The Mac mini is the closest to an Apple-based SBC you can get, so it lends itself to unusual portable computers. [Scott Yu-Jan] is back to tackle a portable build using the latest and greatest M4 mini.

[Yu-Jan] walks us through his thought process of how to maximize the portability of the system without all that tedious mucking about with setting up a separate keyboard, monitor, and the mini while on the go. With the more complicated electronics, the monitor risked tipping the keyboard over when attached, particularly since [Yu-Jan] isn’t a fan of batteries for his portables.

By affixing the Mac mini to the side of the keyboard, it makes the whole thing easier to slip into a bag without being overly thick. We get a peek into his iterative process as well when he evaluates the build and decides that the closing of the lid wasn’t what he was hoping for. By adding some TPU rests for the monitor to rest on in the closed position, he says it’s really brought the whole project up a notch. We certainly have had our own projects where one little detail really moves it from sketchy to polished, and we appreciate when makers clue us in on where that happened for them.

You may recognize [Yu-Jan] from our previous coverage of his older portable all-in-one Mac mini and this luggable version where he explains why he doesn’t like laptops. If you like your computers more stationary, how about some G4 iMacs with the newer internals from an M-series mini?

youtube.com/embed/MNnpzamnX84?…

hackaday.com/2025/05/16/a-port…

Remember The Clapper? It was a home automation tool (of sorts) that let you turn appliances on and off by clapping. [Kevin O’Connor] has built something rather similar, if more terrifying. It’s called The Screamer.

The build is based around a Sonoff S31 smart switch. [Kevin] selected an off-the-shelf device because he wanted something that was safe to use with mains power out of the box. But specifically, he selected the S31 because it has an ESP8266 inside that’s easy to reprogram with the aid of ESPHome. He ended up hooking up a whole extra ESP32 with an INMP441 microphone over I2S to do the scream detection. This was achieved with a simple algorithm that looked for high amplitude noises with lots of energy in the 1000 – 4000 Hz frequency range. When a scream is detected, it flips a GPIO pin which is detected by the S31, which then toggles the state of the smart switch in turn. Job done.

It’s a simple project that does exactly what it says on the tin. It’s The Screamer! If you’d like to learn more about the original Clapper that inspired this build, we’ve looked at that before, too. Meanwhile, if you’re cooking up your own excuses to scream at the lights and walls in your home, please only notify the tipsline if it has something vaguely to do with electronics or hackery.

hackaday.com/2025/05/16/the-sc…

][/url]

For a while now part of my email signature has been a quote from a Hackaday commenter insinuating that an article I wrote was created by a “Dumb AI”. You have my sincerest promise that I am a humble meatbag scribe just like the rest of you, indeed one currently nursing a sore shoulder due to a sporting injury, so I found the comment funny in a way its writer probably didn’t intend. Like many in tech, I maintain a skepticism about the future role of large-language-model generative AI, and have resisted the urge to drink the Kool-Aid you will see liberally flowing at the moment.

Hackaday Is Part Of The Machine

As you’ll no doubt be aware, these large language models work by gathering a vast corpus of text, and doing their computational tricks to generate their output by inferring from that data. They can thus create an artwork in the style of a painter who receives no reward for the image, or a book in the voice of an author who may be struggling to make ends meet. From the viewpoint of content creators and intellectual property owners, it’s theft on a grand scale, and you’ll find plenty of legal battles seeking to establish the boundaries of the field.

Anyway, once an LLM has enough text from a particular source, it can do a pretty good job of writing in that style. ChatGPT for example has doubtless crawled the whole of Hackaday, and since I’ve written thousands of articles in my nearly a decade here, it’s got a significant corpus of my work. Could it write in my style? As it turns out, yes it can, but not exactly. I set out to test its forging skill.

In Which I Meet My Digital Impostor

A couple of weeks ago I covered the news of the impending re-entry of a failed Soviet Venus mission stuck in orbit since 1972. It’s a fascinating story because the craft may survive the experience, and it’s possible that by the time you read this it might have been retrieved. I asked ChatGPT to provide me with a 200 word article on the story “in the voice of the Hackaday writer Jenny List”. Here’s what it came up with:

In the early days of the Space Race, the Soviet Union launched a bold bid to reach Venus: the Venera missions. Among them was Kosmos 482, a 1972 mission that never made it past Earth’s gravity. Now, over five decades later, its descent craft is finally coming home—with a bang.

Kosmos 482 was intended to deliver a lander to Venus, but due to a malfunction in its upper stage, it was stranded in a highly elliptical orbit around Earth. Encased in a semi-spherical titanium shell, the descent craft—designed to survive the brutal atmosphere of Venus—has been orbiting quietly, steadily losing altitude. By early May 2025, that orbit had decayed to a precarious 232 x 136 km, setting the stage for an uncontrolled reentry around May 10th.

