"... attacchi avanzati, capaci di sfruttare la manipolazione psicologica per indurre le vittime a installare malware sui propri dispositivi autonomamente. Ciò avviene attraverso CAPTCHA falsi, finti tutorial e aggiornamenti, il tutto condito da tecniche avanzate di social engineering."
@RaccoonForFriendica do you want to try the new "Card" layout for posts? All you have to do is downloading version 0.4.0-beta02 and try it out! Using Compose Multiplatform, customizing UI is as easy as eating a piece of cake.
This version also contains a fix for the search text field which was not scrollable horizontally when its content exceeded the available width, plus some localization updates.
We're reaching towards the 0.4.0 milestone, just another feature (audio playback) and then it'll be ready to go!
Legge di bilancio. Il messaggio della destra al #governo è chiaro: si fa come diciamo noi e basta. È questa la #democrazia che vogliamo? Quale strada ha imboccato il governo #Meloni? Saremo così pecoroni da continuare a seguire il culo che ci precede senza sapere dove ci porta la strada?
Everyone likes something cheap, and when that cheap thing is a router that’s supported by OpenWRT, it sounds like a win. [Hennung Paul] ordered a Wavlink WL-WN586X3 for the princely sum of 39 Euros, but was disappointed to find his device a rev. 2 board rather than the rev.1 board supported by the Linux distribution. Toss it on the failed projects pile and move on? Not at all, he hacked together a working OpenWRT for the device.
It’s fair to say that a majority of Hackaday readers will have familiarity with Linux, but that’s something which runs on a sliding scale from “Uses Ubuntu a bit” all the way to “Is at one with the kernel”. We’d rate ourselves somewhere around halfway along that scale in terms of having an in-depth knowledge of userland and a working knowledge of some of the internals which make the operating system tick even if we’re apprehensive about tinkering at that level. [Henning] has no such limitations, and proceeds to take the manufacturer’s distribution, itself a heavily modified OpenWRT, and make it his own. Booting over tFTP we’re used to, and we’re particularly impressed to see him using a Raspberry Pi as a surrogate host for the desoldered Flash chip over SPI.
It’s a long path he takes to get the thing working and we’re not sure we could follow it all, but we hope that the result will be a new device added to OpenWRT’s already extensive support list. It’s sometimes a shock to find this distro is now over two decades old.
Sono state scoperte più di una dozzina di vulnerabilità, comprese quelle critiche, in due plugin WordPress necessari per il tema premium WPLMS, che conta oltre 28.000 vendite.
I bug consentono a un utente malintenzionato remoto non autenticato di caricare file arbitrari sul server, eseguire codice arbitrario, aumentare i privilegi al livello di amministratore ed eseguire iniezioni SQL.
WPLMS è un sistema LMS WordPress utilizzato principalmente da istituti scolastici, società di formazione e così via. Il tema offre anche l’integrazione di WooCommerce per la vendita di corsi.
In totale, gli esperti di Patchstack hanno scoperto 18 problemi nei plugin WPLMS e VibeBP e in un recente rapporto hanno evidenziato i 10 più pericolosi.
CVE-2024-56046 (punteggio CVSS 10): consente agli aggressori di caricare file dannosi senza autenticazione, portando potenzialmente all’esecuzione di codice in modalità remota (RCE);
CVE-2024-56050 (punteggio CVSS 9,9): gli utenti autenticati con privilegi di abbonato possono caricare file ignorando le restrizioni.
CVE-2024-56052 (punteggio CVSS 9.9): simile alla vulnerabilità precedente, ma può essere sfruttata anche dagli utenti con il ruolo studente;
CVE-2024-56043 (punteggio CVSS 9,8): gli aggressori possono accedere senza autenticazione in qualsiasi ruolo, incluso quello di amministratore;
CVE-2024-56048 (punteggio CVSS 8,8): gli utenti con privilegi limitati possono aumentare i propri privilegi a privilegi più elevati sfruttando i problemi di convalida del ruolo;
CVE-2024-56042 (punteggio CVSS 9,3): gli aggressori possono utilizzare query SQL dannose per estrarre dati sensibili e compromettere il database;
CVE-2024-56047 (punteggio CVSS 8.5): gli utenti con privilegi limitati possono eseguire query SQL, compromettendo potenzialmente l’integrità o la riservatezza dei dati.
I seguenti problemi rappresentano una minaccia per VibeBP:
CVE-2024-56040 (punteggio CVSS 9,8): gli aggressori possono accedere come utenti privilegiati senza autenticazione;
CVE-2024-56039 (punteggio CVSS 9,3): gli utenti non autenticati possono eseguire SQL injection sfruttando la sanificazione impropria dei dati in entrata.
CVE-2024-56041 (punteggio CVSS 8.5): gli utenti autenticati con privilegi minimi possono eseguire SQL injection per compromettere ed estrarre informazioni da un database.
Si consiglia ora agli utenti WPLMS di eseguire l’aggiornamento alla versione 1.9.9.5.3 e VibeBP alla versione 1.9.9.7.7 o successiva il prima possibile.
Nel loro rapporto gli esperti sottolineano di aver scoperto le vulnerabilità già nella primavera di quest’anno e di averne informate il 31 marzo la società Vibe Themese dietro allo sviluppo di WPLMS. Tuttavia, il rilascio delle correzioni ha richiesto molto tempo, poiché da aprile a novembre il produttore ha testato diverse patch fino a quando tutti i bug non sono stati risolti.
l cittadino ucraino Mark Sokolovsky è stato condannato da un tribunale americano a cinque anni di prigione per aver partecipato a un’operazione di criminalità informatica legata al malwareRaccoon Stealer.
