The Cheap Yellow Display (CYD) is an ESP32 development board that’s been making the rounds for a while now, thanks to its value and versatility. For around $10 USD, you get a nicely integrated package that’s perfect for a wide array of projects and applications. Toss a couple in on your next AliExpress order, and all you need to do is come up with an idea. [Craig Lindley] had two ideas, and maybe they will help get those gears turning in your head. Even if you don’t need a network-connected MP3 player or GPS information display, we bet browsing the source code would be useful.

There are plenty of opinions about listening to music, but this first project is particularly interesting for those who like to keep their collection locally. [Craig]’s code can read the MP3s stored on the SD card and present the user with a menu system for browsing them by artist or album.

Should you want to add more music to the collection, you can connect to the player over FTP and directly upload it to the SD card. But perhaps the real kicker is that the audio playback is done over Bluetooth, so you can rock out wirelessly. While we don’t necessarily have a problem with the sparse UI, it seems like with a little sprucing up (album art, graphical menus), this would be a fantastic framework for open-source personal audio players.

The second project is perhaps most interesting because it brings some new hardware to the table, namely a serially connected GPS module. In its current state, we’d probably classify this one as more of a tech demo. Still, it can already show the device’s current coordinates, altitude, and speed. In addition, it can pull the current time and date from the GPS stream, which could have some interesting applications for those working on custom clocks.

We’ve had our eye on the CYD community for a while now and love the creativity that we’ve been seeing. We thank [Craig] for sending these projects our way, and as a reminder, if you’ve got something you’d like to show off to a global audience of hackers and makers, don’t hesitate to drop us a line. If you’ve got a thing for MP3 players, we’ve seen a ton. As for GPS trackers, we like to put them on our pets.

hackaday.com/2025/01/07/more-t…

Si terrà a Genova il primo PsychedeliCare Café – prendiamoci cura della mente: un incontro dedicato alla presentazione dei libri sul delle terapie assistite con psichedelici, in occasione del lancio della prima Iniziativa dei Cittadini Europei per la salute mentale.

l’appuntamento è per martedì 14 gennaio alle ore 17.30 presso Bla Bla Book, in salita del Prione 34, a Genova.

Con Tania Re, psicoterapeuta, antropologa, terapista complementare; Avy Candeli, direttore creativo Psychedelicare.eu; Tommaso Cerisola, medico specializzando in psichiatria, ospedale San Martino, SIMEPSI Italia; Jennifer Tocci, coordinatrice della Cellula Coscioni Genova

L'articolo A Genova il primo PsychedeliCare Café – prendiamoci cura della mente proviene da Associazione Luca Coscioni.

Il governo malese lancia una nuova operazione per cercare il Boeing 777 scomparso nei cieli dieci anni fa. Il piano prevede una soluzione non standard: i segnali radioamatoriali aiuteranno a determinare la possibile rotta dell’aereo.

Le autorità del paese hanno firmato un contratto con la società privata Ocean Infinity, impegnata nella robotica marina. La durata del contratto è di un anno e mezzo. Se i dipendenti trovano l’aereo scomparso, riceveranno una ricompensa di 70 milioni di dollari.

La ricerca utilizza la tecnologia Weak Signal Propagation Reporter (WSPR). Il principio del suo funzionamento è simile al “breadcrumb“: attraverso questo sistema, i radioamatori di tutto il mondo trasmettono costantemente segnali a bassa potenza e se un grande aereo vola attraverso la loro area di copertura, lascia un segno evidente sulle letture dello strumento.

La traccia avviene a causa della distorsione delle onde riflesse da un massiccio corpo metallico. I ricercatori analizzeranno i dati WSPR archiviati per l’8 marzo 2014, il giorno della scomparsa del volo. Sulla base dei disturbi caratteristici della rete, sperano di ripristinare la rotta approssimativa del Boeing 777 dopo che ha smesso di comunicare con gli spedizionieri.

