Il #22novembre è la Giornata nazionale della #sicurezza nelle scuole, il Ministro Giuseppe Valditara ricorda le vittime e rinnova l’impegno nel garantire ambienti scolastici sicuri e accoglienti.
Qui tutti i dettagli ▶️ mim.gov.
Ministero dell'Istruzione
Il #22novembre è la Giornata nazionale della #sicurezza nelle scuole, il Ministro Giuseppe Valditara ricorda le vittime e rinnova l’impegno nel garantire ambienti scolastici sicuri e accoglienti. Qui tutti i dettagli ▶️ https://www.mim.gov.Telegram
“Siamo esseri umani o il nostro unico diritto è quello di morire?”. Il discorso di Majed Bamya all’ONU
@Notizie dall'Italia e dal mondo
Il rappresentante palestinese ha parlato al Consiglio di Sicurezza dopo il veto degli Stati Uniti al cessate il fuoco incondizionato della guerra di Israele su Gaza. “14 mesi e ancora discutiamo se un
reshared this
Come i Threat Actors Bypassano gli EDR con un semplice e banale Reboot
Sono venuto a conoscenza di questa tecnica circa 9 mesi fa e ora sto analizzando un attacco condotto da Qilin Ransomware Gang, quindi è giunto il momento di parlarne per far conoscere questa nuova tecnica.
Una delle cose più importanti per la sicurezza negli EDR è la possibilità di intercettare le chiamate al kernel. A questo scopo, i venditori di EDR utilizzano i driver MiniFilter che si caricano all’avvio. Ma cosa succede quando questi driver vengono forzati a essere disabilitati dall’attaccante? L’attaccante può tranquillamente effettuare chiamate al kernel senza essere intercettato dagli EDR.
Quando Windows carica un driver MiniFilter, c’è un ordine per caricarlo; questo ordine è specificato con un parametro che Microsoft fornisce ai driver MiniFilter, chiamato Altitudine. Questa tecnica è semplice e altamente efficace.
Ora vediamo come funziona questo attacco e come fermarlo.
In questa schermata possiamo vedere che abbiamo diversi driver MiniFilter caricati nel nostro sistema e uno di questi è quello dell’EDR. La terza colonna è l’Altitudine del driver.
Cosa succede se modifichiamo l’Altitudine di questi driver, come FileInfo in quella dell’EDR?
Per fare questo possiamo modificare una chiave di registro REG_MULTI_SZ.
Andiamo a modificare questa chiave specifica con Altitude dal MultiFilter Driver di EDR.
Per rendere effettiva la modifica dobbiamo riavviare l’endpoint. Ora possiamo verificare che la nostra modifica sia effettiva.
Possiamo vedere che ora FileInfo contiene l’altitudine del driver MiniFilter dell’EDR.
Possiamo vedere anche il MiniFilter dell’EDR che prima era caricato ora non lo è più a causa della nostra modifica. Con questa modifica del registro possiamo interagire con i Kernel Callbacks ad esempio senza essere segnalati dagli EDR.
Ho fatto questo test con 6 EDR negli ultimi mesi e NESSUNO di loro ha segnalato la modifica del registro come malevola. Ora, come possiamo monitorarlo? È semplice, possiamo monitorare la modifica di qualsiasi MiniFilter Altitude nel registro e segnalarla come malevola. Con questa tecnica, il Threat Actor
(Qilin Ransomware) che ho visto in un recente attacco in natura, esegue LaZagne senza essere segnalato da EDR.
Spero che i fornitori di EDR possano aggiungere questa telemetria ai loro prodotti, in modo che la tecnica diventi inutile.
L'articolo Come i Threat Actors Bypassano gli EDR con un semplice e banale Reboot proviene da il blog della sicurezza informatica.
Learn About Robot Arms By Building Pedro 2.0
Whether you’re a kid or a kid at heart, learning about science and engineering can be a lot more fun if it’s practical. You could sit around learning about motors and control theory, or you could build a robot arm and play with it. If the latter sounds like your bag of hammers, you might like Pedro 2.0.
Pedro 2.0 is a simple 3D-printable robot arm intended for STEAM education. If you’re new to that acronym, it basically refers to the combination of artistic skills with education around science, technology, engineering and mathematics.
The build relies on components that are readily available pretty much around the world—SG90 servo motors, ball bearings, and an Arduino running the show. There’s also an NRF24L01 module for wireless remote control. All the rest of the major mechanical parts can be whipped up on a 3D printer, and you don’t need a particularly special one, either. Any old FDM machine should do the job just fine if it’s calibrated properly.
If you fancy dipping your toes in the world of robot arms, this is a really easy starting point that will teach you a lot along the way. From there, you can delve into more advanced designs, or even consider constructing your own tentacles. The world really is your octopus oyster.
Parlamentari Francesi Hackerati! Un attacco Banalissimo di Phishing Li Colpisce in Massa
La neve non era ancora caduta sull’Île-de-France, ma un’ondata di gelo digitale aveva già attraversato la Camera. Secondo Politico, negli ultimi giorni diversi account Telegram di parlamentari francesi sono stati violati. Mercoledì 20 novembre, i rappresentanti eletti dell’Assemblea nazionale hanno ricevuto un’e-mail dai servizi informatici del Palazzo Borbone che li avvertiva della compromissione degli account sulla popolare piattaforma di messaggistica russa. Gli attacchi, secondo quanto riportato da BFMTV, avrebbero colpito deputati di diversi schieramenti politici, un ex ministro del governo Macron, giornalisti politici e dipendenti dell’Assemblea.
Gli hacker avrebbero sfruttato un “attacco di phishing poco sofisticato”, spiega Baptiste Robert, esperto di sicurezza informatica e fondatore di Predicta Lab, in un’intervista a RTL. Le vittime ricevevano messaggi su Telegram con inviti apparentemente innocui: “Ho trovato una tua foto da bambino” o “Una foto del tuo maestro delle elementari”, oppure frasi come “Devo assolutamente mostrarti una cosa”. I messaggi contenevano link fraudolenti che, una volta cliccati, reindirizzavano a una finestra di login falsa. Questo permetteva agli hacker di prendere il controllo degli account in modo invisibile e remoto.
“L’attacco si presenta come un messaggio standard con un link fraudolento che richiede di inserire il proprio numero di telefono”, si legge nella mail inviata ai deputati dal delegato alla protezione dei dati dell’Assemblea nazionale. “Una volta fornito il numero, l’account Telegram viene compromesso immediatamente, consentendo all’aggressore di usarlo per diffondere contenuti dannosi.”
La vicenda mette in luce l’urgenza di rafforzare la sicurezza informatica, anche di fronte a minacce apparentemente banali.
L'articolo Parlamentari Francesi Hackerati! Un attacco Banalissimo di Phishing Li Colpisce in Massa proviene da il blog della sicurezza informatica.
Alberto V reshared this.
I Siti delle Pubbliche Amministrazioni stanno scomparendo Google! Cosa sta succedendo?
Nella giornata di ieri, arriva in redazione una segnalazione da parte del Dott. Ilario Capurso, Responsabile Servizio Sistemi Informativi del Comune di Calenzano risultata interessante e allo stesso tempo allarmante. I siti delle Pubbliche Amministrazioni italiane stanno letteralmente scomparendo da Google, il motore più utilizzato da tutti gli “essere digitali”. Perché accade questo?
A partire dall’inizio di Novembre su forum.italia.it (gestito da AgID e Dipartimento per la Trasformazione Digitale) si sono moltiplicate le segnalazioni di malfunzionamento di indicizzazione dei siti web ufficiali di molte pubbliche amministrazioni locali italiane da parte di Google Search.
In alcuni casi si è assistito ad una repentina deindicizzazione delle pagine, in altri casi sono scomparsi interi domini di terzo livello riconducibili alla PA (nel formato comune.nomecomune.provincia.it).
Il problema riscontrato
Nel dibattito conseguente non è stata trovata una “causa comune” che potrebbe aver portato a questa deindicizzazione massiva (almeno da parte dei tecnici o incaricati della PA). Dapprima l’ipotesi più quotata pareva essere quella relativa all’implementazione del template “Design Italia”(designers.italia.it/) a cui gli enti pubblici sono obbligati ad allinearsi e che ha come scopo la standardizzazione dei contenuti ed una corretta accessibilità (e condizione necessaria per l’accesso ai finanziamenti PNRR in particolare la misura 1.4.1 “Esperienza del cittadino nei servizi pubblici”).
Questo uno screenshot relativo al mio Ente (Comune di Calenzano) che ci è stato inviato in redazione dal Comune stesso, con un confronto con il mese scorso sulle visite in arrivo da Google:
Effettuando ulteriori verifiche attraverso la Google Search Console si è scoperta una continua deindicizzazione delle pagine senza che venga segnalato un problema specifico.
Ancora nessuna risposta da Google
Sono state cercate incongruenze rispetto a piattaforme di hosting diverse, diversi provider, diversi template del sito, file robots.txt, file di sitemap.xml e diversi fornitori esterni ma non sembra esserci un fattor comune. Fatto da non tralasciare è che i siti incriminati sono normalmente raggiungibili e ricercabili da altri motori di ricerca.
