla rete aziendale.

In questo articolo andremo ad esplorare il concetto di Virtual Private Network in modo approfondito, analizzando come funziona una VPN e quali vantaggi specifici offre alle aziende. Discuteremo i diversi tipi di VPN disponibili, quali sono i criteri per scegliere la soluzione migliore, e le best practices per implementarla in modo sicuro nella propria infrastruttura IT. Inoltre, vedremo come una VPN può contribuire alla conformità normativa, proteggendo la privacy aziendale e garantendo una connessione sicura anche per il lavoro remoto.

Infine, forniremo una guida per scegliere il fornitore di VPN più adatto alle necessità aziendali, in modo da garantire non solo la protezione dei dati ma anche una migliore performance e facilità di utilizzo per tutti i membri del team.

Come Funziona una Virtual private Network (VPN)


Normalmente, quando un utente visita un sito web, viene stabilita una connessione diretta con il server web, che conosce con precisione l’indirizzo IP del client e alcune informazioni relative al dispositivo utilizzato, come il sistema operativo, il tipo di browser, la lingua preferita e la posizione geografica approssimativa. Queste informazioni possono essere utilizzate per personalizzare l’esperienza utente, ma anche per tracciare le attività online dell’utente, monitorare il comportamento sul sito e, in alcuni casi, per fini pubblicitari o di profilazione.
24709662Esempio di comunicazione classica in “clear web” tra client e server web
L’uso di una VPN (Virtual Private Network) modifica questo scenario. Quando ci si connette a un sito tramite una VPN, l’indirizzo IP visibile al server web è quello del server VPN, non quello reale del client. In questo modo, la VPN nasconde la vera identità dell’utente, offrendo un livello di anonimato e protezione della privacy. Inoltre, la VPN cifra la connessione, proteggendo i dati dall’intercettazione durante la trasmissione, soprattutto su reti pubbliche o non sicure. Questo rende molto più difficile per terzi monitorare l’attività online o raccogliere informazioni sensibili.
24709664Schema di funzionamento di una VPN ad accesso remoto che maschera il client nelle comunicazioni con il server target
Nello schema sopra riportato, quando si invia una richiesta tramite internet, questa viene instradata al server VPN, che ne maschera l’origine e la protegge con la crittografia. Successivamente, il server VPN inoltra la richiesta al sito di destinazione e, una volta ottenuta la risposta, la reindirizza nuovamente all’utente. Questo processo garantisce sia la sicurezza sia l’anonimato della connessione.

Tipologia di Virtual Private Network (VPN)


Il funzionamento di una Virtual Private Network (VPN) si basa sulla creazione di un collegamento sicuro tra un dispositivo e una rete o un server remoto, garantendo protezione e privacy nella trasmissione dei dati. Questi sistemi utilizzano tunnel criptati per offrire un elevato livello di anonimato e consentono una connessione sicura (ad esempio) ad una rete aziendale nel caso di un utilizzo tramite VPN corporate.

Esistono differenti tipologie di VPN che possono essere riassunte in:

VPN ad Accesso Remoto


Questo tipo di VPN consente agli utenti di connettersi a una rete privata da un luogo remoto tramite internet. È spesso usata dai lavoratori per accedere alle risorse aziendali quando sono fuori ufficio. La connessione è crittografata, proteggendo i dati trasmessi tra il dispositivo dell’utente e la rete aziendale.

VPN Site-to-Site o Lan-to-Lan


Collegano direttamente due reti separate o reti locali, come ad esempio sedi aziendali differenti. Questo tipo di VPN crea una rete unica e sicura tra le varie sedi dell’azienda, rendendo possibile la condivisione di risorse e informazioni interne come se fossero tutte sulla stessa rete locale (LAN).

VPN Peer-to-Peer (P2P)


Questo tipo di VPN è ottimizzato per il traffico peer-to-peer, come lo scambio di file o torrent. Le VPN P2P offrono connessioni veloci e sicure per chi desidera condividere file in modo anonimo e senza restrizioni.

