freezonemagazine.com/articoli/…
Le donne non esistono. Le donne sopravvivono a malapena. Sono versi di Nadia Anjuman, poetessa afghana nata il 27 dicembre 1980 e morta, assassinata. il 4 novembre 2005, poco dopo essere diventata madre di una bambina di sei mesi. Nadia è nata ad Herat, la città dei poeti, ma anche la città con il più […]
L'articolo Nadia Anjuman proviene da FREE ZONE MAGAZINE.
Le donne non esistono. Le donne sopravvivono a malapena. Sono
Emergenza Ivanti: scoperta vulnerabilità critica sfruttata da APT collegati con la Cina
E’ stata pubblicata da Ivanti una vulnerabilità critica, che interessa i suoi prodotti Connect Secure, Pulse Connect Secure, Ivanti Policy Secure e ZTA Gateway monitorata con il codice CVE-2025-22457.
Questo bug di sicurezza è un buffer overflow al quale è stato assegnato un punteggio pari a 9,0 in scala CVSS, ed sfruttato attivamente da metà marzo 2025. Tale bug crea significativi rischi per le organizzazioni che utilizzano queste soluzioni VPN e di accesso alla rete.
Dopo la divulgazione di IVANTI del 3 aprile 2025, Mandiant segnala lo sfruttamento da parte di UNC5221, un presunto gruppo sponsorizzato dallo stato cinese, da metà marzo. UNC5221, noto per aver preso di mira dispositivi edge, ha già sfruttato in precedenza zero-day di Ivanti come CVE-2023-46805.
La vulnerabilità è stata risolta nella versione 22.7R2.6 di Ivanti Connect Secure l’11 febbraio 2025, ed era inizialmente considerata un problema di negazione del servizio a basso rischio a causa del suo set di caratteri limitato (punti e numeri). Anche lo CSIRT dell’Agenzia per la Cybersicurezza Nazionale (ACN) ha emesso un avviso riportando la gravità del bug di sicurezza.
Il difetto deriva da una convalida errata degli input, che consente agli aggressori di eseguire codice arbitrario. I prodotti di IVANTI affetti da questo bug sono i seguenti:
- Ivanti Connect Secure : versioni 22.7R2.5 e precedenti.
- Pulse Connect Secure : versioni 9.1R18.9 e precedenti (fine del supporto a partire dal 31 dicembre 2024).
- Ivanti Policy Secure : versioni 22.7R1.3 e precedenti.
- Gateway ZTA : versioni 22.8R2 e precedenti.
Gli aggressori usano CVE-2025-22457 per distribuire malware come Trailblaze (un dropper in memoria), Brushfire (una backdoor passiva) e la suite Spawn per il furto di credenziali e il movimento laterale. Dopo lo sfruttamento, manomettono i log usando strumenti come SPAWNSLOTH per eludere il rilevamento.
Tuttavia, è probabile che UNC5221 abbia eseguito il reverse engineering della patch, sviluppando un exploit RCE per sistemi non patchati, aumentandone così la gravità.
Ivanti consiglia di monitorare l’Integrity Checker Tool (ICT) per rilevare eventuali segnali di compromissione, come crash del server web. Se rilevati, si consiglia un ripristino delle impostazioni di fabbrica e un aggiornamento alla versione 22.7R2.6. Il blog di Mandiant fornisce ulteriori indicatori di compromissione. Un post su X di
Questo incidente segna la quindicesima apparizione di Ivanti nel catalogo KEV delle vulnerabilità note sfruttate di CISA dal 2024, segnalando sfide sistemiche alla sicurezza dei suoi dispositivi edge.
Il coinvolgimento di UNC5221 sottolinea la posta in gioco geopolitica, poiché gli attori legati alla Cina prendono sempre più di mira le infrastrutture per lo spionaggio. La divulgazione ritardata nonostante la patch di febbraio rivela lacune nella gestione delle vulnerabilità.
L'articolo Emergenza Ivanti: scoperta vulnerabilità critica sfruttata da APT collegati con la Cina proviene da il blog della sicurezza informatica.
CVE-2025-30065: la Vulnerabilità Critica RCE di Apache Parquet che Minaccia l’Ecosistema Big Data
Di vulnerabilità con CVSS di gravità 10 se ne vedono pochissime (per fortuna), ma questa volta siamo di fronte ad una gravissima falla di sicurezza che minaccia Apache Parquet.
Si tratta di una vulnerabilità a massima gravità (CVSS v4 10.0) in Apache Parquet classificata come CVE-2025-30065, la quale minaccia seriamente la sicurezza degli ambienti big data, consentendo l’esecuzione di codice da remoto (RCE) su sistemi vulnerabili.
Apache Parquet è un formato di archiviazione dati orientato alle colonne gratuito e open source nell’ecosistema Apache Hadoop. È simile a RCFile e ORC, gli altri formati di file di archiviazione a colonne in Hadoop , ed è compatibile con la maggior parte dei framework di elaborazione dati attorno a Hadoop. Fornisce schemi di compressione e codifica dati efficienti con prestazioni migliorate per gestire dati complessi in blocco.
Cos’è successo
Il problema riguarda tutte le versioni di Apache Parquet fino alla 1.15.0 inclusa. Un malintenzionato può creare un file Parquet appositamente manipolato e, se questo viene importato in un sistema vulnerabile, ottiene la possibilità di:
- Prendere il controllo del sistema target
- Esfiltrare o modificare dati sensibili
- Interrompere servizi
- Distribuire payload malevoli come ransomware
La vulnerabilità è stata scoperta da Keyi Li, ricercatore di Amazon, e divulgata responsabilmente il 1° aprile 2025. Il problema è stato risolto con il rilascio della versione Apache Parquet 1.15.1, che tutti gli utenti sono fortemente invitati ad installare immediatamente.
Perché è una minaccia seria
Parquet è uno standard de facto nel mondo della data engineering e analytics. È utilizzato da colossi come Netflix, Uber, Airbnb e LinkedIn, oltre che in ambienti Hadoop, AWS, Google Cloud, Azure, data lakes, pipeline ETL e sistemi di intelligenza artificiale.
Il formato columnar consente una gestione efficiente di grandi volumi di dati, ma proprio per la sua diffusione, una vulnerabilità in Parquet rappresenta una superficie d’attacco critica per l’intera filiera del dato.
“Schema parsing in the parquet-avro module of Apache Parquet 1.15.0 and previous versions allows bad actors to execute arbitrary code”, si legge nel bollettino di sicurezza pubblicato su Openwall.
Condizioni di sfruttamento
Fortunatamente, l’exploit richiede un’interazione utente: l’importazione di un file Parquet malevolo. Tuttavia, in ambienti dove i file vengono ricevuti da terze parti o fonti esterne (ad esempio in pipeline automatizzate), il rischio diventa molto più concreto.
Secondo Endor Labs, la vulnerabilità potrebbe risalire alla versione 1.8.0 di Parquet, rendendo necessaria una verifica approfondita degli stack in produzione per valutare l’esposizione.
Cosa fare subito
- Aggiornare Apache Parquet alla versione 1.15.1 il prima possibile.
- Bloccare l’importazione di file Parquet da fonti non attendibili fino a che l’ambiente non è stato messo in sicurezza.
- Applicare controlli di validazione sui file Parquet prima del processamento.
- Monitorare e loggare tutte le attività sui sistemi che trattano file Parquet.
- Verificare con fornitori e sviluppatori se i propri strumenti o servizi fanno uso di versioni vulnerabili di Parquet.
Conclusione
Anche se non sono ancora stati rilevati exploit attivi, la combinazione di gravità tecnica (CVSS 10.0) e ampia adozione della tecnologia rende CVE-2025-30065 una delle vulnerabilità più critiche del 2025 per l’ambito big data.
L'articolo CVE-2025-30065: la Vulnerabilità Critica RCE di Apache Parquet che Minaccia l’Ecosistema Big Data proviene da il blog della sicurezza informatica.
Dal codice alla scalabilità: il viaggio di un’applicazione con Docker e Kubernetes
Negli ultimi anni, il mondo dello sviluppo software ha vissuto una trasformazione radicale, passando dall’esecuzione tradizionale delle applicazioni su server fisici a soluzioni più flessibili e scalabili. Un esempio chiaro di questa evoluzione è il percorso che un’applicazione compie dalla fase di sviluppo fino alla gestione automatizzata con Kubernetes.
