Giovedì 16 luglio è stata una giornata significativa per i ricercatori di sicurezza informatica del team italiano Red Team Research (RTR) di TIM, che ha visto pubblicate cinque nuove vulnerabilità (CVE) da loro scoperte nel progetto Eclipse GlassFish, una delle quali è stata valutata con un punteggio di 9.8.

Il Red Team Research di TIM è gruppo di ricerca attivo dall 2019, specializzato nell’attività di bug hunting, e ha pubblicato fino ad oggi oltre 170 CVE. Il team opera nel pieno rispetto dei principi della Coordinated Vulnerability Disclosure (CVD): una pratica etica che prevede la segnalazione confidenziale delle vulnerabilità ai produttori, permettendo loro di sviluppare e rilasciare patch correttive prima della pubblicazione ufficiale.

Una volta che la patch è disponibile, con il consenso del vendor, le vulnerabilità vengono pubblicate dal Red Team Research sul National Vulnerability Database (NVD) degli Stati Uniti, o dal vendor stesso se abilitato come CNA (CVE Numbering Authority)

Eclipse GlassFish: un progetto open-source centrale per Java EE

Eclipse GlassFish è un progetto open-source utilizzato sia per lo sviluppo che per il deploy di applicazioni Java EE (oggi Jakarta EE) a livello enterprise. Originariamente sviluppato da Oracle e noto come Oracle GlassFish fino al 2017, quando Oracle ha donato il codice sorgente a Eclipse Foundation. A partire da quel momento, il progetto GlassFish è stato preso in carico da Eclipse Foundantion e ad oggi supportato con la collaborazione di realtà come Payara, Fujitsu e OmniFish.

La migrazione ha rappresentato un’enorme sfida ingegneristica e legale, con il passaggio da Oracle a Eclipse Foundation di oltre 5,5 milioni di righe di codice e oltre 61.000 file. Il codice, storicamente riservato e proprietario, è stato reso pubblico, dando la possibilità di accedervi e conoscere i test svolti. Come si legge in un comunicato stampa dell’epoca, lo sforzo di migrazione è iniziato con EclipseLink e Yasson, che erano già presso la Eclipse Foundation. I primi progetti trasferiti da Oracle GitHub sono stati JSONP, JMS, WebSocket e OpenMQ, lavoro terminato nel gennaio 2018. Il repository GlassFish e i repository CTS/TCK sono stati trasferiti nel settembre 2018.

Le vulnerabilità scoperte

Di seguito l’elenco delle CVE emesse:

Nel dettaglio, la vulnerabilità identificata e classificata con il codice CVE-2024-9342, è stata rilevata sulla versione 7.0.16 (e precedenti)del prodotto Eclipse GlassFish e valutata 9.8 Critical nella scala CVSSv3 (da 1 a 10).

In particolare, è stato possibile eseguire attacchi di Login Brute Force su due specifici URL del prodotto. Questa vulnerabilità si verifica quando il prodotto non implementa misure sufficienti per prevenire più tentativi di autenticazione falliti in un breve lasso di tempo, rendendolo più suscettibile agli attacchi brute force. La gravità di questo tipo di attacchi è che non prevede prerequisiti; pertanto, è particolarmente pericolo se l’istanza GlassFish è esposta su internet.

L’impatto rilevato dalle analisi del Red Team Research è che un attaccante può sfruttare questa vulnerabilità per ottenere accesso con privilegi amministrativi alla Administration Console o Management REST Interface del server.

Uno sguardo al laboratorio Red Team Research di TIM

Si tratta di uno tra i pochi centri italiani di ricerca sui bug di sicurezza, dove da diverso tempo vengono effettuate attività che mirano all’identificazione di vulnerabilità non documentate (0day). Le attività condotte dal team, portano ad una successiva emissione di CVE sul National Vulnerability Database (NVD) degli Stati Uniti D’America, terminato il percorso di Coordinated Vulnerability Disclosure (CVD) con il vendor del prodotto.

Nel corso di 5 anni di attività, abbiamo visto il laboratorio, emettere moltissime CVE su prodotti best-in-class e big vendor di valenza internazionale, come ad esempio Oracle, IBM, Fortinet, F5, Ericsson, Red Hat, Nokia, Computer Associates, Siemens, F5, Fortinet, QNAP, Johnson & Control, Schneider Electric, oltre ad altri fornitori su tipologie differenti di architetture software/hardware.

