La costituzione è violata ormai costantemente. I nostri governanti hanno il compito di riportare l'Europa alla "democrazia" del medioevo.
La Cassazione boccia il decreto il sicurezza, rischio di incostituzionalità • Imola Oggi
imolaoggi.it/2025/06/27/cassaz…
Dalla Newsletter di Haaretz
Supreme Leader Khamenei declared victory over Israel and said the U.S. "will definitely pay a heavy price" should it attack Iran again
Realtà alternative...
Poliversity - Università ricerca e giornalismo reshared this.
Soci Coop soddisfatti per il ritiro dei prodotti israeliani dai suoi scaffali
Accogliamo con soddisfazione la decisione di Coop Alleanza 3.0 di ritirare i prodotti israeliani, in coerenza con il proprio Codice Etico e il rispettoRedazione Italia (Pressenza)
La Corte di Cassazione boccia il Decreto Sicurezza: viola la legalità con aggravanti ingiustificate
La Cassazione boccia il Decreto Sicurezza: manca urgenza, norme eterogenee, viola legalità e proporzionalità. Rischio carcere per marginalità e dissenso.Articolo 21 (Pressenza)
Il decreto sicurezza ha una lunga storia di repressione alle spalle
Il provvedimento del governo Meloni è la stretta più severa degli ultimi decenni contro ogni forma di contestazione. Ma la criminalizzazione del dissenso è cominciata negli anni novanta. LeggiAnnalisa Camilli (Internazionale)
Cosa prevede la strategia per la resilienza idrica dell’UE
La Commissione UE ha lanciato la “strategia per la resilienza idrica”. Cinque gli ambiti d’azione. A fianco uno studio dell’Agenzia Europea dell’Ambiente sul risparmio idricoAndrea Turco (Economia Circolare)
Green computing: come rendere sostenibile il data center aziendale
@Informatica (Italy e non Italy 😁)
L’ecosostenibilità delle tecnologie digitali non può essere rimandata, anzi, si deve passare a un approccio green del settore digitale, migliorando l'efficienza energetica e le prestazioni dell'economia circolare nel cloud computing e nei data center. Ecco quali studi valuta l'Europa in ambito data
reshared this
Informatica (Italy e non Italy 😁) reshared this.
Researchers took inspiration from r/AmITheAsshole to find out if chatbots are likely to demonstrate an exaggerated version of human beings’ “bias for inaction.”
Researchers took inspiration from r/AmITheAsshole to find out if chatbots are likely to demonstrate an exaggerated version of human beings’ “bias for inaction.”#llms #chatbots #psychology
L’epopea Gkn, al quarto anno del suo movimentato percorso, è a un altro bivio
La proprietà della fabbrica di Campi Bisenzio vuole sgomberare il presidio operaio e destinare lo stabilimento a un nuovo polo della logistica.Lorenzo Guadagnucci (Altreconomia)
NATO, svolta storica per la cyber difesa: serve più integrazione tra civile e militare
@Informatica (Italy e non Italy 😁)
Presentato al vertice de L'Aia, il piano Nato mira a rendere protagonista la cyber difesa per rendere l’Alleanza atlantica più resiliente. Ecco le novità, a partire dalle priorità geopolitiche ed
reshared this
Nuova app di messaggistica
statale russa: Putin verso il totale controllo dell’ecosistema digitale
@Informatica (Italy e non Italy 😁)
La Russia si dota di un'unica app di Stato per la messaggistica e l'accesso ai servizi digitali. Mentre Mosca mira alla sovranità tecnologica, crescono i dubbi sul suo impatto reale sulla privacy e le libertà dei
Informatica (Italy e non Italy 😁) reshared this.
Milioni di europei senza Microsoft: la città di Lione abbraccia il software open source
La città francese di Lione ha annunciato un massiccio abbandono dei prodotti Microsoft e un passaggio a software open source, che rappresenta un altro segnale dell’aumento dell’interesse dell’Europa per l’indipendenza tecnologica.
