Lego make lots of neat floral arrangements these days, and even little Christmas trees, too. While they’re fun to build out of tiny little blocks, they’re a little small for use as your main Christmas tree. Sadly, a bigger version simply doesn’t exist in the Lego catalogue, so if that’s your desire, you’ll have to build your own—as [Ruth] and [Ellis] did!

The concept behind the build is as you’d expect. The duo effectively just 3D printed giant versions of Lego pieces, with which they then assembled a large Christmas tree. It sounds very straightforward, but scaling an existing Lego design up by six times tends to come with some complications. A tactical decision was made early on to ease proceedings—the original Lego tree had a large brown base that would take lots of printing. This was eliminated in the hopes that it would speed the build significantly. The long plastic shafts that supported the original Lego design were also replaced with steel shafts since printing them would have been incredibly difficult to do well.

The rest of the video demonstrates the huge amount of work that went into actually 3D printing and assembling this thing. It’s pretty great to watch, and you’ll learn a lot along the way.

We’ve seen other creators try similar projects, where they 3D print their own building blocks from scratch. It normally turns out much harder than expected! No surprise when you think about all the engineering that went into perfecting Lego all those years ago. Video after the break.

youtube.com/embed/G3WCXHcAFsU?…

youtube.com/embed/Yq-QBHT9jZw?…

[Thanks to Jonathan for the tip!]

hackaday.com/2024/12/20/3d-pri…

Every scout knows how to read a compass, and that there is a magnetic north and a true north. That’s because the Earth’s magnetic field isn’t exactly aligned with the North Pole. Every five years, the US National Oceanic and Atmospheric Administration (NOAA) and the British Geological Survey (BGS) get together to decide if magnetic north is still the same as it was before. This time, it isn’t.

The update is to the WMM — the World Magnetic Model. Magnetic north has shifted away from Canada and towards Siberia, a trend that has been ongoing for the last 20 years.

The magnetic pole seems to be decelerating. It is possible that it can change abruptly enough to warrant an emergency update outside the normal five-year cycle. The BGS says if you traveled from South Africa to the UK using the old WMM, your final position would be about 150 km off compared to using the new WMM.

Of course, automated systems will get updates, so there is no need to adjust your phone or GPS unit manually. However, older gear or compasses are getting increasingly less accurate. The North Star, by the way, isn’t exactly to the North, either. For small trips, being a little off of true north probably isn’t an issue.

There have been emergency updates before. While a basic compass is simple to make, that shouldn’t stop you from overcomplicating it.

hackaday.com/2024/12/20/its-of…

Each Christmas, [Adam Anderson], [Daniel Quach], and [Johan Wheeler] (meanwhile going by ‘the Janky Jingle Crew’)—set themselves the challenge of outdoing their previous creations. Last year’s CH32 Fireplace brought an animated LED fire to life with CH32V003 microcontrollers.

This year, they’ve gone a step further with the North Pole Circuit, a holiday project that combines magnetic propulsion, festive decorations, and a bit of engineering flair. Inspired by a miniature speedway based on Friedrich Gauss’ findings, the North Pole Circuit includes sleighs and reindeer that glide along a custom PCB track, a glowing village with flickering lights, and a buzzer to play Christmas tunes.

The propulsion system works using the Lorentz force, where vertical magnets interact with PCB traces to produce motion. A two-phase design, similar to a stepper motor, ensures smooth operation, while guard rails maintain stability on curves. A separate CH32V003 handles lighting and synchronized jingles, creating a cohesive festive display. As we mentioned in the article on their last year’s creation, going from a one-off to a full batch will make one rethink the joy of repetitive production. Consider the recipients of these tiny christmas cards quite the lucky ones. We deem this little gift a keeper to put on display when Christmas rolls around again.

This annual tradition highlights the Crew’s knack for combining fun and engineering. Curious about the details or feeling inspired to create your own? Explore the full details and files on their GitHub.

hackaday.com/2024/12/20/rudolp…

In questo episodio potete (solo) sentire l'audio del mio commento riga per riga al provvedimento del Garante per la Protezione dei Dati italiano che oggi ha sanzionato OpenAI/ChatGPT per 15 milioni di Euro.

La versione completa video, con la condivisione del documento a tutto schermo, è visibile liberamente e gratuitamente sul mio canale YouTube.

zerodays.podbean.com/e/garante…

Con il rilascio di Firefox 135, previsto per febbraio 2025, gli sviluppatori Mozilla rimuoveranno la funzionalità Do Not Track (DNT) dal proprio browser. Secondo i rappresentanti dell’organizzazione, il fatto è che la maggior parte dei siti ignora comunque le richieste DNT.

Tieni presente che quando assemblato in Nightly, la funzionalità Do Not Track non è più disponibile. Do Not Track è uno speciale header HTTP inventato nel 2009. Consente agli utenti di “dire” ai siti che non vogliono che le loro attività vengano tracciate. È interessante notare che Firefox è stato il primo browser a implementare questa tecnologia.

Tuttavia, l’utilizzo di DNT da parte degli utenti e l’accettazione di tale impostazione da parte dei siti è del tutto volontaria. Di conseguenza, nel mondo moderno, i siti Web ignorano in gran parte DNT e molti utenti non sono nemmeno consapevoli dell’esistenza di tale opzione.
DNT nelle impostazioni di Firefox
“A partire dalla versione 135 di Firefox, la casella di controllo Do Not Track verrà rimossa. Molti siti non rispettano questa preferenze sulla privacy e, in alcuni casi, possono persino ridurre il livello di privacy”, riferiscono gli sviluppatori di Firefox.

Il punto è chiaramente che nel 2019 DNT era già stato abbandonato nel browser Safari. Successivamente gli sviluppatori Apple sono giunti alla conclusione che la funzionalità Do Not Track potrebbe essere utilizzata per spiare di nascosto gli utenti, perché questa impostazione potrebbe diventare una delle “caratteristiche distintive” del browser e non farebbe altro che facilitare il rilevamento delle impronte digitali.

L'articolo Do Not Track va in pensione: scopri perché Firefox l’ha rimosso. proviene da il blog della sicurezza informatica.

There are plenty of hard jobs out there, like founding your country’s nuclear program, or changing the timing chain on a BMW diesel. Making your own mechanical watch from scratch falls under that umbrella, too. And yet, [John Raffaelli] did just that, and prevailed!
That’s a lot of work.
Only a handful of components were purchased—[John] grabbed jewels, sapphire crystals, the strap, and the hairspring and mainspring off the shelf. Everything else, he made himself, using a fine touch, a sharp eye, and some deft work on his machine tools. If you’ve never worked at this scale before, it’s astounding to see—[John] steps through how he produced tiny pinions and balance wheels that exist at sub-fingertip scale. Even just assembling something this tiny would be a challenge, but [John] was able to craft it all from scratch and put it together into a functioning timepiece when he was done.

The final piece doesn’t just look great—we’re told it keeps good time as well. People like [John] don’t come along every day, though we do have one similar story in our deep archives from well over a decade ago. If you’re cooking up your own bespoke time pieces in your home workshop, don’t hesitate to drop your story on the tipsline!

hackaday.com/2024/12/20/making…

In un post su Framablog l’associazione Framasoft ha presentato Framamia un sito per condividere conoscenze , ricerche, problemi e domande attorno all’Intelligenza Artificiale.

Allo stesso tempo Framasoft ha rilasciato un primo risultato delle sue ricerche: Lokas, un prototipo di applicazione per Android e iOS che permette di registrare l’audio di una riunione e ottenere la trascrizione del testo.

Lo sviluppo di questa applicazione, qui una presentazione completa in inglese , dipenderà dai feedback degli utenti che vorranno provarla e dalla disponibilità delle risorse finanziarie che possano sosterne lo sviluppo.

Ecco l’inizio dell’articolo tradotto in italiano:

“Per contribuire a demistificare il tema dell'intelligenza artificiale, Framasoft pubblica una prima versione del sito web Framamia. Definizioni, problemi, rischi e domande: condividendo le conoscenze, speriamo di aiutare a recuperare il potere su queste tecnologie che stanno influenzando le nostre società. E per metterlo in pratica, Framasoft sta anche pubblicando l'applicazione Lokas, che presentiamo qui.”

Potete scaricare il testo integrale in formato .pdf dal link che trovate qui sotto:
nilocram.eu/edu/framamia-ita.p…

Sia Framamia che Lokas mi sembrano due buone ragioni per continuare a sostenere l’attività e i progetti di Framasoft:

soutenir.framasoft.org/en/

Al momento, la raccolta di fondi ha superato i 150.000 euro, rimangono ancora 10 giorni per raggiungere almeno l’obiettivo minimo che si è posta Framasoft per festeggiare i suoi 20 anni di vita (200.000 euro).

Anche noi possiamo dare il nostro piccolo contributo! 😀

#IA #AI #Framasoft #SpeechToText
@Framasoft
@Informa Pirata

[mars91] had an interesting problem to solve—his girlfriend often requested Diet Coke, but yelling for one across the apartment was frustrating and impractical. A dedicated Diet Coke button seemed like the perfect solution, so that’s precisely what he built.

