Il 2024 si è rivelato un anno cruciale per la sicurezza informatica, con un’escalation di attacchi sempre più sofisticati e impatti devastanti su organizzazioni di ogni settore. L’anno è stato caratterizzato da gravi fughe di dati, la scoperta di vulnerabilità zero-day sfruttate in modo mirato, e l’emergere di nuovi gruppi di hacker che hanno ridefinito le tattiche di attacco. Inoltre, le tensioni geopolitiche hanno intensificato il coinvolgimento di attori statali, mentre le infrastrutture critiche, come sanità e telecomunicazioni, sono diventate bersagli privilegiati.

Tra i numerosi incidenti, alcuni casi di grande rilevanza hanno messo in luce l’urgenza di rafforzare le misure di difesa informatica e ripensare le strategie di risposta agli attacchi.

Microsoft vittima di Midnight Blizzard

A gennaio, Microsoft ha rivelato che il gruppo di hacker Midnight Blizzard ha avuto accesso alla posta elettronica aziendale nel novembre 2023. Utilizzando le vulnerabilità presenti nei vecchi account di prova, i criminali informatici hanno rubato i dati delle indagini di Microsoft. A marzo gli hacker hanno compromesso nuovamente il sistema, rubando il codice sorgente e l’accesso alle caselle di posta delle agenzie federali statunitensi.

Operazione Cronos contro LockBit

A febbraio l’operazione internazionale Cronos ha distrutto l’infrastruttura di LockBit. I server, i portafogli di criptovaluta e i pannelli di controllo del gruppo sono stati disabilitati. Tuttavia, cinque giorni dopo gli hacker hanno ripreso le loro attività, minacciando di intensificare gli attacchi ai sistemi governativi.

Gli hacker hanno attaccato l’Internet Archive

Il 9 ottobre 2024 la più grande biblioteca Internet, l’Internet Archive, è stata vittima di due attacchi contemporaneamente. Il primo è la fuga di dati di 33 milioni di utenti. Gli hacker hanno ottenuto l’accesso tramite un file di configurazione GitLab aperto che conteneva un token di autenticazione. Gli aggressori sono riusciti a scaricare il codice sorgente del sito, trovare credenziali aggiuntive e rubare il database degli utenti. Il secondo attacco è stato un attacco DDoS effettuato dal gruppo SN_BlackMeta (presumibilmente filo-palestinese). La simultaneità degli attacchi ha causato gravi danni alla risorsa.

Il bug CrowdStrike Falcon paralizza milioni di dispositivi

Il 19 luglio, un aggiornamento di sicurezza difettoso di CrowdStrike Falcon ha causato arresti anomali su milioni di dispositivi Windows. Un driver errato portava al riavvio e all’impossibilità di accedere al sistema senza la modalità provvisoria.

L’incidente ha colpito molte organizzazioni: società finanziarie, ospedali e compagnie aeree. Approfittando della situazione, i criminali informatici hanno iniziato a distribuire falsi strumenti di ripristino contenenti malware. Nonostante Microsoft abbia rilasciato un’utilità di correzione, il ripristino ha richiesto settimane. L’incidente è diventato il motivo per rivedere la politica di lavoro con i driver di sistema.

Kaspersky negli USA è stato sostituito da UltraAV

A giugno gli Stati Uniti hanno vietato l’uso di Kaspersky, concedendo ai clienti tempo fino a settembre per sostituire il software. L’azienda ha sospeso gli aggiornamenti e ha trasferito la propria base clienti a UltraAV. Quindi, circa un milione di utenti americani si sono trovati di fronte a una situazione inaspettata: l’antivirus Kaspersky è stato rimosso automaticamente e il nuovo software è stato installato senza preavviso. La situazione ha causato un’ondata di malcontento tra gli utenti.

Tuttavia, come si è scoperto, non tutti gli americani sono pronti a rinunciare al loro solito antivirus. Alcuni hanno trovato il modo di aggirare il divieto e rimanere fedeli ai prodotti Kaspersky nonostante le sanzioni.

Gli attacchi ai dispositivi di rete si sono intensificati

Il 2024 è stato l’anno degli attacchi su larga scala contro dispositivi come Fortinet, TP-Link e Cisco. Questi dispositivi, situati ai margini della rete, forniscono agli hacker un facile accesso ai sistemi interni. Casi di alto profilo includono hacker cinesi che attaccano 20.000 sistemi FortiGate e utilizzano la botnet Quad7 per zombificare i dispositivi di rete per ulteriori attacchi informatici.

Inoltre, a causa della crescente minaccia alla sicurezza, gli Stati Uniti stanno valutando la possibilità di vietare i dispositivi cinesi TP-Link.

Gli hacker hanno paralizzato Change Healthcare

A febbraio un attacco informatico a Change Healthcare ha causato disagi al sistema sanitario americano. I pazienti non potevano ricevere sconti sui farmaci e i medici non potevano presentare richieste di risarcimento assicurativo. Gli hacker hanno rubato 6 TB di dati e l’azienda ha pagato un riscatto di 22 milioni di dollari. Gli aggressori hanno successivamente riutilizzato i dati per nuove minacce, estorcendo più denaro.

Snowflake è stato attaccato tramite credenziali rubate

In primavera, gli hacker hanno iniziato a vendere i dati dei clienti Snowflake utilizzando account rubati. Le persone interessate includono AT&T, Ticketmaster e altre società. Le basi rubate venivano utilizzate per ricatti e successivi attacchi.

Salt Typhoon ha attaccato le telecomunicazioni

Gli hacker cinesi hanno preso di mira società di telecomunicazioni come AT&T e Verizon per rubare dati su chiamate e messaggi. Gli attacchi hanno sollevato preoccupazioni sulla sicurezza nazionale degli Stati Uniti. I legislatori hanno proposto di inasprire i requisiti di sicurezza informatica per le società di telecomunicazioni.

