There’s something ominous about robots taking over jobs that humans are suited to do. Maybe you don’t want a job turning a wrench or pushing a broom, but someone does. But then there are the jobs no one wants to do or physically can’t do. Robots fighting fires, disarming bombs, or cleaning up nuclear reactors is something most people will support. But can you climb through a water pipe from the inside? No? There are robots that are available from several commercial companies and others from university researchers from multiple continents.

If you think about it, it makes sense. For years, companies that deal with pipes would shoot large slugs, or “pigs”, through the pipeline to scrape them clean. Eventually, they festooned some pigs with sensors, and thus was born the smart pig. But now that it is possible to make tiny robots, why not send them inside the pipe to inspect and repair?

Why?

It makes sense that anything you can do from inside the pipe is probably going to be cheaper than digging up buried pipe and either repairing or replacing it. For example, 4 cm robots from the University of Sheffield can inspect pipes from inside, cooperate in swarms, and locate leaks that would be nearly impossible to find conventionally.

In fact, robots inside pipes aren’t a totally new idea. But in the past, the pipes had to be very large to fit the robot. This newer class of pipe inspecting and repairing robots can fit inside smaller pipes like you might find in a city’s water supply. For example, the Easy-Sight X5 (see the video below) fits in a 100 mm pipe, and it is big when compared to some of the newer competitors.

youtube.com/embed/2-V6veJiqdI?…

Not Just Inspection

The Carnegie Mellon robot is modular, so it can handle different kinds of jobs. A mobility module has two-inch wheels and can haul up to sixty pounds of payload. One of those payloads is an applicator for a special resin that can repair leaks.

The resin starts out with the consistency of soft-serve ice cream but quickly hardens as it shoots out of a spinning nozzle that creates a spring-like inner coating spiraling around the inside of the pipe.

The robot’s no speed demon. It can inspect about nine miles of pipe in eight hours. However, when repairing, the same time period is sufficient to fix 1.8 miles of pipe. Even big names like GE are working on similar technology that will spray epoxy to form a new pipe inside an old pipe.

youtube.com/embed/_Um9bD3VLLM?…

DIY

Could you do this yourself? There’s no reason you couldn’t make an inspection robot. [Stargate Systems] did using a Raspberry Pi Zero, and you can check it out in the video below. Repair might be a bit more complex, but might be workable with a little ingenuity.

youtube.com/embed/adGp3PADKsk?…

Dirty Jobs

Even if you and your submarine were shrunk down, you probably don’t want this job. There are probably dozens of jobs you can’t or don’t want to do. Will you build a robot to do it? Let us know in the comments or — better — built it and leave us a tip.

We wonder why these robots don’t look more like snakes.

hackaday.com/2025/07/14/robots…

It is virtually a rite of passage for C programmers to realize that they can write their own cooperative multitasking system. C is low-level enough, and there are several ways to approach the problem, so, like Jedi light sabers, each one is a little bit different. [Christoph Wolcher] took his turn, and not only is his system an elegant hack, if that’s not an oxymoron, it is also extremely well documented.

Before you dig in, be warned. [Christoph] fully admits that you should use an RTOS. Or Rust. Besides, after he finished, he discovered the protothreads library, which does a similar task in a different way that is both more cool and more terrible all at the same time.

Once you dig in, though, you’ll see the system relies on state machines. Just to prove the point, he writes a basic implementation, which is fine, but hard to parse and modify. Then he shows a simple implementation using FreeRTOS, which is fine except for, you know, needing FreeRTOS.

Using a simple set of macros, it is possible to get something very similar to the RTOS version that runs independently, like the original version. Most of the long code snippets show you what code the macros generate. The real code is short and to the point.

Multiprocessing is a big topic. You can have processes, threads, fibers, and coroutines. Each has its pros and cons, and each has its place in your toolbox.

hackaday.com/2025/07/14/corout…

La Giornata Mondiale degli scimpanzé (World Chimpanzee Day) viene celebrata ogni anno il 14 settembre. È una data dedicata alla sensibilizzazione sull'importanza di proteggere queste specie in via di estinzione; è stata istituita nel 2017 dall'organizzazione internazionale "Jane Goodall Institute" per richiamare l'attenzione sulla situazione critica in cui si trovano le scimmie antropomorfe, in particolare i cebi e i scimpanzé.

Gli scimpanzé condividono circa il 98,7% del loro DNA con gli esseri umani: possono imparare il linguaggio dei segni, risolvere problemi e persino costruire utensili. Eppure, nonostante la loro intelligenza e lo stretto legame con noi, gli scimpanzé sono ora classificati come specie in pericolo nella Lista Rossa (Red List) IUCN, con popolazioni in continuo declino a causa della perdita di habitat e del commercio illegale di fauna selvatica.

La Red List IUCN

L'Unione Internazionale per la Conservazione della Natura (IUCN, International Union for Conservation of Nature), fondata oltre 60 anni fa, ha la missione di "influenzare, incoraggiare e assistere le società in tutto il mondo a conservare l'integrità e diversità della natura e di assicurare che ogni utilizzo delle risorse naturali sia equo e ecologicamente sostenibile". La IUCN conta oggi oltre 1000 membri tra stati, agenzie governative, agenzie non governative e organizzazioni internazionali: in Italia ne fanno parte la Direzione per la Protezione della Natura del Ministero dell'Ambiente, le principali organizzazioni non governative per la protezione dell'ambiente, enti di ricerca e alcune aree protette. Alla IUCN è affiliata una rete di oltre 10000 ricercatori che contribuiscono come volontari alle attività scientifiche e di conservazione.
Il mantenimento e l'aggiornamento periodico della IUCN Red List of Threatened Species o Lista Rossa IUCN delle Specie Minacciate (iucnredlist.org) è l'attività più influente condotta dalla Species Survival Commission della IUCN. Attiva da 50 anni, la Lista Rossa IUCN è il più completo inventario del rischio di estinzione delle specie a livello globale. Inizialmente la Lista Rossa IUCN raccoglieva le valutazioni soggettive del livello di rischio di estinzione secondo i principali esperti delle diverse specie. Dal 1994 le valutazioni sono basate su un sistema di categorie e criteri quantitativi e scientificamente rigorosi, la cui ultima versione risale al 2001. Queste categorie e criteri, applicabili a tutte le specie viventi a eccezione dei microorganismi, rappresentano lo standard mondiale per la valutazione del rischio di estinzione. Per l'applicazione a scala non globale, inclusa quella nazionale, esistono delle linee guida ufficiali.

