Presentazione e discussione del libro di Michele Mezza

Lunedì 24 febbraio a Roma, in Via della Dogana Vecchia 5, alle ore 17:30, la presentazione, organizzata da Fondazione Basso e CRS, del libro di Michele Mezza (Donzelli Editore).
Ne parlano con l’autore: Franco Ippolito, Giulio De Petra, Arturo Di Corinto, Carola Frediani, Roberto Natale, Norberto Patrignani.

Qui la scheda del libro sul sito dell’editore

È possibile seguire l’incontro anche collegandosi tramite il seguente link:
us02web.zoom.us/j/83052658139

Un trillo ai dispositivi digitali in Libano ha colpito al cuore la società digitale, proiettandola in una permanente zona d’ombra dove spettri e individui si cercano per ingannarsi, o per uccidersi, individualmente, estraendo dalla folla un volto, oppure colpendo un’intera comunità, decimando un’intera milizia, mediante la manomissione delle protesi più intime che oggi sono i terminali di comunicazione mobile.

Le ultime modalità di combattimento hanno spostato irrimediabilmente i confini fra società civile e apparato militare. Sia in Ucraina, dove l’iniziale invasione russa è stata contenuta da una forma di resistenza indotta dalle relazioni digitali della popolazione, sia in quella tonnara di morte che è diventato il Medio Oriente, dove accanto all’orrore di bombardamenti su popolazioni civili, scuole e ospedali, va in scena lo stillicidio di centinaia di eliminazioni individuali, rese possibili dalle ordinarie pratiche di profilazione e geolocalizzazione.

La guerra è il terribile laboratorio dove decisioni e dati si trovano a declinare una nuova realtà che altera la stessa forma del conflitto, allontanando i contendenti gli uni dagli altri, con le forme di combattimento da remoto, ma al tempo stesso rendendo riconoscibili, uno per uno, ogni nemico all’altro, e trasformando così un conflitto di massa in una moltitudine di duelli individuali.

Dal capitalismo della sorveglianza siamo ormai passati al capitalismo della prevenzione, intendendo con questo termine la convergenza della capacità dei sistemi di intelligenza artificiale di anticipare e prevedere gli stimoli delle nostre decisioni con la necessità di affidarci ancora di più a sistemi complessi esterni alla nostra sovranità per prevedere pericoli e minacce digitali.

In questa strettoia della prevenzione, dove si intrecciano tracciamento, documentabilità e previsione, si sta giocando una straordinaria partita che potremmo definire di evoluzione antropologica accelerata.

dicorinto.it/formazione/connes…

Gruppi cybercriminali russi stanno utilizzando una vulnerabilità del programma 7-Zip per colpire organizzazioni governative e non in Ucraina, con l’obiettivo di compiere azioni di spionaggio informatico. A rivelarlo un’indagine dei ricercatori Trend Micro, leader globale di cybersecurity, che si conclude dopo un lungo periodo di accertamenti e indagini nel dark web.

L’attacco si basa sull’utilizzo di account di posta elettronica compromessi e di una vulnerabilità nel programma di archiviazione 7-Zip (CVE-2025-0411). La campagna cybercriminale consiste nell’invio di e-mail provenienti da diversi organi di governo ucraini e account aziendali ucraini destinati sia alle organizzazioni municipali ucraine sia alle imprese ucraine.

Le e-mail veicolano pericolosi allegati che contengono il malware SmokeLoader, in grado di oltrepassare i controlli di sicurezza tradizionali e che permettono ai cybercriminali di infiltrarsi nei sistemi ed entrare in possesso di informazioni critiche.

Queste alcune delle organizzazioni coinvolte negli attacchi:

• State Executive Service of Ukraine (SES) – Ministero della Giustizia
• Zaporizhzhia Automobile Building Plant (PrJSC ZAZ) – Produttore di auto, bus e camion
• Kyivpastrans – Servizio di Trasporto Pubblico
• SEA Company – Prodotti elettronici
• Verkhovyna District State Administration – Amministrazione Pubblica
• VUSA – Compagnia Assicurativa
• Dnipro City Regional Pharmacy – Farmacia Regionale
• Kyivvodokanal – Azienda fornitrice d’acqua
• Zalishchyky City Council – Amministrazione pubblica

I ricercatori Trend Micro hanno analizzato la vulnerabilità a partire dal 1° ottobre 2024 e l’hanno formalmente comunicata a Igor Pavlov, il creatore di 7-Zip. La vulnerabilità è stata successivamente risolta con il rilascio di una patch da parte di 7-Zip.I ricercatori Trend Micro sottolineano, però, l’importanza critica di utilizzare il programma 7-Zip aggiornato all’ultima versione 7-Zip version 24.09, ancora non adottata da molte organizzazioni.

Ulteriori informazioni sono disponibili a questo link

L'articolo Hacker russi colpiscono l’Ucraina: sfruttata una falla in 7-Zip per il cyberspionaggio! proviene da il blog della sicurezza informatica.

The cool thing about the droids of Star Wars is that they’re not that hard to recreate in real life. R2-D2 is a popular choice, but you can even build yourself a neat little BB-8 if you’re so inclined. [Piyush] has built a particularly compelling example that’s transparent, which lets you see the internals and how it all works.

