Over the decades the technology behind flat panel displays has continuously evolved, and we’ve seen many of them come and go. Among the popular ones there are a few that never quite made the big time, usually because a contemporary competitor took their market. An example is in a recent [Wenting Zhang] video, a mystery liquid powder display. We’d never heard of it, so we were intrigued.

The first segment of the video is an examination of the device, and a comparison with similar-looking ones such as a conventional LCD, or a Sharp Memory LCD. It’s clearly neither of those, and the answer finally came after a lot of research. A paper described a “Quick response liquid powder” as a mechanism for a novel display, and thus it was identified. It works by moving black and white electrically charged powder to flip a pixel from black to white, and its operation is not dissimilar to the liquid-based e-ink displays which evidently won that particular commercial battle.

The process of identifying the driver chip and pinout should be an essential watch for anyone with an interest in display reverse engineering. After a lot of adjusting timing and threshold voltages the dead pixels and weird effects fall away, and then it’s possible to display a not-too-high-quality image on this unusual display, through a custom PCB with an RP2040. Take a look at the video below the break.

We’ve seen [Wenting Zhang]’s work here a few times before, most recently in a very impressive mirror-less camera project.

youtube.com/embed/2wenFr8H1Zw?…

hackaday.com/2024/10/12/have-y…

Geoffrey Hinton, noto come uno dei pionieri dell’intelligenza artificiale (IA), ha suscitato grande interesse quando ha lasciato Google e ha espresso preoccupazioni crescenti riguardo ai rischi dell’IA avanzata. Secondo Hinton, la rapida evoluzione dell’IA potrebbe portare a conseguenze imprevedibili e pericolose. Dopo decenni di lavoro nel campo, incluso lo sviluppo di tecnologie cruciali come le reti neurali, Hinton ha messo in guardia sul potenziale di IA più potenti degli esseri umani, che potrebbero diventare incontrollabili o essere utilizzate per scopi dannosi.

Hinton ha lasciato Google non solo per poter parlare liberamente, ma anche per distanziarsi da un’industria che, a suo avviso, si muove verso lo sviluppo di IA superintelligenti senza avere una chiara comprensione dei rischi associati. Ha sottolineato che, sebbene l’IA abbia già portato enormi benefici, il suo uso senza regole adeguate potrebbe alterare significativamente la società, il mercato del lavoro e la politica globale.

Le sue dichiarazioni sono particolarmente rilevanti in un momento in cui giganti tecnologici come Google, OpenAI e altre aziende investono miliardi nello sviluppo di IA sempre più avanzate. Hinton teme che una corsa sfrenata alla supremazia tecnologica possa farci perdere di vista l’importanza di regolamentare queste innovazioni.

La questione sollevata da Hinton non è solo tecnologica, ma anche etica. Invita i governi e le istituzioni a intervenire rapidamente per stabilire regolamentazioni che impediscano l’uso dell’IA per attività pericolose o incontrollabili. L’uso dell’IA in settori come la guerra, la sorveglianza e la manipolazione dell’opinione pubblica rappresenta uno dei principali timori espressi dallo scienziato.

Il messaggio finale di Hinton è chiaro: la strada verso l’intelligenza artificiale deve essere percorsa con grande cautela e responsabilità, con la consapevolezza che le decisioni prese oggi influenzeranno il futuro della civiltà umana.

L'articolo Il Premio Nobel Geoffrey Hinton Avverte: L’IA Potrebbe Superare l’Umanità. Siamo Pronti? proviene da il blog della sicurezza informatica.

OpenAI, lo sviluppatore del popolare chatbot ChatGPT, ha presentato un rapporto sull’effetto insolito (e persino divertente) dell’utilizzo dell’intelligenza artificiale per scopi dannosi. Si scopre che i recenti tentativi da parte degli aggressori di utilizzare ChatGPT non hanno fatto altro che aiutare le indagini: il sistema ha rivelato molte informazioni preziose sulle loro intenzioni e metodi.

Isolati i Criminali informatici di Cina, Iran e Israele

Durante lo studio, OpenAI ha identificato 20 casi di uso improprio dei suoi prodotti. Questi includono lo sviluppo di malware più complessi e la creazione di post falsi sui social network. Il rapporto menziona le attività di gruppi provenienti da paesi come Cina, Iran e Israele.

Uno dei casi più significativi riguarda il gruppo SweetSpecter, presumibilmente operante dalla Cina. Gli hacker hanno utilizzato le richieste inviate a ChatGPT per preparare una campagna di phishing rivolta a funzionari governativi e dipendenti di OpenAI. Nelle e-mail, fingendosi utenti comuni, hanno riferito di aver riscontrato problemi tecnici sulla piattaforma. L’allegato e-mail conteneva il malware SugarGh0st RAT, in grado di prendere immediatamente il controllo di un computer infetto.

Tracciando le richieste di SweetSpecter a ChatGPT, OpenAI è riuscita a rilevare il primo attacco noto del gruppo contro un’azienda statunitense che si occupa anche di soluzioni AI. Gli hacker hanno chiesto al chatbot quali argomenti potrebbero interessare i dipendenti pubblici e come aggirare i sistemi di filtraggio degli allegati.

