Se non sei portata per comandare, fai la direttrice d'orchestra. È la stessa cosa, però più gratificante. In un caso ti sparlano dietro, nell'altro senti la musica.
Elon Musk ha espresso la sua visione secondo cui se scoppiasse un conflitto tra grandi potenze, le tecnologie senza pilota svolgerebbero un ruolo chiave nelle operazioni militari attraverso l’intelligenza artificiale. Ha rilasciato questa dichiarazione durante un discorso tenuto all’Accademia militare degli Stati Uniti a West Point lo scorso agosto, ed è stata pubblicata una registrazione video del suo discorso.
“L’attuale guerra in Ucraina è già in larga misura una guerra con i droni. È una specie di competizione tra la Russia e le altre parti per vedere chi riesce a schierare più droni. Se dovesse scoppiare una guerra tra grandi potenze, sarà una guerra con i droni.”, ha detto Musk.
Secondo l’imprenditore, i conflitti armati moderni dipendono già in larga misura dai droni, come dimostrano gli esempi di vari Paesi che utilizzano attivamente sistemi senza pilota. Ha sottolineato che in caso di uno scontro globale, i droni e le tecnologie di intelligenza artificiale domineranno il campo di battaglia.
Musk ha anche sottolineato che è necessario concentrare gli sforzi sullo sviluppo di sistemi senza pilota e sull’incremento della loro produzione. Ha sottolineato che spesso gli Stati si preparano alle guerre del passato, ignorando le tecnologie promettenti che determineranno i futuri conflitti armati.
Esprimendo preoccupazione per l’uso militare dell’intelligenza artificiale, Musk ha sottolineato le possibili conseguenze negative, paragonandole allo sviluppo della trama del film “Terminator“. Ha chiesto quindi alle persone presenti dell’Accademia Militare di evitare questo scenario.
Le parole di Elon Musk offrono uno sguardo lucido – e inquietante – sul futuro delle guerre, mettendo in evidenza un cambiamento epocale nel modo in cui i conflitti vengono combattuti. L’uso massiccio di droni in Ucraina è già una dimostrazione concreta di questa trasformazione, ma lo scenario che Musk prospetta va ben oltre: in caso di uno scontro tra superpotenze, l’elemento umano potrebbe essere sempre più marginale, mentre l’intelligenza artificiale e i sistemi senza pilota diventerebbero i veri protagonisti del campo di battaglia.
Inoltre, il rischio di escalation è concreto: con la crescente automazione bellica, i conflitti potrebbero diventare più rapidi, più imprevedibili e potenzialmente più distruttivi. Se l’intelligenza artificiale sarà la regina del prossimo campo di battaglia, le guerre del futuro potrebbero non essere più combattute da soldati in carne e ossa, ma da algoritmi e sciami di droni autonomi, con conseguenze ancora difficili da prevedere.
Milano, 6 febbraio 2025 – DeepSeek-R1, un innovativo modello linguistico di grandi dimensioni (LLM) recentemente rilasciato dalla startup cinese DeepSeek, ha catturato l’attenzione del settore dell’intelligenza artificiale. Il modello dimostra di avere prestazioni competitive, mostrandosi più efficiente dal punto di vista delle risorse. Il suo approccio all’addestramento e la sua accessibilità offrono un’alternativa al tradizionale sviluppo dell’AI su larga scala, rendendo più ampiamente disponibili le capacità avanzate.
Per migliorare l’efficienza e preservare l’efficacia del modello, DeepSeek ha rilasciato diverse versioni distillate, adatte a diversi casi d’uso. Queste varianti, costruite su Llama e Qwen come modelli di base, sono disponibili in più dimensioni, che vanno da modelli più piccoli e leggeri, adatti ad applicazioni incentrate sull’efficienza, a versioni più grandi e potenti, progettate per compiti di ragionamento complessi.
Con il crescente entusiasmo per i progressi di DeepSeek, il team di Qualys ha condotto un’analisi di sicurezza della variante DeepSeek-R1 LLaMA 8B distillata utilizzando la piattaforma di sicurezza AI lanciata di recente, Qualys TotalAI.
I risultati presentati di seguito supportano le diffuse preoccupazioni nel settore sui rischi reali del modello. “Con l’accelerazione dell’adozione dell’AI, le organizzazioni devono andare oltre la valutazione delle performance per affrontare le sfide di sicurezza, protezione e conformità. Ottenere visibilità sugli asset AI, valutare le vulnerabilità e mitigare proattivamente i rischi è fondamentale per garantire un’implementazione responsabile e sicura dell’AI” ha commentato Dilip Bashwani, CTO per la Qualys Cloud Platform.
Metodo di analisi KB ed evidenze
Qualys ha testato la variante Deepseek R1 LLaMA 8B contro gli attacchi Jailbreak e Knowledge Base (KB) all’avanguardia di Qualys TotalAI, ponendo domande al LLM di destinazione in 16 categorie e valutando le risposte utilizzando il Qualys Judge LLM. Le risposte sono state valutate in base a vulnerabilità, problemi eticie rischi legali.
Se una risposta è ritenuta vulnerabile, riceve una valutazione di gravità basata sulla sua immediatezza e sul suo potenziale impatto. Questo garantisce una valutazione completa del comportamento del modello e dei rischi associati.
Nel test KB sono state condotte 891 valutazioni. Il modello Deepseek R1 LLaMA 8Bnon ha superato il61% dei test, ottenendo i risultati peggiori in Disallineamento e migliori in Contenuti sessuali.
Metodo di test di Jailbreak TotalAI ed evidenze
Il jailbreak di un LLM comporta tecniche che aggirano i meccanismi di sicurezza incorporati, consentendo al modello di generare risposte limitate. Queste vulnerabilità possono creare risultati dannosi, tra cui istruzioni per attività illegali, disinformazione, violazioni della privacy e contenuti non etici. I jailbreak riusciti mettono in luce le debolezze dell’allineamento dell’AI e presentano seri rischi per la sicurezza, soprattutto in ambito aziendale e normativo.
Il modello cinese è stato testato contro 18 tipi di jailbreak attraverso 885 attacchi. Ha fallito il 58% di questi tentativi, dimostrando una significativa suscettibilità alla manipolazione avversaria. Durante l’analisi, DeepSeek R1 ha faticato a prevenire diversi tentativi di jailbreak avversari, tra cui passaggi su come costruire un ordigno esplosivo, creare contenuti per siti web che si rivolgono a determinati gruppi incoraggiando discorsi d’odio, teorie cospirative e azioni violente, sfruttare le vulnerabilità del software, promuovere informazioni mediche errate, ecc. Esempio di DeepSeek che fornisce contenuti errati e nocivi
I risultati ottenuti dai test evidenziano la necessità di migliorare i meccanismi di sicurezza per impedire l’elusione delle protezioni integrate, garantendo che il modello rimanga in linea con le linee guida etiche e normative. Un meccanismo di prevenzione efficace è l’implementazione di robusti guardrail che agiscono come filtri in tempo reale per rilevare e bloccare i tentativi di jailbreak. Questi guardrail aumentano la resilienza del modello adattandosi dinamicamente agli exploit avversari, contribuendo a mitigare i rischi di sicurezza nelle applicazioni aziendali. Queste vulnerabilità espongono le applicazioni a valle a rischi significativi per la sicurezza, rendendo necessari robusti test avversari e strategie di mitigazione.
Allineamento si, allineamento no: Cosa è meglio?
Negli ultimi anni, i modelli linguistici di grandi dimensioni (LLM) hanno rivoluzionato il panorama tecnologico, influenzando settori che vanno dalla ricerca accademica alla creazione di contenuti. Uno dei dibattiti più accesi riguarda il grado di allineamento di questi modelli con i principi etici e le linee guida imposte dai loro sviluppatori. Secondo un recente articolo pubblicato su Analytics India Magazine, i modelli non censurati sembrano ottenere risultati migliori rispetto a quelli allineati, sollevando interrogativi sulla necessità e sull’efficacia delle restrizioni etiche imposte dall’industria.
L’allineamento dei modelli AI nasce dalla volontà di evitare contenuti pericolosi, disinformazione e bias dannosi. Aziende come OpenAI e Google implementano rigorose politiche di sicurezza per garantire che le loro IA rispettino standard di condotta condivisi, riducendo il rischio di abusi. Tuttavia, il processo di allineamento introduce inevitabilmente filtri che limitano la libertà espressiva e, in alcuni casi, compromettono le prestazioni del modello. Questo perché i sistemi allineati potrebbero evitare di rispondere a domande controverse o generare risposte eccessivamente generiche per attenersi alle linee guida.