The Diet Coke Button is a relatively simple device. A small silver push-button activates an Adafruit Feather M0 to send out a signal via its RFM95 LoRa radio. That signal is picked up by the receiver device, which runs on an ESP32. It’s got an RFM95 LoRa module, which receives signals from the button and sounds an alarm to indicate the request for a Diet Coke. The ESP32 also hosts a basic website which allows Diet Coke requests to be submitted via the web, as well as general submissions of a textual nature. The latter are displayed on a small OLED display. If you’re feeling bold, you can even set up the ESP32 to be accessible from the outside Internet, with [mars91] explaining how to do so using a Cloudflare tunnel for your own protection.

The only problem is that delivering the Diet Coke is still something you have to do by hand. Perhaps a future upgrade would involve some kind of small apartment-spanning railway for the delivery of ice-cold cans to designated stations.

It’s a unique project, and one that recalls us of an interesting talk about a different type of call button.

youtube.com/embed/dqmW9yxEL2E?…

hackaday.com/2024/12/20/buildi…

Twas the week before Christmas when Elliot and Dan sat down to unwrap a pre-holiday bundle of hacks. We kicked things off in a seasonally appropriate way with a PCB Christmas card that harvests power from your microwave or WiFi router, plus has the potential to be a spy tool. We learned how to grow big, beautiful crystals quickly, just in case you need some baubles for the tree or a nice pair of earrings. Speaking of last-minute gifts, perhaps you could build a packable dipole antenna, a very durable PCB motor, or a ridiculously bright Fibonacci simple add-on for your latest conference badge. We also looked into taking a shortcut to homebrew semiconductors via scanning electron microscopes, solved the mystery of early CD caddies, and discussed the sad state of table saw safety and the lamentable loss of fingers, or fractions thereof.

html5-player.libsyn.com/embed/…
Where to Follow Hackaday Podcast

Places to follow Hackaday podcasts:

• iTunes
• Spotify
• Stitcher
• RSS
• YouTube
• Check out our Libsyn landing page

Download the zero-calorie MP3.

Episode 301 Show Notes:

News:

• Astronauts Butch Wilmore and Suni Williams return to Earth delayed until at least March

What’s that Sound?

• Fill in this form for your chance to win. Be as specific as you can!

Interesting Hacks of the Week:

• Where This Xmas Card’s Going, We Don’t Need Batteries!
• Automated Rig Grows Big, Beautiful Crystals Fast
• Enabling NVMe On The Raspberry Pi 500 With A Handful Of Parts
  
  • New Raspberry Pi 400 Is A Computer In A Keyboard For $70

  
  

• Homebrew Electron Beam Lithography With A Scanning Electron Microscope
• PCB Motor Holds Fast, Even After 1.6 Billion Spins
  
  • Superconference Interview: Carl Bugeja
  • “What Good Is a New-born Baby?” — Benjamin Franklin (probably)

  
  

• See What ‘They’ See In Your Photos

Quick Hacks:

• Elliot’s Picks
  
  • A Red Ring Light Show For Your Xbox 360
  • 3D Printed Blaster Does It With Compliant Components
  • Pulling Backward To Go Forward: The Brennan Torpedo Explained
  • Building The Spectacular Fibonacci128 Simple Add-On

  
  

• Dan’s Picks:
  
  • Wago Terminals Make This Ham Radio Dipole Light And Packable
  • Why NASA Only Needs Pi To So Many Decimal Places
  • Catching The View From The Edge Of Space

  
  

Can’t-Miss Articles:

• Why Did Early CD-ROM Drives Rely On Awkward Plastic Caddies?
  
  • Capacitance Electronic Disc – Wikipedia

  
  

• Tech In Plain Sight: Table Saw Safety

hackaday.com/2024/12/20/hackad…

Embossed leather belts can be deliciously stylish. However, the tooling for making these fashionable items is not always easy to come by, and it rarely comes cheap. What do we do when a tool is expensive and obscure? We 3D print our own, as [Myth Impressions] demonstrates.

The build is based around a Harbor Freight pipe bender. However, instead of the usual metal tooling, it’s been refitted with a printed embossing ring specifically designed for imprinting leather. The tool features raised ridges in an attractive pattern, and the pipe bender merely serves as a straightforward device for rolling the plastic tooling over a leather belt blank. Once cranked through the machine, the leather belt comes out embossed with a beautiful design.

It’s a neat project, and the 3D printed tooling works surprisingly well. The key is that leather is relatively soft, so it’s possible to use plastic tools quite effectively. With that said, you can even form steel with printed tooling if you use the right techniques.

We’ve seen some other neat leatherworking hacks before, like this nicely-modified Singer sewing machine.

youtube.com/embed/TayD6JyOwhk?…

youtube.com/embed/8E6ADc4D6VQ?…

hackaday.com/2024/12/20/emboss…

Analog radio broadcasts are pretty simple, right? Tune into a given frequency on the AM or FM bands, and what you hear is what you get. Or at least, that used to be the way, before smart engineers started figuring out all kinds of sneaky ways for extra signals to hop on to mainstream broadcasts.

Subcarrier radio once felt like the secret backchannel of the airwaves. Long before Wi-Fi, streaming, and digital multiplexing, these hidden signals beamed anything from elevator music and stock tickers to specialized content for medical professionals. Tuning into your favorite FM stations, you’d never notice them—unless you had the right hardware and a bit of know-how.

Sub-what now?

Subcarrier radio was approved by the FCC under the Subsidiary Communications Authorization. This allowed both AM and FM radio stations to deliver additional content through subchannel broadcasting on their existing designated frequency. Practicalities mean that only FM stations could reasonably use this technique to broadcast additional audio content; AM radio stations were too limited in bandwidth to do so. In the latter case, only low-bitrate data could be sent on a subcarrier. 1983 saw the deregulation of subcarrier broadcasts, with existing broadcasters able to use them largely as they wished.

To understand how this let FM radios broadcast extra programming, we need to know how subcarriers work. Basically, in this context, a subcarrier is a high-frequency signal outside the range of human hearing—usually something like a sine wave at a frequency of 20 KHz to 100 KHz or so. This signal is then amplitude modulated with the desired secondary audio program for broadcast. As this signal is beyond the range of human hearing, it can be mixed with the regular station’s main audio feed without perceptibly altering it to any great degree. The mixed signal is then frequency modulated on to the radio station’s main carrier signal (usually in the range of 88-108 MHz) and sent up the tower for broadcast over radio.
Modern FM stereo transmissions have lots of stuff multiplexed on to them. There’s plenty of bandwidth to fit in a number of signals—including stereo data at 38 kHz, and subcarrier audio transmissions at 67 kHZ or 92 kHz. Microsoft also tried sending data over subchannels with Directband, but it didn’t catch on. Credit: modified, public domain
For subchannel broadcasting, FM stations typically used subcarriers at 67 kHz or 92 kHz to carry additional low-fidelity mono audio feeds. These carrier frequencies were chosen to avoid the existing subcarrier signal in FM stereo broadcasts, which carried a left-right channel difference signal at 38 kHz.

Subcarriers were a neat little lifehack that let a single frequency do double or triple duty. A single FM station could deliver its main program, plus a bonus low-fidelity mono channel for various purposes. This facility was used for all kinds of obscure uses. Some broadcasters delivered background music for piping into department stores and the like, while others created special channels reserved for reading-for-the-blind organizations.

The Physician’s Radio Network was also a notable user, which broadcast information of specific relevance to medical professionals. However, the limited audience made it a difficult prospect to keep running from a commercial standpoint, even though it saved money by merely rebroadcasting one hour of programming around the clock on any given day. It eventually went off the air in 1981.

Tuning into these broadcasts wasn’t possible on a regular FM radio. Instead, you needed a device specifically built to pull the subcarrier signal out of the radio broadcast and then demodulate it back into listenable audio. By and large, organizations broadcasting on subchannels would distribute special radios that were tuned to only decode their sub-carrier station. The hardware involved wasn’t complex—it just involved demodulating the FM broadcast signal, then filtering out the subcarrier signal and demodulating that back into audio.
Microsoft used subcarriers to broadcast data to coffee machines and smartwatches in the early 2000s. Credit: Zuzu, CC BY-SA 3.0
FM subcarriers weren’t just for audio, either. Microsoft famously used 67.7 kHz subcarriers on FM radio stations for its now-defunct DirectBand datacast network. It could deliver data at 12 kbit/second, or over 100 MB a day. The technology was used to deliver things like weather reports and stock prices to early smartwatches and coffee makers in the days before WiFi and celluar internet were cheap and everywhere.

From a hardware hacker’s perspective, these channels were a fun challenge to hunt down. With the right radio receiver and a bit of circuit hacking to tap off the baseband signal, you could decode the subcarrier and reveal the hidden broadcast. Some hobbyists rigged up surplus SCA receivers—often stuff found at flea markets or hamfests—to get free background music, weather reports, or any niche audio that happened to be riding along. Alternatively, decoding the subcarrier was entirely possible by building your own gear. It was kind of a neat analog puzzle—filter out the main audio, isolate the frequency where the secret channel lived, and then demodulate it. The hardware you’d use looked suspiciously like the guts of a standard FM radio, just with a few added filters and demodulation stages stuck in. These days, software defined radio techniques make doing the same thing comparatively easy.

Though it felt like eavesdropping, this wasn’t exactly some top-secret espionage. While technically unauthorized reception was frowned upon by the FCC, it wasn’t heavily policed. Subcarrier channels didn’t exactly have roving gangs of enforcers prowling about the neighborhood. Mostly, these subcarriers delivered paid subscription services, like Muzak, or nonprofit programming authorized under the station’s broadcast license. Their decline coincided with the rise of digital technologies and more flexible content-delivery methods. By the late 20th century, satellite feeds, internet streaming, and multicast digital channels rendered analog subcarriers quaint and unnecessary.