Come hanno spiegato le autorità di Lione, i principali motivi sono stati il desiderio di ridurre la dipendenza dalle corporation IT statunitensi, prolungare la vita utile delle attrezzature cittadine e ridurre così l’impatto nocivo sull’ambiente. L’abbandono del software commerciale si inserisce anche nella strategia di rafforzamento della sovranità tecnologica, che le autorità cittadine intendono realizzare nei prossimi anni.
Nell’ambito di questi piani, a Lione si abbandonerà completamente la suite Microsoft Office, sostituendola con OnlyOffice, un software libero della società Ascensio Systems distribuito sotto licenza GNU Affero General Public License versione 3. Al posto dei servizi Microsoft per la collaborazione e la videoconferenza, le autorità adotteranno il complesso francese “Territoire Numérique Ouvert“, che si traduce come “Territorio digitale aperto”.
Per lo sviluppo e l’adattamento del complesso sono già stati stanziati circa due milioni di euro. I fondi sono stati forniti dall’Agenzia nazionale francese per lo sviluppo dei territori, che sostiene il passaggio delle regioni del paese a soluzioni digitali locali e indipendenti. Il “Territoire Numérique Ouvert” è già utilizzato in nove comunità francesi e conta diverse migliaia di utenti.
La decisione di Lione di abbandonare il software statunitense appare particolarmente significativa sulla scia della decisione del Ministero della digitalizzazione danese, che solo poche settimane fa ha annunciato la sua intenzione di eliminare i prodotti Microsoft. Inoltre, l’Unione Europea negli ultimi anni ha attivamente promosso le idee di sovranità digitale e cerca di ridurre i rischi legati al fatto che i dati dei cittadini e delle organizzazioni siano archiviati in un’infrastruttura di proprietà di società statunitensi.
Tali iniziative costringono i giganti IT statunitensi, tra cui Microsoft e AWS, a fare dichiarazioni eclatanti sulla “localizzazione dei dati” e sull’impossibilità di intervento da parte delle autorità statunitensi. Tuttavia, come ha dimostrato l’esempio di Lione, sempre più strutture europee preferiscono non credere alle parole e costruire le proprie alternative.
Il municipio di Lione serve più di un milione di persone e ha un organico di quasi 10.000 dipendenti. La perdita di un cliente del genere sarà senza dubbio un colpo spiacevole per i partner locali di Microsoft, ma su scala globale difficilmente influenzerà la situazione finanziaria dell’azienda. Tuttavia, proprio tali soluzioni locali potrebbero gradualmente trasformarsi in una tendenza seria in tutta la regione.
Oggi la tendenza all’abbandono del software statunitense da parte delle città e delle amministrazioni europee sta prendendo piede e comincia a somigliare a una valanga che sarà difficile da fermare.
L'articolo Milioni di europei senza Microsoft: la città di Lione abbraccia il software open source proviene da il blog della sicurezza informatica.
reshared this
Crolla MongoDB! Scoperta falla critica che blocca i server con un semplice JSON
Una vulnerabilità critica di tipo denial of service (DoS) è stata identificata in più versioni del server MongoDB, nelle release 6.0, 7.0 e 8.0. La vulnerabilità, classificata come CVE-2025-6709, e consente ad aggressori non autenticati di bloccare i server MongoDB inviando payload JSON dannosi tramite la shell MongoDB.
La vulnerabilità identificata deriva da una convalida errata degli input nel meccanismo di autenticazione OpenID Connect (OIDC) del server, che consente agli aggressori di bloccare le istanze del database senza richiedere credenziali di autenticazione. Il punteggio CVSS di questa vulnerabilità è di 7,5, il che indica un rischio elevato per le organizzazioni che eseguono distribuzioni MongoDB vulnerabili in ambienti di produzione.
Gli aggressori possono sfruttare la shell MongoDB per trasmettere dati JSON dannosi appositamente creati, che innescano una condizione di errore, che porta a crash completi del server. Il meccanismo di attacco aggira i tradizionali requisiti di autenticazione, rendendolo particolarmente pericoloso in quanto consente ad aggressori remoti non autenticati di interrompere le operazioni del database.
