Gli analisti di ESET hanno scoperto una nuova backdoor per Linux chiamata WolfsBane. Secondo i ricercatori questo malware è simile alla backdoor di Windows che il gruppo di hacker cinese Gelsemium utilizza dal 2014.

Alla scoperta di WolfsBane

WolfsBane è un malware a tutti gli effetti, che include un dropper, un launcher e una backdoor stessa e utilizza un rootkitopen source modificato per eludere il rilevamento. Non è ancora chiaro come si verifichi l’infezione iniziale, ma i ricercatori ritengono che gli aggressori stiano sfruttando qualche tipo di vulnerabilità nelle applicazioni web per creare web shell e ottenere un accesso remoto persistente.

WolfsBane stesso viene inserito nel sistema utilizzando un dropper che avvia un componente camuffato da componente desktop KDE. A seconda dei privilegi che riceve, disabilita SELinux, crea file di servizio di sistema o modifica i file di configurazione dell’utente per prendere piede nel sistema.

Il launcher scarica quindi il componente dannoso udevd, che scarica tre librerie crittografate contenenti le funzionalità principali e la configurazione C&C. E per nascondere processi, file e traffico di rete associati all’attività di WolfsBane, una versione modificata del rootkit userland open source BEURK viene caricata tramite /etc/ld.so.preload .

Linux la nuova frontiera del malware

“Il rootkit WolfsBane Hider intercetta molte funzioni standard della libreria C, tra cui open, stat, readdir e access”, spiega ESET. “Anche se finiscono per richiamare le funzioni originali, tutti i risultati relativi a WolfsBane vengono filtrati.” Il compito principale di WolfsBane è eseguire i comandi ricevuti dal server di controllo degli aggressori utilizzando collegamenti di funzioni di comando predefiniti. Inoltre, lo stesso meccanismo viene utilizzato nell’analogo del malware per Windows.

Questi comandi includono operazioni sui file, furto di dati e varie manipolazioni del sistema che forniscono a Gelsemium il controllo completo sui dispositivi compromessi. I ricercatori menzionano anche di aver scoperto un altro malware Linux, FireWood, che è chiaramente correlato al malware Project Wood che prende di mira Windows. Tuttavia, FireWood, secondo gli analisti, è uno strumento di spionaggio comune utilizzato da diverse APT cinesi. Cioè, questo non è uno sviluppo esclusivo del citato gruppo Gelsemium.

“Sembra esserci una tendenza in via di sviluppo tra gli APT verso lo spostamento del malware verso i sistemi Linux”, concludono gli analisti. “Dal nostro punto di vista, questo sviluppo può essere spiegato da una serie di progressi nel campo della sicurezza della posta elettronica e degli endpoint. L’adozione diffusa di soluzioni EDR, così come la strategia di Microsoft di disabilitare le macro VBA per impostazione predefinita, significa che gli aggressori sono costretti a cercare altri modi per attaccare”.

L'articolo WolfsBane: Il malware si sposta su Linux e sta facendo tremare gli esperti di sicurezza proviene da il blog della sicurezza informatica.

Tiling a space with a repeated pattern that has no gaps or overlaps (a structure known as a tessellation) is what led mathematician [Gábor Domokos] to ponder a question: how few corners can a shape have and still fully tile a space? In a 2D the answer is two, and a 3D space can be tiled in shapes that have no corners at all, called soft cells.

These shapes can be made in a few different ways, and some are shown here. While they may have sharp edges there are no corners, or points where two or more line segments meet. Shapes capable of tiling a 2D space need a minimum of two corners, but in 3D the rules are different.

A great example of a natural soft cell is found in the chambers of a nautilus shell, but this turned out to be far from obvious. A cross-section of a nautilus shell shows a cell structure with obvious corners, but it turns out that’s just an artifact of looking at a 2D slice. When viewed in full 3D — which the team could do thanks to a micro CT scan available online — there are no visible corners in the structure. Once they knew what to look for, it was clear that soft cells are present in a variety of natural forms in our world.

[Domokos] not only seeks a better mathematical understanding of these shapes that seem common in our natural world but also wonders how they might relate to aperiodicity, or the ability of a shape to tile a space without making a repeating pattern. Penrose Tiles are probably the most common example.

hackaday.com/2024/11/23/3d-spa…

Il produttore americano di satelliti Maxar Technologies ha confermato una fuga di dati che ha interessato i dati personali dei dipendenti. La società ha segnalato l’hacking alle agenzie governative statunitensi.

Maxar gestisce una delle più grandi costellazioni di satelliti commerciali ed è un produttore di veicoli spaziali. Maxar è da tempo un fornitore chiave di immagini satellitari per il governo degli Stati Uniti, che utilizza i dati per l’intelligence, la pianificazione operativa e la gestione dei disastri.

Il 4 ottobre un aggressore proveniente da un indirizzo IP registrato a Hong Kong è penetrato nella rete Maxar ed è riuscito ad accedere ai file con i dati personali dei dipendenti. Non è ancora stata stabilita la posizione esatta dell’hacker, poiché il server utilizzato potrebbe nascondere la reale ubicazione.

L’azienda ha scoperto la violazione l’11 ottobre e ha adottato misure rapide per impedire ulteriori accessi non autorizzati. La società ha chiarito che nessuna informazione sui conti bancari è stata divulgata a seguito dell’incidente. Tuttavia, agli attuali dipendenti interessati dalla violazione viene offerta la protezione dell’identità e il monitoraggio del credito, mentre gli ex dipendenti hanno tempo fino a metà febbraio 2025 per iscriversi ai servizi di protezione dal furto di identità.

Il sito web ufficiale della società afferma che Maxar impiega 2.600 persone, più della metà delle quali hanno accesso a informazioni riservate necessarie per svolgere compiti nell’interesse della sicurezza nazionale degli Stati Uniti. Che sia correlato o meno, a luglio uno degli aggressori ha affermato di aver raccolto la base di utenti di GeoHIVE, una piattaforma di intelligence geospaziale di Maxar Technologies.

Non è ancora stato chiarito quanti dipendenti siano stati interessati e se siano stati interessati dati riservati. Maxar ha completato la vendita della società alla società di investimento Advent International per 6,4 miliardi di dollari lo scorso anno, ma non ci sono stati commenti immediati da parte dei rappresentanti.

L'articolo I Dati Della Maxar Technologies Compromessi: L’Hacking Satellitare Fa Rumore proviene da il blog della sicurezza informatica.

