Microsoft ha annunciato un importante cambiamento nel funzionamento delle app di Office a partire da ottobre 2024. Nella nuova versione di Office 2024, i controlli ActiveX saranno disabilitati per impostazione predefinita in Word, Excel, PowerPoint e Visio. La decisione riguarderà innanzitutto le applicazioni desktop Office Win32 e, da aprile 2025, gli utenti di Microsoft 365.

ActiveX è una tecnologia legacy introdotta per la prima volta nel 1996. Ha consentito agli sviluppatori di incorporare oggetti interattivi nei documenti di Office. Tuttavia, a partire dalla nuova versione di Office, le impostazioni di sicurezza cambieranno e i controlli ActiveX saranno disabilitati per impostazione predefinita.

Gli utenti non saranno più in grado di creare o interagire con oggetti ActiveX nei documenti. Invece, questi elementi appariranno come immagini statiche, il che potrebbe causare inconvenienti a coloro il cui lavoro in precedenza dipendeva da questi oggetti.

La tecnologia ActiveX è da tempo fonte di preoccupazione a causa delle vulnerabilità della sicurezza. Gli hacker hanno utilizzato ripetutamente ActiveX per distribuire malware, inclusi i famosi attacchi TrickBot e Cobalt Strike. Gli attacchi hanno consentito agli aggressori di penetrare nelle reti aziendali installando malware tramite documenti Word con controlli ActiveX incorporati.

Dopo l’implementazione delle modifiche, gli utenti che necessitano di abilitare i controlli ActiveX nei documenti di Office possono ripristinare le impostazioni predefinite precedenti utilizzando uno dei metodi seguenti:

• Nella finestra di dialogo Impostazioni Centro protezione, sotto Opzioni ActiveX, seleziona l’opzione “Richiedi conferma prima di abilitare tutti i controlli meno restrittivi”;
• Nel Registro di sistema impostare il valore HKEY_CURRENT_USER\Software\Microsoft\Office\Common\Security\DisableAllActiveX su 0 (REG_DWORD);
• Imposta quindi DisableAllActiveX su 0.

La disabilitazione di ActiveX fa parte degli sforzi più ampi di Microsoft per migliorare la sicurezza dei suoi prodotti. Negli ultimi anni l’azienda ha costantemente implementato misure volte a bloccare funzioni potenzialmente pericolose in Office e Windows. Le misure includono il blocco delle macro VBA e XLM, l’introduzione della sicurezza per XLM e il blocco dei componenti aggiuntivi XLL non attendibili.

Inoltre, nel 2024, Microsoft prevede di abbandonare definitivamente VBScript, un’altra tecnologia associata a vulnerabilità. Si prevede che VBScript diventi un’opzione on-demand e quindi venga completamente rimosso dai prodotti dell’azienda.

Le aziende che utilizzano ActiveX per automatizzare i processi devono essere preparate a possibili ritardi e maggiori costi per il supporto tecnico e la configurazione. Gli amministratori IT si troveranno ad affrontare la necessità di formare i dipendenti e fornire risorse aggiuntive per ripristinare la funzionalità ActiveX o trovare soluzioni alternative.

Le modifiche a Office potrebbero causare insoddisfazione tra gli utenti abituati alle vecchie funzionalità. Un improvviso arresto di strumenti familiari può avere un impatto negativo sulla produttività e sulla soddisfazione dei dipendenti. Inoltre, i documenti creati utilizzando ActiveX potrebbero diventare inutilizzabili o richiedere modifiche significative.

L'articolo Microsoft manda in discarica gli ActiveX in Office 2024 per impostazione predefinita proviene da il blog della sicurezza informatica.

I ricercatori hanno sviluppato un nuovo metodo di attacco backdoor chiamato NoiseAttack, capace di compromettere più classi contemporaneamente con un minimo di configurazione. A differenza dei precedenti approcci che si concentrano su una singola classe, NoiseAttack utilizza la densità spettrale di potenza del rumore gaussiano bianco (WGN) come trigger invisibile durante la fase di addestramento.

I test sperimentali mostrano che NoiseAttack ottiene alti tassi di successo su diversi modelli e set di dati, eludendo i sistemi di rilevamento delle backdoor più avanzati.

Quando si parla di “più classi” in riferimento a NoiseAttack, si intende che l’attacco non si limita a colpire una sola categoria o classe di dati in un modello di classificazione. Invece, può prendere di mira contemporaneamente più classi, inducendo errori in varie categorie di output. Ciò significa che il modello può essere manipolato per commettere errori in diverse classificazioni contemporaneamente, rendendo l’attacco più versatile e potente.
Una panoramica del NoiseAttack proposto
Il rumore gaussiano bianco (WGN) utilizzato in NoiseAttack è impercettibile e applicato universalmente, ma attivato solo su campioni selezionati per indurre classificazioni errate su più etichette target.

Questo metodo consente un attacco backdoor multi-target su modelli di deep learning senza compromettere le prestazioni sugli input non compromessi.

Addestrando il modello su un dataset contaminato con WGN accuratamente applicato, gli avversari possono causare classificazioni errate intenzionali, superando le difese avanzate e offrendo grande flessibilità nel controllo delle etichette di destinazione.
Una panoramica della preparazione del set di dati avvelenato
Il framework elude efficacemente le difese all’avanguardia e raggiunge alti tassi di successo degli attacchi su vari set di dati e modelli. Introducendo rumore gaussiano bianco nelle immagini di input, NoiseAttack può classificarle erroneamente in etichette mirate senza influire in modo significativo sulle prestazioni del modello su dati puliti.

Attraverso analisi teoriche ed esperimenti approfonditi, gli autori dimostrano la fattibilità e l’ubiquità di questo attacco. NoiseAttack raggiunge alti tassi di successo medi degli attacchi su vari set di dati e modelli senza influire in modo significativo sulla precisione per le classi di non vittime.

L'articolo NoiseAttack: il nuovo attacco backdoor multi-target che sfida le difese AI proviene da il blog della sicurezza informatica.

The Voynich Manuscript is a medieval codex written in an unknown alphabet and is replete with fantastic illustrations as unusual and bizarre as they are esoteric. It has captured interest for hundreds of years, and expert [Lisa Fagin Davis] shared interesting results from using multispectral imaging on some pages of this highly unusual document.

We should make it clear up front that the imaging results have not yielded a decryption key (nor a secret map or anything of the sort) but the detailed write-up and freely-downloadable imaging results are fascinating reading for anyone interested in either the manuscript itself, or just how exactly multispectral imaging is applied to rare documents. Modern imaging techniques might get leveraged into things like authenticating sealed packs of Pokémon cards, but that’s not all it can do.