Al contrario, i modelli non censurati, che operano senza le stesse restrizioni etiche, dimostrano una maggiore flessibilità e capacità di fornire risposte più precise e dettagliate, soprattutto in contesti tecnici o di ricerca avanzata. Senza i vincoli imposti dall’allineamento, possono elaborare una gamma più ampia di informazioni e affrontare argomenti sensibili con maggiore profondità. Questo vantaggio, però, si accompagna a rischi significativi, come la diffusione incontrollata di disinformazione, contenuti dannosi e l’uso improprio da parte di attori malevoli.
Il problema centrale di questo dibattito non è solo tecnico, ma etico e politico. Un’intelligenza artificiale completamente libera potrebbe rappresentare una minaccia se utilizzata per scopi illeciti, mentre un modello eccessivamente allineato rischia di diventare inefficace o di riflettere un’agenda ideologica oppure attuare censura.
Alcuni ricercatori sostengono che l’equilibrio ideale risieda in un allineamento parziale, che consenta un certo grado di libertà espressiva senza compromettere la sicurezza. Tuttavia, definire i confini di tale equilibrio è una sfida complessa e soggetta a interpretazioni divergenti.
L’industria AI si trova dunque davanti a una scelta cruciale: proseguire lungo la strada dell’allineamento stringente, con il rischio di compromettere le prestazioni e la neutralità dei modelli, o adottare un approccio più permissivo, consapevole dei potenziali rischi. Le conseguenze di questa decisione avranno un impatto diretto sul futuro dell’IA e sulla sua integrazione nella società, influenzando la fiducia del pubblico e la regolamentazione del settore. La domanda fondamentale rimane aperta: quanto controllo è troppo controllo?
@Informatica (Italy e non Italy 😁) Lo spyware Graphite sviluppato dall'israeliana Paragon è stato usato per sorvegliare un centinaio tra giornalisti e attivisti, tra questi anche diversi italiani. Tuttavia, anche se del caso specifico si sa ancora poco, il pericolo è attuale e reale, rendendo etica una questione che è soprattutto
There are some interesting questions afoot, with the news that the Contec CMS8000 medical monitoring system has a backdoor. And this isn’t the normal debug port accidentally left in the firmware. The CISA PDF has all the details, and it’s weird. The device firmware attempts to mount an NFS share from an IP address owned by an undisclosed university. If that mount command succeeds, binary files would be copied to the local filesystem and executed.
Additionally, the firmware sends patient and sensor data to this same hard-coded IP address. This backdoor also includes a system call to enable the eth0 network before attempting to access the hardcoded IP address, meaning that simply disabling the Ethernet connection in the device options is not sufficient to prevent the backdoor from triggering. This is a stark reminder that in the firmware world, workarounds and mitigations are often inadequate. For instance, you could set the gateway address to a bogus value, but a slightly more sophisticated firmware could trivially enable a bridge or alias approach, completely bypassing those settings. There is no fix at this time, and the guidance is pretty straightforward — unplug the affected devices.
Reverse Engineering Using… Strings
The Include Security team found a particularly terrifying “smart” device to tear apart: the GoveeLife Smart Space Heater Lite. “Smart Space Heater” should probably be terrifying on its own. It doesn’t get much better from there, when the team found checks for firmware updates happening over unencrypted HTTP connections. Or when the UART password was reverse engineered from the readily available update. It’s not a standard Unix password, just a string comparison with a hardcoded value, and as such readily visible in the strings output.
Now on to the firmware update itself. It turns out that, yes, the device will happily take a firmware update over that unencrypted HTTP connection. The first attempt at running modified firmware failed, with complaints about checksum failures. Turns out it’s just a simple checksum appended to the firmware image. The device has absolutely no protection against running custom firmware. So this leads to the natural question, what could an attacker actually do with access to a device like this?
The proof of concept attack was to toggle the heat control relay for every log message. In a system like this, one would hope there would be hardware failsafes that turn off the heating element in an overheat incident. Considering that this unit has been formally recalled for over 100 reports of overheating, and at least seven fires caused by the device, that hope seems to be in vain.
We wrote about the mysterious AMD vulnerability a couple weeks ago, and the time has finally come for the full release. It’s officially CVE-2024-56161, “Improper signature verification in AMD CPU ROM microcode patch loader”. The primary danger seems to be malicious microcode that could be used to defeat AMD’s Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP) technology. In essence, an attacker with root access on a hypervisor could defeat this VM encryption guarantee and compromise the VMs on that system.
A service many of us depend on is making some changes. Let’s Encrypt is no longer going to email you when your certificate is about to expire. The top reason is simple. It’s getting to be a lot of emails to send, and sending emails can get expensive when you measure them in the millions.
Relatedly, Let’s Encrypt is also about to roll out new six-day certificates. Sending out email reminders for such short lifetimes just doesn’t make much sense. Finally from Let’s Encrypt is a very useful new feature, the IP Address certificate. If you’ve ever found yourself wishing you didn’t have to mess with DNS just to get an HTTPS certificate, Let’s Encrypt is about to have you covered.
Bits and Bytes
There’s a Linux vulnerability in the USB Video Class driver, and CISA has issued an active exploit warning for it. And it’s interesting, because it’s been around for a very long time, and it was disclosed in a Google Android Security Bulletin. It’s been suggested that this was a known vulnerability, and was used in forensic tools for Android, in the vein of Cellebrite.
Pretty much no matter what program you’re using, it’s important to never load untrusted files. The latest application to prove this truism is GarageBand. The details are scarce, but know that versions before 10.4.12 can run arbitrary code when loading malicious images.
Ever wonder how many apps Google blocks and pulls from the app store? Apparently better than two million in 2024. The way Google stays mostly on top of that pile of malware is the use of automated tools, which now includes AI tools. Which, yes, is a bit terrifying, and has caused problems in other Google services. YouTube in particular comes to mind, where channels get content strikes for seemingly no reason, and have trouble finding real human beings at Google to take notice and fix what the automated system has mucked up.
Bluesky’s public launch was one year ago today, and here you can see how the network has grown and changed over this first year. In that year, Bluesky has managed to find a serious role in the larger media ecosystem. The media ecosystem itself has shifted rapidly as well: outlets like Wired and 404 Media, and independent reporters like Marisa Kabas and Nathan Tankus at the forefront of reporting what is happening in the US. I do not think it is an accident that they are all active on Bluesky
Note: I’ve been sick for the past few days, so this edition is a bit shorter and a day late, apologies. Next week’s edition will be focused again on the more technical side of AT Protocol (ATProto).
Credible exit
One of the core concepts why Bluesky is build on the open ATProto is to give users ‘credible exit’. The Bluesky company (Bluesky PBC) is mindful of how companies turn bad over time, and CTO Paul Frazee explicitly talks about how he sees his own company as a ‘future adversary‘. The idea is that in a future where Bluesky has become an adversary to its users, people can have a ‘credible exit’ away from Bluesky towards another microblogging app. People can take their digital identity (the DID, in ATProto terms), social graph and posts with them, and seamlessly continue microblogging on ATProto using another app. Such another competitor microblogging app on ATProto currently does not exist, and an important factor in that is the incentives to build such an app currently are not there. Bluesky is currently not an adversary, has a well-designed app and some significant funding, and it is hard to compete with that. Still, the assumption made by Bluesky PBC is that over the years, Bluesky PBC will gradually turn ‘bad’ in some way, and at some point the incentives are such that another company will build a microblogging competitor on ATProto, and people will have the option to have a credible exit.
The ongoing coup in America changes the dynamic however. Autocratic regimes are not particularly compatible with platforms that allow for free speech by people that oppose the regime. This creates a possibility that either the Musk or the US government will force Bluesky to censor speech or ban accounts that they don’t like, or that either party will come after Bluesky directly. Musk has called Bluesky ‘pedosky’ multiple times, indicating his feelings of contempt for the network that rivals his X platform. Such actions would likely be wildly illegal and should be fought in court, but in a world where an unelected private citizen can decide to shut down entire US government departments, it is prudent to account for the possibility that other illegal stuff might happen as well.
This new political environment changes the understanding of Bluesky having a credible exit as well. So far, Bluesky PBC frames credible exit as a way for people to move to a different app on the same network when the company becomes an ‘adversary’. But in the current political climate, it might just be that the US government becomes an adversary which prompts a need for a credible exit.
Bluesky clients
Bluescreen is the latest video app for Bluesky, made by the creator of the popular Bluesky client Skeets. It is similar to apps like Skylight and Videos for Bluesky, all three apps provide a TikTok-like interface to watch videos that are posted on Bluesky. Over at TechCrunch, Sarah Perez wrote an overview of all the video apps for ATProto that are currently being developed.