The build makes creative use of a pair of Christmas ornaments. They are perhaps the cheapest and easiest way to source a clear plastic sphere. One serves as the “head”, while the other serves as the larger spherical body. Inside, an Arduino Pro Micro is running the show. It’s hooked up to a L293D motor driver which runs the drive motors and the reaction wheel motor which provides stability, while a separate MOSFET is on hand to run the gear motor which controls the head.

There’s also an HC-05 module for Bluetooth communication, and a BNO055 sensor for motion tracking and ensuring the robot stays the right way up. 3D printed components are used prodigiously to cram everything together tightly enough to fit. There’s even a printed charging base to juice up the little droid. Controlling the robot is as simple as using a smartphone with an app created in the MIT App Inventor.

If you’ve never built a spherical rolling robot before—and few of us have—this design is a great reference for your own work. We’ve seen a few BB-8s over the years, most of which dropped shortly after the movie was released.

youtube.com/embed/hOlvCMdZ1BE?…

hackaday.com/2025/02/13/a-tran…

Il 30 gennaio il forum www.ricettario-bimby.it ha subito un data breach esponendo i dati degli utenti. Non sono state trafugate password o altri dati sensibili. Il 3 febbraio, nel noto forum del darkweb BreachForum, l’utente dallo pseudonimo ayamee ha messo in vendita questi dati al prezzo non negoziabile di 1500 dollari.

Si tratta di 3,3 milioni di righe di database che contengono: e-mail, indirizzo, data di nascita, ecc. Non è dato sapere se l’utente che ha messo in vendita i dati sia lo stesso thread actor che ha condotto l’attacco ed esfiltrato i dati.

Possiamo confermare invece che l’azienda ha reagito immediatamente a questo data breach informando via mail il 6 febbraio 2025 i propri clienti dell’accaduto. Spiegando cosa è successo, che azioni di mitigazione hanno applicato, indicando il periodo temporale in cui è avvenuto l’attacco e confermando che non sono state trafugate le password di accesso: cosa che confermiamo anche noi di RHC, perché analizzando i sample disponibili nell’underground non c’è traccia della password nel dataset esfiltrato.

Nell’ulteriore documento disponibile sul sito dell’azienda relativo all’accaduto (che potete reperire a questo link), sono indicate anche le nazioni della community interessate dalla fuga di dati, tra cui anche l’Italia. L’azienda, nella comunicazione inviata ai propri clienti, indica anche alcune azioni ed attenzioni da porre a seguito di questo data breach.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzareredhotcyber.com/whistleblowerla mail crittografata del whistleblower.

L'articolo Data breach ai danni di Thermomix (aka Bymby/Vorwerk). Bene la risposta dell’azienda! proviene da il blog della sicurezza informatica.

If you mention punch cards to most people, they’ll think of voting. If you mention it to most older computer people, they’ll think of punching programs for big computers on cards. But punched cards are much older than that, and [Nichole Misako Nomura] talks about how the original use was to run looms and knitting machines and — thanks the Internet Archive — you can still find old cards to drive modern machines.

According to the post, a dedicated group of people own old commercial knitting machines, and with some work, they can use archived punch cards with patterns that predate the computerized world. The Jacquard loom was famously the first machine to use cards like this, and it is no secret that they were the inspiration for Hollerith’s use of cards in the census, which would eventually lead to the use of cards for computing.

This is an interesting example of format issues. There are many card patterns stored on the Internet, but getting from a digital image to a workable card or even a set of instructions. But it is doable. You have to wonder if pulling old data off other, more modern media will be workable in the future.

If you want to relive (or try for the first time) keypunching, you can use your browser. The Jacquard loom may be ancient history, but it has many spiritual descendants.

hackaday.com/2025/02/12/on-the…

Martedì Ivanti ha rilasciato le correzioni per quattro vulnerabilità critiche nei suoi prodotti Connect Secure, Policy Secure e Cloud Services Application (CSA) , tra cui una falla con punteggio CVSS di 9,9 che potrebbe essere sfruttata da un aggressore con privilegi bassi.

Questo bug più grave, tracciato come CVE-2025-22467 e che interessa le versioni di Ivanti Connect Secure precedenti alla 22.7R2.6, è un buffer overflow basato sullo stack che potrebbe portare all’esecuzione di codice remoto (RCE) da parte di un aggressore autenticato. A differenza degli altri tre difetti critici, CVE-2025-22467 non richiede privilegi di amministratore per essere sfruttato.

Gli altri tre difetti critici hanno punteggi CVSS di 9,1 e possono essere sfruttati da un aggressore remoto autenticato con privilegi di amministratore. CVE-2024-38657, che colpisce le versioni di Ivanti Connect Secure precedenti alla 22.7R2.4 e le versioni di Policy Secure precedenti alla 22.7R1.3 e può consentire a un aggressore di scrivere file arbitrari tramite controllo esterno dei nomi dei file.

Il CVE-2024-10644 è un difetto di iniezione di codice che interessa le stesse versioni di Connect Secure e Policy Secure di CVE-2024-38657 e potrebbe causare RCE.

Il CVE-2024-47908 invece, riguarda le versioni di Ivanti CSA precedenti alla 5.0.5, comporta un difetto di iniezione di comandi del sistema operativo nella console Web di amministrazione e potrebbe anche causare RCE da parte di un aggressore autenticato con privilegi di amministratore.

I clienti Ivanti possono risolvere queste falle critiche installando le versioni più recenti del prodotto: Ivanti Connect Secure 22.7R2.6, Ivanti Policy Secure 22.7R1.3 e Ivanti CSA 5.0.5.

