W la Friendica (che dio la benedèndica): la guida al Facebook del Fediverso
La guida di Informapirata a Friendica, dedicata a tutti coloro che dal Fediverso vogliono ottenere tutto il possibile.
Un Mastodon con gli steroidi e attualmente l’unica alternativa a Facebook di tutto il Fediverso. Con mille pregi e, soprattutto, mille difetti. E mai nessuno che ci spieghi come utilizzarlo.
Cerco di immaginare un futuro probabile, possibile, senza scadere in un programma politico o un manifesto di ciò che vorrei, distinguendo chiaramente quale sia il futuro probabile, ciò che mi aspetto accadrà vs quel che potrebbe accadere, il futuro possibile ed auspicabile a mio giudizio.
Gli elementi base del discorso vertono sul fatto che digitalizzando la società è anacronistico aver “luoghi di lavoro” diversi da scrivania e computer per i lavori da ufficio, ovvero è anacronistico aver degli immobili interi “per l’ufficio”, mi aspetto ed auspico al contempo che il telelavoro prenda piede, con alti e bassi ma dilagando.
Mi aspetto che alcuni valutino le potenzialità di ciò che già posseggono, computer, ma anche alloggi, impianti al loro interno, e di conseguenza (ri)scoprano pian piano i vantaggi di operare sul proprio ferro, in casa propria, sul proprio terreno al posto di dipendere da giganti terzi, vale per i privati come per le attività economiche, PMI in testa, come mi aspetto che i giganti non gradiscano scomparire senza far di tutto per tener la posizione raggiunta perché è ovvio che in un mondo basato sul telelavoro per ogni lavoro così svolgibile è un mondo di risorse distribuite in cui non c’è granché posto per il gigante. Per ora i tentativi di imporre il ritorno in ufficio (RTO per gli anglofili) sono essenzialmente falliti, l’idea di trasformare palazzine di uffici vuoti in appartamenti1 è ovunque un fallimento, ora si vuole pagar meno ed emarginare i telelavoratori mentre qualcuno spera di convertire grattacieli vuoti in datacenter ma questi sono solo segni di disperazione d’un modello che non regge più. Per dar un’idea della penetrazione corrente del telelavoro suggerisco i dati EuroStat ben riassunti da Statista.com ove appare chiaro che più un paese è avanzato più si lavora da remoto.
Fronte dell’hardware
Partiamo proprio dall’ultimo pensiero del sommario: sinora la linea prevalente è che i datacenter, ovvero i servizi che questi offrono, abbiano affidabilità memorabili, inarrivabili ad altre scale, ed in parte è vero: quand’è l’ultima volta che avete trovato Google Search down? Però così affidabili… I recenti incendi di OVH, Aruba, i vari paperacchi dai down di Office365 a AWS che impatta ora Zoom, la PSN, Hulu, ora i Roomba ed i campanelli “smart” Ring, le banche coi saldi dei C/C improvvisamente azzerati, piuttosto che sistemi di pagamento down dalla Visa al sistema di pagamenti bancari della FED, ma anche i vari “WhatsApp down” e compagnia sino ai pagamenti col POS che talvolta non vanno localmente, una volta un doppio addebito per errore, un’altra uno mancato, sono ben visibili a chiunque voglia guardare, al contempo il desktop personale, specie di chi non è proprio CL di Tartagliana memoria2 quand’è l’ultima volta che vi ha lasciato a piedi in anni di onorato servizio? Per farla breve: i giganti sono parecchio affidabili, ma anche il ferro personale lo è e tutto sommato non di meno.
Da qui arrivo rapidamente al punto: il ferro medio “da GDO” sta scadendo sempre più come qualità senza che i prezzi scendano per il prodotto finito, per cui è facile aspettarsi una certa repulsione crescente verso la fast tech (hardware dalla corta vita operativa, criticato anche nel recente report (pdf) 2024 della commissione sul commercio delle Nazioni Unite) ovvero come sta avvenendo per le auto, un crollo degli acquisti, ed una riscoperta del desktop classico che complice il telelavoro torna in auge, aggiornabile, con componenti selezionabili individualmente, che se ben fatto dura 8-10 anni comodi per il grosso degli usi comuni e che dopo è ancora buono per qualche anno per altri usi (es. primo computer per un ragazzino). Il passo da qui a realizzare che “l’homelab” è una sorta di micro-datacenter è ben breve (e la popolarità crescente del “self-hosting” lo mosta), al netto di aria condizionata domestica e fotovoltaico con stoccaggio che stan divenendo popolari (prezzi speculativi nostrani a parte), ma seriamente, guardate fuori dall’Italia e anche in Italia fuori dalle città e vedrete che si, è ancora marginale, ma è dannatamente in crescita, di connessioni FTTH decisamente performanti ecc c’è tutto quel che serve per un nuovo paradigma di computing decentralizzato in cui varie aziende si rendono conto di poter operare interamente da remoto noleggiando risorse o co-locando ferro presso i propri dipendenti, realizzando la propria infra senza pagare soggetti terzi a livelli di affidabilità e costi paragonabili e pure vantaggiosi. La logistica già permette di spedire comodamente componenti, anche solo dischi rigidi pronti da inserire in una macchina, in tempi rapidi e costi bassi, la cifrature full-disk completa il quadro.
Mi aspetto quindi – e NON auspico – da un lato in una prima fase una gran discesa verso il mobile per le masse già in atto da anni e che ancora durerà un po’ di anni, ma non avendo più granché clienti che sbavano per l’iPhone appena uscito i giganti cercheranno presto altre vie di profitto dall’IoT agli wearable quali status symbols da mostrare agli amici “hey, vedi le mie nuove tapparelle a comando vocale” piuttosto che elettrodomestici come le lavatrici connesse con app che mostra il cestello mentre gira o il frigo con webcam interna da osservare mentre si è al supermercato sino al punto in cui i più vuoi per condizioni economiche, vuoi per problemi materiali di questi oggetti si arrivi ad un crollo. Auspico – e mi aspetto – dall’altro lato che non potendo lavorare con questi dispositivi, con questo modello, si ritorni al desktop che è qui per restare a dispetto d’ogni spinta contraria e dei bassi numeri d’oggi, e da li si arrivi ad un certo “movimento dei self-hoster” non più solo per nerd, anche perché il cambio generazionale porta più persone “attive” che un po’ di digitale lo conoscono, anche e soprattutto aziende, che si son bruciate le dita sul computer di qualcun altro altrimenti noto come cloud, come sta da tempo mostrando la rediviva popolarità del Desktop GNU/Linux. L’IoT stesso avrà il suo peso a spingere in questa direzione coi molti che si bruceranno (e già si son bruciati) le dita con soluzioni proprietarie ferro+servizio che cessano di funzionare o diventano abbonamenti sempre più costosi e vorranno altro aperto, integrabile e di proprietà personale. Una volta fatto l’homeserver per la domotica, il desktop con la stanza dedicata per lavorare, un po’ di apparati di rete, il passo al rackino domestico è breve.
