Le principali agenzie statunitensi per la sicurezza informatica, CISA e NSA, hanno pubblicato un documento congiunto che raccomanda agli sviluppatori di software di optare per linguaggi di programmazione considerati “sicuri per la memoria”. Questi linguaggi sono progettati per fornire una protezione contro i crash critici causati da errori nella gestione della memoria, che rappresentano una delle tipologie di vulnerabilità più pericolose e frequenti.

Il documento sottolinea che gli errori di accesso non autorizzato alla memoria continuano a rappresentare una delle principali minacce sia per gli utenti standard che per i sistemi informativi critici. Tuttavia, linguaggi come Rust, Go, C#, Java, Swift, Python e JavaScript mitigano questo rischio grazie a controlli statici sull’allocazione della memoria già durante la fase di compilazione, riducendo in modo significativo la probabilità di vulnerabilità.

I sistemi più comunemente utilizzati, come C e C++, non includono di default funzionalità di protezione di questo tipo. In teoria, gli sviluppatori possono minimizzare i rischi utilizzando l’analisi statica del codice e seguendo rigorosamente gli standard di programmazione sicura. Tuttavia, nella pratica quotidiana, non tutti gli sviluppatori prestano sufficiente attenzione a questo aspetto.

Sebbene il programma principale possa essere conforme agli standard odierni, l’integrazione di librerie C o C++ tramite l’Foreign Function Interface (FFI) può rappresentare un rischio per la sicurezza. Questo tipo di vulnerabilità è particolarmente allarmante in quanto potrebbe interessare progetti che inizialmente appaiono del tutto sicuri.

L’entità del problema è confermata dalle più grandi aziende IT. Secondo Google, nel 2018 il 90% di tutte le falle di sicurezza critiche in Android era correlato a un utilizzo non corretto della memoria. Nel browser Chromium, secondo i dati del 2021, è stato registrato oltre il 70% di tali vulnerabilità. È stata questa categoria a includere il famigerato errore Heartbleed nella libreria crittografica OpenSSL, che ha consentito agli aggressori di accedere ai dati al di fuori dell’area assegnata.

Anche la relativamente recente interruzione di Google Cloud, verificatasi a giugno di quest’anno, si è rivelata correlata a un problema classico: la mancanza di controllo dei puntatori nulli. Questa falla, nella pratica, causa crash o crea punti di ingresso per attacchi in sistemi in cui i controlli di storage non sono sufficientemente rigorosi.

Quindi ora i giganti stanno giustamente supportando sempre di più l’implementazione di linguaggi sicuri. Già nel 2022, Microsoft ha raccomandato ufficialmente lo sviluppo di nuove applicazioni su Rust o tecnologie simili . Nel 2023, anche le agenzie governative hanno aderito a queste iniziative. La direttrice del CISA, Jen Easterly, ha pubblicamente dichiarato la necessità che il settore passi a soluzioni più sicure.

Il processo di adattamento, tuttavia, non è facile. Nell’ultimo anno, la comunità del kernel Linux è stata in fermento per i dibattiti sull’integrazione dei driver Rust. I sostenitori di C e C++ hanno anche proposto alternative: sono emersi TrapC, FilC, Mini-C e Safe C, tutti volti a migliorare la sicurezza del codice senza abbandonare le tecnologie familiari. Allo stesso tempo, Google sta migliorando la protezione della memoria in C senza sacrificare le prestazioni.

Un recente rapporto pubblicato congiuntamente da CISA e NSA sottolinea che l’adozione completa di linguaggi di programmazione sicuri è un processo che richiede considerevoli investimenti, risorse umane e tempo. Le organizzazioni che hanno un’ampia base di codice legacy o che operano all’interno di infrastrutture critiche possono trovare questa transizione particolarmente impegnativa. Nonostante le difficoltà, i benefici associati all’adozione di tali linguaggi, tra cui la riduzione delle vulnerabilità potenziali e il miglioramento dell’affidabilità complessiva del software, rendono questo cambiamento non solo auspicabile, ma anche inevitabile.