La causa tecnica principale è l’inadeguata sanificazione e convalida dei dati di input formattati come data all’interno della pipeline di autenticazione OIDC. Quando il server MongoDB elabora questi valori di data non validi, la logica di analisi incontra strutture di dati inaspettate che violano i presupposti interni, causando l’interruzione imprevista del processo del server.
Le versioni di MongoDB Server v7.0 precedenti alla 7.0.17 e le versioni v8.0 precedenti alla 8.0.5 sono soggette a sfruttamento pre-autenticazione, consentendo ad aggressori completamente non autenticati di attivare da remoto condizioni di negazione del servizio. Anche le versioni di MongoDB Server v6.0 precedenti alla 6.0.21 contengono questa vulnerabilità, anche se per sfruttarla è necessaria un’autenticazione corretta.
Per mitigare questa vulnerabilità, i team di sicurezza dovrebbero dare priorità all’applicazione immediata delle patch alle ultime versioni stabili: MongoDB Server 6.0.21, 7.0.17 o 8.0.5, a seconda della versione di distribuzione corrente. Le organizzazioni che non sono in grado di implementare patch immediate dovrebbero prendere in considerazione l’implementazione di controlli di accesso a livello di rete, disabilitando temporaneamente l’autenticazione OIDC se non è essenziale per le operazioni o distribuendo firewall per applicazioni Web in grado di filtrare i payload JSON dannosi.
L'articolo Crolla MongoDB! Scoperta falla critica che blocca i server con un semplice JSON proviene da il blog della sicurezza informatica.
La Corte di Cassazione boccia il decreto sicurezza: viola la legalità con aggravanti ingiustificate - Articolo21
La Cassazione boccia il Decreto Sicurezza: manca urgenza, norme eterogenee, viola legalità e proporzionalità. Rischio carcere per marginalità e dissenso. E’ un duro colpo per il Governo e la maggioranza: la Legge 9 giugno 2025, n.Articolo21
Vulnerabilità critiche scoperte in centinaia di stampanti Brother e altri produttori
Centinaia di modelli di stampanti di Brother e di altri produttori (Fujifilm, Toshiba, Ricoh e Konica Minolta) sono risultati vulnerabili a gravi vulnerabilità scoperte dai ricercatori di Rapid7. Ad esempio, le stampanti sono dotate di una password di amministratore predefinita che può essere generata da aggressori remoti.
In totale, gli esperti hanno individuato otto diversi problemi nelle stampanti Brother:
La più grave, scoperta dai ricercatori di sicurezza, è il CVE-2024-51978, poiché la password predefinita sulle stampanti vulnerabili viene generata in fase di produzione utilizzando uno speciale algoritmo e si basa sul numero di serie del dispositivo. Gli analisti di Rapid7 scrivono che il processo di generazione della password è facilmente invertibile e si presenta in questo modo:
- è necessario prendere i primi 16 caratteri del numero di serie del dispositivo;
- aggiungere 8 byte ottenuti dalla tabella statica con salt;
- eseguire l’hashing del risultato utilizzando SHA256;
- hash codificato in formato Base64;
- prendi i primi otto caratteri e sostituisci alcune lettere con simboli speciali.
Si noti che gli aggressori possono accedere al numero di serie della stampante di destinazione utilizzando vari metodi o sfruttando la vulnerabilità CVE-2024-51977. Possono quindi utilizzare l’algoritmo descritto per generare una password di amministratore e accedere come amministratore.
Gli aggressori possono quindi riconfigurare la stampante, accedere alle immagini scansionate salvate, al contenuto della rubrica, sfruttare il CVE-2024-51979 per l’esecuzione di codice remoto o il CVE-2024-51984 per raccogliere credenziali.
Sebbene tutte le vulnerabilità sopra menzionate siano già state risolte nei firmware aggiornati rilasciati dai produttori, il problema critico CVE-2024-51978 non è stato altrettanto facile da risolvere. Dopotutto, la radice della vulnerabilità risiede nella logica stessa di generazione delle password utilizzata nella produzione delle apparecchiature. In altre parole, tutti i dispositivi prodotti prima della scoperta di questo problema continueranno a utilizzare password predefinite prevedibili, a meno che gli utenti non le modifichino.