Unlike typical space debris, Kosmos 482’s reentry carries a bit more drama. Built to endure Venus’s hellish surface, the lander is expected to survive Earth’s atmospheric plunge mostly intact. Impact predictions estimate it will hit the ground at about 65-70 m/s, roughly the speed of a meteorite, packing the punch of a 500 kg hunk of Soviet engineering.

With an orbital inclination of 51.95 degrees, it could come down anywhere between 52°N and 52°S, adding an element of unpredictability. One thing is certain: after 53 years in limbo, Kosmos 482 is finally coming back to Earth—whether we’re ready or not.

Reading it is a fascinating experience, because superficially it feels like a Hackaday piece. It has my vague style with some phrases such as “packing the punch of a 500 kg hunk of Soviet engineering“. It’s casual in its language, and it’s captured my wordiness; in contrast to the more terse style it does when for example I ask it to do the same thing in the voice of my colleague Al Williams. It fails though in several senses, I feel it doesn’t capture my sentence style and the very British way I use punctuation, it relies on far more figures than I would put in a piece, and perhaps most importantly it has no inference. It relies only on the facts it can find, indeed those figures are a sign of it overusing them, and it doesn’t go further in commenting on any likely outcomes. In my human-written version of the same piece I finished up by speculating on who would own it if retrieved, and anything of that nature is absent in its output.

Don’t Worry, Humans Still Needed

So it’s clear from the above that while it can write something which is superficially coverage of the same story in my voice when writing a Hackaday piece, it still fails at the task in hand. Where we would try to give a little introduction, background and comment to the story, it instead presents only a summary of facts it has found. The fact that it can’t infer beyond the story is reassuring, because it means we meat-based Hackaday scribes still have the edge. There are many people who will tell you to look for certain words as clues to AI-written text, but the truth is much simpler. Look for the human touch.

hackaday.com/2025/05/16/chatgp…

Join Hackaday Editors Elliot Williams and Tom Nardi as they take a whirlwind tour of the best and brightest hacks of the last week. This episode starts off with an update about that Soviet Venus lander that’s been buzzing the planet, then moves on to best practices for designing 3D printed parts, giving Chrome OS devices a new lease on life, and a unique display technology that brings a Star Wars prop to life.

You’ll also hear about designing new motherboards for beloved old computers, why you might want to put your calipers on a flatbed scanner, and a NASA science satellite that’s putting in double duty as a wartime reporter. Finally, they’ll cover the interesting physics of meteor burst communications, and the latest developments in the ongoing libogc license kerfuffle.

Check out the links below if you want to follow along, and as always, tell us what you think about this episode in the comments!

html5-player.libsyn.com/embed/…

Download in DRM-free MP3.

Where to Follow Hackaday Podcast

Places to follow Hackaday podcasts:

• iTunes
• Spotify
• Stitcher
• RSS
• YouTube
• Check out our Libsyn landing page

Episode 321 Show Notes:

News:

• Reentry prediction Soviet-era Venera Venus lander – Rocket Science
• Telegram: View @roscosmos_gk

What’s that Sound?

• Know that sound? Fill out this form for a chance to win!

Interesting Hacks of the Week:

• Best Practices For FDM Printing
  
  • Learn 15 Print-in-Place Mechanisms In 15 Minutes

  
  

• Turning A Chromebox Into A Proper Power-Efficient PC
• Let The Wookie Win With This DIY Holochess Table
  
  • Aska3D
  • A Little Optical Magic Makes This Floating Display Pop
  • What’s Inside A Neonode Laser Sensor?

  
  

• A Brain Transplant For A Philips Smart Lamp
• Tearing Down A Forgotten Video Game
  
  • Pong-Story : PONG in a Chip

  
  

• Another Old ThinkPad Gets A New Motherboard
  
  • Replacement Motherboard Brings New Lease Of Life To Classic Thinkpads
  • Revive A Sony Vaio P-Series With KiCad’s Background Bitmaps

  
  

Quick Hacks:

• Elliot’s Picks:
  
  • Move Over, Lithophane: 3D Printed 3D Photos With Gaussian Splats
  • A Single-Pixel Camera Without Moving Parts Using Compressed Sensing
  • Scan Your Caliper For Physical Part Copies

  
  

• Tom’s Picks:
  
  • Studying QR Code Degradation
  • The World’s Longest Range LED Flashlight
  • Open Source ELINT Accidentally From NASA

  
  

Can’t-Miss Articles:

• Radio Apocalypse: Meteor Burst Communications
• RTEMS Statement Deepens Libogc License Controversy
  
  • Libogc Allegations Rock Wii Homebrew Community

  
  

hackaday.com/2025/05/16/hackad…

Intuitively, you think that everything that you stretch will pull back, but you wouldn’t expect a couple of pieces of plastic to win. Yet, researchers over at [AMOLF] have figured out a way to make a mechanism that will eventually shrink once you pull it enough.

Named “Counter-snapping instabilities”, the mechanism is made out of the main sub-components that act together to stretch a certain amount until a threshold is met. Then the units work together and contract until they’re shorter than their initial length. This is possible by using compliant joints that make up each of the units. We’ve seen a similar concept in robotics.

