Gli aggressori stanno utilizzando una vulnerabilità critica nel plugin Hunk Companion per WordPress, avvertono gli esperti. Con questo problema gli hacker criminali installano sui siti web altri plugin vulnerabili che possono aprire la porta a ulteriori attacchi.

La vulnerabilità ha ricevuto l’identificatore CVE-2024-11972 (9,8 punti sulla scala CVSS) e colpisce tutte le versioni del plugin fino alla versione patchata 1.9.0 rilasciata ieri.

Il plugin Hunk Companion è progettato per integrare e migliorare la funzionalità dei temi sviluppati da ThemeHunk e conta oltre 10.000 installazioni attive. Allo stesso tempo, ad oggi, solo il 12% circa degli utenti ha installato la patch, il che significa che circa 9.000 siti sono ancora vulnerabili al problema.

“La vulnerabilità rappresenta un rischio significativo per la sicurezza perché consente agli aggressori di installare plug-in vulnerabili e obsoleti, che possono quindi essere utilizzati per attacchi RCE (Remote Code Execution), SQL injection, cross-site scripting (XSS) e persino per la creazione di file amministrativi. backdoor”, avverte gli esperti di WPScan.

Gli aggressori possono anche utilizzare plugin obsoleti o abbandonati per aggirare le misure di sicurezza, falsificare le voci del database, eseguire script dannosi e prendere completamente il controllo dei siti vulnerabili.

Gli analisti di WPScan hanno scoperto il problema CVE-2024-11972 mentre analizzavano un’infezione su un sito senza nome che eseguiva WordPress. Si è scoperto che gli aggressori stanno già sfruttando attivamente il bug per installare il plugin WP Query Console e quindi sfruttare la vulnerabilità RCE in esso contenuta per eseguire codice PHP dannoso. Di conseguenza, gli hacker ottengono l’accesso backdoor alla risorsa.

Tuttavia, il CVE-2024-11972 è un problema di bypass della patch per un’altra vulnerabilità simile in Hunk Companion: CVE-2024-9707 (punteggio CVSS 9,8). Questo problema rendeva possibile anche l’installazione e l’attivazione di plugin aggiuntivi e, a quanto pare, non è stato completamente eliminato dagli sviluppatori nella versione 1.8.5.

Vale la pena notare che la vulnerabilità RCE menzionata nel plug-in WP Query Console (CVE-2024-50498, 10 su 10 sulla scala CVSS) rimane senza patch fino ad oggi.

I ricercatori spiegano che la vulnerabilità di Hunk Companion sotto attacco è dovuta a un errore nello script hunk-companion/import/app/app.php. Il bug consente alle richieste non autenticate di aggirare i controlli che dovrebbero essere utilizzati per verificare se l’utente corrente ha il permesso di installare plugin. Di conseguenza, l’aggressore è in grado di installare plugin arbitrari utilizzando richieste POST non autenticate.

Data la gravità del problema e degli attacchi rilevati, si consiglia a tutti gli utenti di Hunk Companion di aggiornare il prima possibile alla versione 1.9.0.

L'articolo WordPress Sotto Attacco! Gli Hacker Criminali Stanno Sfruttando il Plugin Hunk Companion proviene da il blog della sicurezza informatica.

How often have you wished to have an instruction manual — or, at least, a Unix man page — for life? Well, your wait is over. Of course, you probably were hoping for instructions on how to navigate life, but [cve’s] mott program plays life inside a man page. That might not be as useful as a real manual for life, but it is still pretty cool.

To understand what’s happening, you have to understand how man pages work. They use an old form of markup known as roff, which later begat nroff and troff. While roff is made to do crude word processing at the dawn of Unix, it is also a Turing-complete language.

You do need groff installed and, of course, man. If you have all that, you can get a live demo with:
curl codeberg.org/cve/mott/raw/bran… | man -l -
We’ll leave understanding all the macros involved as an exercise for the reader, but we are certainly impressed with the audacity of the idea and the implementation.

We would ask if it could play Doom, but we are afraid someone would answer yes and then show us. If you think markup is old-fashioned, don’t be too sure. (Although the underlying project is now at a new URL)

hackaday.com/2024/12/15/finall…

It looks like we won’t have Cruise to kick around in this space anymore with the news that General Motors is pulling the plug on its woe-beset robotaxi project. Cruise, which GM acquired in 2016, fielded autonomous vehicles in various test markets, but the fleet racked up enough high-profile mishaps (first item) for California regulators to shut down test programs in the state last year. The inevitable layoffs ensued, and GM is now killing off its efforts to build robotaxis to concentrate on incorporating the Cruise technology into its “Super Cruise” suite of driver-assistance features for its full line of cars and trucks. We feel like this might be a tacit admission that surmounting the problems of fully autonomous driving is just too hard a nut to crack profitably with current technology, since Super Cruise uses eye-tracking cameras to make sure the driver is paying attention to the road ahead when automation features are engaged. Basically, GM is admitting there still needs to be meat in the seat, at least for now.

Speaking of accidents, the results of the first aircraft accident investigation on another world were released this week, and there were a few surprises. Ingenuity, the little helicopter that hitched a ride to Mars in the belly of the Perseverance rover in 2021, surpassed all expectations by completing 71 flights successfully and becoming an integral part of the search for ancient life on Mars. But flight 72 proved to be a bridge too far and ended with a hard landing that terminally damaged its rotor system. At the time it was speculated that the relatively bland terrain it was flying over at the time of the accident was the root cause. This was confirmed by analysis of the flight logs, but the degree to which the flight computer’s down-looking navigation camera was confused by the featureless dunes is new information. As for why the rotor blades broke, it doesn’t appear that it was because they impacted the surface. Rather, as Scott Manley points out, the blades appear to have broken at their weakest point due to extreme flexing induced by the high vertical speed while touching down on a slope, which caused one set of legs to hit the surface before the others.

Also roughly in the realm of space-based failures comes the story of a hapless senior citizen in New York who has been issued thousands of dollars in traffic tickets because of her love for Star Trek. Years ago, Long Island resident Beda Koorey got a New York vanity license plate for her car emblazoned with “NCC-1701,” the registration number of the USS Enterprise. She turned in those plates years ago when she gave up driving, but in the meantime, novelty NCC-1701 plates began popping up on Amazon and other sites. They were clearly not intended to be used on cars, but that didn’t stop some people from putting them on over their real plates in an attempt to defeat traffic cameras. It worked, at least from their point of view, since it left poor Beda with a collection of tickets for speeding and red light violations from as far away as Chicago. She even got a ticket for a violation committed by a motorcycle with a phony plate, which you think would not map to the registration for an automobile, but there you go. We always knew it was hard to be a Trekkie, especially back in the ’70s, but at least it never cost us much money. It did cost us a lot of dates, though.

We featured plenty of stories of start-up tech companies with the next must-have IoT device that fold up shop after a few years and abandon their users by effectively bricking their widgets. Heck, we’ve even suffered that fate ourselves; curse you, Logitech, for killing the SqueezeBox. However, one company recently took IoT bricking to a new low by ending support for a line of AI-powered companion bots for kids. The company was called Embodied, and they hawked $800 AI bots for kids called Moxie, with a cute face and a huggable form factor that kids couldn’t help falling in love with. Embodied couldn’t make a go of it financially and since Moxie uses a cloud-based LLM to interact with kids, the bots are now bricked. This leaves parents who invested in these devices with the quandary of having to explain to young kids that their robot pal is dead. Some of the TikToks of parents breaking the news are heartbreaking, and we can’t help but think that this is a perfect opportunity for someone in our community to reverse-engineer these things and bring them back to life.

And finally, the burning of the Yule Log is an ancient tradition, one that reminds us of the time our grandfather brought an entire telephone pole that had washed up on the beach home and burned it for days on end, feeding it slowly into the fireplace in the living room through the open front door. Good times. Not everyone is blessed with a fireplace in their abode, though, which has given rise to the popularity of video Yule Logs that you can just play on your TV. And now NASA is in on the action with an eight-hour 4K video of the SLS main engines and boosters. Framed by a lovely stone fireplace and replete with crackling wood sound effects over the subdued roar of the four RS-25 engines and twin solid-fuel boosters, it’ll make a nice addition to your holiday festivities. Although given that NASA just announced that the next Artemis missions are delayed until at least 2026, we’re not sure that it’s a great idea to show a rocket that never lifts off. You’ll also want to be careful that the neighbors don’t see the action.

youtube.com/embed/_cgTVTwu4nw?…

hackaday.com/2024/12/15/hackad…

Negli ultimi anni, il riconoscimento facciale è entrato a far parte della nostra vita quotidiana in modi che forse neanche immaginiamo. Dallo sblocco dei nostri smartphone ai controlli di sicurezza negli aeroporti, questa tecnologia si sta diffondendo sempre di più. Ma dietro l’apparente comodità e sicurezza, si nascondono anche delle preoccupazioni reali: violazioni della privacy, sorveglianza di massa e possibili abusi.