VPN Over Tor


Combina la tecnologia VPN con la rete Tor, offrendo un livello ancora maggiore di anonimato. In questo caso, la VPN si connette attraverso Tor, proteggendo ulteriormente la privacy dell’utente e rendendo più difficile il tracciamento dell’attività online.

Questi tipi di VPN rispondono a esigenze di sicurezza e accessibilità diverse, adattandosi sia all’uso privato che a quello aziendale.


La crittografia nelle Virtual Private Network (VPN)


L’essenza delle VPN è la crittografia dei dati.

Quando ci si connette a una VPN, il traffico internet viene criptato, rendendolo illeggibile a chiunque non disponga delle chiavi di decrittazione, come hacker criminali o provider di rete. Solo il dispositivo dell’utente e il server VPN possono decrittare i dati, proteggendoli così da occhi indiscreti durante il trasferimento.

Di seguito mostriamo uno schema che descrive il processo di connessione e stabilizzazione di una VPN tra un client (come un laptop) e un server VPN.
24709666Flusso di connessione e stabilizzazione di una VPN tra un client (come ad esempio un computer laptop) e un server VPN
Le fasi principali sono:

  1. Avvio connessione: Il client VPN inizia la connessione inviando una richiesta al server VPN.
  2. Handshake TCP/IP: Una volta stabilita la comunicazione iniziale, viene eseguito un handshake TCP/IP. Questo processo consiste nello scambio di pacchetti tra client e server per stabilire una connessione affidabile, verificando che entrambe le parti siano pronte a comunicare. L’handshake permette di sincronizzare e inizializzare i parametri di trasmissione.
  3. Negoziazione del Tunnel TLS: Viene avviato il processo di negoziazione TLS (Transport Layer Security), dove il client e il server concordano sulle chiavi di crittografia e sulle modalità di cifratura, garantendo che i dati trasmessi siano protetti da intercettazioni o alterazioni.
  4. Inizializzazione della Sessione VPN: Una volta completata la negoziazione SSL, la sessione VPN viene formalmente inizializzata. In questo momento, client e server stabiliscono i parametri finali della connessione sicura, come protocolli e metodi di autenticazione.
  5. Sessione VPN stabilita tra Client e Server: Con la sessione VPN attiva, la connessione sicura tra il client e il server è completamente operativa. Da questo momento, il client può inviare e ricevere dati attraverso il server VPN, con la certezza che tutte le comunicazioni siano crittografate e protette.
  6. TX/RX Incapsulamento dei frame Ethernet (Trasmissione/Ricezione): Dopo aver stabilito la connessione VPN, inizia la trasmissione e ricezione dei dati. In questa fase, i dati vengono incapsulati in “frame” Ethernet virtuali, che vengono inviati attraverso il tunnel VPN. Questo processo di incapsulamento garantisce che i dati trasmessi tra client e server siano completamente protetti. I frame incapsulati viaggiano attraverso la rete come se fossero parte di una rete locale (LAN), assicurando una comunicazione privata e sicura.

Il funzionamento di una Virtual Private Network (VPN) si basa su protocolli di sicurezza che stabiliscono come i dati vengono criptati e trasmessi tra il client e il server VPN. Questi protocolli operano durante la fase di negoziazione della connessione sicura (come descritto nella Negoziazione del Tunnel TLS) e contribuiscono alla protezione dei dati all’interno del tunnel VPN.

Questi protocolli sono fondamentali per garantire che la connessione sia protetta da eventuali intercettazioni e manomissioni. Tra i protocolli di sicurezza più utilizzati troviamo:

  • OpenVPN: Un protocollo molto diffuso che offre elevati standard di sicurezza e flessibilità, rendendolo ideale per un’ampia gamma di applicazioni.
  • IKEv2/IPsec: Conosciuto per la sua stabilità e velocità, questo protocollo è particolarmente vantaggioso per i dispositivi mobili, in quanto riesce a mantenere la connessione attiva anche in caso di cambio di rete.
  • WireGuard: Un protocollo più recente, che combina velocità ed efficienza con alti livelli di sicurezza, diventando una scelta sempre più popolare per chi cerca una connessione VPN rapida e leggera.