Infostealer al centro dell’azione

Gli infostealer che rubano dati del browser e portafogli di criptovaluta sono diventati lo strumento principale degli hacker nel 2024. Gli esperti consigliano di abilitare l’autenticazione a due fattori per proteggere i tuoi account.

I bug di Windows 11 Recall scatenano polemiche sulla privacy

Microsoft ha introdotto la funzionalità Windows 11 Recall, che avrebbe dovuto essere uno strumento innovativo per il recupero dei dati. Tuttavia, gli esperti di sicurezza informatica hanno affermato che la funzionalità pone rischi per la privacy in quanto potrebbe diventare un nuovo punto di attacco per gli hacker.

Nonostante i miglioramenti come il filtraggio delle informazioni sensibili e la richiesta di verifica di Windows Hello, i test hanno rivelato fughe di dati, inclusi i numeri di carta di credito. Di conseguenza, Microsoft ha continuato a perfezionare la funzionalità, ma il lancio è stato ritardato.

Gli hacker di Stato Nord Coreani accusati di enormi violazioni

Nel corso del 2024, gli Stati Uniti hanno dovuto far fronte ad un aumento dell’attività dei dipendenti nordcoreani che hanno accettato lavoro presso aziende informatiche americane sotto falsi nomi. Gli specialisti hanno sfruttato la loro posizione per lo spionaggio informatico e il finanziamento del programma nucleare della Corea del Nord.

In un caso, il Dipartimento di Giustizia degli Stati Uniti ha incriminato 14 cittadini nordcoreani che impiegavano illegalmente aziende americane utilizzando identità americane rubate. Tra gli episodi figura il caso in cui un hacker nordcoreano è stato assunto da KnowBe4 come ingegnere capo e ha tentato di installare malware sulla rete aziendale.

Cosa ci possiamo aspettare per il 2025?

Nel 2025, la cybersecurity sarà sempre più caratterizzata da un aumento delle minacce avanzate e mirate, soprattutto a causa della crescente sofisticazione degli attacchi informatici. I gruppi di ransomware, spesso supportati da infrastrutture finanziarie e politiche globali, continueranno a evolversi, rendendo le difese tradizionali inadeguate. L’intelligenza artificiale sarà impiegata non solo dagli attaccanti per automatizzare gli exploit, ma anche dalle aziende per migliorare le loro difese, con sistemi di rilevamento in tempo reale che analizzano enormi quantità di dati per identificare anomalie e potenziali vulnerabilità.

In risposta a queste minacce, si prevede una sempre maggiore adozione di soluzioni basate su blockchain per migliorare la sicurezza dei dati e delle transazioni. Le identità digitali sicure, integrate con la biometria e altre tecnologie avanzate di autenticazione, diventeranno fondamentali per prevenire frodi e accessi non autorizzati. Inoltre, la crescente digitalizzazione dei settori pubblici e privati richiederà un adeguato allineamento delle normative globali per garantire la privacy e la protezione dei dati, promuovendo collaborazioni tra governi, aziende e organizzazioni internazionali.

Nel contesto dell’IoT, la cybersecurity avrà un ruolo cruciale, poiché milioni di dispositivi connessi diventeranno bersagli sempre più appetibili per i cybercriminali. Le vulnerabilità nei dispositivi intelligenti, dai veicoli alle case, richiederanno soluzioni di sicurezza personalizzate e aggiornamenti costanti per evitare danni significativi. La formazione continua delle risorse umane, l’integrazione di tecnologie emergenti come l’AI e la creazione di una cultura della sicurezza informatica saranno imprescindibili per affrontare le sfide e le opportunità che emergeranno in un panorama digitale sempre più complesso.

La sicurezza della supply chain sarà un’altra area critica per la cybersecurity nel 2025. Gli attacchi alle catene di approvvigionamento, come quelli visti negli ultimi anni, continueranno a essere una delle principali minacce per le aziende di ogni settore. Gli hacker mireranno a sfruttare le vulnerabilità nei fornitori, nei partner e nei software di terze parti per ottenere accesso a dati sensibili e compromettere interi sistemi. Le organizzazioni dovranno rafforzare le loro difese lungo l’intera supply chain, implementando pratiche di gestione dei rischi più robuste, audit continui e strategie di resilienza. La trasparenza nella selezione e nel monitoraggio dei fornitori, unitamente a tecnologie di protezione avanzate, diventerà essenziale per prevenire danni a cascata e garantire la continuità operativa.

L'articolo Si chiude un 2024 con il Botto! Tutti i principali casi di Sicurezza Informatica che hanno fatto notizia proviene da il blog della sicurezza informatica.

We’ve always found the various methods for adding text and graphics to 3D prints somewhat underwhelming. Embossed or debossed characters are fuzzy, at best, and multi-color printers always seem to bleed one color into the next. Still, the need for labels and logos is common enough that it’s worth exploring other methods, such as this easy toner transfer trick.

Home PCB makers will probably find the method [Squalius] describes in the video below very familiar, and with good reason. We’ve seen toner transfer used to mask PCBs before etching, and the basic process here is very similar. It starts with printing the desired graphics on regular paper using a laser printer; don’t forget to mirror the print. The printed surface is scuffed up a bit, carefully cleaned, and coated with a thick layer of liquid acrylic medium, of the kind used in paint pouring. The mirrored print is carefully laid on the acrylic, toner-side down, and more medium is brushed on the back of the paper. After the print dries, the paper is removed with a little water and some gentle friction, leaving the toner behind. A coat of polyurethane protects the artwork reasonably well.