Su scala ci vorrà oltre un decennio, ma questo mi aspetto, per quella che sarà la classe media del domani.
Fronte del software
Il modello cloud, moderna versione del modello mainframe, è da tempo che scricchiola anche se tanti ancora non sentono il rumore. Solo per citar esempi recenti abbiamo in aumento qui e la player di un certo peso che dichiarano quanto stan risparmiando uscendo “dal cloud”, articoli di divulgazione sui pentiti del cloud sino ai singoli utenti che chiedono su Reddit come fare a conservare le proprie foto in casa per non pagare abbonamenti iCloud/Google Photos ed i primi articoli su perdite di profitti dei giganti per la fuga di (ri)comincia a far da se. Non sarà rapido perché mancano sia le competenze diffuse per far da se, sia pure il software, essendo il grosso dello sviluppo moderno centrato “sul cloud” (API and co) e non avendo quasi più IT interno sostanziale nel grosso delle aziende, ma ad ogni buon conto la decentralizzazione dovrà tornare nel software come nel mondo fisico ove aspetto una forte deurbanizzazione dopo alcuni anni di ri-urbanizzazione ancora, e questo implicherà standard aperti e interoperabilità.
Un tempo tutti i sistemi di comunicazione digitale così erano, le mail tutt’oggi usate e qui per restare ad esempio dove possiamo da una GMail scrivere ad una mail privata, a YMail, Mail.ru e via dicendo, cosa non possibile per ora anche solo tra WhatsApp e FB Messenger piuttosto che Skype e Teams, pur essendo dello stesso proprietario. Di recente gli annunci di “accordi di peering” tra giganti, i “gateway” per integrare un servizio con un altro crescono. Sono ancora rumore di fondo, ma dovranno espandersi ed alla fine dovrà tornare normale comunicare tutti con tutti senza giardini recintati. L’identità digitale probabilmente avrà un ruolo chiave poiché alla fine per comunicare serve conoscere chi sono gli altri umani con cui si comunica, identità appunto, ed una volta che i più avran toccato con mano quanto è comoda l’uso andrà ben oltre i rapporti tra la PA ed il Cittadino arrivando sino ad un’integrazione DNS.
I sistemi di pagamento, per ora in moltiplicazione ed isolamento, dovranno convergere analogamente su soluzioni comuni, quindi non sarà magari OpenBank (de jure in UE/area SEPA da anni tra gli operatori del comparto, purtroppo non imposta anche verso i clienti privati3) ma qualcosa dovrà arrivare e con lei arriverà il client bancario personale, dove si può operare su più banche/attori fintech insieme in un solo posto. Anche qui non sarà il mondo aperto, ideale, possibilissimo da decenni e osteggiato con ogni mezzo dai giganti, ma sarà qualcosa di sempre più vicino a questo perché non è solo auspicabile ma è tecnicamente NECESSARIO, e qualcosa si sta già muovendo sulla scorta delle enormi commissioni munte dai broker/PSP attuali.
Man mano che arriveranno al comando generazioni che lavorano sul desktop, nate su questo anche se immersi in oggetti “mobile/IoT/cloud”, con loro questa consapevolezza arriverà e in qualche modo si imporrà il cambiamento.
fronte pan-informatico
Auto, appliances domestiche, come già accade si informatizzeranno, probabilmente la fase di servizio aumenterà ancora molto prima che i più e l’ingestibilità su scala ne imponga il rigetto. Quindi è probabile immaginare una casa con un robottino polivalente autonomo per pulire pavimenti e vetri, unica macchina con più corpi che si portano da soli sul vetro posati dall’unità sul pavimento, nella stanza dove questa aspira e lava, che possono aprire le porte, magari pian piano trasformate da battenti a scorrevoli e poi motorizzate, come è probabile che la guida autonoma arriverà alla fine, la valigia (che già esiste, commerciale da alcuni vendor) che segue da se l’umano a piote diventi comune, come il forno connesso per far partire la cottura per tempo da far partire mentre si torna a casa, ma non ci saranno le città smart sognate dai giganti perché tecnicamente sono insostenibili, alcune ne nasceranno ma la quantità di risorse necessarie per crearle e la loro intrinseca fragilità ed inevolvibilità, l’inferno che sono già oggi, le renderanno un fallimento come la Fordlandia originale e come lo sono appunto le moderne Neom, Arkadag, Innopolis, … Da queste esperienze però usciranno generazioni che vivono davvero nell’automazione moderna e quindi la comprendono quanto basta da evolverla in condizioni sostenibili.
Oggi il grosso dell’IT è impiegato a spreco, abbiamo sistemi che consumano enormi risorse per far girare mostri tenuti insieme con lo scotch, pian piano questi diverranno ingestibili, come già oggi molti sono, e questo imporrà poco alla volta il ripartire da zero e come accadde dopo la bolla delle dot-com la ripartenza sarà ripulita, poi deriverà di nuovo, ma per un po’ sarà ripulita e poco alla volta le basi si consolideranno come si deve.
Conclusioni
Io sogno ed auspico una società di piccoli immobili sparsi, che per dimensione e spazi può evolvere nel tempo, che per costruirsi implementa il new deal, col telelavoro quale chiave per deurbanizzare permettendo a tanti altri di lasciar l’urbe grazie alla massa di coloro che lavora da remoto che sono i primi “trasferibili”, alcuni che lavorano in casa ma non in remoto, come il panettiere con la bottega al piano terra e l’alloggio al primo, con i telelavoratori che realizzano un modello desktop di ritorno cancellando i grandi datacenter, sostituiti da strutture più piccole di proprietà diretta di grandi aziende e ISP, col il fotovoltaico, l’idroelettrico ove possibile, quale chiave per la resilienza. Dubito si realizzerà perché ucciderebbe i giganti, renderebbe l’Agenda 2030 una distopia nazista impossibile, però UNA PARTE di ciò si realizzerà perché tecnicamente necessaria, ed un’altra sarà un ibrido tra ciò che c’è oggi e ciò che l’Agenda 2030 summenzionata vorrebbe.
