Image by [StunningBreadfruit30] via redditHere’s the gist: this sexy split grid of beautiful multi-jet fusion (MJF) keycaps sits on top of Kailh PG1316S switches. The CNC-machined aluminium enclosure hides nice!nano boards with a sweet little dip in each one that really pull the keyboard together.
For the first serious custom build, [StunningBreadfruit30] wanted a polished look and finish, and to that I say wow, yes; good job, and nod enthusiastically as I’m sure you are. Believe it or not, [StunningBreadfruit30] came into this with no CAD skills at all. But it was an amazing learning experience overall, and an even better version is in the works.
I didn’t read the things. Is it open-source? It’s not, at least not at this time. But before you get too-too excited, remember that it cost $400 to build, and that doesn’t even count shipping or the tools that this project necessitated purchasing. However, [StunningBreadfruit30] says that it may be for sale in the future, although the design will have an improved sound profile and ergonomics. There’s actually a laundry list of ideas for the next iteration.
Image by [Saixos] via redditSo, it’s adjustable? Yes, in more ways than one. It can utilize either a single RP2040 Zero, or else one or multiple XIAO BLEs. The thumb cluster snaps off and can be moved wherever you like.
And [Saixos] didn’t stop there. In the magnificent repo, there’s a Python-generated case that’s highly customizable, plus MX and Choc versions of the PCB. Finally, Apiaster can use either LiPo batteries or a coin cell.
The other main crux of the biscuit here is price, and the Apiaster can be built for about $37 total minus shipping/customs/tariffs and/or tooling. That’s pretty darn good, especially if this really becomes your endgame.
The Centerfold: A ’90s Kid Works Here
Image by [nismology5] via redditAfter using a Durgod Taurus K320 rectangle for a number of years, [nismology5] decided to lean into ergo and acquired a Keychron Q8 with a knob and the Alice layout after falling in love with the look of GMK Panels keycaps and the Alice herself.
Perhaps the biggest change is going from clacky blues on the Taurus to silent and slinky reds. Who knows why such a drastic change, but [nismology5] is digging the smoothness and quietude underneath those GMK Panels clones from Ali.
Now, let’s talk about that sweet trackball. It’s a Clearly Superior Technologies (CST) KidTRAC with a pool ball swapped in. They are discontinued, sadly, but at least one was available as NOS on eBay. Not to worry — they are being produced by another company out of the UK and come in that sweet UNO Draw 4 Wild drip.
Do you rock a sweet set of peripherals on a screamin’ desk pad? Send me a picture along with your handle and all the gory details, and you could be featured here!
Historical Clackers: the Fox was Quite Fetching
The lovely Fox was named not for its primary inventor Glenn J. Barrett, but instead for company president William R. Fox. Although this may seem unfair, the Fox is a pretty great name for a good-looking typewriter. Image via The Classic Typewriter Page This nineteenth-century Fox appeared in 1898, shortly after it was patented and had a number of nice features, like a notably light touch. The carriage can be removed easily for cleaning and maintenance. And the machine had a “speed escapement”, which affects the carriage advancement timing. It could be set to advance either when a typebar returns to rest, or as soon as the typebar starts off for the platen.
The first Foxes were understroke machines, which is another term for blind writer, meaning that one must lift something out of the way to see what one had written as the typebars strike the platen from underneath. In the case of the Fox, one need only turn the platen slightly.
Frontstroke or ‘visible’ typewriters were coming into vogue already, so the company introduced a frontstroke machine in 1906. It had many of the same features as the blind-writing Foxen, such as the dual-speed escapement. A one- or two-color ribbon could be used, and the machine could be set to oscillate the ribbon so as not to waste the entire bottom half as most typewriters did. I’d like to see it set to oscillate with a two-color ribbon, that’s for sure!
To capitalize on the portable craze, they built the so-called “Baby Fox” in 1917. Corona found the resemblance to their own portables quite striking and successfully sued Fox. The company went out of business in 1921, possibly because of this litigation. Ah, well.
Probably the best thing about these delicious-looking 3D-printed keycaps are the cheese knife Backspace, Enter, and right Shift along with the novelties like the mousy Esc. Underneath all that fromage is a Keychron V6 Max with unknown switches.
[RobertLobLaw2] explains that cheese and keyboards have more in common than you think, as both hobbies use ‘pretentious adjectives to describe the sensory experience (of the hobby)’. Boy, if that isn’t the thocking truth. Should you require such a charcuter-key board for yourself, the files are freely available.
There’s something that kills coding speed—iteration time. If you can smash a function key and run your code, then watch it break, tweak, and smash it again—you’re working fast. But if you have to first compile your code, then plug your hardware in, burn it to the board, and so on… you’re wasting a lot of time. It’s that problem that inspired [Larry] to create an embedded system simulator to speed development time for simple projects.
The simulator is intended for emulating Arduino builds on iPhone and Mac hardware. For example, [Larry] shows off a demo on an old iPhone, which is simulating an ESP32 playing a GIF on a small LCD display. The build isn’t intended for timing-delicate stuff, nor anything involving advanced low-level peripherals or sleep routines and the like. For that, you’re better off with real hardware. But if you’re working on something like a user interface for a small embedded display, or just making minor tweaks to some code… you can understand why the the simulator might be a much faster way to work.
For now, [Larry] has kept the project closed source, as he’s found that it wouldn’t reasonably be possible for him to customize it for everyone’s unique hardware and use cases. Still, it’s a great example of how creating your own tools can ease your life as a developer. We’ve seen [Larry]’s great work around here before, like this speedy JPEG decoder library.
Siglato oggi il Protocollo d’intesa tra il Ministro dell'Istruzione e del Merito, Giuseppe Valditara, e il Rettore del Politecnico di Torino, Stefano Paolo Corgnati, per promuovere attività finalizzate a esplorare il rapporto tra tecnologia, umanità …
An Instruction Set Architecture (ISA) defines the software interface through which for example a central processor unit (CPU) is controlled. Unlike early computer systems which didn’t define a standard ISA as such, over time the compatibility and portability benefits of having a standard ISA became obvious. But of course the best part about standards is that there are so many of them, and thus every CPU manufacturer came up with their own.
Throughout the 1980s and 1990s, the number of mainstream ISAs dropped sharply as the computer industry coalesced around a few major ones in each type of application. Intel’s x86 won out on desktop and smaller servers while ARM proclaimed victory in low-power and portable devices, and for Big Iron you always had IBM’s Power ISA. Since we last covered the ISA Wars in 2019, quite a lot of things have changed, including Apple shifting its desktop systems to ARM from x86 with Apple Silicon and finally MIPS experiencing an afterlife in the form of LoongArch.
Meanwhile, six years after the aforementioned ISA Wars article in which newcomer RISC-V was covered, this ISA seems to have not made the splash some had expected. This raises questions about what we can expect from RISC-V and other ISAs in the future, as well as how relevant having different ISAs is when it comes to aspects like CPU performance and their microarchitecture.
RISC Everywhere
Unlike in the past when CPU microarchitectures were still rather in flux, these days they all seem to coalesce around a similar set of features, including out-of-order execution, prefetching, superscalar parallelism, speculative execution, branch prediction and multi-core designs. Most of the performance these days is gained from addressing specific bottlenecks and optimization for specific usage scenarios, which has resulted in such things like simultaneous multithreading (SMT) and various pipelining and instruction decoder designs.
CPUs today are almost all what in the olden days would have been called RISC (reduced instruction set computer) architectures, with a relatively small number of heavily optimized instructions. Using approaches like register renaming, CPUs can handle many simultaneous threads of execution, which for the software side that talks to the ISA is completely invisible. For the software, there is just the one register file, and unless something breaks the illusion, like when speculative execution has a bad day, each thread of execution is only aware of its own context and nothing else.
So if CPU microarchitectures have pretty much merged at this point, what difference does the ISA make?
Instruction Set Nitpicking
Within the world of ISA flamewars, the battle lines have currently mostly coalesced around topics like the pros and cons of delay slots, as well as those of compressed instructions, and setting status flags versus checking results in a branch. It is incredibly hard to compare ISAs in an apple-vs-apples fashion, as the underlying microarchitecture of a commercially available ARMv8-based CPU will differ from a similar x86_64- or RV64I- or RV64IMAC-based CPU. Here the highly modular nature of RISC-V adds significant complications as well.
If we look at where RISC-V is being used today in a commercial setting, it is primarily as simple embedded controllers where this modularity is an advantage, and compatibility with the zillion other possible RISC-V extension combinations is of no concern. Here, using RISC-V has an obvious advantage over in-house proprietary ISAs, due to the savings from outsourcing it to an open standard project. This is however also one of the major weaknesses of this ISA, as the lack of a fixed ISA along the pattern of ARMv8 and x86_64 makes tasks like supporting a Linux kernel for it much more complicated than it should be.
This has led Google to pull initial RISC-V support from Android due to the ballooning support complexity. Since every RISC-V-based CPU is only required to support the base integer instruction set, and so many things are left optional, from integer multiplication (M), atomics (A), bit manipulation (B), and beyond, all software targeting RISC-V has to explicitly test that the required instructions and functionality is present, or use a fallback.