Come Funziona il Riconoscimento Facciale

Il riconoscimento facciale si basa su algoritmi di intelligenza artificiale che analizzano le caratteristiche uniche del nostro volto. Quando una fotocamera cattura la nostra immagine, il sistema rileva punti chiave del viso, come la distanza tra gli occhi, la forma del naso e della bocca, creando una sorta di “impronta digitale” del volto. Questa “impronta” viene poi confrontata con un database di immagini per trovare una corrispondenza e confermare l’identità della persona.

Le Tecnologie che Usiamo Ogni Giorno

Alcune delle applicazioni più comuni del riconoscimento facciale sono ormai parte della nostra routine. Ad esempio:

• Face ID di Apple o Face Unlock sui dispositivi Android ci permettono di sbloccare i nostri telefoni con un semplice sguardo.
• Controlli di sicurezza negli aeroporti velocizzano il passaggio dei passeggeri, riconoscendo automaticamente il volto e riducendo i tempi di attesa.
• Alcune aziende usano sistemi simili per garantire l’accesso ai dipendenti nei propri uffici, migliorando la sicurezza.

Queste applicazioni sono comode e spesso ben accettate perché semplificano la nostra vita e sembrano innocue. Tuttavia, quando questa tecnologia viene utilizzata in contesti più complessi, sorgono questioni più delicate.

Quando il Riconoscimento Facciale Diventa Controverso

Prendiamo il caso di Clearview AI, un software pensato per le forze dell’ordine. Questa tecnologia raccoglie miliardi di immagini pubbliche da social network come Facebook, Instagram e LinkedIn per aiutare la polizia a identificare persone sospette. Sembra uno strumento utile per combattere il crimine, ma solleva grossi dubbi sulla privacy: le foto sono state raccolte senza alcun consenso, e molti si chiedono se sia giusto essere identificabili in qualsiasi momento senza averlo scelto.

Alcuni governi, come quello cinese, hanno portato il riconoscimento facciale a livelli estremi. In Cina, milioni di telecamere sorvegliano le strade e i luoghi pubblici, riconoscendo i cittadini in tempo reale. Questo sistema viene usato ufficialmente per garantire la sicurezza, ma può facilmente trasformarsi in uno strumento di controllo sociale e repressione politica.

I Vantaggi per la Sicurezza

Non si può negare che il riconoscimento facciale abbia anche aspetti positivi. Le forze dell’ordine possono usarlo per:

• Identificare rapidamente i criminali e risolvere casi più velocemente.
• Ritrovare persone scomparse, analizzando migliaia di immagini in pochi secondi per cercare volti simili.

Inoltre, le banche e le aziende possono usarlo per prevenire le frodi, verificando che chi accede ai servizi sia davvero la persona autorizzata.

I Rischi per la Privacy e la Libertà

Tuttavia, l’uso indiscriminato del riconoscimento facciale porta con sé grandi rischi. La privacy personale è messa a dura prova: possiamo essere monitorati senza saperlo, e i nostri dati biometrici potrebbero finire nelle mani sbagliate.

Inoltre, c’è il rischio che questa tecnologia non sia perfetta. Gli algoritmi possono commettere errori, soprattutto con persone di etnie diverse, causando identificazioni errate e potenziali ingiustizie.

Infine, c’è il pericolo di sorveglianza di massa. Se un governo decide di monitorare costantemente i cittadini, si rischia di limitare la libertà personale e reprimere il dissenso. Questo scenario non è fantascienza: in alcuni paesi sta già accadendo.

Come Bilanciare Sicurezza e Libertà

Il vero dilemma è trovare un equilibrio tra sicurezza e libertà individuale. È giusto voler vivere in un mondo più sicuro, ma dobbiamo chiederci a che prezzo. Leggi come il GDPR europeo cercano di proteggere la privacy, imponendo regole chiare su come i dati possono essere raccolti e utilizzati. Ma queste protezioni non sono universali e molti paesi non hanno regolamentazioni adeguate.

Inoltre, è fondamentale che ci sia trasparenza nell’uso di queste tecnologie. I cittadini dovrebbero sapere quando e come vengono utilizzati i sistemi di riconoscimento facciale e avere il diritto di opporsi.

Il riconoscimento facciale è una tecnologia potente, con enormi potenzialità ma anche grandi pericoli. Se usato con responsabilità e regolamentato in modo chiaro, può migliorare la sicurezza e facilitare molte attività quotidiane. Ma senza controlli adeguati, rischia di trasformarsi in uno strumento di sorveglianza e controllo che minaccia la nostra libertà e la nostra privacy.

La chiave per il futuro sarà bilanciare innovazione e diritti umani, garantendo che questa tecnologia serva davvero le persone, senza controllarle.

L'articolo Riconoscimento Facciale: Opportunità e Pericoli di una Tecnologia Sempre Più Diffusa proviene da il blog della sicurezza informatica.

Most small-scale, residential rainwater harvesting systems we’ve seen rely on using an existing roof and downspout to collect water that would otherwise be diverted out into the environment. These are accessible for most homeowners since almost all of the infrastructure needed for it is already in place. [SuburbanBiology] already built one of these systems to take care of his potable water, though, and despite its 30,000 gallon capacity it’s not even close to big enough to also water his garden. But with some clever grading around his yard and a special rainwater system that harvests rain from the street instead of his roof, he’s capable of maintaining a lush food forest despite living through a drought in Texas.

For this build there are actually two systems demonstrated, one which is gravity-fed from the road and relies on one’s entire property sloping away from the street, and a slightly more complex one that’s more independent of elevation. Both start with cutting through a section of sidewalk to pass a 4″ PVC pipe through to the street where the stormwater runoff can be collected. The gravity-fed system simply diverts this into a series of trenches around the property while the second system uses a custom sump pump to deliver the water to the landscaping.

For a system like this a holding tank is not necessary; [SuburbanBiology] is relying on the soil on his property itself to hold onto the rainwater. Healthy, living soil can hold a tremendous amount of water for a very long time, slowly releasing it to plants when they need it. And, at least where he lives, a system like this is actually helpful for the surrounding environment as a whole since otherwise all of the stormwater runoff has to be diverted out of the city or cause a flood, and it doesn’t end up back in an aquifer. If you’re more curious about a potable water system instead, take a look at [SuburbanBiology]’s previous system.

youtube.com/embed/ZGsuOyzyYcI?…

hackaday.com/2024/12/15/rainwa…

For the amateur radio operator with that on-the-go lifestyle, nothing is more important than having your gear as light and packable as possible. If you’re lugging even a modest setup out into the woods, every ounce counts, which is why we love projects like this packable dipole antenna feedpoint.

At its simplest, a dipole antenna is just two pieces of wire cut to a specific, frequency-dependent length connected to a feedline. In practical terms, though, complications arise, such as keeping common-mode currents off the feedline and providing sturdy mechanical support for the antenna to suspend it safely. [Ham Radio Dude]’s design handles both those requirements while staying as small and packable as possible. The design starts with a bifilar 1:1 current balun, which is wound on an FT82-43 ferrite toroid with 22 AWG magnet wire. One side of the balun is connected to a BNC connector while the other is connected to a pair of Wago splice connectors that are glued together. A loop of paracord for mechanical strain relief is added, and the whole thing gets covered in heat-shrink tubing. The antenna is deployed by attaching a feedline to the BNC, clipping quarter-wave wires into the Wago terminals, and hoisting the whole thing aloft. Full build details are in the video below.

People will no doubt be quick to point out that these Wago terminals are rated for a minimum of 18 AWG wire, making them inappropriate for use with fine magnet wire. True enough, but [Dude] was able to get continuity through the Wagos, so the minimum gauge is probably more of an electrical code thing. Still, you’ll want to be careful that the connections stay solid, and it might pay to look at alternatives to the Wago brand, too.

youtube.com/embed/U5SdglQCC3U?…

hackaday.com/2024/12/15/wago-t…

Way back in 2008, Apple unveiled the first unibody Macbook with a chassis milled out of a single block of aluminum. Before that, essentially all laptops, including those from Apple, were flimsy plastic screwed together haphazardly on various frames. The unibody construction, on the other hand, finally showed that it was possible to make laptops that were both lightweight and sturdy. Apple eventually began producing iPhones with this same design style, and with the right tools and a very accurate set of calipers it’s possible to not only piece together the required hardware to build an iPhone from the ground up but also build a custom chassis for it entirely out of metal as well.

The first part of the project that [Scotty] from [Strange Parts] needed to tackle was actually getting measurements of the internals. Calipers were not getting the entire job done so he used a flatbed scanner to take an image of the case, then milled off a layer and repeated the scan. From there he could start testing out his design. After an uncountable number of prototypes, going back to the CAD model and then back to the mill, he eventually settles into a design but not before breaking an iPhone’s worth of bits along the way. Particularly difficult are the recessed areas inside the phone, but eventually he’s able to get those hollowed out, all the screw holes tapped, and then all the parts needed to get a working iPhone set up inside this case.

