Although Nintendo is mostly famous for making great games, they also have an infamous reputation for being highly litigious not only for reasonable qualms like outright piracy of their games, but additionally for more gray areas like homebrew development on their platforms or posting gameplay videos online. With that sort of reputation it’s not surprising that they don’t release open-source drivers for their platforms, especially those like the Wii U with unique controllers that are difficult to emulate. This Wii U gamepad emulator seeks to bridge that gap.

The major issue with the Wii U compared to other Nintendo platforms like the SNES or GameCube is that the controller looks like a standalone console and behaves similarly as well, with its own built-in screen. Buying replacement controllers for this unusual device isn’t straightforward either; outside of Japan Nintendo did not offer an easy path for consumers to buy controllers. This software suite, called Vanilla, aims to allow other non-Nintendo hardware to bridge this gap, bringing in support for things like the Steam Deck, the Nintendo Switch, various Linux devices, or Android smartphones which all have the touch screens required for Wii U controllers. The only other hardware requirement is that the device must support 802.11n 5 GHz Wi-Fi.

Although the Wii U was somewhat of a flop commercially, it seems to be experiencing a bit of a resurgence among collectors, retro gaming enthusiasts, and homebrew gaming developers as well. Many games were incredibly well made and are still experiencing continued life on the Switch, and plenty of gamers are looking for the original experience on the Wii U instead. If you’ve somehow found yourself in the opposite position of owning of a Wii U controller but not the console, though, you can still get all the Wii U functionality back with this console modification.

Thanks to [Kat] for the tip!

hackaday.com/2025/05/19/an-ope…

Quanto è rilevante il ruolo della community per la creazione di contenuti informativi relativi alla sicurezza cyber? Possiamo dire che è tutta una questione di stile.

O di format. E di volontà.

C’è chi predilige un approccio alla “ve lo spiego io”. Il che risulta sempre meno credibile nel momento in cui c’è la tendenza a proporsi come tuttologi senza mai riconoscere alcun contributo, merito o ispirazione ad altri soggetti. Inoltre, il rischio di transitare dal cringe al cancer diventa piuttosto rilevante.

Gli scenari di sicurezza cyber sono un multiverso particolarmente complesso. Che tenderà a richiedere skill sempre più varie, verticalizzazioni e soprattutto valorizzerà ogni esperienza. Se conoscere i fondamentali è sempre utile, anche sapere da dove si proviene non è male. E no, non significa diventare dei necromanti della tecnologia (necrotek?), ma conoscere la storia della (in)sicurezza e la sua evoluzione nel tempo.

Ci può essere spazio per l’illusione allucinatoria di una one-man-band?

Semmai, ci può essere un gruppo e un frontman. Come in un buon party c’è il face. Ma è un membro del party, per l’appunto. Chi può raccontare meglio una storia, divulgare, farla conoscere. Ma senza il supporto del gruppo sarebbe più nudo di quel Cyber Re che ritiene – errando – di poter silenziare il mondo. Ma prima o poi la realtà, che come ci ricorda Philip K. Dick ha la brutta abitudine di continuare ad esistere nonostante la nostra volontà di negarla, presenta il conto.

Insomma: la community è una mitica forgia di idee per chi fa informazione e divulgazione in ambito cyber. Il quale, beninteso, non è detto che debba essere un esperto (nota: non deve nemmeno presentarsi come “appassionato” nel tentativo di simulare understatement) ma che abbia il rispetto di riconoscere il ruolo della community, così come la dignità delle fonti e dei riconoscimenti, avendo il coraggio di impiegare anche un linguaggio tecnico senza cadere nelle trappole della banalizzazione. E resistere alla tentazione di asservirsi all’hype o al trend del momento.

Instaurare una buona sinergia con la community dà valore all’informazione. Un valore che il pubblico percepisce, dal momento che la domanda di informazione dei lettori – o dei follower – è tutto ciò che inevitabilmente, nel tempo, comanda l’offerta. Una maggiore educazione digitale, che comprende quanto meno una consapevolezza delle tecnologie, delle dinamiche della società digitale e dei comportamenti, comporta una richiesta di contenuti di qualità, interattivi e non forniti “a cucchiaiate” senza ricercare feedback o interazioni.

Dal momento che la moneta spirituale richiesta è quella del tempo e dell’attenzione, relegare il destinatario ad un ruolo passivo è non solo irrispettoso ma è una strategia destinata a fallire nel lungo periodo. Massima resa con un “effetto wow”, ma prima o poi la saturazione arriva.

Al contrario, offrire al lettore l’opportunità di assumere un ruolo attivo ed entrare a far parte della community è quell’azione di ricollocare l’umano al centro che è un intento che oggi tanto si racconta e troppo poco si persegue. Soprattutto quando bisogna fare la propria parte rinunciando a facili scorciatoie.

Grazie alla community che è e che sarà, però, si può ancora essere in grado di resistere a sacrificare la qualità dell’informazione cyber sull’altare di algoritmi e delle facili leve di engagement.
Il meme proviene dritto per dritto dalla conclusione del mio intervento alla RHC Conference 2025.
L'articolo Cyber Divulgazione: Fine della One-Man-Band? La Community è la Nuova Sicurezza proviene da il blog della sicurezza informatica.

