I recently picked up one of those cheap macropads (and wrote about it, of course). It is surprisingly handy and quite inexpensive. But I felt bad about buying it. Something like that should be easy to build yourself. People build keyboards all the time now, and with a small number of keys, you don’t even have to scan a matrix. Just use an I/O pin per switch.

The macropad had some wacky software on it that, luckily, people have replaced with open-source alternatives. But if I were going to roll my own, it would be smart to use something like QMK, just like a big keyboard. But that made me wonder, how much trouble it would be to set up QMK for a simple project. Spoiler: It was pretty easy.

The Hardware

Simple badge or prototype macropad? Why not both?
Since I just wanted to experiment, I was tempted to jam some switches in a breadboard along with a Raspberry Pi Pico. But then I remembered the “simple badge” project I had up on a nearby shelf. It is simplicity itself: an RP2040-Plus (you could just use a regular Pi Pico) and a small add-on board with a switch “joystick,” four buttons, and a small display. You don’t really need the Plus for this project since, unlike the badge, it doesn’t need a battery. The USB cable will power the device and carry keyboard (or even mouse) commands back to the computer.

Practical? No. But it would be easy enough to wire up any kind of switches you like. I didn’t use the display, so there would be no reason to wire one up if you were trying to make a useful copy of this project.

The Software

There are several keyboard firmware choices out there, but QMK is probably the most common. It supports the Pico, and it’s well supported. It is also modular, offering a wide range of features.

The first thing I did was clone the Git repository and start my own branch to work in. There are a number of source files, but you won’t need to do very much with most of them.

There is a directory called keyboards. Inside that are directories for different types of keyboards (generally, brands of keyboards). However, there’s also a directory called handwired for custom keyboards with a number of directories inside.

There is one particular directory of interest: onekey. This is sort of a “Hello World” for QMK firmware. Inside, there are directories for different CPUs, including the RP2040 I planned to use. There are many other choices, though, if you prefer something else.

Surprise!

Quick guide to the files of interest.
So, that directory probably has a mess of files in it, right? Not really. There are five files, including a readme, and that’s it. Of those, there are only two I was going to change: config.h and keyboard.json. In addition, there are a few files that may be important in the parent directory: config.h, onekey.c, and info.json.

I didn’t want to interfere with the stock options, so I created a directory at ~/qmk_firmware/keyboards/handwired/hackaday. I copied the files from onekey to this directory, along with the rp2040 and keymap directories (that one is important). I renamed onekey.c to hackaday.c.

It seems confusing at first, but maybe the diagram will help. This document will help, too. The good news is that most of these files you won’t even need to change. Essentially, info.json is for any processor, keyboard.json is for a specific processor, and keymap.json goes with a particular keymap.

Changes

The root directory config.h didn’t need any changes, although you can disable certain features here if you care. The hackaday.c file had some debugging options set to true, but since I wanted to keep it simple, I set them all to false.

The info.json file was the most interesting. You can do things like set the keyboard name and USB IDs there. I didn’t change the rest, even though the diode_direction key in this file won’t be used for this project. For that matter, the locking section is only needed if you have physical keys that actually lock, but I left it in since it doesn’t hurt anything.

In the rp2040 directory, there are more changes. The config.h file allows you to set pin numbers for various things, and I also put some mouse parameters there (more on that later). I didn’t actually use any of these things (SPI and the display), so I could have deleted most of this.

But the big change is in the keyboard.json file. Here you set the processor type. But the big thing is you set up keys and some feature flags. Usually, you describe how your keyboard rows and columns are configured, but this simple device just has direct connections. You still set up fake rows and columns. In this case, I elected to make two rows of five columns. The first row is the four buttons (and a dead position). The second row is the joystick buttons. You can see that in the matrix_pins section of the file.

The layouts section is very simple and gives a name to each key. I also set up some options to allow for fake mouse keys and media keys (mousekey and extrakey set to true). Here’s the file:
{
"keyboard_name": "RP2040_Plus_Pad",
"processor": "RP2040",
"bootloader": "rp2040",
"matrix_pins": {
"direct": [
["GP15", "GP17", "GP19", "GP21", "NO_PIN"],
["GP2", "GP18", "GP16", "GP20", "GP3"]
]
},
"features": {
"mousekey": true,
"extrakey": true,
"nkro": false,
"bootmagic": false
},
"layouts": {
"LAYOUT": {
"layout": [
{ "label":"K00", "matrix": [0, 0], "x": 0, "y": 0 },
{ "label": "K01", "matrix": [0, 1], "x": 1, "y": 0 },
{ "label": "K02", "matrix": [0, 2], "x": 2, "y": 0 },
{ "label": "K03", "matrix": [0, 3], "x": 3, "y": 0 },
{ "label": "K10", "matrix": [1, 0], "x": 0, "y": 1 },
{ "label": "K11", "matrix": [1, 1], "x": 1, "y": 1 },
{ "label": "K12", "matrix": [1, 2], "x": 2, "y": 1 },
{ "label": "K13", "matrix": [1, 3], "x": 3, "y": 1 },
{ "label": "K14", "matrix": [1, 4], "x": 4, "y": 1 }
]
}
}
}

The Keymap

It still seems like there is something missing. The keycodes that each key produces. That’s in the ../hackaday/keymaps/default directory. There’s a json file you don’t need to change and a C file:
#include QMK_KEYBOARD_H

const uint16_t PROGMEM keymaps[][MATRIX_ROWS][MATRIX_COLS] = {
[0] = LAYOUT(
// 4 buttons
KC_KB_VOLUME_UP, KC_KB_MUTE, KC_KB_VOLUME_DOWN, KC_MEDIA_PLAY_PAUSE,
// Mouse
QK_MOUSE_CURSOR_UP, QK_MOUSE_CURSOR_DOWN,
QK_MOUSE_CURSOR_LEFT, QK_MOUSE_CURSOR_RIGHT,
QK_MOUSE_BUTTON_1
),
};
. . .

