The first transistors were point contact devices, not far from the cats-whiskers of early radio receivers. They were fragile and expensive, and their performance was not very high. The transistor which brought the devices to a mass audience through the 1950s and 1960s was the one which followed, the alloy diffusion type. [Play With Junk] has a failed OC71 PNP alloy diffusion transistor, first introduced in 1957, and has cracked it open for a closer look.

Inside the glass tube is a small wafer of germanium crystal, surrounded by silicone grease. It forms the N-type base of the device, with the collector and emitter being small indium beads fused into the germanium. The junctions were formed by the resulting region of germanium/indium alloy. The outside of the tube is pained black because the device is light-sensitive, indeed a version of this transistor without the paint was sold as the OCP71 phototransistor.

These devices were leaky and noisy, with a low maximum frequency and low gain. But they were reliable and eventually affordable, so some of us even cut our electronic teeth on them.

youtube.com/embed/L7GaFaqFGR8?…

hackaday.com/2025/10/10/inside…

I rappresentanti di Salesforce hanno annunciato di non avere alcuna intenzione di negoziare o pagare un riscatto agli aggressori responsabili di una serie di attacchi su larga scala che hanno portato al furto dei dati dei clienti dell’azienda. Gli hacker stanno attualmente tentando di ricattare 39 aziende i cui dati sono stati rubati da Salesforce.

La scorsa settimana, gli Scattered Lapsus$ Hunters (una combinazione di membri dei gruppi di hacker Scattered Spider, LAPSUS$ e Shiny Hunters) hanno lanciato un proprio Data Leak Site (DLS) in cui sono elencate 39 organizzazioni colpite da violazioni dei dati legate a Salesforce.

Ogni post contiene esempi di dati rubati dagli account Salesforce e avvisa le aziende interessate di contattare gli hacker entro il 10 ottobre 2025, per impedire che tutte le informazioni rubate vengano divulgate pubblicamente.

I cacciatori di Lapsus$ stanno tentando di estorcere denaro a una serie di marchi e organizzazioni noti, tra cui: FedEx, Disney e Hulu, Home Depot, Marriott, Google, Cisco, Toyota, Gap, McDonald’s, Walgreens, Instacart, Cartier, Adidas, Saks Fifth Avenue, Air France e KLM, Transunion, HBO Max, UPS, Chanel e IKEA.

“Vi incoraggiamo vivamente a prendere la decisione giusta. La vostra organizzazione sarà in grado di prevenire una violazione dei dati, riprendere il controllo della situazione e tutte le operazioni rimarranno stabili come prima. Incoraggiamo vivamente i decisori a partecipare a questo processo, poiché presentiamo una soluzione chiara e reciprocamente vantaggiosa”, scrivono gli hacker.

Gli aggressori hanno anche pubblicato un messaggio separato sul loro sito web, indirizzato a Salesforce. Gli hacker chiedevano un riscatto all’azienda per impedire la fuga di dati di tutti i clienti interessati (un totale di circa 1 miliardo di record contenenti informazioni personali).

“Se acconsenti alle nostre richieste, annulleremo qualsiasi trattativa attiva o in corso con i tuoi clienti. Se paghi, i tuoi clienti non saranno più attaccati e non riceveranno richieste di riscatto da parte nostra”, affermano gli aggressori, rivolgendosi a Salesforce.

Inoltre, gli estorsori minacciano l’azienda, sostenendo che una volta rilasciati i dati, aiuteranno gli studi legali a intentare cause civili e commerciali contro Salesforce e avvertono inoltre che l’azienda non è riuscita a proteggere i dati dei propri clienti in conformità con i requisiti del Regolamento generale sulla protezione dei dati (GDPR) europeo.

Come riportato da Bloomberg, Salesforce ha inviato questa settimana lettere ai propri clienti in cui afferma di non voler pagare il riscatto né negoziare con gli hacker. L’azienda ha inoltre avvertito che, “secondo informazioni attendibili”, gli aggressori hanno effettivamente intenzione di pubblicare presto i dati rubati.