Ma prima di andare avanti è meglio dare almeno le definizioni di container e orchestrator, concetti che troveremo più avanti:
- Cos’è un container? Un container è un ambiente isolato che contiene tutto il necessario per eseguire un’applicazione: codice, librerie e dipendenze. Grazie ai container, le applicazioni possono funzionare in qualsiasi sistema senza problemi di compatibilità.
- Cos’è un orchestrator? Un orchestrator, come Kubernetes, è uno strumento che gestisce automaticamente il deployment, il bilanciamento del carico, la scalabilità e il ripristino dei container, garantendo che l’applicazione sia sempre disponibile e performante.
Un po’ di storia: dalle origini dei container a Kubernetes
L’idea di eseguire applicazioni in ambienti isolati risale agli anni ’60 con il concetto di virtualizzazione, ma è negli anni 2000 che i container iniziano a prendere forma. Nel 2000, FreeBSD introduce i “Jails“, un primo tentativo di creare ambienti isolati all’interno di un sistema operativo. Nel 2007, Google sviluppa e introduce il concetto di Process Container, poi cgroups (Control Groups), una tecnologia che permette di limitare e isolare l’uso delle risorse da parte dei processi, e lo integra in Linux.
Nel 2013, Docker Inc. (all’epoca dotCloud) rivoluziona il settore introducendo Docker, una piattaforma open-source che semplifica la creazione, distribuzione ed esecuzione dei container. Grazie alla sua facilità d’uso, Docker diventa rapidamente lo standard de facto per il deployment delle applicazioni. La nascita di Docker ha rivoluzionato non solo la portabilità dei container, ma anche la standardizzazione di questi facendo passi da gigante nell’automatizzare e semplificare il processo di creazione e distribuzione dei container.
Con la crescente diffusione dei container, emerge la necessità di un sistema per gestirli su larga scala. Nel 2014, Google rilascia Kubernetes, un progetto open-source basato su Borg, un orchestratore interno utilizzato per anni nei data center di Google. Kubernetes diventa rapidamente il leader indiscusso nell’orchestrazione dei container, grazie al supporto della Cloud Native Computing Foundation (CNCF).
Il punto di partenza – sviluppo locale
Per cercare di capire cosa sia Kubernetes e qual’è la sua utilità è utile provare a ripercorrere lo sviluppo di una applicazione nel tempo.
Immaginiamo di dover sviluppare una piccola applicazione web, magari con Python e Flask. Il primo passo naturale è scrivere il codice e testarlo sulla propria macchina, installando le librerie necessarie e configurando l’ambiente per farlo funzionare. Finché l’applicazione è utilizzata solo dallo sviluppatore, questo approccio può andare bene.
Tuttavia, emergono rapidamente i primi problemi: cosa succede se dobbiamo eseguire la stessa applicazione su un altro computer? O se dobbiamo distribuirla a più sviluppatori senza conflitti tra librerie diverse? Qui entra in gioco la necessità di un sistema più standardizzato, che permetta anche di automatizzare alcune operazioni.
L’isolamento con Docker
Docker risolve questi problemi fornendo un ambiente isolato in cui l’applicazione può essere eseguita senza dipendere dalla configurazione del sistema operativo sottostante. Creando un’immagine Docker, è possibile impacchettare tutto il necessario (codice, dipendenze, configurazioni) in un unico file eseguibile, che può essere eseguito su diverse macchine. In questo modo, l’applicazione diventa più portatile: può essere avviata con un semplice comando e funzionerà in modo consistente su macchine con configurazioni simili, sia in locale che su server remoti.
Coordinare più servizi con Docker Compose
Molte applicazioni non sono autonome e richiedono l’interazione con altri servizi per funzionare correttamente. Ad esempio, un’applicazione web potrebbe dipendere da un database come PostgreSQL. In questi casi, gestire i singoli container separatamente può diventare complicato. Docker Compose semplifica questo processo, permettendo di definire e avviare più container contemporaneamente con un solo comando, gestendo facilmente le dipendenze tra i vari servizi.
Questo approccio semplifica la gestione di applicazioni composte da più servizi, rendendo lo sviluppo più fluido.
Ma cosa succede quando vogliamo eseguire la nostra applicazione non su un solo server, ma su più macchine, magari per gestire un traffico maggiore?
La scalabilità con Kubernetes
Dopo aver gestito l’ambiente di sviluppo e aver creato il container con Docker, il passo successivo è affrontare la gestione su larga scala, ed è qui che Kubernetes entra in gioco.
Se l’applicazione deve gestire un numero crescente di utenti, un singolo server non basta più , occorre passare a Kubernetes, un sistema di orchestrazione che automatizza la gestione dei container su più macchine.
Con Kubernetes, possiamo:
- Distribuire l’app su più server per garantire disponibilità continua.
- Scalare automaticamente il numero di container in base al carico di lavoro.
- Riavviare automaticamente i container che si bloccano o falliscono.
- Bilanciare il traffico tra le varie istanze dell’applicazione.
Questa flessibilità permette di affrontare qualsiasi esigenza di crescita, senza dover gestire manualmente ogni singolo container.
L’altra faccia della medaglia
Se da un lato Docker e Kubernetes hanno portato grandi vantaggi in termini di flessibilità, scalabilità e gestione delle applicazioni, dall’altro hanno anche ampliato la superficie di attacco e le potenzialità di vulnerabilità. Con l’introduzione di container, orchestratori e infrastrutture distribuite, si sono creati nuovi punti di accesso per attacchi informatici.
Ogni componente aggiunto all’infrastruttura (dal container stesso, ai vari microservizi, fino ai nodi gestiti da Kubernetes) introduce nuove potenziali vulnerabilità. Inoltre, la gestione di più container e il coordinamento tra di essi richiedono la gestione di credenziali, configurazioni di rete e comunicazioni che, se non protette adeguatamente, possono diventare veicoli per attacchi.
Il rischio aumenta ulteriormente con l’adozione di configurazioni errate, la gestione di dati sensibili non adeguatamente criptati e la possibilità di errori di programmazione nei microservizi che, se sfruttati, possono compromettere l’intero sistema. In un ambiente distribuito, un attacco a uno dei singoli componenti può avere ripercussioni su tutta l’infrastruttura, con effetti devastanti.
Conclusione: innovazione e sicurezza vanno di pari passo
L’evoluzione tecnologica portata da Docker, Kubernetes e le architetture distribuite, ha trasformato radicalmente il modo in cui sviluppiamo, distribuiamo e gestiamo le applicazioni. Grazie a queste tecnologie, le organizzazioni possono rispondere in modo più agile alle esigenze di mercato, ottimizzare le risorse e garantire scalabilità continua. Tuttavia, come con ogni innovazione, l’introduzione di queste soluzioni ha anche ampliato la superficie di attacco, portando con sé nuove sfide in termini di sicurezza.
Per sfruttare appieno i vantaggi di queste tecnologie senza incorrere nei rischi associati, è fondamentale che le aziende adottino un approccio di sviluppo sicuro sin dalle prime fasi del ciclo di vita del software. Ciò significa integrare pratiche di sicurezza in ogni fase del processo di sviluppo, dalla scrittura del codice alla gestione dei container e delle configurazioni, passando per la protezione dei dati e delle comunicazioni. La sicurezza non deve più essere vista come un elemento separato, ma come una componente fondamentale e proattiva da incorporare fin dall’inizio nei processi di produzione.
In definitiva, l’automazione e la scalabilità rappresentano il futuro della gestione applicativa, ma solo con una solida base di sviluppo sicuro e una gestione olistica della sicurezza queste innovazioni potranno essere pienamente sfruttate, assicurando al contempo che i benefici della trasformazione digitale non si traducano in vulnerabilità sistemiche.
L'articolo Dal codice alla scalabilità: il viaggio di un’applicazione con Docker e Kubernetes proviene da il blog della sicurezza informatica.
Lockdown Remote Control Project is Free and Open
If you flew or drove anything remote controlled until the last few years, chances are very good that you’d be using some faceless corporation’s equipment and radio protocols. But recently, open-source options have taken over the market, at least among the enthusiast core who are into squeezing every last bit of performance out of their gear. So why not take it one step further and roll your own complete system?
