Per la navigazione io uso questi due stormenti: CoMaps: ottime navigatore anche offline, ma carente negli indirizzi e locali GMaps WV[/b]: perfetto per trovare facilmente ogni destinazione.
A fundamental difficulty of working with nanoparticles is that your objects of study are too small for an optical microscope to resolve, and thus measuring their size can be quite a challenge. Of course, if you have a scanning electron microscope, measuring particle size is straightforward. But for less well-equipped labs, a dynamic light scattering system, such as [Etienne]’s OpenDLS, fits the bill.
Dynamic light scattering works by shining a laser beam into a suspension of fine particles, then using a light sensor to measure the intensity of light scattered onto a certain point. As the particles undergo Brownian motion, the intensity of the scattered light changes. Based on the speed with which the scattered light varies, it’s possible to calculate the speed of the moving particles, and thus their size.
The OpenDLS uses a 3D printed and laser-cut frame to hold a small laser diode, which shines into a cuvette, on the side of which is the light sensor. [Etienne] tried a few different options, including a photoresistor and a light sensor designed for Arduino, but eventually chose a photodiode with a two-stage transimpedance amplifier. An Arduino samples the data at 67 kHz, then sends it over serial to a host computer, which uses SciPy and NumPy to analyse the data. Unfortunately, we were about six years late in getting to this story, and the Python program is a bit out of date by now (it was written in Python 2). It shouldn’t, however, be too hard for a motivated hacker to update.
With a standard 188 nm polystyrene dispersion, the OpenDLS calculated a size of 167 nm. Such underestimation seemed to be a persistent issue, probably caused by light being scattered multiple times. More dilution of the suspension would help, but it would also make the signal harder to measure, and the system’s already running near the limits of the hardware.
This isn’t the only creative way to measure the size of small particles, nor even the only way to investigate small particles optically. Of course, if you do have an electron microscope, nanoparticles make a good test target.
Un avviso di sicurezza di vasta portata è stato pubblicato da Google per i 2,5 miliardi di utenti del suo servizio Gmail, con l’obiettivo di rafforzare la protezione dei loro account a seguito di una violazione dei dati che ha interessato uno dei sistemi di terze parti basati su Salesforce gestiti dalla società.
Nel mese di giugno 2025 si è verificato un incidente che ha accresciuto le preoccupazioni in merito alle complesse operazioni di phishing, destinate a un vasto pubblico di utenti. Si tratta infatti di uno dei più grandi avvisi massivi di sicurezza inviati da Google, anche perché, nonostante molti utenti utilizzino password complesse, solo circa un terzo le aggiorna regolarmente, lasciando innumerevoli account esposti, soprattutto quelli che non utilizzano la MFA.
A giugno, un gruppo di cybercriminali identificato come UNC6040, noto anche con il suo marchio di estorsione ShinyHunters, è riuscito a infiltrarsi in un’istanza aziendale di Salesforce utilizzata da Google. Questo sistema memorizzava informazioni di contatto e note di vendita per piccole e medie imprese.
Gli aggressori hanno utilizzato una tattica di ingegneria sociale nota comephishing vocale, o “vishing”, per ottenere l’accesso iniziale. Impersonando telefonicamente il personale di supporto IT, hanno ingannato un dipendente, convincendolo a concedergli privilegi di sistema. Dall’analisi condotta da Google risulta che l’autore della minaccia è riuscito ad accedere e a recuperare un numero ristretto di dati che includevano informazioni basilari sull’azienda, in larga misura di dominio pubblico, quali i nomi delle aziende e gli indirizzi di contatto. Nonostante i dati trafugati siano considerati di loro natura poco pericolosi, gli specialisti della sicurezza mettono in guardia che potrebbero essere utilizzati per effettuare attacchi di phishing e vishing estremamente realistici. Google ha sottolineato che la violazione non ha compromesso prodotti di consumo come Gmail o Google Drive e che non sono state esposte password o dati finanziari.
Le vittime vengono raggirate dagli aggressori, i quali utilizzano la notizia di una violazione per creare truffe che sembrano legittime, spingendo gli utenti a fornire i propri dati di accesso o i codici di autenticazione a due fattori. Le tattiche del gruppo criminale diventano più aggressive quando diffondono i dati o li usano per estorcere denaro, aumentando così la pressione sulle vittime. Ciò ha permesso agli hacker di esfiltrare i dati prima che il loro accesso venisse scoperto e bloccato dai team di sicurezza di Google. ShinyHunters è un noto gruppo collegato a recenti violazioni di dati in altre importanti aziende, tra cui Adidas, Cisco e LVMH.
L’8 agosto, Google ha comunicato di aver ultimato l’invio di email a tutte le parti coinvolte nella violazione, mentre il 5 agosto l’azienda aveva divulgato i dettagli dell’evento e delle attività di UNC6040. Considerato il consistente pericolo di ulteriori aggressioni, è fondamentale che tutti gli utilizzatori di Gmail restino allertati e applichino strategie preventive.
Si consiglia caldamente di rinnovare le credenziali di accesso, attivare la verifica a due passaggi e non prestare fede a messaggi di posta elettronica o contatti telefonici non richiesti che richiedono dati sensibili.
Ai partecipanti al cyberattacco alla Scuola Elettronica di Mosca è stato offerto di lavorare per migliorare la sicurezza informatica e altri servizi digitali dell’amministrazione della capitale. Tutto questo avviene a seguito del 17 settembre 2022, quando per tre giorni, studenti e insegnanti non hanno potuto caricare compiti, assegnare voti o utilizzare i servizi a causa di un attacco hacker.cnb.cnews.ru/click.php?zone=17…
Reclutamento di talenti
Le autorità di Mosca hanno assunto i criminal hacker dopo il loro attacco informatico alla piattaforma informatica della Scuola elettronica di Mosca (MES), scrive RBC. Secondo il vicesindaco di Mosca Anastasia Rakova, i partecipanti all’attacco informatico al MES hanno ricevuto un’offerta per lavorare al miglioramento della difesa informatica e di altri servizi digitali dell’amministrazione della capitale nel 2025. Secondo lei, le autorità della capitale sono pronte ad assumere talenti nel settore IT.
“Quattro giovani che negli anni precedenti avevano quasi portato a termine con successo il compito di hackerare la piattaforma IT, ora lavorano nel team MES”, ha detto il funzionario alla TASS. static.cnews.ru/img/news/2024/…La Scuola Elettronica di Mosca (MES) è stata lanciata dalle autorità cittadine nel 2016 ed è un’unica piattaforma educativa digitale per studenti, insegnanti e genitori. Tra i principali servizi del MES figurano una biblioteca di materiali didattici, un diario elettronico, un diario elettronico e un Portfolio Studentesco.
Oggi, la biblioteca della MES contiene oltre 1,6 milioni di materiali didattici, da compiti di verifica e scenari di lezione a laboratori virtuali e materiali per la preparazione agli esami. Possono aggiungere materiali sia sviluppatori nazionali specializzati che insegnanti ordinari.
Hacker nella scuola elettronica
Il Kommersant, vicino al Dipartimento dell’Istruzione e della Scienza di Mosca ha confermato che all’epoca il problema ha interessato quasi tutte le scuole: “Il caricamento dei compiti e dei voti non funzionava, né la versione mobile dei servizi”. Successivamente, nella sera del 20 settembre la maggior parte dei problemi era stata risolta.
Il MES aveva già avuto gravi problemi prima del 2022. Nel 2017, il Dipartimento di Tecnologia dell’Informazione (DIT) della città di Mosca aveva trasferito il MES su un nuovo software.