Gli esperti del Politecnico federale di Zurigo (ETH Zurigo) hanno scoperto un problema che minaccia tutti i moderni processori Intel. Il bug consente agli aggressori di estrarre dati sensibili dalla memoria allocata ai componenti di sistema privilegiati, come il kernel del sistema operativo.

Queste aree di memoria contengono in genere informazioni quali password, chiavi crittografiche, memoria di altri processi e strutture dati del kernel, pertanto è fondamentale garantire che siano protette da perdite dei dati. Secondo i ricercatori, le protezioni contro la vulnerabilità Spectre v2 durano da circa sei anni, ma un nuovo attacco chiamato Branch Predictor Race Conditions consente di aggirarle.

La vulnerabilità associata a questo fenomeno è stata definita dagli esperti “branch privilege injection” alla quale è stata assegnato il seguente CVE-2024-45332. Questo problema causa una condizione di competizione nel sottosistema predittore di diramazione utilizzato nei processori Intel.

I branch predictors (predittori di diramazione), come il Branch Target Buffer (BTB) e l’Indirect Branch Predictor (IBP), sono componenti hardware che tentano di prevedere l’esito di un’istruzione di diramazione prima del suo completamento, al fine di ottimizzare le prestazioni. Tali previsioni sono speculative, il che significa che vengono annullate se si rivelano errate. Tuttavia, se sono corrette, contribuiscono a migliorare le prestazioni.

I ricercatori hanno scoperto che gli aggiornamenti dei branch predictors nei processori Intel non sono sincronizzati con l’esecuzione delle istruzioni, il che consente loro di “infiltrarsi” oltre i limiti dei privilegi. Pertanto, se si verifica un cambio di privilegio (ad esempio dalla modalità utente alla modalità kernel), esiste una piccola finestra temporale durante la quale l’aggiornamento potrebbe essere associato al livello di privilegio sbagliato.

Di conseguenza, l’isolamento tra l’utente e il kernel viene interrotto e un utente non privilegiato può far trapelare dati dai processi privilegiati. I ricercatori hanno creato unexploit PoC che addestra il processore a prevedere un target di branch specifico, quindi effettua una chiamata di sistema per spostare l’esecuzione al kernel del sistema operativo, con conseguente esecuzione speculativa tramite un target controllato dall’aggressore (gadget). Il codice accede quindi ai dati segreti nella cache utilizzando metodi side-channel e le informazioni vengono trasmesse all’aggressore.

I ricercatori hanno dimostrato il loro attacco su Ubuntu 24.04 con meccanismi di protezione predefiniti abilitati per leggere il contenuto del file /etc/shadow/ contenente le password degli account con hash. L’exploit raggiunge una velocità massima di estrazione dati di 5,6 KB/s e dimostra una precisione del 99,8%. Sebbene l’attacco sia stato dimostrato su Linux, il problema è presente anche a livello hardware, quindi potrebbe teoricamente essere utilizzato anche contro i sistemi Windows.

Si segnala che la vulnerabilità CVE-2024-45332 colpisce tutti i processori Intel a partire dalla nona generazione (Coffee Lake, Comet Lake, Rocket Lake, Alder Lake e Raptor Lake). Sono stati esaminati anche i chip Arm Cortex-X1, Cortex-A76 e AMD Zen 5 e Zen 4, ma non sono risultati interessati al CVE-2024-45332.

I ricercatori hanno comunicato le loro scoperte agli ingegneri Intel nel settembre 2024 e l’azienda ha rilasciato aggiornamenti del microcodice che hanno risolto il problema CVE-2024-45332. Si dice che le patch del firmware riducano le prestazioni del 2,7%, mentre le patch del software riducono le prestazioni dell’1,6-8,3% a seconda del processore.

Il team dell’ETH di Zurigo ha affermato che presenterà il suo exploit in tutti i dettagli durante una conferenza alla conferenza USENIX Security 2025.

L'articolo Scoperto un nuovo Side-Channel sui processori Intel che consente l’estrazione dei segreti dal Kernel proviene da il blog della sicurezza informatica.

Durante una conferenza nazionale dedicata alla sicurezza informatica, sono stati ufficialmente premiati enti, aziende e professionisti che nel 2024 hanno dato un contributo significativo al National Information Security Vulnerability Database (CNNVD). L’evento ha messo in luce l’importanza della collaborazione tra istituzioni pubbliche, aziende private e mondo accademico per migliorare la capacità del Paese di individuare, segnalare e mitigare le vulnerabilità nelle infrastrutture critiche.

Nel corso dell’evento sono stati consegnati undici premi distinti, tra cui il “Premio Miglior Esordiente”, il “Premio per il Contributo Eccezionale al Reporting di Alta Qualità”, quello per le “Vulnerabilità di Alta Qualità”, il premio per il “Controllo delle Vulnerabilità”, e ulteriori riconoscimenti a università, esperti tecnici e produttori impegnati nella condivisione delle informazioni. I vincitori includono grandi nomi del settore tech e della cybersicurezza cinese come Huawei, Tencent, Qi’anxin, Sangfor e molte altre realtà emergenti.

Grande attenzione è stata data anche alle collaborazioni accademiche, con premi conferiti a istituzioni come l’Università di Aeronautica e Astronautica di Pechino e l’Istituto tecnico di Qingyuan. L’importanza del contributo universitario è stata sottolineata come elemento chiave per la formazione di nuovi talenti e lo sviluppo di soluzioni innovative nel campo della sicurezza informatica.

