Il suo ultimo video: “Costretta ad andare all’estero, il mio appello è caduto nel vuoto. Ogni dolore va rispettato”

Dopo i 3 dinieghi della azienda sanitaria, la triestina, affetta da sclerosi multipla, è stata accompagnata da Claudio Stellari e Matteo D’Angelo, volontari di Soccorso Civile, l’associazione per le disobbedienze civili sul fine vita di cui è responsabile legale Marco Cappato, con l’aiuto di altre 31 persone

Venerdì 1° agosto alle 13:30, a Trieste, è prevista una conferenza stampa presso l’Antico Caffè San Marco, in via Cesare Battisti 18. Sarà possibile seguire la Conferenza anche dal canale YouTube dell’Associazione Luca Coscioni. Sono previsti gli interventi di Marco Cappato, Claudio Stellari, Matteo D’Angelo e Felicetta Maltese.

Martina Oppelli, 50enne triestina, affetta da sclerosi multipla da oltre 20 anni, è morta questa mattina in Svizzera, dove ha avuto accesso al suicidio medicalmente assistito. È stata accompagnata da Claudio Stellari e Matteo D’Angelo, iscritti a Soccorso Civile, l’associazione che fornisce assistenza alle persone che hanno deciso di porre fine alle proprie sofferenze all’estero, e di cui è rappresentante legale Marco Cappato. Insieme a loro, hanno fornito aiuto logistico ed economico altre 31 persone, i cui nomi saranno resi pubblici.

Lo scorso 4 giugno, Oppelli aveva ricevuto il terzo diniego da parte della azienda sanitaria ASUGI in merito alla verifica delle condizioni per accedere al suicidio medicalmente assistito: secondo l’azienda sanitaria non era sottoposta ad alcun trattamento di sostegno vitale, nonostante la completa dipendenza dall’assistenza continuativa dei caregivers e da presidi medici (farmaci, catetere e macchina della tosse).

Per questo motivo lo scorso 19 giugno – assistita dal team legale coordinato da Filomena Gallo, avvocata e Segretaria nazionale dell’Associazione Luca Coscioni – Oppelli ha presentato un’opposizione al diniego, accompagnata da una diffida e messa in mora nei confronti dell’azienda sanitaria. A seguito della diffida, è stata avviata una nuova procedura di valutazione da parte della commissione medica, ma Martina Oppelli ha deciso di andare in Svizzera per accedere all’aiuto alla morte volontaria perché era impossibile per lei attendere altro tempo per una risposta: le sofferenze non erano in alcun modo tollerabili.

Queste le parole di Martina Oppelli affidate all’Associazione Luca Coscioni in un video registrato in Svizzera.

youtube.com/embed/qjv8w4lWwE0?…

Gentili parlamentari e concittadini tutti, non so se vi ricordate di me, sono Martina Oppelli. Più di un anno fa feci un appello a tutti voi affinché venisse promulgata e approvata una legge, una legge sensata che regoli il fine vita, che porti a un fine vita dignitoso tutte le persone, malate, anziane, ma non importa, prima o poi tutti noi dobbiamo misurarci con la fine della nostra vita terrena. Sì, questo appello è finito nel vuoto.

Io all’epoca, ormai due anni fa, mi appellai alla sentenza Cappato per poter accedere al cosiddetto suicidio assistito presso l’azienda sanitaria della mia Regione. Per ben tre volte mi è stato negato, benché io ne avessi il diritto, ma chissà, forse non abbastanza, forse non lo so perché, io non ho tempo per aspettare un quarto diniego, ma anche se fosse un assenso io ero allo stremo delle mie forze. Sono in Svizzera, sì, forse una fuga direte voi, no, no, no, è un ultimo viaggio.

Ho pensato che forse avrei dato meno fastidio, meno problemi, fuggendo all’estero, com’è la cosiddetta fuga di cervelli all’estero, ma non importa, sono qui e voglio restare qui e morire dignitosamente qui in Svizzera. Ma perché, perché dobbiamo andare all’estero, perché dobbiamo pagare, anche affrontare dei viaggi assurdi? Io ho fatto un viaggio lunghissimo, dopo che non uscivo da casa da più di un mese e non lasciavo la mia città da oltre undici anni, è stato veramente uno sforzo titanico, ma l’ho fatto per avere una fine dignitosa alla mia sofferenza, per piacere. Io non voglio che questo iter si ripeta per altre persone, non potete rimandarci sempre a settembre, ogni anno a settembre, perché ci sono urgenze più grandi.

Sappiate che sono pienamente consapevole che esistono tragedie enormi, genocidi, terremoti, alluvioni e che magari la misera vita di una singola persona e la sua sofferenza appaiono troppo piccole in confronto a una guerra, ma il macrocosmo è fatto da infiniti microcosmi, già, e ogni microcosmo ha un proprio dolore e ogni dolore è assoluto nel momento in cui viene vissuto e va rispettato. Quindi, per piacere, ascoltate anche noi, non accomunate immagini di guerre, battaglie, terremoti anche alla mia immagine o all’immagine di altri malati, come se fossi quasi offensivo, sì, è offensivo pensare di sperare, di porre fine alle proprie sofferenze, quando altre persone fanno di tutto per vivere. Anche noi abbiamo fatto di tutto per vivere, credetemi.