Il 18 Novembre 2024 è stato protagonista di un presunto attacco malware INPS Servizi S.P.A, azienda di house providing partecipata da INPS. L’attacco è stato poi confermato il 22 Novembre dal sito ufficiale di INPS tramite un breve comunicato ma ancor prima da QuAS il 19 Novembre.

Nonostante non ci siano fonti ufficiali a confermarli stanno girando rumors su una possibile responsabilità del gruppo Ransomware Lynx [1][2][3] che non ha però pubblicato nulla a riguardo sul loro Data Leak Site DLS.
Home Page del portale di INPS Servizi alle 8:44 del 23/11/2024
Il gruppo ha delle linee guida specifiche che includono il divieto di impattare istituzioni pubbliche, governative o healthcare. Il team di DarkLab, che ha intervista Lynx recentemente, si è messa in contatto con lo staff di Lynx chiedendo spiegazioni.

Lynx, dopo aver controllato nel loro backend le vittime attualmente dichiarate dai loro attaccanti/affiliati, ci ha detto che non ha attaccato INPS Servizi S.P.A.

Lynx ha tenuto a precisare che non attaccano questo tipo di istituzioni ed aziende ed invita INPS Servizi S.P.A a contattarli in caso i loro sistemi siano davvero stati impattati dal loro ransomware per poter scusarsi e mitigare al problema vista la natura della istituzione in questione.

Siccome non abbiamo dichiarazioni ufficiali chiare su questo attacco informatico, se i rumors fossero veri diamo la nostra collaborazione per aiutare INPS Servizi S.P.A a mettersi in contatto con Lynx.

Lynx fino ad oggi non ha mai attaccato alcuna organizzazione governativa o critica.

Le linee guida e le motivazioni del gruppo sono pubblicate nel loro DLS e sono sempre stati chiari (anche nella nostra intervista) nel non avere intenzione a creare danni a questo tipo di infrastrutture.

L'articolo Il Giallo dell’attacco ad INPS Servizi SpA. È stato Lynx? Li abbiamo sentiti proviene da il blog della sicurezza informatica.

Drilling holes can be quite time consuming work, particularly if you have to drill a lot of them. Think about all the hassle of grabbing a part, fixturing it in the drill press, lining it up, double checking, and then finally making the hole. That takes some time, and that’s no good if you’ve got lots of parts to drill. There’s an easy way around that, though. Build yourself a rad jig like [izzy swan] did.

The first jig we get to see is simple. It has a wooden platter, which hosts a fixture for a plastic enclosure to slot perfectly into place. Also on the platter is a regular old power drill. The platter also has a crank handle which, when pulled, pivots the platter, runs the power drill, and forces it through the enclosure in the exact right spot. It’s makes drilling a hole in the enclosure a repeatable operation that takes just a couple of seconds. The jig gets it right every time.

The video gets better from there, though. We get to see even niftier jigs that feature multiple drills, all doing their thing in concert with just one pull of a lever. [izzy] then shows us how these jigs are built from the ground up. It’s compelling stuff.

If you’re doing any sort of DIY manufacturing in real numbers, you’ve probably had to drill a lot of holes before. Jig making skills could really help you if that’s the case. Video after the break.

youtube.com/embed/AtskUPaoRio?…

hackaday.com/2024/11/23/drilli…

Compare il progenitore del Juke-box.
La macchina è originariamente chiamata "nickel-in-the-slot player" da Louis Glass, l'imprenditore che l'ha installata al Palais Royale.
Un nichelino aveva allora il potere d'acquisto di circa un dollaro odierno.
Divenne noto come jukebox solo in seguito, anche se l'origine della parola rimane vaga.

@Storia
@Storiaweb
#otd
#accaddeoggi
#storia
#unomusica
#jukebox

Gli specialisti Solar 4RAYS del Solar Group hanno scoperto un malware GoblinRAT unico nelle reti di diversi dipartimenti e società IT russi che servono il settore pubblico. Con l’aiuto di GoblinRAT gli aggressori sono riusciti ad ottenere il controllo completo sull’infrastruttura delle vittime. Le prime tracce dell’infezione risalgono al 2020 e gli esperti scrivono che si tratta di uno degli attacchi più sofisticati e invisibili mai riscontrati fino ad oggi.

GoblinRAT è stato individuato per la prima volta nel 2023 mentre si indagava su un incidente presso una società IT anonima che fornisce servizi principalmente ad agenzie governative. Gli specialisti dell’organizzazione hanno notato che i registri di sistema erano stati cancellati su uno dei server e hanno anche scoperto un dump degli hash degli utenti da un controller di dominio. Il dump è stato eseguito utilizzando l’utilità impacket-secretsdump in esecuzione sull’host Linux del dominio.

Questi eventi sospetti hanno spinto i dipendenti ad avviare un’indagine e a coinvolgere gli specialisti di sicurezza. Gli esperti affermano che solo dopo lunghe ricerche sono riusciti a scoprire un codice dannoso mascherato da processo applicativo legittimo. Il fatto è che la maggior parte delle funzionalità di GoblinRAT risolve un unico problema: nascondere la presenza del malware nel sistema.

I parametri del processo dannoso non si distinguevano in alcun modo e il file che lo avviava differiva da quello legittimo solo per una lettera nel nome. Tali dettagli possono essere notati solo analizzando manualmente migliaia di megabyte di dati. I ricercatori ritengono che gli aggressori sperassero che nessuno svolgesse un lavoro così scrupoloso e che passassero inosservati.

Ulteriori analisi hanno dimostrato che GoblinRAT non dispone di funzioni di persistenza automatica nel sistema: ogni volta gli aggressori hanno prima studiato attentamente le caratteristiche dell’infrastruttura presa di mira (software utilizzato, ecc.) e solo successivamente hanno introdotto il malware sotto mentite spoglie. Ciò indica chiaramente la natura mirata dell’attacco.

I ricercatori elencano le seguenti caratteristiche di GoblinRAT che ne rendono difficile il rilevamento:

• il malware si autodistrugge dopo un certo tempo se l’operatore non si connette ad esso e non fornisce un codice apposito;
• Quando si cancella, il malware sovrascrive più volte il contenuto dei suoi file sul disco rigido con caratteri casuali in modo da complicare il più possibile l’eventuale indagine;
• GoblinRAT si maschera da processo già esistente sulla macchina infetta, cambiando nome e argomenti della riga di comando (in alcuni casi veniva eseguito all’interno di un’applicazione legittima);
• gli aggressori utilizzano la tecnica Port knocking nella versione server di GoblinRAT, che consente loro di spiare anche in segmenti dell’infrastruttura con accesso a Internet strettamente limitato;
• i dati trasmessi all’interno della connessione con il server di controllo malware sono crittografati;
• Per aggirare le restrizioni del firewall, vengono utilizzati i tunnel di rete.