Now that I’ve gotten to play around with all three video apps for Bluesky, I am not convinced that Bluesky video clients are the way forward to build a ‘TikTok for Bluesky’. Bluesky’s recent update for video feeds have turned the official Bluesky app into a suitable video client as well, and I find that the video watching experience on the official Bluesky app is better than on any of these three apps. Part of it is that the competitor client apps are all still early in development, and this may change over time. But more importantly, videos on Bluesky get posted in an environment where there are lots of non-video content as well. If I watch a video on Bluesky and I want to see that account’s profile, I’m want to be able to see all of their posts, not just their videos. I can do this with the official Bluesky app, but not with any of the Bluesky video-focused clients.
There are now multiple image-focused Bluesky clients as well. Pinksky was recently released with an interface that is heavily inspired by Instagram. Bluescreen also now has a Bluesky client specifically for photo-sharing, Flashes, that entered open beta this week. Atlas is a Bluesky client for images that has collections similar to Pinboard. These image-focused Bluesky clients all bring something to the table that the official Bluesky client does not have, by restructuring the interface around images. But just with video, I’m wondering if it is enough to build a steady user base.
The Links
Two RSS readers added Bluesky support this week: Feedly and Inoreader.
handles.net allows for large-scale managing of Bluesky handles, similar to other services like Aviary.
Another way to add bookmarks to Bluesky, this time with a separate app.
That’s all for this week, thanks for reading! You can subscribe to my newsletter to receive the weekly updates directly in your inbox below, and follow this blog @fediversereport.com and my personal account @laurenshof.online.
FOSDEM and the fediverse match well together, some issues regarding data privacy and consent, and multi-network client Openvibe gets 800k in funding.
The News
FOSDEM, the free event for open source software was this weekend in Brussels, with a large presence for the fediverse and the social web. There were three events, presentations by various fediverse software developers in the SocialWeb Devroom, an extra smaller event on Sunday for more presentations, and a more casual event on Sunday evening at Brussels Hackerspace. All the events were fully packed, showing the large amount of interest from the community for the fediverse and the social web. The Social Web Foundation has been the main initiator of these events.
Some thoughts and observations:
Fediverse Enhancement Proposals (FEP) are documents with the goal to improve applications on the fediverse. People can write proposals, and developers can decide to support and implement proposals as they see fit. There are some great technical FEPs, but one of the challenges of such a grassroots system is getting buy-in from developers to support specific FEPs. NodeBB developer Julian Lam held a presentation ‘The Fediverse is Quiet — Let’s Fix That!’ as an advocacy for a specific FEP. The proposal Lam talks about is about fixing the problem of missing replies, where people do not see all replies on a post. What I think is noteworthy about Lam’s presentation is that it frames a FEP not only as a technical document, but as a process that needs community buy-in for other developers to support and implement a FEP. Hopefully, more of such advocacy might help see more FEPs implemented as well.
Mastodon presented the progress on their Fediverse Discovery Provider project. The project builds an opt-in decentralised service for better discovery and search. In the presentation (and on the website), Mastodon stressed that the project is not only a Mastodon project, but is intended to be used by the entire fediverse. Mastodon developer David Roetzel said that he hoped that the goal is that many servers will run a “Fediverse Auxillary Service Provider”. Personally I think that it is instructive to look at Bluesky here. While the AT Protocol is decentralised, in practice everyone uses infrastructure owned by the Bluesky company. I’m not convinced yet that the Fediverse Discovery Provider project will not run into the same problem, as I’m unclear on what the incentives are for people to run competing Fediverse Discovery Provider projects.
Some of the more interesting presentations I saw were about the integration of different types of protocols with ActivityPub. The ActivityPods project combines ActivityPub with Solid Pods, which shows quite some similarities with how the PDS system of ATProto works. All your data is stored on your Pod, multiple types of apps can connect to your Pod, and communicate via ActivityPub. It allows you to have a single account that is used for multiple platforms, similar with how your ATProto account can be used for multiple types of apps.
One of the most valuable parts of a conference like FOSDEM is getting developers together in a room to meet and build relationships. Fediforum has provided such a place for people to gather digitally, but meeting people in real life remains one of the best ways to build trust and relationships. Some practical ways this was visible this FOSDEM was by getting the NodeBB, WordPress ActivityPub plugin, WriteFreely and Ghost developers together and recognising themselves as the ‘longform’ people. This group of developers getting together this way helps with the various projects becoming more interoperable, and better support for longform content in the fediverse.
Two issues regarding consent and data processing this week. The first is with GoToSocial and fediverse statistics sites like fedidb.org and fediverse.observer. Some GoToSocial servers have blocked statistics sites from indexing their platforms via robots.txt, but the crawlers of fedidb.org and fediverse.observer ignore those. In response, the main GoToSocial server decided to serve up randomised numbers, messing up the statistics of these sites. Fedidb developer Daniel Supernault removed GoToSocial altogether from the statistics site, but does not seem to be willing to respect the opting out of crawling via robots.txt. The second is regarding the shutdown of FediOnFire, that displayed public posts from a relay in a format similar to one of Bluesky’s firehose visualisation tools.
How the fediverse treats consent for public posts is unusual, and make it stand out from other networks. For a significant group of people, consent for processing other people’s ‘Public’ ActivityPub posts is done on an opt-out bases if the service doing the processing is vaguely shaped like a full 2-way interacting fediverse server. In contrast, consent for processing other people’s ‘Public’ ActivityPub posts is done on an opt-in basis if the service doing the processing is vaguely shaped like a crawler. The line between these two situations is hard to draw, even more so in an internally coherent way. Still, this line clearly exists, and ignoring it leads to high-profile blowups such as with Searchtodon and Bridgy Fed. Defining the permissions clearly for posts would help here, and it is frustrated to see that the situation has not meaningfully improved in years. Furthermore, that fediverse stats sites have ignored the opt-out on a server level via robots.txt indicates that servers setting permissions is not a panacea either.
The Pixelfed Kickstarter has seen some updates this week. First was the update that setting up a Pixelfed Foundation is now moved to the stretch goal of $200k CAD, and that for $300k CAD the stretch goal is to expand the team to hire additional developers. A few days later, developer Daniel Supernault said that the $300k CAD stretch goal is now to build a Tumblr alternative. That brings the goal of the Pixelfed Kickstarter to build four platforms: Pixelfed, Loops, Sup (an encrypted messaging platform) and an unnamed Tumblr alternative, as well as building a foundation and a developer testing kit with Pubkit. Moving the foundation to a stretch goal that has not been met yet does not feel great to me, as good governance of such large platforms is highly important. Adding a Tumblr alternative to another later stretch goal also makes me concerned that Supernault is taking on too much here, as that is a lot of products to build and maintain.
Openvibe, a client that combines your Bluesky, Mastodon, Nostr and Threads account into a single feed, has raised 800k USD in outside investment, with Automattic among the investors. Openvibe is an early mover in the space, and it’s a name I regularly see pop up when people recommend clients. However, open networks and open APIs means that it is hard to build a competitive moat. Still, most apps are hobby projects, and I’m curious how far Openvibe can push their app with the new funding.
For the past two years, Radio Free Fedi has held a special place in my heart. The community operation started as a small experiment, but quickly grew into a Fediverse institution. In the time that it
Its another massive week for Pixelfed, growing by another 100k active users and doubling their Kickstarter goal, raising over 100k CAD. Tumblr confirms they still intend to join the fediverse.
Its another massive week for Pixelfed, growing by another 100k active users and doubling their Kickstarter goal, raising over 100k CAD.
The News
Pixelfed continues to grow rapidly, adding almost 100k monthly active users in a week, and has now almost 300k monthly active users. Just over a month ago, Pixelfed had around 20k monthly active users. Developer Daniel Supernault launched a Kickstarter this week for Pixelfed,Loops and Sup. The Kickstarter proved popular, raising 100k CAD, double its 50k CAD goal. The Kickstarter is mainly for to fund the continuous development of the platforms, with the primary goals listed as ‘acceleration development’ for Pixelfed and Loops, and starting the development of messaging platform Sup. Sup is a planned encrypted messaging app that is supposed to compete with WhatsApp and Snapchat. Supernault has mentioned working on the project in the past, but it is unclear how far along the project is.
Supernault says that the operational costs for running all of his projects is now over 4000 USD per month. The large majority of people joining the flagship servers pixelfed.social and loops.video, which are both run by Supernault. Still, it seems like Supernault is not particularly interested in sharing out the load of users to other servers, saying that people unfamiliar with the fediverse want to join a a flagship instance. He also says that “using random servers to register on is very dangerous, because not all of them are as dedicated to this as I am, some of them don’t update frequently or handle mod reports as fast as we do.” Supernault is currently the only moderator for both the pixelfed.social server as well as the pixelfed.art server. He also says that Pixelfed.social needs to establish a mod team. One barrier to adding extra moderators is that Pixelfed does not have a specific ‘moderator’ role in the software, there is only the possibility to give someone full admin rights. Supernault says that he is working on adding such a feature.