Nel corso del tempo, il laboratorio ha emesso 170 CVE circa, dove 14 risultano con severità Critical (>= 9.0 di score CVSSv3).

Relativamente ad una vulnerabilità rilevata dal gruppo di ricerca sul prodotto Metasys Reporting Engine (MRE) Web Services, del fornitore Johnson & Control, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti D’America, ha emesso uno specifico bollettino di sicurezza riportandolo all’attenzione dei settori: “CRITICAL INFRASTRUCTURE SECTORS, COUNTRIES/AREAS DEPLOYED e COMPANY HEADQUARTERS LOCATION”.

Si tratta di un gruppo di ricerca tutto italiano che emette CVE con costanza, contribuendo in maniera fattiva alla ricerca delle vulnerabilità non documentate a livello internazionale. Il Red TIM Research si sta distinguendo a livello Italia sull’elevata caratura delle attività svolte, oltre a contribuire all’innalzamento dei livelli di sicurezza dei prodotti utilizzati da organizzazioni internazionali.

L'articolo Il Red Team Research di TIM scopre 5 CVE su Eclipse GlassFish, una critica (score 9,8) proviene da il blog della sicurezza informatica.

In questo episodio analizziamo la possibilità di utilizzare strumenti di intelligenza artificiale generativa per imparare una nuova lingua.

zerodays.podbean.com/e/io-e-ch…

Content warning: Human alteration and scalpels.
General warning: We are not speaking as doctors. Or lawyers.

If you watch sci-fi, you probably do not have to think hard to conjure a scene in a trendy bar where the patrons have glowing make-up or tattoos. That bit of futuristic flair was possible years ago with UV-reactive tattoo ink, but it has the unfortunate tendency to permanently fade faster than traditional ink. [Miana], a biohacker, wanted something that could last forever and glow on its own. After months of research and testing, she presents a technique with a silica-coated powder and scarification. Reddit post with graphic content.

The manufacturer does not sell the powder for internal use, so it requires sterilization in an autoclave, which should tell you why this is a hack and not just repurposing. The experimentation includes various scarification techniques and different bandaging approaches, but this is still a small group, and the oldest is measured in months, not years, as of the time of writing.

We think these look amazing, but there are significant caveats. If you have never done scarification, spoiler, it hurts! If the flesh cutting is not bad enough, someone gets to rub sand into the open cuts. You may find yourself carrying a UV flashlight everywhere to charge it up. [Miana] was kind enough to provide the link to the powder she uses, but this link is provided solely so our readers can investigate the ingredients.

If you are more interested in the glowing aspect than the biohacking part, be sure to read about making strontium aluminate. If you want to get into the weeds, you can make a phosphorescence detector and quantify how glow-y something is.

hackaday.com/2025/07/20/resear…

We loved keygens back in the day. Our lawyers advise us to clarify that it’s because of the demo-scene style music embedded in them, not because we used them for piracy. [Patch] must feel the same way, as he has a lovely historical retrospective out on “The Internet’s Most Illegal Music” (embedded below).

After defining what he’s talking about for the younger set, who may never have seen a keygen in this degenerate era of software-by-subscription, traces the history of the jaunty chiptunes that were so often embedded in this genre of program. He starts with the early demoscene and its relationship with cracker groups — those are coders who circulate “cracked” versions of games, with the copyright protection removed. In the old days, they’d embed an extra loading screen to take credit for the dastardly deeds that our lawyer says to disavow.

more after the break…

Because often the same people creating the amazing audio-video demos of the “demoscene” were involved in cracking, those loading screens could sometimes outshine the games themselves. (We saw it at a friend’s house one time.) There was almost always excellent music provided by the crackers, and given the limitations of the hardware of the era, it was what we’d know of today as a “chiptune”.

The association between crackers and chiptunes lasted long after the chips themselves had faded into obsolescence. Part of the longevity of the tracker-built tunes is that in the days of dial-up you’d much rather a keygen with a .MOD file embedded than an .mP3, or god forbid, an uncompressed .WAV that would take all day to download.