Because multispectral imaging involves things outside our normal perception, the results require careful analysis rather than intuitive interpretation. Here is one example: multispectral imaging may yield faded text visible “between the lines” of other text and invite leaping to conclusions about hidden or erased content. But the faded text could be the result of show-through (content from the opposite side of the page is being picked up) or an offset (when a page picks up ink and pigment from its opposing page after being closed for centuries.)

[Lisa] provides a highly detailed analysis of specific pages, and explains the kind of historical context and evidence this approach yields. Make some time to give it a read if you’re at all interested, we promise it’s worth your while.

hackaday.com/2024/09/10/sheddi…

The European Commission shouldn’t hire internally for its lead scientific advisor on artificial intelligence (AI), writes Alex Petropolos and Max Reddel.

euractiv.com/section/digital/o…

Apple must pay a €13 billion tax bill as per a ruling from the European Court of Justice (ECJ), which experts deem gives weight to Ireland being dubbed, by some, a 'tax-safe haven'.

euractiv.com/section/competiti…

Nel contesto della crescente competizione spaziale tra Stati Uniti e Cina, Washington sta sfruttando le competenze europee.

The post L’intelligenza artificiale nello spazio, la nuova frontiera della Difesa Usa e Ue appeared first on InsideOver.

Large EU telcos said Draghi's report sounded the alarm over the state of EU's telecom competition policy, consumer associations and smaller telecom companies are repeating their stance against these findings.

euractiv.com/section/digital/n…

For vintage calculator fans, nothing strikes more fear than knowing that someday their precious and irreplaceable daily driver will become a museum piece to be looked at and admired — but never touched again. More often than not, the failure mode will be the keypad.

In an effort to recover from the inevitable, at least for 70s vintage TI calculators, [George] has come up with these nice replacement keypad PCBs. The original membrane switches on these calculators have a limited life, but luckily there are ultra-slim SMD tactile switches these days make a dandy substitute. [George] specifies a 0.8 mm thick switch that when mounted on a 1.6 mm thick PCB comes in just a hair over the original keypad’s 2.2 mm thickness. He has layouts for a TI-45, which should also fit a TI-30, and one for the larger keypads on TI-58s and TI-59s.

While these particular calculators might not in your collection, [George]’s goal is to create an open source collection of replacement keypads for all the vintage calculators sitting in desk drawers out there. And not just keypads, but battery packs, too.

hackaday.com/2024/09/10/slim-t…

In data 3/9/24 sul celebre forum “Breached” è comparso un post dove il Threat Actors 888 mette in vendita un database con diverse informazioni sui proprietari dei veicoli estratti da BMW Hong Kong,.

Secondo 888, sarebbe la seconda esfiltrazione, ora più completa con dati riguardanti account del proprietario, nomi, dettagli di contatto etc….

Secondo cybersecuritynews BMW ha sottolineato il suo impegno per la privacy dei clienti e gli sforzi continui per rafforzare la sicurezza dei suoi sistemi. Tuttavia, le violazioni che sembrerebbero avvenute nella prima metà del 2024 hanno sollevato diverse preoccupazioni.

Al momento, non è possibile confermare la veridicità della notizia, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo deve essere considerato come ‘fonte di intelligence’.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni sulla vicenda od effettuare una dichiarazione, possono accedere alla sezione contatti, oppure in forma anonima utilizzando la mail crittografata del whistleblower.

Chi è 888 ?

Il cyber threat actor noto come “888” ha fatto la sua comparsa nei forum underground nell’agosto 2023.

Le sue operazioni si concentrano principalmente sul furto di dati sensibili di importanti aziende, al fine di poterli rivendere. Tra le aziende che potrebbero avere subito violazioni da parte di “888” rientrano: Shopify, BMW (Hong Kong), L’Oreal, Shell, Heineken, Accenture (India) e Credit Suisse (India).

Le attività di “888” rappresentano una minaccia significativa per le organizzazioni con potenziali impatti che includono la perdita di dati confidenziali, danni alla reputazione, costi finanziari per la risposta agli incidenti e possibilità di estorsioni.

Per mitigare i rischi associati a questo attore della minaccia, le organizzazioni devono monitorare attivamente l’esposizione dei propri dati, oltre a implementare misure di sicurezza robuste, tra cui controlli di accesso, crittografia dei dati, gestione delle patch e formazione del personale sulla sicurezza informatica.

In sintesi, “888” rappresenta una minaccia emergente nel panorama della cybersecurity, e le organizzazioni devono rimanere vigili e informate per proteggere i loro dati e la loro reputazione.

In poco meno di un anno di attività ha dimostrato determinazione nel perseguire le sue attività dannose, accumulando una reputazione totale di 1750, con 66 valutazioni dai membri (di cui 65 positive e 1 negativa).

Cerchiamo di fornire un’analisi delle attività note di “888” e delle organizzazioni bersaglio, nonché alcune raccomandazioni per le organizzazioni che desiderano proteggere i loro dati sensibili.

Per la redazione del report si è fatto riferimento a fonti di informazione disponibili su internet e al monitoraggio di forum underground.

Threat Landscape

Le attività di “888” si concentrano sulla compromissione di dati sensibili, che vengono successivamente diffusi nei canali underground. Fino ad oggi, “888” ha postato 51 thread su Breachforums, offrendo sample di dati e proponendo la condivisione di informazioni sensibili dietro pagamento. Le aziende bersaglio includono nomi di rilievo come: Riyadh Airport, Shopify, BMW (Hong Kong), L’Oreal, Shell, Heineken, Accenture e Credit Suisse (India).

Purtroppo ad oggi non ci sono informazioni certe circa le TTPs utilizzate da “888”; presumibilmente potrebbe sfruttare misconfiguration nei controlli di accesso o credenziali provenienti da altre violazioni, per poter avere accesso ai dati delle organizzazioni.

Inoltre, si potrebbe ipotizzare che i dati provengano da attacchi alla supply chain. Infatti, dopo la pubblicazione dei dati da parte di “888”, Shopify ha smentito di aver subito un data breach, affermando che le informazioni potessero provenire da violazioni di app di terze parti.

Ulteriori ricerche sono necessarie per comprendere le strategie e le tattiche utilizzate da questo threat actor.

Allo stesso modo, Accenture India ha contestato la validità della violazione rivendicata da “888”, indicando che solo 3 dei 32.000 record diffusi appartenevano a dipendenti dell’azienda.