Non credo siano così vicine le auto volanti che l’EASA dà per dietro l’angolo solo con la preoccupazione di come farle accettare ai più, ma arriveranno perché il costo delle reti viarie in un mondo che cambia non è meno insostenibile anche se i più non riescono ancora ad apprezzarlo in termini di risorse consumate. I droni per le consegne dubito potranno diffondersi nelle città dense, ma lo faranno nelle aree sparse che saranno il luogo di residenza della classe media e delle classi agiate residue, l’automazione per mero invecchiamento della popolazione dovrà avvenire. Il difficile non è immaginare quanto sopra con cognizione di causa ma dire QUANDO avverrà, in che fasi, in che forma pratica. Il desktop è avvenuto, pur non nelle forme immaginate dalla Xerox e con qualche decennio di ritardo rispetto alla possibilità tecnica. Il resto avverrà se si escludono scenari apocalittici da III guerra mondiale che cancellino l’umanità, ma per quanti ed in che modo va oltre la sfera del prevedibile, divenendo più un azzardo.
ad es. primi uffici convertiti a S. Francisco, i cui costi di conversione e la mera fattibilità tecnica sono folli e spesso impossibili, per cui molti han chiesto al governo di pagare per il loro ovviamente con la proprietà che prima incassa il contributo, poi affitta a disperati ben pigiati, e sono molte le voci che insistono nel tentativo di conversione anche se è chiaro che non tiene perché le persone che li abiterebbero, poveri e disperati che non possono più permettersi una casa ben concentrati non han lavoro, non han da vivere e anche mantenerli improduttivi con redditi universali non è sostenibile. Il reddito universale per garantire dignità funziona ma in una popolazione che comunque è produttiva, ovvero come ammortizzatore sociale per aver le terga parate se si cambia/perde il lavoro per un po’, non “per intere coorti di persone radunate”.
Dalle famose e storiche Cronache di Simon Tartaglia, il BOFH (Bastard Operator From Hell) ovvero il sistemista “illustrato” anni ’90, per chi volesse riscoprire questo pezzo di cultura IT vi sono vari diversi mirror pubblici con le storie in puro classico HTML anni ’90 e ancora si trovano edizioni stampate (a prezzi folli).
OpenBank sono quelle API che ogni banca deve esporre al pubblico, per ora solo istituzionale, che permettono ad es. “l’aggiunta di un C/C anche di altra banca” nella propria pagina personale del’web-banking o app bancaria di turno. Queste permetterebbero benissimo di aver app bancarie desktop non della banca ma FLOSS usate con ogni banca, concentrando in un solo posto comodo da lavorare ogni transazione e la propria operatività bancaria (come la compravendita ti titoli ma anche solo i bonifici o sorvegliare le operazioni addebitate) e SOPRATTUTTO avendo le transazione come XML/JSON firmati digitalmente dalla banca, ricevute in PDF firmato PADES sul proprio ferro, quindi ad es. in caso di attacco alla banca per cui i dati del C/C sono compromessi si può dimostrare quanto si aveva sopra dati alla mano autenticabili in tribunale senza storie al posto di esser totalmente alla mercé della banca.
In the iconic 1990s TV series The X Files, David Duchovny’s FBI agent-paranormal investigator Fox Mulder has a poster on his office wall. It shows a flying saucer in flight, with the slogan “I Want To Believe”. It perfectly sums up the dilemma the character faces. And while I’m guessing that only a few Hackaday readers have gone down the full lizard-people rabbit hole, wanting to believe is probably something that a lot of us who love sci-fi understand. It would be a fascinating event for science if a real extraterrestrial craft would show up, so of course we want to believe to some extent, even if we’re not seriously expecting it to appear in a Midwestern cornfield and break out the probes any time soon.
By All Means Believe. But Don’t Wreck Your Career
The infamous Fleischmann and Pons paper from 1989 on cold fusion. Outside the realm of TV drama and science fiction it’s a sentiment that also applies in more credible situations. Back at the end of the 1980s for example when so-called cold fusion became a global story it seemed as though we might be on the verge of the Holy Grail of clean energy breakthroughs. Sadly we never got our Mr. Fusion to power our DeLorean, and the scientific proof was revealed to be on very weak foundations. The careers of the two researchers involved were irreparably damaged, and the entire field became a byword for junk science. A more recently story in a similar vein is the EM drive, a theoretical reactionless force generator that was promising enough at one point that even NASA performed some research on it. Sadly there were no magic engines forthcoming, so while it was worth reporting on the initial excitement, we’re guessing the story won’t come back.
When evaluating a scientific or technical breakthrough that seems as miraculous as it is unexpected then, of course we all want to believe. We evaluate based on the information we have in front of us though, and we all have a credibility pyramid. There’s nothing wrong with having an interest in fields that are more hope than delivery, indeed almost every technology that powers our world will at some time have to overcome skepticism in its gestation period. Perhaps it’s best to say that it’s okay to have hope, but hope shouldn’t override our scrutiny of the proof. Of course I want a perpetual motion machine, who wouldn’t, but as a fictional engineer once allegedly said, “Ye cannae change the laws of physics”.
An Example Here In 2024
The hydrogen future is very seductive. But does it work? Jóhann Heiðar Árnason, CC BY-SA 3.0. All this introspection has been brought to the fore for me by something very much in the present, the so-called hydrogen economy. It’s difficult to ignore our climate emergency, and among the energy solutions aimed at doing something about it, hydrogen seems very promising.
It’s really easy to make from water by electrolysis, there are several ways to turn it into useful energy, and the idea is that if you can store it for later use you’re on to a winner. We’ve seen hydrogen cars, trucks, aircraft, heavy machinery, trains, and even the gas supplanting methane in the domestic grid, so surely the hydrogen future is well under way, right?
Sadly not, because as many a pilot project has shown, it’s difficult to store or transport, it makes many existing metal fittings brittle, and the environmental benefit is often negated by the hydrogen being generated from higher carbon electrical supplies. We still want to believe, but we can’t claim it’s delivering yet.