Va inoltre osservato che gli aggressori hanno utilizzato siti legittimi compromessi (ad esempio il sito di un rivenditore online) come server di controllo, consentendo loro di mascherare il traffico dannoso.

Alla fine GoblinRAT è stato scoperto in quattro organizzazioni senza nome e in ciascuna di esse gli aggressori sono riusciti ad ottenere il controllo completo sull’infrastruttura presa di mira: avevano accesso remoto con diritti amministrativi a tutti i segmenti della rete. Tuttavia non è stato possibile determinare la fonte dei contagi.

Gli esperti hanno trovato prove secondo cui in almeno una delle infrastrutture attaccate gli aggressori hanno avuto tale accesso per tre anni, mentre l’attacco “più breve” degli operatori GoblinRAT è durato circa sei mesi.

L'articolo Scoperto GoblinRAT: Un APT invisibile che da anni spia il settore pubblico Russo proviene da il blog della sicurezza informatica.

Vehicles that change their shape and form to adapt to their operating environment have long captured the imagination of tech enthusiasts, and building one remains a perennial project dream for many makers. Now, [Michael Rechtin] has made the dream a bit more accessible with a 3D printed quadcopter that seamlessly transforms into a tracked ground vehicle.

The design tackles a critical engineering challenge: most multi-mode vehicles struggle with the vastly different rotational speeds required for flying and driving. [Michael]’s solution involves using printed prop guards as wheels, paired with lightweight tracks. An extra pair of low-speed brushless motors are mounted between each wheel pair, driving the system via sprockets that engage directly with the same teeth that drive the tracks.

The transition magic happens through a four-bar linkage mounted in a parallelogram configuration, with a linear actuator serving as the bottom bar. To change from flying to driving configuration the linear actuator retracts, rotating the wheels/prop guards to a vertical position. A servo then rotates the top bar, lifting the body off the ground. While this approach adds some weight — an inevitable compromise in multi-purpose machines — it makes for a practical solution.

Powering this transformer is a Teensy 4.0 flight controller running dRehmFlight, a hackable flight stabilization package we’ve seen successfully adapted for everything from VTOLs to actively stabilized hydrofoils.

youtube.com/embed/f1GSzysrYtw?…

hackaday.com/2024/11/22/transf…

As we move through the Sixth Extinction, it can be beneficial to examine what caused massive die-offs in the past. Lystrosaurus specimens from South Africa have been found that may help clarify what happened 250 million years ago. [via IFLScience]

The Permian-Triassic Extinction Event, or the Great Dying, takes the cake for the worst extinction we know about so far on our pale blue dot. The primary cause is thought to be intense volcanic activity which formed the Siberian Traps and sent global CO₂ levels soaring. In Karoo Basin of South Africa, 170 tetrapod fossils were found that lend credence to the theory. Several of the Lystrosaurus skeletons were preserved in a spread eagle position that “are interpreted as drought-stricken carcasses that collapsed and died of starvation in and alongside dried-up water sources.”

As Pangea dried from increased global temperatures, drought struck many different terrestrial ecosystems and changed them from what they were before. The scientists say this “likely had a profound and lasting influence on the evolution of tetrapods.” As we come up on the Thanksgiving holiday here in the United States, perhaps you should give thanks for the prehistoric volcanism that led to your birth?

If you want to explore more about how CO₂ can lead to life forms having a bad day, have a look at paleoclimatology and what it tells us about today. In more recent history, have a look at how we can detect volcanic eruptions from all around the world and how you can learn more about the Earth by dangling an antenna from a helicopter.

hackaday.com/2024/11/22/mammal…

If you’re into hacking hardware and bending light to your will, [Shoaib Mustafa]’s latest project is bound to spike your curiosity. Combining lasers to project multi-colored beams onto a screen is ambitious enough, but doing it with a galvanomirror, STM32 microcontroller, and mostly scratch-built components? That’s next-level tinkering. This project isn’t just a feast for the eyes—it’s a adventure of control algorithms, hardware hacks, and the occasional ‘oops, that didn’t work.’ You can follow [Shoaib]’s build log and join the journey here.

The nitty-gritty is where it gets fascinating. Shoaib digs into STM32 Timers, explaining how modes like Timer, Counter, and PWM are leveraged for precise control. From adjusting laser intensity to syncing galvos for projection, every component is tuned for maximum flexibility. Need lasers aligned? Enter spectrometry and optical diffusers for precision wavelength management. Want real-time tweaks? A Python-controlled GUI handles the instruments while keeping the setup minimalist. This isn’t just a DIY build—it’s a work of art in problem-solving, with successes like a working simulation and implemented algorithms along the way.

If laser projection or STM32 wizardry excites you, this build will inspire. We featured a similar project by [Ben] back in September, and if you dig deep into our archives, you can eat your heart out on decades of laser projector projects. Explore Shoaib’s complete log on Hackaday.io. It is—literally—hacking at its most brilliant.

hackaday.com/2024/11/22/lasers…

I criminali informatici hanno trovato un modo astuto e pericoloso per aggirare i filtri Antispam, sfruttando il Microsoft 365 Admin Portal per inviare email di Sextortion. Ma la vera sorpresa? Queste email provengono da un account Microsoft legittimo, il che le rende incredibilmente difficili da rilevare. Un attacco che sta mettendo a rischio milioni di utenti in tutto il mondo.

Minacce sessuali mascherate da comunicazioni legittime

Le email in questione sono un mix di minacce sessuali e ricatti. I truffatori affermano di avere catturato contenuti sessuali compromettenti riguardanti la vittima o il suo partner e minacciano di diffonderli se non vengono pagati tra i 500 e i 5.000 dollari. La paura di una divulgazione pubblica spinge le vittime a cedere, ma la vera insidia sta nel fatto che questi messaggi non provengono da indirizzi sospetti. Vengono inviati tramite un indirizzo o365mc@microsoft.com, che, sebbene possa sembrare sospetto, è effettivamente legittimo, ed è proprio questa la chiave del successo di questa truffa.

Bypass dei filtri Antispam

Ciò che rende questa truffa ancora più insidiosa è come i criminali riescano a superare i filtri Antispam. L’email proviene da una fonte che, per tutti gli algoritmi di sicurezza, è considerata sicura: o365mc@microsoft.com. Questo indirizzo è associato a comunicazioni legittime da Microsoft, come aggiornamenti e avvisi su nuove funzionalità. I filtri, di conseguenza, non bloccano questi messaggi, facendo sì che i truffatori possano veicolare le loro minacce senza che vengano etichettate come spam.

