While LEGO themed video games have become something of a staple, in 1997 they were something of an odity. LEGO Island became the first LEGO video game released outside of Japan in 1997 and become something of a hit with over one million copies sold. The game was beloved among fans and set the stage for more LEGO video games to come. In an effort of love, [MattKC] put together a team to reverse engineer the game.

The team set out with the intent to create a near perfect recreation of the codebase, relying on custom made tools to run byte checks on the rewrite compilation and the original binary. While the project is functionally complete, [MattKC] believes it is impossible to get a byte accurate codebase. This is because of what the team called “compiler entropy.” Strange behaviors exists inside of Microsoft’s Visual C++ compiler of the era, and small changes in the code have seemingly random effects to unrelated parts of the binary. To mitigate this issue would likely require either partially reverse engineering Visual C++ or brute forcing the code, both of which would take a large amount of effort and time for no real benefit.

Another interesting step the team had to work out was how the game handled graphics. In the version of Direct X used, the developers could chose between immediate mode and retained mode. The difference largely boils down to how models and assets are handled. In immediate mode, Direct X is largely just a render engine and everything else is handled by the developer. With retained mode, Direct X works more similarly to a game engine where all the model and asset management is handled by Direct X. Almost all developers ended up using immediate mode to the point that Microsoft deprecated support for retained mode. For this reason, if you were to download and run LEGO island on a modern Windows PC, it would yell at you for not having the proper libraries. There is debate about how best to handle this moving forward. The team could rely on an unsupported library from Microsoft, reverse engineer that library only making the functions needed, or using leaked source code.

With the completion of the reverse engineering, engineering can commence. For example, an annoying and persistent bug caused the game to crash if you tried to exit. While it was effective in closing the game, it also caused progress to be lost. That particular bug was fixed simply by initializing a variable in the game’s fronted. Interestingly, that bug was not present in the late betas of the game that had been dug up from the depths of the internet leading to questions as to why a rewrite of the fronted was necessary so late in the development. Now efforts are commencing to port the game to other platforms which bring with it fresh headaches including rewriting for OpenGL and the balance of keeping a historically accurate game with the needs of modern development.

youtube.com/embed/gthm-0Av93Q?…

hackaday.com/2025/05/24/revers…

When we hear about flash drives in the context of cybersecurity, we tend to think of them more as threats than as targets. When you’re using flash drives to store encryption keys, however, it makes sense to pay more attention to their security. [Juergen] designed the PECKUS (Presence Enforcing Crypto-Key USB-Storage) with this specifically in mind: a few-kilobyte storage device that only unlocks if the owner’s Bluetooth device is in the vicinity.

[Juergen] needed to store an infrequently-used keyfile on an air-gapped system, and commercial encrypted flash drives were rather expensive and left much to be desired in terms of usability. Instead, he designed a CircuitPython custom firmware for MakerDiary’s nRF52840 micro development kit, which provided a BLE-capable system in the form of a USB dongle.

After flashing the firmware to the board, the user sets it up with a particular Bluetooth device and a file to be stored; after writing the file during setup, it cannot be rewritten. Before reading from the device, the user must pair the previously-set device with the board and press a button on the board, and only then does the device appear to the computer.

The limited amount of storage space means that this device will probably only serve its intended purpose, but in those cases, it’ll be handy to have an open-source and inexpensive protected storage device. [Juergen] notes that attackers could theoretically defeat this system by desoldering the microcontroller from the board and extracting the memory contents from the its storage, but if you have enemies that resourceful, you probably won’t be relying on a $20 board anyways.

We’ve previously seen a few flashdrives cross these pages, including one meant to self-destruct, and one made from a rejected microSD card.

hackaday.com/2025/05/24/a-pres…

Filippo Ferri nominato questore di Monza: fu condannato per il G8 di Genova
Repubblica: "Dalla Polfer lombarda alla questura brianzola: in Cassazione fu condannato a 3 anni e 8 mesi per le violenze della Diaz"

milano.repubblica.it/cronaca/2…

#ytalya #scuoladiaz #g8 #mattanze #condannati #g8genova

firenzetoday.it/cronaca/senten…

today.it/cronaca/sentenza-diaz…

Nel nostro paese è perfettamente accettabile che alle politiche vada a votare una persona sola, che ii partito dal lei scelto abbia il 100% dei seggi, possa fare qualsiasi legge e anche riscriversi la Costituzione da cima a fondo.

Però, sulle cazzatine come abbassare da 10 a 5 anni il tempo di permanenza in italia per chiedere la cittadinanza ("cazzatine" inteso come decisioni che non hanno il minimo impatto sulla vita della gran parte della popolazione) deve esprimersi il 50% degli aventi diritto, più uno.

Questo quorum non serve a garantire che non ci sia una minoranza che decide per tutti, questo quorum serve per garantire che non si possa mettere in discussione quanto fatto da chi detiene il potere politico e fa comodo tanto alla destra quanto alla sinistra.