Nowadays, chiptunes are alive and well, and while they try and hearken back more to the demoscene than the less savory side of their history, the connection to peg-legged programmers is a story that deserves to be told. The best part of the video is the link to keygenmusic.tk/ where you can finally find out who was behind that bopping track that’s been stuck in your head intermittently since 1998. (When you heard it at a computer lab, not on your own machine, of course.)

The demoscene continues to push old machines to new heights, and its spirit lives on in hacking machines like the RP2040.

youtube.com/embed/zHgcrdv8zpM?…

hackaday.com/2025/07/20/rememb…

Una falla critica nella sicurezza, relativa alla corruzione della memoria, è stata individuata nel noto software di archiviazione 7-Zip. Questa vulnerabilità può essere sfruttata da malintenzionati per provocare condizioni di denial-of-service mediante la creazione di archivi RAR5 dannosi. Si tratta del CVE-2025-53816, conosciuto anche come GHSL-2025-058, e riguarda tutte le edizioni precedenti alla 25.00 di 7-Zip.

A questa falla scoperta del ricercatore Jaroslav Lobačevski, è stato assegnato un punteggio CVSS pari a 5,5, collocandola quindi nella categoria di gravità media. La falla, sebbene non prometta l’esecuzione di codice arbitrario, potrebbe comportare comunque rischi sostanziali per gli attacchi di tipo denial-of-service, soprattutto verso i sistemi che trattano file di archivio potenzialmente non sicuri.

La vulnerabilità deriva da un heap buffer overflow basato nell’implementazione del decoder RAR5 di 7-Zip. Nello specifico, il difetto si verifica nel componente NCompress::NRar5::CDecoder quando il software tenta di recuperare dati di archivio corrotti riempiendo le sezioni danneggiate con zeri.

La causa principale risiede in un errore di calcolo del valore durante le operazioni di azzeramento della memoria. Durante l’elaborazione di archivi RAR5, il decoder richiama My_ZeroMemory(_window + _winPos, (size_t)rem) dove il parametro rem viene calcolato come _lzEnd – lzSize. Tuttavia, la _lzEndvariabile dipende dalla dimensione degli elementi precedenti nell’archivio, che può essere controllata dagli aggressori.

Questo errore di calcolo consente agli aggressori di scrivere zeri oltre il buffer heap allocato, corrompendo potenzialmente le regioni di memoria adiacenti e causando arresti anomali dell’applicazione. I test effettuati con AddressSanitizer (ASAN) hanno dimostrato che file RAR5 appositamente creati possono innescare un Heap overflow del buffer, con una proof-of-concept che ha causato una scrittura di 9.469 byte oltre il buffer allocato.

7-Zip è uno degli strumenti di archiviazione file più utilizzati al mondo: il sito Web ufficiale riceve oltre 1,3 milioni di visite al mese e il software viene scaricato milioni di volte tramite vari canali di distribuzione. La popolarità del software sia in ambito personale che aziendale amplifica il potenziale impatto di questa vulnerabilità.

Vulnerabilità di corruzione della memoria come questa possono avere gravi conseguenze, tra cui crash del sistema, danneggiamento dei dati e interruzioni del servizio. Anche se è improbabile che questa specifica vulnerabilità consenta l’esecuzione di codice remoto, fornisce agli aggressori un metodo affidabile per bloccare i processi 7-Zip, interrompendo potenzialmente i sistemi di elaborazione automatica dei file o i flussi di lavoro degli utenti.

La debolezza risulta essere estremamente allarmante, dato che gli archivi sono ormai divenuti il bersaglio privilegiato dagli attacchi cybernetici; essi rappresentano il 39% delle strategie di diffusione del malware come risulta da una ricerca recente sulle minacce informatiche. I responsabili degli attacchi informatici approfittano abitualmente delle debolezze nella gestione degli archivi per eludere i sistemi di protezione e veicolare i payload.

Le organizzazioni che elaborano file di archivio non attendibili dovrebbero implementare misure di sicurezza aggiuntive, tra cui la limitazione dell’accesso agli archivi RAR5 potenzialmente dannosi e l’implementazione di una convalida completa dei file prima dell’elaborazione.

