Quante volte si sente dire che è impossibile fare innovazione in Europa seguendo le regole? Certamente, i giganti della Silicon Valley hanno tutto l’interesse ad un ragionamento in senso opposto: prima si propone sul mercato la scintillante novità tecnologica, puntando sull’effetto “wow” e prescindendo da ogni regola. Insomma: anarco-capitalismo negli intenti, ma anche la realtà statunitense non tollera alcuni eccessi soprattutto se investono il funzionamento del mercato e i consumatori, tant’è che gli interventi in tema antitrust e la stessa Federal Trade Commission non si può dire che abbia la mano leggera a riguardo.

In Europa gli innovatori hanno più volte rappresentato il “nodo” della privacy e del GDPR come un ostacolo alla “voglia di fare”. Che però significa più “voglia di fatturare”, diciamo la verità.

Adeguarsi ad una normativa ha dei costi, quindi ben si può comprendere il ragionamento se lo condiamo con la giusta dose di onestà intellettuale. Se qualcuno si presenta come buon imprenditore o manager dell’innovazione dovrà tenerne conto prima di lanciare un prodotto o servizio, piuttosto che lamentarsi dopo.

Altrimenti rischia di apparire poco credibile o poco capace. O altrimenti una combinazione di entrambe le cose.

Rispettare le regole di protezione dei dati costa?

Assolutamente sì. E chi dice il contrario tendenzialmente o segue degli idealismi che comportano un certo grado di miopia selettiva, o altrimenti vuole difendere il proprio business.

Dopodiché, è abbastanza evidente che una buona regolamentazione può produrre esternalità positive o prevenire esternalità negative in quanto introduce dei correttivi all’interno del mercato. Ma questo dovrebbe essere alla base di ogni ragionamento sull’opportunità o meno di introdurre, o riesaminare, determinate norme.

Il costo per le iniziative imprenditoriali di innovazione trova – o meglio: deve trovare – un bilanciamento proporzionato nelle tutele cui la norma provvede. E poiché gran parte delle innovazioni sono data-driven, viene da sé che un elemento cruciale è costituito dalle normative in materia di protezione dei dati personali che provvedono anche a garantire una libera circolazione degli stessi. La linea di indirizzo e di interpretazione è il voler perseguire un’innovazione sostenibile ed umanocentrica che abbia impatti negativi minimi nei confronti delle persone e dei loro diritti fondamentali. Per meglio dire: impatti accettabili a fronte dei benefici conseguiti.

Se però un’azienda sceglie di risparmiare e non curarsi delle regole realizza un risparmio nell’immediato e consegue un vantaggio competitivo nei confronti di chi altrimenti si è preoccupato di seguire le “regole del gioco”. Questo comporta una violazione delle regole di concorrenza, motivo per cui già nel prossimo futuro c’è una maggiore attenzione da parte dell’Antitrust sull’impiego dei dati.

che viola le regole di una corretta concorrenza. Motivo per cui ci si attende una sempre maggiore dell’Antitrust sugli aspetti dell’impiego dei dati.

Attenzione però nell’indulgere nel rispetto quasi-sacrale di una regola, fino al punto di ritenerla giusta by default. E soprattutto insindacabile o impermeabile ai mutamenti di contesto derivanti dalla continua evoluzione tecnologica che ha una velocità naturalmente maggiore rispetto all’iperproduzione normativa made-in-EU.

Il giardino nella giungla e altre allucinazioni made-in-EU.

Si indulge spesso nella superbia propria del vecchio continente di ritenersi un giardino nella giungla e presentare dunque la propria produzione normativa come il migliore dei mondi possibili. Spesso in modalità panglossiana, ricordando Voltaire, e assolutamente apodittica quanto autoreferenziale. Questa è un’allucinazione a tutti gli effetti, poiché – restando nella volontà di declinare citazioni letterarie – Ci son più cose in cielo e in terra, Orazio, di quante ne sogni la tua filosofia. Figuriamoci rispetto a quante ne possa immaginare una norma che spesso dà la sensazione d’esser stata redatta da chi della materia regolata, eufemisticamente parlando, ha una comprensione limitata o fondata su ragionamenti fallaci.

Internet ha interconnesso il mondo e noi oggi lo vorremmo dividere in uno Splinternet in cui c’è un riverbero di culture, norme e quant’altro che ricordano le ombre sulla caverna di platonica memoria. Rassicuranti e confortanti quel tanto che basta per dare un’impressione che tutto corrisponda ai migliori desiderata.

Quanto poi quel velo di Maya viene smentito dalla realtà che semplicemente si presenta alla porta in tutta la sua immanenza, alcuni cercano addirittura di ergere nuovi castelli di regole e così si indulge nel micromanagement normativo che vorrebbe plasmare il mondo. Il condizionale è d’obbligo perché se mancano le risorse per attuare questo cambiamento, il fatto di desideralo soltanto può essere uno spunto utile per una frasetta motivazionale o un tatuaggio e poco più.

