Il ricercatore di sicurezza Egidio Romano, noto anche come EgiX, ha recentemente pubblicato un’analisi approfondita su un exploit che colpisce le piattaforme vBulletin 5.x e 6.x, sfruttando una combinazione di due vulnerabilità (note come N-day): una novità introdotta in PHP 8.1+ relativa alla reflection API e una falla preesistente nel motore dei template di vBulletin.

L’attacco permette l’esecuzione di codice arbitrario da remoto (RCE) senza autenticazione.

L’origine dell’exploit: due vulnerabilità concatenate

L’exploit descritto da Romano si basa sull’interazione tra due distinte vulnerabilità:

1. Invocazione di metodi protected tramite Reflection su PHP 8.1+
   Con PHP 8.1, è possibile invocare metodi protetti e privati usando ad es. ReflectionMethod::invoke() senza dover richiamare esplicitamente setAccessible(true). In vBulletin, questa possibilità si traduce in un problema critico, poiché il framework API della piattaforma non implementa controlli adeguati sulla visibilità dei metodi.
2. RCE attraverso “template injection” nel motore di rendering di vBulletin
   Il motore di template di vBulletin consente di creare interfacce dinamiche, dove il contenuto HTML può includere segnaposto o variabili che vengono valutate al volo prima della visualizzazione. Tuttavia, se non adeguatamente filtrati, questi template possono diventare un vettore di attacco.

Nel contesto dell’exploit analizzato da Egidio Romano (EgiX), la template injection consiste nel far sì che un contenuto controllato dall’utente venga inserito direttamente all’interno di un template e interpretato dal parser come codice da eseguire, invece che come semplice testo.

Dimostrazione tecnica: una doppia leva per ottenere RCE

Nel suo articolo, Romano dimostra come un attaccante possa sfruttare il routing dinamico delle API di vBulletin per invocare un metodo protected, nella fattispecie vB_Api_Ad::replaceAdTemplate(), normalmente inaccessibile. Questo metodo consente di creare un nuovo template.

Il passo successivo è sfruttare la vulnerabilità nel motore di template, facendo sì che i dati iniettati vengano interpretati come codice PHP. In questo modo, l’attaccante ottiene un’esecuzione remota di codice (RCE) sulla macchina che ospita vBulletin.

Riflessioni e considerazioni sulla sicurezza

Il lavoro di Egidio Romano evidenzia l’importanza di considerare l’impatto cumulativo delle vulnerabilità, specialmente quando si aggiornano componenti critici come il motore PHP. L’apparente innocua modifica al comportamento della reflection API in PHP 8.1 si è trasformata in una leva per accedere a metodi sensibili in vBulletin. Se a ciò si aggiunge l’esistenza di vecchie vulnerabilità non completamente mitigate nel sistema di template, si ottiene un vettore di attacco altamente efficace.

Romano invita gli sviluppatori di CMS e framework PHP a non affidarsi alla sola visibilità dei metodi (public, protected, private) come meccanismo di sicurezza, ma a introdurre controlli espliciti sulle autorizzazioni e sull’origine delle richieste.

Approfondimento

L’articolo completo con dettagli tecnici, codice PoC e analisi approfondita è disponibile sul blog ufficiale di EgiX: Don’t Call That ‘Protected’ Method: Dissecting an N-Day vBulletin RCE

L'articolo RCE su vBulletin 5.x e 6.x sfruttando PHP 8.1: il nuovo exploit spiegato da EgiX proviene da il blog della sicurezza informatica.

Part of the charm of having a cat in your life is that by their nature these animals are very interactive. They will tell you in no uncertain terms when something in their lives needs attention, for example when their water dish is empty. But why not give them a drinking fountain all of their own? It’s what [supermarioprof] did for their adorable ginger cat [Piki Piki], providing a cat-operated trickle of water on demand.

It’s a simple enough device in its operation, but very well constructed. There’s a small basin with a train, and a water cistern valve operated by the cat placing a paw on a lever. This starts a trickle of water, from which they can lap as much as they like.

The physical construction comes courtesy of some laser-cut ply, and what looks like some 3D print work. It’s certainly easy to operate for the cat, and has worked reliably for a few years now.

This project is part of the 2025 Pet Hacks contest, so expect to see more in the same vein. If your cat’s life is improved by one of your projects, consider making an entry yourself!

hackaday.com/2025/05/25/2025-p…

È stato pubblicato un proof-of-concept (PoC) dettagliato per la vulnerabilità zero-day critica che colpisce diversi prodotti Fortinet, mentre gli autori della minaccia continuano a sfruttarla attivamente.

La vulnerabilità è un buffer overflow basato sullo stack nell’API amministrativa che consente ad aggressori remoti non autenticati di eseguire codice arbitrario tramite richieste HTTP appositamente predisposte.

Fortinet ha confermato che gli autori della minaccia hanno sfruttato attivamente questa vulnerabilità, prendendo di mira in modo specifico i sistemi di comunicazione unificata FortiVoice.

La falla interessa cinque importanti linee di prodotti Fortinet: FortiVoice, FortiMail, FortiNDR, FortiRecorder e FortiCamera in più versioni.

Il bug monitorato dal CVE-2025-32756, rappresenta un rischio significativo per la sicurezza, con un punteggio CVSS di 9,6 su 10.

Un’analisi tecnica dettagliata pubblicata dai ricercatori di sicurezza di Horizon3 rivela che la vulnerabilità deriva da un controllo dei limiti improprio durante l’elaborazione dei valori APSCOOKIE nella funzione cookieval_unwrap() all’interno della libreria libhttputil.so.

I ricercatori hanno scoperto che mentre le versioni patchate includono controlli delle dimensioni che limitano i valori AuthHash, le versioni vulnerabili consentono agli aggressori di far traboccare un buffer di output di 16 byte e sovrascrivere i valori critici dello stack, incluso l’indirizzo di ritorno.

Il Product Security Team dell’azienda ha scoperto lo sfruttamento attraverso l’attività di minaccia osservata, che comprendeva la scansione della rete, la raccolta delle credenziali e la manipolazione dei file di registro.

Secondo gli indicatori di compromissione (IoC) di Fortinet, gli aggressori sono stati osservati mentre eseguivano scansioni di rete dei dispositivi, cancellavano i log dei crash di sistema e attivavano il “debug fcgi” per catturare i tentativi di autenticazione, inclusi gli accessi SSH. Gli autori della minaccia hanno anche distribuito malware e creato cron job per il furto continuo di credenziali.

La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha aggiunto la vulnerabilità CVE-2025-32756 al suo catalogo delle vulnerabilità note sfruttate (KEV) il 14 maggio 2025, appena un giorno dopo la segnalazione iniziale di Fortinet. Questa designazione impone alle agenzie federali di porre rimedio alla vulnerabilità entro il 4 giugno 2025, evidenziando l’urgenza della minaccia.

L'articolo Il PoC per l’RCE critica di Fortinet è Online. Aggiorna subito, Attacchi attivi. proviene da il blog della sicurezza informatica.

Il sistema di sicurezza informatica degli Stati Uniti si trova ora ad affrontare una doppia minaccia: la crescente attività dei criminali informatici e i massicci tagli al personale federale. Michael Daniel, ex consigliere della Casa Bianca, mette in guardia dalle conseguenze catastrofiche derivanti dalla mancanza di finanziamenti per la protezione delle infrastrutture critiche. Nel frattempo, l’amministrazione Trump continua a tagliare spietatamente il bilancio, il che, secondo gli analisti, potrebbe paralizzare completamente la capacità del Paese di resistere agli attacchi digitali.

Daniel è a capo della Cyber ​​Threat Alliance, un’organizzazione no-profit che condivide informazioni sui rischi digitali. Dal 2012 al 2017 è stato assistente speciale del presidente Obama e coordinatore per la sicurezza informatica del Consiglio per la sicurezza nazionale. La sua esperienza comprende lo sviluppo di strategie di difesa contro attacchi informatici statali e criminali ai massimi livelli di governo.

L’esperto riconosce la Cina come l’avversario più pericoloso degli Stati Uniti, superando persino le capacità russe nel campo dello spionaggio digitale. Tuttavia, la portata degli interessi nazionali americani richiede la capacità di affrontare più avversari contemporaneamente. Gli interessi economici, la salute pubblica e la sicurezza nazionale creano un’ampia gamma di vulnerabilità che richiedono una protezione completa.