La Convenzione CITES

Gli scimpanzé (Pan troglodytes) sono elencati nell'Appendice I della Convenzione sul Commercio Internazionale delle Specie di Fauna e Flora Selvatiche Minacciate di Estinzione (CITES).

Questo significa che:

- Il commercio internazionale di scimpanzé e dei loro prodotti derivati (come pelli, ossa, ecc.) è vietato, a meno che non ci sia un'autorizzazione speciale per scopi non commerciali, come la ricerca scientifica.

- Ogni trasferimento internazionale di scimpanzé deve essere autorizzato con appositi permessi CITES rilasciati dalle autorità nazionali competenti.

- I paesi aderenti alla CITES sono tenuti a vietare il commercio di scimpanzé e a prendere misure per proteggere queste specie a rischio di estinzione.

Una specie primata a rischio

Le informazioni della Wildlife Justice Commission rivelano una tattica inquietante utilizzata dai trafficanti: l'abuso della documentazione CITES. Permessi falsificati o ottenuti fraudolentemente vengono utilizzati per mascherare il commercio illegale di scimpanzé selvatici come legale. Questo sfruttamento del sistema consente alle reti organizzate di trarne profitto, mentre le popolazioni di scimpanzé selvatici continuano a soffrire.
Sussiste l’urgente necessità di rafforzare l’applicazione della legge e di smantellare le reti di traffico che sfruttano questa specie vulnerabile.

Cosa può la cooperazione di polizia?
La cooperazione internazionale di polizia svolge un ruolo importante nella difesa degli scimpanzé, soprattutto per contrastare il bracconaggio e il traffico illegale di questi primati. Ecco alcune delle principali azioni intraprese:

- Operazioni congiunte transfrontaliere:

Le forze di polizia di diversi paesi coordinano operazioni per individuare e fermare i trafficanti che spostano illegalmente gli scimpanzé attraverso i confini.
Vengono effettuati controlli e ispezioni mirate nei porti, negli aeroporti e lungo le rotte di traffico.
Scambio di informazioni e intelligence:

Le agenzie di polizia condividono informazioni sui gruppi criminali coinvolti nel traffico di scimpanzé, sulle loro rotte e sui metodi utilizzati.
Ciò permette di anticipare e intervenire tempestivamente per sventare i traffici.

- Formazione e capacity building:

La cooperazione internazionale supporta la formazione degli agenti di polizia locali sui metodi di riconoscimento, cattura e gestione degli scimpanzé.
Vengono fornite competenze per indagare e raccogliere prove sui crimini legati al traffico di fauna selvatica.
Assistenza legale e giudiziaria:

Quando vengono effettuati arresti, le autorità collaborano per assicurare i trafficanti alla giustizia attraverso procedure legali coordinate.
Vengono forniti supporto e consulenza legale per garantire condanne adeguate.

- Sensibilizzazione e coinvolgimento delle comunità:

Vengono realizzate campagne di sensibilizzazione nelle aree a rischio per scoraggiare la domanda di scimpanzé e altri animali selvatici.
Le comunità locali sono coinvolte nella sorveglianza e nella segnalazione di attività sospette.
Questa cooperazione internazionale multi-agenzia è fondamentale per contrastare efficacemente il bracconaggio e il traffico illegale degli scimpanzé, contribuendo così alla loro protezione e conservazione.

Risorse per approfondire:

Jane Goodall Institute: www.janegoodall.it
World Chimpanzee Day: www.worldchimpanzeeday.org

#scimpanzé #CITES #IUCN #WildlifeJusticeCommission

@Scienze

A cura di Bianca Amico di Meane (Head of Marketing Nais), Ivana Genestrone (Avvocato e DPO per Nais) e Riccardo Margarito (Cyber Security Expert, Red Team Nais)

Nel panorama attuale della cybersicurezza, il detto “una catena è forte quanto il suo anello più debole” non è mai stato così pertinente. Gli attacchi informatici alla supply chain sono in costante aumento, dimostrando come la sicurezza di un’organizzazione non dipenda più solo dalle sue difese interne, ma anche da quelle dei suoi fornitori e partner.

Un esempio emblematico è il recente attacco a Ingram Micro, distributore globale di tecnologia, che il 5 luglio 2025 ha confermatodi aver subito un attacco ransomware che ha colpito gravemente i suoi sistemi interni. Non ci sono ancora conferme ufficiali su eventuali furti di dati o sul gruppo criminale responsabile, ma fonti non verificate attribuiscono l’attacco al ransomware SafePay.

Un singolo incidente ha generato conseguenze drammatiche, paralizzando intere filiere produttive e di servizio, bloccando ordini, spedizioni e servizi in centinaia di Paesi.

Questo evento sottolinea drammaticamente come le interdipendenze digitali nella supply chain siano oggi riconosciute dalla direttiva NIS2 come un vettore di rischio sistemico. Il caso dimostra impietosamente la fragilità dell’equilibrio tra efficienza operativa e sicurezza, specialmente quando i servizi digitali sono erogati in modalità “as-a-Service” e risultano profondamente interconnessi.

Governance del Rischio: Luci e Ombre nella Risposta

L’incidente di Ingram Micro ha messo in luce una duplice realtà: da un lato, un’organizzazione capace di attivare prontamente un piano di risposta agli incidenti; dall’altro, la dolorosa constatazione che tale capacità non è stata sufficiente a impedire la compromissione di sistemi mission-critical. Questo scenario rafforza l’imperativo imposto dalla direttiva NIS2: ogni soggetto “essenziale” (categoria in cui rientrerebbe Ingram Micro se fosse un’entità europea) deve dimostrare di possedere un sistema di gestione del rischio formalizzato, continuo e supervisionato a livello dirigenziale. Inoltre, è fondamentale integrare piani di continuità operativa e disaster recovery nei modelli di governance aziendali.

Per affrontare questa sfida complessa, bilanciando conformità legale e preparazione tecnica, sono intervenuti l’avvocato Ivana Genestrone, consulente per Nais, e Riccardo Margarito, esperto del Red Team diNais, offrendo una prospettiva completa su come garantire una governance della sicurezza efficace.