Un partito che avesse veramente a cuore i diritti e la democrazia metterebbe l'abolizione del quorum al primo posto del suo programma, invece di stracciarsi le vesti per gli inviti all'astensione e di fare questi teatrini sul "diritto dovere" di andare a votare.

Che poi, a parti invertite, se la destra avesse messo in piedi un referendum per cancellare la possibilità di dare la cittadinanza a chi non ha entrambi i genitori italiani avrei voluto proprio vedere se la sinistra avrebbe invitato a votare "no" o avrebbe invitato all'astensione.

For most of us, turrets that aim and shoot at things are the sole domain of video games. However, they’re remarkably easy to build with modern technology, as [meub] demonstrates. Meet the SwarmTurret.

The build is based around an existing foam blaster, namely the Nerf Swarmfire. This blaster was chosen for being easy to integrate into the build, thanks to its motorized direct-plunger firing mechanism and electronic trigger. It also has the benefit of being far less noisy and quicker to fire than most flywheel blasters.

For this build, the Nerf blaster was slimmed down and fitted to a turret base built with hobby servos and 3D printed components. The blaster is also fitted with a webcam for remote viewing. A Raspberry Pi is running the show, serving up a video feed and allowing aiming commands to be sent via a Websockets-based interface. Thus, you can login via a web browser on your phone or laptop, and fire away at targets to your heart’s content.

We’ve featured some great turrets before, like this Portal-themed unit.

youtube.com/embed/2ocf1J5Sax4?…

hackaday.com/2025/05/24/nerf-b…

We wrote up a video about speeding up Arduino code, specifically by avoiding DigitalWrite. Now, the fact that DigitalWrite is slow as dirt is long known. Indeed, a quick search pulls up a Hackaday article from 2010 demonstrating that it’s fifty times slower than toggling the pin directly using the native pin registers, but this is still one of those facts that gets periodically rediscovered from generation to generation. How can this be new again?

First off, sometimes you just don’t need the speed. When you’re just blinking LEDs on a human timescale, the general-purpose Arduino functions are good enough. I’ve written loads of useful firmware that fits this description. When the timing requirements aren’t tight, slow as dirt can be fast enough.

But eventually you’ll want to build a project where the old slow-speed pin toggling just won’t cut it. Maybe it’s a large LED matrix, or maybe it’s a motor-control application where the loop time really matters. Or maybe it’s driving something like audio or video that just needs more bits per second. One way out is clever coding, maybe falling back to assembly language primitives, but I would claim that the right way is almost always to use the hardware peripherals that the chipmakers gave you.

For instance, in the end of the video linked above, the hacker wants to drive a large shift register string that’s lighting up an LED matrix. That’s exactly what SPI is for, and coming to this realization makes the project work with timing to spare, and in just a few lines of code. That is the way.

Which brings me to the double-edged sword that the Arduino’s abstraction creates. By abstracting away the chips’ hardware peripherals, it makes code more portable and certainly more accessible to beginners, who don’t want to learn about SPI and I2C and I2S and DMA just yet. But by hiding the inner workings of the chips in “user friendly” libraries, it blinds new users to the useful applications of these same hardware peripherals that clever chip-design engineers have poured their sweat and brains into making do just exactly what we need.

This isn’t really meant to be a rant against Arduino, though. Everyone has to start somewhere, and the abstractions are great for getting your feet wet. And because everything’s open source anyway, nothing stops you from digging deeper into the datasheet. You just have to know that you need to. And that’s why we write up videos like this every five years or so, to show the next crop of new hackers that there’s a lot to gain underneath the abstractions.

This article is part of the Hackaday.com newsletter, delivered every seven days for each of the last 200+ weeks. It also includes our favorite articles from the last seven days that you can see on the web version of the newsletter. Want this type of article to hit your inbox every Friday morning? You should sign up!

hackaday.com/2025/05/24/the-ne…

La trasformazione digitale e decentralizzata del sistema energetico tedesco, trainata dalla diffusione delle energie rinnovabili, sta portando a un aumento della superficie esposta agli attacchi informatici. A lanciare l’allarme è l’Ufficio federale tedesco per la sicurezza informatica (BSI), che in un recente rapporto evidenzia i rischi crescenti legati a dispositivi come inverter solari, contatori intelligenti e altre tecnologie connesse alla rete. Questi strumenti, spesso privi di adeguata protezione, stanno diventando punti d’ingresso critici per i cyber criminali, aggravando la vulnerabilità delle infrastrutture elettriche del paese.