L’errore strategico è che i regolatori si concentrano esclusivamente sugli attori statali, ignorando i gruppi criminali. Ad esempio, l’Iran e la Corea del Nord continuerebbero a rappresentare una seria minaccia per gli interessi americani nel cyberspazio. Parallelamente, esistono decine di gruppi criminali organizzati specializzati in attacchi digitali contro il settore privato e le agenzie governative.

Negli Stati Uniti le aziende tradizionali devono affrontare sfide fondamentalmente diverse rispetto alle agenzie governative. Le aziende manifatturiere e le catene di vendita al dettaglio stanno diventando obiettivi primari per i criminali informatici che utilizzano ransomware e schemi di compromissione delle e-mail aziendali. Per i criminali, tali attacchi generano miliardi di dollari di fatturato annuo con un rischio relativamente basso di essere perseguiti penalmente.

Le aziende tecnologiche sono ulteriormente soggette a furti di proprietà intellettuale da parte delle agenzie di intelligence cinesi. Gli hacker governativi rubano sistematicamente segreti commerciali, dati di ricerca e sviluppi innovativi per trasferirli ai produttori nazionali. Tuttavia, ancora una volta, per la maggior parte delle organizzazioni americane, le attività criminali superano di gran lunga le minacce governative.

La motivazione finanziaria alla base dei reati informatici crea un ecosistema in cui gli attacchi riusciti vengono immediatamente replicati e migliorati. Il ransomware si è evoluto da semplici programmi di blocco dello schermo a complesse operazioni di doppia estorsione in più fasi. I criminali non si limitano a crittografare i dati delle vittime, ma rubano anche informazioni riservate per esercitare ulteriore pressione su di loro.

La Cybersecurity and Infrastructure Protection Agency perderà 491 milioni di dollari di finanziamenti, con una riduzione del 17% rispetto al suo bilancio attuale. E tutto questo sullo sfondo di un aumento esponenziale della complessità e della frequenza degli attacchi digitali.

I 16 settori infrastrutturali critici degli Stati Uniti sono coordinati da agenzie specializzate nella gestione del rischio. I settori dell’energia, dei trasporti, dell’assistenza sanitaria e dei servizi finanziari richiedono un monitoraggio continuo dei rischi e una rapida risposta agli incidenti. Queste agenzie operano sotto l’egida della CISA e soffrivano già di carenze di personale informatico prima dell’inizio degli attuali tagli.

Il numero esatto dei dipendenti licenziati rimane un segreto di Stato, poiché il Dipartimento della Sicurezza Interna si rifiuta di fornire statistiche. È chiaro che la segretezza ostacola il controllo parlamentare e la valutazione dei danni alla sicurezza nazionale.

Tradizionalmente il governo federale ha avuto difficoltà ad attrarre professionisti del settore informatico a causa degli stipendi non competitivi rispetto al settore privato. La domanda di esperti in sicurezza informatica è in crescita in tutti i settori dell’economia, il che determina una grave carenza di personale qualificato.

In linea con le priorità della nuova amministrazione, il Dipartimento di Giustizia e il Dipartimento per la Sicurezza Interna stanno spostando le risorse dalla sicurezza delle reti alla sicurezza delle frontiere. Questa ridistribuzione del potere riduce l’assistenza alle aziende che hanno subito attacchi ransomware e altre intrusioni motivate da motivi finanziari. Per riprendersi dagli incidenti informatici è necessario un coordinamento tra il settore privato e le agenzie federali.

Gli ospedali regionali, gli istituti scolastici e gli enti locali non hanno le risorse per assumere consulenti d’élite come Mandiant o CrowdStrike. Il costo dei loro servizi può superare i budget IT annuali delle piccole organizzazioni. È ovvio che l’assistenza statale è l’unico modo per rafforzare la difesa.

Le reti degli ospedali rurali sono particolarmente vulnerabili al ransomware a causa delle apparecchiature obsolete e del personale IT limitato. Gli attacchi alle strutture sanitarie minacciano direttamente la vita dei pazienti che necessitano di cure d’urgenza. Ripristinare la funzionalità dei sistemi critici dopo la crittografia dei dati può richiedere diverse settimane.

Daniel ritiene che questa politica sia fondamentalmente sbagliata. “Le autorità federali devono aumentare i budget destinati alla sicurezza informatica e al personale, e devono anche fornire maggiore assistenza alle aziende per proteggersi dalle minacce digitali in continua crescita”, sottolinea l’esperto. L’investimento è pienamente giustificato, poiché previene perdite economiche su larga scala. Ancora una volta, la capacità del governo federale di supportare i settori vulnerabili nella lotta alla criminalità informatica organizzata è una questione di interesse nazionale.

L'articolo E’ Cyber-caos negli USA! I tagli ai fondi mettono in ginocchio la Sicurezza Nazionale proviene da il blog della sicurezza informatica.

Today from the team at Cesanta Software — the people who gave us the open-source Mongoose Web Server Library and Mongoose OS — we have an article covering how to build an STM32 web dashboard.

The article runs through setting up a development environment; creating the dashboard layout; implementing the dashboard, devices settings, and firmware update pages; building and testing the firmware; attaching UI controls to the hardware; and conclusion.

The web dashboard is all well and good, but in our opinion the killer feature remains the Over-The-Air (OTA) update facility which allows for authenticated wireless firmware updates via the web dashboard. The rest is just gravy. In the video you get to see how to use your development tools to create a firmware file suitable for OTA update.

If you’re thinking this all looks a little familiar, that’s because we recently wrote about their web dashboard for the ESP32. This is the same again but emphasizing the STM32 support this time around. We originally heard about the Mongoose technology line all the way back in 2017!

Thanks to [Toly] for letting us know about this new howto.

youtube.com/embed/PEPDJGVW78s?…

hackaday.com/2025/05/25/how-to…

Have you heard that author Andy Weir has a new book coming out? Very exciting, we know, and according to a syndicated reading list for Summer 2025, it’s called The Last Algorithm, and it’s a tale of a programmer who discovers a dark and dangerous secret about artificial intelligence. If that seems a little out of sync with his usual space-hacking fare such as The Martian and Project Hail Mary, that’s because the book doesn’t exist, and neither do most of the other books on the list.

The list was published in a 64-page supplement that ran in major US newspapers like the Chicago Sun-Times and the Philadelphia Inquirer. The feature listed fifteen must-read books, only five of which exist, and it’s no surprise that AI is to behind the muck-up. Writer Marco Buscaglia took the blame, saying that he used an LLM to produce the list without checking the results. Nobody else in the editorial chain appears to have reviewed the list either, resulting in the hallucination getting published. Readers are understandably upset about this, but for our part, we’re just bummed that Andy doesn’t have a new book coming out.

In equally exciting but ultimately fake news, we had more than a few stories pop up in our feed about NASA’s recent discovery of urban lights on an exoplanet. AI isn’t to blame for this one, though, at least not directly. Ironically, the rumor started with a TikTok video debunking a claim of city lights on a distant planet. Social media did what social media does, though, sharing only the parts that summarized the false claim and turning a debunking into a bunking. This is why we can’t have nice things.

That wasn’t the only story about distant lights, though, with this report of unexplained signals from two nearby stars. This one is far more believable, coming as it does from retired JPL scientist Richard H. Stanton, who has been using a 30″ telescope to systematically search for optical SETI signals for the past few years. These searches led to seeing two rapid pulses of light from HD 89389, an F-type star located in the constellation Ursa Major. The star rapidly brightened, dimmed, brightened again, then returned to baseline over a fraction of second; the same pattern repeated itself about 4.4 seconds later.

Intrigued, he looked back through his observations and found a similar event from a different star, HD 217014 in Pegasus, four years previously. Interestingly, this G-type star is known to have at least one exoplanet. Stanton made the first observation in 2023, and he’s spent much of the last two years ruling out things like meteor flashes or birds passing through his field of view. More study is needed to figure out what this means, and while it’s clearly not aliens, it’s fun to imagine it could be some kind of technosignature.

And one last space story, this time with the first observation of extra-solar ice. The discovery comes from the James Webb Space Telescope, which caught the telltale signature of ice crystals in a debris ring circling HD 181327, a very young star only 155 light-years away. Water vapor had been detected plenty of times outside our solar system, but not actual ice crystals until now. The ice crystals seem to be coming from collisions between icy bodies in the debris field, an observation that has interesting implications for planetary evolution.