Apparently, that’s what [Malcolm Messiter] was thinking when, during the COVID lockdowns, he started his own RC project that he’s calling LockDownRadioControl. The result covers the entire stack, from the protocol to the transmitter and receiver hardware, even to the software that runs it all. The 3D-printed remote sports a Teensy 4.1 and off-the-shelf radio modules on the inside, and premium FrSky hardware on the outside. He’s even got an extensive folder of sound effects that the controller can play to alert you. It’s very complete. Heck, the transmitter even has a game of Pong implemented so that you can keep yourself amused when it’s too rainy to go flying.
Of course, as we alluded to in the beginning, there is a healthy commercial infrastructure and community around other open-source RC projects, namely ExpressLRS and OpenTX, and you can buy gear that runs those software straight out of the box, but it never hurts to have alternatives. And nothing is easier to customize and start hacking on than something you built yourself, so maybe [Malcolm]’s full-stack RC solution is right for you? Either way, it’s certainly impressive for a lockdown project, and evidence of time well spent.
Thanks [Malcolm] for sending that one in!
CDN friendica likes this.
Gazzetta del Cadavere reshared this.
The Transputer in your Browser
We remember when the transputer first appeared. Everyone “knew” that it was going to take over everything. Of course, it didn’t. But [Oscar Toledo G.] gives us a taste of what life could have been like with a JavaScript emulator for the transputer, you can try in your browser.
If you don’t recall, the transputer was a groundbreaking CPU architecture made for parallel processing. Instead of giant, powerful CPUs, the transputer had many simple CPUs and a way to chain them all together. Sounds great, but didn’t quite make it. However, you can see the transputer’s influence on CPUs even today.
Made to work with occam, the transputer was built from the ground up for concurrent programming. Context switching was cheap, along with simple message passing and hardware scheduling.
The ersatz computer has a lot of messages in Spanish, but you can probably muddle through if you don’t hablar español. We did get the ray tracing example to work, but it was fairly slow.
Want to know more about the CPU? We got you. Of course, these days, you can emulate a transputer with nearly anything and probably outperform the original. What we really want to see is a GPU emulation.
First PCB with the Smallest MCU?
[Morten] works very fast. He has already designed, fabbed, populated, and tested a breakout board for the new tiniest microcontroller on the market, and he’s even made a video about it, embedded below.
You might have heard about this new TI ARM Cortex MO micro on these very pages, where we asked you what you’d do with this grain-of-rice-sized chunk of thinking sand. (The number one answer was “sneeze and lose it in the carpet”.)
From the video, it looks like [Morten] would design a breakout board using Kicad 8, populate it, get it blinking, and then use its I2C lines to make a simple digital thermometer demo. In the video, he shows how he worked with the part, from making a custom footprint to spending quite a while nudging it into place before soldering it carefully down.
But he nailed it on the first try, and honestly it doesn’t look nearly as intimidating as we’d feared, mostly because of the two-row layout of the balls. It actually looks easy enough to fan out. Because you can’t inspect the soldering work underneath the chip, he broke out all of the lines to a header to make it quick to check for shorts between those tiny little balls. Smart.
We love to see people trying out the newest hotness. Let us know down in the comments what new parts you’re trying out.
Thanks [Clint] for the tip!
youtube.com/embed/XSAPGh9um_k?…
arti likes this.
reshared this
Stefano Galieni
C’è un’idea, che cerca di tradursi in vero e proprio impianto ideologico fondativo, che sta attraversando tutta l’Europa e che si esprime ai massimi livelli in paesi culturalmente e politicamente oggi fragili come l’Italia. Ai valori della destra dichiarata, che si richiamano ad un nazionalismo esasperato, ad un culto della “patria bianca e cattolica”, fa da contraltare il pensiero rabberciato di un sedicente mondo progressista e democratico che ha trovato un suo apogeo nella Piazza del Popolo del 15 marzo scorso, che poneva al centro del proprio esistere l’idea di Europa. Ma quale Europa? Non certo quella di Ventotene e nemmeno quella che, negli anni della decolonizzazione, della scoperta di una produzione culturale e politica diffusa e plurale, si apriva al mondo e si interrogava. L’Europa della guerra si fa “nazione” e ribadisce in maniera ignorante, arrogante e suprematista, la propria centralità presente, passata e futura. Poco importa se nel presente l’UE è frammentata e divisa e se nel futuro è destinata ad essere un continente vecchio, probabilmente in via di estinzione, l’importante è affermare che tutto quanto c’è di migliore sul pianeta sia considerato merito e quindi ad esclusivo appannaggio di questa misera porzione di mondo. Inutile analizzare le contraddizioni dei personaggi che si sono alternati sul palco della piazza romana, addobbata di bandiere UE, (perché Unione ed Europa sono considerati sinonimi anche nei confini), questo è quanto la cultura mainstream e di mercato impone oggi come unica, conformista, proposta e i protagonisti non meritano neanche di essere citati. Ma una riflessione è urgente e necessaria, da sinistra, per affrontare il nodo non risolto di una battaglia delle idee che in tali ambiti non ha né spazio né diritto di cittadinanza. E si prova a partire da una concezione rattrappita della storia, imbottita di eurocentrismo in salsa bellica, secondo cui arte, cultura, sono esclusivo patrimonio “nostro”, il resto del mondo non avrebbe, in base a tale concezione, prodotto mai nulla di rilevante. Un principio sconcertante che fa tabula rasa di civiltà millenarie, con cui abbiamo relazioni di ogni tipo ma che si prova a considerare da questo punto di vista subalterne e soprattutto incompatibili. Si prova a dimenticare il fatto che le prime tracce di scrittura giungono dal mondo sumero. E ovviamente si rimuove il fatto che il primo testo scritto di cui si ha notizia risalga al 2880 AC ad opera di Ptahhotep, visir di un faraone della V dinastia. Le cifre con cui facciamo oggi di conto, i metodi utilizzati per i complessi calcoli che regolano la nostra vita, sono arabe al punto che lo stesso termine “algebra” (unione o completamento), utilizzato dal matematico persiano Muḥammad ibn Mūsā al-Khwārizmī, risalgono a circa 1300 anni fa. I suoi studi affondano le radici nella storia millenaria dell’Antico Egitto e delle civiltà mesopotamiche, ma questo sembra, è il caso di dirlo, non contare nulla.
Un razzismo di fondo che ha radici nella storia europea, ma che sembrava essere stato affrontato nei decenni passati, almeno da una parte del mondo culturale e artistico più aperto, sembra essere stato rimosso con un colpo di spugna. Si cerca di re-imporre, sempre secondo una logica di dominio, l’idea che il pianeta non sia mai stato plurale, che i paesi esistenti fuori dai confini della nostra fortezza, non abbiano radici in civiltà millenarie, si pensi a Cina, Giappone, Subcontinente indiano, si cerchi almeno di conoscere quanto accaduto nell’America precolombiana o nel continente africano prima delle invasioni europee e tanto altro ancora. Invece prevale uno sguardo miope, ipocrita e patetico, utile unicamente a lasciare l’illusione che ancora oggi possa avere un futuro un continente che ha vissuto per secoli sulla depredazione e i genocidi. Recentemente è stato pubblicato per “Asino d’oro”, un gran bel libro di ricerca interdisciplinare sulle radici del razzismo, dal titolo “Esseri umani uguali”- Nel volume si alternano spunti di ricerca in merito alle diverse forme di razzismo italiano, partendo da approcci fra loro, solo apparentemente, distanti (medicina, filosofia, attualità politica) intervallati da interviste a personalità del mondo intellettuale che hanno subito o subiscono ancora, forme di discriminazione fondate sul colore della pelle. Il testo, molto puntuale e frutto dell’interconnessione fra diversi autori e autrici, a loro volta provenienti da esperienze diverse, tocca un punto, ad avviso di chi scrive, nodale, nel capitolo inerente alla filosofia. Ci si interroga sulla nascita del razzismo (si pensi alla definizione dei popoli “barbari, in cui peraltro rientravano buona parte di quelli europei) per giungere all’illuminismo di Voltaire fino ad incontrare padri del pensiero filosofico moderno come Hegel e Kant. La filosofia di quel periodo – e poco è cambiato nel secolo successivo – è coeva all’epoca delle esplorazioni, soprattutto in Africa, che immediatamente si traducevano in espansione coloniale, nella tratta degli schiavi, nell’accaparramento delle risorse. Gli imperi sorti su tali rapine si fondarono sulla presunzione che, nei filosofi citati già trova compiutezza, secondo cui le popolazioni con cui si veniva a contatto non avevano storia, non erano composte da veri e propri esseri umani, andavano civilizzati, costretti alla religione dominante (quella cristiana con le sue varianti), comunque appartenevano ad un’altra specie – si utilizzava la parola “razze “da considerare inferiori, al massimo adatte a lavori di fatica e su cui esercitare il comando dell’uomo bianco. Nelle elucubrazioni di chi non entrò poi mai fisicamente nel “Cuore di tenebra” di Conrad, si passò dalla costruzione del mito del “buon selvaggio” di Rousseau, non contaminato dal peccato originale, ad una demonizzazione di persone considerate prive di freni inibitori, pigri, indolenti, da educare, magari con la frusta, come eterni bambini. L’espansione coloniale permise di estendere tale concezione su gran parte del pianeta che venne considerato semplicemente non solo inferiore ma senza storia. Non bastarono le scoperte scientifiche, architettoniche, astronomiche, prodotte nell’America precolombiana né tantomeno l’incontro con realtà complesse in termini di cosmogonia e di visione del mondo come quelle dell’India eccetera.
