Famously, Nikola Tesla won the War of the Currents in the early days of electrification because his AC system could use transformers to minimize losses for long distance circuits. That was well before the invention of the transistor, though, and there are a lot of systems that still use AC now as a result of electricity’s history that we might otherwise want to run on DC in our modern world. Sprinkler systems are one of these things, commonly using a 24V AC system, but [Vinthewrench] has done some work to convert over to a more flexible 24 VDC system instead.

The main components of these systems that are set up for AC are solenoids which activate various sets of sprinklers. But these solenoids can take DC and still work, so no major hardware changes are needed. It’s not quite as simple as changing power supplies, though. The solenoids will overheat if they’re fully powered on a DC circuit, so [Vinthewrench] did a significant amount of testing to figure out exactly how much power they need to stay engaged. Once the math was done, he uses a DRV103 to send PWM signals to the solenoids, which is set up to allow more current to pull in the solenoids and then a lower holding current once they are activated.

With a DC power supply like this, it makes it much easier to have his sprinkler system run on a solar powered system as well as use a battery backup without needing something like an inverter. And thanks to the DRV103 the conversion is not physically difficult; ensuring that the solenoids don’t overheat is the major concern here. Another great reason to convert to a DIY sprinkler controller is removing your lawn care routine from an unnecessary cloud-based service.

hackaday.com/2025/08/22/conver…

You may have noticed the Anime Catgirls when trying to get to the Linux Kernel’s mailing list, or one of any number of other sites associated with Open Source projects. [Tavis Ormandy] had this question, too, and even wrote about it. So, what’s the deal with the catgirls?

The project is Anubis, a “Web AI Firewall Utility”. The intent is to block AI scrapers, as Anubis “weighs the soul” of incoming connections, and blocks the bots you don’t want. Anubis uses the user agent string and other indicators to determine what an incoming connection is. But the most obvious check is the in-browser hashing. Anubis puts a challenge string in the HTTP response header, and JavaScript running in the browser calculates a second string to append this challenge. The goal is to set the first few bytes of the SHA-256 hash of this combined string to 0.

[Tavis] makes a compelling case that this hashing is security theatre — It makes things appear more secure, but doesn’t actually improve the situation. It’s only fair to point out that his observation comes from annoyance, as his preferred method of accessing the Linux kernel git repository and mailing list are now blocked by Anubis. But the economics of compute costs clearly demonstrate that this SHA-256 hashing approach will only be effective so long as AI companies don’t add the 25 lines of C it took him to calculate the challenge. The Anubis hashing challenge is literally security by obscurity.

Something Security AI is Good At

We’ve recently covered an AI competition, where AI toolchains were used to find and patch vulnerabilities. This took a massive effort to get good results. This week we have work on a similar but constrained task that AI is much better at. Instead of finding a new CVE, simply ask the AI to generate an exploit for CVEs that have been published.

The key here seems to be the constrained task that gives the AI a narrow goal, and a clever approach to quickly test the results. The task is to find an exploit using the patch code, and the test is that the exploit shouldn’t work on the patched version of the program. This approach cuts way down on false positives. This is definitely an approach to keep an eye on.

We’re Hunting CodeRabbits

Reviewing Pull Requests (PRs) is one of the other AI use cases that has seen significant deployment. CodeRabbit provides one of those tools which summarizes the PR, looks for possible bugs, and runs multiple linter and analysis tools. That last one is extremely important here, as not every tool is bulletproof. Researchers at Kudelski Security discovered that the Rubocop tool was accessible to incoming PRs with ruby files.

Rubocop has a nifty feature, that allows extensions to be loaded dynamically during a run. These are specified in a .rubocop.yml file, that CodeRabbit was helpfully passing through to the Rubocop run. The key here is that the extension to be loaded can also be included in a PR, and Rubocop extensions can execute arbitrary code. How bad could it be, to run code on the CodeRabbit backend servers?

The test payload in this case was simply to capture the system’s environment variables, which turned out to be a smorgasbord of secrets and API keys. The hilarious part of this research is that the CodeRabbit AI absolutely flagged the PR as malicious, but couldn’t stop the attack in motion. CodeRabbit very quickly mitigated the issue, and rolled out a fix less than a week later.

Illegal Adblock

There’s a concerning court case making its way through the German courts, that threatens to make adblocking illegal on copyright grounds. This case is between Axel Springer, a media company that makes money from showing advertisements, and Eyeo, the company behind Adblock Plus. The legal theory claimed by Axel Springer is that a website’s HTML and CSS together forms a computer program, that is protected by copyright. Blocking advertisements on that website would then be a copyright violation, by this theory.