Come risulta dagli atti del caso, Sokolovsky, noto anche con gli pseudonimi di Photix e black21jack77777, insieme ai suoi complici, ha affittato malware ad altri criminali informatici secondo il modello “Malware as a Service” (MaaS). L’affitto era di 75 dollari a settimana o 200 dollari al mese.
Raccoon Stealer è stato utilizzato per rubare dati sensibili da dispositivi infetti. Il programma ha rubato credenziali, portafogli di criptovaluta, dati di carte di credito, e-mail e altre informazioni da decine di applicazioni.
Nel marzo 2022, Sokolovsky è stato arrestato nei Paesi Bassi. Nello stesso periodo, l’FBI, insieme alle forze dell’ordine nei Paesi Bassi e in Italia, ha smantellato l’infrastruttura di Raccoon Stealer, cessandone temporaneamente le operazioni.
In seguito all’arresto dello sviluppatore, il gruppo criminale Raccoon Stealer ha annunciato la sospensione del suo lavoro, citando, in particolare, la morte di uno degli sviluppatori chiave durante gli eventi in Ucraina. Tuttavia, il malware ha ripreso più volte la sua attività, aggiungendo nuove funzionalità per rubare dati.
A febbraio 2024, Sokolovsky è stato estradato negli Stati Uniti, dove è stato accusato di frode, riciclaggio di denaro e furto d’identità. In precedenza aveva ammesso la sua colpevolezza e aveva accettato di pagare un risarcimento per un importo di almeno 910.844 dollari.
Secondo l’FBI, il malware collegato a Sokolovsky ha compromesso più di 52 milioni di account che sono stati utilizzati per ulteriori frodi, furti di identità e attacchi ransomware.
Dopo aver disattivato l’infrastruttura Raccoon Stealer nel 2022, l’FBI ha creato un sito Web in cui gli utenti potevano verificare se le loro informazioni erano state rubate da questo malware.
La storia di Raccoon Stealer dimostra come il crimine informatico possa lasciare una scia di distruzione diffusa non solo nello spazio digitale, ma anche nella vita delle persone reali. La condanna di Mark Sokolovsky non segna solo la fine delle sue attività di criminalità informatica, ma anche un segnale che la cooperazione internazionale nella lotta contro le minacce informatiche sta diventando sempre più efficace.
Tuttavia, la recrudescenza del malware dimostra che tali minacce non stanno scomparendo, ma stanno solo cambiando, richiedendo al mondo di essere ancora più vigili.
Eurofighter e Netma (Nato Eurofighter and Tornado Management Agency) hanno firmato a Roma un contratto per l’acquisizione di fino a ventiquattro nuovi velivoli Eurofighter destinati all’Aeronautica Militare italiana. Questo annuncio arriva in un momento cruciale per il programma
In this era of cheap turn-key machines, the idea of actually building your own desktop 3D printer might seem odd to some. But if you’re looking for a challenge, and want to end up with a printer that legitimately sets itself apart from what they’re stocking on Amazon these days, then take a look at the Lemontron.
We’ve been keeping tabs on the development of this open source 3D printer for some time now, and just before Christmas, the files finally were released for anyone who wants to try putting one together themselves. There’s currently no formal kit available, but once you’ve printed out all the parts, there’s a very nice Bill of Materials you can find on the website which will tell you everything you need to complete the assembly — and critically — where you can get it.
The hotend and heated bed come from KB-3D, while the bulk of the rest of the components are sourced from AliExpress with a bit of DigiKey sprinkled in. There’s also a custom PCB you’ll want to pick up from your favorite board house. All told, building the Lemontron should cost you somewhat north of $400 USD. Of course, that assumes your time is free. But since you’re reading this on Hackaday, that probably a safe bet.
You can check out the video below for an expedited look at assembling the printer. It’s not a step-by-step guide exactly, but it should give you a good idea of what to expect before you commit to building the thing. It also provides a look at the design philosiphy behind the Lemontron, which largely eschews custom components and relies on off-the-shelf bits to tie all the printed parts together.
Il negozio online ufficiale dell’Agenzia spaziale europea (ESA) è stato violato. Nel sito è stato inserito del codice JavaScript, creando una falsa pagina di pagamento dell’ordine tramite Stripe.
Secondo i ricercatori di Sansec, lo script dannoso è apparso sul sito all’inizio di questa settimana. Raccoglieva le informazioni sui clienti, compresi i dettagli della carta di pagamento, forniti dagli utenti nella fase finale dell’acquisto.
Sansec ha informato i funzionari dell’ESA che il negozio era compromesso e poteva rappresentare una minaccia per i dipendenti dell’agenzia perché era integrato con i sistemi ESA. Il negozio attraverso il quale viene venduta la merce dell’ESA non è attualmente disponibile e si dice che sia “temporaneamente uscito dall’orbita” per aggiornamenti. I ricercatori hanno notato che il dominio attraverso il quale sono trapelate le informazioni aveva lo stesso nome del negozio legittimo, ma si trovava in una zona di dominio diversa.
Pertanto, il negozio ufficiale dell’ESA si trova su esaspaceshop.com e gli hacker hanno utilizzato lo stesso nome nella zona .pics (esaspaceshop[.]pics). Lo script degli aggressori conteneva codice HTML offuscato proveniente dall’SDK di Stripe, che caricava una pagina di pagamento falsa quando i clienti tentavano di completare un acquisto. Allo stesso tempo, la pagina falsa non sembrava affatto sospetta.