Still, SCA subcarrier signals remain a fascinating piece of broadcasting history. A few still linger today, but it’s now a more obscure medium than ever, lost as mainstream technology has moved on. It’s a reminder that even in the old days of broadcast radio, clever engineers found ways to pack more data into the same old bandwidth—long before we started streaming everything in sight.

Featured image by [windytan]. (Also, check out her work on RDS demodulation.)

hackaday.com/2024/12/20/subcha…

Il CISA ha avvertito le agenzie federali di proteggere i sistemi dagli attacchi in corso contro le vulnerabilità del kernel di Windows .

Il problema viene tracciato come CVE-2024-35250 (punteggio CVSS: 7,8) ed è dovuto alla dereferenza del puntatore non attendibile. Consente agli aggressori locali di ottenere diritti SYSTEM in attacchi semplici che non richiedono l’interazione dell’utente. I ricercatori DEVCORE, che hanno scoperto e segnalato il problema a Microsoft, riferiscono che il componente vulnerabile del sistema è Microsoft Kernel Streaming Service (MSKSSRV.SYS).

Al concorso Pwn2Own di Vancouver 2024, il team DEVCORE ha utilizzato la vulnerabilità per aumentare i privilegi e compromettere un sistema Windows 11 completamente aggiornato. Microsoft ha risolto la vulnerabilità durante l’aggiornamento Patch Tuesday 2024 di giugno. Quattro mesi dopo, su GitHub è apparso un codice di exploit funzionante.

Inoltre, CISA ha anche aggiunto al catalogo delle vulnerabilità sfruttate note (KEV) una vulnerabilità critica di Adobe ColdFusion tracciata come CVE-2024-20767 (punteggio CVSS: 7,4). Il problema, risolto da Adobe a marzo, deriva da controlli di accesso insufficienti e consente ad aggressori remoti e non autenticati di leggere file di sistema e sensibili.

Secondo SecureLayer7, il corretto funzionamento dei server ColdFusion con il pannello di amministrazione aperto può aggirare le misure di sicurezza ed eseguire scritture arbitrarie sul file system. Il motore di ricerca Fofa mostra che ci sono più di 145.000 server ColdFusion disponibili online, anche se è impossibile determinarne il numero esatto con i pannelli di amministrazione aperti.

Entrambe le vulnerabilità sono state aggiunte al catalogo KEV con un segno di sfruttamento attivo. Il BOD 22-01 impone alle agenzie federali di proteggere le proprie reti per tre settimane, fino al 6 gennaio. La CISA ha sottolineato che tali vulnerabilità sono frequenti vettori di attacchi e rappresentano un serio rischio per le infrastrutture federali. Sebbene la directory KEV sia destinata agli enti governativi, anche le aziende private sono incoraggiate a risolvere immediatamente le vulnerabilità per proteggersi dagli attacchi in corso.

L'articolo Allarme CISA: vulnerabilità Windows Kernel e ColdFusion sotto attacco attivo! proviene da il blog della sicurezza informatica.

Israele, attraverso l’uso strategico delle sue tecnologie di sorveglianza, ha trasformato la cyber-intelligence in un pilastro della sua politica estera. Questo approccio, che unisce innovazione tecnologica e pragmatismo politico, si è rivelato particolarmente efficace in Africa, dove la necessità di sicurezza e controllo è spesso prioritaria per governi autoritari o instabili. Tuttavia, questa strategia non […]
Continua a leggere

The post Cyber, spionaggio e sorveglianza: così Israele punta all’Africa appeared first on InsideOver.

Juniper Networks ha avvertito di una nuova campagna malware che prende di mira i dispositivi Session Smart Router (SSR) utilizzando il malware Mirai . La campagna prende di mira i sistemi che utilizzano password predefinite, consentendo agli aggressori di introdurre nuovi dispositivi nella botnet per condurre attacchi DDoS .

Il 12 dicembre 2024 Juniper ha emesso un avviso a seguito di numerose segnalazioni da parte di clienti su comportamenti strani sulle loro reti. È stato accertato che i sistemi interessati erano stati infettati dal malware Mirai e venivano utilizzati per attaccare altri dispositivi.

Mirai è conosciuta dal 2016, quando il suo codice sorgente è diventato pubblico. Il malware è in grado di scansionare i dispositivi alla ricerca di vulnerabilità e password deboli, collegandoli a una botnet per attacchi distribuiti.

Juniper consiglia alle organizzazioni di sostituire immediatamente le password predefinite con password univoche e complesse, di esaminare regolarmente i registri di accesso per individuare attività sospette, di utilizzare firewall per proteggersi da accessi non autorizzati e di mantenere aggiornato il software.

I sintomi dell’infezione Mirai includono la scansione attiva delle porte, molteplici tentativi di accesso SSH, aumento del volume di traffico in uscita, riavvii casuali e connessioni da indirizzi IP dannosi. L’unico modo per eliminare la minaccia è ripristinare completamente il sistema.

Allo stesso tempo, gli esperti dell’AhnLab Security Intelligence Center ( ASEC ) hanno segnalato una nuova minaccia: il malware cShell che attacca i server Linux mal gestiti con accesso SSH aperto. cShell, scritto in Go, utilizza gli strumenti screen e hping3 per effettuare attacchi.

L'articolo Mirai Torna in Azione: Le Password Di Default sono Il Male Supremo! proviene da il blog della sicurezza informatica.

[Piffpaffpoltrie] had a problem. They found the InLine VA40R to be a perfectly usable multimeter, except for a couple of flaws. Most glaring among these were the tiny sockets for the test probes. These proved incompatible with the probes they preferred to use, so naturally, something had to be done.

The desire was to see the multimeter work with [Piffpaffpoltrie]’s connector of choice—the 4 mm Multi Contact banana plug from Stabuli. Swiss-made, gold-plated, and highly reliable, nothing else would do. The original sockets on the multimeter were simply too small to properly accept these. Instead, some Stabuli sockets were purchased—part number B-EB4-AU—but these wouldn’t fit in the multimeter’s case as designed. To make them work, they were machined down, drilled, tapped, and then fitted with a short M3 screw which was then soldered in place. This short length of thread then allowed the new sockets to bolt right into the PCB in place of the original sockets.

Ultimately, many would just buy a new multimeter. This hack is a fiddly and time-consuming one, but it’s kind of neat to see someone go to such lengths to customize their tools to their own satisfaction.

We don’t see a lot of multimeter hacks, because these tools usually get all the necessary features from the manufacturer. Still, the handful we’ve featured have proven most interesting. If you’re tinkering away at customizing your own test gear, don’t hesitate to drop us a line!

hackaday.com/2024/12/20/multim…

Introduction

BellaCiao is a .NET-based malware family that adds a unique twist to an intrusion, combining the stealthy persistence of a webshell with the power to establish covert tunnels. It surfaced for the first time in late April 2023 and has since been publicly attributed to the APT actor Charming Kitten. One important aspect of the BellaCiao samples is how they exhibit a wealth of information through their respective PDB paths, including a versioning scheme we were able to work out once we analyzed historical records.

Recently, we were investigating an intrusion that involved a BellaCiao sample (MD5 14f6c034af7322156e62a6c961106a8c) on a computer in Asia. Our telemetry indicated another suspicious, and possibly related, sample on the same machine. After further investigation of the sample, it turned out to be a reimplementation of an older BellaCiao version, but written in C++.

BellaCiao: PDB analysis

BellaCiao has very descriptive PDB paths that expose important points related to the campaign, such as the target entity and country. In addition, after analyzing several historical samples, we found that all PDB paths contained the string “MicrosoftAgentServices”. Some of the samples had a single digit appended to the string, as in “MicrosoftAgentServices2” and “MicrosoftAgentServices3”. The use of integers typically indicates versioning employed by the malware developer, likely to differentiate various iterations or updates. These versioning practices may serve the purpose of tracking development and changes in the malware’s capabilities, aiding the APT actor in maintaining a diverse and evolving arsenal to achieve their objectives.

Below are the last 10 samples with their respective compilation times.

It is worth noting that the first known BellaCiao samples didn’t feature this versioning system, which only appeared later. This could be attributed to the project’s gradual maturation over time, resulting in improved development quality and refined capabilities.

BellaCPP

BellaCPP was found on the same machine infected with the .NET-based BellaCiao malware. It’s a DLL file named “adhapl.dll”, developed in C++ and located in C:\Windows\System32. It has one export function, named “ServiceMain”. The name and control handler registration indicate that, similar to the original BellaCiao samples, this variant is designed to run as a Windows service.

Consistent with the exported ServiceMain function in the DLL, the code executes a series of steps that closely resemble the behavior observed in earlier versions of BellaCiao.

