Among this crowd, it’s safe to say that the original 68000 Macintosh computers need no introduction, but it’s possible some of you aren’t familiar with Chip8. It was an interpreted virtual machine originally created for the COSMAC VIP microcomputer by [Joe Weisbecker] way back in 1977. It enabled coding simple games on the COSMAC VIP without getting into machine code on the VIP’s CDP1802 processor. For the obvious reason of “Why not?” [KenDesigns] decided to put the two together with Chip4Mac68000, a Chip8 emulator for the original Macintosh.

Chip4Mac68000 is not actually a Macintosh program; it doesn’t run in the System Software. Instead, it is a bootdisk that runs bare-metal on the 68000 processor, bypassing Apple’s ROM completely. Doing that is probably more impressive than emulating Chip8 — anyone who wants to get into writing emulators starts with Chip8. That’s not to knock on anyone who goes to the effort of writing an emulator, it’s just that given its origins in a 1970s micro, it’s understandably a very simple system. Not many people do bare-metal coding on this sort of hardware anymore; it’s not like there’s an SDK you can go grab.

Or there wasn’t, anyway, because in order to get this emulator to work, [KenDesigns] wrote a bare-metal SDK for 68000-based Macs. Note that when he says 68000, he does mean 68000 — anything newer than a Macintosh Classic is out. It’s 68000, not 680xx. It was not a trivial endeavour. In the demo video embedded below, you can see his 512k Macintosh in pieces because he’s been poking at it with a logic analyzer to verify the hardware does what he thinks it’s being told.

If you want to try it out, apparently you don’t need real hardware: [KenDesigns] says MAME is accurate enough to make it all work, but miniVmac is not. No word if it would work on the RP2040-based PicoMac; if you try it, let us know how it works out.

This isn’t the first time we’ve seen people writing new software for old Macs of late. If you’re working new magic on very old machines, drop us a line. We’d love to hear about it.

youtube.com/embed/CWS06LjBWHs?…

hackaday.com/2025/07/15/a-chip…

Questo strumento è destinato esclusivamente a scopi didattici e di penetration testing autorizzati. L’autore non si assume alcuna responsabilità per eventuali usi impropri o danni causati da questo software. Assicurarsi sempre di avere un’autorizzazione esplicita e scritta prima di eseguire qualsiasi test su un sistema.

Negli ultimi giorni è stata portata all’attenzione della comunità infosec una grave vulnerabilità di tipo Remote Code Execution (CVE‑2025‑47812) nel software Wing FTP Server, ampiamente utilizzato per offrire servizi FTP, FTPS e HTTP a migliaia di aziende.

L’exploit per questa vulnerabilità, caratterizzata da una grave manipolazione di byte NULL e iniezione di codice Lua, è stata provata da Manuel Roccon, root del gruppo HackerHood di Red Hot Cyber, che ha creato recentemente un sotto gruppo chiamato Hackerhood Pwned dove verranno testati dagli esperti di sicurezza, i principali exploit che vengono pubblicati.

La vulnerabilità CVE‑2025‑47812 — con CVSSv3 = 10.0 — coinvolge una falla nella gestione di stringhe terminate da byte NULL in loginok.html, consentendo a un attaccante non autenticato di iniettare codice Lua arbitrario e tale exploit si è rilevato come esecuzione molto facile (3 in scala da 1 a 10) confermando quanto riportato dal NIST come LOW.

youtube.com/embed/Y56WF1XeyJ0?…

Questa vulnerabilità è dovuta alla gestione impropria da parte di Wing FTP Server dei byte NULL nel parametro username durante il processo di autenticazione. Ciò consente agli aggressori di iniettare codice Lua direttamente nei file di sessione. Questi file di sessione dannosi vengono quindi eseguiti al caricamento di una sessione valida, causando l’esecuzione di comandi arbitrari sul server.