Whenever we feature a hydrogen-based story, as for example with this experimental storage tech from Swiss researchers, there is no shortage of comments about all of hydrogen’s shortcomings, and some even accuse us of somehow being the snake-oil salesmen shilling the questionable product. I feel this misses the point, that even though in almost all cases the battery is for now the better option, we cover interesting technology stories regardless of judgements over their eventual success. Hydrogen has enough real science and engineering behind it that its problems might one day be overcome, thus we’d be doing our readers a disservice if we didn’t cover it. There are sometimes newsworthy stories upon which we very much take a credible stand based on opinion, but when it comes to pure tech stories such as a hydrogen vehicle we’re simply reporting on the story because we find it interesting and we think you will too. We don’t know that the breakthrough engineering work won’t occur, but we do know that it hasn’t yet.
So when looking at a piece of technology that’s not delivered on its promise, ask for a moment whether there’s a likely “yet” on the end of the sentence without too much of a suspension of credibility. You might find yourself pleasantly surprised.
This is Behind the Blog, where we share our behind-the-scenes thoughts about how a few of our top stories of the week came together. This week, we talk about data storage, political perspectives and platforms.#BehindTheBlog
This is Behind the Blog, where we share our behind-the-scenes thoughts about how a few of our top stories of the week came together. This week, we talk about data storage, political perspectives and platforms.
Europol ha emesso una notifica di intelligence sul reclutamento di minori da parte di reti criminali in tutta Europa. Sviluppata sulla base delle informazioni fornite a Europol dalle autorità di contrasto, la notifica rivela come le organizzazioni criminali prendano di mira i giovani attraverso i social media e la messaggistica criptata per reclutarli e commettere gravi atti di criminalità organizzata.
I dati raccolti da recenti indagini mostrano che i minori sono coinvolti in quasi tutti i mercati criminali.
Sebbene il reclutamento di minori nelle forme gravi di criminalità organizzata e terrorismo non sia una novità, negli ultimi anni si è evoluto in una tattica deliberata da parte delle reti criminali per eludere l'individuazione, l'arresto o l'azione penale. La pratica si è espansa in più paesi e i metodi di reclutamento sono cambiati, con i minori sempre più incaricati di attività violente, tra cui estorsione e omicidio.
La notifica di Europol avverte che le reti criminali ora sfruttano comunemente i minori utilizzando messaggi in codice, slang e persino tattiche di "gamification" per inquadrare i compiti criminali come sfide o giochi. Queste tecniche sono progettate per attirare i giovani in attività criminali, spesso facendole apparire finanziariamente attraenti o socialmente gratificanti.
Le reti criminali utilizzano la gamification per reclutare minori presentando compiti illegali come "sfide" o "missioni", rendendoli più coinvolgenti e meno intimidatori. Questo approccio sfrutta la familiarità dei giovani con le sfide dei social media e i giochi online, desensibilizzandoli ai rischi associati. Inoltre, possono offrire ricompense per il completamento di specifici compiti, aumentando l'attrattiva della partecipazione alle attività criminali. Le piattaforme di social media con funzione di messaggistica crittografata vengono abusate dai criminali in modo che possano operare con una visibilità minima, consentendo interazioni che non lasciano tracce digitali e riducendo quindi il rischio di rilevamento.
I social media influenzano il coinvolgimento dei minori nel crimine organizzato fornendo canali di comunicazione diretti e anonimi, che eliminano la necessità di incontri fisici. Le piattaforme consentono ai reclutatori di raggiungere un vasto pubblico di giovani, utilizzando linguaggio mirato e messaggi attraenti per presentare attività illegali come opportunità vantaggiose. Inoltre, le caratteristiche di privacy e messaggi autodistruttivi rendono difficile il monitoraggio delle comunicazioni, aumentando il rischio di coinvolgimento dei minori in attività criminali.
In this episode you’ll get to hear not one, not two, but three Hackaday Editors! Now that the dust has mostly settled from the 2024 Hackaday Supercon, Al Williams joins Elliot and Tom to compare notes and pick out a few highlights from the event. But before that, the week’s discussion will cover the questionable patents holding back a promising feature for desktop 3D printers, a new digital book from NODE, and the surprisingly limited history of welding in space. You’ll also hear about the challenge of commercializing free and open source software, the finicky optics of the James Web Space Telescope, and the once exciting prospect of distributing software via pages of printed barcodes.
L’Unione europea ha fatto un ulteriore passo verso il consolidamento dell’industria e delle politiche comunitarie per la Difesa. La Commissione europea, in quanto braccio esecutivo delle istituzioni unionali, ha approvato uno stanziamento di 300 milioni di
This week starts off with examinations of a couple hardware attacks that you might have considered impractical. Take a Ball Grid Array (BGA) NAND removal attack, for instance. The idea is that a NAND chip might contain useful information in the form of firmware or hard-coded secrets.
The question is whether a BGA desolder job puts this sort of approach out of the reach of most attackers. Now, this is Hackaday. We regularly cover how our readers do BGA solder jobs, so it should come as no surprise to us that less than two-hundred Euro worth of tools, and a little know-how and bravery, was all it took to extract this chip. Plop it onto a pogo-pin equipped reader, use some sketchy Windows software, and boom you’ve got firmware.
What exactly to do with that firmware access is a little less straightforward. If the firmware is unencrypted and there’s not a cryptographic signature, then you can just modify the firmware. Many devices include signature checking at boot, so that limits the attack to finding vulnerabilities and searching for embedded secrets. And then worst case, some platforms use entirely encrypted firmware. That means there’s another challenge, of either recovering the key, or finding a weakness in the encryption scheme.
Glitches to the Rescue
Speaking of looking for those vulnerabilities, let’s talk about glitching. We’ve talked about some interesting techniques in the past, like using a peizo element from a lighter. This coverage takes the opposite technique, shorting pins to ground during code runtime. [Maurizio Agazzini] takes a look at glitching technique on the ESP32.
The key, it seems, is setting up a repeatable test case. I like a quote from the article, that the goal is to make a “world” considered non-deterministic a little more deterministic. In this case, that means understanding the exact instructions that the MCU is running, triggering an exception to know the exact state the MCU is in after the test, and exactly timing the fault attempt.
Do 36,000 attempts at different timings and pulse lengths, chart it out, and see what happens. And there are some interesting observations there. One of the most interesting rabbit holes from the article is debunking of the idea of skipped instructions as the result of glitches. What actually seems to happen, when the glitch is a crowbar circuit to ground, is that individual bits get pulled to 0. That can corrupt either the instruction or memory itself. Understanding those glitches is key to figuring out how to abuse them. We’ll be keeping an eye out for the next installment in this one.