Potentially this may be used as a unidirectional actuator, allowing movement inch by inch. In addition, one application mentioned may be somewhat surprising: damping. If a structure or body is oscillating through a positive feedback loop it may continue till it becomes uncontrollable. If these units are used, after a certain threshold of oscillation the units will lock and retract, therefore stopping further escalation.

Made possible by the wonders of compliant mechanics, these shrinking instabilities show a clever solution to some potential niche applications. If you want to explore the exciting world of compliance further, don’t be scared to check out this easy to print blaster design!

youtube.com/embed/KxtkcL0z5j0?…

Thanks to [I’m Not Real] for the tip!

hackaday.com/2025/05/16/compli…

Hacking, hacking, hacking! Al Pwn2Own non si scherza: è qui che l’élite mondiale della cybersicurezza mostra quanto sia fragile il mondo digitale. In palio? Fama, gloria… e più di un milione di dollari in premi per gli zero-day scoperti!

Nel primo giorno della competizione di hacking Pwn2Own Berlin 2025, i ricercatori sono riusciti a guadagnare 260.000 dollari dimostrando catene di vulnerabilità zero-day in Windows 11, Red Hat Linux e Oracle VirtualBox. Organizzato durante la conferenza OffensiveCon, il torneo di quest’anno si concentra sull’hacking delle tecnologie aziendali e include per la prima volta una categoria di attacchi basati sull’intelligenza artificiale.

Uno dei primi ad essere colpito è stato Red Hat Enterprise Linux for Workstations. Un membro del team di ricerca DEVCORE che utilizzava lo pseudonimo Pumpkin è riuscito a eseguire un’escalation di privilegi locali tramite un integer overflow e ha ricevuto 20.000 dollari per aver dimostrato l’exploit.

Hyunwoo Kim e Wonghee Lee hanno ottenuto risultati simili. Tuttavia, in questo tentativo, uno dei collegamenti si è rivelato essere una vulnerabilità nota (N-day), motivo per cui è stato considerato una “collisione” con un errore già documentato, piuttosto che una scoperta completa.

Anche Windows 11 è risultato vulnerabile. Chen Le Qi di STARLabs SG ha ricevuto 30.000 $ per aver aumentato con successo i privilegi a SYSTEM tramite una catena use-after-free e un integer overflow. Il sistema è stato compromesso altre due volte: Marcin Wiązowski ha sfruttato un bug di scrittura fuori limite e Hyunjin Choi ha dimostrato un attacco di type confusion.

Il Team Prison Break ha dato un contributo significativo all’ammontare delle ricompense. Sono riusciti a uscire dall’isolamento di Oracle VirtualBox e ad eseguire codice arbitrario sul sistema host utilizzando un integer overflow, guadagnando 40.000 dollari. Questa direzione è tradizionalmente considerata difficile, poiché richiede non solo il superamento della sandbox, ma anche un controllo affidabile dell’esecuzione sul sistema operativo sottostante.

Inoltre, il primo giorno di gara, sono stati hackerati degli strumenti di intelligenza artificiale. Sina Heirhach del Summoning Team ha ricevuto 35.000 dollari per aver sfruttato una vulnerabilità zero-day in Chroma e un bug noto in Nvidia Triton Inference Server. Billy e Ramdhan, membri di STARLabs SG, hanno impiegato 60.000 dollari per uscire da Docker Desktop ed eseguire codice sull’host sfruttando una vulnerabilità di tipo use-after-free.

Classifica TOP-5 del primo giorno di gara ( Trend Zero Day Initiative )

L’hackathon durerà fino al 17 maggio e il secondo giorno i partecipanti tenteranno di compromettere Microsoft SharePoint, VMware ESXi, Mozilla Firefox, Oracle VirtualBox e Red Hat Linux. Tutti i prodotti vengono tenuti aggiornati, il che sottolinea l’importanza di ogni 0day che viene dimostrato. I produttori hanno 90 giorni di tempo per rilasciare gli aggiornamenti dopo che le vulnerabilità sono state ufficialmente divulgate.

In totale, a Berlino 2025 sono in palio più di un milione di dollari. Le categorie di attacco non riguardano solo browser e virtualizzazione, ma anche applicazioni aziendali, infrastrutture cloud, automobili e intelligenza artificiale. Sebbene nell’elenco degli obiettivi figurino anche le unità di prova Tesla Model 3 (2024) e Model Y (2025), finora non è stato registrato alcun tentativo di attacco contro di esse.

L'articolo Pwn2Own Berlin 2025: Windows, Linux e Virtualbox cadono miseramente in un giorno. Ed è solo l’inizio proviene da il blog della sicurezza informatica.