Numerose aziende, tra cui anche i principali operatori di telecomunicazioni, fornitori energetici e realtà industriali strategiche, sono state premiate per la cooperazione nel rafforzare la sicurezza delle infrastrutture critiche. Questo dimostra come il tema della cybersicurezza sia ormai centrale per la resilienza nazionale, coinvolgendo settori trasversali e fondamentali per la stabilità del Paese.

Non sono mancati i riconoscimenti individuali: esperti tecnici selezionati per il loro contributo specifico sono stati premiati come “Specially Appointed Technical Experts of the Year”, tra cui figure provenienti da aziende leader come CyberKunlun, Huashun Xinan e Douxiang. I loro interventi hanno rappresentato un esempio di eccellenza nella risposta alle minacce informatiche.

A conclusione dell’evento, i rappresentanti delle istituzioni accademiche e aziendali hanno tenuto discorsi che hanno riaffermato la necessità di continuare a costruire un ecosistema coeso e proattivo per la gestione delle vulnerabilità.

Il CNNVD ha ribadito il proprio impegno a rafforzare il ruolo del database come punto di riferimento nazionale, ponte tra talenti, istituzioni e aziende, per garantire una sicurezza informatica sempre più avanzata e coordinata.

L'articolo In Cina il CNVD premia i migliori ricercatori di sicurezza e la collaborazione tra istituzioni e aziende proviene da il blog della sicurezza informatica.

Fabrication of uranium-based components via DLP. (Zanini et al., Advanced Functional Materials, 2024)
Within the nuclear sciences, including fuel production and nuclear medicine (radiopharmaceuticals), often specific isotopes have to be produced as efficiently as possible, or allow for the formation of (gaseous) fission products and improved cooling without compromising the fuel. Here having the target material possess an optimized 3D shape to increase surface area and safely expel gases during nuclear fission can be hugely beneficial, but producing these shapes in an efficient way is complicated. Here using photopolymer-based stereolithography (SLA) as recently demonstrated by [Alice Zanini] et al. with a research article in Advanced Functional Materials provides an interesting new method to accomplish these goals.

In what is essentially the same as what a hobbyist resin-based SLA printer does, the photopolymer here is composed of uranyl ions as the photoactive component along with carbon precursors, creating solid uranium dicarbide (UC₂) structures upon exposure to UV light with subsequent sintering. Uranium-carbide is one of the alternatives being considered for today’s uranium ceramic fuels in fission reactors, with this method possibly providing a reasonable manufacturing method.

Uranium carbide is also used as one of the target materials in ISOL (isotope separation on-line) facilities like CERN’s ISOLDE, where having precise control over the molecular structure of the target could optimize isotope production. Ideally equivalent photocatalysts to uranyl can be found to create other optimized targets made of other isotopes as well, but as a demonstration of how SLA (DLP or otherwise) stands to transform the nuclear sciences and industries.

hackaday.com/2025/05/19/3d-pri…

A lot of projects we see around here are built not just because they can be built, but because there’s no other option available. Necessity is the mother of invention, as they say. And for [Jeff] who has many thousands of dollars of food stowed in a chest freezer, his need for something to keep track of his freezer’s status was greater than any commercial offering available. Not only are freezers hard on batteries, they’re hard on WiFi signals as well, so [Jeff] built his own temperature monitor to solve both of these issues.

The obvious solution here is to have a temperature probe that can be fished through the freezer in some way, allowing the microcontroller, battery, and wireless module to operate outside of the harsh environment. [Jeff] is using K-type thermocouples here, wired through the back of the freezer. This one also is built into a block of material which allows him to get more diffuse temperature readings than a standard probe would provide. He’s also solving some other problems with commercially available probes here as well, as many of them require an Internet connection or store data in a cloud. To make sure everything stays local, he’s tying this in to a Home Assistant setup which also allows him to easily make temperature calibrations as well as notify him if anything happens to the freezer.

Although the build is very robust (or, as [Jeff] himself argues, overengineered) he does note that since he built it there have been some additional products offered for sale that fit this niche application. But even so, we always appreciate the customized DIY solution that avoids things like proprietary software, subscriptions, or cloud services. We also appreciate freezers themselves; one of our favorites was this restoration of a freezer with a $700,000 price tag.

hackaday.com/2025/05/19/overen…

Nothing caps off a great project like a good, professional-looking front panel. Looking good isn’t easy, but luckily [Accidental Science] has a tutorial for a quick-and-easy front panel technique in the video below.

It starts with regular paper, and an inkjet or laser printer to print your design. The paper then gets coated on both sides: matte varnish on the front, and white spray paint on the obverse. Then it’s just a matter of cutting the decal from the paper, and it gluing to your panel. ([Accidental Science] suggests two-part epoxy, but cautions you make sure it does not react to the paint.)

He uses aluminum in this example, but there’s no reason you could not choose a different substrate. Once the paper is adhered to the panel, another coat of varnish is applied to protect it. Alternatively, clear epoxy can be used as glue and varnish. The finish produced is very professional, and holds up to drilling and filing the holes in the panel.