Il professor Simon Maskell, consulente per Ocean Infinity, spiega che se alcune traiettorie di volo potessero essere eliminate, la ricerca diventerà molto più produttiva. Gli specialisti potranno concentrare i loro sforzi su aree promettenti.

L’aereo della Malaysia Airlines operava il volo MH370 da Kuala Lumpur a Pechino. Il contatto con lui si perse quando l’aereo entrò nello spazio aereo vietnamita sopra il Golfo della Thailandia. I radar militari hanno rilevato come il Boing si sia improvvisamente voltato e ha volato verso l’Oceano Indiano. Un’ora dopo il decollo, il segnale scomparve.

A bordo c’erano 227 passeggeri e 12 membri dell’equipaggio. I parenti ancora non sanno cosa sia successo ai loro cari. Nel corso degli anni, solo pochi relitti di aerei sono stati ritrovati al largo della costa orientale dell’Africa, a migliaia di chilometri dalla Malesia.

Ocean Infinity ha assegnato alla ricerca un’area di 5.800 miglia quadrate, ovvero circa 15.022 chilometri quadrati. Anche se il campo di ricerca è stato ristretto, il compito resta arduo.

Gli esperti ritengono che entro dieci anni la fusoliera del Boeing 777 potrebbe sprofondare nel fango molle del fondo dell’Oceano Indiano meridionale. Ciò rende molto difficile il rilevamento anche con le apparecchiature moderne. Ma il governo malese conta sulla moderna tecnologia marittima, abbinata ai dati WSPR, per aiutare a risolvere il mistero.

L'articolo 70 milioni di dollari per il ritrovamento del Boing 777 perduto proviene da il blog della sicurezza informatica.

Gli scienziati del centro di ricerca francese Inria, insieme a Microsoft, hanno sviluppato un modo per convertire automaticamente il codice C in codice Rust sicuro, con l’obiettivo di soddisfare la crescente domanda di sicurezza della memoria.

Creato negli anni ’70, il linguaggio di programmazione C è diventato la base per molti sistemi, applicazioni e librerie mission-critical, incluso il kernel Linux. Tuttavia il C, come la sua continuazione logica C++, non garantisce la sicurezza della memoria. La sua gestione manuale della memoria, pur fornendo flessibilità ed efficienza, è soggetta a errori come out-of-bounds e use-after-free.

Questi bug costituiscono una parte significativa delle vulnerabilità del software. Ad esempio, nel 2019 costituivano il 76% delle vulnerabilità di Android, ma grazie all’utilizzo di Rust e del secure code questa cifra è scesa al 24% nel 2024.

Rust ti permette di scrivere codice sia sicuro che non sicuro, lasciando la scelta allo sviluppatore. Al contrario, C e C++ richiedono uno sforzo significativo, come analisi e test statici, ma non la forniscono in modo nativo.

Negli ultimi anni c’è stato un forte sostegno al passaggio a linguaggi con sicurezza della memoria incorporata, come Rust, Go, Python e Java. Nonostante ciò, alcuni programmatori continuano a cercare modi per utilizzare C e C++ in modo sicuro, evitando il passaggio a Rust. Google, pur promuovendo attivamente Rust, riconosce anche che C e C++ rimarranno in uso per molti anni a venire.

Tra i tentativi di migliorare la sicurezza del C spiccano progetti come TrapC e Fil-C. Il primo sviluppa un approccio a un sottoinsieme del linguaggio e il secondo, pur fornendo sicurezza, riduce le prestazioni e non supporta la piena compatibilità con l’interfaccia binaria dell’applicazione.

Lo studio, Compiling C into Safe Rust , dei ricercatori Aymeric Fromertz (Inria) e Jonathan Protzenko (Microsoft), offre un approccio alternativo. Si sono concentrati sulla traduzione del codice formalmente testato per l’uso industriale in Rust sicuro. Per fare ciò, è stato creato un sottoinsieme del linguaggio C chiamato Mini-C, che evita costrutti difficili da tradurre come l’aritmetica dei puntatori e la mutabilità implicita.