Spectre lives. We’ve got two separate pieces of research, each finding new processor primitives that allow Spectre-style memory leaks. Before we dive into the details of the new techniques, let’s quickly remind ourselves what Spectre is. Modern CPUs use a variety of clever tricks to execute code faster, and one of the stumbling blocks is memory latency. When a program reaches a branch in execution, the program will proceed in one of two possible directions, and it’s often a value from memory that determines which branch is taken. Rather than wait for the memory to be fetched, modern CPUs will predict which branch execution will take, and speculatively execute the code down that branch. Once the memory is fetched and the branch is properly evaluated, the speculatively executed code is rewound if the guess was wrong, or made authoritative if the guess was correct. Spectre is the realization that incorrect branch prediction can change the contents of the CPU cache, and those changes can be detected through cache timing measurements. The end result is that arbitrary system memory can be leaked from a low privileged or even sandboxed user process.

In response to Spectre, OS developers and CPU designers have added domain isolation protections, that prevent branch prediction poisoning in an attack process from affecting the branch prediction in the kernel or another process. Training Solo is the clever idea from VUSec that branch prediction poisoning could just be done from within the kernel space, and avoid any domain switching at all. That can be done through cBPF, the classic Berkeley Packet Filter (BPF) kernel VM. By default, all users on a Linux system can run cBPF code, throwing the doors back open for Spectre shenanigans. There’s also an address collision attack where an unrelated branch can be used to train a target branch. Researchers also discovered a pair of CVEs in Intel’s CPUs, where prediction training was broken in specific cases, allowing for a wild 17 kB/sec memory leak.

Also revealed this week is the Branch Privilege Injection research from COMSEC. This is the realization that Intel Branch Prediction happens asynchronously, and in certain cases there is a race condition between the updates to the prediction engine, and the code being predicted. In short, user-mode branch prediction training can be used to poison kernel-mode prediction, due to the race condition.

(Editor’s note: Video seems down for the moment. Hopefully YouTube will get it cleared again soon. Something, something “hackers”.)

youtube.com/embed/jrsOvaN7PaA?…

Both of these Spectre attacks have been patched by Intel with microcode, and the Linux kernel has integrated patches for the Training Solo issue. Training Solo may also impact some ARM processors, and ARM has issued guidance on the vulnerability. The real downside is that each fix seems to come with yet another performance hit.

Is That Real Cash? And What Does That Even Mean?

Over at the Something From Nothing blog, we have a surprisingly deep topic, in a teardown of banknote validators. For the younger in the audience, there was a time in years gone by where not every vending machine had a credit card reader built-in, and the only option was to carefully straighten a bill and feed it into the bill slot on the machine. Bow how do those machines know it’s really a bill, and not just the right sized piece of paper?

And that’s where this gets interesting. Modern currency has multiple security features in a single bill, like magnetic ink, micro printing, holograms, watermarks, and more. But how does a bill validator check for all those things? Mainly LEDs and photodetectors, it seems. With some machines including hall effect sensors, magnetic tape heads for detecting magnetic ink, and in rare cases a full linear CCD for scanning the bill as it’s inserted. Each of those detectors (except the CCD) produces a simple data stream from each bill that’s checked. Surely it would be easy enough to figure out the fingerprint of a real bill, and produce something that looks just like the real thing — but only to a validator?

In theory, probably, but the combination of sensors presents a real problem. It’s really the same problem with counterfeiting a bill in general: implementing a single security feature is doable, but getting them all right at the same time is nearly impossible. And so with the humble banknote validator.

Don’t Trust That Phone Call

There’s a scam that has risen to popularity with the advent of AI voice impersonation. It usually takes the form of a young person calling a parent or grandparent from jail or a hospital, asking for money to be wired to make it home. It sounds convincing, because it’s an AI deepfake of the target’s loved one. This is no longer just a technique to take advantage of loving grandparents. The FBI has issued a warning about an ongoing campaign using deepfakes of US officials. The aim of this malware campaign seems to be just getting the victim to click on a malicious link. This same technique was used in a LastPass attack last year, and the technique has become so convincing, it’s not likely to go away anytime soon.

AI Searching SharePoint

Microsoft has tried not to be left behind in the current flurry of AI rollouts that every tech company seems to be engaging in. Microsoft’s SharePoint is not immune, and the result is Microsoft Copilot for SharePoint. This gives an AI agent access to a company’s SharePoint knowledge base, allowing users to query it for information. It’s AI as a better search engine. This has some ramifications for security, as SharePoint installs tend to collect sensitive data.

The first ramification is the most straightforward. The AI can be used to search for that sensitive data. But Copilot pulling data from a SharePoint file doesn’t count as a view, making for a very stealthy way to pull data from those sensitive files. Pen Test Partners found something even better on a real assessment. A passwords file hosted on SharePoint was unavailable to view, but in an odd way. This file hadn’t been locked down using SharePoint permissions, but instead the file was restricted from previewing in the browser. This was likely an attempt to keep eyes off the contents of the file. And Copilot was willing to be super helpful, pasting the contents of that file right into a chat window. Whoops.