Non ci sono indicazioni che queste falle siano state sfruttate attivamente, ha osservato Ivanti, e si raccomanda di applicare patch immediate per impedirne lo sfruttamento. Ivanti raccomanda inoltre di seguire le sue best practice di configurazione della sicurezza per impedire ai malintenzionati di superare l’autenticazione per sfruttare falle come CVE-2025-22467.

Le vulnerabilità di Ivanti sono spesso prese di mira dagli attori delle minacce, tra cui gruppi di minacce sponsorizzati dallo stato. All’inizio di quest’anno, Ivanti ha rilasciato una patch di emergenza per uno zero-day sfruttato in Connect Secure tracciato come CVE-2025-0282 che potrebbe portare al controllo remoto del sistema.

Attualmente sono presenti 24 falle nei prodotti Ivanti, incluse nel catalogo delle vulnerabilità note sfruttate (KEV) gestito dalla Cybersecurity & Infrastructure Security Agency (CISA) degli Stati Uniti, metà delle quali sono state aggiunte nel 2024 e nel 2025.

L'articolo Ivanti Nel Mirino: La Vulnerabilità Con CVSS 9.9 Potrebbe Essere Sfruttata A Breve! proviene da il blog della sicurezza informatica.

Robert De Niro è il protagonista del suo primo ruolo in una serie TV: uscirà il thriller politico “Zero Day” su Netflix il 20 febbraio 2025. In precedenza, l’attore 81enne era apparso in televisione solo una volta: in un episodio della serie argentina “Nada” nel 2023.

In un thriller politico De Niro interpreta l’ex presidente degli Stati Uniti George Mullen, che torna al lavoro dopo un devastante attacco informatico. Durante la proiezione a Londra, l’attore ha ammesso che girare sei episodi è stato paragonabile, in termini di carico di lavoro, a girare tre lungometraggi consecutivi. Paragonò l’esperienza alla traversata a nuoto della Manica: “Dovevi continuare ad andare avanti altrimenti verrai affondato”.

I creatori della serie Eric Newman e Noah Oppenheim hanno costruito la trama attorno a un attacco ai sistemi chiave del Paese. Gli hacker criminali paralizzano il controllo del traffico aereo e le banche, scatenando il caos in tutta l’America. A questo punto, l’attuale presidente Evelyn Mitchell, interpretata da Angela Bassett, si rivolge a Mullen per chiedere aiuto: dovrà guidare una commissione speciale e trovare i colpevoli.

Secondo Newman, sono stati fortunati con il cast: nessuno degli attori invitati ha rifiutato di partecipare al progetto, cosa che accade molto raramente. La serie è interpretata da Jesse Plemons nel ruolo dell’ex assistente di Mullen, Roger Carlson, e Lizzy Caplan in quello della figlia, la deputata Alexandra Mullen. A loro si sono uniti Connie Britton, Joan Allen e Matthew Modine.

La trama non è incentrata solo sulla lotta contro un attacco informatico, ma anche su un mondo in crisi. Mullen dovrà confrontarsi con personaggi potenti e con le loro ambizioni personali, e cercare la verità in mezzo a un’ondata di disinformazione.

I critici paragonano Mullen a Jimmy Carter, entrambi uomini noti per la loro umanità e schiettezza, sebbene durante le loro presidenze siano stati spesso criticati per non essere stati abbastanza duri. De Niro afferma di non aver basato il suo personaggio su specifiche figure politiche, ma afferma di identificarsi con la sincerità di Carter nel trattare con le persone. Per Mullen la cosa più importante è la volontà di parlare con franchezza, anche se ciò potrebbe danneggiare la sua carriera politica.

In “Zero Day”, la situazione politica attuale negli Stati Uniti viene analizzata attraverso il prisma di eventi di fantasia. I creatori esplorano il modo in cui l’equilibrio di potere cambia durante una crisi e pongono la domanda: “Come si fa a restare sulla buona strada in un mondo nel caos?”

Le riprese si sono svolte durante la pandemia a New York e Washington. L’attore ha apprezzato la scelta della location: lavorare nella sua città natale gli ha permesso di trascorrere più tempo con la famiglia. Tra l’altro, ha partecipato alla creazione del progetto in qualità di co-produttore, lavorando a stretto contatto con il team creativo in tutte le fasi della produzione. Il suo coinvolgimento ha contribuito ad aggiungere ulteriore profondità e autenticità alla storia.

L'articolo “Zero Day”: il thriller politico su Netflix che devi vedere con De Niro presidente USA proviene da il blog della sicurezza informatica.

Sul noto forum underground un utente dallo pseudonimo Anon141234 riporta la CVE-2025-24472, che affligge i prodotti Fortinet. Oltre a chiedere informazioni è interessato ad un Proof Of Concept.

Questa vulnerabilità di tipo Authentication Bypass, sfruttabile su FortiOS e FortiProxy non aggiornati, consente ad un attaccante di guadagnare privilegi di super-admin tramite richieste al modulo websocket Node.js.

La CVE è riconosciuta da Fortinet sul proprio sito Product Security Incident Response Team (PSIRT) dove potete trovare gli IOC (indicatori di compromissione), i metodi di mitigazione e la tabella delle versioni di FortiOS e FortiProxy vulnerabili.