Nell’autunno del 2020, nel primo giorno di didattica a distanza nelle scuole di Mosca durante la pandemia di Covid-19 , gli insegnanti hanno dovuto svolgere le lezioni su Zoom a causa del pesante carico sull’infrastruttura informatica. Secondo gli esperti di sicurezza informatica, il fallimento non sarebbe stato una sorpresa per l’ufficio del sindaco se fossero state adottate in anticipo ulteriori misure di sicurezza informatica e fossero stati effettuati test di vulnerabilità informatica.
Una campagna malware complessa è stata scoperta, mirata a utenti alla ricerca di programmi gratuiti per modificare PDF. Un’applicazione dannosa, travestita da “AppSuite PDF Editor” legittimo, viene diffusa da criminali informatici. Gli autori della minaccia dietro questa campagna hanno dimostrato un’audacia senza precedenti inviando il loro malware alle aziende antivirus come falsi positivi, nel tentativo di far rimuovere i rilevamenti di sicurezza.
Il programma di installazione, creato utilizzando il set di strumenti open source WiX, scarica immediatamente il programma effettivo dell’editor PDF da vault.appsuites.ai dopo l’esecuzione e l’accettazione del Contratto di licenza con l’utente finale. Il malware, è confezionato come file Microsoft Installer (MSI), è distribuito tramite siti web di alto livello, progettati per apparire come portali legittimi per il download di strumenti di produttività.
La scoperta è stata effettuata dai ricercatori di G Data, i quali hanno identificato il malware come un classico cavallo di Troia contenente un sofisticato componente backdoor. Inizialmente segnalata come programma potenzialmente indesiderato, l’applicazione sembrava offrire funzionalità legittime di modifica dei PDF, nascondendo però la sua vera natura dannosa.
I ricercatori hanno notato che il malware ha generato un’attività di download significativa, con oltre 28.000 tentativi di download registrati nella loro telemetria in una sola settimana, evidenziando l’ampia portata della campagna e il suo potenziale impatto sugli utenti in tutto il mondo.
La loro analisi ha rivelato che l’applicazione è basata sul framework Electron, il che le consente di funzionare come applicazione desktop multipiattaforma utilizzando JavaScript. Il malware opera attraverso un complesso sistema di opzioni della riga di comando che controllano varie funzionalità backdoor. Se eseguita senza parametri specifici, l’applicazione avvia una routine di installazione che registra il sistema infetto presso i server di comando e controllo situati in appsuites.ai e sdk.appsuites.ai.
Il malware utilizza più opzioni della riga di comando che si traducono in quelle che gli sviluppatori chiamano internamente “routine wc”, tra cui le funzioni -install, -ping, -check, -reboot e -cleanup. Ogni routine ha uno scopo specifico: mantenere il sistema compromesso e facilitare il controllo remoto.
Il processo di registrazione prevede l’ottenimento di un ID di installazione univoco e la creazione di attività pianificate persistenti denominate “PDFEditorScheduledTask” e “PDFEditorUScheduledTask” che garantiscono che il malware rimanga attivo sul sistema compromesso. La strategia di persistenza prevede la creazione di più attività pianificate con ritardi di esecuzione attentamente calcolati.
L’attività pianificata principale viene eseguita 1 giorno, 0 ore e 2 minuti dopo l’installazione, ed è progettata specificamente per eludere i sistemi di rilevamento sandbox automatici che in genere non eseguono il monitoraggio per periodi così prolungati. Inoltre, il malware prende di mira i browser più diffusi, tra cui Wave, Shift, OneLaunch, Chrome ed Edge, estraendo le chiavi di crittografia e manipolando le preferenze del browser per mantenere l’accesso a lungo termine ai dati e alle credenziali degli utenti.
Secondo un report di Kaspersky Lab, nel secondo trimestre del 2025 l’utilizzo delle vulnerabilità è aumentato in modo significativo: quasi tutti i sottosistemi dei computer moderni sono stati attaccati, dal UEFI ai driver dei browser, ai sistemi operativi e alle applicazioni.
Come in precedenza, gli aggressori continuano a sfruttare tali vulnerabilità in attacchi reali per ottenere l’accesso ai dispositivi degli utenti e a combinarle attivamente con i framework C2 in complesse operazioni mirate. Un’analisi delle statistiche CVE degli ultimi 5 anni mostra un costante aumento del numero totale di vulnerabilità registrate. Se all’inizio del 2024 se ne contavano circa 2.600, a gennaio 2025 questa cifra ha superato le 4.000.
L’unica eccezione è stata maggio, altrimenti la dinamica ha continuato a prendere slancio. Allo stesso tempo, alcune CVE potrebbero essere registrate con identificatori degli anni precedenti, ma pubblicate solo nel 2025. Ciò che è particolarmente allarmante è che nella prima metà del 2025 anche il numero di vulnerabilità critiche con un punteggio CVSS superiore a 8,9 è aumentato significativamente. Sebbene non tutte le vulnerabilità siano valutate su questa scala, si osserva una tendenza positiva: i bug critici sono più spesso accompagnati da descrizioni dettagliate e diventano oggetto di analisi pubblica, il che può contribuire a una più rapida mitigazione del rischio.
Le vulnerabilità più sfruttate in Windows nel secondo trimestre sono state ancora una volta vecchie vulnerabilità di Microsoft Office: CVE-2018-0802, CVE-2017-11882 e CVE-2017-0199, le quali interessano il componente Equation Editor.
Seguono exploit per WinRAR (CVE-2023-38831), una vulnerabilità in Windows Explorer (CVE-2025-24071), che consente il furto di hash NetNTLM, e un bug nel driver ks.sys (CVE-2024-35250), che consente a un aggressore di eseguire codice arbitrario. Tutte queste vulnerabilità vengono utilizzate sia per l’accesso primario che per l’escalation dei privilegi.
Per quanto riguarda Linux, gli exploit più comuni sono stati Dirty Pipe (CVE-2022-0847), CVE-2019-13272, relativo ai privilegi ereditati, e CVE-2021-22555 , una vulnerabilità heap nel sottosistema Netfilter che utilizza la tecnica Use-After-Free tramite manipolazioni con msg_msg. Ciò conferma la continua crescita dell’interesse degli aggressori per i sistemi Linux, principalmente dovuta all’espansione della base utenti.
Gli exploit del sistema operativo continuano a dominare le fonti pubbliche, mentre in questo trimestre non sono apparse nuove pubblicazioni sulle vulnerabilità di Microsoft Office. Per quanto riguarda gli attacchi mirati, le operazioni APT hanno spesso sfruttato vulnerabilità in strumenti di accesso remoto, editor di documenti e sottosistemi di logging. Strumenti low-code/no-code e persino framework per applicazioni di intelligenza artificiale sono al primo posto, il che indica un crescente interesse degli aggressori per i moderni strumenti di sviluppo. È interessante notare che i bug rilevati non riguardavano il codice generato, ma il software infrastrutturale stesso.
Secondo Kaspersky, i framework C2 nella prima metà del 2025, Sliver, Metasploit , Havoc e Brute Ratel C4 erano i leader e supportano direttamente gli exploit e offrono agli aggressori ampie opportunità di persistenza, controllo remoto e ulteriore automazione. Gli strumenti rimanenti venivano solitamente adattati manualmente per attacchi specifici.
