Diciamo la verità: sono anni che si celebra in modo ricorsivo il mese europeo della sicurezza cyber. Si leggono report, si indicano buone prassi, si producono innumerevoli linee guida e bene o male possiamo dire che ci sono delle vibes terribilmente equiparabili ai consigli per contrastare l’ondata di caldo estivo che si ascoltano al telegiornale.

Al posto dell’anticiclone africano abbiamo la guerra ibrida, il consiglio di evitare le ore più calde e idratarsi spesso viene sostituito dall’igiene digitale. E magari c’è spazio per il parere dell’esperto che ci spiega anche come mai ci si debba mettere la crema solare a meno che non sia abbia in mente di fare il cosplay della reazione di Maillard, che in ambito cyber ci spiega che utilizzare la stessa password con il proprio nome non è una buona idea (nota: questo vale anche se si sostituiscono numeri e lettere, per cui St3f4n0 non è che dia prova d’essere la forchetta più appuntita della posatiera) salvo non si coltivi il kink di un proprio masochismo cyber.

Probabilmente – e azzardo questo tiro di dadi – il problema è che forse di sicurezza cyber si parla molto ma per lo più lo si fa all’interno di determinate bolle informative. Dopodiché, forse penso male e faccio peccato ma dopotutto sto investendo nel mercato del Real Estate vista Stige (nota: c’è chi ha preso appezzamenti di terreno nel metaverso, quindi questa opzione non dovrebbe essere particolarmente assurda): non sarà mica che se ne parla in un modo poco potabile? e che dunque la cyberawareness non è un obiettivo ma un argomento o una leva?

Se così percepita, ecco che diventa indigesta o indigeribile. Con tutte quelle note conseguenze che può comportare il bere acqua non potabile sull’equilibrio della flora batterica. Esprimendo quel moto roboante di naturale resistenza e rifiuto.

E suscita in modo pavloviano la fatidica domanda “E al popolo?” al sentir parlare di sicurezza cyber e dintorni.

Informare senza dover convincere.

Per evitare di contaminare un intervento di cyberawareness quel che occorre è renderlo scevro dalla volontà di convincere il destinatario. Piuttosto, va informato. Dopodiché potrà dotarsi in autonomia di tutti i mezzi opportuni per provvedere alla propria difesa. O altrimenti non farlo. Ma consapevolmente.

L’azione infomrativa spesso è stata contaminata dalla volontà di vendere un qualche tipo di soluzione, o prodotto. Questo comporta due problemi. Il primo è allontanare alcuni destinatari che semplicemente se la sbrigano con un non mi serve niente, nonostante accattivanti slides colorate o “effetto wow” che però solletica i propositi sul momento e dopo una buona notte di sonno viene relegato alla memoria di uno show. Il secondo è quello di illudere chi invece sceglie di abbracciare la soluzione che sia sufficiente terminare l’esperienza di acquisto per poter essere al sicuro in ambito cyber. Al massimo ci si può dire al sicuro, ma essere al sicuro è qualcosa di ben diverso.

Dare ordine alle molteplici informazioni relative alla sicurezza cyber è già di per sé un’ottima opera di divulgazione, che ha tanto più valore quanto più si consente ai destinatari di avere non solo una disponibilità delle stesse ma anche una buona interazione. Lo skip tutorial o lo scrolling raramente comportano infatti una reale presa di coscienza. Fornire le coordinate perché ciascuno possa poi svolgere ricerche e approfondimenti è inoltre un metodo preferibile rispetto al martellamento o l’inondazione. Dopodiché, magari a qualcuno può piacere. Non farò certo kinkshaming.

Abbandonato il proposito di dover convincere, ecco che si creano maggiori interazioni e le opportunità per formare una o più community o accedere a strumenti di conoscenza utile. E qui ci troviamo di fronte ad un secondo dilemma (il primo si spera di averlo risolto nel chiarire che no, non si deve convincere nessuno): chi definisce la conoscenza utile?

L’ultima parola è del popolo. O meglio, di ciascun cittadino.

Le conoscenze sono “Fenomenali poteri cosmici in un minuscolo spazio vitale“, ove il minuscolo spazio vitale in cui esse possono risiedere è quel punto di intersezione fra la nostra capacità e volontà di acquisirle. Ecco dunque che bisogna sostituire alla pretesa di formare le masse (cosa che dovrebbe suonare piuttosto inquietante, a meno che le masse non siano quelle di una pasta modellabile e ci si trovi nell’ambito di diorami e miniature) quella di educare gli individui.

L’etimologia di educare, ex ducere e quindi trarre fuori, comporta la promozione dello sviluppo individuale secondo le preferenze, inclinazioni e scelte di ciascuno. Non per conformarsi a forme predefinite ma per una più ampia realizzazione, che coprirà, in ambito di sicurezza cyber, trasversalmente le molteplici vite che viviamo: lavorativa, privata, collettiva, pubblica. Questo in ambito cyber significa promuovere buone abitudini di sicurezza, consentendo a ciascuno di potersi evolvere in questo campo, professionalmente, personalmente o anche in modo limitato. Avendo però contezza dei rischi.