Un altro caso ha coinvolto un gruppo chiamato CyberAv3ngers, ritenuto associato all’esercito iraniano. Gli aggressori, noti per i loro attacchi distruttivi alle infrastrutture negli Stati Uniti, Irlanda e Israele, hanno prestato particolare attenzione alla raccolta di dati sui controllori logici programmabili (PLC) e al tentativo di trovare combinazioni standard di login e password per hackerarli. Alcune delle richieste hanno indicato interesse per siti in Giordania e in Europa centrale. L’analisi delle richieste al chatbot ha rivelato ulteriori tecnologie e programmi che il team potrebbe utilizzare durante le operazioni future.

Allo stesso modo sono state interrotte le attività del gruppo hacker iraniano STORM-0817. L’azienda ha scoperto i primi sforzi del gruppo volti a utilizzare modelli di intelligenza artificiale e ha acquisito una visione unica dell’infrastruttura e delle funzionalità in fase di sviluppo. Ad esempio, dalle domande al chatbot è emerso che il gruppo stava testando un codice per raccogliere dati dai profili Instagram di un giornalista iraniano critico nei confronti del governo del paese. Oltre a ChatGPT i criminali hanno tentato di utilizzare anche il generatore di immagini DALL-E di OpenAI.

Più si avvicinano a ChatGPT, più possono essere smascherati

Il rapporto afferma inoltre che altri paesi, tra cui Iran e Israele, hanno utilizzato ChatGPT per creare disinformazione sui social media e articoli falsi sui siti web.

Sebbene il rapporto OpenAI documenti i tentativi di abusare degli strumenti di intelligenza artificiale, gli autori sembrano minimizzare i potenziali danni dei chatbot. L’azienda sottolinea ripetutamente che i loro modelli non hanno fornito agli aggressori alcuna nuova funzionalità che non avrebbero potuto ottenere da altre fonti disponibili al pubblico.

Infatti, quanto più gli aggressori si affidano agli strumenti di intelligenza artificiale, tanto più facile sarà identificarli e neutralizzarli. OpenAI cita ad esempio il caso dell’interferenza elettorale di quest’estate. Dall’inizio del 2024, gli aggressori hanno cercato di utilizzare l’intelligenza artificiale per creare contenuti che potessero influenzare l’esito della corsa presidenziale. Sono stati registrati tentativi di generare fake news, post sui social network e altro materiale. Dopo aver bloccato l’accesso al sistema all’inizio di giugno, gli account dei social media associati a questa operazione hanno cessato l’attività per l’intero periodo critico.

L’azienda ha bloccato molte altre reti che distribuiscono notizie false. Uno di loro aveva sede in Ruanda, dove venivano creati account falsi e pubblicati contenuti relativi alle elezioni locali. Ad agosto sono stati scoperti i resoconti di un gruppo iraniano che generavano articoli sulle elezioni americane e sul conflitto a Gaza. Sono state registrate anche operazioni contro le elezioni in India e al Parlamento europeo. Nessuna di queste false campagne ha attirato un’attenzione significativa.

Man mano che i modelli ChatGPT miglioreranno, saranno in grado di analizzare gli allegati dannosi che i criminali inviano ai dipendenti dell’azienda durante gli attacchi di phishing. Gli sviluppatori ritengono che questo sia un passo avanti molto significativo nella lotta alle minacce informatiche.

L'articolo Ecco come Chat-GPT sa tutti di noi! Quando l’AI Diventa il Nemico degli Hacker proviene da il blog della sicurezza informatica.

Secondo gli specialisti di Silent Push, il gruppo di hacker FIN7 ha lanciato una rete di siti con falsi generatori di contenuti AI per adulti. I visitatori di tali risorse vengono infettati da malware che rubano dati.

Il gruppo FIN7 (alias Sangria Tempest, Carbon Spider e Carbanak) è attivo da più di dieci anni, dal 2013. Inizialmente il gruppo si è impegnato in attacchi per rubare dati di pagamento, per poi passare all’hacking di grandi aziende e alla distribuzione di ransomware. FIN7 è stato quindi associato a gruppi di estorsione comeDarkSide, BlackMatter e BlackCat.

In genere, FIN7 è specializzato in complessi attacchi di phishing e ingegneria per ottenere l’accesso primario alle reti aziendali. Ad esempio, esiste un caso noto in cui gli hacker si sono spacciati per BestBuy e hanno inviato unità USB dannose ai loro obiettivi.

Ora, gli aggressori sono stati collegati a un’intricata rete di siti che promuovono generatori di deepnudes basati sull’intelligenza artificiale che presumibilmente aiutano a generare foto esplicite basate su fotografie di persone vestite.

I falsi siti FIN7 fungono da esca per le persone interessate a creare deepfake di celebrità nude e altre persone. Vale la pena notare che gli aggressori hanno utilizzato trucchi simili per diffondere malware nel 2019, molto prima del boom globale dell’intelligenza artificiale.

La rete di hacker opera con il marchio AI Nude ed è attivamente promossa utilizzando tecniche SEO black hat per garantire che i siti generatori di falsi siano in cima ai risultati di ricerca. Tutti i siti hanno un design simile e promettono la creazione gratuita di nudi profondi basati su qualsiasi foto caricata.