Minacce Specifiche

Dalla sua comparsa il threat actor “888” si è reso responsabile di attacchi mirati contro organizzazioni di rilievo, come da tabella seguente:

Mitigazione e Raccomandazioni

Al fine di mitigare le possibili conseguenze derivanti da diffusioni di dati sensibili dei dipendenti delle organizzazioni, è necessario che le aziende si dotino di strutture capaci di svolgere i compiti di Cyber Threat Intelligence, al fine di monitorare l’esposizione aziendale e quindi:

• Implementare controlli di accesso robusti e autenticazione a più fattori
• Provvedere con regolarità all’aggiornamento e al patching dei software
• Formare il personale sulla sicurezza informatica e, in particolare, svolgere regolari aggiornamenti sulle minacce emergenti
• Implementare soluzioni di sicurezza avanzate, come sistemi di rilevamento delle intrusioni e di analisi delle minacce
• In occasione del rilevamento di dati esposti, aumentare il livello di attenzione di tutte le parti coinvolte nel business aziendale (dipendenti, clienti, fornitori), al fine di proteggersi dall’impiego delle informazioni stesse in attacchi di social engineering

Conclusioni

Pur in assenza di informazioni dettagliate che permettano di comprendere a fondo le capacità tecniche del cyber threat actor “888”, questo rappresenta una minaccia significativa dal momento che ha dimostrato determinazione nel perseguire le sue attività dannose, finalizzate all’esfiltrazione di dati sensibili per finalità economiche, oltre alla capacità di colpire organizzazioni rilevanti nei rispettivi settori di attività.

Fonti e Riferimenti:

• Breach Forums
• cyberdaily.au/security/10726-e…
• thecyberexpress.com/alleged-de…
• thecyberexpress.com/microsoft-…
• scmagazine.com/brief/data-brea…
• thecyberexpress.com/credit-sui…
• cybersecuritynews.com/bmw-hong…
• techradar.com/pro/security/sho…
• bleepingcomputer.com/news/secu…
• gbhackers.com/threat-claiming-…
• thecyberexpress.com/alleged-he…
• thecyberexpress.com/alleged-sh…
• cybersecuritynews.com/threats-…
• cloudways.com/blog/hacker-alle…
• doingfedtime.com/888
• scmp.com/news/hong-kong/law-an…

L'articolo 888 rivendica un attacco informatico ai danni di BMW Hong Kong. Database scaricabile nelle underground proviene da il blog della sicurezza informatica.

Nel 2023, un sondaggio condotto su 2.600 professionisti IT da KnowBe4, rinomata azienda di sicurezza informatica, ha rivelato ancora ampie disparità nelle pratiche di sicurezza tra le grandi organizzazioni e le piccole e medie imprese. Mentre solo il 38% delle grandi organizzazioni non ha ancora implementato l’autenticazione a più fattori (MFA) per proteggere i propri account utente, una percentuale significativamente più alta, il 62%, delle PMI non ha adottato alcuna forma di MFA.

La tendenza è però positiva: con l’aumento della popolarità dei metodi senza password e la crescente complessità delle applicazioni, l’uso della MFA si sta diffondendo. Nel 2021, ad esempio, l’amministrazione Biden negli Stati Uniti ha emesso un ordine esecutivo per migliorare la sicurezza informatica nazionale, seguito dall’introduzione da parte di Google di requisiti MFA obbligatori per tutti i dipendenti.

Successivamente, Microsoft ha rafforzato le pratiche di autenticazione su Azure, promuovendo un’autenticazione continua e completa. Oggi secondo un sondaggio, due terzi degli utenti comuni utilizzano regolarmente la MFA, e il 90% degli amministratori aziendali la adotta per proteggere l’accesso.

La Sicurezza della MFA: Opportunità e Sfide

La maggior parte delle persone riconosce ormai i benefici della MFA nel migliorare la sicurezza. Tuttavia, l’implementazione di questa tecnologia è ancora disomogenea, generando confusione tra i responsabili della sicurezza e gli utenti. L’aggiunta di fattori di autenticazione può aumentare il carico di lavoro per gli utenti, rappresentando un ulteriore ostacolo alla diffusione dell’MFA.

Nonostante ciò, i tentativi di aggirare la MFA sono sempre più frequenti. Ad esempio, recenti attacchi di spear-phishing hanno preso di mira piccole imprese che utilizzavano Microsoft 365, e nel 2022 Okta è stata vittima di attacchi che hanno compromesso il codice sorgente e rubato credenziali utente. Questi eventi hanno sollevato dubbi sulla corretta implementazione della MFA.

Principali Minacce alla MFA

Tra gli errori comuni nell’implementazione della MFA, tre modalità di attacco emergono:

1. MFA Fatigue o Push Bombing: Questo metodo consiste nell’inviare un gran numero di richieste di autorizzazione, spesso sotto forma di notifiche push, fino a quando l’utente, sopraffatto, concede l’accesso all’attaccante. Un esempio emblematico è l’incidente di sicurezza avvenuto presso Uber nel 2022.

2. Ingegneria Sociale e Phishing: Gli aggressori combinano tecniche di ingegneria sociale con attacchi di phishing per manipolare gli utenti e sottrarre i loro token MFA, sfruttando cambiamenti nel comportamento degli utenti, come l’uso del telelavoro.

3. Targeting di Utenti e Sistemi senza MFA: Nonostante l’aumento dell’adozione della MFA, non è ancora universale. Gli aggressori sfruttano questo gap per colpire utenti e sistemi con password deboli, come dimostrato dall’attacco al Colonial Pipeline nel 2021.

Strategie per Proteggersi dagli Attacchi MFA

Per migliorare la sicurezza MFA senza compromettere l’esperienza utente, si possono adottare alcune strategie:

1. Valutazione delle Risorse Critiche: È fondamentale comprendere quali risorse proteggere. La CISA consiglia di utilizzare sistemi compatibili con il protocollo FIDO per i componenti più critici, come le chiavi hardware.

2. Autenticazione Basata sul Rischio: Le protezioni di sicurezza dovrebbero essere adattate dinamicamente in base al comportamento dell’utente. È inoltre importante una valutazione continua dei diritti di accesso, limitando l’accesso ai dati necessari per il lavoro.

3. Miglioramento dei Processi di Reimpostazione delle Password: Spesso, la reimpostazione della password rappresenta un punto di vulnerabilità. È cruciale che i processi di reimpostazione integrino l’autenticazione a due fattori.