The S in IOT Stands for Security
Claroty’s Team82 took aim at the OvrC cloud platform, an IoT remote management solution, and found some problems. And when I say “some problems”, I really mean that every device connected to the cloud controller could be fully pwned. Starting with an easy enumeration using MAC Addresses, every device could be mapped and determined if it was claimed or not. The nutty part here is that users that opted out of cloud control were just considered unclaimed devices, making takeover even easier.
Claiming a device was intended to require both the MAC Address and a unique serial number. A URL endpoint on the platform actually skipped verifying the serial number, allowing for easy claiming of any unclaimed device with only a MAC address. And claimed devices? The OvrC platform has support for device hubs, where is a local management device where a user can pair multiple individual IoT devices. Impersonate a hub, and you can force already claimed devices to the unclaimed status.
Oh, and hub devices had a hidden superuser account with a password derived from the MAC address and another knowable service tag value. And with Superuser access, there’s a diagnostics menu that includes direct command injection. So there’s that. OvrC has addressed and fixed the reported flaws, making for a bit more secure IoT devices.
BinaryFormatter is Insecure and Can’t Be Made Secure
That title isn’t the sort of thing you want to hear from your upstream vendor, about a function call you’re using in your code. Here we have Watchtowr, in their gloriously snarky style, detailing a deserialization flaw in Citrix’s Virtual Apps and Desktops. This is one of those thin client solutions, where the read hard work is done on a central machine in the server room.
One of the killer features of this enterprise app is session recording. That’s the ability to spy on observe users, and play it back later for analysis. The problem is that this data has to get serialized and streamed over the network. And in a weird turn of programming fate, the MSMQ service that handles this is accessible over HTTP. That’s SOAP over HTTP, if you really must know. And because of the reliance on BinaryFormatter, it’s remotely exploitable. This ends up as a remote code execution bug, and the resolution is as yet not entirely known. Citrix has received and confirmed the bug, and the disclosure was set for November 12, but no CVE or formal patch announcement has been made.
Bits and Bytes
I’m not sure if it’s more insulting or less insulting to fall to a ransomware attack where it’s just Windows Bitlocker that’s doing the encryption. Apparently the criminals behind ShrinkLocker have taken the approach that there’s no reason to bother actually writing encryption code for their ransomware, since Microsoft has perfectly serviceable encryption already. The good news is that as one might expect from such coding laziness, the implementation is flawed, and there is a decryptor available that can potentially recover the password.
There’s a new sneaky way to smuggle malicious payloads on MacOS. This one seems to be coming from North Korea’s Lazarus group. MacOS has extended Attributes for files and directories, and can apparently be used to hold raw text. It’s not visible in Finder, but can be found with xattr command. In this case, it’s not a vulnerability, but simply a very uncommon place to sneak some malicious script onto a system.
Il gruppo di hacker iraniano TA455 sta utilizzando tattiche simili a quelle del gruppo nordcoreano Lazarus per prendere di mira l’industria aerospaziale offrendo lavori falsi a partire da settembre 2023. Secondo l’azienda israeliana ClearSky gli aggressori distribuiscono il malwareSnailResin che attiva la backdoor SlugResin.
TA455, noto anche come UNC1549 e Yellow Dev 13, è una divisione di APT35, conosciuta con vari nomi: Charming Kitten, CharmingCypress, ITG18 e altri. Si ritiene che il gruppo sia affiliato al Corpo delle Guardie della Rivoluzione Islamica (IRGC).
Dall’inizio del 2023, TA455 ha preso di mira le industrie aerospaziali e della difesa nei paesi del Medio Oriente come Israele, Emirati Arabi Uniti e Turchia. Gli attacchi si basano sull’ingegneria sociale utilizzando false offerte di lavoro per introdurre backdoor MINIBIKE e MINIBUS. Proofpoint riferisce che gli aggressori spesso utilizzano aziende false per contattare le vittime.
A quanto pare, TA455 ha utilizzato trucchi simili in passato, fingendosi reclutatori sui social media, comprese foto false generate dall’intelligenza artificiale e impersonando persone esistenti. PwC ne ha parlato dettagliatamente nel suo rapporto.
ClearSky rileva che TA455 utilizza metodi simili al Lazarus Group della Corea del Nord, incluso il download di DLL attraverso siti Web falsi e profili LinkedIn. Ciò potrebbe indicare tentativi di confondere le indagini o uno scambio di strumenti tra gruppi.
Gli aggressori utilizzano attacchi in più fasi utilizzando e-mail di phishing mascherate da documenti di lavoro e archivi ZIP contenenti codice dannoso. Usano anche GitHub per nascondere i server di comando e controllo, consentendo loro di mascherare il traffico e aggirare la sicurezza.
Pertanto, i criminali informatici utilizzano sempre più spesso trucchi, copiando i metodi degli altri e confondendo i confini con gli attacchi provenienti da paesi diversi. Ciò ricorda una regola che vale anche per il settore della sicurezza informatica: fidarsi, ma verificare, soprattutto se l’offerta sembra troppo allettante
@Politica interna, europea e internazionale Autonomia differenziata, cosa ha detto la Consulta e cosa succede adesso La Corte Costituzionale rimanda indietro al Parlamento la legge sull’Autonomia differenziata. I giudici di legittimità hanno ravvisato in particolare sette specifici profili di
@Notizie dall'Italia e dal mondo Il Comitato Speciale Onu: «Provoca intenzionalmente morte, fame e lesioni gravi». Medici senza Frontiere: Israele blocca l’evacuazione in Giordania di 8 bambini ammalati L'articolo Israele. Dall’ONU nuove accusehttps://pagineesteri.it/2024/11/15/medioriente/israele-dallonu-nuove-accuse-di-genocidio-a-gaza/
Dal Pentagono sono arrivate nuove informazioni sul programma Replicator. La vice-segretaria alla Difesa Kathleen Hicks ha annunciato mercoledì 13 novembre una serie di nuovi sistemi che andranno a comporre l’estesa rete unmanned che Washington intende mettere in piedi nel teatro Indo Pacifico per contrastare la
Il Ministro Giuseppe Valditara ha firmato oggi due decreti che mettono in campo un piano complessivo di 335 milioni di euro destinati al miglioramento delle palestre scolastiche.