Molto più tardi e anche grazie all’esplosione dei grandi movimenti di decolonizzazione, si dovette fare i conti con l’ampiezza straordinaria di chi aveva percorso strade simili a quelle europee, con qualche migliaio di anni di anticipo. E se il Ramayana, primo poema redatto in sanscrito di cui si rintraccia l’autore, Vālmīki, risale probabilmente al II secolo AC, gli scritti di Confucio, in Cina al 770 AC, quasi in contemporanea alla leggendaria nascita di Roma. Sono ignoti gli autori de Il libro dei morti, raccolta di formule elaborata intorno al 1550 AC. Questi esempi non vogliono servire a stabilire primazie, quanto a far digerire a coloro che celebrano l’Europa come alfa e omega di tutto, che la letteratura, come ogni altra forma di espressione umana, ha origini poligenetiche e si è sviluppata in base a contesti diversi. E così le forme di organizzazione politica, chi era in Piazza del Popolo ignora o ha dimenticato che l’Impero del Mali, nell’Africa Occidentale, ha origini nel nostro Medioevo XIII secolo, e raggiunse, prima dell’arrivo degli europei, una popolazione di quasi 50 milioni di persone. Ancor prima, nell’VIII secolo AC in quella che i romani denominavano poi Nubia, nacque un regno, D’mt, da cui trae origine l’attuale Etiopia. Questo mentre il “celeste impero” della Cina nasceva nel III secolo AC, tardi se confrontata con la Civiltà della valle dell’Indo, 3000 anni AC, in parallelo con il mondo mesopotamico e in piena età del bronzo. E perché ignorare gli olmechi che costituirono, nell’area mesoamericana, odierno Messico, una delle prime civiltà pre-colonizzazione, fra il 1400 e il 400 a.c.? Ancora va ripetuto, non si tratta di assegnare quanto di togliere primati ed abolire gerarchie atte a motivare ogni forma di oppressione e discriminazione. Se la piazza dell’Europa si forma sul principio di essere fondante del pianeta, dimostra un’arretratezza e uno spirito neocoloniale e profondamente razzista mai superato. E va notato come nelle performance in cui si sono esibiti i rappresentanti di questa “Europa Make Again”, siano spariti gli immensi romanzieri russi che è assurdo non ascrivere anche al patrimonio culturale collettivo. La logica di guerra e di costruzione del nemico porta addirittura a dimenticare coloro che fino a pochi anni fa erano importanti partner, passi per i paesi nordafricani che si affacciano sul Mediterraneo, abbandonati al loro destino e considerati estranei da almeno 60 anni, ma se anche Cechov, Dostoevskij e Tolstoj, devono sparire dall’orizzonte, tutto diviene più ridicolo. Come se durante la Seconda guerra mondiale tutte le potenze alleate avessero deciso, di comune accordo, di bandire Dante, Petrarca o Mann. Quello che da alcune voci di quella piazza, le più autocentrate, è messo da parte, attiene anche al non rendersi conto che già da decenni, ma ancor più oggi, il processo iniziato con la conquista – non scoperta – delle Americhe e a seguire con la spartizione del pianeta, è irrimediabilmente finito ed oggi l’UE, anche militarmente ed economicamente, è una forza fra le altre, in cui si concentrano ancora le ricchezze del mondo ma che non ha alcuna reale spinta propulsiva.
Ma, da ultimo, siamo convinti veramente che tale approccio costituisca una dimostrazione di inadeguatezza che attiene unicamente all’Europa guerrafondaia di destra o liberal progressista? Se mi si permette un punto di vista individuale, nutro seri dubbi. Anche nella nostra sinistra internazionalista e contraria alle guerre, permangono elementi, dovuti certamente anche alla scarsa conoscenza ed a una micidiale depoliticizzazione del Paese che avviene in contemporanea con una sua profonda mutazione in senso pluriculturale della società. Dietro ai tanti “nuovi visi” che incontriamo, spesso ci sono millenni di storia e formidabili esperienze politiche, artistiche, letterarie, musicali, frutto di cosmogonie composite di cui ignoriamo completamente l’esistenza. Da decenni è giunto il tempo, mai completamente affrontato, di una decolonizzazione della nostra cultura, della presa d’atto che questa costituisce una forma sociale aggregante ma non l’unica, che la sola soluzione è nel riconoscerne in maniera paritaria, evitando, ovviamente ogni relativismo, le altre esperienze in circolazione. Decolonizzare non è unicamente riconoscere i crimini commessi dai propri passati governanti quanto, soprattutto, guardare al presente e al futuro con occhi radicalmente diversi. Magari pronti a scorgere nell’intuizione politica, economica, artistica, ecologista, femminista, che arriva da diversi angoli del pianeta, una chiave per comprendere se stessi e per affrontare il futuro non in solitudine ma nella complessità, con l’intenzione di cambiare il mondo, non in nome di una “civiltà” ma in quello di un’alternativa prospettiva per tutte e tutti.
In nome dell’Europa, una supremazia mai esistita
Stefano Galieni C’è un’idea, che cerca di tradursi in vero e proprio impianto ideologico fondativo, che sta attraversando tutta l’Europa eRifondazione Comunista
Vintage Computer Festival East This Weekend
If you’re on the US East Coast, you should head on over to Wall, NJ and check out the Vintage Computer Festival East. After all, [Brian Kernighan] is going to be there. Yes, that [Brian Kernighan].
Events are actually well underway, and you’ve already missed the first few TRS-80 Color Computer programming workshops, but rest assured that they’re going on all weekend. If you’re from the other side of the retrocomputing fence, namely the C64 side, you’ve also got a lot to look forward to, because the theme this year is “The Sounds of Retro” which means that your favorite chiptune chips will be getting a workout.
[Tom Nardi] went to VCF East last year, so if you’re on the fence, just have a look at his writeup and you’ll probably hop in your car, or like us, wish you could. If when you do end up going, let us know how it was in the comments!
«Vi spiego perché la politica dei dazi rischia di portarci in una nuova guerra mondiale»
Il professor Fukuyama: è la decisione più idiota che abbia mai preso un presidente americano. Rischiamo la recessione e la depressioneAlba Romano (Open)
#Trump, il passato che non ritorna
Trump, il passato che non ritorna
Il ritorno radicale al protezionismo non solo è possibile, ma necessario per un impero innegabilmente in declino.www.altrenotizie.org
Oggi ho visto Interstellar per la terza volta.
Che film...
Buon Compleanno Errore 404, 35 anni e non sentirli. Viva gli errori e i posti mai trovati!
I fallimenti fanno parte della nostra vita, quanti di noi ne ha avuti e quanti ne continueremo avere?
Oggi parliamo di un codice, un codice semplice snello e schietto, il codice 404. Scopriremo che non è soltanto un banale errore che tutti quanti conosciamo. Ma che l’errore 404 nel tempo è divenuto molto di più di una pagina internet che ci descrive un posto dove non abbiamo trovato quello che ci aspettavamo.