La chiave per aggirare i controlli risiede nel Microsoft 365 Message Center, un servizio progettato per inviare avvisi e informazioni ai clienti. Quando si condivide un messaggio, gli utenti possono aggiungere una nota personale. È proprio in questa sezione che i truffatori nascondono il loro messaggio di extorsione. Sebbene il campo di testo sia limitato a 1.000 caratteri, questo limite è facilmente aggirato utilizzando strumenti di sviluppo del browser, come l’opzione “ispeziona elemento”. Modificando il valore del limite di caratteri, i truffatori riescono a inviare messaggi molto più lunghi, senza alcuna troncatura.

Microsoft ignora il controllo lato server

Questa falla nella sicurezza è ancora più grave perché Microsoft non applica alcun controllo lato server per limitare la lunghezza dei messaggi. Nonostante il limite dei 1.000 caratteri sia presente sul lato client, senza un controllo server-side, i criminali possono facilmente eludere il sistema e inviare messaggi completi, che appaiono perfettamente legittimi. Questo errore ha permesso alla truffa di prosperare senza ostacoli.

Il colosso di Redmond è consapevole del problema e sta indagando sulla questione, ma la vulnerabilità non è ancora stata corretta. Fino a quando non verranno implementati i controlli adeguati lato server, gli utenti sono vulnerabili a questa minaccia. Se ricevi una email sospetta con minacce o richieste di denaro, è fondamentale non cedere al ricatto. Microsoft non invierà mai email del genere. Segnala immediatamente il messaggio come spam e, soprattutto, non rispondere ai truffatori. È fondamentale mantenere un livello elevato di attenzione per proteggere i propri dati e prevenire il rischio di cadere in truffe sofisticate.

Conclusione

Questo episodio mette in luce un problema cruciale: anche le piattaforme di fiducia, come Microsoft 365, non sono immuni da abusi. I criminali informatici sono sempre più ingegnosi nel mascherare le loro truffe, utilizzando metodi sofisticati per ingannare i sistemi di sicurezza e sfruttare la paura delle vittime. Le email di sextortion, che sembrano provenire da fonti affidabili, sono un chiaro esempio di come il phishing e il ricatto digitale possano evolversi.

Non c’è dubbio che la protezione dei dati e la sicurezza online debbano essere priorità assolute per tutti gli utenti, dalle grandi aziende agli utenti privati. Microsoft sta investigando sulla vulnerabilità, ma fino a quando non verranno adottati controlli adeguati, gli utenti devono rimanere cauti e segnalare tempestivamente qualsiasi attività sospetta.

In un mondo sempre più connesso, è fondamentale che tutti, dai singoli utenti alle aziende, adottino un approccio proattivo verso la sicurezza informatica. Essere consapevoli delle minacce è il primo passo per proteggere se stessi e le proprie informazioni da attacchi sempre più subdoli e dannosi.

L'articolo Sextortion via Microsoft 365: la nuova minaccia che supera i filtri antispam! proviene da il blog della sicurezza informatica.

Nel Regno Unito, Apple è stata denunciata. Which.co afferma che la società sta costringendo circa 40 milioni di utenti del Regno Unito a utilizzare iCloud e che i prezzi del cloud storage sono troppo alti. Se il tribunale si pronunciasse dalla parte dei consumatori, Apple potrebbe pagare un risarcimento di 3 miliardi di sterline (circa 3,78 miliardi di dollari) e quindi circa 70 sterline (88,4 dollari) per cliente.

Apple ha negato le accuse e ha affermato che l’utilizzo di iCloud è facoltativo. Secondo l’azienda, molti utenti scelgono servizi di terze parti e trasferire loro i dati è il più semplice possibile.

I dispositivi Apple ti offrono gratuitamente una piccola quantità di spazio di archiviazione nel cloud, ma per avere più spazio devi pagare. Ad esempio, 50 GB costano 0,99 sterline al mese e 12 TB costa 54,99. Tuttavia, i servizi di terze parti non possono funzionare completamente con i dispositivi Apple. L’azienda spiega questo con la preoccupazione per la sicurezza, ma gli esperti notano che le restrizioni portano anche enormi profitti all’azienda.

Witch sostiene che dal 2015 Apple ha effettivamente “bloccato” gli utenti nel suo ecosistema e aumentato i prezzi. L’organizzazione ritiene che tali azioni siano ingiuste e violino i diritti dei consumatori.

I rappresentanti di Which hanno affermato che il loro obiettivo è restituire ai consumatori i soldi pagati in eccesso, punire le aziende e rendere il mercato più giusto. Apple ha già dichiarato che difenderà la sua posizione in tribunale. L’azienda ritiene che il suo approccio ad iCloud non violi la legge. Anche le autorità di regolamentazione del Regno Unito hanno avviato una propria indagine sul mercato dei servizi cloud. Which spera che Apple risolva il problema senza ricorrere al tribunale e restituisca i soldi agli utenti.

Allo stesso tempo, gli esperti prevedono che tali richieste di risarcimento si presenteranno sempre più spesso, soprattutto a causa dell’elevato costo di un potenziale risarcimento. La causa contro Apple fa parte di una tendenza più ampia in cui le grandi aziende tecnologiche si trovano ad affrontare denunce di azioni collettive, come è avvenuto con Google e altri giganti del settore. Secondo gli avvocati, tali procedimenti potrebbero compromettere seriamente l’attività delle aziende nei prossimi anni.

L'articolo Trappola per Apple! 40 milioni di utenti del Regno Unito potrebbero ottenere miliardi! proviene da il blog della sicurezza informatica.

Trovate qui sotto la traduzione di un articolo di Louis Derrac, il testo è distribuito con licenza Creative Commons BY-SA

Nota: con web "progressista" sto deliberatamente usando un termine vago (che va oltre la divisione destra/sinistra) per includere la parte del web che non si riconosce nella deriva ultraconservatrice e di estrema destra di parte della tecnologia americana, incarnata da Elon Musk e X, tra gli altri.

Con l'elezione di Trump/Musk(1)Il social network X (ex Twitter) sta vivendo un altro episodio di "esodo" di massa. O, per essere più precisi, i social network concorrenti stanno assistendo a un nuovo episodio di arrivo di massa. Che non è proprio la stessa cosa. E non è esattamente una novità, visto che episodi del genere si verificano regolarmente da quando Elon Musk ha acquistato X.