Mousing Around

I didn’t add the mouse commands until later. When I did, they didn’t seem to work. Of course, I had to enable the mouse commands, but it still wasn’t working. What bit me several times was that the QMK flash script (see below) doesn’t wait for the Pi Pico to finish downloading. So you sometimes think it’s done, but it isn’t. There are a few ways of solving that, as you’ll see.

Miscellaneous and Building

Installing QMK is simple, but varies depending on your computer type. The documentation is your friend. Meanwhile, I’ve left my fork of the official firmware for you. Be sure to switch to the rp2040 branch, or you won’t see any differences from the official repo.

There are some build options you can add to rules.mk files in the different directories. There are plenty of APIs built into QMK if you want to play with, say, the display. You can also add code to your keymap.c (among other places) to run code on startup, for example. You can find out more about what’s possible in the documentation. For example, if you wanted to try an OLED display, there are drivers ready to go.

The first time you flash, you’ll want to put your Pico in bootloader mode and then try this:
qmk flash -kb handwired/hackaday/rp2040 -km default
If you aren’t ready to flash, try the compile command. You can also use clean to wipe out all the binaries. The binaries wind up in qmk_firmware/.build.

Once the bootloader is installed the first time (assuming you didn’t change the setup), you can get back in bootloader mode by double-tapping the reset button. The onboard LED will light so you know it is in bootloader mode.

It is important to wait for the Pi to disconnect, or it may not finish programming. Adding a sync command to the end of your flash command isn’t a bad idea. Or just be patient and wait for the Pi to disconnect itself.

Usually, the device will reset and become a keyboard automatically. If not, reset it yourself or unplug it and plug it back in. Then you’ll be able to use the four buttons to adjust the volume and mute your audio. The joystick fakes being a mouse. Don’t like that? Change it in keymap.c.

There’s a lot more, of course, but this will get you started. Keeping it all straight can be a bit confusing at first, but once you’ve done it once, you’ll see there’s not much you have to change. If you browse the documentation, you’ll see there’s plenty of support for different kinds of hardware.

What about debugging? Running some user code? I’ll save that for next time.

Now you can build your dream macropad or keyboard, or even use this to make fake keyboard devices that feed data from something other than user input. Just remember to drop us a note with your creations.

hackaday.com/2025/08/20/instan…

There are probably at least as many ways to construct a robotic arm as there are uses for them. In the case of [Thomas Sanladerer] his primary requirement for the robotic arm was to support a digital camera, which apparently has to be capable of looking vaguely menacing in a completely casual manner. Meet Caroline, whose styling and color scheme is completely coincidental and does not promise yummy moist cake for anyone who is still alive after all experiments have been run.

Unlike typical robotic arms where each joint in the arm is directly driven by a stepper motor or similar, [Thomas] opted to use a linear rail that pushes or pulls the next section of the arm in a manner that’s reminiscent of the action by the opposing muscles in our mammalian appendages. This 3D printer-inspired design is pretty sturdy, but the steppers like to skip steps, so he is considering replacing them with brushless motors.

Beyond this, the rest of the robotic arm uses aluminium hollow stock, a lot of 3D printed sections and for the head a bunch of Waveshare ST3215 servos with internal magnetic encoder for angle control. One of these ~€35 ST3215s did cook itself during testing, which is somewhat worrying. Overall, total costs was a few hundred Euro, which for a nine-degree robotic arm like this isn’t too terrible.

youtube.com/embed/rKyJm80RxE0?…

hackaday.com/2025/08/20/buildi…

Check (or cheques) have long been a standard way for moving money from one bank account to another. They’re essentially little more than a codified document that puts the necessary information in a standard format to ease processing by all parties involved in a given transaction.

The check was once a routine, if tedious, way for the average person to pay for things like bills, rent, or even groceries. As their relevance continues to wane in the face of newer technology, though, the Australian government is making a plan to phase them out for good.

Put Some Respect On My Check

Check use has been in heavy decline in recent decades. Credit: Treasury.gov.au
The pending demise of the checks was first floated in June 2023, with the release of the government’s Strategic Plan for Australia’s Payments System. With the rise of credit and debit cards, digital payments via smartphones, and Osko instant bank transfers, checks had diminished to a lower level of importance than ever.

Government statistics indicated that checks were used for less than 0.1% of retail payments within Australia. In 2004, over 10,000,000 personal checks were used every month. Fast forward to 2024, and that number had dwindled to somewhere below 300,000. As volumes have fallen, the price of processing individual checks has effectively increased. In an era where digital payments happen instantly for near-zero cost, a check can take 3 to 7 days to clear, with government statistics stating processing costs for a single check now exceed $5.

Ultimately, the check is now seen as a slow and unwieldy way to make payments, and one no longer worthy of being maintained into the future. Companies have even been questioned openly in the media for the rationale of still using checks to issue refunds in this day and age. The rationale is that winding down the check system for good will lead users to prioritize cheaper, faster methods of transferring money. The aim is to reduce transaction costs, improve productivity in the financial system, and just generally grease the wheels of commerce across the country.
The Australian Payments Network issued design specifications for Australian checks, last updated in 2017, but these will soon be defunct. Credit: Australian Payments Network
The current transition plan has two major milestones. By 30 June 2028, Australian banks will cease issuing personal, commercial, government, and bank checks. Any check written after this date will not be accepted and effectively deemed invalid, with no payment made. By 30 September 2029, financial institutions will cease accepting personal, commercial, government and bank cheques entirely. Any remaining checks, whenever created, will effectively be void.