@Politica interna, europea e internazionale Tra le proposte che saranno votate nell’Assemblea costituente del Movimento 5 Stelle c’è anche quella di “eliminare il ruolo del Garante”, attualmente ricoperto dal co-fondatore Beppe Grillo. Lo si legge nell’elenco dei questi
@Politica interna, europea e internazionale Tra Sergio Mattarella ed Elon Musk, Andrea Crippa, vicesegretario della Lega, sceglie l’imprenditore sudafricano naturalizzato statunitense, neo-nominato da Donald Trump a capo del nuovo Dipartimento Usa per l’efficienza governativa (Doge). Crippa lo dice rispondendo a una
@Notizie dall'Italia e dal mondo Mentre il Partito Democratico evita ogni seria autocritica, da più parti si accusa Kamala Harris di aver voltato le spalle alla classe operaia americana regalando la vittoria a Donald Trump L'articolo STATI UNITI. «Harris sconfitta perché ha abbandonato la classe operaia»
In occasione della Giornata Internazionale per la Prevenzione e la Lotta contro tutte le forme di Criminalità Organizzata Transnazionale, l’Italia ha ribadito l’impegno condiviso per affrontare la sfida pervasiva e in continua evoluzione della criminalità organizzata transnazionale, una questione che impatta società, economie e sicurezza a livello mondiale.
L’Ambasciatore Maurizio Massari, Rappresentante Permanente italiano all’ONU, e’ intervenuto nel corso di un evento co-organizzato insieme all’ #UNODC (l’agenzia Onu per la lotta al crimine organizzato) e agli Stati Membri che fanno parte del gruppo centrale che ha proposto la risoluzione istitutiva della giornata: Austria, Colombia, Repubblica Dominicana, Ungheria, Giappone, Marocco, Perù e Arabia Saudita.
Massari ha sottolineato il legame tra impegno per la giustizia e lo sviluppo sociale, in linea con l’Obiettivo di Sviluppo Sostenibile 16, come riaffermato durante la visita del Presidente italiano Sergio Mattarella alle Nazioni Unite a New York, quando “ha ricordato la dimensione globale di questa lotta e la necessità di un’azione internazionale collettiva per affrontare le cause profonde della criminalità organizzata”.
Tornando sul legame tra lotta al crimine e sviluppo, Massari ha evidenziato che quando le comunità sono resilienti, ben supportate e potenziate, diventano meno vulnerabili all’influenza delle reti criminali.
In questo impegno l’esperienza dell’Italia rappresenta una testimonianza potente sia delle sfide sia della resilienza necessaria per combattere la criminalità organizzata. “L’Italia ha visto il sacrificio di molti coraggiosi – poliziotti, giudici e funzionari pubblici – che hanno rischiato, e persino dato, la vita nella lotta contro le reti mafiose, eroi come i giudici Giovanni Falcone e Paolo Borsellino, il cui lascito continua a ispirare sforzi in tutto il mondo, ma anche cittadini comuni, imprenditori e lavoratori hanno resistito alla criminalità organizzata, affrontando a caro prezzo le richieste di estorsione della mafia e rifiutando di cedere ai ricatti”, ha detto Massari ricordando infine l’innovazione negli approcci agli asset confiscati alle organizzazioni criminali e riutilizzati per iniziative sociali, dando risorse alle comunità che una volta alimentavano le attività criminali.
LA CORTE COSTITUZIONALE HA DECISO LE QUESTIONI DI COSTITUZIONALITÀ DELLA LEGGE SULL’AUTONOMIA DIFFERENZIATA In attesa del deposito della sentenza, l’Ufficio Comunicazione e stampa fa sapere che la Corte costituzionale ha ritenuto non fondata la questione di costituzionalità dell’intera legge sull’autonomia differenziata delle regioni ordinarie (n. 86 del 2024), considerando invece illegittime specifiche disposizioni dello stesso testo legislativo. Secondo il Collegio, l’art. 116, terzo comma, della Costituzione (che disciplina l’attribuzione alle regioni ordinarie di forme e condizioni particolari di autonomia) deve essere interpretato nel contesto della forma di Stato italiana. Essa riconosce, insieme al ruolo fondamentale delle regioni e alla possibilità che esse ottengano forme particolari di autonomia, i principi dell’unità della Repubblica, della solidarietà tra le regioni, dell’eguaglianza e della garanzia dei diritti dei cittadini, dell’equilibrio di bilancio. I Giudici ritengono che la distribuzione delle funzioni legislative e amministrative tra i diversi livelli territoriali di governo, in attuazione dell’art. 116, terzo comma, non debba corrispondere all’esigenza di un riparto di potere tra i diversi segmenti del sistema politico, ma debba avvenire in funzione del bene comune della società e della tutela dei diritti garantiti dalla nostra Costituzione. A tal fine, è il principio costituzionale di sussidiarietà che regola la distribuzione delle funzioni tra Stato e regioni. In questo quadro, l’autonomia differenziata deve essere funzionale a migliorare l’efficienza degli apparati pubblici, ad assicurare una maggiore responsabilità politica e a meglio rispondere alle attese e ai bisogni dei cittadini. La Corte, nell’esaminare i ricorsi delle Regioni Puglia, Toscana, Sardegna e Campania, le difese del Presidente del Consiglio dei ministri e gli atti di intervento ad opponendum delle Regioni Lombardia, Piemonte e Veneto, ha ravvisato l’incostituzionalità dei seguenti profili della legge: - la possibilità che l’intesa tra lo Stato e la regione e la successiva legge di differenziazione trasferiscano materie o ambiti di materie, laddove la Corte ritiene che la devoluzione debba riguardare specifiche funzioni legislative e amministrative e debba essere giustificata, in relazione alla singola regione, alla luce del richiamato principio di sussidiarietà; - il conferimento di una delega legislativa per la determinazione dei livelli essenziali delle prestazioni concernenti i diritti civili e sociali (LEP) priva di idonei criteri direttivi, con la conseguenza che la decisione sostanziale viene rimessa nelle mani del Governo, limitando il ruolo costituzionale del Parlamento; - la previsione che sia un decreto del Presidente del Consiglio dei ministri (dPCm) a determinare l’aggiornamento dei LEP; - il ricorso alla procedura prevista dalla legge n. 197 del 2022 (legge di bilancio per il 2023) per la determinazione dei LEP con dPCm, sino