Anche il governo statunitense sta promuovendo iniziative proprie per accelerare il processo. Il programma DARPA TRACTOR (Translating All C to Rust) è progettato per creare strumenti automatizzati per convertire progetti C esistenti in Rust, riducendo al minimo il lavoro manuale. I ricercatori di Princeton, UC Berkeley e UC San Diego stanno sviluppando il progetto Omniglot, che garantirà l’interazione sicura del codice Rust con librerie di terze parti tramite FFI.

Il governo, come sottolineato da CISA e NSA, non si affida esclusivamente ai propri programmi, ma anche alla collaborazione con aziende private. Una delle strategie previste include incentivare la creazione di posizioni lavorative che richiedano competenze nell’utilizzo di linguaggi di programmazione sicuri, con l’obiettivo di incrementare il numero di specialisti altamente qualificati e velocizzare l’adozione di nuovi standard.

L'articolo Sicurezza Informatica: CISA e NSA Raccomandano Linguaggi di Programmazione Sicuri proviene da il blog della sicurezza informatica.

If you’re unfamiliar with Beyblades, they’re a simple toy. They consist of spinning tops, which are designed to “fight” in arenas by knocking each other around. While the off-the-shelf models are deemed safe enough for children to play with, [Jon Bringus] decided to take the danger level up a few notches with some custom launchers of his own design.

[Jon]’s project started with some of the early metal Beyblades, which are traditionally launched with a small geared ripcord device. He soon realized he could up the action by doing one simple thing—spinning the tops far faster than the manufacturer ever intended. More rotational speed equals more kinetic energy equals more legal liability fun, or so the equation goes.

The design for [Jon’s] “WMD Launcher” is straightforward enough—he combined a lawnmower pull starter with a 12:1 geartrain to turn the Beyblades at truly ludicrous speeds. It’s basic engineering — a couple of 3D-printed gears do the job — but the results are hilarious. The tops begin to emit loud noises as they turn in combat, and some move so fast and erratically that they won’t even stay inside the arena. Protective eyewear is virtually mandatory. Files are on Printables for those eager to build one at home.

Yes, ruining a game of Beyblades is as simple as building an irresponsibly fast launcher. You needn’t even use some fancy brushless motor to hurt yourself — just a little gearing is enough to cause havoc. We’ve featured similar work on this topic before, too. Video after the break.

youtube.com/embed/j2onc721XBs?…

hackaday.com/2025/06/28/beybla…

Un titolo che mi ha toccato nel profondo.
I personaggi sono ben costruiti, mai banali, e la storia scorre con naturalezza.
Mostra che, anche tra le difficoltà, è possibile raggiungere ciò che si desidera.

🌔 Da leggere almeno una volta nella vita.

This week, we announced the winners for the previous Pet Hacks contest and rang in our new contest: The One Hertz Challenge. So that’s got me in a contesty mood, and I thought I’d share a little bit of soap-box philosophizing and inside baseball all at once.

The trick to creating a good contest theme, at least for the creative Hackaday crowd, is putting on the right limitation. Maybe you have to fit the circuit within a square-inch, power it only with a coin cell, or use the antiquated and nearly useless 555 timer IC. (Yes, that was a joke!)

There are two basic reactions when you try to constrain a hacker. Some instantly try to break out of the constraint, and their minds starts to fly in all of the directions that lead out of the box, and oftentimes, something cool comes out of it. The other type accepts the constraint and dives in deep to work within it, meditating deeply on all the possibilities that lie within the 555.

Of course, we try to accommodate both modes, and the jury is still out as to which ends up better in the end. For the Coin Cell challenge, for instance, we had a coin-cell-powered spot welder and car jumpstarter, but we also had some cool circuits that would run nearly forever on a single battery; working against and with the constraints.

Which type of hacker are you? (And while we’re still in the mood, what contest themes would you like to see for 2026?)