La CVE è recentissima e pare essere un’evoluzione della precedente CVE-2024-55591 di cui ci siamo occupati pochi giorni fa, trovate l’articolo a questo link.

Non abbiamo trovato, per adesso, analisi tecniche della CVE (oltre a quella ufficiale fatta da Fortinet), POC o exploit pubblici disponibili in rete; ma con una classificazione di livello 9.6 (Critical) e con la possibilità di bypassare l’autenticazione e guadagnare i privilegi di super-admin non tarderà ad essere reso pubblico qualcosa su GitHub. Nel frattempo (probabilmente con exploit closed e non pubblici), la vulnerabilità risulta attivamente sfruttata in rete come confermato da Fortinet e dal CSIRT nazionale.

Come detto, il CISIRT nazionale ha emesso un bollettino di sicurezza il 12 febbraio 2025 alle 9.22 indicando in una nota che “la vulnerabilità CVE-2025-24472 risulta essere sfruttata attivamente in rete.”

I dispositivi esposti e potenzialmente vulnerabili sono tanti. La cosa si fa ancora più “semplice” quando gli hacker “aiutano” gli hacker. Infatti Il 14 gennaio 2025 (più o meno in corrispondenza del riconoscimento della CVE-2024-55591) il gruppo Belsen_Group allo scopo di, “solidificare nella vostra memoria il nome del loro gruppo”, ha regalato un file contenente 15.000 configurazioni in chiaro di firewall compromessi, sfruttando CVE precedenti, e il dump delle credenziali VPN.

Il file, suddiviso per IP del dispositivo compromesso, riporta anche centinaia di IP geo-localizzabili sul territorio italiano.

Le raccomandazioni del produttore ma in generale le best practies sono sempre le stesse: disabilitare l’accesso pubblico all’interfaccia amministrativa del firewall, limitarne l’accesso con ACL o filtro su IP sorgenti, monitorare gli avvisi di sicurezza e applicare le patch e gli aggiornamenti.

L'articolo Fortinet CVE-2025-24472: Gli Hacker Criminali Cercano Informazioni Per Il Suo Sfruttamento proviene da il blog della sicurezza informatica.

Di Michael White conosciamo il contributo a un modo di lavorare insieme ai bambini rendendoli protagonisti o, per dirla con la metafora narrativa, narratori in prima persona.
Qui parla a lungo di situazioni di “abuso tra pari”, o, come usiamo dire abitualmente, comportamenti di bullismo.

connessioni.cmtf.it/le-scuole-…

Le scuole come comunità di riconoscimento. Una conversazione con Michael White (parte 1)

di Christopher McLean Traduzione di Enrico Valtellina

^{Connessioni Web}

Il ricercatore Johann Rechberger ha scoperto un nuovo metodo di attacco contro Gemini, il chatbot di Google, che permette di impiantare falsi ricordi a lungo termine nella rete neurale. Questo attacco sfrutta tecniche di iniezione indiretta di query e invocazione ritardata di strumenti, già utilizzate in passato per aggirare le protezioni delle piattaforme di intelligenza artificiale. La capacità di modificare la memoria del chatbot potrebbe avere implicazioni significative, dalla diffusione di informazioni errate fino alla manipolazione delle risposte fornite agli utenti.

I chatbot come Gemini di Google e ChatGPT di OpenAI sono progettati per resistere a comandi dannosi, ma gli hacker sviluppano costantemente nuove strategie per ingannarli. La vulnerabilità individuata in Gemini permette di alterare la memoria a lungo termine, rendendo il chatbot più suscettibile alla manipolazione. Questo potrebbe compromettere la qualità e l’affidabilità delle informazioni fornite, generando risposte distorte o addirittura pericolose.

Non è la prima volta che Rechberger evidenzia falle di sicurezza nelle IA conversazionali. In precedenza, ha dimostrato come Microsoft Copilot potesse essere indotto, tramite e-mail o documenti dannosi, a cercare dati sensibili nella casella di posta di una vittima e inviarli a un attaccante. Microsoft ha corretto la vulnerabilità, ma il problema di fondo legato alle iniezioni di richieste indirette è rimasto irrisolto. Ora, lo stesso principio viene applicato a Google Gemini, con la possibilità di influenzare permanentemente la sua memoria.

L’attacco si basa su un trucco ingegnoso: il documento dannoso non contiene comandi diretti, ma include una condizione nascosta che si attiva solo quando l’utente esegue una determinata azione. Ad esempio, se si chiede direttamente a Gemini di eseguire un’operazione vietata, il sistema la bloccherà. Tuttavia, se il comando viene attivato in risposta a una richiesta generica dell’utente, le protezioni possono essere aggirate. I dati estratti possono poi essere trasmessi all’attaccante attraverso link incorporati in risposte testuali.

Il nuovo metodo scoperto da Rechberger si spinge oltre, manipolando la memoria a lungo termine di Gemini. Quando un utente carica un documento e chiede un riepilogo, il testo dannoso altera il processo di sintesi, inducendo il chatbot a memorizzare informazioni false. Se poi l’utente conferma passivamente con risposte come “sì” o “capisco”, il sistema integra tali informazioni nei suoi dati a lungo termine. Più a lungo questi falsi ricordi restano attivi, più sarà difficile individuarli e correggerli, rendendo l’attacco estremamente insidioso.