In sintesi, una VPN funziona criptando i dati, creando un tunnel sicuro per il traffico, mascherando l’indirizzo IP e utilizzando protocolli di sicurezza avanzati. Questo sistema permette a utenti e aziende di navigare e comunicare su internet in modo sicuro, proteggendo i dati personali e aziendali da accessi non autorizzati.

Le Migliori Soluzioni VPN


Quando si tratta di scegliere una VPN, esistono molte cose da considerare e soluzioni di alta qualità, ciascuna progettata per rispondere a necessità specifiche in ambito sia privato che aziendale. Di seguito, esploriamo alcune delle migliori soluzioni VPN, confrontandole per caratteristiche, prestazioni e sicurezza.

Le Migliori Soluzioni VPN in Ambito Privato


Per gli utenti privati, le VPN offrono privacy e anonimato, proteggendo le informazioni personali durante la navigazione o l’uso di reti pubbliche. Tra le soluzioni più note in ambito privato, troviamo:

  • NordVPN: NordVPN è una delle VPN più popolari per uso privato grazie alla sua interfaccia user-friendly e alla sicurezza avanzata. Offre una crittografia forte, una politica di no-log (non conserva dati di navigazione), e funzionalità di sicurezza come il blocco dei malware e la protezione da IP leakage. NordVPN ha anche server ottimizzati per il P2P e per lo streaming.
    • Pro: 5000 Server in 50 paesi, velocità elevate, modalità di Double VPN per doppia sicurezza.
    • Contro: Alcuni server possono risultare sovraccarichi, rallentando la connessione.


  • Mullvad: Mullvad è una delle VPN più rispettate per l’anonimato online. Si distingue per la sua politica di “no logs”, il che significa che non conserva alcun dato relativo all’attività degli utenti. Inoltre, Mullvad non richiede nemmeno un’email per registrarsi, permettendo agli utenti di rimanere completamente anonimi. La sua politica di pagamento accetta criptovalute, come Bitcoin, ed è uno dei pochi provider che offre una carta prepagata fisica, che può essere usata senza alcun legame a un’identità reale. Mullvad offre anche una forte crittografia, supporto per WireGuard, una velocità stabile e una vasta rete di server in tutto il mondo.
    • Pro: Mullvad è una VPN altamente sicura e anonima, con una politica di “no logs”
    • Contro: Ha una rete di 643 server più piccola rispetto ad altri provider


  • ExpressVPN: ExpressVPN è noto per la velocità e l’affidabilità, caratteristiche che lo rendono ideale per lo streaming e la navigazione senza interruzioni. La sua rete di server globali e il supporto per più dispositivi contemporanei lo rendono una soluzione flessibile.
    • Pro: Eccellente velocità, interfaccia semplice, server in 163 sedi in 106 paesi, funziona bene anche in regioni con restrizioni di rete.
    • Contro: Prezzo alto


  • CyberGhost: CyberGhost è una VPN che offre un buon equilibrio tra velocità e sicurezza, con server ottimizzati per diverse attività come streaming, navigazione anonima, e gaming. Ha una politica rigorosa di no-log e una modalità di navigazione anonima.
    • Pro: Server specifici per lo streaming e P2P, supporto clienti 24/7, economico nei piani a lungo termine.
      Contro: Configurazioni avanzate limitate, interfaccia meno intuitiva rispetto ad altri.



Le Migliori Soluzioni VPN in Ambito Aziendale


Per le aziende, le VPN offrono sicurezza e accesso sicuro per i team che lavorano in remoto o su sedi diverse. Le soluzioni VPN aziendali hanno funzionalità di gestione centralizzata e maggiore supporto tecnico. Le principali VPN aziendali includono:

  • Fortinet FortiGate VPN: Una soluzione VPN che combina sicurezza di rete e protezione dalle minacce, Fortinet offre funzionalità di firewall integrato, rendendolo ideale per aziende che desiderano una soluzione completa di sicurezza. Utilizza tecnologie di deep packet inspection per una protezione avanzata.
    • Pro: Sicurezza avanzata grazie al firewall integrato e alla deep packet inspection, protezione completa dalle minacce.
    • Contro: Soluzione complessa da configurare e gestire, può risultare costosa per piccole aziende.