• Decrypt three strings using XOR encryption with the key 0x7B:
  
  • C:\Windows\System32\D3D12_1core.dll
  • SecurityUpdate
  • CheckDNSRecords

  
  

• Load the DLL file at the path decrypted during the previous step and resolve the functions of the two other decrypted strings above with GetProcAddress.
• Generate a domain by following the same method as the .NET BellaCiao version, using the following format:
  <5 random letters><target identifier>.<country code>.systemupdate[.]info
• Call the CheckDNSRecords function. If the return value matches the hardcoded IP address, call the SecurityUpdate function, passing an argument as depicted below.
  <username>:<password>:systemupdate[.]info:<port>:<IP_address>:<port>:<IP_address>:<port>

Unfortunately, we were unable to retrieve the aforementioned D3D12_1core.dll file and therefore could not analyze the SecurityUpdate function triggered in the process. However, as mentioned above, the .NET-based BellaCiao samples feature similar behavior but contain the parameter passed as an argument by the C++ version as a separate variable. For example, the BellaCiao sample that is found along with BellaCPP uses the following workflow.

• Generate a domain using the pattern below and send a DNS request to obtain the IP address.
  <5 random letters><target identifier>.<country code>.autoupdate[.]uk
• If the IP address equals a hardcoded value, create an SSH tunnel using values similar to the parameter passed by BellaCPP, and expose local port 49450 through that tunnel.

Based on the passed parameters and known BellaCiao functionality, we assess with medium confidence that the missing DLL creates an SSH tunnel. However, in contrast to the PowerShell webshell that we observed in the older BellaCiao samples, the BellaCPP sample lacks a hardcoded webshell.

Attribution

We assess with medium-to-high confidence that BellaCPP is associated with the Charming Kitten threat actor based on the following elements.

• From a high-level perspective, this is a C++ representation of the BellaCiao samples without the webshell functionality.
• It uses domains previously attributed to the actor.
• It generates a domain in a similar fashion and uses that in the same way as observed with the .NET samples.
• The infected machine was discovered with an older BellaCiao sample on its hard drive.

Conclusion

Charming Kitten has been improving its arsenal of malware families while making use of publicly available tools. One of the malware families that they keep updating is BellaCiao. This family is especially interesting from a research perspective, as the PDB paths sometimes provide some insight into the intended target and their environment.

The discovery of the BellaCPP sample highlights the importance of conducting a thorough investigation of the network and the machines in it. Attackers can deploy unknown samples which might not be detected by security solutions, thereby retaining a foothold in the network after “known” samples are removed.

File hashes

222380fa5a0c1087559abbb6d1a5f889
14f6c034af7322156e62a6c961106a8c
44d8b88c539808bb9a479f98393cf3c7
e24b07e2955eb3e98de8b775db00dc68
8ecd457c1ddfbb58afea3e39da2bf17b
103ce1c5e3fdb122351868949a4ebc77
28d02ea14757fe69214a97e5b6386e95
4c6aa8750dc426f2c676b23b39710903
ac4606a0e10067b00c510fb97b5bd2cc
ac6ddd56aa4bf53170807234bc91345a
36b97c500e36d5300821e874452bbcb2
febf2a94bc59011b09568071c52512b5

Domains
systemupdate[.]info

securelist.com/bellacpp-cpp-ve…

L'incredibile storia di Giuseppe Grabinski, l'unico polacco a meritarsi l'intitolazione di una strada nel centro di Bologna, e della sua dinastia, è al centro del nuovo longform di Centrum Report.

Lo ha scritto il nostro varsaviano/bolognese doc Lorenzo Berardi. Chi meglio di lui poteva scovare e sbrogliare questo prezioso filo che si dipana per quasi due secoli, tra battaglie dell'esercito napoleonico, matrimoni reali, imprese imprenditoriali, e inclinazioni monarchiche?

Buona lettura!

centrumreport.com/longform/la-…

Negli ultimi anni, l’utilizzo dell’intelligenza artificiale (AI) nei conflitti armati ha aperto scenari inediti e profondamente controversi. Una delle più recenti e discusse applicazioni riguarda l’esercito israeliano (IDF) e l’uso del sistema di intelligenza artificiale noto come “Lavender” nelle operazioni militari nella Striscia di Gaza. Questa tecnologia avanzata è stata impiegata per identificare e selezionare obiettivi da colpire durante i bombardamenti, ma la sua implementazione ha sollevato numerose critiche e preoccupazioni per le implicazioni etiche, legali e umanitarie.

Il Funzionamento del Sistema Lavender

Secondo un’inchiesta approfondita pubblicata da +972 Magazine, Lavender è un sofisticato algoritmo progettato per analizzare una grande quantità di dati di intelligence e identificare automaticamente sospetti militanti palestinesi. Lavender è stato sviluppato come parte del programma di modernizzazione dell’IDF, con l’obiettivo di migliorare l’efficacia delle operazioni militari attraverso l’uso dell’intelligenza artificiale predittiva. L’algoritmo si basa su enormi set di dati di intelligence raccolti da fonti diverse, tra cui:

• Intercettazioni telefoniche.
• Geolocalizzazione dei dispositivi mobili.
• Profilazione attraverso i social media.
• Analisi dei movimenti e delle abitudini personali.

L’IDF ha implementato questo sistema per velocizzare e automatizzare il processo di identificazione dei sospetti militanti e dei loro presunti nascondigli. Durante i conflitti recenti, in particolare nell’offensiva a Gaza del 2021, Lavender è stato utilizzato per individuare e colpire obiettivi con una rapidità e un’efficienza senza precedenti.

Lavender elabora grandi quantità di dati attraverso machine learning e algoritmi di analisi predittiva. Il sistema identifica comportamenti e modelli di attività che, secondo i criteri predefiniti dall’IDF, sono associati ai militanti di Hamas e di altre fazioni armate.

Il processo decisionale funziona in questo modo:

1. Raccolta dei dati da fonti di intelligence digitali.
2. Analisi dei pattern comportamentali per individuare sospetti.
3. Generazione di liste di obiettivi, con dettagli sui movimenti e sugli indirizzi.
4. Validazione rapida da parte degli ufficiali, spesso in pochi secondi.
5. Esecuzione dell’attacco attraverso raid aerei mirati.

Durante il conflitto a Gaza, il sistema Lavender ha identificato circa 37.000 potenziali obiettivi. Questo numero impressionante suggerisce che il processo decisionale è stato automatizzato a un livello mai visto prima. Mentre il sistema è stato progettato per “assistere” gli ufficiali dell’IDF, le decisioni venivano spesso convalidate quasi automaticamente, lasciando poco spazio alla verifica umana approfondita. In molti casi, un bersaglio veniva approvato per un bombardamento in meno di un minuto.

Un Processo Decisionale Rapido ma Controverso

Nonostante l’intento dichiarato di migliorare l’accuratezza e ridurre gli errori umani, Lavender non è privo di difetti. Secondo l’inchiesta di +972 Magazine, l’intervento umano nel processo decisionale è spesso minimo. Una volta che l’AI identifica un obiettivo, il tempo a disposizione degli ufficiali per eseguire una verifica è estremamente ridotto, spesso meno di un minuto.

L’adozione di Lavender ha permesso all’IDF di agire con una rapidità senza precedenti. Tuttavia, questa velocità ha comportato una serie di rischi significativi. Gli attacchi aerei spesso colpivano abitazioni private mentre i sospetti si trovavano con le loro famiglie, portando a un alto numero di vittime civili. Secondo i resoconti, in alcuni casi l’AI si è basata su dati incompleti o errati, portando a errori di identificazione con conseguenze tragiche.

Il tasso di errore stimato per Lavender è del 10%. Anche se questa percentuale può sembrare bassa in termini statistici, applicata a decine di migliaia di bersagli può tradursi in centinaia, se non migliaia, di vite umane perse a causa di errori dell’AI.

Violazione dei Principi del Diritto Internazionale Umanitario

Il diritto internazionale umanitario stabilisce principi fondamentali per la conduzione delle guerre, come la distinzione tra combattenti e civili e la proporzionalità nell’uso della forza. L’uso di un sistema AI come Lavender, con controllo umano limitato, mette a rischio il rispetto di questi principi. Bombardamenti basati su identificazioni automatizzate possono portare a violazioni delle Convenzioni di Ginevra, che richiedono di prendere tutte le precauzioni possibili per proteggere i civili.

Organizzazioni per i diritti umani, come Human Rights Watch e Amnesty International, hanno espresso profonda preoccupazione per l’impiego di queste tecnologie. La capacità dell’AI di agire senza una supervisione adeguata rappresenta una minaccia per il diritto alla vita e può costituire una forma di “giustizia sommaria” tecnologicamente avanzata ma eticamente discutibile.

Confronto con l’Uso dell’AI in Altri Contesti Bellici

L’uso dell’AI nei conflitti non è un’esclusiva dell’IDF. Anche in Ucraina, durante l’invasione russa, sono state utilizzate tecnologie di intelligenza artificiale per ottimizzare la difesa e identificare obiettivi nemici. Tuttavia, il caso di Lavender si distingue per l’ampiezza del suo utilizzo e la velocità decisionale. Mentre in Ucraina l’AI viene usata principalmente per scopi difensivi, nel contesto di Gaza è stata impiegata in una campagna di bombardamenti offensivi su larga scala.

Questa distinzione solleva interrogativi su come l’AI possa essere regolamentata nei conflitti futuri e quale sia il limite etico per l’automazione delle decisioni militari.

Un Futuro di Guerra Automatizzata

La crescente dipendenza da sistemi di AI nei conflitti moderni potrebbe alterare radicalmente le modalità con cui vengono condotte le guerre. Gli esperti avvertono che una progressiva automazione delle decisioni belliche potrebbe portare a un “disimpegno morale” da parte degli esseri umani coinvolti, riducendo la percezione delle conseguenze delle azioni militari.