This theory is novel, and every lower court has rejected it. What’s new this month is that the German Supreme Court threw the case back to a lower court, instructing that court to revisit the question. The idea of copyright violation simply by changing a website has caught the attention of Mozilla, and their Product Counsel, [Daniel Nazer], has thoughts.

The first is that a legal precedent forcing a browser to perfectly honor the code served by a remote web host would be horribly dangerous. I suspect it would also be in contention with other European privacy and security laws. As court battles usually go, this one is moving in slow motion, and the next ruling may be years away. But it would be particularly troubling if Germany joined China as the only two nations to ban ad blockers.

Copilot, Don’t Tell Anyone

Microsoft’s Office365 has an audit log, that tracks which users access given files. Running Copilot in that environment dutifully logs those file accesses, but only if Copilot actually returns a link to the document. So similar to other techniques where an AI can be convinced to do something unintended, a user can ask Copilot to return the contents of a file but not to link to it. Copilot will do as instructed, and the file isn’t listed in the audit log as accessed.

Where this gets more interesting is how the report and fix was handled. Microsoft didn’t issue a CVE, fixed the issue, but opted not to issue a statement. [Zack Korman], the researcher that reported the issue, disagrees quite vigorously with Microsoft’s decision here. This is an interesting example of the tension that can result from disagreements between researcher and the organization responsible for the product in question.

Disputed Research

This brings us to another example of disputed research, the “0-day” in Elastic Endpoint Detection and Response (EDR). Elastic disputes the claim, pointing out that they could not replicate code execution, and the researcher didn’t provide an entire proof of concept. This sort of situation is tricky. Who is right? The company that understands the internals of the program, or the researcher that undoubtedly did discover something, but maybe doesn’t fully understand what was found?

There are two elements that stand out in the vulnerability write-up. The first is that the overview of the attack chain lists a Remote Code Execution (RCE) as part of the chain, but it seems that nothing about this research is actually an RCE. The premise is that code running on the local machine can crash the Elastic kernel driver. The second notable feature of this post is that the proof-of-concept code uses a custom kernel driver to demonstrate the vulnerability. What’s missing is the statement that code execution was actually observed without this custom kernel driver.

Bits and Bytes

One of the very useful features of Microsoft’s VSCode is the Remote-SSH extension, which allows running the VSCode front-end on a local machine, and connecting to another server for remote work. The problem is that connecting to a remote server can install extensions on the local machine. VSCode extensions can be malicious, and connecting to a malicious host can run code on that host.

Apple has patched a buffer overflow in image handling, that is being used in an “extremely sophisticated” malware attacks against specific targets. This sort of language tends to indicate the vulnerability was found in an Advanced Persistent Threat (APT) campaign by either a government actor, or a professional actor like NSO Group or similar.

And finally, if zines are your thing, Phrak issue 0x48 (72) is out! This one is full of stories of narrowly avoiding arrest while doing smart card research, analysis of a North Korean data dump, and a treatise on CPU backdoors. Exciting stuff, Enjoy!

hackaday.com/2025/08/22/this-w…

Advanced Security Solutions, con sede negli Emirati Arabi Uniti, è nata questo mese ed offre fino a 20 milioni di dollari per vulnerabilità zero-day ed exploit che consentirebbero a chiunque di hackerare uno smartphone tramite SMS. Si tratta di una delle cifre più alte per qualsiasi broker 0day, almeno tra quelli che lo divulgano pubblicamente.

Advanced Security Solutions. Un nuovo attore nella scena dei broker 0day

Oltre a 20 milioni di dollari per gli exploit di qualsiasi sistema operativo mobile, l’azienda offre anche grandi ricompense per le vulnerabilità zero-day in altri software:

• fino a 15 milioni di dollari per ogni 0-day, con conseguente compromissione completa di Android e iPhone;
• fino a 10 milioni di dollari per exploit simili per Windows e Linux;
• fino a 5 milioni di dollari per exploit simili per il browser Chrome;
• fino a 1 milione di dollari per exploit simili per Safari e Microsoft Edge.

Non è chiaro chi ci sia dietro l’azienda e chi sono i suoi clienti.

“Aiutiamo agenzie governative, agenzie di intelligence e forze dell’ordine a condurre operazioni di precisione sul campo di battaglia digitale”, afferma il sito web di Advanced Security Solutions. “Collaboriamo attivamente con oltre 25 governi e agenzie di intelligence in tutto il mondo. I nostri clienti tornano costantemente per nuovi servizi, a dimostrazione della fiducia e del valore strategico che forniamo in contesti operativi critici, tra cui l’antiterrorismo e la lotta al narcotraffico”.