  • Ivanti Secure Access (precedentemente Pulse Secure): Ivanti offre una VPN adatta per ambienti di lavoro dinamici e moderni. È progettata per fornire un accesso sicuro e continuo alle risorse aziendali, con opzioni avanzate di autenticazione e integrazione con sistemi di gestione IT.
    • Pro: Accesso sicuro e continuo, avanzate opzioni di autenticazione, facile integrazione con sistemi IT aziendali.
    • Contro: Può essere costosa per piccole aziende, necessità di una gestione centralizzata per un utilizzo ottimale.


  • Perimeter 81: Una VPN progettata per le esigenze aziendali, Perimeter 81 offre una piattaforma facile da gestire con funzionalità avanzate come l’accesso condizionale e la sicurezza Zero Trust. Ideale per team remoti, consente di definire e controllare accessi sicuri a risorse aziendali specifiche.
    • Pro: Sicurezza Zero Trust, controllo avanzato degli accessi, facile da integrare in ambienti aziendali.
    • Contro: Prezzi più alti rispetto a VPN personali, particolarmente per grandi aziende.


  • Cisco AnyConnect: Cisco AnyConnect è una delle soluzioni più affidabili per le grandi aziende. Offerta da un’azienda leader nel settore della sicurezza, questa VPN offre una protezione completa e integrabile con sistemi di sicurezza aziendale. Permette una gestione centralizzata con controllo degli accessi sicuro.
    • Pro: Alta affidabilità, supporto di integrazioni con infrastrutture aziendali, solida assistenza tecnica.
    • Contro: Interfaccia complessa per utenti non tecnici, richiede una configurazione dettagliata.


  • OpenVPN Access Server: OpenVPN offre una soluzione flessibile e open-source, permettendo alle aziende di personalizzare la configurazione per le loro esigenze specifiche. È una scelta solida per le imprese che cercano una soluzione sicura e con opzioni di integrazione avanzate.
    • Pro: Flessibilità e personalizzazione, open-source, elevato livello di sicurezza.
    • Contro: Richiede competenze tecniche per l’installazione e gestione, supporto limitato per configurazioni non standard.


Sia che si tratti di uso privato o aziendale, le migliori VPN condividono caratteristiche chiave come la crittografia avanzata, la politica no-log, e la compatibilità multipiattaforma. Mentre soluzioni come NordVPN ed ExpressVPN sono ideali per utenti privati alla ricerca di privacy e velocità, opzioni aziendali come Perimeter 81 e Cisco AnyConnect offrono scalabilità e sicurezza per le imprese che necessitano di gestione centralizzata e accessi protetti per team distribuiti.

Perché le Aziende Hanno Bisogno di una VPN


Molto spesso, gli attacchi informatici avvengono a causa dell’esposizione su internet di server aziendali, come i server RDP (Remote Desktop Protocol). Questi server, se non adeguatamente protetti, possono diventare un bersaglio facile per hacker e cybercriminali.

Una VPN (Virtual Private Network) rappresenta una protezione essenziale contro questi rischi, mascherando e cifrando le connessioni alle risorse aziendali. Ecco perché le aziende devono considerare l’adozione di una VPN per proteggere i propri asset digitali e garantire la sicurezza delle loro operazioni.

Nello specifico una VPN garantisce una serie di vantaggi come:

Sicurezza dei Dati e Protezione delle Comunicazioni


Una VPN crittografa il traffico di rete, proteggendo i dati sensibili durante la trasmissione. Questo è particolarmente cruciale per le aziende che gestiscono informazioni riservate come dati finanziari, proprietà intellettuale o informazioni personali dei clienti. La crittografia impedisce che hacker o cybercriminali intercettino o manipolino queste informazioni, anche quando si utilizzano reti Wi-Fi pubbliche o non sicure. Inoltre, con l’uso di una VPN, le comunicazioni interne tra dipendenti e partner esterni sono più sicure, riducendo il rischio di attacchi di man-in-the-middle.

