Le e-mail interne inviate dai dipendenti di Snapchat, la popolare app di messaggistica fotografica e video, dimostrano che l’azienda ha deliberatamente danneggiato adolescenti e giovani adulti, ovvero il pubblico a cui si rivolge.

Lo psicologo sociale e autore del best-seller Generation Anxious Jonathan Haidt ha pubblicato la scorsa settimana un articolo su Substack in cui detto che Snap Inc. riceve ogni mese migliaia di segnalazioni di “sextortion”, ovvero estorsione sessuale.

Insieme al ricercatore Zach Rush, ha presentato decine di estratti da rapporti interni, studi, e-mail e dichiarazioni pubbliche in cui i dipendenti e i consulenti di Snap riconoscono che Snapchat danneggia i minori. Secondo gli autori, queste confessioni possono essere raggruppate in cinque aree: uso compulsivo, accesso a droghe e armi, distribuzione di materiale pedopornografico e casi di rapporti intimi forzati, cyberbullismo e consapevolezza di danni e violazioni dell’età senza azioni appropriate da parte dell’azienda.

Così come nel caso Per quanto riguarda TikTok, Haidt e Rush affermano che i dipendenti di Snap erano ben consapevoli della portata del problema, ma non stavano adottando le misure necessarie. Alcune di queste problematiche sono note da tempo, come la funzione “streak“, che conta il numero di giorni consecutivi in ​​cui gli utenti condividono foto.

Ciò crea un falso senso di impegno e attaccamento negli adolescenti, e la perdita di questo “lato positivo” può essere percepita quasi come la perdita di un’amicizia. Allo stesso tempo, l’applicazione in sé rimane un mezzo di comunicazione superficiale: non garantisce un contatto reale e non sostituisce l’interazione dal vivo.

È noto che molti ex dirigenti di colossi della tecnologia, tra cui quelli che hanno partecipato alle riprese del documentario “The Social Dilemma“, non permettono ai propri figli di utilizzare gli smartphone. Sanno fin troppo bene cosa devono affrontare gli utenti, soprattutto quelli più giovani.

E se gli inventori di questi sistemi si rifiutano di affidarli ai propri figli, perché dovrebbero farlo i genitori comuni?

Gli autori del rapporto ritengono che sia giunto il momento di avviare una riflessione seria sulla dipendenza digitale e sulla responsabilità delle aziende tecnologiche.

Forse, con l’aumento delle cause legali e il cambiamento dell’opinione pubblica, più persone inizieranno a considerare il prezzo che pagano per essere costantemente presenti nel mondo digitale.

L'articolo Snapchat sapeva tutto: come l’app ha danneggiato milioni di adolescenti proviene da il blog della sicurezza informatica.

Despite the best efforts of the RepRap community over the last twenty years, self-replicating 3D printers have remained a stubbornly elusive goal, largely due to the difficulty of printing electronics. [Brian Minnick]’s fully-printed 3D printer could eventually change that, and he’s already solved an impressive number of technical challenges in the process.

[Brian]’s first step was to make a 3D-printable motor. Instead of the more conventional stepper motors, he designed a fully 3D-printed 3-pole brushed motor. The motor coils are made from solder paste, which the printer applies using a custom syringe-based extruder. The paste is then sintered at a moderate temperature, resulting in traces with a resistivity as low as 0.001 Ω mm, low enough to make effective magnetic coils.

Brushed motors are less accurate than stepper motors, but they do have a particularly useful advantage here: their speed can be controlled simply by varying the voltage. This enables a purely electromechanical control system – no microcontroller on this printer! A 3D-printed data strip encodes instructions for the printer as holes in a plastic sheet, which open and close simple switches in the motor controller. These switches control the speed, direction, and duration of the motors’ movement, letting the data strip encode motion vectors.

Remarkably, the hotend on this printer is also 3D-printed. [Brian] took advantage of the fact that PEEK’s melting point increases by about 110 ℃ when it’s annealed, which should allow an annealed hotend to print itself. So far it’s only extruded PLA, but the idea seems sound.

The video below the break shows a single-axis proof of concept in action. We haven’t been able to find any documentation of a fully-functional 3D printer, but nevertheless, it’s an impressive demonstration. We’ve covered similar printers before, and if you make progress in this area, be sure to send us a tip.

youtube.com/embed/xiygZo0YxBw?…

hackaday.com/2025/04/20/the-mo…

Entry-level oscilloscopes are a great way to get some low-cost instrumentation on a test bench, whether it’s for a garage lab or a schoolroom. But the cheapest ones are often cheap for a reason, and even though they work well for the price they won’t stand up to more advanced equipment. But missing features don’t have to stay missing forever, as it’s possible to augment them to get some of these features. [Tommy’s] project shows you one way to make a silk purse from a sow’s ear, at least as it relates to oscilloscopes.