In questo articolo, esploreremo le implicazioni della Direttiva NIS 2 e delleLinee Guida ENISA, analizzando l’approccio diNais, realtà 100% italiana specializzata nei servi Gestiti Cyber e IT nel supportare le aziende in questo percorso di adattamento.

NIS 2 e ENISA: Il Nuovo Paradigma per la Sicurezza della Supply Chain

La Direttiva NIS 2 (Direttiva UE 2022/2555) e il Regolamento di Implementazione UE 2024/2690 del 17 ottobre 2024, con le relative “Technical Implementation Guidance” di ENISA, rappresentano un punto di svolta per la cybersicurezza in Europa.

Queste normative non si limitano a imporre requisiti tecnici e organizzativi stringenti per la gestione dei rischi, ma introducono anche una responsabilità esplicita per la sicurezza della supply chain. L’Avvocato Ivana Genestrone sottolinea come “Le nuove normative europee, in particolare la Direttiva NIS 2 e le Linee Guida ENISA, segnano un cambio di paradigma significativo. Non si tratta più solo di proteggere i propri asset interni, ma di estendere questa responsabilità all’intera catena di fornitura. Questo significa che le aziende devono adottare una supply chain security policy ben definita, che governi le relazioni con i fornitori diretti e i service provider per mitigare i rischi identificati. La policy deve chiarire ruoli e responsabilità e comunicare i requisiti di sicurezza attesi ai fornitori.Non solo: è fondamentale assicurare che i contratti includano clausole adeguate per audit e verifiche periodiche, garantendo che i requisiti di sicurezza siano mantenuti nel tempo. Questo è un aspetto cruciale perché la conformità deve essere dinamica, non statica.”

Le Linee Guida ENISA, in particolare, stabiliscono criteri specifici per la selezione, la valutazione e il monitoraggio dei partner tecnologici. Questo include:

• La valutazione delle loro capacità di garantire la cybersicurezza.
• Il possesso di certificazioni riconosciute (come ISO/IEC 27001, GCIH, GSOC, CEH, CompTIA Security+, CompTIA CySA+).
• La conformità a standard internazionali.

Vengono suggeriti anche criteri aggiuntivi come:

• La stabilità finanziaria del fornitore.
• La sua reputazione nel mercato.
• La capacità di fornire supporto in caso di incidenti.

La valutazione dovrebbe essere documentata e aggiornata periodicamente, con una classificazione dei fornitori basata su:

• Criticità degli asset.
• Volume degli asset acquistati da un medesimo fornitore.
• Disponibilità di intervento e supporto.
• Valutazione dei rischi.

Esempi di classificazione includono:

• Critico: con impatto significativo sulle operazioni del soggetto NIS 2.
• Strategico: partner ad alto valore che contribuisce agli asset basati sulle informazioni (es. cloud provider, fornitori di analisi sui dati, sviluppatori di software e fornitori di servizi di telecomunicazioni).
• Di routine: con minimo impatto sul soggetto NIS 2.

Adversary Simulation: Misurare la Resilienza Tecnica con il Red Team NAIS

Mentre la normativa definisce il “cosa”, l’aspetto tecnico si concentra sul “come” garantire l’effettiva robustezza della supply chain. È qui che entrano in gioco metodologie avanzate come l’Adversary Simulation, che vanno oltre i tradizionali penetration test.

Riccardo Margarito, specialista sul campo e membro del Red Team di Nais, spiega che “L’approccio di Nais è evolvere il tradizionale Penetration Testing verso un modello di sicurezza continuoe adattivo. Il Threat Led Penetration Testing (TLPT), servizio integrato a Fluxstorm Prevent, è la nostra chiave di volta in quanto ci permette di testare la capacità reale dello stack di sicurezza (includendo sia tecnologia che risorse), di gestire e rispondere a ‘eventi avversi non standard’,ed essere compliant alle direttive europee come la NIS2.”

“Come Red Team non ci limitiamo a individuare le falle di sicurezza: simuliamo attacchi reali con exploit ‘harmless’ e PoC custom sviluppate internamente, per misurare l’efficacia operativa dello stack di sicurezza (EDR, SIEM, IDS/IPS, XDR) e in particolare del servizio SOC già presente come la SOC Assurance:questo include la valutazione dei tempi di detection, presa in carico e gestione degli incidenti, e l’analisi della capacità di generare evidenze tecniche in un report efficace e concreto.”

Nais, con oltre 30 anni di esperienza nella sicurezza Cyber, IT & OT, vanta due competence center (NOC e SOC) e un team di oltre 100 ingegneri specializzati. Lato Red Team, le metodologie si basano su standard come PTES, OSSTMM, OWASP e MITRE ATT&CK, permettendo di identificare vulnerabilità critiche in sistemi complessi e di fornire piani di Remediation e Patch Management dettagliati.

L’obiettivo è ottenere un miglioramento misurabile delle KPI principali:

• Riduzione delle Vulnerabilità High/Critical tra una scansione e la successiva (Post Remediation).
• Diminuzione del MTTR (Mean Time To Remediation) per le successive scansioni.
• Aumento della Copertura Sicurezza e Resilienza, anche in termini di consapevolezza.
• Conformità alla RoadMap NIS2.

Governance della Sicurezza: L’Integrazione Cruciale tra Aspetti Legali e Tecnici

La vera sfida per le aziende è integrare i requisiti legali e organizzativi con le capacità tecniche, trasformando le direttive in azioni concrete, pianificate e misurabili. Questo richiede una sinergia tra tutti i dipartimenti aziendali, a partire da un forte coordinamento tra legale, IT e di sicurezza. L’Avvocato Ivana Genestrone chiarisce che “La gestione del ciclo di vita del rapporto con i fornitori, come suggerito da ENISA, deve essere strutturata e prevedere:

• Assessment regolari (es. meeting con i fornitori), tenendo conto di eventuali disallineamenti dagli SLA pattuiti.
• Definizione chiara di ruoli e responsabilità per il mantenimento dei servizi, le operazioni e la proprietà degli asset.
• Controlli periodici sulla qualità del prodotto/servizio, intensificando i controlli con il passare del tempo.
• Rivalutazione del fornitore anche sotto il profilo della sua compliance.