Google è a conoscenza del problema (anche se non c’è una dichiarazione ufficiale) e “non è possibile fare altro che aspettare” riportano i comuni della Pubblica Amministrazione. Probabilmente qualche modifica nell’algoritmo di ranking ha generato il problema (qualcuno suppone l’introduzione dell’AI che è “scappata di mano”). Fatto sta che dopo 3 settimane il problema non è stato risolto.
Questo ha sollevato anche una discussione più ad ampio raggio su quanto i servizi messi a disposizione dei cittadini siano in verità dipendenti da Google che può far “sparire” una PA dall’oggi al domani (tant’è che si è registrato un forte calo nelle visite attraverso i vari analytics).
L'articolo I Siti delle Pubbliche Amministrazioni stanno scomparendo Google! Cosa sta succedendo? proviene da il blog della sicurezza informatica.
Apple rilascia iOS 18.1.1: aggiornamento cruciale per la sicurezza dei dispositivi
Il 19 novembre 2024, Apple ha distribuito una serie di aggiornamenti cruciali per migliorare la sicurezza e la stabilità dei dispositivi che utilizzano macOS, iOS, iPadOS e visionOS.
Questi aggiornamenti risolvono vulnerabilità critiche e ottimizzano le prestazioni di sistema, proteggendo i dati e l’esperienza utente su una vasta gamma di dispositivi Apple. Di seguito, un’analisi dettagliata delle principali novità.L’azienda ha reso prioritaria la protezione dei propri utenti, affrontando falle legate a WebKit e JavaScriptCore, il cuore del rendering delle pagine web sui dispositivi Apple.
Dettagli sulle vulnerabilità risolte
- JavaScriptCore (CVE-2024-44308)
- Impatto: Un exploit permetteva di eseguire codice arbitrario utilizzando contenuti web dannosi. Secondo Apple, questa vulnerabilità potrebbe essere stata sfruttata attivamente, soprattutto su sistemi Mac con processori Intel.
- Soluzione: L’azienda ha introdotto controlli migliorati per prevenire ulteriori abusi.
- WebKit (CVE-2024-44309)
- Impatto: La gestione errata dei cookie poteva portare ad attacchi di tipo cross-site scripting (XSS), mettendo a rischio la sicurezza delle sessioni utente. Anche in questo caso, Apple ha confermato il rischio di sfruttamento attivo della vulnerabilità.
- Soluzione: Apple ha risolto il problema migliorando la gestione dello stato dei cookie.
Entrambe le vulnerabilità sono state identificate dai ricercatori Clément Lecigne e Benoît Sevens del Google Threat Analysis Group, noti per il loro lavoro nel contrastare minacce informatiche avanzate.
L’importanza dell’aggiornamento
Le vulnerabilità risolte in iOS 18.1.1 dimostrano la continua necessità di mantenere aggiornati i dispositivi. Le falle di sicurezza possono essere sfruttate per compromettere dati personali o controllo remoto dei dispositivi. Con questa patch, Apple garantisce una maggiore protezione contro minacce emergenti.
Come aggiornare
Per installare iOS 18.1.1:
- Vai su Impostazioni > Generali > Aggiornamento Software.
- Assicurati che il dispositivo sia connesso a una rete Wi-Fi e abbia almeno il 50% di batteria.
Per maggiori informazioni sul contenuto di sicurezza degli aggiornamenti, Apple invita a consultare la pagina ufficiale degli aggiornamenti di sicurezza.
Conclusione
Questo aggiornamento conferma l’impegno costante di Apple nel proteggere la privacy e la sicurezza degli utenti, agendo rapidamente per mitigare rischi e garantire la massima affidabilità dei propri dispositivi.
L'articolo Apple rilascia iOS 18.1.1: aggiornamento cruciale per la sicurezza dei dispositivi proviene da il blog della sicurezza informatica.
Quick and Very Dirty Repair Gets Smoked PLC Back in the Game
When electronics release the Magic Smoke, more often than not it’s a fairly sedate event. Something overheats, the packaging gets hot enough to emit that characteristic and unmistakable odor, and wisps of smoke begin to waft up from the defunct component. Then again, sometimes the Magic Smoke is more like the Magic Plasma, as was the case in this absolutely smoked Omron programmable logic controller.
Normally, one tasked with repairing such a thing would just write the unit off and order a replacement. But [Defpom] needed to get the pump controlled by this PLC back online immediately, leading to the somewhat unorthodox repair in the video below. Whatever happened to this poor device happened rapidly and energetically, taking out two of the four relay-controlled outputs. [Defpom]’s initial inspection revealed that the screw terminals for one of the relays no longer existed, one relay enclosure was melted open, its neighbor was partially melted, and a large chunk of the PCB was missing. Cleaning up the damaged relays revealed what the “FR” in “FR4” stands for, as the fiberglass weave of the board was visible after the epoxy partly burned away before self-extinguishing.
With the damaged components removed and the dangerously conductive carbonized sections cut away, [Defpom] looked for ways to make a temporary repair. The PLC’s program was locked, making it impossible to reprogram it to use the unaffected outputs. Instead, he redirected the driver transistor for the missing relay two to the previously unused and still intact relay one, while adding an outboard DIN-mount relay to replace relay three. In theory, that should allow the system to work with its existing program and get the system back online.
Did it work? Sadly, we don’t know, as the video stops before we see the results. But we can’t see a reason for it not to work, at least temporarily while a new PLC is ordered. Of course, the other solution here could have been to replace the PLC with an Arduino, but this seems like the path of least resistance. Which, come to think of it, is probably what caused the damage in the first place.
youtube.com/embed/yZbEM-Sy79Q?…
Creating and Control of Magnetic Skyrmions in Ferromagnetic Film Demonstrated
Magnetic skyrmions are an interesting example of solitons that occurs in ferromagnetic materials with conceivable solutions in electronics, assuming they can be created and moved at will. The creation and moving of such skyrmions has now been demonstrated by [Yubin Ji] et al. with a research article in Advanced Materials. This first ever achievement by these researchers of the Korea Research Institute of Standards and Science (KRISS) was more power efficient than previously demonstrated manipulation of magnetic skyrmions in thicker (3D) materials.
Magnetic skyrmions are sometimes described as ‘magnetic vortices’, forming statically stable solitons. In a broader sense skyrmions are a topologically stable field configuration in particle physics where they form a crucial part of the emerging field of spintronics. For magnetic skyrmions their stability comes from the topological stability, as changing the atomic spin of the atoms inside the skyrmion would require overcoming a significant energy barrier.
In the case of the KRISS researchers, electrical pulses together with a magnetic field were used to create magnetic skyrmions in the ferromagnetic (Fe3GaTe2, or FGaT) film, after which a brief (50 µs) electric current pulse was applied. This demonstrated that the magnetic skyrmions can be moved this way, with the solitons moving parallel to the electron flow injection, making them quite steerable.
While practical applications of magnetic skyrmions are likely to be many years off, it is this kind of fundamental research that will enable future magnetic storage and spintronics-related devices.
Gear Up: A 15-Minute Intro on Involute Gears
If you’re into CNC machining, mechanical tinkering, or just love a good engineering rabbit hole, you’re in for a treat. Substack’s [lcamtuf] has written a quick yet insightful 15-minute introduction to involute gears that’s as informative as it is accessible. You can find the full article here. Compared to Hackaday’s more in-depth exploration in their Mechanisms series over the years, this piece is a beginner-friendly gateway into the fascinating world of gear design.
Involute gears aren’t just pretty spirals. Their unique geometry minimizes friction and vibration, keeps rotational speeds steady, and ensures smooth torque transfer—no snags, no skips. As [lcamtuf] points out, the secret sauce lies in their design, which can’t be eyeballed. By simulating the meshing process between a gear and a rack (think infinite gear), you can create the smooth, rolling movement we take for granted in everything from cars to coffee grinders.
From pressure angles to undercutting woes, [lcamtuf] explores why small design tweaks matter. The pièce de résistance? Profile-shifted gears—a genius hack for stronger teeth in low-tooth-count designs.
Whether you’re into the theory behind gear ratios, or in need of a nifty tool to cut them at home, Hackaday has got you covered. Inspired? Read the full article by [lcamtuf] here.
Attacco ai firewall Palo Alto: necessità di aggiornamenti immediati
@Informatica (Italy e non Italy 😁)
Oltre 2.000 firewall di Palo Alto Networks sotto attacco, sfruttando due vulnerabilità zero-day recentemente corrette. Queste vulnerabilità, identificate come CVE-2024-0012 e CVE-2024-9474, hanno permesso agli hacker di ottenere privilegi di amministratore e di eseguire
reshared this
Custom Mouse Rocks Neat Thumbstick Design
A mouse is just two buttons, and a two-dimensional motion tracking system, right? Oh, and a scroll wheel. And a third button. And…now you’re realizing that mice can be pretty complicated. [DIY Yarik] proves that in spades with his impressive—and complex—mouse build. The only thing is, you might argue it isn’t really a mouse.
The inspiration for the mouse was simple. [Yarik] wanted something that was comfortable to use. He also wanted a mouse that wouldn’t break so often—apparently, he’s had a lot of reliability issues with mice in recent years. Thus, he went with a custom 3D-printed design with a wrist rest at the base. This allows his hand to naturally rest in a position where he can access multiple buttons and a central thumbstick for pointing. In fact, there’s a secondary scroll control and a rotary dial as well. It’s a pretty juicy control surface.