L'articolo Vulnerabilità in 7-Zip: gli aggressori possono eseguire attacchi di denial-of-service proviene da il blog della sicurezza informatica.

Una campagna di attacchi informatici avanzati è stata individuata che prende di mira i server Microsoft SharePoint. Questa minaccia si avvale di una serie di vulnerabilità, conosciuta come “ToolShell“, che permette agli aggressori di acquisire il controllo completo e remoto dei sistemi, bypassando l’autenticazione.

Eye Security, un’azienda olandese di sicurezza informatica, ha identificato lo sfruttamento attivo il 18 luglio 2025, rivelando quella che i ricercatori di sicurezza descrivono come una delle transizioni più rapide dalla prova di concetto allo sfruttamento di massa nella storia recente.

La catena di vulnerabilità combina due falle di sicurezza critiche, cybersecuritynews.com/microsof…CVE-2025-49706 e cybersecuritynews.com/microsof…CVE-2025-49704 , originariamente dimostrate al Pwn2Own Berlin 2025 a maggio dai ricercatori di sicurezza di CODE WHITE GmbH, un’azienda tedesca di sicurezza offensiva.
Messaggio su X dell’account del Microsoft Security Response Team
L’exploit è rimasto inattivo fino al 15 luglio 2025, quando CODE WHITE ha condiviso pubblicamente i risultati dettagliati delle sue ricerche sulle piattaforme dei social media dopo il rilascio ufficiale della patch da parte di Microsoft. Nel giro di sole 72 ore dalla divulgazione al pubblico, gli autori della minaccia avevano reso operativo con successo l’exploit per attacchi coordinati su larga scala.

L’indagine approfondita di Eye Security ha rivelato che gli aggressori hanno iniziato uno sfruttamento sistematico di massa il 18 luglio 2025, intorno alle 18:00 ora dell’Europa centrale, utilizzando inizialmente l’indirizzo IP 107.191.58.76. Una seconda distinta ondata di attacchi è emersa da 104.238.159.149 il 19 luglio 2025 alle 07:28 CET, indicando chiaramente una campagna internazionale ben coordinata.

L’exploit di ToolShell aggira i meccanismi di autenticazione tradizionali prendendo di mira /_layouts/15/ToolPane.aspx l’endpoint vulnerabile di SharePoint. A differenza delle web shell convenzionali progettate principalmente per l’esecuzione di comandi, il payload dannoso estrae specificatamente chiavi crittografiche sensibili dai server di SharePoint, tra cui i materiali critici ValidationKey e DecryptionKey.

“Non si trattava della tipica webshell”, hanno spiegato i ricercatori di Eye Security nella loro dettagliata analisi tecnica. “L’attaccante trasforma la fiducia intrinseca di SharePoint nella propria configurazione in un’arma potente”. Una volta ottenuti con successo questi segreti crittografici, gli aggressori possono creare un payload __VIEWSTATE completamente validi per ottenere l’esecuzione completa del codice remoto, senza richiedere alcuna credenziale utente.

L’attacco sofisticato sfrutta tecniche simili al CVE-2021-28474, sfruttando i processi di deserializzazione e controllo del rendering di SharePoint. Ottenendo la ValidationKey del server, gli aggressori possono firmare digitalmente payload dannosi che SharePoint accetta automaticamente come input legittimo e attendibile, aggirando di fatto tutti i controlli di sicurezza e le misure difensive esistenti.

La scansione completa di oltre 1.000 server SharePoint distribuiti in tutto il mondo effettuata da Eye Security ha evidenziato decine di sistemi attivamente compromessi in numerose organizzazioni. L’azienda di sicurezza informatica ha immediatamente avviato procedure di divulgazione responsabile, contattando direttamente tutte le organizzazioni interessate e i Computer Emergency Response Team (CERT) nazionali in tutta Europa e a livello internazionale.

L'articolo ToolShell: la nuova minaccia che colpisce i server Microsoft SharePoint proviene da il blog della sicurezza informatica.

La comunità scientifica americana riceve un importante impulso grazie a uno dei supercomputer più veloci del paese. Il Georgia Tech e i suoi partner hanno ricevuto un finanziamento di 20 milioni di dollari dalla National Science Foundation (NSF) per la realizzazione di Nexus, una piattaforma di calcolo di nuova generazione incentrata sull’intelligenza artificiale.