Fuzzing Apple’s CoreAudio

Googler [Dillon Franke] has the story of finding a type confusion flaw in Apple’s CoreAudio daemon, reachable via Mach Inter-Process Communication (IPC) messages, allowing for potential arbitrary code execution from within a sandboxed process. This is a really interesting fuzzing + reverse engineering journey, and it starts with imagining the attack he wanted to find: Something that could be launched from within a sandboxed browser, take advantage of already available IPC mechanisms, and exploit a complex process with elevated privileges.

Coreaudiod ticks all the boxes, but it’s a closed source daemon. How does one approach this problem? The easy option is to just fuzz over the IPC messages. It would be a perfectly viable strategy, to fuzz CoreAudio via Mach calls. The downside is that the fuzzer would run slower, and have much less visibility into what’s happening in the target process. A much more powerful approach is to build a fuzzing harness that allows hooking directly to the library in question. There is some definite library wizardry at play here, linking into a library function that hasn’t been exported.

The vulnerability that he found was type confusion, where the daemon expected an ioctl object, but could be supplied arbitrary data. As an ioctl object contains a pointer to a vtable, which is essentially a collection of function pointers. It then attempts to call a function from that table. It’s an ideal situation for exploitation. The fix from Apple is an explicit type check on the incoming objects.

Bits and Bytes

Asus publishes the DriverHub tool, a gui-less driver updater. It communicates with driverhub.asus.com using RPC calls. The problem is that it checks for the right web URL using a wildcard, and driverhub.asus.com.mrbruh.com was considered completely valid. Among the functions DriverHub can perform is to install drivers and updates. Chaining a couple of fake updates together results in relatively easy admin code execution on the local machine, with the only prerequisites being the DriverHub software being installed, and clicking a single malicious link. Ouch.

The VirtualBox VGA driver just patched a buffer overflow that could result in VM escape. The vmsvga3dSurfaceMipBufferSize call could be manipulated so no memory is actually allocated, but VirtualBox itself believes a buffer is there and writable. This memory write ability can be leveraged into arbitrary memory read and write capability on the host system.

And finally, what’s old is new again. APT28, a Russian state actor, has been using very old-school Cross Site Scripting (XSS) attacks to gain access to target’s webmail systems. The attack here is JavaScript in an email’s HTML code. That JS then used already known XSS exploits to exfiltrate emails and contacts. The worst part of this campaign is how low-effort it was. These aren’t cutting-edge 0-days. Instead, the target’s email servers just hadn’t been updated. Keep your webmail installs up to date!

hackaday.com/2025/05/16/this-w…

Nel cuore della strategia europea per la cybersicurezza, nasce l’EUVD (EU Vulnerability Database), la prima banca dati ufficiale dell’Unione Europea per la gestione delle vulnerabilità informatiche. Un’infrastruttura cruciale, sviluppata e gestita dall’ENISA, che segna un passo deciso verso una sovranità digitale europea in materia di sicurezza ICT.

Cos’è l’EUVD?

Lanciato ufficialmente da ENISA, l’EUVD, accessibile tramite il seguente indirizzo web euvd.enisa.europa.eu/ è il primo sistema paneuropeo pensato per raccogliere, organizzare e condividere informazioni sulle vulnerabilità che affliggono software e sistemi digitali. L’obiettivo? Garantire che le vulnerabilità non passino inosservate, che siano gestite in modo trasparente e coordinato, e che le aziende, le autorità pubbliche e gli utenti europei possano contare su informazioni affidabili e aggiornate.

Un sistema simile esiste da tempo negli Stati Uniti — l’ NVD (National Vulnerability Database) — ma l’Europa finora non disponeva di una piattaforma autonoma. L’EUVD colma questo vuoto, fornendo identificatori europei (EUVD-ID), strumenti di notifica per i fornitori di software, e flussi di coordinamento con i ricercatori che scoprono falle di sicurezza.

Un tassello fondamentale della strategia europea

Il lancio dell’EUVD si inserisce all’interno di un quadro normativo sempre più stringente in tema di cybersicurezza:

CRA (Cyber Resilience Act): approvato dal Parlamento Europeo, impone a produttori e fornitori di software l’obbligo di segnalare vulnerabilità gravi entro 24 ore dalla scoperta. L’EUVD sarà il canale ufficiale attraverso cui inviare queste notifiche, con procedure standardizzate.

Direttiva NIS2: entrata in vigore nel 2023, la NIS2 estende gli obblighi di sicurezza a migliaia di aziende in settori critici (energia, sanità, finanza, digitale). Tra le novità principali: la gestione del rischio, la risposta agli incidenti e – appunto – la gestione proattiva delle vulnerabilità.

In questo contesto, l’EUVD diventa un hub strategico: non solo uno strumento tecnico, ma una piattaforma politica che rafforza l’autonomia digitale dell’Unione e la sua capacità di reagire alle minacce cibernetiche in modo coordinato.

Trasparenza, interoperabilità, sovranità

Uno degli elementi più innovativi del progetto è l’approccio interoperabile e trasparente: l’EUVD si integrerà con banche dati internazionali (come il sistema CVE/NVD), ma introdurrà anche identificatori propri per le vulnerabilità scoperte in Europa.