Secondo la BSI, il settore energetico è oggi uno dei più esposti a minacce cyber, anche a causa delle tensioni geopolitiche. Gruppi di hacker sponsorizzati da stati, come Nylon Typhoon e Fancy Bear, hanno intensificato gli attacchi contro infrastrutture critiche tedesche nel 2024. Anche il ransomware è diventato una minaccia crescente, colpendo direttamente aziende del comparto energetico. La presidente dell’agenzia, Claudia Plattner, ha avvertito che un’interruzione di corrente su larga scala potrebbe causare effetti devastanti su società ed economia.

Tuttavia, l’implementazione delle difese informatiche è frenata da un quadro normativo europeo ancora incompleto. Sebbene la direttiva NIS2 dell’Unione Europea sia entrata in vigore nel 2023, a metà 2025 ben 23 Stati membri non avevano ancora adottato le necessarie misure di adeguamento. Questa mancanza di armonizzazione sta limitando la possibilità di una risposta coordinata a livello internazionale, come dimostrato dal blackout che ha colpito Spagna e Portogallo nell’aprile 2025, scatenato da un effetto domino di vulnerabilità interconnesse.

Tra i principali rischi individuati dal BSI vi sono attacchi alla supply chain — come l’inserimento di codice malevolo in dispositivi energetici importati — e la proliferazione incontrollata di dispositivi IoT connessi alla rete. L’agenzia propone contromisure come la definizione di standard di sicurezza unificati, il rafforzamento dei poteri ispettivi e d’intervento, la promozione della condivisione di informazioni tra gli operatori e l’adozione diffusa di strumenti avanzati di rilevamento delle minacce come SIEM e IDS.

Ma il bilanciamento tra protezione informatica e difesa fisica rappresenta una sfida. Alcuni esperti segnalano che i danni più gravi alle reti elettriche finora sono stati causati da attacchi fisici, come l’attacco armato a una sottostazione negli USA nel 2022. Inoltre, la gestione della sicurezza diventa più complessa con la crescente decentralizzazione: impianti fotovoltaici domestici e operatori minori spesso mancano delle risorse per garantire controlli efficaci e continui, rendendo la rete vulnerabile anche a incidenti circoscritti.

In conclusione, il rapporto della BSI mette in guardia su un futuro in cui l’energia distribuita sarà al centro della strategia energetica europea, ma anche della sua superficie d’attacco. La sicurezza della rete elettrica dipenderà dalla capacità di armonizzare standard, coordinare le politiche internazionali e integrare le difese fisiche e informatiche in una strategia unitaria. Solo con un approccio olistico e cooperativo sarà possibile garantire stabilità e resilienza nel nuovo panorama energetico.

L'articolo Basta un click e la luce si spegne! La Germania lancia l’allarme rosso contro i cyber attacchi proviene da il blog della sicurezza informatica.

Trent’anni fa, la prima versione pubblica del linguaggio di programmazione Java introdusse al mondo il concetto di “Scrivi una volta, esegui ovunque” e mostrò agli sviluppatori qualcosa di più intuitivo dei rigidi C e C++.

Originariamente chiamato “Oak“, Java è stato sviluppato nei primi anni ’90 da James Gosling presso Sun Microsystems. Sebbene inizialmente il linguaggio fosse stato concepito per i dispositivi digitali, la sua attenzione si spostò presto su una piattaforma all’epoca completamente nuova: il World Wide Web.

Il linguaggio, che presenta alcune somiglianze con C e C++, viene solitamente compilato in bytecode che può teoricamente essere eseguito su qualsiasi Java Virtual Machine (JVM). L’idea era che i programmatori potessero scrivere il codice una volta ed eseguirlo ovunque, anche se sottili differenze nelle implementazioni JVM facevano sì che questo sogno non si realizzasse sempre. Un arguto collega dell’autore dell’articolo ha descritto il sistema come “Scrivi una volta, testa ovunque”, poiché un’altra caratteristica inaspettata della JVM causava un comportamento imprevedibile dell’applicazione.

Tuttavia, il linguaggio ottenne rapidamente una popolarità enorme e divenne la base di molti sistemi aziendali. Microsoft introdusse rapidamente la propria versione, Visual J++, che, pur rispettando le specifiche del linguaggio Java, non superò i test di conformità di Sun Microsystems. Ciò portò Sun a fare causa a Redmond nel 1999. Nel 2000, J++ fu rimosso da Visual Studio e presto ritirato dal mercato.

La popolarità di Java è cresciuta dopo il suo lancio e ha iniziato a calare solo negli ultimi anni, quando gli sviluppatori hanno iniziato a prendere in considerazione soluzioni alternative. Nel sondaggio Stack Overflow del 2024, il linguaggio è rimasto nella top 10, davanti a C#, C++ e C. Un leggero calo di popolarità può essere osservato nell’indice TIOBE, dove il linguaggio, un tempo al primo posto, ora si trova al quarto posto. Secondo TIOBE, Python è di gran lunga il linguaggio più diffuso. Nel 2015, TIOBE ha nominato Java linguaggio dell’anno.