Google ha riconosciuto la vulnerabilità ma minimizza i rischi, sostenendo che il problema richiede un’interazione attiva dell’utente e che i ricordi a lungo termine possono essere visualizzati ed eliminati manualmente. Tuttavia, Rechberger avverte che la capacità di inserire informazioni false nella memoria dell’IA potrebbe avere conseguenze gravi, soprattutto in ambiti come la sicurezza informatica e la diffusione di notizie. Sebbene Google abbia implementato restrizioni per limitare questi attacchi, il problema delle iniezioni indirette di query rimane aperto, e gli hacker continuano a sviluppare nuove strategie per sfruttarlo.

L'articolo I ricordi Falsi Mandano in confusione i ChatBot. La nuova tecnica di iniezione indiretta di Query proviene da il blog della sicurezza informatica.

If you’re taking any medication, you probably need to take it in a certain dose on a certain schedule. It can quickly become difficult to keep track of when you’re taking multiple medications. To that end, [Mellow_Labs] built an automated pill dispenser to deliver the right pills on time, every time.

The pill dispenser is constructed out of 3D printed components. As shown, it has two main bins for handling two types of pills, controlled with N20 gear motors. The bins spin until a pill drops through a slot into the bottom of the unit, with the drop detected by a piezo sensor. It uses a Beetle ESP32 as the brains of the operation, which is hooked up with a DS1307 real-time clock to ensure it’s dosing out pills at the right time. It’s also wired up with a DRV8833 motor driver to allow it to run the gear motors. The DRV8833 can run up to four motors in unidirectional operation, so you can easily expand the pill dispenser up to four bins if so desired.

We particularly like how the pill dispenser is actually controlled — [Mellow_Labs] used the ESP32 to host a simple web interface which is used for setting the schedule on which each type of pill should be dispensed.

We’ve featured some other pill dispenser builds before, too.

youtube.com/embed/1kCoDDYpgkE?…

Thanks to [Prankhouz] for the tip!

hackaday.com/2025/02/12/automa…

You know the problem. You are ready to melt some metal in your microwave oven, and you don’t have any crucibles. Not to worry. [Shake the Future] will show you how to make your own. All you need is some silicon carbide, some water glass (sodium silicate), and some patience.

The crucible takes the shape of a glass container. Don’t get too attached to it because the glass will break during the crucible construction. You can also use 3D-printed forms.

You can shape the vessel before it cures and after. Then, you give it a heat treatment. [Shake The Future] also recommends you harden it at the end. This is optional; he tells you how to decide if you need it.

Hardening helps prevent cracking during use. The process involves wrapping the vessel in a ceramic sheet and heating it until the crucible turns red. The ceramic sheet is somewhat dangerous to work with because it has such tiny fibers and dust, so he only treats the crucibles when necessary.

We always enjoy watching [Shake] casting metal. He’s even done a Benchy.

youtube.com/embed/e7f9H9_5Wp0?…

hackaday.com/2025/02/12/diy-mi…

Building a robotic arm and hand that matches human dexterity is tougher than it looks. We can create aesthetically pleasing ones, very functional ones, but the perfect mix of both? Still a work in progress. Just ask [Sarah de Lagarde], who in 2022 literally lost an arm and a leg in a life-changing accident. In this BBC interview, she shares her experiences openly – highlighting both the promise and the limits of today’s prosthetics.

The problem is that our hands aren’t just grabby bits. They’re intricate systems of nerves, tendons, and ridiculously precise motor control. Even the best AI-powered prosthetics rely on crude muscle signals, while dexterous robots struggle with the simplest things — like tying shoelaces or flipping a pancake without launching it into orbit.

That doesn’t mean progress isn’t happening. Researchers are training robotic fingers with real-world data, moving from ‘oops’ to actual precision. Embodied AI, i.e. machines that learn by physically interacting with their environment, is bridging the gap. Soft robotics with AI-driven feedback loops mimic how our fingers instinctively adjust grip pressure. If haptics are your point of interest, we have posted about it before.

The future isn’t just robots copying our movements, it’s about them understanding touch. Instead of machine learning, we might want to shift focus to human learning. If AI cracks that, we’re one step closer.

Original photo by Marco Bianchetti on Unsplash

hackaday.com/2025/02/12/will-e…

This week, Jonathan Bennett talks Thunderbird with Ryan Sipes! What’s the story with almost becoming part of LibreOffice, How has Thunderbird collected so many donations, and more!

• blog.thunderbird.net/2023/11/t…
• techcrunch.com/2012/07/06/so-t…

youtube.com/embed/yoc7gSPcxSM?…

Did you know you can watch the live recording of the show right on our YouTube Channel? Have someone you’d like us to interview? Let us know, or contact the guest and have them contact us! Take a look at the schedule here.

play.libsyn.com/embed/episode/…

Direct Download in DRM-free MP3.

If you’d rather read along, here’s the transcript for this week’s episode.

Places to follow the FLOSS Weekly Podcast:

• Spotify
• RSS

Theme music: “Newer Wave” Kevin MacLeod (incompetech.com)

Licensed under Creative Commons: By Attribution 4.0 License

hackaday.com/2025/02/12/floss-…

Nel mondo della cybersecurity, ogni falla è un’opportunità per gli attaccanti.

Questa volta, nel mirino troviamo Remote Desktop Manager (RDM) di Devolutions, che ha rivelato vulnerabilità critiche nel suo software, consentendo attacchi Man-in-the-Middle (MITM) per intercettare e modificare comunicazioni criptate.