[Scotty] has garnered some fame not just for his incredible skills at the precision mill, but by demonstrating in incredible detail how smartphones can be user-serviceable or even built from scratch. They certainly require more finesse than assembling an ATX desktop and can require some more specialized tools, but in the end they’re computers like any other. For the most part.

youtube.com/embed/Yrl4OmS3bBA?…

hackaday.com/2024/12/15/an-iph…

La ricerca medica sta introducendo attivamente gemelli di organi digitali creati utilizzando l’intelligenza artificiale. La tecnologia consente di testare dispositivi medici come stent e valvole protesiche in modelli virtuali prima di essere testati sugli esseri umani.

Adsilico ha sviluppato un sistema di gemelli cardiaci digitali in grado di simulare varie caratteristiche biologiche, tra cui età, sesso, pressione sanguigna, nonché stato di salute ed etnia. Ciò aiuta a condurre studi su una varietà più ampia di pazienti virtuali rispetto a quanto possibile negli studi clinici tradizionali. L’uso dell’intelligenza artificiale consente di tenere conto delle caratteristiche anatomiche e delle reazioni fisiologiche, rendendo i test più accurati e sicuri.

L’efficacia di tali approcci è evidente nei dati sulla sicurezza dei dispositivi medici: dal 2008 al 2018 si sono verificati più di 83mila decessi e 1,7 milioni di feriti associati al loro utilizzo. Test approfonditi utilizzando i gemelli digitali possono ridurre significativamente questi tassi, nonché ridurre il numero di cause legali.

Il processo di test di Adsilico prevede la creazione di una copia digitale del dispositivo, che viene poi testata in un modello di cuore virtuale. Ciò consente di eseguire migliaia di simulazioni, simulando condizioni diverse, dall’ipertensione ai vari stadi della malattia. Questo approccio è meno costoso degli studi clinici tradizionali e apre maggiori opportunità di analisi.

Tecnologie simili sono utilizzate nello sviluppo di farmaci. Ad esempio, l’azienda farmaceutica Sanofi utilizza i gemelli digitali per ridurre le tempistiche dei test del 20%, il che può portare a risparmi significativi. I sistemi di intelligenza artificiale creano pazienti virtuali che partecipano a gruppi di controllo e placebo e simulano anche il modo in cui il farmaco viene assorbito dall’organismo. Ciò aiuta a prevedere le reazioni dei pazienti e a migliorare l’accuratezza degli studi.

Tuttavia, lo sviluppo dei gemelli digitali deve affrontare sfide legate alla qualità dei dati originali. La sottorappresentazione dei gruppi emarginati nei dati sanitari può comportare la persistenza di alcuni errori nelle simulazioni. Le aziende stanno cercando di risolvere questo problema utilizzando dati provenienti da fonti esterne come biobanche e cartelle cliniche elettroniche.

La tecnologia dei gemelli digitali ha il potenziale per sostituire la sperimentazione sugli animali, ancora utilizzata nell’industria medica. Un modello di cuore virtuale è già più vicino a un vero organo umano che a un cuore animale, il che lo rende più promettente per la ricerca.

È evidente che questi sistemi richiederanno una quantità enorme di dati provenienti da casi reali, rendendo i dati sanitari sempre più preziosi. Di conseguenza, tali informazioni potrebbero diventare un obiettivo privilegiato per l’underground criminale, con un aumento degli attacchi informatici mirati agli ospedali.

L'articolo Rivoluzione Medica in Arrivo! Le AI creano i Gemelli Digitali e i Dati Sanitari Saranno sempre più preziosi proviene da il blog della sicurezza informatica.

Suchir Balaji – che ha lasciato OpenAi questo agosto – si è chiesto se l’Intelligenza artificiale generativa sia davvero regolata da un uso corretto. Secondo la sua ricerca l’uso di dati protetti da copyright da parte di OpenAI violerebbe la legge e tecnologie come ChatGPT starebbero danneggiando Internet, oltre che apportare alla società più danni che benefici. La sua morte – avvenuta per suicidio il 14 dicembre 2024 – riporta alla luce una visione etica dell’innovazione nella battaglia per un’intelligenza artiiciale più responsabile di chi mette in discussione l’operato delle Big Tech.

“Negli ultimi due anni – ha rivelato Balji al New York Times – un certo numero di individui e aziende hanno fatto causa a varie aziende di intelligenza artificiale, tra cui OpenAI, sostenendo che hanno utilizzato illegalmente materiale protetto da copyright per addestrare le loro tecnologie”, cause che potrebbero avere un impatto significativo sullo sviluppo dell’IA negli USA.

Tra queste aziende – come riporta Harvard Law Today – ci sarebbe il New York Times, secondo il quale ChatGBT avrebbe fatto scraping di parti fondamentali di suoi contenuti creando proprie librerie (con materiale non concesso in licenza): una pratica che indebolirebbe il modello di business del Times, che – secondo i legali “si basa su licenze, abbonamenti e ricavi pubblicitari”. Tuttavia secondo Mason Kortz – istruttore presso la Harvard Law School Cyberlaw Clinic presso il Berkman Klein Center for Internet & Society – il New York Times dovrebbe dimostrare che gli elementi copiati includano un’espressione protetta e che la quantità utilizzata da parte dell’IA sia corretta.

Ebbene Suchir Balaji definisce l’uso corretto in base ad un bilanciamento di 4 fattori (di cui 1 e 4 tendono ad essere i più importanti), basati sulla Sezione 107 del Copyright Act del 1976, che regola l’uso corretto di un’opera protetta da copyright:

1. lo scopo e il carattere dell’uso, incluso se tale uso è di natura commerciale o è per scopi educativi senza scopo di lucro,
2. la natura dell’opera protetta da copyright,
3. la quantità e la sostanzialità della porzione utilizzata in relazione all’opera protetta da copyright nel suo complesso,
4. l’effetto dell’uso sul potenziale mercato o valore dell’opera protetta da copyright.

Nessuno dei quattro fattori sembra pesare a favore del fatto che ChatGPT si fondi su un uso corretto dei suoi dati di training. “Sebbene i modelli generativi raramente producano output sostanzialmente simili a uno qualsiasi dei loro input di training – spiega Balaji – “il processo di training di un modello generativo comporta la creazione di copie di dati protetti da copyright”.

Fonte immagine: Suchir Balaji, When does generative AI qualify for fair use?

L’addestramento suI dati protetti da copyright senza accordo di licenza è un tipo di danno di mercato

Il processo di training di un modello generativo comporta la creazione di copie di dati protetti da copyright: quindi se queste copie non sono autorizzate – e senza regolamentazione – “ciò potrebbe potenzialmente essere considerato una violazione del copyright, a seconda che l’uso specifico del modello si qualifichi o meno come “uso corretto”, determinato necessariamente caso per caso. Balaji ha sostenuto che le pratiche di OpenAI stanno distruggendo la redditività commerciale di individui, aziende e servizi Internet, creando contenuti che competono direttamente con le fonti di dati originali, minandone l’uso corretto. Tornando al New York Times, i modelli generativi potrebbero avere un effetto lesivo sul mercato dell’originale: senza una buona regolamentazione – basata sulla trasparenza – e tasse di licenza si potrebbe parlare di danno del mercato, questione legata anche al whistleblowing di Suchir Balaji, secondo cui la società di Sam Altman, ha reperito enormi quantità di dati digitali da Internet per addestrare i suoi modelli di intelligenza artificiale, facendo copie non autorizzate dei dati protetti da copyright e creando versioni simili agli originali, senza rispettare le disposizioni sull’uso corretto.

“Questo non è un modello sostenibile per l’ecosistema di Internet” _ [Suchir Balaji, New York Times, ottobre 2024].

Le tecnologie di intelligenza artificiale generativa, stanno rivoluzionando l’acquisizione di informazioni e la produzione di contenuti in una varietà di domini. La studio “The consequences of generative AI for online knowledge communities”, pubblicato a maggio 2024, ha rilevato la forte influenza di ChatGPT sull’attività degli utenti di comunità di sviluppatori di come Stack Overflaw con il conseguente “calo sia nelle visite al sito che nei volumi di domande su Stack Overflow, in particolare sugli argomenti in cui ChatGPT eccelle”. Stack Overflaw però con Reddit, The Associated Press, News Corp, ha firmato degli accordi con gli sviluppatori di modelli come OpenAI e Google.

[strong]Fonte immagine:[/strong] Gordon Burtch, Dokyun Lee & Zhichen Chen, The consequences of generative AI for online knowledge communities (Cit)

Anche considerando gli impatti positivi – miglioramento della produttività utente – il pericolo è che gli LLM possano sostituire del tutto le comunità di conoscenza online – con il peggioramento di ogni tipo di interazione interpersonale (anche nei luoghi di lavoro) – oltre al fatto che la loro produzione di contenuti errati (allucinazioni) sia da prendere in seria considerazione.