Accesso Sicuro alle Risorse Aziendali


In un contesto aziendale moderno, i dipendenti lavorano spesso da remoto o si connettono tramite dispositivi mobili. Una VPN consente di stabilire una connessione sicura alla rete aziendale, anche da postazioni geograficamente distanti. Con l’autenticazione multifattoriale e altre misure di sicurezza avanzate, le aziende possono garantire che solo i dipendenti autorizzati abbiano accesso alle risorse aziendali critiche. Questo aiuta a prevenire accessi non autorizzati e a mantenere il controllo sui dati aziendali, proteggendo allo stesso tempo la privacy e l’integrità delle informazioni.

Conformità alle Normative e Gestione Centralizzata


Molti settori sono soggetti a normative rigorose in materia di protezione dei dati, come il GDPR in Europa o l’HIPAA negli Stati Uniti. Una VPN aiuta le aziende a rispettare queste normative, garantendo che i dati vengano trattati in modo sicuro e che l’accesso alle informazioni sensibili sia tracciato e monitorato. Inoltre, le soluzioni VPN aziendali offrono una gestione centralizzata della sicurezza, consentendo agli amministratori IT di monitorare e configurare in tempo reale le politiche di accesso e protezione. Questo livello di controllo è essenziale per mantenere la sicurezza e la compliance, riducendo i rischi di violazioni e sanzioni.

VPN Gratuite per gli utenti: Pregi e difetti


Le VPN gratuite possono sembrare una soluzione conveniente per proteggere la privacy online, ma presentano vantaggi e svantaggi da considerare attentamente.

Pregi


  1. Gratuità: Il principale vantaggio delle VPN gratuite è che non richiedono costi, offrendo una protezione base senza impegni finanziari;
  2. Facilità d’uso: Sono spesso semplici da configurare, con interfacce intuitive adatte anche agli utenti meno esperti;
  3. Protezione base della privacy: Mascherano l’indirizzo IP e cifrano il traffico, fornendo una protezione elementare contro i rischi online.


Difetti


  1. Velocità e limitazioni: Le VPN gratuite sono spesso lente e limitate in termini di larghezza di banda e server disponibili, con connessioni congestionate;
  2. Carenze nella Privacy: Alcuni provider raccolgono e vendono i dati degli utenti, riducendo la protezione offerta. Sono noti diversi databreach inerenti l’uso delle VPN Gratuite, come ad esempio l’incidente a SuperVPN, dove i dati degli utenti vennero trovati online, oppure l’incidente avvenuto a Bravo VPN dove vennero esposti gli indirizzi IP di 58 milioni di persone;
  3. Pubblicità invadenti: Molte VPN gratuite si finanziano con annunci, che possono tracciare l’attività online e compromettere la privacy.
  4. Rischi di malware: Alcune VPN gratuite sono state associate a software dannoso.

Le VPN gratuite possono essere utili per usi occasionali, ma comportano rischi legati alla privacy e alla sicurezza. Per una protezione completa e sicura, è consigliabile optare per una VPN a pagamento, che garantisca un livello più alto di sicurezza e privacy.

Conclusioni


In conclusione, le Virtual Private Network (VPN) rappresentano uno strumento essenziale sia per gli utenti privati che per le aziende, garantendo sicurezza, anonimato e protezione dei dati.

Per gli utenti comuni, una VPN offre vantaggi in termini di privacy, proteggendo le loro attività online dall’essere monitorate da terze parti, come hacker, ISP e persino inserzionisti. Usare una VPN consente di navigare in maniera anonima e sicura, mascherando l’indirizzo IP e criptando i dati in transito. Questa protezione è particolarmente utile quando si utilizzano reti pubbliche, come quelle di bar, aeroporti o centri commerciali, poiché evita che le informazioni personali vengano intercettate. Inoltre, le VPN consentono di accedere a contenuti limitati geograficamente, ampliando le opzioni di streaming e informazione.