These dates were chosen specifically because personal, commercial, and government checks go “stale” 15 months after they are first drawn. Thus, checks of these types that are written on the very last valid day will still be able to be cashed in the usual period of validity before the system is shut down for good. The intention is that there will be no checks that would otherwise still be valid to cash past 30 September 2029 had the system not been closed. Bank checks do not technically go “stale,” so there is still an open question as to whether there will be a need to honor unpresented bank checks after this date.

There are still a few years left until the big shut down. This gives the government and financial institutions time to ensure they have alternative payment methods in place for the handful of remaining check use cases. There are some concerns that various banks may attempt to leave the checking system prior to the government shut down date, burdening other financial institutions with the costs of keeping the system afloat until the end. The government has stated its expectations that banks will work together to ensure a smooth transition.

To that end, there are exit conditions expected to be adhered to for banks that are shutting down checking. Tier 1 banks are expected to maintain operations until the end date to support smaller institutions that rely on them for check clearing services. Additionally, banks which cease checking operations must still remain members of the Australian Paper Clearing System and fund the system. Banks will also need to provide 6 month warnings to customers ahead of any decision to shut down their checking operations.

While the domestic Australian checking system will shut down, this will not impact foreign checks coming into the country. Since these checks are processed outside the existing Australian checking system, this will not be an issue—financial institutions that process foreign checks will continue to do so.

hackaday.com/2025/08/20/death-…

Any serious journalist would tell you that it’d be journalistic malpractice for a local journalist not to report that a prominent public official listed a boarded-up house as his official residence in order to claim eligibility for his position. But that’s not how John Sarcone III, acting U.S. attorney for the Northern District of New York, sees it.

He was reportedly “incensed” by reporting from the Times Union of Albany and ordered his subordinates to remove it from his office’s media list. In response, Freedom of the Press Foundation (FPF), Demand Progress Education Fund, and Reinvent Albany have filed a complaint against Sarcone with New York’s Attorney Grievance Committee.

As the complaint explains, “Sarcone is the chief legal officer charged with enforcing federal law in a district that covers over 30,000 square miles and is home to 3.4 million people. And yet he either does not know or does not care about the ‘practically universal agreement that a major purpose of [the First] Amendment was to protect the free discussion of governmental affairs.’”

The complaint requests that the Committee open an investigation to determine whether Sarcone's conduct violates New York’s Rules of Professional Conduct, and exercise its power to impose sanctions, which can include disbarment.

FPF’s Director of Advocacy Seth Stern said: “All licensed attorneys — but especially top prosecutors entrusted to protect the public, not just their clients — should know better than to retaliate against newspapers for basic public-interest journalism. Sarcone has repeatedly abused his office in his brief tenure. The committee should ensure he can no longer undermine the Constitution and embarrass the legal profession.”

Demand Progress Education Fund Special Advisor Kate Oh stated: “A prosecutor who so flagrantly disregards his ethical and professional obligations and tramples over the First Amendment rights of the press should not be empowered to enforce the laws of our nation. Sarcone’s professional history is littered with red flags and must be investigated. No less than the public’s faith in the rule of law is at stake.”

Reinvent Albany Executive Director John Kaehny said: “With great power comes great responsibility, and U.S. Attorneys like John Sarcone are among the most powerful people in America. Unfortunately, Mr. Sarcone has grossly abused his authority and betrayed the public trust. Mr. Sarcone's flagrant misuse of his authority to retaliate against the Albany Times-Union and his repeated, well-documented dishonesty are completely unacceptable, unethical, and violate basic democratic norms and rules of professional conduct. The Times Union is one of the most respected newspapers and civic institutions in New York, and it's chilling to see it attacked by an unethical U.S. Attorney with a personal grievance.”

You can read the complaint here or below. If you’d like further comment, please contact media@freedom.press or eric@demandprogress.org ,or info@reinventalbany.org.

freedom.press/static/pdf.js/we…

freedom.press/issues/rights-gr…

Heating things up is one of the biggest sources of cost and emissions for many industrial processes we take for granted. Most of these factories are running around the clock so they don’t have to waste energy cooling off and heating things back up, so how can you match this 24/7 cycle to the intermittent energy provided by renewables? This MIT spin-off thinks one solution is thermal storage refractory bricks.

Electrified Thermal Solutions takes the relatively simple technology of refractory brick to the next level. For the uninitiated, refractory bricks are typically ceramics with a huge amount of porosity to give them a combination of high thermal tolerance and very good insulating properties. A number of materials processes use them to maximize the use of the available heat energy.

While the exact composition is likely proprietary, the founder’s Ph.D. thesis tells us the bricks are likely a doped chromia (chrome oxide) composition that creates heat in the brick when electrical energy is applied. Stacked bricks can conduct enough current for the whole stack to heat up without need for additional connections. Since these bricks are thermally insulating, they can time shift the energy from solar or wind energy and even out the load. This will reduce emissions and cost as well. If factories need to pipe additional grid power, it would happen at off-peak hours instead of relying on the fluctuating and increasing costs associated with fossil fuels.