Il made-in-EU si è nutrito per lungo tempo della convinzione d’essere il centro del mondo, ma il fenomeno della trasformazione digitale ha decisamente spostato e sta scomponendo sempre più l’Axis Mundi e forse un domani potrebbe addirittura perdere senso come concetto. Un percorso irreversibile di cui si dovrà tenere conto prima di difendere le proprie allucinazioni per ragioni di principio.

Piuttosto, forse sarebbe bene riconsiderare i ragionamenti valorizzando i principi generali delle norme operandosi affinché questi vengano condivisi a livello internazionale. Condividendone i valori.

Altrimenti, tanto i lamenti del “In Europa non si può fare innovazione” quanto quelli del “Ma perchè il mondo non si piega alle nostre regole…” saranno destinati a perdersi come lacrime nella pioggia degli innumerevoli futuri che mai potranno essere realizzati.

Fine prima pars destruens.

Sipario.

L'articolo Innovazione o rispetto delle regole: la falsa dicotomia che svela l’inadeguatezza dell’approccio made-in-EU proviene da il blog della sicurezza informatica.

Single Sideband, or SSB, has been the predominant amateur radio voice mode for many decades now. It has bee traditionally generated by analogue means, generating a double sideband and filtering away the unwanted side, or generating 90 degree phase shifted quadrature signals and mixing them. More recent software-defined radios have taken this into the CPU, but here’s [Georg DG6RS] with another method. It uses SDR techniques and a combination of AM and FM to achieve polar modulation and generate SSB. He’s provided a fascinating in-depth technical explanation to help understand how it works.

The hardware is relatively straightforward; an SI5351 clock generator provides the reference for an ADF4351 PLL and VCO, which in turn feeds a PE4302 digital attenuator. It’s all driven from an STM32F103 microcontroller which handles the signal processing. Internally this means conventionally creating I and Q streams from the incoming audio, then an algorithm to generate the phase and amplitude for polar modulation. These are fed to the PLL and attenuator in turn for FM and AM modulation, and the result is SSB. It’s only suitable for narrow bandwidths, but it’s a novel and surprisingly simple deign.

We like being presented with new (to us at least) techniques, as it never pays to stand still. Meanwhile for more conventional designs, we’ve got you covered.

hackaday.com/2025/03/03/its-ss…

L’Art.4 comma 5 del GDPR recita quanto segue: ““pseudonimizzazione – il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”

Negli ultimi anni, la crescente attenzione verso la protezione dei dati personali ha portato a un interesse significativo verso approcci fondamentali per garantire la privacy, specialmente in un contesto in cui le informazioni personali sono sempre più raccolte e trattate da organizzazioni di ogni tipo.

Pseudonimizzazione e Anonimizzazione

Negli ultimi anni si è avuto un interesse significativo per le tecniche di pseudonimizzazione e anonimizzazione dei dati. È un errore comune confondere queste due metodologie di trattamento del dato, tuttavia, sebbene la loro differenziazione sia sottile, risulta profondamente importante nelle procedure per rendere difficile o addirittura a precludere totalmente l’identificazione di un soggetto.

Entrambi i metodi sono regolati da normative, quali il Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea, che stabilisce linea guida su come gestire i dati personali.

Nello specifico la pseudonimizzazione è quel procedimento con il quale s’impedisce l’identificazione di un individuo, consistente nel sostituire gli identificatori diretti del soggetto interessato con pseudonimi. L’anonimizzazione, invece, implica la rimozione definitiva di tutte le informazioni identificabili, rendendo impossibile l’associazione dei dei dati ad un soggetto ben determinato.

Un Approccio Organico e Integrato per la Protezione dei Dati

Pensare che la pseudonimizzazione si possa comunque raggiungere con l’ausilio di software è tuttavia rischioso; l’anonimato infatti deve essere garantito da due fronti operativi diversi ma correlati tra loro. Il primo di natura organizzativo dovrà gestire il valore del dato, disaccoppiandolo definitivamente dall’identità dell’individuo, mentre il secondo sarà da supporto, svolgendo le operazioni del caso.

Ma perché applicare tale misura?

Il GDPR già dal considerando 26 prova a fornire una spiegazione circa l’applicazione: “ L’applicazione della pseudonimizzazione ai dati personali può ridurre i rischi per gli interessati e aiutare i titolari del trattamento e i responsabili del trattamento a rispettare i loro obblighi di protezione dei dati. L’introduzione esplicita della «pseudonimizzazione» nel presente regolamento non è quindi intesa a precludere altre misure di protezione dei dati.”

Da ciò si deduce l’importante aspetto della non esclusività di applicazione, ma di integrazione al compendio delle altre misure di sicurezza sulla protezione dei dati. In ambito sanitario, cosi come in quello finanziario, questa misura assume rilevanza sia per l’utente finale che per le azienda che può continuare a usufruire del dato seppur pseudonimizzato.

Sta in questo passaggio che si trova la sostanziale differenza con l’anonimizzazione, la quale comporta la rimozione definitiva di tutte le informazioni identificabili. Sebbene infatti offra un livello di protezione della privacy più elevato, può limitare l’utilizzabilità dei dati per scopi futuri. Ovviamente il dato pseudonimizzato può correre il rischio di essere ricostruito, come specificato nel Considerando 75 del GDPR, si potrà incorrere nella “decifratura non autorizzata” sfruttando il principio del “disaccoppiamento”.

