We’ve seen tons of projects lately using the ESP32-C3, and for good reason. The microcontroller has a lot to offer, and the current crop of tiny dev boards sporting it make adding a lot of compute power to even the smallest projects dead easy. Not so nice, though, is the poor WiFi performance of some of these boards, which [Peter Neufeld] addresses with this quick and easy antenna.

There are currently a lot of variations of the ESP32-C3 out there, sometimes available for a buck a piece from the usual suspects. Designs vary, but a lot of them seem to sport a CA-C03 ceramic chip antenna at one end of the board to save space. Unfortunately, the lack of free space around the antenna makes for poor RF performance. [Peter]’s solution is a simple antenna made from a 31-mm length of silver wire. One end of the wire is formed into a loop by wrapping it around a 5-mm drill bit and bending it perpendicular to the remaining tail. The loop is then opened up a bit so it can bridge the length of the ceramic chip antenna and then soldered across it. That’s all it takes to vastly improve performance as measured by [Peter]’s custom RSSI logger — anywhere from 6 to 10 dBm better. You don’t even need to remove the OEM antenna.

The video below, by [Circuit Helper], picks up on [Peter]’s work and puts several antenna variants to further testing. He gets similarly dramatic results, with 20 dBm improvement in some cases. He does note that the size of the antenna can be a detriment to a project that needs a really compact MCU and tries coiling up the antenna, with limited success. He also did a little testing to come up with an optimal length of 34 mm for the main element of the antenna.

There seems to be a lot of room for experimentation here. We wonder how mounting the antenna with the loop perpendicular to the board and the main element sticking out lengthwise would work. We’d love to hear about your experiments, so make sure to ping us with your findings.

youtube.com/embed/UHTdhCrSA3g?…

hackaday.com/2025/04/07/simple…

The advantage of a radio-controlled clock that receives the time signal from WWVB is that you never have to set it again. Whether it’s a little digital job on your desk, or some big analog wall clock that’s hard to access, they’ll all adjust themselves as necessary to keep perfect time. But what if the receiver conks out on you?

Well, you’d still have a clock. But you’d have to set it manually like some kind of Neanderthal. That wasn’t acceptable to [jim11662418], so after he yanked the misbehaving WWVB receiver from his clock, he decided to replace it with an ESP8266 that could connect to the Internet and get the current time via Network Time Protocol (NTP).

This modification was made all the easier by the fact that the WWVB receiver was its own PCB, connected to the clock’s main board by three wires: one for the clock signal, another that gets pulled low when the clock wants to turn on the receiver (usually these clocks only update themselves once a day), and of course, ground. It was simply a matter of connecting the ESP8266 dev board up to the two digital lines and writing some code that would mimic the responses from the original receiver.

If you take a look through the provided source code, a comment explains that the WWVB signal is recreated based on the official documentation from the National Institute of Standards and Technology (NIST) website. There are functions in the code to bang out the 500 ms “one” and 200 ms “zero” bits, and once the microcontroller has picked up the correct time from the Internet, they’re called in quick succession to build the appropriate time signal. As such, this code should work on any clock that has an external WWVB receiver like this, but as always, your mileage may vary.

This is a very clean hack, but if you wanted to pull off something similar without having to gut all the clocks in your house, we’ve seen a WWVB simulator that can broadcast an NTP-backed time signal to anything listening nearby.

hackaday.com/2025/04/07/atomic…

I tempi stanno cambiando.

Un tempo la sorveglianza era silenziosa, nascosta tra le pieghe del codice e delle reti. Oggi, invece, si presenta a volto scoperto, con l’appoggio della politica e la benedizione di normative che la vogliono rendere legale, strutturata, persino necessaria. Dopo Echelon, il Datagate con Edward Snowden nel 2013 accese i riflettori sulle pratiche di sorveglianza di massa svolta dalla NSA e dell’FBI. Tale scandalo mostrava come le democrazie più avanzate non siano immuni dal desiderio di ascoltare tutto, sempre.

Poi è arrivato Vault 7, la più grande fuga di documenti della CIA mai registrata. In questa fuga di dati veniva mostrato come gli Stati Uniti riuscivano a infiltrarsi in smartphone, smart TV e computer di mezzo mondo. Fino ad allora, le backdoor erano qualcosa di sussurrato nei corridoi dell’intelligence, strumenti d’uso esclusivo delle agenzie, senza discussione pubblica.

Ma oggi il dibattito si è fatto politico, pubblico, globale.

La dichiarazione di Trump di Novembre

A novembre 2024, Donald Trump ha dichiarato che servono “normative flessibili in termini di intelligence”. Sostenne apertamente l’utilizzo di tecnologie di tipo spyware per proteggere la sicurezza nazionale. Un’affermazione forte, che ha avuto conseguenze quasi immediate. Nel giro di qualche mese, diversi vertici dell’NSA sono stati rimossi dopo incontri a porte chiuse con Elon Musk. L’impressione è che stia prendendo forma una nuova dottrina americana: la sorveglianza legalizzata, esplicita, che non ha più bisogno di nascondersi.

Pertanto la tecnologia spyware riceverà un “secondo vento”. È probabile che le aziende che producono programmi come NSO Group e Paragon trovino sostegno nella nuova amministrazione. Questo nonostante le critiche ai loro strumenti per violare i diritti umani.

Nel frattempo, Cina e Russia osservano. Loro il modello lo hanno già consolidato da tempo: sorveglianza pervasiva, controllo dei dati, nessuna illusione sulla privacy. Ma la differenza – sottolineano spesso i governi occidentali – è che quei due paesi sono sotto regime.

L’Occidente, invece, è un mondo di diritti e trasparenza. Almeno, lo era.

La discussione sulle Backdoor in Europa e nel Regno Unito

Anche l’Europa, infatti, si muove. Lunedì scorso è stato presentato il piano ProtectEU– un documento che, tra le righe – scritte in burocratese – segna un altro punto di svolta. Sebbene l’UE abbia sempre espresso riserve sull’uso di backdoor nella crittografia, il piano parla chiaro: entro il 2025 verrà sviluppata una tabella di marcia per consentire un accesso legale ed efficace ai dati da parte delle forze dell’ordine, con una roadmap tecnologica prevista per l’anno successivo.