E’ difficile crederci, ma l’errore più famoso nella storia di Internet compie oggi 35 anni. Nacque con i primi server web e in seguito divenne un meme, un codice culturale e, ironia della sorte, un motivo di festa. Ogni anno il 4 aprile, ovvero il 4.04, migliaia di persone in tutto il mondo ricordano pagine inesistenti come se fossero vecchi amici. Ed è vero: in un certo senso, è quello che sono diventati.
L’errore 404 si è evoluto da un semplice codice tecnico a simbolo di tutto ciò che è digitale, perduto e inaspettato. Questo è più di un messaggio del server. Questo fa già parte della nostra identità online.
Cosa significa 404 e da dove viene?
Tutto è iniziato con qualcosa di semplice: l’utente inserisce l’indirizzo della pagina, il server lo cerca, ma non lo trova. Di conseguenza, il browser riceve il codice 404 – Non trovato. Vale a dire “non trovato”. Nessuno scandalo, nessun intrigo, solo vuoto. Ma c’è un vuoto tale che ognuno di noi ha provato almeno una volta quando si è trovato di fronte a una pagina bianca e a un messaggio di errore noioso.
Questo errore è diventato parte dello standard HTTP all’inizio degli anni ’90, quando Internet sembrava un insieme di semplici documenti di testo. All’epoca nessuno avrebbe potuto immaginare che il numero breve 404 sarebbe diventato un’icona nella storia di internet. Perché non sta solo parlando di un problema tecnico, sta dicendo: “Sei nel posto sbagliato, ma continua a cercare”.
Perché il 4 aprile? Una coincidenza che è diventata tradizione
La scelta della data è quasi uno scherzo. Il 4 aprile, 04.04, somiglia all’errore 404, solo che è sul calendario. Ecco perché nelle comunità di Internet degli anni ’90 questa giornata ha iniziato a essere utilizzata come un’occasione simbolica per celebrare tutto ciò che è connesso a Internet, con i suoi bug, le sue perdite e lo strano fascino dell’inesistente.
A poco a poco questa data è diventata una specie di Internet Day, ma senza il pathos. Piuttosto, è una festa per coloro che sono su Internet fin dall’inizio, che ricordano i modem, le chat con persone anonime, lo scaricamento di immagini riga per riga.
Come l’errore è diventato parte della cultura digitale
Inizialmente, le pagine di errore 404 erano il più noiose possibile. Sfondo bianco, testo nero: niente immaginazione. Ma con l’avvento della creatività nel web design, le cose sono cambiate. Il numero 404 cominciò a essere decorato con umorismo, assurdità e talvolta anche filosofia.
Ora ci sono siti web che visualizzano un minigioco invece di un messaggio di errore. Oppure un cartone animato. Oppure l’immagine di un robot stanco che si scusa per un problema tecnico.
A volte il 404 si trasforma in un oggetto d’arte: i designer organizzano concorsi, per creare raccolte di pagine creative e persino allestire mostre di assurdità digitale. Ogni errore del genere è una piccola storia, in cui l’importante non è il risultato, ma la forma.
404 nella vita: un meme, una diagnosi e un modo per dire “sono perso”
L’errore 404 è ormai noto anche oltre i browser. È diventata una metafora universale. Le persone lo usano nelle conversazioni: “Ho il cervello in 404“, oppure, “Mi sento come se fossi su una pagina che non esiste“. Si tratta di un modo breve per indicare confusione, mancanza di risposta o semplicemente stanchezza dovuta al rumore di fondo delle informazioni.
Ciò che sorprende particolarmente è che in un’epoca in cui quasi tutto viene rilanciato, l’errore 404 è rimasto invariato. Non è stato tradotto in slang di moda né trasformato in un’abbreviazione. È la stessa di trentacinque anni fa: onesta, un po’ asciutta, ma molto precisa. Ed è questo il suo fascino.
Cosa festeggiamo il 4 aprile? Un po’ di ironia e tanto significato
Se ci pensate, il numero 404 riguarda i nostri infiniti tentativi di trovare qualcosa. E non sempre con successo. Cerchiamo informazioni, persone, idee, significati. Ma a volte finiamo nel posto sbagliato. E invece della pagina prevista, otteniamo un campo bianco con la scritta “non trovato”.
E questa sensazione è stranamente familiare. Ecco perché la festa in suo onore è percepita come un riconoscimento del fatto che anche i fallimenti fanno parte della vita. Che anche gli errori sono esperienza. E a volte anche l’estetica.
Alcuni festeggiano questa giornata a modo loro. Alcune persone creano la propria versione della pagina 404. Alcune persone ricordano vecchi siti preferiti che non esistono più. Alcune persone si concedono il lusso di perdersi un po’ una volta all’anno e non trovano nulla.
Il mondo cambia, ma il 404 resta
I siti web vanno e vengono, le tendenze del web design cambiano, i linguaggi di programmazione vengono aggiornati. Ma il codice 404 sopravvive. Perché è semplice. Lui è onesto.
E dice che a volte anche l’assenza è informazione.
Quindi, benvenuti nell’errore, che si è rivelato più preciso di molte altre istruzioni. E che quest’anno tu possa trovare tutto ciò che cerchi.
O almeno, quando vedrai un bel 404, ti ricorderai di questo articolo e sorriderai.
L'articolo Buon Compleanno Errore 404, 35 anni e non sentirli. Viva gli errori e i posti mai trovati! proviene da il blog della sicurezza informatica.
Supercon 2024: Quick High-Feature Boards With The Circuit Graver
These days, if you want to build something with modern chips and components, you probably want a custom PCB. It lets you build a neat and compact project that has a certain level of tidiness and robustness that you can’t get with a breadboard or protoboard. The only problem is that ordering PCBs takes time, and it’s easy to grow tired of shipping delays when you don’t live in the shadow of the Shenzhen board houses.
[Zach Fredin] doesn’t suffer this problem, himself. He’s whipping up high-feature PCBs at home with speed and efficiency that any maker would envy. At the 2024 Hackaday Supercon, he was kind enough to give a talk to explain the great engineering value provided by the Circuit Graver. (He was demoing it in the alley too, but you had to be there.)
youtube.com/embed/aGVqcYA3kkA?…
It’s always been possible to make PCBs at home. Many have experimented with irons and toner and etchant baths to varying levels of success. You can do great things if you invest in tools and upskilling, but fundamentally, it can be difficult to make good PCBs that do what you want. After all, there are a things that you might want out of your custom PCBs—fine traces a being prime among them. These can be challenging to do at home with traditional techniques.
[Zach’s] focus was on finding a way to make these “high feature” boards at home—specifically, referring to boards with an excellent minimum feature size. Right away, his talk shows off an example board, featuring an 0.5 mm-pitch DFN chip, paired with 0804 resistors and 0402 LEDs. [Zach] made this board in his apartment, using a machine of his own creation—the Circuit Graver.
You might be expecting some kind of laser-etching machine or a PCB mill, but the Circuit Graver is a little different. Instead of a high-speed spinning engraving head, it uses a pointy tool to scrape copper-clad boards to create the desired traces. [Zach] was inspired to go with this route due to the limitations he’d found during his experiences with traditional PCB milling machines. He found them be loud, messy, and slow, and limited in their resolution. He’d found it difficult to build designs with anything smaller than DIP or SOIC chips when relying on milled boards.
The Circuit Graver was spawned by a technique [Zach] developed years ago, when he started carving boards using a modified box cutter blade by hand, before realizing the same technique could benefit from the magic of Computer Numerical Control (CNC). Rather than move the tool yourself, why not have the computer do it more accurately?
The machine design itself is conventional, but packed with clever details, and built with eBay parts and 3D-printed components. [Zach] built a Cartesian motion platform to move the tool over a copper clad board, with X and Y axes for positioning and a Z axis to lift the tool when necessary and also control the downward pressure. There’s also a stepper motor for the tool, to keep the cutter lined up with the direction of the trace to be carved.
You could do this with a box-cutter blad, but that is not quite good enough for the resolution that [Zach] was hoping to achieve. To that end, he equipped the Circuit Graver with a carbide insert intended for use as lathe tooling. The tool has a 100 micron tip radius which can create a 0.2 mm trench in copper-clad board, right out of the box. That allows the creation of traces roughly around 8 mil or so. You can even sharpen the tooling and get it down to 0.1 mm or less, which is theoretically good enough for 4 mil spaces. That’s perfect for working with smaller feature size parts.