If you want to implement thermal storage on a smaller scale, we’ve seen sand batteries and storing heat from wind with water or other fluids.

hackaday.com/2025/08/20/therma…

Dagli eventi che hanno portato all’arresto di Ross Ulbricht, manager di Silk Road, comincia il saggio Algoritmo Criminale. Come Mafia, cyber e AI riscrivono le regole del gioco, pubblicato a ottobre 2024 per i tipi del Sole24ore da Pierguido Iezzi e Ranieri Razzante. La tesi centrale è che l’attività illecita delle grandi organizzazioni criminali non sia più distinguibile dal cybercrime.

Dall’operazione della Polizia Italiana contro il clan Bonavota al Pig butcherin’ delle mafie asiatiche, dalle truffe romantiche del clan nigeriano Black Axe, fino alle ransomware gangs russe, il racconto si snoda lungo varie direttrici per provare a dimostrare questa tesi.

Non tutti i riferimenti sono recenti e alcune esempi meriterebbero una esplicita bibliografia, visto che anche i due autori parlano della complessità dell’attribuzione dei crimini agli attori del cyberspace, e tuttavia il discorso complessivo risulta convincente come nella parte in cui si descrivono i tipi di IA oggi disponibili sul mercato e che consentono una serie nuova di truffe, frodi e crimini informatici.
Scritto in maniera semplice e chiara è il contributo nella descrizione dei singoli crimini informatici e di quello che si può trovare nel DarkWeb: eroina, cocaina, barbiturici, carte di credito rubate. A spacciare droghe e informazioni ci pensano i blackmarket del web oscuro, secondo gli autori il vero luogo d’incontro tra criminalità organizzata e cybercrime (anche se non viene fatto cenno ai suoi usi positivi da parte di giornalisti d’inchiesta, dissidenti politici e credenti di religioni fuorilegge).

Interessanti sono gli esempi sull’uso che le mafie, nigeriana e albanese, e il cybercrime russo, fanno della tecnologia per sfruttare vulnerabilità umane e tecnologiche e condurre i loro affari: estorsioni e riciclaggio, soprattutto, come avevano ben spiegato Nicola Gratteri e Antonio Nicaso nel libro Il Grifone. Molto azzeccata pare la riflessione sul panorama criminale russo verso il quale il regime di Putin chiude un occhio nel caso in cui i suoi attori siano utili agli scopi statuali, sempre governati dalle agenzie di intelligence della Federazione russa.

Un capitolo utile è quello sull’hacking cerebrale, altro campo d’interesse non solo per le mafie ma soprattutto per i militari. I due autori, infatti, argomentano di come con l’avvento di chip e innesti cerebrali (tipo il Neuralink di Musk) e delle interfacce cervello-computer, già in uso nelle scuole cinesi per il controllo dell’attenzione degli studenti, si apra una nuova era per la manipolazione diretta delle percezioni, del pensiero e del comportamento umani.

Interessante, è infine, ancorché di tipo giuridico, la parte che riguarda l’uso illecito delle IA. Sì, proprio quelle a cui affidiamo le nostre informazioni più segrete e più intime. Anche lo sviluppo di questo settore è strettamente monitorato dalla criminalità che cerca sempre nuovi modi per aggirare le leggi e sfuggire gli interventi repressivi dei governi.

dicorinto.it/articoli/recensio…

La mia personale selezione

LIBRI per l’Estate:

1. Roberto Baldoni, Sovranità digitale. Cos’è e quali sono le principali minacce al cyberspazio nazionale (Il Mulino, 2025)

Gli attacchi cibernetici, la disinformazione globale, l’uso letale dell’intelligenza artificiale, sono le diverse espressioni in cui si declina oggi la guerra algoritmica e rappresentano la maggiore minaccia alla sovranità digitale. Roberto Baldoni disegna un manuale di sopravvivenza di fronte ai rischi della perdita del controllo dl cyberspace.

• David Colon, La Guerra dell’Informazione. Gli Stati alla conquista delle nostre menti (Piccola Biblioteca Einaudi, 2025).

Secondo il professore francese, docente di Storia della comunicazione, media e propaganda presso lo Sciences Po Centre d’Histoire di Parigi, nell’era dell’intelligenza artificiale e della guerra cognitiva, i mezzi di comunicazione tradizionali prima e i social media dopo sono il teatro di un conflitto senza esclusione di colpi, che ha come posta in gioco le nostre menti.

• Francesco Filippi, Cinquecento anni di rabbia. Rivolte e mezzi di comunicazione da Gutenberg a Capitol Hill (Bollati Boringhieri, 2024)

L’invenzione della stampa a caratteri mobili e la capillare diffusione di fogli stampati favorì non solo alla fine del monopolio nell’interpretazione della parola di Dio ma l’organizzazione delle rivolte contadine del ‘600. I social media che favoriscono la polarizzazione delle opinioni hanno portato la fine dell’illusione delle democrazia americana favorendo l’assalto al Congresso degli Stati Uniti, a Capitol Hill, Il 6 gennaio 2021 da parte di una folla inferocita. Filippi racconta lo stretto rapporto che intercorre tra le rivolte e i mezzi di comunicazione dal Cinquecento a oggi. Con un messaggio centrale: chi controlla i mezzi di informazione domina il racconto pubblico e controlla il potere.

• Chris Miller, ChipWar. La sfida tra Cina e Usa per la tecnologia che deciderà il nostro futuro (Garzanti, 2024).

L’autore nel saggio ricostruisce in modo approfondito il complesso scontro geopolitico in atto tra Usa e Cina per il controllo dello sviluppo e della produzione dei microprocessori.