Most of the problem with these lower-cost tools is their low precision due to fewer bits of analog-digital conversion. They also tend to be quite noisy, further lowering the quality of the oscilloscope. [Tommy] is focusing his efforts on the DSO138-mini, an oscilloscope with a bandwidth of 100 kHz and an effective resolution of 10 bits. The first step is to add an anti-aliasing filter to the input, which is essentially a low-pass filter that removes high frequency components of the signal, which could cause a problem due to the lower resolution of the device. After that, digital post-processing is done on the output, which removes noise caused by the system’s power supply, among other things, and essentially acts as a second low-pass filter.

In part 2 of the project, [Tommy] demonstrates the effectiveness of these two methods with experimental data, showing that a good percentage of the noise on a test signal has been removed from the output. All the more impressive here is that the only additional cost besides the inexpensive oscilloscope itself is for a ceramic capacitor that costs around a dollar. We were also impressed: [Tommy] is a junior in high school!

Presumably, you could apply these techniques to other inexpensive equipment, like this even cheaper oscilloscope based on the ESP32.

hackaday.com/2025/04/20/low-co…

In this series of 23 YouTube videos [Rich] puts the AMD Zynq-7000 SoC through its paces by building a development board from the ground up to host it along with its peripherals. The Zynq is part FPGA and part CPU, and while it has been around for a while, we don’t see nearly as many projects about it as we’d like.

Rich covers everything from the power system to HDMI, USB, DDR RAM, and everything in between. By the end, he’s able to boot PetaLinux.

The Zynq SoC includes an ARM Cortex-A9 Based APU and an Artix-7 FPGA (or a Kintex-7 FPGA on higher models). In case you missed it, Xilinx was recently acquired by AMD, which is why you might have remembered this as a Xilinx part.

We’ve heard from [Rich] before. Back in 2021 we saw his Arduino Brings USB Mouse To Homebrew Computer. Don’t miss his follow-up playlist: Building on my Zynq-7000 in which he takes his Zynq-7000 board even further.

If you’re interested in FPGA technology but need something more easy going to get you started, be sure to check out how to build a 6809 CPU on an FPGA. Or, if you need something even simpler, report for boot camp.

youtube.com/embed/jbG5KUbGaGE?…

Thanks to [Alex] for the tip!

hackaday.com/2025/04/20/buildi…

E buona Pasqua, riempiamoci la bocca di Pace.

Gli Usa avvertono, 'senza una svolta su Kiev ci sfiliamo'

Fonte: ANSA
search.app/dRKGm

Parlando del padre:

"Ha preferito il lager piuttosto che arrendersi al nazifascismo e combattere con i tedeschi contro gli italiani" – ha spiegato – "aveva fatto amicizia con un compagno che gli aveva salvato la vita. Si chiamava Vasco"

agi.it/spettacolo/news/2025-04…

WASHINGTON (AP) — The State Department has shut down its office that sought to deal with misinformation and disinformation that Russia, China and Iran have been accused of spreading.

Secretary of State Marco Rubio said in a statement Wednesday that he had closed what had been known as the Global Engagement Center because it had taken actions to restrict freedom of speech in the United States and elsewhere.

The center has been a frequent target of criticism from conservatives for calling out media and online reports that it said are biased or untruthful. At times, it has identified U.S. websites and social media accounts that it argued were amplifying misinformation, particularly related to the Russia-Ukraine war.

“It is the responsibility of every government official to continuously work to preserve and protect the freedom for Americans to exercise their free speech,” Rubio said, charging that the office worked “to actively silence and censor the voices of Americans they were supposed to be serving.”

Rubio said that is “antithetical” to the principles that “we should be upholding.”

Congress had supported the center’s work, as had previous State Department leadership.

“This is a deeply misleading (and) unserious portrayal of an organization focused on identifying foreign — primarily Russian — disinformation ops,” former State Department spokesman Ned Price said in a post on X.

dicorinto.it/articoli/the-stat…

When we say non-planar slicing is for the birds, we mean [Joshua Bird], who demonstrates the versatility of his new non-planar S4-Slicer by printing a Benchy upside down with the “Core R-Theta” printer we have featured here before.
S4 slicer uses the path from any point (here, Benchy’s prow) as its basis…
This non-planar slicer is built into a Jupyter notebook, which follows a relatively simple algorithm to automatically generate non-planar toolpaths for any model. It does this by first generating a tetrahedral mesh of the model and then calculating the shortest possible path through the model from any given tetrahedron to the print bed. Even with non-planar printing, you need to print from the print-bed up (or out).