Sulla base dell’analisi di campioni con exploit e agenti C2, sono state identificate le seguenti vulnerabilità chiave utilizzate nelle operazioni APT: CVE-2025-31324 in SAP NetWeaver Visual Composer Meta data Uploader (esecuzione di codice remoto, CVSS 10.0), CVE-2024-1709 in ConnectWise ScreenConnect (aggiramento dell’autenticazione, CVSS 10.0), CVE-2024-31839 e CVE-2024-30850 in CHAOS v5.0.1 (XSS e RCE) e CVE-2025-33053 in Windows, che consente l’esecuzione di codice arbitrario tramite l’elaborazione errata dei percorsi di scelta rapida.
Questi exploit hanno consentito sia l’introduzione immediata di codice dannoso sia un approccio graduale, a partire dalla raccolta delle credenziali.
Anche le vulnerabilità pubblicate di recente meritano particolare attenzione. CVE-2025-32433 è un bug RCE nel server SSH del framework Erlang/OTP, che consente l’esecuzione remota di comandi senza verifica anche da parte di utenti non autorizzati. CVE-2025-6218 è un’altra vulnerabilità di attraversamento delle directory in WinRAR , simile a CVE-2023-38831 : consente di modificare il percorso di decompressione dell’archivio ed eseguire codice all’avvio del sistema operativo o dell’applicazione.
CVE-2025-3052 in UEFI consente di bypassare Secure Boot tramite una gestione non sicura delle variabili NVRAM. La vulnerabilità CVE-2025-49113 in Roundcube Webmail è un classico problema di deserializzazione non sicura e richiede l’accesso autorizzato. Infine, CVE-2025-1533 nel driver AsIO3.sys provoca un arresto anomalo del sistema quando si lavora con percorsi più lunghi di 256 caratteri: gli sviluppatori non hanno considerato che il limite moderno in NTFS è di 32.767 caratteri.
La conclusione è chiara: il numero di vulnerabilità continua a crescere, soprattutto quelle critiche.
Pertanto, è importante non solo installare tempestivamente gli aggiornamenti, ma anche monitorare la presenza di agenti C2 sui sistemi compromessi, prestare attenzione alla protezione degli endpoint e definire una policy flessibile di gestione delle patch.
Questo è l’unico modo per ridurre efficacemente i rischi di exploit e garantire la stabilità dell’infrastruttura.
Conclusioni
La conclusione è chiara: il numero di vulnerabilità continua a crescere, soprattutto quelle critiche. Pertanto, è importante non solo installare tempestivamente gli aggiornamenti, ma anche monitorare la presenza di agenti C2 sui sistemi compromessi, prestare attenzione alla protezione degli endpoint e definire una policy flessibile di gestione delle patch. Questo è l’unico modo per ridurre efficacemente i rischi di exploit e garantire la stabilità dell’infrastruttura.
Come abbiamo visto, gli exploit su documenti e allegati continuano a essere largamente utilizzati, confermando la necessità di un aumento della consapevolezza lato utenti: la formazione e la sensibilizzazione diventano strumenti indispensabili per ridurre il rischio di compromissione.
Allo stesso tempo, molte delle CVE più sfruttate derivano da un mancato patching di sicurezza: le organizzazioni devono agire in maniera più immediata nell’applicazione delle correzioni, senza rinvii che possono lasciare finestre di esposizione aperte agli attaccanti. In questo contesto, attività di Vulnerability Assessment e penetration test assumono un ruolo chiave, poiché consentono di identificare falle dimenticate o non rilevate dalle normali attività IT, colmando i gap prima che possano essere sfruttati.
In sintesi, solo combinando aggiornamenti rapidi, monitoraggio costante, controlli di sicurezza avanzati e consapevolezza degli utenti sarà possibile contenere l’impatto crescente degli exploit e difendere in maniera proattiva le infrastrutture digitali.
Il caso recente dei documenti rubati degli hotel fa pensare a quanti documenti effettivamente circolino nel dark web, nonostante la possibilità di crearne con l’intelligenza artificiale. Questo significa che è più facile ottenerli che crearli. E forse sono anche più utili.
Ma forse bisogna riflettere e farsi una domanda dirimente: come mai ne circolano così tanti e tanto facilmente?
Insomma: andiamo oltre le facili(ssime) speculazioni sui vari colabrodi di sicurezza che si vedono in giro e vengono ampiamente tollerati. Logica vuole che qualcuno li abbia raccolti e non sia stato in grado di proteggerli.
Benissimo: facciamo un passo indietro, skippiamo al momento ogni commento e riflessione su quel non in grado, e affrontiamo l’amara considerazione di constatare che più di qualcuno li ha raccolti e conservati. E dunque chiediamoci: sentivamo proprio il bisogno di questa raccolta e conservazione?
Che, tradotto in GDPR-ese, suona come: le attività di trattamento di raccolta e conservazione di quei documenti sono lecite? Dubito. Ed ecco che da una violazione della privacy (o della normativa di protezione dei dati personali) segue un problema di sicurezza. E scopriamo che “senza privacy non può esserci sicurezza e viceversa” non era proprio una punchline.
Nel settore dell’hospitality, la registrazione degli ospiti è un obbligo ma non quello di acquisire copia dei documenti. Men che meno è previsto da qualche parte che debbano essere inviate via WhatsApp, e-mail o form online foto o scansioni dei documenti.
La legge applicabile è il TULPS, ed in particolare l’art. 109:
I gestori di esercizi alberghieri e di altre strutture ricettive, comprese quelle che forniscono alloggio in tende, roulotte, nonché i proprietari o gestori di case e di appartamenti per vacanze e gli affittacamere, ivi compresi i gestori di strutture di accoglienza non convenzionali, ad eccezione dei rifugi alpini inclusi in apposito elenco istituito dalla regione o dalla provincia autonoma, possono dare alloggio esclusivamente a persone munite della carta d’identità o di altro documento idoneo ad attestarne l’identità secondo le norme vigenti.
Per gli stranieri extracomunitari è sufficiente l’esibizione del passaporto o di altro documento che sia considerato ad esso equivalente in forza di accordi internazionali, purché munito della fotografia del titolare.
Entro le ventiquattr’ore successive all’arrivo, i soggetti di cui al comma 1 comunicano alle questure territorialmente competenti, avvalendosi di mezzi informatici o telematici o mediante fax, le generalità delle persone alloggiate, secondo modalità stabilite con decreto del Ministro dell’interno, sentito il Garante per la protezione dei dati personali.
Nessun obbligo di acquisizione dei documenti. Il servizio del portale web alloggiati non prevede solo l’inserimento dei dati relativi al documento per la formazione delle schede su ciascun alloggiato per la trasmissione alle autorità competenti di polizia. Insomma: si raccolgono gli estremi dei documenti e non la copia degli stessi.
La raccolta delle copie dei documenti è un problema privacy risolto solo nella forma e non nella sostanza.
Cosa dice il Garante Privacy sulla richiesta di documenti in copia.
Il Garante Privacy già nel 2005 si era espresso sull’identificazione dei clienti e l’acquisizione di documenti in copia da parte di banche e uffici postali, distinguendo la necessità di identificare un interessato dalle modalità con cui ciò avviene.
L’identificazione può avvenire sia per obblighi normativi che per esigenze contrattuali o precontrattuali, e consiste in un’attività di trattamento una tantum. Quel che rileva è la modalità con cui tale identificazione avviene, che deve rispondere alle circostanze del caso ed essere proporzionata.
La richiesta di produrre una copia del documento di riconoscimento e la sua conservazione, è invece lecita solo se sussiste una disposizione normativa che lo preveda (indicando anche la tempistica di conservazione).
Cosa che non cambia con il GDPR. Anzi. Certo, forse sarebbe il caso di avere delle linee guida a questo punto. Fatto sta che il Garante Privacy ha avviato delle verifiche e, in seguito alle notifiche di data breach, anticipato che avrebbe adottato le misure di tutela urgente. Vedremo cosa accadrà e se ci sarà un riepilogo delle indicazioni in questo ambito.