Il problema dello sfruttamento dei dati protetti da copyright senza licenza o compensi per gli autori, evidenziato da Suchir Balaji è significativo: uno strumento come ChatGBT potrebbe entrare in competizione con gli stessi contenuti originali degli autori, danneggiando loro, gli hub di informazione e le arti creative, con il rischio ulteriore di avvelenamento dei contenuti originali e la generazione di informazioni false o fuorvianti.

Fonte immagine: Gordon Burtch, Dokyun Lee & Zhichen Chen, The consequences of generative AI for online knowledge communities (Cit)

Migliaia di artisti – e da tempo – si sono infine schierati contro la pratica di addestrare l’intelligenza artificiale generativa con materiale protetto da copyright e senza licenza: “spendono somme ingenti per persone ed eleborazione” ha detto Newton-Rex, fondatore di Fairly Trained “si aspettano di prendere gratuitamente i dati di addestramento”, termine disumanizzante che sarebbe “il lavoro delle persone, la loro scrittura, la loro arte, la loro musica”.

L'articolo Intelligenza Artificiale generativa e copyright, Suchir Balaji: “Internet sta volgendo al peggio” proviene da il blog della sicurezza informatica.

Wood heat offers unique advantages compared to more modern heating systems, especially in remote areas. But it also comes with its own challenges, namely, keeping the fire going at the optimum temperature. If it’s too cold you risk buildup in the chimney, but if you’ve got it stoked up more than necessary, you’ll end up burning through your wood faster.

To keep the fire in that sweet spot, [Jay] decided to put an ESP8266 and a thermocouple to work. Now, this might seem like an easy enough job at first, but things are complicated by the fact that the flue temperature above the stove lags considerably behind the temperature inside the stove. There’s also the fact that the top of the chimney will end up being much colder than the bottom.
Mounting the thermocouple in the flue pipe.
In an effort to get a more complete view of what’s happening, [Jay] plans on putting at least two thermocouples in the chimney. But as getting on the roof in December isn’t his idea of fun, for now, he’s starting with the lower one that’s mounted right above the stove. He popped a hole in the pipe to screw in a standard K-type probe, and tapped it a few times with the welder to make sure it wasn’t going anywhere.

From there, the thermocople connects to a MAX6675 amplifier, and then to the WeMos D1 Mini development board that’s been flashed with ESPHome. [Jay] provides the configuration file that will get the flue temperature into Home Assistant, as well as set up notifications for various temperature events. The whole thing goes into a 3D printed box, and gets mounted behind the stove.

This project is a great example on how you can get some real-world data into Home Assistant quickly and easily. In the future, [Jay] not only wants to add that second thermocouple, but also look into manipulating the stove’s air controls with a linear actuator. Here’s hoping we get an update as his woodstove learns some new tricks.

hackaday.com/2024/12/15/esp826…

Il Birmania ha arrestato 45 persone sospettate di coinvolgimento in un importante sistema di frode online nello Stato Shan. Durante il raid, la polizia ha sequestrato attrezzature Starlink, telefoni cellulari e armi. Quali misure verranno applicate ai detenuti non è ancora stata specificata. Tra i detenuti ci sono anche 18 cittadini cinesi.

I residenti di Tangyan, dove hanno avuto luogo le operazioni di contrasto, affermano che le bande di truffatori continuano ad operare nonostante gli arresti e le incursioni delle agenzie di intelligence. I criminali spesso si spostano da un posto all’altro per evitare il confronto con la polizia. Dopo una serie di arresti alla fine del 2023, molti gruppi si sono trasferiti a Tangyan dall’area di Pang San. I residenti locali notano che i truffatori si comportano in modo vistoso: guidano auto costose ed erigono alte recinzioni attorno alle loro case, dove vivono e lavorano allo stesso tempo.

Operazioni criminali sono attive anche nella città di Muse, al confine con la Cina, che è sotto il controllo della giunta. Secondo testimoni oculari, alcuni gruppi collaborano con le autorità locali, ricevendone protezione.

Dal 2023, la Cina ha intensificato la lotta contro i sistemi fraudolenti collaborando con Thailandia, Laos e Myanmar. Durante questo periodo furono arrestati più di 53.000 cittadini cinesi sospettati di tali crimini. A novembre, il capo del governo militare del Myanmar ha visitato la Cina per discutere della lotta alla criminalità transfrontaliera. Tuttavia, i residenti locali credono che la maggior parte degli arresti siano solo una messinscena per compiacere Pechino.

In un contesto di arresti, si è saputo di una ragazza laotiana che è stata tenuta prigioniera da truffatori nello stato di Karen per 2 anni. È costretta a lavorare dalle 10 alle 19 ore al giorno e i tentativi di frode falliti sono punibili con la tortura. La famiglia della prigioniera ha chiesto aiuto, ma si è rivelato quasi impossibile riportare la ragazza dalle zone non controllate dalle autorità del Myanmar. Secondo gli attivisti per i diritti umani, decine di cittadini laotiani lavorano ancora sotto stretto controllo per bande canaglia in Myanmar.

Con l’inizio della pandemia di COVID-19 e l’aumento dei controlli alle frontiere tra Cina e Myanmar, i gruppi etnici hanno iniziato ad abbracciare l’economia illecita digitale, abbandonando la vendita di sostanze illecite. Le frodi online, comprese le truffe sugli investimenti e le estorsioni finanziarie, sono diventate una nuova fonte di reddito. Le operazioni coinvolgono spesso casinò dove le vittime della tratta lavorano in condizioni simili alla schiavitù.

A febbraio è stato rivelato che la “fabbrica della truffa” KK Park, di recente costruzione, al confine tra Myanmar e Thailandia, aveva guadagnato quasi 100 milioni di dollari in meno di due anni. I dipendenti della fabbrica sono costretti a commettere frodi come The Pig Butchering Scam, una truffa in cui un truffatore guadagna la fiducia di una vittima attraverso la corrispondenza online e poi la induce a fare investimenti fittizi.

Ricordiamo che dall’estate del 2023 la Cina chiede con insistenza alle autorità del Myanmar di adottare misure severe contro numerose enclave di truffatori informatici che operano nelle zone di confine. Il motivo è stata un’ondata di frodi con il sistema della “macellazione di maiali”, le cui vittime erano cittadini cinesi. Le attività delle enclavi criminali nelle zone di confine del Myanmar si basavano sull’uso del lavoro forzato di persone portate lì illegalmente dai paesi vicini.

Ricordiamo il report da noi emesso dal titolo “Dal Cybercrime al Cyber Organized Crime (COC)” che riporta con precisione come il crimine informatico stia sempre più virando verso il crimine organizzato.

L'articolo Fabbriche della truffa in Birmania : arresti, schiavitù e milioni di dollari di frodi digitali proviene da il blog della sicurezza informatica.

One of the major reasons why using Linux on a desktop system is unsuitable for many is due to the lack of Linux support for many major applications, including Autodesk Fusion 360. Naturally, using Wine this should be easy in an ideal world, but realistically getting something like Fusion 360 set up and ready to log in with Wine will take some serious time. Fortunately [Steve Zabka] created some shell scripts to automate the process. As demonstrated by [Tech Dregs] on YouTube, this seems to indeed work on a Fedora system, with just a few glitches.

Among these glitches are some rendering artefacts like application controls remaining on the desktop after closing the application, in-application line rendering and [Tech Dregs] was unable to switch from the DirectX 9 renderer to the DirectX 11 one. Since Fusion 360 will soon drop DirectX 9 and OpenGL support, this would seem to be rather an important detail. The GitHub project seems to indicate that this should work, but [Tech Drags] reported only getting a black screen after switching.

Clearly, using applications like Fusion 360 on Linux isn’t quite what you’d want to use for a production workflow in a commercial setting (even ignoring lack of Autodesk support), but it could be useful for students and others who’d like to not switch to Windows or MacOS just to use this kind of software for a course or hobbyist use.

youtube.com/embed/K_RtWSyY6Cc?…

hackaday.com/2024/12/15/runnin…

Il VLAN hopping è una tecnica di attacco che permette a un malintenzionato di inviare pacchetti di dati da una VLAN (Virtual LAN) a un’altra, superando le limitazioni di sicurezza che di norma isolano il traffico tra VLAN diverse.

Questo tipo di attacco sfrutta configurazioni di rete mal gestite e, in una rete vulnerabile, consente a un intruso di accedere a risorse a cui non dovrebbe avere diritto. In questo articolo analizzeremo i dettagli tecnici di questa tecnica, come viene implementata con uno script Python, il contesto di rete in cui può verificarsi e come prevenire tali attacchi.