Quite a lot of math is done to use these paths to calculate a deformation mesh, and we’ll leave that to [Joshua] to explain in his video below. After applying the deformation, he slices the resulting mesh in Cura, before the G-code goes back to Jupyter to be re-transformed, restoring the shape of the original mesh.
… to generate deformed models for slicing, like this.
So yes, it is G-code bending as others have demonstrated before, but in a reproducible, streamlined, and straightforward workflow. Indeed, [Josh] credits much of the work to earlier work on the S^3-Slicer, which inspired much of the logic and the name behind his S4 slicer. (Not S4 as in “more than S^3” but S4 as a contraction of “Simplified S^3”). Once again, open source allows for incremental innovation.

It is admittedly a computationally intensive process, and [Joshua] uses a simplified model of Benchy for this demo. This seems exactly the sort of thing we’d like to burn compute power on, though.

This sort of non-planar 3D printing is an exciting frontier, one which we have covered before. We’ve seen techniques for non-planar infill, or even to print overhangs on unmodified Cartesian printers, but this is probably the first time we’ve seen Benchy given the non-planar treatment. You can try S4 slicer for yourself via GitHub, or just watch the non-planar magic in action after the break.

youtube.com/embed/M51bMMVWbC8?…

hackaday.com/2025/04/20/non-pl…

L’algoritmo Dreamer AI, sviluppato dai ricercatori di Google DeepMind in collaborazione con uno scienziato dell’Università di Toronto, ha imparato a migliorare le proprie abilità autonomamente, padroneggiando Minecraft in pochi giorni. Come riportato nell’ultimo numero di Nature, Dreamer ha raggiunto il livello esperto in soli nove giorni, senza alcuna formazione precedente: non gli è stato spiegato come giocare, ma gli è stato semplicemente fornito un quadro di possibili azioni e un sistema di ricompense per chi trova i diamanti.

Sebbene addestrare l’intelligenza artificiale tramite giochi possa sembrare uno spreco di risorse (è solo un computer che gioca con un altro computer), in realtà fornisce informazioni su come far sì che l’intelligenza artificiale si adatti, impari e raggiunga obiettivi in ​​ambienti mutevoli. E questo è già un passo importante verso robot in grado di svolgere compiti nel mondo reale senza supervisione e intervento costanti.

Durante l’esperimento, Dreamer è stato inserito in un ambiente di gioco Minecraft, in cui ogni sessione di gioco durava solo 30 minuti. Dopodiché il gioco è ripreso in un mondo virtuale completamente nuovo, con paesaggi, risorse e condizioni diverse.

Nonostante queste limitazioni, l’algoritmo ha imparato rapidamente: ha immaginato un futuro in cui aveva già raggiunto tutti i suoi obiettivi e si è concentrato solo sulle azioni che avrebbero portato a quel risultato. Queste abilità vennero mantenute e utilizzate nel successivo mondo virtuale, aiutando Dreamer a migliorare rapidamente le sue capacità.

Il punto è che Dreamer non impara copiando la strategia di qualcun altro, ma sperimentando e tracciando attentamente un percorso verso il successo. Ciò apre importanti possibilità: se l’intelligenza artificiale è in grado di raggiungere autonomamente obiettivi complessi in tali condizioni, può potenzialmente imparare a risolvere problemi reali nel mondo fisico, dalla navigazione alla riparazione o manutenzione.

E forse molto presto i robot saranno effettivamente in grado di imparare da soli, senza dover attendere istruzioni dagli esseri umani.

L'articolo Dreamer AI domina Minecraft in 9 giorni: l’algoritmo che impara da solo è arrivato proviene da il blog della sicurezza informatica.

La società di sicurezza Prodaft ha annunciato il lancio dell’iniziativa SYS (Sell your Source) , nell’ambito della quale è pronta ad acquistare vecchi account su noti forum di hacker e siti darknet. Promettono di pagare di più per gli account dei moderatori e degli amministratori.

“Se a un certo punto della tua vita hai creato un account su un forum darknet che non faceva parte dei tuoi abituali social media, e se sei pronto a lasciarti alle spalle quel passato, allora questo messaggio è per te”, scrive l’azienda.