Brian Fox, co-fondatore e CTO di Sonatype, ha dichiarato: “Java è sopravvissuto a tendenze, linguaggi rivali e paradigmi in continua evoluzione. Da applet e servlet a microservizi e architetture cloud, Java si è evoluto pur rimanendo familiare. Ha aperto la strada al software open source in ambito aziendale, ed è giusto dire che le aziende non si sono mai guardate indietro”.

In effetti, l’enorme quantità di codice Java che oggi supporta i sistemi aziendali fa sì che le competenze Java siano ancora necessarie, anche se le tendenze della programmazione cambiano. Sebbene la sua ubiquità, longevità e presenza in molti sistemi d’ufficio possano far pensare ad alcuni ingegneri al COBOL, trent’anni fa il linguaggio era una ventata di aria fresca rispetto ai suoi contemporanei moderni e la promessa di portabilità era allettante.

Tuttavia, gli ultimi 30 anni non sono stati privi di nubi. Fox ha dichiarato: “Java a 30 anni non è solo una storia di codice. È una storia di fiducia: fiducia guadagnata attraverso decenni di affidabilità, governance e standard condivisi. Ma questa fiducia non è garantita”.

Quando Oracle acquisì Sun nel 2010, portò con sé anche Java. Sebbene gran parte dell’implementazione JVM di Sun fosse open source, nel giro di un decennio Oracle iniziò ad applicare tariffe di licenza per ciò che prima era gratuito. Nel 2023, Big Red ha modificato i termini di licenza del suo modello di abbonamento, con un potenziale costo per le aziende di migliaia di dollari. All’inizio di quest’anno, uno studio ha rilevato che solo un utente Java su dieci intende rimanere con Oracle. Tuttavia, l’ubiquità della piattaforma implica che esistono alternative a Oracle Java e la popolarità del linguaggio non è diminuita dalle cosiddette tattiche di licenza predatoria .

In 30 anni Java è passato dall’essere una novità a qualcosa su cui le aziende hanno imparato a fare affidamento. Sì, potrebbe non avere le nuove funzionalità richieste dalle moderne applicazioni di intelligenza artificiale, ma resta il fondamento di gran parte dello sviluppo software moderno. Un ecosistema fiorente e una vasta comunità di appassionati fanno sì che Java continui ad essere più che rilevante anche mentre entra nel suo quarto decennio.

L'articolo Buon Compleanno Java! 30 anni dall’utopia di un software per tutto alla licenza Oracle proviene da il blog della sicurezza informatica.

### La presentazione del Rapporto

L'ottavo rapporto sulle #agromafie ( a cura di Fondazione Osservatorio sulla criminalità sull’agricoltura e sul sistema agroalimentare, #Coldiretti ed #Eurispes) rivela un preoccupante aumento del volume d'affari della criminalità organizzata nel settore agroalimentare italiano, passato da 12 miliardi di euro nel 2011 a oltre 25 miliardi attuali.
La crescita è dovuta all'attrattiva economica del settore (620 miliardi di euro, 70 miliardi di export, 4 milioni di occupati).

Le agromafie attuali sono gestite da "colletti bianchi" con competenze specifiche e non da figure tradizionali, e sono infiltrate in tutta la filiera, compresa la ristorazione, i mercati ortofrutticoli e la grande distribuzione.
Investono anche nell'acquisto diretto di terreni e sfruttano la difficoltà di accesso al credito delle aziende agricole, aprendo la strada all'usura.

E' sottolineata la necessità di educazione alimentare nelle scuole per insegnare il valore del cibo e il rispetto delle regole. Coldiretti è in prima linea nella lotta contro le agromafie e il caporalato, chiedendo che i fondi PAC vadano solo a chi rispetta le regole.
Si chiede inoltre di difendere il patrimonio alimentare italiano e scoraggiare le pratiche sleali dall'estero, basandosi sul principio di reciprocità sulle normative. Il governo ha istituito una cabina di regia per i controlli amministrativi e il disegno di legge agroalimentare mira a inasprire le sanzioni contro le frodi e proteggere il Made in Italy.
La presentazione del rapporto ha visto un gesto simbolico: la donazione di un ramoscello dell'albero di Giovanni Falcone, simbolo della lotta alle mafie, che sarà donato a una cooperativa che lavora su terreni confiscati alla camorra. Questo sottolinea il legame tra la lotta alle agromafie e la speranza di riscatto sociale.