We’d probably want to protect the edges by mounting this panel in a frame, but otherwise would be proud to put such a panel on a project that required it. We covered a similar technique before, but it required a laminator.If you’re looking for alternatives, Hackaday community had a lot of ideas on how to make a panel, but if you have a method you’ve documented, feel free to put in the tip line.

youtube.com/embed/ekGpPaAR3Ec?…

hackaday.com/2025/05/19/easy-p…

We all know UV radiation for its contributions to getting sunburned after a long day outside, but were you aware there are several types different types of UV rays at play? [Michael] has come up with a Flipper Zero add on board and app to measure these three types of radiation, and explained some of the nuances he learned about measuring UV along the way.

At the heart of this project is an AS7331 sensor, it can measure the UV-A, UV-B, and UV-C radiation values that the Flipper Zero reads via I2C. While first using this chip he realized to read these values is more complex than just querying the right register, and by the end of this project he’d written his own AS7331 library to help retrieve these values. There was also a some experimenting with different GUI designs for the app, the Flipper Zero screen is only 128x64px and he had a lot of data to display. One feature we really enjoyed was the addition of the wiring guide to the app, if you install this Flipper Zero app and have just the AS7331 sensor on hand you’ll know how to hook it up. However if you want he also has provided the design files for a PCB that just plugs into the top of the Flipper Zero.

Head over to his site to check out all the details of this Flipper Zero project, and to learn more about the different types of UV radiation. Also be sure to let us know about any of your Flipper Zero projects.

hackaday.com/2025/05/19/a-uv-m…

Image by [dynam1keNL] via redditBut sir! I can’t believe I missed [dynam1keNL]’s initial flat offering from about a year ago, the mikefive, which came about when he and some friends ordered switches directly from Kailh and Kailh were like, do you want to try these even lower-profile PG1316 laptop switches? It’s called the mikefive because it’s 5 mm thick.

That’s okay, though, because now you’re caught up and I can talk about his latest keyboard, the mikecinq. The inspiration for this one includes the aesthetics of Le Chiffre and the slimness of Le Oeuf. As you’ll see in the gallery, the top is ever-so-slightly slanted downward from the top.

You can see it really well in the second picture — the top row is flush with the case, and the keys gradually get taller toward the thumb clusters. All [dynam1keNL] really had to do was 3D model the new case and screw in the PCB from his daily driver mikefive.

Image by [dynam1keNL] via reddit[dynam1keNL] ultimately found it nice and comfy, especially for the thumbs, but decided to take it one step further and designed a new switch footprint. Why? The PG1316s are surface-mount with contacts below the switch, so you really need a hotplate or oven to mount them.

So in order to deal with this, he made a dedicated mikecinq PCB with big cutouts with castellated holes beneath each switch. Now, the switch contacts are accessible from underneath and can be soldered with an iron.

You may have noticed that the mikefive production files are not available on GitHub — that’s because it was recently licensed and will be available soon. But if you want production files for the mikecinq, let him know in the comments.

Cyberpunk 2077 Here In 2025

Image by [felipeparaizo] via redditWhile this Cyberpunk 2077 keyboard is certainly nice enough to be a centerfold, [felipeparaizo] has a full write-up on GitHub, so here I go talking about it at length instead!

This here is a Sofle RGB v2.1 that, as we’ve concluded, is heavily inspired by Cyberpunk 2077. The case is 3D-printed and then airbrushed, and then stickered up with custom decals that include references to Arasaka and Samurai. The acrylic base lets even more Baja Blast-colored RGB goodness shine through.

The switches are Akko Crystal Blues, which seem like a great choice, and the caps are two combined sets — one matte and one translucent. This is the second version of the project, and you can see how the first one turned out over on GitHub.

via reddit

The Centerfold: An Avalanche of Color

Image by [CaptLynx] via redditSo this right here is an Avalanche keyboard, but at 60%. Go admire the original ones real quick; I’ll wait. They’re just as lovely as this one! I love the jawbreaker-esque layers of the case, and those knobs are exquisite.

Do you rock a sweet set of peripherals on a screamin’ desk pad? Send me a picture along with your handle and all the gory details, and you could be featured here!

Historical Clackers: the Brackelsberg

The Classic Typewriter page calls the Brackelsberg syllabic typewriter “another hallucinogenic creation from the golden age of writing machine design“, and I don’t disagree.
Image via The Classic Typewriter Page
This 1897 machine had types arranged on several type sectors which swung up and down. Each sector carried about 30 types, which I take to mean characters.

The 132-key board was divided into four sectors, and they could be operated simultaneously — as in, you could type four characters at once, entering entire syllables if you so desired. Thus, it was called a syllabic typewriter.

A hammer struck from the rear, connecting the paper and ribbon with the types. It seems slow and cumbersome, doesn’t it? But Brackelsberg insisted that it was quiet, pointed out that the writing was always visible, and argued that the syllabic gimmick would make it fast and convenient to use.

Although never mass-produced, a working prototype was built and is pictured here in a photograph from Friedrich Muller’s book called Schriebmaschinen und Schriften-Vervielfältigung published in 1900.

Finally, a Keyboard That Looks Like a Typewriter and Might Not Suck

I say this because of the disappointment I suffered buying a similar Bluetooth keyboard for ten bucks from a place where everything typically costs half of that or less. The thing just stopped working one day not long after the store warranty had expired. You win some, you lose some, I suppose.
The Yunzii QL75 typewriter keyboard. Image via Yunzii
Anyway, the Yunzii QL75 ought to fare better given that it’s ten times the cost to pre-order; at least I hope it does. And much like the crappy one I have, it comes in pink.