“Forse è successo nel 2015, quando ti sei immerso in argomenti che erano troppo rischiosi per Google? O nel 2020, quando hai provato ad acquistare online cose che ti sembravano sospette o pericolose, come sostanze che promettevano di curare un virus? Non ha molta importanza cosa stessi facendo in quel periodo. Ciò che conta adesso è se vuoi lasciare questa parte nel passato.”

I rappresentanti di Prodaft spiegano che gli account verificati e vecchi sui siti underground li aiuteranno nel loro lavoro, poiché gli account sui forum degli hacker consentono loro sostanzialmente di osservare il panorama delle minacce dall’interno.

Attualmente, gli account su XSS, Exploit[.]in, RAMP4U, Verified e BreachForums registrati prima di dicembre 2022 vengono presi in considerazione per l’acquisto. Promettono di pagare di più per gli account con diritti di moderatore e amministratore.

L’azienda assicura che non ci saranno giudizi né domande inutili, “una transazione semplice e sicura che avvantaggia entrambe le parti”. Si sottolinea che tutti i dati sugli account acquistati saranno trasferiti alle forze dell’ordine, ma la società promette di “proteggere in modo sicuro l’identità del venditore” e di non divulgare ulteriori informazioni alle autorità.

L'articolo Prodaft compra account su forum underground. XSS, Exploit, RAMP4U e 5.000€ per ex moderatori proviene da il blog della sicurezza informatica.

LabHost è considerato da anni uno dei principali fornitori di strumenti anti-phishing. A livello di statistiche, secondo Fortra, è attraverso LabHost che transita fino al 75% di tutto il traffico di phishing camuffato da Interac.

Dopo la chiusura della piattaforma, il volume di tali attacchi è in realtà diminuito quasi della metà, ma non a zero: gli aggressori hanno iniziato a migrare in massa verso altri servizi. SheByte è stata una delle poche aziende che ha iniziato a promuovere i propri servizi in modo aperto e aggressivo.

SheByte è apparsa per la prima volta nel maggio 2024, quando è apparso un canale Telegram con lo stesso nome, con un logo in stile cartoon in stile Bettie Page. La piattaforma è stata lanciata ufficialmente a metà giugno e nelle prime settimane ha iniziato a generare circa il 10% di tutto il phishing Interac. Prima del suo lancio completo in modalità test, SheByte copriva già l’8% degli attacchi, e il loro numero stava crescendo rapidamente.

Come LabHost, SheByte offriva modelli di pagine di phishing universali in grado di camuffarsi da siti delle più grandi banche canadesi. Già al momento del lancio, il set includeva pagine di 17 banche canadesi e 4 americane, oltre a servizi di posta elettronica popolari, operatori di telecomunicazioni, exchange di criptovalute e persino strade a pedaggio. Allo stesso tempo, è stato dichiarato il supporto per la personalizzazione dinamica: gli aggressori potevano non solo scegliere un modello, ma anche modificarlo per una campagna specifica.

La piattaforma ha una tariffa unica: 199 dollari al mese, con sconti disponibili per abbonamenti a lungo termine. Per questa cifra, i clienti hanno accesso completo ai modelli di phishing, agli strumenti anti-rilevamento e a LiveRAT, un pannello per la gestione remota degli attacchi attivi. In sostanza, LiveRAT replica le capacità di LabRAT di LabHost: consente la sorveglianza in tempo reale della vittima, l’intercettazione dei codici di autenticazione a due fattori, l’avvio di richieste aggiuntive e l’invio di messaggi arbitrari nell’interfaccia “pseudo-banca”.

SheByte presta particolare attenzione alla protezione dall’analisi. La piattaforma consente di impostare il blocco della geolocalizzazione, filtrare gli indirizzi IP VPN e i proxy noti e vietare il traffico proveniente da macchine virtuali. Come se non bastasse, il phishing inizia con un CAPTCHA per rendere più difficile l’analisi e l’analisi automatizzate. Queste funzionalità sono integrate nel pannello di controllo e sono disponibili immediatamente a tutti i clienti.

È interessante notare che lo sviluppatore di SheByte sottolinea pubblicamente che c’è una sola persona che lavora al progetto. Questo viene presentato come un vantaggio, poiché grandi piattaforme come LabHost sono diventate vulnerabili proprio a causa del numero di sviluppatori coinvolti, con conseguenti fughe di informazioni e arresti. Inoltre, SheByte afferma di non conservare alcun registro e di utilizzare la crittografia end-to-end per le informazioni rubate, sebbene la veridicità di queste affermazioni sia discutibile.