Secondo Silent Push, il gruppo controllava direttamente siti come aiNude[.]ai, easynude[.]website e nude-ai[.]pro, che offrivano ai visitatori prove e download gratuiti, ma in realtà distribuivano semplicemente malware.

I siti consentivano agli utenti di caricare qualsiasi foto da cui desideravano creare un vero e proprio deepfake. Tuttavia, dopo che il sistema sembrava generare le immagini, questa non è apparsa sullo schermo. All’utente è stato invece richiesto di seguire un collegamento per scaricare il risultato.

Di conseguenza, la vittima è finita su un altro sito, dove le è stato fornito un link e una password per accedere a un archivio protetto ospitato su Dropbox.

Naturalmente, invece di un’immagine generata dall’intelligenza artificiale, l’archivio conteneva l’infostealer Lumma, che, dopo il lancio, ruba credenziali e cookie archiviati nei browser, dati dai portafogli di criptovaluta e altre informazioni dal computer della vittima.

I ricercatori hanno anche trovato diversi siti che pubblicizzano software per la creazione di deepnude in Windows. Queste risorse distribuiscono il malware Redline Stealer e D3F@ck Loader, che rubano anche informazioni dai dispositivi compromessi.

Attualmente tutti e sette i siti scoperti dagli specialisti di Silent Push sono già stati cancellati.

L'articolo Scoperti Siti AI per Deepfake: Ma dietro si Nasconde FIN7 e un Malware Micidiale! proviene da il blog della sicurezza informatica.

If you are involved in any sort of radio transmission, you probably have at least heard of SWR or standing wave ratio. Most transmitters can measure it these days and most ham radio operators have tuners that measure it, also. But what are you measuring? [KI8R] points out that if your coax has loss — and what coax doesn’t? — you are probably getting an artificially low reading by measuring at the transmitter.

The reason is that most common SWR-measuring instruments pick up voltage. If you measure, for example, 10V going out and 1V going back, you’d assume some SWR from that. But suppose your coax loses half the voltage (just to make an obvious example; if your coax loses half the voltage, you need new coax).

Now, you really have 5V getting to your antenna, and it returns 2V. The loss will affect the return voltage just like the forward voltage. Reflecting 2V from 5 is a very different proposition from reflecting 1V out of 10!

On the other hand, as [KI8R] points out, SWR isn’t everything. In the old days, you’d load your transmitter’s finals into just about anything. Now, solid-state rigs expect to drive a low SWR, or they will crank down the power to prevent the reverse voltage from damaging them.

Overall, it is a good talk about a subject that is often taken for granted. Of course, with cheap VNAs, you can easily measure SWR right at the antenna, often with disappointing results. If you have trouble visualizing standing waves, we know someone who can help.

youtube.com/embed/L1_NLEpsW90?…

hackaday.com/2024/10/12/whats-…

L’energia nucleare, una volta considerata in declino, sta tornando sotto i riflettori, soprattutto grazie all’interesse di giganti tecnologici come Google. Il settore tecnologico sta riconoscendo il potenziale del nucleare per soddisfare la crescente domanda di energia affidabile e a basse emissioni di carbonio, fondamentale per alimentare data center, servizi cloud e calcoli complessi di intelligenza artificiale.

Uno dei principali vantaggi del nucleare è la sua capacità di fornire energia costante, a differenza di fonti come l’energia solare o eolica che sono soggette a fluttuazioni. Le centrali nucleari possono funzionare ininterrottamente, garantendo una fornitura energetica stabile, essenziale per operazioni su larga scala come quelle di Google. Inoltre, il contributo alla riduzione delle emissioni di CO2 rende il nucleare una soluzione preziosa nella lotta contro il cambiamento climatico.

Google, in particolare, sta valutando il ruolo del nucleare come parte della sua strategia energetica a lungo termine, cercando di raggiungere un futuro a zero emissioni. L’azienda ha già implementato iniziative per ridurre l’impatto ambientale dei propri data center, ma l’energia nucleare rappresenta una nuova opportunità per andare oltre l’efficienza attuale.

L’interesse verso il nucleare non è limitato solo ai giganti tecnologici. Start-up innovative e società del settore energetico stanno esplorando tecnologie come i piccoli reattori modulari (SMR), che potrebbero rivoluzionare l’industria nucleare rendendo più accessibili e sicuri gli impianti di nuova generazione. Questi SMR potrebbero fornire energia non solo alle grandi aziende, ma anche a città e industrie in tutto il mondo.

Le preoccupazioni per la sicurezza e i rifiuti nucleari, tuttavia, rimangono argomenti di dibattito. Tuttavia, con l’avanzamento delle tecnologie, è possibile che le future generazioni di reattori siano in grado di affrontare queste problematiche in modo più efficace, rendendo l’energia nucleare un pilastro della transizione energetica.

In conclusione, l’energia nucleare sta emergendo come una soluzione cruciale per il futuro, non solo per l’industria tecnologica, ma per l’intera economia globale. Con il continuo aumento della domanda energetica e la necessità di ridurre le emissioni, il nucleare potrebbe svolgere un ruolo chiave nella trasformazione del settore energetico verso un modello più sostenibile.