The use of a thumbstick is controversial—some might exclaim “this is not a mouse!” To them, I say, “Fine, call it a pointing device.” It’s still cool, and it look like a comfortable way to interface with a computer.
We’ve seen some other neat custom mice over the years, too, like this hilarious force-feedback mouse. Video after the break.
youtube.com/embed/GpYnQJRw7pw?…
FREE-WILi Turns DC32 Badge Into Hardware Dev Tool
With few exceptions, electronic event badges are often all but forgotten as soon as the attendee gets back home. They’re a fun novelty for the two or three days they’re expected to be worn, but after that, they end up getting tossed in a drawer (or worse.) As you might imagine, this can be a somewhat depressing thought thought for the folks who design and build these badges.
But thanks to a new firmware released by the FREE-WILi project, at least one badge is going to get a shot at having a second life. When loaded onto the RP2350-powered DEF CON 32 badge, the device is turned into a handy hardware hacking multi-tool. By navigating through a graphical interface, users will be able to control the badge’s GPIO pins, communicate over I2C, receive and transmit via infrared, and more. We’re particularly interested in the project’s claims that the combination of their firmware and the DC32 badge create an ideal platform for testing and debugging Simple Add-Ons (SAOs).
It’s a bit like an even more capable Bus Pirate 5, which considering how many tricks that particular device can pull off, is saying something. As an added bonus, apparently you can even wear the FREE-WILi on your wrist for mobile hardware hacking action!
Anyway, while the hardware in the FREE-WILi is clearly more capable than what’s under the hood of the DC32 badge, there’s enough commonality between them that the developers were able to port a few of the key features over. It’s a clever idea — there’s something like 30,000 of these badges out there in the hands of nerds all over the world, and by installing this firmware, they’ll get a taste of what the project is capable of and potentially spring for the full kit.
If you give your DC32 badge the FREE-WILi treatment, be sure to let us know in the comments.
Matteo Prencipe Segretario Provinciale di Rifondazione Comunista di Milano dichiara:
Il “Salva Milano” approvata oggi alla Camera, da sanatoria ai costruttori pensata dalla destra al governo, diventa il “liberi tutti” ad edificare selvaggiamente in tutta Italia per la richiesta del Sindaco Sala e il benestare del Partito Democratico.
Dora in avanti i cittadini milanesi e dell’intero paese, si troveranno edifici costruiti in cortili e grattacieli dove prima vi erano case di un piano. Tutto legale. Uno schiaffo alla città e alla Magistratura competente che aveva avviato numerose indagini per gli illeciti riscontrati , che hanno coinvolto costruttori e funzionari comunali. Una grave responsabilità politica che si è assunta il Partito Democratico per compiacere un Sindaco ormai alla deriva politica. Positivo che il Movimento 5 Stelle e AVS abbiano votato contro alla Camera. Sarebbe auspicabile che i Verdi e il loro Assessore nella Giunta Sala ne traessero le conseguenze politiche, perchè non si può fare due parti in commedia. O con i cementificatori e chi li sostiene o con la protesta. Come Rifondazione Comunista proseguiremo la nostra battaglia a sostegno della Magistratura e per vedere prevalere la legge sul sopruso e parteciperemo al sit-in indetto da numerosi comitati ambientalisti il 22 novembre davanti al P.zzo di Giustizia”
Milano, 21 Novembre 2024
Rifondazione: Il Salva Milano è un via libera alla peggio speculazione
Matteo Prencipe Segretario Provinciale di Rifondazione Comunista di Milano dichiara: Il “Salva Milano” approvata oggi alla Camera, da sanatoria ai costruttRifondazione Comunista
USB-C For Hackers: Reusing Cables
Your project needs a cable, and since USB-C cables are omnipresent now, it’s only natural to want to reuse them for your evil schemes. Ever seen USB 3.0 cables used for PCIe link carrying duty? It’s because USB 3.0 cables are built to a reasonably high standard, both sockets and cables are easy to find, and they’re cheap. Well, USB-C cables beat USB 3.0 cables by all possible metrics.
Let’s go through USB-C cable reuse in great detail, and see just what exactly you get when you buy either a gas station C-C USB 2.0 cable, or, the fanciest all-features-supported 240 W Thunderbolt cable that money can buy. Looking for a cable to cut, or something to pass a seriously high-speed link? You’re reading the right article.
The Omnipresent Cables
USB-A to USB-C cables are the least interesting. They’re equivalent to a microUSB to USB-A cable, except there’s a resistor on the USB-C plug, connected from VBUS to one of the CC pins. That’s it. The cable contains four conductors, there’s really not much new. Save these cables for all the devices still built without the 5.1 kΩ resistors.
Now, a USB-C to USB-C cable – let’s say, 60 W max, the default USB-C cable capability. If your cable says anything less than 60 W, say, “2 A” or “15 W”, that’s a lie – it can handle 60 W no problem, all USB-C to C cables can do 60 W. This cable is also cool – for one, it has five conductors; GND, VBUS, D+, D-, and CC. Two of them (GND and VBUS) are guaranteed to be thick enough to carry 3 A without much voltage drop if any, too!
What does this mean? If you need a five-wire cable to fix your headphones, and you want something solid, a USB-C cable is probably your best bet ever – and you have a ton of choice here. You will inevitably end up with a heap of broken USB-C cables, which means you’ll never be short of 5-conductor cables – the kind of cable that has always been kind of a rarity, unless you’re pilfering headphone cables for your projects.
What about 100 W to 240 W cables? There’s good news and bad news. Good news is, the cable is likely to contain six wires. One extra wire is for VCONN – power for the emarker chip inside the cable plug, a memory chip you can read over the CC line, letting the PSU know whether the cable is indeed capable of carrying over 5 A – required for the 61 W to 240 W range.
Bad news is – there could still be five wires, if the cable is built using the alternative scheme with two emarkers, one per plug. The VCONN wire won’t be present then, and there’s no way to know until you cut the wire apart, so if you’re looking for a six-wire cable, you might have to try a few different cables. Also, the VCONN wire doesn’t connect the two plugs together – it’s isolated at one end, so don’t expect it to help if you use USB-C sockets instead of cutting the cable.
Now, you don’t always want to cut the cable – you can use USB-C sockets and apply your custom five-wire scheme to them. An idea I hear often is using USB-C cables for 3D printer hotends. It makes sense – such cables can handle 60 W of power without breaking a sweat, and you could likely do a fair bit more. Put extruder power onto the VBUS and GND pins, and use the three wires left for a thermistor and a limit switch. But the cable and socket mechanicals might be a dealbreaker. If your extruder-powering cable vibrates out of the socket, you might end up with a high-resistance-contact high-current connection on your hands – a recipe for melted plastic and possibly flames. Try it at your own risk!
You also won’t be able to make such cable reuse standard-compliant, and such port won’t be safe for any USB-C devices someone might plug into it, so label it accordingly, please.
What About Voltages?
What about putting arbitrary voltages onto VBUS, without PD negotiation? Again, it won’t be standards-compliant unless you really put some effort in – mark your jury-rigged sockets and cables accordingly, or they will eat your devices for breakfast. Also, SPR (100 W) cables contain 30 V 10 nF capacitors at each plug end, and EPR cables contain 63 V ones – reach these limits at your own risk, those capacitors are known to fail short-circuit.
Another factor is if you decide to go for the 48 V / 5 A target while bypassing the USB-C standard, because 48 V support is not as simple as putting 48 V on VBUS. If you just put 48 V on the VBUS pins, you’ll really want to figure out spark management, so that suddenly unplugging the cable won’t burn either the plug or the socket or both – PD has ways to deal with that, but they do require you to actually implement PD, specifically, EPR, which brings a heap of safety guarantees due to exceeding the 20 V limit.
That’s about it when it comes to reusing the cheapest kinds of USB-C cables – you get an extra wire compared to previous USB standards, it can handle a fair bit more power, and you can even use USB-C sockets. However, it will kill your devices if you’re not careful, and you need to take extra care if you go over 25 V or so. What about if you want to get more wires and pull some differential pairs instead?
Up The Speed
Fully-featured USB-C cables and sockets are genuinely wonderful for pulling high-speed communications over them. They are built to a solid standard, with proper impedance controls, shielding, and a modern-day understanding of digital transmission standards. Now, what exactly do you get from a fully-featured USB-C cable?
Short answer is, you get six differential pairs, and one single-ended wire (CC), in addition to VBUS and GND. You might want to keep GND at a stable level here, and perhaps don’t mess too much with VBUS. There’s a ton you can do with these six diffpairs – two USB3 ports, or a PCIe x2 link, or two SATA, or HDMI, or CSI/DSI. You can even do Ethernet if you really want to – just don’t expect galvanic isolation to work.
There are nuances, of course! Ever see a teardown or an X-ray of a fancy fully-featured cable? There’s typically all sorts of ICs inside each plug. The first one is the emarker chip, and it’s a fun one to keep in mind. For a start, it will result in some ESD diodes between GND and CC – watch out, don’t bring CC below 0 V or above 5 V.