Tempers are also running hot when it comes to RISC-V’s lack of integer overflow traps and carry instructions. As for whether compressed instructions are a good idea, the ARMv8 camp does not see any need for them, while the RISC-V camp is happy to defend them, and meanwhile x86_64 still happily uses double the number of instruction lengths courtesy of its CISC legacy, which would make x86_64 twice as bad or twice as good as RISC-V depending on who you ask.
Meanwhile an engineer with strong experience on the ARM side of things wrote a lengthy dissertation a while back on the pros and cons of these three ISAs. Their conclusion is that RISC-V is ‘minimalist to a fault’, with overlapping instructions and no condition codes or flags, instead requiring compare-and-branch instructions. This latter point cascades into a number of compromises, which is one of the major reasons why RISC-V is seen as problematic by many.
In summary, in lieu of clear advantages of RISC-V against fields where other ISAs are already established, its strong points seem to be mostly where its extreme modularity and lack of licensing requirements are seen as convincing arguments, which should not keep anyone from enjoying a good flame war now and then.
The China Angle
The Loongson 3A6000 (LS3A6000) CPU. (Credit: Geekerwan, Wikimedia) Although everywhere that is not China has pretty much coalesced around the three ISAs already described, there are always exceptions. Unlike Russia’s ill-fated very-large-instruction-word Elbrus architecture, China’s CPU-related efforts have borne significantly more fruit. Starting with the Loongson CPUs, China’s home-grown microprocessor architecture scene began to take on real shape.
Originally these were MIPS-compatible CPUs. But starting with the 3A5000 in 2021, Chinese CPUs began to use the new LoongArch ISA. Described as being a ‘bit like MIPS or RISC-V’ in the Linux kernel documentation on this ISA, it features three variants, ranging from a reduced 32-bit version (LA32R) and standard 32-bit (LA32S) to a 64-bit version (LA64). In the current LS3A6000 CPU there are 16 cores with SMT support. In reviews these chips are shown to be rapidly catching up to modern x86_64 CPUs, including when it comes to overclocking.
Of course, these being China-only hardware, few Western reviewers have subjected the LS3A6000, or its upcoming successor the LS3A7000, to an independent test.
In addition to LoongArch, other Chinese companies are using RISC-V for their own microprocessors, such as SpacemiT, an AI-focused company, whose products also include more generic processors. This includes the K1 octa-core CPU which saw use in the MuseBook laptop. As with all commercial RISC-V-based cores out today, this is no speed monsters, and even the SiFive Premier P550 SoC gets soundly beaten by even a Raspberry Pi 4’s already rather long-in-the-tooth ARM-based SoC.
Perhaps the most successful use of RISC-V in China are the cores in Espressif’s popular ESP32-C range of MCUs, although here too they are the lower-end designs relative to the Xtensa Lx6 and Lx7 cores that power Espressif’s higher-end MCUs.
Considering all this, it wouldn’t be surprising if China’s ISA scene outside of embedded will feature mostly LoongArch, a lot of ARM, some x86_64 and a sprinkling of RISC-V to round it all out.
It’s All About The IP
The distinction between ISAs and microarchitecture can be clearly seen by contrasting Apple Silicon with other ARMv8-based CPUs. Although these all support a version of the same ARMv8 ISA, the magic sauce is in the intellectual property (IP) blocks that are integrated into the chip. These range from memory controllers, PCIe SerDes blocks, and integrated graphics (iGPU), to encryption and security features. Unless you are an Apple or Intel with your own GPU-solution, you will be licensing the iGPU block along with other IP blocks from IP vendors.
These IP blocks offer the benefit of being able to use off-the-shelf functionality with known performance characteristics, but they are also where much of the cost of a microprocessor design ends up going. Developing such functionality from scratch can pay for itself if you reuse the same blocks over and over like Apple or Qualcomm do. For a start-up hardware company this is one of the biggest investments, which is why they tend to license a fully manufacturable design from Arm.
The actual cost of the ISA in terms of licensing is effectively a rounding error, while the benefit of being able to leverage existing software and tooling is the main driver. This is why a new ISA like LoongArch may very well pose a real challenge to established ISAs in the long run, beacause it is being given a chance to develop in a very large market with guaranteed demand.
Spoiled For Choice
Meanwhile, the Power ISA is also freely available for anyone to use without licensing costs; the only major requirement is compliance with the Power ISA. The OpenPOWER Foundation is now also part of the Linux Foundation, with a range of IBM Power cores open sourced. These include the A2O core that’s based on the A2I core which powered the XBox 360 and Playstation 3’s Cell processor, as well as the Microwatt reference design that’s based on the much newer Power ISA 3.0.
Whatever your fancy is, and regardless of whether you’re just tinkering on a hobby or commercial project, it would seem that there is plenty of diversity in the ISA space to go around. Although it’s only human to pick a favorite and favor it, there’s something to be said for each ISA. Whether it’s a better teaching tool, more suitable for highly customized embedded designs, or simply because it runs decades worth of software without fuss, they all have their place.
Il ricercatore Yohanes Nugroho ha rilasciato uno strumento per decifrare i dati danneggiati dalla variante Linux del ransomware Akira. Lo strumento sfrutta la potenza della GPU per ottenere chiavi di decrittazione e sbloccare i file gratuitamente.
L’esperto ha affermato di aver trovato la soluzione dopo che un amico gli ha chiesto aiuto. Ha stimato che il sistema crittografato potrebbe essere violato in circa una settimana (in base al modo in cui Akira genera le chiavi di crittografia utilizzando i timestamp).
Alla fine, il progetto ha richiesto tre settimane per essere completato e il ricercatore ha dovuto spendere circa 1.200 dollari in risorse GPU necessarie per decifrare la chiave di crittografia. Ma alla fine il metodo ha funzionato.
Lo strumento di Nugroho è diverso dai tradizionali decryptor, in cui gli utenti forniscono una chiave per sbloccare i file. Al contrario, utilizza la forza bruta per ottenere chiavi di crittografia (uniche per ogni file), sfruttando il fatto che Akira genera chiavi di crittografia in base all’ora corrente (in nanosecondi) e la utilizza come seed.
Akira genera dinamicamente chiavi di crittografia univoche per ogni file utilizzando quattro diversi timestamp con una precisione al nanosecondo e ne esegue l’hashing utilizzando 1500 cicli di SHA-256.
Queste chiavi vengono crittografate utilizzando RSA-4096 e aggiunte alla fine di ogni file crittografato, rendendone difficile la decifratura senza la chiave privata. Il livello di precisione dei timestamp crea oltre un miliardo di possibili valori al secondo, rendendo difficili gli attacchi brute-force. Inoltre, Nugroho ha scoperto che la versione Linux del malware crittografa più file contemporaneamente utilizzando il multithreading, il che rende ancora più difficile determinare la marca temporale. Il ricercatore ha ristretto i possibili timestamp dell’attacco brute force esaminando i log condivisi dal suo amico. Ciò ha permesso di rilevare il tempo di esecuzione del ransomware e i metadati del file hanno aiutato a stimare il tempo di completamento della crittografia.
I primi tentativi di hacking furono effettuati sulla RTX 3060 e si rivelarono troppo lenti: il limite era di soli 60 milioni di test al secondo. Nemmeno l’aggiornamento alla RTX 3090 ha aiutato molto.
Alla fine Nugroho si è rivolto ai servizi GPU cloud RunPod e Vast.ai, che hanno fornito potenza sufficiente e hanno contribuito a confermare l’efficacia dello strumento da lui creato. L’esperto ha utilizzato sedici RTX 4090 e ci sono volute circa 10 ore per forzare la chiave. Tuttavia, a seconda del numero di file crittografati da recuperare, questo processo potrebbe richiedere diversi giorni.
Tuttavia, il ricercatore fa notare che gli specialisti delle GPU possono chiaramente ottimizzare il suo codice, quindi le prestazioni possono probabilmente essere migliorate.
Nugroho ha già pubblicato il suo decryptor su GitHub, dove ha anche pubblicato istruzioni dettagliate su come recuperare i file Akira crittografati.
Incel, abbreviazione dell’espressione inglese involuntary celibates (“casti non per scelta”): è utilizzata per definire uomini eterosessuali che non hanno rapporti sessuali perché si sentono discriminati e rifiutati dalle donne, che incolpano di privarli di quello che reputano un loro diritto.
Newsletter publisher Ghost is now connecting to the fediverse in public beta, updates about the bridge that connects the fediverse with Bluesky, and more.
Newsletter publisher Ghost is now connecting to the fediverse in public beta, updates about the bridge that connects the fediverse with Bluesky, and more.
The News
The public beta for connecting Ghost to the fediverse is here, and the ActivityPub integration is now available for Ghost Pro subscribers. Ghost is a publishing platform for sending out blogs via email. With this latest update, Ghost now has another method of distribution, namely via the fediverse. Ghost’s integration with the fediverse consists of two parts: sending out long-form articles published on Ghost into the fediverse, and a reader app to the fediverse from Ghost.