Utilizzando Mini-C tramite il compilatore KaRaMeL, gli sviluppatori ottengono la conversione automatica del codice in Rust sicuro. Ad esempio, la libreria di crittografia HACL, composta da 80.000 righe di codice, è stata tradotta con modifiche minime. E la libreria serializzatore EverParse, contenente 1.400 righe di codice, è stata convertita senza alcuna modifica. Le prestazioni del codice Rust risultante sono rimaste al livello del C originale, nonostante l’aggiunta di ulteriori controlli e altri miglioramenti.

I frutti del lavoro dei ricercatori vengono già utilizzati nelle applicazioni di sicurezza del mondo reale. Ad esempio, la versione Rust di HACL è stata recentemente integrata nelle librerie Mozilla NSS e OpenSSH.

L'articolo Dalla Preistoria alla Sicurezza! Microsoft Sviluppa Un Convertitore da C a Rust con un Click proviene da il blog della sicurezza informatica.

Image by [New-Concentrate6308] via redditDon’t worry, [New-Concentrate6308] is working on the GitHub for this final build of 2024, dubbed the GEMK_47. That stands for Grid Ergo Magnetic Keyboard, but I swear there are 48 keys.

What we’ve got here is a split ergo with an ortholinear layout. There’s a round screen and encoder on the left side, and a 35 mm trackpad on the right. There’s also space for some other round thing on this side, should you want another rotary encoder or whatever fits in place of the spacer.

Internally, there’s a Waveshare RP2040 Tiny and a mixture of Gateron Oil Kings and Gateron Yellow V3 switches. That lovely case is printed in silk silver PLA, but [New-Concentrate6308] wants to try metal-filled PLA for the next version. Although the original idea was to go wireless, ZMK didn’t play nicely with that round display, which of course is non-negotiable.

Hello Banana Katana! Goodbye Copper? 🙁

So this beauty is Banana Katana, a work in progress by [leifflat]. The bad news is that [liefflat] is probably gonna ditch the copper even though it looks sick here in circuit sculpture mode. Apparently it types nicely, but just doesn’t feel right overall.

Image by [leifflat] via redditThe story is that [leifflat] saw a Katana layout a few months ago and fell in love. After having this idea kicking around the brain, he decided to just go for it and built this from scratch.

First order of business was to design the layout in Keyboard Layout Editor (KLE), then transfer that to a plate generator. Then that was imported into Fusion360 and messed around with a bit to get the final result.

The coolest thing aside from the obvious is that there’s a 3D-printed plate with hot swap sockets mounted on it. How? [leifflat] used sacrificial switches and super glue, then took the switches out when it was dry. Here’s a picture of the underside. So why is the bottom row of keys upside down? Because it’s more comfortable that way for some thumbs. You should try it.

The Centerfold: This Delicious Panorama

Image by [Local-Tip-3552] via redditIt’s a good day when you find a subreddit you can call home. [Local-Tip-3552] recently found r/mechanicalheadpens, which is the place for crossover fans of mechanical keyboards, headphones, and fountain pens. (They’re on the far right.)

I won’t list all the details of the setup; you can find those in the reddit post. Apparently [Local-Tip-3552] handles wrongfully-denied Medicaid claims all day and uses the macro pad to quickly fill out forms. Unfortunately, that rad super 10-key on the right doesn’t see much action anymore since the split keyboard has a num pad layer.

Do you rock a sweet set of peripherals on a screamin’ desk pad? Send me a picture along with your handle and all the gory details, and you could be featured here!

Historical Clackers: the Yost Line of Typewriters

The New Yost, which was the third model produced by the Yost concern. Image via The Antikey Chop
Perhaps the most striking thing about any of the early entries in the Yost line of machines (1887-1924) is the large double keyboard, which makes them resemble adding machines, at least to my eyes.