And finally, if like us you’re impressed anytime someone busts out a project with a six-layer PCB design, wait till you get a load of this 124-layer beast. The board comes from OKI Circuit Technologies and is intended for high-bandwidth memory for AI accelerators. The dielectric for each layer is only 125-μm thick, and the board is still only 7.6 mm thick overall. At $4,800 per square meter, it’s not likely we’ll see our friends at JLC PCB offering these anytime soon, but it’s still some pretty cool engineering.

hackaday.com/2025/05/25/hackad…

Here’s one for our astronomy geeks. Our hacker [arrow] has made their own observatory!

This particular video is a bit over ten minutes long and is basically a montage; there is no narration or explanation given, but you can watch clear progress being made and the ultimate success of the backyard facility.

Obviously the coolest thing about this building is that the roof can be moved, but those telescope mounts look pretty sexy too. About halfway through the video the concrete slab that was supporting one metal mounting pole gets torn up so that two replacements can be installed, thereby doubling the capacity of the observatory from one telescope to two.

If you’re an astronomy wonk you might enjoy some of [arrow]’s other videos. Maybe with their observatory [arrow] will solve the problem of dark matter. We’ve covered heaps of astronomy stuff here at Hackaday before including how to make your own telescope right down to the glass and the world’s highest altitude infrared telescope.

Thanks very much to [Joshua] for sending us this tip via the tips line.

youtube.com/embed/m5JCQTAKcvM?…

hackaday.com/2025/05/24/making…

Germany’s ability to ensure societal resilience has significantly declined in recent decades according to political scientist and PPI alternate board member Schoresch Davoodi. In a working paper, he warns that political complacency and socio-economic mismanagement expose the country to multifaceted vulnerabilities.

Germany celebrated the stability of the 1990s and early 2000s without preparing for the disruptive forces of digital transformation, globalization, and geopolitical shifts. The nation’s overdependence on exports, Chinese markets, and Russian energy, coupled with a slow digital transition, creates strategic weaknesses. Neglecting critical infrastructure, particularly information technology and public services, renders Germany susceptible to cyberattacks and external shocks.

Davoodi also highlights growing domestic inequality, social fragmentation, and political alienation, particularly among low-income communities. Urban gentrification, rising debt, and unequal access to education fuel this divide, threatening social cohesion. He warns that, if left unaddressed, these tensions could destabilize German democracy, echoing the unrest seen in other European nations.

He critiques Germany’s media landscape for lacking social diversity, resulting in biased narratives and underrepresentation of disadvantaged voices. Moreover, he stresses the need for structural reforms, such as inclusive education, fair media practices, and new civic platforms to rebuild trust and solidarity across classes.

Political complacency and socio-economic mismanagement expose the country to multifaceted vulnerabilities. Artificial intelligence will not protect Germany. Our society must first fix itself with domestic support programs. Will Germany seize this warning as its moment to reform or risk repeating the mistakes of its past?

pp-international.net/2025/05/r…

The MP3 file type has been around for so long, and is supported by essentially all modern media software and hardware, that it might be surprising to some to learn that it’s actually a proprietary format. Developed in the late 80s and early 90s, it rose to prominence during the Napster/Limewire era of the early 00s and became the de facto standard for digital music, but not all computers in these eras could play this filetype. This includes the Amigas of the early 90s, with one rare exception: this unreleased successor to the A3000 with a DSP chip, which now also has the software to play back these digital tunes.

The AA3000, developed as a prototype by Amiga, was never released to the general public. Unlike the original A3000 this one would have included a digital signal processing chip from AT&T called the DSP3210 which would have greatly enhanced its audio capabilities. A few prototype boards did make it out into the hands of the public, and the retrocomputing scene has used them to develop replicas of these rare machines. [Wrangler] used one to then develop the software needed for the MPEG layer 2 and 3 decoder using this extra hardware, since the original Amiga 3000 was not powerful enough on its own to play these files back.

If you want to follow along with the community still developing for this platform there’s a form post with some more detail for this specific build (although you may need to translate from German). [Wrangler] additionally points out that there are some limitations with this implementation as well, so you likely won’t get Winamp-level performance with this system, but for the Amiga fans out there it’s an excellent expansion of this computer’s capabilities nonetheless.

Thanks to [Andy] for the tip!

youtube.com/embed/c-erJnN3BcQ?…

hackaday.com/2025/05/25/unrele…

John Young, architetto newyorkese e attivista per la libertà d’informazione, è morto all’età di 87 anni.

È stato il fondatore di Cryptome, una piattaforma che ha anticipato i tempi in materia di divulgazione di documenti governativi riservati, molto prima che emergessero WikiLeaks o il caso Snowden. Dal 1996, Cryptome ha pubblicato migliaia di documenti, spesso imbarazzanti per governi e agenzie di intelligence, riguardanti sorveglianza, sicurezza nazionale e diritti civili.

Nato nel 1937, Young ha lavorato come architetto nella città di New York, ma ha trovato la sua vocazione nel combattere l’opacità governativa. Con una posizione netta contro il segreto di Stato, ha utilizzato la sua piattaforma come strumento per rompere i silenzi istituzionali. Il sito è rimasto online per oltre 25 anni, aggiornato con costanza quasi maniacale, ed è considerato un antesignano dell’attivismo informatico.

Con un approccio minimalista e privo di fronzoli, Cryptome è diventato un punto di riferimento per ricercatori, giornalisti e attivisti. Young ha spesso sfidato autorità e limiti legali, pubblicando documenti che molti consideravano troppo rischiosi da diffondere. A differenza di altri progetti simili, non ha mai chiesto donazioni né venduto merchandising, sostenendo le sue attività con mezzi propri e mantenendo una linea editoriale indipendente e radicalmente libera.

L’approccio di Young ha influenzato una generazione di informatori e attivisti digitali. Mentre altre piattaforme sono finite sotto pressione legale o mediatica, lui ha mantenuto una presenza discreta ma costante, pubblicando contenuti esplosivi senza cercare visibilità personale. Anche dopo il declino dell’attività editoriale negli ultimi anni, Cryptome è rimasto consultabile online come archivio di verità scomode.

La scomparsa di John Young segna la fine di un’epoca. È stato una figura enigmatica e inflessibile, animata da una visione radicale della trasparenza.

Con la sua opera ha sfidato il potere istituzionale e ha tracciato una via per la libertà dell’informazione in rete. La sua eredità resta viva nelle battaglie contemporanee per la trasparenza e la privacy digitale.

L'articolo Si è spento John Young. Fondatore di Cryptome e pioniere della Trasparenza Digitale proviene da il blog della sicurezza informatica.

Our next member meeting is today, Sunday, May 25th. We will start at 8pm and it will end by 9pm.

To participate:

• go to communitybridge.com/bbb-room/m…;
• enter your name;
• enter the access code listed on the page;
• click the Join button.

Summaries of the meetings and agendas are at our wiki. You can check out the 2025, 2024, 2023 and 2022 meeting recordings.

masspirates.org/blog/2025/05/2…

Although there was a time in the 80s (and early 90s for fans of the SuperScope) where light guns were immensely popular, with games like DuckHunt cultural touchstones, their time in the video game world has largely come to an end. We might occasionally pick up a Zapper for the NES and play this classic out of nostalgia, but plenty of people are looking for other things that these unique video game controllers can do instead. [Nick] has turned one of his old NES peripherals into a wireless phone.

The way the original Zapper worked was by looking for a certain pattern of pixels that displayed for a fraction of a second whenever the trigger was pulled. Bypassing the anti-cheat mechanism that looks only for qualities of light coming from CRT screens of the day effectively turns the light gun into an analog light sensor which is used for receiving the audio from the phone’s base station via a laser. Of course there were no microphones present within the original hardware so one is added, wiring its output to another laser that communicates to the base station. With the light gun pointed directly at this base station, audio is communicated back and forth by varying the strengths of these small lasers and listening to them on the other end with photodiodes.

[Nick] does point out that this isn’t a great phone, largely because it needs to be pointed exactly at the right spot to work at all, although we do agree that it’s an interesting project that demonstrates what the original hardware could do with a few of its limitations removed. There are a few other ways of bringing these devices into the modern world, with one of our favorites being this laser pointer with additional hardware from a Wiimote that could also function as a mouse.

youtube.com/embed/N6qzJRUytfU?…

hackaday.com/2025/05/25/nes-za…

Google ha dovuto affrontare un’ondata di condanne da parte di gruppi per i diritti umani e genitori preoccupati dopo il lancio di una nuova iniziativa: il suo chatbot basato sull’intelligenza artificiale Gemini è ora disponibile per i bambini sotto i 13 anni.