Come notato da Bleeping Computer, i rappresentanti dell’ESA hanno affermato che il negozio non è ospitato sull’infrastruttura dell’organizzazione, l’ESA non gestisce i dati in esso contenuti e non possiede la risorsa.
Phreesia, un’azienda specializzata in soluzioni SaaS per il settore sanitario, ha segnalato una fuga su larga scala di dati personali e medici. L’incidente ha colpito più di 910mila persone ed è avvenuto a causa dell’hacking della piattaforma affiliata ConnectOnCall nel maggio 2024.
ConnectOnCall, acquisito da Phreesia nell’ottobre 2023, è un servizio di telemedicina e una piattaforma per la gestione delle chiamate dei pazienti fuori orario con monitoraggio automatico delle comunicazioni. Secondo la società, l’accesso non autorizzato è durato quasi tre mesi, dal 16 febbraio al 12 maggio 2024.
Il problema è stato scoperto il 12 maggio, dopodiché ConnectOnCall ha condotto un’indagine interna e ha adottato misure per proteggere il sistema. Di conseguenza, è risultato che terzi hanno avuto accesso ai dati riservati contenuti nei messaggi scambiati tra pazienti e personale medico.
I dati trapelati includevano nomi, numeri di telefono, date di nascita e numeri medici dei pazienti. Potrebbero essere state divulgate anche informazioni su condizioni mediche, trattamenti prescritti e prescrizioni. In un numero limitato di casi, gli aggressori hanno avuto accesso ai numeri di previdenza sociale.
Dopo aver scoperto la violazione, Phreesia ha immediatamente informato le forze dell’ordine federali e ha incaricato esperti esterni di sicurezza informatica di condurre un’analisi dettagliata dell’incidente. La piattaforma ConnectOnCall è stata temporaneamente disabilitata e l’azienda ha iniziato a ripristinare il servizio in un ambiente più sicuro.
Secondo la dichiarazione, ConnectOnCall opera separatamente dagli altri prodotti Phreesia. L’azienda ha assicurato che altri servizi, inclusa la piattaforma per gli appuntamenti dei pazienti, non sono stati compromessi a seguito dell’hacking.
Phreesia ha consigliato alle vittime di prendere precauzioni e di segnalare attività sospette alle compagnie assicurative o agli istituti finanziari. Sebbene al momento non vi siano prove di uso improprio dei dati, la società ha chiesto una maggiore vigilanza.
Secondo le informazioni fornite al Dipartimento americano della salute e dei servizi umani, l’incidente ha colpito 914.138 persone. Phreesia ha sottolineato che stanno lavorando per ripristinare ConnectOnCall il più rapidamente possibile, comprendendo l’importanza del servizio per i clienti.
Il 20 dicembre, il nuovo sistema di intelligenza artificiale di OpenAI, o3, ha raggiunto un traguardo importante. Il modello ha ottenuto un punteggio dell’85% nel test di pensiero ARC-AGI, che è lo stesso del punteggio umano medio. Oltre a questo, eccelleva nei problemi di matematica complessi.
Fino ad ora, il miglior risultato tra sviluppi simili non ha superato il 55%. Molti ricercatori ritengono che o3 abbia compiuto un importante passo avanti verso l’intelligenza artificiale generale (AGI), anche se gli scettici dubitano ancora dell’importanza di questo risultato.
Qui è importante comprendere le caratteristiche del test ARC-AGI. L’indicatore principale in esso è “l’efficienza del campionamento”, ovvero la capacità di adattarsi alle nuove condizioni, avendo un minimo di esempi. In poche parole, il test determina quanti campioni di una nuova situazione sono necessari per comprenderne il funzionamento.
I modelli linguistici moderni come ChatGPT basati su GPT-4 non possono vantare un’elevata efficienza di campionamento. Durante l’allenamento, esaminano milioni di frammenti di testi umani e, sulla base di essi, ricavano le combinazioni di parole più probabili. Questo metodo aiuta a far fronte alle attività tipiche, ma fallisce in situazioni non standard, semplicemente perché non ci sono abbastanza esempi simili nel database.
Per ora, l’intelligenza artificiale può essere utilizzata solo dove i compiti vengono ripetuti o dove gli errori casuali non portano a conseguenze gravi. Il problema principale è che i modelli non sanno come apprendere rapidamente e adattarsi alle nuove circostanze.
E’ una questione di “generalizzazione”
La capacità di trovare soluzioni corrette a problemi non familiari sulla base di un insieme limitato di informazioni è chiamata generalizzazione da parte degli scienziati. Nella comunità scientifica questo tratto è considerato un segno necessario e fondamentale dell’intelligenza. L’ARC-AGI consiste in problemi a griglia di quadrati simili ai test del QI scolastico. Sullo schermo appaiono due immagini: lo schema iniziale e un esempio dello stato a cui dovrebbe arrivare dopo determinate manipolazioni. Il programma deve comprendere il modello di trasformazione dello stato iniziale nello stato finale.
Ogni attività viene fornita con tre esempi didattici. Dopo averli studiati, l’algoritmo deve derivare le regole e applicarle nella pratica. Questo approccio consente di verificare la rapidità con cui avviene l’adattamento.
Quando si ricercano modelli, è importante non fare supposizioni inutili o entrare in dettagli non necessari. In teoria, se si riescono a trovare le regole più semplici che siano sufficienti per una soluzione, il programma sarà in grado di adattarsi meglio alle nuove situazioni.
Le “regole semplici” di solito possono essere descritte con frasi brevi. Ad esempio, in un problema con una griglia di quadrati, la regola potrebbe essere: “La figura con la linea sporgente si sposterà fino alla fine di questa linea e coprirà tutte le figure sul suo percorso”.