Il suo lancio è previsto per la primavera del 2026 e sarà in grado di eseguire oltre 400 quadrilioni di operazioni al secondo. Per fare un paragone, è come se ogni persona sul pianeta eseguisse 50 milioni di calcoli al secondo.

A differenza dei supercomputer tradizionali, Nexus è progettato sin dalle fondamenta per l’intelligenza artificiale e il calcolo ad alte prestazioni (HPC), consentendo agli scienziati di accelerare la ricerca in settori quali la scoperta di farmaci, l’energia pulita, la modellazione climatica e la robotica.

“La Georgia Tech è leader nella formazione e nello sviluppo della tecnologia dell’intelligenza artificiale e siamo onorati di ospitare un nuovo sistema di supercalcolo che alimenterà l’innovazione in tutto il Paese”, ha affermato il presidente della Georgia Tech, Angel Cabrera.

Uno degli obiettivi chiave del progetto è l’accessibilità. Nexus non è concepito come un’infrastruttura chiusa per centri d’élite, ma come una risorsa nazionale. Qualsiasi gruppo di ricerca negli Stati Uniti potrà richiedere l’accesso tramite il meccanismo NSF. Inoltre, le interfacce del sistema saranno appositamente semplificate in modo che anche gli scienziati che non hanno competenze di programmazione possano utilizzare potenti strumenti di intelligenza artificiale nei loro campi di ricerca.

“Nexus combina il supporto per servizi scientifici persistenti con le capacità dei classici sistemi HPC per abilitare nuovi scenari scientifici e informatici e ridurre drasticamente il percorso verso la scoperta”, ha affermato Katie Antipas, direttore dell’infrastruttura informatica avanzata presso NSF.

L’hardware del Nexus sarà impressionante: 330 trilioni di byte di RAM e 10 quadrilioni di byte di memoria a stato solido. L’equivalente di 10 miliardi di risme di carta, impilate in modo tale da coprire un terzo del percorso dalla Terra alla Luna e viceversa.

L’altissima larghezza di banda per la trasmissione dei dati garantirà ritardi minimi quando si lavora con grandi quantità di informazioni, il che è fondamentale per simulazioni complesse e modelli di intelligenza artificiale.

Il progetto è implementato in collaborazione con il National Center for Supercomputing Applications (NCSA) dell’Università dell’Illinois a Urbana-Champaign. I due centri saranno collegati da una nuova rete ad alta velocità che creerà un’infrastruttura distribuita volta a democratizzare l’accesso all’intelligenza artificiale.

“Questo rappresenterà un vero livellamento del campo di gioco”, spiega Suresh Marru, responsabile del progetto Nexus e direttore del nuovo Centro ARTISAN per l’IA in Scienza e Ingegneria. “Vogliamo rendere gli strumenti di IA all’avanguardia non solo potenti, ma anche accessibili”.

La costruzione di Nexus inizierà entro la fine dell’anno. Fino al 10% della sua potenza di calcolo sarà riservata ai progetti interni del Georgia Tech, mentre il resto sarà distribuito tramite bandi aperti sotto l’egida della NSF. Si prevede che il sistema non solo accelererà la soluzione di problemi scientifici esistenti, ma diventerà anche una piattaforma per scoperte non ancora previste.

“Con il lancio di Nexus, entriamo a far parte di un club d’élite di centri di supercalcolo universitari. Questo è il risultato di anni di lavoro e pianificazione strategica”, ha affermato il professore e preside associato del College of Computing del Georgia Tech. Nexus sarà più di un semplice computer: fornirà ai ricercatori di tutto il Paese nuovi strumenti per far progredire la scienza, dove i confini non saranno più definiti solo dalla conoscenza, ma dalla potenza di calcolo .

L'articolo 400 quadrilioni di operazioni al secondo. Ecco Nexus, il supercomputer che rivoluzionerà la ricerca negli USA proviene da il blog della sicurezza informatica.