In cosa consiste il disaccoppiamento

Grazie alle numerose tecnologie, sfruttando i differenti privilegi forniti all’utente, vengono mantenuti visibili solo le informazioni strettamente necessarie oscurando le altre.

Il punto debole del sistema, risiede nella logica applicativa per lo scambio dei dati da presentare all’utente finale. Il codice applicativo dovrà essere solido e dovranno essere applicate misure di sicurezza sulle banche dati ove sono contenuti i dati.

Un approccio comune alla pseudonimizzazione è rappresentato dall’hashing, ovvero la trasformazione di una stringa di input, in una di lunghezza fissa tramite funzioni crittografiche. Questo comporta un rischio, se l’algoritmo è noto, la re-identificazione diventa possibile. Per garantire la sicurezza, il titolare del dato dovrà mantenere al sicuro l’algoritmo utilizzato, in modo da renderlo inaccessibile a soggetti non autorizzati.

Questa segregazione sarà fondamentale per preservare l’integrità del processo. Inoltre per mitigare i rischi di attacchi di forza bruta o con dizionari precalcolati, sarà necessario adottare strategie, quali la tecnica del salting ovvero l’aggiunta di un valore casuale in input prima dell’hashing.

L’Equilibrio tra Protezione dei Dati e Utilizzo Legittimo

Tra le linee guida introdotte troviamo anche il concetto di “dominio di pseudonimizzazione“. Esso definisce il contesto in cui i dati vengono trattati come pseudonimizzati, distinguendo tra due configurazioni principali.

Quello di dominio interno, in cui solo alcune unità operative all’interno di un’organizzazione hanno accesso ai dati e quello di dominio esterno, in cui i dati pseudonimizzati sono oggetto di condivisione con soggetti esterni. Se tali soggetti non dispongono delle informazioni necessarie per effettuare la de-pseudonimizzazione, i dati per loro saranno in senso proprio anonimizzati.

Una via di mezzo tra la pseudonimizzazione e l’anonimizzazione è l’oscuramento di specifiche informazioni, impedendo cosi l’accesso tramite logiche legate all’applicazione e al database che contiene i dati.

Attualmente, l’ampia interpretazione del concetto di “dato personale” porta a un’applicazione generalizzata del GDPR, anche in situazioni in cui si sottopongono i dati a processi di de-identificazioni avanzati. Questo crea oneri e rischi significativi, specialmente per startup e aziende, che spesso si trovano a sostenere costi elevati di compliance o ad abbandonare progetti di valorizzazione dei dati per timor di violare la normativa.

In un contesto in cui gli algoritmi sono in continua evoluzione e aggiornamento, la gestione dei dati personali diventa sempre più complessa e cruciale. Le tecniche di pseudoanonimizzazione e anonimizzazione devono adattarsi a queste dinamiche, rispondendo alle sfide emergenti legate alla privacy e alla sicurezza. Con l’avanzamento delle tecnologie e l’aumento della capacità di elaborazione dei dati, è fondamentale riflettere su come queste pratiche possano garantire una protezione efficace degli individui. È quindi fondamentale adottare un approccio equilibrato che consideri sia la necessità di proteggere la privacy degli individui, sia l’importanza di utilizzare i dati per scopi legittimi e utili.

L'articolo GDPR: Protezione o Illusione? Il Problema della Pseudonimizzazione proviene da il blog della sicurezza informatica.

La botnet Vo1d, che attacca i dispositivi Android TV, continua a crescere rapidamente e ha già infettato più di 1,5 milioni di dispositivi in ​​226 Paesi. Secondo i ricercatori di XLab, la botnet utilizzata per organizzare reti proxy anonime, ha raggiunto il picco il 14 gennaio 2025, con 800.000 bot attivi in ​​quel momento.

Il primo attacco su larga scala di Vo1d è stato registrato da specialisti Dott. Web nel settembre 2024, quando furono identificati 1,3 milioni di dispositivi infetti in 200 Paesi. Tuttavia, la campagna attuale dimostra che la botnet ha solo ampliato la sua portata dalla sua scoperta.

Gli sviluppatori di Vo1d hanno implementato meccanismi di sicurezza avanzati, tra cui la crittografia RSA e un algoritmo XXTEA personalizzato, nonché un’infrastruttura fault-tolerant basata sull’algoritmo di generazione del dominio (DGA). Ciò rende molto più difficile rilevare e distruggere una botnet.

Una delle più grandi botnet degli ultimi anni

Vo1d è più grande in scala rispetto a molte botnet note, tra cui Bigpanzi, Mirai. Il numero più alto di contagi è stato registrato in Brasile (25%), seguito da Sudafrica (13,6%), Indonesia (10,5%), Argentina (5,3%), Thailandia (3,4%) e Cina (3,1%). Un picco particolarmente significativo è stato registrato in India, dove il numero di dispositivi infetti è aumentato da 3.900 a 217.000 in 3 giorni.