Io sono 30 anni che mi arrampico sugli specchi pur di conservare questo sorriso che si sta lentamente spegnendo, rispettate ognuno di noi. Simone Weil, grande filosofa francese, scriveva “ognuno ha il proprio olocausto privato.” Così, il fine vita tocca a tutti prima o poi, può accadere a 120 anni, può accadere a 50, può accadere prima, ogni scelta va rispettata.

Fate una legge che abbia un senso, una legge che tenga conto di ogni dolore possibile, che ci siano dei limiti, certo, delle verifiche, ma non potete fare attendere due, tre anni prima di prendere una decisione. In questi ultimi due anni il mio corpo si è disgregato, io non ho più forza, ma non ho più forza nemmeno di respirare delle volte, perfino i comandi vocali non mi capiscono più. Ecco, io ho anche il catetere vescicale, ho un tubo di scappamento come una macchina al quale non sarei mai voluta arrivare, perché io non sono una macchina, sono un essere umano, io non funziono, io vivo e voglio vivere dignitosamente fino alla fine, o desideravo. Adesso desidero morire dignitosamente, per piacere.

Fate una legge sensata, cercate di mettervi nei panni di chiunque, di chiunque. Non esiste nessuna guerra utile in questo mondo, ogni battaglia è inutile, mettiamo da parte le diatribe politiche, perché non esiste destra o sinistra o centro, siamo tutti esseri umani, tutti, per piacere, per piacere, legiferate, ma legiferate con buon senso. Scusate il disturbo, me ne vado in silenzio, io miro all’oblio, non cercavo la fama, forse cercavo solo di evitare la fame in questi anni, lavorando onestamente, pagando le tasse onestamente, pagando anche i contributi di chi mi assisteva giorno e notte in questo paese onestamente. Perché sono dovuta venire qui all’estero? Perché non ce la facevo più ad aspettare, non ce la facevo più. Per piacere fate una legge che abbia un senso e che non discrimini nessuna situazione plausibile. Scusate il disturbo.

L'articolo Martina Oppelli è morta in Svizzera proviene da Associazione Luca Coscioni.

It should come as no surprise that the hacker community has embraced the Meshtastic project. It’s got a little bit of everything we hold dear: high quality open source software, fantastic documentation, a roll-your-own hardware ethos, and just a dash of counterculture. An off-grid communications network cobbled together from cheap parts, some of which being strategically hidden within the urban sprawl by rogue operators, certainly sounds like the sort of thing you’d read about it in a William Gibson novel.

But while the DIY nature of Meshtastic is one of its most endearing features for folks like us, it can also be seen as one of its weak spots. Right now, the guidance for those looking to get started is to pick a compatible microcontroller development board, 3D print a case for it, screw on an antenna from AliExpress, flash your creation with the latest firmware, and then spend some quality time with the documentation and configuration tools to actually get it on the air. No great challenge for the average Hackaday reader, but a big ask for the weekend adventurer that’s just looking for a way to keep in touch with their friends while camping.

Quality hardware that offers a turn-key experience will be critical to elevating Meshtastic from a hobbyist’s pastime to something that could actually be fielded for applications such as search and rescue. Plus, let’s be honest, even those of us who like to put together our own gadgets can appreciate a more consumer-oriented piece of hardware from time to time. Especially if that hardware happens to be open source and designed to empower the user rather than hold them back.

Enter the Hacker Pager from exploitee.rs. As the name implies, it’s still very much a device intended for hackers — a piece of hardware designed for the halls of DEF CON rather than trekking through the wilderness. But it’s also an important step towards a new generation of Meshtastic hardware that meets the high standard of quality set by the software itself.

All in One, One For All

Before diving into the device itself, it would be helpful to take a moment to explain how users typically interact with Meshtastic, and what makes the Hacker Pager different.
Connecting an Android phone to Meshtastic via a Heltec V3
Generally speaking, there are two types of Meshtastic devices: stationary nodes placed on rooftops and other vantage points to provide the infrastructure, and mobile nodes that a person would carry with them that allows access the network. This isn’t strictly accurate as each mobile device can also relay messages and contribute to the overall mesh network, but for the purposes of this discussion that’s not really an important distinction.

The mobile nodes are essentially radio modems that connect to your smartphone. You might have one strapped to your backpack, or mounted to the roof of your car. An app on your phone allows you to use the radio to tap into the Meshtastic network, and provides (among other features) an SMS-like interface for sending and receiving messages. This can be a little ungainly if you’re physically plugged into the mobile node, but Bluetooth is also an option.

Now, what makes the Hacker Pager different is that it not only works as gateway device to provide access to the Meshtastic network to a tethered smartphone, but it can also be used as a stand-alone communicator. This approach is truly the best of both worlds, as you get all the functionality of the smartphone application, while also giving you the freedom to subtract the phone from the equation entirely.

hackaday.com/wp-content/upload…

The Hacker Pager isn’t the first Meshtastic device to provide this capability, but at the time of this writing, it’s still one of only a handful of options that offer it. It is however the first one to come in the classic pager form factor, which brings with it a certain nostalgic appeal. The unique layout and interface of the Hacker Pager does come at a cost though; at least for now, it can’t run the mainline Meshtastic firmware and has its own independent fork. But we’ll get back to that in a minute.