Il sito web afferma inoltre che, nonostante l’azienda sia nuova, impiega “solo professionisti con oltre 20 anni di esperienza in unità di intelligence d’élite e appaltatori militari privati”.

Uno dei primi attori in questo campo è stato Zerodium, apparso nel 2015. All’epoca, l’azienda, creata dal co-fondatore di Vupen Chaouki Bekrar, offriva fino a 1 milione di dollari per strumenti di hacking per iPhone.

Tre anni dopo, nel 2018, Crowdfense ha lanciato la propria piattaforma per l’acquisto di vulnerabilità ed exploit, offrendo fino a 3 milioni di dollari per zero-day simili.

Negli ultimi anni i prezzi degli 0-day sono aumentati, in parte a causa dell’aumento della domanda e in parte perché i dispositivi e i software moderni stanno diventando sempre più difficili da hackerare grazie al miglioramento della sicurezza.

Così, l’anno scorso Crowdfense ha pubblicato un nuovo listino prezzi , offrendo fino a 7 milioni di dollari per vulnerabilità zero-day su iPhone e fino a 5 milioni di dollari per exploit simili su Android. Anche le vulnerabilità zero-day in applicazioni specifiche hanno iniziato a costare molto di più. Ad esempio, fino a 8 milioni di dollari per exploit su WhatsApp e iMessage e fino a 4 milioni di dollari su Telegram.

Per fare un paragone, Advanced Security Solutions offre fino a 2 milioni di dollari per exploit per Telegram, Signal e WhatsApp.

Vale anche la pena notare che all’inizio di quest’anno, il broker di vulnerabilità russo Operation Zero è diventato un’eccezione sul mercato, offriva fino a 20 milioni di dollari per gli stessi tipi di exploit che Advanced Security Solutions sta ora cercando.

Chi sono i broker 0day

I broker 0day sono intermediari specializzati nella compravendita di vulnerabilità informatiche sconosciute al pubblico e ai produttori di software, chiamate appunto zero-day. Queste falle di sicurezza, non ancora documentate né patchate, rappresentano un valore enorme nel mercato cyber, poiché consentono di sviluppare exploit capaci di aggirare le difese dei sistemi più diffusi. I broker operano come veri e propri mercanti: acquistano vulnerabilità da ricercatori indipendenti, hacker o gruppi criminali, per poi rivenderle a soggetti interessati, che possono spaziare da governi e agenzie di intelligence fino ad aziende di sicurezza o, in casi meno leciti, a cyber criminali.

Il mercato dei broker 0day si muove in una zona grigia, dove la linea tra lecito e illecito è spesso molto sottile. Alcuni broker operano in contesti legali, collaborando con stati o imprese che usano queste informazioni per sviluppare difese e rafforzare la sicurezza. Altri invece alimentano il cybercrime, rivendendo exploit a gruppi ransomware, mercati clandestini o attori statali che li utilizzano per operazioni di spionaggio o cyber warfare. Proprio per l’alto impatto che hanno sulla sicurezza globale, i broker 0day sono tra gli attori più discussi e controversi nell’ecosistema delle minacce informatiche.

L'articolo 20 milioni di dollari per exploit zero-day dal broker Advanced Security Solutions proviene da il blog della sicurezza informatica.

Tratto (e leggermente rielaborato) da "Il risveglio delle scienze religiose" di Imam Al Ghazali. ❤

Primo dovere dello studente
Il primo dovere dello studente è prioritizzare la purificazione della sua anima dalle caratteristiche più riprovevoli
Ibn Mas'ud رضي الله عنه ci ricorda:

Conoscenza non è essere al corrente di tante informazioni. Conoscenza è una luce che viene gettata nel cuore.

Secondo dovere dello studente
Il secondo dovere dello studente è che limiti i suoi attaccamenti e che viaggi lontano dalla sua casa, cosicché nel suo cuore si liberi spazio per la conoscenza.
Si dice che la conoscenza non ti darà un decimo di sé stessa se tu non le darai tutto te stesso.

Terzo dovere dello studente
Il terzo dovere dello studente consiste nel non atteggiarsi con arroganza, nel non mostrarsi altezzoso prima di acquisire la conoscenza e nel non impartire ordini al proprio insegnante. Al contrario, dovrebbe consegnare sé stesso al completo controllo del maestro, proprio come un uomo malato si affida totalmente al dottore. La persona malata non pretende di dare consigli al proprio dottore né

di guidarlo su quale medicina utilizzare.