Per le aziende, invece, una VPN offre protezione dei dati aziendali, difendendo l’integrità delle informazioni riservate da potenziali minacce esterne. Con una VPN, i dipendenti possono accedere in modo sicuro alle risorse aziendali anche da remoto, mantenendo la continuità operativa e garantendo un ambiente sicuro per tutte le comunicazioni. Inoltre, l’uso di una VPN contribuisce a soddisfare requisiti normativi e di conformità, proteggendo la privacy dei clienti e prevenendo perdite di dati sensibili.

In entrambi i casi, una VPN non solo migliora la sicurezza e la privacy, ma offre anche maggiore libertà e controllo sulle informazioni trasmesse online, rendendola uno strumento fondamentale per chiunque voglia proteggere la propria identità digitale e i propri dati sensibili.

L'articolo Virtual Private Network (VPN): Cos’è, Come Funziona e Perché proviene da il blog della sicurezza informatica.



Commission must prioritise digital infrastructure investment, says telecoms federation [Advocacy Lab Content]


Regulatory harmonisation across the European Union, creating a single digital market and a more predictable policy to attract more investment, should rank high in the new Commission’s to-do list.


euractiv.com/section/digital/n…



Spoofing, truffatore inganna 60enne e ruba 39mila euro. Come funziona la tecnica e perché è pericolosa


@Informatica (Italy e non Italy 😁)
I carabinieri di Genova hanno identificato e denunciato un 40enne pugliese per truffa in quanto ritenuto responsabile di avere circuito un genovese di 60 anni convincendolo a effettuare un bonifico di 39mila euro

in reply to Cybersecurity & cyberwarfare

Incredibile la combinazione tra relativa giovinezza della vittima e la sua cittadinanza.


The End of Ondsel and Reflecting on the Commercial Prospects for FreeCAD


24702864

Within the world of CAD there are the well-known and more niche big commercial players and there are projects like FreeCAD that seek to bring a OSS solution to the CAD world. As with other OSS projects like the GIMP, these OSS takes on commercial software do not always follow established user interactions (UX), which is where Ondsel sought to bridge the gap by giving commercial CAD users a more accessible FreeCAD experience. This effort is now however at an end, with a blog post by Ondsel core team member [Brad Collette] providing the details.

The idea of commercializing OSS is by no means novel, as this is what Red Hat and many others have done for decades now. In our article on FOSS development bounties we touched upon the different funding models for FOSS projects, with the Linux kernel enjoying strong commercial support. The trick is of course to attract such commercial support and associated funding, which is where the development on the UI/UX and feature set of the core FreeCAD code base was key. Unfortunately the business case was not strong enough to attract such commercial partners and Ondsel has been shutdown.

As also discussed on the FreeCAD forum, the Ondsel codebase will likely be at least partially merged into the FreeCAD code, ending for now the prospect of FreeCAD playing in the big leagues with the likes of AutoCAD.

Thanks to [Brian Harrington] for the tip.


hackaday.com/2024/11/12/the-en…



WAV2VGM Plays Audio Via OPL3 Synthesis


24695984

Once upon a time, computers didn’t really have enough resources to play back high-quality audio. It took too much RAM and too many CPU cycles and it was just altogether too difficult. Instead, they relied upon synthesizing audio from basic instructions to make sounds and music. [caiannello] has taken advantage of this with the WAV2VGM project.

The basic concept is straightforward enough—you put a WAV audio file into the tool, and it spits out synthesis instructions for the classic OPL3 sound card. The Python script only works with 16-bit mono WAV files with a 44,100 Hz sample rate.

Amazingly, check the samples, and you’ll find the output is pretty recognizable. You can take a song with lyrics (like Still Alive from Portal), turn it into instructions for an OPL3, and it’s pretty intelligible. It sounds… glitchy and damaged, but it’s absolutely understandable.

It’s a fun little retro project that, admittedly, doesn’t have a lot of real applications. Still, if you’re making a Portal clone for an ancient machine with an OPL3 compatible sound chip, maybe this is the best way to do the theme song? If you’re working on exactly that, by some strange coincidence, be sure to let us know when you’re done!


hackaday.com/2024/11/12/wav2vg…



Teaching Computers to Read — Sort Of


24684458

If you ask someone who grew up in the late 1970s or early 1980s what taught them a lot about programming, they’d probably tell you that typing in programs from magazines was very instructive. However, it was also very boring and error-prone. In fact, we’d say it was less instructional to do the typing than it was to do the debugging required to find all your mistakes. Magazines hated that and, as [Tech Tangents] shows us in a recent video, there were efforts to make devices that could scan barcodes from magazines or books to save readers from typing in the latest Star Trek game or Tiny Basic compiler.