Le caratteristiche principali di questo exploit includono:

• Esecuzione di codice remoto: esegui qualsiasi comando tu scelga sul server di destinazione.
• Privilegi Root/SYSTEM: spesso ottiene una RCE con i privilegi di sistema più elevati grazie alle configurazioni predefinite di Wing FTP Server.
• Sfruttamento dell’accesso anonimo: può essere sfruttato anche se sul server sono consentiti solo accessi anonimi.
• Scansione batch: esegue la scansione di più destinazioni fornendo un elenco di URL da un file.
• Esecuzione di comandi personalizzati: specifica ed esegui qualsiasi comando necessario sul server vulnerabile.

La vulnerabilità CVE-2025-47812 è un problema critico derivante da molteplici debolezze nel modo in cui Wing FTP Server gestisce l’autenticazione degli utenti e le sessioni:

1. Troncamento del byte NULL in c_CheckUser(): la c_CheckUser()funzione, responsabile dell’autenticazione dell’utente, utilizza internamente strlen()il nome utente fornito. Quando un byte NULL ( %00) viene iniettato nel nome utente (ad esempio, anonymous%00...), strlen() e tronca la stringa in questo punto. Ciò significa che l’autenticazione riesce per la parte del nome utente prima del byte NULL, bypassando di fatto la convalida corretta.
2. Nome utente completo nella creazione della sessione: nonostante il troncamento dell’autenticazione, la rawset(_SESSION, "username", username)chiamata all’interno loginok.html utilizza l’ intero nome utente non purificato direttamente dai parametri GET o POST. Questo include il byte NULL e tutti i caratteri successivi.
3. Iniezione di codice Lua: poiché i file di sessione vengono archiviati come script Lua, l’iniezione di codice Lua dopo il byte NULL nel nome utente (ad esempio, anonymous%00]]%0dlocal+h+%3d+io.popen("id")%0dlocal+r+%3d+h%3aread("*a")%0dh%3aclose()%0dprint(r)%0d--) fa sì che questo codice dannoso venga scritto direttamente nel file di sessione.
4. Esecuzione del file di sessione: la funzione SessionModule.load(), invocata quando si accede a una funzionalità autenticata (come /dir.html), esegue direttamente il file di sessione utilizzando loadfile(filepath) seguito da f(). Questo passaggio cruciale attiva il codice Lua iniettato, portando all’esecuzione di codice remoto (RCE).

Il gruppo Hackerhood/pwned ha replicato in laboratorio la stessa tecnica, creando una dimostrazione visiva dell’attacco, e l’ha resa pubblica in rete. Nel video si apprezza in modo chiaro l’iniezione Lua, il download del payload, e l’esecuzione che apre una shell con privilegi elevati. «Ecco come un attaccante non autenticato può, in pochi secondi, ottenere pieno controllo di un server Wing FTP.»

Misure urgenti suggerite alle organizzazioni:

L'articolo Tasting the Exploit: HackerHood testa l’exploit su Wing FTP Server del CVE‑2025‑47812 da Score 10 proviene da il blog della sicurezza informatica.

redhotcyber.com/post/tasting-t…

GMX, uno dei principali protocolli DeFi per il trading con leva, è stato recentemente colpito da un attacco che ha portato alla sottrazione di circa 42 milioni di dollari. L’exploit ha sfruttato i meccanismi interni del protocollo legati allo slippage e alla gestione dei prezzi. Gli aggressori, invece di scomparire, hanno scelto di avviare una trattativa diretta con il team di GMX, accettando di restituire il 90% dei fondi in cambio del riconoscimento come white-hat e di una ricompensa pari al 10% dell’importo.

GMX è noto per offrire trading con leva, ovvero la possibilità per gli utenti di moltiplicare la propria esposizione di mercato rispetto al capitale effettivamente investito. L’accordo con gli hacker ha avuto un impatto immediato sul mercato. Il token GMX, crollato dopo l’incidente, ha recuperato rapidamente circa il 15% in seguito alla notizia del rimborso.

Il team di GMX ha trasmesso agli hacker un messaggio on-chain, offrendo una bounty del 10% in cambio della restituzione del resto. In cambio, nessuna azione legale sarebbe stata intrapresa. Gli autori dell’attacco hanno accettato, restituendo la stragrande maggioranza degli asset in poco tempo. Il denaro è rimasto on-chain, e non è stato convertito in fiat.