Le organizzazioni della società civile hanno già presentato un reclamo formale alla Federal Trade Commission (FTC) degli Stati Uniti, sostenendo che il programma viola le norme sulla privacy dei minori su Internet.

Nell’ambito del servizio per famiglie Family Link , i genitori hanno ricevuto email da Google che li informavano che i loro figli avrebbero potuto utilizzare Gemini per comunicare e completare i compiti, tra cui creare storie, canzoni e poesie. I bambini che hanno un account Google sotto controllo parentale possono ora interagire direttamente con l’intelligenza artificiale. In questo caso, i genitori verranno informati di questo fatto solo dopo che il bambino avrà iniziato a utilizzare il servizio e potranno decidere se disabilitarlo.

L’Electronic Privacy Information Center (EPIC) e Fairplay hanno duramente criticato questo approccio in una lettera alla FTC. Hanno affermato che Google ha consapevolmente aggirato l’obbligo di legge di ottenere il “consenso verificato dei genitori” prima di raccogliere e utilizzare i dati dei bambini. A loro avviso, la notifica tramite lettera ai genitori non sostituisce una procedura di consenso giuridicamente vincolante.

Inoltre, la lettera di Google riconosce che i bambini potrebbero essere esposti a contenuti inappropriati e che Gemini “potrebbe commettere errori”. Si incoraggiano i genitori a spiegare ai propri figli che non devono inserire informazioni personali o sensibili nella chat e a incoraggiarli a valutare criticamente le risposte che ricevono.

Il sito web dell’azienda contiene istruzioni su come disattivare l’accesso a Gemini, ma per impostazione predefinita la partecipazione al programma è abilitata automaticamente. Per escludere un bambino, i genitori devono adottare misure consapevoli, ovvero agire in base al principio del “rifiuto” piuttosto che del “consenso“.

Google ha rifiutato di commentare la situazione. Nel frattempo, la FTC ha già individuato come priorità la tutela della privacy dei bambini e ha espresso preoccupazione per l’entità della raccolta e dell’elaborazione dei dati personali dei minori. Gli esperti hanno ricordato che la versione aggiornata del Children’s Online Privacy Protection Act (COPPA) entrerà in vigore il 23 giugno.

Il capo della FTC ha confermato in una testimonianza scritta al Congresso che la raccolta, la distribuzione e l’archiviazione dei dati dei bambini comportano gravi rischi e ha ricordato che il COPPA richiede ai servizi online che sanno di lavorare con bambini di età inferiore ai 13 anni di ottenere il consenso verificabile dei genitori prima di intraprendere qualsiasi attività relativa ai dati.

Oltre alla documentazione presentata alla FTC, EPIC e Fairplay hanno inviato anche una lettera separata al CEO di Google Sundar Pichai, chiedendogli di sospendere il lancio di Gemini per gli utenti più giovani. Hanno sottolineato che l’intelligenza artificiale generativa e i chatbot potrebbero avere un impatto negativo sulla salute mentale e sullo sviluppo sociale dei bambini.

Google afferma che i dati raccolti dai bambini non verranno utilizzati per addestrare l’intelligenza artificiale. Tuttavia, gli attivisti per i diritti umani insistono sul fatto che l’azienda non ha fornito ulteriori garanzie che le informazioni raccolte non sarebbero state utilizzate per altri scopi interni o trasferite a terzi.

L'articolo Google Gemini ora è anche per i minori! Ed Esplode la Polemica proviene da il blog della sicurezza informatica.

Gli inestimabili documenti scientifici del leggendario crittografo Alan Turing sono sfuggiti per un pelo dalla distruzione e sono destinati a essere messi all’asta nel tentativo di ricavare decine di migliaia di sterline. Un archivio unico nel suo genere è stato scoperto nella soffitta di una famiglia, dove era rimasto conservato per decenni tra documenti dimenticati. I parenti del defunto matematico si stavano già preparando a mandare i documenti al tritacarne, ignari del loro valore storico per lo sviluppo delle moderne tecnologie digitali.

Il pezzo forte della collezione sarà una copia firmata della tesi di dottorato di Turing del 1939, “Sistemi di logica basati sugli ordinali“. L’opera sviluppa un apparato matematico che ci consente di analizzare la complessità dei calcoli. A questo scopo Turing utilizzò i numeri transfiniti, un tipo speciale di quantità che va oltre il consueto conteggio “uno, due, tre” e ci consente di lavorare con diversi tipi di infinito. Se l’aritmetica ordinaria aiuta a contare insiemi finiti di oggetti, allora le quantità ordinali consentono di misurare e confrontare tra loro insiemi infiniti. Gli esperti stimano il valore di questo documento manoscritto tra le quarantamila e le sessantamila sterline, ovvero tra i 54.000 e gli 81.000 dollari al tasso di cambio attuale.

Tra le scoperte, un posto speciale è occupato dal rivoluzionario articolo del 1937 “Sui numeri computabili” , che i contemporanei definiscono il primo manuale di programmazione della storia. Il lavoro presentava il concetto di una macchina di calcolo astratta: un dispositivo dotato di un nastro di memoria infinito, in grado di eseguire semplici operazioni di lettura, scrittura e spostamento. La macchina di Turing dimostra come qualsiasi calcolo matematico possa essere scomposto in una sequenza di passaggi elementari eseguiti automaticamente.

La genialità del concetto risiede nella sua universalità: un sistema può simulare il lavoro di qualsiasi altro se riceve il programma appropriato. Un principio simile è alla base dei computer moderni, nei quali un processore esegue vari programmi, modificando il proprio comportamento a seconda del software caricato. Turing dimostrò matematicamente che esistono problemi indecidibili, ovvero compiti che sono fondamentalmente impossibili da risolvere algoritmicamente. È da qui che derivano i limiti fondamentali della tecnologia informatica, sui quali ancora oggi gli ingegneri fanno affidamento.

Gli articoli scientifici finirono nell’archivio grazie alla madre dello scienziato, Ethel, che li diede al collega del figlio, il matematico Norman Rutledge. Dopo la morte del destinatario nel 2013, i documenti scomparvero dalla vista della comunità accademica e finirono abbandonati in una tomba di famiglia. Le due sorelle del defunto si assunsero il compito di sistemare i documenti e gli effetti personali accumulati nel corso degli anni, ignare del valore scientifico delle pagine ingiallite.

Uno dei parenti prese le scatole di documenti e le mise nella soffitta della sua casa, dove l’archivio giacque per quasi un decennio nel più completo oblio. Le condizioni di conservazione erano ideali: temperatura costante e bassa umidità impedivano il deterioramento della carta e dell’inchiostro. La situazione cambiò solo quando l’anziana donna si trasferì in una casa di cura e le sue figlie iniziarono a sgomberare la casa dagli effetti personali accumulati.

Fortunatamente, la famiglia si è consultata con i nipoti di Rutledge prima di prendere la decisione definitiva, poiché lo zio aveva sempre avuto un ruolo importante nella loro vita. Norman dimostrò un sincero interesse per tutti coloro con cui entrò in contatto, mantenendo contatti regolari con i suoi numerosi eredi e interessandosi ai progressi di ciascuno di loro.

Il vero valore dell’archivio venne rivelato nel novembre 2024 durante la riunione dei Rutledge. I documenti vennero portati alla riunione in un comune sacchetto di plastica, ignari del loro significato storico. Soltanto quando i membri della famiglia ne studiarono insieme il contenuto si resero conto di avere tra le mani i fondamenti matematici della civiltà moderna.

La collezione contiene i cosiddetti “estratti“, articoli scientifici stampati in piccole tirature per essere distribuiti tra colleghi accademici. Nel periodo prebellico, le riviste accademiche venivano pubblicate in modo irregolare e la posta internazionale era lenta, per cui gli scienziati facevano affidamento sullo scambio diretto dei risultati delle ricerche. Turing selezionava personalmente i destinatari dei suoi articoli, creando una rete di collaborazione intellettuale tra i principali matematici del continente.