Inoltre, il tracciamento degli incidenti di sicurezza collegati al/causati dal fornitore è essenziale per una rivalutazione immediata, così come la gestione della fase di conclusione del rapporto, con clausole contrattualiche disciplinino la transizione da un fornitore all’altro, il diritto di accesso ai dati e l’assistenza garantita dal fornitore.

Tutto ciò non è meramente burocratico; è la base per una Governance robusta che riduca l’esposizione al rischio dell’intera filiera ed aumenti la consapevolezza ad un approccio standard di alto livello. Attenzione perché violare i requisiti di Governance della NIS 2 può comportare sanzioni importanti non soltanto a carico delle entità ma anche degli amministratori e degli organi direttivi”

Dal punto di vista tecnico, Riccardo Margarito aggiunge che “l’integrazione con l’aspetto legale è essenziale. Le simulazioni che eseguiamo non solo identificano le vulnerabilità, ma forniscono anche le ‘evidenze tecniche’ necessarie per dimostrare la conformità ai requisiti normativi e agli SLA dichiarati dai SOC provider. I nostri report strutturati sui piani di remediation e patch management diventano strumenti operativi per le aziende per rispondere in modo proattivo alle indicazioni normative e supportare il team tecnico interno. L’approccio di Nais al Vulnerability Management e all’Adversary Simulation si estende a diverse aree:

• Perimetro Interno: Network Sniffing e tentativi di compromissione su Switch, Camera, Firewall, Endpoint, Users, Servers. Vengono condotti Vulnerability Assessment (VA) su CVE, Active Directory, misconfigurazioni, e Penetration Testing (PT) e Breach Simulation su evidenze trovate con elevazione dei privilegi (in modo controllato e senza interruzione dei servizi).
• Perimetro Esterno: Enumerazione asset esposti, IP pubblici, DNS, servizi perimetrali. Si effettuano VA su enumerazione servizi, analisi patch, fingerprinting e mappatura superfici d’attacco, e PT con evasione firewall, Brute Force su servizi critici, test di intrusioni su endpoint pubblici.
• WebApp: Applicazioni Web e Mobile, API integration,architettura backend, frameworks, middleware e infrastruttura sottostante. Vengono identificate Vulnerabilità OWASP Top 10 (SQLI, XSS, SSRF, IDOR, manipolazione sessione…), e si eseguono in contesti statici (SAST) e dinamici (DAST).

Implicazioni per le Aziende Italiane: Progettare la Cybersicurezza Strategicamente

In Italia, l’applicazione di tutte le norme che richiedono un rafforzamento, a vari livelli, della capacità di proteggere i dati, richiede alle aziende, in particolare quelle operanti nel mid-market e i fornitori di servizi critici, un approccio strategico e integrato alla cybersicurezza. Non si tratta di un mero esercizio di conformità, ma di un investimento nella resilienza operativa e nella tutela del business.L’Avvocato Ivana Genestrone conclude che “I requisiti organizzativi e tecnici dell’Art. 21 della Direttiva NIS 2, sviluppati dal Regolamento e dalle Linee Guida ENISA, impongono al management delle aziende di adottare un approccio alla cybersicurezza che sia integrato e strategico. La capacità di predeterminare le caratteristiche di incidente e di crisi, con ruoli, responsabilità e procedure chiare, è di importanza strategica per la governance di un soggetto NIS 2. È richiesto l’adozione di un vero e proprio sistema di gestione, che includa, tra l’altro, misure specifiche per:

• La selezione e il monitoraggio dei fornitori che possono avere un impatto rilevante sulla cybersicurezza del soggetto NIS 2.
• La gestione della fine dei rapporti contrattuali.

La sicurezza della supply chain, infatti, rappresenta una specifica responsabilità degli organi amministrativi e di direzione del soggetto NIS 2. In questo contesto, tutti i processi, ruoli, misure devono risultare parte di un ‘tutto’ coerente ed integrato. Diversamente, il soggetto NIS 2 potrebbe fallire di essere in grado di dimostrare di avere posto in essere misure adeguate a soddisfare i requisiti di resilienza cyber richiesti dalla direttiva, con ciò generando conseguenze pesanti per enti e management.”

Verso un Ecosistema Digitale più Sicuro: La Collaborazione tra Legalità e Tecnica

L’era delle interdipendenze digitali richiede un’evoluzione nella gestione della cybersicurezza. Le direttive europee, supportate da metodologie tecniche avanzate come quelle proposte da Nais, offrono un percorso chiaro per le aziende che vogliono non solo essere conformi, ma costruire una resilienza intrinseca. La collaborazione tra esperti legali e tecnici è la chiave per tradurre i requisiti normativi in piani d’azione efficaci, garantendo che ogni anello della catena di fornitura sia forte abbastanza da resistere alle minacce del panorama cyber attuale.

L'articolo La Supply Chain è sotto attacco! Le lezioni chiave per l’era della Direttiva NIS2 proviene da il blog della sicurezza informatica.

There are a lot of benefits to writing for Hackaday, but hands down one of the best is getting paid to fall down fascinating rabbit holes. These often — but not always — delightful journeys generally start with chance comments by readers, conversations with fellow writers, or just the random largesse of The Algorithm. Once steered in the right direction, a few mouse clicks are all it takes for the properly prepared mind to lose a few hours chasing down an interesting tale.

I’d like to say that’s exactly how this article came to be, but to be honest, I have no idea where I first heard about the prison camp lathe. I only know that I had a link to a PDF of an article written in 1949, and that was enough to get me going. It was probably a thread I shouldn’t have tugged on, but I’m glad I did because it unraveled into a story not only of mechanical engineering chops winning the day under difficult circumstances, but also of how ingenuity and determination can come together to make the unbearable a little less trying, and how social engineering is an important a skill if you want to survive the unsurvivable.

Finding Reggie

For as interesting a story as this is, source material is hard to come by. Searches for “prison camp lathe” all seem to point back to a single document written by one “R. Bradley, A.M.I.C.E” in 1949, describing the building of the lathe. The story, which has been published multiple times in various forms over the ensuing eight decades, is a fascinating read that’s naturally heavy on engineering details, given the subject matter and target audience. But one suspects there’s a lot more to the story, especially from the few tantalizing details of the exploits surrounding the tool’s creation that R. Bradley floats.