You can choose either Onyx tactile switches or Cocoa Cream V2 linear switches. But if you don’t like those, the switches are hot-swappable and compatible with 3-pin and 5-pins both.

The keycaps are ABS with a matte chrome electroplated finish and laser-engraved legends. Yes there is RGB, but it doesn’t shine through the keycaps, more like between them, it sounds like.

Thankfully, the QL75 works with QMK and VIA if you want to change things up. This thing has three-way connectivity to the device of your choice, which, if it’s small enough, can sit right above the keyboard where the paper would go.

There’s no telling what the knobs on the sides do, if anything, although there are arrows. On mine, they raise and lower the little kickstands.

Via TweakTown

Got a hot tip that has like, anything to do with keyboards? Help me out by sending in a link or two. Don’t want all the Hackaday scribes to see it? Feel free to email me directly.

hackaday.com/2025/05/19/keebin…

L’Unione Europea ha recentemente pubblicato il Cyber Stress Testing Manual, uno strumento operativo per guidare le autorità nazionali e settoriali nella valutazione della resilienza informatica degli operatori di infrastrutture critiche, in linea con la direttiva NIS2.

Il manuale può essere adottato anche nell’ambito di altre normative, come DORA per il settore finanziario e la direttiva CER per la resilienza delle entità critiche. L’obiettivo è creare un approccio sistematico, condiviso e scalabile per rafforzare la sicurezza informatica in contesti nazionali, regionali ed europei.

I cyber stress test rappresentano un nuovo metodo di valutazione della resilienza delle organizzazioni a fronte di incidenti informatici gravi. A differenza di altri strumenti come audit, penetration test o red teaming, lo stress test informatico è pensato per analizzare sia la preparazione sia la capacità di recupero operativo, con focus su scenari realistici di rischio. Questo approccio è già stato applicato da istituzioni come la BCE e la Commissione europea, che hanno condotto test rispettivamente su banche e infrastrutture energetiche.

Il manuale propone una guida in cinque fasi: definizione degli obiettivi, progettazione degli scenari, esecuzione dei test, analisi dei risultati, e monitoraggio delle lacune riscontrate. Un’applicazione pratica di questo processo è illustrata nel settore sanitario. I test diventano così strumenti utili per instaurare un dialogo tecnico e strategico tra autorità e operatori, e possono essere condotti sia in forma volontaria che regolatoria, a seconda del contesto.

In un contesto politico europeo che punta sempre più sulla preparazione e sulla resilienza, il manuale si inserisce nel quadro normativo rafforzato dallaNIS2, dal Cyber Solidarity Act e dal Digital Operational Resilience Act. Queste politiche incoraggiano l’adozione di stress test su scenari condivisi a livello UE per rafforzare la capacità collettiva di risposta a minacce complesse e sistemiche, sia informatiche che fisiche. Strumenti come il Cyber Risk Landscape Report o il 5G Toolbox forniscono le basi di rischio su cui modellare questi scenari.

Infine, il manuale si rivolge principalmente alle autorità di sicurezza informatica nazionali, ma risulta utile anche per altri enti regolatori o decisori politici. L’obiettivo è fornire un approccio strutturato e replicabile per integrare i cyber stress test nei processi di supervisione della resilienza digitale delle infrastrutture critiche europee. Si tratta, dunque, di un passo concreto verso una difesa più integrata e anticipatoria delle minacce digitali, in un contesto di crescente complessità tecnologica e geopolitica.

L'articolo ENISA rilascia il Cyber Stress Testing Manual: svolta per la resilienza digitale europea proviene da il blog della sicurezza informatica.

Theoretically bicycle rental services are a great thing, as they give anyone the means to travel around comfortably without immediately having to rent a car, hail a taxi or brave whatever the local public transport options may be. That is until said services go out of business and suddenly thousands of increasingly more proprietary and locked-down e-bikes suddenly are at risk of becoming e-waste. So too with a recent acquisition by [Berm Peak] over at YouTube, featuring a ‘Gotcha’ e-bike by Bolt Mobility, which went AWOL back in 2022, leaving behind thousands of these e-bikes.

So how hard could it be to take one of these proprietary e-bikes and turn it into a run-off-the-mill e-bike for daily use? As it turns out, very hard. While getting the (36V) battery released and recharged was easy enough, the challenge came with the rest of the electronics, with a veritable explosion of wiring, the Tongsheng controller module and the ‘Gotcha’ computer module that locks it all down. While one could rip this all out and replace it, that would make the cost-effectiveness of getting one of these go down the drain.

Sadly, reverse-engineering the existing system proved to be too much of a hassle, so a new controller was installed along with a bunch of hacks to make the lights and new controller work. Still, for $75 for the bike, installing new electronics may be worth it, assuming you can find replacement parts and got some spare hours (or weeks) to spend on rebuilding it. The bike in the video costed less than $200 in total with new parts, albeit with the cheapest controller, but maybe jailbreaking the original controller could knock that down.

youtube.com/embed/yJC9s4XhiRE?…

hackaday.com/2025/05/19/the-ni…

Gli espertidi sicurezza hanno riportato di una piattaforma trading cinese Xinbi Guarantee, che opera sulla base di Telegram. Dal 2022 sono transitati almeno 8,4 miliardi di dollari attraverso questo mercato ombra, rendendolo il secondo mercato nero più grande dopo HuiOne Guarantee.