4. Identificazione degli Utenti a Rischio: È necessario individuare e proteggere gli utenti con diritti di accesso elevati, che sono spesso bersagli di attacchi mirati.

In sintesi, una pianificazione e implementazione precisa della MFA sono cruciali per garantire la sicurezza aziendale, affrontare le minacce attuali e future e rispettare le normative governative e industriali.

L'articolo La MFA non è più sufficiente! Gli hacker hanno superato le sue difese proviene da il blog della sicurezza informatica.

Un recente post apparso su un noto forum del dark web ha sollevato preoccupazioni riguardo a una possibile violazione dei dati di Capgemini, una delle principali società di consulenza e servizi IT a livello globale.

Secondo il post, il gruppo di hacker “CyberNiggers” avrebbe sottratto 20 gigabyte di dati sensibili, inclusi database, codice sorgente, chiavi private, credenziali, API keys, dati dei dipendenti, log delle macchine virtuali e molto altro. Tuttavia, è importante sottolineare che Capgemini non ha ancora confermato pubblicamente la presunta violazione.

Al momento, non possiamo confermare la veridicità della notizia, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo deve essere considerato come ‘fonte di intelligence’.

Dettagli dell’attacco

Immagine del post rinvenuta nel Dark Web

Tra i dati esposti vi sarebbero database contenenti informazioni sugli utenti, permessi, e log delle macchine virtuali utilizzate da T-Mobile, uno dei principali clienti di Capgemini.

Questi log contengono dettagli sulle configurazioni delle VM, i loro stati operativi, e altre informazioni tecniche che potrebbero essere utilizzate per ulteriori attacchi informatici.

Immagine dei dettagli del post rinvenuto nel dark web

L’hacker che ha rivendicato l’attacco, noto con lo pseudonimo di “@grep”, ha dichiarato di aver esfiltrato solamente i file più grandi e di maggior valore, lasciando intendere che potrebbe esserci molto più materiale non ancora divulgato.

Conclusione

Sebbene le informazioni fornite nel post sul dark web siano allarmanti, è importante trattarle con cautela fino a quando Capgemini non confermerà ufficialmente l’accaduto. Se confermata, questa violazione rappresenterebbe uno degli attacchi più significativi del 2024, considerando la vastità e la sensibilità dei dati potenzialmente compromessi. In attesa di ulteriori sviluppi, le aziende e i professionisti IT dovrebbero prendere in considerazione misure preventive per proteggere i propri sistemi e dati, specialmente quando si tratta di collaborazioni con grandi società come Capgemini.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo Un Threat Actors rivendica la violazione di Capgemini. 20 GB di Dati Trapelati nel Dark Web proviene da il blog della sicurezza informatica.

Although not the first to try and build a DIY solar-powered remote control airplane, [ProjectAir]’s recent attempt is the most significant one in recent memory. It follows [rctestflight]’s multi-year saga with its v4 revision in 2019, as well as 2022’s rather big one by [Bearospace]. With so many examples to look at, building a solar-powered RC airplane in 2024 should be a snap, surely?

The first handicap was that [ProjectAir] is based in the UK, which means dealing with the famously sunny weather in those regions. The next issue was that the expensive, 20% efficient solar panels are exceedingly fragile, so the hope was that hot-gluing them to the foam of the airplane would keep them safe, even in the case of a crash. During the first test flights they quickly found that although the airplane few fairly well, the moment the sun vanished behind another cloud, the airplane would quite literally fall out of the sky, damaging some cells in the process.

For the final revision, a storage battery was picked, which got charged with an MPPT charger. The airplane itself was changed to be as low-drag as possible, with 60 photovoltaic (PV) cells stuck to its wings. This resulted in the somewhat spindly, swept wing, tail-less pusher design. After debugging a fun issue with EMI from the motor and the navigation module a test flight could be performed, which had the airplane autonomously keep a fixed course. That’s when everything went horribly wrong.

During the subsequent crash investigation, it was found that a total power loss occurred, due to the MPPT charger overcharging the battery, possibly due to a shared ground with the PV cells. Simultaneously, likely due to rushing the testing as bad weather was incoming, the backup battery on the controller was not installed, resulting in the airplane plummeting once primary power ran out. Fortunately, all of these are fixable issues, while providing a learning experience at the cost of an RC airplane and the PV cells that got destroyed in the crash.

Perhaps most importantly, this shows that even if much of building one’s own PV RC airplane in 2024 is just sticking off-the-shelf modules together, there’s no substitute for good engineering, not to mention assembly & pre-flight checklists.

youtube.com/embed/tEpn-6dBn-M?…

hackaday.com/2024/09/09/hard-l…

There’s something magical about volumetric displays. They really need to be perceived in person, and no amount of static or video photography will ever do them justice. [AncientJames] has built a few, and we’re reporting on his progress, mostly because he got it to run a playable port of DOOM.
Base view of an earlier version showing the motor drive and PSU
As we’ve seen before, DOOM is very much a 3D game viewed on a 2D display using all manner of clever tricks and optimizations. The background visual gives a 3D effect, but the game’s sprites are definitely very solidly in 2D land. As we’ll see, that wasn’t good enough for [James].

The basic concept relies on a pair of 128 x 64 LED display matrix modules sitting atop a rotating platform. The 3D printed platform holds the displays vertically, with the LEDs lined up with the diameter, meaning the electronics hang off the back, creating some imbalance.

Lead, in the form of the type used for traditional window leading, was used as a counterbalance. A Raspberry Pi 4 with a modified version of this LED driver HAT is rotating with the displays. The Pi and both displays are fed power from individual Mini560 buck modules, taking their input from a 12 V 100 W Mean-Well power supply via a car alternator slip ring setup. (Part numbers ABH6004S and ASL9009 for those interested.) Finally, to synchronise the setup, a simple IR photo interrupter signals the Pi via an interrupt.

The second version running Doom
The base contains a DC motor driving the platform with a 224:20 reduction ratio using a GT2 timing belt to help reduce noise. [James] reports that running at 700 RPM was the limit for the current version, giving an acceptable update frame rate. Too high, and the vibration and chassis flex was excessive. The base does little else other than house that power supply and support a 400 mm acrylic garden light dome. We wouldn’t want to run this without such protection, which might not even be enough.

There are quite a few details to consider in such a build. One is the need to reduce the angle of perception of the LED display using a 3D printed slat-type collimator in front of each unit. You only want to perceive the LEDs head-on, or the POV effect is ruined. However, most of the details are in the software.