Publishing Ghost articles on ActivityPub makes them accessible to the rest of the fediverse, similar to how WordPress with the ActivityPub plugin works. For users of Ghost this is an easy sales pitch, it is simply another free and automatic distribution channel for their blog. The second part of Ghost’s integration with the social web is a reader app. This app allows Ghost users to browse and read posts on the fediverse. It is split up into two parts: an inbox for reading other long-form posts from Ghost or WordPress, and a feed for all other types of posts. This allows accounts on Ghost not only to send out posts via the ActivityPub integration, but also to connect, respond and follow their audience. It even allows you to post short-form microblogs (notes), just like you’d use on Mastodon, that do not show up on the Ghost website. This makes the Ghost integration a full fediverse experience.
A New Social is the non-profit organisation that builds and manages cross-protocol tools for the open social web. The organisation currently manages Bridgy Fed, the connector that allows accounts to ‘bridge’ between both ActivityPub, ATProto, Nostr and more, and is currently in the process of setting up and launching the organisation. In their first update they shared this week, A New Social shared that they have a board of directors, consisting of Erin Kissane, Ben Werdmuller and Susan Mernit. Bridgy Fed Config is the first upcoming launch that they announced, scheduled for early April. To bridge their account, Bridgy Fed currently requires people to follow the Bridgy Fed account on their platform, which can be confusing and opaque for people as to what is actually happening and if it is working. The upcoming Config settings page allows people to log in with their social web account (Bluesky, Mastodon, Pixelfed) and turn the bridging on with a simple switch. A New Social also mentions supporting Threads with the new Bridgy Fed Config update, which is currently not supported by Bridgy Fed.
Forte is a new fediverse platform, that comes from the lineage of Hubzilla and Streams, created by the same developer Mike Macgirvin. Forte’s major feature is that it has Nomadic Identity over ActivityPub. Nomadic Identity means that you can port your entire account, including your posts, settings, social connections, etc. It is slightly different than the account migration that Mastodon has, which transfers your social graph to a new account. With Nomadic Identity, you create a single identity that can be connected to multiple different servers, so when one server becomes unavailable, all your personal data can be transferred and accessed from another server linked to your account. Forte, as well as Hubzilla and Streams, remain on the bleeding edge on what’s possible with ActivityPub. However, Forte also suffers from the same issue that its predecessors have, namely that getting to use the software is surprisingly difficult. By design there is no way to see a list of Forte servers. Forte mainly targets people with technical know-how, as the code repository does not include guide on how to setup your own Forte server. It leads to the funny situation where I would like to give Forte a try because I’m interesting in trying out the new features, but I legitimately do not know how.
Myo is a new image-focused client for the open social web, and allows you to connect your Mastodon, Bluesky and Nostr accounts into a single timeline. Combining multiple accounts into a single timeline is similar to OpenVibe, but Myo instead focuses media, in a design that is more reminiscent of Instagram than Twitter. Myo is made by the same developer as SoraSNS, which is also a multi-protocol app that focuses on microblogging instead. Myo and SoraSNS are both available for iOS.
ActivityPub badges is a new project that is currently in development to build a badges/credential system similar to Credly on ActivityPub. The project is currently at the proof-of-concept phase, where badges can be created and send over ActivityPub.
IFTAS, the non-profit for collaborative work on trust & safety on the fediverse, recently had to shut down various of their services due to a lack of funding. In their latest update, the organisation talks about how they are rescoping and moving forward, as the organisation itself is not shutting down. IFTAS will continue with various community support projects, such as their community platform IFTAS Connect. They will also continue providing insight into commonly blocked domains, in a scaled down version of the shut-down FediCheck program.
A new form of spam/scam has recently emerged on the fediverse, and it involves private messages from an account that identifies itself as ‘Nicole the fediverse chick’. So many people have gotten a variation of this message that it is quickly becoming a meme on the fediverse. It is unclear what the exact purpose of this spam is, with either a doxing ex or an elaborate 4chan troll as likely explainers.
This article by Fassbender examines how state surveillance treats federated and decentralised social networks, focusing on the BlueLeaks dataset, which contains a large amount of internal documentation of state surveillance organisations. Fassbender writes: “[…] surveillance actors are less interested in understanding decentralization within platforms, but rather look at organizations first, then take an interest in all platforms that they spread to. This means that any platform (or in the case of the fediverse, grouping of platforms that share a method for interconnecting) can become suspect.”
Sneak peek: Mastodon’s upcoming update will finally include the ability to show all replies on a post.
FEP Search Tool is a small web tool to search all the FEP’s.
Forum software Flarum got funding by NLnet in 2023 to implement ActivityPub, but recently decided that this effort would be postponed for the foreseeable future.
Notes on migrating an account from Mastodon to GoToSocial.
A Manyfold 3D viewer directly in a Mastodon timeline.
Roboherd is a tool to build automated Fediverse actors.
That’s all for this week, thanks for reading! You can subscribe to my newsletter to get all my weekly updates via email, which gets you some interesting extra analysis as a bonus, that is not posted here on the website. You can subscribe below:
We're excited to release version 7.1 of PeerTube, which continues to evolve graphically, but also to simplify your discoverability! Let's take a close...
Dal Rinascimento a oggi, il mecenatismo è stato un ponte tra potere, ricchezza e cultura. Oggi, dal report di Avant Arte, vediamo una trasformazione di questo fenomeno: una nuova generazione di collezionisti e mecenati non si limita più a sostenere economicamente musei e istituzioni, ma partecipa attivamente alla diffusione dell’arte. Questo cambiamento porta con sé una riflessione fondamentale: il mecenatismo contemporaneo deve solo promuovere o anche valorizzare?
Promuovere vs valorizzare: una distinzione cruciale
Spesso si usano questi termini come sinonimi, ma hanno significati profondamente diversi. Promuovere significa amplificare la visibilità di un'opera, un artista o un progetto attraverso strategie di comunicazione, marketing e diffusione. È un primo passo importante, ma da solo non garantisce la crescita culturale. Valorizzare, invece, è un processo più profondo: significa riconoscere e accrescere il valore di un’opera, mettendone in luce il significato, inserendola in un contesto che ne amplifichi la portata culturale e sociale.
Se il mecenatismo moderno vuole davvero lasciare un segno, non può limitarsi alla promozione. Deve creare connessioni, contesti e significati che permettano all’arte di avere un impatto duraturo nella società.
Il futuro del mecenatismo
Il modello che emerge dal report di Avant Arte suggerisce che i nuovi collezionisti vogliono essere più coinvolti nel processo creativo e culturale. Questa è una grande opportunità: il mecenatismo non è più solo un privilegio di pochi, ma può diventare un motore collettivo per sostenere e dare valore all’arte contemporanea.
Forse la vera sfida è questa: riusciremo a costruire un mecenatismo che non sia solo un investimento di mercato, ma un atto politico e culturale capace di generare un impatto reale?
Secondo l'analisi prodotta annualmente dal marketplace l’88% di questi ha sia le risorse che il desiderio di donare di più ai musei e di sostenerli concretamente
Il mecenatismo contemporaneo deve andare oltre la semplice promozione e puntare alla valorizzazione. Non basta amplificare la visibilità dell'arte: è necessario collocarla in un contesto che ne amplifichi il messaggio e ne approfondisca il significato. Questo significa creare connessioni culturali, storiche o sociali che rendano l'opera rilevante e duratura per il pubblico, garantendo un impatto che va oltre il momento della semplice esposizione. In altre parole, visibilità senza profondità rischia di non lasciare un segno. Il coinvolgimento diretto dei mecenati nel processo creativo rappresenta una grande opportunità per rendere il mecenatismo un motore culturale e sociale, non solo un investimento di mercato. La sfida? Trasformarlo in un atto consapevole, capace di generare un impatto reale.
@Antonio Marano Sono molto d'accordo con te, valorizzare dovrebbe essere una reale creazione di valore e di significato, è creare ragionamento attorno a un contesto. In questo modo l'arte non è solo qualcosa da guardare staticamente, ma diventa finalmente motore attivo che può essere utile a capire la realtà e il contesto sociale e culturale. La cosa che ho notato è che spesso viene confuso o usato come sinonimo di promozione e la sovrapposizione dei piani tende ad andar a invalidare l'una e l'altra.