VLAN Hopping in Pratica: Manipolazione dei Tag VLAN con Python

Per effettuare un attacco di VLAN hopping, si può utilizzare un approccio basato su script Python che sfrutta la libreria Scapy. Scapy è una libreria potente ideale per creare e manipolare pacchetti di rete personalizzati. In questo scenario, lo script genera frame Ethernet con tag VLAN specifici e manipolati per forzare il traffico a “saltare” da una VLAN all’altra.

In genere, una VLAN serve per isolare il traffico di rete. Per esempio, dispositivi collegati alla VLAN 1 non dovrebbero comunicare con dispositivi della VLAN 2 senza passare da un router o un firewall configurato appositamente. Tuttavia, con la manipolazione dei tag VLAN all’interno dei pacchetti Ethernet, lo script riesce a far apparire i pacchetti come se appartenessero a un’altra VLAN.

Nella pratica, questo metodo inserisce nei pacchetti più tag VLAN (detti anche Double Tagging o persino Triple Tagging) per eludere le misure di sicurezza normalmente implementate sugli switch di rete.

Comprensione della Configurazione della Rete: Il Contesto dell’Attacco

Un attacco di VLAN hopping è possibile solo in un contesto di rete specifico e vulnerabile. Nel caso di una rete basata su switch configurati in modo errato, come una rete che utilizza porte trunk e VLAN native non protette, un attaccante può manipolare i pacchetti per forzare il salto del traffico a un’altra VLAN.

In una configurazione tipica:

• Gli switch utilizzano porte trunk per instradare traffico fra VLAN diverse.
• Viene definita una VLAN nativa per le porte trunk, che è la VLAN che invia e riceve traffico non taggato.

Se la VLAN nativa è configurata male (spesso lasciata al valore di default), può essere sfruttata per comunicare con VLAN che dovrebbero essere isolate. Questo problema può essere analizzato e verificato utilizzando strumenti di analisi della rete come Wireshark, che cattura i pacchetti trasmessi e consente di osservare i tag VLAN manipolati.

In questo contesto, l’attacco comporta:

1. Cattura del traffico di rete: Analizzando inizialmente i pacchetti trasmessi fra le VLAN.
2. Manipolazione dei Tag: Creazione di pacchetti con un tag che corrisponde alla VLAN victim (vittima). Per esempio:

• Il pacchetto esterno ha un tag con il valore della VLAN attaccante.
• Il pacchetto interno ha un altro tag con il valore della VLAN target.

Se lo switch non è configurato correttamente, accetterà il pacchetto interno e lo inoltrerà nella VLAN target.

Test dell’Attacco: Superare i Limiti di Configurazione della VLAN

Un test pratico di VLAN hopping dimostra che la tecnica può sfruttare configurazioni non sicure degli switch. Quando si inviano pacchetti con un singolo o doppio tag VLAN, uno switch correttamente configurato normalmente bloccherà o rimuoverà tali tag in quanto non corrispondono alle regole prestabilite.

Tuttavia, nei test, aggiungendo un terzo tag VLAN (una variazione avanzata del “Double Tagging”), è possibile elaborare pacchetti che attraversano le VLAN. Questo approccio dimostra come un attaccante può:

• Iniettare pacchetti ICMP (o altri tipi di traffico) dalla VLAN di origine a quella vittima.
• Riaprire il flusso di comunicazione tra VLAN che dovrebbero essere isolate.

Simulando scenari più complessi, come attacchi mirati a device specifici (PC, server o dispositivi IoT), si può osservare come VLAN hopping possa compromettere la sicurezza dell’intera rete.

Prevenire VLAN Hopping: Strategia e Mitigazione

La buona notizia è che il VLAN hopping può essere mitigato attraverso una corretta configurazione degli switch di rete. Le seguenti strategie rappresentano le migliori pratiche per evitare che accada:

Cambiare la VLAN Nativa sulle Porte Trunk

Una VLAN nativa è quella assegnata ai frame non taggati. L’errata configurazione delle VLAN native è uno dei principali punti deboli sfruttati durante un attacco. È importante:

• Assegnare una VLAN nativa diversa da quella utilizzata dalle porte di accesso (access port).
• Utilizzare una VLAN dedicata e non utilizzata per altre comunicazioni ordinarie.

Disabilitare il Traffico Non Taggato sulle Porte Trunk

Gli switch permettono di gestire il traffico Ethernet non taggato, ma questo comportamento può essere proibito per limitare i vettori di attacco. Configurare le porte trunk in modo che accettino solo traffico con tag VLAN appropriati è un passaggio essenziale.

Utilizzare ACL (Liste di Controllo Accessi)

Le ACL possono essere implementate sugli switch per filtrare il traffico e assicurarsi che solo i pacchetti con determinati tag VLAN siano accettati. Questo filtro è particolarmente utile per bloccare pacchetti malevoli creati con più tag VLAN.

Configurare BPDU Guard e Protezioni di Sicurezza

Funzionalità come BPDU Guard possono evitare che dispositivi non autorizzati si comportino come switch all’interno della rete. Inoltre, altre tecnologie di sicurezza, come DHCP snooping e Port Security, possono rafforzare la difesa dagli attacchi.

Conclusione

Il VLAN hopping rappresenta una minaccia seria per la sicurezza di rete, in particolare in infrastrutture con configurazioni non ottimali. Grazie a tecniche come il Double Tagging e Triple Tagging, un attaccante può manipolare pacchetti di rete per superare barriere di isolamento critiche.

Tuttavia, attraverso una configurazione corretta della rete, in particolare con la modifica delle VLAN native sulle porte trunk, il blocco del traffico non taggato e l’uso di ACL, è possibile mitigare completamente il rischio di questi attacchi, preservando la sicurezza, l’integrità e la riservatezza della rete aziendale.

L'articolo VLAN Hopping: La Tecnica che Può Abbattere le Barriere della Tua Rete! proviene da il blog della sicurezza informatica.

In occasione dei suoi 30 anni di attività in Italia, Cisco ha inaugurato, nel mese di settembre, la sua nuova sede milanese. Al primo piano di Piazza Gae Aulenti 6, gli spazi di lavoro Cisco si presentano come una gemma incastonata in un prezioso castone. Un ambiente moderno e luminoso che combina estetica e funzionalità. L’ampio utilizzo di vetro, il design contemporaneo e gli ampi spazi creano un effetto di continuità visiva, fondendo gli interni dolcemente con l’ambiente esterno e integrandosi in un armonioso abbraccio con la piazza circostante. Questa scelta progettuale, che riflette l’impegno di Cisco nel ‘dissolvere’ i confini tra il mondo fisico e quello digitale, rappresenta un esempio concreto di come l’azienda stia plasmando il futuro del lavoro, coniugando le esigenze del personale con la produttività.

Tale approccio si estende all’adozione di architetture e tecnologie all’avanguardia, tra cui l’intelligenza artificiale (IA). Tuttavia, l’avvento dell’IA pone nuove sfide, in particolare per quanto riguarda la protezione della privacy e dei dati personali. Per comprendere meglio le preoccupazioni e le aspettative degli utenti in merito a questi temi cruciali, Cisco ha condotto la Consumer Privacy Survey 2024, fornendo un’analisi dettagliata delle percezioni e dei comportamenti degli italiani in materia di privacy e sicurezza dei dati.
foto Carlo Denza
Il 27 novembre 2024, nella sala Margherita Hack della sede ambrosiana, Fabio Florio e Renzo Ghizzoni, Country Leader Sales Security di Cisco Italia, hanno presentato i risultati della Consumer Privacy Survey 2024. L’indagine ha approfondito il legame tra la consapevolezza dei consumatori in materia di privacy e la fiducia nell’adozione di nuove tecnologie, inclusa l’Intelligenza Artificiale (IA).

Cisco Consumer Privacy Survey 2024

Negli ultimi sei anni, Cisco ha monitorato l’evoluzione del rapporto tra i consumatori e la privacy, un tempo tema marginale e oggi una delle principali preoccupazioni in grado di influenzare scelte personali e professionali. I risultati dimostrano che le campagne di sensibilizzazione stanno restituendo un effetto positivo, aumentando la consapevolezza degli utenti sul valore dei propri dati personali.

Quest’anno, per la prima volta, molti intervistati hanno dimostrato una maggiore conoscenza delle normative sulla privacy, arrivando a mettere in discussione le pratiche aziendali poco trasparenti nella raccolta e nell’utilizzo dei dati.

La ricerca, condotta nell’estate del 2024, si è concentrata sull’analisi delle tendenze globali legate alla privacy e all’uso dell’IA. Lo studio ha coinvolto 2600 partecipanti provenienti da 12 Paesi diversi (5 in Europa, 4 in Asia e 3 nelle Americhe), offrendo spunti sulle loro percezioni riguardo a:

• L’utilizzo dei dati personali da parte delle aziende;
• La conoscenza della legislazione sulla privacy;
• L’intelligenza artificiale generativa;
• I requisiti di localizzazione dei dati.