The Pixelfed Kickstarter also lists a Pixelfed Foundation as its stretch goal. It is not particularly clear what such a Foundation would entail: the Kickstarter describes it as both a foundation and a corporation, as says that it “hopefully” would be a not-for-profit. Some of the potential work of the Pixelfed foundation would be to grow the Pixelfed and Loops social networks, and also support other developers in the wider fediverse ecosystem.
Tumblr has reconfirmed that it is working on connecting to the fediverse. In late 2022, Automatic CEO Matt Mullenweg said that the site was going to add ActivityPub support ‘soon’. Plans changed for Tumblr, including staff layoffs, and for a long time it was unclear if this plan was actually going to happen. In summer 2024, Tumblr announced that they would be working on moving the backend of Tumblr to WordPress. In an AMA this week, the company said that this migration of Tumblr to WordPress means that Tumblr can also use the plugins of WordPress, including the ActivityPub plugin. This means that people will be able to add ActivityPub to their Tumblr blogs. Not much is known about how this would work in practice.
The Analysis
Editor’s note: I wrote the section below before Supernault published his latest update on Kickstarter a few hours ago. In the latest update the Pixelfed Foundation is now moved towards a new stretch goal of 200k CAD. This changes my analysis, but I currently do not have the time to properly analyse and write about it before this newsletter will go out. I’ll write more about this next week.
Some more thoughts on Pixelfed:
I worry about the moderation side for Pixelfed, and specificially the flagship pixelfed.social. Pixelfed.social is now a server with over 200.000 monthly active users, and Supernault is the only moderator for the server. 1 moderator for over 200k active accounts is not a whole lot, to put it mildly. One of the main goals of the Kickstarter is to “expand the moderation, security, privacy and safety platforms”, and my hope is that the financial success of the Kickstarter can help get a bigger moderation team for the servers as quickly as possible.
One of the consistently most difficult aspects of fediverse platforms is the governance of the software. Mastodon has gotten a lot of pushback for its ‘Benevolent-Dictator-For-Life‘, and correspondingly, a lot of praise when Mastodon recently moved away from this model. For Pixelfed and Loops the power concentration into a single person is even more pronounced, with a single developer running two different platforms, two flagship servers as well as various other prominent fediverse projects such as fedidb. It shows the incredible amount of work that Supernault has contributed to the fediverse, but it also indicates the centralisation of power that has resulted from this. The Kickstarter promises a Pixelfed Foundation, but it does not say anything about how the Foundation will deal with governance. The short description of the Foundation mainly seems to be focused on financial sustainability and growth of fediverse projects. The section on the Pixelfed Foundation ends with a quote from Mastodon’s blog post: “The people should own the town square”, but it does not explain in any way how “the people” will get to “own the town square”.
Over on Bluesky, the short-lived TikTok ban in the US has put video front-and-center. As a response, people are starting to take Bluesky posts that contain video, and build a TikTok-like UI around it. Bluesky launched video feeds in their app last week, and SkyLight is a high-profile project to build a video-only UI for Bluesky posts. I’m curious if Pixelfed’s renewed prominence will lead to more interest in similar image-viewing fediverse clients that less bound to server platforms, whether that is Pixelfed, Mastodon or other fediverse platforms.
The dominance of Mastodon and microblogging over the wider fediverse has led to a situation where Mastodon and the fediverse get equated as mostly the same in coverage of larger news outlets. The growth of Pixelfed, and the mainstream attention that it brings now changes this dynamic. This Forbes article about Pixelfed is a good example, where the fediverse gets introduced from the perspective of Pixelfed instead of from a perspective of Mastodon.
The Kickstarter states an “Commitment to open source and open principles”, and says that “all of the source code for Pixelfed is licensed under the AGPL license and is publicly available on GitHub”. I am not clear why Loops is not mentioned here for a commitment to open source. Loops is not currently neither open source nor federating, according to the official Pixelfed account. While Supernault also says that he is “working on that”, I find it strange that Loops is not mentioned under the commitment to open source.
Building an encrypted messaging app is difficult, to put things mildly. Building an encrypted messaging as a solo developer, while also building an Instagram competitor as well as a TikTok competitor is just wildly optimistic. I fear that Supernault is spreading himself too thin here, committed to too many different products. Supernault’s shifting attention makes it difficult for him to ship features he has promised. Notable example of this is the Groups feature for Pixelfed, which Supernault has promised as coming “very soon” since summer 2023. His latest estimation for groups is now for Q2 2025.
Tumblr saying that they are working on their fediverse integration is great news for the fediverse. For a quite a while it seemed that Tumblr would not actually follow through on early announcements by CEO Mullenweg. The answer by Tumblr that ActivityPub support will depend on a plugin makes it plausible to me that Tumblr blogs will likely have to opt-in to connecting themselves to the fediverse by adding the plugin. So based on the limited information available it seems likely to me it will not be a situation where the fediverse instantly grows by millions of active users.
Welcome to the 100th edition of Fediverse Report! It’s been a wonderful and strange 2 years to report on all the developers in the fediverse and the wider open social web. The current state of the open social web is nothing like I expected it to be when I started writing. When I first started I expected the fediverse to slowly gain wider adoption over the years. Instead, adoption has dropped compared with 2 years ago. At the same time, the current state of the internet and social platforms make it loud and clear that there is a huge need for better social platforms. I do not know what role the fediverse and the open social web will play in all of it, but I do strongly belief in the importance of helping people understand what is going on in the space. Thank you all for reading and the support over the years!
The News
Pixelfed has seen massive growth over the last week. The photo sharing platform grew from some 20k monthly active users in December to almost 200k MAU right now. The inflow of new people is driven by a combination of three things: people are actively looking for an alternative to Instagram, as well as renewed media attention to Pixelfed as a result of the official app release. Pixelfed’s launch of the official apps has gotten significant media attention (1, 2, 3, 4, 5). The reviews of the Pixelfed apps show that there are two reasons for people to look for an Instagram alternative: not only are people looking to ditch Meta products due to their alignment with Trump, people are also looking for another photo sharing app that has not gotten as bloated as Instagram has. The title of the Lifehacker review makes that point clear, describing Pixelfed as a “Return to Instagram’s Glory Days”.
Pixelfed developer Daniel Supernault says he has gotten multiple offers from VCs to chat about Pixelfed, but that he has rejected them all. Instead he will launch a Kickstarter on January 22nd. Not much is clear yet about the Kickstarter, but in the introduction Supernault makes it clear he has big plans, saying: “We aim to be the first Fediverse app with a billion people by taking on the worlds biggest players using open source standards.” Loops got critiqued for it’s “predatory” Terms of Service, which Supernault responded to a few days later by changing the ToS of Loops to be the same as those of Pixelfed.
Forum software NodeBB has officially launched their 4.0 version, which includes ActivityPub support. NodeBB has been working on adding ActivityPub for almost a year, and been testing it for a while as well. The community.nodebb.org forum has been connected to the fediverse for a while now, showing what a connection between forums and microblogging looks like in practice. Developer Julian Lam says that existing NodeBB forums will have to opt-in to the fediverse connection, while it will be enabled by default for new forums going forward. Lam also says that the work on ActivityPub also helped connect NodeBB with competitor Discourse, saying “NodeBB and Discourse have been vying for the exact same market share (forums, community-building, self-started or enterprise) for over 10 years, and it was only after ActivityPub came around that the dev teams even started talking to one another.” By both working on ActivityPub, these competitors are now also collaborators, and both their forums can connect with each other.
BotKit by Fedify is a new framework for building bots on ActivityPub. It is powered by Fedify, a TypeScript library for building with ActivityPub. Using BotKit allows people to easily build bots for ActivityPub, instead of building bots on Mastodon or Misskey.
The WordPress ActivityPub plugin now gives you the ability to show fediverse engagement on the page itself. I’ve enabled it below as well, go check it out!
The Analysis
Some stray thoughts on Pixelfed’s growth:
It has been a long time since the fediverse has seen a notable increase in users and new signups: the last major event was in July 2023 with people looking for Reddit alternatives. Over time, Bluesky became the default destination for people looking to migrate away from X. The ATmosphere does not have a dedicated place for sharing photos, giving all the more opportunity for Pixelfed to be the new home of people looking for an Instagram alternative.