Questo permette ai ricercatori europei di non dipendere da enti esterni per la classificazione e la pubblicazione delle falle. Allo stesso tempo, stimola le aziende europee a prendere parte a un ecosistema regolato, dove la segnalazione responsabile (coordinated vulnerability disclosure) è parte integrante della compliance.

Una risorsa per tutti

L’EUVD non è pensato solo per gli esperti di sicurezza. ENISA ha costruito la piattaforma per essere utilizzabile da:

• Ricercatori e hacker etici, che possono segnalare falle;

• Aziende ICT, tenute per legge a notificare le vulnerabilità;

• Autorità nazionali, che devono monitorare e rispondere agli incidenti;

• Cittadini e media, che possono consultare la dashboard pubblica per informarsi su rischi noti.

Perché serve un database europeo delle vulnerabilità?

Negli ultimi anni, la gestione delle vulnerabilità è diventata un terreno strategico. Non è solo una questione tecnica: è una leva geopolitica. Affidarsi a banche dati extraeuropee – come l’NVD americana – significa cedere controllo su tempi, priorità e visibilità delle vulnerabilità che riguardano software utilizzati anche nell’UE.

L’EUVD permette all’Europa di:

• Decidere cosa pubblicare e quando, tutelando gli interessi strategici;

• Migliorare i tempi di risposta in caso di exploit attivi;

• Standardizzare la gestione delle vulnerabilità nei 27 Stati membri;

• Supportare i CERT nazionali e regionali in modo più rapido ed efficace.

Come funziona l’EUVD in pratica?

I fornitori di software che scoprono una vulnerabilità possono accedere al portale EUVD attraverso un login riservato. Una volta autenticati, hanno la possibilità di inserire tutti i dettagli tecnici della falla riscontrata: dalla descrizione del problema agli eventuali impatti, fino alle misure correttive già disponibili.

A seguito della segnalazione, il sistema assegna automaticamente un identificatore univoco, l’EUVD-ID, che funziona in modo analogo ai più noti codici CVE (Common Vulnerabilities and Exposures).

La vulnerabilità può essere gestita in forma privata, nel rispetto delle pratiche di disclosure responsabile, oppure resa immediatamente pubblica se già nota, sfruttata attivamente o considerata critica per la sicurezza collettiva.

Le autorità nazionali e i CERT europei (Computer Emergency Response Team) possono monitorare l’intero ciclo di vita della vulnerabilità attraverso dashboard interattive, seguendone l’evoluzione e coordinando eventuali risposte di emergenza.

Numeri attesi e scenari futuri

Secondo ENISA, oltre 10.000 vulnerabilità vengono scoperte ogni anno in prodotti software usati nell’UE. Con l’entrata in vigore del Cyber Resilience Act, ci si aspetta un forte aumento delle segnalazioni da parte dei produttori, anche di PMI europee finora escluse da questi circuiti.

L’EUVD sarà quindi una piattaforma dinamica, in continua evoluzione, con il potenziale di diventare uno dei riferimenti mondiali nella cybersecurity open data.

Conclusione

In un’epoca in cui la sicurezza informatica è diventata una questione di interesse nazionale e internazionale, l’EUVD rappresenta un pilastro della cybersicurezza europea. Un progetto che rafforza la fiducia nell’ecosistema digitale, promuove la trasparenza e difende i cittadini europei da un panorama di minacce sempre più sofisticato.

L'articolo EUVD, la banca dati europea delle vulnerabilità: nasce il cuore cibernetico della sicurezza UE proviene da il blog della sicurezza informatica.

If you want to convert heat into electrical power, it’s hard to find a simpler method than a thermoelectric generator. The Seebeck effect means that the junction of two dissimilar conductors will produce a voltage potential when heated, but the same effect also applies to certain alloys, even without a junction. [Simplifier] has been trying to find the best maker-friendly thermoelectric alloys, and recently shared the results of some extensive experimentation.

The experiments investigated a variety of bismuth alloys, and tried to determine the effects of adding lead, antimony, tin, and zinc. [Simplifier] mixed together each alloy in an electric furnace, cast it into a cylindrical mold, machined the resulting rod to a uniform length, and used tin-bismuth solder to connect each end to a brass electrode. To test each composition, one end of the cylinder was cooled with ice while the other was held in boiling water, then resistance was measured under this known temperature gradient. According to the Wiedemann-Franz law, this was enough information to approximate the metal’s thermal conductivity.

Armed with the necessary data, [Simplifier] was able to calculate each alloy’s thermoelectric efficiency coefficient. The results showed some useful information: antimony is a useful additive at about 5% by weight, tin and lead created relatively good thermoelectric materials with opposite polarities, and zinc was useful only to improve the mechanical properties at the expense of efficiency. Even in the best case, the thermoelectric efficiency didn’t exceed 6.9%, which is nonetheless quite respectable for a homemade material.