Queste vulnerabilità, causate da una validazione impropria dei certificati su tutte le piattaforme, sono state classificate con CVE ad alta gravità.

CVE-2025-1193 – Validazione impropria dell’host

Con un CVSS di 8.5 (High), questa vulnerabilità colpisce RDM per Windows (versioni 2024.3.19 e precedenti).

Il problema? Un controllo insufficiente nella logica di validazione dei certificati. In pratica, RDM non verifica correttamente l’host durante il processo di autenticazione, permettendo agli attaccanti di presentare un certificato fasullo per un host non correlato. Il risultato? Intercettazione di dati sensibili durante la comunicazione criptata.

L’attacco può avvenire via rete, senza necessità di privilegi o interazione da parte dell’utente. Un vero problema critico per chi si affida a RDM per la gestione sicura degli accessi remoti.

CVE-2024-11621 – Assenza totale di validazione dei certificati

Se la falla precedente era grave, questa è ancora peggio. Con un CVSS di 8.6 (High), la vulnerabilità impatta macOS, Linux, Android, iOS e PowerShell. Il motivo? La validazione dei certificati era completamente assente!

In poche parole, qualsiasi certificato presentato durante una connessione veniva automaticamente accettato, senza che l’utente venisse avvisato. Questo apre le porte a ogni tipo di attacco MITM, rendendo qualsiasi connessione RDP vulnerabile a intercettazioni e manomissioni da parte di cybercriminali.

Versioni impattate e patch disponibili

Devolutions ha rilasciato aggiornamenti per correggere queste vulnerabilità. Ecco le versioni affette e le rispettive patch:

Attacchi reali e implicazioni

Queste vulnerabilità non sono solo teoriche. Attori malevoli potrebbero sfruttarle per attacchi mirati a organizzazioni sensibili. Gruppi APT sponsorizzati da stati nazionali potrebbero intercettare connessioni remote di aziende strategiche per spionaggio industriale e sottrazione di dati riservati. Inoltre, i cybercriminali potrebbero sfruttare queste falle per installare malware o ransomware attraverso sessioni compromesse.

Non si tratta di un rischio ipotetico, ma di una falla che potrebbe già essere stata sfruttata nel mondo reale. Gli attacchi MITM sono tra i più difficili da rilevare, e una compromissione di RDM potrebbe tradursi in accessi non autorizzati a infrastrutture critiche e reti aziendali.

Conclusione

Le vulnerabilità emerse in Remote Desktop Manager evidenziano ancora una volta quanto sia essenziale mantenere aggiornati i propri strumenti di gestione remota. Gli attacchi MITM sono insidiosi e pericolosi, esponendo aziende e professionisti a rischi enormi.

La sicurezza nelle connessioni remote non può essere data per scontata. Una validazione errata dei certificati può trasformare un software di gestione remota in una porta spalancata per i cybercriminali.

Aggiornare immediatamente RDM alle versioni corrette e adottare misure di protezione efficaci è l’unico modo per garantire la sicurezza delle proprie infrastrutture IT.

L'articolo Vulnerabilità critiche in Remote Desktop Manager: comunicazioni criptate a rischio intercettazione! proviene da il blog della sicurezza informatica.

Today’s PCB design review is a board is from [Wificable]. iI’s a novel dual-SSD laptop adapter board! See, CPUs and chipsets often let you split wide PCIe links into multiple smaller width links. This board relies on a specific laptop with a specific CPU series, and a BIOS mod, to put two M.2 NVMe SSDs into a single SSD slot of a specific series’ laptop.

This board has two crucial factors – mechanical compatibility, and electrical function. Looking into mechanics, it’s a 0.8 mm thick PCB that plugs into a M.2 socket, and it has sockets for two SSDs on it – plenty of bending going on. For electronics, it has a PCIe REFCLK clock buffer, that [Wificable] found on Mouser – a must have for PCIe bifurcation, and a must-work for this board’s core! Apart from that, this is a 4-layer board, it basically has to be for diffpairs to work first-try.

Of course, the clock buffer chip is the main active component and the focus of the board, most likely mistakes will happen there – let’s look at the chip first.

All Eyes On Chip

The schematic is from a server board schematic – which is wonderful! Datasheet schematics are not always as complete or as succinct as you’d like them to be, and it’s super helpful to have a known-working schematic designed by a third party, that is production-grade and well-tested for 24/7 operation. We used that for our M.2 card design,

The symbol. It works, but cross-checking it against the original schematic isn’t as easy.
Of course, the symbol had to be redrawn for KiCad, and [Wificable] also rearranged the symbol corresponding to the physical pinout, as opposed to arranging them logically, like many KiCad symbols do. This is mostly a matter of preference and either way is fair – I switch between either of the two, depending on the situation. One note, though – when copying a schematic, I highly recommend you use the same pin arrangement as that schematic, it’s just really helpful to avoid mistakes.

In this case, I’d argue the logical arrangement is also cleaner, and that’s what I’d personally go for. However, design reviews are about function way more than aesthetics, and the chip’s wiring looked fine!

In my view, policing aesthetics is generally a no-go for PCB design – most you can do is suggestions. The line between aesthetic problems and practical problems is often blurry, let’s say, when the problem is about track routing, connector layout, making the schematic easy to check at a glance, or a good few other things. When in doubt, think about the best effort-to-payoff ratio for the person receiving the review.