L'articolo Scuola di Liberalismo 2025: Giulio Terzi di Sant’Agata – Anche in politica estera, chi sa conservare non ha paura del futuro proviene da Fondazione
Un’altra settimana di appuntamenti importanti per il futuro della difesa europea. La presidente della Commissione europea, Ursula von der Leyen, rilancia sull’autonomia strategica dell’Unione e annuncia il piano Readiness 2030, una roadmap per rendere
@Politica interna, europea e internazionale Mario Draghi dice sì al riarmo, ma solo nell’ambito di un piano che porti alla realizzazione di una difesa comune europea. E che sia finanziato non solo dai singoli Stati, ma anche con l’emissione di titoli di debito europei e con il ricorso a capitali privati. L’ex
Le forze armate americane e quelle ucraine sono divenute ancora più vicine, grazie all’ultima iniziativa relativa al comparto unmanned. Il nuovo progetto, chiamato “Artemis”, mira allo sviluppo di loitering munitions (termine tecnico per i sistemi comunemente noti come “droni kamikaze”)
@Informatica (Italy e non Italy 😁) Il backup automatico è una soluzione indispensabile per proteggere i dati aziendali da errori umani, guasti e attacchi informatici. Con l'integrazione di cloud e intelligenza artificiale, le aziende possono garantire continuità operativa e sicurezza informatica senza complicazioni. Soluzioni e
@Informatica (Italy e non Italy 😁) Gestire la conformità normativa è una sfida complessa per le aziende moderne. I software di compliance offrono automazione, monitoraggio avanzato e integrazione con i sistemi aziendali, semplificando i processi e riducendo i rischi. Scopri le soluzioni per una gestione efficiente della
@Informatica (Italy e non Italy 😁) Grazie a una dashboard costantemente aggiornata è possibile monitorare l'andamento delle rivendicazioni ransomware che impattano sulle vittime italiane. Ecco tutti gli attacchi ransomware che hanno colpito il nostro Paese negli ultimi mesi L'articolo Attacchi ransomware alle
L’industria della difesa europea si trova oggi davanti a una sfida epocale. Accelerare la propria capacità produttiva per garantire agli Stati e alle alleanze continentali un adeguato livello di preparazione militare capace di dissuadere eventuali minacce e proiettare sicurezza ai propri confini. La sfida
GPS is an incredible piece of modern technology. Not only does it allow for locating objects precisely anywhere on the planet, but it also enables the turn-by-turn directions we take for granted these days — all without needing anything more than a radio receiver and some software to decode the signals constantly being sent down from space. [Chris] took that last bit bit as somewhat of a challenge and set off to write a software-defined GPS receiver from the ground up.
As GPS started as a military technology, the level of precision needed for things like turn-by-turn navigation wasn’t always available to civilians. The “coarse” positioning is only capable of accuracy within a few hundred meters so this legacy capability is the first thing that [Chris] tackles here. It is pretty fast, though, with the system able to resolve a location in 24 seconds from cold start and then displaying its information in a browser window. Everything in this build is done in Python as well, meaning that it’s a great starting point for investigating how GPS works and for building other projects from there.
The other thing that makes this project accessible is that the only other hardware needed besides a computer that runs Python is an RTL-SDR dongle. These inexpensive TV dongles ushered in a software-defined radio revolution about a decade ago when it was found that they could receive a wide array of radio signals beyond just TV.
Via libera della Regione all'accesso degli animali da affezione nelle strutture sanitarie, per migliorare il benessere dei pazienti a lunga degenza
[...]
Per gli ospedali deve essere concordato con il servizio di accoglienza il percorso per raggiungere la saletta di uso comune dove si svolgerà la visita. In ciascuna struttura è consentita la presenza di un solo animale per volta e le visite saranno pianificate per non creare sovrapposizioni. Alcuni reparti sono interdetti: gli animali non potranno accedere al pronto soccorso, a neonatologia, alle aree ambulatoriali, di dialisi, di prelievo e di ristoro, nei day hospital e nelle sale operatorie.
@Informatica (Italy e non Italy 😁) I dati relativi alle flotte spesso includono informazioni sensibili, come i dati personali sui conducenti e gli stili di guida: di conseguenza, richiedono l'adozione di misure di sicurezza rigorose. Ecco come trovare
@Informatica (Italy e non Italy 😁) La cybersecurity è diventata una priorità strategica per le aziende di ogni settore, spinta dalla crescente complessità degli attacchi informatici e dalla continua evoluzione delle tecnologie digitali. I software di cybersecurity svolgono un ruolo centrale, non solo nel prevenire e mitigare le
direi che la sentenza della corte non sta sostenendo che l'ucraina abbia deliberatamente compiuto azioni di pulizia etnica verso qualcuno, ma solo che ci sono stante mancanze e carenze, cosa che succede specie quando magari l'organico è mal addestrato, mal pagato, mal preparato. all'epoca polizia ed esercito ucraino non era famoso per efficienza. e la scuola russa nell'uso dell'esercito ai fini dell'ordine pubblico è più simile alla strategia di invasione che non al rasserenare animi turbolenti. ricordo che in partenza l'esercito ucraino era del tutto simile all'esercito russo. pessima scuola, pessimo addestramento, gerarchia molto rigida, logica ottocentesca, e per di più praticamente disarmati in seguito alla separazione dall'URSS.
La Corte Europea dei Diritti dell'Uomo (CEDU) ha emesso una sentenza il 13 marzo 2025, condannando l'Ucraina per la gestione degli eventi del 2 maggio 2014 a Odessa.
@Informatica (Italy e non Italy 😁) I fogli di stile CSS, strumenti essenziali per il web design, vengono sfruttati dai cyber criminali per eludere filtri antispam e monitorare gli utenti. La tecnica “hidden text salting” nasconde contenuti sospetti mentre il tracciamento
L’attacco di Dark Storm su X (ex Twitter) è stato significativo per diverse ragioni.
L’attacco del 10 marzo 2025 – un DDoS multilivello eseguito utilizzando una botnet – rivendicato dal gruppo hacktivista pro-palestinese Dark Storm, ha causato un’interruzione globale, colpendo un gran numero di utenti in tutto il mondo e interrompendo i suoi servizi. “C’è stato (e c’è ancora) un massiccio attacco informatico contro X,” ha scritto Musk, “Veniamo attaccati ogni giorno, ma questo è stato fatto con molte risorse. Sembra essere un gruppo grande e coordinato e/o un paese coinvolto.”
In precedenza (agosto 2024) X aveva già subito un attacco DDoS, attacco che analizzato dalla società di sicurezza informatica cinese Qi An Xin XLAB – specializzata in threat intelligence con sede ad Hong Kong – è stato visto come attacco mirato utilizzando quattro botnet master Mirai.
Il gruppo di hacker Dark Storm Team (DST), creato nel settembre 2023, poche settimane prima dell’attacco terroristico di Hamas del 7 ottobre contro Israele, ha rivendicato la responsabilità dell’attacco tramite Telegram, dichiarando di aver messo offline la piattaforma. L’attacco ha coinvolto una botnet di dispositivi compromessi, tra cui dispositivi IoT come telecamere IP e router, per sovraccaricare i server di X. Sebbene Dark Storm abbia rivendicato la responsabilità, alcuni esperti hanno messo in dubbio l’attribuzione a causa della complessità degli attacchi DDoS, che possono coinvolgere traffico da diverse località globali.
Questo attacco sottolinea l’importanza di robuste difese informatiche e la complessa interazione tra motivazioni politiche e criminalità informatica motivata dal profitto.
Ma tali azioni, sostiene Jesse William McGraw su Cyber News, sottolineano come l’hacktivismo contemporaneo, in particolare da parte di gruppi come Anonymous, sia una “opposizione controllata” che reagisce ai cicli di notizie senza sfidare strategicamente le strutture di potere sottostanti. Il vero cambiamento, suggerisce l’autore, richiede lo smantellamento dei “burattinai” che controllano la finanza globale, i governi e le strutture sociali, piuttosto che impegnarsi semplicemente in conflitti superficiali come gli attacchi DDoS. Jesse William suggerisce che le minacce reali non ricevono attenzione e che gli hacktivisti devono iniziare a smantellare le vere reti di guerra basate sulla conoscenza e concentrarsi sui meccanismi di controllo più profondi per causare un cambiamento significativo.
I principi fondamentali dell’hacktivismo e il paradosso
Gli hacktivisti – ci racconta Jesse Williams – si fondano su diversi principi chiave come denunciare ed esporre la corruzione e gli illeciti, combattere la censura e difendere la privacy digitale, supportare le comunità emarginate e quelle oppresse (cruciale) e contrastare la propaganda e la disinformazione (azione vitale). Il modo in cui gli hacktivisti agiscono su questi principi rivela il loro vero impegno nei loro confronti e allo stesso tempo alcune ideologie possono essere distorte per servire come strumenti di controllo.
Il paradosso è che la ricerca dell’idealismo può talvolta rispecchiare la stessa oppressione che gli hacktivisti mirano a smantellare, intrappolando infine le persone all’interno del sistema che cercano di liberare. McGraw ha un legame personale con questo movimento: durante il suo percorso di hacking, l’hacktivismo ha svolto un ruolo fondamentale. Tuttavia, ci dice che se avesse saputo allora ciò che sa ora, il suo percorso sarebbe stato diverso.
Una fonte di ispirazione per un cambiamento significativo: il più grande hack di tutti
Mentre l’attacco di Dark Storm era guidato da motivazioni geopolitiche, prendendo di mira entità percepite come sostenitori di Israele, mentre X è utilizzato da molti sostenitori pro-palestinesi: l’attacco così paradossalmente ha messo a tacere le voci che sostenevano la loro causa. Come potrebbe finire: le azioni volte a sfidare gli oppressori percepiti possono inavvertitamente danneggiare coloro che intendono sostenere. L’hacktivismo contemporaneo nello sfidare le vere strutture di potere è limitato e necessita di azioni più incisive che vadano oltre i gesti simbolici e invece prendano di mira le cause profonde dei problemi sistemici.
“[…] l’hack che tutti stavamo aspettando in questo momento non è digitale ma ideologico”. _ Jesse William McGraw
Jesse William consiglia alla nuova generazione di iniziare ad ascoltare i testi di Zack de la Rocha da Rage Against the Machine come fonte di profonda ispirazione per un cambiamento significativo. La vera libertà implica il riconoscimento e la liberazione da questo controllo ideologico, piuttosto che impegnarsi in atti superficiali di resistenza. Questa consapevolezza è vista come il “più grande hack” di tutti.