To that end, [James] took the entire game logic of the ‘Doom Generic’ port, removing the code that renders the 3D parts of the scene. The 2D menus and in-game panels are rendered by projecting the image onto a cylinder. That was easy. [James] took a minimalist path for the room scenes, as fully solid walls looked too busy. The viewport automatically zooms into any ongoing battles, so monsters zoom into focus if nearby, but objects behind closed doors and too far around corners are discarded. No spoiler alerts! The models were lifted from Chello’s Voxel Doom mod, giving a fitting 3D upgrade to gameplay. This is an ongoing project, so we’ll keep track and report back!

We’ve reported on a few volumetric displays over the years, like this tiny one based on an OLED display. Even a volumetric CCTV system. But they can’t run DOOM. Speaking of which, here’s what it looks like ray-traced.

youtube.com/embed/na7pvihXhYs?…

Thanks to [Keith] for the tip!

hackaday.com/2024/09/09/doom-o…

<<la “Banda del buco” ha derubato due oreficerie a Roma per un bottino di oltre 110mila euro. Ma la polizia è riuscita a fermarli: tra gli arrestati anche il “boss-poeta” 64enne Mauro Belli.
Belli era uscito da Rebibbia nel '23, dopo aver scontato 12 condanne. Dalla detenzione aveva tratto ispirazione per il suo libro "A Mauro, falla finita", che presentava nei festival di letteratura. Ma Belli non aveva mai voltato pagina dalla sua vita precedente, fatta di reati e droga: "Sempre contro i ricchi, mai contro i poveri", scriveva>>.

open.online/2024/08/29/roma-ba…

La banda del buco con il boss poeta che usava i B&B per rapinare le gioiellerie - Open

Le oreficerie dovevano essere sotto dei B&B. Così creavano un passaggio nel pavimento: sei gli arrestati

^{Ugo Milano (GOL Impresa Sociale)}

Sierra’s King Quest v1.0 for DOS.
Many have sought the holy grail of making commercial media both readable and copy-proof, especially once everyone began to copy those floppies. One of these attempts to make floppies copy-proof was Softguard’s Superlok. This in-depth look at this copy protection system by [GloriousCow] comes on the heels of a part 1 that covers Formaster’s Copy-Lock. Interestingly, Sierra switched from Copy-Lock to Superlok for their DOS version of games like King’s Quest, following the industry’s quest in search of this holy grail.

The way that Superlok works is that it loads a (hidden) executable called CPC.COM which proceeds to read the 128 byte key that is stored on a special track 6. With this key the game’s executable is decoded and fun can commence. Without a valid ‘Play’ disk containing the special track and CPC.COM executable all one is instead left with is a request by the game to ‘insert your ORIGINAL disk 1’.

As one can see in the Norton Commander screenshot of a Sierra game disk, the hidden file is easily uncovered in any application that supports showing hidden files. However, CPC.COM couldn’t be executed directly; it needs to be executed from a memory buffer and passed the correct stack parameters. Sierra likely put in very little effort when implementing Softguard’s solution in their products, as Superlok supports changing the encryption key offset and other ways to make life hard for crackers.

Sierra was using version 2.3 of Superlok, but Softguard would also make a version 3.0. This is quite similar to 2.x, but has a gotcha in that it reads across the track index for the outer sector. This requires track wrapping to be implemented. Far from this kind of copy protection cracking being a recent thing, there was a thriving market for products that would circumvent these protections, all the way up to Central Point’s Copy II PC Option Board that would man-in-the-middle between the floppy disk drive and the CPU, intercepting data and render those copy protections pointless.

As for the fate of Softguard, by the end of the 1980s many of its customers were tiring of the cat-and-mouse game between crackers and Softguard, along with issues reported by legitimate users. Customers like Infographics Inc. dropped the Superlok protection by 1987 and by 1992 Softguard was out of business.

hackaday.com/2024/09/09/pc-flo…

When your steam engine build requires multiple microscopes, including those of the scanning electron variety, you know you’re building something really, really tiny.

All of the usual tiny superlatives and comparisons apply to [Chronova Engineering]’s latest effort — fits on a pencil eraser, don’t sneeze while you’re working on it or you’ll never find it. If we were to put the footprint of this engine into SMD context, we’d say it’s around a 2010 or so. As one would expect, the design is minimalistic, with no room for traditional bearings or valves. The piston and connecting rod are one piece, meaning the cylinder must pivot, which provides a clever way of switching between intake and exhaust. Tiny crankshaft, tiny flywheel. Everything you’d associate with a steam engine is there, but just barely.

The tooling needed to accomplish this feat is pretty impressive too. [Chronova] are no strangers to precision work, but this is a step beyond. Almost everything was done on a watchmaker’s lathe with a milling attachment and a microscope assist. For the main body of the engine, a pantograph engraving machine was enlisted to scale a 3D printed template down tenfold. Drill bits in the 0.3 mm range didn’t fare too well against annealed tool steel, which is where the scanning electron microscope came into play. It revealed brittle fractures in the carbide tool, which prompted a dive down the rabbit hole of micro-machining and a switch to high-speed steel tooling.

It all worked in the end, enough so that the engine managed 42,000 RPM on a test with compressed air. We eagerly await the equally tiny boiler for a live steam test.

youtube.com/embed/O8txvk5m6VM?…

hackaday.com/2024/09/09/this-t…

In a recent photo essay for the New Yorker magazine, author Keith Gessen and photographer Andrew McConnell share what life is like for the residents around the launch facility and where Soyuz capsules land in Kazakhstan.

Read the article for a brief history of the Baikonur spaceport and observations from the photographer’s15 visits to observe Syuz landings and the extreme separation between the local farmers and the facilities built up around Baikonur. A local ecologist even compares the family farmers toiling around the busy spaceport to a scene our readers may be familiar with on Tatooine.

We assumed Soyuz capsules splashdown somewhere near Russia just like the iconic images of Apollo capsules. While they can land in water, their 13 target landing sites are all on land in the sparsely inhabited Kazakhstan steppe (flat grasslands). According to russianspaceweb.com, the descent is slowed with a single large parachute. When the capsule is about one meter from the ground, solid rocket thrusters fire, “reducing the descent speed of the capsule to between 0 and 3 meters per second.” We learned that the rockets’ force, not the crumple zone on the capsule, causes so much stress that each is only suitable for a single use.