L’Italia al vertice della consapevolezza sulla privacy

Tra i risultati della Cisco Consumer Privacy Survey 2024, un dato particolarmente significativo emerge dall’Italia: il 62% degli italiani conosce le leggi in materia di privacy, una percentuale che supera di gran lunga la media globale, fissata poco sopra il 50%.

Questo risultato sottolinea un progresso importante in un mondo sempre più connesso e digitale, dove la consapevolezza è la prima linea di difesa contro l’uso improprio dei dati personali.

Chi conosce le leggi sulla privacy ha maggiori probabilità di proteggere i propri dati personali. Questo dato evidenzia come la conoscenza normativa rappresenti un passo cruciale per adottare comportamenti più consapevoli e sicuri nell’ambiente digitale.

Impostazioni e applicazioni

Un altro dato interessante riguarda l’aumento del numero di utenti che intraprendono azioni pratiche per gestire la sicurezza e la privacy dei propri dati. Ad esempio, molti intervistati hanno modificato le impostazioni delle applicazioni e delle piattaforme che utilizzano. Questo comportamento, già osservato nella Survey 2023, mostra una tendenza positiva che si estende a tutte le fasce d’età. Tuttavia, sono i giovani a distinguersi come il gruppo più attivo nel migliorare la gestione della sicurezza dei propri dati.

Un tema chiave emerso dal sondaggio è la necessità di armonizzare le normative sulla privacy a livello internazionale. Il 76% degli intervistati italiani ha espresso il desiderio di vedere una standardizzazione delle tutele in materia di protezione dei dati personali.

Una legislazione uniforme aiuterebbe a garantire che i diritti degli utenti siano protetti ovunque, semplificando l’applicazione delle norme e rafforzando la fiducia globale nelle tecnologie digitali.

Gli attacchi informatici, come il furto di credenziali, continuino a rappresentare una minaccia significativa, ciò rende gli utenti italiani sempre più attenti alla sicurezza di queste ultime. I risultati del sondaggio rivelano che:

• 71% degli italiani (contro il 67% della media globale) ha recentemente aggiornato le impostazioni di privacy nelle applicazioni o piattaforme utilizzate.
• 73% si affida all’autenticazione a più fattori (MFA) per proteggere gli account personali.
• 69% utilizza un password manager per gestire in sicurezza le credenziali.

Questi dati mostrano una tendenza positiva e indicano che l’Italia supera la media globale in termini di adozione di pratiche per la cybersecurity. Si tratta di un segnale incoraggiante, che riflette una crescente consapevolezza dell’importanza di proteggere i dati personali.

Intelligenza Artificiale

I risultati relativi all’intelligenza artificiale evidenziano un ampio consenso tra gli italiani riguardo la capacità dell’IA di migliorare la qualità della vita. Tuttavia, gli intervistati si aspettano che le organizzazioni impieghino l’IA in modo etico e responsabile. Inoltre, molti si sono dichiarati disposti a condividere dati personali anonimizzati per contribuire al progresso della ricerca medica. Un altro dato positivo riguarda l’intelligenza artificiale generativa, il cui uso sta guadagnando terreno anche in Italia. Sebbene il nostro Paese mostri ancora un lieve ritardo rispetto alla media globale nell’uso regolare dell’IA (22% contro 23%), la percentuale di italiani che ne fa un uso regolare è aumentata di 10 punti percentuali rispetto al 2023 passando dal 12% al 22%. La tendenza è chiaramente in crescita e si allinea con le dinamiche internazionali.

In un presente caratterizzato da incognite e da progressi straordinari come quelli dell’intelligenza artificiale, le preoccupazioni legate ai rischi dell’IA generativa sono diffuse. Come emerge dalla Cisco Consumer Privacy Survey 2024, l’86% degli intervistati esprime preoccupazione per la possibilità di ottenere output errati (51% “abbastanza preoccupato” e 35% “molto preoccupato”). A questa si aggiunge il timore che i dati possano essere resi pubblici (84% complessivo), con una percentuale maggiore di “molto preoccupati” (44%) rispetto a coloro che si dicono “abbastanza preoccupati” (40%). Seguono, a pari merito con l’80% di preoccupazione complessiva, il rischio che la disinformazione mini le elezioni (con il 42% di “molto preoccupati”) e l’impatto negativo dell’IA sull’umanità (con il 43% di “molto preoccupati”). Infine, il 72% degli intervistati teme che l’IA possa portare alla perdita di posti di lavoro (40% “abbastanza preoccupato” e 32% “molto preoccupato”).

Impatto dell’IA Generativa sui ruoli ICT

Cisco guida l’AI-Enabled ICT Workforce Consortium, un’iniziativa che coinvolge grandi aziende tecnologiche come Accenture, Eightfold, Google, IBM, Indeed, Intel, Microsoft e SAP, per studiare l’impatto dell’intelligenza artificiale sul mondo del lavoro ICT. Come si legge nel comunicato stampa di settembre 2024, il primo studio del consorzio, The Transformational Opportunity of AI on ICT Jobs, ha rivelato che il 92% dei ruoli ICT subirà una trasformazione elevata o moderata nei prossimi anni a causa dei progressi dell’IA.

L’introduzione dell’IA creerà nuove opportunità professionali, come gli specialisti in prompt engineering, scienza dei dati, sviluppo di modelli di intelligenza artificiale (LLM) e specialisti in etica dell’IA. Allo stesso tempo, richiederà un adeguamento delle competenze per altri ruoli. Ad esempio, competenze tradizionali, come quelle dei programmatori o gestione documentale o chi fa creazione di contenuti, potrebbero diventare meno rilevanti. Il consorzio ha anche esaminato l’impatto dell’IA su 47 ruoli ICT in sette famiglie professionali, creando un “Job Transformation Canvas”. Cisco prevede di formare 25 milioni di persone con competenze digitali e di cybersecurity entro il 2032. Tuttavia, si pensa che complessivamente la domanda di professionisti ICT rimarrà alta.

Algoretica: un’etica nella progettazione degli algoritmi

Cisco, in collaborazione con la Pontificia Accademia per la Vita e la Fondazione RenAIssance, ha aderito alla Rome Call for AI Ethics, un’iniziativa globale che mira a promuovere un’etica nello sviluppo dell’intelligenza artificiale. Questa importante alleanza, che coinvolge e promuove un senso di responsabilità condivisa tra grandi aziende tecnologiche, università, istituzioni internazionali e rappresentanti delle principali religioni mondiali, ha come obiettivo centrale garantire che l’IA sia al servizio dell’umanità e rispetti la dignità di ogni individuo.

La Rome Call for AI Ethics, documento elaborato dalla Pontificia Accademia per la Vita, delinea una serie di principi fondamentali, tra cui trasparenza, inclusione, responsabilità e tutela della privacy, che dovrebbero guidare lo sviluppo e l’utilizzo dell’IA. Cisco, forte della propria esperienza nella creazione di infrastrutture sicure e affidabili, contribuisce attivamente a tradurre questi principi in azioni concrete, impegnandosi nello sviluppo di soluzioni tecnologiche innovative che promuovono la privacy, la sicurezza dei dati e l’equità nell’utilizzo dell’IA.

Questa iniziativa rappresenta un passo fondamentale verso una governance dell’intelligenza artificiale. Attraverso la collaborazione tra attori pubblici e privati, la Rome Call for AI Ethics si propone di affrontare le sfide etico-sociali poste dall’IA, come la discriminazione algoritmica e la tutela della privacy, e di sfruttare appieno il potenziale di questa tecnologia per migliorare la vita di persone e comunità.

Conclusioni

La Cisco Consumer Privacy Survey 2024 disegna un quadro interessante delle percezioni e dei comportamenti degli italiani in materia di privacy e intelligenza artificiale. L’Italia si distingue per una crescente consapevolezza sull’importanza della protezione dei dati personali e si registra inoltre un atteggiamento positivo nei confronti dell’IA, a patto che sia sviluppata e utilizzata in modo responsabile, con una forte attenzione ai risvolti etici (Algoretica).

Cisco, da sempre attenta alle nuove tecnologie e alle loro implicazioni, si fa promotrice di un approccio etico all’IA aderendo a iniziative come la Rome Call for AI Ethics, contribuendo attivamente alla definizione di principi etici per l’intelligenza artificiale. L’impegno di Cisco per uno sviluppo responsabile e benefico dell’intelligenza artificiale è testimoniato anche dalla guida dell’AI-Enabled ICT Workforce Consortium, un’iniziativa volta a studiare e orientare l’impatto dell’IA sul mondo del lavoro. Quali saranno le prossime sfide e come garantire che l’IA sia sempre al servizio dell’umanità?

L'articolo Algoretica: la chiave per un’IA responsabile? Gli insight dalla Cisco Consumer Privacy Survey 2024 proviene da il blog della sicurezza informatica.