A second kind of IC is the signal re-driver, used in active cables. You have to provide power to these redrivers through either VBUS or VCONN, just like emarkers. If you don’t do it, your high-speed lines might just be unresponsive to any high-speed signal you apply to the pins.
What about rotation? That’s a tough one – unless your signal is very much like USB3/DisplayPort/Thunderbolt, you might not be able to find a suitable mux chip to rotate your signals. As such, you will likely want to stick to a single rotation and wire your signals directly. Then, if you plug in the cable in an unexpected way, it won’t work, so you should probably consider using the CC pin or the two SBU pins for lighting up LEDs. showing you whether you’re good, or whether you should unplug the cable, rotate it, and plug it back in, like in the good old days.
There’s one last thing you might care about. USB-C cables connect TX on one end to RX on another end, and vice-versa. This is nice for PCIe purposes, since it, too, flips pair naming at the connector. For any other signal, you’ll want to keep it in mind – RX1 won’t go to RX1 on the other end, it will go to TX1, and you’ll have to re-layout accordingly. Unfortunately, I’m not intimately familar with active cable inner workings – so, it’s hard for me to tell whether any active cable redriver chips would reject certain sorts of signaling, perhaps, signals that don’t match USB3, DisplayPort or Thunderbolt signaling types.
And One Last Hack
These are the basics of what you should know before you try and reuse a USB-C cable, no matter its complexity. That said, here’s an extra hack before we conclude!
Only one USB2 pair is actually connected at the USB-C cable end – the pair on the same side as the CC pin. My guess is, this was initially done to avoid stubs and cable plug PCB routing complications, as well as to accomodate standards like VirtualLink. Regretfully, we never got VirtualLink cables, which would allow us to use seven differential pairs at a time, but there is another hack we still get out of this!
What does this mean for you? If you use two USB2-grade 2:1 muxes, you can get two extra differential signals out of a fully-compliant USB socket, and they won’t even interfere with standard-compliant cables. Use this for SWD, JTAG, or whatever else, with your signals broken out through a custom plug – just make sure you dutifully switch the muxes depending on cable orientation, then you can keep your USB2 cake and eat it, too.
Eredità digitale: chi gestirà i tuoi abbonamenti Netflix quando sarai nell’aldilà?
Il Centro nazionale giapponese per gli affari dei consumatori ha raccomandato la pianificazione dell’eredità digitale per rendere più semplice per i propri cari la gestione degli account e degli abbonamenti dei cittadini dopo la loro morte. Questa iniziativa è nata a causa di numerosi casi in cui i parenti hanno incontrato difficoltà nel cancellare gli abbonamenti a causa della mancanza di accesso ai conti del defunto.
Il Centro suggerisce quattro passaggi per ridurre al minimo tali difficoltà:
- nominare una persona di fiducia per la gestione dei dati digitali (nei servizi che supportano questo)
- assicurati che i tuoi cari abbiano accesso ai tuoi dispositivi annotando login, password e codici PIN chiave;
- creare una lista con l’intero elenco degli abbonamenti completati;
- inserire tutte le informazioni di cui sopra nel testamento.
Con la crescente popolarità degli smartphone e dei servizi online, la necessità di tale pianificazione diventa sempre più urgente. I parenti affrontano problemi nel chiudere conti o annullare abbonamenti, il che porta a spese indesiderate.
Una soluzione potrebbe essere rappresentata da applicazioni che funzionano in modalità “interruttore a uomo morto”. Questi servizi inviano dati agli individui selezionati se l’utente non ha effettuato l’accesso all’account per un lungo periodo.
Inoltre, Meta offre la possibilità di nominare un cosiddetto “custode” (Legacy Contact) – l’erede dei poteri dell’utente, che sarà in grado di gestire l’account dopo la conferma ufficiale della morte del proprietario. Tali funzioni facilitano notevolmente molti processi per i parenti che stanno già vivendo un forte stress. Gli esperti sottolineano che disporre di dati preparati in anticipo aiuta a evitare difficoltà finanziarie ed emotive.
L’idea della pianificazione digitale non solo aiuta a organizzare la propria eredità, ma apre anche nuove opportunità per gli imprenditori che creano tali servizi. Prima o poi, la maggior parte dei siti e dei servizi sarà in grado di fornire tale funzionalità, e l’unica domanda che resta è se il nostro patrimonio digitale si trasformerà in un archivio ordinato o rimarrà un’eco caotica del passato che giace da qualche parte su Internet.
L'articolo Eredità digitale: chi gestirà i tuoi abbonamenti Netflix quando sarai nell’aldilà? proviene da il blog della sicurezza informatica.
There’s Now a Wiki For Hacking Redbox Machines
With the rapidly evolving situation surrounding the Redbox vending machines still out in the wild, it’s about time somebody put together a Wiki to keep it all straight.
The unredbox wiki has information on the various different hardware revisions that Redbox put out into the wild, from the regular outdoor machines to the weird indoor blue variant. The site also has breakdowns on individual components. For example, it covers the computers inside the machines, built by Dell, Lenovo, and Premio, and bits and pieces like the DVD carousel and the modems used inside.
Basically, if you’re working with these machines and you don’t have a manual, this resource could help you out. As could the neat video below that shows the internals of a Redbox machine during the reloading process.
Whatever you do, though, don’t steal the kiosks. There’s folks handling that already, you’re not allowed to just walk up and haul them away. Check out our earlier coverage of people that are still out there renting from these machines, too.
youtube.com/embed/X7XRjBMUoh0?…
Blended Wing Body Passenger Airplanes and the End of Winged Tubes
Ask someone to picture an airplane and they’re likely to think of what is essentially a tube with wings and a stabilizing tail tacked onto one end of said tube. Yet it is also no secret that the lift produced by such a tube is rather poor, even if they’re straightforward for loading cargo (static and self-loading) into them and for deciding where to put in windows. Over the decades a number of alternative airplane designs have been developed, with some of them also ending up being produced. Here most people are probably quite familiar with the US Air Force’s B-2 Spirit bomber and its characteristic flying wing design, while blended wing body (BWB) maintains a somewhat distinctive fuselage, as with for example the B-1 Lancer.
Outside of military airplanes BWBs are a pretty rare sight. Within the world of passenger airplanes the tube-with-wings pattern that the first ever passenger airplanes adopted has persisted with the newest designs, making it often tricky to distinguish one airplane from another. This could soon change, however, with a strong interest within the industry for passenger-oriented BWBs. The reason for this are the significant boosts in efficiency, quieter performance and more internal (useful) volume, which makes airline operators very happy, but which may also benefit passengers.
With that said, how close are we truly to the first BWB passenger airplane delivery to an airline?
Heavier Than Air Aerodynamics
When regarding the first ever airplanes to make a successful powered flight, in particular the Wright Flyer, it’s notable where the focus was put in the design. The Wright Flyer doesn’t have much of a fuselage, but is mostly wing, along with some means for control by changing the shape of the wings (wing warping) in addition to the dual elevators and rudders. As an early attempt at controlled (powered) flight, it rather mimicked the way that birds control their flight by changing the shape of their wings.
As airplane designs evolved and saw explosive growth throughout World War I with practically weekly new designs, we saw the appearance of the now familiar design with a distinct fuselage and control scheme including wing-mounted ailerons and similar methods. Bi- and tri-planes gave way to monoplanes, and especially for passenger jets the tube fuselage ended up being extremely useful as a way to add more internal capacity by lengthening said tube or widen it (so-called wide-body jets).
Despite experiments with early BWBs such as the 1924 Westland Dreadnought prototype, 1938’s Miles M.30, 1944’s McDonnell XP-67 interceptor and Canadian Burnelli CBY-3, only these last two saw significant usage, albeit with the XP-67 failing US Army trials. The single CBY-3 airplane that was built did see significant use as a commercial airliner until its retirement in 1964 after which it was restored and moved into the collection of the New England Air Museum in Windsor Locks, Connecticut.
With seemingly an endless string of failures and one quite unremarkable non-military airplane resulting from BWB research by the 1960s, one might be excused for thinking that the BWB advantages are mostly hot air. Here the designs that began to appear by the 1970s began to turn heads, however.
Trade-offs
The advantages of blending the wings into the body are obvious: it first of all reduces the wetting surface (i.e. the wetting aspect ratio), meaning that there’s less of the airplane’s structure interacting with the atmosphere and thus less drag. Second, it makes it possible to turn more or all of the fuselage into part of the airfoil, and thus have it too generate lift. The disadvantages mostly lie in that it makes controlling the airplane more complex as you abandon the inherent aerodynamic stability of a tube. The more extreme examples of this issue are found in both flying wings and lifting body design.
A flying wing design such as the Northrop B-2 Spirit bomber is a purely fly-by-wire design, as only the lightning-fast reflexes of a computerized system can keep what is ultimately an inherently unstable aerodynamic shape stable. This is an approach which was pioneered for a large part in the Lockheed F-117 airplane, which got referred to in such loving terms as for example ‘the flying brick’ due to its rather poor aerodynamic properties.