### Le dimensioni internazionali del fenomeno ed il caporalato transnazionale

Il fenomeno ha dimensioni internazionali, con reti che reclutano manodopera all'estero (spesso attraverso il caporalato) ed esportano il loro modello di business. L'Italia è all'avanguardia nei controlli, ma il problema è sottovalutato in Europa.
Le agromafie infatti non operano più solo all'interno dei confini italiani, ma stanno attivamente esportando il loro redditizio "modello di business" in altri paesi, in particolare dove la consapevolezza del fenomeno è minore. Questo significa che le tecniche di infiltrazione, sfruttamento e frode sviluppate in Italia vengono replicate e adattate a contesti esteri. Il rapporto menziona specificamente la minor consapevolezza all'estero riguardo il fenomeno delle agromafie. Questo crea un terreno fertile per le organizzazioni criminali italiane che possono sfruttare lacune normative, minore attenzione dei controlli e una generale mancanza di conoscenza dei meccanismi criminali legati all'agroalimentare.
Un aspetto cruciale delle implicazioni internazionali è la creazione di reti criminali transnazionali dedicate allo sfruttamento della manodopera nel settore agricolo. Queste reti coinvolgono soggetti italiani e stranieri.
Il rapporto cita esplicitamente il fenomeno del caporalato, che viene gestito da queste reti criminali internazionali. Organizzazioni italiane e straniere agiscono come "agenzie di intermediazione illecita" per la manodopera agricola, reclutando lavoratori, spesso da paesi come India e Bangladesh, sfruttando anche i "decreti flussi". Questi lavoratori pagano ingenti somme per arrivare in Italia e vengono poi sfruttati, lavorando in condizioni disumane e senza tutele per ripagare il debito contratto. Il fatto che diverse nazionalità siano coinvolte nella gestione del traffico sottolinea la natura transnazionale di questo crimine.
Nonostante l'Italia sia considerata all'avanguardia nei controlli e nel contrasto alle agromafie, il rapporto evidenzia che il fenomeno è ancora largamente sottovalutato in altri paesi europei. Le agromafie italiane possono operare più tranquillamente all'interno del mercato unico europeo, sfruttando le differenze nelle normative e nei livelli di sorveglianza tra i vari stati membri. Prodotti contraffatti o ottenuti attraverso sfruttamento possono circolare più facilmente al di fuori dell'Italia, mettendo a rischio la sicurezza alimentare e la concorrenza leale a livello europeo. La mancanza di una risposta coordinata a livello UE rende più difficile contrastare le agromafie che operano su larga scala.

Le implicazioni internazionali portano alla forte richiesta di un maggiore coordinamento tra i paesi e l'armonizzazione delle normative per affrontare efficacemente le agromafie.
Coldiretti, insieme ad altre organizzazioni, sta cercando di portare l'attenzione della Commissione Europea sul tema. L'obiettivo è promuovere accordi internazionali basati sul principio di reciprocità. Questo principio implicherebbe che i prodotti che entrano nel mercato europeo, e nello specifico italiano, debbano rispettare gli stessi standard di sostenibilità ambientale, economica e sociale in vigore nell'UE. Un esempio specifico menzionato è la richiesta all'UE di limitare il commercio di prodotti che sfruttano la manodopera minorile, un chiaro esempio di come le problematiche interne si estendano a livello globale e richiedano una risposta coordinata.
I Carabinieri svolgono un ruolo fondamentale nel contrasto al fenomeno delle agromafie in Italia. Il Comando dell' #ArmadeiCarabinieri specificamente dedicato a questi tipi di reati e alla tutela del settore agroalimentare è il Comando delle Unità forestali, ambientali e agroalimentari dei Carabinieri (#CUFA), il cui comandante, Generale Parrulli, è a sinistra nella foto sopra.

Le implicazioni internazionali delle agromafie non si limitano all'esportazione di prodotti contraffatti, ma includono l'esportazione di modelli criminali, la creazione di sofisticate reti transnazionali per lo sfruttamento della manodopera e la necessità di una risposta collaborativa a livello europeo e mondiale data la sottovalutazione del fenomeno in molti paesi.

Il Rapporto è reperibile qui eurispes.eu/wp-content/uploads…

#FondazioneOsservatoriosullacriminalitàsullagricolturaesulsistemaagroalimentare

@Notizie dall'Italia e dal mondo

The B&W Nautalis is, depending who you ask, either infamous or an icon of modern design. Want the look but don’t have a hundred grand to spare? [Every Project All at Once] has got aNautalis-inspired design on printables you can run off for pennies. He also provides a tutorial video (embedded below) so you can follow along with his design process and get build instructions.

The model was done in Blender, and is designed to contain a 3.5″ full-range driver by Dayton Audio — a considerable simplification from the array of woofers and tweeters in the original Nautalis. On the other hand, they cost considerably less than a car and have no production wait list. [Every Project All At Once] is apparently working on a matching woofer if that interests you, but unless he invests in a bigger printer it seems we can safely say that would require more assembly than this project.

Of course it would also be possible to copy B&W’s design directly, rather than print a loose inspiration of it as makers such as [Every Project All At Once] have done, but what’s the fun in that? It’s a much more interesting hack to take an idea and make it your own, as was done here, and then you can share the design without worrying about a luxury brand’s legal team.

