We have all suffered from this; the boss wants you to compile a report on the number of paper clips and you’re crawling up the wall with boredom, so naturally your mind strays to other things. You check social media, or maybe the news, and before you know it a while has been wasted. [Neil Chen] came up with a solution, to configure a cheap smart plug with a script to block his diversions of choice.

The idea is simple enough, the plug is in an outlet that requires getting up and walking a distance to access, so to flip that switch you’ve really got to want to do it. Behind it lives a Python script that can be found in a Git Hub repository, and that’s it! We like it for its simplicity and ingenuity, though we’d implore any of you to avoid using it to block Hackaday. Some sites are simply too important to avoid!

Of course, if distraction at work is your problem, perhaps you should simply run something without it.

hackaday.com/2025/06/27/a-chea…

Prendi una Fiat Panda seconda serie del 2003, con 140.000 km sul groppone, il classico motore Fire 1.1, e nessuna dotazione moderna. Ora immagina di trasformarla in una specie di Cybertruck in miniatura, con fari LED stampati in 3D, infotainment touchscreen, comandi da astronave e una connessione satellitare globale.

No, non è una puntata di Black Mirror, è tutto vero. Si chiama Cyberpandino, ed è il progetto assurdo (e geniale) di due sviluppatori romani, Matteo e Roberto, che hanno deciso di iscriversi al Mongol Rally 2025 ,

Red Hot Cyber, essendo sempre pronta per le sfide epiche e impossibili, ha supportato questo “Magic Team”, in questa folle corsa da 14.000 km tra Europa e Asia con mezzi improbabili e zero assistenza ma ad alta tecnologia.

Avete capito proprio bene, tutto questo a bordo di una Panda da 800 euro acquistata a Roma e trasformata, nel tempo libero, in un laboratorio viaggiante open source.

Dietro il cofano: un Raspberry Pi 4B e un mondo di sensori

Il cuore tecnologico del Cyberpandino è una Raspberry Pi 4B, collegata a tutto ciò che può essere sensato (o totalmente folle) mettere su una vecchia utilitaria:

• OBD2: per leggere in tempo reale parametri come giri motore, temperatura, errori diagnostici e tensione batteria.
• Sensori IMU: accelerometro, giroscopio, magnetometro – la macchina sa sempre come si sta muovendo nello spazio, tipo navetta spaziale.
• Modulo GPS: tracking preciso e continuo, utile sia per la navigazione che per raccontare il viaggio.
• Sensori ambientali: qualità dell’aria, temperatura interna/esterna, umidità, VOC… praticamente una stazione meteo su quattro ruote.
• Camere USB ultragrandangolari: per creare una sorta di vista top-down 3D, utile nelle manovre strette (e per fare scena).
• Antenna satellitare Telespazio: Internet via satellite, anche nei deserti più remoti. Letteralmente ovunque.

Tutti questi dati vengono gestiti e sincronizzati da un sistema basato su Node.js, che fa da backend tra la Raspberry e l’interfaccia utente sviluppata in React.js.

L’interfaccia: niente Android Auto, qui c’è Panda OS

La UI principale è una dashboard React minimalista, pensata per essere leggibile anche sotto il sole a picco. Touch-friendly, con uno stile retrò-tech che sembra uscito da una console da battaglia degli anni ’80. Tutto gira su un sistema operativo leggero, basato su Raspberry Pi OS Lite, con servizi custom sviluppati in Node e script bash per il controllo di ogni componente.

Il secondo schermo mostra strumenti analogici digitalizzati in stile aeronautico, con informazioni come assetto, inclinazione del veicolo e stato dei sensori. E sì, c’è anche l’infotainment, con mappe offline, musica, videogiochi e qualche easter egg da nerd DOC.

Estetica da meme, cuore da maker

Esternamente il Cyberpandino prende in giro il Cybertruck: carrozzeria verniciata con vernice per cancelli, inserti neri, linee spigolose e grafiche rivisitate. Ma dietro l’ironia c’è una cura tecnica notevole: motore smontato e ricondizionato, sospensioni rinforzate, taniche di scorta, impianto LED completo e cablaggio interamente rifatto.

Tutto è stato realizzato in garage, con pezzi aftermarket trovati online, budget ridotto all’osso e tanto tempo passato a saldare, testare, riprovare.