Mentre un gran numero di utenti cerca un luogo meno tossico per esprimersi, molti lasciano (per alcuni⋅e⋅ in modo permanente) X per motivi morali.(2). E così, il social network che si sta gonfiando in questo momento è Bluesky.

Così la settimana scorsa ho creato un account Bluesky, giusto per vedere. Ho letto diversi articoli su questo social network, alcuni dei quali entusiasti, altri molto più sfumati e altri ancora molto negativi.(3). Oggi ho deciso: il web progressista farebbe bene a migrare direttamente su Mastodon, non su Bluesky. E perché no? Perché, a meno di un miracolo, Bluesky è il prossimo TwitterX.

Bluesky è stato creato da Jack Dorsey, lo stesso uomo che ha creato Twitter. Da allora ha lasciato il progetto, ma le idee sono sempre le stesse, le stesse ideologie (libertaria, tecno-utopica), le stesse persone. Riuscite a vedere l'inizio del problema? Bluesky è finanziato da grandi venture capitalist della Silicon Valley, non da persone che si accontentano di creare una rete sociale decentralizzata per il bene comune. Avevamo il diritto di essere ingenui a metà degli anni 2000, quando il social web ci veniva venduto come un'utopia. Oggi non è più così. Tra gli investitori, i primi sostenitori e i primi dipendenti di Bluesky c'è la galassia delle criptovalute. Quella che ha fatto attivamente campagna elettorale... per Donald Trump(4).

In termini morali, quindi, Bluesky sarà anche un social network molto giovane, ma non è già molto convincente. Ma ormai sappiamo che i progetti ideologici e politici giocano un ruolo decisivo nella tecnologia statunitense. In termini economici, Bluesky è nelle mani della classica big tech della Silicon Valley. Sperare che faccia qualcosa di diverso da quello che hanno fatto tutte le altre Big Tech (massimizzazione dei profitti, chiusura progressiva, economia dell'attenzione, cattura dei dati personali, pubblicità sempre più invasiva, diffusione virale dei contenuti tossici, ecc. Sarebbe addirittura come credere ai miracoli. Bisognerebbe credere che una società capitalista, finanziata da cripto-addetti e da Venture capitalist americani tecno-soluzionisti, si prenda davvero la briga di progettare un'infrastruttura tecnica che sia veramente open-source e interoperabile. Per il bene comune e l'interesse generale. A (molto) lungo termine(5). Yuhuu! Vi ricordate di OpenAI (la società dietro ChatGPT), che in origine era un'organizzazione no-profit il cui scopo era produrre scienza aperta sull'IA?

In breve, i progressisti del web, soprattutto quelli più militanti, non hanno tempo ed energia illimitati. Penso che sarebbe nel loro interesse risparmiare un po' di tempo saltando la fase Bluesky e migrando direttamente a un'istanza Mastodon. O, più in generale, a scoprire il Fediverso.(6). Non è perfetto, ovviamente, e ci sono ancora diversi problemi: i finanziamenti, perché nulla è gratuito, la moderazione, l'ergonomia, ecc... Naturalmente, come ogni nuovo strumento, ci vuole un po' di tempo per abituarsi e per costruire nuovi punti di riferimento. Ma esiste, funziona e fa progressi ogni giorno!

Vi aspettiamo, utenti progressisti del web alla ricerca di nuovi punti di riferimento. Venite ad aiutarci a costruire il social web alternativo di cui abbiamo disperatamente bisogno.
Nota: sto continuando le mie riflessioni in un altro articolo. Et si le problème des réseaux sociaux, c’étaient les phares ?

Note a piè di pagina
1. E quello che scopriamo gradualmente sul modo in cui Musk ha usato X per aiutare Trump a vincere, o sulla crescente influenza della tecnologia di destra negli Stati Uniti.
2. Meglio tardi che mai, personalmente già nel dicembre 2022 ritenevo che Twitter fosse (già) diventato il nuovo Truth Social e che abbandonarlo fosse diventata una scelta morale.
3. Li trovate nella mia raccolta di articoli da segnalare
4. The crypto industry plowed tens of millions into the election. Now, it’s looking for a return on that investment
5. A questo proposito dobbiamo tenere presente l'eccellente concetto di Cory Doctorow sulla "enshittification (merdificazione) " dei servizi digitali. In un suo articolo analizza in dettaglio il caso Bluesky.
6. Più che Mastodon, con molte altre piattaforme sociali che possono comunicare tra loro

#Mastodon
#Bluesky
#fediverso
@informapirata ⁂ :privacypride:

If you’ve ever worked with guitar pedals or analog audio gear, you’ve probably realized the value of a resistor decade box. They substitute for a resistor in a circuit and let you quickly flick through a few different values at the twist of a knob. You can still buy them if you know where to look, but [M Caldeira] decided to build his own.

At its core, the decade box relies on a number of 11-position rotary switches. Seven are used in this case—covering each “decade” of resistances, from 1 ohm to 10 ohm and all the way up to 1 megaohm. The 11 positions on each switch allows the selection of a given resistance. For example, position 7 on the 100 ohm switch selects 700 ohms, and adds it to the total resistance of the box.

[M Caldeira] did a good job of building the basic circuit, as well as assembling it in an attractive, easy-to-use way. It should serve him well on his future audio projects and many others besides. It’s a simple thing, but sometimes there’s nothing more satisfying than building your own tools.

We’ve seen other neat designs like this in the past, including an SMD version and this neat digital decade box. Video after the break.

youtube.com/embed/Wq_XsgqvS1k?…

hackaday.com/2024/11/22/build-…

There was a time when no self-respecting electronics engineer would build a big project without at least one panel meter. They may be a rare part here in 2024, but we find ourselves reminded of them by [24Eng]’s project. It’s a 3D printed housing for one of those common small OLED displays, designed to be mounted on a panel with just a single round hole. Having had exactly this problem in the past trying to create a rectangular hole, we can immediately see the value in this.

It solves the problem by encasing the display in a printed shell, and passing a coarsely threaded hollow cylinder behind it for attachment to the panel and routing wires. This is where we are reminded of panel meters, many of which would have a similar sized protrusion on their rear housing their mechanism.

The result is a neatly made OLED display mounting, with a hole that’s ease itself to create. Perhaps now you’ll not be afraid to make your own panels.

hackaday.com/2024/11/22/oled-s…

La sala d'aspetto[b][/b]

Chi non ha casa e non ha letto
si rifugia in sala d'aspetto.

Di una panca si contenta,
tra due fagotti s'addormenta.