Desktop 3D printing offers a wealth of possibilities for would-be speaker makers, including the possibility ofrolling your own drivers.

youtube.com/embed/xNANfZlagAw?…

hackaday.com/2025/05/24/who-ne…

The M.2 slot is usually used for solid-state storage devices. However, [bitluni] had another fun idea for how to use the interface. He built an M.2 compatible LED matrix that adds a little light to your motherboard.

[bitluni] built a web tool for sending images to the matrix.[bitluni] noted that the M.2 interface is remarkably flexible, able to offer everything from SATA connections to USB, PCI Express, and more. For this project, he elected to rely on PCI Express communication, using a WCH CH382 chip to translate from that interface to regular old serial communication.

He then hooked up the serial interface to a CH32V208 microcontroller, which was tasked with driving a 12×20 monochrome LED matrix. Even better, he was even able to set the microcontroller up to make it programmable upon first plugging it into a machine, thanks to its bootloader supporting serial programming out of the box. Some teething issues required rework and modification, but soon enough, [bitluni] had the LEDs blinking with the best of them. He then built a web-based drawing tool that could send artwork over serial direct to the matrix.

While most of us are using our M.2 slots for more traditional devices, it’s neat to see this build leverage them for another use. We could imagine displays like this becoming a neat little add-on to a blingy computer build for those with a slot or two to spare. Meanwhile, if you want to learn more about M.2, we’ve dived into the topic before.

youtube.com/embed/yxVQkL01FD4?…

hackaday.com/2025/05/24/led-ma…

Dal 21 al 24 maggio si è tenuta a Mosca, nell’ambito del cyber festival Positive Hack Days di Luzhniki, la Capture The Flag internazionale Standoff 15.

Alla più grande competizione sulla sicurezza informatica parteciperanno oltre 40 squadre di attacco e difesa provenienti da 15 paesi, tra cui Europa, CSI, Asia sud-orientale e Medio Oriente. Dopo la battaglia, le squadre più forti in attacco (red team) si divideranno un montepremi di 50.000 dollari. I team in difesa (Blue Team) analizzeranno gli attacchi degli hacker e proteggeranno le infrastrutture digitali per poi mettere a frutto l’esperienza acquisita in condizioni reali.

Il cyber festival si svolge con il supporto del Ministero dello sviluppo digitale della Federazione Russa. Il governo di Mosca è il partner strategico dell’evento. Forniscono supporto anche il Complesso per lo sviluppo sociale, il Dipartimento delle tecnologie dell’informazione e il Dipartimento per l’imprenditorialità e lo sviluppo innovativo della capitale.

I partecipanti alla battaglia informatica dovranno attaccare e difendere uno stato virtuale, la cui infrastruttura comprende sette settori: metallurgia, energia, petrolio e gas, settore bancario, ambiente urbano, aviazione e logistica. Ogni segmento sarà rappresentato da un modello fisico e da un sistema di visualizzazione delle conseguenze degli attacchi: ad esempio, gli spettatori potranno vedere il crash di un’applicazione bancaria, un’interruzione di corrente, ritardi di un volo o lo spegnimento di una turbina in una centrale termoelettrica.

Quest’anno, l’infrastruttura dei settori energetico e petrolifero è stata integrata con domini Linux sostituiti da quelli importati e le soluzioni di acquisizione nazionali del Fast Payment System, nonché una piattaforma di autenticazione mobile e di firma elettronica, sono state integrate nel settore bancario. In totale, il modello digitale dello Stato comprende più di 600 unità tra software, attrezzature e dispositivi.

Le squadre attaccanti testeranno oltre 120 scenari di eventi critici. Avranno a disposizione tecniche per aggirare l’autenticazione a due fattori (TOTP/2FA), aggirare la Content Security Policy, il DNS Cache Deception, sfruttare i buffer overflow e le vulnerabilità di deserializzazione nella libreria Pickle Python. I punti verranno assegnati in base alla difficoltà degli attacchi eseguiti.

Le squadre blu opereranno secondo due modalità: indagine e risposta. Nel primo caso, registrano e analizzano gli incidenti; nel secondo, prevengono e respingono attivamente gli attacchi. Alla competizione parteciperanno squadre provenienti da Francia, Italia, Germania, Polonia, Serbia, Russia, Kazakistan, Uzbekistan, Armenia, Indonesia, Thailandia, Vietnam, Tunisia, Oman ed Emirati Arabi Uniti.

Più di 30 squadre giocheranno nella parte offensiva, alcune delle quali hanno superato il turno di qualificazione di aprile, mentre altre hanno ricevuto inviti in base ai risultati delle precedenti battaglie Standoff e dei giochi internazionali sulla sicurezza informatica. Sono stati invitati anche 10 team di penetration testing professionisti, tra cui alcuni provenienti dal Sud-Est asiatico, nell’ambito della quota estera.