“Stiamo lavorando a una tabella di marcia ora e vedremo cosa è tecnicamente possibile”, ha affermato Henna Virkkunen, vicepresidente esecutivo della CE per la sovranità tecnologica, la sicurezza e la democrazia. “Il problema è che ora le nostre forze dell’ordine stanno perdendo terreno sui criminali perché i nostri investigatori di polizia non hanno accesso ai dati”, ha aggiunto e ha dettoche nell'”85 percento” le forze dell’ordine non riescono ad accedere ai dati di cui avrebbero bisogno. La proposta è di modificare l’attuale Cybersecurity Act per consentire queste modifiche.

Stesso tema si sta dibattendo nel Regno Unito, dopo che le autorità hanno chiesto ad Apple di creare una backdoor che consentisse l’accesso ai dati cloud crittografati degli utenti. Apple ha deciso di disattivare del tutto la funzionalità Advanced Data Protection (ADP) nel Regno Unito.

Le autorità britanniche avrebbero emesso un ordine chiedendo ad Apple di fornire l’accesso ai dati criptati degli utenti in tutto il mondo. Secondo la pubblicazione, l’ordine imponeva ad Apple di creare una backdoor che avrebbe consentito l’accesso a qualsiasi contenuto caricato sul cloud da qualsiasi utente.

In altre parole: si comincia a costruire l’infrastruttura legale e tecnica per aprire varchi nei sistemi di protezione dati. Varchi “legalizzati”, ma sempre varchi.

Tutto questo solleva una domanda scomoda: dove finisce la sicurezza e dove comincia il controllo?

Il rischio della backdoor e le sue derive

Nel tempo, la guerra informatica ha subito una profonda evoluzione, trasformandosi da strumento sperimentale a vero e proprio teatro operativo. Inizialmente, fu la NSA (National Security Agency) a detenere la leadership mondiale nelle capacità offensive cibernetiche, sviluppando strumenti avanzatissimi per penetrare e manipolare sistemi informatici ostili. Una delle conferme più clamorose di questa superiorità tecnica emerse nel 2017, con la pubblicazione di Vault-7 da parte di WikiLeaks: una serie di documenti top secret della CIA che rivelarono l’esistenza di un vasto arsenale di malware, exploit zero-day e tecniche di hacking sviluppate internamente dagli Stati Uniti per operazioni clandestine in tutto il mondo.

Ma anche prima di Vault-7, la potenza di fuoco della cyber intelligence americana era emersa in modo devastante. Il primo ransomware della storia a diffusione globale, WannaCry, si basava su un exploit chiamato EternalBlue, sottratto dai server della NSA dal gruppo hacker Shadow Brokers. EternalBlue sfruttava una vulnerabilità di Windows che l’NSA aveva individuato anni prima e mantenuto segreta, utilizzandola per accedere silenziosamente a qualsiasi sistema operativo Windows connesso in rete. Questo exploit rappresentava una vera e propria backdoor universale, e il fatto che sia stato rubato e poi usato (dagli hacker del gruppo Lazarus associati alla Corea Del Nord) contro il mondo intero ha dimostrato quanto sia sottile il confine tra arma strategica e boomerang incontrollabile.

Tra le più note operazioni militari cibernetiche nella storia, spicca Operation Olympic Games, una missione congiunta tra Stati Uniti e Israele. Il malware protagonista fu Stuxnet, uno strumento di guerra informatica mai visto prima, capace di sabotare fisicamente l’infrastruttura industriale della centrale nucleare iraniana di Natanz. Armato con quattro vulnerabilità zero-day (due contro Windows e due contro i PLC Siemens), Stuxnet rappresentò l’alba di una nuova era: quella in cui un malware può danneggiare impianti reali, senza sparare un colpo, ma alterando algoritmicamente la realtà.

Oggi, però, il dominio statunitense è stato ridimensionato.

La Cina, in particolare, ha dimostrato negli ultimi sei mesi di aver superato il livello tecnologico statunitense, con operazioni come Volt Typhoon, Salt Typhoon e Liminal Panda, condotte con precisione chirurgica e capacità stealth avanzate. In questo scenario di “guerra grigia“, dove le regole sono fluide e le frontiere invisibili, disporre di un accesso backdoor può offrire un vantaggio significativo nella raccolta d’intelligence.

Tuttavia, è cruciale ricordare che una backdoor, una volta scoperta, può essere usata anche dal nemico. La realtà del cyberspazio è fluida e imprevedibile: uno zero-day, in media, viene scoperto da altri ricercatori circa un anno dopo la sua prima individuazione. Questo significa che un exploit può essere utilizzato simultaneamente da più agenzie di intelligence, senza che l’una sappia dell’altra. In tale contesto, la backdoor non è sempre un vantaggio: può trasformarsi rapidamente in una vulnerabilità, in un’arma rivoltata contro chi l’ha forgiata.

Conclusioni

Come abbiamo visto, le backdoor, per loro natura, sono strumenti a doppio taglio. Non esiste una backdoor “solo per i buoni”: una volta creata, può essere sfruttata da chiunque riesca a trovarla. E soprattutto, apre un varco non solo nei dispositivi, ma in uno dei principi fondamentali degli esseri umani: il diritto alla riservatezza.

La verità è che ci stiamo pericolosamente avvicinando a quei modelli autoritari che per anni abbiamo criticato. Il confine tra sicurezza nazionale e sorveglianza di massa si fa sempre più sottile. E, paradossalmente, la difesa della libertà rischia di passare proprio per la sua negazione.

La politica vuole la backdoor. Ma il mondo – quello fatto di cittadini, esperti di sicurezza, attivisti per i diritti digitali e banalmente a persone estranee all’argomento – non la vuole. Perché una volta che apri una porta sul tuo mondo privato, è difficile richiuderla. E forse, a quel punto, non saremo più tanto diversi da quei regimi che oggi guardiamo con tanto disprezzo.

Il futuro si sta giocando oggi.

E dipende da noi decidere se vogliamo vivere in un mondo sicuro… o in un mondo sorvegliato.

L'articolo Le backdoor di stato stanno arrivando. Ma questa volta, con il timbro UE! proviene da il blog della sicurezza informatica.

We’ve got a love-hate relationship with discount tool outlet Harbor Freight: we hate that we love it so much. Apparently, [James Clough] is of much the same opinion, at least now that he’s looked into the quality of their outlet strips and found it somewhat wanting.