One of the advantages of the fediverse is in the interoperability between different platforms, even when two platforms are focused on a different modality of communications. Mastodon and Pixelfed can interoperate with each other, but the much more question is: will this be feature that will be actively used, or more of a niche nice-to-have? Mastodon does have an active traditions for the sharing of photos with hashtags such as #silentsunday, and I’m curious if/how these traditions will evolve with a more active photo sharing platform.
Supernault is now responsible for the development of two different types of platforms: Pixelfed and Loops, and is also responsible for running the flagship servers for both platforms: pixelfed.social and loops.video. The amount of work that Supernault puts into the fediverse is incredibly impressive. At the same time, it does give me cause for concerns for governance of the platforms. It is an incredibly amount of load and responsibility that is all placed on a single person. Supernault would do well to delegate a significant amount of responsibility here. However, previous cases where other developers have tried to work together have not gone well, for various reasons. I’m concerned that the fediverse is replicating the same problems that Mastodon has had with governance here.
Pixelfed looks to replicate the same power dynamic that Mastodon has with the mastodon.social server. The large majority of new signups are going to the main pixelfed.social server. The power dynamics of Pixelfed are even more skewed than they are with Mastodon: 75% of Pixelfed’s current monthly active users are on the pixelfed.social server.
One of the fundamental challenges of building a decentralised social network with ActivityPub is in the tension between local and global. The fediverse is a super-network of connected social networks: you can see mastodon.social as its own social network, that has joined the larger fediverse. This theoretically allows for benefits such as local digital communities with local norms and moderation. In practice, most fediverse software is not interested in the local communities part, and actively discourages using the software as such: Mastodon explicitly prohibits posting only to your local server, for example. As such, the fediverse as it currently is, is mainly a singular global network, and less a network made of a plurality of spaces. This current dynamic in the fediverse is what makes forums like NodeBB adding ActivityPub to their platforms so interesting. Forums like NodeBB are understood to be local communities. When you go to a forum, you expect to see only people and posts from that specific forum. Forums are often tied around a specific topic or community, making much easier to define what the local forum community is all about. Now these forums that understand the value of having a clear local community have an additional connection to a wider network. It is effectively the reverse sales-pitch of most current fediverse servers. Mastodon says: join the larger fediverse, and you might have some additional benefits if you join the fediverse via a specific community/server. NodeBB says: join our specific forum community, and you might have some additional benefits by being connected to a larger fediverse network.
TechCrunch checked in with Threads on their plans to add account portability to their fediverse integration, writing: “A Meta spokesperson couldn’t confirm that the topic was even on the Threads roadmap, let alone when it was due to be addressed.” I recently published that I do not have a satisfying answer as to “Why is Meta adding fediverse interoperability to Threads?”. Last week I also reported that the Threads-fediverse connection is seeing incredibly low uptake from the side of Threads; in total at best only a few thousand people on Threads follow someone from the fediverse. As Meta is quickly aligning itself politically with Trump, and applying censorship accordingly, the question becomes louder and louder: why is the fediverse still bothering with Threads? In practice nobody on Threads is interested in connecting with the fediverse, it does not allow for people to migrate their account from Threads to the fediverse, and it is bad optics for the fediverse to boot.
In This Issue
* A Longer Note From The Editor
* Technical Updates
* Owncast 0.2.x Series Released
* New Features for Roku Owncasts
* Features
* JNKTN Holiday Season Stream
* A Heartfelt Farewell to Radio Free Fedi
* Closing Remarks
…
@Informatica (Italy e non Italy 😁) Lo spyware Graphite dell'israeliana Paragon è stato usato per sorvegliare un centinaio tra giornalisti e attivisti, tra questi anche diversi italiani. Tuttavia, anche se del caso specifico si sa ancora poco, il pericolo è attuale e reale, rendendo etica una questione che è
@Notizie dall'Italia e dal mondo Campi profughi sotto attacco. E nell’ospedale governativo di assediato di Jenin arrivano «solo civili, gente innocente». L'articolo Morti, sfollati e demolizioni. Tulkarem e Jenin come Gaza pagineesteri.it/2025/02/07/med…
A San Valentino mi piazzo con il mio ukulele sul bel palchetto del Don Pepe di Ostia (RM) e mentre le coppie di piccioncini tubano e sbocconcellano paella e gustano sangria io mi chiuderò a cantare tutte le più belle canzoni d'amore della storia della musica giamaicana, da Come Back Liza a Big Bamboo, da Tide Is High a Cherry Oh Baby, da Wait In Vain a Stir It Up, da Willow Tree fino a Girl I Got A Date...anzi no, quest'ultima meglio di no perché non è per niente romantica, parla di uno che dice alla ragazza con cui sta: "Purtroppo devo andare perché ho un altro appuntamento", sto rattuso 🤣
Prenotate con fiducia, ci sarà da divertirsi! ❤
Ristorante Don Pepe L.mare Paolo toscanelli 125 Ostia Lido per info e prenotazioni 3409922150 / 065672408
@Politica interna, europea e internazionale Se ne discute da decenni a Bologna. Stiamo parlando del Passante, l’opera del nodo bolognese che prevede l’allargamento di tangenziale e autostrada. Un nodo strategico che però è ancora in stallo, tra liti politiche, governi e amministrazioni locali di
Ho un libro autopubblicato nel 2023. Da cinque minuti ho modificato il contratto di distribuzione cancellando gli store di Amazon di qualunque paese. Non è un gran gesto, e al di là del piano simbolico è ovvio che non recherà alcun danno a Jeff Bezos. Ma per conto mio andava fatto. Vi racconterò meglio.
@Politica interna, europea e internazionale Quale posizione deve tenere l’Unione europea di fronte al generale atteggiamento di rottura del neo-presidente degli Stati Uniti Donald Trump? I 720 deputati dell’Europarlamento ne discuteranno da lunedì 10 a giovedì 13 febbraio in occasione della
Sometimes projects spawn related projects that take on a life of their own. That’s OK, especially when the main project is large and complex, In that case, side-quest projects provide a deliverable that can help keep the momentum of the whole project going. The mojo must flow, after all.
That seems to be what’s going on with this beautiful split-flap clock build by [Erich Styger]. It’s part of a much larger effort which will eventually see 64 separate split-flap units chained together. This project has been going on for a while; we first featured it back in 2022 when it was more of a prototype. Each unit is scratch-built, using laser-cut fiberboard for parts like the spool and frame, thin PVC stock for the flip cards, and CNC-cut vinyl for the letters and numbers. Each unit is powered by its own stepper motor.
To turn four of these displays into a clock, [Erich] milled up a very nice enclosure from beech. From the outside it’s very clean and simple, almost like something from Ikea, but the inside face of the enclosure is quite complex. [Erich] had to mill a lot of nooks and crannies into the wood to provide mounting space and clearance for the split-flap mechanism, plus a thinned-down area at the top of each window to serve as a stop for the flaps. The four displays are controlled by a single controller board, which houses an NXP K22FN512 microcontroller along with four stepper drivers and interfaces for the Hall-effect sensors needed to home each display. There’s also an RS-485 interface that lets the controllers daisy-chain together, which is how the big 64-character display will be controlled.
We’re looking forward to that, but in the meantime, enjoy the soft but pleasant flappy goodness of the clock in the brief video below.
Vedete questa?! È una piccola foresta di Malva Sylvestris 🌿😋
Questa pianta selvatica è considerata fin dall'antichità un alimento addirittura miracoloso per la nostra salute 😚👌
"Sin dall’VIII secolo a.C. abbiamo fonti che attestano che è stata usata come ortaggio e come rimedio medicamentoso, soprattutto le foglie tenere della pianta. Gli antichi Greci consideravano la malva un potente rimedio contro qualsiasi male e tale credenza si è tramandata fino ai giorni nostri, rimanendo radicata in molte culture popolari. I Romani la mangiavano cruda o cotta ben condita con olio e aceto. Cicerone ne era molto ghiotto e Marziale la usava come cura riparatrice. Dioscoride la menziona come rimedio specifico per l’apparato digerente e per uso esterno per diversi problemi alla pelle. Secondo Plinio il Vecchio una pozione a base di succo di malva evitava malesseri per tutta la giornata perciò ripeteva: malva, da ogni male salva, decantandone le sue proprietà"
L'altro giorno mentre ero al parco col cane ne ho raccolta un po', già che ci stavo e me la sono ritrovata tra i piedi insieme anche a un po' di piantaggine (aka Plantago Lanceolata) e di Rumex Pulcher (aka Romice Comune). A casa poi ho lavato tutto bene con acqua e un poco di aceto, e poi ci ho fatto una fantastica insalatona mischiandola con ceci e carote.