L'articolo Rivoluzione Nucleare: Come Google vuole Ridisegnando l’Energia per l’IA e i Data Center proviene da il blog della sicurezza informatica.

We always thought the older console games looked way better back in the day on old CRTs than now on a modern digital display. [Stephen Walters] thinks so too, and goes into extensive detail in a lengthy YouTube video about the pros and cons of CRT vs digital, which was totally worth an hour of our time. But are CRTs necessary for retro gaming?

The story starts with [Stephen] trying to score a decent CRT from the usual avenue and failing to find anything worth looking at. The first taste of a CRT display came for free. Left looking lonely at the roadside, [Stephen] spotted it whilst driving home. This was a tiny 13″ Sanyo DS13320, which, when tested, looked disappointing, with a blurry image and missing edges. Later, they acquired a few more displays: a Pansonic PV-C2060, an Emerson EWF2004A and a splendid-looking Sony KV24FS120. Some were inadequate in various ways, lacking stereo sound and component input options.
A poor analog cable coupled with rendering inaccuracy gives a nice filtering effect
A large video section discusses the reasons for the early TV standards. US displays (and many others using NTSC) were designed for 525 scan lines, of which 480 were generally visible. These displays were interlaced, drawing alternating fields of odd and even line numbers, and early TV programs and NTSC DVDs were formatted in this fashion. Early gaming consoles such as the NES and SNES, however, were intended for 240p (‘p’ for progressive) content, which means they do not interlace and send out a blank line every other scan line. [Stephen] goes into extensive detail about how 240p content was never intended to be viewed on a modern, sharp display but was intended to be filtered by the analogue nature of the CRT, or at least its less-than-ideal connectivity. Specific titles even used dithering to create the illusion of smooth gradients, which honestly look terrible on a pixel-sharp digital display. We know the differences in signal bandwidth and distortion of the various analog connection standards affect the visuals. Though RGB and component video may be the top two standards for quality, games were likely intended to be viewed via the cheaper and more common composite cable route.

Component video inputs are arguably the sweet spot for analog connectivity
One debatable point is the effect of modern digital image processing on display lag. Modern TVs may have analog inputs, but these are sampled into the digital domain before being filtered and upscaled to fit the screen. This takes some time to process. We reckon that with games needing pixel-perfect timing reflexes, this could affect gameplay. It is also a perfect excuse to bust out some old games, you know, for science.

It’s an interesting discussion with newer tech that perhaps has a detrimental effect on the gameplay experience. Emulators such as Retroarch have some excellent video shader plugins that can accurately render some of these effects, so even if you can’t find a physical CRT that works, you can still at least experience the joy that these things once brought.

We touched on this subject a couple of months back with a somewhat opposite opinion, but all this stuff is subjective anyway. Want to know what makes CRTs tick? Then, take them to bits with a hammer. And did we mention how light guns are no longer just for CRTs?

youtube.com/embed/2sxKJeYSBmI?…

hackaday.com/2024/10/11/are-cr…

In the 2020s we’re used to software being readily accessible, and often free, whether as-in-beer or as-in-speech. This situation is a surprisingly new one, and in an earlier era of consumer software it was most often an expensive purchase. An anti-piracy industry sprang up as manufacturers tried to protect their products, and it’s one of those companies that [GloriousCow] examines in detail, following their trajectory from an initial success through to an ignominious failure driven by an anti-piracy tech too extreme even for the software industry.

Vault Corporation made a splash in the marketplace with Prolok, a copy protection system for floppies that worked by creating a physically damaged area of the disc which wouldn’t be present on a regular floppy. The write-up goes into detail about the workings of the system, including how to circumvent a Prolok protected title if you find one. This last procedure resulted in a lawsuit between Prolok and Quaid Software, one of the developers of circumvention tools, which established the right of Americans to make backup copies of their owned software.

The downfall of Vault Corporation came with their disastrously misjudged Prolok Plus product, which promised to implant a worm on the hard disks of pirates and delete all their files in an act of punishment. Sensing the huge reputational damage of being tied to such a product the customers stayed away, and the company drifted into obscurity.

For those interested further in the world of copy protection from this era, we’ve previously covered the similar deep dives that [GloriousCow] has done on Softguard’s Superlok as well as the Interlock system from Electronic Arts.

hackaday.com/2024/10/11/pc-flo…

Oggi, Dr. Polivers*, l’amministratore occulto di Poliversity.it non ha solo aggiornato il sistema alla nuova release di Mastodon, ma ha anche fatto di più. Il sistema infatti è stato aggiornato alla Mastodon glitch-soc, un fork amichevole del software di microblogging più usato nel Fediverso. Questo fork è stato pensato per fornire funzionalità aggiuntive molto interessanti…

Source

informapirata

2024-10-11 23:05:25

Poliversity.it evolve grazie a Mastodon Glitch-soc, un fork amichevole. Poliversity consentirà quindi post lunghi fino a 9999 caratteri, formattazione del testo, scrittura di messaggi visibili solo in locale, modalità thread e… gli scarabocchi

informapirata.it/2024/10/12/po…

Poliversity, l’istanza Mastodon per giornalisti e studiosi, consentirà di scrivere post lunghi e formattati! - informapirata

Poliversity.it evolve grazie a Mastodon Glitch-soc, un fork amichevole. Poliversity consentirà quindi post lunghi fino a 9999 caratteri, formattazione del testo…

^{informapirata}

It used to be you could crack open a TV or radio and really work on the components inside. The smallest thing in there was maybe a disc capacitor a little smaller than your pinky’s nail. Nowadays, consumer electronic boards are full of tiny SMD components. Luckily [StezStix Fix?] has a microscope and the other tools you need. Someone sent him an Amazon Echo Show with a bad touchscreen. Can it be fixed?