Built By Hackers, For Hackers

I mentioned earlier that the Hacker Pager isn’t designed for a rugged environment, but that doesn’t mean it’s a wimp, either. It’s built like a brick, which I mean in the most positive way possible. But more than that, it’s built how a hacker would build it. Laser-cut acrylic panels, 3D printed body and buttons, you can still see how each component could be produced by a well-equipped home gamer should they need or want to.

That’s something we often see get inadvertently overlooked by open source hardware projects, and I’m happy to see that it seems to have remained a guiding principle for the Hacker Pager. It’s no mean feat either — we always release the design files for our annual Supercon badge, but that’s not to say they’ve always been easy to recreate for the hacker who couldn’t make it out to Pasadena. It’s not that we ever intentionally design the badge to be hard to replicate, it can just get away from you sometimes.
Bodge wire not included on production units. Probably.
While going with a larger footprint for some of the components would have made DIY rework a little easier, there’s nothing about the Hacker Pager that would keep you from either building one yourself or using it as a basis for another design. That includes the license, as the hardware side of the project is available under the CERN Open Hardware Licence Version 2.

I could easily see the Hacker Pager becoming another Beepy — an OSHW project that resonates so strongly with the community that it inspires a whole line of clones.

A New Way to Mesh

The firmware for the Hacker Pager is forked from the upstream Meshtastic project, and as such, the device is fully compatible with all the infrastructure that’s already out there. Similarly, when used in conjunction with the official Meshtastic smartphone application, you’ll have all the features and functions you’re used to. But when you use the Hacker Pager on its own, it’s unlike any other Meshtastic device out there.

That’s largely due to the fact that the retro-inspired hardware of the Hacker Pager demands a different sort of user interface than any of the existing Meshtastic devices. The menu system makes excellent use of the vibrant 192×64 pixel monochrome LCD, and banging out messages using the on-screen keyboard and directional buttons is a breeze. Users from the younger generations may need some time to adapt, but for those of a certain age, it feels like home.

hackaday.com/wp-content/upload…

One of my favorite features doesn’t even kick in until you’ve put the Hacker Pager down for a bit. Once the device has hit the user-defined idle timeout, the screen backlight turns off and the screen shifts over to an ambient clock display that also shows critical status information such as battery level, number of nodes in the area, and a new message indicator.

It’s also got the features you’d expect from a modernized pager. You can be notified of incoming messages by the classic audible alert or vibration, naturally. But there’s also 36 addressable RGB LEDs and a dozen UV LEDs that are more than happy to put on a light show each time something hits your inbox.

More Than Idle Talk

Honestly, if everything I’ve just covered was all the Hacker Pager could do, I’d still have come away impressed. But the team at exploitee.rs took things a step further by adding in several tools that should prove useful for anyone who’s into hacking around on Meshtastic or other flavors of LoRa.

The Packet Capture mode (and matching Wireshark plugin) lets you explore the actual communication protocols at work, and the Spectrum Analyzer will visualize anything broadcasting between 850 to 950 MHz and optionally export the results. While there’s no official word on additional tools, it’s not hard to imagine how either exploitee.rs or the community could expand on these capabilities on the future with new functions such as a WiFi or Bluetooth scanner.

Joining the Pager Revolution

If you want your own Hacker Pager, it will set you back $200 for the standard Green/Black model shown here, or $250 for the Special Edition colors (Pink/Black, Orange/Black). Unfortunately, they’re currently out of stock.

We made every effort to time the release of this article to coincide with availability of the Hacker Pager, but folks have been chomping at the bit to pick one up since they were first unveiled last year, and demand was simply too great. Sorry about that.

But don’t worry, you haven’t missed your chance. We’re told that units will be available at DEF CON 33 next week if you’re making the trip out to Vegas, and if not, you can put your email down to be notified when the next batch of Hacker Pagers will be ready to go.

In the meantime, you can read up on the promise of the Meshtastic project and maybe even setup your first node.

hackaday.com/2025/07/31/hands-…

In the formative experiences of most Hackaday readers there will almost certainly be a number of common threads, for example the ownership of a particular game console, or being inspired into engineering curiosity by the same TV shows. A home computer of a TV show may mark you as coming from a particular generation, but there are some touchstones which cross the decades.

Of those, we are guessing that few readers will not at some point have either built, owned, or lusted after a Tamiya model kit at some point over the last many decades, so it’s with some sadness that we note the passing of Mr. Tamiya himself, Shunsaku Tamiya, who has died at the age of 90.

Shunsaku Tamiya
For most of us the word “Tamiya” conjures up an image of a brightly coloured and well illustrated box with the trademark red and blue Tamiya logo containing a model kit, remote controlled car, or other wondrous piece of miniature engineering. Kids’ are shaped by the experiences their toys give them, and while it might seem strange to cite plastic models as a key influence for a hardware hacker, here were toys that could be built in all their intricate detail.

The Tamiya story started in the lumber business, diversifying into wooden toys, and then just like LEGO on the other side of the world from their Shizuoka base, into plastic injection mouldings. Shunsaku Tamiya was famous for his attention to detail and this very much came through in his products.

I learned this first-hand through a professional modeler friend who had the job of making the models featured on British Tamiya packaging. Though she dealt with the British agents of the company and could have spent her entire tenure talking to their marketing department, she found herself dealing with Mr. Tamiya personally. His box models were made by one of the best in the business, but even the quality of the packaging in a distant export market mattered to the boss.