Ricordiamo che il furto di dati da Salesforce è avvenuto nell’ambito di due campagne distinte. La prima è iniziata alla fine del 2024. All’epoca, gli aggressori hanno utilizzato tecniche di ingegneria sociale (di solito fingendosi personale di supporto tecnico) per convincere i dipendenti di diverse aziende a connettere un’applicazione OAuth dannosa alle istanze aziendali di Salesforce. Dopo aver effettuato la connessione, gli aggressori hanno utilizzato l’accesso ottenuto per scaricare e rubare dati, per poi ricattare le aziende.

La seconda campagna è iniziata nell’agosto 2025. In questo caso, gli hacker hanno utilizzato token OAuth rubati da SalesLoft Drift per accedere ai sistemi CRM dei clienti ed estrarre informazioni.

Gli attacchi SalesLoft hanno preso di mira principalmente i ticket di supporto, che contengono credenziali, token API, token di autenticazione e altre informazioni che potrebbero essere utilizzate per violare l’infrastruttura interna e i servizi cloud delle organizzazioni.

L'articolo Salesforce si rifiuta di pagare il riscatto per gli attacchi di Scattered Lapsus$ Hunters proviene da il blog della sicurezza informatica.

La polizia di Londra ha annunciato che l’operazione Echosteep ha scoperto e smantellato una gang responsabile di furti di massa di iPhone. Gli investigatori stimano che il gruppo sia responsabile del 40% di tutti i furti di telefoni nella capitale del Regno Unito nell’ultimo anno.

In una dichiarazione, la polizia ha reso noto che due uomini sulla trentina sono stati arrestati nel nord-est di Londra il 23 settembre. Sono stati accusati di traffico di telefoni rubati e posti in custodia cautelare.

Secondo la BBC, i sospettati erano due cittadini afghani e un uomo indiano di 29 anni. Diversi dispositivi sono stati trovati nell’auto dei sospettati e circa 2.000 telefoni sono stati rinvenuti in locali ad essi collegati. Altri 30 telefoni sono stati recuperati durante le perquisizioni di 28 abitazioni a Londra e nell’Hertfordshire.

Inoltre, sono state arrestate 15 persone sospettate di rapine e borseggi. Secondo gli inquirenti, il gruppo ha contrabbandato fino a 40.000 telefoni dal Regno Unito nel corso di un anno, per lo più iPhone, che sono stati venduti all’estero a prezzi gonfiati.

Andrew Featherstone, comandante dell’unità antifurto della Polizia Metropolitana, ha definito l’operazione la più grande della sua storia. Ha sottolineato che l’indagine ha coinvolto tutti i livelli della rete criminale, dai rapinatori di strada ai canali del contrabbando internazionale. Ha aggiunto che la polizia sta invitando i produttori, tra cui Apple e Samsung, a intensificare gli sforzi per proteggere dispositivi e utenti.

Secondo Mark Gavin, investigatore senior dell’Operazione Echosteep, il gruppo ha preso di mira gli iPhone per la loro elevata commerciabilità all’estero. Nel Regno Unito, i criminali hanno ricevuto fino a 300 sterline (circa 400 dollari) per dispositivo, mentre all’estero potevano venderli fino a 5.000 dollari. La destinazione principale, ha affermato, era la Repubblica Popolare Cinese, che non è inclusa nel Registro Internazionale Centrale di Identità delle Apparecchiature, che consente il blocco dei dispositivi rubati.

L’indagine è iniziata nel dicembre 2024, dopo che la polizia ha intercettato un pacco contenente 1.000 iPhone diretti a Hong Kong in un magazzino vicino all’aeroporto di Heathrow. Dopo aver esaminato le prove, gli investigatori hanno identificato i sospettati e intercettato ulteriori spedizioni.