The video below shows that it can, but there’s a twist. The bad capacitor was mounted on one of those flexible PCB cables that are so hard to work with. It is hard enough not to damage these when you aren’t trying to remove and replace a component from the surface of the cable.

[StezStix] didn’t have schematics, so he had to use the “Columbus method” (you know, hunt until you find it), but that worked in this case. Turns out a burned finger broke the case. We liked that he showed his hot air mess-ups, where he blew a handful of components off the board. You may, however, want to hover over the mute button for the fast-forward dance party music.

We envy [StezStix] the feeling you get when a repair like this works. SMD fixes can be rewarding. We’ll remind you of the utility of covering parts you don’t want to heat with hot air using tape.

youtube.com/embed/sbN7QUxMy6Y?…

Thanks [Jim] for the tip!

hackaday.com/2024/10/11/repair…

Glass! It’s, uh, not very conductive. And sometimes we like that! But other times, we want glass to be conductive. In that case, you might want to give the glass a very fine coating of tin oxide. [Vik Olliver] has been working on just that, in hopes he can make a conductive spot on a glass printing bed in order to use it with a conductive probe.

[Vik’s] first attempt involved using tin chloride, produced by dissolving some tin in a beaker of hydrochloric acid. A droplet of this fluid was then dropped on a glass slide that was heated with a blowtorch. The result was a big ugly white splotch. Not at all tidy, but it did create a conductive layer on the glass. Just a thick, messy one. Further attempts refined the methodology, and [Vik] was eventually able to coat a 1″ square with a reasonably clear coating that measured an edge-to-edge resistance around 8 megaohms.

If you’re aware of better, easier, ways to put a conductive coating on glass, share them below! We’ve seen similar DIY attempts at this before, too. If you’ve been cooking up your own interesting home chemistry experiments (safely!?) do let us know!

hackaday.com/2024/10/11/how-to…

Il Presidente della Repubblica, Sergio Mattarella, ha convocato il Consiglio Supremo di Difesa per il 23 ottobre al Quirinale. Durante questa riunione cruciale, saranno affrontati diversi temi legati alla sicurezza nazionale e alle missioni militari italiane, con particolare attenzione ai conflitti in Ucraina e Medio Oriente.

Il Consiglio esaminerà inoltre l’impatto della situazione internazionale sull’Italia e le sue alleanze strategiche. La riunione arriva in un momento delicato per la politica estera, con la partecipazione attiva del paese nelle missioni di pace e difesa collettiva.

Il Consiglio Supremo di Difesa, uno degli organi chiave nella gestione della sicurezza italiana, è presieduto dal Capo dello Stato e comprende, tra gli altri, il Presidente del Consiglio e i ministri competenti in materia di difesa, esteri, e interno. Questa convocazione segue un anno di crescenti tensioni geopolitiche, con un focus sui conflitti in corso e l’impatto della guerra in Ucraina, come ad esempio sul fronte del settore energetico. La recente escalation in Medio Oriente rende ancora più urgente una riflessione strategica sulla presenza italiana in quelle aree e sulle possibili ripercussioni a livello globale.

La riunione del 23 ottobre offrirà l’occasione per valutare le decisioni future e garantire che la politica estera e di difesa italiana risponda in modo adeguato alle sfide globali. Il Consiglio potrebbe anche affrontare i futuri sviluppi nel contesto della NATO e dell’Unione Europea, soprattutto considerando il ruolo di leadership dell’Italia in diverse operazioni di pace e in ambito di sicurezza internazionale.

L’Italia mantiene diverse missioni attive nel Mediterraneo, che rappresentano non solo un impegno militare ma anche geopolitico di primaria importanza per la stabilità e la sicurezza del paese.

L'articolo Mattarella convoca il Consiglio Supremo di Difesa. Focus su Medio Oriente, Ucraina e Sicurezza Nazionale proviene da il blog della sicurezza informatica.

The Commodore 64 was quite a machine in its time, though a modern assessment would say that it’s severely lacking in the graphical department. [Vossi] has whipped up a bit of an upgrade for the C64 and C128, in the form of a graphics expansion card running Yamaha hardware.

As you might expect, the expansion is designed to fit neatly into a C64 cartridge slot. The card runs the Yamaha V9958—the video display processor known for its appearance in the MSX2+ computers. In this case, it’s paired with a healthy 128 kB of video RAM so it can really do its thing. The V9958 has an analog RGB output that can be set for PAL or NTSC operation, and can perform at resolutions up to 512×212 or even 512×424 interlaced. Naturally, it needs to be hooked directly up to a compatible screen, like a 1084, or one with SCART input. [Vossi] took the time to create some demos of the chip’s capabilities, drawing various graphics in a way that the C64 couldn’t readily achieve on its own.