Da un punto di vista tecnico, la nuova versione del kit Interac, introdotta nel febbraio 2025, rende molto più difficile rilevare gli attacchi. I file utilizzano nomi casuali, le directory vengono generate secondo un principio simile e la struttura delle pagine di phishing viene aggiornata regolarmente. I segnali dell’attività di SheByte includono percorsi specifici start.php nella versione obsoleta V1 e modelli alfanumerici di 7-9 caratteri nelle versioni più recenti.

Dopo un leggero calo nei mesi autunnali del 2024, quando la piattaforma è stata oggetto di un attacco informatico da parte dei concorrenti (in particolare, Frappo), SheByte sta nuovamente guadagnando slancio. Un notevole aumento degli attacchi di phishing è iniziato a dicembre 2024, con la pubblicazione delle cosiddette pagine “v2”. Nonostante il mascheramento Interac sia stato introdotto nel costruttore solo all’inizio del 2025, l’interesse per la piattaforma è cresciuto rapidamente. Ciò potrebbe significare che il mercato del phishing si è adattato alla chiusura di LabHost e ha trovato un nuovo leader.

Sebbene SheByte non abbia ancora raggiunto le dimensioni di LabHost, la piattaforma è già considerata uno dei principali contendenti per tale ruolo. Grazie a un modello di distribuzione aperto, all’ampio supporto del marchio e allo sviluppo attivo della parte tecnica, il servizio ha rapidamente occupato la nicchia lasciata vacante. Se le forze dell’ordine non intervengono, SheByte potrebbe diventare la prossima grande minaccia per gli istituti finanziari in Canada e negli Stati Uniti.

L'articolo SheByte: La Nuova Minaccia nel Phishing che Sta Dominando il Mercato proviene da il blog della sicurezza informatica.

It’s traditional to launch new software on April Fool’s Day, which is when we heard that Rockbox 4.0 has been released. But, in this case, the venerable MP3 firmware actually did update after a long absence. It’s great to see that good old Rockbox is still kicking along. We first mentioned Rockbox here at Hackaday approaching 20 years ago. How time flies. There used to be a whole ‘scene’ around hacking Personal Media Players (PMPs), also known as “MP3 Players”.

We tracked down Rockbox contributor [Solomon Peachy] to ask for some simple advice: If someone wants to install Rockbox on a personal media player today, what hardware should they buy? [Solomon] referred us to the AIGO EROS Q / EROS K, which is the only compatible hardware still being manufactured and sold. Beyond that, if you want to buy compatible hardware, you’ll need to find some secondhand somewhere, such as eBay. See the Rockbox Wiki for supported hardware.

Smartphones and streaming services have subsumed the single-purpose personal media player. Will you put the new Rockbox on something? Let us know in the comments.

youtube.com/embed/zooD_rVjzm4?…

hackaday.com/2025/04/19/rockbo…

The user interface of things we deal with often makes or breaks our enjoyment of using a device. [Janne] from Fraktal thinks so, he has an espresso machine he enjoys but the default controls were not what he was looking for and so in true hacker fashion he took what was and made it his own.

This Kickstarter-born Flair 58 is a manual espresso machine with minimal moving parts and no electronics in its default configuration. An optional preheater was available, but it felt like an afterthought. He decided to add a bit more finesse into his solution, with a sleek touchscreen display controlling a custom heater board with closed-loop temperature control, and provisions to connect an external scale scale for precise pour measurements. We’ve seen coffee maker hacks before, but this one certainly stands out for adding features absent from the machine’s initial design.

To accommodate the two custom PCBs and the touchscreen, [Janne] modified the machine’s frame. The Flair 58’s swooping curves posed a challenge, but instead of using an external enclosure, he shaped the PCBs to fit seamlessly within the machine’s structure. A wonderfully done hack given the open, exposed design of the base hardware.

Certainly head over to his site and check out this beautiful solution to improving on an existing device, and check out his other cool project based around laser fault injection. All the hardware and software for this project is freely available over on his site so if you’d like to upgrade your machine be sure to go check it out.

hackaday.com/2025/04/19/franke…

Although uranium-235 is the typical fuel for commercial fission reactors on account of it being fissile, it’s relatively rare relative to the fertile U-238 and thorium (Th-232). Using either of these fertile isotopes to breed new fuel from is thus an attractive proposition. Despite this, only India and China have a strong focus on using Th-232 for reactors, the former using breeders (Th-232 to U-233) to create fertile uranium fuel. China has demonstrated its approach — including refueling a live reactor — using a fourth-generation molten salt reactor.