I filmati diffusi dalla polizia hanno mostrato i sospettati arrestati in case e auto con pistole elettriche e armi da fuoco. Altri partecipanti all’operazione sono stati monitorati da telecamere e da un elicottero mentre sottraevano i telefoni ai passanti in sella a biciclette elettriche. Alcuni dispositivi erano avvolti in un foglio di alluminio per nasconderli ai controlli.

Secondo il Crime Survey for England and Wales, da marzo 2024 a marzo 2025, circa 78.000 persone in Inghilterra e Galles sono state vittime di furti in strada, con un aumento del 153% rispetto all’anno precedente. Si tratta di circa 200 incidenti al giorno.

Durante ulteriori raid, sono stati arrestati 11 membri del gruppo che aveva preso di mira i furgoni carichi di nuovi iPhone 17 e due sospettati di riciclaggio di denaro. Uno di loro è stato trovato in possesso di 40.000 sterline in contanti, 10 telefoni, due iPad, computer portatili e un orologio Rolex. In seguito si è scoperto che aveva effettuato oltre 200 voli tra Londra e Algeri nell’arco di due anni.

Secondo la National Crime Agency del Regno Unito , oltre a Cina e Algeria, Bulgaria, Dubai, Marocco e Romania rimangono le principali destinazioni dei telefoni rubati. L’agenzia osserva che i dispositivi rubati vengono sempre più utilizzati non solo per la rivendita, ma anche per rubare dati personali e conti bancari ai loro proprietari.

L'articolo 40.000 iPhone rubati e spediti in Asia: la polizia di Londra arresta la gang internazionale proviene da il blog della sicurezza informatica.

Dopo un delitto efferato internet viene regolarmente sommersa di proponimenti forcaioli.
Una persona seria invece cerca sempre di mantenersi costruttiva. Al di là del biasimo è normale che essa assuma lo stesso atteggiamento anche nei casi più abietti.
Pare proprio che Emanuele Ragnedda di Arzachena, un ricco ben nutrito già criticabile perché ricco e perché ben nutrito, abbia molto maldestramente ucciso una certa Cinzia Pinna.
I dettagli sono sulle gazzette. Qui non ci interessano molto.
Ci interessa invece il fatto che per molti anni Emanuele -ancorché ricco e ben nutrito- dovrà affrontare una quotidianità che si annuncia molto triste, soprattutto perché dovrà adottare comportamenti poco conformi alle abitudini di un ricco e soprattutto a quelle di un ben nutrito, dal momento che il regime alimentare carcerario non è davvero dei più allettanti.
Come sappiamo Emanuele faceva raccogliere uva, ne faceva fermentare il succo e poi cercava di venderlo a caro prezzo, il più delle volte riuscendoci anche. A meno che qualcuno non si sbrighi a far sparire tutto quanto -fra gentiluomini in casi come questo è prassi far finta di non essersi mai conosciuti- sul web si trova molta e fastidiosa pubblicità al suo succo fermentato. Comunque, nulla vieta di sperare che Emanuele non possa cercare di assecondare la sua grande passione anche nelle condizioni in cui si trova adesso.

Prendete dieci arance sbucciate e una scatola di frutta sciroppata mista da duecentoquaranta grammi. Strizzate la frutta in un sacchettino di plastica e mescolate il succo alla poltiglia, aggiungete mezzo litro d'acqua e chiudete bene il sacchetto.
Mettete il sacchetto nel lavandino e riscaldatelo facendo scorrere per quindici minuti l'acqua calda.
Avvolgete dei tovaglioli attorno al sacchetto per tenerlo tiepido affinché fermenti.
Lasciate il sacchetto in cella senza toccarlo per quarantotto ore.
Passato questo tempo, aggiungete da quaranta a sessanta zollette di zucchero e sei cucchiaini di ketchup, poi riscaldate di nuovo per trenta minuti e infine richiudete il sacchetto.
Lasciate di nuovo il sacchetto senza toccarlo, stavolta per settantadue ore. Riscaldate ogni giorno per quindici minuti.
Trascorse le settantadue ore, con un cucchiaio scremate via la poltiglia e mettete quello che rimane in due tazze da mezzo litro.