According to The Antikey Chop, every model up to the no. 10 “had typebars that kicked like grasshopper legs” and were hung in a circular, up-striking arrangement.

Overall, the Yost company produced 20 models, the first three of which are not terribly distinguishable from one another. In fact, the design wasn’t significantly altered until the no. 10 typewriter, which came along in 1905. With the 10, more of the mechanisms were enclosed within the frame, which made for a bulkier build.

By 1915, pressure from the typewriter market forced George Washington Newton Yost to produce a standard four-bank typewriter instead. The no. 15, which came about in 1908 was quite modern, but at least it had its “grasshopper” type bars to distinguish it from the others. By the 20th version however, the grasshoppers had been replaced with modern front-striking ones.

Just Incase You Miss Your Curvy Microsoft Keyboard

I recently told you that Kinesis are releasing a keyboard that could potentially fill that Microsoft 4000-sized hole in your life. If you don’t like that one, I have good news: Incase bought the manufacturing rights from Microsoft in 2024 and are set to produce a curvy split keyboard that’s $9 cheaper than Kinesis’ mWave at $120.
Image via Incase
What’s interesting is that this is a keyboard that Microsoft designed and never released. Despite spending years developing this presumable successor to the 4000, they exited the peripherals market in 2023 to focus on Surface computers and such. Incase are calling this the Compact Ergonomic Keyboard. It has multi-device connectivity, and, for some reason, a dedicated Copilot key.

What’s weird is that it runs on two AAA batteries that can’t be charged via ports on the keyboard. Even so, they are supposed to last around 36 months. I don’t think these low-profile scissor keys look very nice to type on for long periods of time. I’m not saying it wouldn’t be comfortable, just that it might not be nice.

Got a hot tip that has like, anything to do with keyboards? Help me out by sending in a link or two. Don’t want all the Hackaday scribes to see it? Feel free to email me directly.

hackaday.com/2025/01/07/keebin…

Sempre più minacciato dalle sfide della sicurezza informatica, il settore finanziario oggi è chiamato a mettere in atto strategie ad hoc che rispondano alle nuove richieste normative dell’Unione Europea. Ecco come Exprivia guida il banking verso una resilienza operativa duratura

L'articolo Dal DORA alla cyber resilienza: strategie e best practice nel settore bancario proviene da Cyber Security 360.

Nel mondo JavaScript, i moduli di consenso privacy richiesti dal GDPR rappresentano una zona grigia in cui si nasconde la crescente minaccia del furto dati mediante script di terze parti. Il tutto aggravato dal cosiddetto fenomeno di “affaticamento del consenso”. Ecco come conciliare i due mondi

L'articolo JavaScript e consenso privacy: quando la minaccia per i dati è negli script di terze parti proviene da Cyber Security 360.

La gestione efficace della privacy è essenziale in un contesto normativo e tecnologico in continua evoluzione. Due strumenti fondamentali per il successo di questa sfida sono il sistema di gestione privacy (SGP) e il modello organizzativo privacy (MOP). Pur essendo complementari, questi concetti spesso vengono confusi. Ecco differenze e rispettive funzioni

L'articolo Sistema di gestione privacy e modello organizzativo privacy: quali differenze proviene da Cyber Security 360.

La recente compromissione di 35 estensioni per Chrome ha esposto milioni di utenti al furto di dati sensibili. Un attacco che rappresenta un chiaro monito sulla vulnerabilità dei software di uso comune e sulla necessità di una maggiore attenzione alla sicurezza nel ciclo di sviluppo e distribuzione

L'articolo Il caso delle estensioni Chrome compromesse: analisi tecnica, impatti e mitigazione proviene da Cyber Security 360.