This article is part of the Hackaday.com newsletter, delivered every seven days for each of the last 200+ weeks. It also includes our favorite articles from the last seven days that you can see on the web version of the newsletter. Want this type of article to hit your inbox every Friday morning? You should sign up!

hackaday.com/2025/06/28/limita…

La Corte Suprema degli Stati Uniti ha confermato una legge del Texas che impone agli utenti di verificare la propria età prima di visualizzare materiale sessualmente esplicito. Chiunque desideri accedere a tali contenuti dovrà ora presentare un passaporto digitale, un documento d’identità rilasciato dal governo o fornire i dati delle transazioni che possano essere utilizzati per determinare la propria età.

L’iniziativa risale al 2023, quando i legislatori del Texas approvarono il cosiddetto disegno di legge 1181. La sua essenza è semplice: tutti i siti in cui almeno un terzo dei contenuti rientra nella definizione di materiale sessuale dannoso per i minori sono tenuti a verificare l’età dei visitatori provenienti dal Texas. Inoltre, la verifica non dovrebbe essere simbolica: solo un documento ufficiale o dati su transazioni finanziarie potranno consentire l’accesso a tali pagine.

Le prime battaglie legali contro la legge iniziarono subito dopo la sua approvazione. Un’associazione di aziende del settore per adulti, nota come Free Speech Coalition, intentò una causa, sostenendo che tali verifiche dell’età violassero i diritti degli adulti che desiderano accedere liberamente a tali contenuti. Inizialmente, il tribunale distrettuale si schierò con i querelanti e bloccò temporaneamente la legge. Tuttavia, la Corte d’Appello del Quinto Circuito annullò successivamente tale decisione, aprendo la strada a un caso presso la Corte Suprema.

La sentenza definitiva della Corte Suprema è stata chiara. Secondo il giudice Clarence Thomas, autore dell’opinione a maggioranza di 6 a 3, gli Stati hanno il diritto legale di limitare l’accesso dei minori a tale materiale. Thomas ha osservato che il Primo Emendamento non impedisce agli Stati di adottare meccanismi che potrebbero essere considerati dannosi per loro. In base a tale logica, il requisito di verifica dell’età è stato considerato ragionevole e legale.

Tuttavia, gli oppositori della legge ritengono che tali misure colpiscano direttamente non solo gli adolescenti, ma anche gli utenti adulti, limitandone la libertà su Internet e creando un effetto di pressione. Allison Boden, direttrice esecutiva della Free Speech Coalition, ha ricordato che la storia della limitazione dell’accesso alla pornografia è sempre stata un indicatore di quanto lo Stato sia pronto a interferire nelle questioni relative alla libertà di parola. A suo avviso, l’obbligo di fornire documenti o dati sulle transazioni per accedere ai siti non solo mina la privacy degli utenti, ma non ha praticamente alcun effetto sulla tutela dei minori. Allo stesso tempo, gli adulti incontrano reali ostacoli nel ricevere liberamente contenuti protetti dal Primo Emendamento.

La posizione della Free Speech Coalition è sostenuta anche dall’American Civil Liberties Union (ACLU). Secondo Cecilia Wang, direttrice legale dell’ACLU, la decisione della Corte Suprema cancella di fatto decenni di giurisprudenza che hanno garantito che anche le leggi più radicali, apparentemente volte a proteggere i minori, non dovessero violare i diritti dei cittadini adulti. Wang è certa che una legge come la legge 1181 del Texas protegga apparentemente i minori, ma in realtà faccia ben poco per impedire loro di accedere a materiali proibiti, mentre impone gravi restrizioni agli adulti, compresi coloro che desiderano semplicemente visualizzare contenuti perfettamente legali.

La situazione è ancora più allarmante perché non si limita al Texas. Alla fine di maggio, leggi simili erano già state emanate in altri 23 stati americani. Ciò significa la modalità che per accedere a determinati siti web sta iniziando a diffondersi in tutto il paese.

L'articolo La Corte Suprema degli Stati Uniti conferma la legge del Texas sulla verifica dell’età per i contenuti espliciti proviene da il blog della sicurezza informatica.