• Antony Loewenstein, Laboratorio Palestina. Come Israele esporta la tecnologia dell’occupazione in tutto il mondo (Fazi Editore, 2024).

Il miracolo economico e cibernetico israeliano è frutto della logica di sopraffazione ai danni del popolo palestinese che, stretto nei territori occupati, è il bersaglio perfetto delle sue tecnologie della sorveglianza e di repressione, le cui qualità possono essere appunto osservate, anche dai compratori, sul campo.

• Yuval Noah Harari, Nexus. Breve storia delle reti di informazione dall’età della pietra all’IA (Bompiani, 2024).

Lo studioso ripercorre la storia della comunicazione dagli albori ad oggi per raccontare come la disinformazione sia un potente strumento di controllo usato da ogni istituzione totale in senso foucaultiano. Con una tesi peculiare: la sovrabbondanza di notizie nel libero mercato dell’informazione non ci salverà.

• Davide Bennato, La società del XXI secolo. Persone dati e tecnologie, (Laterza, 2024)

Nel suo libro Davide Bennato si chiede se noi siamo il nostro profilo Facebook, se è possibile che il Bitcoin abbia prodotto una crisi in Kazakstan, se le IA siano agenti sociali oppure no. Racconta perché esistono e a cosa servono i Big-Data, cos’è il Dataismo (la religione dei dati), come i dati diventano il carburante dell’intelligenza artificiale e come accelerino le mutazioni antropologiche che stiamo vivendo.

• Matteo Pasquinelli, The Eye of the Master. A social history of Artificial Intelligence (Verso Books 2023).

La tesi dell’autore, non proprio originale, ma molto documentata e rigorosamente descritta nel libro, è che l’IA rappresenti solo un altro passaggio dell’automazione del lavoro umano che porta inevitabilmente all’alienazione del lavoratore separandolo dal prodotto della sua fatica. Prima accadeva con l’operaio specializzato, oggi accade ai turchi meccanici che annotano i dati di addestramento dell’IA e si occupano dell’allineamento di ChatGPT.

• Sam Kean, La Brigata dei bastardi. La vera storia degli scienziati e delle spie che sabotarono la bomba atomica nazista (Adelphi, 2022).

Sam Kean racconta la storia dell’impresa degli uomini straordinari che cercarono in tutti i modi di impedire alla Germania di costruire la bomba atomica. La bomba, ne erano convinti, avrebbe cambiato le sorti della guerra, e del mondo. E chi ci lavorava andava fermato.

dicorinto.it/articoli/recensio…

Gli specialisti di Red Canary hanno scoperto un’insolita campagna che utilizza il nuovo malware DripDropper, prendendo di mira i server cloud Linux. Gli aggressori hanno ottenuto l’accesso tramite la vulnerabilità CVE-2023-46604 in Apache ActiveMQ dopodiché hanno preso piede nel sistema e hanno installato una patch per chiudere proprio quella falla dalla quale erano entrati.

Questa mossa paradossale ha permesso loro non solo di coprire le proprie tracce, ma anche di bloccare l’accesso ai concorrenti, lasciando il server infetto sotto il loro completo controllo.

Gli analisti hanno registrato l’esecuzione di comandi di ricognizione su decine di host vulnerabili. Su alcuni di essi, gli aggressori hanno implementato strumenti di controllo remoto, da Sliver ai tunnel di Cloudflare , fornendo comunicazioni segrete a lungo termine con i server C2 . In un episodio, hanno modificato le impostazioni sshd, incluso l’accesso root, e hanno avviato il downloader DripDropper.

DripDropper è un file ELF creato tramite PyInstaller, protetto da password e che comunica con l’ account Dropbox degli aggressori tramite un token. Lo strumento crea file dannosi aggiuntivi, li installa nel sistema tramite cron e apporta modifiche alle configurazioni SSH, aprendo nuove vie di accesso occulte agli operatori. L’utilizzo di servizi cloud legittimi come Dropbox o Telegram come canali C2 consente alle attività dannose di mascherarsi da normale traffico di rete.

L’ultimo passaggio dell’attacco è stato scaricare e installare le patch JAR ufficiali di ActiveMQ dal dominio Apache Maven. In questo modo, gli aggressori hanno chiuso la vulnerabilità attraverso la quale erano penetrati, riducendo al minimo il rischio di ripetute scansioni di compromissione e di interferenze da parte di altri hacker.

Gli esperti sottolineano che lo sfruttamento di CVE-2023-46604 continua nonostante la sua età e viene utilizzato non solo per DripDropper, ma anche per la distribuzione di TellYouThePass , del malware HelloKitty o del miner Kinsing .

Per ridurre i rischi, gli esperti raccomandano alle organizzazioni di rafforzare la protezione degli ambienti Linux , soprattutto nel cloud: utilizzare la gestione automatizzata della configurazione tramite Ansible o Puppet, impedire gli accessi root, eseguire servizi da utenti senza privilegi, implementare tempestivamente le patch e controllare le regole di accesso alla rete. Anche il monitoraggio dei log dell’ambiente cloud svolge un ruolo importante, consentendo di rilevare tempestivamente attività sospette.

Il caso dimostra chiaramente che anche una vulnerabilità “corretta” non garantisce la sicurezza se la correzione è stata fornita dagli aggressori stessi. Documentare gli aggiornamenti e fornire una risposta tempestiva da parte degli amministratori rimangono fattori chiave per la protezione dei sistemi critici.