It’s a build that almost feels like its from an alternate universe, where Yamaha decided to whip up a third-party graphics upgrade for the C64. That didn’t happen, but stranger team ups have occurred over the years.

[Thanks to Stephen Walters for the tip!]

hackaday.com/2024/10/11/c64-ge…

Here we are in October, improbably enough, and while the leaves start to fall as the goblins begin to gather, Elliot and Dan took a break from the madness to talk about all the wonderful hacks that graced our pages this week. If there was a theme this week, it was long-term projects, like the multiple years one hacker spent going down dead ends in the quest for DIY metal 3D printing. Not to be outdone, another hacker spent seven years building a mirrorless digital camera that looks like a commercial product. And getting a solderless PCB to do the blinkenlight thing took a long time too.

Looking to eliminate stringing in your 3D prints? Then you’ll want to avoid the “pause and attach” approach, which intentionally creates strings in your prints. Wondering if you can 3D print bearings? You can, but you probably shouldn’t unless you have a particular use in mind. And what happens when you have an infinitely large supply of Lego? Why, you build a Turing machine on steroids, of course.

Finally, we take a look at this week’s “Can’t-Miss” articles with a look into plastic recycling and why we can’t have nice things yet, and we take a trip out into orbit and examine the ins and outs of Lagrange points.

And a little mea culpa from the editing desk: Sorry the podcast is coming out late this week. Audacity ate my files. If you’re ever in a similar circumstance, you can probably halfway save your bacon with audacity-project-tools. Ask me how I know.

html5-player.libsyn.com/embed/…
Where to Follow Hackaday Podcast

Places to follow Hackaday podcasts:

• iTunes
• Spotify
• Stitcher
• RSS
• YouTube
• Check out our Libsyn landing page

Download the zero-calorie MP3.

Episode 292 Show Notes:

News:

• The Internet Archive Has Been Hacked

What’s that Sound?

• It was an old treadle Singer sewing machine, guessed correctly by [Charlie]. Congrats!

Interesting Hacks of the Week:

• An Open Source Mirrorless Camera You’d Want To Use
• First Benchies In Stainless Steel, With Lasers
  
  • Ender 3 Meets MIG Welder To Make A Metal Benchy — Kind Of

  
  

• See The “Pause-and-Attach” Technique For 3D Printing In Action
  
  • 3D Printed String Vase Shows What’s Possible
  • Intentional Filament Stringing Helps Santa Soar
  • Wonderful Foldable Printable Dodecahedron

  
  

• The Turing Machine Made Real, In LEGO
  
  • TMD-1 Makes Turing Machine Concepts Easy To Understand
  • TMD-2: A Bigger, Better, More Collaborative Turing Machine
  • TMD-3: Clever Hall Sensor Hack Leads To Better Turing Demo

  
  

• Towards Solderless PCB Prototyping
  
  • Open Source Pick And Place Has A $450 BOM Cost
  • (Re)designing The LumenPnP Tape Feeder

  
  

• 3D Printed Bearings With Filament Rollers

Quick Hacks:

• Elliot’s Picks
  
  • Fail Of The Week: The Case Of The Curiously Colored Streetlights
  • That’ll Go Over Like A Cement Airplane
  • What Happened To Duracell PowerCheck?

  
  

• Dan’s Picks:
  
  • The Piezoelectric Glitching Attack
  • GPS Tracking In The Trackless Land
  • V-Cut Vias Test Your Whole Panel At Once

  
  

Can’t-Miss Articles:

• Lagrange Points And Why You Want To Get Stuck At Them
• Recycling Tough Plastics Into Precursors With Some Smart Catalyst Chemistry
  
  • Big Chemistry Series

  
  

hackaday.com/2024/10/11/hackad…

Un recente esperimento ha cercato di eseguire “Doom“, il classico videogioco del 1993, su un computer quantistico di avanguardia. Questo tentativo, denominato “Quandoom”, è stato portato avanti da un programmatore conosciuto come Lumorti, che ha voluto testare i limiti della potenza di calcolo quantistica.

Il computer utilizzato, con ben 1.225 qubit, rappresenta uno dei sistemi più potenti mai costruiti, ma si è rivelato incapace di far girare il gioco. Le sfide principali risiedono nella complessità del codice di “Doom”, che richiederebbe un numero molto maggiore di qubit, circa 70.000, e ben 80 milioni di porte logiche per essere eseguito correttamente.

Attualmente, i computer quantistici, sebbene straordinariamente potenti per determinati calcoli e simulazioni, sono ancora lontani dal poter competere con i computer tradizionali nell’esecuzione di software complesso come i videogiochi. Questo esperimento evidenzia le limitazioni tecnologiche attuali e il fatto che l’esecuzione di compiti come il gaming richiede risorse ben oltre le capacità attuali dei dispositivi quantistici.

Nonostante queste difficoltà, Lumorti è riuscito a simulare parzialmente il gioco, ma solo con l’ausilio di hardware classico che ha integrato il processore quantistico, dimostrando così che, al momento, la simulazione quantistica ha dei limiti pratici significativi.