Il modo esatto in cui funziona o3 è ancora sconosciuto, ma è improbabile che le sia stato specificamente insegnato a cercare “regole semplici”. OpenAI ha preso come base una versione generica del modello in grado di riflettere più a lungo su questioni complesse, quindi l’ha addestrata ulteriormente per superare il test ARC-AGI.
O3 lavora attraverso catene di ragionamento
Il ricercatore francese sull’intelligenza artificiale Francois Chollet, che ha creato il test, suggerisce che o3 itera attraverso diverse “catene di ragionamento”, ovvero sequenze di passaggi per raggiungere un obiettivo. Quindi l’opzione migliore viene selezionata in base a determinati suggerimenti sulle regole.
Tuttavia, è troppo presto per dire quanto questo ci avvicini alla creazione dell’AGI. I meccanismi di base per lavorare con la lingua potrebbero rimanere gli stessi, solo che ora sono adattati in modo più efficace per risolvere un tipo specifico di problema.
OpenAI mantiene segrete quasi tutte le informazioni sul suo sviluppo. L’azienda si è limitata ad alcune presentazioni mediatiche e ha permesso che o3 venisse testato solo da alcuni ricercatori, laboratori e organizzazioni che lavorano sulla sicurezza dell’IA.
This one isn’t clickbait, but it is cheating. [Brian Haidet], the guy behind Alpha Phoenix, has managed to assemble movie footage of a laser beam crossing his garage, using a rig he put together for just a few hundred dollars. How, you ask? Well, for the long version, you’re going to want to watch the video, also embedded below. But we’ll give you the short version here.
Light travels about a foot in a nanosecond. What have you got that measures signals on a nanosecond scale pretty reliably? Of course, it’s your oscilloscope. The rest of [Brian]’s setup includes a laser that can pull off nanosecond pulses, a sensor with a nanosecond-ish rise time, and optics that collect the light over a very small field of view.
He then scans the effective “pinhole” across his garage, emitting a laser pulse and recording the brightness over time on the oscilloscope for each position. Repeating this many thousands of times and putting them all together relative to the beginning of each laser pulse results in a composite movie with the brightness at each location resolved accurately enough to watch the light beam fly. Or to watch different time-slices of thousands of beams fly, but as long as they’re all the same, there’s no real difference.
Of course, this isn’t simple. The laser driver needs to push many amps to get a fast enough rise time, and the only sensor that’s fast enough to not smear the signal is a photomultiplier tube. But persistence pays off, and the results are pretty incredible for something that you could actually do in your garage.
Photomultiplier tubes are pretty damn cool, and can not only detect very short light events, but also very weak ones, down to a single photon. Indeed, they’re cool enough that if you get yourself a few hundred thousand of them and put them in a dark place, you’re on your way to a neutrino detector.
It’s really never too early (or too late) to learn time management. All joking aside, carefully managing one’s time can result in some really wondrous achievements. So it’s best to learn early, when most of your time is spent generally having fun.
Let’s say you’ve just heard you have five minutes left to play, but what does that mean if you’re three years old? Not much, unless you have some visual cues to go by. That’s the idea behind [Julius Curt]’s visual timer for toddlers.
This lovely reverse progress bar uses a Wemos D1 mini to control a strip of six WS2812B LEDs at 30 LEDs/meter density. There’s a small OLED display for literate users, and the whole thing is childproof. [Julius] challenged himself to do this entire project in one day, and ended up finishing it in a little over eight hours total, including time to design the way cool knob. Be sure to check out the build video below.
Over the last few decades, electronic devices have drastically changed. Radios that once had point-to-point wiring gave way to printed circuit boards with through-hole parts, and now microscopic surface mount devices are the norm. But most of us still use probes that would have been just fine for a 1940s receiver. There are other options, of course. Among other things, you can now buy meters that have built-in tweezer probes. While not the first, the FNIRSI LCR-ST1 are affordable, and [TheHWcave] puts them to the test in the video below.
The tweezers come with two different pointy ends. It is more or less one of those testers that can identify and measure various components. Instead of the customary socket, this one has tweezer ends and, perhaps, a few extra functions.
The device can use several different voltages and frequencies while actively probing. Comparing some readings to a few other meters showed a bit of error, although nothing too drastic. The inductance reading of a very small inductor at 1 kHz was, however, too unstable to be useful.
The only downsides noted were that the probes could be a bit sharper for fine PCB work, and the display doesn’t rotate for left-handed operation. Both of those are probably fixable with a file and a firmware update. Overall, it looks like a reasonable low-cost tool.
Tools like this have been around for a while, but often at a higher cost. There are plenty of sophisticated test probes if you ever decide to look for them.
Da quando una persona ha usato per errore il mio indirizzo @gmail per iscriversi a #Duolingo, ricevo decine di email che dovrebbero essere "motivanti" per non mollare il corso di lingue e riprendere le lezioni. Evidentemente Duolingo permette di usare il servizio senza prima validare l'indirizzo email, che è già un problema non da poco.
Ancora peggio, non riesco a spegnere queste email automatizzate perché quando clicco su "Unsubscribe" mi porta su una finestra dove vengo informato che non esiste un account legato al mio indirizzo email.
Ma il capolavoro è accaduto oggi, Natale 2024: ho ricevuto l'ennesima email motivazionale da Duolingo con Oggetto: Duo sa leggere tra le righe Testo: I promemoria insistenti di Duo non sembrano funzionare. Non te ne invierà più... per ora.