@Notizie dall'Italia e dal mondo Tapachula, la più grande città del confine sud tra Messico e Guatemala si è svuotata. Le code davanti agli uffici che permettono di avere i documenti per attraversare il paese o chiedere asilo negli USA non esistono più. Il video-reportage di Andrea Cegna dal
@Notizie dall'Italia e dal mondo A Napoli, una giornata dedicata alla Palestina, con proiezioni, testimonianze, presentazioni di libri, musica, incontri e tanto altro. Pagine Esteri, Life for Gaza, Associazione Pixel, Giuristi democratici e n’seaYet hanno organizzato per
@Informatica (Italy e non Italy 😁) La protezione dei dati personali e la cyber security sono diventati pilastri fondamentali nell'era digitale. Ecco il percorso normativo dal GDPR alla NIS 2, analizzando i principi fondamentali e le sinergie tra
L’essere umano nella vita quotidiana ha avuto sempre la necessità di essere riconosciuto ed identificato per usufruire di servizi e prestazioni. Ciò è stato possibile utilizzando nel passato documenti in genere cartacei per poter dimostrare quello che dichiarava di essere. Tali documenti venivano gestiti e forniti personalmente dall’interessato per addivenire ai bisogni personali, a loro volta associati al relativo riconoscimento.
Con l’avvento della tecnologia Internet, del mercato globale e soprattutto della facilità e della rapidità con cui una persona può interagire a distanza nel mondo digitale, sono nate ed individuate nel tempo forme sempre più complesse, dal punto di vista tecnologico, di riconoscimento digitale. Con l’evolversi della tecnologia è stato possibile la crescita, ad esempio, del commercio elettronico, della gestione finanziaria delle banche e delle assicurazioni, della interazione sanitaria e di tutte quelle attività che in genere richiedevano la presenza fisica.
Questi benefici raggiunti attraverso l’adozione e il supporto di diverse soluzioni tecnologiche comportano, e devono necessariamente, soddisfare alcune caratteristiche essenziali associate all’Identità Digitale, con particolare riferimento alla:
“Controllabilità da parte dell’utente”: gli utenti devono avere il controllo completo su chi può accedere e utilizzare le loro informazioni;
“Facilità di uso”: le soluzioni di identità digitale devono essere semplici e intuitive per l’utente finale;
“Sicurezza tecnologica”: è fondamentale proteggere le informazioni personali dagli accessi non autorizzati e dalle minacce informatiche;
“Disponibilità operativa”: i sistemi di identità digitale devono essere affidabili e disponibili in qualsiasi momento.
Inizialmente era solo password
La password è stata, ed è tutt’ora, lo strumento digitale primario per la protezione dell’identità digitale. Essa avvalora ciò che un soggetto (ad esempio, utente o sistema) dichiara di essere nella fase di identificazione. Per la maggior parte dei casi, la creazione e la gestione della password è lasciata agli utenti, che da letteratura e dalle analisi degli incidenti informatici risulta essere uno degli anelli deboli della sicurezza digitale.
Gli utenti, non potendo esimersi dalla gestione delle proprie password, diventano bersagli di tecniche diverse e spesso mirate degli hacker, che cercano di ingannare gli utenti per acquisire le loro password e violare sistemi legittimamente autorizzati, o per realizzare frodi ai danni degli utenti o dei loro partner. Nel corso del tempo, le tecniche utilizzate da persone e organizzazioni malevoli si sono fatte sempre più sofisticate.
Inizialmente, venivano inviate semplici email di “phishing” con testi ingannevoli per carpire informazioni. Successivamente, sono stati sviluppati processi più strutturati per creare una base informativa su cui costruire un inganno mirato (come il “spear-phishing”), fino ad arrivare all’uso attuale dell’Intelligenza Artificiale (IA). L’obiettivo è far sembrare i testi veritieri, in modo da indurre l’utente a cliccare su un collegamento digitale a un sito malevolo, identico a quello ufficiale, o a scaricare un file che si installa nel dispositivo elettronico usato dall’utente per carpirne le informazioni (come le password) in modo malevolo.
La sola password non basta
La formazione del personale aziendale, degli utenti, e contestualmente l’introduzione di soluzione tecnologiche come sistemi antispam e antiphishing, nodi di rete evoluti per la protezione della rete o dei sistemi (es. IDS, IPS, firewall, WAF) non sono spesso sufficienti a ridurre le minacce ai sistemi o alle piattaforme provenienti dall’esterno.
L’ulteriore passo per rafforzare l’identità e la sua sicurezza, qualora la password venga in qualche modo sottratta, oppure la stessa non sia sufficientemente robusta nella sua struttura tale da prevenire attacchi di tipo “brute force”, è l’introduzione del processo denominato “Multi Factor Authentication” (o “Strong Authentication”). Tale processo si basa sull’utilizzo di elementi indicati come fattori di autenticazione connessi al mondo dell’utente. I fattori di autenticazione sono racchiusi nelle seguenti 3 macro aree: “qualcosa che conosci”, “qualcosa che hai” e “qualcosa che sei”. Un breve excursus sui 3 fattori:
“qualcosa che sai”: l’identità è dimostrata tramite informazioni a conoscenza dell’utente come una password, un PIN, una “passphrase” o una serie di domande preimpostate dal sistema che caratterizzano l’ambiente e il vissuto dell’utente;
“qualcosa che hai”: l’identità è attestata dal possesso e utilizzo di oggetti posseduti o assegnati univocamente all’utente come, ad esempio, un generatore di token (“One Time Password” – OTP -, molto utilizzato nel passato principalmente nel settore bancario), un badge, o un dispositivo mobile (es., smartphone, tablet, che preventivamente identificato può costituire il fattore di possesso, a sua volta utilizzato in combinazione di una applicazione per la generazione di un codice OPT unico);
“qualcosa che sei”: l’identità è rilevata dall’utilizzo delle caratteristiche biometriche uniche dell’utente, come il suo riconoscimento facciale, la rilevazione dell’impronta digitale, la scansione della retina dell’occhio, il rilevamento delle caratteristiche della voce o la geometria della mano.
La letteratura sull’argomento è ampia, ma quella che può considerarsi un riferimento fondamentale sono le Linee Guide emesse dal National Institute of Standard and Technology (NIST). Il NIST è un’agenzia governativa degli U.S.A. che si occupa nell’indirizzare la gestione delle diverse tecnologie in uso.
Gli standard e le Linee Guida emessi dal NIST non sono cogenti in Europa, ma sono considerati per completezza e autorevolezza un riferimento tecnologico da seguire. In particolare, il NIST tratta l’autenticazione a più fattori nelle Linee Guide della serie SP 800-63: nella Linea Guida NIST SP 800-63-3 (“Digital Identity Guidelines”) sono definiti i 3 livelli di autenticazione “Authenticator Assurance Level (AAL) che si possono selezionare per diverse tipologie di servizio digitale, mentre la NIST SP 800-63B (“Digital Identity Guidelines – Authentication and Lifecycle Management”) fornisce le diverse soluzioni disponibili per l’autenticazione a più fattori.
L’identità digitale è anche governance non solo tecnologica
La molteplicità di servizi, applicazioni e domini a cui un singolo utente può accedere, rende la gestione degli accessi problematica sia dal punto di vista della sicurezza sia dal punto di vista gestionale. Nel primo caso, l’utente deve ricordare molte password per tutti i sistemi, applicazioni e domini a cui deve essere autorizzato per operare, con conseguenze negative legate alla ripetitività e alla pigrizia mentale, che lo portano a utilizzare spesso la stessa password per diversi siti/applicazioni o, in alternativa, a creare password diverse ma molto semplici, la cui struttura risulta essere fortemente deficitaria in termini di robustezza e complessità. Nel secondo caso, ovvero la gestione degli account, risulta essere un’operatività complessa per la numerosità amministrativa degli stessi da parte degli operatori dell’IT dei diversi nodi di accesso.
Per migliorare la sicurezza dei sistemi e l’esperienza dell’utente, è stato introdotto il processo di autenticazione denominato “Single Sign-On” (SSO). Questo processo consente di accedere a più risorse con una sola attività di immissione delle credenziali di accesso. Una volta effettuato il riconoscimento e l’autenticazione da parte dell’utente, lo stesso può accedere senza la necessità di ripetere l’immissione delle credenziali di accesso per ogni singolo sistema incluso nel processo di SSO di riferimento.
Dal punto vista operativo, assume un ruolo fondamentale l’Identity Provider (IdP), che ha il compito di accertare con un processo strutturato, tramite l’autenticazione dell’utente, la sua legittimità ad operare su un insieme di sistemi ben definito e riconosciuto. Un elemento rilevante dal punto di vista della sicurezza è dato dal fatto che tra il fornitore di servizi (Service Provide, SP) e l’IdP non passano credenziali di accesso degli utenti (username, password). Infatti, tra i due provider viene attivato uno scambio “handshaking”, con la generazione e l’invio di token (o di cookie con i dati di sessione) al SP, per consentire il trasferimento dei dati di verifica a seguito del processo di autenticazione dell’identità dell’utente, consentendo a quest’ultimo l’accesso alle risorse a lui destinate. La soluzione tecnologica SSO spesso adotta contestualmente l’autenticazione MFA, che introduce un ulteriore “layer di sicurezza”, riducendo il rischio connesso alla fase di autenticazione dell’utente.