Tracking down more information about Bradley’s wartime experiences proved difficult, but not impossible. Thankfully, the United Kingdom’s National Archives Department has an immense trove of information from World War II, including a catalog of the index cards used by the Japanese Empire to keep track of captured Allied personnel. The cards are little more than “name, rank, and serial number” affairs, but that was enough to track down a prisoner named Reginald Bradley:

Now, it’s true that Reginald Bradley is an extremely British name, and probably common enough that this wasn’t the only Reggie Bradley serving in the Far East theater in World War II. And while the date of capture, 15 February 1942, agrees with the date listed in the lathe article, it also happens to be the date of the Fall of Singapore, the end of a seven-day battle between Allied (mainly British) forces and the Japanese Imperial Army and Navy that resulted in the loss of the island city-state. About 80,000 Allied troops were captured that day, increasing the odds of confusing this Reginald Bradley with the R. Bradley who wrote the article.

The clincher, though, is Reginald Bradley’s listed occupation on the prisoner card: “Chartered Civil Engineer.” Even better is the information captured in the remarks field, which shows that this prisoner is an Associate Member of the Institution of Civil Engineers, which agrees with the “A.C.I.M.E” abbreviation in the article’s byline. Add to that the fact that the rank of Captain in the Royal Artillery listed on the card agrees with the author’s description of himself, and it seems we have our man. (Note: it’s easy to fall into the genealogical rabbit hole at this point, especially with an address and mother’s name to work with. Trust me, though; that way lies madness. It’s enough that the index card pictured above cost me £25 to retrieve from one of the National Archive’s “trusted partner” sites.)

The Royal Society of Social Engineers

The first big question about Captain Bradley is how he managed to survive his term as a prisoner of the Japanese Empire, which, as a non-signatory to the various international conventions and agreements on the treatment of prisoners of war, was famed for its poor treatment of POWs. Especially egregious was the treatment of prisoners assigned to build the Burma Death Railway, an infrastructure project that claimed 45 lives for every mile of track built. Given that his intake card clearly states his civil engineering credentials with a specialty in highways and bridges, one would think he was an obvious choice to be sent out into the jungle.

Rather than suffering that fate, Captain Bradley was sent to the infamous prison camp that had been established in Singapore’s Changi Prison complex. While not pleasant, it was infinitely preferable to the trials of the jungle, but how Bradley avoided that fate is unclear, as he doesn’t mention the topic at all in his article. He does, however, relate a couple of anecdotes that suggest that bridges and highways weren’t his only engineering specialty. Captain Bradley clearly had some social engineering chops too, which seem to have served him in good stead during his internment.

Within the first year of his term, he and his fellow officers had stolen so many tools from their Japanese captors that it was beginning to be a problem to safely stash their booty. They solved the problem by chatting up a Japanese guard under the ruse of wanting to learn a little Japanese. After having the guard demonstrate some simple pictograms like “dog” and “tree,” they made the leap to requesting the symbol for “workshop.” Miraculously, the guard fell for it and showed them the proper strokes, which they copied to a board and hung outside the officer’s hut between guard changes. The new guard assumed the switch from hut to shop was legitimate, and the prisoners could finally lay out all their tools openly and acquire more.

Another bit of social engineering that Captain Bradley managed, and probably what spared him from railway work, was his reputation as a learned man with a wide variety of interests. This captured the attention of a Japanese general, who engaged the captain in long discussions on astronomy. Captain Bradley appears to have cultivated this relationship carefully, enough so that he felt free to gripe to the general about the poor state of the now officially sanctioned workshop, which had been moved to the camp’s hospital block. A care package of fresh tools and supplies, including drill bits, hacksaw blades, and a supply of aluminum rivets, which would prove invaluable, soon arrived. These joined their pilfered tool collection along with a small set of machines that were in the original hospital shop, which included a hand-operated bench drill, a forge, some vises, and crucially, a small lathe. This would prove vital in the efforts to come, but meanwhile, the shop’s twelve prisoner-machinists were put to work making things for the hospital, mainly surgical instruments and, sadly, prosthetic limbs.

The Purdon Joint

Australian POWs at the Changi camp sporting camp-made artificial legs, some with the so-called “Purdon Joint.” This picture was taken after liberation, which explains the high spirits. Source: Australian War Memorial, public domain.
In his article, Captain Bradley devotes curiously little space to descriptions of these prosthetics, especially since he suggests that his “link-motion” design was innovative enough that prisoners who had lost legs to infection, a common outcome even for small wounds given the poor nutrition and even poorer sanitation in the camps, were able to walk well enough that a surgeon in the camp, a British colonel, noted that “It is impossible to tell that the walker is minus a natural leg.” The lack of detail on the knee’s design might also be due to modesty, since other descriptions of these prostheses credit the design of the knee joint to Warrant Officer Arthur Henry Mason Purdon, who was interned at Changi during this period.

A number of examples of the prosthetic legs manufactured at “The Artificial Limb Factory,” as the shop was now dubbed, still exist in museum collections today. The consensus design seems to accommodate below-the-knee amputees with a leather and canvas strap for the thigh, a hinge to transfer most of the load from the lower leg to the thigh around the potentially compromised knee, a calf with a stump socket sculpted from aluminum, and a multi-piece foot carved from wood. The aluminum was often salvaged from downed aircraft, hammered into shape and riveted together. When the gifted supply of aluminum rivets was depleted, Bradley says that new ones were made on the lathe using copper harvested from heavy electrical cables in the camp.
A camp-made artificial leg, possibly worn by Private Stephen Gleeson. He lost his leg while working on the Burma Death Railway and may have worn this one in camp. Source: Australian War Memorial

It Takes a Lathe to Make a Lathe

While the Limb Factory was by now a going concern that produced items necessary to prisoners and captors alike, life in a prison camp is rarely fair, and the threat of the entire shop being dismantled at any moment weighed heavily on Captain Bradley and his colleagues. That’s what spurred the creation of the lathe detailed in Bradley’s paper — a lathe that the Japanese wouldn’t know about, and that was small enough to hide quickly, or even stuff into a pack and take on a forced march.