all’entrata in vigore dei decreti legislativi previsti dalla stessa legge per definire i LEP; - la possibilità di modificare, con decreto interministeriale, le aliquote della compartecipazione al gettito dei tributi erariali, prevista per finanziare le funzioni trasferite, in caso di scostamento tra il fabbisogno di spesa e l’andamento dello stesso gettito; in base a tale previsione, potrebbero essere premiate proprio le regioni inefficienti, che – dopo aver ottenuto dallo Stato le risorse finalizzate all’esercizio delle funzioni trasferite – non sono in grado di assicurare con quelle risorse il compiuto adempimento delle stesse funzioni; - la facoltatività, piuttosto che la doverosità, per le regioni destinatarie della devoluzione, del concorso agli obiettivi di finanza pubblica, con conseguente indebolimento dei vincoli di solidarietà e unità della Repubblica; - l’estensione della legge n. 86 del 2024, e dunque dell’art. 116, terzo comma, Cost. alle regioni a statuto speciale, che invece, per ottenere maggiori forme di autonomia, possono ricorrere alle procedure previste dai loro statuti speciali. La Corte ha interpretato in modo costituzionalmente orientato altre previsioni della legge: - l’iniziativa legislativa relativa alla legge di differenziazione non va intesa come riservata unicamente al Governo; - la legge di differenziazione non è di mera approvazione dell’intesa (“prendere o lasciare”) ma implica il potere di emendamento delle Camere; in tal caso l’intesa potrà essere eventualmente rinegoziata; - la limitazione della necessità di predeterminare i LEP ad alcune materie (distinzione tra “materie LEP” e “materie-no LEP”) va intesa nel senso che, se il legislatore qualifica una materia come “no-LEP”, i relativi trasferimenti non potranno riguardare funzioni che attengono a prestazioni concernenti i diritti civili e sociali; - l’individuazione, tramite compartecipazioni al gettito di tributi erariali, delle risorse destinate alle funzioni trasferite dovrà avvenire non sulla base della spesa storica, bensì prendendo a riferimento costi e fabbisogni standard e criteri di efficienza, liberando risorse da mantenere in capo allo Stato per la copertura delle spese che, nonostante la devoluzione, restano comunque a carico dello stesso; - la clausola di invarianza finanziaria richiede – oltre a quanto precisato al punto precedente – che, al momento della conclusione dell’intesa e dell’individuazione delle relative risorse, si tenga conto del quadro generale della finanza pubblica, degli andamenti del ciclo economico, del rispetto degli obblighi eurounitari. Spetta al Parlamento, nell’esercizio della sua discrezionalità, colmare i vuoti derivanti dall’accoglimento di alcune delle questioni sollevate dalle ricorrenti, nel rispetto dei principi costituzionali, in modo da assicurare la piena funzionalità della legge. La Corte resta competente a vagliare la costituzionalità delle singole leggi di differenziazione, qualora venissero censurate con ricorso in via principale da altre regioni o in via incidentale. Roma, 14 novembre 2024
I primi nove mesi del 2024 premiano Fincantieri, che vede confermato il suo ruolo di azienda leader a livello mondiale nel settore della cantieristica. Il consiglio d’amministrazione ha infatti approvato le informazioni finanziarie intermedie al 30 settembre, che confermano e promettono di migliorare le
Che l’industria bellica russa non fosse esattamente la più capacitiva al mondo non era certo un mistero, ma, dopo la Corea del Nord, Mosca sembra aver trovato un nuovo, inaspettato, fornitore di armamenti: il cinema. Pare che lo studio cinematografico Mosfilm, il cui centenario ricorre
a volte mi chiedo, dopo aver deciso una soluzione così estrema come il diluvio, perché dio ci abbia "ripensato". non poteva essere meglio chiuderla in quel momento? quanta sofferenza risparmiata. o magari salvare tutti meno che il genere umano. sebbene il mondo naturale sia tutto meno che idilliaco e felice e quindi tutto sommano c'è da chiedersi se in quel caso sarebbe stato un dono per qualcuno. che fallimento colossale la creazione. epic fail. non credo che il problema sia la "natura umana". perlomeno non esclusivamente. è un problema più generale e diffuso. si chiama vita. purtroppo.
Vulnerabilities in the popular What to Expect app include one that allows a full account take over, and another that exposes that email address of forum admins.#News #Privacy
@Notizie dall'Italia e dal mondo In un nuovo rapporto sulla situazione della Striscia, la ONG dichiara di aver scoperto che "lo sfollamento forzato è diffuso e le prove mostrano che è stato sistematico e parte di una politica statale. Tali atti
@Notizie dall'Italia e dal mondo I manifestanti hanno accusato il governo di imbastire un processo-farsa per nascondere le violenze della polizia e reprimere le proteste L'articolo NIGERIA. Il movimento #EndbedGovernance fa i conti con la repressione e l’emergenza
Non ho mai usato friendica ma sono pratico con il fediverso sopratutto con mastodon sull'istanza livellosegreto.it
Su mastodon, almeno su quel server, non è possibile scrivere tanto testo, quindi ho deciso di aprire qui un profilo pubblico.
Quello di cui vorrei ogni tanto parlare (preferisco la qualità alla quantità) è ciò che mi appassiona, ovvero: -opensource e privacy (grapheneos, aosp, fdroid, scelte di vita relative) -dipendenza dalla tecnologia (approccio alla vita sana e alternative contro le dipendenze tecnologiche, in tutti i sensi possibili) -musica (ascolto musica da veramente una vita, ho una cultura immensa e vorrei condividerla e ascoltare ciò che propongono di bello gli altri) -cinema (ne guardo assai poco ma un tempo ero fissato con il cinema asiatico!) -vita sotto la salute mentale (ero hikikomori e ora vivo con assistenza psichiatria, sarebbe interessante parlarne approfonditamente senza dare informazioni banali) -altro (non mi viene in mente molto ora ma spero apprezzerete i vari argomenti!!)
Non ho app del fediverso ma faccio tutto via browser quindi, essendo che mi sono appena iscritto, mi ci vorrà un po' per ingranare e crearmi un feed interessante! Spero che comunque sia gradita la mia presenza qui.