I difensori saranno rappresentati da 13 squadre. La valutazione sarà affidata ad esperti del team Standoff e del team ESC, che monitoreranno il rispetto delle regole e controlleranno i resoconti di entrambe le parti.

L'articolo Capture The Flag: il Terreno Per Le Esercitazioni dei nuovi Guerrieri Cyber proviene da il blog della sicurezza informatica.

Oggi si parla tanto di sovranità tecnologica.

L’Europa stessa che si è ingolfata a forza di regole e burocrazie e che di conseguenza viene derisa da mezzo mondo per volersi arrampicare sul tavolo dei grandi appoggiandosi sull’equivalente di elenchi telefonici pieni di direttive e regolamenti che cercano di parlare di tecnologia.

Ovviamente cercano, perché oltre al telefax chi ha scritto quella roba non c’è mai andato e al massimo s’è visto un tutorial o s’è letto un 4dummies.

Ti stanno vendendo la carta delle caramelle.

Quando ti vogliono vendere la sovranità tecnologica europea, o peggio nazionale, ti stanno cercando di vendere la carta delle caramelle. Non la caramella.

Quella se la sono ciucciata tutta insieme ai tavoli di esperti e consulenti vari, quindi al massimo ti trovi un po’ di sapore sulla carta sbavata se ti dice bene. Se pensi che ci possa essere indipendenza o sovranità solo perché vedi scritto su un disclaimer o un’etichette “made in EU” allora sei parte del problema.

Non ti preoccupare, però, perché sei la risorsa che tutti desiderano: l’utonto che compra e non si fa nessuna domanda.

C’è il software sovrano. O no?

Certo che esiste un software sovrano!

Finché non lo compili sul tuo portatile staccato da internet e lo tieni chiuso in una chiavetta sotto vuoto nel congelatore. Poi però succede che vuoi farci qualcosa — tipo farlo girare — e lì cominciano le risate.

Perché quel software, per quanto bello e “Made in EU” lo vogliano spacciare, si appoggia a una galassia di librerie, dipendenze, pacchetti, moduli e incantesimi vari, di cui almeno l’80% proviene da ovunque tranne che dall’Europa. E spesso da gente che magari oggi lavora per il bene comune, e domani ci infila una backdoor dentro.

Sì, parliamo proprio di quella supply chain del software, quel castello di carte globalizzato dove se un maintainer in Nebraska ha mal di pancia, il tuo gestionale in Friuli smette di fare le fatture.

E la Sovranità? Forse del sogno.

Perché quando il tuo codice europeo dipende da uno JavaScript coreano che usa un parser russo che fa una chiamata API verso una CDN cinese, chi controlla davvero cosa gira dove?

Ma dai, non è difficile da capire: te la stanno vendendo di nuovo, quella carta delle caramelle. Solo che stavolta c’è stampato sopra “Open Source” e “autonomia”, così suona più etico mentre ti ci asciughi le lacrime post-breach. Siamo oltre la paper compliance e la pdf compliance.

Oramai si fa compliance a botte di Canva e pptx.

C’è anche l’hardware sovrano. Certo, nei sogni bagnati di Bruxelles.

Ah, l’hardware sovrano! Quel miraggio dove l’Europa si immagina a produrre CPU da battaglia in stabilimenti puliti come le coscienze dei politici. Peccato che la realtà sia più sporca: non abbiamo né le fab (quelle vere, non le slide), né le fonderie avanzate, né tantomeno la filiera per trattare le materie prime necessarie a tirar fuori un chip moderno. Sai, quei cosini minuscoli da 3 nanometri che fanno girare il mondo? Quelli li fanno negli USA e a Taiwan.

In pratica, qui da noi mancano proprio le fondamenta: dalla raffinazione dei materiali al packaging del prodotto finito. Una CPU non si stampa con la buona volontà e un finanziamento Horizon. E mentre sogniamo di “recuperare sovranità”, ci ritroviamo a comprare chip progettati in California, prodotti a Hsinchu, impacchettati in Malesia e spediti su server connessi via infrastrutture gestite da multinazionali che mangiano normative europee a colazione. Ma vai tranquillo, abbiamo il GDPR — almeno i tuoi dati saranno ben protetti mentre il tuo hardware si spegne da solo perché un driver firmato a Shenzhen ha deciso così.

Ma vuoi mettere quanto è green questa fregatura?

E qui arriva il colpo di teatro: il greenwashing. Perché se proprio non puoi fare la rivoluzione, almeno piantaci sopra due alberi o falli piantare a qualcuno, sia mai che ti sporchi le mani tu, e chiamala “sostenibile”. L’Europa ha un debole per queste scenette: il chip sovrano magari non esiste, ma il documento PDF che ne certifica l’eco-compatibilità sì.