We are sure the Tamiya company will continue to produce the best in plastic modeling, and we envy the kids who are now discovering them for the first time and sharpening an interest in making things that will stay with them for life. Thank you, Shunkasu Tamiya.

hackaday.com/2025/07/31/farewe…

Un’e-mail crittografata può causare l’arresto anomalo immediato del sistema macOS/iOS? La risposta è SI!

Non si tratta di un complotto di fantascienza, ma di un attacco reale, come rivelano gli ultimi risultati delle ricerche di Alibaba Security. Per prevenire efficacemente questo tipo di attacco, Alibaba Security e l’Università dell’Indiana a Bloomington hanno esplorato e scoperto congiuntamente un vettore di attacco per rilevare potenziali problemi di sicurezza DoS (Denial-of-Service) nelle librerie di algoritmi crittografici: certificati X.509 malformati.

Hanno quindi condotto una serie di ricerche su problemi correlati nelle librerie di algoritmi crittografici basate su questo vettore. Questo risultato è stato reso pubblico alla conferenza USENIX Security’25 ed è stato candidato ai Pwnie Awards, gli “Oscar del mondo degli hacker”.

Utilizzando certificati X.509 malformati, i ricercatori hanno condotto esperimenti su sei librerie di algoritmi crittografici open source tradizionali: OpenSSL, Botan, Bouncy Castle, Crypto++, GnuTLS e phpseclib, nonché su una libreria crittografica Security progettata specificamente per l’ecosistema Apple.

Sono state scoperte 18 nuove vulnerabilità CVE e identificate 12 vulnerabilità CVE note .

I certificati digitali X.509 sono le “carte d’identità” del mondo online

Con l’ampia diffusione di Internet, le problematiche relative alla sicurezza delle reti stanno diventando sempre più importanti. Per garantire la sicurezza e l’affidabilità delle comunicazioni di rete, i certificati digitali sono diventati uno strumento fondamentale per garantire l’autenticazione dell’identità e la sicurezza dei dati.

Un certificato digitale è come una “carta d’identità” nel mondo online. Viene rilasciato da un’organizzazione terza affidabile (chiamata autorità di certificazione, CA) e viene utilizzato per verificare l’identità di entrambe le parti in comunicazione e garantire che le informazioni non vengano manomesse durante la trasmissione.

Attualmente, X.509 è uno degli standard di certificazione digitale più ampiamente adottati a livello internazionale. Definisce la struttura e il contenuto di base di un certificato, inclusi campi quali informazioni sul soggetto, chiave pubblica, algoritmo di firma e periodo di validità, e supporta meccanismi di verifica della catena di certificati, creando così un’infrastruttura a chiave pubblica (PKI) affidabile.

Inoltre, i certificati X.509 sono diventati una componente fondamentale della moderna sicurezza di rete, utilizzati in vari protocolli (come TLS e S/MIME) per garantire la sicurezza delle comunicazioni. Anche i sistemi operativi moderni (come macOS e iOS) utilizzano i certificati X.509 per la verifica delle firme, garantendo l’autenticità e l’integrità delle applicazioni.

Risoluzione dei problemi di tipo DoS con certificati X.509 non validi

Le API relative alla crittografia sono spesso complesse nella progettazione, e molti sviluppatori non hanno conoscenze specifiche in materia. La contraddizione tra i due aspetti porta a un frequente uso improprio delle API di crittografia nella pratica, il che ha spinto la ricerca esistente a concentrarsi su come contrastare al meglio l’uso improprio delle API di crittografia.

Tuttavia, anche se gli utenti rispettano rigorosamente le specifiche di utilizzo e chiamano correttamente l’API in una libreria crittografica, potrebbero comunque verificarsi rischi per la sicurezza dovuti a problemi di sicurezza nell’implementazione dell’API stessa.

La ricerca attuale sui problemi di sicurezza nelle implementazioni crittografiche si concentra principalmente sulla riservatezza (come gli attacchi side-channel) e sull’integrità (come le collisioni hash) nella tripletta CIA (riservatezza, integrità e disponibilità), mentre viene prestata meno attenzione ai problemi di disponibilità. Tuttavia, il team di ricerca ha notato che le librerie crittografiche sono spesso più vulnerabili agli attacchi DoS rispetto ad altri tipi di progetti a causa delle due caratteristiche seguenti:

• L’implementazione di librerie crittografiche spesso comporta operazioni su “grandi numeri” (ad esempio, operazioni su un campo finito che coinvolgono un numero primo a 1024 bit). Tali operazioni e i loro ordini di grandezza sono relativamente rari nei progetti non crittografici.
• L’implementazione di librerie crittografiche spesso comporta l’elaborazione di vari tipi di dati (come ASN.1) e regole di codifica (come la codifica DER). La progettazione di questi schemi è spesso complessa ed è facile commettere errori durante il processo di implementazione.

Per convalidare ulteriormente questa osservazione, il team di ricerca ha condotto un’analisi sistematica delle implementazioni di codice in diverse librerie crittografiche vulnerabili agli attacchi DoS. Nel processo, hanno dimostrato la fattibilità dell’utilizzo di certificati X.509 malformati come vettore di attacco per sfruttare e rilevare problematiche di tipo DoS nelle librerie crittografiche.