Infastidito, provo nuovamente a cliccare su Unsubscribe, dove scopro che il tono passivo/aggressivo era una precisa scelta di #marketing. Mah!
Despite the latest and greatest Intel-derived computers having multi-core 64-bit processors and unimaginably fast peripherals, at heart they all still retain a compatibility that goes back to the original 8086. This means that they can, in theory at least, still run MS-DOS. The venerable Microsoft 16-bit OS may now be long discontinued, but there is still enough need for DOS that the open-source FreeDOS remains in active development. The Register are here to remind us that there’s another open-source DOS on the block, and that it has a surprising history.
SvarDOS is an open source DOS distribution, and it’s interesting because it uses a derivative of the DR-DOS kernel, an OS which traces its roots back to Digital Research’s CP/M operating system of the 1970s. This found its way briefly into the open source domain courtesy of the notorious Caldera Inc back in the 1990s, and has continued to receive some development effort ever since. As the Reg notes, it has something FreeDOS lacks, the ability to run Windows 3.1 should you ever feel the need. They take it for a spin in the linked article, should you be curious.
It’s something which has surprised us over the years, that aside from the world of retrocomputing we still occasionally find FreeDOS being distributed, usually alongside some kind of hardware maintenance software. Even four decades or more later, it’s still of value to have the simplest of PC operating systems to hand.
It’s worth pointing out that there’s a third open-source DOS in the wild, as back in April Microsoft released MS-DOS version 4 source code. But as anyone who used it will tell you, that version was hardly the pick of the bunch.
Christmas: a good time to broach a topic of hope. We’re talking Esperanto. This language that spurred the hope it one day could hack the barriers between people, eliminating war and miscommunication. The video below unpacks the history of this linguistic marvel. Esperanto was a constructed language dreamed up in 1887 by Ludwik Zamenhof, a Polish-Russian eye doctor with a knack for linguistics and great ideals. If you’re a little into linguistics yourself, you’ll sure know the name stems from the Latin esperi: to hope.
Inspired by the chaos of multilingual strife in his hometown, Zamenhof created Esperanto to unite humanity under a single, simple, easy-to-learn tongue. With just 16 grammar rules, modular word-building, and no pesky exceptions — looking at you, English — Esperanto was a linguistic hack ahead of its time.
But Esperanto wasn’t just a novelty—it almost became the lingua franca of diplomacy. In 1920, Iran proposed Esperanto as the official language of the League of Nations, but the French vetoed it, fearing their language’s global dominance was at risk. From there, Esperanto’s journey took a darker turn as both Nazi Germany and Stalinist Russia persecuted its speakers. Despite this, Esperanto persisted, surfacing in quirky corners of culture, from William Shatner’s Esperanto-only horror film Incubus to its inclusion on NASA’s Voyager Golden Record.
Fast-forward to the digital age: Esperanto is thriving on online learning platforms, where over a million learners explore its minimalist elegance. It appears at places in various editions of Grand Theft Auto. It has even inspired modern makers to create new constructed languages, like Loglan, Toki Pona, and even Klingon. Could Esperanto—or any reimagined language—rise again to unite us? For curious minds, watch the video here.
Here's a holiday gift: an episode that was previously only available to paying subscribers. Make sure to sign up for tons more bonus content like this.
Herex27;s a holiday gift: an episode that was previously only available to paying subscribers. Make sure to sign up for tons more bonus content like this.#Podcast
Here's a holiday gift: an episode that was previously only available to paying subscribers. Make sure to sign up for tons more bonus content like this.
Whether you only dabble in electronics as a hobby or it’s your full-time job, there are few tools as indispensable as the multimeter. In fact, we’d be willing to bet nearly everyone reading this site owns at least one of them. But as common and mindbogglingly useful as they may be, they aren’t perfect. Even the high-end models will invariably have some annoyance that only reveals itself once you become intimately acquainted with it.
Most people would just live with those quirks, especially when dealing with a cheaper model. But not [John Duffy]. Deciding nothing but perfection would do, he took every favorite feature he’d ever run into while using other multimeters and combined them into his scratch-built HydraMeter. In the process, he managed to come up with a few new ideas that push this device into a league of its own.
Some of the features of the HydraMeter will look familiar. You might even have them on your own personal meter, such as the wireless removable display module. Other features you’ll wish your meter had, such as the removable cartridge on the front of the device that lets you rapidly swap out a burned fuse. On the other side of the spectrum, there are some esoteric features that might leave you scratching your head. The ability to tell exactly how the meter is configured at a glance thanks to its exclusive use of toggle switches has a certain hacker appeal, but it’s a tricky user interface for most folks.
While the overall design of the HydraMeter may be divisive, one thing we can all agree on is that getting the project to this state took incredible determination. Over the years we’ve only seen a handful of individuals attempt to develop their own multimeters, and even then, none of them approached this level of fit and finish. The fact that [John] has turned all that effort over to the community by releasing his design under the CERN license is truly admirable.
[John] brought the HydraMeter out to Pasadena back in November for Supercon, and it got quite a reaction. And if you don’t like the user interface, it’s not hard to imagine how you could change it. This project has unquestionably pushed the state of the art for open source multimeters forward, and we’re eager to see where it goes from here.
@Notizie dall'Italia e dal mondo La crisi del turismo causata dalla guerra infinita di Netanyahu ha gettato nella crisi migliaia di famiglie nella città della Natività. Celebrazioni natalizie solo religiose L'articolo NATALE. Per il secondo anno, Betlemme cancella la festa in
Changelog: - feat: add "Distraction free" post layout; - feat: add "Compact" post layout; - feat: implement post dislike action; - fix: retrieve post source for editing even for plain text; - chore: translations update; - chore: update dependencies.