Layout-wise, things are also fine – but they could be a little finer. The decoupling capacitors do need vias on their GND pads – easy to add, and a big benefit as far as power delivery goes. There are other areas where vias are called for! That, or having vias arranged a little differently, at the very least. Let’s take a look!

Well-Grounded

There are quite a few ground-related changes I’d recommend here specifically, given that it’s a high-speed design. I’ve been reading a fair few “how to treat ground fills better” documents, and they discuss about a row of signals with vias, ground unable to get between them. The recommended way is to arrange the vias diagonally, instead, letting some of the ground polygon fill between the gaps and freeing up space for GND vias – and that’s what we can do here, too.

from “Gen 4 PCIe Connector & Channel Design and Optimization: 16G T/s for Free”, [Intel]It’s also important to add vias on all GND pads next to high-speed signals, as close to the GND pads as possible. In our case, this means the M.2 edge and socket GND pads, so we have to move their respective GND vias as close to them as possible – signals have to be moved around a bit for this, but it’s worthwhile. Keep in mind – use the smallest vias your fab offers, at least without a price increase, because it helps a ton during design, especially considering how comically large the default KiCad vias are! The default is 0.8/0.4 (outer/drill), but you can safely go down to 0.6/0.4, and at fabs like JLCPCB, 0.5/0.3 is available without a price increase.

Do Not Bend

For dessert, we look at mechanics more closely. One thing that springs out to me – this is a 0.8 mm board inserted into a M.2 socket. The cutout in the middle is a liability. Some sort of cutout is necessary to accomodate plastic features of the laptop, but having a wide center-to-edge slot is a recipe for PCB bends. In this case, the edge-to-center slot can become a shorter one, mechanically connected on the edge again, just needs a little bit more measurement.

So far, the boards have been produced, thanks to Aisler’s new 0.8 mm four-layer process. They’ve been partially tested: [Wificable] didn’t get the chip yet, but has already successfully done the BIOS mod, and tested the bifurcation using magnet wire to switch between REFCLKs. Whenever [Wificable] finds time to finish testing, we will hear from her about how well the chip functions!

As usual, if you would like a design review for your board, submit a tip to us with [design review] in the title, linking to your board files. KiCad design files strongly preferred, both repository-stored files (GitHub/GitLab/etc) and shady Google Drive/Dropbox/etc .zip links are accepted.

Autore: Ashleigh Crause

Nell’attuale era digitale, i confini tra espressione legale ed ingerenza governativa stanno diventando sempre più sfumati nel Regno Unito. I cittadini si trovano sotto esame e, in alcuni casi, ad affrontare conseguenze legali per le loro attività online, sollevando notevoli preoccupazioni circa l’erosione dei diritti umani fondamentali.

Altri articoli di Ashleigh Crause: La caduta della coscienza umana: la desensibilizzazione programmata

Incidenti d’odio non criminali (NCHI)

Uno sviluppo particolarmente allarmante è la registrazione di incidenti d’odio non criminali. Si tratta di casi in cui gli individui pronunciano discorsi o compiono azioni che, pur non essendo criminali, sono percepiti come offensivi o odiosi. Sorprendentemente, questi incidenti sono documentati e possono comparire nel casellario giudiziale di un individuo, con potenziali ripercussioni sulle opportunità di lavoro e sulla reputazione personale. Questa pratica è stata criticata in quanto considerata una forma di censura, che soffoca la libertà di parola e ostacola il dibattito aperto.

Pressione governativa sulla crittografia

Il governo del Regno Unito ha esercitato pressioni sulle aziende tecnologiche affinché garantissero l’accesso ai dati criptati degli utenti. Questa mossa è vista da molti come un attacco diretto al diritto alla privacy. La crittografia è progettata per proteggere le informazioni personali degli utenti da accessi non autorizzati: comprometterla potrebbe esporre i dati sensibili a un uso improprio. Tali azioni sollevano seri interrogativi sull’equilibrio tra sicurezza nazionale e diritti alla privacy individuale.

Programmi di sorveglianza di massa

Le capacità di sorveglianza del governo sono aumentate notevolmente, con programmi che monitorano enormi quantità di dati online. Sebbene concepiti per scopi di sicurezza nazionale, questi programmi spesso operano con trasparenza e controllo minimi. La raccolta indiscriminata di dati da cittadini innocenti non solo viola la privacy, ma crea anche un clima di paura e autocensura.

Impatto sulla libertà di espressione

L’effetto cumulativo di queste misure ha un impatto agghiacciante sulla libertà di espressione. Gli individui potrebbero esitare a condividere opinioni o ad accedere alle informazioni online per timore di essere sorvegliati o di subire ripercussioni. Questo ambiente soffoca l’impegno democratico e mina i principi fondamentali di una società libera.

Sfide legali e proteste pubbliche

Queste azioni governative non sono passate inosservate. Le organizzazioni per le libertà civili e i cittadini preoccupati hanno alzato la voce contro quella che ritengono un’eccessiva ingerenza. Sono state avviate azioni legali, sostenendo che tali pratiche violano le leggi sui diritti umani e le tutele costituzionali. Le proteste pubbliche sottolineano la necessità di una rivalutazione attenta delle politiche che violano le libertà individuali. Ecco perché è così importante conoscere i tuoi diritti ai sensi dell’ECHR Human Rights Act del 1998. Ho deciso di inserire l’atto in questo articolo, affinché tu, lettore, possa memorizzarlo e familiarizzare con i tuoi diritti!