@Politica interna, europea e internazionale Dopo gli scontri dello scorso weekend a Bologna per il corteo di Casapound, si preannuncia un altro possibile fine settimana ad alta tensione sul fronte dell’ordine pubblico. Domenica 17 novembre, infatti, Forza Nuova ha programmato
Friendica è una piattaforma social davvero straordinaria e può vantare una serie di caratteristiche che la rendono unica nel panorama della federazione:
supporto a testo formattato, post lunghi, titli e spoiler;
supporto nativo ai gruppi ActivityPub; messaggi diretti;
una galleria multimediale dove è possibile gestire foto album;
la possibilità di organizzare i contati in cerchie;
la possibilità di citare (cross-post) post di altri utenti;
importazione di feed RSS;
un calendario eventi integrato; e ovviamente molto altro (fare riferimento alla documentazione ufficiale)…
L'interfaccia web è ottima per accedere a tutte queste funzionalità, ma su un dispositivo mobile ci sono vincoli diversi per usabilità e leggibilità, quindi è utile avere un'app per utilizzare le più importanti tra le funzioni offerte dalla piattaforma.
Funzionalità principali dell'app:
visualizzazione della timeline con la possibilità di cambiare tipo di feed (pubblica, locale iscrizioni e liste personalizzate);
dettaglio post, ovvero la possibilità di aprire una conversazione nel suo contesto, visualizzare le risposte, le ricondivisioni e gli utenti che hanno aggiunto il post ai preferiti;
dettaglio utente con la possibilità di visualizzare post, post e risposte, post fissati e multimediali, registrarsi per ricevere le notifiche da un utente, seguirlo o inviare una richiesta di seguirlo, visualizzare i seguaci e seguiti;
supporto ai gruppi ActivityPub (ovvero le liste di distribuzione), con la possibilità di aprire i thread in modalità forum (o modalità Lemmy);
visualizzare i post di tendenza, gli hashtag e i link in tendenza e (se è stato effettuato l'accesso) i suggerimenti su chi seguire;
seguire/smettere di seguire un hashtag e visualizzare tutti i post che lo contengono; interagire con i post (ricondividere, - aggiungere ai preferiti o segnalibri) e – nel caso dei propri post – modificarli, cancellarli o fissarli sul profilo;
ricerca globale di hashtag, post e utenti in base a termini di ricerca specifici;
personalizzare l'aspetto dell'applicazione cambiando i colori del tema, il font o la dimensione del testo, ecc.
effuare l'accesso tramite il protocollo OAuth2 (o, solo su Friendica, accedere con le proprie credenziali);
visualizzare e modificare i dati del proprio profilo;
visualizzare e filtrare l'elenco delle notifiche in arrivo;
gestire le proprie richieste di essere seguito e accettarle/rifiutarle;
visualizzare la lista dei propri preferiti, segnalibri o hashtag seguiti;
creare post e risposte con allegati (e testo alternativo per ogni allegato), spoiler e (solo su Friendica) titolo con formattazione in HTML, BBCode (su Friendica) o Markdown (su Mastodon);
schedulare post per una data futura (e cambiare la data di schedulazione) o salvarlo nelle bozze locali;
segnalare post e utenti agli amministratori per la moderazione dei contenuti; silenziare/bloccare utenti (e annullare queste operazioni) e gestire la lista dei propri utenti silenziati o bloccati;
gestire le proprie cerchie (liste definite dagli utenti), che su Friendica possono essere utilizzate anche come opzione di visibilità dei post;
visualizzare i sondaggi in modalità di sola lettura;
supporto multi-account con la possibilità di cambiare account (e, in modalità anonima, di cambiare istanza);
inviare messaggi diretti (solo su Friendica) ad altri utenti e visualizzare le conversazioni; gestire la propria galleria multimediale (solo su Friendica);
visualizzare il proprio calendario (only on Friendica) in modalità sola lettura.
bellissima app la sto usando anch'io su Mastodon. Già dall'ultimo rilascio della beta non ricevo più errori e visualizza i gruppi gup.pe Lemmy e Friendica molto meglio di app più blasonate come Fedilab o Tusky.
Segnalo a @FediTips per aggiungerla alle app consigliate
Grazie a voi per i feedback e devo chiedere scusa a @informapirata ⁂ :privacypride: per tutte le volte che gli ho rotto le scatole in questi mesi (chiedendo consigli o verifiche).
In ogni caso sappiate che: - per me è stato divertente e molto istruttivo sviluppare un client per Friendica/Mastodon, quindi oltre a passare il tempo sono cresciuto professionalmente; - mica finisce qui 😂 anzi, la parte migliore sarà evolvere il progetto da ora in avanti!
Here is the changelog, compared the latest beta: 🦝 feat: make crash reports opt-in (disabled by default); 🦝 feat: add option to keep app bars fixed while scrolling; 🦝 fix: transition between images/videos in detail view; 🦝 fix: unmute videos in detail view; 🦝 enhancement: update licenses; 🦝 chore: update dependencies; 🦝 chore: update user manual.
If no blocking issues are reported, I intend to make it easier to install the app (by distributing on other alternative stores, e.g. setting up the submission procedure to F-Droid), translate the UI and/or user manual into more languages, etc.
@𝔇𝔦𝔢𝔤𝔬 🦝🧑🏻💻🍕 grazie per quest'app davvero semplice, pulita ma ricca di tutto quello che serve. Io la uso per Mastodon. Potresti abilitare l'icona a tema su Android?
@maxdid avevo fatto un tentativo nell'app per Lemmy ma non sono mai stato sicuro che funzionasse davvero... in ogni caso, l'idea di avere più icone è ottima e sicuramente farebbe felice @Informa Pirata che preferiva quella iniziale (nonostante mi abbia aiutato a disegnare quella attuale).
In ogni caso, permetterei di scegliere tra: - icona preferita (attuale), - icona monocromatica (per i launcher che lo supportano), - icona "legacy" (la prima con cui il progetto è nato).
@Maxdid puoi avere più account e switchare da uno all'altro, dalla schermata profilo in alto a destra nella barra c'è un pulsante di "gestione account" (icona utente+ingranaggio) che apre una bottom sheet da cui puoi selezionare "Aggiungi nuovo" e rifare login. Da quel momento in poi puoi cambiare account usando la stessa bottom sheet.
Al Kath
in reply to Informa Pirata • • •Informa Pirata likes this.
Alex 🐰
in reply to Informa Pirata • •Informa Pirata likes this.
Informa Pirata reshared this.
Informa Pirata
in reply to Alex 🐰 • •Alex 🐰 likes this.