In the relatively short time that the James Webb Space Telescope has been operational, there’s seemingly no end to its list of accomplishments. And if you’re like us, you were sure that Webb had already achieved the first direct imaging of a planet orbiting a star other than our own a long time ago. But as it turns out, Webb has only recently knocked that item off its bucket list, with the direct visualization of a Saturn-like planet orbiting a nearby star known somewhat antiseptically as TWA 7, about 111 light-years away in the constellation Antlia. The star has a significant disk of debris orbiting around it, and using the coronagraph on Webb’s MIRI instrument, astronomers were able to blot out the glare of the star and collect data from just the dust. This revealed a faint infrared source near the star that appeared to be clearing a path through the dust.

The planet, dubbed TWA 7b, orbits its star at about 50 times the distance from Earth to the Sun and is approximately the size of Saturn, but only a third of its mass. The star itself is only about 6.4 million years old, so the planet may still be accreting from the debris disk, which might present interesting insights into planetary formation, assuming that other astronomers confirm that TWA 7b is indeed a planet. But what’s really interesting about this discovery is that because the star system’s orbital plane appears to be more or less perpendicular to ours, the standard exoplanet detection method based on measuring the dimming of the star by planets passing between it and us wouldn’t have worked. This might open the doors to the discovery of many more exoplanets, and that’s pretty exciting.

Question: What’s worse than a big space rock that’s on a collision course with Earth? Answer: Honestly, it feels like a lot of things would be worse than that right now. But if your goal is planetary protection, one possible answer is doing something that turns the one big rock into a lot of little rocks. That seems to be just what NASA’s DART mission did when it smashed into a bit of space debris named Dimorphos back in 2022, ejecting over 100 boulders from the asteroid-orbiting moonlet. LICIAcube, an Italian cubesat that hitched a ride on DART, used optical cameras to observe the ejecta, and measured rocks from 0.2 m to 3.6 m in diameter as they yeeted off at up to 52 meters per second. Rather than spreading out randomly, the boulders clustered into two different groups, something that years of playing Asteroids has taught us isn’t what you’d expect. The whole thing just goes to show that planetary protection isn’t as simple as blasting into a killer asteroid and hoping for the best. And please, can somebody out there type “NASA DART” into Google and tell me what they see? Because if it’s not an animated spacecraft zipping across the screen and knocking the window out of kilter, then I need a vacation. K, thanks.

Do you even code? If you’re reading Hackaday, chances are good that you at least know enough coding to get yourself into trouble. But if you don’t, or you want to ruin somebody else’s life bring someone new into the wonderful world of bossing computers around, take a look at Micro Adventure, an online adventure game aimed at teaching you the basics — err, BASICs — of coding. The game walks you through a text-based RPG (“You’re in a dark room…”) and prompts you to code your way through to a solution. The game has an emulator window that appears to be based on MS/DOS 1.00, so you know it’s cutting-edge stuff. To be fair, it’s always been our experience that coding is mostly about concepts, and once you learn what a loop is or how to branch in one language, figuring it out in another language is just about syntax. There seem to be at least six different adventures planned, so perhaps other languages will make an appearance in the future.

And finally, while we’re talking about the gamification of nerd education, if you’ve been meaning to learn Morse code, you might want to check out Morse Code Defender. It’s an Android app that uses a Missile Command motif to help you learn Morse, with attacking missiles having a character attached to them, and you having to enter the correct Morse code to blow the missile up before it takes out your ham shack. We haven’t tried it yet, so there may be more to it, but it sure seems like a cute way to gamify the Morse learning process. Honestly, it’s got to be better than doomscrolling Instagram.

hackaday.com/2025/07/20/hackad…

Our hacker [John Duffy] wrote in to let us know about a video he put together to explain the design of his open-source multimeter, the HydraMeter.

If you’re interested in how the circuitry for a voltmeter, ohmmeter, or ammeter might work, this video is a masterclass. In this long and detailed video, [John] walks us through his solutions to various challenges he had while designing his own multimeter. We covered this multimeter last year, and this new video elaborates on the design of the HydraMeter which has been a work in progress for years now.

The basic design feeds voltage, current, and resistance front-ends into an Analog to Digital Converter (ADC), which then feeds into a microcontroller and out to the (detachable) display. You can find the KiCad design files on the GitHub page. There is also a write-up on hackaday.io.

The user interface for the meter is… opinionated, and perhaps not to everyone’s taste. In the video, [John] talks a little bit about why he made the UI work the way that it does, and he noted that adding a rotary range switch is a goal for version 2.0.