Riprendendo l’aspetto gestionale, il SSO facilita dal punto di vista sistemistico la gestione delle password (esempio, provisioning e deprovisioning degli account, nonché il reset delle passord), con un beneficio sui costi di gestione associati alle funzioni dell’Information Technology.
Nel delineare i vantaggi nell’adozione del processo SSO occorre evidenziare anche problematiche connesse alla gestione tecnologica della sicurezza, nonché all’esercizio e alla manutenzione dei sistemi a supporto del processo stesso. In particolare, dal punto di vista della sicurezza, un malintenzionato nel compromettere la sicurezza della sola componente tecnologica che funge da IdP, può verosimilmente accedere ai diversi servizi ad essa collegati (Single Point of Failure – SPOF), mentre la scarsa gestione operativa sugli apparati elettronici potrebbe creare problemi al loro corretto funzionamento, con conseguenze connesse alla indisponibilità e al disservizio nell’utilizzo dei sistemi a supporto del processo SSO.
Il mondo digitale si allarga e non è più legato alla singola impresa
Come abbiamo visto, il processo SSO funziona particolarmente bene ed è particolarmente indicato quando, ad esempio, un’azienda di media/grande dimensione ha la necessità di facilitare l’accesso simultaneo del proprio personale a varie applicazioni (es. contabilità, HR, repository documentale) senza creare disagi nei tempi di attesa o disservizi a causa del sovraccarico dei sistemi.
Il passo successivo è pensare in grande: perché limitarsi e rimanere confinati alla sola azienda, quando siti web completamente diversi nei loro contenuti, e nelle modalità di offerta dei servizi stessi, possono in qualche modo “riconoscersi” e facilitare, per alcuni di essi, l’interazione e la gestione delle fasi di “Identificazione” e “Autenticazione”. In particolare, se un utente vuole accedere a un sito che offre servizi (“Service Provider” – SP), come l’accesso ai siti amministrativi, ai servizi pubblici o di qualsiasi altro tipo, è inoltrato dal SP stesso, per l’immissione del set di credenziali, ad un diverso sito che può erogare e gestire la sua identità digitale, ricoprendo di fatto il ruolo da IdP (es. Facebook, Gmail).
Superata la fase di identificazione e autenticazione, l’utente può essere abilitato ad utilizzare i servizi richiesti nel sito inizialmente acceduto. Il processo appena descritto è denominato “Identità Federata” (“Federated Identity Management” – FIM). Per avviare un tale processo deve essere instaurato un protocollo (“handshaking”) per garantire non solo la fattibilità tecnica, ma soprattutto scambi sicuri tra il SP (fornitore dei servizi) e l’IdP (fornitore dell’identità dell’utente). I sistemi coinvolti nell’Identità Federata utilizzano protocolli consolidati come SAML, OAuth 2.0 e OpenID Connect. Tali protocolli consentono lo scambio sicuro dei dati senza alcun passaggio o scambio di credenziali dell’utente. Infatti, una volta che l’utente è identificato e autenticato dall’IdP, i dati che vengono passati al SP sono una “asserzione” (“Assertion”) che attesta l’avvenuta autenticazione, tramite un token (“ID Token”) generato dall’IdP (“OpenID Connect”) che contiene le cosiddette “affermazioni” (“Claims”) di autenticazione valide dell’utente.
I vantaggi nell’Identità Federata sono i medesimi di quelli indicati nella tecnologia SSO. In particolare, nell’ambiente tecnologico federato è sufficiente la memorizzazione di un solo set di accesso, con vantaggi nella sua gestione e creazione di una password robusta e nella sua conservazione. Anche in questo caso ritroviamo l’aspetto positivo connesso alla gestione operativa di un processo SSO, dove l’Identità Federata riduce il carico di lavoro di tipo amministrativo degli account associati al fornitore dei servizi. Tale attività ricade prevalentemente sull’IdP, consentendo al SP di concentrare maggiormente le risorse alla risoluzione e fornitura dei servizi. Ulteriori aspetti positivi dell’Identità Federata sono inerenti anche al miglioramento della sicurezza per le aziende, specialmente di piccole dimensioni, che non hanno le risorse economiche per realizzare misure adeguate a protezione delle credenziali di accesso.
Rivolgendosi a grandi aziende con la cultura, gli investimenti e le tecnologie di ultima generazione, si ottengono pratiche di sicurezza superiori rispetto ai livelli di sicurezza che potrebbero applicare le piccole imprese. Infine, l’esperienza associata a tale tecnologia facilita l’utente nell’utilizzo dei servizi supportati dall’Identità Federata, rendendo il processo di accesso più immediato e più semplice perché si utilizzano set di credenziali di frequente utilizzo (ad esempio, per l’accesso a Facebook, alla posta elettronica di Google). In particolare, l’utente è più invogliato e facilitato ad accedere e utilizzare un nuovo servizio se ha un IdP le cui autenticazioni sono già presenti e conosciute, rispetto a creare un nuovo account di accesso per ogni servizio, con tutti i problemi connessi e precedentemente evidenziati.
Gli aspetti negativi connessi all’utilizzo della FIM sono diversi. Il primo è connesso alla tipologia di architettura adottata che potrebbe essere prone di una completa indisponibilità del sistema a causa di un eventuale malfunzionamento dell’IdP, che qualora accada rappresenterebbe una vulnerabilità per l’intero sistema di Identità Digitale (SPOF), con l’impossibilità per l’utente di accedere ai servizi richiesti. Un altro aspetto da non trascurare è connesso alla privacy, poiché l’IdP potrebbe effettuare la profilazione delle richieste di accesso ai servizi effettuate dall’utente. Questo è possibile perché i SP richiedono sempre i dati di autenticazione (token) all’IdP ogni volta che un utente vuole utilizzare e accedere ai diversi siti web.
L’evoluzione della Identità Digitale non si ferma, ma offre nuove opportunità
Abbiamo visto alcune problematiche associate alla gestione della FIM. In particolare, l’IdP qualora non fosse raggiungibile e non fosse garantita in qualche modo la continua operatività dei suoi sistemi, non potrebbe garantire all’utente la possibilità di accedere ai servizi richiesti. Inoltre, non tutti i servizi presenti sulla rete pubblica accettano i medesimi IdP, con conseguenze per l’utente che è costretto a creare ulteriori identità digitali con diversi IdP. Ulteriore aspetto importante da non trascurare è che l’Identità Digitale di un utente è gestita completamente da un ente terzo, spesso al provider sono forniti non solo il nome, la data di nascita e l’indirizzo di posta elettronico, ma anche sono dati la residenza, il numero del cellulare e spesso anche le coordinate bancarie. Avere dati personali sparsi per il web può creare inquietudine nell’utente perché spesso non si ricorda a chi sono stati concessi , e soprattutto quali sono i dati forniti al provider per far riconoscere la propria identità digitale.
Parte delle problematiche, se non tutte, appena esposte possono essere risolte con l’adozione del modello di Identità Digitale riconosciuto come “Self Sovereign Identity” (SSI). Tale modello restituisce il controllo della propria Identità Digitale all’utente e non risulta più legato ad un, o più IdP, ma bensì utilizza un modello decentralizzato delle informazioni archiviate basato sulla tecnologia delle Blockchain. In sintesi si può dire che l’utente diventa l’IdP di sé stesso.
Il termine Self Sovereign Identity fu coniato per la prima volta da Christofer Allen nel 2016. Allen ha fondato la “Blockchain Commons LLC” (25 aprile 2019) che è “un’entità senza scopo di lucro focalizzata sulla creazione di una infrastruttura digitale aperta, interoperabile, sicura e compassionevole”, con obiettivo di “sostenere il controllo indipendente, privato e resiliente degli asset digitali, utilizzando specifiche aperte e interoperabili”, di “mettere al primo posto gli utenti e la loro dignità umana e di sostenere e incoraggiare la loro gestione sicura e responsabile degli asset digitali”.
Nel tempo sono state date diverse definizioni sui principi dell’Identità Digitale (ad esempio, Kim Cameron “The Laws of Identity”, “W3C The Verifiable Claims Task Force”) che hanno contribuito alla definizione di 10 principi sulla Self Sovereign Identity (26 aprile 2016). In particolare:
Esistenza: “Gli utenti devono avere un’esistenza indipendente”. Per la SSI un’identità non potrà esistere interamente solo in forma digitale, ma deve sussistere ed essere accoppiata ad una entità fisica. La SSI rende pubbliche e accessibili informazioni che individuano e caratterizzano in parte o in toto un utente.
Controllo: “Gli utenti devono controllare la propria identità”. L’utente rimane sempre l’autorità ultima e non sostituibile sulla propria identità. L’utente deve essere sempre in grado di definire il livello di visibilità e di privacy sulla propria identità. “Ciò non significa che un utente controlli tutte le attestazioni sulla propria identità: altri utenti possono fare affermazioni su un utente, ma non dovrebbero essere centrali per l’identità stessa”
Accesso: “Gli utenti devono avere accesso ai propri dati”. Un utente deve avere sempre il completo controllo dei propri dati e non devono esserci dati nascosti e “gatekeeper” (ovvero sia presente una qualche forma decisionale, non definita dall’utente stesso, che controlla l’accesso ai dati che caratterizzano l’identità digitale dell’utente). Gli utenti non possono avere accesso ai dati degli altri utenti, ma solo ai propri.