Offrendo un elevato livello di sicurezza e personalizzazione, Trellix XDR si adatta molto bene a tutte le realtà aziendali e organizzative, in particolar modo a quelle dotate di molteplici tipi di endpoint e dispositivi mobili di lavoro utilizzati per il lavoro agile. Ecco tutto quello che c’è da sapere

L'articolo Trellix XDR, la piattaforma cloud per la sicurezza del lavoro agile proviene da Cyber Security 360.

Con il termine cyberwarfare ci si riferisce non solo ai conflitti digitali tra Stati, ma anche all’escalation di attacchi che compromettono infrastrutture critiche e la fiducia nei servizi tecnologici. Ecco come stanno evolvendo gli attacchi hacker e come possiamo difenderci

L'articolo Cyberwarfare, tra internal hacking, servizi cloud e infrastrutture critiche: come difenderci proviene da Cyber Security 360.

La direzione giusta è quella di un necessario bilanciamento fra l’evoluzione tecnologica e la sostenibilità degli investimenti in cyber security. La parola agli esperti

L'articolo Perché è decisivo imparare a gestire la minaccia digitale proviene da Cyber Security 360.

L'evoluzione del panorama delle minacce richiede un approccio proattivo e integrato alla sicurezza informatica, dando priorità all'identità, modernizzando i SOC e incorporando competenze cyber in tutta l'organizzazione. Strategie la cui adozione è essenziale per mantenere solide posizioni di sicurezza nel 2025 e oltre

L'articolo Rafforzare le difese informatiche nel 2025: le soluzioni per il nuovo anno proviene da Cyber Security 360.

La formazione in cyber security, richiesta dalla NIS 2 e dal D.lgs. 138/2024, rappresenta un tassello fondamentale per la sicurezza delle organizzazioni. Ma la semplice conformità normativa non è sufficiente. È necessario un approccio avanzato, capace di coinvolgere l’intero personale aziendale con soluzioni innovative e mirate

L'articolo Formazione cyber per la NIS 2: da obbligo normativo a vantaggio competitivo proviene da Cyber Security 360.

Nella serata del 6 gennaio 2025, è stata rilevata una nuova campagna Vidar da parte del CERT-AGID: i cyber-criminali continuano a sfruttare caselle PEC compromesse per diffondere il malware tra gli utenti italiani. Questa campagna presenta ulteriori elementi di complessità introducendo nuove tecniche per occultare la url da cui scaricare il payload.

La distribuzione del malware è stata accompagnata da nuove strategie per eludere i sistemi di sicurezza. Gli attacchi si sono basati su 148 domini di secondo livello, configurati per sfruttare un Domain Generation Algorithm (DGA) e path randomizzati. Durante la fase iniziale, gli URL sono rimasti inattivi per poi attivarsi solo successivamente, aumentando la difficoltà di una prevenzione tempestiva.
Funzione di decodifica presente per file JS
Un ulteriore elemento di novità è stato l’utilizzo di un file JavaScript con un metodo di offuscamento migliorato. Il file JS è stato riscritto per eseguire un’operazione di XOR sui valori di una lista e converte i risultati in caratteri tramite chr, rendendo più complesso il processo di analisi e rilevamento. Inoltre, IP, domini e caselle mittenti sono stati ruotati ogni 2-3 minuti, contribuendo a complicare ulteriormente le azioni di difesa.
Funzione di decodifica convertita in Python

Azioni di contrasto

Le attività di contrasto sono state già messe in atto con il supporto dei Gestori PEC. Gli IoC relativi alla campagna sono stati diramati attraverso il Feed IoC del CERT-AGID verso i Gestori PEC e verso le strutture accreditate.

Si raccomanda di prestare sempre la massima attenzione alle comunicazioni ricevute via PEC, in particolare quando contengono link ritenuti sospetti. Nel dubbio, è sempre possibile inoltrare le email ritenute sospette alla casella di posta malware@cert-agid.gov.it

L'articolo Vidar Colpisce Ancora L’Italia: Il Malware Avanza con Tecniche di Offuscamento Avanzate proviene da il blog della sicurezza informatica.