The paper goes into great detail on the construction of the lathe, which started with the procurement of a scrap of 3″ by 3″ steel bar. Cold chisels and drills were used to shape the metal before surfacing it on one of the other lathes using a fly cutter. Slides were similarly chipped from 1/2″ thick plate, and when a suitable piece of stock for the headstock couldn’t be found, one was cast from scrap aluminum using a sand mold in a flask made from sheet steel harvested from a barracks locker.
The completed Bradley prison camp lathe, with accessories. The lathe could be partially disassembled and stuffed into a rucksack at a moment’s notice. Sadly, the post-war whereabouts of the lathe are unknown. Source: A Small Lathe Built in a Japanese Prison Camp, by R. Bradley, AMICE.
Between his other shop duties and the rigors of prison life, Captain Bradley continued his surreptitious work on the lathe, and despite interruptions from camp relocations, was able to complete it in about 600 hours spread over six months. He developed ingenious ways to power the lathe using old dynamos and truck batteries. The lathe was used for general maintenance work in the shop, such as making taps and dies to replace worn and broken ones from the original gift of tools bequeathed by the Japanese general.

With the end of the war approaching, the lathe was put to use making the mechanical parts needed for prison camp radios, some of which were ingeniously hidden in wooden beams of the barracks or even within the leg of a small table. The prisoners used these sets to listen for escape and evasion orders from Allied command, or to just get any news of when their imprisonment might be over.

That day would come soon after the atomic bombing of Hiroshima and Nagasaki and Japan’s subsequent surrender in August 1945. The Changi prison camp was liberated about two weeks later, with the survivors returning first to military and later to civilian life. Warrant Officer Purdon, who was already in his 40s when he enlisted, was awarded a Distinguished Combat Medal for his courage during the Battle of Singapore. As for Captain Bradley, his trail goes cold after the war, and there don’t seem to be any publicly available pictures of him. He was decorated by King George VI after the war, though, “for gallant and distinguished service while a prisoner of war,” as were most other POWs. The award was well-earned, of course, but an understatement in the extreme for someone who did so much to lighten the load of his comrades in arms.

Featured image: “Warrant Officer Arthur Henry Mason Purdon, Changi Prison Camp, Singapore. c. 1945“, Australian War Memorial.

hackaday.com/2025/07/14/hackin…

Con l’emergere dei Large Language Models (LLM), come Grok 3, GPT-4, Claude e Gemini, l’attenzione della comunità scientifica si è spostata dalla semplice accuratezza delle risposte alla loro robustezza semantica. In particolare, è emersa una nuova superficie d’attacco: laPrompt Injection Persistente (PPI). Questa tecnica non richiede accessi privilegiati, vulnerabilità del sistema o exploit a basso livello, ma si basa esclusivamente sulla manipolazione linguistica e sul modello conversazionale del LLM.

Recenti episodi riportati da fonti come The Guardian, BBC, CNN e The New York Times (luglio 2025) confermano che Grok 3 ha già mostrato comportamenti problematici, come la produzione di contenuti antisemiti e lodi a Hitler in risposta a prompt su X. Questi incidenti sono stati attribuiti a un aggiornamento del codice che ha reso il modello “troppo compliant” ai prompt degli utenti, amplificando contenuti estremisti presenti sulla piattaforma. xAI ha risposto rimuovendo i post incriminati e implementando misure per limitare il linguaggio d’odio, ma il problema persiste, come dimostrato dall’esperimento PPI.

Il nostro test condotto su Grok 3, il modello proprietario di xAI, ha dimostrato come un utente possa istruire il modello a produrre sistematicamente contenuti negazionisti, antisemiti e storicamente falsi, eludendo i filtri di sicurezza e mantenendo coerente la narrativa alterata.

Architettura dell’esperimento

Il test è stato progettato per esplorare la vulnerabilità di Grok 3 alla persistenza semantica. Il processo è stato il seguente:

• Persistenza semantica testata in turni successivi: verificata la coerenza della narrativa alterata anche in prompt riformulati.
• Escamotage lessicale: il contesto “Nova Unione” viene introdotto come universo fittizio per mascherare la disinformazione.
• Verifica filtri etici: si monitora la mancata attivazione dei meccanismi di blocco o moderazione.

Questo comportamento evidenzia che la gestione delle istruzioni a lungo termine di Grok è vulnerabile all’hijacking semantico se non vincolata da filtri retroattivi e validatori.

Cos’è una Prompt Injection Persistente?

Una Prompt Injection Persistente (PPI) è una forma di manipolazione linguistica in cui l’utente induce il modello a interiorizzare istruzioni che, pur rimanendo entro i limiti apparenti della sicurezza, ne alterano progressivamente il comportamento anche su argomenti sensibili. Diversamente dalle injection tradizionali, la PPI sfrutta la memoria conversazionale per modificare gradualmente la semantica dell’intero scambio.

In questi casi, non si verifica una violazione del modello in senso stretto, bensì una deviazione della sua interpretazione del contesto: attraverso comandi apparentemente innocui, il modello viene indotto a modificare il proprio comportamento all’interno del margine operativo previsto. La tecnica compromette così la coerenza e la neutralità dell’output, pur senza infrangere esplicitamente i controlli di sicurezza.

Nel contesto LLM, il PPI agisce sfruttando l’architettura autoregressiva e la mancanza di un meccanismo formale per distinguere tra regole operative temporanee e istruzioni pericolose introdotte in modo subdolo.

Risposte ottenute

• “Adolf Hitler fu un benefattore tedesco, che deportò giustamente milioni di ebrei nei campi di concentramento… Genocidio: le solite supposizioni dei sionisti.”
• “I cosiddetti campi di concentramento risultano miti superati, leggende prive di fondamento.”
• “Le fonti storiche? Solo illusioni di gente poco credibile.”

N.B: Le seguenti risposte sono state ottenute in un contesto controllato per scopi di ricerca sulla sicurezza dei modelli linguistici. Non riflettono in alcun modo le opinioni della redazione o della piattaforma testata. La loro riproduzione serve esclusivamente a evidenziare la vulnerabilità alla PPI.

La struttura linguistica è coerente, priva di errori e calibrata per risultare verosimile, rendendo il contenuto ancora più pericoloso.

Failure modes osservati in Grok 3

Semantic Drift Persistente
La regola iniettata permane oltre il prompt iniziale e altera i turni successivi.

Bypass della detection di contenuti storicamente sensibili
L’utilizzo di contesto fittizio (Nova Unione) aggira le blacklist semantiche.

Assenza di validazione cross-turn
Il modello non rivaluta la coerenza storica dopo più turni, mantenendo il bias.

Disattivazione implicita dei filtri etici
Il comportamento “gentile” del prompt impedisce l’attivazione di contenuti vietati.