[Zach]’s talk provides a realistic assessment of the Circuit Graver’s real-world performance. Right now, it’s capable of carving 8/8 (0.2 mm) features on small boards quite well, while 6/6 (0.15 mm) features are “marginal.” The hope is to get down to 4/4 (0.1 mm) level with future upgrades. Speed is excellent, however—the Circuit Graver can carve good traces at 20-50 mm/s. For now, though, manual setup is still required—to ensure correct zeroing and that the tooling pressure is correct, for example.
It’s not something you’d use for production PCBs, per se—a real board house will always win for those sort of applications. However, for producing boards for quick prototyping, even with modern fine-featured components? It’s easy to see the value of the Circuit Graver. Imagine ordering some new parts and whipping up a unique project board just minutes or hours after you finish the design on your PC—it’s almost intoxicating to think about.
We actually featured the Circuit Graver on the blog last year—and there are design files on Hackaday.io for the curious. If you’re eager to start whipping up simple high-feature boards at home, it might be a build worth looking into!
Ministero dell'Istruzione
#NoiSiamoLeScuole, il video racconto di questa settimana è dedicato a due Nuove Scuole in Piemonte, in provincia di Cuneo, la Scuola primaria “Vittorio Caldo” di Dronero e l’Istituto d’Istruzione Superiore “Giuseppe Francesco Baruffi” di Mondovì, che…Telegram
Trump licenzia il direttore di NSA e Cyber Command: quali scenari futuri
@Informatica (Italy e non Italy 😁)
Il generale Tim Haugh, direttore della National Security Agency (NSA) e del Cyber Command statunitense, è stato improvvisamente sollevato dal suo incarico, suscitando preoccupazioni bipartisan e interrogativi sulle motivazioni dietro questa decisione, che potrebbe
Informatica (Italy e non Italy 😁) reshared this.
L’Italia valuta la creazione di una costellazione satellitare nazionale. L’annuncio di Urso
@Notizie dall'Italia e dal mondo
Una costellazione satellitare nazionale per rendere l’Italia indipendente sul fronte delle comunicazioni strategiche da e verso lo Spazio. Questa la prospettiva illustrata dal ministro delle Imprese e del Made in Italy, Adolfo Urso, a
Notizie dall'Italia e dal mondo reshared this.
Hackaday Podcast Episode 315: Conductive String Theory, Decloudified Music Players, and Wild Printing Tech
This week, Hackaday’s Elliot Williams and Kristina Panos met up across the (stupid, lousy) time zones to bring you the latest news, mystery sound, and of course, a big bunch of hacks from the previous week.
Again, no news is good news. On What’s That Sound, Kristina didn’t get close at all, but at least had a guess this time. If you think you can identify the sound amid all the talking, you could win a Hackaday Podcast t-shirt!
After that, it’s on to the hacks and such, beginning with a Dr. Jekyll and Mr. Hyde situation when it comes to a pair of formerly-cloud music players. We take a look at a crazy keyboard hack, some even crazier conductive string, and a perfectly cromulent list of 70 DIY synths on one wild webpage. Finally, we rethink body art with LEDs, and take a look at a couple of printing techniques that are a hundred years or so apart in their invention.
Check out the links below if you want to follow along, and as always, tell us what you think about this episode in the comments!
html5-player.libsyn.com/embed/…
Download in DRM-free MP3 and savor at your leisure.
Where to Follow Hackaday Podcast
Places to follow Hackaday podcasts:
Episode 315 Show Notes:
News:
- No news is good news!
What’s that Sound?
Interesting Hacks of the Week:
- Open Source Framework Aims To Keep Tidbyt Afloat
- Can Hackers Bring Jooki Back To Life?
- DIY Split Keyboard Made With A Saw
- 70 DIY Synths On One Webpage
- Programmer’s Macro Pad Bangs Out Whole Functions
- Supercon 2024: Rethinking Body Art With LEDs
- Make DIY Conductive, Biodegradable String Right In Your Kitchen
Quick Hacks:
- Elliot’s Picks:
- The Magic Touch: A 555 Touch Switch
- Handheld 18650 Analyzer Scopes Out Salvaged Cells
- The Lowly Wall Wart Laid Bare
- A Forgotten Photographic Process Characterised
- Pictures From A High Altitude Balloon
- Kristina’s Picks:
Can’t-Miss Articles:
hackaday.com/2025/04/04/hackad…
3D Print (and Play!) The Super Mario Tune as a Fidget Toy
[kida] has a highly innovative set of 3D-printable, musical fidget toys that play classic video game tunes. Of course there’s the classic Super Mario ditty, but there’s loads more. How they work is pretty nifty, and makes great use of a 3D printer’s strengths.
To play the device one uses a finger to drag a tab (or striker) across the top, and as it does so it twangs vertical tines one-by-one. Each tine emits a particular note — defined by how tall the thicker part is — and plays a short tune as a result. Each one plays a preprogrammed melody, with the tempo and timing up to the user. Listen to them in action in the videos embedded just under the page break!
Fidget toys are a niche all their own when it comes to 3D printed devices. The fidget knife has a satisfying snap action to it, and this printable linear toggle design is practically a fidget toy all on its own.
youtube.com/embed/BnbsPARrkss?…
youtube.com/embed/InFddXVHsRE?…
Oltre 90.000 siti WordPress vulnerabili: grave falla di sicurezza in Kubio
È stata individuata una grave vulnerabilità di sicurezza nel plugin Kubio AI Page Builder per WordPress, che rappresenta un rischio significativo per i siti web che utilizzano questo popolare strumento.
Kubio è un website builder WordPress noto per il suo approccio innovativo basato su blocchi, progettato per estendere la funzionalità dell’editor di blocchi. Fornisce agli utenti una gamma di nuovi blocchi e ampie opzioni di stile, consentendo la creazione di siti Web in modo rapido e semplice, senza richiedere conoscenze di programmazione. Il plugin vanta oltre 90.000 installazioni attive, evidenziando il suo uso diffuso all’interno della comunità WordPress.
La vulnerabilità, tracciata come CVE-2025-2294, è un difetto Local File Inclusion (LFI) presente nel plugin Kubio AI Page Builder. Questo difetto riguarda tutte le versioni del plugin fino alla 2.5.1 inclusa. Il ricercatore di sicurezza Mikemyers è stato ritenuto il responsabile della scoperta e della segnalazione di questa falla.
La vulnerabilità risiede nella funzione kubio_hybrid_theme_load_template. Lo sfruttamento di questa vulnerabilità LFI consente ad aggressori non autenticati di includere ed eseguire file arbitrari sul server. Questa capacità consente agli aggressori di eseguire qualsiasi codice PHP contenuto in tali file.
Le conseguenze di questa vulnerabilità sono gravi. Uno sfruttamento riuscito può portare a:
- Aggirare i controlli di accesso: gli aggressori possono aggirare le misure di sicurezza progettate per limitare l’accesso a determinati file e directory.
- Ottenere dati sensibili: gli aggressori possono accedere alle informazioni riservate memorizzate sul server.
- Esecuzione del codice: in scenari in cui gli aggressori possono caricare file apparentemente innocui, come immagini, possono quindi includerli ed eseguirli per eseguire codice PHP dannoso.
Alla vulnerabilità è stato assegnato un punteggio CVSS critico di 9,8, che ne sottolinea l’elevata gravità e il potenziale di danni estesi. La vulnerabilità è stata risolta nella versione patchata del plugin, versione 2.5.2. Si consiglia vivamente agli utenti del plugin Kubio AI Page Builder di aggiornarlo immediatamente alla versione 2.5.2 o successiva per proteggere i propri siti web da potenziali attacchi.
L'articolo Oltre 90.000 siti WordPress vulnerabili: grave falla di sicurezza in Kubio proviene da il blog della sicurezza informatica.
Corsi cyber security: le certificazioni per esperto di sicurezza informatica più ricercate dalle aziende
@Informatica (Italy e non Italy 😁)
Online c’è una vasta scelta di corsi di sicurezza cyber gratuiti o dal costo davvero esiguo. Ne abbiamo selezionato alcuni che rilasciano un certificato e che sono propedeutici al conseguimento di apposite certificazioni che consentono ai
like this
Informatica (Italy e non Italy 😁) reshared this.