Secondo un rapporto degli analisti blockchain di Elliptic, Xinbi Guarantee vendeva tecnologia, dati personali e servizi di riciclaggio di denaro. “La stablecoin Tether (USDT) è il principale mezzo di pagamento per Xinbi Guarantee e, ad oggi, il volume delle transazioni ha superato gli 8,4 miliardi di dollari”, scrivono i ricercatori. “Alcune transazioni potrebbero essere collegate a fondi rubati dalla Corea del Nord.”

Xinbi, come HuiOne, ha lavorato principalmente con truffatori del Sud-Est asiatico, tra cui uno che è diventato popolare negli ultimi anni con la truffa romantica (nota anche come “macellazione del maiale”).

In questo schema, i truffatori utilizzano l’ingegneria sociale e contattano persone (“maiali”) sui social media e sulle app di incontri. Con il passare del tempo, i criminali si sono guadagnati la fiducia delle loro vittime fingendo un’amicizia o un interesse romantico e, a volte, fingendosi veri amici della vittima.

Una volta stabilito il “contatto”, a un certo punto i criminali propongono alla vittima di investire in criptovalute, per cui la vittima viene indirizzata a un sito web falso. Sfortunatamente, sarà impossibile recuperare i tuoi fondi e ricevere entrate false da tali “investimenti”.

Secondo gli esperti, Xinbi Guarantee contava circa 233.000 utenti e i venditori erano divisi in categorie legate al riciclaggio di denaro, alle apparecchiature Internet satellitari Starlink, ai falsi documenti d’identità e ai database rubati, utilizzati per trovare potenziali vittime.

Alcuni venditori offrivano anche servizi di stalking e intimidazione a qualsiasi bersaglio scelto in Cina, pubblicizzavano donne come donatrici di ovuli o madri surrogate e si dedicavano persino al traffico di esseri umani, andando ben oltre le solite truffe informatiche.

“I volumi delle transazioni su piattaforme cinesi come Huione e Xinbi Guarantee superano significativamente i volumi delle transazioni sulla prima generazione di piattaforme darknet su Tor”, sottolineano gli esperti.

Inoltre, si sottolinea che Xinbi e HuiOne Guarantee sono stati utilizzati per riciclare le criptovalute rubate dagli hacker nordcoreani dall’exchange di criptovalute indiano WazirX nel luglio dello scorso anno. Pertanto, secondo Elliptic, il 12 novembre 2024, 220.000 dollari in USDT sono stati inviati agli indirizzi wallet controllati da Xinbi.

Un aspetto interessante dell’attività di Xinbi è che è gestita da un “gruppo di società di investimento e gestione patrimoniale” registrato nello stato americano del Colorado a nome di un uomo di nome Mohd Shahrulnizam Bin Abd Manap. Secondo il registro statale delle società, Xinbi è stata costituita nell’agosto 2022 e da allora non ha presentato relazioni periodiche.

Gli esperti scrivono di aver trasmesso tutte le informazioni raccolte agli specialisti di Telegram, dopodiché l’amministrazione di Messenger ha chiuso migliaia di canali associati a Xinbi e HuiOne Guarantee, interrompendo il funzionamento di due piattaforme di trading, il cui fatturato totale supera i 35 miliardi di dollari USA in transazioni USDT.

Poco dopo, HuiOne/Haowang Guarantee ha pubblicato una dichiarazione ufficiale sul proprio sito web, affermando che avrebbe cessato le operazioni perché “tutti gli NFT, i canali e i gruppi sono stati bloccati da Telegram”. Si sottolinea che tutte le attività sul marketplace sono state condotte da venditori terzi che non avevano alcun rapporto con HuiOne Guarantee.

“Offriamo solo servizi di garanzia. Operiamo solo su Telegram, che è bloccato nella Cina continentale da molto tempo. Gli utenti della Cina continentale non possono usare Telegram, quindi i nostri clienti predefiniti sono utenti di altri Paesi”, ha dichiarato l’azienda.

In risposta a ciò, gli esperti di Elliptic hanno pubblicato un nuovo post, in cui hanno sottolineato che tali piattaforme agiscono in realtà come intermediari tra venditori e acquirenti. Tuttavia, l’amministrazione del marketplace controlla l’accesso e utilizza meccanismi di protezione dalle frodi, tra cui depositi e servizi di deposito a garanzia..

Di conseguenza, HuiOne Guarantee ha incoraggiato i suoi venditori e utenti a migrare verso un altro marketplace chiamato Tudou Guarantee, che ha già visto la sua base di utenti aumentare del 30%. Inoltre, secondo gli analisti di Elliptic, “ci sono già segnali che Xinbi stia cercando di riprendere le operazioni” con il nome Xinbi 2.0.

L'articolo Riciclaggio, Romantic Scam e Hacker Nord coreani. Dentro i mercati Telegram di Xinbi Guarantee proviene da il blog della sicurezza informatica.