Although we might all fundamentally recognize that gaming consoles are just specialized computers, we generally treat them, culturally and physically, differently than we do desktops or laptops. But there was a time in the not-too-distant past where the line between home computer and video game console was a lot more blurred than it is today. Even before Microsoft entered the scene, companies like Atari and Commodore were building both types of computer, often with overlapping hardware and capabilities. But they weren’t the only games in town. This video takes a look at the Bally Home Computer System, which was a predecessor of many of the more recognized computers and gaming systems of the 80s.

At the time, Bally as a company was much more widely known in the pinball industry, but they seemed to have a bit of foresight that the computers used in arcades would eventually transition to the home in some way. The premise of this console was to essentially start out as a video game system that could expand into a much more full-featured computer with add-ons. In addition to game cartridges it came with a BASIC interpreter cartridge which could be used for programming. It was also based on the Z80 microprocessor which was used in other popular PCs of the time, so in theory it could have been a commercial success but it was never able to find itself at the top of the PC pack.

Although it maintains a bit of a cult following, it’s a limited system even by the standards of the day, as the video’s creator [Vintage Geek] demonstrates. The controllers are fairly cumbersome, and programming in BASIC is extremely tedious without a full keyboard available. But it did make clever use of the technology at the time even if it was never a commercial success. Its graphics capabilities were ahead of other competing systems and would inspire subsequent designs in later systems. It’s also not the last time that a video game system that was a commercial failure would develop a following lasting far longer than anyone would have predicted.

youtube.com/embed/Lb5NmIy1W_w?…

hackaday.com/2025/06/28/behind…

Beste allemaal, Ik ben Kirsten Zimmerman, sinds 2022 met veel plezier stadsdeelcommissielid in Amsterdam-Noord voor De Groenen Basis Piraten. Mijn speerpunten zijn behoud van het groen, directe democratie, (online) privacy en sociale verbinding. Ik help de Noorderlingen graag en probeer bewoners in hun kracht te zetten om zelf met oplossingen voor maatschappelijke problemen aan de […]

Het bericht Kirsten stelt zich voor verscheen eerst op Piratenpartij.

Comincio col dire che non considero la pirateria una necessità.
Tuttavia, da appassionata di generi come lo Yuri e lo Shoujo-ai, mi chiedo spesso: come si fa a trovare materiale da leggere, considerando che in Italia queste opere arrivano col contagocce?
Un altro pensiero che continua a girarmi in testa è: perché nel nostro Paese arrivano pochissimi Yuri e Shoujo-ai, mentre invece c'è un’abbondanza di Yaoi?

Earlier this month, Freedom of the Press Foundation (FPF) and the Society of Professional Journalists led a letter to Steve Catalano, chair of the Greene County Board of Supervisors, objecting to a policy that reportedly prohibited county employees from speaking to the press and required them to label anything they provide to the press as “opinion.”

In response, the county claimed that the policy does not exist, despite several county employees reportedly telling local newspaper The Daily Progress that they could not speak to the media about public records requests they’d denied due to the policy.

We don’t know why county employees would be “confused” by a nonexistent gag policy if such a policy had not been communicated to them but, to resolve any confusion, here is the email chain that includes the denial of the policy’s existence.

freedom.press/static/pdf.js/we…

We hope any reporters whose requests for information are denied underthe supposed policy will show their sources this email, and that any Greene County employees who are confronted for not abiding by the policy will show it to their supervisors.

We note that even the above email denying the existence of the policy acknowledged that it is the county’s position that “When staff are asked about the County’s official position on policy matters, they are to represent the majority position of the Board or defer the question to the Chairman.”

We informed the County of the ambiguity of that position and the need to put its rules in writing, so that there won’t be further confusion if they’re constitutional, and so those impacted can challenge them if they’re not. As you can see, they said they would — we’ll hold them to it and will keep you posted.

freedom.press/issues/greene-co…

Dear Friend of Press Freedom,

It’s the 94th day that Rümeysa Öztürk is facing deportation by the United States government for writing an op-ed it didn’t like. More press freedom news below.