The case is 3D printed and [John] had glowing things to say about his Bambu printer. He also had glowing things to say about D-sub connectors, but he did not have glowing things to say about Solid Edge, the CAD software he used to design the case.

Thank you, [John], for putting this video together; it is an excellent resource. We look forward to seeing version 2.0 develop soon!

youtube.com/embed/WZxFVFWPRwQ?…

hackaday.com/2025/07/20/design…

Un robot umanoide vestito con abiti casual, nello stile di un uomo medio, ha guadagnato una popolarità inaspettata in Cina. Soprannominato “Uncle Bot” su Internet, è diventato famoso grazie a un breve video che lo ritraeva mentre correva giù per una collina in pantaloncini larghi, scarpe da ginnastica e maglietta.

Il video è apparso sul canale cinese Douyin e poi è migrato sui social network occidentali, dove ha raccolto oltre 80 milioni di visualizzazioni. Nel video, il robot si muove con sorprendente velocità e stabilità, agita le braccia e scende con sicurezza lungo il sentiero, come se stesse partecipando a una gara, e lo fa con molto più controllo.

Da allora, Uncle Bot è stato avvistato in diverse situazioni. Visita templi, saluta i passanti, scatta foto con i tifosi e passeggia tranquillamente per angoli pittoreschi del paese. Osserva ragazzi che giocano a basket, come se stesse valutando la loro tecnica di lancio. In un altro, porta a spasso tranquillamente un cane robot, come un vero pensionato durante la passeggiata mattutina.

Dietro tutta questa simpatica goffaggine c’è un’ingegneria seria. Uncle Bot è in realtà un Unitree G1, prodotto dall’azienda cinese Unitree. Questo umanoide costa circa 16.000 dollari ed è progettato per operare in modo autonomo, interagire con le persone e muoversi con sicurezza in una varietà di ambienti. È dotato di lidar 3D, una telecamera di profondità Intel RealSense, microfoni, un corpo dinamico e articolato e persino un altoparlante integrato da 5 watt. Può correre, camminare e muoversi su terreni irregolari, e la sua batteria dura un paio d’ore di attività.

L’azienda non ha ancora dichiarato se il successo virale sia legato a una strategia di marketing, ma l’attenzione rivolta al modello ha già attirato un pubblico internazionale. Gli utenti paragonano il G1 ai primi prototipi di Boston Dynamics, solo più affascinanti e umani.

Potrebbe essere ancora più un meme che un prodotto pronto per l’adozione di massa, ma la sua comparsa nella vita reale rappresenta un passo avanti. I robot umanoidi stanno lasciando i laboratori e stanno diventando parte della vita quotidiana. Se i nostri successori meccanici sono altrettanto bonari e rilassati, forse i nostri timori di un film sulla rivolta dei robot erano vani.

La Cina sta mostrando risultati impressionanti nel campo della robotica, dai robot che cucinano bistecche a distanza agli umanoidi che promettono una settimana lavorativa di tre giorni . Unitree è già nota per aver realizzato un’alternativa economica al cane robot di Boston Dynamics, e ora l’azienda sta dimostrando di poter costruire robot parlanti che interagiscono con le persone.

L'articolo Uncle Bot, il robot umanoide che sta conquistando la Cina e spaventando gli USA proviene da il blog della sicurezza informatica.

Normally, mechanical devices like record players move smoothly, with well-greased contact surfaces enabling the tone arm to automatically move, the multi-record mechanism to drop down a fresh disc, and the listener to have a generally good time. Unfortunately, the 1972-era ITT KP821 record player that [Mark] got recently handed by a friend wasn’t doing a lot of moving, with every part of the mechanism seemingly frozen in place, though the current owner wasn’t certain that they were doing something wrong.

More after the break…

Fortunately, this record player was in exceptionally good condition.. The primary failure was that the BSR record player mechanism, with its many touching metal surfaces, was suffering from a bad case of solidified grease. Although this is easily fixed with some IPA and a lot of elbow grease, the biggest trick with these mechanisms is putting it back together after cleaning, with many seemingly randomly shaped parts and every single E-clip that the manufacturer could design for and source at the time.

