If you want solar power, you usually have to make a choice. You can put a solar panel in a fixed location and accept that it will only put out the maximum when the sun is properly positioned. Or, you can make the panels move to track the sun.

While this isn’t difficult, it does add cost and complexity, plus mechanical systems usually need more maintenance. According to [Xavier Derdenback], now that solar panels are cheaper than ever, it is a waste of money to make a tracking array. Instead, you can build a system that looks to the east and the west. The math says it is more cost effective.

The idea is simple. If you have panels facing each direction, then one side will do better than the other side in the morning. The post points out that a tracking setup, of course, will produce more power. That’s not the argument. However, for a given power output, the east-west solution has lower installation costs and uses less land.

Letting the post speak for itself:

East-West arrays are simple. They consist of parallel strings of PV modules that are oriented in opposing directions, one facing East and the other West. The current of the whole array is the summation of these string currents, effectively letting East-West arrays capture sunlight from dawn till dusk, similar to a tracked array.

So what do you think? Are solar trackers old hat? If you want one, they don’t have to be very complex. But still easier to just double your panels.

hackaday.com/2025/05/07/tracki…

Un bug recentemente individuato nei Windows Deployment Services (WDS) di Microsoft consente a un attaccante di mandare in blocco i server da remoto, senza bisogno di autenticazione né interazione da parte dell’utente. La falla risiede nel servizio TFTP, che utilizza il protocollo UDP, ed è talmente semplice da sfruttare che anche un cybercriminale poco esperto potrebbe compromettere in pochi minuti l’intera infrastruttura di distribuzione dei sistemi operativi aziendali.

Windows Deployment Services è ampiamente utilizzato nelle reti aziendali, nei data center e negli istituti scolastici per semplificare le distribuzioni dei sistemi operativi, il che rende questa vulnerabilità particolarmente preoccupante per gli amministratori IT.

L’attacco si basa sull’invio di traffico di rete falsificato e non autenticato, rendendolo particolarmente insidioso e difficile da intercettare con le tradizionali soluzioni di sicurezza. La falla, che non richiede alcuna autenticazione o interazione da parte dell’utente (0 clic), consente agli aggressori di esaurire da remoto la memoria di sistema sfruttando una debolezza di progettazione nel modo in cui WDS gestisce le sessioni TFTP basate su UDP sulla porta 69.

“Il problema principale è che EndpointSessionMapEntry non impone alcun limite al numero di sessioni. Di conseguenza, un aggressore può falsificare indirizzi IP e numeri di porta dei client, creando ripetutamente nuove sessioni fino all’esaurimento delle risorse di sistema”, spiega il ricercatore di sicurezza Zhiniang Peng nella sua analisi. La vulnerabilità deriva dal servizio WDS TFTP, che crea un oggetto CTftpSession ogni volta che viene ricevuta una richiesta di connessione.

La funzione wdstftp!CClientContext::OnConnectionRequest gestisce questo processo, come mostrato in questo frammento di codice:

Poiché i server UDP non sono in grado di verificare le origini dei pacchetti, gli aggressori possono falsificare i pacchetti con indirizzi e porte di origine casuali, costringendo il server ad allocare oggetti di sessione eccessivi nella memoria senza limitazioni.

In un ambiente di test che eseguiva Windows Server Insider Preview con 8 GB di RAM, Peng ha dimostrato che inviando continuamente pacchetti UDP falsificati alla porta 69, il consumo di memoria aumentava rapidamente fino a 15 GB in soli 7 minuti, causando l’arresto anomalo dell’intero sistema.

La tecnica di attacco è sorprendentemente semplice da implementare: richiede solo uno scripting di base su una macchina Linux per generare i pacchetti falsificati.

Questa vulnerabilità rappresenta una minaccia significativa per le organizzazioni che si affidano a WDS per la distribuzione di sistemi operativi basati sulla rete, poiché consente agli aggressori di interrompere completamente i servizi di avvio PXE in un’azienda senza richiedere alcuna autenticazione o accesso privilegiato.

L'articolo Microsoft WDS nel mirino: un bug consente di bloccare Windows con attacchi 0click proviene da il blog della sicurezza informatica.

Il progetto SAFE, sostenuto da UNODC (United Nations Office on Drugs and Crime), FAO ((Food and Agriculture Organization) Istituzione tecnica specializzata delle Nazioni Unite) e UE (Unione Europea), mira a mitigare il rischio di pandemie future attraverso la gestione delle strutture di fauna selvatica.
L'obiettivo principale del progetto SAFE è mitigare la probabilità di future pandemie, concentrandosi sul miglioramento delle normative e delle condizioni delle strutture di fauna selvatica in cattività. Il progetto mira a ridurre i rischi associati a queste strutture per informare e sviluppare pratiche e politiche migliori, oltre a promuovere la cooperazione regionale per una migliore prevenzione delle pandemie.
Illusra il progetto una recente pubblicazione: "PREVENTING THE NEXT PANDEMIC: STRENGTHENING BIOSAFETY AND BIOSECURITY IN ASEAN CAPTIVE WILDLIFE FACILITIES", curata da UNODC, FAO e UE, che è reperibile [en] a questo link unodc.org/res/environment-clim… e che si focalizza sugli interventi possibili in ambito territoriale asiatico.