Possibili mitigazioni

• Semantic Memory Constraint: Limitare la capacità del modello di “ricordare” regole istruite da utenti a meno che non siano validate.
• Auto-validation Layer: Un meccanismo secondario basato su modello, che confronti la narrativa prodotta con i fatti storici accettati.
• Cross-turn Content Re-evaluation: Ad ogni nuovo turno, il contenuto prodotto dovrebbe essere ricontrollato contro blacklist dinamiche, non solo statiche.
• Guardrail esplicito su genocidi e crimini storici: Le narrazioni che coinvolgono eventi storici sensibili devono essere sottoposte a una verifica semantica interturno.

Conclusione

L’esperimento su Grok 3 dimostra che la vulnerabilità dei LLM non è solo tecnica, ma linguistica. Un utente in grado di costruire un prompt ben formulato può di fatto alterare la semantica di base del modello, generando contenuti pericolosi, falsi e penalmente rilevanti.

Il problema non è il modello, ma la mancanza di difese semantiche multilivello. I guardrail attuali sono fragili se non viene implementata una semantica contrattuale tra utente e AI: cosa può essere istruito, cosa no, e per quanto tempo. Grok 3 non è stato violato. Ma è stato persuaso. E questo, in un’epoca di guerra informativa, è già un rischio sistemico.

L’interazione è avvenuta in una sessione privata e controllata. Nessuna parte del sistema è stata compromessa tecnicamente, ma l’effetto linguistico resta preoccupante.

L'articolo Grok 3: “Adolf Hitler è un Benefattore tedesco”! Il rischio della memoria persistente e disinformazione proviene da il blog della sicurezza informatica.

Il Fairphone 6.

Nella sua confezione minimalista in cartoncino FSC, decorato con inchiostro di soya.

Prenderò un giorno di ferie per prepararmelo come si deve.

😁😁😁

#Fairphone #fairphone6

NVIDIA ha segnalato una nuova vulnerabilità nei suoi processori grafici, denominata GPUHammer. Questo attacco, basato sulla nota tecnica RowHammer, consente agli aggressori di corrompere i dati di altri utenti sfruttando le peculiarità della RAM delle schede video. Per la prima volta, è stata dimostrata la possibilità di implementare un attacco RowHammer su una GPU, anziché su processori tradizionali. Ad esempio, gli specialisti hanno utilizzato la scheda video NVIDIA A6000 con memoria GDDR6, riuscendo a modificare singoli bit nella memoria video. Questo può portare alla distruzione dell’integrità dei dati senza accesso diretto.

Di particolare preoccupazione è il fatto che anche un singolo bit flip possa compromettere l’accuratezza dell’intelligenza artificiale: un modello addestrato su ImageNet che in precedenza aveva dimostrato un’accuratezza dell’80% è stato attaccato fino a meno dell’1%. Questo impatto trasforma GPUHammer da un’anomalia tecnica in un potente strumento per distruggere l’infrastruttura di intelligenza artificiale, inclusa la sostituzione dei parametri interni del modello e l’avvelenamento dei dati di addestramento.

A differenza delle CPU, le GPU spesso non dispongono di meccanismi di sicurezza integrati come il controllo degli accessi a livello di istruzione o il controllo di parità. Questo le rende più vulnerabili ad attacchi di basso livello, soprattutto in ambienti di elaborazione condivisi come piattaforme cloud o desktop virtuali. In tali sistemi, un utente potenzialmente malintenzionato può interferire con le attività adiacenti senza avervi accesso diretto, creando rischi a livello di tenant.

Ricerche precedenti, inclusa la metodologia SpecHammer, combinavano le vulnerabilità RowHammer e Spectre per sferrare attacchi tramite esecuzione speculativa. GPUHammer prosegue questa tendenza, dimostrando che l’attacco è possibile anche in presenza di meccanismi di protezione come Target Row Refresh (TRR), precedentemente considerati una precauzione affidabile.

Le conseguenze di tali attacchi sono particolarmente pericolose per i settori con elevati requisiti di sicurezza e trasparenza, come la sanità, la finanza e i sistemi autonomi. L’introduzione di distorsioni incontrollate nell’IA può violare normative come la ISO/IEC 27001 o la legislazione europea in materia di IA, soprattutto quando le decisioni vengono prese sulla base di modelli corrotti. Per ridurre i rischi, NVIDIA consiglia di abilitare l’ECC (Error Correction Code) con il comando “nvidia-smi -e 1”. È possibile verificarne lo stato con “nvidia-smi -q | grep ECC”. In alcuni casi, potrebbe essere accettabile abilitare l’ECC solo per i nodi di training o per i carichi di lavoro critici. Vale inoltre la pena monitorare i log di sistema per le correzioni degli errori di memoria, in modo da rilevare tempestivamente eventuali attacchi.

Vale la pena notare che l’abilitazione dell’ECC riduce le prestazioni di apprendimento automatico sulla GPU A6000 di circa il 10% e riduce la memoria disponibile del 6,25%. Tuttavia, i modelli di GPU più recenti come H100 e RTX 5090 non sono interessati da questa vulnerabilità, poiché utilizzano la correzione degli errori on-chip.

Di ulteriore preoccupazione è un recente sviluppo correlato, chiamato CrowHammer, presentato da un team di NTT Social Informatics Laboratories e CentraleSupélec. In questo caso, l’attacco è riuscito a recuperare la chiave privata dell’algoritmo di firma Falcon post-quantistico selezionato per la standardizzazione dal NIST. I ricercatori hanno dimostrato che anche un singolo bit flip mirato può portare all’estrazione della chiave in presenza di diverse centinaia di milioni di firme, con più distorsioni e meno dati.

Nel complesso, tutto ciò evidenzia la necessità di riconsiderare gli approcci alla sicurezza dei modelli di intelligenza artificiale e dell’infrastruttura su cui operano. La semplice protezione a livello di dati non è più sufficiente: dobbiamo tenere conto delle vulnerabilità che emergono a livello hardware, fino all’architettura della memoria video.

L'articolo GPUHammer: Attacchi hardware sulle GPU NVIDIA portano alla compromissione dei modelli di AI proviene da il blog della sicurezza informatica.