I ricercatori di XLab ritengono che la causa di tali picchi sia un meccanismo di “affitto e restituzione”. Presumibilmente, il meccanismo per la vendita dei servizi proxy XLab funziona in questo modo:

• Fase di noleggio. All’inizio di un periodo di noleggio, i bot vengono reindirizzati dalla rete principale di Vo1d per eseguire operazioni sui tenant, causando un calo improvviso del numero di dispositivi infetti nel pool attivo di Vo1d, poiché i bot vengono temporaneamente rimossi dal suo controllo.
• Fase di ritorno. Una volta terminato il periodo di locazione, i bot tornano alla rete Vo1d. Questo processo di reintegrazione provoca un forte aumento del numero di dispositivi infetti poiché i bot tornano attivi sotto il controllo di Vo1d.

Anche la portata dell’infrastruttura di comando e controllo (C2) è impressionante: l’operazione utilizza 32 seed DGA (Domain Generation Algorithm) per creare oltre 21.000 domini C2. La comunicazione tra i bot e i server C2 è protetta da una chiave RSA a 2048 bit, rendendo impossibile intercettare e sostituire i comandi anche quando il dominio viene identificato.

Oltre a creare reti proxy anonime, il Vo1d viene utilizzato anche per frodi sui clic e per aumentare le visualizzazioni pubblicitarie. La botnet è in grado di emulare l’attività degli utenti, generando clic e visualizzazioni per gli inserzionisti fraudolenti. Ciò è facilitato da plugin speciali che simulano il comportamento degli utenti reali e dalla piattaforma Mzmess SDK, che distribuisce le attività tra i bot.

Come proteggere Android TV dalle infezioni

Nonostante l’uso diffuso di Vo1d, gli utenti di Android TV possono ridurre al minimo il rischio di infezione adottando alcune semplici misure di sicurezza.

1. Acquista dispositivi da produttori fidati e venditori ufficiali. In questo modo si riduce la probabilità che sia presente un malware preinstallato.
2. Aggiornamenti regolari del firmware e della sicurezza. Gli aggiornamenti risolvono vulnerabilità che potrebbero essere sfruttate dagli aggressori.
3. Evita di installare app esterne a Google Play. L’utilizzo di store di terze parti o firmware personalizzati aumenta il rischio di infezione.
4. Disabilitare l’accesso remoto. Se la funzione non viene utilizzata, è meglio disattivarla per eliminare la possibilità di controllo remoto.
5. Isolamento dei dispositivi IoT. Installare Android TV su una rete separata può aiutare a proteggere altri dispositivi contenenti dati sensibili.

Il Vo1d continua a essere una delle minacce più grandi per i dispositivi Android TV e non è chiaro quali nuovi metodi di infezione potrebbero utilizzare i gestori della botnet. Tuttavia, un approccio intelligente alla sicurezza informatica può ridurre significativamente la probabilità di entrare a far parte di una rete dannosa.

L'articolo Android TV posseduti da Vo1d: il tuo telecomando sta lavorando per gli hacker? proviene da il blog della sicurezza informatica.

In case you weren’t aware, Apple devices around you are constantly scanning for AirTags. Now, imagine you’re carrying your laptop around – no WiFi connectivity, but BLE’s on as usual, and there’s a little bit of hostile code running at user privileges, say, a third-party app. Turns out, it’d be possible to make your laptop or phone pretend to be a lost AirTag – making it and you trackable whenever an iPhone is around.

Thenroottag website isn’t big on details, but the paper ought to detail more; the hack does require a bit of GPU firepower, but nothing too out of the ordinary. The specific vulnerabilities making this possible have been patched in newer iOS and MacOS versions, but it’s still possible to pull off as long as an outdated-firmware Apple device is nearby!

Of course, local code execution is often considered a game over, but it’s pretty funny that you can do this while making use of the Apple AirTag infrastructure, relatively unprivileged, and, exfiltrate location data without any data connectivity whatsoever, all as long as an iPhone is nearby. You might also be able to exflitrate other data, for what it’s worth – here’s how you can use AirTag infrastructure to track new letter arrivals in your mailbox!

hackaday.com/2025/03/03/hijack…

Want to make your own air knife to cut things with? Unfortunately that’s not what these devices are intended for, but [This Old Tony] will show you how to make your own, while explaining what they are generally intended for. His version deviates from the commercial version which he got his hands on in that he makes a round version instead of the straight one, but the concept is the same.

In short, an air knife is a laminar pressurized airflow device that provides a very strong and narrow air pattern, using either compressed air or that from a blower. Generally air knives will use the Coandă effect to keep the laminar flow attached to the device for as long as possible to multiply the air pressure above that from the laminar flow from the air knife itself. These are commonly used for cleaning debris and dust off surfaces in e.g. production lines.

As [Tony] shows in the disassembly of a commercial device, they are quite basic, with just two aluminium plates and a thin shim that creates the narrow opening through which the air can escape. The keyword here is ‘thin shim’, as [Tony] discovers that even a paper shim is too thick already. Amusingly, although he makes a working round air knife this way, it turns out that these are generally called an air amplifier, such as those from Exair and are often used for cooling and ventilation, with some having an adjustable opening to adjust the resulting airflow.