The outlet strips in question are Harbor Freight’s four-foot-long, twelve-outlet strips, three of which are visible from where this is being written. [James] has a bunch of them too, but when he noticed an intermittent ground connection while using an outlet tester, he channeled his inner [Big Clive] and tore one of the $20 strips to bits. The problem appears to be poor quality of the contacts within each outlet, which don’t have enough spring pre-load to maintain connection with the ground pin on the plug when it’s wiggled around. Actually, the contacts for the hot and neutral don’t look all that trustworthy either, and the wiring between the outlets is pretty sketchy too. The video below shows the horrors within.

What’s to be done about this state of affairs? That’s up to you, of course. We performed the same test on all our outlets and the ground connections all seemed solid. So maybe [James] just got a bad batch, but he’s still in the market for better-quality strips. That’s going to cost him, though, since similar strips with better outlets are about four times the price of the Harbor Freight units. We did find a similar strip at Home Depot for about twice the price of the HF units, but we can’t vouch for the quality. As always, caveat emptor.

youtube.com/embed/z8YdOG9biKU?…

Thanks to [cliff claven] for the tip.

hackaday.com/2025/04/07/buyer-…

Afficionados of vintage electric organs will know about the Melotron, an instrument from the 1960s that had pre-recorded sounds on a bank of tape loops. A real Melotron in working order will set you back a bit, but it’s possible to play with the idea using much more attainable hardware. [Decurus] has made a simple tape based synth using a cassette deck.

It uses a loop of cassette tape, and varies the pitch by changing the speed of the cassette motor. There’s an RP2040 and a motor controller, which can take a MIDI signal and use it to drive the motor. We’re sorry to see that there’s no recording of the result, but it’s described as a drone.

Part of this project is a 3D printed tape loop holder to fit a cassette mechanism. We won’t go as far as to call it a cassette in itself, instead it’s a sort of tape loop frame. We can see that it might be an interesting component for other tape loop experimenters, now that cassettes themselves are no longer ubiquitous. This certainly isn’t the first tape pitch synth we’ve seen.

hackaday.com/2025/04/07/a-tiny…

Yeah, yeah — not a keyboard. But one keyboard-adjacent topic I’m certainly interested in is that of finding a satisfying mouse. Why settle for ticky micro-switches when you could have full-on thock in both peripherals?
My own personal peripherals. Banana mat for scale.
I’ve been using a Logitech Ergo M575 for a couple of years now. As you can see, it’s a trackball with two extra buttons, which come programmed for forward and back. I find this next to useless, so I employed AutoHotKey and changed them to Ctrl+C on the up switch, and Ctrl+V on the down switch.

[Aknup] commented on the previous Keebin’ and brought up MMO mice, which, I didn’t know those things had a name other than maybe ‘multi-button mice’. And yes, there are a few trackball MMOs out there. I’ve got my eye on a couple already.

Does anyone have a trackball MMO? I hate to spend $100+ on something I won’t like. I’m intrigued that the one I found that’s the most attractive is less a thumb trackball and more a two-fingers-at-once kind of situation. That will take some getting used to, but the way my trackball moves sometimes, it could be a really positive change.

Embrace the Jank, Why Don’t You?

[VideoPuzzleheaded884] built this keyboard over a the course of a few evenings for a total cost of around $30 AUD ($18.33 USD as of this writing), as a way to motivate themselves to finally start soldering.

Image by [VideoPuzzleheaded884] via redditI for one like the look of the acrylic plate, which was worked with a Dremel and hand tools. And the wiring looks fine to me, so I hesitate to actually call this janky myself. But [VideoPuzzleheaded884] did it for me.

You can tell [VideoPuzzleheaded884] is one of us — they cobbled this Corne mini layout-having keyboard together with stuff on hand, and did a fine job of soldering one of their first projects. Hey, if it works, it works. And the use of all-black wires should be commended.

The microcontroller is an ESP32-C3 [VideoPuzzleheaded884] found in box somewhere, and the switches are Gateron Silvers from an unknown time. All in all, this project was a fun diversion from programming, and this probably won’t be the last keyboard they solder.

The Centerfold: Alas, Poor Yorick; I Knew Thee Cozy Vibes Well

Image by [Ryuk_void666] via redditThis one’s all about the vibes, and not necessarily the peripherals. The keyboard is an Amazon UK number and the mouse is whatever, but the wrist rests sure look comfy, and the padding around the edge of the desk is divine.

The moon lamp looks great along with the fill light coming in from the right, and I could totally get down with some death metal and WFH with this setup.

Do you rock a sweet set of peripherals on a screamin’ desk pad? Send me a picture along with your handle and all the gory details, and you could be featured here!

Historical Clackers: Oh Maskelyne, Why Can’t You Be True?

What’s a magician to do if they need something to fall back on? Sell typewriters, I suppose. Why else would a father-and-son team of illusionists named John Nevil Maskelyne (Jr. and Sr.) do such a thing?
Image via ozTypewriter
The Maskelynes’ machine was initially seen at the Paris World’s Fair, which lasted from May to October 1889. Four years later, it finally hit the market.

The main selling point of the Maskelyne was that it offered differential spacing. Most typewriters output monospaced text — the skinny ‘i’ takes up the same width on the page as the ‘w’ does. On the Maskelyne, each character takes up a different amount of horizontal space. This makes for a nicer-looking document overall.

By 1897, the writing was on the wall. Maskelynes under heavy usage were falling apart. They were not built to withstand the vibration that typewriters must endure. As a result, things would go awry — maybe the escapement clutch no longer moved far enough, or went too far, or the bars needed to make differential spacing possible clashed together.

By the third model of Maskelyne, they did away with differential spacing. But the investors were unhappy, and by 1899, the Maskelyne Typewriter concern did a disappearing act.

ICYMI: Stop Me If You Saw This Keyboard

We’re embracing the jank this week, remember? And the end result of [nomolk]’s labor? Not janky at all.

Image by [nomolk] via YouTubeAfter sawing apart a perfectly good mechanical keyboard and re-connecting about 50 wires, [nomolk] managed to get it working again, and now has a true split keyboard. Be sure to watch the video!

This labor of love took almost three weeks, between rewiring all the broken connections and testing the wiring. [nomolk] tried it out and found it wasn’t working as expected, with some keys not registering, and other keys registering two characters.

Once it was working, [nomolk] had a fine mess of all-black wires (!) to deal with. Between the zip ties and the plastic spiral wire wrap thingy, the beast was eventually tamed. That Spacebar would drive me crazy, though.