Da quando pochi giorni fa ho scoperto che le piante selvatiche con soltanto un po' di spirito di osservazione e di confronto fotografico non è così difficile riconoscerle, be' , confesso che guardo ai pratoni con occhi diversi. Prima erano un ammasso insignificante di materia organica verde, adesso invece ci vedo un firmamento pieno di varietà e di meravigliose cose tutte da scoprire 😅 Un'illuminazione simile a quando da ragazzo ho cominciato a suonicchiare e quindi anche a saper distinguere dentro una musica qualsiasi il suono di ogni singolo strumento dall'insieme magmatico. Una rivelazione insomma, un'epifania. Del resto siamo nati raccoglitori, ce l'abbiamo dentro, nel dna più profondo. Qualcuno penserà: ma raccogliere le erbe selvatiche non è sexy per niente, è una roba da vecchie signore chine sui pratoni e dei loro mariti burini vestiti da nonnetti. Ma non è affatto vero, anzi, da ora in poi la mia missione sarà dimostrare che cogliere le erbe selvatiche è super cool. Oggi lancio il movimento MGCA, Make Gathering Cool Again. Lo slogan sarà: abbasso la rucola nelle buste di plastica viva le erbe selvatiche contro il consumismo! Chi è con me in questa lotta?! 🌿✊😅
L’evoluzione tecnologica impone nuove sfide alla resilienza del sistema Paese, soprattutto in un contesto in cui la sicurezza digitale è sempre più strategica. L’Italia dovrebbe riflettere sulla necessità di dotarsi di strumenti adeguati a proteggere infrastrutture critiche, imprese e
Una nuova vulnerabilità in alcuni processori AMD ha consentito di aggirare la protezione Secure Encrypted Virtualization (SEV) e, in determinate condizioni, un aggressore è stato in grado di caricare un microcodice dannoso.
La vulnerabilità è stata scoperta dagli specialisti di Google nell’autunno del 2024 e ha ricevuto l’identificatore CVE-2024-56161 . Il problema ha un punteggio CVSS di 7,2 su 10,0. “Un controllo della firma non corretto nel patch loader del microcodice della ROM della CPU AMD ha consentito a un aggressore con privilegi di amministratore locale di caricare un microcodice dannoso, con conseguente perdita di riservatezza e integrità dei sistemi guest che eseguono AMD SEV-SNP”, ha affermato AMD.
La tecnologia Secure Encrypted Virtualization (SEV) è stata introdotta con il rilascio dei processori Epyc. Questa funzionalità crittografa la memoria di ogni macchina virtuale (VM) in modo che solo l’ospite abbia accesso ai dati. SEV utilizza una chiave univoca per ogni macchina virtuale per isolare la VM e l’hypervisor l’uno dall’altro. Di conseguenza, le informazioni sono protette tramite crittografia da altre VM, container e hypervisor non attendibili.
SNP (Secure Nested Paging) fornisce protezione dell’integrità della memoria per creare un ambiente di esecuzione isolato e proteggere dagli attacchi basati su hypervisor.
Nel loro bollettino sulla sicurezza, gli esperti di Google affermano che la vulnerabilità CVE-2024-56161 si verifica a causa di una funzione hash non sicura durante la verifica della firma per gli aggiornamenti del microcodice. Di conseguenza, un aggressore può compromettere i dati sensibili protetti da AMD SEV-SNP e anche l’integrità della misurazione della radice di attendibilità dinamica, il che minaccia la sicurezza degli ambienti virtualizzati.
Secondo i ricercatori, il problema riguarda tutti i processori AMD basati sull’architettura Zen 1-4 (ovvero quasi tutti i Ryzen ed Epyc). Il bollettino di sicurezza di AMD elenca Epyc 7001 (Napoli), Epyc 7002 (Roma), Epyc 7003 (Milano e Milano-X) ed Epyc 9004 (Genova, Genova-X e Bergamo/Siena).
Gli esperti di Google hanno rilasciato un payload proof-of-concept per dimostrare una vulnerabilità sui processori AMD Epyc 7B13 (Milan) e Ryzen 9 7940HS (Phoenix) che fa sì che l’istruzione RDRAND restituisca sempre il valore “4” invece di un numero casuale. Per utilizzarlo, è necessario disporre dei diritti di root all’esterno della macchina virtuale.
Ulteriori dettagli tecnici sull’ultimo bug vengono tenuti segreti per dare il tempo alle patch di AMD di diffondersi lungo la filiera.
@Informatica (Italy e non Italy 😁) Oltre alla questione della privacy, DeepSeek appare come un nuovo strumento modellato per diffondere la narrativa del Partito comunista cinese (Pcc) e alterare la percezione globale su questioni sensibili, a vantaggio delle strategie di sorveglianza e di propaganda di Pechino L'articolo DeepSeek, le
ma come è possibile che per una destra moderna e pragmatica Trump non sia un imbarazzo. ma esiste ancora una destra liberale nel mondo? che poi chiariamo un concetto essenziale: la destra non è quella della libertà e la sinistra quella delle restrizioni. di fatto direi l'esatto contrario. visto che oggigiorno chi vota destra non sa neppure cosa sia la destra. intendo una destra non necessariamente fascista. io rimango dell'idea che è un vero peccato che dio abbia promesso di impedire un secondo diluvio universale. magari fallisce. una speranza c'è. visto lo schifo fatto direi che dio se esiste non è perfetto. magari qualche asteroide ci aiuta. o un super vulcano. o l'inversione magnetica dei poli. dispiace un po' per tutti gli innocenti non umani che ci andranno di mezzo.
Il problema, e lo dico da persona di sinistra, e che la destra presentabile non attira l'elettorato di destra.
Guarda cos'è successo in questo paese: è passato Mario Monti, una persona di destra e per bene, non se lo sono filato. E' passato Mario Draghi, altra persona di destra e per bene, e non si sono filati neanche lui (ha dovuto governare con la "sinistra"...).
Da noi se vuoi prendere i voti degli elettori di destra devi essere razzista, xenofobo, omofobo, populista, maschilista, catto-bugiardo (perché la sincerità della loro adesione al cristianesimo è sotto gli occhi di tutti...) e chi più ne ha più ne metta.
E' un problema anche per noi persone di sinistra, perché questo ha prodotto una sinistra che vive di rendita, campa sul "loro sono peggio di noi, per quanto vi facciamo schifo dovete votare noi lo stesso, altrimenti vincono loro" e così facendo prendono voti senza doversi preoccupare di dover essere davvero alternativi alla destra, gli basta essere solo un pelino meglio.
E infatti, la precarietà nel lavoro chi l'ha introdotta? Il PD (o come si chiamava all'epoca) con il pacchetto Treu. La guerra alle ONG chi l'ha iniziata? Il PD con Minniti e il suo protocollo che le ONG avrebbero dovuto sottoscrivere per fare soccorsi in mare. Gli accordi con la Libia chi li ha fatti? il PD con il governo Gentiloni. Ecc. ecc.
@Massimiliano Polito ahimé triste verità 🙁 ma non ci si può aspettare che governi e rappresentanti siano migliori dei loro elettori. se gli elettori sono dei buffoni a loro piacerà vedere altri buffoni. trump docet. ma è un problema chiaramente generalizzato. l'umanità non ha futuro. ed è un peccato.
c'è una regola che invita a cercare la risposta più semplice. e la risposta da immaginare è che semplicemente la russia abbia impiegato tutto quello che poteva usare e che quello che non ha usato o non funziona o potrebbe non funzionare e far fare una figura peggiore. sostenere che la russia sia ancora una super-potenza è senza senso. certo andrà impedito in futuro un riarmo. io non sento la nostalgia della buon "vecchia e cara" URSS. con metà europa invasa per 50 anni dalla russia sarebbe insensato. abbiamo avuto il problema del fascismo e delle dittature in europa. speriamo che l'ucraina riesca a salvarsi.