L'articolo Quando i Criminal Hacker patchano al posto tuo i server Linux! E non è cosa buona proviene da il blog della sicurezza informatica.

Il Cyberpandino ha compiuto l’impensabile: attraversare continenti, deserti e catene montuose fino a raggiungere il traguardo del Mongol Rally. Un’impresa folle e visionaria, nata dall’idea di spingersi oltre i limiti della tecnologia e della resistenza umana, a bordo di un piccolo mezzo che ha dimostrato di avere il cuore grande quanto la sua missione. Concludere questa avventura non è stato solo un traguardo sportivo, ma un simbolo della capacità di trasformare una sfida impossibile in una leggenda vivente e noi di Red Hot Cyber abbiano subito sposato l’idea di Matteo e Roberto.

Il viaggio è stato un susseguirsi di ostacoli e meraviglie: strade dissestate, confini complessi, notti fredde sotto le stelle e giornate interminabili in cui la meta sembrava lontanissima. Ogni chilometro percorso è stato una conquista, ogni problema meccanico una lezione di resilienza, ogni incontro con le persone lungo la strada un ricordo indelebile.

Il Cyberpandino non ha semplicemente viaggiato: ha intrecciato storie, culture ed emozioni lungo tutta la sua rotta.

Arrivare al traguardo è stato come vivere un sogno a occhi aperti. L’ultima tappa non è stata solo un punto geografico, ma un simbolo della forza di volontà e della passione che hanno alimentato questa impresa. Non c’erano scorciatoie, non c’era un percorso, ma solo la destinazione e la determinazione di dimostrare che anche un’idea folle può diventare realtà quando viene portata avanti con coraggio e creatività.

Ora, però, comincia una nuova sfida: tornare indietro. Perché se l’andata è stata un’avventura verso l’ignoto, il ritorno rappresenta la prova della vera forza. Non si tratta soltanto di ripercorrere le stesse strade, ma di affrontare ancora una volta i chilometri con la consapevolezza che la missione principale è stata completata. È il momento di guardare al viaggio non più come a una sfida, ma come a un racconto già inciso nella memoria collettiva.

Il Mongol Rally ha messo alla prova uomini e mezzi, ma soprattutto ha rivelato quanto grande possa essere lo spirito umano quando incontra l’imprevedibilità della strada. Il Cyberpandino ha dimostrato che la grandezza non risiede nella potenza dei motori o nella perfezione della tecnologia, ma nella capacità di non arrendersi mai, di saper sorridere anche quando tutto sembra remare contro.

E così la missione si conclude, con il cuore pieno e la strada ancora davanti.

Il Cyberpandino ha scritto una pagina epica, un’ode alla follia positiva che trasforma il viaggio in leggenda.

Non importa quanto lungo sarà il ritorno: ciò che conta è che la bandiera è stata piantata e il traguardo conquistato. Questa non è stata solo un’avventura, ma una dichiarazione al mondo intero: che anche i sogni più assurdi, se guidati con passione, possono diventare storia e realtà.

Di seguito la lettera consegnata al traguardo ai partecipanti.
Hai fatto centro, e il Rally è davvero iniziato. Sono già due cose meravigliose.

È stato estremamente divertente vedervi tu e le vostre piccole belve navigare fino alla fine del pianeta. E vedere che lo spirito dell’Avventurista scorre ancora forte nelle vene di questa follia, dopo tutti questi anni, è meraviglioso. Non mi sorprende. Ancora una volta.

Il Mongol Rally è un’impresa davvero sanguinosa, e senza sembrare uno di quei tizi sdolcinati che lavorano in una stanza di meditazione circondata da candele, è un viaggio di cui parlerai con nostalgia per il resto dei tuoi giorni. Con un po’ di fortuna, annoiando a morte chiunque ti ascolti.

Spero che tu ti sia goduto ogni momento. E, prima o poi, anche i momenti di merda – quando hai rotto un semiasse in mezzo al nulla, o quando hai bucato tutte e quattro le gomme in una giornata sola, o quando sei rimasto bloccato tra due posti di frontiera senza poter andare né avanti né indietro, o quando hai perso il passaporto – diventeranno i momenti migliori. Certamente meglio di “Ehi, ci siamo seduti su un’autostrada e abbiamo attraversato l’intera via senza che succedesse assolutamente nulla”. Non è proprio un gran aneddoto da raccontare al pub.

La vita normale può sembrare un bel colpo basso dopo aver completato qualcosa di così enorme. Quindi la domanda che devi farti ora è: qual è il prossimo passo?

Ti lascio riflettere su questo mentre ti godi la gloria dell’essere un veterano del Mongol Rally. Grazie per averne fatto parte. Siamo orgogliosi di averti con noi. Qui c’è la tua toppa ufficiale dell’evento. Oltre a rendere infinitamente più cool qualsiasi cosa ci sia attaccata (soprattutto te), è garantito che ti terrà in vita per sempre. Forse. Deve essere indossata in ogni occasione da ora in avanti.

Saluti,
Firmato Tom

Tom
Fondatore degli Adventurists e capo delle lettere insolitamente ispiratrici
L'articolo Il Cyberpandino taglia il traguardo! L’importante è il percorso, non la destinazione proviene da il blog della sicurezza informatica.

To anyone who remembers Y2K, Sony’s MiniDisc format will probably always feel futuristic. That goes double for Sony’s MZ-RH1, the last MiniDisk recorder ever released, back in 2006. It’s barely larger than the diminutive disks, and its styling is impeccable. There’s a reason they’ve become highly collectible and sell for insane sums on e-Bay.