Nonostante l’esito apparentemente positivo, la dinamica dell’attacco resta ancora poco chiara. GMX non ha ancora fornito una spiegazione dettagliata sull’origine esatta dell’errore di logica sfruttato, lasciando aperti diversi interrogativi sullo stato della sicurezza del protocollo. L’incertezza potrebbe influenzare la fiducia degli utenti e degli investitori fino a quando non verranno rese pubbliche ulteriori informazioni tecniche e non sarà chiaro se le vulnerabilità sono state effettivamente risolte.

Questo episodio rappresenta un caso esemplare di come nella DeFi gli exploit non derivano sempre da bug del codice, ma da debolezze nei modelli economici e nella logica operativa. Il fatto che gli aggressori abbiano accettato il dialogo e si siano mossi come white-hat non li esonera dal fatto di aver comunque sfruttato un sistema per generare profitto. Ma, allo stesso tempo, dimostra come i meccanismi di bounty e comunicazione on-chain possano diventare strumenti concreti per limitare i danni e gestire incidenti critici con pragmatismo.

Nel contesto attuale, dove gli attacchi alla DeFi sono sempre più frequenti, la trasparenza post-incident è fondamentale. GMX dovrà ora dimostrare di aver appreso la lezione, rafforzando non solo la propria sicurezza, ma anche la fiducia di chi sceglie ogni giorno di utilizzare i suoi servizi.

L'articolo GMX Hacked: restituiti il 90% dei fondi rubati dopo trattativa on-chain proviene da il blog della sicurezza informatica.

La Giornata Mondiale degli scimpanzé (World Chimpanzee Day) viene celebrata ogni anno il 14 settembre. È una data dedicata alla sensibilizzazione sull'importanza di proteggere queste specie in via di estinzione; è stata istituita nel 2017 dall'organizzazione internazionale "Jane Goodall Institute" per richiamare l'attenzione sulla situazione critica in cui si trovano le scimmie antropomorfe, in particolare i cebi e i scimpanzé.

Gli scimpanzé condividono circa il 98,7% del loro DNA con gli esseri umani: possono imparare il linguaggio dei segni, risolvere problemi e persino costruire utensili. Eppure, nonostante la loro intelligenza e lo stretto legame con noi, gli scimpanzé sono ora classificati come specie in pericolo nella Lista Rossa (Red List) IUCN, con popolazioni in continuo declino a causa della perdita di habitat e del commercio illegale di fauna selvatica.

La Red List IUCN

L'Unione Internazionale per la Conservazione della Natura (IUCN, International Union for Conservation of Nature), fondata oltre 60 anni fa, ha la missione di "influenzare, incoraggiare e assistere le società in tutto il mondo a conservare l'integrità e diversità della natura e di assicurare che ogni utilizzo delle risorse naturali sia equo e ecologicamente sostenibile". La IUCN conta oggi oltre 1000 membri tra stati, agenzie governative, agenzie non governative e organizzazioni internazionali: in Italia ne fanno parte la Direzione per la Protezione della Natura del Ministero dell'Ambiente, le principali organizzazioni non governative per la protezione dell'ambiente, enti di ricerca e alcune aree protette. Alla IUCN è affiliata una rete di oltre 10000 ricercatori che contribuiscono come volontari alle attività scientifiche e di conservazione.
Il mantenimento e l'aggiornamento periodico della IUCN Red List of Threatened Species o Lista Rossa IUCN delle Specie Minacciate (iucnredlist.org) è l'attività più influente condotta dalla Species Survival Commission della IUCN. Attiva da 50 anni, la Lista Rossa IUCN è il più completo inventario del rischio di estinzione delle specie a livello globale. Inizialmente la Lista Rossa IUCN raccoglieva le valutazioni soggettive del livello di rischio di estinzione secondo i principali esperti delle diverse specie. Dal 1994 le valutazioni sono basate su un sistema di categorie e criteri quantitativi e scientificamente rigorosi, la cui ultima versione risale al 2001. Queste categorie e criteri, applicabili a tutte le specie viventi a eccezione dei microorganismi, rappresentano lo standard mondiale per la valutazione del rischio di estinzione. Per l'applicazione a scala non globale, inclusa quella nazionale, esistono delle linee guida ufficiali.