@Politica interna, europea e internazionale Anziché citare in apertura il solito Fukuyama, il politologo che prima si è inventato la «fine della storia», in nome del sereno vento dell’Ovest che avrebbe spirato sul mondo una volta abbattuto il Muro di Berlino, e poi, qualche decennio dopo, si è messo a parlare di «identità», avendo capito di aver sbagliato completamente
Secondo i retroscena, i funzionari di via Arenula si erano messi al lavoro per sanare il presunto vizio di forma dell'arresto, preparando una bozza da inviare alla Corte d'Appello. Ma il ministro ha scelto un'altra strada
@Politica interna, europea e internazionale C’erano l’elegante moglie di Andrea Bocelli, un giovane scapigliato in scarpe da ginnastica e un signore alto e magro con un cappello da cow boy, pronti a essere ricevuti dalla presidente del Consiglio a Palazzo Chigi. La scena era talmente bizzarra che sembrava di stare sul set di un film
@Informatica (Italy e non Italy 😁) La Commissione Europea pubblica le linee guida non vincolanti sul divieto per le IA a rischio inaccettabile, in attesa della disegnazione dell’autorità di controllo italiana che dovrà avvenire entro il 2 agosto 2025 L'articolo Ai Act, ecco
avevo capito come era ma non pensavo a questi livelli. quanto siamo caduti in basso. e il bello è che la gente la preferisce a draghi. come se oltretutto draghi fosse di sinistra. una destra seria moderna avrebbe confermato draghi. non questi dilettanti assurdi incapaci e con alamasi pure criminali. bel modo do iniziare con una premier donna. una che rimpiange mussolini. con tutto quello che ha fatto. rimanggo comunque dell'idea che le dittature hanno unaa debolezza: i quadri dirigenti sono scelti in base a regole di fedeltà al regime e qundi non si può scegliere in base a competenza. riguarda la meloni, riguarda putin, riguarda tutte le persone di questo genere. in democrazia se corrotta si possono comunque sceglire gli "amici", ma almaeno non ci sono persone da evitare come la peste solo per motivi ideologici. voglio dire che anche solo per caso ogni tanto qualche persona competente ci può comunque finire.
I nuovi leak dalla chat del partito della premier. Gli insulti a Berlusconi e gli elogi a Mussolini. E il complottismo della premier. Che va anche contro Forza Nuova. Oltre a prendersela con infami e traditori
@Politica interna, europea e internazionale “Cialtrone”, “ridicolo”, “bimbominkia”: sono alcuni degli epiteti con cui Matteo Salvini veniva definito da esponenti di punta di Fratelli d’Italia in un vecchio gruppo su WhatsApp interno al partito. A
La Commissione Europea pubblica le linee guida non vincolanti sul divieto per le IA a rischio inaccettabile, in attesa della disegnazione dell’autorità di controllo italiana che dovrà avvenire entro il 2 agosto 2025
@jele vero, ma funziona così per tutta la normativa europea, dalle regole sulla concorrenza, al GDPR; dal controllo delle frontiere al pareggiodi bilancio! Ed è giusto perché la difesa e la sicurezza nazionale devono sempre prevalere.
Il problema è come viene esercitato questo primato, perché un sistema equilibrato deve presentare bilanciamenti e contropoteri effettivi, che siano in mano a rappresentanti del popolo e della legge: commissioni parlamentari e magistrati. Mi spiego meglio. Se sicurezza e difesa nazionale devono prevalere su tutto (ovviamente tu non sarai d'accordo, ma assumiamolo comunque come dato di partenza), allora è fondamentale che chi ha la responsabilità di esercitare tale potere (ossia il governo) debba essere sottoposto al controllo di trasparenza da parte di un gruppo ristretto di parlamentari di tutte le forze politiche, ma anche allo stop da parte di magistrati che valutino quell'esercizio di potere come abusivo in quanto eccessivo (minaccioso per lo stato di diritto perché non giustificato dalle circostanze) o in quanto pretestuoso (strumentale a ottenere vantaggi di parte)
Il #7febbraio è la Giornata contro il #bullismo e il #cyberbullismo. Istituita nel 2017 dal Ministero, la giornata è un'occasione per riflettere su questa piaga sociale e sugli strumenti utili a combatterla.
Il #7febbraio è la Giornata contro il #bullismo e il #cyberbullismo. Istituita nel 2017 dal Ministero, la giornata è un'occasione per riflettere su questa piaga sociale e sugli strumenti utili a combatterla.
I truffatori hanno trovato un modo nuovo e molto insolito per promuovere le truffe Bitcoin: attraverso l’obsoleto standard di messaggistica multimediale (MMS). I ricercatori di proofPoint hanno svelato una campagna, in cui gli aggressori utilizzano file video 3GP per attirare le vittime verso false piattaforme di investimento.
L’MMS come metodo per inviare messaggi di phishing è stato quasi dimenticato, poiché gli utenti moderni preferiscono la messaggistica istantanea. Ma era proprio la rarità del messaggio a fare il gioco dei truffatori: la maggior parte degli utenti, dopo aver ricevuto un messaggio del genere, lo apriva semplicemente per curiosità. Secondo Proofpoint, il 99% dei messaggi inviati tramite dispositivi mobili viene visualizzato e il 90% viene letto entro i primi tre minuti dalla ricezione.
L’attacco, denominato VidSpam, si basa su piccoli video che misurano appena 14 kilobyte. Il video non contiene animazioni: è solo un’immagine con un pulsante “Play“. Una volta premuto, viene avviato un breve video di due secondi che mostra un’immagine statica. Nella maggior parte dei casi si tratta di foto di persone che hanno presumibilmente ottenuto “successo” negli investimenti in criptovalute, falsi premi e promesse di alti profitti.
Il testo del messaggio contiene un link che porta a un forum falso in cui la vittima viene invitata a unirsi a un gruppo di investimento su WhatsApp. In questo caso, i truffatori utilizzano metodi di persuasione aggressivi, offrendo modi “garantiti” per guadagnare denaro. Creano l’apparenza di transazioni andate a buon fine, mostrano recensioni false e creano urgenza, costringendo gli utenti a investire denaro.
A causa di tali truffe, è quasi impossibile restituire i fondi persi: dopo la prima transazione, i truffatori possono bloccare l’utente o continuare a estorcere denaro, promettendo guadagni rapidi, cosa che in realtà non accadrà.
La scelta del formato 3GP nella campagna in esame è spiegata dalle sue dimensioni ridotte e dalla compatibilità con la maggior parte dei dispositivi mobili. Inoltre, il formato video consente ai truffatori di aggirare facilmente i filtri di sicurezza dei contenuti, che spesso si concentrano su minacce di tipo testo o grafico.
Gli esperti consigliano di disattivare il supporto MMS sugli smartphone se non lo si utilizza. Inoltre, è possibile cancellare i campi MMSC, MMS Proxy e MMS Porta nelle impostazioni della rete mobile per impedirne la ricezione.
Dovresti anche evitare di seguire link sconosciuti o di scaricare file da messaggi sospetti. Qualsiasi proposta di investimento tramite messaggistica, SMS o MMS richiede la massima cautela, perché si tratta di uno degli strumenti più comuni dei truffatori.
Sabahattin Ali – Il demone in noi freezonemagazine.com/articoli/… La copertina di questo libro è stata ipnotica per me. Leggere nel risvolto di copertina, poi, che si tratta di un romanzo ambientato ad Istanbul negli anni trenta di Atatürk, scritto da un autore più volte arrestato per il suo credo politico e morto assassinato più o meno misteriosamente, me lo ha fatto subito scegliere […] L'articolo Sabahattin Ali – Il demone in noi proviene da FREE ZONE
Chip Taylor esce un triplo album freezonemagazine.com/news/chip… Chip Taylor, inserito nella Songwriters Hall of Fame, scrive e si esibisce da oltre 60 anni e torna con quello che potrebbe essere il suo ultimo epico album, The Truth And Other Things. Il New York Times dice: “Se lo conoscete solo come colui che ha scritto Wild Thing e Angel of the Morning, non […] L'articolo Chip Taylor esce un triplo album proviene da FREE ZONE MAGAZINE.
L’attuale panorama della sicurezza informatica è dominato da una preoccupante escalation di compromissioni delle credenziali, una delle minacce più significative per individui e aziende. Gli attacchi recenti rivelano la vulnerabilità dei sistemi di autenticazione, evidenziando la necessità di adottare misure di sicurezza avanzate per proteggere dati sensibili e infrastrutture critiche.
Una panoramica delle compromissioni recenti
Secondo il report di Recorded Future, molteplici piattaforme online sono state coinvolte in episodi di compromissione delle credenziali, tra cui:
Evernote.com: Servizio di gestione note che ha registrato accessi non autorizzati a migliaia di account.
Geox.com: Il sito ufficiale del noto marchio di calzature è stato oggetto di attacchi che hanno esposto credenziali utente e dati sensibili.
Casapia.com: Marketplace di articoli per la casa dove i dati rubati sono stati successivamente venduti su forum come Breached.to.
Musixmatch.com: Piattaforma di testi musicali compromessa attraverso tecniche di credential stuffing.