A typical final descent trajectory for the Soyuz spacecraft in Kazakhstan (courtesy russianspaceweb.com)
While there is fascinating engineering in the Soyuz landing, from the landing rockets mentioned above to parachute wires acting as antennae for transponders to the multiple automated and backup systems, there is some hacking by the local farmers as well. The cast-off parts of the single-use capsules become scrap metal for use around the farms, leading to haunting images that seem to come from a dystopian future where space flights are as common as commercial air travel but still out of reach for many.

hackaday.com/2024/09/09/one-gi…

Media formats have come a long way since the early days of computing. Once upon a time, the very idea of even playing live audio was considered a lofty goal, with home computers instead making do with simple synthesizer chips instead. Eventually, though, real audio became possible, and in turn, video as well.

But what of the formats in which we store this media? Today, there are so many—from MP3s to MP4s, old-school AVIs to modern *.h264s. Senior software engineer Ben Combee came down to the 2023 Hackaday Supercon to give us all a run down of modern audio and video formats, and how they’re best employed these days.

Vaguely Ironic

Thanks to vectrexer, who raised the alarm that the stream’s sound needed to be kicked into gear.
Before we dive into the meat of the talk, it’s important we acknowledge the elephant in the room. Yes, the audio on Ben’s talk was completely absent until seven minutes and ten seconds in. The fact that this happened on a talk about audio/visual matters has not escaped us. In any case, Ben’s talk is still very much worth watching—most of it has perfectly fine audio and you can quite easily follow what he’s saying from his slides. Ben, you have our apologies in this regard.

youtube.com/embed/iz2lkeCUK3c?…

Choose Carefully

You know the great thing about MP3? The patents expired in 2018!
Ben’s talk starts with fundamentals. He notes you need to understand your situation in exquisite detail to ensure you’re picking the correct format for the job. You need to think about what platform you’re using, how much processing you can do on the CPU, and how much RAM you have to spare for playback. There’s also the question of storage, too. Questions of latency are also important if your application is particularly time-sensitive, and you should also consider whether you’ll need to encode streams in addition to simply decoding them. Or, in simpler terms, are you just playing media, or are you recording it too? Finally, he points out that you should consider licensing or patent costs. This isn’t such a concern on small hobby projects, but it’s a big deal if you’re doing something commercially.

When it comes to picking an audio format, you’ll need to specify your desired bit rate, sample size, and number of channels. Metadata might be important to your application, too. He provides a go-to list of popular choices, from the common uncompressed PCM to the ubiquitous MP3. Beyond that, there are more modern codecs like AAC and Vorbis, as well as those for specialist applications like aLaw and uLaw.
Brightness is what humans notice most! That lets you do some neat things where you spend more data on brightness levels and less on specific colors.
Ben notes that MP3 is particularly useful these days, as its patents ran out in 2018. However, it does require a lot of software to decode, and can take quite a bit of hardware resources too (on the embedded scale, at least). Meanwhile, Opus is a great open-source format that was specifically designed for speech applications, and has low bitrate options handy if you need them.

When it comes to video, Ben explains that it makes sense to first contemplate images. After all, what is video but a sequence of images? So many formats exist, from raw bitmaps to tiled formats and those relying on all kinds of compression. There’s also color formats to consider, along with relevant compression techniques like run-length encoding and the use of indexed color palettes. You’re probably familiar with RGB, but Ben goes through a useful explanation of YUV too, and why it’s useful. In short, it’s a color format that prioritizes brightness over color information because that’s what’s most important to a human viewer’s perception.
Decoding video usually means storing multiple frames in memory.
As for video formats themselves, there are a great many to pick from. Motion JPEG is one of the simplest, which is mostly just a series of JPEGs played one after another. Then there are the MPEG-1 and MPEG-2 standards from the 1990s, which were once widespread but have dropped off a lot since. H.264 has become a leading modern video standard, albeit with some patent encumbrances that can make it hard or expensive to use in some cases. H.265 is even more costly again. Standards like VP8, VP9, and AV1 were created to side step some of these patent issues, but with mixed levels of success. If you’re building a commercial product, you’ll have to consider these things.

Ben explains that video decoding can be very hardware intensive, far more so than working with simple images. Much of the time, it comes down to reference frames. Many codecs periodically store an “I-frame,” which is a fully-detailed image. They then only store the parts of the image that change in following frames to save space, before eventually storing another full I-frame some time later. This means that you need lots of RAM to store multiple frames of video at once, since decoding a later frame requires the earlier one as a reference.

Interestingly, Ben states that MPEG-1 is one of his favorite codecs at the moment. He explains its history as a format for delivering video on CD, noting that while it never took off in the US, it was huge in Asia. It has the benefit of being patent free since 2008. It’s also easy to decode with in C with a simple header called pl_mpeg. It later evolved into MPEG-2 which remains an important broadcast standard to this day.
Ben explains the nitty-gritty syncronization work he did in CircuitPython to sync audio with his custom Daft Punk word clock.
The talk also crucially covers synchronization. In many cases, if you’ve got video, you’ve got audio that goes along with it. Even a small offset between the two streams can be incredibly off-putting; all the worse if they’re drifting relative to each other over time. Sync is also important for things like closed captions, too.

Ultimately, if you’re pursuing an audio or video project and you’ve never done one before, this talk is great for you. Rather than teaching you any specific lesson, it’s a great primer to get you thinking about the benefits and drawbacks of various media formats, and how you might pick the best one for your application. Ben’s guide might just save you some serious development time in future—and some horrible patent lawsuits to boot!

hackaday.com/2024/09/09/superc…

[Breaking Taps] has a look at “parkerization” — a process to coat steel to prevent rust. While you commonly see this finish in firearms, it is usable anywhere you need some protection for steel parts. The process is relatively easy. It does require heat and a special manganese solution made for the purpose. You scuff up the surface of the steel and degrease and wash it.

Once the part is ready, you insert the part in hot solution which is manganese and phosphoric acid. Rinse and displace the water and you are ready to oil the part.

But what we really liked was the electron micrographs of the steel before and after the process. The phosphates formed in the solution cover the iron and hold oil to prevent oxidization. However, the first attempt wasn’t uniform so it wouldn’t work as well. [Breaking Taps] thinks it was a failure to rough up the piece sufficiently before starting. He also raised the temperature of the bath and got a better, but not perfect, result.