Trasparenza: “I sistemi e gli algoritmi devono essere trasparenti”. I sistemi tecnologici utilizzati nella gestione della SSI debbono aperti in relazione alle modalità di gestione e di aggiornamento tecnologico. Debbono non dipendere da qualsiasi architettura, nel contempo caratterizzati dall’essere liberi, “open-source” ed essere possibile di esaminare il loro funzionamento.
Persistenza: “Le identità devono essere longeve”, ovvero durare per sempre o fintantoché lo vuole l’utente. Dal punto di vista tecnologico vista la sua rapida evoluzione, tale affermazione dovrebbe non essere pienamente soddisfatta, ne consegue che la validità dell’identità dovrebbe essere legittima fino a quando la stessa non sarà superata da nuovi sistemi di identità digitale, salvaguardando sempre il “diritto all’oblio” sui dati dell’utente.
Portabilità: “Le informazioni e i servizi relativi all’identità devono essere trasportabili”. Le identità non devono essere legate ad un’entità digitale terza, ma debbono avere la caratteristica di essere trasportabili. L’evoluzione tecnologica, in special modo Internet, possono avere una trasformazione innovativa e questo può determinare la scomparsa di un’entità. Gli utenti debbono avere la possibilità di spostare le proprie identità, garantendo altresì la persistenza.
Interoperabilità: “Le identità dovrebbero essere il più ampiamente utilizzabili possibile”. La SSI ha uno degli obiettivi di non avere confini di alcun tipo (es. di tipo tecnologico, nazionale e/o di settore), al fine di rendere l’informazione sulla Identità Digitale fruibile e disponibile, senza che l’utente ne perda il controllo
Consenso: “Gli utenti devono accettare l’uso della propria identità”. In qualsiasi momento, tecnologia e condizione di interesse, il sistema di Identità Digitale che si basa su tecnologia SSI si basa sull’assoluta consapevolezza e l’esplicito consenso dell’utente.
Minimizzazione: ”Quando i dati sono divulgati, tale divulgazione dovrebbe riguardare la quantità minima di dati necessari per svolgere il compito in questione”. Non sempre per usufruire un servizio è necessaria la divulgazione e la conoscenza completa dei dati e delle attestazioni associate all’identità del cliente.
Protezione: “I diritti degli utenti devono essere protetti”. I diritti dell’utente inerenti alla protezione della sua Identità Digitale sono inalienabili e sono al di sopra di qualsiasi esigenza che possa sorgere ed essere in contrasto con la rete o qualsiasi tecnologia a supporto della SSI.
Dopo aver definito i 10 principi che costituiscono le guide guida per la realizzazione della SSI, e prima di andare a definire il suo modello che lo caratterizza dal punto di vista funzionale, occorre dare un accenno sulla infrastruttura Blockchain che costituisce il “kernel” tecnologico per garantire il suo funzionamento operativo.
Blockchain
La tecnologia Blockchain è stata utilizzata per la prima nel 1991 da 2 ricercatori americani per proteggere i documenti da possibili manomissioni. Tuttavia, questa tecnologia rimase inutilizzata fino al 2008 quando venne ripresa da Satoshi Nakamoto per creare per la prima volta la criptovaluta digitale, ovvero i Bitcoin. La caratteristica principale della Blockchain è di essere costituito da un archivio digitale “condiviso” e “decentralizzato” consultabile da chiunque faccia parte della rete. La Blockchain è, come dice la traduzione in italiano, una catena di blocchi, dove ogni blocco contiene principalmente 3 elementi base: i dati nuovi (es. transazione commerciale, Identità Digitale, Non-Fungible Token), che costituiscono l’oggetto di archiviazione, il valore proveniente dalla funzione “hash” del blocco precedente e un ulteriore valore della funzione “hash” del blocco che si sta generando (la funzione “hash” produce una stringa alfanumerica unidirezionale, “digest”, che possiamo considerare come una sorta di impronta digitale del generico blocco). In particolare, la funzione “hash” del nuovo blocco è calcolata dalla concatenazione dei nuovi dati da archiviare e dal valore dell’”hash” del blocco precedente. Dal punto di vista della sicurezza, se un generico blocco i-esimo della catena di blocchi viene volutamente alterato, l’hash del blocco i-esimo e tutti gli hash dei blocchi successivi non sono più considerati accettabili perché alterati. Se pochi anni fa era sufficiente per la sicurezza, oggi non lo è più a causa delle potenze di calcolo degli elaboratori elettronici sempre più veloci (valori di velocità prossimi ai 2.0 exaFLOPS) che potrebbero rapidamente ricalcolare l’hash i-esimo del blocco corrotto e i successivi, rendendo valido tutta la catena di blocchi. Per evitare tale problema viene utilizzato il protocollo crittografico “Proof of work” che introduce calcoli aggiuntivi, e soprattutto onerosi, per la creazione di un nuovo blocco, rendendo più sicura tutta la catena della Blockchain da attacchi di attori malevoli. La Blockchain, per sua natura, è un’architettura decentralizzata e ogni nodo della stessa rete (“peer to peer”) possiede una copia completa della Blockchain e ne verifica la sua regolarità. Quando viene creato un nuovo blocco, lo stesso viene inviato a tutti i nodi della rete a cui appartiene. Ogni nodo della rete che ha ricevuto il blocco lo verifica e se la copia del blocco è corretta, ovvero non ha subito alterazioni, lo aggiunge alla propria copia della Blockchain. Dal punto di vista fraudolento, un attore malevolo per manipolare la Blockchain, come già detto, altera un blocco i-esimo deve quindi rifare necessariamente la “Proof of work” del blocco i-esimo e di tutti i successivi. Tuttavia, questa condizione è necessaria ma non sufficiente perché per avere successo l’hacker deve avere il controllo sul 50%+1 dei nodi della Blockchain. Tale pratica risulta, ad oggi, non conveniente in termini di tempo (calcolo molto pesanti della “Proof of work”) e di costi energetici (ovvero al Blockchain è caratterizzata da soluzioni tecnologiche fortemente energivore).
Insieme all’aspetto architetturale della “Decentralizzazione” è fondamentale anche il concetto del “Consenso”. Il “Consenso” nella blockchain è il processo attraverso il quale i nodi di una rete distribuita concordano su uno stato univoco della Blockchain. Gli algoritmi del “Consenso” assicurano 3 aspetti: i) tutte le copie della blockchain siano identiche e le transazioni sono valide e accettate dalla rete; ii) nessun nodo, o un ristretto numero di nodi, è più potente degli altri nella validazione del blocco (evitando così di ricadere in una architettura centralizzata); iii) tutti i nodi della rete sono allineati e d’accordo su un’unica versione della Blockchain. Ne consegue che la sicurezza della Blockchian è proporzionale alla sua decentralizzazione e al numero dei nodi partecipanti alla rete.
Modello della Self Sovereign Identity
I pilastri che sono alla base di un modello SSI sono: i) i “Decentralized Identifiers” (DID); ii) “Verifiable Claim” (VC); iii) i “DID Document”. Inoltre, per completezza aggiungerei anche il “DID method”.
Decentralized Identifiers
Un DID è un identificatore univoco di una risorsa (ad esempio, persona, oggetto, pagina Web) che ha la caratteristica di essere: i) permanente (in quanto una volta emesso non è modificabile); ii) verificabile (attraverso la doppia chiave crittografica, ovvero chiave pubblica e chiave privata: in particolare, il possessore della chiave privata può dimostrare di essere il controllore del DID); iii) afferente ad un sistema decentralizzato (Blockchain). Il DID è unico e consente il collegamento ad un DID Document (e per risolvere a quale blockchain o a quale registro distribuito è presente il DID Document è di supporto il “DID method”). Gli utenti hanno il controllo completo sui propri identificatori e su come vengono utilizzati. Un aspetto importante è che i DID costituiscono già uno standard in quanto recepiti in ambito World Wide Web Consortium (W3C è una organizzazione non governativa internazionale con l’obiettivo di definire standard aperti per promuovere l’accessibilità e la compatibilità delle tecnologie in rete).
Verifiable Claims
Prima di definire dei VC, occorre parlare inizialmente di un “Claim” che è una affermazione fatta da una entità emittente che caratterizza ed è associata ad un soggetto. Ad esempio, un Claim può essere “Paperino possiede una patente di guida” e le informazioni in esso contenute possono essere nome, cognome, data di rilascio della patente, la sua data scadenza, ente che ha rilasciato la patente ed altre informazioni inerenti. Una entità emittente può emettere uno o più Claim riguardanti il soggetto. Queste affermazioni (“Claim”) una volta che sono firmate digitalmente dall’emittente per garantirne l’autenticità, diventano una Verifiable Credential. L’ente verificatore (“Receiver” o “Verifier”) per appurare le informazioni contenute nella VC, al fine di autenticare e autorizzare il soggetto ad utilizzare specifici servizi e/o risorse, può utilizzare le informazioni crittografate in essa associate. Una volta verificata l’autenticità delle credenziali, il verificatore comunica i risultati all’applicazione o al sito web del SP che ha richiesto l’autenticazione (“Relying Party”) che poi ne autorizza l’uso in funzione delle informazioni ricevute dal Receiver.