Quarto dovere dello studente
Il quarto dovere dello studente è evitare di prestare attenzione alle divergenze tra le persone di conoscenza, poiché ciò genera confusione e smarrimento. Infatti, nelle fasi iniziali, il cuore dello studente tende a inclinarsi verso qualunque cosa gli venga presentata, soprattutto se essa conduce all’inattività, in accordo con la sua pigrizia e inattitudine.

Quinto dovere dello studente
Il quinto dovere dello studente è quello di non trascurare nessuna disciplina tra le scienze lodevoli, ma di esaminarla fino a raggiungerne l’obiettivo.
Se ne ha la capacità, dovrebbe padroneggiarla completamente; se non può, allora dovrebbe almeno acquisirne la parte più importante. E ciò è possibile soltanto dopo averla dapprima considerata nella sua interezza.

Sesto dovere dello studente
Il sesto dovere dello studente è che egli dedichi grande attenzione alla più importante delle scienze: la conoscenza dell’Aldilà. Con ciò si intende quella categoria di scienze che riguarda il perfezionamento del carattere e lo svelamento. Il perfezionamento del carattere conduce allo svelamento, e lo svelamento è la conoscenza diretta di Allah سبحانه وتعالىٰ, una luce che Allah سبحانه وتعالىٰ infonde in un cuore purificato attraverso l’adorazione e lo sforzo

Settimo dovere dello studente
Il settimo dovere dello studente è che il suo obiettivo presente sia quello di riempire il proprio intimo con le caratteristiche che lo condurranno al cospetto di Allah سبحانه وتعالىٰ e presso la dimora delle alte schiere (al-malāʾ al-aʿlā), tra coloro che sono stati avvicinati. Egli non deve mai cercare, attraverso la conoscenza, né il comando, né la ricchezza, né lo status.

Un nuovo allarme sulla sicurezza informatica arriva da un enorme dataset contenente informazioni personali di utenti italiani di Facebook.

Secondo quanto riportato, un threat actor conosciuto con l’alias Chucky_BF su un noto forum underground avrebbe messo in vendita un archivio da 35 milioni di record, con dati sensibili quali nomi completi e numeri di telefono.

L’annuncio, comparso su un forum del dark web, indica che le informazioni sono disponibili in formato CSV e riguardano esclusivamente profili italiani, riconoscibili anche dal prefisso telefonico +39.

Non è chiaro se questi dati siano già stati divulgati in precedenza o facenti già parte della famosa raccolta di dati Fuck Faceboock in circolazione da diversi anni a anche con specifici motoria di ricerca gratuiti disponibili nel dark web.

Siamo andati a verificare il post, ma tale post era stato eliminato oppure l’utente bannato dalla piattaforma su ito dopo la pubblicazione. Di seguito quanto riporta DarkWeb Informer con le evidenze del post pubblicato

Il dataset infatti sembra provenire da una raccolta precedente di informazioni trafugate e successivamente riorganizzate per il mercato illecito. Ovviamente la disponibilità di numeri di telefono associati a nominativi reali apre scenari rischiosi in termini di phishing, smishing e frodi online.

Il threat actor avrebbe pubblicato alcuni screenshot di anteprima per dimostrare l’autenticità del materiale in vendita, corredando il post con riferimenti a canali di contatto su Telegram. Questi elementi, seppur tipici nelle dinamiche del cybercrime, non consentono di verificare con certezza la reale provenienza e l’affidabilità del dataset, che potrebbe anche essere una truffa all’interno dello stesso ecosistema criminale.

La vicenda riaccende il dibattito sull’efficacia delle misure di sicurezza adottate dalle grandi piattaforme social e sulla tutela dei dati personali. In Italia, un database di queste dimensioni rappresenterebbe un rischio non solo per i singoli utenti, ma anche per le aziende e le istituzioni che potrebbero diventare bersaglio di campagne mirate di social engineering. Autorità e specialisti di cybersecurity raccomandano agli utenti di prestare particolare attenzione a messaggi sospetti e di rafforzare le misure di protezione dei propri account.

In attesa di conferme ufficiali e di eventuali comunicazioni da parte di Meta, il caso mette nuovamente in evidenza la vulnerabilità del patrimonio informativo digitale.