Unfortunately, they come with a ticking time-bomb of an Achilles heel: the first-generation OLED screens. Failure is not a question of if, but when, and many units have already succumbed. Fortunately enterprising hacker [Sir68k] has come up with replacement screen to keep these two-decade old bits of the future alive.
Replacement screens glowing brightly, and the custom firmware showing track info, something you’d never see on a stock RH1.
Previous revisions required some light surgery to get the twin OLED replacement screens to fit, but as of the latest incarnation (revision F+), it’s now a 100% drop-in replacement for the original Sony part. While it is a drop-in, don’t expect it to be easy. The internals are very densely packed, and fairly delicate — both in the name of miniaturization. You’ll need to break out the micro-screwdrivers for this one, and maybe some magnifiers if your eyes are as old as ours. At least Sony wasn’t gluing cases together back in 2006, and [Sir68k] does provide a very comprehensive repair guide.

He’s even working on new firmware, to make what many considered best MD recorder better than ever. It’s not ready yet, but when it is [Sir68k] promises to open-source the upgrade. The replacement screens are sadly not open source hardware, but they’re a fine hack nonetheless.

We may see more MiniDisc hacks as the format’s apparent revival continues. Things like adding Bluetooth to the famously-cramped internals, or allowing full data transfer — something Sony was unwilling to allow until the RH1, which is one of the reasons these units are so desirable.

hackaday.com/2025/08/20/revivi…

Le gazzette amano presentarsi come espressioni di "libera informazione" e puntello della democrazia. Questo, a sentire chi ci scrive. In concreto, e da anni, sono invece alle prese con tirature da ridimensionare, vendite a rotta di collo, bilanci tenuti in piedi dal Dipartimento dell'Editoria (sempre che basti), e linee editoriali surreali dove la gara a chi ospita le opinioni e gli intenti più sporchi anche dal punto di vista morale pare non avere seri limiti.
A tutto questo nel mese di agosto si aggiunge anche una costante scarsità di argomenti.
Nel 2025 i foglietti della costa toscana hanno chiuso i numeri dedicando spazio a Leonardo Pistoia. Che sarebbe un ventunenne di Viareggio cui piace <i>quella politica che si regge su ideali e principi anche se molto rara</i>, o almeno così garantisce la sua autoschedatura sul Libro dei Ceffi (qui su Archive).
Gli ideali e i principi che apprezza gli hanno fatto guadagnare qualche ora di relativa notorietà come organizzatore di passeggiate serali antidegrado, come fanno da svariati anni i minicandidati a qualche consultazione elettorale.

Non mi fermo. Dopo Ferragosto torneremo in strada per la Camminata per la Sicurezza.
Viareggio – Torre del Lago
La data precisa verrà comunicata a breve, ma una cosa è certa: questa volta dobbiamo essere ancora di più.
La sicurezza non è un privilegio, è un diritto. E per difenderlo dobbiamo esserci tutti, uniti, determinati e visibili.
Porta amici, familiari, colleghi: ogni persona conta, ogni passo è importante.
Insieme possiamo fare la differenza.
#CamminataPerLaSicurezza #Viareggio #TorreDelLago #UnitiperlaSicurezza #NonMiFermo

Da questo punto di vista Viareggio è un po' vivace: si vede che vi esistono ambienti sociali favorevoli ai guitti dell'"occidentalismo" più abietto. A testimonianza della serietà dell'intento anche l'esistenza di una pagina personale su Wikipedia, presente in Google ma precipitosamente cancellata da qualcuno, probabilmente convinto che il giovane Pistoia per adesso non abbia fatto nulla che gli valga l'inclusione tra le grandi figure di interesse enciclopedico come Albert Einstein o Alvaro Vitali.
L'impegno gli sarebbe costato anche un'aggressione, denunciata con toni da sceneggiatura.

DENUNCIA PRESENTATA
A chi ancora parla, insinua o mette in dubbio: ecco la risposta.
Ho sporto denuncia ufficiale per lesioni personali aggravate e all’interno c’è riportato nero su bianco anche l’avvertimento che mi è stato dato da chi mi ha aggredito.
Non mi farò intimidire, non mi fermerò e non mi piegherò davanti a chi vuole screditarmi o fermare questa battaglia.
La verità è scritta negli atti ufficiali, e chi continua a diffamare dovrà assumersene la responsabilità.
Questa non è solo una mia lotta: è la lotta di tutti noi per una città sicura, libera dalla paura e dal controllo dei criminali.
Io non mollo. Anzi, vado avanti con ancora più forza.
#Verità #Giustizia #IoNonMollo #TorreDelLago #Sicurezza

Una cosa che avrebbe rafforzato la sua determinazione e che gli ha attirato qualche attestazione di solidarietà (qui su Archive).
Invece dopo Ferragosto Leonardo Pistoia -che secondo le gazzette non svolgerebbe alcuna attività lavorativa- è stato arrestato come un indesiderabile qualsiasi, e non certo per aver organizzato un colpo di Stato.
Sequestro di persona, maltrattamenti in famiglia, lesioni personali. Il gazzettaio riferisce anche delle dichiarazioni della sua vittima, sottoposta da mesi a continue violenze psicologiche, minacce, danneggiamenti, percosse e a un'aggressione fisica sotto la minaccia di un coltello e di un manganello effettivamente reperiti dalla gendarmeria.
Al momento in cui scriviamo è verosimile che ad attendere Leonardo Pistoia sia un futuro piuttosto difficile, e non è nel nostro stile spingerci oltre con l'infierire sui motivi che lo hanno fatto associare alla casa circondariale di competenza. Motivi che probabilmente non sono nemmeno estranei alla sua familiarità con l'ambiente di Torre del Lago, una località che ha il pregio di attirare frequentatori le cui propensioni hanno senz'altro il merito di non prestarsi a equivoci.
Tanto basti per adoperarsi nei modestissimi limiti del possibile a far sì che Leonardo Pistoia abbia qualche difficoltà ad avvalersi del diritto all'oblio per i prossimi cinque, dieci, venti o trent'anni. Internet ha una memoria più che discreta, cosa che chi apprezza la politica che si regge su ideali e principi (anche se molto rara) tiene senz'altro in buona considerazione.