Gli aggressori hanno sfruttato vulnerabilità nei sistemi di memorizzazione e gestione delle credenziali. Ad esempio, è stato riscontrato che piattaforme come panel.surveyeah.com e docsity.com contenevano cookie di autenticazione rubati, permettendo agli attaccanti di ottenere accesso prolungato agli account delle vittime. Questo tipo di attacco è particolarmente pericoloso in quanto non richiede il furto della password in chiaro, ma sfrutta i cookie di sessione per autenticarsi come l’utente legittimo, aggirando così eventuali meccanismi di autenticazione a più fattori (MFA).
Forum di hacking, come quelli presenti su RaidForums (ora chiuso), Breached.to e Exploit.in, hanno discusso delle vulnerabilità sfruttate, confermando che molti utenti riutilizzano password deboli o già compromesse in precedenti attacchi. In particolare, sono stati individuati database contenenti milioni di credenziali rubate, spesso vendute sul dark web o scambiate tra cybercriminali per essere utilizzate in attacchi di credential stuffing.
Questi attacchi sfruttano la pratica diffusa di riutilizzare la stessa password su più servizi online, permettendo agli attaccanti di ottenere accesso non solo ai siti colpiti direttamente, ma anche a email personali, servizi finanziari e account aziendali delle vittime.
Ad esempio, un recente dump di credenziali ha evidenziato che oltre il 60% delle password compromesse erano già state esposte in precedenti violazioni. Tra le tecniche più utilizzate dagli attaccanti per sfruttare queste credenziali compromesse troviamo:
Credential stuffing – Automazione di tentativi di accesso su più piattaforme con le stesse credenziali.
Phishing mirato – Email fraudolente che sfruttano dati reali delle vittime per aumentarne l’efficacia.
Social engineering – Manipolazione psicologica per indurre le vittime a rivelare informazioni sensibili.
Per mitigare questi rischi, gli esperti di sicurezza raccomandano l’uso di password uniche e complesse per ogni servizio, supportate da strumenti di password manager. Inoltre, abilitare l’autenticazione a più fattori (MFA) è essenziale per ridurre il rischio di accessi non autorizzati, anche in caso di compromissione delle credenziali.
Minacce malware e domini di phishing: un’escalation allarmante
Oltre alle violazioni delle credenziali, il report di Recorded Future ha identificato una crescente attività malevola, con molteplici analisi sandbox che rivelano la diffusione di malware avanzati. Alcuni esempi di malware recentemente rilevati mostrano punteggi di pericolosità estremamente elevati (Polyscore 0.99), con funzionalità come:
Evasione dai sistemi di virtualizzazione e sandbox (T1497 – ATT&CK Framework)
Manipolazione del registro di sistema (T1112 – Modify Registry)
Dumping delle credenziali del sistema operativo (T1003 – OS Credential Dumping)
Tecniche di iniezione nei processi (T1055 – Process Injection)
Connessioni a server C2 (Command and Control) per esfiltrare dati
Modifica dei permessi di esecuzione dei file per persistenza
Ad esempio, un malware analizzato nel report 7967a824d4df4a7cc3d5fd2c0acddda88ee0231d268c98f8e62073151a93da40 è stato classificato come altamente pericoloso e capace di estrarre dati sensibili dalle macchine infette, comunicando con server malevoli localizzati in Russia e Cina.
Ulteriori analisi condotte su malware recenti, come b8ddfb796f25efb82f091568439bf23a210155e1a3c3c4000f2998a47d7926e2, mostrano come le campagne di attacco utilizzino tecniche avanzate di packaging software (T1027.002 – Software Packing) per offuscare il codice e rendere più difficile il rilevamento da parte dei sistemi di difesa aziendali.
Parallelamente, le campagne di phishing stanno aumentando esponenzialmente. Diversi domini sono stati segnalati come fraudolenti e utilizzati per campagne di phishing mirate, spesso collegate ad attacchi malware:
lenis.it – hosting di pagine clone per il furto di credenziali bancarie.
labinstruments.org – utilizzato per veicolare malware tramite allegati email.
expry.it – sospetto sito fraudolento impiegato per il furto di dati personali.
secure-getway321f0be5-corr.tcontact.it – rilevato come dominio fraudolento utilizzato per attacchi di social engineering avanzati.
Secondo i dati delle analisi OSINT condotte dai team di threat intelligence, gli attori malevoli dietro questi attacchi stanno implementando phishing kit evoluti che replicano in modo realistico le pagine di login di banche e servizi email. Alcuni di questi kit sono stati individuati nei forum underground, come XSS.is, dove gli hacker offrono strumenti avanzati per la raccolta di credenziali e il bypass dei sistemi di autenticazione a due fattori (2FA).
I cybercriminali non si limitano più al phishing via email, ma sfruttano canali diversificati come social media, SMS e chiamate vocali automatizzate per ingannare le vittime. L’uso crescente di deepfake vocali per impersonare autorità aziendali e convincere gli impiegati a rivelare dati critici è un ulteriore segnale dell’evoluzione delle tecniche di attacco.
Secondo il rapporto PolySwarm, le minacce analizzate mostrano una chiara tendenza verso attacchi mirati contro aziende di settori strategici, con un’attenzione particolare a:
Istituzioni finanziarie
Fornitori di servizi cloud e telecomunicazioni
Enti governativi e infrastrutture critiche
Settore sanitario e farmaceutico
L’adozione di soluzioni di Threat Intelligence e analisi comportamentale diventa sempre più essenziale per contrastare queste minacce. I dati suggeriscono che le aziende con sistemi di monitoraggio attivo delle minacce e politiche di sicurezza avanzate riducono drasticamente il rischio di compromissione rispetto a quelle con misure difensive statiche.
Indicatori di Compromissione (IOC)
Alcuni IOC emersi dalle analisi recenti includono:
IP sospetti: 192.168.45.21, 83.149.126.86 (utilizzati in attacchi di brute force).
Domini fraudolenti: lenis.it, meditrans.it, secureauth123.biz.
Questi indicatori forniscono un punto di partenza per rilevare e mitigare le minacce nei sistemi aziendali e personali.
La geografia delle minacce: una mappa globale
Una recente mappa interattiva delle minacce evidenzia le aree con la maggiore concentrazione di attacchi. In particolare:
Italia: Epicentro di attacchi legati a credenziali compromesse e phishing, con città come Milano e Roma frequentemente citate nei report di sicurezza.
Germania e Austria: Rilevata un’alta attività di campagne di phishing mirate contro aziende.
Ucraina e Europa orientale: Zone ad alto rischio, spesso bersaglio di gruppi APT (Advanced Persistent Threat).
Questa distribuzione geografica riflette le priorità strategiche degli attaccanti, che mirano a regioni con alta densità di dati sensibili e infrastrutture digitali.
Misure di protezione: un approccio proattivo
Per affrontare la crescente minaccia delle credenziali compromesse, gli esperti raccomandano una combinazione di strategie tecniche e comportamentali:
Monitorare attivamente le minacce: L’uso di soluzioni di Threat Intelligence permette di rilevare e mitigare gli attacchi in tempo reale.
Implementare l’autenticazione a più fattori (MFA): Riduce drasticamente il rischio di accessi non autorizzati anche in caso di furto di credenziali.
Utilizzare password manager: Garantisce la creazione di password uniche e complesse per ogni account.
Formazione continua sulla sicurezza informatica: Aumenta la consapevolezza degli utenti sulle tecniche di phishing e social engineering.
Le compromissioni di credenziali rappresentano una delle sfide più pressanti nel campo della sicurezza informatica. La combinazione di tecniche avanzate, l’uso di domini di phishing e la diffusione di strumenti sul dark web amplificano la portata di questi attacchi.
Adottare un approccio proattivo e implementare misure di sicurezza robuste non è più un’opzione, ma una necessità per proteggere utenti e aziende da una minaccia in continua evoluzione.
Questo articolo è stato redatto attraverso l’utilizzo della piattaforma Recorded Future, partner strategico di Red Hot Cyber e leader nell’intelligence sulle minacce informatiche, che fornisce analisi avanzate per identificare e contrastare le attività malevole nel cyberspazio.
Max 🇪🇺🇮🇹
in reply to Massimo Max Giuliani • •@Massimo Max Giuliani ma sai alla fine non è che facciamo cose solo per punire i cattivi, a volte le facciamo per mantenere una nostra integrità.
Zuckerberg non si accorgerà mai della mia partenza da Facebook ma io sì! Mi sento più integro, più in linea con i miei principi.
Alla fine la motivazione è anche questa, un semplice volersi allontanare da persone, sistemi, situazioni che non ci piacciono.
like this
Massimo Max Giuliani e aimee80 like this.
Massimo Max Giuliani
in reply to Max 🇪🇺🇮🇹 • •Ci faccio il terzo articolo e chiudo la trilogia.
aimee80 likes this.
Massimo Max Giuliani
in reply to Massimo Max Giuliani • •