This Week in Security: Target Coinbase, Leaking Call Records, and Microsoft Hotpatching
We know a bit more about the GitHub Actions supply chain attack from last month. Palo Alto’s Unit 42 has been leading the charge on untangling this attack, and they’ve just released an update to their coverage. The conclusion is that Coinbase was the initial target of the attack, with the open source agentkit package first (unsuccessfully) attacked. This attack chain started with pull_request_target in the spotbugs/sonar-findbugs repository.
The pull_request_target hook is exceptionally useful in dealing with pull requests for a GitHub repository. The workflow here is that the project defines a set of Continuous Integration (CI) tests in the repository, and when someone opens a new Pull Request (PR), those CI tests run automatically. Now there’s an obvious potential problem, and Github thought of it and fixed it a long time ago. The GitHub Actions are defined right in the repository, and letting any pull request run arbitrary actions is a recipe for disaster. So GitHub always uses actions as they are defined in the repository itself, ignoring any incoming changes in the PR. So pull_request_target is safe now, right? Yes, with some really big caveats.
The simplest security problem is that many projects have build scripts in the repository, and those are not considered part of GitHub Actions by GitHub. So include malicious code in such a build script, make it a PR that runs automatically, and you have access to internal elements like organization and repository secrets and access tokens. The most effective mitigation against this is to require approval before running workflows on incoming PRs.
So back to the story. The spotbugs/sonar-findbugs repository had this vulnerability, and an attacker used it to export secrets from a GitHub Actions run. One of those secrets happened to be a Personal Access Token (PAT) belonging to a spotbugs maintainer. That PAT was used to invite a throwaway account, [jurkaofavak], into the main spotbugs repository. Two minutes after being added, the [jurkaofavak] account created a new branch in spotbugs/spotbugs, and deleted it about a second later. This branch triggered yet another malicious CI run, now with arbitrary Github Actions access rather than just access through a build script. This run leaked yet another Personal Access Token, belonging to a maintainer that worked on both the spotbugs and reviewdog projects.
That token had access to create and edit tags in reviewdog/action-setup, a GitHub Action that runs as a dependency for multiple other actions. The attacker created a fork of this repository, added malicious code, and then overwrote the v1 git tag to point to this malicious code. The tj-actions/changed-files ran a CI flow that made use of the malicious reviewdog/action-setup fork, leaking a GitHub token with write permission to tj-actions/changed-files.
The tag override trick does a lot of heavy lifting in this story, and that’s what was used on tj-actions/changed-files too. Another malicious fork, and a specific tag was overridden to point there. The tag chosen was one used in a Coinbase repository. Specifically coinbase/agentkit used the newly malicious tag in one of its workflows. A Coinbase maintainer discovered this, and deleted the targeted workflow, putting an end to the Coinbase-specific attack. At this point, the attacker opted to burn the pilfered access, and pushed malicious code to every tj-actions/changed-files tag. The idea apparently being that there would likely be some interesting secrets that were leaked. It’s also possible this was intended to hide Coinbase as the primary target. Regardless, that’s the widespread attack we’ve already covered, and now you know the rest of the story.
ZendTo: No CVE, No Problem?
ZendTo is a nifty Open Source, web-based file sharing platform. It’s been around for a while, and the release notes from a 2021 release makes reference to a “security fix” with no additional details given. That caught the attention of [Jay] from Project Black. It sounds like a potential vulnerability, but it seems like no CVE was ever assigned, and no further details were given.
Here’s the issue: ZendTo has an anonymous file upload feature on by default. This has a security feature built in, in the form of scanning the uploaded file with ClamAV in a temporary location, before moving the file to its long term storage directory. Part of this process includes the ever lovely exec("/bin/chmod go+r " . $ccfilelist); line. PHP has some footguns to be aware of, and calling exec() with any user-provider input is one of them. And of course, the user-provided tmp_name value is used to construct the $ccfilelist string. Set tmp_name to 1;command, and you’ve got code execution.
There is another outstanding issue, where legacy md5 passwords that happen to begin with 0e will be interpreted as a number in scientific notation. PHP handles some type comparisons a bit weirdly. These scientific notation values all evaluate as 0. Using any password that also evaluates to one of these special “scientific” md5 hashes, and the comparison collapses to 0 == 0. So one out of every 256 users have a trivially bypassed password — if their account was still using a md5 password hash.
So here we have a pair of serious vulnerabilities, though one has limited exposure, with neither being fully disclosed nor given CVEs. What’s the result of this lack of transparency? Old, vulnerable installs of ZendTo are still on the Internet. Without a CVE, there’s much less pressure to update. No CVE doesn’t necessarily mean no vulnerabilities.
Leaking Call Records
Researcher [Evan Connelly] was looking into the Verizon Call Filter iOS app, and found it to be using an interesting web service. The callLogRetrieval endpoint allows a user to look up call logs for their own Verizon number. Authorization is done using JSON Web Tokens (JWT), which included a “sub” field, indicating the phone number the token was authorized to fetch. The request itself also has a field to indicate the number being queried. This particular endpoint uses a JWT for authorization, but returns the information requested in the query field — without comparing the two values. Yes, any customer that could obtain a valid JWT could query the call records of virtually any other Verizon number. While this is particularly bad, Verizon acknowledged it quickly, and rolled a fix out in less than a month.
When Parameterized Queries Aren’t
What’s the single most powerful tool to prevent SQL injection attacks? Easy: Parameterized queries. Write the SQL query ahead of time, the library converts it into native database code, and only then are the user-generated values plugged in. In theory that means those values can never be understood as part of the SQL logic. While there are ways this can still go wrong, the basic approach is sound. But what if a language, like Nim, had a parameterization option that didn’t actually do parameterized queries?
Yes, Nim’s db_postgres module provides the facility to run code like getRow(sql"SELECT username FROM users WHERE username=?;", "user"), which is intended to protect against SQL injection. But, under the hood, it really is just doing string replacement with character escaping, like replacing null characters with \\0. Now consider PostreSQL’s standard_conforming_strings setting, which among other things, removes the backslash as a special character. But if that setting is disabled, the backslash can be used to escape quotes. Nim doesn’t know anything about that behavior. This combination of not-actually-parameterized parameterization, and lack of awareness of the standard_conforming_strings behavior, means that ./poc '\' ' OR user_id=1; --' is once again a potential SQL injection. Whoops.
Oracle: Oh, That Oracle Cloud!
We finally have a bit more insight into what’s going on at Oracle. You probably remember that the company has continually denied a breach into Oracle Cloud. It seems this is a bit of verbal sleight-of-hand, as Oracle has renamed part of their cloud offering to Oracle Cloud Classic. The remaining, current generation service is the Oracle Cloud. Oracle Cloud Classic has suffered the breach, not technically Oracle Cloud.
It’s not clear that this is really all there is to the story, though, as more data is getting released by the attacker, including video of a web meeting from 2019. Oracle has started reaching out to customers and confirmed the breach, though apparently strictly avoiding putting anything in writing.
Microsoft Joins the Hotpatch Game
Enterprise Linux distros have long had support for various forms of live-patching. We even interviewed TuxCare about this feature for FLOSS Weekly a few weeks ago. It seems that Microsoft finally wants in on the fun. Windows 11 Enterprise has in-memory security patching starting with the 24H2 update. This support is strictly for machines with an Enterprise or certain Education Microsoft subscriptions. The Hotpatches will be available for 8 of the 12 monthly security patches, with an enforced quarterly update via traditional updates and a reboot.
Bits and Bytes
Researchers at GreyNoise have noted an uptick in IPs scanning for Palo Alto device login pages for several days in March. The scanning had as many as 20,000 unique IPs hunting for these login interfaces, which suggests a botnet has been tasked with finding these devices. It’s very possible that a threat actor has found a new vulnerability in Palo Alto devices, and is preparing to launch an attack.
And finally, a pair of posts from ZDI caught our attention this week. The first is a dive into how Binary Ninja’s static code analysis can find potential use-after-free vulnerabilities. The second is all about building an electric car simulator, that can actually plug into real electric vehicle charging stations, and actually fool the charger into believing a car is attached. How is this problem approached safely, given the high voltages and amperages involved? Very carefully.