This project is a great deal more accessible for an amateur than previous thermoelectric material research we’ve covered, and a bit more efficient than another home project we’ve seen. If you just want to get straight to power generation, check out this project.

hackaday.com/2025/05/16/home-c…

Il dibattito sull’introduzione di un obbligo di utilizzo del documento d’identità per la registrazione ai social network torna ciclicamente ad accendere gli animi, contrapponendo la promessa di un web più sicuro alle preoccupazioni per la privacy e la libertà d’espressione. Diverse proposte, avanzate anche in Italia da figure politiche come Luigi Marattin e più recentemente dal ministro Giuseppe Valditara, mirano a legare i profili social a identità verificate, con l’obiettivo primario di contrastare fenomeni dilaganti come il cyberbullismo, la diffusione di fake news, l’hate speech e altre attività illecite che prosperano sotto lo scudo dell’anonimato.

Ma quali sono i “reali” pro e contro di una misura così impattante?

Le ragioni del “Sì”: un argine contro l’illegalità e la disinformazione

I sostenitori dell’obbligo di identificazione sottolineano come questa misura potrebbe rappresentare un potente deterrente contro i comportamenti scorretti online. Sapere che il proprio profilo è direttamente collegato alla propria identità reale potrebbe scoraggiare molti dal compiere atti di cyberbullismo, diffondere notizie false o insultare altri utenti, temendo conseguenze legali più immediate e concrete.

Tra i principali vantaggi evidenziati:

• Contrasto al cyberbullismo e all’hate speech: L’identificazione renderebbe più facile perseguire gli autori di minacce, insulti e discorsi d’odio, offrendo maggiore tutela alle vittime, in particolare ai minori. Il ministro Valditara, ad esempio, ha proposto l’obbligo della carta d’identità per l’accesso ai social e un divieto di iscrizione per i minori di 16 anni proprio per proteggere i più giovani.
• Lotta alla disinformazione: La creazione di account falsi finalizzati alla propaganda o alla diffusione di fake news verrebbe ostacolata, contribuendo a un’informazione online più trasparente e affidabile.
• Responsabilizzazione degli utenti: L’anonimato, percepito da alcuni come una “zona franca”, verrebbe meno, inducendo una maggiore consapevolezza delle proprie azioni e delle relative responsabilità.
• Facilitazione delle indagini: Le forze dell’ordine avrebbero strumenti più efficaci per risalire agli autori di reati commessi online, accelerando le indagini e l’applicazione della giustizia.

L’idea di fondo è che un ambiente digitale meno anonimo sarebbe intrinsecamente più sicuro e civile.

Le ragioni del “No”: privacy, libertà e rischi per la sicurezza dei dati

Sul fronte opposto, le critiche a una tale proposta sono numerose e toccano nervi scoperti legati ai diritti fondamentali e alla sicurezza informatica.

I principali timori includono:

• Violazione della privacy: Richiedere un documento d’identità per accedere ai social network implicherebbe la raccolta e la conservazione di una mole enorme di dati personali sensibili. Ciò solleva interrogativi su chi gestirebbe questi dati, come verrebbero protetti e per quali finalità potrebbero essere utilizzati, oltre alla registrazione stessa. Il rischio di data breach di database così vasti e centralizzati sarebbe estremamente elevato, con conseguenze potenzialmente disastrose per i cittadini.
• Limitazione della libertà d’espressione: L’anonimato online, sebbene talvolta abusato, è anche considerato uno strumento cruciale per la libera espressione, specialmente per individui che trattano argomenti sensibili, dissidenti politici o whistleblower. L’obbligo di identificazione potrebbe generare un “chilling effect”, inducendo le persone all’autocensura per timore di ritorsioni.
• Inefficacia contro i malintenzionati più esperti: Criminali informatici determinati e utenti tecnicamente abili potrebbero comunque trovare modi per aggirare l’obbligo, utilizzando documenti falsi, identità rubate o servizi VPN e proxy per mascherare la propria origine. La misura potrebbe quindi rivelarsi un ostacolo per l’utente comune più che per i veri “professionisti” dell’illecito.
• Complessità tecnica e applicativa: Implementare un sistema di verifica dell’identità a livello globale o anche solo nazionale per tutte le piattaforme social presenta sfide tecniche e logistiche enormi. Come si accorderebbero gli Stati con piattaforme che operano a livello transnazionale? Come verrebbe gestita la verifica per i cittadini stranieri?
• Rischio di abusi e sorveglianza: La centralizzazione dei dati identificativi potrebbe aprire la porta a forme di sorveglianza di massa o a un uso improprio delle informazioni da parte delle autorità o delle stesse piattaforme.

Esperti di cybersecurity, come il professor Giovanni Ziccardi, hanno espresso perplessità, sottolineando come l’identificazione tramite indirizzo IP sia già una pratica investigativa e che l’obbligo di documento potrebbe non aggiungere molto in termini di reale tracciabilità dei reati più gravi, a fronte di un notevole sacrificio della privacy. Si teme inoltre che la gestione di tali moli di documenti d’identità da parte di piattaforme o enti terzi creerebbe nuovi, appetibili bersagli per i cybercriminali.