The seeds of the Internet were first sown in the late 1960s, with computers laced together in continent-spanning networks to aid in national defence. However, it was in the late 1990s that the end-user explosion took place, as everyday people flocked online in droves.

Many astute individuals saw the potential at the time, and rushed to establish their own ISPs to capitalize on the burgeoning market. Amongst them was a famous figure of some repute. David Bowie might have been best known for his cast of rock-and-roll characters and number one singles, but he was also an internet entrepreneur who got in on the ground floor—with BowieNet.

Is There Dialup On Mars?

The BowieNet website was very much of its era. Credit: Bowienet, screenshot
Bowie’s obsession with the Internet started early. He was well ahead of the curve of many of his contemporaries, becoming the first major artist to release a song online. Telling Lies was released as a downloadable track, which sold over 300,000 downloads, all the way back in 1996. A year later, the Earthling concert would be “cybercast” online, in an era when most home internet connections could barely handle streaming audio.

These moves were groundbreaking, at the time, but also exactly what you might expect of a major artist trying to reach fans with their music. However, Bowie’s interests in the Internet lay deeper than mere music distribution. He wanted a richer piece of the action, and his own ISP—BowieNet— was the answer.
The site was regularly updated with new styling and fresh content from Bowie’s musical output. Eventually, it became more website than ISP. Credit: BowieNet, screenshot
Bowie tapped some experts for help, enlisting Robert Goodale and Ron Roy in his nascent effort. The service first launched in the US, on September 1st 1998, starting at a price of $19.95 a month. The UK soon followed at a price of £10.00. Users were granted a somewhat awkward email address of username@davidbowie.com, along with 5MB of personal web hosting. Connectivity was provided in partnership with established network companies, with Concentric Network Corp effectively offering a turnkey ISP service, and UltraStar handling the business and marketing side of things. It was, for a time, also possible to gain a free subscription by signing up for a BowieBanc credit card, a branded front end for a banking services run by USABancShares.com. At its peak, the service reached a total of 100,000 subscribers.

Bonuses included access to a network of chatrooms. The man himself was a user of the service, regularly popping into live chats, both scheduled and casually. He’d often wind up answering a deluge of fan questions on topics like upcoming albums and whether or not he drank tea. The operation was part ISP, part Bowie content farm, with users also able to access audio and video clips from Bowie himself. BowieNet subscribers were able to access exclusive tracks from the Earthling tour live album, LiveAndWell.com, gained early access to tickets, and could explore BowieWorld, a 3D interactive city environment. To some controversy, users of other ISPs had to stump up a $5.95 fee to access content on davidbowie.com, which drew some criticism at the time.

Bowienet relied heavily on the leading Internet technologies of the time. Audio and graphics were provided via RealAudio and Flash, standards that are unbelievably janky compared to those in common use today. A 56K modem was recommended for users wishing to make the most of the content on offer. New features were continually added to the service; Christmas 2004 saw users invited to send “BowieNet E-Cards,” and the same month saw the launch of BowieNet blogs for subscribers, too.

youtube.com/embed/tLf6KZmJyrA?…

Bowie spoke to the BBC in 1999 about his belief in the power of the Internet.

BowieNet didn’t last forever. The full-package experience was, realistically, more than people expected even from one of the world’s biggest musicians. In May 2006, the ISP was quietly shutdown, with the BowieNet web presence slimmed down to a website and fanclub style experience. In 2012, this too came to an end, and DavidBowie.com was retooled to a more typical artist website of the modern era.

Ultimately, BowieNet was an interesting experiment in the burgeoning days of the consumer-focused Internet. The most appealing features of the service were really more about delivering exclusive content and providing a connection between fans and the artist himself. It eventually became clear that Bowie didn’t need to be branding the internet connection itself to provide that.

Still, we can dream of other artists getting involved in the utilities game, just for fun. Gagaphone would have been a slam dunk back in 2009. One suspects DojaGas perhaps wouldn’t have the same instant market penetration without some kind of hit single about clean burning fuels. Speculate freely in the comments.

hackaday.com/2025/05/19/rememb…

La ricerca dei bug frutta e anche molto!

Si è concluso il Pwn2Own Berlin 2025 con risultati tecnologici impressionanti, portando il montepremi complessivo a oltre un milione di dollari. I ricercatori di sicurezza hanno dimostrato sofisticate tecniche di sfruttamento contro obiettivi di alto profilo, tra cui Windows 11, VMware ESXi e Mozilla Firefox, rivelando vulnerabilità zero-day critiche che i fornitori devono ora affrontare.

La competizione di hacking, durata tre giorni, ha messo in luce 28 vulnerabilità zero-day uniche, con i ricercatori che hanno vinto premi per un totale di 1.078.750 dollari. Il terzo giorno si sono verificati diversi exploit zero-day significativi contro le principali piattaforme. L’ex vincitore del Master of Pwn Manfred Paul ha sfruttato con successo Mozilla Firefox sfruttando una vulnerabilità di tipo integer overflow nel motore di rendering, guadagnando 50.000 dollari e 5 punti Master of Pwn.

Questo exploit che riguarda solo il rendering ha dimostrato come aggressori sofisticati possano compromettere i sistemi sfruttando le vulnerabilità del browser. La sicurezza di Windows 11 è stata violata due volte nel corso della giornata. Miloš Ivanović ha dimostrato una vulnerabilità alle condizioni di gara per aumentare i privilegi al livello SYSTEM nel tentativo finale della competizione, guadagnando 15.000 dollari.