Il detenuto statunitense Jarvis Jay Masters ha incluso questa ricetta per il pruno -uno spaventoso beverone fermentato facendola in barba agli agenti di custodia- in una poesia sulla sua condizione di condannato a morte. Si sono adattate le dosi al sistema metrico decimale senza troppo curarsi della precisione; ricette del genere lasciano per forza di cose moltissimo spazio all'inventiva ed è sicuro che al signorino Ragnedda non mancherà certo il tempo per perfezionare il risultato.

Capisco benissimo la gioia dei palestinesi per il piano di "pace": finalmente possono tornare a casa, finalmente smetteranno di essere uccisi come mosche, finalmente smetterà quella pioggia di bombe durata due anni.

Ma noi che possiamo permettercelo, perché a casa ci siamo già, perché non siamo stati uccisi come mosche, perché non siamo da due anni sotto una pioggia di bombe, noi dovremmo dire quello che è: hanno fatto un deserto e l'hanno chiamato pace.

#Gaza
#Pace
#PalestinaLibera

Pubblicato per la prima volta nel 1984 dal programmatore russo Alexey Pajitnov, Tetris è rapidamente diventato un fenomeno globale. Nato come intrattenimento digitale, il puzzle game ha conquistato centinaia di milioni di persone nel mondo, diventando uno dei titoli più iconici della storia dei videogiochi. Ma dietro la sua apparente semplicità si cela una complessità tale da stimolare decenni di studi matematici e informatici, arrivando persino a sfidare i limiti teorici del calcolo.

Nel 2003, un gruppo di ricercatori del Massachusetts Institute of Technology (MIT) ha dimostrato che stabilire se sia possibile svuotare completamente lo schermo del gioco, date determinate condizioni, equivale a risolvere un classico problema matematico noto come three-partition problem (problema della tripartizione).

Questo appartiene alla categoria dei problemi NP-completi, tra i più complessi dal punto di vista computazionale. In questa corrispondenza, i vuoti generati nel campo di gioco possono essere assimilati ai sottogruppi numerici, mentre i pezzi che cadono rappresentano gli elementi da distribuire.

Per comprendere il significato di questa scoperta, occorre guardare alla teoria della complessità, un ramo della matematica e dell’informatica che classifica i problemi in base al livello di difficoltà. I problemi “P” possono essere risolti in tempi ragionevoli da un computer tradizionale, mentre i problemi “NP” richiedono tempi molto più lunghi, pur permettendo una verifica rapida delle soluzioni. I problemi NP-completi sono i più ardui, perché ogni altro problema NP può essere ricondotto a uno di essi. Il risultato del MIT ha quindi confermato che decidere la solvibilità di una partita di Tetris rientra in questa categoria di difficoltà estrema.

La questione non si è fermata qui. Nel 2004, due scienziati dell’Università di Leiden, Hendrik Jan Hoogeboom e Walter Kosters, hanno portato la ricerca oltre. Analizzando una variante semplificata del gioco, composta esclusivamente dal pezzo a forma di “I”, hanno dimostrato che, persino con risorse di calcolo illimitate, non sempre è possibile stabilire in modo definitivo se una configurazione consentirà di svuotare il campo di gioco. Il problema, infatti, si collega a concetti fondamentali della logica matematica, in particolare al teorema di incompletezza di Kurt Gödel, secondo cui esistono enunciati che non possono essere né dimostrati né confutati.

Al di là delle questioni teoriche, Tetris continua a sorprendere anche sul piano pratico.