Tra i preziosi reperti c’erano anche lettere del famoso romanziere E.M. Forster. L’autore di Passaggio in India apparteneva agli intellettuali di Cambridge che discutevano le intersezioni tra scienza, arte e filosofia. La corrispondenza rivela gli interessi umanitari dello studioso, che rifletteva sull’impatto dell’intelligenza artificiale sulla cultura e sulla creatività umana.

Di particolare valore è anche l’ultimo lavoro pubblicato da Turing,“The Chemical Basis of Morphogenesis” del 1952, dedicato ai meccanismi mediante i quali si formano i modelli naturali. Lo studio si basa sulla teoria della reazione-diffusione: le sostanze chimiche reagiscono tra loro e contemporaneamente si diffondono nei tessuti viventi a velocità diverse. Semplici regole di interazione tra due agenti chimici, un attivatore e un inibitore, danno origine a strutture spaziali complesse.

Lo scienziato ha dimostrato matematicamente che un sistema omogeneo può rompere spontaneamente la simmetria e formare schemi regolari senza influenze esterne. L’attivatore stimola la propria produzione e sintesi dell’inibitore, che sopprime l’attività della prima sostanza. Diverse velocità di diffusione creano aree di alta e bassa concentrazione, che si presentano come strisce, punti o motivi più complessi. Questo modello spiega come si formano la colorazione degli animali, la struttura delle conchiglie dei molluschi e perfino lo sviluppo delle dita degli arti umani.

Il lavoro sulla morfogenesi anticipò la moderna teoria dell’auto-organizzazione in fisica, chimica e biologia. I principi di Turing vengono utilizzati per comprendere come si formano le galassie, le strutture cristalline e le reti neurali del cervello. Anche la modellazione al computer ha confermato le previsioni: semplici regole per l’interazione degli elementi del sistema possono creare spontaneamente modelli ordinati di qualsiasi complessità.

Uno dei cugini suggerì che gli scritti di Turing e Forster avrebbero potuto interessare ai collezionisti. La famiglia ha deciso di mettere all’asta l’archivio, riconoscendo l’importanza storica del materiale per la comunità scientifica. Si è deciso di contattare la Rare Book Auctions di Lichfield, nello Staffordshire. Si prevede che il ricavato verrà suddiviso tra i numerosi eredi del defunto matematico.

Il direttore della casa d’aste, Jim Spencer, ha descritto i manoscritti come “l’archivio più importante con cui abbia mai lavorato nei suoi decenni di carriera”. Trascorse mesi a studiare opere matematiche per compilare un catalogo specialistico. Ci sono volute molte consultazioni con professori di informatica, storici della matematica ed esperti di crittografia. Per descrivere accuratamente i lotti, ogni equazione e definizione necessitava di una verifica rispetto alla terminologia moderna.

Tra le altre cose, nell’archivio è stata scoperta una toccante lettera della madre di Turing. In questo libro, Ethel racconta di come abbia riconosciuto fin da piccola il genio del figlio, nonostante lo scetticismo degli insegnanti e dei compagni di classe. “Ho spedito oggi per posta raccomandata 13 stampe delle opere di Alan”, scrive, citando numerose richieste di scrivere una biografia di suo figlio. La madre ammette di aver raccolto materiale sul bambino da quando aveva sei anni, quando notò per la prima volta la sua insolita capacità di pensiero astratto.

I talenti del futuro genio non rientravano nel quadro dell’educazione tradizionale. Gli insegnanti si lamentavano della scarsa attenzione rivolta alle materie umanistiche, senza rendersi conto che la mente del bambino lavorava già con concetti matematici inaccessibili agli adulti. I compagni di classe prendevano in giro gli strani hobby di Alan, che preferiva i problemi di logica ai giochi sportivi e all’intrattenimento sociale.

L’asta degli Alan Turing Papers si terrà il 17 giugno e vi parteciperanno offerenti da tutto il mondo. L’asta si terrà in formato tradizionale con possibilità di partecipazione tramite connessioni internet sicure per i collezionisti internazionali. Gli organizzatori prevedono una forte competizione tra prestigiosi musei, importanti università e collezionisti privati ​​di rarità scientifiche.

L'articolo Alan Turing salvato dalla spazzatura! Riemergono i suoi manoscritti storici che vanno all’asta proviene da il blog della sicurezza informatica.

The Commodore 64 may remain the best selling computer of all time, but it has one major flaw. It doesn’t have HDMI! That makes it a total pain to use with modern displays. Thankfully, [Side Projects Lab] has whipped up an HDMI output board to solve this concerning oversight from the original designers.

The project was inspired by work by [Copper Dragon], who whipped up a nifty RGB output board. This device worked by reading the inputs to the C64’s VIC II graphics chip, which it then used to recreate a pixel-perfect video frames to then produce a quality analog video output. [Side Projects Lab] figured the same interception technique would be useful for producing a quality HDMI output.

The result was the HD-64. It sits inside the C64 in place of the original RF modulator. It uses an interleaver socket to capture digital signals going to the VIC II. It then feeds these signals to an emulated VIC II running inside an FPGA, which creates the pixel-perfect screen representation and synthesizes the proper digital HDMI output. Meanwhile, the analog audio output from the SID chip is captured from the RF modulator’s original header, and sent out via the HDMI output as well. The default output is super-sharp, but the device can be configured to allow scanlines and anti-aliasing if that’s more to your tastes.

If you want to hook your C64 up to a modern screen, this is going to be one of the tidiest and sharpest ways to do it. We’ve seen similar hacks for other platforms before, too. Video after the break.

youtube.com/embed/oTaND5Gg3po?…

[Thanks to RobIII for the tip!]

hackaday.com/2025/05/25/the-co…

It’s hard to imagine now, but in the mid-1980s, the Internet came close to collapsing due to the number of users congesting its networks. Computers would request packets as quickly as they could, and when a router failed to process a packet in time, the transmitting computer would immediately request it again. This tended to result in an unintentional denial-of-service, and was degrading performance significantly. [Navek]’s recent video goes over TCP congestion control, the solution to this problem which allows our much larger modern internet to work.

In a 1987 paper, Van Jacobson described a method to restrain congestion: in a TCP connection, each side of the exchange estimates how much data it can have in transit (sent, but not yet acknowledged) at any given time. The sender and receiver exchange their estimates, and use the smaller estimate as the congestion window. Every time a packet is successfully delivered across the connection, the size of the window doubles.

Once packets start dropping, the sender and receiver divide the size of the window, then slowly and linearly ramp up the size of the window until it again starts dropping packets. This is called additive increase/multiplicative decrease, and the overall result is that the size of the window hovers somewhere around the limit. Any time congestion starts to occur, the computers back off. One way to visualize this is to look at a graph of download speed: the process of periodically hitting and cutting back from the congestion limit tends to create a sawtooth wave.

[Navek] notes that this algorithm has rather harsh behavior, and that there are new algorithms that both recover faster from hitting the congestion limit and take longer to reach it. The overall concept, though, remains in widespread use.

If you’re interested in reading more, we’ve previously covered network congestion control in more detail. We’ve also covered [Navek]’s previous video on IPV5.

youtube.com/embed/yiH1wLyeS5g?…

Thanks to [Mahdi Naghavi] for the tip!

hackaday.com/2025/05/25/a-quic…

Alessandro Ferretti:

Si parla molto del riposizionamento di personaggi pubblici, giornalisti e influencer che per mesi hanno taciuto o minimizzato il genocidio in corso a Gaza. Alcuni hanno sperato che questo fosse l’inizio di un ravvedimento dei media e che portasse a una copertura giornalistica più veritiera, che riferisse finalmente in modo corretto e approfondito i crimini israeliani contro i palestinesi.
Queste speranze, purtroppo, sono già morte ancor prima di nascere e le notizie degli ultimi giorni lo dimostrano crudelmente.

Giusto ieri è stata assassinata Yaqeen Hammad , un’attivista umanitaria di 11 anni con 90.000 follower su Instagram, uccisa insieme alla sua famiglia da un raid israeliano a Deir al-Balah. Yaqeen distribuiva cibo e aiuti tra le macerie, incarnando una resistenza che Israele mira a estinguere. Cone al solito, non è un incidente: è parte di una strategia deliberata per cancellare chi testimonia il massacro.