Oltre che su Poliverso/Friendica questo scritto viene pubblicato anche su Blogspot e su iononstoconoriana.com.

Post scriptum. Il 4 dicembre 2025 si viene a sapere che Leonardo Pistoia, che aveva fatto il pieno di accuse, ha pensato di chiudere la questione patteggiando un anno e otto mesi. In questo modo eviterà che mezzo mondo, nell'epoca dei panni lerci lavati allegramente in piazza, venga a conoscenza di ulteriori particolari su come passano il tempo certi alfieri della legalità. Dovrà frequentare un corso per uomini maltrattanti e da qualche accenno fatto dalle gazzette si capisce che deve anche essersi liberato da una certa quantità di denaro.

Google, Kairos Power e la Tennessee Valley Authority (TVA) hanno stipulato un accordo per la fornitura di energia nucleare ai data center negli Stati Uniti. L’accordo rientra nella strategia dei due colossi tecnologici volta a trovare fonti sostenibili di energia pulita per soddisfare la crescente domanda di potenza di calcolo dovuta allo sviluppo dell’intelligenza artificiale.

Kairos Power sta costruendo un reattore da 50 megawatt in Tennessee che alimenterà la rete TVA, che a sua volta fornirà energia ai data center di Google in Alabama e Tennessee. Non ci sarà alcuna fornitura diretta a Google; l’azienda riceverà certificati di attribuzione che dimostreranno di aver immesso una quantità equivalente di energia pulita nella rete per compensare l’uso di gas e altri combustibili fossili.

Grazie all’accordo, TVA diventa la prima azienda statunitense disposta ad acquistare energia elettrica da un reattore di quarta generazione, una tecnologia che promette una maggiore efficienza del combustibile e meno rifiuti rispetto alle centrali nucleari esistenti.

Le aziende IT sono sempre più interessate all’energia nucleare. Amazon, Meta e Microsoft hanno già firmato i propri contratti in questo settore. La scorsa settimana, l’operatore di data center Equinix ha firmato un accordo per l’acquisto di 500 MW da Oklo e ha ordinato 20 reattori a Radiant Nuclear.

Mike Laufer, CEO di Kairos Power, ha affermato che la partnership con Google e TVA è “importante per rendere la tecnologia nucleare avanzata competitiva a livello commerciale”.

Kairos progetta piccoli reattori modulari (SMR), ciascuno con una potenza inferiore a 300 MW. Possono essere prodotti in serie e trasportati in loco. Hermes 2, il nuovo impianto dell’azienda che utilizza sali di fluoruro fusi per il raffreddamento, ha ricevuto l’approvazione per la costruzione dalla Commissione di Regolamentazione Nucleare degli Stati Uniti nel novembre 2024.

Il progetto Hermes è sostenuto dal Dipartimento dell’Energia degli Stati Uniti, che sta investendo circa 300 milioni di dollari attraverso il programma Advanced Reactor Demonstration. Questo fa parte di un’iniziativa governativa volta ad accelerare l’introduzione di nuove tecnologie nucleari, dato che il Paese ha avviato solo tre reattori negli ultimi 20 anni.

L’accordo con Google è il primo passo del piano di Kairos di fornire fino a 500 MW di capacità. L’azienda spera di avere il suo primo reattore commerciale operativo entro il 2030, seguito dai successivi entro il 2035.

L’accordo contribuirà a soddisfare le esigenze dell’economia digitale rafforzando al contempo la rete energetica con una “generazione solida e senza emissioni di carbonio“, ha affermato Amanda Peterson Corio, responsabile dei programmi energetici dei data center di Google.

L’introduzione di nuove tecnologie rappresenta un elemento cruciale per il progresso e lo sviluppo di qualsiasi società. Come evidenziato in numerosi studi e rapporti, l’adozione rapida e efficiente di tecnologie innovative può avere un impatto significativo sulla crescita economica, sull’occupazione e sulla qualità della vita dei cittadini. In questo senso, è fondamentale che gli attori istituzionali, le imprese e i soggetti accademici collaborino per creare un ambiente favorevole all’innovazione, riducendo le barriere normative e burocratiche che possono rallentare l’introduzione di nuove tecnologie.

Tuttavia, l’introduzione di nuove tecnologie richiede anche una attenta valutazione degli impatti sociali e ambientali che possono derivare dalla loro adozione. È essenziale, pertanto, che gli sforzi di innovazione siano accompagnati da una analisi approfondita delle possibili conseguenze, al fine di prevenire o mitigare eventuali effetti negativi. Ciò richiede un approccio interdisciplinare e una forte collaborazione tra esperti di diverse aree, dalle scienze ingegneristiche alle scienze sociali.

L'articolo L’AI ha voglia di Nucleare! Google, Kairos Power e TVA insieme per una energia sostenibile proviene da il blog della sicurezza informatica.