In precedenza, un membro del team di ricerca DEVCORE aveva dimostrato con successo l’escalation dei privilegi su Windows 11, sebbene uno dei due bug utilizzati fosse già noto a Microsoft. Anche i prodotti di virtualizzazione VMware si sono dimostrati vulnerabili. Corentin BAYET di Reverse_Tactics ha sfruttato VMware ESXi sfruttando una vulnerabilità di tipo integer overflow e un bug di variabile non inizializzata precedentemente segnalato, guadagnando 112.500 dollari nonostante la collisione parziale.

Inoltre, Thomas Bouzerar ed Etienne Helluy-Lafont di Synacktiv hanno sfruttato con successo VMware Workstation tramite un buffer overflow basato su heap, guadagnando 80.000 dollari e 8 punti Master of Pwn. STAR Labs SG si è aggiudicato il titolo di vincitore assoluto, aggiudicandosi il prestigioso titolo Master of Pwn con 320.000 dollari di guadagni e 35 punti. Il loro team ha dimostrato eccezionali capacità tecniche in diverse categorie.
Immagini del Pwn2own 2025 (Fonte zerodayinitiative.com)
In una dimostrazione particolarmente impressionante, i membri del team Dung e Nguyen hanno sfruttato una condizione di competizione TOCTOU (time-of-check-to-time-of-use) per uscire da una macchina virtuale, combinandola con una convalida impropria della vulnerabilità dell’indice dell’array per aumentare i privilegi in Windows. Questa complessa catena di attacchi ha fruttato loro 70.000 dollari e 9 punti Master of Pwn.

Secondo il rapporto, l’evento di Berlino del 2025 ha segnato un traguardo significativo, con 1.078.750 dollari assegnati in tre giorni, di cui 383.750 dollari solo nell’ultimo giorno. Questo montepremi da record sottolinea la crescente importanza e il valore economico della ricerca sulla sicurezza.

Dei 28 zero-day unici e divulgati durante l’evento, sette provenivano dalla categoria AI, a dimostrazione dell’espansione della superficie di attacco dovuta alla crescente diffusione dei sistemi di intelligenza artificiale. Il formato competitivo continua a rappresentare un meccanismo efficace per identificare vulnerabilità critiche prima che soggetti malintenzionati possano sfruttarle.
Immagini del Pwn2own 2025 (Fonte zerodayinitiative.com)
L’evento, ospitato da OffensiveCon, ha riunito ricercatori e fornitori di sicurezza d’élite in un quadro di collaborazione che apporta vantaggi all’intero ecosistema tecnologico. I fornitori hanno già iniziato ad affrontare le vulnerabilità scoperte, dimostrando l’impatto pratico dell’evento sul miglioramento della sicurezza digitale per gli utenti di tutto il mondo.

L'articolo 28 zero-day in 3 giorni e oltre un milione di dollari in premi: ecco cosa è successo al Pwn2Own 2025 proviene da il blog della sicurezza informatica.

WELCOME BACK TO DIGITAL POLITICS. I'm Mark Scott. This weekend was another belter when it came to elections (we'll get to that in a minute.) But, more importantly, Austria won this year's Eurovision song contest with this entry — still not as good as this Italian winner from 2021, imo.

— Digital sovereignty is now the name of the game. That's going to lead to increased silos between how countries approach crucial tech policy issues.

— Romanians backed a pro-EU candidate to become the country's next president. That hasn't stopped many from crying foul play.

— The cost of using the most advanced AI models has fallen 280-fold over the last 18 months as companies race to woo users worldwide.

Let's get started:

digitalpolitics.co/newsletter0…

When we hear the words “pitot tube,” we tend to think more of airplanes than of air ducts, but [Franci Kopač]’s guide to pitot tubes for makers shows that they can be a remarkably versatile tool for measuring air speed, even in domestic settings.

A pitot tube is a tube which faces into an air flow, with one hole at the front of the tube, and one on the side. It’s then possible to determine the air speed by measuring the pressure difference between the side opening and the end facing into the wind. At speeds, temperatures, and altitudes that a hacker’s likely to encounter (i.e. not on an airplane), the pressure difference is pretty small, and it’s only since the advent of MEMS pressure sensors that pitot tubes became practical for amateurs.

[Franci]’s design is based on a Sensiron SDP differential pressure sensor, a 3D-printed pitot tube structure, some tubing, and the microcontroller of your choice. It’s important to position the tube well, so that it doesn’t experience airflow disturbances from other structures and faces straight into the air flow. Besides good positioning, the airspeed calculation requires you to know the air temperature and absolute pressure.

[Franci] also describes a more exotic averaging pitot tube, a fairly simple variation which measures air speed in cavities more accurately. He notes that this provides a more inexpensive way of measuring air flow in ducts than air conditioning flow sensors, while being more resilient than propeller-based solutions – he himself used pitot tubes to balance air flow in his home’s ventilation. All of the necessary CAD files and Arduino code are available on his GitHub repository.

If you’re looking for a more conventional duct flow meter, we’ve covered one before. We’ve even seen a teardown of a pitot tube sensor system from a military drone.

hackaday.com/2025/05/19/using-…