I principali contributi di questo lavoro includono i seguenti tre punti:

• Analisi sistematica e nuove scoperte : hanno condotto la prima analisi sistematica delle librerie di algoritmi crittografici vulnerabili agli attacchi DoS. Così facendo, hanno scoperto tre nuovi rischi per la sicurezza di tipo DoS e hanno rivelato un vettore di attacco comune, ovvero certificati X.509 malformati, per sfruttare le vulnerabilità DoS associate a dieci rischi tipici identificati in questo studio.
• Sviluppo di strumenti automatizzati + Individuazione e sfruttamento delle vulnerabilità : hanno sviluppato uno strumento automatizzato chiamato X.509DoSTool, che può essere utilizzato per generare rapidamente certificati malformati specifici e rilevare vulnerabilità DoS nelle corrispondenti implementazioni delle librerie crittografiche. Utilizzando questo strumento, hanno scoperto con successo 18 nuove vulnerabilità e identificato 12 vulnerabilità note. Hanno inoltre verificato queste vulnerabilità in scenari reali e scoperto nuovi metodi di sfruttamento remoto sulle piattaforme macOS e iOS.
• Modellazione delle minacce e strategie di mitigazione : attraverso la modellazione delle minacce e i risultati sperimentali, hanno dimostrato che l’attacco DoS X.509 è una minaccia diffusa, ma finora poco studiata, nel mondo reale. Sulla base di ciò, hanno ulteriormente analizzato le cause profonde degli attacchi DoS X.509 e proposto strategie di mitigazione praticabili per aiutare gli sviluppatori a migliorare la sicurezza dei loro sistemi.

Questa sezione è dettagliata nella Sezione 1 dell’articolo. Inoltre, per comprendere meglio il contenuto dei capitoli successivi, si consiglia ai lettori di fare riferimento all’introduzione alle conoscenze di base nella Sezione 2 dell’articolo per una maggiore comprensione degli aspetti matematici delle curve ellittiche, di ASN.1 e di X.509.

La ricerca di Alibaba Security

In questo lavoro, i ricercatori concentrandosi su questo attacco, hanno ulteriormente analizzato i meccanismi e i metodi di sfruttamento di una serie di vulnerabilità legate ai rischi DoS nelle librerie crittografiche. Utilizzando strumenti automatizzati, hanno scoperto 18 nuove vulnerabilità in sette importanti librerie crittografiche. Hanno poi dimostrato queste vulnerabilità in due scenari reali: l’handshake TLS reciproco sui siti web HTTPS e la verifica della firma sui sistemi macOS/iOS di Apple.

I risultati sperimentali dimostrano la fattibilità dei certificati X.509 malformati da loro creati nel rilevare e sfruttare le vulnerabilità DoS nelle librerie crittografiche. Rivelano inoltre che gli attacchi DoS X.509 rappresentano una minaccia alla sicurezza diffusa ma poco studiata, meritevole di maggiore attenzione. Discutono inoltre le cause profonde di questi attacchi e propongono una serie di possibili strategie di mitigazione.

In futuro, il team di ricerca spera che questo lavoro possa accrescere ulteriormente la consapevolezza della comunità della sicurezza in merito alle vulnerabilità crittografiche e ai metodi di attacco e ispirare più ricercatori a esplorare meccanismi efficaci di rilevamento e difesa, promuovendo congiuntamente la costruzione di sistemi crittografici e proteggendo la sicurezza degli utenti.

L'articolo Bug da Oscar per macOS/iOS! Un’email crittografata causa l’arresto anomalo del device proviene da il blog della sicurezza informatica.

E’ stato segnalato da Group-IB che un Raspberry Pi con supporto 4G e’ stato sfruttato dal gruppo di pirati informatici UNC2891, conosciuto anche con il nome di LightBasin, al fine di superare le misure di sicurezza e accedere alla rete della banca. Attraverso la connessione allo stesso switch di rete del bancomat, il computer a scheda singola ha creato un varco nella rete interna della banca, permettendo ai malfattori di operare in modo laterale ed installare delle backdoor.

I ricercatori, che hanno individuato la violazione durante l’esame di operazioni sospette sul sistema informatico della banca, hanno rilevato che l’attacco era finalizzato ad alterare l’autorizzazione dei terminali di prelievo automatico e ad effettuare operazioni di ritiro di denaro.

Sebbene l’attacco LightBasin sia fallito, i ricercatori sottolineano che l’incidente è un raro esempio di attacco ibrido avanzato (che combina accesso fisico e remoto) che ha utilizzato anche più metodi anti-forensi. Il gruppo LightBasin, attivo dal 2016, non è il primo ad attaccare i sistemi bancari. Ad esempio, già nel 2022, gli esperti di Mandiant avevano segnalato l’allora nuovorootkit Unix Caketap, creato per funzionare sui sistemi Oracle Solaris utilizzati nel settore finanziario.

I ricercatori hanno quindi concluso che l’obiettivo finale di Caketap era quello di intercettare i dati di verifica delle carte di credito e i PIN dai server degli sportelli bancomat hackerati e poi utilizzare tali informazioni per effettuare transazioni non autorizzate. I messaggi intercettati da Caketap erano destinati a un Payment Hardware Security Module (HSM), un dispositivo hardware antimanomissione utilizzato nel settore bancario per creare, gestire e convalidare chiavi crittografiche per PIN, bande magnetiche e chip EMV.