Inoltre, l’assenza di una regolamentazione internazionale chiara sull’uso dell’AI nei conflitti potrebbe creare un precedente pericoloso, incentivando una corsa agli armamenti tecnologici senza controlli adeguati. Senza linee guida rigorose, il rischio di abusi e violazioni dei diritti umani è destinato ad aumentare.

Il caso di Lavender rappresenta un campanello d’allarme per la comunità internazionale. L’adozione dell’intelligenza artificiale nei conflitti richiede una riflessione profonda e l’implementazione di normative rigorose per garantire che queste tecnologie siano utilizzate in modo etico e responsabile. Il futuro della guerra automatizzata è già una realtà, e il mondo deve affrontare questa sfida con la massima attenzione per evitare un’ulteriore escalation di violazioni dei diritti umani e di sofferenze civili.

L'articolo Lavender: Le AI entrano in Guerra: Dispiegata dall’esercito Israeliano a Gaza proviene da il blog della sicurezza informatica.

Not all 3D scanning is alike, and the right workflow can depend on the object involved. [Ding Dong Drift] demonstrates this in his 3D scan of a project car. His goal is to design custom attachments, and designing parts gets a lot easier with an accurate 3D model of the surface you want to stick them on. But it’s not as simple as just scanning the whole vehicle. His advice? Don’t try to use or edit the 3D scan directly as a model. Use it as a reference instead.
Rather than manipulate the 3D scan directly, a better approach is sometimes to use it as a modeling reference to fine-tune dimensions.
To do this, [Ding Dong Drift] scans the car’s back end and uses it as a reference for further CAD work. The 3D scan is essentially a big point cloud and the resulting model has a very high number of polygons. While it is dimensionally accurate, it’s also fragmented (the scanner only captures what it can see, after all) and not easy to work with in terms of part design.

In [Ding Dong Drift]’s case, he already has a 3D model of this particular car. He uses the 3D scan to fine-tune the model so that he can ensure it matches his actual car where it counts. That way, he’s confident that any parts he designs will fit perfectly.

3D scanning has a lot of value when parts have to fit other parts closely and there isn’t a flat surface or a right angle to be found. We saw how useful it was when photogrammetry was used to scan the interior of a van to help convert it to an off-grid camper. Things have gotten better since then, and handheld scanners that make dimensionally accurate scans are even more useful.

youtube.com/embed/IcIRhBEO8_M?…

hackaday.com/2024/12/20/watch-…

Fortinet ha recentemente rilasciato un avviso per una grave vulnerabilità di sicurezza che riguarda il FortiWLM (Wireless LAN Manager), già corretta con un aggiornamento. Questa falla, identificata come CVE-2023-34990, presenta un punteggio CVSS di 9.6 su 10, evidenziando la sua pericolosità.

La vulnerabilità in FortiWLM

La vulnerabilità sfrutta una debolezza di path traversal relativa (CWE-23), consentendo a un attaccante remoto non autenticato di leggere file sensibili sul sistema tramite richieste web specifiche. Inoltre, secondo una descrizione nel National Vulnerability Database del NIST, questa vulnerabilità può essere utilizzata anche per eseguire codice o comandi non autorizzati.

Le versioni impattate includono:

• FortiWLM 8.6.0 fino a 8.6.5 (corretto nella versione 8.6.6 o successive).
• FortiWLM 8.5.0 fino a 8.5.4 (corretto nella versione 8.5.5 o successive).

La scoperta di questa falla è stata attribuita al ricercatore di sicurezza Zach Hanley di Horizon3.ai.

Un attaccante potrebbe sfruttare CVE-2023-34990 per:

• Accedere ai file di log di FortiWLM e rubare ID di sessione degli utenti.
• Utilizzare gli ID di sessione per accedere a endpoint autenticati.
• Compromettere le sessioni web statiche tra gli utenti e ottenere privilegi amministrativi.

La gravità aumenta se la vulnerabilità viene combinata con un’altra falla, CVE-2023-48782 (CVSS 8.8), che consente l’esecuzione di codice remoto come root. Questa vulnerabilità è stata corretta anch’essa nella versione 8.6.6 di FortiWLM.

Anche FortiManager sotto attacco

Oltre a FortiWLM, Fortinet ha risolto una vulnerabilità critica in FortiManager, identificata come CVE-2024-48889 (CVSS 7.2). Questa vulnerabilità, un’iniezione di comandi nel sistema operativo, permette a un attaccante remoto autenticato di eseguire codice non autorizzato tramite richieste FGFM appositamente create.

Le versioni interessate includono:

• FortiManager 7.6.0 (corretto in 7.6.1 o successive).
• Versioni precedenti fino a 6.4.14, con correzioni a partire dalle versioni indicate nel comunicato.

Fortinet ha anche specificato che vari modelli hardware, come 3000F, 3700G e altri, possono essere vulnerabili se la funzione “fmg-status” è attiva.

Implicazioni e misure da adottare

Fortinet è già stata nel mirino di attori malevoli in passato, e dispositivi come FortiWLM e FortiManager continuano ad essere obiettivi appetibili. Queste vulnerabilità dimostrano ancora una volta l’importanza di mantenere i dispositivi aggiornati e di applicare tempestivamente le patch di sicurezza. Gli amministratori di rete devono:

• Aggiornare subito FortiWLM e FortiManager alle versioni sicure indicate.
• Verificare le configurazioni per ridurre i rischi associati a funzioni come “fmg-status”
• Implementare sistemi di monitoraggio che rilevino attività sospette.

Conclusione

Questa serie di vulnerabilità sottolinea l’importanza di adottare un approccio proattivo alla sicurezza informatica. Sebbene Fortinet abbia messo a disposizione gli strumenti per mitigare queste minacce, spetta alle organizzazioni intervenire con tempestività per ridurre il rischio di esposizione ai cybercriminali. In un contesto di minacce sempre più evolute, restare un passo avanti significa investire nella protezione delle proprie infrastrutture IT con strategie mirate e aggiornamenti costanti.

L'articolo Allerta Fortinet: FortiWLM e FortiManager nel mirino degli hacker. Aggiornare Immediatamente! proviene da il blog della sicurezza informatica.

Il bloatware, spesso sottovalutato nello sviluppo delle applicazioni, rappresenta un vero ostacolo per le prestazioni, la sicurezza e l’esperienza utente. Si tratta di funzionalità, librerie o elementi di codice aggiunti senza una reale necessità, che appesantiscono il software e ne compromettono l’efficienza.

Nel contesto competitivo attuale, gli utenti cercano applicazioni leggere, veloci e sicure. Tuttavia, molti sviluppatori cadono nella trappola del bloatware, integrando funzionalità superflue o codici inutili. Questo non solo rallenta l’applicazione, ma ne aumenta anche i costi di manutenzione e il rischio di vulnerabilità.

In questa guida, esploreremo Cos’è il bloatware e come identificarlo, i rischi concreti per lo sviluppo e il successo delle app, strategie e strumenti per eliminarlo e prevenirlo e le best practice per creare un software leggero, performante e scalabile.

Sviluppare applicazioni senza bloatware non è solo una scelta tecnica, ma anche una strategia di successo per distinguersi in un mercato sempre più esigente.

Introduzione al bloatware

Il bloatware è una delle problematiche più insidiose nello sviluppo delle applicazioni moderne. Si riferisce a componenti, librerie o funzionalità che vengono aggiunti al software senza una reale necessità, ma che finiscono per appesantirlo inutilmente. Sebbene il bloatware possa sembrare innocuo a prima vista, in realtà ha un impatto significativo sulle prestazioni, la sicurezza e la manutenzione del software, influenzando negativamente l’esperienza dell’utente e, in ultima analisi, il successo dell’applicazione.

Cos’è il bloatware?

Il bloatware si presenta sotto forma di codice o risorse che non sono essenziali per il funzionamento base dell’applicazione, ma che vengono comunque incluse durante lo sviluppo. Questi elementi superflui potrebbero includere:

• Funzionalità aggiuntive non strettamente necessarie;
• Librerie e dipendenze che appesantiscono il codice senza apportare valore reale;
• Interfacce utente complesse che non sono essenziali per la fruizione delle funzionalità principali.

Quando il bloatware entra a far parte di un progetto software, il codice diventa più pesante, meno leggibile e più difficile da manutenere. Le applicazioni diventano più lente e meno reattive, e in alcuni casi, le prestazioni si deteriorano così tanto da rendere l’esperienza utente insoddisfacente.

L’impatto del bloatware sullo sviluppo delle applicazioni

1. Prestazioni rallentate: il software che contiene troppo codice inutile tende a diventare più lento. L’eccessiva presenza di codice non ottimizzato può rallentare l’elaborazione delle informazioni e aumentare i tempi di risposta dell’applicazione.
2. Aumento della superficie di attacco: ogni libreria o dipendenza aggiunta aumenta le possibilità che il software contenga vulnerabilità. Il bloatware, spesso, include pacchetti non più aggiornati o non correttamente monitorati, aumentando il rischio di attacchi.
3. Difficoltà di manutenzione e scalabilità: con il tempo, il codice inutilmente complesso diventa sempre più difficile da gestire. La presenza di funzioni non utilizzate o duplicate rende la manutenzione costosa e complessa.
4. Problemi di compatibilità: le dipendenze inutilizzate o le risorse superflue possono causare conflitti con altre librerie o strumenti, rendendo più difficile l’integrazione con altri sistemi.