Got a hot tip that has like, anything to do with keyboards? Help me out by sending in a link or two. Don’t want all the Hackaday scribes to see it? Feel free to email me directly.

hackaday.com/2025/04/07/keebin…

Il mercato tecnologico cinese sta affrontando una grave carenza di acceleratori GPU NVIDIA H20 per l’intelligenza artificiale. Le più grandi aziende del Paese hanno piazzato ordini per oltre 16 miliardi di dollari nel primo trimestre del 2024, cercando di accedere a questi chip specializzati.

ByteDance, Alibaba e Tencent sono pronte a lavorare anche con versioni ridotte dei chip dopo che le autorità statunitensi hanno limitato la fornitura di soluzioni avanzate per le reti neurali. Dopo l’introduzione di un’altra tornata di restrizioni all’esportazione nell’ottobre 2023, l’H20 è diventata l’unica opzione legale per il mercato cinese.

È stata provocata una nuova ondata di domanda dopo i risultati prodotti dall’azienda cinese DeepSeek nel campo dei modelli linguistici. I sistemi DeepSeek R1 e V2 hanno innescato una vera e propria gara tra le aziende locali per creare algoritmi più avanzati che richiedono una potente base di calcolo.

NVIDIA ha recentemente introdotto una versione aggiornata dell’H20 con memoria HBM3E migliorata, il che non ha fatto che aumentare l’entusiasmo sul mercato. Basato sull’architettura H800, questo acceleratore è specificamente limitato a un quarto della potenza del modello di punta H100: tali limiti tecnici consentono di aggirare le barriere all’esportazione americane che impediscono la fornitura di sistemi di elaborazione avanzati alla Cina. Sebbene il rapporto prezzo/prestazioni sia inferiore rispetto ai modelli più avanzati, molte aziende scelgono l’H20 per la sua piena compatibilità con l’infrastruttura NVIDIA esistente e per la facilità di migrazione da altre soluzioni. Il periodo di attesa per gli ordini raggiunge i sei mesi: le capacità di TSMC sono concentrate sulla produzione dell’ultima architettura Blackwell Ultra e la produzione in serie di H2O inizierà solo nella seconda metà dell’anno.

Il più grande produttore di server H3C ha già lanciato l’allarme per una possibile carenza di chip. La situazione riguarda tutti i principali partner OEM di NVIDIA nella regione: oltre a H3C, tra questi figurano Inspur, Lenovo e xFusion, la divisione server di Huawei.

Dal 2022, le autorità di regolamentazione americane hanno sistematicamente rafforzato i controlli sulle esportazioni di tecnologie avanzate in Cina, temendo un loro potenziale utilizzo militare. Allo stesso tempo, il mercato cinese rimane di fondamentale importanza per NVIDIA: il fatturato dell’azienda nella regione, Hong Kong compresa, ha raggiunto i 17,11 miliardi di dollari nell’anno fiscale 2025.

La situazione attuale comporta gravi rischi per tutti i partecipanti. Washington potrebbe vietare in qualsiasi momento le spedizioni anche di versioni semplificate dei processori, il che bloccherebbe immediatamente le spedizioni di H2O. Per l’azienda uno scenario del genere si tradurrebbe in un calo significativo dei ricavi. Cosa succederà allora con i progetti grandiosi Jensen Juan?

La domanda è legittima.

L'articolo Fame da GPU. Le Big Tech cinesi spendono 16 miliardi per l’AI per acquistare le NVIDIA H20 proviene da il blog della sicurezza informatica.

While low-cost professional PCB fabrication has largely supplanted making circuit boards at home, there’s still something to be said for being able to go from design to prototype in an afternoon. Luckily we aren’t limited to the old toner transfer trick for DIY boards these days, as CNC routers and powerful lasers can be used to etch boards quickly and accurately.

But there’s still a problem — those methods leave you with a board that has exposed traces. That might work in a pinch for a one-off, but such boards are prone to shorts, and frankly just don’t look very good. Which is why [Mikey Sklar] has been experimenting with applying both a soldermask and silkscreen to his homemade boards.

The process he describes starts after the board has already been etched. First he rolls on the soldermask, and then sandwiches the board between layers of transparency film and clear acrylic before curing it under a UV light. After two coats of the soldermask, the board goes into a fiber laser and the silkscreen and mask layers are loaded into the software and the machine is set to a relatively low power (here, 40%). The trick is that the mask layer is set to run four times versus the single run of the silkscreen, which ensures that the copper is fully exposed.

Since the board doesn’t need to be moved between operations, you don’t have to worry about the registration being off. The end result really does look quite nice, with the silkscreen especially popping visually a lot more than we would have assumed.

We’ve previously covered how [Mikey] uses his CNC router and fiber laser to cut out and etch the boards, so this latest installment brings the whole thing full circle. The equipment you’ll need to follow along at home isn’t cheap, but we can’t argue with the final results.

youtube.com/embed/RxKP0Fk902g?…

hackaday.com/2025/04/07/fiber-…

Over the history of the Web, we have seen several major shifts in browsing software. If you’re old enough to have used NCSA Mosaic or any of the other early browsers, you probably welcomed the arrival of Netscape Navigator, and rued its decline in the face of Internet Explorer. As Mozilla and then Firefox rose from Netscape’s corpse the domination by Microsoft seemed inevitable, but then along came Safari and then Chrome. For a glorious while there was genuine competition between browser heavyweights, but over the last decade we’ve arrived at a point where Chrome and its associated Google domination is the only game in town. Other players are small, and the people behind Firefox seem hell-bent on fleeing to the Dark Side, so where should we turn? Is there a privacy-centric open source browser that follows web standards and doesn’t come with any unfortunate baggage in the room? It’s time to find out.

It’s All In The Engine

It’s Hackaday, in NetSurf!
If you look at the breadth of standards which a modern web browser has to support, it’s clear that writing a web browser is a Herculean task. Many browsers take the route of not trying to implement everything, for example minimalist browsers such as Dillo or NetSurf concentrate only on rendering web pages. For the purposes of this piece we’re looking at full-fat browsers capable of being a daily driver though, and for that a browser needs some very capable software. Many development teams are not capable of writing such a browser engine, and thus use one developed for another browser. Despite there being many names on the table then, peering under the hood there are surprisingly few options. The Apple Webkit and Google Blink family of browsers dominate, followed by Mozilla Gecko and its Goanna fork, and then by promising bit-part players such as Servo, or the Ladybird browser’s LibWeb. Having so much of the web’s browser software dominated by Apple and Google is not an ideal situation, but it’s where we find ourselves.
It’s Hackaday, in Ladybird!
So when choosing a browser, the first thing we look at is its engine. Whose ecosystem are we becoming part of, and does that have any effect on us? Within reason all modern full-featured browser engines render websites the same, so there should be little to choose from in terms of the websites themselves.