We miss having an electron microscope at work and we really want one at home! The last fun coating project we remember used copper in a strange and wonderful way.

youtube.com/embed/O0-6g6NJMmE?…

hackaday.com/2024/09/09/the-sc…

Il Cyber Resilience Act (CRA) rappresenta un passo fondamentale nell’evoluzione della normativa europea sulla sicurezza informatica, nato dall’esigenza di garantire che i prodotti con elementi digitali, come software e hardware, siano progettati e sviluppati con elevati standard di sicurezza. Approvato dalla Commissione Europea ed entrato in vigore in Aprile 2024, il Cyber Resilience Act si propone di prevenire e mitigare i rischi legati agli attacchi informatici, proteggendo non solo le aziende, ma anche i consumatori finali.

Cos’è il Cyber Resilience Act?

Il Cyber Resilience Act è un regolamento che mira a rafforzare la sicurezza informatica nell’Unione Europea, imponendo requisiti chiari per i produttori di software e hardware digitali. L’obiettivo è creare un ecosistema digitale sicuro, in cui i prodotti siano progettati con la sicurezza come priorità fin dalle prime fasi di sviluppo. Il CRA impone alle aziende di considerare la sicurezza non solo al momento della produzione e vendita del prodotto, ma per tutto il suo ciclo di vita. Questo significa che i produttori sono obbligati a garantire aggiornamenti di sicurezza continui, oltre che a rispondere tempestivamente a eventuali vulnerabilità.

Tempistiche di Entrata in Vigore e Adeguamento

Il Cyber Resilience Act è entrato in vigore ufficialmente in aprile 2024. Le aziende avranno un periodo di transizione per conformarsi alle nuove normative, con la piena applicabilità del regolamento prevista entro il 2026​. Alcuni obblighi specifici, come la gestione delle vulnerabilità e la segnalazione di incidenti informatici, diventeranno effettivi già nel corso del 2025​.

Requisiti Principali per le Aziende Produttrici di Software

Le aziende produttrici di software devono adottare una serie di misure preventive e correttive per essere conformi al Cyber Resilience Act. Queste misure includono:

1. Progettazione sicura e prevenzione delle vulnerabilità:
   
   • Le aziende devono garantire che i loro prodotti siano progettati e sviluppati con un approccio “sicurezza by design” e “sicurezza per default”, riducendo le superfici di attacco e minimizzando i rischi di vulnerabilità sfruttabili.
   • È obbligatorio adottare tecniche di mitigazione delle vulnerabilità e fornire aggiornamenti di sicurezza tempestivi ai prodotti

   
   

2. Gestione delle vulnerabilità:
   
   • Le aziende devono creare un processo per l’identificazione, documentazione e risoluzione delle vulnerabilità. Devono inoltre mantenere un elenco completo dei componenti software utilizzati nei loro prodotti, inclusi quelli di terze parti, in un formato leggibile​.
   • Le aziende sono obbligate a implementare una politica di divulgazione coordinata delle vulnerabilità e a fornire un contatto per la segnalazione di falle di sicurezza da parte di utenti e terze parti.

   
   

3. Aggiornamenti di sicurezza:
   
   • I produttori devono garantire che i prodotti ricevano aggiornamenti di sicurezza gratuiti e tempestivi per almeno cinque anni o per tutta la durata prevista di utilizzo del prodotto. Le patch devono essere fornite con la massima celerità una volta scoperte le vulnerabilità.

   
   

4. Segnalazione degli incidenti:
   
   • Le aziende sono tenute a segnalare incidenti di sicurezza rilevanti o vulnerabilità sfruttate entro 24 ore alle autorità competenti e fornire un rapporto dettagliato entro 72 ore​.

   
   

5. Conformità e marcatura CE:
   
   • Prima di immettere un prodotto sul mercato, le aziende devono completare una valutazione della conformità che certifichi il rispetto dei requisiti di sicurezza del Cyber Resilience Act. Una volta completata la valutazione, devono redigere una dichiarazione di conformità e applicare il marchio CE sul prodotto.

   
   

L’impatto sulle aziende produttrici di software

Per le aziende produttrici di software, l’introduzione del Cyber Resilience Act comporta l’adozione di un approccio di Security by Design. Ciò significa che la sicurezza informatica deve essere integrata sin dalle prime fasi del ciclo di vita del software, dalla progettazione allo sviluppo, fino alla distribuzione e al mantenimento. Uno degli obblighi più rilevanti è quello di condurre test continui sui prodotti, come SAST (Static Application Security Testing) e DAST (Dynamic Application Security Testing). I test SAST permettono di identificare vulnerabilità nel codice sorgente durante lo sviluppo, mentre i test DAST simulano attacchi durante l’esecuzione del software per rilevare debolezze che potrebbero essere sfruttate da attori malevoli.

Inoltre, il Cyber Resilience Act richiede che i produttori di software implementino processi per la gestione delle vulnerabilità, inclusa la redazione di un elenco dei componenti software utilizzati (Software Bill of Materials – SBOM), garantendo la trasparenza sulla sicurezza del prodotto. L’obbligo di mantenere aggiornamenti di sicurezza costanti per almeno cinque anni rappresenta un’altra sfida significativa per le aziende.

Obblighi di segnalazione e gestione delle vulnerabilità

Un aspetto cruciale della nuova normativa è la gestione delle vulnerabilità. Le aziende devono essere in grado di segnalare entro 24 ore eventuali incidenti o vulnerabilità sfruttate da attori malevoli. Le segnalazioni devono essere inviate all’ENISA (Agenzia dell’Unione Europea per la Sicurezza Informatica) e ai Computer Security Incident Response Teams (CSIRT) nazionali, e le aziende devono fornire aggiornamenti dettagliati entro 72 ore. Questo obbligo di trasparenza e reattività è centrale per prevenire danni su larga scala e mantenere la fiducia dei consumatori.

Sanzioni per il mancato adeguamento

Le aziende che non rispetteranno il Cyber Resilience Act saranno soggette a sanzioni molto severe. Le multe possono arrivare fino a 15 milioni di euro o il 2,5% del fatturato globale annuale, a seconda di quale cifra sia maggiore. Le violazioni meno gravi, come il mancato rispetto della documentazione tecnica o delle regole di conformità, possono comunque comportare sanzioni fino a 10 milioni di euro o il 2% del fatturato globale.

Oltre alle multe, le aziende rischiano il ritiro del marchio CE, essenziale per la vendita dei prodotti nell’Unione Europea. Senza il marchio CE, i prodotti digitali non potranno essere commercializzati sul mercato europeo, mettendo in seria difficoltà le aziende che non riescono a conformarsi​.