Nasce a Digione, Francia, Gustave Eiffel, ingegnere civile famoso per la torre di Parigi che porta il suo nome.

@Storia
#otd

Unless you’re running a commercial logging operation, with specialized saws, log grapples, mills, transportation for the timber, and the skilled workers needed to run everything, it’s generally easier to bring a sawmill to the wood instead of taking the wood to the sawmill. Especially for a single person, something like a chainsaw mill is generally a much easier and cost effective way to harvest a small batch of timber into lumber. These chainsaw mills can still be fairly cumbersome though, but [izzy swan] has a new design that fits an entire mill onto a hand cart for easy transportation in and out of a forest.

The entire mill is built out of a sheet and a half of plywood, most of which is cut into strips and then assembled into box girders for the track. The remainder of plywood is machined on a CNC to create the carriage for the chainsaw to attach as well as a few other parts to fix the log in place. The carriage has a 4:1 reduction gear on it to winch the chainsaw along the length of the log which cuts the log into long boards. After the milling is complete, the entire mill can be disassembled and packed down onto its hand cart where it can be moved on to the next project fairly quickly.

For a portable mill, it boasts respectable performance as well. It can cut logs up to 11 feet in length and about 30 inches across depending on the type of chainsaw bar used, although [izzy swan] has a few improvements planned for the next prototypes that look to make more consistent, uniform cuts. Chainsaws are incredibly versatile tools to have on hand as well, we’ve seen them configured into chop saws, mortisers, and even fixed to the end of a CNC machine.

Thanks to [Keith] for the tip!

youtube.com/embed/UVsoluu6v48?…

hackaday.com/2024/12/14/a-port…

The shape of an antenna can make a big difference in its performance. Researchers at the Johns Hopkins Applied Physics Laboratory have used shape memory alloy to construct an antenna that changes shape depending on the signals it is receiving. Nitinol, a common shape memory alloy made from nickel and titanium, is an obvious choice, but it’s not obvious how you’d make a shape-changing antenna out of nitinol wire. That changed when a mechanical engineer found a way to 3D print the substance. You can find a paper about the research online from Applied Engineering Materials.

In practice, the antenna is a double spiral made of nitinol. A channel contains a copper wire that can heat the antenna and, therefore, change its shape. Having a powered wire in the antenna can cause problems, so special designs route the signal away from the heating element. It looks like the antenna can assume a flat configuration or a spiral conic configuration.

Printing nitinol requires selective laser melting with argon gas, so you probably aren’t printing an antenna with your Ender 3 anytime soon. The process also required post processing and forming over a metal fixture, so there’s a bit to making it work.

We’ve seen liquid metal antennas that use a similar trick. We are always surprised we don’t see more nitinol in the wild.

hackaday.com/2024/12/14/might-…

A distinct blue pigment reminiscent of turquoise or a clear sky was used by the ancient Maya to paint pottery, sculptures, clothing, murals, jewelry, and even human sacrifices. What makes it so interesting is not only its rich palette — ranging from bright turquoise to a dark greenish blue — but also its remarkable durability. Only a small number of blue pigments were created by ancient civilizations, and even among those Maya blue is unique. The secret of its creation was thought to be lost, until ceramicist and artist [Luis May Ku] rediscovered it.

Maya blue is not just a dye, nor a ground-up mineral like lapis lazuli. It is an unusual and highly durable organic-inorganic hybrid; the result of a complex chemical process that involves two colorants. Here is how it is made: Indigotin is a dye extracted from ch’oj, the Mayan name for a specific indigenous indigo plant. That extract is combined with a very specific type of clay. Heating the mixture in an oven both stabilizes it produces a second colorant: dehydroindigo. Together, this creates Maya blue.
Luis May Ku posing with Maya blue.
The road to rediscovery was not a simple one. While the chemical makeup and particulars of Maya blue had been known for decades, the nuts and bolts of actually making it, not to mention sourcing the correct materials, and determining the correct techniques, was a long road. [May] made progress by piecing together invaluable ancestral knowledge and finally cracked the code after a lot of time and effort and experimentation. He remembers the moment of watching a batch shift in color from a soft blue to a vibrant turquoise, and knew he had finally done it.

Before synthetic blue pigments arrived on the scene after the industrial revolution, blue was rare and highly valuable in Europe. The Spanish exploitation of the New World included controlling Maya blue until synthetic blue colorants arrived on the scene, after which Maya blue faded from common knowledge. [May]’s rediscovered formula marks the first time the world has seen genuine Maya blue made using its original formula and methods in almost two hundred years.

Maya blue is a technological wonder of the ancient world, and its rediscovery demonstrates the resilience and scientific value of ancestral knowledge as well as the ingenuity of those dedicated to reviving lost arts.

We’re reminded that paints and coatings have long been fertile ground for experimentation, and as an example we’ve seen the success people had in re-creating an ultra-white paint that actually has a passive cooling effect.

hackaday.com/2024/12/14/how-th…

When it comes to transmissions, a geared continuously-variable transmission (CVT) is a bit of a holy grail. CVTs allow smooth on-the-fly adjustment of gear ratios to maintain a target speed or power requirement, but sacrifice transmission efficiency in the process. Geared transmissions are more efficient, but shift gear ratios only in discrete steps. A geared CVT would hit all the bases, but most CVTs are belt drives. What would a geared one even look like? No need to wonder, you can see one for yourself. Don’t miss the two videos embedded below the page break.
The outer ring is the input, the inner ring is the output, and the three little gears with dots take turns transferring power.
The design is called the RatioZero and it’s reminiscent of a planetary gearbox, but with some changes. Here’s how the most visible part works: the outer ring is the input and the inner ring is the output. The three small gears inside the inner ring work a bit like relay runners in that each one takes a turn transferring power before “handing off” to the next. The end result is a smooth, stepless adjustment of gear ratios with the best of both worlds. Toothed gears maximize transmission efficiency while the continuously-variable gear ratio allows maximizing engine efficiency.

There are plenty of animations of how the system works but we think the clearest demonstration comes from [driving 4 answers] with a video of a prototype, which is embedded below. It’s a great video, and the demo begins at 8:54 if you want to skip straight to that part.

One may think of motors and gearboxes are a solved problem since they have been around for so long, but the opportunities to improve are ongoing and numerous. Even EV motors have a lot of room for improvement, chief among them being breaking up with rare earth elements while maintaining performance and efficiency.

youtube.com/embed/vc9o-O1n81E?…

youtube.com/embed/mWJHI7UHuys?…

hackaday.com/2024/12/14/behold…

Let’s face it, even the most accomplished console cowboy can’t keep everything memorized. Sure, you might know all the important arguments for a daily-use tool like tar or ls, but what about the commands you don’t use that often? For that matter, even if you do use tar every day, we bet you don’t know all of the options it supports.

Built-in documentation or the man pages are of course a huge help, but they are dense resources. Sometimes what you really need is to see just a few key examples. When that happens, check out the tldr-pages project and its array of front-ends. Whether you’re working remotely on an embedded gadget, or have the luxury of a full desktop OS and browser, the project offers a way to get the help you need as quickly as possible.

The idea behind the project is that you can provide the command or tool you want to know more about, and instantly see a list of common options it takes. You’ll also be provided a realistic example for each one, which can often help make things “click” when you’re looking at a particularly obtuse utilization.

If you’re working on a box that has Python, getting access to the database of commands and examples is as simple as running pip3 install tldr and giving it a command you want to learn more about:

There’s also a very slick browser client which can be installed as a progressive web app (PWA) for off-line use. You can even embed it into your own web pages, like so:

tldr.inbrowser.app/pages/commo…

If none of that tickles your fancy, the entire database is offered up as a PDF for your local perusal — don’t worry, it only clocks in at around 6 MB.

No matter how you access it, tldr-pages offers up a wealth of practical command line knowledge. Whether you’re looking to hone your terminal skills, or perhaps want to submit your own examples for the benefit of the community, this is definitely a project to keep in mind.

Thanks to [abrakadabra] for the tip.

hackaday.com/2024/12/14/tldr-p…

We just love a good DIY tool project, and more so when it’s something that we can actually use cobbled together from stuff in our closet, or hacked out of cheap “toys”. This week we saw both a superb Pi Pico-based logic analyzer and yet another software frontend for the RTL-SDR dongle, and they both had us thinking of how good we have it.

If you don’t already have a logic analyzer, or if you have one of those super-cheap 8-channel jobbies, it might be worth your while to check out the Pico firmware simply because it gets you 24 channels, which is more than you’ll ever need. At the low price of $4, maybe a little more if you need to add level shifters to the circuit to allow for 5 V inputs, you could do a lot worse for less than the price of a fancy sweet coffee beverage.