[Squalius] has tested the method with PLA and PETG and reports good results. The text is clear and sharp, and even fine text and dithered graphics look pretty good. Durability could be better, and [Squalius] is looking for alternative products that might work better for high-wear applications. It looks like it works best on lightly textured surfaces, too, as opposed to surfaces with layer lines. We’d love to see if color laser prints work, too; [Squalius] says that’s in the works, and we’ve seen examples before that are reason for optimism.

youtube.com/embed/wWhU4gyD9Bk?…

Thanks to [greg_bear] for the tip.

hackaday.com/2025/01/02/dress-…

Il 10 dicembre 2024, Microsoft ha divulgato una vulnerabilità critica nel protocollo Windows Lightweight Directory Access Protocol (LDAP), identificata come CVE-2024-49113. Questa falla consente a un attaccante remoto non autenticato di causare un’interruzione del servizio (Denial of Service, DoS) sui server Windows non aggiornati, compromettendo la stabilità e la sicurezza delle reti aziendali.

Il protocollo LDAP è fondamentale per l’accesso e la gestione delle informazioni nei servizi di directory, in particolare all’interno di ambienti Active Directory di Microsoft. Una vulnerabilità in questo componente può avere ripercussioni significative sulla sicurezza delle infrastrutture IT aziendali.

Il 1º gennaio 2025, SafeBreach Labs ha pubblicato un exploit proof-of-concept (PoC) denominato “LDAPNightmare”, che dimostra come sfruttare CVE-2024-49113 per causare il crash di server Windows non aggiornati. Questo exploit, disponibile pubblicamente, evidenzia la gravità della vulnerabilità e l’urgenza di applicare le patch di sicurezza rilasciate da Microsoft.

Il PoC sviluppato da SafeBreach Labs interagisce con il protocollo Netlogon Remote Protocol (NRPC) e il client LDAP di Windows per sfruttare la vulnerabilità, causando un’interruzione del servizio sul server target. Questo tipo di attacco può essere eseguito da remoto senza necessità di autenticazione, aumentando il rischio per le organizzazioni che non hanno ancora applicato gli aggiornamenti di sicurezza.

Microsoft ha assegnato a CVE-2024-49113 un punteggio di gravità CVSS di 4.0, indicando un livello di rischio moderato. Tuttavia, la disponibilità di un exploit pubblico aumenta la probabilità che la vulnerabilità venga sfruttata in attacchi reali, rendendo fondamentale l’implementazione tempestiva delle patch di sicurezza.

Per proteggere le infrastrutture IT da potenziali attacchi che sfruttano CVE-2024-49113, è essenziale che le organizzazioni applichino immediatamente gli aggiornamenti di sicurezza forniti da Microsoft. Inoltre, è consigliabile monitorare attentamente i sistemi per rilevare eventuali attività sospette e adottare misure proattive per rafforzare la sicurezza delle reti aziendali.

L'articolo LDAPNightmare: L’Exploit è in rete per la vulnerabilità critica di Microsoft Windows proviene da il blog della sicurezza informatica.

The miniature Christmas village is a tradition in many families — a tiny idyllic world filled happy people, shops, and of course, snow. It’s common to see various miniature buildings for sale around the holidays just for this purpose, and since LEDs are small and cheap, they’ll almost always have some switch on the bottom to light up the windows.

This year, [Braden Sunwold] and his wife started their own village with an eye towards making it a family tradition. But to his surprise, the scale lamp posts they bought to dot along their snowy main street were hollow and didn’t actually light up. Seeing it was up to him to save Christmas, [Braden] got to work adding LEDs to the otherwise inert lamps.

Now in a pinch, this project could have been done with nothing more than some coin cells and a suitably sized LED. But seeing as the lamp posts were clearly designed in the Victorian style, [Braden] felt they should softly flicker to mimic a burning gas flame. Blinking would be way too harsh, and in his own words, look more like a Halloween decoration.

This could have been an excuse to drag out a microcontroller. But instead, [Braden] did as any good little Hackaday reader should do, and called on Old Saint 555 to save Christmas. After doing some research, he determined that a trio of 555s rigged as relaxation oscillators could be used to produce quasi-random triangle waves. When fed into a transistor controlling the LED, the result would be a random flickering instead of a more aggressive strobe effect. It took a little tweaking of values, but eventually he got it locked down and sent away to have custom PCBs made of the circuit.

With the flicker driver done, the rest of the project was pretty simple. Since the lamp posts were already hollow, feeding the LEDs up into them was easy enough. The electronics went into a 3D printed base, and we particularly liked the magnetic connectors [Braden] used so that the lamps could easily be taken off the base when it was time to pack the village away.

We can’t wait to see what new tricks [Braden] uses to bring the village alive for Christmas 2025. Perhaps the building lighting could do with a bit of automation?

youtube.com/embed/SH6hXkraL7c?…

hackaday.com/2025/01/02/555-ti…

The art of writing has become a cluttered one to follow, typically these days through a graphical word processor. There may be a virtual page in front of you, but it’s encumbered by much UI annoyance. To combat this a variety of distraction free software and appliances have been created over the years.

But it’s perhaps [Liam Proven]’s one we like the most — it’s a bootable 16-bit DOS environment with a selection of simple text and office packages on board. No worries about being distracted by social media when you don’t even have networking.

The zip file, in the releases section of the repository, is based upon SvarDOS, and comes with some software we well remember from back in the day. There’s MS Word 5.5 for DOS, in the public domain since it was released as a Y2K fix, Arnor Protext, and the venerable AsEasyAs spreadsheet alongside a few we’re less familiar with. He makes the point that a machine with a BIOS is required, but those of you unwilling to enable BIOS emulation on a newer machine should be able to run it in a VM or an emulator. Perhaps it’s one to take on the road with us, and bang away in DOS alongside all the high-powered executives on the train with their fancy business projections.

We recently talked about SvarDOS, and it shouldn’t come as a surprise that our article linked to a piece [Liam] wrote for The Register.

hackaday.com/2025/01/02/the-ul…

A few months ago, Disney made headlines when, rather than settling a wrongful death lawsuit, it argued that theme park guests waived their right to take it to court when they signed up for Disney Plus trials.