Having considered the browser engine, next up are whatever the developer uses to differentiate themselves. It’s suprisingly straightforward to construct a bare-bones web browser on top of WebKit, so to stand out each browser has a unique selling point. Is it privacy you’re after, ad blocking, or just following a UI path abandoned by a previous browser? And perhaps most importantly, are you simply departing a problematic developer for one even shadier? It’s worth doing your homework, and not being afraid to try multiple browsers before you find your home.

So Where Did Hackaday Land?

It’s Hackaday, in Vivaldi! (We are sure you are getting the idea by now)
Over the course of writing for Hackaday it’s inevitable that a bunch of different browsers will find their way on to my bench. Some of them like Ladybird or Servo I would love the chance to use as my daily driver, but they simply aren’t mature enough for my needs. Others such as Brave have too much of a whiff of controversy around them for someone seeking a quiet life of open-source obscurity. As I write this I have a preposterous number of browsers installed on my machine, and if there’s one thing which the experience has taught me it’s that they are much more the same than I expected. In three decades our expectation of a browser has homogenised to the extent that I’m hard pressed to tell between them. How do I pick one, without blindly throwing a dart at a corkboard covered in browser logos?

In the end, I looked for two candidates, one each from the Firefox and Apple/Google orbits. I tried them all, and settled on LibreWolf from the former, and Vivaldi from the latter. LibreWolf because it’s done a fine job of making Firefox without it being Firefox, and Vivaldi because its influence from the early Opera versions gave it a tiny bit of individuality missing in the others. I set up both with my usual Hackaday bookmarks, tabs, and shortcuts, changed the search engine to the EU-based Qwant. I’m ready to go, with a bit more control over how my data is shared with the world once more.

A refugee from the early Web writes…

It’s a fairly regular occurrence, that I will Do a Linux Thing in my hackerspace, only to have one of my younger friends point out a much newer and better tool than the one I know, which I probably learned to use some time in the mid-1990s. I’ve fond looking at web browsers to be in some respects a similar experience even if the browsers are much closer to each other than I expected, because for a couple of decades now I’ve been a Firefox user simply because Firefox was the plucky upstart open-source browser. Mozilla’s previous attempts to take Netscape 6 and make it the only piece of Internet software you needed were horribly bloated, and Firefox, or “Phoenix” as it launched, was an easy choice. Just as my operating system journey taught me about software complacency a couple of years ago, so I’ve now had the same awakening in the browser. The Web will never look the same again.

hackaday.com/2025/04/07/which-…

Chi si occupa di sicurezza informatica ricorderà bene l’attacco del gennaio 2022 contro la SIAE, la Società Italiana degli Autori ed Editori. All’epoca, il colpo fece molto scalpore: milioni di dati personali di artisti e iscritti vennero rubati e pubblicati sul dark web.

Responsabile di quell’attacco fu la cyber gang Everest, un gruppo di criminali informatici specializzati in estorsioni tramite ransomware. In quel frangente riuscimmo anche a intervistare alcuni membri della gang, raccogliendo dettagli sulle loro operazioni, la loro filosofia e, in parte, la loro arroganza nel raccontare quanto fosse “semplice” colpire realtà istituzionali.

Oggi, a distanza di oltre tre anni, la situazione si è capovolta. IlData Leak Site della gang Everest ha subito una battuta di arresto nel fine settimana. Qualcuno — probabilmente altri hacker o forse forze di polizia sotto copertura — ha violato il portale utilizzato dal gruppo per pubblicare i dati rubati alle loro vittime, lasciandolo irraggiungibile e sostituendolo con contenuti modificati.
Deface sul sito di everest di questo fine settimna (fonte techcrunch.com)

La soddisfazione di tutte le vittime

C’è una certa ironia nel vedere un gruppo di criminali informatici — che per anni ha terrorizzato aziende, enti pubblici e privati cittadini — diventare vittima delle stesse tecniche di cui si serviva.

La SIAE, che nel 2022 aveva subito pesanti danni sia in termini economici sia di immagine, può oggi concedersi una piccola soddisfazione morale: gli hacker che l’avevano umiliata, ora si trovano a loro volta esposti e vulnerabili.

Il concetto di karma digitale si manifesta perfettamente in casi come questo. Everest, come molte gang ransomware, aveva costruito il proprio potere sulla paura: chi non pagava il riscatto veniva minacciato con la pubblicazione di documenti riservati.

L’attacco all’infrastruttura di Everest avviene in un contesto di mutevoli tendenze globali del ransomware. Mentre gli attacchi ransomware ed estorsivi sono aumentati in generale, recenti report indicano che i pagamenti alle vittime sono diminuiti in modo significativo nel corso del 2024. Questo declino è attribuito alle aziende che adottano strategie di backup più efficaci e si rifiutano di negoziare con gli aggressori.

Anche le forze dell’ordine hanno intensificato gli sforzi contro i gruppi ransomware, riuscendo negli ultimi mesi a interrompere le operazioni di importanti attori come LockBit e Radar. Va anche detto che, negli ultimi anni, le autorità internazionali hanno intensificato la loro lotta contro il cybercrime organizzato. Operazioni come quella contro Emotet, Conti e LockBit dimostrano che nessuno, nemmeno i criminali più sofisticati, può sentirsi al sicuro per sempre.

Un segnale al mondo del cybercrime

L’hack subito da Everest manda un messaggio chiaro a tutto l’ecosistema del ransomware: il crimine informatico non è immune alla vulnerabilità e che si domanda se utilizzare il ransomware possa essere controproducente nelle operazioni.

Anche i gruppi più temuti possono crollare se sottovalutano la loro sicurezza o se si trovano a fronteggiare avversari decisi quanto loro. Per chi lavora ogni giorno per proteggere dati e infrastrutture, è un raro momento di rivincita.