Un equilibrio difficile da trovare

Un eventuale percorso legislativo in tal senso dovrà necessariamente passare attraverso un approfondito dibattito pubblico che coinvolga esperti di cybersecurity, giuristi, attivisti per i diritti digitali e le stesse piattaforme, al fine di esplorare soluzioni alternative o meccanismi che possano bilanciare efficacemente queste contrastanti, ma legittime, esigenze. La sfida resta quella di creare un ambiente online più responsabile senza sacrificare le libertà che lo hanno reso uno strumento di connessione e informazione globale.

Il mio punto di vista

La necessità di arginare il propagarsi di fake news e disinformazione rappresenta una sfida cruciale e urgente per tutte le democrazie contemporanee. L’inquinamento del dibattito pubblico e la manipolazione dell’opinione attraverso notizie false minano la fiducia nelle istituzioni e la coesione sociale. Tuttavia, la soluzione non può risiedere unicamente in misure che rischiano di comprimere diritti fondamentali.

Una possibile via intermedia, che miri a responsabilizzare senza ledere eccessivamente la privacy, potrebbe articolarsi su più livelli:

1. Certificazione Volontaria dell’Identità e “Account Verificati Potenziati”: Invece di un obbligo indiscriminato, si potrebbe incentivare un sistema di verifica volontaria dell’identità. Gli utenti che scelgono di autenticare il proprio profilo potrebbero ottenere un “badge” di affidabilità chiaramente visibile e, potenzialmente, una maggiore visibilità o priorità nella diffusione dei propri contenuti (se conformi alle policy). Questo creerebbe una distinzione chiara tra account anonimi/pseudonimi e account legati a un’identità reale verificata, permettendo agli altri utenti di ponderare diversamente la credibilità delle fonti. Le piattaforme dovrebbero garantire standard elevatissimi di sicurezza per i dati di chi aderisce.
2. Maggiore Responsabilità delle Piattaforme sulla Trasparenza Algoritmica e sulla Moderazione: Le piattaforme dovrebbero essere legalmente tenute a una maggiore trasparenza sul funzionamento dei loro algoritmi di raccomandazione, che spesso amplificano contenuti sensazionalistici o divisivi, incluse le fake news. Parallelamente, andrebbero potenziati gli obblighi di intervento rapido ed efficace contro la disinformazione palesemente dannosa e le campagne di influenza coordinate, anche attraverso un aumento significativo di moderatori umani qualificati e strumenti di IA dedicati, con meccanismi di appello chiari e accessibili per gli utenti.
3. Educazione Digitale e Sviluppo del Pensiero Critico: Fondamentale e prioritario è un investimento massiccio e continuo nell’educazione alla cittadinanza digitale, a partire dalle scuole. Formare cittadini capaci di riconoscere le notizie false, comprendere i meccanismi della disinformazione e navigare il mondo online con spirito critico è la difesa più potente e sostenibile nel lungo periodo.

Questo approccio combinato potrebbe contribuire a creare un ecosistema digitale più sano e affidabile, promuovendo la responsabilità e la trasparenza senza ricorrere a una sorveglianza generalizzata che potrebbe avere effetti collaterali indesiderati sulla libertà di espressione e sull’innovazione. La lotta alla disinformazione richiede un impegno corale che coinvolga istituzioni, piattaforme tecnologiche, mondo dell’educazione e singoli cittadini.

L'articolo Identità digitale obbligatoria: scudo contro i cybercrimini o minaccia per la democrazia? proviene da il blog della sicurezza informatica.

Today in the it’s-surprising-that-it-works department we have a ding dong doorbell extension from [Ajoy Raman].

What [Ajoy] wanted to do was to extend the range of his existing doorbell so that he could hear it in his workshop. His plan of attack was to buy a new wireless doorbell and then interface its transmitter with his existing doorbell. But his approach is something others might not have considered if they had have been tasked with this job, and it’s surprising to learn that it works!

What he’s done is wrap a new coil around the ding dong doorbell’s solenoid. When the solenoid activates, a small voltage is induced into the coil. This then gets run into the wireless doorbell transmitter power supply (instead of its battery) via a rectifier diode and a filter capacitor. The wireless doorbell transmitter — having also had its push-button shorted out — operates for long enough from this induced electrical pulse to transmit the signal to the receiver. To be clear: the wireless transmitter is fully powered by the pulse from the coil around the solenoid. Brilliant! Nice hack!

We weren’t sure how reliable the transmitter would be when taken out of the lab and installed in the house so we checked in with [Ajoy] to find out. It’s in production now and operating well at a distance of around 50 feet!

Of course we’ve published heaps of doorbell hacks here on Hackaday before, such as this Bluetooth Low Energy (BLE) doorbell and this light-flashing doorbell. Have you hacked your own doorbell? Let us know on the tips line!

youtube.com/embed/PQz1Bgo0KqM?…

hackaday.com/2025/05/16/wirele…