Paramount should abandon mediation with Trump. So should the mediator

Earlier this week, CBS News filed a strong brief outlining why President Donald Trump’s lawsuit over the editing of its 2024 interview with Kamala Harris is completely frivolous and an affront to the First Amendment.

But just days later, The Wall Street Journal reported that a mediator had proposed CBS owner Paramount Global settle the suit for $20 million. It’s been reported that Paramount — believing the Trump administration will block its merger with Skydance Media if it doesn’t settle – had previously offered $15 million, which Trump declined, demanding at least $25 million.

We wrote about why the unnamed mediator needs to consider their ethical obligations to not facilitate what may amount to an illegal bribe. Read more here.

Stop prosecuting journalist who exposed antisemitism

The Trump administration loves to position itself as an enemy of antisemitism. But it has continued its predecessor’s legally dubious prosecution of journalist Tim Burke, who found outtakes of a 2022 antisemitic rant by Ye, formerly Kanye West, that Fox News cut from a Tucker Carlson interview.

We’ve written before about why the government’s legal theories are nonsense, but there’s also the issue of why two presidential administrations thought it was a wise use of prosecutorial discretion to go after someone who clearly did a public good.

Freedom of the Press Foundation (FPF) Advocacy Director Seth Stern, along with Bobby Block of the Florida First Amendment Foundation, urged the administration to drop the case in USA Today. Read more here.

Putting public records to use

Federal agencies are closing their Freedom of Information Act offices, disappearing information from their websites, no longer creating records, and possibly even inappropriately destroying them. At the local level, we’re seeing legislation introduced across various states that would make it easier for local governments to ignore requests they don’t like.

To discuss how the public can use public records requests to fight back against mounting secrecy, we hosted a webinar June 24 with Washington Post FOIA Director Nate Jones, MuckRock CEO Michael Morisy, investigative journalist and author Miranda Spivack, and FPF’s Daniel Ellsberg Chair on Government Secrecy Lauren Harper. Watch it here.

What’s going on in Greene County?

Earlier this month, FPF and the Society of Professional Journalists led a letter to Steve Catalano, chair of the Greene County Board of Supervisors, objecting to a policy that reportedly prohibited county employees from speaking to the press and required them to label anything they provide to the press as “opinion.”

In response, the county claimed that the policy does not exist, despite several county employees reportedly telling local newspaper The Daily Progress that they could not speak to the media about public records requests they’d denied due to the policy.

To resolve any confusion among reporters and county employees under the impression that there’s a gag order, we posted the exchange on our website. Read more here.

What we’re reading

‘They’re not breathing’: Inside the chaos of ICE detention center 911 calls (Wired). This important story is available to read for free, thanks to Wired’s partnership with FPF to unpaywall FOIA-based reporting. Other outlets should follow suit.

DeKalb solicitor-general dismisses charges against journalist Mario Guevara (Atlanta Civic Circle). Dropping charges is nice, but too little, too late after they handed the journalist (who has a legal work authorization) over to Immigration and Customs Enforcement.

‘Giving information to the enemy’: Israel’s ban on Al Jazeera extends to foreign broadcasters (The Dissenter). It was obvious from the outset that Israel’s Al Jazeera ban was a pretext for further censorship. The same goes for U.S. efforts to crack down on foreign media.

The Paramount risk in settling Trump’s lawsuit: ‘Bribery’? (The Wall Street Journal). The Journal’s editorial board writes that, instead of caving to Trump, Paramount should “win the legal case [and] vindicate its CBS journalists and the First Amendment.”

White House to limit intelligence sharing, skip Gabbard at Senate Iran briefing (The Washington Post). The public should know if the Trump administration is lying about its Iran strike. Leaks undermining the administration’s claims aren’t an excuse for secrecy — they are a reason to declassify the underlying records.

freedom.press/issues/trump-par…