The original research comes from US scientists in the 1960s. While there were tests in the MSRE reactor, no follow-up studies were funded. The concept languished until recently, with Terrestrial Energy’s Integral MSR and construction on China’s 2 MW TMSR-LF1 experimental reactor commencing in 2018 before first criticality in 2023. One major advantage of an MSR with liquid fuel (the -LF part in the name) is that it can filter out contaminants and add fresh fuel while the reactor is running. With this successful demonstration, along with the breeding of uranium fuel from thorium last year, a larger, 10 MW design can now be tested.

Since TMSR doesn’t need cooling water, it is perfect for use in arid areas. In addition, China is working on using a TMSR-derived design in nuclear-powered container vessels. With enough thorium around for tens of thousands of years, these low-maintenance MSR designs could soon power much of modern society, along with high-temperature pebble bed reactors, which is another concept that China has recently managed to make work with the HTR-PM design.

Meanwhile, reactors are getting smaller in general.

hackaday.com/2025/04/19/chinas…

Microsoft ha affermato che inizierà a disabilitare i controlli ActiveX nelle versioni Windows delle app Microsoft 365 e Office 2024 entro la fine del mese. ActiveX risale al 1996 ed è un framework legacy che consente agli sviluppatori di creare oggetti interattivi che possono essere incorporati nei documenti di Office.

Una volta implementate le modifiche, si prevede che ActiveX verrà completamente bloccato in Word, Excel, PowerPoint e Visio senza alcuna notifica. Ciò dovrebbe ridurre i rischi di infezione da malware e di esecuzione di codice non autorizzato.

Quando si aprono documenti con controlli ActiveX, nella parte superiore della finestra verrà visualizzata una notifica che informa che il contenuto ActiveX nel file è stato bloccato, insieme al pulsante “Ulteriori informazioni”.

Inoltre, in un bollettino separato , Microsoft ha avvisato gli utenti di Office di non aprire allegati sconosciuti o di non modificare le impostazioni ActiveX quando ricevono finestre pop-up o richieste da persone sconosciute. “Quando ActiveX è disabilitato, non è più possibile creare o interagire con oggetti ActiveX nei file di Microsoft 365. Alcuni oggetti ActiveX esistenti continueranno a essere visualizzati come immagini statiche, ma non sarà possibile interagire con essi“, afferma Microsoft.

L’abilitazione dei controlli ActiveX sarà disponibile tramite il Centro protezione e ActiveX sarà abilitato in tutte le applicazioni di Office, tra cui Word, PowerPoint, Excel e Visio. Allo stesso tempo, Microsoft insiste sul fatto che “per una sicurezza ottimale, consigliamo vivamente di disattivare i controlli ActiveX a meno che non sia assolutamente necessario”.

La decisione di disattivare ActiveX per impostazione predefinita è probabilmente motivata da noti problemi di sicurezza, tra cui vulnerabilità zero-day sfruttate da gruppi di hacker per distribuire malware. Ad esempio, i criminali sfruttano i controlli ActiveX incorporati nei documenti Word per compromettere le reti aziendali e mettere radici, distribuendo il malware TrickBot e i beacon Cobalt Strike.

In passato Microsoft ha disattivato diverse funzionalità di Windows e Office utilizzate dagli aggressori per attaccare gli utenti. Tutto è iniziato nel 2018, quando Microsoft ha ampliato il supporto per l’interfaccia AMSI (Antimalware Scan Interface) nelle applicazioni client di Office 365 per prevenire gli attacchi alle macro VBA.

Da allora, l’azienda ha iniziato a bloccare le macro VBA per impostazione predefinita, ha implementato la protezione per le macro XLM, ha disabilitato le macro di Excel 4.0 (XLM) e ha iniziato a bloccare i componenti aggiuntivi XLL non attendibili per impostazione predefinita in tutti gli ambienti Microsoft 365.

Nel maggio 2024, Microsoft ha annunciato che avrebbe eliminato gradualmente e definitivamente VBScript, trasformandolo in una funzionalità su richiesta e poi rimuovendolo del tutto.

L'articolo Addio ActiveX! Microsoft stacca la spina al dinosauro dei malware proviene da il blog della sicurezza informatica.

What do you do with an unused nuclear reactor project? In Washington, one of them was hacked to remove sound, all in the name of science.

In 1977, a little way outside of Seattle, Washington Nuclear Projects 3 and 5 (WNP-3 and WNP-5) were started as part of Washington Public Power Supply System (WPPSS, pronounced “whoops”). They ran over budget, and in the 80s they were mothballed even though WNP-3 was nearly complete.