Le sfide per gli sviluppatori

Gli sviluppatori sono spesso costretti a prendere decisioni per trovare un compromesso tra funzionalità e performance. Tuttavia, con l’evoluzione delle tecnologie e dei metodi di sviluppo, l’identificazione e l’eliminazione del bloatware sono diventate priorità fondamentali. Rimuovere il bloatware non solo migliora le prestazioni, ma consente di creare software più sicuro, facile da mantenere e scalabile.

L’obiettivo di un’applicazione moderna è quello di offrire prestazioni elevate e un’esperienza utente fluida, e ciò è possibile solo se il codice è leggero e ottimizzato.

Come identificare il bloatware nei progetti software

Individuare il bloatware nei progetti software è un passo cruciale per migliorare le prestazioni e mantenere il codice pulito. Spesso, il bloatware non si manifesta immediatamente ma si accumula nel tempo, causando problemi di lentezza, complessità e vulnerabilità. Un’analisi attenta e metodica consente di identificare queste inefficienze prima che compromettano l’intero progetto.

Segnali che indicano la presenza di bloatware

1. Tempi di caricamento elevati: un’applicazione che impiega troppo tempo ad avviarsi o a rispondere potrebbe contenere funzionalità inutili;
2. Elevata dimensione del file: se il pacchetto software o l’eseguibile supera di molto le dimensioni previste, potrebbe contenere risorse inutilizzate o ridondanti;
3. Dipendenze non necessarie: librerie o framework aggiunti per funzioni non critiche aumentano la complessità senza un reale valore;
4. Codice duplicato o non utilizzato: segmenti di codice che non vengono mai eseguiti o che replicano funzionalità già esistenti sono spesso una fonte di bloatware;
5. Prestazioni hardware non proporzionali: se l’app richiede più risorse di quante ne giustifichino le funzionalità, potrebbe essere appesantita.

Strumenti per individuare il bloatware

1. Analizzatori di codice statico: strumenti come SonarQube o ESLint aiutano a identificare codice non utilizzato, duplicato o eccessivamente complesso;
2. Monitoraggio delle prestazioni: piattaforme come New Relic o Google Lighthouse consentono di analizzare i tempi di caricamento e il consumo di risorse;
3. Strumenti di analisi delle dipendenze: strumenti come Depcheck o npm audit rivelano librerie inutilizzate o vulnerabili;
4. Debugging avanzato: tecniche di profiling aiutano a individuare colli di bottiglia o funzioni che rallentano l’intera applicazione.

Best practice per l’identificazione del bloatware

• Esegui revisioni periodiche del codice: revisione regolare del codice per rimuovere ciò che non è necessario;
• Utilizza checklist durante lo sviluppo: verifica che ogni nuova funzione o libreria aggiunta sia essenziale per il progetto;
• Collabora con il team: coinvolgi altri sviluppatori per ottenere feedback e suggerimenti sull’ottimizzazione del codice.

Riconoscere il bloatware in fase di sviluppo è fondamentale per prevenire problemi futuri. Un approccio proattivo consente di mantenere il software leggero, performante e conforme agli standard di qualità attesi dagli utenti e dai motori di ricerca.

I rischi del bloatware: prestazioni, sicurezza e costi

Il bloatware può sembrare un problema marginale nelle prime fasi di sviluppo, ma con il tempo i suoi effetti diventano sempre più evidenti. La presenza di codice superfluo non solo appesantisce l’applicazione, ma comporta una serie di rischi che possono compromettere l’esperienza dell’utente e minacciare la sicurezza e la competitività del software.

Prestazioni compromesse

Uno dei rischi più immediati del bloatware riguarda le prestazioni. Aggiungere funzioni e librerie non necessarie rallenta il software, causando problemi di velocità che possono essere molto frustranti per gli utenti. I principali impatti sulle prestazioni includono:

• Tempi di caricamento elevati: le applicazioni più pesanti richiedono più tempo per caricarsi, il che può influire negativamente sull’esperienza utente, portando a una maggiore probabilità di abbandono.
• Eccessivo utilizzo delle risorse: ogni componente aggiuntivo consuma memoria e capacità di elaborazione, rallentando l’intero sistema, soprattutto su dispositivi meno potenti.
• Mancata ottimizzazione: senza un codice snello e ben progettato, l’applicazione può diventare ingombrante, richiedendo tempi più lunghi per l’elaborazione delle informazioni e il completamento delle operazioni.

Le applicazioni con bloatware tendono a diventare sempre più lente nel tempo, con una crescita progressiva delle risorse necessarie, creando un ciclo vizioso che non solo peggiora la qualità dell’esperienza dell’utente, ma anche le performance generali del sistema.

Sicurezza a rischio

Il bloatware non è solo un problema per le prestazioni; può anche essere una minaccia per la sicurezza dell’applicazione. Ogni libreria o componente aggiuntivo che non è strettamente necessario rappresenta una superficie d’attacco aggiuntiva per potenziali vulnerabilità. I principali rischi per la sicurezza legati al bloatware includono:

• Librerie non aggiornate: l’inclusione di librerie obsolete che non vengono più mantenute dai rispettivi sviluppatori può creare vulnerabilità di sicurezza, poiché queste potrebbero non ricevere aggiornamenti o patch per risolvere eventuali problemi.
• Dipendenze vulnerabili: ogni volta che viene aggiunta una libreria esterna o una dipendenza, aumentano le probabilità che una di esse contenga falle di sicurezza sfruttabili da attacchi esterni.
• Accessi non necessari: alcune funzionalità superflue potrebbero richiedere privilegi o accessi non necessari, aumentando il rischio che i dati degli utenti o l’infrastruttura siano compromessi.

Il bloatware aumenta la superficie d’attacco dell’applicazione, creando numerosi punti vulnerabili che i malintenzionati potrebbero sfruttare per compromettere la sicurezza. Un software pieno di codice inutile e non sicuro è particolarmente esposto agli attacchi informatici, il che può causare gravi danni sia agli utenti che all’integrità dell’applicazione stessa.

Aumento dei costi

Infine, uno degli impatti più significativi del bloatware riguarda i costi. Sebbene aggiungere funzionalità e librerie extra possa sembrare una soluzione rapida per soddisfare le esigenze degli utenti, nel lungo periodo comporta spese più alte. I principali costi associati al bloatware sono:

• Costi di manutenzione più alti: un codice più complesso richiede più tempo e risorse per essere aggiornato e mantenuto. Ogni componente aggiuntivo implica un maggiore sforzo nel monitorare, correggere e aggiornare il software.
• Tempo di sviluppo più lungo: l’inclusione di funzionalità non necessarie rallenta lo sviluppo iniziale, poiché richiede più tempo per l’integrazione, il testing e la gestione.
• Costi di supporto: le applicazioni più pesanti possono causare problemi di compatibilità, con conseguente necessità di supporto tecnico e risoluzione di bug frequenti, aumentando i costi di assistenza.

Inoltre, con il passare del tempo, il bloatware rende il software meno scalabile. Se non rimosso, il codice superfluo ostacola l’adattamento dell’applicazione a nuove esigenze o l’aggiunta di nuove funzionalità. Ciò significa che ogni nuova versione dell’applicazione potrebbe richiedere maggiori risorse e tempi di sviluppo più lunghi.

Strategie per evitare il bloatware nello sviluppo

Evita che il bloatware comprometta la qualità delle tue applicazioni con strategie mirate che rendano il processo di sviluppo più efficiente e il software più performante. Identificare e ridurre il bloatware fin dalle prime fasi del ciclo di vita del software è essenziale per garantire applicazioni leggere, sicure e facili da mantenere. In questo capitolo, esploreremo le migliori pratiche e strategie per prevenire il bloatware, concentrandoci su pianificazione, progettazione e gestione del codice.

Pianificazione accurata delle funzionalità

Una delle cause principali del bloatware è l’aggiunta di funzionalità non necessarie. Per evitare che ciò accada, è fondamentale adottare un approccio strategico già nelle prime fasi di sviluppo. Ecco alcuni consigli per una pianificazione efficace:

• Analizzare i requisiti essenziali: prima di aggiungere qualsiasi funzionalità, è cruciale definire chiaramente cosa è necessario per l’applicazione. Evita di cedere a richieste “extra” che non apportano valore significativo all’esperienza dell’utente.
• Definire una roadmap funzionale chiara: stabilisci una sequenza di priorità per lo sviluppo, concentrandoti su ciò che è davvero essenziale per soddisfare gli obiettivi del progetto.
• Concentrarsi sul core business: mantieni il focus sulle funzionalità centrali del prodotto, evitando l’inclusione di caratteristiche che potrebbero sembrare utili ma non sono strettamente legate alla missione dell’applicazione.

Pianificare accuratamente le funzionalità permette di ridurre il rischio di inserire codice non necessario che potrebbe trasformarsi in bloatware.