L'articolo Vulnerabilità critiche scoperte in centinaia di stampanti Brother e altri produttori proviene da il blog della sicurezza informatica.
È bastata un’immagine ironica sul telefono per trasformare una vacanza negli Stati Uniti in un incubo da romanzo distopico. Mads Mikkelse...
È bastata un’immagine ironica sul telefono per trasformare una vacanza negli Stati Uniti in un incubo da romanzo distopico.Quora
Sostenibilità e autonomia strategica. Da dove passa la nuova cooperazione europea per i fondi della Difesa
@Notizie dall'Italia e dal mondo
La Commissione europea e l’Agenzia europea per la difesa (Eda) hanno sottoscritto l’accordo di partenariato finanziario (Financial Framework Partnership Agreement – Ffpa), che rappresenta un passo
Notizie dall'Italia e dal mondo reshared this.
Scrivere a mano rafforza memoria e apprendimento – ANSA
@Politica interna, europea e internazionale
Scrivere a mano rafforza memoria e apprendimento Lo indicano le Neuroscenze (ANSA) – ROMA, 26 GIU – Mentre digitare attiva prevalentemente le regioni motorie associate ai movimenti ripetitivi delle dita e all’elaborazione visiva, scrivere a mano coinvolge le regioni del cervello responsabili della
Politica interna, europea e internazionale reshared this.
This Week in Security: MegaOWNed, Store Danger, and FileFix
Earlier this year, I was required to move my server to a different datacenter. The tech that helped handle the logistics suggested I assign one of my public IPs to the server’s Baseboard Management Controller (BMC) port, so I could access the controls there if something went sideways. I passed on the offer, and not only because IPv4 addresses are a scarce commodity these days. No, I’ve never trusted a server’s built-in BMC. For reasons like this MegaOWN of MegaRAC, courtesy of a CVSS 10.0 CVE, under active exploitation in the wild.
This vulnerability was discovered by Eclypsium back in March It’s a pretty simple authentication bypass, exploited by setting an X-Server-Addr header to the device IP address and adding an extra colon symbol to that string. Send this along inside an HTTP request, and it’s automatically allowed without authentication. This was assigned CVE-2024-54085, and for servers with the BMC accessible from the Internet, it scores that scorching 10.0 CVSS.
We’re talking about this now, because CISA has added this CVE to the official list of vulnerabilities known to be exploited in the wild. And it’s hardly surprising, as this is a near-trivial vulnerability to exploit, and it’s not particularly challenging to find web interfaces for the MegaRAC devices using tools like Shodan and others.
There’s a particularly ugly scenario that’s likely to play out here: Embedded malware. This vulnerability could be chained with others, and the OS running on the BMC itself could be permanently modified. It would be very difficult to disinfect and then verify the integrity of one of these embedded systems, short of physically removing and replacing the flash chip. And malware running from this very advantageous position very nearly have the keys to the kingdom, particularly if the architecture connects the BMC controller over the PCIe bus, which includes Direct Memory Access.
This brings us to the really bad news. These devices are everywhere. The list of hardware that ships with the MegaRAC Redfish UI includes select units from “AMD, Ampere Computing, ASRock, ARM, Fujitsu, Gigabyte, Huawei, Nvidia, Supermicro, and Qualcomm”. Some of these vendors have released patches. But at this point, any of the vulnerable devices on the Internet, still unpatched, should probably be considered compromised.
Patching Isn’t Enough
To drive the point home, that a compromised embedded device is hard to fully disinfect, we have the report from [Max van der Horst] at Disclosing.observer, detailing backdoors discovered in verious devices, even after the patch was applied.
These tend to hide in PHP code with innocent-looking filenames, or in an Nginx config. This report covers a scan of Citrix hosts, where 2,491 backdoors were discovered, which is far more than had been previously identified. Installing the patch doesn’t always mitigate the compromise.