Fra l’altro, il Garante polacco (UODO) in un recente comunicato del 26 agosto ha dato notizia di aver sanzionato una banca per 4 milioni di euro per aver acquisito copie scansionate dei documenti di identità di clienti e potenziali clienti in assenza di una base giuridica valida nell’ambito di adempimenti antiriciclaggio (AML). Peccato che il solo citare finalità antiriciclaggio non sia sufficiente, dal momento che occorre una motivazione fondata su una valutazione di rischio individuale del cliente.
Cosa possiamo fare quando ci chiedono una copia dei documenti?
Facile: il vero sballo è dire no. Ok, forse non è proprio uno sballo.
Meglio chiedere di indicare su quale prescrizione di legge siamo obbligati a farlo.
Fra l’altro, visto lo storico di incidenti di sicurezza e notizie sempre fresche è decisamente più facile dirsi particolarmente prudenti e chiedere alternative rispetto alla copia, o peggio, all’invio di documenti.
La privacy e la sicurezza dei nostri dati non vanno mai in vacanza, quindi il discorso vale non solo per gli hotel ma per chiunque ci chieda di inviare i nostri documenti in copia.
Ma bisogna agire per una tutela attiva dei propri dati personali.
As we all look across a sea of lifeless, nearly identically-styled consumer goods, a few of us have become nostalgic for a time when products like stereo equipment, phones, appliances, homes, cars, and furniture didn’t all look indistinguishable. Computers suffered a similar fate, with nearly everything designed to be flat and minimalist with very little character. To be sure there are plenty of retro computing projects to recapture nostalgia, but to get useful, modern hardware in a fun, retro-themed case check out this desktop build from [Mar] that hides a few unique extras.
The PC itself is a modern build with an up-to-date operating system, but hidden in a 386-era case with early-90s styling. The real gem of this build though is the floppy disk drive, which looks unaltered on the surface. But its core functionality has been removed and in its place an Arduino sits, looking for NFC devices. The floppy disks similarly had NFC tags installed so that when they interact with the Arduino,it can send a command to the computer to launch a corresponding game. To the user it looks as though the game loads from a floppy disk, much like it would have in the 90s albeit with much more speed and much less noise.
Birds are pretty amazing creatures, and one of the most amazing things about them and their non-avian predecessors are feathers. Engineers and scientists are finding inspiration from them in surprising ways.
The light weight and high strength of feathers has inspired those who look to soar the skies, dating back at least as far as Ancient Greece, but the multifunctional nature of these marvels has led to advancements in photonics, thermal regulation, and acoustics. The water repellency of feathers has also led to interesting new applications in both food safety and water desalination beyond the obvious water repellent clothing.
Sebastian Hendrickx-Rodriguez, the lead researcher on a new paper about the structure of bird feathers states, “Our first instinct as engineers is often to change the material chemistry,” but feathers are made in thousands of varieties to achieve different advantageous outcomes from a single material, keratin. Being biological in nature also means feathers have a degree of self repair that human-made materials can only dream of. For now, some researchers are building biohybrid devices with real bird feathers, but as we continue our march toward manufacturing at smaller and smaller scales, perhaps our robots will sprout wings of their own. Evolution has a several billion year head start, so we may need to be a little patient with researchers.
Wood is an amazing material to use around the house, both for its green credentials and the way it looks and feels. That said, as a natural product there are a lot of microorganisms and insects around that would love to take a few good nibbles out of said wood, no matter whether it’s used for fencing, garden furniture or something else. For fencing in particular wood treatments are therefore applied that seek to deter or actively inhibit these organisms, but as the UK bloke over at the [Rag ‘n’ Bone Brown] YouTube channel found out last year, merely slapping on a coating of wood preserver may actually make things worse.
For the experiment three tests were set up, each with an untreated, self-treated and two pressure treated (tanalized) sections. Of the pressure treated wood one had a fresh cut on the exposed side, with each of the three tests focusing on a different scenario.
After three years of these wood cuts having been exposed to being either partially buried in soil, laid on the long side or tossed in a bucket, all while soaking up the splendid wonders of British weather, the results were rather surprising and somewhat confusing. The self-treated wood actually fared worse than the untreated wood, while the pressure treated wood did much better, but as a comment by [davidwx9285] on the video notes, there are many questions regarding how well the pressure treatment is performed.
While the self-treatment gets you generally only a surface coating of the – usually copper-based – compound, the vacuum pressure treatment’s effectiveness depends on how deep the preservative has penetrated, which renders some treated wood unsuitable for being buried in the ground. Along with these factors the video correctly identifies the issue of grain density, which is why hardwoods resist decay much better than e.g. pine. Ultimately it’s quite clear that ‘simply put on a wood preserver’ isn’t quite the magical bullet that it may have seemed to some.
Sometimes the old tricks are the best. [Kevin] learned an old trick about using a ‘scope to sniff RF noise and pays it forward by sharing it in a recent video. He uses an oscilloscope. But does he need some special probe setup? Nope. He quickly makes a little RF pickup probe, and if you have a ‘scope, we’re pretty sure you can make one in a few seconds, too.
Of course, you can get probes made for that, and there are advantages to using them. But the quick trick of quickly and non-destructively modifying the existing probe to pick up RF means you always have a way to make these measurements.
The first thing he probes is a small power supply that is broadcasting inadvertently at 60 kHz. The power supply was charging a bug zapper and, as you might expect, the bug zapper throws out a lot of noise on the radio bands.
If you have an FFT feature on your scope, that is often useful, too, as you can see the results of several interfering signals mixing together. Hunting down interference is a basic skill if you work with radio, and it’s useful even if you don’t.
Looking back on the trajectory leading to Project Apollo and the resulting Moon missions, one can be forgiven for thinking that this was a strict and well-defined plan that was being executed, especially considering the absolute time crunch. The reality is that much of this trajectory was in flux, with the earlier Project Gemini seeing developments towards supplying manned space stations and even its own Moon missions. [Spaceflight Histories] recently examined some of these Advanced Gemini concepts that never came to pass.
In retrospect, some of these seem like an obvious evolution of the program. Given both NASA and the US Air Force’s interest in space stations at the time, the fact that a up-sized “Big Gemini” was proposed as a resupply craft makes sense. Not to be confused with the Gemini B, which was a version of the spacecraft that featured an attached laboratory module. Other concepts, like the paraglider landing feature, were found to be too complex and failure prone.
The circumlunar, lunar landing and Apollo rescue concepts were decidedly more ambitious and included a range of alternatives to the Project Apollo missions, which were anything but certain especially after the Apollo 1 disaster. Although little of Advanced Gemini made it even into a prototype stage, it’s still a fascinating glimpse at an alternate reality.