Che importa se la sabbia di silicio l’hai dovuta estrarre in Africa, raffinare in Cina e lavorare in un impianto alimentato a carbone — l’importante è che l’etichetta sia climate neutral e stampata con inchiostro di soia.

Tanto alla fine, l’unica cosa veramente a impatto zero è la nostra influenza nel settore. Quella sì che non lascia tracce.

Vogliamo parlare anche dei diritti dei lavoratori impiegati nell’estrazione delle materie prime? Meglio di no, dai. Ignoriamolo, quel punto. Ah, quant’è bella l’etica fatta a botte di cherry picking!

Non prendiamoci in giro.

Quando non hai le carte in mano e ti sei seduto al tavolo di gioco non è che ti puoi lamentare se non vinci. Soprattutto se scegli di continuare pensando che le tue carte valgono tantissimo perché le hai in mano tu. Prima o poi arriva un punto in cui concepisci che i semi sono quelli e il numerino in alto a destra non è che puoi “interpretarlo” ecco che ti arriva la doccia di realtà.

Che ha fatto l’UE a parte cercare di far regole su una tecnologia che non controlla e né può controllare sperando che qualcuno scopra il bluff. Grande strategia, non c’è che dire. Tutta basata sul gimmick.

Peccato che non fa i conti con la realtà. Sì, proprio quella roba brutta che prima o poi qualcuno penserà di mettere fuori legge perché troppo antieuropeista.

E quindi?

L’EU non ha ben chiaro quali sono le capacità all’interno del suo territorio.

Persino ora dove la nostra “sovranità tecnologica” è pari a zero, non siamo stati in grado di investire e creare qualcosa di “nostro”. Muoverci verso questo assurdo obiettivo vuol dire ripartire (se va bene) dagli anni ‘90 rimanendo indietro rispetto agli altri paesi dove R&D e’ il fulcro della loro economia. In Europa abbiamo una concezione strana dello sviluppo tecnologico, invece di muoverci verso l’innovazione vogliamo ripartire da capo creando router, software e cloud “made-in-EU” mentre gli altri player globali sviluppano nuove tecnologie per la sicurezza informatica e in ambito AI.

Sarà inutile (oltre che uno spreco) costruire nuove architetture senza la conoscenza su cosa crearci sopra. Un piano certamente ambizioso ma in ritardo rispetto al resto del mondo e soprattutto senza una idea chiara di dove e come muoversi.

La giusta sovranità tecnologica deve essere una abilità che deve essere coltivata in un territorio fertile. L’EU invece di fertilizzare il suo territorio decide di forzare la crescita delle radici in un terreno poco fertile e di difficile movimento grazie alle eccessive legislazioni e regolamenti.

Forzare la sovranità tecnologica rischia di favorire soluzioni solo perché sviluppate dai ‘buoni’, trascurando tecnologie potenzialmente superiori. Questo approccio può portare ad auto-limitazioni nella produzione e nei servizi disponibili, sollevando dubbi etici sulla libertà di scelta: è davvero giusto decidere per gli altri cosa possono o non possono usare?

Se l’obiettivo è davvero una sovranità efficace, allora è necessario snellire l’intero apparato normativo e puntare sulla varietà come vero punto di forza.

F-Norm Society… preparati alla prossima doccia fredda di sana realtà.

L'articolo Europa: La Sovranità tecnologica a colpi di PowerPoint e regolamenti e carta delle caramelle proviene da il blog della sicurezza informatica.

Domenica 25 alle 17, alla Sala Cinema del Palazzo delle Esposizioni di Roma, sotto la conduzione di Arnaldo Colasanti si terrà la cerimonia di premiazione della decima edizione del Premio di poesia intitolato a Elio Pagliarani. Il premio alla carriera è stato assegnato quest’anno ad Antonella Anedda, e - come nelle precedenti edizioni - consiste dell’opera di un artista contemporaneo: in questa occasione un 'Amuleto' di Claudia Losi. La premiazione sarà preceduta dalle 10 alle 13 dal seminario Elio Pagliarani bibliofilo, condotto da Giuseppe Andrea Liberti, e dalle 15 alle 17 dal dibattito Dieci anni di premiati, con la conduzione di Andrea Cortellessa. Del quale si offre ai lettori di «Antinomie» la motivazione del premio ad Antonella Anedda: antinomie.it/index.php/2025/05…

tutte le informazioni sulla Giornata Pagliarani e sul premio
qui: slowforward.net/2025/05/19/25-…

e qui: slowforward.net/2025/05/20/25-…

Le stalle, le stelle - Andrea Cortellessa

«Vorrei disfarmi dell’io è la moda che prescrive la critica / ma la povertà è tale che possiedo solo un pronome», dice Anedda in "Historiae", con l’ironia tipica del suo “stile tardo”; per poi paragonare quell’«io» a un mero contenitore, «una busta c…

^{Andrea Cortellessa (Antinomie)}