Many of us have found VSCode to be an outstanding IDE, and the fact that it’s Open Source and cross-platform makes it perfect for programmers around the world. Except for the telemetry, which is built into the official Microsoft builds. It’s Open Source, so the natural reaction from the community is to rebuild the source, and offer builds that don’t have telemetry included. We have fun names like VSCodium, and Cursor for these rebuilds. Kudoes to Microsoft for making VSCode Open Source so this is possible.
There is, however, a catch, in the form of the extension marketplace. Only official VSCode builds are allowed to pull extensions from the marketplace. As would be expected, the community has risen to the challenge, and one of the marketplace alternatives is Open VSX. And this week, we have the story of how a bug in the Open VSX publishing code could have been a really big problem.
When developers are happy with their work, and are ready to cut a release, how does that actually work? Basically every project uses some degree of automation to make releases happen. For highly automated projects, it’s just a single manual action, a kick-off of a Continuous Integration (CI) run, that builds and publishes the new release. Open VSX supports this sort of approach, and in fact runs a nightly GitHub Action to iterate through the list of extensions, and pull any updates that are advertised.
VS Code extensions are Node.js projects, and are built using npm. So the workflow clones the repository, and runs npm install to generate the installable packages. Running npm install does carry the danger that arbitrary code runs inside the build scripts. How bad would it be for malicious code to run inside this night update action, on the Open VSX GitHub repository?
A super-admin token was available as an environment variable inside this GitHub Action, that if exfiltrated, would allow complete takeover of the Open VSX repository and unfettered access to the software contained therein. There’s no evidence that this vulnerability was found or exploited, and OpenVSX and Koi Security worked together to mitigate it, with the patch landing about a month and a half after first disclosure.
FileFix
There’s a new social engineering attack on the web, FileFix. It’s a very simple, nearly dumb idea. By that I mean, a reader of this column would almost certainly never fall for it, because FileFix asks the user to do something really unusual. It works like this. You get an email or land on a bad website, and it appears present a document for you. To access this doc, just follow the steps. Copy this path, open your File Explorer, and paste the path. Easy! The website even gives you a button to click to launch file explorer.
That button actually launches a file upload dialog, but that’s not even the clever part. This attack takes advantage of two quirks. The first is that Javascript can inject arbitrary strings into the paste buffer, and the second is that system commands can be run from the Windows Explorer bar. So yes, copy that string, and paste it into the bar, and it can execute a command. So while it’s a dumb attack, and asks the user to do something very weird, it’s also a very clever intersection between a couple of quirky behaviors, and users will absolutely fall for this.
eMMC Data Extraction
The embedded MultiMediaCard (eMMC) is a popular option for flash storage on embedded devices. And Zero Day Initiative has a fascinating look into what it takes to pull data from an eMMC chip in-situ. An 8-leg EEPROM is pretty simple to desolder or probe, but the ball grid array of an eMMC is beyond the reach of mere mortals. If you’re soldering skills aren’t up to the task, there’s still hope to get that data off. The only connections needed are power, reference voltage, clock, a command line, and the data lines. If you can figure out connection points for all of those, you can probably power the chip and talk to it.
One challenge is how to keep the rest of the system from booting up, and getting chatty. There’s a clever idea, to look for a reset pin on the MCU, and just hold that active while you work, keeping the MCU in a reset, and quiet, state. Another fun idea is to just remove the system’s oscillator, as the MCU may depend on it to boot and do anything.
Bits and Bytes
What would you do with 40,000 alarm clocks? That’s the question unintentionally faced by [Ian Kilgore], when he discovered that the loftie wireless alarm clock works over unsecured MQTT. On the plus side, he got Home Automation integration working.
What does it look like, when an attack gets launched against a big cloud vendor? The folks at Cloud-IAM pull the curtain back just a bit, and talk about an issue that almost allowed an enumeration attack to become an effective DDoS. They found the attack and patched their code, which is when it turned into a DDoS race, that Cloud-IAM managed to win.