But Mickey Mouse appears to have had a change of heart on paying plaintiffs. Disney is now writing a multimillion-dollar settlement check to avoid litigating a defensible defamation lawsuit by Donald Trump. The president-elect claims Disney’s ABC News defamed him by saying he was found liable for “rape” when a jury really found he had committed sexual abuse.

Freedom of the Press Foundation (FPF) Director of Advocacy Seth Stern helped successfully defend the Chicago Sun-Times in a virtually identical case over 10 years ago. A judge threw out a Northwestern professor’s suit over a headline that said he was accused of rape rather than sexual assault.

“Find me the person or company that’s eager to do business with alleged sexual assailants and abusers but draws the line at alleged rapists,” Stern wrote in the Sun-Times, questioning whether Disney prioritized the interests of its nonmedia holdings over the First Amendment.

"Back in the days when news outlets were owned by news companies, a strong First Amendment was fundamental to their economic interests. Unless they’d messed up badly, they rarely settled, even when it would be cheaper than litigating. It’s fair to question whether that equation changes when news comprises just a fraction of ownership’s holdings."

You can read the op-ed here.

freedom.press/issues/settlemen…

Aside from their ability to operate fairly well in extreme temperatures, lead-acid batteries don’t have many benefits compared to more modern battery technology. They’re heavy, not particularly energy dense, have limited charge cycles, and often can’t be fully discharged without damage or greatly increased wear. With that in mind, one can imagine that a laptop that uses a battery like this would be not only extremely old but also limited by this technology. Of course, in the modern day we can do a lot to bring these retro machines up to modern standards like adding in some lithium batteries to this HP laptop.

Simply swapping the batteries in this computer won’t get the job done though, as lead-acid and lithium batteries need different circuitry in order to be safe while also getting the maximum amount of energy out. [CYUL] is using a cheap UPS module from AliExpress which comes with two 18650 cells to perform this conversion, although with a high likelihood of counterfeiting in this market, the 18650s were swapped out with two that were known to be from Samsung. The USB module also needs to be modified a bit to change the voltage output to match the needs of the HP-110Plus, and of course a modernized rebuild like this wouldn’t be complete without a USB-C port to function as the new power jack.

[CYUL] notes at the end of the build log that even without every hardware upgrade made to this computer (and ignoring its limited usefulness in the modern world) it has a limited shelf life as the BIOS won’t work past 2035. Hopefully with computers like this we’ll start seeing some firmware modifications as well that’ll let them work indefinitely into the future. For modern computers we’ll hope to avoid the similar 2038 problem by switching everything over to 64 bit systems and making other software updates as well.

hackaday.com/2025/01/02/a-mode…

Especially within the world of multi-threaded programming does atomic access become a crucial topic, as multiple execution contexts may seek to access the same memory locations at the same time. Yet the exact meaning of the word ‘atomic’ is also essential here, as there is in fact not just a single meaning of the word within the world of computer science. One type of atomic access refers merely to whether a single value can be written or read atomically (e.g. reading or writing a 32-bit integer on a 32-bit system versus a 16-bit system), whereas atomic operations are a whole other kettle of atomic fish.

Until quite recently very few programming languages offered direct support for the latter, whereas the former has been generally something that either Just Worked if you know the platform you are on, or could often be checked fairly trivially using the programming language’s platform support headers. For C and C++ atomic operations didn’t become supported by the language itself until C11 and C++11 respectively, previously requiring built-in functions provided by the toolchain (e.g. GCC intrinsics).

In the case of Ada there has been a reluctance among the language designers to add support for atomic operations to the language, with the (GNU) toolchain offering the same intrinsics as a fallback. With the Ada 2022 standard there is now direct support in the System.Atomic_Operations library, however.

Defining Atomic Operations

As mentioned earlier, the basic act of reading or writing can be atomic based on the underlying architecture. For example, if you are reading a 32-bit value on a fully 32-bit system (i.e. 32-bit registers and data bus), then this should complete in a single operation. In this case the 32-bit value read cannot suddenly have 8 or 16-bits on the end that were written during said reading action. Ergo it’s guaranteed to be atomic on this particular hardware platform. For Ada you can use the Atomic pragma to enforce this type of access. E.g.:
A : Unsigned_32 with Atomic;
A := 0;

A := A + 1;
-- This generates:
804969f: a1 04 95 05 08 mov 0x8059504,%eax
80496a4: 40 inc %eax
80496a5: a3 04 95 05 08 mov %eax,0x8059504
Now imagine performing a more complex operation, such as incrementing the value (a counter) even as another thread tries to use this value in a comparison. Although the first thread’s act of reading is atomic and writing the modified value back is atomic, this set of operations is not, resulting in a data race. There’s now a chance that the second thread will read the value before it is updated by the first, possibly causing the second thread to miss the update and requiring repeated polling. What if you could guarantee that this set of atomic operations was itself atomic?

The traditional way to accomplish this is through mutual exclusion mechanisms such as the common concept of mutexes. These do however come with a fair amount of overhead when contended due to the management of the (implementation-defined) mutex structures, the management of which uses the same atomic operations which we could directly use as well. As an example there are LOCK XADD (atomic fetch and add) and LOCK CMPXCHG (atomic compare and exchange) in the x86 ISA which a mutex implementation is likely to use, but which we’d like to use for a counter and comparison function in our own code too.

Reasons To Avoid

Obviously, having two or more threads compete for the same resources is generally speaking not a great idea and could indicate a flaw in the application’s architecture, especially in how it may break modularity. Within Ada an advocated approach has been to use protected objects and barriers within entries, which provides language-level synchronization between tasks. A barrier is defined using the when keyword, followed by the condition that has to evaluate to true before execution can continue.

From a more low-level programming perspective as inspired by C code and kin, the use of directly shared resources makes more sense, and can be argued to have performance benefits. This contrasts with the philosophy behind Ada, which argues that neither safety nor ease of maintenance should ever be sacrificed in the name of performance. Even so, if one can prove that it is in fact safe and does not invite a maintenance nightmare, it could be worth supporting.