The move from a tube to a blended wing design can be likened to creating arrows that abandon the cylindrical shape for a blended fletching design: you lose the natural stability (and radar cross-section) that comes with a cylinder-with-fletching. This is of course great if you are designing an agile jet fighter that has to pull off dramatic course changes, or a long-distance (stealth) bomber, but less great if you’re designing a passenger airplane. In a naturally risk-averse industry like commercial aviation, this has kept airplane designs roughly as exciting and innovative as when the Boeing 737 first rolled off the production line, with mostly incremental tweaks and improvements, including to the engines.
End Of The Road
Within the limitations of the tube-with-wings design incredible feats of optimizations have been performed over the decades, with each successive generation being a bit more efficient and their engines more quiet and easier on fuel consumption. New gains within these same limitations are however becoming increasingly harder and more expensive, while a commercial BWB jet liner could see multi-digit percentage fuel savings, increase space for cargo and passengers, while reducing the noise produced by the engines. All with just the first generation of such passenger airplanes.
Most of the fuel savings come simply from the reduced wetting area, and a boost to the airfoil ratio. Together with the ability to move the position of the engines and other tweaks, there is nothing about a passenger BWB airplane that’s truly groundbreaking or revolutionary. The main challenge will be to create an airplane that will both please organizations like the FAA and its international equivalents, and appeal to passengers. Here we have a number of startups and incumbents vying for the limelight, including Nautilus with its Horizon airplane, JetZero and Airbus, as well as NASA research projects like the N3-X BWB.
Of these efforts, the Airbus MAVERIC BWB is a scale model UAV that Airbus used to test and validate the basic BWB design, until 2020 to help design its next-generation airplanes. The Nautilus Horizon is roughly at this level too, with the 2016-founded company working towards building a first full-scale prototype. Meanwhile JetZero got picked by the US Air Force to work on BWB designs for cargo and in-air refueling tankers, which has them cooperating with Northrop Grumman on a full-scale model to demonstrate that is the direction that the US Air Force would want to move into.
Suffice it to say that tapping into the US defense budget is not a bad way to finance a startup, with the know-how and experiences translating into commercial cargo and passenger BWB airplanes. Currently the JetZero Pathfinder 1:8 scale model is test flying at Edwards Air Force Base, with JetZero hoping to have a passenger airplane in service by 2030.
New Skies
Passenger BWB airplanes would be both something very new and exciting, but also very old-school. In a way it would see the commercial aviation market hesitantly abandon the designs that it has been perfecting roughly since Douglas DC-3 propeller airplanes roamed the skies in the 1930s. From new construction methods, new materials, jet engines instead of propellers, to big boosts in efficiency and automation, today’s commercial aviation is both alien and very familiar to that of the 1930s and 1950s.
Even as military airplanes began to morph into new shapes and experiment with pushing every single envelope they could find, commercial aviation became more concerned with not spending money while being dragged by regulators into an era of increased safety and efficiency even as leg space and carry-on luggage size decreased. Now it would seem that, perhaps ironically, the only way forward for commercial aviation is to look at designs that have long since been adopted by air forces.
While for cargo variants of commercial BWB airplanes the question of seating arrangements and windows aren’t very relevant, perhaps the biggest fight will be over how to partition up the much larger inner volume for self-loading freight (i.e. passengers), as SLF is rather partial to having access to a window, an aisle, as much leg space as possible and other such critter comforts. In this 2020 article about the Airbus MAVERIC scale model some sci-fi renders of potential interiors are shown, but as the first BWB passenger airplanes get shown off by the airlines that ordered them, there will surely be very strong opinions by the peanut gallery about whether flying tubes or BWB airplanes are ‘better’.
One thing is certain, however, with the current crisis enveloping Boeing and their lagging behind on fulfilling new airplane orders, if there ever was a decade ripe for big shifts in commercial aviation, this one might just be it. For now all we can do is strap ourselves in and see where things will be in six years or so from now.
Featured image: Rendering of a JetZero blended wing body aircraft with US Air Force markings. (Credit: US Air Force)
Trump presenterà all’Italia il conto delle spese militari?
@Notizie dall'Italia e dal mondo
Il prossimo ritorno di Donald Trump alla Casa Bianca sta mettendo in agitazione le cancellerie europee, le quali si chiedono quante delle esternazioni della campagna elettorale si tradurranno in politiche effettive e azioni reali. Nel corso dell’ultimo anno, Trump ha più volte affermato che i rapporti
Notizie dall'Italia e dal mondo reshared this.
Questa è la capacità di ascolto di questo #governo, cioè zero. In maniera particolare il ministro #Salvini sembra abbia bisogno di una bella vista dall'otorino.
Una modifica al codice che non è dalla parte della sicurezza, con regole assurde. Ora, per esempio, si potranno commettere più infrazioni sullo stesso tratto stradale pagando solo la contravvenzione più elevata aumentata di una percentuale. Quindi ... chissenefrega.
Demonizzati i monopattini elettrici, che evidentemente sono il grosso problema della sicurezza stradale, ma solo se ti beccano, visto che manca il personale che dovrebbe controllare.
Nessuna proposta è stata ascoltata, nemmeno quelle delle associazioni delle vittime della strada.
Che dire, ha ragione Vannacci: è un mondo al contrario.
#GiorgiaMeloni se ci sei
L’urbanista e saggista Paolo Berdini ha deciso di iscriversi a Rifondazione Comunista. Di seguito una dichiarazione di Maurizio Acerbo e la lettera di Paolo Berdini.
”La scelta di Paolo Berdini di iscriversi al nostro partito ci incoraggia nell’impegno per la ricostruzione di una sinistra degna di questo nome. Paolo è da sempre un punto di riferimento per le lotte ambientaliste, contro la speculazione edilizia e il consumo di suolo, per i servizi pubblici, il diritto all’abitare, la difesa dei beni comuni e del paesaggio. Con Paolo Berdini lavoreremo per rafforzare il profilo ecosocialista del nostro partito”, dichiara Maurizio Acerbo, segretario nazionale del Partito della Rifondazione Comunista.
Pubblichiamo la lettera con cui Paolo Berdini ha comunicato la decisione di iscriversi a Rifondazione Comunista:
Qualcosa è cambiato. Perché mi iscrivo a Rifondazione
di Paolo Berdini
Sono molti anni che condivido con le compagne e i compagni di Rifondazione comunista la riflessione e l’azione concreta in difesa dei diritti del lavoro e dei diritti alla città.
Grandi gruppi economici e di potere hanno deciso da più di due decenni di chiudere le conquiste sociali dello scorso secolo, dalla sanità pubblica all’educazione scolastica, e non tollerano più neppure che ci sia una voce a tenere accesa la speranza di riprendere il cammino interrotto.
Due fatti recenti che mi hanno spinto a chiedere l’iscrizione al partito.
Due anni fa lo schieramento della destra guidata da Giorgia Meloni conquistava il governo del paese battendo uno schieramento guidato dal Pd incapace di proporre alcun tema alternativo. Da due anni la seconda carica dello Stato, alcuni ministri e la stessa presidente del consiglio, sono impersonate da chi non si riconosce nella Costituzione del 1948. È un fatto inedito nella storia d’Italia.
Un mese fa, nelle elezioni per il governo della regione Liguria provocate da un’inchiesta sulla corruzione che ruotava intorno al presidente di centro destra, il centro sinistra ha ripetuto l’errore e non è stato capace di scrivere un’agenda politica che rendesse evidente la indispensabile discontinuità culturale e programmatica. I partiti che sostenevano il presidente Toti – che patteggiando la pena ha ammesso le sue dirette responsabilità- è riuscito a vincere di nuovo.
Del resto, per toccare un tema che mi sta a cuore, l’inchiesta sull’urbanistica milanese ha scoperchiato un modello di governo urbano guidato dal Pd succube dei poteri fondiari e dei fondi immobiliari che dominano le nostre città. Quello schieramento non è dunque in grado di distinguersi sul piano della legalità e del rispetto delle regole.
Sono dunque convinto che siamo di fronte ad un passaggio molto delicato della vita del nostro paese. In gioco ci sono il rispetto della Costituzione e della legalità.
Per questo occorre contribuire con idee e militanza attiva alla costruzione di un partito di sinistra forte e autorevole, unico argine al dilagare delle idee eversive.
Rifondazione comunista non ha alcuna rappresentanza istituzionale nazionale e viene sistematicamente oscurato dal sistema omologato di informazione. Pur in questa chiave di difficoltà, Rifondazione è stata un coerente punto di riferimento per la difesa della dignità del lavoro, dei servizi pubblici e anche sui temi ambientali e urbanistici con posizioni nette su temi come lo stop al consumo di suolo.
Merito questo dell’attuale gruppo dirigente che con Maurizio Acerbo ha saputo mantenere una linea politica e di azione coerente di sinistra e antiliberista.
La democrazia italiana, questo afferma la nostra Costituzione, si basa sul sistema dei partiti. È dunque indispensabile contribuire al rafforzamento dell’unica voce fuori dal coro del sistema politico italiano.
Per questo ho deciso di mettermi a disposizione di Rifondazione comunista e contribuire dal suo interno alla costruzione di una sinistra in grado di condizionare l’agenda dei governi nazionali e locali scritta dai poteri economici dominanti.