Utilizzo di librerie e dipendenze minime

Le librerie esterne e le dipendenze sono risorse comuni durante lo sviluppo di software, ma è essenziale utilizzarle con cautela. Un eccesso di librerie non necessarie può facilmente generare bloatware. Ecco come evitarlo:

• Scegliere librerie leggere e modulari: quando è necessario utilizzare librerie esterne, opta per soluzioni che siano minimali, ben documentate e aggiornate regolarmente. Preferisci quelle modulari che ti permettono di includere solo ciò di cui hai bisogno.
• Evitare dipendenze non necessarie: ogni dipendenza aggiunta rappresenta un aumento della superficie di attacco e una potenziale fonte di bloatware. Valuta con attenzione ogni libreria e verifica se davvero è indispensabile.
• Rimuovere le librerie inutilizzate: durante lo sviluppo, è facile accumulare librerie che vengono poi abbandonate. Esegui un monitoraggio regolare e rimuovi ciò che non è più utilizzato.

Includere solo le librerie necessarie non solo riduce il rischio di bloatware, ma migliora anche le prestazioni e la sicurezza complessiva dell’applicazione.

Pratiche di codifica pulita e ottimizzata

Una scrittura del codice efficiente è cruciale per evitare l’introduzione di bloatware. Seguendo le migliori pratiche di codifica, è possibile mantenere il codice leggero e facilmente manutenibile. Alcuni suggerimenti includono:

• Scrivere codice modulare e riutilizzabile: suddividi il codice in moduli piccoli e ben definiti, in modo da evitare duplicazioni e ridondanze che potrebbero appesantire il software.
• Ottimizzare le risorse: rimuovi tutte le risorse non necessarie, come immagini, file CSS o JavaScript inutilizzati, e fai attenzione alla gestione delle risorse per evitare sovraccarichi.
• Eseguire il refactoring periodico: esegui il refactoring del codice regolarmente per semplificarlo, eliminarne le parti obsolete e migliorare l’efficienza complessiva.

Un codice pulito e ben strutturato non solo aiuta a prevenire il bloatware, ma rende anche il processo di manutenzione e aggiornamento più semplice ed economico.

Monitoraggio e testing continui

Il monitoraggio costante e il testing accurato sono essenziali per garantire che il software rimanga privo di bloatware durante tutto il ciclo di vita. Implementando test e tecniche di monitoraggio efficaci, è possibile individuare e correggere i problemi prima che diventino critici. Le principali azioni da intraprendere sono:

• Testing delle prestazioni: esegui test di carico e di stress per misurare l’impatto delle funzionalità aggiuntive e delle dipendenze. Verifica che l’applicazione funzioni in modo fluido anche sotto carico.
• Analisi statica del codice: utilizza strumenti di analisi statica per identificare parti di codice che potrebbero causare inefficienze o contenere bloatware.
• Feedback dagli utenti: raccogli feedback dagli utenti per identificare eventuali lamentele relative alle prestazioni o alla complessità dell’applicazione.

Implementando un sistema di testing continuo, puoi garantire che l’applicazione rimanga sempre ottimizzata e priva di codice superfluo.

Formazione continua del team di sviluppo

Infine, una delle strategie più efficaci per evitare il bloatware è la formazione continua del team di sviluppo. Gli sviluppatori devono essere costantemente aggiornati sulle migliori pratiche e sugli strumenti più recenti per garantire che il codice sia sempre snello e performante. Alcuni passi fondamentali includono:

• Promuovere il design minimalista: sensibilizza il team sull’importanza di adottare un approccio minimalista nel design e nella scrittura del codice.
• Incoraggiare la revisione del codice tra pari: il peer review è fondamentale per identificare e rimuovere il codice non necessario e migliorare la qualità complessiva del software.
• Fornire formazione sugli strumenti di ottimizzazione: assicurati che il team sia competente nell’uso degli strumenti di ottimizzazione del codice, come quelli per il controllo delle dipendenze o per il refactoring del codice.

Una formazione adeguata aiuta il team a prendere decisioni più consapevoli, evitando l’introduzione di bloatware e migliorando le prestazioni e la sicurezza del software.

Strumenti e best practice per un codice leggero ed efficiente

Creare software leggero ed efficiente è una sfida fondamentale nello sviluppo moderno. L’adozione di strumenti appropriati e l’implementazione di best practice nella scrittura del codice sono essenziali per evitare l’introduzione di bloatware, migliorare le prestazioni e ridurre i costi di manutenzione.

Utilizzo di strumenti per l’analisi del codice

Una delle prime azioni da intraprendere per mantenere il codice pulito e leggero è l’utilizzo di strumenti di analisi del codice. Questi strumenti sono progettati per rilevare problematiche come il codice non utilizzato, la duplicazione e altre inefficienze che potrebbero contribuire al bloatware. Ecco alcuni strumenti utili:

• SonarQube: uno strumento di analisi statica del codice che rileva i difetti nel codice, le vulnerabilità di sicurezza e le aree di miglioramento. SonarQube è particolarmente utile per identificare duplicazioni e segmenti di codice non necessari.
• ESLint (per JavaScript): aiuta a mantenere il codice JavaScript pulito e senza errori, identificando codice obsoleto e stilisticamente incoerente. È utile per evitare l’introduzione di codice non ottimizzato.
• PMD (per Java): uno strumento di analisi statica che esamina il codice alla ricerca di potenziali inefficienze e migliora la qualità del software, evitando il bloatware causato da codice ridondante.
• Checkstyle: un altro strumento utile per analizzare la qualità del codice Java e mantenerlo conforme agli standard definiti.

Questi strumenti permettono di identificare e correggere facilmente le inefficienze del codice, prevenendo la crescita del bloatware e migliorando la qualità complessiva.

Ottimizzazione delle dipendenze

Un altro aspetto fondamentale per mantenere il codice leggero è la gestione efficiente delle dipendenze. Le dipendenze esterne, se non monitorate correttamente, possono facilmente appesantire un’applicazione. Ecco come ottimizzarle:

• Usare solo dipendenze necessarie: prima di aggiungere una nuova libreria o dipendenza, valuta con attenzione se è davvero necessaria per il progetto. Ogni dipendenza aggiunge una certa quantità di codice che deve essere caricato e gestito.
• Versione minima delle librerie: quando possibile, scegli versioni leggere o ridotte delle librerie. Alcuni framework e librerie offrono versioni minimaliste che includono solo le funzionalità essenziali.
• Dipendenze modulari: preferisci librerie e framework modulari che ti permettano di importare solo le parti necessarie, evitando di caricare componenti superflui.
• Strumenti per la gestione delle dipendenze: strumenti come Webpack (per JavaScript) e Maven (per Java) possono essere utilizzati per ridurre al minimo le dipendenze caricate nell’applicazione, ottimizzando le performance.

Una corretta gestione delle dipendenze non solo mantiene il codice più snello ma riduce anche il rischio di vulnerabilità di sicurezza e bug derivanti da librerie inutilizzate o obsolete.

Best practice per una codifica snella

Adottare le migliori pratiche durante la scrittura del codice è fondamentale per evitare il bloatware. Ecco alcuni accorgimenti per scrivere codice efficiente e leggero:

• Scrivere codice modulare: il codice modulare è più facile da mantenere, riutilizzare e testare. Suddividi il codice in unità riutilizzabili che possano essere facilmente sostituite o aggiornate senza compromettere l’intera applicazione.
• Rimuovere il codice inutilizzato: una delle cause principali di bloatware è il codice non utilizzato o il codice obsoleto. Esegui una revisione regolare del codice per eliminare tutte le funzionalità che non sono più necessarie o utilizzate.
• Combinare e minimizzare i file: per il codice front-end, è buona prassi combinare e minimizzare i file JavaScript e CSS per ridurre il numero di richieste HTTP e migliorare i tempi di caricamento dell’applicazione.
• Ottimizzare le immagini e le risorse multimediali: le immagini e altre risorse multimediali possono pesare notevolmente su un’applicazione. Utilizza strumenti come ImageOptim o TinyPNG per ridurre la dimensione dei file senza compromettere la qualità visiva.

Scrivere codice modulare e pulito, privo di ridondanze, è una delle migliori strategie per garantire che l’applicazione resti leggera ed efficiente.

Automazione e integrazione continua

L’automazione e l’integrazione continua (CI) sono fondamentali per mantenere un flusso di lavoro regolare e senza intoppi, evitando l’accumulo di bloatware. Utilizzare strumenti di automazione permette di eseguire test, analisi e ottimizzazioni in tempo reale, garantendo la qualità del codice senza interventi manuali. Alcuni strumenti che facilitano questo processo sono:

• Jenkins: un server di automazione open source che aiuta a integrare e distribuire il codice automaticamente. Consente di eseguire test di regressione e analisi statiche del codice ogni volta che viene implementata una nuova funzionalità.
• CircleCI: una piattaforma di integrazione continua che ottimizza i processi di test e distribuzione, riducendo il rischio di introdurre bloatware nelle versioni del software.
• Travis CI: uno strumento di CI che può essere integrato con repository GitHub per automatizzare la compilazione, il test e la distribuzione del codice, garantendo un ciclo di vita del software senza intoppi.

Con l’integrazione continua e l’automazione, è possibile mantenere la qualità del codice alta e impedire l’inclusione di bloatware che potrebbe rallentare il progetto.