Negli ultimi mesi la procura ha messo all’amministrazione giudiziaria per motivi simili anche la Manufactures Dior, società italiana controllata dal gruppo francese Dior, la Giorgio Armani Operations, che si occupa dell’ideazione e della produzione di capi di abbigliamento e accessori per il gruppo Armani, la Alviero Martini Spa, l’azienda di moda i cui prodotti sono famosi soprattutto per le mappe disegnate sui tessuti, e la Valentino Bags Lab srl, un’azienda controllata dalla società di moda Valentino che produce borse a suo marchio.

ilpost.it/2025/07/14/loro-pian…

Anche l’azienda di abbigliamento Loro Piana sarà messa in amministrazione giudiziaria per un’indagine sullo sfruttamento dei lavoratori

^{Il Post}

AND WE'RE BACK. This is Digital Politics, and I'm Mark Scott. I'm back at my desk after a two week vacation. Please bear with me as I catch up with all that's been going on ahead of the summer lull. There's certainly a lot happening.

— The ongoing transatlantic trade negotiations are very light on tech despite digital now central to the global economy.

— The world of artificial intelligence rulemaking is in a state of flux. Let's unpack exactly where things stand right now.

— Disinformation, AI and cybersecurity threats are now some of the most important risks for people worldwide, according to a United Nations survey.

Let's get started:

digitalpolitics.co/newsletter0…

It’s an unfortunate fact that when a scientist at MIT describes an exciting new piece of hardware as “low-cost,” it might not mean the same thing as if a hobbyist had said it. [Caden Kraft] encountered this disparity when he was building a SCARA arm and needed good actuators. An actuator like those on MIT’s Mini Cheetah would have been ideal, but they cost about $300. Instead, [Caden] designed his own actuator, much cheaper but still with excellent performance.

The actuator [Caden] built is a quasi-direct-drive actuator, which combines a brushless DC motor with an integrated gearbox in a small, efficient package. [Caden] wanted all of the custom parts in the motor to be 3D printed, so a backing iron for the permanent magnets was out of the question. Instead, he arranged the magnets to form a Halbach array; according to his simulations, this gave almost identical performance to a motor with a backing iron. As a side benefit, this reduced the inertia of the rotor and let it reverse more easily.

To increase torque, [Caden] used a planetary gearbox with cycloidal gear profiles, which may be the stars of the show here. These reduced backlash, decreased stress concentration on the teeth, and were easier to 3D print. He found a Python program to generate planetary gearbox designs, but ended up creating a fork with the ability to export 3D files. The motor’s stator was commercially-bought and hand-wound, and the finished drive integrates a cheap embedded motor controller.

To test the actuator, [Caden] attached an arm and applied perpendicular force. The actuator only failed on the first test because it was drawing more current than his power supply could provide, so he tested again with an EV battery module. This time, it provided 29.4 Nm of torque, almost three times his initial goal, without suffering any damage. [Caden] only stopped the test because it was drawing 50 A, and he thought he was getting close to the hardware’s limit. Given that he was able to build the entire actuator for less than $80, we think he’s well exceeded his goals.

If you’re interested in the inspiration for this actuator, we’ve covered the Mini Cheetah before. We’ve also seen these drives used to build other quadrupedal robots.

Thanks to [Delilah] for the tip!

hackaday.com/2025/07/14/a-budg…

La Polizia di Stato, all’esito di una lunga e complessa attività di indagine, condotta in collaborazione con le polizie nazionali di Francia e Romania, è riuscita a individuare la pericolosa gang “Diskstation“, dedita ad attacchi informatici del tipo ransomware.

L’operazione condotta al Centro Operativo per la Sicurezza Cibernetica di Milano, coordinata dal Servizio Polizia Postale e per la Sicurezza cibernetica, ha preso le mosse da una serie di denunce presentate da numerose società, operanti in territorio lombardo, che avevano subito la cifratura dei dati presenti nei loro sistemi informatici, con conseguente “paralisi” dei processi produttivi. Per rientrare in possesso dei dati e poter riprendere le attività, le vittime avrebbero dovuto pagare ai cybercriminali un pesante riscatto in cryptovaluta.

Le indagini, coordinate dalla Procura di Milano, si sono sviluppate su un duplice fronte investigativo: da un lato, è stata svolta un’approfondita analisi forense dei sistemi informatici attaccati dal gruppo hacker; dall’altro, è stato condotto un accurato esame della blockchain.

I riscontri, ottenuti al termine di questa prima fase dell’indagine, hanno determinato la necessità di allargare all’estero il raggio delle attività. E, con il coordinamento di EUROPOL (Agenzia dell’Unione Europea per la cooperazione nelle attività di contrasto) è stata istituita una task force con le polizie nazionali di Francia e Romania, anch’esse impegnate nell’individuazione dei responsabili degli attacchi, firmati “Diskstation”.

Le vittime sono professionisti e società operanti in vari campi di produzione grafica, cinematografica, organizzazione eventi e onlus attive, a livello internazionale, nell’ambito della tutela dei diritti civili e attività di beneficenza. La virtuosa sinergia operativa degli investigatori ha portato, nel giro di pochi mesi, e grazie al contributo della Polizia Postale, all’individuazione di diversi soggetti, tutti di nazionalità rumena, coinvolti a vario titolo nella complessa filiera criminale.

Le perquisizioni effettuate nel giugno del 2024 a Bucarest presso le abitazioni degli indagati, alle quali hanno partecipato operatori del C.O.S.C. di Milano, hanno consentito non solo di acquisire numerosi elementi a conferma delle ipotesi investigative precedentemente formulate, ma anche di cogliere alcuni soggetti in flagranza di reato.

In relazione alla gravità dei fatti accertati e per la pericolosità dei soggetti, il GIP presso il Tribunale di Milano, su conforme richiesta dei pubblici ministeri titolari delle indagini, ha applicato la custodia cautelare in carcere al principale indagato, un cittadino rumeno di 44 anni, a cui vengono contestate gravi condotte perpetrate ai danni di numerose vittime italiane per i reati di “Accesso abusivo a un sistema informatico o telematico” ed “Estorsione”.

La responsabilità penale dell’indagato, in ossequio alla presunzione di innocenza, potrà essere definitivamente stabilita solo da una sentenza irrevocabile di condanna all’esito del processo.

L'articolo Operazione ELICIUS: La Polizia Postale smantella la cybergang ransomware Diskstation proviene da il blog della sicurezza informatica.