Ben venga il mese della sicurezza cyber, dunque, ma che sia uno spunto per “farla potabile”.

Anche perchè un mese non basta per essere al sicuro, ma ottobre è un buon mese per iniziare a pensarci su.

Così da poter affermare che, al popolo, la sicurezza cyber interessa eccome.

L'articolo Ottobre è il mese europeo della sicurezza cyber. Ma al popolo quanto interessa? proviene da il blog della sicurezza informatica.

Seacom, operatore africano di infrastrutture sottomarine, ha annunciato il lancio di Seacom 2.0, un sistema di cavi internazionali progettato per collegare Europa, Medio Oriente, Africa e Asia.

Il progetto prevede un tracciato lungo 25.000 chilometri (15.534 miglia), dotato di 48 coppie di fibre ottiche, con 20 punti di atterraggio distribuiti in 15 paesi.

Secondo la società, il nuovo cavo risponde alla domanda crescente di servizi per l’intelligenza artificiale, il cloud e il trasferimento di dati in tempo reale. Seacom dichiara che la rete potrebbe ridurre i costi di connettività fino al 300%, favorendo lo sviluppo di servizi cloud, fintech e dell’ecosistema tecnologico regionale.

Il percorso pianificato ha inizio a Marsiglia (Francia); attraversa il Mar Mediterraneo e il Mar Rosso prima di diramarsi in due rami: il primo prosegue verso est fino a Singapore, attraversando India e Pakistan; il secondo serve le coste del Nordafrica, dell’Africa occidentale e dell’Africa meridionale.

Nel comunicato ufficiale il CEO Alpheus Mangale ha definito Seacom 2.0 come “più di un semplice cavo“, sottolineando che l’iniziativa intende consolidare la sovranità digitale della regione e promuovere accesso aperto e integrazione regionale. L’azienda indica come obiettivo la creazione di una rete resiliente, sostenibile e inclusiva.

Dal punto di vista tecnico, Seacom 2.0 è concepito come una infrastruttura ad alta capacità e bassa latenza ottimizzata per i carichi di lavoro dell’intelligenza artificiale. È prevista la trasformazione delle stazioni di atterraggio in veri e propri “nodi di comunicazione dell’intelligenza artificiale”, volti a collegare l’infrastruttura AI sovrana africana ai data center globali.

Il progetto include obiettivi strategici economici e operativi: stimolare la crescita del PIL – sulla scia dell’impatto positivo già osservato da precedenti cavi sottomarini, che hanno contribuito a incrementare il PIL pro capite africano di oltre il 6% – supportare infrastrutture intelligenti (porti abilitati all’IoT, pianificazione urbana basata su AI, edge computing) e potenziare le piccole e medie imprese con connettività di livello aziendale per l’accesso al cloud e ai mercati digitali.

Seacom 2.0 si poggia sulla rete esistente dell’operatore, avviata nel 2009 in collaborazione con Tata Communications. Seacom gestisce stazioni di atterraggio lungo la costa orientale dell’Africa e detiene capacità su principali sistemi internazionali come WACS, TEAMS, EASSy, Main One, Equiano e Peace. Tra gli investitori figurano Industrial Promotion Services (Aga Khan Fund for Economic Development), Remgro, Solcon Capital e Sanlam.

L’annuncio richiama inoltre proiezioni macro: Seacom posiziona Seacom 2.0 in previsione di 10 miliardi di agenti di intelligenza artificiale entro il 2030 e della crescita demografica prevista per il bacino dell’Oceano Indiano, che secondo le stime ospiterà metà della popolazione mondiale entro il 2050.

L'articolo 25.000 Chilometri, è il nuovo cavo sottomarino Seacom2.0 per collegare Europa, Africa e Asia proviene da il blog della sicurezza informatica.

L’azienda cinese DeepSeek ha presentato una versione sperimentale del suo modello linguistico, DeepSeek-V3.2-Exp, che per la prima volta implementa una propria versione di attenzione sparsa, una tecnica che riduce significativamente i costi computazionali nell’elaborazione di lunghe sequenze di testo. Il nuovo meccanismo, denominato DeepSeek Sparse Attention, si dice in grado di ridurre di quasi la metà i costi di gestione del modello. Per dimostrare questi risparmi, l’azienda ha ridotto il prezzo delle API del 50%.

Il problema del carico computazionale nei modelli linguistici di grandi dimensioni è particolarmente acuto per i dialoghi lunghi. La classica architettura Transformer, sviluppata nel 2017, confronta ogni parola nella sequenza di input con ogni altra parola, con un conseguente aumento quadratico del numero di operazioni. Per mille parole, questo si traduce in un milione di confronti e per diecimila in cento milioni. Questo sovraccarico aumenta l’utilizzo di risorse nelle sessioni lunghe e rallenta le prestazioni, poiché il sistema è costretto a rianalizzare l’intera cronologia del dialogo a ogni nuova richiesta.