Opportunità e sfide

Sebbene il Cyber Resilience Act rappresenti una sfida significativa per le aziende, soprattutto in termini di adeguamento tecnologico e organizzativo, esso offre anche delle opportunità. Le aziende che adotteranno un approccio proattivo alla sicurezza informatica non solo eviteranno le sanzioni, ma potranno guadagnare la fiducia dei consumatori, aumentando la loro competitività. In un’epoca in cui le minacce informatiche sono in costante crescita, la conformità al Cyber Resilience Act può diventare un vantaggio competitivo per le aziende che sapranno sfruttare questa normativa a loro favore.

Conclusione

Il Cyber Resilience Act è destinato a trasformare il panorama della sicurezza informatica in Europa. Le aziende produttrici di software, e in particolare quelle che operano nel settore dell’automazione industriale, devono prepararsi ad affrontare sfide complesse ma necessarie per garantire la sicurezza dei loro prodotti. Con l’introduzione di nuove misure di sicurezza, obblighi di segnalazione e sanzioni per il mancato rispetto, il CRA diventa un regolamento imprescindibile per tutte le aziende che operano nel mercato europeo. Tuttavia, chi saprà adeguarsi potrà trarre beneficio da una maggiore fiducia dei consumatori e da nuove opportunità di crescita in un mercato sempre più digitalizzato e sicuro.

L'articolo Cyber Resilience Act: è iniziata l’era della Sicurezza del software proviene da il blog della sicurezza informatica.

While plastics are very useful on their own, they can be much stronger when reinforced and mixed with a range of fibers. Not surprisingly, this includes the thermoplastic polymers which are commonly used with FDM 3D printing, such as polylactic acid (PLA) and polyamide (PA, also known as nylon). Although the most well-known fibers used for this purpose are probably glass fiber (GF) and carbon fiber (CF), these come with a range of issues, including their high abrasiveness when printing and potential carcinogenic properties in the case of carbon fiber.

So what other reinforcing fiber options are there? As it turns out, cellulose is one of these, along with basalt. The former has received a lot of attention currently, as the addition of cellulose and similar elements to thermopolymers such as PLA can create so-called biocomposites that create plastics without the brittleness of PLA, while also being made fully out of plant-based materials.

Regardless of the chosen composite, the goal is to enhance the properties of the base polymer matrix with the reinforcement material. Is cellulose the best material here?

Cellulose Nanofibers

Plastic objects created by fused deposition modeling (FDM) 3D printing are quite different from their injection-molding counterparts. In the case of FDM objects, the relatively poor layer adhesion and presence of voids means that 3D-printed PLA parts only have a fraction of the strength of the molded part, while also affecting the way that any fiber reinforcement can be integrated into the plastic. This latter aspect can also be observed with the commonly sold CF-containing FDM filaments, where small fragments of CF are used rather than long strands.

According to a study by Tushar Ambone et al. (2020) as published (PDF) in Polymer Engineering and Science, FDM-printed PLA has a 49% lower tensile strength and 41% lower modulus compared to compression molded PLA samples. The addition of a small amount of sisal-based cellulose nanofiber (CNF) at 1% by weight to the PLA subsequently improved these parameters by 84% and 63% respectively, with X-ray microtomography showing a reduction in voids compared to the plain PLA. Here the addition of CNF appears to significantly improve the crystallization of the PLA with corresponding improvement in its properties.

Fibers Everywhere

Incidentally a related study by Chuanchom Aumnate et al. (2021) as published in Cellulose used locally (India) sourced kenaf cellulose fibers to reinforce PLA, coming to similar results. This meshes well with the findings by Usha Kiran Sanivada et al. (2020) as published in Polymers, who mixed flax and jute fibers into PLA. Although since they used fairly long fibers in compression and injection molded samples a direct comparison with the FDM results in the Aumnate et al. study is somewhat complicated.

Meanwhile the use of basalt fibers (BF) is already quite well-established alongside glass fibers (GF) in insulation, where it replaced asbestos due to the latter’s rather unpleasant reputation. BF has some advantages over GF in composite materials, as per e.g. Li Yan et al. (2020) including better chemical stability and lower moisture absorption rates. As basalt is primarily composed of silicate, this does raise the specter of it being another potential cause of silicosis and related health risks.

With the primary health risk of mineral fibers like asbestos coming from the jagged, respirable fragments that these can create when damaged in some way, this is probably a very pertinent issue to consider before putting certain fibers quite literally everywhere.

A 2018 review by Seung-Hyun Park in Saf Health Work titled “Types and Health Hazards of Fibrous Materials Used as Asbestos Substitutes” provides a good overview of the relative risks of a range of asbestos-replacements, including BF (mineral wool) and cellulose. Here mineral wool fibers got rated as IARC Group 3 (insufficient evidence of carcinogenicity) except for the more biopersistent types (Group 2B, possibly carcinogenic), while cellulose is considered to be completely safe.

Finally, related to cellulose, there is also ongoing research on using lignin (present in plants next to cellulose as cell reinforcement) to improve the properties of PLA in combination with cellulose. An example is found in a 2021 study by Diana Gregor-Svetec et al. as published in Polymers. PLA composites created with lignin and surface-modified nanofibrillated (nanofiber) cellulose (NFC). A 2023 study by Sofia P. Makri et al. (also in Polymers) examined methods to improve the dispersion of the lignin nanoparticles. The benefit of lignin in a PLA/NFC composite appears to be in UV stabilization most of all, which should make objects FDM printed using this material last significantly longer when placed outside.

End Of Life

Another major question with plastic polymers is what happens with them once they inevitably end up discarded in the environment. There should be little doubt about what happens with cellulose and lignin in this case, as every day many tons of cellulose and lignin are happily devoured by countless microorganisms around the globe. This means that the only consideration for cellulose-reinforced plastics in an end-of-life scenario is that of the biodegradability of PLA and other base polymers one might use for the polymer composite.

Today, many PLA products end up discarded in landfills or polluting the environment, where PLA’s biodegradability is consistently shown to be poor, similar to other plastics, as it requires an industrial composting process involving microbial and hydrolytic treatments. Although incinerating PLA is not a terrible option due to its chemical composition, it is perhaps an ironic thought that the PLA in cellulose-reinforced PLA might actually be the most durable component in such a composite.

That said, if PLA is properly recycled or composted, it seems to pose few issues compared to other plastics, and any cellulose components would likely not interfere with the process, unlike CF-reinforced PLA, where incinerating it is probably the easiest option.

Do you print with hybrid or fiber-mixed plastics yet?

hackaday.com/2024/09/09/reinfo…