Nell’attacco scoperto da Group-IB, i partecipanti a LightBasin hanno ottenuto l’accesso fisico a una filiale bancaria anonima, autonomamente o corrompendo un dipendente, che ha aiutato gli hacker a installare un Raspberry Pi con un modem 4G sullo stesso switch di rete del bancomat. Ciò ha permesso agli aggressori di mantenere un accesso remoto costante alla rete interna della banca, bypassando i firewall.

Sul Raspberry Pi era installata una backdoor TinyShell, che l’aggressore ha utilizzato per creare un canale di comunicazione con il server di comando e controllo tramite una rete mobile. Nelle fasi successive dell’attacco, gli aggressori si sono spostati sul Network Monitoring Server, che aveva ampie possibilità di connettersi al data center della banca.

Da lì, gli aggressori si sono spostati su un server di posta che aveva accesso diretto a Internet e che è rimasto presente sulla rete dell’organizzazione anche dopo che il Raspberry Pi è stato scoperto e rimosso. Le backdoor LightDM utilizzate dagli aggressori, imitavano gli accessi legittimi sui sistemi Linux. Un altro elemento che ha contribuito all’elevato grado “stealth” è stato il montaggio di file system alternativi (tmpfs ed ext4) sui percorsi /proc/[pid] dei processi dannosi. Ciò ha permesso di nascondere i metadati associati agli strumenti forensi.

Secondo i ricercatori, l’obiettivo finale degli aggressori era quello di distribuire il rootkit Caketap, ma il piano è stato sventato quando l’attacco è stato scoperto.

L'articolo Mr Robot Insegna: un Raspberry Pi con supporto 4G usato dagli hacker per accedere alla rete di una banca proviene da il blog della sicurezza informatica.

We don’t know if picking blackberries at scale is something people enjoy doing. But if you do, we have bad news. The University of Arkansas wants to put you out of a job in favor of your new robot overlord. It turns out that blackberries in Arkansas alone are a $24 million business. The delicate berries are typically hand-picked.

The robot hand that can do the same job has three soft fingers and tendons made from guitar strings. Each finger has a force sensor at the tip so it can squeeze the berries just right. How much force does it take to grab a blackberry? To find out, researchers placed sensors on the fingers of experienced pickers and used the data to guide their design. Researchers claim they were inspired by the motion of a tulip opening and closing each day.

Your berry picking job is safe for now, though. They don’t have the vision system to actually find the berries. Not yet, anyway. Of course in the meantime, the gripper could be used for anything that needs a delicate touch.

Oddly, everyone seems to want to develop robots to pick agricultural items. We are usually more interested in a different kind of picking.

hackaday.com/2025/07/31/robots…

“Ho bisogno di un sistema per gestire gli eventi della mia chiesa: volontari, iscrizioni, organizzazione degli eventi per la comunità”.

Due settimane dopo aver scritto questo prompt, John Blackman, un ingegnere elettrico di 91 anni in pensione, aveva sviluppato un’applicazione completa. Sistema di gestione eventi, reclutamento volontari, integrazione API per la ricerca delle automobili, ecc.

Tutto funzionante, per meno di 350 dollari.

Il dettaglio più incredibile? Non aveva mai sviluppato software in vita sua. Aveva semplicemente conversato con Claude e Replit, descrivendo le sue necessità, come se stesse parlando con un assistente.

Benvenuto nell’era del vibe coding.

L’alba di una nuova programmazione?!

Il termine “vibe coding” nasce da un tweet di Andrej Karpathy, co-fondatore di OpenAI, che ha descritto questo fenomeno come “un nuovo tipo di coding in cui ti lasci completamente trasportare dalle vibes, abbracci la crescita esponenziale e dimentichi persino che il codice esista.

Ma cosa significa davvero?

Beh, è “semplice”.

Invece di scrivere codice, riga per riga, descrivi a un’AI cosa vuoi ottenere usando il linguaggio naturale. Spieghi il “vibe” – l’idea, l’obiettivo, lo spirito del progetto – e lasci che sia l’intelligenza artificiale a tradurlo in codice eseguibile.

È come avere una conversazione con un collega super esperto che non dorme mai.

Gli dici “voglio un’app che faccia X” e lui, in tempi che farebbero cadere dalla sedia anche il più robusto software engineer, ti mostra il risultato funzionante.

Ma perché ora?

Questa rivoluzione era inevitabile.

Già con l’uscita di ChatGPT nel novembre 2022 era evidente che i modelli linguistici sapessero scrivere codice. Ma oggi, siamo andati molto oltre: gli strumenti si sono evoluti, i modelli sono migliorati. La qualità del software prodotto e le feature aggiuntive degli IDE potenziati da AI sono veramente stupefacenti.

Gli LLM sono stati addestrati su miliardi di righe di codice proveniente da GitHub, Stack Overflow (esiste ancora?!) e documentazione open source. Questo li rende traduttori “quasi perfetti” dal linguaggio umano al linguaggio di programmazione.

Se ti interessa approfondire l’evoluzione del Vibe Coding con gli occhi di uno degli italiani che si trova proprio al centro di questa rivoluzione, ti lascio il link ad un’intervista di Marcello Ascani a Michele Catasta, presidente di Replit: https://www.youtube.com/watch?v=KsIJqywDO3w&t=1219s

Come funziona il Vibe Coding

Il workflow è quasi banale: dall’idea all’implementazione senza passare dalla sintassi.