Sempre connessi, anche nel nulla

Il punto di svolta è stato l’arrivo della collaborazione con Telespazio, che ha fornito un’antenna satellitare professionale. Questo permette alla Panda di rimanere connessa 24/7 ovunque: upload dei dati, backup, live tracking, aggiornamenti social e persino chiamate VoIP, tutto possibile anche in mezzo al Pamir.

E ovviamente, ogni metro percorso viene documentato in tempo reale su TikTok e Instagram (@cyberpandino), dove il progetto ha già conquistato una discreta community.

Quando l’auto è solo una scusa per imparare (e divertirsi)

Il Cyberpandino non vincerà nessuna gara, ma non è questo il punto. È una dichiarazione d’intenti: con un po’ di fantasia, spirito maker e competenze tecniche, si può trasformare anche una Panda del 2003 in qualcosa di straordinario.

È la dimostrazione che la tecnologia non serve solo a fare profitto o startup: può essere anche gioco, sperimentazione, racconto. E soprattutto: può far sognare.

L'articolo Due sviluppatori, una Panda, 14.000 km e zero paura! Cosa ne esce fuori? Nerd in fuga a tutto Open Source! proviene da il blog della sicurezza informatica.

The next “Brandung-Live” will be on 29.06.2025 at 20.00h CEST/DST.

News from Potsdam, Brandenburg, the Pirates of Germany and international news – in German.

If you want to join the conversation, just contact info@PiratesOnAir.net.

piratesonair.net/brandung-live…

I criminali informatici hanno iniziato adutilizzare attivamente una vulnerabilità criticache consente loro di ottenere il controllo completo di migliaia di server, compresi quelli che eseguono compiti chiave nei data center. Questo è quanto avverte l’Agenzia per la sicurezza informatica e la sicurezza delle infrastrutture degli Stati Uniti.

Il problema è stato rilevato nel firmware AMI MegaRAC Baseboard Management Controller (BMC) sviluppato da American Megatrends International (AMI), utilizzato per la gestione remota di grandi parchi di server. Questo firmware è integrato nei microcontrollori sulle schede madri. Consentono agli amministratori di eseguire operazioni anche quando il sistema operativo non è in funzione o l’alimentazione è disattivata.

Attraverso questi controller, è possibile reinstallare i sistemi operativi, modificare le configurazioni e avviare applicazioni senza accesso fisico al server. Basta compromettere un solo controller per accedere alla rete interna e agli altri dispositivi dell’infrastruttura.

La vulnerabilità ha ottenuto l’identificatore CVE-2024-54085 e una valutazione massima di pericolo – 10/10. La sua essenza è che un aggressore può aggirare l’autenticazione semplicemente inviando una richiesta HTTP speciale al dispositivo vulnerabile. La vulnerabilità è stata rilevata dalla società Eclypsium e segnalata a marzo, con un exploit funzionante che consente di creare un account amministratore senza password. A quel tempo, non erano note attacchi reali.

Il 26 giugno, la vulnerabilità è stata inclusa nella lista ufficiale delle vulnerabilità sfruttate da CISA, il che indica l’inizio degli attacchi reali. Non sono stati resi noti dettagli su quanto sta accadendo, ma Eclypsium ritiene che la portata possa essere seria.

Secondo loro, gli aggressori possono utilizzare le vulnerabilità per inserire codice dannoso direttamente nella firmware BMC. Ciò rende l’attacco praticamente invisibile e il malware può sopravvivere anche alla reinstallazione del sistema o alla sostituzione dei dischi. Tali attacchi aggirano gli antivirus e i sistemi di monitoraggio e consentono inoltre di accendere, spegnere o riavviare il server indipendentemente dallo stato del sistema operativo.

È inoltre possibile rubare le credenziali, utilizzare il server come punto di ingresso nella rete rimanente e persino danneggiare la firmware per disabilitare l’apparecchiatura. Tutto ciò rende la minaccia particolarmente seria per le infrastrutture aziendali e cloud.

L'articolo 10 su 10! Ora i criminali creano account Admin senza password sui server. Il CISA Avverte proviene da il blog della sicurezza informatica.

rieccomi con qualche piccola e deludente novità. Da ieri pomeriggio ho il tanto agognato contratto!
Inizialmente mi era stato "promesso" un contratto di un anno all'80% . Ero contenta, un giorno in più libero non mi fa schifo, e lo stipendio è sufficiente per me.
Poi però si è tramutato in "per il momento possiamo offrirti solo 9 mesi sempre all'80%", ma niente contratto da 10 giorni...
Infine ieri mi è stato detto che purtroppo per una serie disguidi e malfunzionamenti, il contratto me lo possono fare solo fino a dicembre 2025.