La tecnologia Sparse Attention funziona in modo diverso. Non abbina ogni parola a ogni altra, ma seleziona un insieme limitato delle connessioni più significative. DeepSeek utilizza un meccanismo proprietario chiamato Lightning Indexer, una piccola unità di rete neurale aggiuntiva che valuta la significatività delle coppie di parole e seleziona fino a 2.048 connessioni più rilevanti per ogni posizione. L’azienda non ha divulgato i dettagli su come l’indicizzatore prende le sue decisioni, ma afferma che non compromette la qualità della comprensione del testo.

Test interni hanno dimostrato che il nuovo modello fornisce risultati comparabili alla versione precedente, DeepSeek-V3.1-Terminus, pur mantenendo un’elevata accuratezza e la capacità di elaborare sequenze lunghe. In particolare, DeepSeek ha reso open source i suoi componenti con licenza MIT e ha fornito pesi accessibili al pubblico, consentendo ad altri ricercatori di testare e sviluppare le soluzioni proposte.

DeepSeek ha fatto notizia per la prima volta a gennaio , quando il suo modello R1 ha raggiunto le prestazioni di OpenAI o1 con un costo di addestramento di soli 6 milioni di dollari. Inoltre, l’app di chat dell’azienda ha brevemente raggiunto il primo posto nell’app store per iPhone, superando ChatGPT. Da allora, l’attenzione del settore si è concentrata sul laboratorio cinese, costretto a trovare modi per ottimizzare i propri calcoli a causa dell’accesso limitato alle moderne GPU e ad altri chip specializzati a causa delle restrizioni all’esportazione.

Sebbene questo approccio abbia ricevuto da tempo scarsa attenzione e sia stato utilizzato per la prima volta in GPT-3 e in diversi altri modelli di sviluppatori occidentali, DeepSeek afferma che la sua implementazione ha consentito una messa a punto precisa e una significativa riduzione dei costi computazionali senza alcuna perdita di qualità evidente. Esperti indipendenti non hanno ancora confermato questi risultati, ma se le conclusioni dell’azienda si rivelassero corrette, tali metodi potrebbero cambiare significativamente l’economia dell’utilizzo di modelli di intelligenza artificiale a lungo termine.

L'articolo DeepSeek sfida i grandi dell’AI: taglio del 50% dei costi e delle API proviene da il blog della sicurezza informatica.

Il grande problema del male, del che cosa è, da dove viene, e perché esiste, è al centro non solo del dibattito della teologia, ma anche delle umane reazioni di fronte alla sofferenza.

In questo libro, Paolo Marino Cattorini, filosofo e già docente di Bioetica clinica all’Università dell’Insubria, affronta questo abissale interrogativo. Lo fa ripercorrendo il cammino delle interpretazioni dell’Antico e Nuovo Testamento, di san Paolo, di sant’Agostino, della filosofia (in particolare Schelling e Pareyson).

È un’antica questione che sfiora anche interpretazioni lontane dalle fonti citate: ad esempio, il teismo, vale a dire l’ammissione che ci possa essere un Dio persona e una sua rivelazione; il deismo, che è invece il semplice riconoscimento di un ente supremo creatore dell’universo; non ignorando le tesi dualistiche e manichee, secondo le quali il bene (lo spirito) e il male (la materia) sono due princìpi radicalmente distinti.

Ma, al di là di ogni pretesa ideologica, si staglia come presenza risolutiva la figura del Cristo: egli è icona del Dio che redime attraverso il suo sacrificio e che è «un Dio della vita» (p. 53).

Il fatto è che la tentazione di ripiegarsi in giustificazioni unicamente razionali è destinata a insabbiarsi di fronte al limite della parzialità delle interpretazioni, e soprattutto delle disquisizioni sottili che rischiano di diventare fini a sé stesse. E infatti emerge qui il punto di vista dell’A.: Dio è sentito come Padre e come un «Alleato affidabile e libero» (p. 85).

Si arriva così all’enigma di un male che esiste nonostante la fede in quella paternità amorevole. Perché questo amore oltrepassa i limiti dell’umana comprensione e si inoltra, come nel caso della consegna della stessa paga a operai che hanno lavorato per un numero diverso di ore (cfr Mt 20,1-16), nel mistero di un concetto di giustizia, quella divina, assai differente da quella della ragione umana.

Ma proprio perché il punto di vista umano è limitato, l’A. suggerisce che la presenza del male nel mondo non può essere unicamente legata all’evidente debolezza umana, ma a qualcosa di più profondo. E qui si apre una questione che investe la responsabilità divina, fino a far ipotizzare che il male possa «esistere prima dell’inizio dell’attività di YHWH» (p. 94).