In 2010 when [Ron] and [Bonnie Sauro] were starting their new acoustical lab, NWAA Labs, they thought they wanted to build in a mountain, but what they found was an auxiliary reactor building. The structure was attached to a defunct nuclear power facility. With concrete and rebar walls five feet thick, it was the ideal site for their acoustical experiments and tests.

There are strict facility requirements from standards bodies such as American National Standards Institute (ANSI) and the International Organization for Standardization (ISO) for acoustical labs which help ensure that different labs achieve comparable results. For example, you need stable temperature, humidity, and reverberation. The temperature within the facility is a stable 54 degrees Fahrenheit (12 degrees Celsius) regardless of the temperature outside.

Companies use acoustical labs to inform their designs and ensure that they meet acoustic standards or requirements, particularly those related to noise emissions. Over the last fifteen years, NWAA Labs has tested carpet samples, noise-cancelling headphones, sound-dampening construction materials, noisy washing machines, and even an airplane’s crew cabin!

If there was any question about whether [Ron Sauro] qualifies as a hacker, this quote removes all doubt: “I’m a carpenter, a plumber, a welder, I can fix a car,” he says. “Anything that needs to be done, I can do. Because I have to.”

Maybe we should send a wearable cone of silence to [Ron] for a complete test. If you’ve ever hacked a nuclear power plant, do let us know in the comments!

youtube.com/embed/JoYHPIDRVKw?…

hackaday.com/2025/04/19/they-h…

Nella loro eleganza, i mici sono diventati discreti guardiani del parco, custodi ideali di un passato che ancora parla.

agi.it/cronaca/news/2025-04-19…

#gatti

Riporto dalla newsletter di Haaretz:

The New York Times reported that the White House's antisemitism task force sent Harvard University its letter demanding reforms by mistake.

Ma perché l'estrema destra non riesce a non essere cialtrona? È una sua caratteristica genetica o hanno semplicemente la sfortuna di trovarsi leader cialtroni ad ogni latitudine?

[CoraConcepts], who has a background in motorsports, has been busy designing an unconventional radio-controlled watercraft she calls the HydraJet.

There are two key design decisions that make the HydraJet what it is. First, she chose to propel the boat by pushing against the air via an electric ducted fan (EDF) rather than the water via a traditional water propeller. This simplified construction and made it more affordable, partly because she already had the fan on hand.

Her other design choice was to use wings underneath the boat to lift it out of the water. Not as hydrofoils, where the wings ride below the surface of the water, but for hydroplaning where the wings ride on the surface of the water. Lifting the vehicle out of the water, of course, reduces drag, improving performance as we’ve often seen with high speed watercraft (including RC models) as well as slower bicycle-powered ones. The choice to rely on hydroplaning also reduces the complexity of the design. Certain hydrofoil designs need to make adjustments in order to keep the vehicle at a steady level, whereas a hydroplaning wings can use a static angle. Hydrofoils also must overcome challenges to maintain stability.

[CoraConcepts] hopes to eventually scale the HydraJet up large enough to carry human passengers and we’re looking forward to the opportunity to take it for a spin around the lake.

youtube.com/embed/meIueNv_TBg?…

Thanks to [John Little] for the tip!

hackaday.com/2025/04/19/hydrop…

This week, the hackerverse was full of “vibe coding”. If you’re not caught up on your AI buzzwords, this is the catchy name coined by [Andrej Karpathy] that refers to basically just YOLOing it with AI coding assistants. It’s the AI-fueled version of typing in what you want to StackOverflow and picking the top answers. Only, with the current state of LLMs, it’ll probably work after a while of iterating back and forth with the machine.

It’s a tempting vision, and it probably works for a lot of simple applications, in popular languages, or generally where the ground is already well trodden. And where the stakes are low, as [Al Williams] pointed out while we were talking about vibing on the podcast. Can you imagine vibe-coded ATM software that probably gives you the right amount of money? Vibe-coding automotive ECU software?

While vibe coding seems very liberating and hands-off, it really just changes the burden of doing the coding yourself into making sure that the LLM is giving you what you want, and when it doesn’t, refining your prompts until it does. It’s more like editing and auditing code than authoring it. And while we have no doubt that a stellar programmer like [Karpathy] can verify that he’s getting what he wants, write the correct unit tests, and so on, we’re not sure it’s the panacea that is being proclaimed for folks who don’t already know how to code.

Vibe coding should probably be reserved for people who already are expert coders, and for trivial projects. Just the way you wouldn’t let grade-school kids use calculators until they’ve mastered the basics of math by themselves, you shouldn’t let junior programmers vibe code: It simultaneously demands too much knowledge to corral the LLM, while side-stepping any of the learning that would come from doing it yourself.