Parallela a questa tragedia è la strage della famiglia della dottoressa Alaa Al-Najjar, pediatra dell’ospedale Nasser. Sempre ieri, durante il suo turno di lavoro, si è vista arrivare all’ospedale i cadaveri ancora caldi di nove dei suoi dieci figli, trucidati da un raid mirato sulla sua casa. Gli unici sopravvissuti, il marito e un figlio, sono gravemente feriti. Il dottor Mads Gilbert riferisce che nonostante questo dolore inimmaginabile, la dottoressa non ha interrotto il suo lavoro. Di nuovo, questo crimine non è casuale: in una settimana, 12 infermieri e paramedici tra i più esperti di Gaza sono stati massacrati insieme alle loro famiglie.

Non si tratta di complottismo: è stato il ministro israeliano Smotrich a dichiarare giubilante che Israele sta “finalmente” mirando ad ammazzare i civili (e le loro famiglie) che lavorano all’amministrazione civile ministri, funzionari, prestatori di denaro, impiegati e in generale tutti quelli che lavorano nelle strutture economiche e governative di Gaza. In pratica, un piano di annientamento della società civile palestinese

Anche la cosiddetta "riapertura degli aiuti umanitari" si sta rivelando (come previsto) un altro tassello del genocidio. Sempre ieri gli israeliani hanno ucciso 6 palestinesi (tra cui poliziotti in borghese) mentre proteggevano camion di farina dai saccheggiatori. Un altro attacco ha colpito persone affamate che si avvicinavano a un camion ad al-Mawasi, un’area dichiarata "zona umanitaria". Israele sta insomma intensificando ulteriormente la sua campagna tesa a far piombare l’intera popolazione di Gaza in un’anarchia fratricida che renda possibile la pulizia etnica totale della striscia.

Ebbene: di fronte a tutto questo campionario di gravissimi crimini, oggi il Corriere della Sera non ha dedicato una riga a queste stragi. Nessun titolo, nessuna foto, nessuna parola, neanche un segno di punteggiatura. Questo silenzio è la dimostrazione che il presunto "riposizionamento" dei media e delle élite non mira a fermare il genocidio, ma a legittimarlo con una retorica compassionevole e a guadagnare tempo per il suo compimento. Mentre Israele completa la sua campagna di sterminio, si cerca di tranquillizzare l’opinione pubblica con dichiarazioni tardive e simboliche, lasciando intatto il sistema di potere che la sostiene.

Tanti di coloro che si riposizionano oggi, dopo anni di silenzio, non lo fanno per salvare Yaqeen, la dottoressa Alaa, i 12 infermieri uccisi o il resto della popolazione di Gaza. Non dobbiamo abbandonare, non dobbiamo lasciare il testimone della lotta contro il genocidio a questi complici ipocriti dell’ultima ora.

Craig Mokhiber in un suo post ha spiegato perfettamente qual è il punto, qual è la posta in gioco:

”Non abbracciare tuo figlio. Non fare beneficenza. Non visitare i malati. Non condannare l'assassino. Non parlare di giustizia. Non aiutare i senzatetto. Non dare da mangiare agli affamati. Non piangere i morti.

Perché se fai una qualsiasi di queste cose e poi rimani in silenzio e inattivo di fronte allo sterminio di un intero popolo - con la complicità del tuo governo - allora sei colpevole del peggior tipo di ipocrisia.

L'essenza della moralità è la coerenza. Senza coerenza morale, si possono compiere atti di gentilezza casuali per rispettare regole di convivenza o per compiacere il proprio ego, ma non si può affermare di agire con moralità.

Il genocidio è il peggior male concepito dalla razza umana. Il silenzio di fronte al genocidio vi priva quindi di ogni autorevolezza morale, di ogni autorità etica, della vostra stessa umanità.

In questo preciso istante, la gente muore di fame. I bambini vengono uccisi a colpi d'arma da fuoco per puro divertimento. I prigionieri vengono torturati. I civili vengono massacrati. Case, ospedali, scuole, luoghi di culto, rifugi vengono rasi al suolo.

Di' qualcosa. Fai qualcosa. Noi ne siamo responsabili. Un giorno dovremo tutti spiegare cosa abbiamo fatto per fermarlo.”

*
Link al post su Substack con le fonti: alessandroferretti123.substack…

Intraprendere un percorso di apprendimento nelle nuove tecnologie e sulla sicurezza informatica oggi può fare la differenza, soprattutto in ambiti innovativi e altamente specialistici. Per questo, Red Hot Cyber ha creato la sua RHC Academy che sta divenendo un punto di riferimento per aziende e professionisti. Con percorsi formativi progettati per esplorare tecnologie emergenti e spesso poco accessibili, offriamo un apprendimento approfondito e di qualità, interamente in lingua italiana.

Se sei un’azienda con una solida presenza sui social media o un professionista esperto nella formazione digitale e cybersecurity, il Program Partner della Red Hot Cyber Academy rappresenta un’opportunità concreta per crescere e collaborare con noi.

Cos’è la Red Hot Cyber Academy

Tutti i nostri corsi includono esami specifici che permettono di ottenere una certificazione ufficiale emessa da Red Hot Cyber. Su esplicita richiesta degli studenti, la certificazione potrà essere pubblicata e resa visibile direttamente sul sito ufficiale, garantendo un ulteriore riconoscimento del percorso formativo intrapreso.

I corsi offerti dall’Academy di Red Hot Cyber sono disponibili in modalità e-learning e live-class, garantendo flessibilità e supporto personalizzato. Nella modalità e-learning, gli studenti possono contattare direttamente il docente per richiedere chiarimenti o approfondimenti, utilizzando l’indirizzo e-mail fornito all’inizio del corso. Questo approccio favorisce un’interazione continua, rendendo l’apprendimento più efficace e mirato. Nei percorsi in live-class, gli studenti partecipano a lezioni online in diretta con il docente. Instaurano un rapporto diretto e interattivo all’interno di classi a numero chiuso, con un massimo di 14 partecipanti.

La RHC Academy propone una serie di programmi pensati per permettere alle aziende di collaborare attivamente nella creazione e nella diffusione dei percorsi formativi,. Le aziende contribuiscono a costruire insieme una cultura solida sulla tecnologia digitale e sulla sicurezza informatica.

Affiliate Program: guadagna promuovendo la conoscenza

Sei un’azienda dinamica con una forte presenza sui social network, la Red Hot Cyber Academy ha l’opportunità che fa per te! Unisciti al nostro Programma di Affiliazione e inizia a guadagnare promuovendo i nostri corsi. Se hai un pubblico fidelizzato puoi aderire all’Affiliate Program della Red Hot Cyber Academy. Ecco come funziona:

• Vieni registrato come Affiliato;
• Ricevi un profilo personale come Affiliato all’interno della nostra Academy;
• Ogni volta che qualcuno acquista un corso passando dal tuo link, guadagni una commissione fino al 25% sul prezzo di copertina (Percentuale definita sulla base della tua presenza online).

Si tratta di una opportunità concreta per monetizzare la tua community offrendo contenuti di reale valore.

Scrivi ad academy@redhotcyber.com per ulteriori informazioni.

Creator Program: il passo in più per i content creator

Sei un esperto nel campo dell’IT con ottime capacità di divulgazione o un formatore professionista e sei desideroso di condividere la tua competenza con il mondo, il nostro Creator Program è la soluzione ideale per te. Ti offre la possibilità di creare il tuo corso di formazione, pubblicarlo sulla nostra piattaforma e accedere ad una revenue share del 30%.

Con un portale che registra una media di 400.000 visualizzazioni mensili con picchi di oltre un milione di views e una rete di 100.000 follower, siamo pronti a catalizzare l’attenzione sui corsi dell’Academy, offrendo un supporto strategico per massimizzare la diffusione dei tuoi contenuti.

Questo programma è pensato per:

• Formatori professionisti su temi inerenti la tecnologia digitale e la cybersecurity
• Persone che vogliono collaborare con Red Hot Cyber nella creazione di contenuti legati ai corsi, agli eventi e alla divulgazione cyber.
• Chi desidera aumentare la propria autorevolezza nel settore grazie al supporto e alla visibilità di una realtà affermata come Red Hot Cyber.

Scrivi ad academy@redhotcyber.com per ulteriori informazioni.

Come candidarsi o chiedere informazioni

Per accedere al Creators Program, dopo aver scritto alla casella di posta academy@redhotcyber.com, sarà necessario completare un breve questionario che permetterà al nostro team di valutare le capacità di comunicazione e le esperienze formative precedentemente svolte dal potenziale formatore.