One might even argue that since people are going to use this feature anyway – with toolchain intrinsics if they have to – one may as well provide a standard library version. This is something that could be immensely helpful to newcomers as well, as evidenced by my recent attempt to port a lock-free ring buffer (LFRB) from C++ to Ada and running into the atomic operations details head-first.

Fixing A Lock-Free Ring Buffer

In my original Ada port of the LFRB I had naively taken the variables that were adorned with the std::atomic STL feature and replaced that with the with Atomic; pragma, blissfully unaware of this being actually an improvement over the ‘everything is implementation dependent and/or undefined behavior’ elements in C++ (and C). Since I insisted on making it a straight port without a major redesign, it would seem that here I need to use this new Ada 2022 library.

Since the code uses both atomic operations on Boolean and Integer types we need the following two packages:
with System.Atomic_Operations.Integer_Arithmetic;
with System.Atomic_Operations.Exchange;
These generic packages of course also need to have a specific package defined for our use:
type Atomic_Integer is new Integer with Atomic;
package IAO is new System.Atomic_Operations.Integer_Arithmetic(Atomic_Integer);

type Atomic_Boolean is new Boolean with Atomic;
package BAO is new System.Atomic_Operations.Exchange(Atomic_Boolean);
These new types are defined as being capable of atomic read and write operations, which is a prerequisite for more complex atomic operations and thus featured in the package instantiation. Using these types is required to perform atomic operations on our target variables, which are declared as follows:
dataRequestPending : aliased Atomic_Boolean;
unread : aliased Atomic_Integer;
The [url=https://en.wikibooks.org/wiki/Ada_Programming/Keywords/aliased]aliased[/url] keyword here means that the variable has to be in memory (i.e. have a memory address) and not just in a register, allowing it to be the target of an access (pointer) type.

When we want to perform an atomic operation on our variables, we use the package which we instantiated previously, e.g.:
IAO.Atomic_Subtract(unread, len);
IAO.Atomic_Add(free, len);
The first of which will subtract the value of len from unread followed by the second line which will add the same value to free. We can see that we are now getting memory barriers in the generated assembly, e.g.:
lock add DWORD PTR [rsp+4], eax #,, _10
Which is the atomic addition operation for the x86 ISA, confirming that we are now indeed performing proper atomic operations. Similarly, for booleans we can perform atomic operations such as assigning a new value and returning the previous value:
while BAO.Atomic_Exchange(dataRequestPending, false) loop
null;
end loop;

Atomic Differences

I must express my gratitude to the commentators to the previous LFRB Ada article who pointed out these differences between atomic in C++ (and C) and Ada. Along with their feedback there are also tools such as the Godbolt Compiler Explorer site where it’s quite easy to drop in some C++ and Ada code for comparison between the generated assembly, even across a range of ISAs. Since I did not consult any of these previously consider this article my mea culpa for getting things so terribly wrong earlier.

Correspondingly, before passing off the above explanation as the absolute truth, I will preface it by saying that it is my best interpretation of The Correct Way in the absence of significant amounts of example code or discussions. Currently I’m adapting the LFRB code as described as above and will update the corresponding GitHub project once I feel relatively confident that I can dodge writing a second apology article.

For corrections and feedback, feel free to sound off in the comments.

hackaday.com/2025/01/02/progra…

What do you get when you cross cardboard, deodorant rollers, and a love for retro gaming? A marvel of DIY engineering that brings the arcade classic Puzzle Bobble to life—once again! Do you remember the original Puzzle Bobble aiming mechanism we featured 12 years ago? Now, creator [TomTilly] has returned with a revamped version, blending ingenuity with a touch of nostalgia. [Tom] truly is a Puzzle Bobble enthusiast. And who could argue that? The game’s simplicty makes for innocent yet addictive gameplay.

[Tom]’s new setup recreates Puzzle Bobble’s signature aiming mechanic using surprising materials: deodorant roller balls filled with hot glue (to diffuse LED colours), bamboo skewers, and rubber bands. At its heart is an Arduino UNO, which syncs the RGB LED ‘bubbles’ and a servo-driven aiming arm to the game’s real-time data. A Lua script monitors MAME’s memory locations to match the bubble colours and aimer position.

But this isn’t just a static display. [Tom] hints at a version 2.0: a fully functional controller complete with a handle. Imagine steering this tactile masterpiece through Puzzle Bobble’s frantic levels!

Need more inspiration? Check out other quirky hacks like [Tom]’s deodorant roller controller we featured in 2023. Whether you’re into cardboard mechanics or retro gaming, there’s no end to what clever hands can create.

youtube.com/embed/uzLQa7_EQDE?…

hackaday.com/2025/01/02/crafti…

Venerdì scorso, l’azienda Cyberhaven specializzata nella prevenzione del furto di dati ha confermato di essere stata vittima di un attacco informatico lanciato la sera del 24 dicembre, che ha portato alla pubblicazione di una versione corrotta della sua estensione sul Chrome Web Store il 25 mattina. I team di sicurezza hanno impiegato quasi un giorno in più per rilevare l’attacco e altri 60 minuti per sostituire il plug-in dannoso (v24.10.4) con una versione sana (v24.10.5). All’alba del 26 tutto era tornato alla normalità, o quasi.

Estensioni Chrome hackerate: cosa hanno sfruttato i malintenzionati

Se Cyberhaven si è preso il tempo necessario prima di comunicare ufficialmente i dettagli di questo attacco, ora sappiamo cosa è successo. In modo del tutto classico, un dipendente sarebbe caduto vittima di un attacco di phishing particolarmente ben congegnato. Gli hacker sono poi riusciti a rubare le sue credenziali di connessione al Chrome Web Store per pubblicare una versione dannosa del plugin ufficiale. Secondo l’azienda, solo i browser Chromium configurati per aggiornare automaticamente le estensioni sarebbero a rischio.