Il tentativo di far girare un gioco iconico come “Doom” su una macchina quantistica è comunque un esercizio interessante e simbolico, che mette in luce la strada ancora lunga che la tecnologia deve percorrere. I computer quantistici eccellono in ambiti diversi, come la crittografia e la simulazione molecolare, ma non sono progettati per sostituire i tradizionali processori nei giochi o altre applicazioni più comuni.

Il progetto “Quandoom” è un esempio di come gli appassionati e i ricercatori stiano esplorando l’applicazione dei computer quantistici in contesti creativi. Tuttavia, l’esperimento ha chiarito che, per quanto potente, la tecnologia quantistica è ancora in fase di sviluppo e non pronta per applicazioni consumer come i videogiochi.

In conclusione, l’esperimento ha fornito preziose informazioni sui limiti e le potenzialità dei computer quantistici. Sebbene Doom non possa essere eseguito su una piattaforma quantistica attuale, il campo rimane affascinante e promette sviluppi futuri.

L'articolo 1.225 Qubit Non Bastano! Eseguire Doom è ancora un sogno per un Computer Quantistico proviene da il blog della sicurezza informatica.

Keeping the United States’ nuclear arsenal ready for use is an ongoing process, one which is necessarily shrouded in complete secrecy. In an article by The War Zone these developments and the secrets behind it are touched upon, including a secret ingredient for these thermonuclear warheads that is only officially known as ‘Fogbank’, but which is very likely aerogel.

As noted by a commentator, this is pretty much confirmed in an article published by Los Alamos National Laboratories (LANL) in the 2nd 2009 issue (PDF) of Nuclear Weapons Journal. On page nine the article on hohlraum-based inertial confinement fusion notes the use of aerogel to tamp the radially inward motion of the wall material, suggesting a similar function within one of these thermonuclear warheads.

The research at the Nuclear Ignition Facility (NIF) over at Lawrence Livermore National Laboratory (LLNL) is directly related to these thermonuclear weapons, as they are based around inertial confinement fusion (ICF), which is what the NIF is set up for to study, including the role of aerogel. ICF is unlikely to ever be used for energy production, as we noted in the past, but makes it possible to study aspects of detonating a thermonuclear weapon that are difficult to simulate and illegal to test with real warheads.

Currently it seems that after decades of merely reusing the Fogbank material in refurbished warheads, new material is now being produced again, with it likely being used in the new W93 warhead and the low-yield W76 and life-extended W76-1 variants. All of which is of course pure conjecture, barring the details getting leaked on the War Thunder forums to settle a dispute on realistic US thermonuclear weapon yields.

hackaday.com/2024/10/11/the-us…

The Internet Archive has been hacked. This is an ongoing story, but it looks like this started at least as early as September 28, while the site itself was showing a creative message on October 9th, telling visitors they should be watching for their email addresses to show up on Have I Been Pwnd.

Hi folks, yes, I'm aware of this. I've been in communication with the Internet Archive over the last few days re the data breach, didn't know the site was defaced until people started flagging it with me just now. More soon. t.co/uRROXX1CF9

— Troy Hunt (@troyhunt) October 9, 2024

There are questions still. The site defacement seems to have included either a subdomain takeover, or a long tail attack resulting from the polyfill takeover. So far my money is on something else as the initial vector, and the polyfill subdomain as essentially a red herring.

Troy Hunt has confirmed that he received 31 million records, loaded them into the HIBP database, and sent out notices to subscribers. The Internet Archive had email addresses, usernames, and bcrypt hashed passwords.

In addition, the Archive has been facing Distributed Denial of Service (DDoS) attacks off and on this week. It’s open question whether the same people are behind the breach, the message, and the DDoS. So far it looks like one group or individual is behind both the breach and vandalism, and another group, SN_BLACKMETA, is behind the DDoS.

Palo Alto Expedition

Researchers at HORIZON3 started with a known vulnerability in Palo Alto’s Expedition application. This follows a pattern we’ve seen many times before. A vulnerability is found, usually in a codebase or niche that hadn’t been considered interesting to researchers. A new vulnerability is announced, and suddenly the boring code seems interesting.

The new vulnerability was pretty straightforward — an HTTP call to a specific endpoint resets the admin password to default. The obvious next step was to look for something to do with this new admin power. Expedition uses cron to schedule tasks, and while there didn’t seem to be a way to directly set the command, the start time wasn’t sanitized, and ended up part of a string executed in bash. Yes, it’s a simple command line injection. Sometimes the simple approach just works.

The flaws were fixed with 1.2.96. As Expedition is intended for network migration, it’s not expected to be run indefinitely. Shodan lists a whopping 23 Expedition servers on the Internet. Don’t be like those guys.

Arbitrary Write, But Read Only Filesystem

[Stefan Schiller] from Sonar had an interesting challenge. He had found an arbitrary file upload widget in a node.js application. This sort of write anything anywhere flaw is usually an instant exploit, with many options to choose from. This particular application was hardened: The filesystem was read only. This is a great strategy for making exploitation harder. But as we see here, it’s not foolproof. In Unix, everything is a file. And that means that file write vulnerabilities are useful even with a read-only FS.