La vendita di dati personali, anche se non sempre confermata nei dettagli, continua a rappresentare uno dei mercati più fiorenti del dark web, a dimostrazione di quanto le informazioni private siano oggi una merce preziosa e costantemente esposta a rischi.

L'articolo 35 milioni di utenti Facebook italiani in vendita nel dark web proviene da il blog della sicurezza informatica.

3D printing has transformed how hobbyists fabricate things, but what additional doors would open if we could go even smaller? The µRepRap (RepRapMicron) project aims to bring fabrication at the micron and sub-micron scale to hobbyists the same way RepRap strove to make 3D printing accessible. New developments by [Vik Olliver] show a promising way forward, and also highlight the many challenges of going so small.
New Maus prototype is modular, setting the stage for repeatable and reliable 3D printing at the micro scale.
How exactly would a 3D printer do micro-fabrication? Not by squirting plastic from a nozzle, but by using a vanishingly tiny needle-like effector (which can be made at any workbench via electrochemical erosion) to pick up a miniscule amount of resin one dab a time, curing it with UV after depositing it like a brush deposits a dot of ink.

By doing so repeatedly and in a structured way, one can 3D print at a micro scale one “pixel” (or voxel, more accurately) at a time. You can see how small they’re talking in the image in the header above. It shows a RepRapMicron tip (left) next to a 24 gauge hypodermic needle (right) which is just over half a millimeter in diameter.

Moving precisely and accurately at such a small scale also requires something new, and that is where flexures come in. Where other 3D printers use stepper motors and rails and belts, RepRapMicron leverages work done by the OpenFlexure project to achieve high-precision mechanical positioning without the need for fancy materials or mechanisms. We’ve actually seen this part in action, when [Vik Olliver] amazed us by scribing a 2D micron-scale Jolly Wrencher 1.5 mm x 1.5 mm in size, also visible in the header image above.

Using a tiny needle to deposit dabs of UV resin provides the platform with a way to 3D print, but there are still plenty of unique problems to be solved. How does one observe such a small process, or the finished print? How does one handle such a tiny object, or free it from the build platform without damaging it? The RepRapMicron project has solutions lined up for each of these and more, so there’s a lot of discovery waiting to be done. Got ideas of your own? The project welcomes collaboration. If you’d like to watch the latest developments as they happen, keep an eye on the Github repository and the blog.

hackaday.com/2025/08/22/reprap…

In seguito a diverse segnalazioni, tra cui la nostra come Associazione Luca Coscioni, si è avviata una collaborazione tra Inter, Milan, il Comune di Milano e diverse realtà tra cui la consigliera regionale della Lombardia Lisa Noja e il Comitato per gli eventi dal vivo accessibili “Live for All”, e finalmente il sistema di accesso allo stadio di San Siro è cambiato.

Un cambiamento che va al cuore della passione sportiva, rendendo più semplice per i tifosi con disabilità seguire la propria squadra del cuore.

Come da noi denunciato a suo tempo, il vecchio sistema era basato su un sorteggio che spesso lasciava fuori molti tifosi con disabilità per via di criteri poco inclusivi, ma ora è stato finalmente superato.

Da questa stagione sarà possibile acquistare un abbonamento o un biglietto a prezzo agevolato, una soluzione che permetterà continuità alla partecipazione sportiva di ognuno.

Questo è il risultato di un lavoro di squadra, un esempio di come unendo le forze si possano abbattere le barriere. Non è solo una questione di biglietti, ma un passo avanti nel riconoscere il diritto di vivere una passione, quella per il calcio, a tutte le persone nello stesso modo.

E l’ulteriore buona notizia è che questo nuovo modo di vivere lo stadio non solo faciliterà di fatto l’accesso, ma contribuirà anche a sostenere progetti di inclusione sportiva.

Un vero e proprio cambio di rotta, che fa di San Siro uno stadio più aperto, un luogo dove la passione per lo sport unisce, senza lasciare indietro nessuna persona.

Pamela De Rosa e Cristiana Zerosi
Cellula Coscioni Milano

L'articolo Accessibilità eventi sportivi: San Siro apre le porte a tutti i tifosi proviene da Associazione Luca Coscioni.

Poland’s surprising compromise to ease the deadlock on the CSA Regulation – which has been stuck in the Council of EU Member States for the past three years – met with failure. This blog recaps the Polish compromise, the positions of the Member States on the proposal, and it could mean for the future of one of the most criticised EU laws of all time.

The post 16 countries burned Poland’s bridges on the CSA Regulation: What now? appeared first on European Digital Rights (EDRi).