Ma le conseguenze non sono meno importanti per la sicurezza dei dati. Secondo John Tuckner, ricercatore di Secure Annex, l’estensione corrotta, che conta più di 400.000 installazioni, conteneva codice in grado di esfiltrare sessioni autenticate e cookie su un server remoto. Tuttavia, tra i clienti di Cyberhaven che probabilmente utilizzeranno il suo plugin, troviamo grandi nomi come Snowflake, Motorola, Canon e persino Reddit.

Non un caso isolato

In seguito a questa scoperta, Jaime Blasco, un altro ricercatore, questa volta della Nudge Security, ha preso l’iniziativa di continuare l’indagine sulla base degli indirizzi IP e dei domini registrati sul server pirata. È emerso che l’attacco a Cyberhaven non è stato un caso isolato, ma parte di una serie di hack coordinati.

Blasco è stato infatti in grado di identificare che lo stesso codice dannoso era stato iniettato anche in altre quattro estensioni popolari, vale a dire Internxt VPN (10.000 installazioni, patchata il 29 dicembre), VPNCity (50.000, rimossa dallo store), Uvoice (40.000, patchata dicembre 31) e ParrotTalks (40.000, rimossi dallo store).

Come ciliegina sulla torta, Blasco ha scoperto anche altri domini che puntano a potenziali vittime, mentre Tuckner hanno confermato di aver identificato diverse altre estensioni contenenti lo stesso codice dannoso, ancora attive al 31 dicembre, tra cui Bookmark Favicon Changer, Castorus, Search Copilot AI Assistant per Chrome , VidHelper o assistente YesCaptcha. In totale, il set aggiuntivo di questi moduli compromessi ha accumulato fino ad oggi più di 540.000 installazioni.

Migliora la tua postura cyber per evitare di rimanere vittima

Se utilizzi una o più di queste estensioni compromesse, controlla innanzitutto che siano state aggiornate dopo il 31 dicembre. Altrimenti disinstallale immediatamente. Inoltre, reimposta le impostazioni del browser, elimina i cookie, modifica tutte le password, configura la 2FA e opta per le passkey quando possibile. Per aiutarti, considera l’utilizzo di un gestore di password sicuro.

In generale, limita il più possibile il numero di estensioni installate sul tuo browser e privilegia quelle di sviluppatori affidabili e reattivi. Controlla regolarmente le autorizzazioni concesse a ciascuno di essi: un controllo captcha non ha bisogno di accedere al tuo microfono, alla tua fotocamera o alla tua posizione GPS, ad esempio. Infine, monitora gli avvisi di sicurezza e valuta la possibilità di installare un antivirus affidabile per agire rapidamente in caso di un nuovo problema.

L'articolo Estensioni Chrome hackerate! 540.000 installazioni minacciano i tuoi dati proviene da il blog della sicurezza informatica.

I servizi segreti americani hanno ammesso di non aver verificato se le persone fossero d’accordo con l’utilizzo dei loro dati geografici in uno speciale programma di tracciamento. Sebbene l’agenzia abbia dichiarato che i dati sono stati raccolti con il permesso, non è stata effettuata alcuna verifica effettiva del consenso. I geodati sono stati ottenuti tramite applicazioni meteorologiche e navigatori, che hanno trasmesso le informazioni a Venntel.

La Federal Trade Commission (FTC) ha vietato a Venntel di vendere dati sulla posizione dopo aver constatato che il consenso non veniva sempre richiesto. Venntel si è rivelato un fornitore chiave di dati per gli strumenti di sorveglianza utilizzati dalle agenzie governative. Ad esempio, il programma Locate X di Babel Street consente di tracciare attraverso gli smartphone gli spostamenti delle persone, fino alle visite alle cliniche e ai luoghi di residenza.

Nel 2022, l’ufficio del senatore Ron Wyden ha chiesto ai servizi segreti quali misure fossero state adottate per verificare che i dati sulla posizione fossero stati ottenuti con il consenso degli utenti. La risposta si è rivelata inequivocabile: “nessuno“. Ha anche rivelato che l’agenzia ha utilizzato lo strumento senza mandato, ma afferma che i dati sono stati utilizzati solo per trovare informazioni e non in cause legali.

I giornalisti avevano precedentemente pubblicato fughe di notizie sul lavoro di Locate X. Uno dei video mostrava come utilizzando il programma fosse possibile selezionare una zona sulla mappa e monitorare i dispositivi che la visitavano. Le e-mail dei servizi segreti interni discutevano se fosse necessario un mandato per tale utilizzo di dati. Alcuni hanno sostenuto che il consenso è implicito quando si installano le app. Tuttavia, la FTC ha dimostrato che il consenso non è stato ottenuto o non era chiaro.

La FTC ha inoltre riscontrato che gli avvisi sulla raccolta dati in-app non erano sufficientemente trasparenti. Anche la società madre di Venntel, Gravy Analytics, è accusata di violazione della privacy. Il senatore Wyden ha definito questa pratica inaccettabile e scandalosa.

Secondo la FTC, Gravy e Venntel elaborano ogni giorno oltre 17 miliardi di segnali provenienti da circa un miliardo di dispositivi. La FTC ha affermato che le azioni delle aziende mettono a repentaglio le libertà civili e la sicurezza di molti gruppi, come il personale militare, le minoranze religiose e gli attivisti sindacali.

L'articolo Tracciamento Senza Consenso: Lo Scandalo Dei Servizi Segreti Americani proviene da il blog della sicurezza informatica.

With 2024 now officially in the history books, it’s time to take our traditional look back and reflect on some of the top trends and stories from the past twelve months as viewed from the unique perspective Hackaday affords us. Thanks to the constant stream of tips and updates we receive from the community, we’ve got a better than average view of what’s on the mind of hardware hackers, engineers, and hobbyists.