Moreover, let me wish everyone happy holidays and remember to #livefasteattrash on Christmas and New Year's Eve.
A special and heartfelt acknowledgement goes to all the contributors of the #raccoonforfriendica project, people who helped with code, translations, bug reports, ideas for improvements, design, roadmap and in many other ways. Remember that this wouldn't have been the same without your contributions, and the fact that people who don't know each other (and don't even speak the same language) can meet and create something together is one of the best things of the free and open source model.
Hope we can continue in this direction next year. Thank you everyone, you are awesome ❤️🦝🎄
I ricercatori hanno studiato gli attacchi del gruppo di hacker di lingua russa Masque, motivato finanziariamente, che prende di mira le imprese russe e utilizza i ransomware LockBit 3 (Black) e Babuk (ESXi).
Gli esperti scrivono che la tesa situazione geopolitica e la disponibilità di codici sorgente e builder per ransomware popolari come Babuk, Conti e LockBit 3 (Black) hanno dato origine a un gran numero di hacker criminali che utilizzano questo malware per attaccare aziende. Uno di questi è il gruppo Masque, attivo da gennaio 2024 (anche se gli esperti hanno osservato un notevole calo dell’attività da maggio a ottobre 2024).
Secondo gli esperti, in precedenza non c’era motivo di parlare in dettaglio di questo “gruppo ordinario rispetto ad altri”, ma nel novembre-dicembre 2024 Masque ha effettuato diversi attacchi contro aziende russe più grandi e nuovi strumenti sono apparsi nell’arsenale del gruppo.
In totale, dal gennaio 2024, il gruppo ha effettuato almeno dieci attacchi. Di solito i suoi obiettivi erano le aziende russe del segmento delle piccole e medie imprese. L’importo del riscatto iniziale è di 5-10 milioni di rubli (in BTC o XMR).
Nella maggior parte dei casi, il vettore iniziale degli attacchi Masque è lo sfruttamento della vulnerabilità CVE-2021-44228 (log4shell) nella libreria log4j in servizi disponibili pubblicamente come VMware Horizon. Dopo aver sfruttato con successo la vulnerabilità, gli aggressori utilizzano il server compromesso come trampolino di lancio per l’ulteriore sviluppo dell’attacco. Nota di riscatto di Masque In generale, il gruppo non utilizza metodi sofisticati e innovativi nei suoi attacchi e gli strumenti utilizzati dagli hacker non sono molto diversi. Un ruolo chiave in questo è svolto dallo strumento di accesso remoto AnyDesk, nonché da utilità disponibili al pubblico come chisel, LocaltoNet e mimikatz.
Il movimento principale all’interno della rete viene effettuato utilizzando i protocolli RDP e SSH. In alcuni casi, gli aggressori utilizzano WinRM (Windows Remote Management) così come SMBExec del framework Impacket per raggiungere i loro obiettivi.
“Gli aggressori, di norma, non trascorrono intenzionalmente il loro tempo eludendo le misure di sicurezza delle informazioni e le soluzioni antivirus. Le protezioni vengono disabilitate solo quando impediscono il caricamento o l’esecuzione degli strumenti oppure quando vengono rilevati e bloccati. Pertanto, in uno degli attacchi, l’utilità TDSSKiller, progettata per rilevare e rimuovere i rootkit, è stata utilizzata per disabilitare i meccanismi di protezione, e nell’ultimo attacco gli aggressori hanno utilizzato un sofisticato bootloader, che sembra atipico per le consuete tattiche del gruppo”, gli esperti scrivere.
Masque utilizza LockBit 3 (Black) e Babuk (ESXi) per crittografare i dati delle vittime. Per comunicare con le loro vittime, gli aggressori utilizzano Tox e ciascuna vittima utilizza un identificatore univoco. I ricercatori affermano che l’arsenale piuttosto scarso di Masque è stato diversificato dal programma dwm.exe, che gli aggressori hanno scaricato sull’host della vittima utilizzando un comando PowerShell a una riga nel contesto dell’account di sistema.
Gli analisti hanno dato a questo programma il nome MystiqueLoader e riferiscono che, nonostante le sue dimensioni ridotte (circa 47 kilobyte), si è rivelato uno strumento piuttosto interessante. Dall’analisi è emerso che il programma dwm.exe è un agent downloader: su comando del server di controllo, l’agent può scaricare il modulo del programma PE da Internet e avviarlo direttamente nella memoria del processo corrente . È interessante notare che l’interazione dell’agent viene effettuata utilizzando il protocollo DNS. Tuttavia, gli esperti non sono stati in grado di ottenere il payload del malware.
Si nota che il gruppo Masque non presta sufficiente attenzione allo studio approfondito dell’infrastruttura della vittima e all’esfiltrazione preliminare dei dati. Il tempo trascorso degli aggressori all’interno dell’infrastruttura varia da diversi giorni a due settimane, dal momento in cui ottengono l’accesso alla fase finale dell’attacco. Di conseguenza, i backup spesso rimangono intatti e i dati su alcuni host non vengono affatto crittografati.
We know, you’ve already got a USB to serial adapter. Probably several of them, in fact. But that doesn’t mean you couldn’t use one more — especially when it’s as as cleverly designed as this one from [Anders Nielsen].
The first thing you notice about this adapter, and the big departure from the ones that are likely littering your parts bin, is that it terminates in a full-size male DSUB9 connector. With the ability to be directly plugged into a RS-232 port, this adapter will certainly catch the eye of retrocomputer enthusiasts. With a clever arrangement of jumpers, you can even reconfigure the RX and TX lines to be straight-through or cross over as needed.