Per il Affiliate Program, invece, il nostro team effettuerà un’analisi della presenza sui social network del candidato per determinare la percentuale di revenue share più adeguata.

Per maggiori informazioni su entrambi i programmi, potete scrivere a academy@redhotcyber.com.

L'articolo Diventa Partner della Red Hot Cyber Academy: Scopri l’Affiliate e Creator Program proviene da il blog della sicurezza informatica.

Cats are no respecters of personal property, as [Joe Mattioni] learned when one of his cats, [Layla] needed a special prescription diet. Kitty didn’t care for it, and since the other cat, [Foxy]’s bowl was right there– well, you see where this is going. To keep [Layla] out of [Foxy]’s food and on the vet-approved diet, [Joe] built an automatic feeding system with feline facial recognition. As you do.

The hardware consists of a heavily modified feed bowl with a motorized lid that was originally operated by motion-detection, an old Android phone running a customized TensorFlow Lite model, and hardware to bridge them together. Bowl hardware has yet to be documented on [Joe]’s project page, aside from the hint that an Arduino (what else?) was involved, but the write up on feline facial recognition is fascinating.

See, when [Joe] started the project, there were no cat-identifying models available– but there were lots of human facial recognition models. Since humans and cats both have faces, [Joe] decided to use the MobileFaceNet model as a starting point, and just add extra training data in the form of 5000 furry feline faces. That ran into the hurdle that you can’t train a TFLite model, which MobileFaceNet is, so [Joe] reconstructed it as a Keras model using Google CoLab. Only then could the training occur, after which the modified model was translated back to TFLite for deployment on the Android phone as part of a bowl-controller app he wrote.

No one, [Joe] included, would say that this is the easiest, fastest, or possibly even most reliable solution– a cat smart enough not to show their face might sneak in after the authorized feline has their fill, taking advantage of a safety that won’t close a bowl on a kitty’s head, for example–but that’s what undeniably makes this a hack. It sounds like [Joe] had a great learning adventure putting this together, and the fact that it kept kitty on the proper diet is really just bonus.

Want to go on a learning adventure of your own? Click this finely-crafted link for all the details about this ongoing contest.

hackaday.com/2025/05/25/2025-p…

Buondì ☺️

(Il mio profilo #pixelfeld è un po' abbandonato a sé stesso, ma me prenderò cura presto)

pixelfed.uno/p/aimee80/8321590…

aimee80

2025-05-25 07:43:05

Sunday's mood.
Colazione con treccia al burro 😋

Non sono brava a fare le foto di cibo "instagrammabili"

#colazione #sunday #sundaysmood #domenica #treccia #love

Donald Trump sfida di nuovo Apple. Venerdì ha chiesto all’azienda di spostare la produzione dell’iPhone negli Stati Uniti, minacciando una tariffa del 25 percento se i dispositivi avessero continuato a essere assemblati all’estero. Anche la Samsung è rimasta coinvolta nel fuoco incrociato; i dazi potrebbero colpire tutti i produttori che vendono smartphone sul mercato americano.

In una conferenza stampa, Trump ha affermato di aver avvisato tempo fa Tim Cook che gli iPhone venduti negli Stati Uniti avrebbero dovuto essere assemblati localmente, non in India o altrove. Altrimenti c’è un altro problema. Il problema è che Apple sta aumentando attivamente la produzione in India: il CEO dell’azienda ha annunciato di recente che la maggior parte degli iPhone venduti negli Stati Uniti arriveranno presto da lì.

Da un punto di vista economico, le richieste di Trump appaiono dubbie. Wedbush Securities stima che il 90% dell’assemblaggio degli iPhone avvenga ancora in Cina e che spostare anche solo il 10% di questa filiera negli Stati Uniti costerebbe ad Apple 30 miliardi di dollari e richiederebbe almeno tre anni. E per avviare una produzione su vasta scala in America saranno necessarie decine di migliaia di ingegneri specializzati, personale di cui gli USA semplicemente non dispongono. Steve Jobs lo aveva sottolineato già nel 2010 e il suo punto di vista è stato poi sostenuto da Tim Cook.

L’attuale struttura dell’offerta consente all’azienda di mantenere il prezzo dell’iPhone intorno ai 1.000 dollari, ma se la produzione venisse completamente spostata negli Stati Uniti, questo prezzo potrebbe triplicare, arrivando a 3.500 dollari a dispositivo. Ecco perché gli analisti definiscono l’idea degli “iPhone americani” un sogno irrealizzabile.

Tuttavia, Apple sta cercando di ammorbidire la retorica di Trump. All’inizio di quest’anno, l’azienda ha annunciato un massiccio investimento da 500 miliardi di dollari negli Stati Uniti. Il denaro sarà destinato all’apertura di un nuovo centro di assemblaggio server a Houston, all’ampliamento dei data center e allo sviluppo dei contenuti di Apple TV+ in 20 stati. Ciò include il supporto a progetti nel campo dell’intelligenza artificiale con il marchio Apple Intelligence.

A differenza di Apple, Samsung ha abbandonato la Cina da tempo. La produzione principale del colosso coreano è concentrata in Vietnam, India, Corea del Sud e Brasile. Tuttavia, se venisse adottata una nuova legge, anche lei dovrà adattarsi.

Non è ancora chiaro se Apple scaricherà i costi sui consumatori. Gli esperti ritengono che se la tariffa rimane al di sotto del 30%, l’azienda sarà in grado di assorbirla. Ma se si supera questa soglia, l’aumento dei prezzi degli iPhone negli Stati Uniti è quasi inevitabile. E dato il possibile aumento dei prezzi in autunno, la situazione è anche politicamente esplosiva.

Vale la pena notare che questa non è la prima volta che l’amministrazione Trump impone sanzioni alle aziende tecnologiche. Misure simili hanno già colpito in passato aziende cinesi, con gravi conseguenze per il mercato IT globale. Nel frattempo, le restrizioni commerciali imposte dagli Stati Uniti hanno già dimostrato quanto rapidamente possano crollare le azioni dei giganti della tecnologia quando l’accesso ai mercati chiave è minacciato.

Gli analisti sottolineano inoltre che una politica del genere potrebbe aggravare i conflitti commerciali nel settore tecnologico, dato che Apple si trova già ad affrontare una crescente pressione normativa sia in patria che all’estero.

L'articolo Sarai disposto a spendere 3.500 dollari per un iPhone? Donald Trump sfida di nuovo Apple proviene da il blog della sicurezza informatica.

The next “Brandung-Live” will be on 25.05.2025 at 20.00h CEST/DST.

News from Potsdam, Brandenburg, the Pirates of Germany and international news – in German.

If you want to join the conversation, just contact info@PiratesOnAir.net.

piratesonair.net/brandung-live…

Con l’evoluzione dei LLM e dei sistemi di Intelligenza Artificiale, il confine fra verità o finzione si fa sempre più labile. E questo i cybercriminali lo sanno bene, pertanto utilizzano e ne fanno e faranno sempre più ampio e frequente impiego per realizzare le proprie truffe online. Truffe che, pur vestendosi di nuove e scintillanti tecnologie e la maschera del deepfake scam, non possono fare a meno di ricorrere a tecniche di inganno per bypassare ogni difesa e regola di prudenza.

Conoscere gli schemi di queste frodi online è dunque necessario per maturare al meglio la propria cyber hygiene, ovverosia l’insieme di pratiche utili per mantenersi al sicuro.

La magia dell’illusione nelle truffe cyber

Similmente a come avviene all’interno di un numero di magia, l’inganno richiede sempre l’inconsapevole collaborazione della vittima designata. In entrambi gli scenari, meraviglia e smarrimento sono reazioni su cui conta tanto l’illusionista quanto il cybercriminale.

Volendo citando il film The Prestige, c’è una tripartizione in tre atti: promessa, svolta e prestigio. Nella promessa, qualcosa di ordinario viene presentato allo spettatore per conquistarne la fiducia. Nella svolta, l’ordinarietà viene stravolta e si realizza qualcosa di inatteso destando un senso di meraviglia e smarrimento ed ecco che si realizza l’inganno. Nel prestigio, infine, accade l’impossibile.