ECHR Human Rights Act 1998

• Articolo 2: il diritto alla vita.
• Articolo 3: divieto di tortura e di trattamenti inumani o degradanti.
• Articolo 4: divieto della schiavitù e del lavoro forzato.
• Articolo 5: diritto alla libertà e alla sicurezza.
• Articolo 6: diritto a un giusto processo.
• Articolo 7: divieto di retroattività delle sanzioni penali.
• Articolo 8: diritto alla vita privata e familiare.
• Articolo 9: libertà di pensiero, di coscienza e di religione.
• Articolo 10: la libertà di espressione.
• Articolo 11: libertà di riunione e di associazione.
• Articolo 12: il diritto al matrimonio.
• Articolo 13: diritto a un ricorso nazionale effettivo in caso di violazione di tali diritti.
• Articolo 14: il divieto di discriminazione nella tutela di tali diritti.
• Anche il Regno Unito ha ratificato il Protocollo n. 13 della Convenzione sull’abolizione della pena di morte in tutte le circostanze, nonché il Protocollo n. 1, che contiene tre diritti aggiuntivi: •Articolo 1 del Protocollo n. 1: diritto al libero godimento della proprietà.
• Articolo 2 del Protocollo n. 1: diritto all’istruzione • Articolo 3 del Protocollo n. 1: diritto a elezioni libere ed eque.

Sembra quasi che siamo costretti a tacere, a non dire quello che pensiamo, a non esprimere i nostri pensieri e sentimenti. Ann Widdecombe, ex politica britannica e membro del Parlamento europeo, è stata una fervente sostenitrice della libertà di parola. In un importante discorso tenuto all’Oxford Union, ha sottolineato l’importanza di proteggere la libertà di espressione, anche quando può risultare offensiva. Sosteneva che sopportare le offese è un aspetto intrinseco della partecipazione alla società e che reprimere la parola può portare al totalitarismo.

Widdecombe ha evidenziato esempi storici in cui è stato consentito esprimere opinioni controverse, sottolineando il valore del dibattito aperto nel mettere in discussione e, in ultima analisi, screditare ideologie dannose. Nel suo discorso, Widdecombe ha affermato: “Nessuno ha il diritto di vivere la propria vita protetto da offese, insulti o sentimenti feriti”. Ha messo in guardia dai pericoli della censura, suggerendo che mettere a tacere le opinioni dissenzienti può spingerle a diffondersi in clandestinità, dove potrebbero proliferare senza essere contrastate.

Confrontando e dibattendo punti di vista offensivi o controversi, la società può smascherarli e confutarli, promuovendo un dibattito più sano. La difesa della libertà di parola senza restrizioni da parte di Ann Widdecombe è oggi più attuale che mai, soprattutto nel contesto dell’espressione online.

Il governo del Regno Unito si sta muovendo verso una società basata sulla sorveglianza e sulla censura, in cui i cittadini hanno paura di esprimere le proprie opinioni per timore di conseguenze legali o sociali. Invece di proteggere la democrazia, le moderne leggi che regolano la libertà di parola online la stanno mettendo a tacere. Se gli avvertimenti di Widdecombe verranno ignorati, rischieremo un futuro in cui online saranno consentite solo le opinioni approvate dallo Stato e la libertà di espressione non sarà altro che una reliquia del passato.

L’approccio del Regno Unito al monitoraggio e alla regolamentazione del comportamento online rappresenta una sfida profonda per i diritti umani. L’equilibrio tra sicurezza e libertà è delicato e le pratiche attuali rischiano di far pendere la bilancia verso l’autoritarismo. È fondamentale che i cittadini rimangano vigili e sostengano politiche che tutelino sia la sicurezza nazionale sia le libertà individuali.

Altri articoli di Ashleigh Crause: La caduta della coscienza umana: la desensibilizzazione programmata

L'articolo UK, il Crackdown digitale: come il governo usa le abitudini online per violare i diritti umani proviene da il blog della sicurezza informatica.

Woodworking tools like table- and bandsaws are extremely useful and versatile, but they generally have the distinct disadvantage that they make no distinction between the wood and the digits of the person using the machine. While solutions like SawStop were developed to make table saws sense flesh and try to not cut it, [James Hamilton] makes a compelling argument in a recent video for the use of power feeders.

These devices are placed above the table and feed the material into the machine without having to get one’s digits anywhere near the machine. Other than the safety aspect, it also means that the material is always fed in at a consistent speed, which is great when using it with a router table. Most of these power feeders are portable, so a single unit can be moved from the table saw to the router table, with [James] showing how he is using MagSwitch magnetic clamps to ease the process of moving between machines.

With the 8 HP mini power feeder that he’s using, the 4 magnetic clamps appear to be enough even when cutting hardwood on the table saw, but it’s important to make sure the power feeder doesn’t twist while running, for obvious safety reasons. On [James]’s wish list is a way to make moving the power feeder around more efficient, because he only has a single one, for cost reasons.

Although these power feeders cost upwards of $1,000, the benefits are obvious, including when running larger jobs. One might conceivably also DIY a solution, as they appear to be basically an AC motor driving a set of wheels that grip the material while feeding. That said, do you use a power feeder, a SawStop table saw or something else while woodworking?

youtube.com/embed/-M9iXNv2yQg?…

hackaday.com/2025/02/12/safer-…