Negli ultimi anni, nuove tecniche di gioco hanno permesso ai giocatori di superare livelli che un tempo erano considerati invalicabili. Un esempio eclatante è quello del 2023, quando un tredicenne ha raggiunto il livello 157 grazie alla tecnica chiamata “rolling”,provocando il crash del programma e stabilendo un primato storico. Fino a poco tempo fa, il livello 29 era ritenuto il limite massimo affrontabile.

A oltre 40 anni dal suo debutto, Tetris resta dunque un caso unico: un videogioco che, oltre a intrattenere generazioni di utenti, ha contribuito a porre nuove domande sui confini del calcolo e della conoscenza matematica.

L'articolo Tetris: il gioco che sfida i limiti del calcolo dei supercomputer moderni proviene da il blog della sicurezza informatica.

La scorsa settimana, Oracle ha avvisato i clienti di una vulnerabilità zero-day critica nella sua E-Business Suite (CVE-2025-61882), che consente l’esecuzione remota di codice arbitrario senza autenticazione. Ora è stato rivelato che il gruppo di hacker Clop sta sfruttando attivamente questa vulnerabilità per attacchi informatici dall’agosto 2025.

0-day sotto attacco: lo stato dell’arte

La vulnerabilità è stata scoperta nel componente Oracle Concurrent Processing di Oracle E-Business Suite (modulo di integrazione BI Publisher) e ha ricevuto un punteggio CVSS di 9,8. Questo punteggio elevato è dovuto alla mancanza di autenticazione e alla facilità di sfruttamento.

I rappresentanti di Oracle hanno annunciato che la vulnerabilità zero-day riguarda le versioni 12.2.3-12.2.14 di Oracle E-Business Suite e hanno rilasciato un aggiornamento di emergenza. L’azienda ha inoltre sottolineato che i clienti devono prima installare l’aggiornamento critico della patch di ottobre 2023 prima di installare la patch.

Poiché esisteva unexploit proof-of-concept pubblico per la vulnerabilità ed era già stato utilizzato in attacchi, agli amministratori di Oracle è stato consigliato di installare la patch il prima possibile.

Secondo Charles Carmakal, Chief Technology Officer dell’azienda di sicurezza informatica Mandiant, il problema CVE-2025-61882 e diversi altri bug risolti nell’aggiornamento di luglio sono stati utilizzati dal gruppo di hacker Clop per rubare dati dai server Oracle E-Business Suite già nell’agosto 2025.

Inoltre, ancor prima del rilascio della patch, gli esperti di Mandiant e del Google Threat Intelligence Group (GTIG) avevano segnalato di essere sulle tracce di una nuova campagna dannosa mirata a Oracle E-Business Suite. All’epoca, diverse aziende avevano ricevuto email dagli aggressori. In questi messaggi, i rappresentanti di Clop affermavano di aver rubato dati da Oracle E-Business Suite e chiedevano un riscatto, minacciando in caso contrario di pubblicare le informazioni rubate.

Gli analisti di CrowdStrike confermano di aver notato per la prima volta gli attacchi Clop che prendevano di mira CVE-2025-61882 all’inizio di agosto di quest’anno. Secondo i ricercatori, altri gruppi potrebbero essere stati coinvolti negli attacchi.

“CrowdStrike Intelligence ritiene con moderata sicurezza che GRACEFUL SPIDER sia probabilmente coinvolto in questa campagna. Non possiamo escludere la possibilità che CVE-2025-61882 sia sfruttato da più attori della minaccia. Il primo exploit noto è stato individuato il 9 agosto 2025, ma le indagini sono in corso e questa data potrebbe cambiare”, hanno affermato i ricercatori.

Impresa

Come sottolinea Bleeping Computer, sebbene dietro al furto di dati e allo sfruttamento zero-day ci sia il gruppo Clop, le informazioni su questa vulnerabilità sono state pubblicate per la prima volta dal gruppo Scattered Lapsus$ Hunters (un’associazione di membri dei gruppi di hacker Scattered Spider, LAPSUS$ e Shiny Hunters), che ha pubblicato due file che menzionano Clop su Telegram.