But if you’re working with something that doesn’t have a literal serial port, no worries. All of the lines coming from the CH340G chip are broken out to a header so you can connect it up to whatever device you’re working with via jumpers.
In fact, if you’re really sure you’ll never need that RS232 feature, the PCB is even designed in such a way that you can simply snap it off. Admittedly it might seem a little odd to get a device like this if you didn’t want that capability. But once broken off, it’s not like the components go to waste. [Anders] has designed the board in such a way that if you flip it over and install a right-angle header, you can use the RS232 segment on a breadboard.
But the list of features doesn’t stop there. There’s also a 3.3 V regulator on board that you can use to power external circuits, as well as breakouts for the data lines in the USB-C connector. In keeping with the theme of the device, that part of the PCB can also be snapped off if you want to use it elsewhere.
Most folks probably’ won’t need all the capabilities offered by this particular serial adapter, and that’s fine. We’re still happy that it’s out in the wild and available for the community to use and adapt as an open source project.
Gli esperti di Palo Alto Networks hanno condotto un esperimento e hanno riferito che i modelli linguistici di grandi dimensioni (LLM) possono essere utilizzati per generare in modo massiccio nuove varianti di codice JavaScript dannoso, che alla fine consente al malware di eludere meglio il rilevamento.
“Mentre gli LLM sono difficili da creare malware da zero, i criminali possono facilmente utilizzarli per riscrivere o offuscare il codice dannoso esistente, rendendolo in definitiva più difficile da rilevare”, hanno scritto i ricercatori.
Affermano che gli hacker potrebbero chiedere a LLM di eseguire trasformazioni che, se eseguite in numero sufficiente, potrebbero ridurre le prestazioni dei sistemi di classificazione del malware perché crederebbero che il codice dannoso sia effettivamente benigno.
I ricercatori hanno dimostrato che le capacità di LLM possono essere utilizzate per riscrivere in modo iterativo campioni di malware esistenti per eludere il rilevamento da parte di modelli di apprendimento automatico (come Innocent Until Proven Guilty e PhishingJS ). Ciò apre effettivamente la porta a decine di migliaia di nuove varianti di JavaScript senza modificarne la funzionalità, dicono gli esperti. La riqualificazione dei modelli su campioni già riscritti utilizzando LLM migliora i risultati di rilevamento La tecnologia dei ricercatori è progettata per trasformare il codice dannoso utilizzando vari metodi: rinominare variabili, dividere righe, inserire codice spazzatura, rimuovere caratteri di spazi bianchi aggiuntivi e così via.
“L’output è una nuova variante di JavaScript dannoso che mantiene lo stesso comportamento dello script originale, ma riceve quasi sempre un punteggio di gravità molto più basso”, afferma l’azienda.
Nell’88% dei casi, questo approccio ha cambiato il verdetto del classificatore di malware di Palo Alto Networks e lo script dannoso ha iniziato a sembrare innocuo. Ancora peggio, il JavaScript riscritto è riuscito a ingannare altri analizzatori di malware, come hanno scoperto gli esperti quando hanno caricato il malware risultante su VirusTotal.
Un altro importante vantaggio dell’offuscamento utilizzando LLM, dicono i ricercatori, è che molti frammenti riscritti sembrano molto più naturali rispetto al risultato di librerie come obfuscator.io. Questi ultimi sono più facili da rilevare e tracciare perché introducono cambiamenti strutturali irreversibili nel codice sorgente. Frammenti di codice riscritti da obfuscator.io (a sinistra) e LLM (a destra) Gli esperti concludono che mentre l’intelligenza artificiale generativa può aumentare il numero di nuove varianti di codice dannoso, è anche possibile utilizzare questa tattica di riscrittura del codice dannoso per generare dati di addestramento che possono in definitiva migliorare l’affidabilità dei modelli di apprendimento automatico.
L'immagine raffigura una scena affollata, probabilmente di natura religiosa. Al centro, un uomo in veste chiara è inginocchiato di fronte a una struttura lignea, manipolando un piccolo oggetto. Intorno a lui, un folto gruppo di persone vestite con abiti medievali, molti con cappucci e tuniche, assiste alla scena con espressioni diverse, alcune attente, altre più distaccate. Si notano diversi personaggi in primo piano, vestiti con tonalità di rosso, arancione e blu, che sembrano partecipare attivamente all'evento. Sullo sfondo, una struttura architettonica suggerisce un ambiente interno, probabilmente una chiesa o un edificio pubblico.
@Informatica (Italy e non Italy 😁) ACN ha pubblicato le “Linee guida per il rafforzamento della protezione delle banche dati rispetto al rischio di utilizzo improprio”. Le nuove Linee Guida, pubblicate dall’Agenzia per la cybersicurezza nazionale, rappresentano
Sebbene l'origine precisa della data non sia chiara, il Natale, che commemora la nascita di Gesù Cristo, viene celebrato in questo giorno, essendo stato identificato per la prima volta come la data della nascita di Gesù da Sesto Giulio Africano nel 221.
Il Babbo Natale vestito di rosso non è stato inventato dalla Coca-Cola
Secondo una errata credenza popolare, la figura di Babbo Natale sarebbe apparsa per la prima volta nella famosa campagna del 1931 della Coca-Cola. L’analisi dell’iconografia del personaggio, dimostra che era stato rappresentato in abiti rossi già prima della pubblicità della multinazionale americana. Nell'immagine: la visione del fumettista politico Thomas Nast che lo rappresentò vestito di rosso in una cartolina di Natale stampata da Louis Prang.