Il controllore pensa: "Chissà
quel viaggiatore dove anderà?"

Ma lui viaggia solo di giorno,
sempre a piedi se ne va attorno:

cammina, cammina, eh, sono guai,
la sua stazione non la trova mai!

Non trova lavoro, non ha tetto,
di sera torna in sala d'aspetto:

e aspetta, aspetta, ma sono guai,
il suo treno non parte mai.

Se un fischio echeggia di prima mattina,
lui sogna d'essere all'officina.

Controllore non lo svegliare:
un poco ancora lascialo sognare.

(Gianni Rodari)

Ever get home, tired after work, sit down on a couch, and spend an hour or two sitting down without even managing to change into your home clothes? It’s a seriously unpleasant in-between state – almost comfortable, but you know you’re not really at rest, likely hungry, and even your phone battery is likely about to die. This kind of tiredness can get self-reinforcing real quick – especially if you’re too tired to cook food, or you’re stuck in an uncomfortable position. It’s like the inverse of the marshmallow test – instead of a desire, you’re dealing with lack thereof.

I’ve been dealing with this problem a lot within the last two years’ time. Day to day, I could lose hours to this kind of tiredness. It gets worse when I’m sick, and, it’s gotten worse on average after a few bouts of COVID. It’s not just tiredness, either – distractability and tiredness go hand in hand, and they play into each other, too.

My conclusion, so far, was pretty simple. When I’m tired, delayed but proper rest is way better than “resting” in a half-alert state, even if that takes effort I might not have yet. So, it’s important that I can get up, even if I’m already in a “crashed” position. Sure, I could use tricks like “do not sit down until I’m ready to rest”, but that only works sometimes – other times, the tiredness is too much to handle.

Audio files and sound playback library in hand, negative reinforcement methods fresh in my mind, I went and cooked together a very simple solution.

Anti-Crash Script

When I noticed myself being tired and in a “crash” state, I would think “oh, no worries, I’m going to get up any minute now”. Of course, it was never just a minute, and I decided to hook into that realization, subsurface but close enough that I could justify some intervention to myself.

Would you be surprised if I told you the solution was to ring a siren into my headphones? The algorithm is simple – every time I’m “crashed” and planning to get up “real soon”, I press a button that starts a five-minute timer, programmed to ring a siren into my headphones. When the seconds stop ticking and the siren triggers, I have a choice – get up and then re-trigger the alarm for five more minutes. There is no second choice, really – I don’t give myself one. The part where I get up before turning the siren off is crucial, of course – though, in case of missing willpower, an accelerometer measuring activity could do as well.

Not that much of my willpower would be required – turned out, it typically would be enough of a shock to realize just how quickly five minutes have passed. Consistently, every time I got tired, time would pass much quicker than I could feel it, and the “oh damn it’s been five minutes already” thought made for a surprisingly powerful reality check.

Initially, the script was a tiny local webserver – I had some Flask examples fresh in my mental toolbox, so I took those and wrote two tiny HTML pages, crash and uncrash. The crash page received a seconds argument, indicating how many seconds to wait before ringing the alarm, and the uncrash page stopped the alarm. Keep the two webpages open, and hit Ctrl+R on the page I need – simple enough.

Resistance Is Counterproductive

Later on, I beautified the pages a little – adding background colours, so that it’d be easy for me to find the pages in my laptop’s window switcher and not get confused between them. That was my first attempt to make the crash/uncrash “hooks” more accessible – since, unsurprisingly, having to Alt-Tab a couple times before finding the right page required some mental energy, so I would often forget about them altogether, and developing a habit of using these pages was significantly harder. Thinking back to the very first article and principles I outlined in it – reducing resistance to use was a must.

So, the “crash” webpages got turned into keybinds accessible on my laptop globally. Surprisingly, despite the crash endpoint’s arbitrary integer delay, I didn’t need much granularity. Right now, I only use three buttons , “uncrash”, “crash in 300 seconds” (5 minutes), and “crash in 1 second” (immediate). The “immediate crash” button was a surprisingly helpful one, too. See, the “oh, five minutes truly can pass quicker than expected” lesson has stuck with me – so, when I’d notice myself crashing, I knew better than to waste time trusting in the “just a few minutes” notice.

The keybinds got me to use the script more often – which has helped me find more usecases, and use it even when I’m not sick or super tired. Really, most of the trouble nowadays is noticing when I need to press the button – which, generally, is in the mornings, when I am still groggy and a scheduled appointment might not feel as important as it actually is.

One important aspect turned out to be retriggering the alarm instead of turning it off after five minutes. I get up either way, but usually, the crash doesn’t – I might “crash” immediately afterwards, or a minute-two later. Stopping the alarm ended up being a very intentional “crash is over” decision – so, the “stop” button never got into my muscle memory. I’ve indeed had muscle-memory cycle restarts, giving myself five more minutes without realizing – but I’ve never had muscle-memory stops, which is nice, because stopping the script without even realizing it would be a critical failure condition.

Retrospective: It’s Great, Somehow

Anything missing? Definitely! For one, there are some good keybinds I could add, even if maybe they wouldn’t fundamentally impact how the script is functioning. Say I’ve woken up, and I have to get somewhere early – so I use the “crash” script to get up and get with the gravity of my current situation. As I run around the house doing morning chores, five minutes pass and the alarm rings again, even though I’m currently actively doing something around the house.

Now, running back to the laptop and pressing a keybind isn’t a problem. The problem is that I could be pressing the “reset alarm” button in two different states – either I’m doing well, or I’m not, but it’s the same button. Making two different buttons, one “doing good” and one “still crashed”, would help me collect metadata I could use for a good purpose – and, quite likely, add a trigger for some sort of positive reinforcement.

Other than that? This script has eliminated yet another common failure mode from my life – and, once again, helped improve focus. It’s as simple as simple goes, and, it’s gotten me to a more comfortable point – often, making a difference between an evening lost to tiredness, and an evening of recuperation.

One thing you might notice – to actually work properly, this script requires always-on, wireless headphones. In the next article, I’ll talk about the wireless headphone device I’ve built, why I had to build one instead of buying one, and how that device has helped me solved a bunch of other problems I didn’t realize I had.

hackaday.com/2024/11/22/hack-o…

Many of us check the weather before heading out for the day — we want to know if we’re dressed (or equipped) properly to handle what Mother Nature has planned for us. This is even more important if you’re going out hiking, because you’re going to be out in a more rugged environment. To aid in this regard, [Mukesh Sankhla] built a tool called Enhiker.