La pandemia di COVID-19 ha evidenziato la vulnerabilità globale alle malattie zoonotiche. Le attività umane, come il commercio di fauna selvatica, aumentano il rischio di spillover di patogeni.

Alcuni esempi di specie di fauna selvatica in cattività nel sud-est asiatico includono macachi, civette e ratti di bambù. Queste specie sono spesso tenute in condizioni che possono aumentare il rischio di trasmissione di patogeni zoonotici. I rischi associati alle strutture di fauna selvatica in cattività includono la possibilità di spillover di patogeni zoonotici, condizioni igieniche inadeguate che favoriscono la trasmissione e la mutazione dei patogeni, e la presenza di un gran numero di animali in spazi ristretti. Questi fattori possono compromettere la salute pubblica e aumentare il rischio di epidemie o pandemie.

Due iniziative globali che possono essere adottate per affrontare i rischi delle operazioni commerciali di fauna selvatica sono il Progressive Management Pathway for Terrestrial Animal Biosecurity (FAO-PMP-TAB) e il Sustainable Wildlife Management (SWM) Programme. Il primo mira a rafforzare la biosecurity lungo le catene di valore degli animali, mentre il secondo si concentra sulla conservazione della fauna selvatica e sulla sicurezza alimentare, migliorando le pratiche di gestione e riducendo la domanda di carne di selvaggina.

È necessaria una cooperazione internazionale per affrontare le sfide legate alle malattie zoonotiche, poiché queste non sono solo questioni locali o nazionali, ma richiedono un approccio globale. Le riforme normative devono includere l'allineamento delle politiche nazionali e sub-nazionali con l'approccio One Health, migliorando la biosicurezza e le misure sanitarie nelle strutture di fauna selvatica. Inoltre, è fondamentale rafforzare la condivisione dei dati in tempo reale e la collaborazione tra agenzie e istituzioni pertinenti.

In ambito di cooperazione internazionale, le attività giudiziarie e di polizia possono includere l'implementazione di operazioni congiunte per combattere il traffico di fauna selvatica, la condivisione di informazioni e intelligence tra le forze dell'ordine di diversi paesi, e l'armonizzazione delle leggi e delle normative relative alla protezione della fauna selvatica. Inoltre, possono essere organizzati corsi di formazione e workshop per migliorare le capacità investigative e di enforcement delle autorità locali. Queste misure aiutano a garantire una risposta coordinata e efficace contro i crimini ambientali e le malattie zoonotiche.

#SAFE #UNODC #FAO #UE #COMMERCIODIFAUNASELVATICA
@Ambiente

An ongoing refrain with modern movies is “Why is all of this CG?”– sometimes, it seems like practical effects are simultaneously a dying art, while at the same time modern technology lets them rise to new hights. [Davis Dewitt] proves that second statement with his RC movie star “robot” for an upcoming feature film.

The video takes us through the design process, including what it’s like to work with studio concept artists. As for the robot, it’s controlled by an Arduino Nano, lots of servos, and a COTS airplane R/C controller, all powered by li-po batteries. This is inside an artfully weathered and painted 3D printed body. Apparently weathering is important to make the character look like a well-loved ‘good guy’. (Shiny is evil, who knew?) Hats off to [Davis] for replicating that weathering for an identical ‘stunt double’.

Check out the video below for all the deets, or you can watch to see if “The Lightening Code” is coming to a theater near you. If you’re into films, this isn’t the first hack [Davis] has made for the silver screen. If you prefer “real” hacks to props, his Soviet-Era Nixie clock would look great on any desk. Thanks to [Davis] for letting us know about this project via the tips line.

youtube.com/embed/HUEqvCXZ5oE?…

hackaday.com/2025/05/06/adorab…

Secondo il giornalista investigativo Brian Krebs, un dipendente di xAI ha pubblicato accidentalmente una chiave privata su GitHub. Per due mesi, la chiave è rimasta disponibile, consentendo a chiunque di interrogare modelli linguistici di grandi dimensioni (LLM) privati ​​che sembrano essere stati creati appositamente per gestire dati interni delle aziende di Elon Musk, tra cui SpaceX, Tesla e X.

La fuga di notizie è stata notata e resa pubblica per la prima volta dallo specialista di Seralys Philippe Caturegli, che ha scoperto che un dipendente di xAI aveva pubblicato accidentalmente la chiave API di x.ai su GitHub.