Monitoraggio e ottimizzazione delle prestazioni in tempo reale

Un’altra best practice importante per mantenere il codice leggero ed efficiente è il monitoraggio delle prestazioni in tempo reale. Strumenti di monitoraggio permettono di rilevare eventuali problemi di performance e di carico, identificando rapidamente le aree del codice che causano rallentamenti o inefficienze. Alcuni strumenti da considerare sono:

• New Relic: un’applicazione di monitoraggio delle prestazioni che fornisce insight in tempo reale su come l’applicazione sta performando, aiutando a individuare bottlenecks o parti di codice inefficienti.
• AppDynamics: simile a New Relic, AppDynamics è utile per monitorare in tempo reale le performance delle applicazioni e garantire che restino leggere e veloci.
• Google Lighthouse: uno strumento che permette di misurare la qualità delle performance, l’accessibilità e le best practice di un sito web o di un’applicazione. È un ottimo strumento per identificare risorse pesanti e ottimizzare le prestazioni.

Il monitoraggio costante delle prestazioni consente di mantenere il software sempre ottimizzato e prevenire che il bloatware rallenti il sistema.

Conclusioni

Il bloatware rappresenta una delle sfide più insidiose nello sviluppo software moderno. Sebbene possa sembrare un problema minore inizialmente, le sue implicazioni sulle prestazioni, sulla sicurezza e sui costi a lungo termine possono essere devastanti. Questo articolo ha esplorato cos’è il bloatware, come identificarlo nei progetti software, e ha evidenziato i rischi associati, come la riduzione delle prestazioni, l’aumento della superficie di attacco e l’incremento dei costi di manutenzione.

Per contrastare il bloatware, è fondamentale adottare una serie di strategie e best practice. L’utilizzo di strumenti di analisi del codice, la gestione oculata delle dipendenze, l’adozione di un codice modulare e ottimizzato, nonché l’integrazione di tecniche di monitoraggio delle prestazioni in tempo reale, sono tutte azioni cruciali per evitare che il software diventi appesantito e difficile da gestire. Inoltre, l’automazione e l’integrazione continua (CI) giocano un ruolo decisivo nel mantenere il codice sempre efficiente e senza problemi.

In sintesi, sebbene la lotta contro il bloatware richieda un impegno costante e l’adozione di strategie mirate, i benefici di un’applicazione più leggera, sicura e performante sono decisamente superiori. Con una gestione adeguata, è possibile sviluppare software che non solo risponde alle esigenze degli utenti, ma che è anche facile da mantenere, sicuro e pronto a scalare in futuro.

L'articolo Bloatware: il Killer Invisibile della Sicurezza e delle Prestazioni delle App proviene da il blog della sicurezza informatica.

La sicurezza informatica è una sfida sempre più complessa, soprattutto per software aziendali come Zucchetti Ad Hoc Infinity, un ERP (Enterprise Resource Planning) molto utilizzato e apprezzato per gestire processi critici nelle aziende.

Recentemente, la community di BackBox, guidata da Raffaele Forte, ha scoperto delle vulnerabilità che potrebbero mettere a rischio i dati e le operazioni delle organizzazioni che utilizzano questa piattaforma.

Le vulnerabilità scoperte

Gli esperti di BackBox hanno individuato una serie di falle critiche, tra cui:

• CVE-2024-51319 – Esecuzione di Codice Remoto (RCE): Gli attaccanti possono sfruttare questa vulnerabilità per eseguire comandi arbitrari sui server che ospitano il software, acquisendo potenzialmente il pieno controllo del sistema.
• CVE-2024-51322 – Reflected Cross-Site Scripting (XSS): Questa vulnerabilità consente l’utilizzo di script nelle pagine web degli utenti, mettendo a rischio la sicurezza degli utenti.
• CVE-2024-51320 – Stored Cross-Site Scripting (XSS): Questa vulnerabilità consente l’inserimento di script nelle pagine del server web, mettendo a rischio la sicurezza degli utenti.
• CVE-2024-51321 – reindirizzamento non validato: si verifica quando un’applicazione web consente agli utenti di essere reindirizzati a un URL specificato senza una validazione adeguata.

L’importanza della scoperta

Questa analisi dimostra l’importanza della ricerca indipendente da parte di community hacker e di gruppi come la community di BackBox, che contribuiscono a migliorare la sicurezza di software utilizzati da migliaia di aziende.

Raffaele Forte, leader del progetto, ha sottolineato come l’obiettivo sia quello di collaborare con i produttori per correggere tempestivamente le vulnerabilità e aumentare la consapevolezza delle organizzazioni sui rischi legati a configurazioni deboli o a patch non applicate.

Raccomandazioni per le aziende

Per mitigare i rischi associati a queste vulnerabilità, BackBox suggerisce:

1. Aggiornamento immediato: Controllare con il produttore la disponibilità di patch di sicurezza e installarle senza ritardi.
2. Hardening delle configurazioni: Verificare e rafforzare le impostazioni di sicurezza, limitando i privilegi degli utenti e adottando il principio del minimo privilegio.
3. Monitoraggio continuo: Implementare soluzioni di monitoraggio per rilevare eventuali attività sospette o tentativi di exploit.
4. Formazione del personale IT: Sensibilizzare i team IT sulle specifiche vulnerabilità e sui metodi per prevenirle.
5. Penetration Testing: Effettuare regolari test di sicurezza per individuare e correggere nuove falle nel sistema.

Conclusione

Nel mondo della sicurezza informatica, le aziende non possono più permettersi di operare in isolamento. Collaborare con la community di hacker etici è diventato un elemento chiave per garantire la resilienza dei propri prodotti e servizi. Questi ricercatori, spesso animati da una genuina passione per la scoperta di vulnerabilità (bug hunting), rappresentano una risorsa inestimabile. Non solo aiutano a individuare potenziali falle prima che possano essere sfruttate, ma forniscono un contributo diretto al miglioramento della qualità e della sicurezza delle soluzioni aziendali.

Le vulnerabilità zero-day, se non gestite, possono avere conseguenze devastanti per le aziende, con danni reputazionali e finanziari significativi. È qui che la collaborazione con la community diventa strategica: incentivare la ricerca e il reporting responsabile consente di prevenire incidenti di sicurezza e di rafforzare la fiducia degli utenti. Zucchetti ha dimostrato come una partnership aperta e trasparente con la community di BackBox possa portare risultati concreti, migliorando non solo la sicurezza del proprio prodotto, ma anche l’immagine aziendale.

Molte aziende italiane dovrebbero prendere esempio da Zucchetti!

Incoraggiare e valorizzare il lavoro dei ricercatori indipendenti significa adottare un approccio proattivo e lungimirante alla cybersecurity. Creare programmi di bug bounty o altre iniziative di collaborazione (e incentivazione strutturata) può trasformare una potenziale minaccia in un’opportunità di crescita. È solo attraverso questa sinergia che le aziende possono affrontare le sfide sempre più complesse del panorama digitale, garantendo prodotti sicuri e costruendo un ecosistema di fiducia con la community di esperti.

L'articolo La Community di BackBox scopre Bug di Sicurezza sul Software Zucchetti Ad Hoc Infinity proviene da il blog della sicurezza informatica.

Recentemente Eurostat (l'Ente dell'Unione Europea deputato alle statistiche) ha rilasciato il sondaggio sulla violenza di genere, con la collaborazione dell'Agenzia dell'Unione Europea per i Diritti Fondamentali (FRA) e dell'Istituto Europeo per l'Uguaglianza di Genere (EIGE). Lo scopo è quello di raccogliere dati per migliorare la protezione e il supporto alle vittime.
I risultati appaiono piuttosto preoccupanti: su un campione di 114.023 donne intervistate nei 27 Stati membri dell'UE, ben il 30,7% ha subito violenza fisica o sessuale. In particolare il 17,7% ha subito violenza da un partner mentre il 20,2% ha subito violenza da un altro individuo.
Con riguardo alle molestie sessuali sul lavoro ben il 30,8% ne ha subite.

Il sondaggio ha incluso vari tipi di violenza fisica, tra cui: le mere minacce e l'agire dal soggetto attivo in modo doloroso; lo spingere, strattonare o tirare i capelli; il colpire con oggetti o schiaffeggiare; il picchiare con oggetti, o calciare.

(percentuale per Stato di donne che hanno subito violenze dal proprio partner)

Il sondaggio ha incluso altresì vari tipi di violenza psicologica, tra cui l' umiliazione o il denigrare, tenere comportamenti controllanti da parte del partner, ovvero minacce di danneggiare i figli o di farsi del male se il partner lo lascia.

Vengono riportate anche le diverse attività che le Autorità di contrasto possono esercitare, tra cui il monitoraggio e valutazione, ovvero raccogliere e analizzare dati sulla violenza di genere per identificare tendenze e aree critiche, inoltre la formazione e sensibilizzazione, che consiste nell'offrire corsi di formazione per professionisti e campagne di sensibilizzazione per il pubblico, ed infine il supporto alle vittime, cioè fornire risorse e assistenza legale per le vittime di violenza di genere.

Anche la cooperazione di polizia tra gli Stati dell'UE può essere esercitata, attraverso lo scambio di informazioni, ovvero la condivisione di dati e intelligence relativi a casi di violenza di genere per migliorare le indagini; operazioni congiunte, cioè collaborazione in operazioni di polizia per affrontare crimini transnazionali legati alla violenza di genere e soprattutto formazione congiunta, cioè programmi di formazione per le forze di polizia su come gestire casi di violenza di genere in modo efficace e sensibile.

Il documento (in inglese) è scaricabile qui
fra.europa.eu/sites/default/fi…

@Notizie dall'Italia e dal mondo