This symbiotic relationship is something we take great pride in, which is why we also use this time of year to remind the readers just how much we appreciate them. We know it sounds line a line, but we really couldn’t do it without you. So whether you’ve just started reading in 2024 or been with us for years, everyone here at Hackaday thanks you for being part of something special. We’re keenly aware of how fortunate we are to still be running a successful blog in the era of YouTube and TikTok, and that’s all because people like you keep coming back. If you keep reading it, we’ll keep writing it.

So let’s take a trip down memory lane and go over just a handful of the stories that kept us talking in 2024. Did we miss your favorite? Feel free to share with the class in the comments.

Boeing’s Bungles

We’ll start off with what was undoubtedly one of the biggest stories in the tech and engineering world, although you’ll find little mention of it on the pages of Hackaday up until now. We’re talking, of course, of the dramatic and repeated failures of the once unassailable Boeing.

As a general rule, we don’t really like running negative stories. It’s just not the vibe we try and cultivate. Unless we can bring something new to the discussion, we’d rather leave other outlets peddle in doom and gloom. So that’s why, after considerable internal debate at HQ, we ultimately never wrote a story about the now infamous Alaska Airlines door plug incident at the beginning of the year.

Nor did we cover the repeated delays of Boeing’s Starliner capsule, a crewed spacecraft that the company was paid $4.2 billion to build under NASA’s Commercial Crew Program — nearly double the sum SpaceX received for the development of their Crew Dragon.

Things only got worse once the capsule finally left the launch pad in June. With human lives in the balance, it seemed in poor taste for us to cover Starliner’s disastrous first crewed flight to the International Space Station. The mission was so fraught with technical issues that NASA made the unprecedented decision to send the capsule back to Earth without its crew onboard. Those two astronauts, Barry E. Wilmore and Sunita Williams, still remain on the ISS; their planned eight-day jaunt to the Station has now been extended until March of 2025, at which point they’ll be riding home on SpaceX’s capsule.

We won’t speculate on what exactly is happening at Boeing, although we’ve heard some absolutely hair-raising stories from sources who wish to remain anonymous. Suffice to say, as disheartening as it might be for us on the outside to see such a storied company repeatedly fumble, it’s even worse for the those on the inside.

Desktop 3D Printing Reshuffling

While the tectonic shifts in the desktop 3D printer market didn’t start last year, 2024 really seemed to be the point where it boiled over. For years the market had been at a standstill, with consumers essentially having two paths forward depending on what they were willing to spend.

Had $200 or $300 to play with? You’d buy something like an Ender 3, a capable enough machine if you were willing to put in the time and effort. Or if you could stand to part with $800, you brought a Prusa i3, and didn’t worry about the little details like bed leveling or missed steps because it was automated enough to just work most of the time.

But then, Bambu Labs showed up. Founded by an ex-DJI engineer, the Chinese company introduced a line of printers that might as well have come from the future. Their speed, ease of use, and features were beyond even what Prusa was offering, and yet they cost nearly half as much. Seemingly overnight, the the market leaders at both ends of the spectrum were beat at their own game, and the paradigm shifted. The cheap printers now seemed archaic in comparison, and Prusa’s machines overpriced.

But while Bambu’s printers have dazzled consumers, they bring along some unfortunate baggage. Suddenly 3D printing involves cloud connectivity, proprietary components, and hardware that was designed for production rather than repairability. In short, desktop 3D printing seems on the verge of breaking into the legitimate mainstream, with all the downsides that comes with it these days.

It’s wasn’t all bad news though. When the community started experimenting with running alternate firmware on their hardware, Bambu’s response was better than we’d feared: users would be allowed to modify their firmware, but would have to waive their warranty. It’s not a perfect solution, but considering Prusa did more or less the same thing in 2019 when they released the Mini, the community had already shown they would accept the compromise.

Speaking of Prusa, feelings on how they’ve decided to respond to this newfound competition have been mixed, to put it mildly. In developing their new Core ONE printer it looks like they’ve engineered a worthy opponent for Bambu’s X1, but unfortunately, it appears the company has all but abandoned their open source hardware roots in the process.

RP2350 Has a Rocky Start

The release of the Pi Pico development board made our list of highlights for 2021, and in the intervening years, the RP2040 microcontroller at its heart has become a favorite of makers and hackers. We’ve even used it for the last two Supercon badges at this point. So the fact that its successor made this year’s list should come as no surprise.

But while the release of the Pi Pico 2 over the summer was noteworthy in its own way, it wasn’t really the big story. It’s what happened after that triggered debate in the community. You see, the RP2350 microcontroller that powered the Pico 2 launched with a known bug affecting the internal pull-down resistors. A bug that Hackaday alumn Ian Lesnet started documenting while incorporating the chip into a new version of the Bus Pirate. It turned out the scope of said bug was actually a lot worse than the documentation indicated, a fact that the folks at Raspberry Pi didn’t seem keen to acknowledge at first.

Ultimately, the erratum for the RP2350 was amended to better describe the nature of the issue. But as for an actual hardware fix, well that’s a different story. The WiFi-enabled version of the Pico 2 was released just last month, and it’s still susceptible to the same bug. Given that the hardware workaround for the issue — adding external pull-downs — isn’t expensive or complicated to implement, and that most users probably wouldn’t run into the problem in the first place, it seems like there’s no rush to produce a new version of the silicon.

Voyager 1 Shows its Age

Admittedly, any piece of hardware that’s been flying through deep space for nearly 50 years is bound to run into some problems, especially one that was built with 1970s era technology. But even still, 2024 was a rough year for humanity’s most distant explorer, Voyager 1.

The far-flung probe was already in trouble when the year started, as it was still transmitting gibberish due to being hit with a flipped-bit error in December of 2023. Things looked pretty grim for awhile, but by mid-March engineers had started making progress on the issue, and normal communication was restored before the end of April.