Paolo Berdini: perchè mi iscrivo a Rifondazione Comunista
L'urbanista e saggista Paolo Berdini ha deciso di iscriversi a Rifondazione Comunista. Di seguito una dichiarazione di Maurizio Acerbo e la lettera di Paolo BerRifondazione Comunista
Zyxel sotto Attacco: Come il Ransomware Helldown Sfrutta la Falla nei Dispositivi VPN
È stato scoperto il ransomware Helldown che penetra nelle reti aziendali attraverso le vulnerabilità dei firewall Zyxel. Helldown è stato descritto per la prima volta dagli analisti di Cyfirma nell’estate del 2024 e in ottobre i ricercatori di Cyberint hanno parlato del suo lavoro.
Ora gli esperti Sekoia, che hanno studiato i recenti attacchi di Helldown, hanno dedicato un rapporto anche alla nuova minaccia. Secondo loro, questo ransomware non è uno dei principali attori nel “mercato” dell’estorsione, ma sta rapidamente guadagnando slancio e sul sito web degli aggressori compaiono messaggi su nuove vittime.
All’inizio di novembre 2024 sul sito web degli aggressori sono state pubblicate informazioni su 31 vittime. La maggior parte delle vittime erano piccole e medie imprese degli Stati Uniti e dei paesi europei. Ora il loro numero è sceso a 28, il che potrebbe indicare che alcune delle vittime hanno pagato un riscatto agli hacker.
È noto che la variante Linux del ransomware prende di mira i file VMware e contiene codice per elencare e spegnere le macchine virtuali, oltre a crittografare le immagini. Tuttavia questa funzionalità è abilitata solo parzialmente poiché il malware è ancora in fase di sviluppo.
La versione di Helldown per Windows, secondo gli esperti Sekoia, si basa sulle fonti trapelate del ransomware LockBit 3 e presenta anche somiglianze con i malware Darkrace e Donex. Tuttavia, sulla base dei dati disponibili, non è stato possibile stabilire collegamenti esatti tra queste famiglie di malware.
Allo stesso tempo, gli esperti scrivono che il ransomware non sembra particolarmente avanzato. Ad esempio, utilizza file batch per completare le attività, il che significa che questa funzionalità non è integrata nel malware stesso.
Va inoltre notato che gli operatori di Helldown non sono troppo selettivi quando si tratta di furto di dati e pubblicano immediatamente grandi dump sul loro sito Web (in un caso la perdita ha raggiunto 431 GB).
Sulla base di questi dati, gli esperti Sekoia suggeriscono che Helldown può sfruttare la vulnerabilità CVE-2024-42057 associata all’iniezione di comandi nella VPN IPSec. Questo bug consente a un utente malintenzionato non autenticato di eseguire comandi inviando un nome utente falso (l’attacco avrà successo solo se il dispositivo è configurato per l’autenticazione PSK basata sull’utente e il nome utente è più lungo di 28 caratteri).
La vulnerabilità è stata risolta nella versione firmware 5.39 all’inizio di settembre di quest’anno. Poiché i dettagli sullo sfruttamento del problema non sono ancora stati resi pubblici, i ricercatori ritengono che gli autori di Helldown potrebbero avere accesso a exploit privati di n-day.
L'articolo Zyxel sotto Attacco: Come il Ransomware Helldown Sfrutta la Falla nei Dispositivi VPN proviene da il blog della sicurezza informatica.
Corte penale internazionale. Emessi i mandati di arresto per Netanyahu e Gallant
@Notizie dall'Italia e dal mondo
Per la CPI esistono "ragionevoli motivi" per credere che i leader israeliani abbiano intenzionalmente privato la popolazione di Gaza di ciò che era più necessario per la propria sopravvivenza
L'articolo Corte penale internazionale. Emessi i mandati di
Notizie dall'Italia e dal mondo reshared this.
La Sanità è un diritto. Difendiamola.
Cartabellotta: 'Di questo passo il diritto alla salute diverrà privilegio di pochi'
Lo sciopero dei medici e del personale paramedico accende un riflettore sulla crisi del Sistema sanitario italiano. Abbiamo chiesto a Nino Cartabellotta, presidente di Fondazione Gimbe, di aiutarci a capire dove sono i problemi principali e quali...Famiglia Cristiana
Gaetano Martino 1900 – 1967 di Marcello Saija, Angela Villani
@Politica interna, europea e internazionale
Di Gaetano Martino si sapeva poco. Dopo la sua morte ciò che restava di lui, a Messina, Roma, New York e Bruxelles, era il ricordo personale di quanti lo avevano conosciuto e apprezzato. Un ricordo che, però, andava scemando con la scomparsa degli uomini del suo tempo. Ma ncava una
Politica interna, europea e internazionale reshared this.
La Commissione sta elaborando un progetto dettagliato di linee guida sull’AI, mentre la scadenza si avvicina
L'articolo proviene da #Euractiv Italia ed è stato ricondiviso sulla comunità Lemmy @Intelligenza Artificiale
Le parti interessate sono in difficoltà quando sono chiamate a dare un contributo sui divieti, uno degli
Intelligenza Artificiale reshared this.
📌 Il Fondo per l'Ambiente Italiano presenta il #concorso "Raccontiamo il patrimonio: nuove narrazioni".
Ministero dell'Istruzione
#NotiziePerLaScuola 📌 Il Fondo per l'Ambiente Italiano presenta il #concorso "Raccontiamo il patrimonio: nuove narrazioni".Telegram
Measuring the Mighty Roar of SpaceX’s Starship Rocket
SpaceX’s Starship is the most powerful launch system ever built, dwarfing even the mighty Saturn V both in terms of mass and total thrust. The scale of the vehicle is such that concerns have been raised about the impact each launch of the megarocket may have on the local environment. Which is why a team from Brigham Young University measured the sound produced during Starship’s fifth test flight and compared it to other launch vehicles.
Published in JASA Express Letters, the paper explains the team’s methodology for measuring the sound of a Starship launch at distances ranging from 10 to 35 kilometers (6 to 22 miles). Interestingly, measurements were also made of the Super Heavy booster as it returned to the launch pad and was ultimately caught — which included several sonic booms as well as the sound of the engines during the landing maneuver.
The paper goes into considerable detail on how the sound produced Starship’s launch and recovery propagate, but the short version is that it’s just as incredibly loud as you’d imagine. Even at a distance of 10 km, the roar of the 33 Raptor engines at ignition came in at approximately 105 dBA — which the paper compares to a rock concert or chainsaw. Double that distance to 20 km, and the launch is still about as loud as a table saw. On the way back in, the sonic boom from the falling Super Heavy booster was enough to set off car alarms at 10 km from the launch pad, which the paper says comes out to a roughly 50% increase in loudness over the Concorde zooming by.
OK, so it’s loud. But how does it compare with other rockets? Running the numbers, the paper estimates that the noise produced during a Starship launch is at least ten times greater than that of the Falcon 9. Of course, this isn’t hugely surprising given the vastly different scales of the two vehicles. A somewhat closer comparison would be with the Space Launch System (SLS); the data indicates Starship is between four and six times as loud as NASA’s homegrown super heavy-lift rocket.
That last bit is probably the most surprising fact uncovered by this research. While Starship is the larger and more powerful of the two launch vehicles, the SLS is still putting out around half the total energy at liftoff. So shouldn’t Starship only be twice as loud? To try and explain this dependency, the paper points to an earlier study done by two of the same authors which compared the SLS with the Saturn V. In that paper, it was theorized that the arrangement of rocket nozzles on the bottom of the booster may play a part in the measured result.
INPS Servizi S.p.A sotto attacco informatico
@Informatica (Italy e non Italy 😁)
INPS Servizi S.p.A., socio unico INPS, il 18 novembre ha subito un attacco informatico di tipo ransomware. Lo riporta il sito di QuAS – Cassa Assistenza Sanitaria Quadri – che ha lo scopo di garantire ai dipendenti con qualifica di “Quadro” assistenza sanitaria integrativa al Servizio sanitario nazionale. QuAS precisa
Informatica (Italy e non Italy 😁) reshared this.
IRAN-USA. Teheran cauta attende le mosse di Trump
@Notizie dall'Italia e dal mondo
In attesa del ritorno del Tycoon alla Casa Bianca, l'Iran mantiene una linea prudente nella consapevolezza che la nuova amministrazione, con ogni probabilità, tornerà al pugno di ferro contro la Repubblica pagineesteri.it/2024/11/21/med…
Notizie dall'Italia e dal mondo reshared this.
La NIS2 applicata con esempi pratici – Parte 1
A cura diManuel Roccon e Matteo Brandi
Se i criminali informatici non dormono mai, anche le normative sulle sicurezza informatica si muovono. Ormai la direttiva NIS2, recepita con il Decreto Legislativo 138 del 4 settembre 2024, si è messa in moto. Con la NIS2, la nuova direttiva europea per la sicurezza informatica, le aziende devono prendere sul serio la protezione dei dati e garantire la business continuity e rispetto alla NIS questa si estende anche alla loro supplychain.
Noi con elmetto e piccone (sicurezza first!) abbiamo scavato a fondo nella NIS2 per portarvi solo le pepite d’oro: quei punti che riteniamo fondamentali per proteggere la tua azienda contro i criminali informatici applicando la norma.