«Ogni numero di magia è composto da tre parti o atti. La prima parte è chiamata “la promessa”. L’illusionista vi mostra qualcosa di ordinario: un mazzo di carte, un uccellino o un uomo. Vi mostra questo oggetto. Magari vi chiede di ispezionarlo, di controllare che sia davvero reale… sì, inalterato, normale. Ma ovviamente… è probabile che non lo sia. […] Il secondo atto è chiamato “la svolta”. L’illusionista prende quel qualcosa di ordinario e lo trasforma in qualcosa di straordinario. Ora voi state cercando il segreto… ma non lo troverete, perché in realtà non state davvero guardando. Voi non volete saperlo. Voi volete essere ingannati. Ma ancora non applaudite. Perché far sparire qualcosa non è sufficiente; bisogna anche farla riapparire. Ecco perché ogni numero di magia ha un terzo atto, la parte più ardua, la parte che chiamiamo “il prestigio”».

Ecco: nelle truffe cyber avviene più o meno lo stesso ma senza un applauso alla fine. Anzi, talvolta la vittima potrebbe addirittura restare nell’inconsapevolezza d’essere stata truffata come accade ad esempio nei casi in cui il bottino sono i dati personali e si realizza un furto d’identità. Il più delle volte quando si produrranno gli impatti negativi la vittima realizzerà solamente che qualcuno si è appropriato della propria identità ma non sa né come né quando è accaduto il tutto, salvo buon fine delle indagini. Altre volte, invece, la vittima è pienamente consapevole di aver subito una truffa, dal momento che il danno è una conseguenza immediata e diretta di quel gioco di prestigio a cui ha partecipato. L’esempio più lampante in questo caso è fornito dalla perdita economica o dalla perdita degli accessi al proprio account.

Un deepfake agisce con successo fintanto che non si dubita della sua genuinità. Ma se le tecnologie di Intelligenza Artificiale consentono di emulare testi e tone of voice, immagini, voci e video, in che modo si può contrastare questa aumentata capacità illusoria dei cybercriminali? Semplice: dubitando. Per riconquistare il dominio delle proprie azioni.

Umanamente Zero Trust

Dubitare sì, ma dubitare bene. Dopotutto chi ha detto che l’approccio di Zero Trust Security si applica solo alla postura di sicurezza di aziende e organizzazioni? In fondo, l’essere umano è a sua volta un sistema complesso fatto di pensieri, emozioni, bias, conoscenze e quant’altro. Layer che si stratificano e contribuiscono a comporre quegli schemi studiati da un bravo ingegnere sociale per progettare truffe che vadano a buon segno. Ecco che l’adagio non fidarsi mai, verificare sempre può utilmente essere declinato a livello individuale come metodo di contrasto.

Bisogna ragionare distinguendo la forma dalla sostanza. Essere consapevoli che la forma può sempre essere emulata fino ad apparire più che verosimigliante. Terribilmente attendibile, al punto da fornirci quella comfort zone di trovarci all’interno di una situazione ordinaria e per nulla allarmante. Ricordate la promessa? Ecco: proprio quella fase. Il focus della nostra attenzione e della prudenza – e dunque l’elemento da verificare – deve invece spostarsi sulla sostanza. Quale azione ci viene richiesta e quali sono le sue conseguenze? Insomma: focalizzandoci sull’azione che viene richiesta o indotta e sulle conseguenze, ecco che possiamo disinnescare lo schema fraudolento. Se invece ci distraiamo troppo sull’indagare circa la genuinità di quel gancio iniziale, il rischio è non solo quello di disperdere attenzione ma, nel caso in cui ci dovessimo trovare di fronte a un deepfake veramente indistinguibile dalla realtà, quello di incorrere nell’overconfidence bias sovrastimando la

Dopotutto, se siamo convinti di aver accertato che il mittente è genuino, il rischio è che potremmo distoglierci dall’analizzare con la dovuta prudenza il contenuto della richiesta. Soprattutto se non c’è una call to action esplicita ma anzi l’induzione di un determinato pensiero che porterà ad un’azione prevedibile. L’esempio più ricorrente è quello di presentare le conseguenze negative dell’inerzia per spingere a svolgere un’azione o una serie di passaggi attraverso un pattern attentamente studiato per ottenere l’esito desiderato dal cybercriminale.

Un esempio pratico può essere quello offerto dalla truffa della finta multa. L’azione indotta è quella di provvedere immediatamente al pagamento, dal momento che viene comunicato che in caso di ritardo si andrà incontro ad una maggiorazione. Ecco che si viene incanalati all’interno di un percorso che porterà prima a cedere i propri dati anagrafici e poi i dati della propria carta di credito (inclusi OTP e PIN).

Più siamo consapevoli e coscienti del funzionamento di truffe, tecnologie e dinamiche del nostro pensiero e comportamento, meno è probabile che saremo facili vittime di queste truffe. Attenzione però a ritenersi immuni, dal momento che torna in gioco l’overconfidence bias e non c’è niente di peggio dell’eccesso di fiducia basato su una falsa o distorta percezione di sicurezza. Sia quando agiamo in ambito personale sia quando agiamo come parte di un’organizzazione la quale subirà le conseguenze dei nostri errori. E che è chiamata ad agire per mitigare questa componente di rischio.

La cyber hygiene non è ad uso esclusivamente personale

Dal momento che la persona è sempre la stessa, le prassi di sicurezza e di cyber hygiene ovviamente si applicano tanto nella vita privata che in quella lavorativa. Ecco dunque il motivo per cui le organizzazioni devono sempre formare e sensibilizzare il personale in quanto è una misura di mitigazione del rischio cyber e delle informazioni. Se possibile, evitando di fare ricorso a slide incomprensibili, markettare, scritte in legalese stretto o altrimenti inaccessibili per chi non abbia almeno un paio di PhD. Sostanzialmente, si tratta di fare corsi e interventi utili ed evitare per quanto possibile i molti fuffaguru in salsa cyber.

Un suggerimento utile per filtrare almeno in parte venditori di fumo e cialtroni più o meno prezzolati è vedere se offrono “soluzioni” che seguono il claim one size fits all e la cui fascinazione è paragonabile non alla canzone dei Rammstein da cui è tratta la citazione (giammai) bensì a qualche tipo di elisir salvifico. Che, al di fuori di un tavolo di D&D o altri tipo di quest, semplicemente non esiste.

Quel che occorre è progettare ed attuare programmi di formazione e sensibilizzazione che, quanto meno, tengano conto tanto dei destinatari quanto del contesto di riferimento. Coinvolgendo sempre le funzioni HR, IT, DPO e CISO (ove presenti). Nel migliore dei mondi, anche i referenti di area/ufficio/settore/processo/etc. che possano aiutare a comprendere proprio quel contesto senza il quale le nozioni, nella migliore delle ipotesi, saranno diluite omeopaticamente. Da non trascurare, infine, è l’attività di raccolta di feedback relativi alle misure predisposte e quella di verifica dell’efficacia delle stesse in ottica di miglioramento continuo.

Infine, non si deve mai dimenticare che nel momento in cui si rinuncia a stimolare, provocare e seguire la curiosità viene meno il carburante fondamentale di quella capacità di dubitare che è in grado di dissipare l’effetto delle illusioni. Con i cybercriminali che, pur felicitandosi dell’accaduto, non si degneranno neanche di ringraziarci con un profondo inchino dal palcoscenico. In qualche caso, si limiteranno ad una dedica tramite ransom note.

L'articolo “Non è magia, è solo truffa”: come i cybercriminali usano i deepfake per fregarti proviene da il blog della sicurezza informatica.

Here’s one for our astronomy geeks. Our hacker [arrow] has made their own observatory!

This particular video is a bit over ten minutes long and is basically a montage; there is no narration or explanation given, but you can watch clear progress being made and the ultimate success of the backyard facility.

Obviously the coolest thing about this building is that the roof can be moved, but those telescope mounts look pretty sexy too. About halfway through the video the concrete slab that was supporting one metal mounting pole gets torn up so that two replacements can be installed, thereby doubling the capacity of the observatory from one telescope to two.

If you’re an astronomy wonk you might enjoy some of [arrow]’s other videos. Maybe with their observatory [arrow] will solve the problem of dark matter. We’ve covered heaps of astronomy stuff here at Hackaday before including how to make your own telescope right down to the glass and the world’s highest altitude infrared telescope.

Thanks very much to [Joshua] for sending us this tip via the tips line.

youtube.com/embed/m5JCQTAKcvM?…

hackaday.com/2025/05/24/making…