Bah, la mia prima reazione è stata quello di rifiutare.
Poi il mio superiore mi ha chiamata nel suo ufficio, si è scusato mille volte e mi ha spiegato che sta facendo di tutto per tramutare il mio contratto in uno a tempo indeterminato, perché anche se sono lì da poco, ho già dimostrato di essere una valida risorsa, e lui ci tiene a valorizzare le persone meritevoli.
Sono volubile e ho detto ok (anche se, a dire tutta la verità non ho ancora firmato nulla).

Scherzi a parte, fino a dicembre mi terrò questo lavoro, almeno posso pagare l'affitto. Intanto continuo la mia formazione e studio, così da poter seguire i miei sogni. 🙃

Ora vado, parrucchiere, medico e poi giornata in spiaggia (del fiume) con la nipotina! #proudaunt

#lavoro #contratto #delusione

Una campagna di phishing sofisticata che ha colpito oltre 70 organizzazioni sfruttando la funzione Direct Send di Microsoft 365. La campagna, iniziata a maggio 2025 e che ha mostrato un’attività costante negli ultimi due mesi, colpisce principalmente organizzazioni con sede negli Stati Uniti in diversi settori e luoghi.

Questo nuovo metodo di attacco, riportano i ricercatori di Varonis, consente agli attori delle minacce di impersonare utenti interni e consegnare email di phishing senza dover compromettere un account, aggirando i controlli di sicurezza email tradizionali che in genere esaminano le comunicazioni esterne. Ciò che rende questo attacco particolarmente preoccupante è lo sfruttamento di una funzione di Microsoft 365 poco conosciuta, progettata per comunicazioni interne legittime ma priva di adeguate protezioni di autenticazione.

In questi attacchi, gli attori delle minacce utilizzano la funzionalità Direct Send di M365 per colpire singole organizzazioni con messaggi di phishing che ricevono un esame molto meno rigoroso rispetto alla normale email in entrata. Direct Send è una funzione in Exchange Online progettata per consentire ai dispositivi interni come stampanti e applicazioni di inviare email all’interno di un tenant Microsoft 365 senza richiedere autenticazione. La funzione utilizza un host intelligente con un formato prevedibile: tenantname.mail.protection.outlook.com.

La falla di sicurezza critica risiede nell’assenza totale di requisiti di autenticazione. Gli aggressori hanno bisogno solo di pochi dettagli disponibili pubblicamente per eseguire le loro campagne: il dominio dell’organizzazione bersaglio e indirizzi di destinatari validi. La squadra di forensics di Varonis ha osservato gli aggressori utilizzare comandi PowerShell per inviare email truccate tramite l’host intelligente. Queste email sembrano provenire da indirizzi interni legittimi nonostante siano inviate da attori esterni non autenticati.

Il processo di attacco è notevolmente semplice. Una volta che gli attori delle minacce identificano il dominio e i destinatari validi, possono inviare email truccate che sembrano provenire dall’interno dell’organizzazione senza mai accedere o entrare nel tenant. Questa semplicità rende Direct Send un vettore attraente e a basso sforzo per campagne di phishing sofisticate.

L'articolo Microsoft 365 sotto attacco: come gli hacker sfruttano Direct Send per inviare email di phishing proviene da il blog della sicurezza informatica.

Sempre per capire un po' meglio il posto in cui mi trovo...

Vedo spesso la riga "Filtered language" con vicino Il nome di una lingua e "Reveal/hide".

Se ho capito bene dovrebbe essere il sistema che mi dice "questo contenuto te l'ho nascosto perché è in una lingua che non capiresti però se proprio vuoi, clicca qui e te lo faccio vedere".

Beh... non so se succede anche a voi ma 9 volte su 10 è normalissimo italiano.

Possibile che l'algoritmo che dovrebbe riconoscere le lingue sbagli così tanto?

Earlier this week, CBS News filed a strong brief outlining why President Donald Trump’s lawsuit over the editing of its 2024 interview with Kamala Harris is completely frivolous and an affront to the First Amendment.