Una recente analisi di Cyber Threat Intelligence (CTI) condotta da DREAM ha svelato i dettagli di una complessa campagna di spear-phishingavvenuta nell’agosto 2025. L’attacco, attribuito a un gruppo allineato all’Iran, noto come Homeland Justice, ha sfruttato un’infrastruttura già compromessa per raggiungere obiettivi sensibili a livello globale. La peculiarità di questa operazione risiede nell’utilizzo di un account di posta elettronica violato appartenente al Ministero degli Affari Esteri dell’Oman, che ha fornito una copertura di legittimità per le comunicazioni malevole.
ezstandalone.cmd.push(function () { ezstandalone.showAds(604); }); Le e-mail di phishing contenevano un allegato dannoso, un documento di Microsoft Word, che rappresentava il primo anello della catena di infezione. All’interno di questo file si nascondeva una macro VBA (Visual Basic for Applications) appositamente codificata per eludere i controlli di sicurezza standard. Una volta attivata, la macro procedeva con la decodifica e l’installazione di un payload, un file eseguibile battezzato come sysProcUpdate.exe, che rappresentava il cuore dell’attacco informatico. Il percorso di attacco della campagna di spear phishing Iran-Nexus. Il malwaresysProcUpdate.exe era progettato per svolgere un’attività di ricognizione dettagliata del sistema compromesso. Il suo compito principale era quello di raccogliere metadati specifici del sistema, tra cui informazioni sulla configurazione e sui software installati. Questi dati venivano successivamente crittografati per garantirne la riservatezza e poi trasmessi in modo sicuro a un server di comando e controllo (C2), da cui gli aggressori potevano gestire la campagna e ricevere le informazioni esfiltrate.
ezstandalone.cmd.push(function () { ezstandalone.showAds(612); }); Per sfuggire ai sistemi di difesa e all’analisi, gli attaccanti hanno implementato diverse tecniche di evasione sofisticate. Hanno occultato la propria origine instradando il traffico attraverso un nodo di uscita VPN in Giordania, rendendo difficile la loro localizzazione. Inoltre, il payload dannoso veniva scritto in un file con estensione .log, un formato di file generalmente non associato al malware, con l’obiettivo di eludere i controlli automatici. L’uso di ritardi nel codice contribuiva ulteriormente a confondere i sistemi di analisi comportamentale. Esca utilizzata I principali obiettivi di questa campagna erano istituzioni diplomatiche e governative. L’attacco ha preso di mira entità in un’ampia varietà di aree geografiche, inclusi il Medio Oriente, l’Africa, l’Europa, l’Asia e le Americhe. Per l’Europa i paesi colpiti sono Italia, Francia Romania, Spagna, Paesi Bassi, Ungheria, Germania, Austria, e Svezia. La campagna dimostra una chiara preferenza per obiettivi di alto valore, mirati a ottenere informazioni strategiche attraverso l’accesso a reti di governi e organizzazioni internazionali, sottolineando la natura politica o geopolitica della minaccia.
Per mitigare l’attacco, gli esperti di sicurezza consigliano diverse contromisure tecniche. La prima e più immediata è il blocco degli Indicatori di Compromissione (IOC), come gli indirizzi IP dei server C2 e gli hash dei file dannosi. Un’altra raccomandazione cruciale è il monitoraggio proattivo delle richieste POST sospette dirette ai server C2 e la verifica delle modifiche al registro di Windows, che possono segnalare l’attività del malware. La catena di esecuzione delle macro VBA della campagna. Tra le altre misure di mitigazione, viene sottolineata l’importanza di imporre la sicurezza delle macro nei programmi di Office per prevenire l’esecuzione di codice arbitrario. Si suggerisce inoltre di condurre un’analisi approfondita del traffico VPN in uscita, al fine di identificare eventuali flussi di dati anomali. Infine, l’implementazione della segmentazione della rete è vista come una difesa efficace per limitare la propagazione del malware e ridurre l’impatto di attacchi simili in futuro.
Volete una lettura interessante, allegra e leggera? Allora questo è il titolo perfetto per voi! Personaggi ben delineati e storie quotidiane fresche vi accompagneranno pagina dopo pagina.
🌔: È piacevole senza grandi pretese, ma riesce a intrattenere senza affaticare.
Al meeting di Comunione e Liberazione abbiamo avuto la prova certa che questa associazione è un'attività politica che nulla ha in comune con la religione cristiana. Lo dimostrano gli applausi scroscianti alla Presidente del Consiglio che lamentava che Israele avesse superato il livello atteso di proporzionalità nell'uccidere i palestinesi a Gaza come ritorsione dei fatti del 7 ottobre. Per CL se Israele avesse adottato il criterio nazi-fascista di 10 civili palestinesi contro 1 israeliano sarebbe stato giusto e cristianamente accettabile? La Presidente del Consiglio che con queste affermazioni ha dimostrato ancora una volta che i profondi legami con le ideologie nazi-fasciste non l'hanno abbandonata, ma un'associazione che si dichiara cristiane e cattolica (?) e applaude a certe affermazioni è una contraddizione al messaggio evangelico e una chiara evidenza di eresia.
This is Behind the Blog, where we share our behind-the-scenes thoughts about how a few of our top stories of the week came together. This week, we discuss our top games, “dense street imagery," and first-person experiences with apps.
JOSEPH: This week we published Flock Wants to Partner With Consumer Dashcam Company That Takes ‘Trillions of Images’ a Month. This story, naturally, started with a tip that Flock was going to partner with this dashcam company. We then verified it with another source, and Flock confirmed it was exploring a relationship with Nexar. Pretty straightforward all in all. There are still many, many questions about what the integration will look like exactly, but my understanding is that it is what it looks like: Flock wants to use images taken from Nexar dashcams, and Nexar sells those cameras for use in their private vehicles.
There’s another element that made its way into a couple of paragraphs but which should be really stressed. Nexar publishes a livemap that anyone can access and explore. It shows photos ripped from its users’ dashcams (with license plates, people, and car interiors blurred). Nexar has then applied AI or machine learning to these which identify roadside hazards, signs, etc. The idea is to give agencies, companies, researchers, etc a free sample of their data which they might want to obtain later.
This post is for subscribers only
Become a member to get access to all content Subscribe now
La Cina ha presentato KylinOS 11 , il più grande aggiornamento del suo sistema operativo nazionale, che il governo ha definito un importante passo avanti nella creazione di un ecosistema tecnologico indipendente.La nuova versione gira sul kernel Linux 6.6 ed è compatibile con processori AMD e Intel, nonché con otto CPU cinesi, molte delle quali utilizzano architetture di comando proprietarie. Il sistema supporta anche sette schede video nazionali e può funzionare con acceleratori AMD e Nvidia.
ezstandalone.cmd.push(function () { ezstandalone.showAds(604); }); Il lancio ha riguardato immediatamente le versioni desktop e server,aggiungendo un assistente AI integrato, il supporto del protocollo di contesto del modello, l’integrazione cloud e funzionalità di sicurezza avanzate.
Secondo il presidente di KylinSoft, Chen Zhihua, KylinOS è già il sistema operativo nazionale più utilizzato in Cina, con 16 milioni di installazioni. Si tratta di una quota modesta a livello nazionale, ma i media statali hanno descritto il lancio come un passaggio da una “piattaforma di supporto funzionale” a una “base di connessione intelligente”.
ezstandalone.cmd.push(function () { ezstandalone.showAds(612); }); È interessante notare che la scelta del kernel potrebbe sollevare interrogativi. La versione 6.6 ha ricevuto lo stato LTS nel 2023, ma il suo supporto terminerà a dicembre 2026, appena 16 mesi dopo il rilascio di KylinOS 11.
Tuttavia, questo non rappresenta un precedente per gli sviluppatori: la precedente versione di KylinOS 10, rilasciata nel 2020, era basata sul kernel 4.19, il cui supporto è terminato nel 2024, ovvero molto prima che il sistema stesso venisse interrotto.
La presentazione di KylinOS 11 è stata un evento importante per l’industria IT cinese.
Durante l’evento, i rappresentanti delle principali aziende tecnologiche del Paese hanno promesso pubblicamente di supportare la distribuzione e l’implementazione della nuova versione del sistema operativo.
Allo stesso tempo, The Register ha osservato che non ci sono ancora informazioni sul supporto di KylinOS 11 per le alternative nazionali a Bluetooth e HDMI, proposte dalla Cina lo scorso anno. Forse la loro integrazione sarà un compito da affrontare nelle versioni future.