The concept is simple; it’s intended to tell you everything you need to know about current and pending conditions before heading out on a hike. It’s based around Unihiker, a single-board computer which also conveniently features a 2.8-inch touch screen. It’s a quad-core ARM device that runs Debian and has WiFi and Bluetooth built in, too. The device is able to query its GPS/GNSS receiver for location information, and then uses this to get accurate weather data online from OpenWeatherMap. It makes some basic analysis, too. For example, it can tell you if it’s a good time to go out, or if there’s a storm likely rolling in, or if the conditions are hot enough to make heat stroke a concern.

It’s a nifty little gadget, and it’s neat to have all the relevant information displayed on one compact device. We’d love to see it upgraded further with cellular connectivity in addition to WiFi; this would make it more capable when out and about.

We’ve seen some other neat hiking hacks before, too, like this antenna built with a hiking pole. Meanwhile, if you’ve got your own neat hacks for when you’re out on the trail, don’t hesitate to let us know!

hackaday.com/2024/11/22/enhike…

La Lamborghini Huracan del giocatore di baseball Kris Bryant è stata rubata mentre veniva trasportata a Las Vegas. Gli aggressori sono riusciti a modificare il percorso di consegna, ma l’auto è stata recuperata in meno di una settimana, il che ha aiutato a rintracciare diversi sospettati e altre auto rubate.

Il giocatore dei Colorado Rockies ha incaricato una compagnia di trasporti di trasportare una Lamborghini Huracan dal Colorado a Las Vegas, Nevada, dove l’atleta ha giocato in bassa stagione. L’auto però non è mai arrivata a destinazione. La polizia ne ha registrato la scomparsa il 2 ottobre e ha avviato un’indagine.

Si è scoperto che la compagnia di trasporti è stata vittima di un attacco BEC, che ha permesso ai criminali di organizzare il trasporto non autorizzato di automobili in tutto il paese. Grazie all’analisi dei dati provenienti dalle telecamere di riconoscimento targhe, è stato possibile ricostruire il percorso di movimento del camion e del rimorchio che hanno consegnato la Lamborghini.

La Lamborghini Huracan del 2023 presentava modifiche uniche che hanno contribuito a identificare l’auto quando un agente di polizia di Las Vegas l’ha avvistata. L’auto è stata ritrovata il 7 ottobre nella zona di Las Vegas e le persone coinvolte nel rapimento sono state arrestate.

Il conducente della Lamborghini ha affermato di possedere un’autofficina e di aver ricevuto una richiesta da uno sconosciuto in Texas per riparare il sistema elettronico dell’auto. Un altro sospettato è stato arrestato all’aeroporto di Las Vegas, dove avrebbe dovuto ritirare la Lamborghini. Durante la perquisizione dell’auto, la polizia ha rinvenuto strumenti atti a scassinare l’auto.

La scoperta dell’auto è stata un anello chiave per scoprire una rete criminale più ampia. Nel corso di ulteriori indagini, la polizia ha ricevuto informazioni su altri membri del gruppo criminale, che hanno portato alla scoperta di altre due auto rubate, serie di numeri VIN falsi, documenti di immatricolazione falsi, chiavi elettroniche e strumenti per cambiare targa. Inoltre, nell’ambito del caso, è stato possibile restituire un’altra auto rubata in precedenza in California.

Sebbene Bryant non sia stato nominato nella dichiarazione ufficiale della polizia, il Denver Post ha collegato l’incidente a lui.

L'articolo Caccia alla Lamborghini Huracan Rubata a Kris Bryant! Dietro l’Attacco una Rete Criminale proviene da il blog della sicurezza informatica.

La polizia sudcoreana ha confermato il coinvolgimento di hacker legati all’intelligence nordcoreana in un grave furto della criptovaluta Ethereum nel 2019. L’importo dei beni rubati in quel momento era stimato a 41,5 milioni di dollari.

Più della metà dei fondi rubati sono stati riciclati attraverso 3 scambi di criptovalute creati dagli stessi hacker. I fondi rimanenti sono stati distribuiti su 51 piattaforme. I criminali si sono infiltrati nell’exchange di criptovalute in cui era archiviato Ethereum e hanno prelevato 342.000 ETH. Oggi il loro valore supera il miliardo di dollari.

Il nome dell’exchange non è stato specificato nella dichiarazione, ma nel 2019 l’exchange sudcoreano Upbit ha segnalato un trasferimento non autorizzato di 342.000 ETH su un wallet sconosciuto. Non è specificato se questi due incidenti siano collegati.

Dall’inchiesta è emerso che l’attacco è stato effettuato dai gruppi Lazarus e Andariel, legati all’intelligence nordcoreana. I risultati si basano sull’analisi degli indirizzi IP e sul tracciamento delle risorse. Ciò ha segnato la prima volta che la Corea del Nord ha colpito un exchange di criptovalute sudcoreano.

Le forze dell’ordine sono riuscite a rintracciare 4,8 BTC trasferiti su uno scambio di criptovalute svizzero. Nel mese di ottobre gli asset sono stati restituiti alla piattaforma sudcoreana. Oggi il loro valore è di circa 427.800 dollari. La Corea del Nord nega il coinvolgimento in attacchi informatici e furti di criptovalute.

Secondo l’ONU, dal 2017 al 2024, gli hacker nordcoreani hanno effettuato 97 attacchi informatici contro società di criptovalute, causando danni per circa 3,6 miliardi di dollari. Tra gli attacchi c’era un attacco allo scambio di criptovalute HTX: nel novembre 2023 gli hacker hanno rubato 147,5 milioni di dollari e ha riciclato il bottino a marzo del 2024.

L'articolo Gli Hacker Nordcoreani Rubano 1 Miliardo di Dollari ad un Exchange della Corea del Sud proviene da il blog della sicurezza informatica.

The world of security research is no stranger to the phenomenon of not-a-vulnerability. That’s where a security researcher finds something interesting, reports it to the project, and it turns out that it’s something other than a real security vulnerability. There are times that this just means a researcher got over-zealous on reporting, and didn’t really understand what was found. There is at least one other case, the footgun.

A footgun is a feature in a language, library, or tool that too easily leads to catastrophic mistake — shooting ones self in the foot. The main difference between a footgun and a vulnerability is that a footgun is intentional, and a vulnerability is not. That line is sometimes blurred, so an undocumented footgun could also be a vulnerability, and one possible solution is to properly document the quirk. But sometimes the footgun should really just be eliminated. And that’s what the article linked above is about. [Alex Leahu] takes a look at a handful of examples, which are not only educational, but also a good exercise in thinking through how to improve them.