Caro lettore, due avvertimenti però:
- Non troverai se la tua azienda ricade o meno nella direttiva, per quello c’è articolo di Sandro Sana
- Non troverai una analisi degli obblighi di comunicazione e/o iscrizione a piattaforme varie
- La NIS2 comprende anche la sicurezza fisica, i disastri ambientali e la mancanza di connettività e di energia elettrica.Mancano solo le cavallette. Noi ci siamo concentrati sul cyber. Per un gruppo elettrogeno, provvedi da solo.
- Questa è la nostra interpretazione pratica della norma, con alcuni (piccoli e pochi ma importanti) esempi applicati realmente.
Per una applicazione pratica della NIS2, il pilastro principale è l’articolo è l’art.21, in particolare nel paragrafo 2, i cui concetti sono riportati anche nell’art.24 del decreto di recepimento (DLGS 138 del 4 Settembre 2024).
Abbiamo diviso questo articolo in due parti, in questo pezzo ci dedicheremo ad approfondire fino al punto e del art. 21 del NIS2.
Articolo 21 NIS2
eur-lex.europa.eu/legal-conten…
DLGS 138 art 24
gazzettaufficiale.it/eli/id/20…
Andiamo a vederli nel dettaglio:
Politiche di analisi dei rischi e di sicurezza dei sistemi informatici
Pensare che la protezione dei sistemi aziendali consista solo in firewall e antivirus potrebbe essere l’errore numero uno. Certo, fanno parte del quadro, ma non sono la soluzione completa. Le politiche di sicurezza informatica vanno molto più in profondità: devono valutare tutti i punti deboli di un’azienda e aggiornarsi costantemente.
Ad esempio, hai mai considerato che un dipendente non formato può diventare il miglior alleato dei criminali informatici? Basta una email di phishing cliccata senza pensarci troppo.
Inoltre quanto sono importanti i tuoi dati se finissero in mani sbagliate? Molto importanti anche i sistemi DLP che monitorano e mitigano la esfiltrazione dei dati, come il blocco delle chiavette o altri supporti di memorizzazione esterni così da evitare che vengano copiati dati e portati via e/o dimenticati in giro. Possono essere create anche regole per tipologia di documento o contenuto, in modo da bloccare questi quando vengono caricati anche in internet (es. un impiegato infedele che esegue upload su qualche drive online).
È per questo che l’analisi dei rischi è fondamentale: significa mappare ogni vulnerabilità, anticipare possibili scenari e sapere come reagire. Una buona analisi dei rischi non solo individua i punti critici ma ti aiuta a distribuire meglio le risorse per la difesa, concentrando l’attenzione dove serve di più.
Sembra un foschia impenetrabile? Un faro c’è e si chiama ISO 27001. L’ISO 27001 è il sistema di gestione della sicurezza informatica che mette ordine nella tua azienda, stabilendo standard chiari su come proteggere i dati e minimizzare i rischi di attacchi informatici. Con un approccio strutturato e una protezione continua, questo strumento potente ti aiuta a chiudere le porte ai criminali informatici.
link redhotcyber.com/post/cosa-si-i…
Gestione degli incidenti
Quando i criminali informatici colpiscono, non c’è tempo per tentennamenti o “la prossima volta andrà meglio”. La tua azienda è sotto attacco e senza un piano solido, rischi di vedere tutto andare in fumo. La gestione degli incidenti informatici è la tua unica ancora di salvezza: un set di strategie per reagire all’impatto devastante di attacchi, violazioni e perdite di dati.
Quanti piani servono? Fondamentalmente due: il Disaster Recovery Plan ed il Response Plan. Vediamoli.
Disaster Recovery Plan
Un disaster recovery plan non è solo un elenco di cose da fare, ma una strategia solida che garantisce che ogni dato, file o sistema critico sia protetto e ripristinabile.
Il piano deve prevedere eventi come:
- Attacchi da criminali informatici
- Guasti ai PC
- Incendi
- Alluvioni
- Furti
- Smarrimenti
- Terremoti
- Strategie di backup
- Mancanza di energia elettrica
- Mancanza di connettività ad internet
Un piano di ripristino da disastro deve avere come minimo queste informazioni:
- Dati di contatto (chi devo chiamare)
- Calcolo del danno stimato
- Piano di recupero delle attività (come si risolve)
- Piano di continuità aziendale (come si continua nel mentre)
- Copie dei contratti ed accordi in essere
- Piano di esercitazione (una volta scritto, va testato per farlo conoscere a tutti)
- Lista dei sistemi e dati critici
- Lista degli obblighi normativi da rispettare
- Strategia comunicativa per i clienti e gli organi di stampa
Ovviamente non deve rimanere “lettera morta”, deve essere testato, corretto e ti devi assicurare tutti abbiamo compreso quale è il proprio ruolo.
La strategia comunicativa non è un punto da sottovalutare. In base a quello che si dice e come lo si comunica, la situazione, che già non è rosea, peggiora drammaticamente se lo si fa in modo errato. Avere comunicati studiati e preparati in anticipo, è il modo per non fare ulteriori danni.
Se ti serve un template lo trovi qui: https://www.microfocus.com/media/unspecified/disaster_recovery_planning_template_revised.pdf
Response Plan
Il response plan è il fratello del disaster recovery, ma più immediato, pronto all’azione. Serve quando un criminale informatico fa il primo passo e sei già nel pieno dell’incidente. Questo piano ha un obiettivo semplice: contenere, limitare i danni e, se possibile, bloccare l’attacco. I punti cardine sono:
- Preparazione (preparation)
- Identificazione (identification)
- Contenimento (containment)
- Eradicazione (eradication)
- Recupero (recovery)
- Lezione imparata (lesson learned)
Preparazione: tanto banale quanto fondamentale ma anche disattesa: essere preparati. Tutto qui.
Identificazione: riconoscere l’evento che dovrebbe essere classificato come incidente informatico.
Contenimento: isolare l’incidente e non consentire che si propaghi.
Eradicazione: risolvere il problema.
Ripristino: Riparare i sistemi compromessi, recuperare i dati e far ripartire le attività interrotte durante l’incidente.
Lezione appresa: È la parte più importante. È un documento dove si descrive l’accaduto, le procedure adottate, quello che ha funzionato ma soprattutto quello che non ha funzionato.
Se non tieni traccia del passato, è difficile pianificare il futuro.
Continuità operativa, gestione del backup, ripristino in caso di disastro e gestione delle crisi
Il punto focale della normativa è la continuità operativa. La norma prevede di minimizzare e ridurre il più possibile gli effetti di un Cyber attacco nella business continuity sia sulla tua attività che sulla catena di fornitura.
Cosa di più importante di un backup per ripristinare i dati in caso di compromissione? In particolare che sia certo di riuscire a ripristinarli in tempo accettabile, anzi mi fermerei prima di riuscire a ripristinarli.
E’ di fondamentale importanza valutare bene che i nostri backup siano robusti, affidabili e inattaccabili dalle minacce informatiche e possano essere ripristinati in tempi certi e accettabili compatibili con il proprio business e quello dei nostri processi aziendali.
Come ad esempio eseguire la regola del 3-2-1 in cui utilizzare 3 copie su 2 tipologie di supporto di diverso, di cui uno offsite, che di recente, con l’aiuto delle nuove tecnologie, si è evoluto in 3-2-1-1-0, aggiungendo l’immutabilità del dato. Lo 0 finale poi sta a significare che il sistema riesca a verificare che ci siano 0 errori, così da essere sicuro che quando servono i backup, siano usabili al 100%.
Ma la tecnologia non basta. Occorre una valutazione dei tempi di RTO e RPO per valutare bene la quantità accettabile di dati che possa essere persa dall’ultimo backup ed i tempi di ripristino che siano allineati con il business dell’azienda. Considerare inoltre di tenere un numero sufficientemente di backup per non rischiare che quelli creati non siano tutti compromessi da un infezione presente sui sistemi da molto tempo!
Molti non lo considerano, ma un backup incrementale tradizionale compresso e cifrato di qualche TB in una rete, potrebbe essere ripristinabile in 1 o 2 giornate, ma per comprendere bene questo tempo è necessario fare dei test di cui parleremo tra poco…
Parliamo dei famosi backup in cloud.
“Sono tranquillo, ho il backup in cloud inattaccabile”.
Ok tutto bello e magari anche vero, ma quanto tempo ci vuole per ripristinarlo con la tua linea da 10mb/s Tera e Tera di dati? Forse è meglio pensare di andare a prenderli in bicicletta… il tuo provider ti permette di far avere i dati in tempi accettabili? Una tecnologia iperconvergente (HCI), per esempio, impiegherebbe poche decine di minuti per ripristinare i dati nel virtual storage di un’intera organizzazione.
Quindi la domanda è: le tue tecnologie attuali sono corrette e soddisfacenti per soddisfare la tua business continuity? Smarcato il piano tecnico, inoltre, sono fondamentali le esercitazioni e i test di ripristino periodici per verificare nel piano pratico che tutto funzioni. E’ necessario scrivere un documento che evidenzi cosa fare in caso di disastro, cosa iniziare a ripristinare prima in accordo con il business.
Piano che dovrebbe essere già presente per i guasti hardware, da integrare per quelli cyber, inserendo anche quelli di natura cyber.