What happens when you listen in on Elliot Williams and Al Williams? You get a round up of the best of last week’s Hackaday posts, of course. The topics this week range from beer brewing to lightning protection, with a little bit of everything in between.
This week, many problems find solutions. Power drill battery dead? Your car doesn’t have a tire pressure monitor? Does your butter tear up your toast? You can find the answer to these problems, and more, on the Hackaday podcast.
For the can’t miss section, the guys are annoyed that Google wants to lock down their phones, and also talk about measuring liquid levels in outer space.
Check out the links below if you want to follow along, and as always, tell us what you think about this episode in the comments!
La posizione italiana è netta: “Non è prevista alcuna partecipazione italiana a un’eventuale forza multinazionale da impegnare in territorio ucraino”. Le parole della presidente Giorgia Meloni chiudono definitivamente la porta alla
The popular Pick a Brick service let LEGO fanatics get the exact piece they wanted. It’s no longer available to US customers.#News #Trumpadministration
Connecting an LED to a battery seems trivial. If you have any knowledge of using breadboards, knowing that red goes with red, and that black goes with black, it’s as easy as tying your shoes. Except there’s one problem: what if you can’t see the difference between red and black? [Tara] had a student who struggled with a problem just like this, so of course, they made a whole suite of breakout boards to the rescue!
Breadboards rely almost completely on the visual cues of rows, columns, and if the part is even in the hole correctly. [Tara] fixed these issues while attempting to keep the usefulness of a breadboard. Using tactile cues rather than the traditional visual, a visually impaired individual can figure out what is positive or negative.
Braille is the obvious choice for general communication of inputs and outputs. Where [Tara]’s ingenuity came in was the method of incorporating Braille into the boards — solder joints. After reading a Hackaday article on solder Braille, [Tara] managed a fitting and efficient method of allowing ease of use.
Currently, the boards are in a prototyping stage; however, if you want to try them out yourself early, let [Tara] know. Others with visual impairments are needed to properly stress test the device. If you are someone who does not struggle with any major visual impairments, it can be hard to put yourself in their shoes. For those empathic (and with VR capabilities) among us, be sure to try it yourself!
@Informatica (Italy e non Italy 😁) Una falla in un singolo anello della catena può minare la sicurezza dell’intero ecosistema. È la lezione, dura e reiterata, che arriva dall’ultimo incidente di sicurezza confermato da Google, che coinvolge Salesloft Drift, una
@Informatica (Italy e non Italy 😁) C’è un mercato oscuro, accessibile con pochi click, dove l’identità di un cittadino americano viene svenduta per meno del costo di una pizza. Un luogo digitale dove, per una manciata di dollari in criptovaluta, è possibile ottenere un passaporto o una patente di
@Informatica (Italy e non Italy 😁) VirusTotal ha deciso di lanciare un nuovo, potente alleato: un endpoint API che promette di rivoluzionare il flusso di lavoro del reverse engineering. Il nuovo servizio, integrato nella piattaforma Code Insight, si chiama api/v3/codeinsights/analyse-binary e funziona esattamente come ci si
Il progetto “Un modello di base per la progettazione di vaccini contro il cancro” è stato selezionato per un premio dalla prestigiosa iniziativa AI Research Resource (AIRR) del governo britannico, guidata dal Dipartimento per la Scienza, l’Innovazione e la Tecnologia (DSIT) e da UK Research and Innovation (UKRI).
ezstandalone.cmd.push(function () { ezstandalone.showAds(604); }); Il progetto riceverà 10.000 ore GPU sul Dawn Supercomputer , uno dei supercomputer di intelligenza artificiale più veloci del Regno Unito.
ezstandalone.cmd.push(function () { ezstandalone.showAds(612); }); “Crediamo che Oxford possa guidare una nuova era di scoperte nella cura del cancro, rendendo i trattamenti più sicuri, più precisi e più efficaci attraverso l’uso di tecnologie all’avanguardia. La progettazione di vaccini contro il cancro si trova ad affrontare uno dei maggiori colli di bottiglia nello sviluppo: l’accesso a infrastrutture di calcolo ad alte prestazioni. Con uno dei supercomputer di intelligenza artificiale più veloci del Regno Unito ora a nostra disposizione, scoperte che un tempo richiedevano anni ora potrebbero richiedere solo poche settimane “.
Michael Bryan, studente e dottorato presso il Centre for Immuno-Oncology, ha dichiarato:
“È un vero privilegio lavorare a Oxford con il supporto di Cancer Research UK. Il nostro team sta sviluppando modelli di base di intelligenza artificiale specializzati per accelerare la scoperta di bersagli per vaccini salvavita contro il cancro ” . Il progetto, realizzato dal Dipartimento di Medicina di Nuffield, sfrutterà set di dati sui tumori disponibili al pubblico per fare scoperte su molteplici sottotipi di cancro e contribuire all’Oxford Neoantigen Atlas, una piattaforma ad accesso aperto a supporto della ricerca sui vaccini contro il cancro in tutto il Regno Unito.
Questo lavoro fa parte di un più ampio sforzo nazionale per accelerare le capacità scientifiche del Regno Unito, trasformate dall’accesso alla potenza di supercalcolo dell’intelligenza artificiale, per inaugurare una nuova era di immunologia e scoperta di vaccini.
Il programma AIRR, guidato da DSIT e UKRI, sta investendo oltre 1 miliardo di sterline per aumentare di 20 volte la capacità di calcolo nazionale entro il 2030, consentendo una ricerca audace e basata sui dati nei settori pubblico e privato. Questo premio allinea gli scienziati di Oxford all’ambizione del governo di fare della Gran Bretagna un leader globale nell’intelligenza artificiale, nella scienza e nell’innovazione sanitaria.
DEF CON happened just a few weeks ago, and it’s time to cover some of the interesting talks. This year there were two talks in particular that are notable for being controversial. Coincidentally both of these were from Track 3. The first was the Passkeys Pwned, a talk by SquareX about how the passkey process can be hijacked by malware.
[Dan Goodin] lays out both the details on Passkeys, and why the work from SquareX isn’t the major vulnerability that they claim it is. First, what is a Passkey? Technically it’s a public/private keypair that is stored by the user’s browser. A unique keypair is generated for each new website, and the site stores the public key. To authenticate with the Passkey, the site generates a random string, the browser signs it with the private key, and the site checks it against the public key. I stand by my early opinion, that Passkeys are effectively just passwords, but with all the best-practices mandated.
So what is the claim presented at DEF CON? Malicious code running in the context of the browser tab can hijack the passkey process. In the demonstrated attack flow, a browser extension caused the Passkey login to fail, and prompted the user to generate a new Passkey. This is an interesting observation, and a clever attack against Passkeys, but is not a vulnerability in the Passkey spec. Or more accurately, it’s an accepted limitation of Passkeys, that they cannot guarantee security in the presence of a compromised browser.
That Wasn’t the Sketchiest DEF CON Talk
There was another suspect presentation: A talk on DragonSlayer, a framework to de-obfuscate virtualized malware. This topic is super interesting, diving into the world of highly obfuscated malware. Imagine a binary that internally implements an interpreter runs the actual program code from a bytecode format. As a researcher, this sort of obfuscation is very time consuming to wade through.
The approach from DragonSlayer is to observe the malware, look for known patterns, and feed the observations into a machine learning tool.