Dio permette il male? O il male è una componente enigmatica che ha a che fare con la stessa essenza divina e rappresenta, tra le varie ipotesi, la tentazione a ripiegarsi su sé stesso, rinunciando ad accompagnare l’uomo per la sua strada terrena? O forse Dio si comporta come un medico che, non avendo una medicina risolutiva per ogni patologia, può solo piangere «assieme a noi che piangiamo»? (p. 99).

Quello che emerge da alcune pagine di questo libro è l’affascinante immagine di una divinità che, muovendo da una base fatta di tenebra primordiale, viene incontro alla sua creazione in uno slancio di amore assoluto. Il male è forse quella tenebra – afferma Cattorini, citando alcuni autori –, quella tentazione a tornare all’isolamento, a «l’essere-in-sé-e-per-sé». La presenza di un Grund, ossia di un fondamento abissale, potrebbe essere interpretata, secondo alcuni, come la fonte primordiale del male.

E fa bene l’A. a individuare i limiti delle interpretazioni citate e a ricorrere alla dimensione dell’icona attraverso la mediazione di Jean-Luc Marion (anche se altri, tra i quali Florenskij ed Evdokimov, hanno offerto fondamentali interpretazioni sul fascino dell’apparente semplicità dell’icona): essa rivolge su di sé l’attenzione di chi guarda, e nello stesso tempo è essa stessa che guarda, guidando nel passaggio della soglia tra il visibile e l’invisibile.

L’abbandono a Dio è uno dei modi per ritrovare il Senso primigenio dell’esistenza, anche quando, come nel Salmo 22, tutto sembra perduto.

The post Perché il male first appeared on La Civiltà Cattolica.

ChatGPT non è solo uno strumento personale: può migliorare anche la comunicazione e l’efficienza nei gruppi di lavoro. Ne parliamo in questo episodio.

zerodays.podbean.com/e/io-e-ch…

Some things are more fun when there are more folks involved, and enjoying time in the pool is one of those activities. Knowing this, [Bert Wagner] started thinking of ways to best coordinate pool activities with his kids and their neighborhood friends. Out of this came the Splashflag, an IoT device built from the ground up that provides fun pool parties and a great learning experience along the way.

The USB-powered Splashflag is housed in a 3D-printed case, with a simple 2×16 LCD mounted on the front to display the notification. There’s also a small servo mounted to the rear that raises a 3D-printed flag when the notification comes in—drawing your attention to it a bit more than just text alone would. Hidden on the back is also a reset button: a long press factory-resets the device to connect to a different Wi-Fi network, and a quick press clears the notification to return the device to its resting state.

Inside is an ESP32-S3 that drives the servo and display and connects to the Wi-Fi. The ESP32 is set up with a captive portal, easing the device’s connection to a wireless network. The ESP32, once connected, joins an MQTT broker hosted by [Bert Wagner], allowing easy sending of notifications via the web app he made to quickly and easily send out invitations.

Thanks, [Bert Wagner], for sharing the process of building this fun, unique IoT device—be sure to read all the details on his website or check out the code and design files available over on his GitHub. Check out some of our other IoT projects if this project has you interested in making your own.

youtube.com/embed/m3u1LLpupH0?…

hackaday.com/2025/10/05/splash…

What the Flock? It’s probably just some quirk of The Almighty Algorithm, but ever since we featured a story on Flock’s crime-fighting drones last week, we’ve been flooded with other stories about the company, some of which aren’t very flattering. The first thing that we were pushed was this handy interactive map of the company’s network of automatic license plate readers. We had no idea how extensive the network was, and while our location is relatively free from these devices, at least ones operated on behalf of state, county, or local law enforcement, we did learn to our dismay that our local Lowe’s saw fit to install three of these cameras on the entrances to their parking lot. Not wishing to have our coming and goings documented, we’ll be taking our home improvement dollars elsewhere for now.

But it’s a new feature being rolled out by Flock that really got our attention: the addition of “human distress” detection to their Raven acoustic gunshot detection system. From what we understand, gunshot detection systems use the sudden acoustic impulse generated by the supersonic passage of a bullet, the shock wave from the rapidly expanding powder charge of a fired round, or both to detect a gunshot, and then use the time-of-arrival difference between multiple sensors to estimate the shot’s point of origin. Those impulses carry a fair amount of information, but little of it is personally identifiable, at least directly. On the other hand, human voices carry a lot of personal information, and detecting the sounds of distress, such as screaming, would require very different monitoring techniques. We’d imagine it would be akin to what digital assistants use to monitor for wake words, which would mean turning the world — or at least pockets of it — into a gigantic Alex. We don’t much like the idea of having our every public utterance recorded and analyzed, even with the inevitable assurances from the company that the “non-distress” parts of the audio stream will never be listened to. Yeah, right.