The Cauzin Softstrip was a simple scanner that could read barcodes from a magazine or your printer if you wanted to do backups. As [Tech Tangents] points out, you may not have heard of it, but at the time, it seemed to be the future of software distribution.

We were impressed that [Tech Tangent] had enough old magazines that he had some of the original strips. Byte Magazine had tried to promote a similar format, but there was no hardware made to read those barcodes.

Of course, there were other systems. For example, the HP-41C famously had a barcode scanner, although creating your own was clunky unless you reverse-engineered the “proper” format (which was done). The basic hardware used there also worked with Byte’s format, but you still had to interface the odd scanner to your computer.

Cauzin sidestepped all this with their product, which was simple-to-interface hardware with software support for the major platforms. However, by the time it was on the market, cheap magnetic media and modem-based bulletin boards were destroying interest in loading software from paper.

This is a great look at an almost forgotten technology. You could probably build something modern to scan these if you had the urge. These days, it would be easy enough to design your own system. Modern laser printers would probably make very dense barcodes.

We wouldn’t suggest making a Cauzin guitar, though. These days we have QR codes and even colorful barcodes.

youtube.com/embed/mIGotStRCkA?…


hackaday.com/2024/11/12/teachi…



Pericolo RCE sui Firewall di Palo Alto Networks: La Corsa per Proteggere i Sistemi è iniziata


Palo Alto Networks ha avvisato i clienti di limitare l’accesso ai propri firewall a causa di una potenziale vulnerabilità RCE nell’interfaccia di gestione PAN-OS. Nel suo avvertimento l’azienda afferma di non disporre ancora di ulteriori informazioni sulla presunta vulnerabilità, ma sottolinea di non aver ancora rilevato segni di sfruttamento attivo.

“Palo Alto Networks è a conoscenza di segnalazioni riguardanti una vulnerabilità legata all’esecuzione di codice in modalità remota attraverso l’interfaccia di gestione PAN-OS. Al momento non conosciamo i dettagli della vulnerabilità descritta. Stiamo monitorando attivamente l’emergere di segnali di sfruttamento”, scrive l’azienda.

Per questo Palo Alto consiglia vivamente i clienti di assicurarsi che l’accesso all’interfaccia di gestione sia configurato correttamente, in conformità con le nostre raccomandazioni. I client Cortex Xpanse e Cortex XSIAM con il modulo ASM possono verificare le istanze rivolte a Internet visualizzando gli avvisi generati dalla regola della superficie di attacco di accesso amministratore del firewall di Palo Alto Networks.

L’azienda consiglia inoltre di bloccare l’accesso da Internet all’interfaccia di gestione del firewall con PAN-OS e di consentire le connessioni solo da indirizzi IP interni attendibili.

È interessante notare che il giorno prima della pubblicazione di questo avviso, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha segnalato attacchi in corso che sfruttano una vulnerabilità critica in Palo Alto Networks Expedition ( CVE-2024-5910 ; punteggio CVSS 9,3). Questo problema di bypass dell’autenticazione è stato risolto nel luglio 2024 e gli aggressori possono utilizzarlo in remoto per reimpostare le credenziali dell’amministratore sui server Expedition accessibili tramite Internet.

Sebbene CISA non abbia fornito informazioni dettagliate su questi attacchi, il mese scorso i ricercatori di Horizon3.ai hanno pubblicato un exploit PoC che combina CVE-2024-5910 con una vulnerabilità di command injection ( CVE-2024-9464 ), consentendo l’esecuzione non autenticata di attacchi arbitrari. comandi sui server Expedition.

L'articolo Pericolo RCE sui Firewall di Palo Alto Networks: La Corsa per Proteggere i Sistemi è iniziata proviene da il blog della sicurezza informatica.