Non sappiamo ancora chi ci sia dietro l’attacco al sito di Everest. Potrebbe essere un’azione isolata di hacktivisti, una vendetta da parte di ex membri, o parte di un’operazione più ampia guidata da forze di intelligence. Qualunque sia la mano che ha colpito, resta il gusto amaro — per Everest — di subire lo stesso destino che hanno inflitto a tanti.

L'articolo La SIAE prende la sua Rivincita! I Criminali Informatici di Everest sono stati Hackerati proviene da il blog della sicurezza informatica.

Lo scandalo Signalgate, in cui Il caporedattore dell’Atlantic Jeffrey Goldberg è stato scoperto essere un partecipante Una chat chiusa di Signal in cui si discuteva dei piani per un attacco aereo statunitense nello Yemen ha ricevuto una spiegazione sorprendente.

L’indagine ha mostrato un’analisi interna del reparto IT della Casa Bianca dove ha scoperto che la fuga di dati non è stata causata da intenti malevoli, ma da un errore causato dai messaggi automatici dell’iPhone. Come si è scoperto, il numero del direttore Jeffrey Goldberg era stato salvato sul telefono del funzionario, sotto forma di un altro contatto, diversi mesi prima dell’incidente.

L’errore è stato il risultato di una serie di eventi casuali iniziati nell’ottobre 2024 durante la campagna elettorale. Goldberg ha poi inviato una lettera alla campagna di Trump, ponendo domande su un articolo di prossima pubblicazione che criticava il trattamento riservato ai veterani. Il contenuto della lettera è stato inoltrato a Waltz sotto forma di testo, includendo la firma del giornalista e il suo numero di telefono.

Secondo alcune fonti, il telefono di Waltz avrebbe automaticamente abbinato il numero di Goldberg alla scheda di contatto dell’allora addetto stampa Brian Hughes. Di conseguenza, il numero venne memorizzato nel dispositivo di Waltz sotto il nome di Hughes. Quando Waltz creò un gruppo Signal nel marzo 2025 per discutere della situazione con gli Houthi nello Yemen, cercò di aggiungervi Hughes, ma in realtà incluse Goldberg nella chat.

La pubblicazione di informazioni su un’operazione militare su una piattaforma non protetta ha causato malcontento tra l’entourage di Trump, ma il presidente era ancora più arrabbiato perché il suo consigliere aveva il numero di Goldberg, il direttore di una pubblicazione da lui ripetutamente criticata. Tuttavia, Trump non ha licenziato Waltz, ritenendo che ciò sarebbe stato una concessione alla stampa, e ha espresso il suo sostegno al suo funzionario.

Come si è saputo, dopo l’incidente alla Casa Bianca è stata condotta un’analisi forense del telefono di Waltz. È stato confermato che il numero di Goldberg è stato salvato grazie all’algoritmo di “aggiornamento dei contatti” dell’iPhone, in cui il dispositivo suggerisce di combinare i numeri in base alle loro relazioni di corrispondenza.

Il gruppo stesso ha discusso i dettagli degli attacchi contro i ribelli yemeniti. Nonostante la delicatezza delle informazioni, l’amministrazione Trump ha ufficialmente autorizzato Signal per l’uso governativo. La stessa soluzione fu applicata durante il periodo di transizione del potere.

Subito dopo l’incidente, Waltz ha dichiarato a Fox News di non aver mai parlato con Goldberg e di aver dato per scontato che il suo numero “fosse semplicemente arrivato nel telefono”. Tuttavia, lo stesso Goldberg confermò in seguito, in una conversazione con i giornalisti, di conoscere Waltz e di aver parlato con lui.

Lo scandalo è scoppiato dopo che Trump aveva già iniziato il suo secondo mandato presidenziale. In mezzo a tutto questo clamore, Waltz accompagnò il presidente sul suo volo a bordo del Marine One, cosa che i funzionari della Casa Bianca considerarono una dimostrazione di fiducia da parte del capo dello Stato.

La situazione è diventata l’ennesimo promemoria dei rischi associati alla mancanza di soluzioni di messaggistica centralizzate e sicure tra le agenzie per la sicurezza nazionale. Un’indagine interna non ha rilevato alcun comportamento scorretto, ma ha evidenziato quanto facilmente un contatto sbagliato possa trasformarsi in una minaccia di alto livello.

Ricordiamo che pochi giorni dopo l’incidente del Signalgate, Michael Waltz si è ritrovato al centro di un nuovo scandalo a causa dell’utilizzo di Gmail personale per la corrispondenza di lavoro relativa alla difesa e alle operazioni militari. L’assistente di Waltz ha utilizzato un servizio di posta elettronica non protetto per discutere informazioni riservate su posizioni militari e armi con altri funzionari.

L'articolo Signalgate: Gli USA Non Hanno Una piattaforma di Messaggistica Governativa. L’Italia invece? proviene da il blog della sicurezza informatica.

WELCOME BACK, THIS IS DIGITAL POLITICS. I'm Mark Scott, and I've returned to my desk after a blissful week of vacation. For those in Brussels, I'll be in town on April 29-30, May 6-7 and May 14-15 if anyone is around — drop me a line on digitalpolitcs@protonmail.com

— A global trade war is heating up. Technology will inevitably get sucked into the chaos. But don't expect digital services to play a big role, at least not at first.

— US President Donald Trump extended the sale/ban of TikTok's American operations for another 75 days. That doesn't solve any of the underlying problems.

— How different generations consume (online) media is becoming more divided, leaving us with little, if any, common culture upon which to rely.

Let's get started:

digitalpolitics.co/newsletter0…

Using USB for powering devices is wonderful, as it frees us from a tangle of incompatible barrel & TRS connectors, not to mention a veritable gaggle of proprietary power connectors. The unfortunate side-effect of this is that the obvious thing to do with power connectors is to introduce splitters, which can backfire horribly, especially since USB-C and USB Power Delivery (USB-PD) were introduced. The [Quiescent Current] channel on YouTube recently went over the ways in which these handy gadgets can literally turn your USB-powered devices into a smoldering pile of ashes.

Much like Qualcomm’s Quick Charge protocols, USB-PD negotiates higher voltages with the power supply, after which this same voltage will be provided to any device that’s tapped into the power supply lines of the USB connector. Since USB-C has now also taken over duties like analog audio jacks, this has increased the demand for splitters, but these introduce many risks. Unless you know how these splitters are wired inside, your spiffy smartphone may happily negotiate 20V that will subsequently fry a USB-powered speaker that was charging off the same splitter.