Some may recognize this principle for those fancy ‘bladeless’ fans that companies like Dyson sell, as they use essentially the same principle, just with a fan providing the pressure rather than a compressor.

youtube.com/embed/-lkgAYe-8_s?…

hackaday.com/2025/03/03/make-y…

Some of our devices look like they’re straight out of hacker movies. For instance, how about a small board you plant behind an RFID reader, collecting access card data and then replaying it when you next walk up the door? [Jakub Kramarz] brings us perhaps the best design on the DIY market, called The Tick – simple, flexible, cheap, tiny, and fully open-source.

Take off the reader, tap into the relevant wires and power pins (up to 25V input), and just leave the board there. It can do BLE or WiFi – over WiFi, you get a nice web UI showing you the data collected so far, and letting you send arbitrary data. It can do Wiegand like quite a few open-source projects, but it can also do arbitrary clock+data protocols, plus you can just wire it up quickly, and it will figure out the encoding.

We could imagine such a board inside a Cyberpunk DnD rulebook or used in Mr Robot as a plot point, except that this one is real and you can use it today for red teaming and security purposes. Not to say all applications would be NSA-catalog-adjacent pentesting – you could use such a bug to reverse-engineer your own garage door opener, for one.

hackaday.com/2025/03/03/heres-…

A team from the University of Chicago brings us a new spin on sensory substitution, the “Seeing with the Hands” project, turning external environment input into sensations. Here specifically, the focus is on substituting vision into hand sensations, aimed at blind and vision disabled. The prototype is quite inspiration-worthy!

On the input side, we have a wrist-mounted camera, sprinkled with a healthy amount of image processing, of course. As for the output, no vibromotors or actuators are in use – instead, tactile receptors are stimulated by passing small amounts of current through your skin, triggering your touch receptors electrically. An 8×8 array of such “tactile” pixels is placed on the back of the hand and fingers. The examples provided show it to be a decent substitution.

This technique depends on the type of image processing being used, as well as the “resolution” of the pixels, but it’s a fun concept nevertheless, and the study preprint has some great stories to tell. This one’s far from the first sensory substitution devices we’ve covered, though, as quite a few of them were mechanical in nature – the less moving parts, the better, we reckon!

hackaday.com/2025/03/03/sensor…

Il servizio di monitoraggio della fuga di dati e del darknet russo DLBI, ha pubblicato i risultati di uno studio annuale sulle password più diffuse tra gli utenti di Internet. L’analisi ha esaminato 6,1 miliardi di account univoci, che includevano combinazioni di e-mail e password. Di questi, 581 milioni di record erano nuovi e derivanti da violazioni dei dati avvenute nel 2024.

La ricerca si è basata su informazioni provenienti da diverse fonti, tra cui comunità specializzate nel recupero password come hashmob.net, forum underground e canali Telegram in cui vengono pubblicate pubblicamente fughe di notizie di massa.

Durante l’analisi, gli specialisti DLBI hanno ripulito i dati da “spazzatura” (voci vuote e duplicate), identificato e squalificato le password generate automaticamente (quelle impostate non dagli utenti, ma dai servizi stessi) e anche eliminato in massa i dati dalle registrazioni automatiche (quando gli account su un particolare servizio vengono creati da bot).

Al momento dello studio, il database delle password conteneva:

• 6.096.942.482 password (nel 2023 – 5.515.274.144);
• 1.002.356.792 password composte solo da numeri (nel 2023 – 936.807.451);
• 1.475.931.700 password che includono solo lettere (nel 2023 – 1.411.851.189);
• 338.243.604 password contenenti lettere, numeri e caratteri speciali (nel 2023 – 206.838.387);
• 4.042.522.694 password con una lunghezza pari o superiore a otto caratteri (nel 2023 – 3.564.893.775);
• 1.122.100.566 password più lunghe di dieci caratteri (nel 2023 – 915.865.308);
• 1.257.043.342 password lunghe meno di sette caratteri (nel 2023 – 1.184.534.934).

La classifica delle 25 password più diffuse non è cambiata durante l’intero periodo di ricerca. Tra questi ci sono “123456”, “123456789”, “qwerty123”, “12345”, “qwerty”, “qwerty1”, “password”, “12345678”, “111111” e “1q2w3e”.

Tuttavia, l’elenco delle password più diffuse trapelate nel 2024 differisce dalla classifica generale. Tra i primi dieci più comuni troviamo:

1. “123456” (leadership mantenuta);
2. “12345678” (in crescita rispetto al quarto posto del 2023);
3. “123456789” (sceso dal secondo posto nel 2023);
4. “Password” (novità nella classifica);
5. “1234” (nuova password);
6. “12345” (ha mantenuto la quinta posizione nel 2023);
7. “1234567890” (rimasto al settimo posto);
8. “1234567” (nuova password);
9. “password” (nuova password);
10. “102030” (nuova password).