La Convenzione CITES

Gli scimpanzé (Pan troglodytes) sono elencati nell'Appendice I della Convenzione sul Commercio Internazionale delle Specie di Fauna e Flora Selvatiche Minacciate di Estinzione (CITES).

Questo significa che:

- Il commercio internazionale di scimpanzé e dei loro prodotti derivati (come pelli, ossa, ecc.) è vietato, a meno che non ci sia un'autorizzazione speciale per scopi non commerciali, come la ricerca scientifica.

- Ogni trasferimento internazionale di scimpanzé deve essere autorizzato con appositi permessi CITES rilasciati dalle autorità nazionali competenti.

- I paesi aderenti alla CITES sono tenuti a vietare il commercio di scimpanzé e a prendere misure per proteggere queste specie a rischio di estinzione.

Una specie primata a rischio

Le informazioni della Wildlife Justice Commission rivelano una tattica inquietante utilizzata dai trafficanti: l'abuso della documentazione CITES. Permessi falsificati o ottenuti fraudolentemente vengono utilizzati per mascherare il commercio illegale di scimpanzé selvatici come legale. Questo sfruttamento del sistema consente alle reti organizzate di trarne profitto, mentre le popolazioni di scimpanzé selvatici continuano a soffrire.
Sussiste l’urgente necessità di rafforzare l’applicazione della legge e di smantellare le reti di traffico che sfruttano questa specie vulnerabile.

Cosa può la cooperazione di polizia?
La cooperazione internazionale di polizia svolge un ruolo importante nella difesa degli scimpanzé, soprattutto per contrastare il bracconaggio e il traffico illegale di questi primati. Ecco alcune delle principali azioni intraprese:

- Operazioni congiunte transfrontaliere:

Le forze di polizia di diversi paesi coordinano operazioni per individuare e fermare i trafficanti che spostano illegalmente gli scimpanzé attraverso i confini.
Vengono effettuati controlli e ispezioni mirate nei porti, negli aeroporti e lungo le rotte di traffico.
Scambio di informazioni e intelligence:

Le agenzie di polizia condividono informazioni sui gruppi criminali coinvolti nel traffico di scimpanzé, sulle loro rotte e sui metodi utilizzati.
Ciò permette di anticipare e intervenire tempestivamente per sventare i traffici.

- Formazione e capacity building:

La cooperazione internazionale supporta la formazione degli agenti di polizia locali sui metodi di riconoscimento, cattura e gestione degli scimpanzé.
Vengono fornite competenze per indagare e raccogliere prove sui crimini legati al traffico di fauna selvatica.
Assistenza legale e giudiziaria:

Quando vengono effettuati arresti, le autorità collaborano per assicurare i trafficanti alla giustizia attraverso procedure legali coordinate.
Vengono forniti supporto e consulenza legale per garantire condanne adeguate.

- Sensibilizzazione e coinvolgimento delle comunità:

Vengono realizzate campagne di sensibilizzazione nelle aree a rischio per scoraggiare la domanda di scimpanzé e altri animali selvatici.
Le comunità locali sono coinvolte nella sorveglianza e nella segnalazione di attività sospette.
Questa cooperazione internazionale multi-agenzia è fondamentale per contrastare efficacemente il bracconaggio e il traffico illegale degli scimpanzé, contribuendo così alla loro protezione e conservazione.

Risorse per approfondire:

Jane Goodall Institute: www.janegoodall.it
World Chimpanzee Day: www.worldchimpanzeeday.org

#scimpanzé #CITES #IUCN #WildlifeJusticeCommission

@Scienze

Il Fairphone 6.

Nella sua confezione minimalista in cartoncino FSC, decorato con inchiostro di soya.

Prenderò un giorno di ferie per prepararmelo come si deve.

😁😁😁

#Fairphone #fairphone6