In the video only a resistor and LED were sacrificed to make the point, but in a real life scenario the damage probably would be significantly more expensive.

youtube.com/embed/lvnoz5uaTwE?…

hackaday.com/2025/04/07/why-us…

Un team di ricercatori del Feinstein Institute for Medical Research di New York ha compiuto notevoli progressi nella creazione di sistemi di interazione cervello-macchina. Da anni gli esperti lavorano per imparare a leggere l’attività cerebrale dei pazienti paralizzati e utilizzare tali dati per riprendere il controllo del loro corpo. Tuttavia, il controllo del movimento da solo risolve solo metà del problema: senza feedback tattile, anche azioni semplici come prendere una tazza diventano praticamente impossibili da eseguire.

Il vicepresidente per la ricerca avanzata presso l’istituto Feinstein Institutes for Medical Research Chad Bouton e i suoi colleghi creano interfacce cervello-computer da diversi anni. Nel 2015 la squadra presentato il sistema di “bypass neurale”. Un chip dotato di una serie di elettrodi è stato impiantato nella corteccia motoria del paziente. Il sensore registra gli impulsi nervosi e un modello di intelligenza artificiale appositamente addestrato li decodifica trasformandoli in intenzioni di eseguire un movimento particolare. Grazie ai segnali elettrici, un uomo paralizzato poteva muovere il braccio semplicemente pensandoci.

Negli ultimi dieci anni la tecnologia si è evoluta notevolmente. L’ultimo sviluppo è chiamato “doppio bypass neurale“. Oltre a leggere i segnali cerebrali, ora stimola anche le aree responsabili del tatto. Per realizzare il progetto, gli specialisti hanno impiantato cinque microchip nel cervello del paziente Keith Thomas, che aveva perso la mobilità nella parte inferiore del torace a seguito di un infortunio durante un’immersione. Sono stati posizionati due array di elettrodi nella corteccia motoria; l’aumento del numero di sensori ha consentito un’analisi più accurata dei movimenti pianificati. Altri tre chip sono stati installati nell’area somatosensoriale, che elabora le sensazioni tattili. Il numero totale degli elettrodi ha raggiunto quota 224.

L’intelligenza artificiale è stata addestrata per trasformare i segnali cerebrali di Thomas in comandi di controllo. Le informazioni provenienti dalla corteccia motoria vengono decodificate dal sistema e trasmesse a una matrice di elettrodi fissati al collo, che stimola il midollo spinale. Parallelamente, agiscono gli elettrodi sull’avambraccio, attivando i muscoli che controllano la mano.

I risultati hanno superato le aspettative. Se all’inizio Thomas riusciva a malapena a sollevare il braccio sopra il bracciolo della sedia a rotelle, dopo aver collegato la stimolazione del midollo spinale tramite elettrodi cervicali, la sua forza muscolare è aumentata in modo significativo. Ora il paziente è in grado di raggiungere il proprio viso in modo autonomo.

Un ruolo particolare lo svolgono i sensori miniaturizzati sulle dita e sui palmi delle mani: trasmettono i dati relativi alla pressione e al tatto al computer, che attiva le aree corrispondenti della corteccia somatosensoriale. Il feedback ripristinato ha permesso al paziente non solo di percepire il tatto, ma anche di utilizzare queste informazioni nell’esecuzione di azioni precise. Ora Thomas può raccogliere i gusci d’uovo vuoti senza danneggiarne la fragile struttura.

Il sistema consente al paziente di sollevare la tazza e di bere da essa, guidato solo dall’intenzione mentale. Sorprendentemente, anche senza essere connesso all’interfaccia neurale, Thomas conserva la sensibilità nell’avambraccio e nel polso. Il meccanismo fisiologico di questo fenomeno rimane un mistero: forse, grazie alla neuroplasticità del cervello, si formano nuove connessioni neurali.

Bouton cita esperimenti sugli animali in cui la stimolazione elettrica promuoveva la crescita dei neuroni. Tuttavia, nel caso degli esseri umani, i miglioramenti potrebbero essere associati anche al rafforzamento delle connessioni superstiti nel sito della lesione del midollo spinale.

L'articolo Cinque Microchip per Tornare a Vivere: La Storia di Keith Thomas e il Futuro della Neurotecnologia proviene da il blog della sicurezza informatica.

To hide their activity in infected systems, APT groups resort to various techniques to bypass defenses. Most of these techniques are well known and detectable by both EPP solutions and EDR threat-monitoring and response tools. For example, to hide their activity in Windows systems, cybercriminals can use kernel-level rootkits, in particular malicious drivers. However, in the latest versions of Windows, kernel-mode drivers are loaded only if digitally signed by Microsoft. Attackers get round this protection mechanism by using legitimate drivers that have the right signature, but contain vulnerable functions that allow malicious actions in the context of the kernel. Monitoring tools track the installation of such drivers and check applications that perform it. But what if a security solution performs unsafe activity? Such software enjoys the trust of monitoring tools and doesn’t raise suspicions.

And that’s precisely what ToddyCat attackers exploited by running their tool in the context of a security solution.

Detection

In early 2024, while investigating ToddyCat-related incidents, we detected a suspicious file named
version.dll in the temp directory on multiple devices.
This 64-bit DLL, written in C++, turned out to be a complex tool called TCESB. Previously unseen in ToddyCat attacks, it is designed to stealthily execute payloads in circumvention of protection and monitoring tools installed on the device.

Kaspersky products detect this tool as
Trojan.Win64.ToddyCat.a, Trojan.Win64.ToddyCat.b.

Loading the tool

DLL proxying

Static analysis of the DLL library showed that all functions exported by it import functions with the same names from the system file
version.dll (Version Checking and File Installation Libraries).

List of functions exported by TCESB

This indicates that the attackers use a DLL-proxying technique (Hijack Execution Flow, T1574) to run the malicious code. By means of this technique, a malicious DLL exports all functions of a legitimate one, but instead of implementing them, redirects calls to these functions to the original DLL. This way, an application that loads the malicious library will continue to work as normal, with the malicious code running in the context of this application in the background.