You wouldn’t typically associate graphing calculators with artificial intelligence, but hacker [KermMartian] recently made it happen. The innovative project involved running a neural network directly on a TI-84 Plus CE to recognize handwritten digits. By using the MNIST dataset, a well-known collection of handwritten numbers, the calculator could identify digits in just 18 seconds. If you want to learn how, check out his full video on it here.
The project began with a proof of concept: running a convolutional neural network (CNN) on the calculator’s limited hardware, a TI-84 Plus CE with only 256 KB of memory and a 48 MHz processor. Despite these constraints, the neural network could train and make predictions. The key to success: optimizing the code, leveraging the calculator’s C programming tools, and offloading the heavy lifting to a computer for training. Once trained, the network could be transferred to the calculator for real-time inference. Not only did it run the digits from MNIST, but it also accepted input from a USB mouse, letting [KermMartian] draw digits directly on the screen.
While the calculator’s limited resources mean it can’t train the network in real-time, this project is a proof that, with enough ingenuity, even a small device can be used for something as complex as AI. It’s not just about power; it’s about resourcefulness. If you’re into unconventional projects, this is one for the books.
Most people know about the numerical constant pi (or π, if you prefer). But did you know that pi has an evil twin represented by the symbol ϖ? As [John Carlos Baez] explains, it and its related functions are related to the lemniscate as pi relates to circles. What’s a lemniscate? That’s the proper name for the infinity sign (∞).
[John] shows how many of the same formulas for pi also work for the lemniscate constant (the name for ϖ). Some (as John calls them) “mutant” trig functions use the pi-like constant.
Mathematically, a circle is a point (the center) with a curve that describes x2+y2=r2. The lemniscate is a particular instance of a Cassini oval where r2=cos2θ. We all know the circumference of a circle—basically, the perimeter—is 2π; the perimeter of the lemniscate is 2ϖ.
Why does any of this matter? Well, [John] shows how it connects to elliptic curves and the Gauss constant.
Like pi, the lemniscate constant probably never ends, but it is roughly 2.622057. Will this be useful in your next project? Probably not. Will it help you win some bar bets? Maybe.
The number pi has an evil twin! It's a number called ϖ with many properties similar to π. There are even mutant trig functions connected to this number, called sl and cl.
So maybe while you were studying trig in high school, some kid in another galaxy was having to memorize all the identities for these other functions.
I doubt it. Just as pi and trig functions are connected to the circle, this number ϖ and its mutant trig functions are connected to a curve shaped like the symbol for infinity, ∞. But this curve is just less important than the circle. I'm not enough of a cultural relativist to believe there's a civilization that cares more about the shape ∞ than the shape ◯.
This ∞-shaped curve is called a 'lemniscate', and ϖ is called the 'lemniscate constant'. I'll show you the lemniscate in my next post.
A civilization will probably only get interested in ϖ when it gets interested in the lemniscate.... or the deeper math it's connected to. On our planet, it was Bernoulli, Euler and Gauss who discovered this math.
(Why does unicode even have the symbol ϖ? Here's why: it's a script version of the Greek letter pi, sometimes called 'varpi' or 'pomega'.)
![The lemniscate constant $\varpi$ is like a mutant version of the number $\pi$:
\[ \pi = \int_{-1}^1 \frac{dx}{\sqrt{1 - x^2}} \approx 3.14159 \]
\[ \varpi = \int_{-1}^1 \frac{dx}{\sqrt{1 - x^4}} \approx 2.622057 \]
It obeys a lot of similar formulas. For example:
\[ \frac2\pi = \sqrt\frac12 \cdot \sqrt{\frac12 + \frac12\sqrt\frac12} \cdot \sqrt{\frac12 + \frac12\sqrt{\frac12 + \frac12\sqrt\frac12}} \cdots \]
\[
\frac2\varpi = \sqrt\frac12 \cdot \sqrt{\frac12 + \frac12 \bigg/ \!\sqrt\frac12} \cdot \sqrt{\frac12 + \frac12 \Bigg/ \!\sqrt{\frac12 + \frac12 \bigg/ \!\sqrt\frac12}} \cdots
\]](https://poliverso.org/photo/preview/640/29300721 "The lemniscate constant $\varpi$ is like a mutant version of the number $\pi$:
\[ \pi = \int_{-1}^1 \frac{dx}{\sqrt{1 - x^2}} \approx 3.14159 \]
\[ \varpi = \int_{-1}^1 \frac{dx}{\sqrt{1 - x^4}} \approx 2.622057 \]
It obeys a lot of similar formulas. For example:
\[ \frac2\pi = \sqrt\frac12 \cdot \sqrt{\frac12 + \frac12\sqrt\frac12} \cdot \sqrt{\frac12 + \frac12\sqrt{\frac12 + \frac12\sqrt\frac12}} \cdots \]
\[
\frac2\varpi = \sqrt\frac12 \cdot \sqrt{\frac12 + \frac12 \bigg/ \!\sqrt\frac12} \cdot \sqrt{\frac12 + \frac12 \Bigg/ \!\sqrt{\frac12 + \frac12 \bigg/ \!\sqrt\frac12}} \cdots
\]")
𝔻𝕚𝕖𝕘𝕠 🦝🧑🏻💻🍕
in reply to 𝔻𝕚𝕖𝕘𝕠 🦝🧑🏻💻🍕 • •Poliverso - notizie dal Fediverso ⁂ likes this.
RaccoonForFriendica reshared this.