The Wire secure communication platform recently got a good hard look from the Almond security team. And while the platform seems to have passed with good grades, there are a few quirks around file sharing that you might want to keep in mind. For instance, when a shared file is deleted, the backing files aren’t deleted, just the encryption keys. And the UUID on those files serves as the authentication mechanism, with no additional authentication needed. None of the issues found rise to the level of vulnerabilities, but it’s good to know.
And finally, the Centos Webpanel Control Web Panel has a pair of vulnerabilities that allowed running arbitrary commands prior to authorization. The flaws have been fixed in version 0.9.8.1205, but are trivial enough that this cPanel alternative needs to get patched on systems right away.
Meet Cucumber, The Robot Dog
Robots can look like all sorts of things, but they’re often more fun if you make them look like some kind of charming animal. That’s precisely what [Ananya], [Laurence] and [Shao] did when they built Cucumber the Robot Dog for their final project in the ECE 4760 class.
Cucumber is controllable over WiFi, which was simple enough to implement by virtue of the fact that it’s based around the Raspberry Pi Pico W. With its custom 3D-printed dog-like body, it’s able to move around on its four wheels driven by DC gear motors, and it can flex its limbs thanks to servos in its various joints. It’s able to follow someone with some autonomy thanks to its ultrasonic sensors, while it can also be driven around manually if so desired. To give it more animal qualities, it can also be posed, or commanded to bark, howl, or growl, with commands issued remotely via a web interface.
The level of sophistication is largely on the level of the robot dogs that were so popular in the early 2000s. One suspects it could be pretty decent at playing soccer, too, with the right hands behind the controls. Video after the break.
youtube.com/embed/myNXUAshH7Q?…
Legge italiana sull’intelligenza artificiale: un primato senza settore?
@Politica interna, europea e internazionale
Con l’approvazione da parte della Camera dei Deputati del Disegno di Legge sull’intelligenza artificiale, l’Italia si appresta a diventare il primo Paese europeo a dotarsi di una normativa organica in materia di IA: un passo che, nelle intenzioni, dovrebbe
Politica interna, europea e internazionale reshared this.
SIRIA. Al Shara caccia le formazioni palestinesi e stringe i rapporti con Israele
@Notizie dall'Italia e dal mondo
Prima della caduta di Bashar Assad si stima che in Siria operassero circa 20 organizzazioni palestinesi. Negli ultimi mesi molti esponenti di queste organizzazioni sono fuggiti all’estero a causa della crescente repressione
L'articolo SIRIA. Al
Notizie dall'Italia e dal mondo reshared this.
Il Casd come hub strategico della formazione militare. Nel segno del generale Graziano
@Notizie dall'Italia e dal mondo
Con una cerimonia solenne, ricca di una folta partecipazione istituzionale, si è chiuso l’anno accademico 2024-2025 del Centro Alti Studi per la Difesa (Casd). L’evento si è svolto ieri a Palazzo Salviati, sede dell’alta formazione strategica della
Notizie dall'Italia e dal mondo reshared this.
Per i consumatori olandesi Sony giochicchia troppo col prezzo dei videogame PlayStation?
L'articolo proviene da #StartMag e viene ricondiviso sulla comunità Lemmy @Informatica (Italy e non Italy 😁)
Secondo una fondazione olandese, Sony starebbe spingendo i gamer all'acquisto di PlayStation 5 che possano leggere esclusivamente videogame digitali così da
Informatica (Italy e non Italy 😁) reshared this.
Attenti alla nuova truffa SPID, così rubano l’identità digitale: come difenderci
@Informatica (Italy e non Italy 😁)
Ci chiedono di effettuare l’accesso allo SPID e di caricare una copia aggiornata dei nostri documenti, poi anche di registrare un video di riconoscimento. Ecco come funziona la nuova truffa SPID e come difenderci
L'articolo Attenti alla nuova truffa
Informatica (Italy e non Italy 😁) reshared this.
Urs Lesse
in reply to Max su Poliverso 🇪🇺🇮🇹 • • •Max su Poliverso 🇪🇺🇮🇹 likes this.