In this case, the weak point was an anonymous pipe, an inter-process communication (IPC) construction. The Linux procfs puts those pipes on the filesystem. Listening on the other end of one of those pipes was libuv, a signal handling library. One of the things this library does with these messages is to jump execution to a pointer in the message, as a callback function implementation. Build this data structure properly, and you have shell code execution. Nifty!

Glitching With a Lighter

Memory glitching attacks are really cool. And most of the time, they’re pretty difficult to pull off. Getting access often means physically attacking a chip, or using some expensive EM generator. [David Buchanan] wanted to know if that style of attack is possible with makeshift tools. So, he channeled his inner MacGyver, and looked at the junk in his pockets. A scrap of wire and a pocket lighter? Perfect!

That lighter didn’t use flint and steel, but instead a piezo-electric trigger. Solder the wire onto the memory chip of a laptop, and flick the lighter right next to it. That scrap of wire is suddenly an antenna, and the em burst from the lighter is enough to flip a bit. It’s rowhammer, with an antenna.

And yes, using similar techniques to rowhammer, it’s quite possible to use this to compromise a machine, assuming you can get some arbitrary data somewhere in memory. It’s a clever bit of magic, and while not particularly useful as an attack, it’s really great to see someone working with these attacks on a shoestring budget and making it work.

Firefox 0-day

It’s time to update Firefox. Mozilla has released an emergency update, version 131.0.2, to fix a critical use-after-free vulnerability in Animation timelines, part of the Web Animations API. Not much is known about this vulnerability, but it’s being used in real-world attacks already. We know that ESET discovered the flaw, but not yet whether that discovery was from observing it in use. Regardless, the fix is now available.

Bits and Bytes

We normally think of data breaches as leaking personal information, and then brace for the inevitable targeted spam. Here’s your reminder that it can be worse than that. AT&T seems to have an ongoing data breach where someone with access to shipping information for new iPhones is sending it to organized porch pirate rings.

And finally, Google Project Zero has a new post out, from [Nick Galloway], chatting about OSS-Fuzz and the Dav1d AV1 decoder. [Nick] expanded the fuzzing setup for Dav1d, and managed to find an integer overflow while at it. And while you’re here, maybe check out the OSS-Fuzz Bounty program, where Google offers to pay programmers for adding Open Source software to the OSS-Fuzz project.

hackaday.com/2024/10/11/this-w…

GitLab ha rilasciato aggiornamenti di sicurezza per Community Edition (CE) ed Enterprise Edition (EE) per risolvere otto vulnerabilità, incluso un bug critico che potrebbe consentire l’esecuzione di pipeline CI/CD su rami arbitrari.

Una delle vulnerabilità, registrata come CVE-2024-9164, ha ricevuto una valutazione vicina al massimo: 9,6 su 10 sulla scala CVSS. L’avviso ufficiale di GitLab afferma che la vulnerabilità colpisce le versioni EE da 12.5 a 17.2.9, da 17.3 a 17.3.5 e da 17.4 a 17.4.2. Il bug consente di eseguire pipeline su rami di repository non autorizzati.

L’elenco delle sette vulnerabilità rimanenti include quattro problemi di gravità elevata, due problemi di gravità media e un problema di gravità bassa. Diamo uno sguardo più da vicino alle vulnerabilità con il punteggio più alto:

• CVE-2024-8970 (punteggio CVSS: 8,2) – consente a un utente malintenzionato di eseguire pipeline come un altro utente in determinate condizioni.
• CVE-2024-8977 (punteggio CVSS: 8,2): consente attacchi SSRF quando è abilitata la dashboard di analisi dei prodotti.
• CVE-2024-9631 (punteggio CVSS: 7,5) – Causa rallentamento durante la visualizzazione dei conflitti nelle richieste di unione.
• CVE-2024-6530 (punteggio CVSS: 7,3) – Iniezione di HTML nella pagina di autorizzazione della nuova applicazione OAuth a causa di una vulnerabilità di scripting cross-site.

Le restanti tre vulnerabilità consentono alle chiavi di distribuzione di modificare i repository archiviati ( CVE-2024-9623 ), consentono agli ospiti di esporre modelli di progetto tramite l’API ( CVE-2024-5005 ) e consentono agli utenti non autorizzati di determinare la versione di GitLab ( CVE-2024- 9596 ).

Questi aggiornamenti continuano una serie di correzioni per le vulnerabilità della pipeline che GitLab ha divulgato negli ultimi mesi. Pertanto, a settembre, l’azienda ha risolto un’altra vulnerabilità critica ( CVE-2024-6678, punteggio CVSS: 9,9), che consentiva l’esecuzione dei lavori della pipeline per conto di un utente arbitrario.

Tre vulnerabilità simili erano state precedentemente corrette – CVE-2023-5009, CVE-2024-5655 e CVE-2024-6385 – ciascuna con un punteggio CVSS di 9,6.

Al momento non ci sono informazioni sullo sfruttamento attivo delle vulnerabilità appena corrette, ma gli utenti sono fortemente incoraggiati ad aggiornare le proprie versioni di GitLab per proteggersi da possibili minacce.

L'articolo Ancora bug critici per GitLab! Aggiornamenti di Sicurezza per Community ed Enterprise Edition proviene da il blog della sicurezza informatica.