And the RTL dongle; don’t get us started on this marvel of radio hacking. If you vaguely have interest in RF, it’s the most amazing bargain, and ever-improving software just keeps adding functionality. The post above adds HTML5 support for the RTL-SDR, allowing you to drive it with code you host on a web page, which makes the entire experience not only cheap, but painless. Talk about a gateway drug! If you don’t have an RTL-SDR, just go out and buy one. Trust me.

What both of these hacker tools have in common, of course, is good support by a bunch of free and open software that makes them do what they do. This software enables a very simple piece of hardware to carry out what used to be high-end lab equipment functions, for almost nothing. This has an amazing democratizing effect, and paves the way for the next generation of projects and hackers. I can’t think of a better way to spend $20.

This article is part of the Hackaday.com newsletter, delivered every seven days for each of the last 200+ weeks. It also includes our favorite articles from the last seven days that you can see on the web version of the newsletter. Want this type of article to hit your inbox every Friday morning? You should sign up!

hackaday.com/2024/12/14/hacker…

La rivoluzione in casa Microsoft è alle porte, e questa volta riguarda uno degli strumenti più utilizzati nelle aziende di tutto il mondo: Outlook.

A partire dal 6 gennaio 2025, i clienti con licenze Microsoft 365 Business Standard e Premium saranno automaticamente trasferiti al “nuovo Outlook”. Per i clienti Enterprise, il cambiamento avverrà invece da aprile 2026.

Cosa cambia con il nuovo Outlook?

Il “nuovo Outlook” è molto più di un aggiornamento. Si tratta di una piattaforma basata sul cloud, progettata per integrare funzionalità avanzate e migliorare la produttività degli utenti. Ecco alcune delle innovazioni più pubblicizzate:

• Co-pilot AI: un assistente virtuale per gestire email e appuntamenti.
• Interfaccia personalizzabile: temi moderni, visualizzazioni avanzate e opzioni di design.
• Gestione avanzata delle email: strumenti come il “pinning” e lo snoozing per organizzare meglio la posta.

Microsoft promette un’esperienza utente all’avanguardia, ma l’entusiasmo è mitigato da alcune criticità significative che potrebbero complicare la vita, soprattutto in ambito aziendale.

Criticità e problemi concreti

Nonostante il marketing accattivante, il passaggio al nuovo Outlook solleva diverse preoccupazioni. Ecco alcune delle criticità più rilevanti:

1. Dipendenza dal cloud: il nuovo Outlook richiede il trasferimento delle email sui server di Microsoft. Per gli account IMAP, le credenziali vengono inviate a Microsoft per la sincronizzazione, sollevando dubbi sulla sicurezza e sulla privacy dei dati.
2. Compatibilità limitata:
   
   • Non supporta file locali come i .pst, usati per archiviare email offline.
   • Mancanza di supporto per server Exchange on-premises e protocolli come POP3, penalizzando le aziende con infrastrutture legacy.

   
   

3. Costi di adattamento: le aziende dovranno investire tempo e risorse per adattare il proprio ecosistema IT. Gli utenti, inoltre, potrebbero trovarsi spaesati di fronte alle nuove funzionalità, aumentando il carico di richieste per il supporto tecnico.

Strumenti di controllo per gli amministratori IT

Microsoft offre diverse opzioni per mitigare la migrazione automatica e fornire agli amministratori IT un livello di controllo sulle tempistiche e modalità di aggiornamento:

• Admin-Controlled Migration: una policy che consente di bloccare o ritardare la transizione.
• Configurazione manuale: utilizzando chiavi di registro (ad esempio NewOutlookMigrationUserSetting) o policy cloud tramite Intune o GPO, gli amministratori possono impedire la migrazione automatica.

Tuttavia, è importante notare che questi strumenti richiedono competenze tecniche avanzate e un monitoraggio continuo per garantirne il corretto funzionamento. La loro implementazione, pur fornendo maggiore flessibilità e controllo, introduce anche un livello aggiuntivo di complessità nella gestione IT, richiedendo risorse dedicate e un’accurata pianificazione.

Il destino degli utenti Business ed Enterprise

Il rollout inizierà con i clienti Business nel gennaio 2025, seguito dai clienti Enterprise nell’aprile 2026. Microsoft consente inizialmente di tornare al classico Outlook, ma il messaggio è chiaro: il vecchio client è destinato a scomparire entro il 2029.

Per gli utenti Business, il tempismo è particolarmente critico. Molte aziende stanno già affrontando altre modifiche imposte da Microsoft, come la sostituzione delle app Windows Mail, Calendar e Contatti con il nuovo client Outlook.

Conclusione

La migrazione al nuovo Outlook rappresenta un’opportunità e una sfida per tutte le aziende. Se da un lato consente di accedere a funzionalità avanzate e un’interfaccia moderna, dall’altro richiede un’attenta pianificazione per gestire problematiche legate alla compatibilità, ai costi e alla sicurezza. Le aziende dovrebbero iniziare ora a valutare come gestire questa transizione: sia attraverso l’analisi delle proprie infrastrutture IT, sia preparando il personale con formazione e procedure preventive.

Microsoft ha preso la sua decisione: volenti o nolenti: prima o poi, tutti si troveranno inevitabilmente a fare i conti con il nuovo Outlook.

L'articolo Dite pure addio al vecchio Outlook: Microsoft spinge gli utenti a fare il grande cambio! proviene da il blog della sicurezza informatica.

We aren’t sure there’s enough information in the [We Make Machines’] video to easily copy their self-balancing bike project, but if you want to do something similar, you can learn a lot from watching the video. Building sufficient gyros to keep the bike stable required quite a bit of trial and error.

There are some tricks to getting a stable heavy weight to rotate without a lot of vibration and problems. The gyros go on the rider’s saddle, so you aren’t going to be able to ride in the normal fashion. However, a substantial motor drives the wheels so there’s no need to peddle.

The first attempt to self-balance stayed stable for about 10 seconds. Some of it was fine-tuning code, but noise from the gyros also threw off the angle sensor. A higher-quality sensor seemed promising, but it didn’t really fix the problem. Instead of using PID, the guys tried an LQR (Linear Quadratic Regulator) algorithm. Once that was sorted and a servo allowed for steering, it was time to let the bike roam free.

Then disaster struck as the bike lost its cool in a parking lot, causing damage. After repairs, they found issues that confused the angle sensor. They didn’t have the stomach to fit a third sensor onboard, so they put Billy the Crash Dummy onboard and decided to try to run him and the bike off a ramp. That didn’t exactly work out, though. After two attempts, the bike was effectively totaled, although Billy seems to have survived with no more than a bruised ego.

We were dismayed that they didn’t really complete the project, but it does seem like they learned a lot, and maybe that will help someone else out in the future.

We have seen working bikes before. We also have seen some truly strange bike projects.

youtube.com/embed/qzF4t6Ysp_4?…

hackaday.com/2024/12/14/a-self…

Una vulnerabilità critica nella funzionalità OpenWrt Attended Sysupgrade utilizzata per creare immagini firmware personalizzate potrebbe consentire la distribuzione di versioni dannose.

OpenWrt è un sistema operativo basato su Linux progettato per router, punti di accesso e apparecchiature IoT. Grazie alle sue capacità di personalizzazione e al supporto di dispositivi di vari marchi come ASUS, D-Link, Zyxel, il sistema viene spesso utilizzato come alternativa al firmware di fabbrica.

La vulnerabilità CVE-2024-54143 (punteggio CVSS: 9,3) è stata scoperta dagli specialisti di Flatt Security durante l’aggiornamento di un router domestico. Il problema consente l’esecuzione di comandi arbitrari tramite l’elaborazione dell’input nel servizio sysupgrade.openwrt.org.

Inoltre, è stato identificato un secondo problema nel funzionamento del servizio: l’uso di un hash SHA-256 troncato di 12 caratteri di lunghezza per la memorizzazione nella cache degli assembly, che riduce la forza del meccanismo di sicurezza, consentendo collisioni di forza bruta utilizzando strumenti custom. Ciò consente a un utente malintenzionato di creare una richiesta che riutilizza una chiave di cache trovata in build firmware legittime.

Insieme, entrambi gli errori consentono di modificare l’immagine del firmware e sostituirla con una versione dannosa. Dopo la segnalazione privata, il team OpenWrt ha immediatamente disabilitato il servizio sysupgrade.openwrt.org, corretto la vulnerabilità e ripristinato la piattaforma entro 3 ore il 4 dicembre.

Gli sviluppatori sono fiduciosi che lo sfruttamento della vulnerabilità sia improbabile e che le immagini disponibili sul server di download principale non siano state compromesse. Tuttavia, poiché i log disponibili coprono solo gli ultimi 7 giorni, si consiglia vivamente a tutti gli utenti di aggiornare il firmware dei propri dispositivi.

L'articolo Vulnerabilità critica in OpenWrt: rischio firmware dannoso per router e IoT proviene da il blog della sicurezza informatica.