Botnets are bad enough when it’s just routers or smart TVs that are exploited to mine crypto or spam comments on social media. But what if a botnet were made of, you know, actual robots? That might be something to watch out for with the announcement of a vulnerability in certain Unitree robots, including several of their humanoid robots. The vulnerability, still unpatched at the time of the Spectrum story, lies in the Bluetooth system used to set up the robots’ WiFi configuration. It sounds like an attacker can easily craft a BLE packet to become an authenticated user, after which the WiFi SSID and password fields can be used to inject arbitrary code. The fun doesn’t end there, though, since a compromised robot could then go on to infect any other nearby Unitree bots via BLE. And since Unitree seems to be staking out a market position as the leader in affordable humanoid robots, who’s to say what could happen? If you want a zombie robot apocalypse, this seems like a great way to get it.

Also from the “Bad Optics for Robots” files comes this story about a Waymo car that went just a little off course. Or rather, on course — a golf course, to be precise. Viral video shows a Waymo self-driving Jaguar creeping slowly across a golf course fairway as bemused golfers look on. But you can relax, because the robotaxi company says that this isn’t a case of their AI driving system going awry, but rather a human-driven robotaxi preparing for an event at the golf course. The company seems to think this absolves them, and perhaps it does officially and legally. But a very distinctive car that’s well-known for getting into self-driving mischief, appearing in a place one doesn’t typically associate with vehicles larger than golf carts, seems like a bad look for the company.

And finally, back in December of 2023, we dropped a link to My Mechanics’ restoration of a 1973 Datsun 240Z. He’s been making slow but steady progress on the car since then, with the most recent video covering his painstaking restoration of the rear axle and suspension. Where most car rebuild projects use as many replacement parts as possible, My Mechanics prefers to restore the original parts wherever possible. So, where a normal person might look at the chipped cooling fins on the original Z-car’s brake drums and order new ones, My Mechanics instead pulls out the TIG welder and lays up some beads to patch the broken fins. He used a similar technique to restore the severely chowdered compression fittings on the brake lines, something we’ve never seen down before. Over the top? You bet it is, but it still makes for great watching. Enjoy!

youtube.com/embed/LolBuzO8RWw?…

hackaday.com/2025/10/05/hackad…

The GOP wants to shutdown the federal government.

It is true that Congress failed to pass a 2026 appropriation bill. The GOP controlled House passed an extension spending bill, but it did not pass in the Senate. It failed in the Senate because it did not have the 60 votes needed to close debate (i.e. cloture) and the Democrats were not willing to provide those votes without changes such as rolling back the GOP’s increase in health insurance premiums for Affordable Care Act recipients or blocking Trump’s unconstitutional efforts to not spend money Congress has already appropriated.

Requiring 60 votes to close debate is a Senate rule that can be changed by a simple majority vote in the Senate. There is nothing in the constitution that requires it. The GOP majority in the Senate could change the rule to close debate with a majority and pass their appropriations extension.

They choose not to. It allows GOP office holders to blame anyone, except themselves. The corporate media parrot their lies.

The GOP wants the federal government shutdown.

I am not talking about the changes in the bill. It is awful, of course, and would continue to let Trump use ICE to illegally round up people in apartment buildings, whether citizens, or immigrants documented or not. Trump could still force national guard members to illegally act like police in cities in other states. Trump has already laid off 12% of federal all workers and the bill would continue to let him illegally hold back billions of dollars Congress appropriated. Billions that should be given to clean energy projects, state transportation projects, VA benefits and needed medical research.

The GOP wants the federal government shutdown.

They want millions of federal workers to suffer from being furloughed unable to provide needed government services. They want us to face uncertainty and loss because those services are not available or require us to waste even more of our time to access them.

Since Trump was inaugurated the GOP has sought a federal government shutdown. Through the DOGEbros, they started their government shutdown as they held back funding and pushed illegal layoffs. The cost has been high to the rest of us. The economy and hiring has flatlined. Prices increased.

They don’t care.

The GOP wants the federal government shutdown and they will use any tool they have to make it happen.

Vote Pirate!

masspirates.org/blog/2025/10/0…

Steve, Joe and James discuss HorizonMass/BINJ effort to use public records requests to determine if the drones over the Boston Dominican Parade and Caribbean Carnival were owned by the Boston Police Department. We also discussed the Trump administration’s recent efforts to censor free speech and an ex-Florida sheriff’s deputy attempt to spread disinformation from Russia.

youtube.com/embed/rHy8jXfhQVw?…

Sign up to our newsletter to get notified of new events or volunteer. Join us on:

• Mastodon;
• Facebook;
• Blue Sky;
• Twitter.

Some links we mentioned:

• Our Administrative Coup Memory Bank;
• Our Things to Do when Fascists are Taking Over;
• Did The BPD Fly A Surveillance Drone Over The Dominican Parade? They Won’t Tell Us.
• Disney Plus Subscribers Quit in Droves Over Jimmy Kimmel Axe;
• 2025 shootings of Minnesota legislators;
• Russian fake-news network, led by an ex-Florida sheriff’s deputy, storms back into action with 200+ new sites.