Schematic of DLL proxying

However, this is not enough to launch malware. For a malicious DLL to be able to take control, the application that loads it must contain insecure code. Such code searches for loaded dynamic library images in folders where they should not be located. If one of these folders contains a malicious library, the vulnerable application will load it instead of the legitimate one. Microsoft has an official advisory on preventing unsafe DLL loading.

CVE-2024-11859 vulnerability in ESET Command line scanner

It took us a while to find the file that loads the TCESB tool. We studied the system directories on devices where the malicious DLLs were found. On one of these, in the same folder as TCESB, there was an extensionless executable file named
ecls. We believe that the operator, when transferring files to the device, made a mistake in the filename and moved two copies of it. After performing malicious activity, the file with the extension was deleted, while the other one remained in the system. This file turned out to be a component of ESET’s EPP solution – a scanner launched from the command line (ESET Command line scanner). Dynamic analysis showed that the scanner insecurely loads the system library version.dll, first checking for the file in the current directory, then searching for it in the system directories. This can result in a malicious DLL library being loaded, which constitutes a vulnerability. We compiled a report with a detailed description of it, and sent it to ESET as part of the Coordinated Vulnerability Disclosure process. ESET registered the CVE-2024-11859 vulnerability, then on January 21, 2025 released an update for the ecls file patching the security issue. On April 4, information about this vulnerability appeared in an ESET security advisory.
To analyze TCESB, we ran it in a virtual environment. In the address space of the ESET Command-line scanner process, we can see two
version.dll files. One is the system library, the other is the DLL of the TCESB tool.

Malicious and legitimate libraries in the memory of the ecls.exe process

Basic functionality

To determine the main functions of the malicious tool, we examined the strings located in its DLL.

Snippet of the list of strings that TCESB contains

The strings are not obfuscated. The search shows that most of them belong to the open-source malicious tool EDRSandBlast, designed to bypass security solutions. Kaspersky solutions detect it with the verdict
HEUR:HackTool.Win64.EDRSandblast.a. ToddyCat created the TCESB DLL on its basis, modifying the original code to extend the malware’s functionality. The resulting tool’s capabilities include modifying operating system kernel structures to disable notification routines, for example, about a process creation event in the system or a load event.

Searching for addresses in the kernel memory

To find the structures in the kernel memory needed to disable notification routines, TCESB determines the version of the Windows kernel in the context of which it is running. To do this, it uses the
GetNtoskrnlVersion() function.

Function for getting the Windows kernel version implemented in TCESB

Next, to get information about the memory offsets of the structures corresponding to the operating system kernel version, TCESB uses one of two data sources: a CSV or PDB file.

First, the tool checks the CSV file contained in its own resources section. Stored there in table form is information about several popular kernel versions and their corresponding offsets.

TCESB searches this file line by line for a match with the previously obtained version of the current Windows kernel.

Snippet of the function for getting and reading a CSV file from TCESB resources

We studied the CSV file in the EDRSandBlast repository and its change history. The contents of the TCESB CSV fully match the CSV data in the EDRSandBlast version of August 13, 2022, while the original malware commit of October 6, 2023 adds lines that are missing in the TCESB resource. This indicates a time period during which the creators of TCESB used the EDRSandBlast code.

If the CSV file does not contain data on structures corresponding to the required kernel version, TCESB reads their addresses from the PDB file. To get it, the malware accesses the file C:\Windows\System32\ntoskrnl.exe, which contains information about the kernel file version, and inserts the data from this file into the following template, generating a URL:
msdl.microsoft.com/download/sy…
This is the address of Microsoft debug information server, where TCESB sends a GET request to download the PDB file. The received file is saved in the current TCESB directory, and data on the offsets of the required kernel memory structures are read from it.

Vulnerable driver

To modify the kernel structures that store callbacks used to notify applications of system events, TCESB deploys the Bring Your Own Vulnerable Driver (BYOVD) technique (Exploitation for Defense Evasion, T1211). It does this by installing a vulnerable driver in the system through the Device Manager interface, using an INF file with installation information.

Snippet of decompiled code for installing the TCESB driver

TCESB uses the Dell DBUtilDrv2.sys driver, which contains the CVE-2021-36276 vulnerability. This is a utility driver used to update PC drivers, BIOS and firmware.

Launching the payload

Once the vulnerable driver is installed in the system, TCESB runs a loop in which it checks every two seconds for the presence of a payload file with a specific name in the current directory – the payload may not be present at the time of launching the tool. Presumably, this is to allow the operator to verify that the tool was run without errors, so that the payload file can be moved without risk of detection. As soon as the file appears in the path being checked, it is passed to the decryption function.

Snippet of decompiled TCESB code

The tool creates its own log file for recording all stages of execution in detail.

Example of log file contents

We studied two samples of the TCESB tool. Although we were unable to obtain the payload files, our research shows that they have different names (
kesp and ecore) and both are extensionless.
Our analysis of the tool code found that the data in the payload file is encrypted using AES-128.

Snippet of code for determining the encryption algorithm

The decryption key is in the first 32 bytes of the payload file, followed by the encrypted data block. Below is a snippet of code for reading the key:

Snippet of code for reading the key from the payload file

The key decrypts the data block:

Snippet of code for reading and decrypting the payload file

The read data is placed in memory and executed.

Takeaways

We discovered a sophisticated tool that the ToddyCat APT group tried to use for stealth execution in compromised systems. This tool exploits a chain of vulnerabilities, as well as an old version of a known open-source malware that the attackers modified to extend its functionality.

Schematic of tool operation

To detect the activity of such tools, it’s recommended to monitor systems for installation events involving drivers with known vulnerabilities. Lists of such drivers can be found on the loldrivers project website, for example. It’s also worth monitoring events associated with loading Windows kernel debug symbols on devices where debugging of the operating system kernel is not expected. We also advise using operating system tools to check all loaded system library files for the presence of a digital signature.

Indicators of compromise

Malicious Files Hashes

D38E3830C8BA3A00794EF3077942AD96
version.dll008F506013456EA5151DF779D3E3FF0F version.dll

Legitimate file for DLL proxying

8795271F02B30980EBD9950FCC141304 ESET Command-line scanner

Legitimate files for BYOVD

B87944DCC444E4C6CE9BB9FB8A9C0DEF
dbutildrv2.INFDE39EE41D03C97E37849AF90E408ABBE DBUtilDrv2.catDACB62578B3EA191EA37486D15F4F83C dbutildrv2.sys

securelist.com/toddycat-apt-ex…