And then there’s the security side of vibe coding, which opens up a whole attack surface. If the LLM isn’t up to industry standards on simple things like input sanitization, your vibed code probably shouldn’t be anywhere near the Internet.

So should you be vibing? Sure! If you feel competent overseeing what [Dan] described as “the worst summer intern ever”, and the states are low, then it’s absolutely a fun way to kick the tires and see what the tools are capable of. Just go into it all with reasonable expectations.

This article is part of the Hackaday.com newsletter, delivered every seven days for each of the last 200+ weeks. It also includes our favorite articles from the last seven days that you can see on the web version of the newsletter. Want this type of article to hit your inbox every Friday morning? You should sign up!

hackaday.com/2025/04/19/vibing…

L’intelligenza artificiale che monitora i pazienti attraverso gli “occhi” degli infermieri ha mostrato risultati impressionanti: il rischio di morte in ospedale è diminuito del 36%.

Allo stesso tempo, la durata media della degenza ospedaliera è diminuita dell’11%, il che significa che circa 31.000 persone sono tornate a casa quasi 15 ore prima. Gli autori di uno studio condotto in quattro ospedali, il NewYork-Presbyterian e il Mass General Brigham, hanno stimato che 84 pazienti che in precedenza sarebbero tornati a casa sono stati salvati grazie al nuovo sistema.

Tuttavia, i piani di estendere il successo alla pediatria furono improvvisamente ostacolati: un finanziamento del National Institute of Nursing Research per la sperimentazione sui bambini fu annullato. Il motivo è la decisione dell’amministrazione di Donald Trump di tagliare 400 milioni di dollari di finanziamenti alla Columbia University per la sua presunta debole risposta alle proteste antisemite nel campus. Sebbene il coautore Kenrick Caito dell’Università della Pennsylvania e i funzionari della Columbia abbiano alla fine fatto delle concessioni alle autorità, non è chiaro se i ricercatori riavranno indietro i loro fondi.

L’idea del sistema risale all’esperienza di Sarah Rossetti, medico veterano di terapia intensiva e professore associato alla Columbia University. Vent’anni fa, quando era infermiera, notò che quando lei e i suoi colleghi erano preoccupati per un paziente, si recavano più spesso nella stanza e prendevano appunti più dettagliati. Dopo aver completato il dottorato e aver collaborato con Keito Rossetti, ha sintetizzato questa osservazione in un nuovo segnale digitale: il sistema di allerta precoce CONCERN (Communicating Narrative Concerns Entered by RNs).

CONCERN analizza oltre 1.200 modelli che tengono conto non solo dei parametri vitali e dei dati di laboratorio, ma anche dei dettagli delle cartelle cliniche, dell’ora del giorno e del giorno della settimana, dei turni del personale e persino della durata della degenza ospedaliera. È in grado di prevedere il peggioramento delle condizioni due giorni prima che le tradizionali scale di allarme registrino il pericolo.

La chiave per ridurre la mortalità è stata che CONCERN ha formalizzato l’intuizione degli infermieri trasformandola in un segnale concreto su cui i medici potevano agire più rapidamente ed efficacemente. Quando il sistema cambia l’indicatore da verde a giallo o rosso, il paziente viene trasferito più rapidamente in terapia intensiva. Di conseguenza, il numero di trasferimenti imprevisti in terapia intensiva è aumentato e il rischio di sviluppare problemi è diminuito del 7,5%.

Una versione meno avanzata di CONCERN è già stata testata retrospettivamente in più di 200 ospedali e i risultati confermano l’efficacia dell’approccio: il comportamento degli infermieri in materia di documentazione è coerente in tutte le istituzioni.

Contemporaneamente, la Columbia ha depositato una domanda di brevetto per ottenere finanziamenti tramite una licenza commerciale per la piena implementazione del sistema, anche in strutture sanitarie con risorse limitate. I ricercatori stanno inoltre pianificando uno studio congiunto con la facoltà di economia dell’università per valutare in che misura la riduzione della mortalità e dei ricoveri ospedalieri si traduca in risparmi sui costi complessivi e in entrate per gli ospedali.

Nel frattempo, gli ospedali che hanno riposto la loro fiducia in CONCERN continuano a utilizzarlo e i sistemi NewYork-Presbyterian e Mass General Brigham stanno discutendo piani per estenderlo a tutti i loro ospedali.

L'articolo AI in ospedale: 84 Pazienti Sono Stati Salvati da un Sistema di Monitoraggio Avanzato proviene da il blog della sicurezza informatica.