Image Credit: CC-By-2.0 image via Wikipedia Commons by Maurizio Pesce.

uspirates.org/mass-pirate-news…

There are all kinds of air quality sensors on the market that rely on all kinds of electro-physical effects to detect gases or contaminants and report them back as a value. [lucascreator] has instead been investigating a method of determining air quality that is closer to divination than measurement—using computer vision and a trained AI model.

The system relies on an Unihiker K10—a microcontroller module based around the ESP32-S3 at heart. The chip is running a lightweight convolutional neural network (CNN) trained on 12,000 images of the sky. These images were sourced from a public dataset; they were taken in India and Nepal, and tagged with the relevant Air Quality Index at the time of capture. [lucascreator] used this data to train their model to look at an image taken with a camera attached to the ESP32 and estimate the air quality index based on what it has seen in that existing dataset.

It might sound like a spurious concept, but it does have some value. [lucascreator] cites studies where video data was used for low-cost air quality estimation—not as a replacement for proper measurement, but as an additional data point that could be sourced from existing surveillance infrastructure. Performance of such models has, in some cases, been remarkably accurate.

[lucascreator] is pragmatic about the limitations of their implementation of this concept, noting that their very compact model didn’t always perform the best in terms of determining actual air quality. The concept may have some value, but implementing it on an ESP32 isn’t so easy if you’re looking for supreme accuracy. We’ve featured some other great air quality projects before, though, if you’re looking for other ways to capture this information. Video after the break.

youtube.com/embed/_N6jWXNrcxI?…

hackaday.com/2025/10/05/divini…

Oracle ha pubblicato un avviso di sicurezza relativo a una vulnerabilità critica identificata come CVE-2025-61882 presente nella suite Oracle E-Business. La falla può essere sfruttata da remoto senza necessità di autenticazione, consentendo potenzialmente l’esecuzione di codice malevolo sui sistemi colpiti.

L’azienda raccomanda ai propri clienti di applicare immediatamente gli aggiornamenti indicati nell’avviso. Oracle sottolinea l’importanza di mantenere le versioni dei prodotti attivamente supportate e di installare senza ritardo tutte le patch di sicurezza critiche. In particolare, l’aggiornamento delle patch critiche rilasciate nell’ottobre 2023 rappresenta un prerequisito per l’implementazione delle nuove correzioni.

Per supportare il rilevamento e il contenimento immediato di eventuali attacchi, l’avviso include una matrice dei rischi con indicatori di compromissione, quali indirizzi IP sospetti, comandi e file associati agli exploit conosciuti.

Prodotti interessati e patch disponibili

La vulnerabilità interessa specificamente le versioni di Oracle E-Business Suite dalla 12.2.3 alla 12.2.14. La documentazione ufficiale, disponibile tramite i link forniti da Oracle, contiene informazioni dettagliate sulle patch e sulle modalità di installazione.

Supporto e versioni legacy

Le patch fornite tramite il programma Security Alert sono disponibili solo per le versioni coperte dal Premier Support o dall’Extended Support secondo la Lifetime Support Policy di Oracle.

Le versioni non incluse in questi programmi non vengono testate per le vulnerabilità segnalate, anche se potrebbero comunque essere interessate. Per questa ragione, Oracle consiglia l’aggiornamento alle versioni supportate per garantire protezione e compatibilità con le patch di sicurezza.

Come verificare se si è affetti dal bug

La vulnerabilità CVE-2025-61882 riguarda Oracle E‑Business Suite ed è sfruttabile da remoto senza autenticazione, con potenziale esecuzione di codice remoto se sfruttata con successo.

Su GitHub è stato pubblicato un metodo pubblico di rilevamento che aiuta a identificare istanze potenzialmente non aggiornate. Il metodo segnala un’istanza come sospetta quando la pagina restituisce la stringa “E-Business Suite Home Page” e l’intestazione HTTP Last-Modified riporta una data precedente al 4 ottobre 2025 (timestamp Unix 1759602752).

Questo approccio è descritto come uno strumento di individuazione — non come un vettore di attacco — e dovrebbe essere usato esclusivamente per scopi di verifica e difesa. Per rimuovere il rischio, Oracle raccomanda l’applicazione delle patch indicate nell’avviso di sicurezza e l’aggiornamento alle versioni supportate.

Indicatori di compromissione (IOC)

Di seguito sono riportati gli indicatori di compromissione (indirizzi IP, comandi osservati e file) per supportare il rilevamento, la ricerca e il contenimento immediati.

L'articolo Vulnerabilità da 9.8 in Oracle E-Business Suite: aggiornamenti urgenti necessari proviene da il blog della sicurezza informatica.

The idea of using the Apple II home computer for digital photography purposes may seem somewhat daft considering that this is not a purpose that they were ever designed for, yet this is the goal that [Colin Leroy-Mira] had, requiring some image decoder optimizations. That said, it’s less crazy than one might assume at first glance, considering that the Apple II was manufactured until 1993, while the Apple QuickTake digital cameras that [Colin] wanted to use for his nefarious purposes saw their first release in 1994.