Tuttavia, si sono riscontrati notevoli cambiamenti tra le password trapelate nel 2024. I primi 10 includevano:

1. “123456” (rimasto al primo posto);
2. “1221123456” (nuova password);
3. “12345” (in crescita rispetto al quinto posto del 2023);
4. “12345678” (occupava la quarta posizione);
5. “123456789” (nuova password);
6. “123” (nuova password);
7. “1234” (nuova password);
8. “qwerty” (ha mantenuto l’ottavo posto nel 2023);
9. “1234567890” (classificato al decimo posto nel 2023);
10. “1234567” (nuova password).

Inoltre, lo studio ha incluso un’analisi delle password cirilliche. I più popolari sono rimasti invariati durante l’intero periodo di ricerca: “ytsuken”, “password”, “love”, “hello”, “natasha”, “maxim”, “marina”, “love”, “andrey” e “kristina”. La classifica delle password cirilliche trapelate nel 2024 includeva:

1. “Ytsuken” (ha mantenuto il primo posto);
2. “password” (spostato dal terzo posto);
3. “rendezvous” (nuova password);
4. “Ciao” (salito dal sesto posto);
5. “123°” (risalito dal settimo posto);
6. “Password” (nuova password);
7. “Marina” (rimasta all’ottava posizione);
8. “1234йцук” (nuova password);
9. “1й2ц3у4к” (nuova password);
10. “12345йцке” (nuova password).

DLBI ha osservato che nel 2024 la società ha analizzato 6,7 miliardi di nuovi account non univoci, corrispondenti a 581 milioni di account univoci, mentre l’anno scorso è riuscita ad analizzare solo 200 milioni di account non univoci (44 milioni di account univoci).

Gli esperti dell’azienda sottolineano che l’aumento del numero di fughe di dati è legato sia alla crescita complessiva dei loro volumi, sia allo sviluppo del mercato dei cosiddetti “infostealer”, programmi progettati per rubare le password salvate dagli utenti. Questi dati vengono poi venduti o resi pubblici. In precedenza, tali programmi non venivano utilizzati nel segmento russo della rete, ma con l’inizio del conflitto informatico con gli hacktivisti ucraini, hanno iniziato a essere ampiamente utilizzati per attacchi agli utenti finali.

Un’altra tendenza, secondo gli esperti, è la semplificazione delle password e la riduzione della percentuale di combinazioni contenenti lettere. La presenza di password rubate, ottenute tramite “stealer”, indica problemi di sicurezza più gravi di quanto si pensasse in precedenza.

L'articolo Se la tua Password è “123456”, Cambia lavoro! Ecco una nuova lista delle più hackerate! proviene da il blog della sicurezza informatica.

Join us on Wednesday, March 5 at noon Pacific for the Deep Space DX Hack Chat with David Prutchi!

In the past 70-odd years, the world’s space-faring nations have flung a considerable amount of hardware out into the Void. Most of it has fallen back into Earth’s gravity well, and a lot of what remains is long past its best-by date, systems silenced by time and the harsh conditions that rendered these jewels of engineering into little more than space flotsam.

Luckily, though, there are still a few spacecraft plying the lonely spaces between the planets and even beyond that still have active radios, and while their signals may be faint, we can still hear them. True, many of them are reachable only using immense dish antennas.

Not every deep-space probe needs the resources of a nation-state to be snooped on, though. David Prutchi has been listening to them for years using a relatively modest backyard antenna farm and a lot of hard-won experience. He’s been able to bag some serious DX, everything from rovers on Mars to probes orbiting Jupiter. If you’ve ever wanted to give deep space DX a try, here’s your chance to get off on the right foot.

Our Hack Chats are live community events in the Hackaday.io Hack Chat group messaging. This week we’ll be sitting down on Wednesday, March 5 at 12:00 PM Pacific time. If time zones have you tied up, we have a handy time zone converter.

hackaday.com/2025/03/03/deep-s…

The 12VHPWR connector is a hot topic once again – Nvidia has really let us down on this one. New 5080 and 500 GPUs come with this connector, and they’re once again fire-prone. Well, what if you’re stuck with a newly-built 5080, unwilling to give it up, still hoping to play the newest games or run LLMs locally? [Timo Birnschein] has a simple watchdog solution for you, and it’s super easy to build.

All it takes is an Arduino, three resistors, and three thermistors. Place the thermistors onto the connector’s problematic spots, download the companion software from GitHub, and plug the Arduino into your PC. If a temperature anomaly is detected, like one of the thermistors approaching 100C, the Arduino will simply shut down your PC. The software also includes a tray icon, temperature graphing, and stability features. All is open-source — breadboard it, flash it. You can even add more thermistors to the mix if you’d like!

This hack certainly doesn’t just help protect you from Nvidia’s latest creation – it can help you watch over any sort of potentially hot mod, and it’s very easy to build. Want to watch over connectors on your 3D printer? Build one of these! We’ve seen 12VHPWR have plenty of problems in the past on Nvidia’s cards – it looks like there are quite a few lessons Nvidia is yet to learn.

hackaday.com/2025/03/03/12vhpw…

Have you been to FOSDEM? It’s a yearly two-day megaconference in Brussels, every first weekend of February. Thousands of software and hardware hackers from all across Europe come here each year, make friends, talk software and hardware alike, hold project-specific meetups to drink beer and talk shop, and just have a fun weekend surrounded by like-minded people.