In celebration Dan Maloney took a deep-dive into the computers of Voyager, a task made surprisingly difficult by the fact that some of the key documentation he was after apparently never got never digitized. Things were still going well by June, and in September ground controllers were able to pull off a tricky reconfiguration of the spacecraft’s thrusters.

But just a month later, Voyager suffered another major glitch. After receiving a command to turn on one of its heaters, Voyager went into a fault protection mode that hadn’t been triggered since 1981. In this mode only the spacecraft’s low power S-band radio was operational, and there was initially concern that NASA wouldn’t be able to detect the signal. Luckily they were able to pick out Voyager’s faint cries for help, and on November 26th, the space agency announced they had established communications with the probe and returned it to normal operations.

While Voyager 1 ended 2024 on a high note, there’s no beating the clock. Even if nothing else goes wrong with the aging hardware, the spacecraft’s plutonium power source is producing less and less energy each year. Various systems can be switched off to save power, something NASA elected to do with Voyager 2 back in October, but eventually even that won’t be enough and the storied spacecraft will go silent for good.

CH32 Gains Momentum

We first got word of the CH32 family of low-cost RISC-V microcontrollers back in early 2023, but they were hard to come by and the available documentation and software toolchains left something to be desired. A 10¢ MCU sounds great, but what good is it if you can’t buy the thing or program it?

The situation was very different in 2024. We ran nearly three times the number of posts featuring some variant of the CH32 in 2024 than we did in the previous year, and something tells us the numbers for 2025 will be through the roof. The fact that the chips got official support in the Arduino IDE back in January certainly helped increase its popularity with hobbyists, and by March you could boot Linux on the thing, assuming you had time to spare.

In May bitluni had clustered 256 of them together, another hacker had gotten speech recognition running on it, and there was even a project that aimed to turn the SOIC-8 variant of the chip into the world’s cheapest RISC-V computer.

We even put our own official stamp of approval on the CH32 by giving each and every attendee of Supercon 2024 one to experiment with. Not only did attendees get a Simple-Add On (SAO) protoboard with an onboard CH32, but the badge itself doubled as a programmer for the chip, thanks in no small part to help from [CNLohr].

Evolution of the SAO

But the CH32 isn’t the only thing that got a boost during Supercon 2024. After years of seeing SAOs that were little more than a handful of (admittedly artistically arranged) LEDs, we challenged hackers to come up with functional badge add-ons using the six-pin interface and show them off in Pasadena by way of an event badge that served as a power and communications hub for them.

The response was phenomenal. Compared to the more complex interfaces used in previous Supercon badges, focusing on the SAO standard greatly reduced the barrier of entry for those who wanted to produce their own modular add-ons in time for the November event. Instead of only a handful of ambitious attendees having the time and experience necessary to produce a modular PCB compatible with the badge, a good chunk of the ticket holders were able bring along SAOs to show off and trade, adding a whole new dimension to the event.

While it’s unlikely we’ll ever make another Supercon badge that’s quite as SAO-centric as we did in 2024, we hope that the experience of designing, building, and sharing these small add-ons will inspire them to keep the momentum going in 2025 and beyond.

Share Your 2024 Memories

Even if this post was four times as long, there’s no way we’d be able to hit on everyone’s favorite story or event from 2024. What would you have included? Let us know in the comments, and don’t be afraid to speculate wildly about what might be in store for the hacking and making world in 2025.

hackaday.com/2025/01/02/2024-a…

In risposta a un paio di punti cruciali del discorso di fine anno del Presidente della Repubblica Sergio Mattarella, che ha invitato alla partecipazione civica e denunciato le condizioni inumane della detenzione in Italia, l’Associazione Luca Coscioni rende noto il sito FreedomLeaks.

Secondo il sito l’analista indipendente Marco Della Stella, al 1 gennaio 2025, sono 61.870 le persone detenute in un sistema che prevede circa 46.000 posti letto, che ha quindi un tasso di affollamento del 132,133%.

Si tratta di una pagina web che consente la denuncia partecipativa anonima tipica di quello generalmente chiamato whistleblowing. FreedomLeaks si rivolge a chi ha o ha avuto modo di entrare in carcere in quanto parente, o per impegni di assistenza sociale, educazione, formazione professionale o difensore o parte di iniziative di volontariato oppure dipendente delle Asl.

Particolarmente puntuali e circostanziate potrebbero essere le informazioni condivise da dipendenti dell’amministrazione penitenziaria, o di quelle del personale medico e paramedico

FreedomLeaks permette di trasferire informazioni e segnalazioni relative al rispetto delle leggi che riguardano i diritti e le libertà delle persone in maniera sicura, riservata e anonima grazie alla piattaforma Globaleaks che consente di attivare un canale criptato per inviare le proprie segnalazioni.

Dal sito occorre collegarsi al corrispondente indirizzo TOR, usando la sicurezza garantita dal TOR browser e condividere quanto visto durante la propria presenza in carcere.

L’Associazione Luca Coscioni auspica che la pubblicizzazione delle possibilità offerte daFreedomLeaks possa concorrere ad arricchire la conoscenza di come le istituzioni si comportano in ossequio ai loro obblighi di legge relativi al diritto alla salute in carcere.

Le testimonianze che arriveranno al sito sicuro non verranno rese pubbliche ma messe in relazione con i resoconti delle visite effettuate negli stessi istituti dalle Asl le cui relazioni sono state richieste a dicembre alle 102 Aziende sanitarie locali con formale accesso agli atti. Ad agosto 2024 l’Associazione Luca Coscioni aveva diffidato tutte le Asl competenti per la salute in carcere ad ottemperare ai loro obblighi previsti dall’ordinamento penitenziario di fornire servizi socio-sanitari e di ispezionare le strutture con particolare attenzione all’igiene e profilassi degli stessi.

L'articolo Attraverso Freedomleaks è possibile il wistleblowing sulle condizioni inumane in carcere proviene da Associazione Luca Coscioni.