If that sounds a bit like a meme, with the steps going: 1) AI, 2) ???, 3) Profit. And this is where we get to the reaction from at least part of the security community. The term “AI slop” is thrown around. The repository doesn’t compile, portions of the code are no-ops with comments about what the real code would look like, and some recent commits look like attempts to remove the tell-tale sings of AI authorship.
Ransomware in the cloud
There’s a new trend in ransomware attacks, to move away from on-premise and encryption, and to instead attack cloud data. This is based on a report from Microsoft, detailing the activities of Storm-0501. That threat actor has begun chaining on-premises attacks into Azure takeover.
Azure has plenty of bandwidth, and an attacker isn’t on the hook to pay for it, so the approach here is to firehose all of that data off-site, and then delete every scrap possible. In cases where the permissions don’t allow deletion, new keys are created, proving that the encryption approach isn’t dead yet.
AI Malware
Let’s talk AI Malware. Up first is PromptLock, a find by ESET. Rather than being found in an active exploit, ESET researchers found this as an upload to VirusTotal, and suspect that it’s a proof of concept.
That concept is to skip shellcode, and instead just include malicious prompts in the malware. Upon execution, the malware sends the embedded prompts off to an Ollama API, and asks for malicious Lua code back.
PromptLock seemed like a proof of concept, but there was a different, live malware campaign this week, that made use of a compromised nx library delivered via npm. This one creates a repository named s1ngularity-repository if it’s running in a GitHub context. It also looks for Claude or Gemini on the system, and if found, runs a malicious prompt instructing the agentic LLM to look for local secrets.
0-days
Pssst, hey kid, I hear you like 0-days. We’ve got 0-days this week. First up, FreePBX. The administrative control panel has a flaw that allows an attacker to run any command as the underlying Asterisk user. The earliest that this attack has been seen in logs was August 21, and any FreePBX system with the admin panel exposed to the Internet could be compromised.
Researchers at at watchTowr caught wind of a vulnerability in CrushFTP that allowed attackers admin access to the server over HTTPS. This one was being exploited in the wild even before the patch was released. Rather than do their normal patch reverse engineering, the watchTowr team put their Attacker Eye honeypot to work. They added a CrushFTP module to the mix, and sat back to wait for the incoming attack. The Internet didn’t disappoint, and it turns out this is a very odd race condition between login attempts.
The Passwordstate credentials manager also has a pair of vulnerabilities fixed in a recent update, though it doesn’t appear that they are actually 0-days, nor yet exploited in the wild. This one seems to allow unauthorized access to the administrative interface via the Emergency Access page.
In memoria degli oltre 250 giornalisti uccisi da Israele a Gaza dal 7 ottobre 2023.
#journalistsarenotatarget #gazagenocide #stopkillingjournalists #anasalsharif
Questa storia è ovviamente vergognosa, l'hanno già detto persone ben più titolate di me e non vedo molto altro da aggiungere.
La storia però ha un lato oscuro che mi preoccupa ancora di più.
Leggo che
Nonostante nel tempo ci fossero già state diverse denunce alla polizia postale contro utenti e amministratori, il caso di Phica è emerso solo grazie all’enorme attenzione mediatica di questi giorni attorno al gruppo Facebook aperto “Mia Moglie”
e anche che
Tra le persone che hanno detto di aver trovato le proprie foto su Phica ci sono anche le cantanti Valentina Parisse e Martina Attili. Attili ha 24 anni, è un’ex concorrente di X Factor e aveva già fatto denuncia cinque anni fa: anche se tra le sue foto condivise ce n’erano alcune di quando era minorenne, ha raccontato che al tempo le era stato detto dalle forze dell’ordine che il materiale fornito non era abbastanza.
A me piacerebbe che qualche parlamentare facesse un'interrogazione al Ministro degli Interni Piantedosi, visto che la Polizia dipende da lui, e che gli chiedesse spiegazioni su come mai queste denunce siano state ignorate.
Perché io credo che anche UNA foto di una donna pubblicata in quel canaio sia troppo, mentre quella denuncia parlava addirittura di diverse foto, e foto di una minorenne per giunta. Davvero non mi spiego la risposta data ad Attili che "il materiale fornito non era abbastanza".
E se anche delle foto di una minorenne non fossero materiale sufficiente, credo sia compito delle forze dell'ordine fare indagini e tirare fuori tutto il materiale che serve, non certo di una ragazza che all'epoca dei fatti aveva 19 anni.
Quindi, Ministro, perché la Polizia si è girata dall'altra parte? Non sarà il caso di cercare di capire anche questo?
Oppure tra qualche giorno annunciamo l'ennesimo inasprimento di qualche pena, per buttare un po' di fumo negli occhi e far vedere che qualcosa si fa, senza invece fare nulla di efficace per affrontare veramente i problemi?
Con Lens, Google ha accentrato tante funzioni in una sola app, rendendosi ancora più "indispensabile" e garantendosi virtualmente l'accesso a una quantità smisurata di dati dei suoi utenti ("cerca quello che vedi", come recita il motto, o piuttosto "fai vedere a Google quello che vedi"?)
Le funzioni di Lens sono così tante che per sostituirle bisogna ricorrere a diverse app*. Ne ho testate molte negli ultimi mesi, ma non tutte estensivamente. Tra le miriadi di app disponibili, ho dato la preferenza a quelle open source, poi a quelle comunque prive di tracker.
*) Mi limito alle app Android, non potendo testare quelle per iOs. Quelle presenti sul Play Store potrebbero essere presenti anche sull'App Store Apple.
NOTA: so che esistono molte app che emulano tutte le funzioni di Lens... purtroppo, sono tutte piene zeppe di tracker (vedi anche l'ultimo punto).
NOTA 2: alcune app open source vanno installate da F-Droid (installare il pacchetto da f-droid.org/) oppure installando il pacchetto apk a mano (non si avranno aggiornamenti automatici).
-- RICONOSCIMENTO TESTI da immagine (OCR) --
Arriva subito il primo bonus! Infatti, la migliore soluzione open source per estrarre testo da un'immagine è inclusa in un'app di scansione (ed è perciò un'ottima ALTERNATIVA alle app più usate a questo scopo, come CamScanner, che contiene ben 13 tracker!)
Si tratta di [1] OSS Document Scanner [Play Store, FDroid (repo izzysoft)], un'app ricchissima di funzionalità e opzioni (tra cui la sincronizzazione delle cartelle), in grado di acquisire documenti in modo completamente automatico. Dopo la scansione, si può usare la funzione di riconoscimento (OCR) per estrarre in modo affidabile tutto il testo, che può poi essere incollato.
-- TRADUZIONE (anche da immagine) --
L'opzione open source è senza dubbio [2]Traduttore You (Translate You) [F-Droid]. App molto snella e funzionale, che può sfruttare molti motori di traduzione liberi e proprietari (vanno impostati nelle preferenze). Nella mia esperienza, quello che funziona meglio è LaraTranslate, qui utilizzato anonimamente tramite l'app: le traduzioni sono potenziate da AI e sono tra le migliori, inoltre riconosce anche parole spezzate da trattini e a capi e altri errori dovuti a riconoscimento testi. A proposito, l'app può estrarre e tradurre direttamente da foto: per farlo, bisogna però configurare le lingue nelle impostazioni, scaricando i dati di quelle che si desidera usare. I nomi dei pacchetti sono poco intuitivi, comunque le prime lettere indicano la lingua. L'app fornisce anche una voce nel menu contestuale (di altre app): per esempio, selezionando del testo in un browser si avrà l'opzione di tradurlo con Traduttore You. Se l'OCR interno non dovesse funzionare, consiglio di scansionare il testo con l'app OSS Document Scanner, copiarlo e incollarlo in Traduttore You. Sito (github)
Per avere una soluzione integrata di queste prime due funzionalità e un'esperienza più vicina a quella di Google Lens, consiglio invece [3]DeepL Traduttore [Play Store]. L'app è proprietaria e utilizza 2 tracker (ma sono tra i più "innocui"*). In generale è un buon compromesso tra privacy e usabilità, anche se per alcune funzioni più avanzate (e anche per utilizzare l'app oltre un certo numero di caratteri) è richiesto l'acquisto della versione Pro. Se lavorate molto con le traduzioni da immagine, o utilizzate molto questo tipo di servizio, forse vale la pena consultare i loro piani a pagamento.