In particular, FOSDEM has free admission – drop by for the weekend, no need to buy entry tickets, just sort out your accomodation, food, travel, and visit for a day or two. I’ve covered FOSDEM quite extensively in 2023, so if you want to know more about how it works, I invite you to check out that article – plenty of stories, cool facts about FOSDEM, showcases, and so on. This year, I’ve also been to FOSDEM, it’s been pretty great, and I’d like to tell you about cool things I’ve seen happen during FOSDEM 2025.

FOSDEM is often described as an open software conference, and you might’ve had been fooled by this if you simply have checked the Wikipedia page. However, let me assure you – there’s always plenty of hardware, large amounts of it! This year, I feel like hardware has taken the spotlight in particular – let me show you at least some of it, so that you know what kinds of cool stuff you can expect and plan for in 2026.

Even Software Was Hardware

Really, the kinds of software FOSDEM hosts, can’t exist without a healthy dose of hardware. Yes, there was no shortage of purely software-specific stands – if you wanted a Debian t-shirt, some Fedora or Jenkins stickers, or a selfie with the Postgresql elephant, they were always at an arm’s reach. Pure software was a surprisingly small part of FOSDEM this year, and I have some theories about it.

This year, it felt like half of all stands were hardware-based, hardware-related, or hardware-dependent in one way or another. First off, of course, hardware is flashy, it makes for effective demos. For instance, if you wanted to drop by, you’d find a Jenkins cluster running on a gaggle of SBCs mounted to a 3D-printed frame – a new and vastly improved build from the version we’ve covered in 2023!

A number of project stands – PostmarketOS, CalyxOS, FuriLabs, – had desks full of smartphones demoing their phone OS offerings. You’d see SteamDecks being used as software demo machines, the FreeCAD table had a laptop running the newest FreeCAD install you could poke and probe (with even a surprise MNT Reform appearance), SBCs common and obscure running demo playback and presentations – making the software world tangible.

Really, if you’re demoing an open-source smart home system, like OpenHAB did, what’s better than bringing a smart-home-in-a-briefcase? And if you’re bringing an open-source game engine, what’s better than demoing it on a SteamDeck? Software has the disadvantage of being quite intangible, and hardware “grounds” it enough that anyone can interact it, conveying code as colours, shapes, and objects in the real world – which is perfect if what you’re starting with is a Git repository, and what you need to create is a conference table people would be interested in.

And Hardware Was Extra Hardware

Of course, we’ve met the usual open-source suspects of the hardware world, too. KiCad and FreeCAD split a table this year. They had logos familiar enough to the crowd that they really didn’t need extra hardware to stand out – instead, they brought merch and stickers. Nevertheless, on the FreeCAD-KiCad split of the table, you’d find a guest exhibit from the Libre Space Foundation, a model of the Picobus V2 satellite launching system, which was incidentally designed with help of both FreeCAD and KiCad.

Next to them, you’d find MicroPython, Espruino, and TinyGo, all promoting high-level languages for microcontrollers, for those of us unemburdened by obligations of memory safety and static typing. In the H building, OpenFlexure had a desk all to themselves, and a Prusa printer was helping them crank out designs to be immediately demoed. Sadly, this year, Pine64 stand was missing – but Pine64 folks could still be found around!

One thing you’d see a ton this year? LoRa, in all forms. Of course, there was the Meshtastic table, with plenty of stickers and demo devices alike, but you’d also regularly find LoRa-equipped devices on tables. This wasn’t the only form of wireless tech, either – the AW building had desks with SDR setups, plenty of HAM tech, and outside on the grass, a group of hackers with radio equipment and a dish antenna setup.

I’ve seen a couple tables being crashed with cool tech, too! For instance, you could meet [arturo182] and his creations (including a hacker-friendly keyboard module series) on Saturday in the AW building, taking up part of the TinyGo table – not scheduled, but definitely most welcome! On one of the desks in the K building, you could find two MNT Reform demo units, one full-sized and one Pocket, on the Genode table – unsurprisingly, there was always a crowd around that table, so if you didn’t notice it, that’s why!

One more recommendation, which doesn’t apply just to FOSDEM – you might want to get a FOSSAsia LED matrix name badge. Nowadays, I tend to go to events in friend groups, and I’ve been surprised how many my friends have gotten themselves the FOSSAsia name badges – the FOSSAsia community is a mainstay at tech events in Europe, so if you’re visiting one and you see these badges around, just look for the FOSSAsia desk to get one. These badges are respectably flashy — you pick the colour! — great for meeting new people in the crowds, and quite cheap! I’ve also learned that FOSSAsia have been improving the badge’s firmware over the years – as far as I can tell, if you’ve ever bought a nametag from FOSSAsia, simply update its firmware with help of your smartphone, and get a number of new features.

Eagerly Awaiting FOSDEM 26

There’s always more to FOSDEM, but this year, I’d like to simply show you all the hardware there was to see. Want to learn more? Check back to the FOSDEM 23 coverage, detailing how FOSDEM operates, talking about their volunteer-rooted structure, the principles and tricks FOSDEM uses to keep the open software world ever so closer together, or perhaps the impressive video recording infrastructure making sure that talks are livestreamed dutifully and published nigh-instantly… Plenty to learn about FOSDEM’s MO! Apart from that, FreeCAD, PostmarketOS, Meshtastic and a good few open-source orgs have made post-FOSDEM blog posts, check them out if you’d like to hear how FOSDEM and your favourite projects meshed together.