Il Processo

1. Descrivi l’obiettivo in linguaggio naturale. Oppure, per ottenere dei risultati migliori, scrivi dei PRD, Product Requirements Documents, o fatti aiutare da ChatGPT a farlo. Questi documenti devono descrivere, per filo e per segno, cosa vuoi ottenere dal tuo prodotto e cosa vuoi che gli utenti possano o non possano fare utilizzandolo;
2. L’AI genera il codice basandosi sulla tua descrizione;
3. Testa il risultato e fornisci feedback all’AI. Questi strumenti non sono ancora “perfetti” nello sviluppare un’applicazione completa tramite una singola interazione. Ma sono in grado di supportarti nel processo di bug fixing;
4. Affina il tuo progetto, iterativamente, fino al risultato desiderato.

Possiamo parlare di un workflow circolare:

Descrivi → Genera → Prova → Affina → Ripeti.

Gli strumenti del Vibe Coding (una primissima mappatura)

L’ecosistema di tool a disposizione dei “vibe-coder” si sta espandendo rapidamente.

Ecco le principali categorie.

1. Interfacce conversazionali

ChatGPT, Gemini, Claude sono il punto di partenza. Perfetti per generare script semplici o prototipi veloci. Basta chiedere e ricevere il codice pronto per il “copia-incolla”.

Devo però darti un avvertimento: se non hai alcuna competenza di sviluppo questa metodologia di vibe coding non fa per te.

Questo perché le interfacce ti forniscono codice “funzionante” (e anche di qualità) ma poi dovrai essere tu ad assemblarlo per realizzare la tua applicazione.

Se quando si parla quindi di ambiente di sviluppo, pacchetti da installare, dipendenze da considerare hai già le “mani nei capelli”, questo approccio non fa per te.

Ma non preoccuparti, andiamo avanti.

2. IDE potenziati dall’AI

Cursor è probabilmente uno degli strumenti più famosi. Ti permette di modificare interi progetti semplicemente descrivendo cosa vuoi cambiare. Selezioni un file e scrivi: “esegui il re-factoring di questo script usando delle classi invece che delle funzioni” e lui lo fa. Ti permette inoltre di integrare molti strumenti di terze parti (come Figma, GitHub, ecc), utili soprattutto allo sviluppo di prodotti digitali, tramite server MCP, in una frazione di secondo.

GitHub Copilot è la risposta di Microsoft al panorama degli assistenti al coding. Partito come un semplice plugin di chat all’interno di Visual Studio Code, oggi è diventato un assistente alla programmazione a tutto tondo operando sia in modalità vibe-coding che come un esperto copilota.

E’ possibile definire vari agent e diversi servizi MCP per automatizzare i processi, sfruttando la potenza dei modelli di AI più performanti come quelli di OpenAI, Google, Anthropic. Oggi si integra con gli IDE più utilizzati quali Visual Studio Code, Visual Studio, la suite JetBrains e molti altri.

Perchè molte aziende lo stanno scegliendo? Microsoft garantisce che tutto quello che viene inviato e generato è di proprietà dell’utente e rimane confinato all’interno del tenant aziendale. Direi non male, soprattutto in questo momento in cui è sotto i riflettori l’opt-out dai retraining dei modelli di AI con i dati inviati.

In questa categoria, merita una menzione anche Augment Code. Un agente AI che si integra nel tuo IDE preferito e con il quale hai tutte le feature che trovi in strumenti come Cursor i GitHub Copilot.

Questi strumenti sono molto potenti e sono le vere armi a disposizione del software engineer che vuole integrare l’AI nel suo processo di sviluppo. Anche qui però, se non conosci almeno le basi dello sviluppo software, questi tool non sono i più adatti per te (anche se, alternative come Amazon KIRO, potrebbero inserirsi proprio nel mezzo dei due mondi. Ma questa è un’altra storia).

Andiamo avanti e arriviamo ai veri protagonisti dell’universo del Vibe Coding.

3. Piattaforme “all-in-one”

Finalmente parliamo dei tool con cui ogni vibe-coder sogna di lavorare. Possiamo dividerli in due categorie.

User-friendly

In questa categoria, giusto per citare i più importanti, rientrano decisamente Bolt.new e Lovable.dev che ti permettono di costruire e deployare app complete usando solo prompt. Puoi persino importare design da Figma e trasformarli in codice. Ma non finisce qui. Hanno infatti un’integrazione nativa con servizi di database PostGres, come Supabase, che ti permettono di integrare database ed Edge functions tramite input testuale.

Ho citato i due più famosi. Ma ce ne sono tantissimi altri emergenti, come Base44, di cui magari parlerò in un prossimo articolo.

Semi-custom

In questa categoria, rientrano tutti quei tool che possono essere usati sia in una modalità di vibe-coding puro (senza guardare neanche una riga di codice) che in una da sviluppatore (come faresti con un IDE come Cursor). Chiaramente, senza la personalizzazione che potresti ottenere con un vero e proprio IDE che usi in locale sul tuo computer.

Replit è sicuramente il tool più performante in questa categoria. Ti fornisce un vero e proprio ambiente di sviluppo, che gira su un container in cloud, nel quale puoi sviluppare manualmente, farti aiutare da un assistente AI (il loro Replit Assistant) oppure delegare completamente lo sviluppo al loro Replit Agent che, sulla base dei requisiti forniti, svilupperà un’app full stack al posto tuo.