Uno di questi (GIFT_FROM_CL0P.7z) conteneva il codice sorgente di Oracle, presumibilmente correlato a support.oracle.com. In seguito, alcuni hacker di Lapsus$ sparsi hanno affermato che questo codice era stato rubato durante l’attacco hacker a Oracle Cloud nel febbraio 2025.

Il secondo file (ORACLE_EBS_NDAY_EXPLOIT_POC_SCATTERED_LAPSUS_RETARD_CL0P_HUNTERS.zip) conteneva presumibilmente l’exploit di Oracle E-Business Suite utilizzato da Clop. L’archivio conteneva un’istruzione readme.md e due script Python: exp.py e server.py. Questi script vengono utilizzati per sfruttare le installazioni vulnerabili di Oracle E-Business Suite: eseguono comandi arbitrari o aprendo reverse shell, connettendosi ai server dell’aggressore.

Non è ancora chiaro come gli Scattered Lapsus$ Hunters abbiano ottenuto l’accesso all’exploit e la loro connessione con Clop. Gli stessi hacker sostengono che una delle persone con cui hanno condiviso l’exploit potrebbe averlo trasmesso o venduto a Clop.

“Era un mio exploit, come quello di SAP, che in seguito è stato rubato da Clop. Ero arrabbiato perché un altro dei miei exploit veniva utilizzato in modo improprio da un altro gruppo, quindi lo abbiamo fatto trapelare. Nessuna lamentela contro Clop”, ha detto un membro del gruppo.

Come hanno scoperto i ricercatori di watchTowr Labs dopo aver effettuato il reverse engineering di un exploit trapelato da Scattered Lapsus$ Hunters e datato maggio 2025, CVE-2025-61882 è in realtà una catena di vulnerabilità che consente agli aggressori di ottenere l’esecuzione di codice remoto senza autenticazione utilizzando una singola richiesta HTTP.

L'articolo Zero-Day in Oracle E-Business Suite sotto attacco: Clop Sfrutta il CVE-2025-61882 proviene da il blog della sicurezza informatica.

Our hacker [Piers Finlayson] is at it again, and this time he has added USB support to One ROM.

With this new connectivity you can attach your One ROM to your computer with a USB cable and then in a matter of seconds upload new firmware from your Chrome (or Chromium) web browser. This new connectivity will supplement but not replace the existing serial wire connectivity because the serial wire connectivity enables certain advanced use cases not supported by the USB stack, such as reprogramming a ROM in-place as it’s being served. The new USB interface will probably suit most users who just want to use One ROM to manage the ROMs for their old kit and who don’t need the extra functionality.

Addressing the question as to why he didn’t have USB connectivity from the start [Piers] claimed it was because he didn’t like soldering the USB sockets! But given this is a service he can get from his board house that is no longer his problem! [Piers] said he picked Micro USB over USB-C because the former demands less circuit board real estate than the latter. Squeezing everything on to the board remains a challenge!

[Piers] isolates the two power subsystems with Schottky diodes. This keeps the One ROM and USB power sources separate, meaning they can safely be used at the same time. The USB support also demanded the inclusion of an external 12 MHz oscillator but only needed three extra pins on the micro: VBUS, D+, and D-.

The fun thing about this video is the number of false starts and red herrings [Piers] chases down as he does his diagnoses. This is how the sausage is made! And speaking of making sausage, [Piers] has recorded an additional two hour video showing how he laid out the new USB version in KiCad: One ROM Fire USB – Laying out RP2350 + USB in 1/2 x 1 inch.

If you haven’t been keeping track with where we’re at with One ROM we first heard of it back in July with an update in September, and since then [Piers] appeared on FLOSS Weekly, so be sure to check that out! It has been fun to watch this project develop and we look forward to seeing where [Piers] takes it in future, wishing him every success.

youtube.com/embed/b70uvhbinYc?…

hackaday.com/2025/10/09/one-ro…