With that complete, this just left some pot cleaning and replacing a busted fuse in the amplifier section. The selenium rectifier was still functional, as were the SGS TAA621AX1 audio amplifier ICs. Despite the age of this ‘portable’ record player, both its BSR mechanism and the twin speakers that are part of the record player are in remarkably good condition. Much like with a car, it seems that you just have to swap out the liquid-y elements before they turn into a solid.

youtube.com/embed/bVNJbGhCQEA?…

hackaday.com/2025/07/20/when-a…

Il 16 luglio, Mercedes-Benz ha annunciato con un comunicato stampa l’ampliamento della collaborazione con Microsoft, introducendo le più recenti soluzioni Office e strumenti di collaborazione, inclusa una versione aggiornata dell’app Meetings for Teams. Questa nuova funzionalità consente di partecipare a videoconferenze direttamente dall’auto, sfruttando la videocamera di bordo, anche durante la guida.

Mercedes-Benz è inoltre diventata la prima casa automobilistica a integrare nativamente Microsoft Intune nel sistema operativo di bordo MB.OS, estendendo così le possibilità di lavoro da remoto direttamente in auto. Le due aziende hanno confermato anche il piano per l’integrazione di Microsoft 365 Copilot, l’assistente basato su intelligenza artificiale generativa, che renderà più efficiente la preparazione e la gestione delle riunioni.

Secondo quanto comunicato, queste nuove funzionalità debutteranno questa estate sulla nuova Mercedes-Benz CLA equipaggiata con il sistema MBUX di quarta generazione e MB.OS.

Grazie alla nuova app Meetings for Teams, i conducenti potranno partecipare a videoconferenze utilizzando la videocamera integrata del veicolo. Per garantire la sicurezza, il sistema rispetta le normative locali: durante la guida, lo schermo per la videoconferenza viene disattivato automaticamente, impedendo al conducente di visualizzare contenuti condivisi o presentazioni. La videocamera può essere disattivata in qualsiasi momento. L’app è stata inoltre ottimizzata per l’uso aziendale, offrendo una nuova interfaccia con l’anteprima della “riunione successiva”, accesso rapido ai contatti più utilizzati, chat migliorata e la possibilità di inserire testo tramite comandi vocali. È anche possibile passare dal calendario alla riunione di Teams con un solo tocco, per una transizione rapida e intuitiva.

Infine, il comunicato evidenzia lo sviluppo dell’integrazione di Microsoft 365 Copilot come uno dei primi assistenti collaborativi basati su intelligenza artificiale progettati per il mondo automotive. Gli utenti potranno sfruttare comandi vocali per sintetizzare rapidamente le email, ottenere informazioni sui clienti e organizzare appuntamenti, consentendo una gestione delle attività quotidiane più efficiente e sicura, senza distrazioni alla guida.

L'articolo Mercedes-Benz e Microsoft insieme per l’integrazione di Teams e Copilot 365 nelle auto da questa estate proviene da il blog della sicurezza informatica.

Long before electricity was a common household utility, humanity had been building machines to do many tasks that we’d now just strap a motor or set of batteries onto and think nothing of it. Transportation, manufacturing, agriculture, and essentially everything had non-electric analogs, and perhaps surprisingly, there were mechanical computers as well. Electronics-based computers are far superior in essentially every way, but the aesthetics of a mechanical computer are still unmatched, like this 8-bit machine built from K’nex.

More after the break…

The K’nex computer is built by [Shadowman39], and this first video features just the ALU. It can accept numbers from 0-255 or -128 to 127 and can add two of these numbers by storing them in registers using levers to represent each digit. A drive system underneath with a rack and pinion system operates on each digit, eventually outputting the sum. It can also perform other mathematical operations like subtraction and handling negative numbers using the two’s complement method.

Although this video only goes over the ALU for the mechanical computer, we look forward to [Shadowman39]’s future videos, which go over the other parts of the machine. The basics of the computer are shown in intricate detail. Mechanical computers like these, while generally built as passion projects and not as usable computers, are excellent ways to get a deeper understanding of their electronics-based cousins. Another way to dive deep into this sort of computing world is by building a relay computer.

youtube.com/embed/EtIJUwkOAwM?…

hackaday.com/2025/07/20/8-bit-…