*) OpenTelemetry e Sentry
-- SCANSIONE CODICI QR --
Secondo bonus! Infatti, ormai è comune includere la funzione di scansione codici direttamente nell'app fotocamera, ma... puoi fidarti di quella del tuo telefono? Sicuramente affidabile è [4]Secure Camera [Play Store], l'app sviluppata per Graphene OS, che pur non essendo open source è totalmente priva di traccianti e pubblicità, oltre ad essere un'app fotocamera eccellente e piena di funzioni. Tra cui, proprio quella di scansionare codici QR!
Per questa funzione consiglio vivamente [6]Flora Incognita [Play Store], nata all'interno di un progetto di ricerca per la conservazione della natura, a cura dell'Università Tecnica di Ilmenau e dell'Istituto Max Planck di Jena. Ben tradotta in italiano, priva di traccianti e di pubblicità, rende facilissimo riconoscere fiori e piante di tutti i tipi e tener traccia delle proprie osservazioni. Il progetto è presente sia sui social commerciali che sul Fediverso (anche se l'account Mastodon @Flora Incognita (EN) non sembra attivo).
-- RICONOSCIMENTO ANIMALI --
Per riconoscere gli animali ho trovato [7]Animal Identifier: AI Scanner [Play Store], un'app priva di traccianti e tradotta in italiano, che fornisce un'interfaccia stile AI bot con cui chattare dopo aver scattato una foto. C'è un limite giornaliero di 2 identificazioni (sbloccabile passando alla versione Premium).
Un'altra possibilità senza traccianti è [8]Animal Identifier - iSpecies [Play Store], con un limite di 3 identificazioni al giorno e un'interfaccia più tradizionale, che include una estesa libreria di schede informative su tutti i tipi di animali. Unica pecca: non è tradotta in italiano e anche le informazioni sugli animali sono in inglese, ma si può ovviare a questo gap linguistico scorrendo la scheda fino in fondo, premendo l'icona di Wikipedia (Read More) e successivamente cambiando la lingua su italiano nella pagina di Wikipedia che si apre.
Se invece vogliamo un accesso illimitato, dobbiamo utilizzar app più specifiche, come ad esempio [9]Uccelli Riconoscere - Bird ID (Bird Identifier) [Play Store], un'ottima app priva di tracker e di pubblicità in grado di riconoscere gli uccelli non solo a partire da fotografie, ma anche dal canto! L'unica pecca è la traduzione italiana ancora molto incompleta...
Ecco infatti il terzo bonus: Google Lens è limitato alle immagini, mentre l'app che ho citato può riconoscere anche il canto degli uccelli. Un'app open source, con un buon supporto linguistico italiano, dedicata al riconoscimento del canto degli uccelli è [10]whoBIRD [F-Droid], caratterizzata da un'interfaccia minimalista e no-click (riconosce al volo appena aperta l'app). Sicuramente la più immediata da usare e la più pratica per chi ne fa un utilizzo intensivo. Ancora una buona alternativa per chi usa solo il Play Store: [11]BirdNET [Play Store], un po' più macchinosa da usare ma anche molto precisa, perché consente di selezionare il canto degli uccelli nello spettro del suono registrato. Senza traccianti e completamente tradotta in italiano.
-- RICONOSCIMENTO MINERALI --
Ho trovato un'app che mi sembra funzioni, anche se non l'ho testata esaustivamente. È solo in inglese, ma non ha traccianti. Eccola: [12]Rock Identifier - Rockr [Play Store]
-- RICONOSCIMENTO FUNGHI --
NO. Enne-o. Cioè, anche GPT4 si rifiuta di riconoscere i funghi. Ho provato un'app, ma ne ha sbagliati più della metà. Perciò, i funghi fateli vedere da un esperto.
-- PIATTI NEL MENU --
Una delle funzioni più apprezzate di Lens è quella di darci informazioni sui piatti presenti nei menu (e mostrarci come potrebbero presentarsi). Posto che io preferisco sempre chiedere consiglio al personale di sala, esiste [13]PicMenu.co, una webapp open source basata su Together AI in grado di fare la stessa cosa. O almeno così dicono... non l'ho testata. Nulla da installare: basta aprire la pagina sul proprio browser.
-- ESPRESSIONI MATEMATICHE --
In questo caso vi propongo una vera e propria "istituzione": [14]Wolphram Alpha [Play Store], uno dei motori di "intelligenza computazionale" più noti del web. È disponibile sia come web app (direttamente dal browser) che come app installabile, e in questo caso offre anche la possibilità di input fotografico. Purtroppo, è una feature a pagamento (e i prezzi non sono bassi)... Ma già con la versione gratuita è possibile avere un grande aiuto introducendo le espressioni a mano. L'app è priva di traccianti. App web: wolframalpha.com/
E se invece volete proprio il riconoscimento da foto, vi suggerisco di andare direttamente con la prossima opzione...
-- TUTTO IL RESTO --
Ok, resta l'ultima possibilità (almeno per quanto mi riguarda). Visto che si tratta di modelli IA, a questo puinto chiediamo direttamente a un LLM... il che, a mio modo di vedere, significa usare [15]Duck.ai. Non ChatGPT (o MetaAI, Copilot, Grok, Claude...), cioè non attraverso la loro app, che comporta la creazione di un account. Una chat con un LLM fornisce un sacco di informazioni su di noi, ed è meglio che rimangano in locale. Duck.ai si apre nel browser. Si può scegliere tra molti modelli (ecco l'ultimo bonus!), tutte le chat restano in locale, possono essere conservate ma anche cancellate per sempre. GPT4o, nella fattispecie, accetta input in forma di foto ed è in grado di estrarne il testo, incluse le formule matematiche, e aiutarci passo passo nella soluzione di problemi (io comunque insisto che prima bisogna provare a ragionare con la nostra testa...). Può anche aiutarci a identificare luoghi, monumenti, oggetti e prodotti, anche se non può fornire link diretti a shop online.
E così, mi sembra ce ne sia per tutti...
[Ok, ok, allora, se proprio volete il tool unico e mi state suggerendo Perplexity, vi avviso che ha 2 tracker di Google e un punteggio di privacy di 7/10 secondo Exodus. È vero che gran parte delle altre app di AI-powered-search stanno a 0/10, ma io raramente scendo sotto il 9/10, perciò...]
@b n @Flora Incognita (EN) Uh grazie, avevo visto qualcosa tempo fa, poi non l'ho più cercata. Ho visto che è pulita secondo Exodus. La aggiungerò appena riesco, insieme a Duck.ai
Con l’avvio dell’anno scolastico 2025/2026, il #MIM registra un significativo avanzamento sul fronte delle assunzioni del personale docente.
🔹Entro settembre di quest’anno 41.
Tiziano :friendica:
Unknown parent • •Tiziano :friendica:
Unknown parent • •Tiziano :friendica:
Unknown parent • •Sto provando Lumo... Ho provato a caricare delle foto ma mi dice che il formato non è supportato (jpg)...