But just days later, The Wall Street Journal reported that a mediator had proposed CBS owner Paramount Global settle the suit for $20 million. It’s been reported that Paramount — believing the Trump administration will block its merger with Skydance Media if it doesn’t settle – had previously offered $15 million, which Trump declined, demanding at least $25 million.

A mediator’s job is to find a compromise number, so, from that perspective, it’s easy to understand why they’d propose $20 million (mediators get paid the big bucks to do that kind of math). But mediators are still under an obligation not to facilitate criminality. And, as both federal and state lawmakers have said, a settlement by Paramount may amount to illegal bribery.

The Model Standards of Conduct for Mediators — adopted by the American Bar Association, American Arbitration Association, and Association for Conflict Resolution — provide as follows: “If a mediation is being used to further criminal conduct, a mediator should take appropriate steps including, if necessary, postponing, withdrawing from or terminating the mediation.” The ethics guidelines of Judicial Arbitration and Mediation Services go a step further: “A mediator should withdraw from the process if the mediation is being used to further illegal conduct.“

The mediator’s identity hasn’t been publicly disclosed, but presumably, they’re a lawyer, also bound by the rules of professional conduct. Those rules also include obligations to uphold the integrity of the legal profession and not facilitate illegal conduct. Violations are punishable by discipline up to disbarment. That said, it should not require citation of specific rules and standards to establish that it’s improper to facilitate the abuse of the legal system to funnel bribes disguised as settlements to politicians.

Everyone knows the case is not worth $20 million, or even 20 cents, in terms of legal merit. It’s beyond frivolous — and that’s saying something given the myriad frivolous lawsuits Trump has filed. As Paramount’s own lawyers note, Trump often doesn’t even attempt to cite cases supporting his cockamamie legal theories or refuting the decades of First Amendment precedent that obviously protects CBS’ editorial judgment. Any first-year law student can see this case should be thrown out at the first opportunity. It’s a joke.

“If a mediation is being used to further criminal conduct, a mediator should take appropriate steps including, if necessary, postponing, withdrawing from or terminating the mediation.”

The Model Standards of Conduct for Mediators

Yet it’s been widely reported that Paramount directors believe they need to pay up if they want Trump’s Federal Communications Commission to approve the Skydance merger. Possibly the only thing stopping them is the fact that the directors are reportedly concerned that settling could put it at risk of liability for bribery.

They should be worried. In addition to the lawmakers that have launched probes into potential criminality, as Paramount shareholders and defenders of press freedom, we’ve threatened to bring a shareholder derivative suit against Paramount directors and officers if the company pays Trump off, and retained counsel to do so on our behalf.

Any settlement agreed to by Paramount to facilitate its merger is not only tantamount to bribery but throws its own storied news outlet under the bus and invites Trump to extort countless other news corporations as soon as the check clears.

The Wall Street Journal reported that directors at Paramount have been mulling over a number it can offer that reduces the odds of a bribery case. When a party to a mediation is calculating settlement numbers not based on the merits of the lawsuit and cost of litigation but on the maximum it can pay without officers and directors getting indicted, that’s a gigantic red flag that no ethical mediator should ignore (as if investigations from federal and state lawmakers aren’t enough of a warning).

We hope the mediator is taking their obligations seriously. And we also hope Paramount directors are reading their own lawyers’ legal briefs. Editing interviews is something news outlets across the political spectrum do every hour of every day (even Trump-aligned Fox News hosts have openly acknowledged that). As Paramount’s lawyers wrote, if this case were to go forward, it “would amount to green-lighting thousands of consumer claims brought by individuals who merely disagree with a news organization’s editorial choices.”

The same can be said for if Paramount settles. Trump sued The Des Moines Register right after ABC owner Disney shamefully settled with Trump earlier this year. If he is gifted $20 million (and no, it doesn’t help matters if the money goes to his purported library foundation) for disliking the way an interview was edited, there’s no telling how many news outlets he’ll target next.

freedom.press/issues/paramount…

La Pirate Academy online, organizzata dall’eurodeputata Markéta Gregorová e dal gruppo politico Verdi/ALE, si terrà nell’autunno del 2025. David, dicci, cosa tratterà esattamente il corso? Si articolerà in cinque sessioni online interattive, più un incontro in diretta a Bruxelles, presso il Parlamento europeo, per i migliori partecipanti. Il corso ti preparerà a lavorare come consulente…

Source