DID Document
Affinché nella SSI i diversi attori possono interagire in modo sicuro, in un contesto di informazioni distribuite, questi necessitano di un ulteriore elemento che è il “DID Document”. Il DID, come già detto, è un identificatore unico che consente il recupero (indicato come “resolve”) di un “DID Document” nel quale sono presenti informazioni sull’entità identificata. All’interno di un strutturato “DID Document” troviamo: i) le chiavi crittografiche (ovvero le chiavi pubbliche che possono verificare le firme digitali e crittografare le comunicazioni); ii) gli Endpoint dei siti interessati da un servizio specifico (ovvero come raggiungere, tramite la URI, i servizi associati alla DID); iii) gli eventuali ulteriori Metadati che possono contenere informazioni aggiuntive che caratterizzano maggiormente un DID (come le relazioni, i contatti ed eventualmente aggiungere, ad esempio, altre entità che fungono da controller e che potrebbero avere la facoltà di poter aggiornare o cancellare il documento stesso).
Anche nel caso nella adozione della soluzione tecnologica SSI, oltre ad evidenziare aspetti positivi che la caratterizzano rispetto alle soluzioni centralizzate dell’Identità Digitale, abbiamo delle problematiche di attenzione connesse al suo utilizzo. In particolare:
a) la soluzione tecnologica per la sua applicazione è sicuramente più “complessa” di una soluzione centralizzata;
b) la “conoscenza tecnologica” e gli “skill” per la sua implementazione è ancora in evoluzione e non ha raggiunto un livello sufficientemente maturo per una sua rapida diffusione;
c) gli utenti, spesso con scarse conoscenze delle basi sulla sicurezza, sono responsabili della gestione e della sicurezza delle proprie “chiavi private” per la crittografia delle informazioni;
d) i diversi modelli di sistemi decentralizzati possono essere caratterizzati da modelli di governance che a causa di una normativa non ancora completa pone dei problemi nella loro gestione e responsabilità.
Conclusioni
Abbiamo visto quanto sia stato importante nel corso negli anni garantire la conoscenza di colui che dichiara di essere. Oggi il mondo è fortemente interconnesso e riuscire a dimostrare la propria identità per usufruire servizi come effettuare operazioni commerciali, bancarie, firmare documenti, controllare e condividere informazioni personali (Privacy) e accedere ai servizi governativi (es., ministeri, anagrafe, pubblici uffici) è di assoluta necessita. Abbiamo anche visto l’evoluzione tecnologica che partendo dalla “semplice” password, per poi passare attraverso SSO e la FIM, siamo giunti alla SSI. Con quanto appena scritto non vuol dire che in senso assoluto la SSI risolve tutti i problemi, le soluzioni SSO e FIM restano tutt’ora fortemente valide. il processo decisionale che occorre adottare per individuare la soluzione tecnologica più performante e sicura deve necessariamente coinvolgere un processo strutturato, come il Risk Assessment, che a partire dagli obiettivi formalmente identificati giunga alla gestione dei rischi individuati.
Tale processo deve essere attuato e presidiato nel tempo attraverso una visione olistica che individui e valuti periodicamente, o in situazioni straordinarie in corrispondenza di eventi significativi (es., modifiche architetturali, nuovi vettori di attacco), i rischi e le relative misure da adottare, o già presenti, affinché riducano i rischi stessi ad un valore obiettivo (“Risk appetite”). Un aspetto, come già indicato, da tenere presente e sottolineare, che sicuramente rientra tra le azioni da mettere in campo sulla sicurezza e da tenere in conto nel Risk Assessment, è il cosiddetto fattore umano, in quanto foriero di eventi catastrofici spesso non voluti. Infatti, seppur utilizzando le migliori tecnologie, le relative migliori prassi di controllo e di governance, un utente (o dipendente, se parliamo di aziende) può cadere nella rete di un attore malevolo, o strutture organizzate come gli hacktivist, che con un non adeguato comportamento potrebbe compromettere le migliori difese e i controlli posti a protezione del sistema, della piattaforma o dei servizi.
Una considerazioni finale: l’attenzione da porre nell’Identità Digitale nel tempo, in termini tecnologici, normativi e di sua gestione, deve essere necessariamente continua. Le stesse soluzioni tecnologiche che si potranno individuare, sicuramente consolideranno quelle già presenti (SSO e FIM), potranno evolversi nel tempo (SSI) e determineranno possibili ulteriori nuove soluzioni anche in considerazione di due aspetti ad oggi fortemente innovativi e già presenti come l’Intelligenza Artificiale (AI) e il Quantum Computing. Infatti, l’IA ha un livello di pervasività ormai consolidato, e le nuove tecnologie emergenti come il Quantum Computing porteranno innovazioni tecnologiche che pervaderanno e influenzeranno la vita futura di noi tutti, compresa l’Identità Digitale.
Per finire, il futuro per le nostre Identità Digitali sono in pericolo o dobbiamo essere preoccupati con l’evolvere delle nuove tecnologie? No, non dobbiamo essere preoccupati per il futuro delle nostre Identità̀ Digitali, ma dobbiamo essere consapevoli e preparati a gestire le nuove opportunità̀ e le sfide che si presenteranno. Questo garantirà̀ una maggiore sicurezza e facilità d’uso dell’Identità Digitale nella nostra vita quotidiana.
There are all kinds of expensive beauty treatments on the market — various creams, zappy lasers, and fine mists of heavily-refined chemicals. For [Ruth Amos], a $78,000 LED bed had caught her eye, and she wondered if she could recreate the same functionality on the cheap.
The concept behind [Ruth]’s build is simple enough. Rather than buy a crazy-expensive off-the-shelf beauty product, she decided to just buy equivalent functional components: a bunch of cheap red LEDs. Then, all she had to do was build these into a facemask and loungewear set to get the same supposed skin improving benefits at much lower cost.
[Ruth] started her build with a welding mask, inside which she fitted red LED strips of the correct wavelength for beneficial skin effects. She then did the same with an over-sized tracksuit, lacing it with an array of LED strips to cover as much of the body as possible. While it’s unlikely she was able to achieve the same sort of total body coverage as a full-body red light bed, nor was it particularly comfortable—her design cost a lot less—on the order of $100 or so.
Una bug recentemente scoperto su Apache Tomcat è sfruttato attivamente a seguito del rilascio di una proof-of-concept (PoC) pubblica, 30 ore dopo la divulgazione ufficiale Si tratta del CVE-2025-24813 che riguarda le seguenti versioni:
Apache Tomcat 11.0.0-M1 a 11.0.2
Apache Tomcat 10.1.0-M1 a 10.1.34
Apache Tomcat 9.0.0-M1 a 9.0.98
Si tratta di una Remote Code Execution (RCE) abbinata ad una Information disclosure. Uno sfruttamento riuscito potrebbe consentire a un utente malintenzionato di visualizzare file sensibili per la sicurezza o di iniettare contenuti arbitrari in tali file mediante una richiesta PUT.
In un avviso pubblicato la scorsa settimana, i responsabili del progetto hanno affermato che la vulnerabilità è stata risolta nelle versioni 9.0.99, 10.1.35 e 11.0.3 di Tomcat. Ma, cosa preoccupante, secondo Wallarm, questa vulnerabilità sta già subendo tentativi di sfruttamento.
“Questo attacco sfrutta il meccanismo di persistenza della sessione predefinito di Tomcat insieme al suo supporto per le richieste PUT parziali”,ha affermato l’azienda. “L’exploit funziona in due fasi: l’aggressore carica un file di sessione Java serializzato tramite richiesta PUT. L’aggressore innesca la deserializzazione facendo riferimento all’ID di sessione dannoso in una richiesta GET.”
In altre parole, gli attacchi comportano l’invio di una richiesta PUT contenente un payload Java serializzato codificato in Base64 che viene scritto nella directory di archiviazione della sessione di Tomcat e che viene successivamente eseguito durante la deserializzazione inviando una richiesta GET con JSESSIONID che punta alla sessione dannosa.
Wallarm ha anche notato che la vulnerabilità è banale da sfruttare e non richiede alcuna autenticazione. L’unico prerequisito è che Tomcat utilizzi un archivio di sessione basato su file.“Sebbene questo exploit abusi dello storage di sessione, il problema più grande è la gestione parziale di PUT in Tomcat, che consente di caricare praticamente qualsiasi file ovunque”, ha aggiunto. “Gli aggressori inizieranno presto a cambiare le loro tattiche, caricando file JSP dannosi, modificando configurazioni e impiantando backdoor al di fuori dello storage di sessione”.
Si consiglia agli utenti che utilizzano versioni interessate di Tomcat di aggiornare le proprie istanze il prima possibile per mitigare potenziali minacce.
Antonio Marano
in reply to Nicola Pizzamiglio • • •Nicola Pizzamiglio likes this.
Arte e Cultura reshared this.
Nicola Pizzamiglio
in reply to Antonio Marano • •Arte e Cultura reshared this.