NixFREAK - reshared this.
Violato il GDPR, il Garante sanziona Federprivacy
@Informatica (Italy e non Italy 😁)
Federprivacy, finita nell’occhio del ciclone per aver subito un attacco informatico che ha portato alla pubblicazione di circa 15 GB di dati sensibili, coinvolgendo 26.000 utenti, è stata accusata, in via definitiva, di gravi irregolarità dal Garante per la protezione dei dati personali. Il GPDP ha, infatti, concluso
Informatica (Italy e non Italy 😁) reshared this.
sappiamo che trump ha deciso di chiudere gli stati uniti come nazione. e secondo me proprio non conosce le conseguenze delle sue azioni. come persona è una persona malvagia e cattiva, un pessimo uomo d'affari, ma a modo suo, economicamente sono convinta che crede davvero in quello che dice. ma ci sarà da ridere. per quanto riguarda le esportazioni italiane, vale la sessa logica dell'importazione del GPL russo. l'unica risposta è sempre stata e sempre sarà una sola: DIVERSIFICARE. inoltre il problema grosso italiano è che abbiamo consumi interni asfittici. e pure questo sarebbe un problema da affrontare. se in italia a guadagnare sono in 5 questo è il risultato. ed anche la fugga di cervelli magari... che fa si che l'italia sia un deposito di scarti (e questo spiega pure il governo meloni, o conte, o salvini, o la stessa schlein...).
e lasciatemi fare un ultimo commento: posso capire la difficoltà di diversificare quando si tratta di importazioni, ma nelle esportazioni si può solo trattare di imprenditori che non sanno fare il loro lavoro...
considerazione finale: sarebbe un errore fatale fidarsi di trump o di putin. da entrambi non avremo niente e c'è solo da lavorare per risolvere il problema con le prorpie forze. ucraina inclusa. la nato è morta. perlomeno quella con gli usa. non c'è più nessun patto atlantico. o nessuna afinità di principi tra europa e usa. prendiamo canada e messino nell'unione europea e buttiamo fuori ungheria e stati fascisti.
e smettiamo anche di comprare armi dagli usa. ci sono dei dolcetti stile usa che alla lidl si trovano di tanto in tanto. giusto quelli avrebbe senso comprare dagli usa.
P.S. Il golfo del messico si chiama golfo del messico.
e i cittadini usa si chiamano cittadini statunitensi, non americani.
Ecco perché i dazi colpiscono maggiormente gli Usa
Tra il 2018 e il 2019, gli Stati Uniti hanno imposto tariffe che andavano dal 10 al 25 percento su centinaia di miliardi di dollari di importazioni dalla La politica dei dazi decisa da D0nald Trump colpirà soprattutto proprio gli Usa e per questo che…Vincenzo Caccioppoli (Scenari Economici)
Queste le parole del ministro Nordio dopo i femminicidi di Ilaria Sula e Sara Campanella: “Purtroppo il legislatore e anche la stessa magistratura possono arrivare entro certi limiti a reprimere questi fatti che si radicano probabilmente nella assoluta mancanza, non solo di educazione civica, ma anche di rispetto delle persone. Soprattutto per quanto riguarda giovani o giovani adulti di etnie che magari non hanno la nostra sensibilità soprattutto verso le donne. Questa è questione di educazione”.
Ci troviamo di fronte a un ennesimo e inaccettabile tentativo di etnicizzazione della violenza. La maggior parte dei femminicidi avviene proprio in contesti nativi, ma Nordio, dopo la mossa inutile della creazione del reato specifico di femminicidio, ritiene solo necessario esprimere il proprio razzismo borghese, dimostrando di non conoscere nemmeno il fenomeno di cui parla. I femminicidi sono un fenomeno italiano, relazionale, familiare, ed è necessario un piano culturale, psicologico ed educativo adatto da parte del governo. Piano che non esisterà mai.
Le donne e le ragazze non sono tutelate in modo appropriato da nessun punto di vista: dal lavoro alla propria stessa possibilità di sopravvivenza, in un contesto patriarcale sempre più esasperato. La soluzione non è certo quella di evocare un’astratta “educazione civica”.
Al razzismo e classismo di Nordio fa eco Marina Terragni, che si autodefinisce “femminista” ed è neo-Autorità Garante per l’infanzia e l’adolescenza su incarico governativo. Terragni ritiene le tendenze violente un problema psicoanalitico, da trattare, si suppone, a pagamento, e senza sensibilità e aiuto da parte dello Stato; ma prima di tutto in famiglia: “I corsi di affettività, come osserva Massimo Ammaniti, decano degli psicanalisti, possono ben poco: non si tratta di teoria, ma di un ‘lessico emotivo’ che si apprende fin dalla più tenera età nella dinamica concreta degli affetti familiari.” Quanto alle donne, imparino da sole!: “Mentre le ragazze devono imparare a riconoscere per tempo quei segnali – il possesso, la gelosia ossessiva – che preludono al gesto violento. E a chiedere aiuto prima possibile”. Tutto viene risolto così, con la responsabilità personale delle ragazze. Imparino, le ragazze, a risolvere tutto nel privato, perché una Autorità Garante non è in grado di dire altro su chi le sta uccidendo se non ovvietà psicoanalitiche da salotto.
Rifondazione Comunista, conscia che l’educazione all’affettività nelle scuole è stata monopolizzata da gruppi neofondamentalisti misogini ed antiabortisti come i Provita, sostiene il diritto a un’ educazione pubblica all’affettività, laica e stabilmente curricolare. Educazione che sia in grado di intercettare e comprendere, ma anche di orientare le persone verso vite senza fantasmi patriarcali e oppressione, molestie e violenza.
Non crediamo in una società che si sensibilizzi solo con serie Netflix, pur pregevoli, come Adolescence. I doveri di uno Stato sono quelli di costruire pratiche efficaci di prevenzione. Sosteniamo che non può esistere una lotta efficace contro la violenza se non si mettono in discussione le radici di una società dove l’unico modello è quello competitivo e dove i corpi delle donne sono equiparati a merce. Una vera educazione all’affettività deve essere anche educazione critica e aprire prospettive di cambiamento relazionale, quindi sociale.
Maurizio Acerbo, Segretario del Partito della Rifondazione Comunista- Sinistra Europea
Silvia Conca, già Responsabile politiche LGBTQIA+
Paola Guazzo, Direttivo Circolo della Conoscenza e delle Culture Transfemministe
Rifondazione : Da Nordio e Terragni affermazioni irricevibili in merito ai femminicidi. La cultura reazionaria riafferma un patriarcato razzista
Queste le parole del ministro Nordio dopo i femminicidi di Ilaria Sula e Sara Campanella: "Purtroppo il legislatore e anche la stessa magistratura possono arrivRifondazione Comunista
rag. Gustavino Bevilacqua reshared this.
Keep Bears at Bay with the Crackle of 280,000 Volts
Bears! Are they scared of massive arcs that rip through the air, making a lot of noise in the process? [Jay] from the Plasma Channel sure hopes so, because that’s how his bear deterrent works!
[Jay] calls it the Bear Blaster 5000. Right from the drop, this thing looks like some crazy weapon out of Halo. That’s because it throws huge arcs at 280,000 volts. The basic concept behind it is simple enough—a battery drives a circuit which generates (kinda) low voltage AC. This is fed to the two voltage multipliers which are set up with opposite polarity to create the greatest possible potential difference between the two electrodes they feed. The meaty combination is able to arc across electrodes spaced over four inches apart. It’s all wrapped up in a super-cool 3D printed housing that really shows off the voltage multiplier banks.
Given its resemblance to a stun gun, you might think the idea is to jab an attacking bear with it. But the reality is, if the bear is close enough that you could press this device against it, you’re already lunch. [Jay] explains that it’s more about scaring the animal off with the noise and light it produces. We’d certainly take a few steps back if we heard this thing fire off in the woods.
[Jay] does a great job of explaining how the whole setup works, as well as showing off its raw ability to spark. We’ve seen some great builds from [Jay] before, too, like this beefy custom flyback transformer.
youtube.com/embed/-Ng3fyUHoLA?…
Alex 🐭
in reply to Pëtr Arkad'evič Stolypin • • •