These QuickTake cameras feature an astounding image resolution of up to 640×480, using 24-bit color. Using the official QuickTake software for Apple Macintosh System 7 through 9 the photographs in proprietary QTK format could be fetched for display and processing. Doing the same on an Apple II would obviously require a bit more work, not to mention adapting of the image to the limitations of the 8-bit Apple II compared to the Motorola 68K and PowerPC-based Macs that the QuickTake was designed to be used with.

Targeting the typical ~1 MHz 6502 CPU in an Apple II, the dcraw QTK decoder formed the basis for an initial decoder. Many memory and buffer optimizations later, an early conversion to monochrome and various other tweaks later – including a conversion to 6502 ASM for speed reasons – the decoder as it stands today manages to decode and render a QTK image in about a minute, compared to well over an hour previously.

Considering how anemic the Apple II is compared to even a budget Macintosh Classic II system, it’s amazing that displaying bitmap images works at all, though [Colin] reckons that more optimizations are possible.

hackaday.com/2025/10/05/optimi…

Gli esperti hanno svelato i dettagli di tre vulnerabilità, ora risolte, presenti nell’assistente di intelligenza artificiale Gemini di Google, collettivamente soprannominate “Gemini Trifecta” .

Se sfruttate con successo, queste falle avrebbero potuto indurre l’intelligenza artificiale a rubare dati e ad altre attività dannose.

Gli esperti di Tenable affermano che le vulnerabilità hanno interessato tre diversi componenti di Gemini:

Iniezioni di prompt in Gemini Cloud Assist. Il bug ha permesso agli aggressori di compromettere servizi e risorse cloud sfruttando la capacità dello strumento di riepilogare i log estratti direttamente dai log grezzi. Ciò ha consentito loro di nascondere un prompt nell’intestazione User-Agent nelle richieste HTTP a Cloud Functions e ad altri servizi, tra cui Cloud Run, App Engine, Compute Engine, Cloud Endpoints, Cloud Asset API, Cloud Monitoring API e Recommender API.

Iniezioni di ricerca nel modello di personalizzazione della ricerca Gemini. Il problema consentiva l’iniezione di prompt e il controllo del comportamento dell’IA per rubare le informazioni memorizzate e i dati sulla posizione di un utente. L’attacco funzionava come segue: l’aggressore manipolava la cronologia delle ricerche di Chrome della vittima utilizzando JavaScript, rendendo il modello incapace di distinguere le query legittime dell’utente dai prompt iniettati esternamente.

Iniezioni indirette di prompt nello strumento di navigazione Gemini. Questa vulnerabilità potrebbe essere utilizzata per estrarre informazioni utente e dati sulla posizione memorizzati su un server esterno. Lo sfruttamento funzionava tramite una chiamata interna effettuata da Gemini per riassumere il contenuto di una pagina web. Ciò significava che l’aggressore avrebbe inserito un prompt dannoso sul proprio sito web e, quando Gemini ne avesse riassunto il contenuto, avrebbe eseguito le istruzioni nascoste dell’aggressore.

I ricercatori hanno osservato che queste vulnerabilità hanno consentito di incorporare dati privati degli utenti nelle richieste dell’aggressore, senza che Gemini avesse bisogno di visualizzare link o immagini.

“Uno degli scenari di attacco più pericolosi si presenta così: un aggressore inserisce un prompt che ordina a Gemini di interrogare tutte le risorse accessibili al pubblico o di trovare errori di configurazione IAM, per poi generare un collegamento ipertestuale con questi dati sensibili”, spiegano gli esperti, citando come esempio un bug di Cloud Assist. “Questo è possibile perché Gemini ha le autorizzazioni per interrogare le risorse tramite la Cloud Asset API.”

Nel secondo caso, gli aggressori dovevano attirare la vittima su un sito web predisposto per iniettare query di ricerca dannose con prompt Gemini nella cronologia del browser dell’utente, infettandola. Quindi, quando la vittima accedeva a Gemini Search Personalization, le istruzioni degli aggressori venivano eseguite, rubando dati riservati.

Dopo aver ricevuto informazioni sulle vulnerabilità, gli specialisti di Google hanno disabilitato il rendering dei collegamenti ipertestuali nelle risposte durante il riepilogo dei log e hanno inoltre implementato ulteriori misure di protezione contro le iniezioni rapide.

“Le di Gemini Trifecta dimostrano che l’intelligenza artificiale può diventare non solo un bersaglio, ma anche uno strumento di attacco. Quando si implementa l’intelligenza artificiale, le organizzazioni non possono trascurare la sicurezza“, sottolineano i ricercatori.

L'articolo Gemini Trifecta: tre bug critici rilevati nell’AI di Google proviene da il blog della sicurezza informatica.