Il famoso Disaster Recovery Plan
Finché facciamo i test interni in totale tranquillità andrà sempre tutto bene, pensiamo a un Lunedì mattina quando scopriamo che i sistemi siano totalmente offline e oltre a ripristino dei sistemi dobbiamo coordinare i vari fornitori, i clienti, la comunicazione con l’esterno, i vari reparti per arrivare al DPO in conformità alle normative vigenti in caso di data breach.
Tanto per la legge di Murphy queste cose succedono o il Venerdì sera con la variante del Sabato oppure il Lunedì mattina. In queste situazioni senza una linea da adottare ben definita il panico è assicurato e così anche la capacità di prendere scelte lucide e ponderate è seriamente compromessa.
Per cui è necessario aver già definito i possibili scenari e tutti gli step per arrivare al ripristino totale, a istituire un unità di crisi con delle persone ben identificate assieme a procedure e checklist ben definite. Nulla deve essere lasciato al caso in queste situazioni. Ne abbiamo già parlato in “Gestione degli incidenti” ma…repetita juvant!
Sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi
Nella NIS 2 aspetti relativi alla sicurezza non riguardano solo soggetti direttamente impattati, ma si estende anche alla catena di fornitura. Una particolarità: il soggetto coinvolto è responsabile (pecuniariamente) di verificare che la NIS2 venga applicata nella sua catena (situazione un po’ complicata). In poche parole i fornitori di soggetti che entrano nella NIS2, devo aver messo in pratica le raccomandazioni principali per non impattare sui clienti in caso di incidente informatico.
Questo per due motivi. Il primo è che la compromissione di un fornitore possa impattare il suo diretto cliente e bloccarne operatività. Pensiamo a un fornitore IT con i dati di accesso dei clienti che viene compromesso: il passaggio ai propri clienti potrebbe essere molto rapido. L’altro aspetto riguarda la continuità operativa: un blocco di un fornitore potrebbe impattare sull’operatività dei propri clienti con conseguente blocco della produzione.
Possiamo avere un quadro più chiaro leggendo il regolamento di esecuzione della Commissione Europea della normativa al punto 5.
eur-lex.europa.eu/legal-conten…
Il testo spiega che dovresti accertarti di verificare che la tua catena di fornitura abbia adottato i requisiti minimi per difendere se stessa e i suoi clienti.
Quindi cosa posiamo fare?
Leggendo il decreto attuativo della Commissione Europea per la direttiva 2022/2555 (NIS2), che risulta ancora in consultazione pubblica, si intravede la possibilità che nel caso in cui il fornitore non riesca a dare garanzie sulla propria sicurezza informatica, questa possa essere gestita dal cliente stesso.
Vi è mai capitato di trovare delle vulnerabilità sui software che un fornitore vi sviluppa o fornisce? Succede spesso trovarsi di fronte a un muro di gomma quando chiediamo di riconoscere la vulnerabilità sistemarla oppure chiedere delle ulteriori misure di sicurezza non previste, esempio l’implementazione del MFA. Cose sicuramente che ai fornitori costa tempo e denaro implementare….
Quindi si pone l’opzione di revisione dei contratti con i fornitori (come suggerito dal punto 5.1.4) aggiungendo per esempio delle SLA sulla risoluzione di segnalazioni incluse anche penali o rescissione del contratto. Potrebbe essere necessario verificare il background di fornitori (hanno già subito databreach in passato?) e i suoi dipendenti oltre ad obblighi di far pervenire delle prove di audit, come penetration test o vulnerability assessment fatti regolarmente sui sistemi e software dei fornitori.
Un ulteriore approfondimento di Sandro Sana qui (redhotcyber.com/post/enisa-avv…)
Sicurezza dell’acquisizione, sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione delle vulnerabilità
Sicuramente il legislatore vuole software più sicuri. Come? I casi sono così tanti che non se ne può fare un elenco. Devono essere più sicuri.
Inoltre il decreto legislativo di recepimento il quale all’art.27 al comma 1 recita: “L’Autorità nazionale competente NIS,[…], può imporre ai soggetti essenziali e ai soggetti importanti di utilizzare categorie di prodotti TIC, servizi TIC e processi TIC, di cui, rispettivamente, all’articolo 2, comma 1, lettere ff), gg) e hh), sviluppati dal soggetto essenziale o importante o acquistati da terze parti, che siano certificati nell’ambito dei sistemi europei di certificazione della cybersicurezza di cui all’articolo 49 del regolamento (UE)”
Mentre il citato articolo 49 del regolamento UE 2019/881 dice: “Strategie efficaci in materia di cibersicurezza dovrebbero essere basate su buoni metodi di valutazione dei rischi, sia nel settore pubblico che in quello privato. I metodi di valutazione dei rischi sono utilizzati a diversi livelli, e non esiste una prassi comune per quanto riguarda le modalità per una loro applicazione efficiente. […]”
Ma allora??
Ci illumina il comma 2 dell’art.27 del decreto di recepimento: “Nelle more dell’adozione di pertinenti sistemi europei di certificazione della cybersicurezza di cui all’articolo 49 del regolamento (UE) 2019/881, l’Autorità nazionale competente NIS, secondo le modalita’ di cui all’articolo 40, comma 5, puo’ imporre ai soggetti essenziali e ai soggetti importanti di utilizzare categorie di prodotti TIC, servizi TIC e processi TIC, sviluppati dal soggetto essenziale o importante o acquistati da terze parti, che siano certificati nell’ambito di schemi di certificazione riconosciuti a livello nazionale o europeo.”
Qui ci viene in soccorso l’art. 58 della NIS2 che cita le ISO/IEC 30111 e ISO/IEC 29147 che “forniscono orientamenti sulla gestione delle vulnerabilità e sulla divulgazione delle vulnerabilità” mentre l’art.79 “[…] Le misure di gestione dei rischi di cibersicurezza dovrebbero pertanto affrontare anche la sicurezza fisica e dell’ambiente dei sistemi informatici e di rete includendo misure volte a proteggere detti sistemi da guasti del sistema, errori umani, azioni malevole o fenomeni naturali, in linea con le norme europee e internazionali, come quelle di cui alla serie ISO/IEC 27000”
Prima di aprire il portafoglio per l’acquisto di un software, ti dovrai sincerare sia su come viene gestita la sicurezza dello stesso che sulle clausole contrattuali per la gestione e la risoluzione delle vulnerabilità scoperte lungo il cammino. Per chi sviluppa software poi, diventa una pratica molto consigliabile quella di far fare i test di sicurezza a soggetti che non abbiano preso parte allo sviluppo: quasi sempre più guardi il codice e meno vedi. Un paio di occhi freschi spesso sono la soluzione.
Speriamo che fin qui questi spunti ti siano stati utili, nel prossimo articolo tratteremo i rimanenti punti del art. 21 f, g, h, i, j della direttiva.
L'articolo La NIS2 applicata con esempi pratici – Parte 1 proviene da il blog della sicurezza informatica.
Simple Hydrogen Generator Makes Bubbles and Looks Cool
Hydrogen! It’s a highly flammable gas that seems way too cool to be easy to come by. And yet, it’s actually trivial to make it out of water if you know how. [Maciej Nowak] has shown us how to do just that with his latest build.
The project in question is a simple hydrogen generator that relies on the electrolysis of water. Long story short, run a current through water and you can split H2O molecules up and make H2 and O2 molecules instead. From water, you get both hydrogen to burn and the oxygen to burn it in! Even better, when you do burn the hydrogen, it combines with the oxygen to make water again! It’s all too perfect.
This particular hydrogen generator uses a series of acrylic tanks. Each is fitted with electrodes assembled from threaded rods to pass current through water. The tops of the tanks have barbed fittings which allow the gas produced to be plumbed off to another storage vessel for later use. The video shows us the construction of the generator, but we also get to see it in action—both in terms of generating gas from the water, and that gas later being used in some fun combustion experiments.
Pedants will point out this isn’t really just a hydrogen generator, because it’s generating oxygen too. Either way, it’s still cool. We’ve featured a few similar builds before as well.
youtube.com/embed/zlCg-qMO9ck?…
Così l’Australia diventa fondamentale per lo sviluppo dei missili ipersonici Aukus
Gli Usa hanno investito miliardi per cercare di sviluppare quest'arma. Ora il patto nell'Alleanza Aukus potrebbe risultare decisivo.
The post Così l’Australia diventa fondamentale per lo sviluppo dei missili ipersonici Aukus appeared first on InsideOver.
Armi russe in mano a Hezbollah: Israele batte la pista della Siria
Avanzando in Libano, gli israeliani hanno scoperto arsenali del movimento sciita pieni di armi russe moderne.
The post Armi russe in mano a Hezbollah: Israele batte la pista della Siria appeared first on InsideOver.
Via Scholz, dentro il duro Pistorius? Nella Spd qualcuno ci pensa. E in vista delle elezioni sarà un tema fondamentale.
The post Via Scholz, dentro il duro Pistorius? Nella Spd qualcuno ci pensa appeared first on InsideOver.
G20, tanta volontà, l’incognita dei fatti. Una vittoria a metà per Lula
G20, tanta volontà, l'incognita dei fatti. Una vittoria a metà per Lula e il Brasile Paese ospitante del summit.
The post G20, tanta volontà, l’incognita dei fatti. Una vittoria a metà per Lula appeared first on InsideOver.