Il messaggio ha attirato l’attenzione dei ricercatori di GitGuardian, un’azienda specializzata nel rilevamento e nella riparazione di fughe di notizie segrete in ambienti pubblici e proprietari. Ad esempio, i sistemi GitGuardian analizzano costantemente GitHub e altri repository alla ricerca di divulgazioni di chiavi API e inviano avvisi automatici alle vittime.

Eric Fourrier di GitGuardian ha detto a Krebs che la chiave API trapelata, ha dato accesso a diversi modelli privati del chatbot Grok. In totale, GitGuardian ha scoperto che la chiave forniva l’accesso ad almeno 60 LLM personalizzati e privati.

“Le credenziali potrebbero essere state utilizzate per accedere all’API X.ai con l’identità dell’utente”, riporta GitGuardian. “L’account associato aveva accesso non solo ai modelli Grok pubblici (grok-2-1212, ecc.), ma anche a quelli non ancora rilasciati (grok-2.5V), in fase di sviluppo (research-grok-2p5v-1018) e privati ​​(tweet-rejector, grok-spacex-2024-11-04).”

Fourie ha affermato che GitGuardian aveva avvisato un dipendente di xAI della fuga di notizie sulla chiave API quasi due mesi fa, il 2 marzo 2025. Tuttavia, al 30 aprile 2025, quando l’azienda ha informato direttamente il team di sicurezza di xAI della divulgazione della chiave, questa era ancora valida e utilizzabile. xAI ha incoraggiato i ricercatori a segnalare il problema tramite il programma bug bounty su HackerOne, ma nel giro di poche ore il repository con la chiave esposta è stato rimosso da GitHub.

“Sembra che alcuni di questi LLM interni siano stati addestrati sui dati di SpaceX e altri sui dati di Tesla”, afferma Fourrier. “Non credo che il modello Grok, basato sui dati di SpaceX, fosse destinato all’accesso pubblico.”

Gli esperti scrivono che l’accesso gratuito agli LLM privati ​​potrebbe trasformarsi in un vero disastro. Dopotutto, un aggressore che ottiene l’accesso diretto al backend di un modello come Grok può utilizzarlo per attacchi successivi. Ad esempio, un hacker potrebbe utilizzare l’accesso ottenuto per eseguire iniezioni rapide, modificare i parametri del modello per i propri scopi o tentare di iniettare codice nella catena di fornitura.

I rappresentanti di xAI non hanno risposto alla richiesta di commento di Brian Krebs. Anche il tecnico 28enne di xAI che ha fatto trapelare la chiave non ha risposto al giornalista.

L'articolo Clamorosa fuga da xAI: chiave API trapelata su GitHub espone gli LLM privati di SpaceX e Tesla proviene da il blog della sicurezza informatica.

Dai dati relativi al 2024 a seguito della Giornata nazionale contro la pedofilia e la pedopornografia, pubblicati dalla Polizia di Stato, emerge un aumento degli arresti e delle denunce per reati legati alla pedopornografia online, con oltre 2.800 casi trattati, 1.000 perquisizioni e 147 arresti. Nel primo trimestre 2025 si registra un ulteriore incremento significativo. La Polizia Postale e per la Sicurezza Cibernetica svolge un'intensa attività di prevenzione e contrasto, anche attraverso campagne di sensibilizzazione rivolte a studenti, genitori e insegnanti. Inoltre, viene evidenziato l'impegno nella cooperazione internazionale e il partenariato con enti e organizzazioni non governative per tutelare i minori dai rischi del web.

I dati relativi al contrasto alla pedopornografia nel 2024 mostrano:

• Oltre 2.800 casi trattati dalla Polizia Postale
• Circa 1.000 perquisizioni effettuate
• 147 individui arrestati
• 1.037 persone denunciate.

Alcune delle iniziative di prevenzione della Polizia Postale includono:
Campagne di prevenzione e formazione che nei primi mesi del 2025 hanno coinvolto oltre 164.000 studenti, 2.900 genitori e più di 10.000 insegnanti.
L'allestimento della mostra itinerante fotografica "SuperEroi" che racconta il lavoro degli operatori impegnati nel contrasto alla pedopornografia online, già visitata da oltre 16.000 persone, di cui 4.200 studenti.

Nel 2024, sono state svolte circa 1.000 perquisizioni, che hanno portato all'arresto di 147 individui e alla denuncia di 1.037 persone. Nel primo trimestre del 2025, si è registrato un significativo incremento con l'arresto di 118 persone (+293%) e la denuncia di 427 soggetti (+53%), oltre a oltre 370 perquisizioni delegate (+28%). L'attività preventiva ha portato all'oscuramento di oltre 2.800 siti web pedopornografici tramite l'inserimento nella Black List gestita dal Centro Nazionale per il Contrasto alla Pedopornografia Online (CNCPO).

#Giornatanazionalecontrolapedofiliaelapedopornografia #CNCPO #poliziadistato #poliziapostale
@Notizie dall'Italia e dal mondo