FOSDEM is undoubtedly the time and place to celebrate open software in Europe, and at the same time, it’s also a super friendly spot for those of us of Hackaday upbringing. If you’re looking for somewhere to go next February, as a hardware hacker, my understanding is that you won’t be disappointed!

L’orchestra sinfonica di Houston è diventato una vittima del gruppo degli hacker Qilin. Le informazioni sull’attacco informatico sono apparse sul sito web del gruppo. Gli estorsori hanno indicato una scadenza per il riscatto e un contatto TOX per le trattative.

Gli hacker affermano di aver rubato più di 300 GB di dati dell’orchestra e intendono pubblicarli il 5 marzo 2025, lo stesso giorno Scade l’ultimatum per Lee Enterprises. Qilin afferma che i dati rubati includono i resoconti di bilancio dell’orchestra per ottobre 2024, documenti finanziari per maggio 2024 e un piano di sviluppo strategico fino al 2030.

Tra i campioni pubblicati sono inclusi anche elenchi di amministratori fiduciari e membri del consiglio di amministrazione con informazioni personali, tra cui indirizzi, numeri di telefono e indirizzi e-mail. Non è ancora chiaro se i file rubati contengano informazioni finanziarie o personali sui musicisti, sullo staff e sui possessori dei biglietti. L’orchestra non ha ancora commentato la situazione e gli ulteriori sviluppi restano incerti.

Poco dopo la pubblicazione, il post è scomparso dall’elenco sul sito web del gruppo (come riportato da cybernews). Ciò potrebbe indicare che l’organizzazione è entrata in contatto con criminali informatici e potrebbe essere in trattativa per un riscatto in cambio dei dati.

Fondata nel 1913, la Houston Symphony Orchestra è una delle più antiche organizzazioni musicali degli Stati Uniti. L’ensemble è composto da 60 musicisti professionisti che tengono circa 170 concerti all’anno e si esibiscono in oltre 1.000 eventi in scuole, ospedali, chiese e centri comunitari. Il budget annuale dell’orchestra è di circa 28,8 milioni di dollari e la sala concerti può ospitare fino a 2.900 persone, attirando circa 400.000 spettatori ogni anno.

L'articolo Concerto per Ransomware e Orchestra! Qilin Ruba 300 GB di Dati alla Houston Symphony proviene da il blog della sicurezza informatica.

Gli utenti hanno scoperto che se chiedono all’assistente Copilot AI se esiste uno script per attivare Windows 11, riceveranno una guida dettagliata con le istruzioni su come attivare il sistema operativo.

La scorsa settimana, un utente di Reddit ha condiviso una evidenza secondo cui se si chiede alla versione gratuita di Copilot “esiste uno script per attivare Windows 11?”, l’assistente AI fornirà all’utente una guida che include uno script dal repository GitHub di Microsoft Activation Scripts (MAS) che può essere utilizzato per attivare gratuitamente il sistema operativo.

Questo metodo di attivazione di Windows e Office non è nuovo ed è noto da diversi anni, ma un simile consiglio da parte dello strumento di intelligenza artificiale di Microsoft è sembrato molto strano agli utenti. Sebbene Copilot abbia ricordato che “l’utilizzo di metodi di attivazione non autorizzati potrebbe violare i termini di servizio di Microsoft”.

È opportuno sottolineare che gli strumenti del gruppo di cracker Massgrave sono posizionati come open source e che i file del progetto Microsoft Activation Scripts sono disponibili da parecchio tempo su GitHub, che appartiene a Microsoft. Allo stesso tempo, l’azienda non intraprende alcuna azione contro i cracker.

Vale anche la pena notare che di recente un ex dipendente dell’azienda ha affermato che a Microsoft non importa molto della pirateria perché “Microsoft vuole che tu usi Windows 11 perché il prodotto sei tu”.

Tuttavia, dopo che la notizia dello strano comportamento di Copilot si è diffusa attraverso i media e i social network, Microsoft ha chiuso questa falla.

Ora se chiedi a Copilot degli script per l’attivazione di Windows, l’assistente AI risponderà quanto segue: “Non posso aiutarti. L’attivazione di Windows 11 tramite script non autorizzati è illegale e viola i termini di servizio di Microsoft. Si consiglia di utilizzare metodi legittimi per attivare il software, per assicurarsi di ricevere aggiornamenti e supporto adeguati.Se hai bisogno di aiuto per l’attivazione di Windows 11, puoi visitare la pagina ufficiale del supporto Microsoft per ricevere assistenza”.

Come notano i giornalisti, ormai ogni tentativo di discutere con Copilot o di convincere l’IA a riconsiderare la sua decisione non produce alcun risultato.

L'articolo Microsoft Copilot fornisce agli utenti HowTo su come attivare Windows proviene da il blog della sicurezza informatica.