Un iPad sconosciuto con chip M5 è stato avvistato su Geekbench. Il dispositivo ha ottenuto un punteggio di 4.133 nel test single-core e di 15.437 in quello multi-core. La registrazione suggerisce una frequenza di clock fino a 4,42 GHz. Il tablet ha 12 GB di RAM e sono probabilmente disponibili opzioni di archiviazione da 256 o 512 GB.

Apple è tradizionalmente forte nella progettazione dei processori, e i primi risultati lo confermano. Secondo i dati trapelati, il tablet M5 vanta punteggi per core molto elevati. In mezzo alle voci sull’imminente Snapdragon X Elite 2. Il top di gamma X2 Extreme è descritto come un chip Oryon a 18 core con un overclock dual-core fino a 5,0 GHz. In un test Geekbench 6.5, ha ottenuto circa 4.080 punti in modalità single-core e 23.491 in modalità multi-core.

Se questi dati sono accurati, l’iPad con l’M5 supera leggermente l’X Elite 2 nelle prestazioni single-core, ma è significativamente più lento nelle prestazioni multi-core.

Questo ha senso, poiché Qualcomm ha più core e un design termico di classe laptop, consentendo un carico di calcolo complessivo maggiore. Tuttavia, i dispositivi con Snapdragon X Elite 2 non sono previsti prima del 2026, il che significa che il confronto è ancora teorico. Anche il test sull’iPad non è ufficiale, quindi i dettagli sulla configurazione e i risultati sono soggetti a modifiche.

Anche tenendo conto dello stato della fuga di notizie, la conclusione è chiara. Il tablet basato su M5 si avvicina alle prestazioni per core di un PC, mantenendo un consumo energetico moderato. Questa è un’ulteriore prova di quanto Apple abbia fatto progressi in termini di efficienza e frequenza grazie alla sua architettura proprietaria.

L'articolo Avvistato iPad con chip M5: prestazioni promettenti su Geekbench proviene da il blog della sicurezza informatica.

Il creatore di Linux, Linus Torvalds, ha nuovamente criticato pubblicamente gli sviluppatori, concentrandosi questa volta sulla formattazione del testo e del codice Rust. Mentre aveva dichiarato che il supporto big endian per RISC-V non è previsto per il kernel Linux, oggi ha criticato lo stile di formattazione “folle” di Rust e la documentazione approssimativa nei contributi.

Il motivo era un’altra richiesta di pull per il sottosistema DRM inviata per la revisione. Torvalds notò che il testo appariva come un “groviglio di parole” in cui la struttura originale era andata perduta.

“Nota che ci sono diverse sottosezioni: Alloc, DMA/Scatterlist, DRM e Rust. Ma sono tutte in un mucchio casuale perché a quanto pare le hai semplicemente incollate in un editor o in un MUA e hai perso l’indentazione“, ha scritto.

Secondo Torvalds, tale negligenza distrugge completamente la gerarchia multilivello chiaramente presente fin dall’inizio. Ha chiesto scherzosamente se l’autore stesse utilizzando l’antico editor Edlin dell’era MS-DOS.

Successivamente, l’attenzione si è spostata sul codice Rust apparso nel kernel a partire dalla versione 6.18. Torvalds ha dichiarato di avere serie preoccupazioni riguardo alla formattazione delle direttive d’uso .

“Detesto il controllo inutile e completamente folle di rustfmt. Ho convertito diverse istruzioni use crate::xyz; in istruzioni a blocchi più ordinate per semplificare l’aggiunta di nuove righe. Ma rustfmtcheck le ha trasformate in un semplice one-liner, e non capisco nemmeno quali euristiche abbia”, ha detto.

Torvalds ha sottolineato che il formattatore automatico “rende letteralmente il codice meno gestibile“, rendendo più difficile unire le modifiche e favorirne lo sviluppo futuro.

Lo irritava particolarmente l’incoerenza delle regole: in alcuni casi lo strumento insiste su un formato multi-riga, in altri su una notazione compatta, che, a suo dire, “crea confusione e irritazione”.

Contattò Miguel Ojidio, che gli aveva chiesto di usare rustfmtcheck, chiedendo una “soluzione sensata”. Torvalds fece notare di aver lasciato il codice così com’era, ignorando i suggerimenti dello strumento.

Per supportare le sue parole, ha fornito un collegamento alla guida ufficiale di Rust osservando che le regole ivi proposte potrebbero essere appropriate per strutture dati compatte, ma usenon sono adatte alle direttive, poiché parlano di “entità indipendenti”.

Secondo lui, è proprio a causa della “terribile euristica casuale” di rustfmt che molti sviluppatori preferiscono tenere ogni direttiva d’uso su una riga separata.

La corrispondenza completa è disponibile in LKML.

L'articolo Linus Torvalds è di nuovo arrabbiato e critica la formattazione del codice Rust nel kernel Linux proviene da il blog della sicurezza informatica.