The first example is Tesla from the Elixer language. Tesla is an HTTP/HTTPS client, not unlike libcurl, and the basic usage pattern is to initialize an instance with a base_url defined. So we could create an instance, and set the URL base to [url=https://hackaday.com/feed/]https://hackaday.com/feed/[/url]. Then, to access a page or endpoint on that base URL, you just call a Tesla.get(), and supply the client instance and path. The whole thing might look like:

client = build_client(config, "https://hackaday.com", headers)
response = Tesla.get(client, "/floss")

All is well, as this code snippet does exactly what you expect. The footgun comes when your path isn’t just /floss. If that path starts with a scheme, like http:// or https://, the base URL is ignored, and path is used as the entire URL instead. Is that a vulnerability? It’s clearly documented, so no, definitely not. Is this a footgun, that is probably responsible for vulnerabilities in other code? Yes, very likely. And here’s the interesting question: What is the ideal resolution? How do you get rid of the footgun?

There are two related approaches that come to mind. The first would be to add a function to the library’s API, a Tesla.get_safe() that will never replace the base URL, and update the documentation and examples to use the safe version. The related solution is to then take the extra step of deprecating the unsafe version of the function.

The other example we’ll look at is Psychopg, a PostSQL driver library for Python. The example of correctly using the driver is cur.execute("INSERT INTO numbers VALUES (%s, %s)", (10, 20)), while the incorrect example is cur.execute("INSERT INTO numbers VALUES (%s, %s)" % (10, 20)). The difference may not seem huge, but the first example is sending the values of 10 and 20 as arguments to the library. The second example is doing an printf-like Python string formatting with the % operator. That means it bypasses all the protections this library has to prevent SQL injection. And it’s trivially easy because the library uses % notation. The ideal solution here is pretty straightforward. Deprecate the % SQL notation, and use a different character that isn’t overloaded with a particularly dangerous language functino.

Wormable Bing

[pedbap] went looking for a Cross-Site Scripting (XSS) flaw on Microsoft’s services. The interesting thing here is that Bing is part of that crowd of Microsoft websites, that users automatically get logged in to with their Microsft accounts. An XSS flaw there could have interesting repercussions for the entire system. And since we’re talking about it, there was obviously something there.

The flaw in question was found on Bing maps, where a specific URL can load a map with custom features, though the use of json file specified in the URL. That json file can also include a Keyhole Markup Language file, a KML. These files have a lot of flexibility, like including raw HTML. There is some checking to prevent running arbitrary JavaScript, but that was defeated with a simple mixed case string: jAvAsCriPt:(confirm)(1337). Now the example does require a click to launch the JS, so it’s unclear if this is actually wormable in the 0-click sort of way. Regardless, it’s a fun find, and netted [pedbap] a bounty.

youtube.com/embed/_brKdFmYGdI?…

Right There in Plain Text

[Ian] from Shells.Systems was inside a Palo Alto Global Protect installation, a VPN server running on a Windows machine. And there was something unusual in the system logs. The log contained redacted passwords. This is an odd thing to come across, particularly for a VPN server like this, because the server shouldn’t ever have the passwords after creation.

So, to prove the point, [Ian] wrote an extractor program, that grabs the plaintext passwords from system memory. As far as we can tell, this doesn’t have a CVE or a fix, as it’s a program weakness rather than a vulnerability.

Your Gogs Need to Go

Speaking of issues that haven’t been patched, if you’re running gogs, it’s probably time to retire it. The latest release has a Remote Code Execution vulnerability, where an authenticated user can create a symlink to a real file on the gogs server, and edit the contents. This is a very quick route to arbitrary code execution.

The real problem here isn’t this specific vulnerability, or that it hasn’t been patched yet, or even that gogs hasn’t seen a release since 2023. The real problem is that the project seems to have been almost completely abandoned. The last change was only 2 weeks ago, but looking through the change log, almost all of the recent changes appear to be automated changes. The vulnerability was reported back in August, the 90 day disclosure deadline came and went, and there was never a word from the project. That’s concerning. It’s reminiscent of the sci-fi trope, when some system keeps running itself even after all the humans have left.

Bits and bytes

The NPM account takeover hack now has an Open Source checking tool. This is the issue of expired domains still listed on the developer email addresses on NPM packages. If an attacker can register the dangling domain, it’s possible to take over the package as well. The team at Laburity are on it, with the release of this tool.

Lutra Security researchers have an interesting trick up their sleeves, when it comes to encrypted emails. What if the same encrypted text encrypted to different readable messages for each different reader? With some clever use of both encryption and the multipart/alternative MIME type, that;s what Salamander/MIME pulls off.

And finally, it’s time to dive in to DOMPurify bypasses again. That’s the JavaScript library for HTML sanitizing using the browser’s own logic to guarantee there aren’t any inconsistent parsing issues. And [Mizu] has the lowdown on how to pull off an inconsistent parsing attack. The key here is mutations. When DOMPurify runs an HTML document through the browser’s parsing engine, that HTML is often modified — hence the Purify in the title. What’s not obvious is that a change made during this first iteration through the document can have unexpected consequences for the next iteration through the document. It’s a fun read, and only part one, so keep your eyes peeled for the rest of it!

hackaday.com/2024/11/22/this-w…

Old-school technology can spark surprising innovations. By combining the vintage zoetrope concept with digital displays, [Mike Ando] created the Andotrope, a surprisingly simple omnidirectional display.

Unlike other 3D displays, the Andotrope lets you view a normal 2D video or images that appear identical irrespective of your viewing angle. The prototype demonstrated in the video below consists of a single smart phone and a black cylinder spinning at 1,800 RPM. A narrow slit in front of each display creates a “scanning” view that our brain interprets as a complete image, thanks to persistence of vision. [Mike] has also created larger version with a higher frame rate, by mounting two tablets back-to-back.

Surprisingly, the Andotrope appears to be an original implementation, and neither [Mike] nor we can find any similar devices with a digital display. We did cover one that used a paper printout in a a similar fashion. [Mike] is currently patenting his design, seeing the potential for smaller displays that need multi-angle visibility. The high rotational speed creates significant centrifugal force, which might limit the size of installations. Critically, display selection matters — any screen flicker becomes glaringly obvious at speed.

This device might be the first of its kind, but we’ve seen plenty of zoetropes over the years, including ones with digital displays or ingenious time-stretching tricks.

youtube.com/embed/YxkUCFis668?…

hackaday.com/2024/11/22/a-surp…