Personalmente, essendo un Product Manager con delle competenze entry level di programmazione, questo è il tool di Vibe Coding che uso di più.

4. Assistenti di sviluppo

Arriviamo, infine, agli assistenti di sviluppo dedicati principalmente ai developer professionisti.

Claude Code di Anthropic e Codex di OpenAI possono leggere e comprende l’intera codebase prima di fare modifiche, mantenendo memoria del contesto tra sessioni diverse.

Puoi chiedere loro di identificare un bug, spiegarti come funzionano le funzioni principali che caratterizzano il tuo software oppure chiedergli di modificare interi file.

I super poteri del Vibe Coding

Sono tanti e, spesso, molto abusati o vittime di un hype esagerata.

C’è da dire però che, rispetto al passato, siamo davanti ad una trasformazione senza precedenti, sia nel mondo del coding che del product managament.

Facciamo quindi una disamina delle principali armi che questo “movimento” ci permette di usare.

Velocità Senza Precedenti

Quello che prima richiedeva settimane ora si fa in ore.

Un esempio pratico, tratto dalla community di vibe coding di Replit, è quello di Content Genie.

Il protagonista di questa storia è un marketer che, pur non avendo competenze tecniche di programmazione, ha avuto un’idea: automatizzare la generazione di “idee” per contenuti partendo semplicemente da URL di YouTube.

In altre parole: trasformare ore e ore impiegate nel guardare video, in cerca di ispirazione per i suoi contenuti, in un’automazione che esegua questo processo al posto suo.

Dopo appena 30 minuti di conversazione con un’AI – utilizzando strumenti come Replit – il progetto ha preso vita. Il risultato? Un processo che prima richiedeva ore di lavoro manuale, ora avviene in pochi istanti grazie al vibe coding.

Democratizzazione dello Sviluppo

Non serve più saper programmare per creare software (così dicono alcuni).

Designer, marketer, imprenditori possono trasformare le loro idee in prototipi (per ora non di più) funzionanti dialogando con l’AI.

Il caso di John Blackman è emblematico: a 91 anni, senza alcuna esperienza di programmazione, ha costruito un sistema complesso di gestione eventi per la sua chiesa usando Claude e Replit. Il suo sistema gestisce:

• Creazione e gestione eventi
• Reclutamento e organizzazione volontari
• Sistema di iscrizioni
• Integrazione API per ricerca VIN (per organizzare cambi olio gratuiti)
• Generazione automatica di report

Tutto in due settimane, per meno di 350 dollari.

Ma a questo punto ti starai chiedendo: posso generare un prodotto per un’azienda enterprise tramite il Vibe Coding (puro)?

La risposta è: assolutamente no.

Ma ricordiamoci che siamo solo agli inizi e siamo abbastanza lontani dalla maturità di questa tecnologia.

Focus sulla Creatività

Liberandoti dalla scrittura manuale del codice, puoi concentrarti su:

• Visione del prodotto
• User experience
• Risoluzione di problemi complessi
• Innovazione

Apprendimento Accelerato

L’AI diventa il tuo tutor personale.

Ti corregge, ti suggerisce miglioramenti, ti guida attraverso concetti complessi senza dover passare ore ed ore nella ricerca di informazioni online.

A proposito di ricerca di soluzioni online, ti è capitato ultimamente di vedere la curva di traffico del sito StackOverflow?!

Purtroppo, sembra che con l’esplosione dell’AI generativa e l’introduzione di strumenti come questi, non se la stia passando proprio benissimo…

Le Ombre del Vibe Coding

Ma non è tutto rose e fiori. Come ogni rivoluzione, anche questa porta con sé dei rischi significativi che, se ignorati, possono portarti verso guai seri.

Esploriamoli insieme.

Il problema della qualità

Il codice generato dall’AI può sembrare perfetto in superficie ma nascondere inefficienze, vulnerabilità o scelte architetturali discutibili. È come un edificio che, all’apparenza, può sembrare magnifico ma, in realtà, è costruito su fondamenta fragili (Sviluppatori, per ora potete stare tranquilli).

L’eccesso di fiducia

La velocità di generazione può portare a pensare che il codice non necessiti revisione. “L’AI l’ha scritto, deve essere corretto”. Ma questo bias è molto pericoloso: una vulnerabilità trascurata potrebbe esporti ad un data breach di milioni di dati dei tuoi utenti

Debito tecnico invisibile

Il vibe coding può accumulare debito tecnico senza che tu te ne accorga. Ogni scorciatoia, ogni pezzo di codice non allineato all’architettura generale si somma e il prezzo lo pagherai non appena rilascerai il tuo applicativo in produzione.

Il debugging complesso

L’AI non eccelle nel debugging avanzato. Se la maggior parte del codice è generata dall’AI, chi risolverà i bug complessi che, di solito, appaiono dopo le prime settimane di utilizzo in produzione? Come comprendi un sistema che non sai minimamente come è stato costruito e su quali fondamenta si regge?

L’evoluzione del ruolo dello sviluppatore

Possiamo dirci in tutta franchezza che, in ambito professionale, il Vibe Coding non sostituisce i programmatori.

Li trasforma.

Da Coder a Visionari

Gli sviluppatori diventeranno “direttori d’orchestra” che:

• Immaginano architetture ad alto livello
• Traducono requisiti di business in indicazioni per l’AI
• Verificano qualità e sicurezza del codice generato
• Guidano l’AI con prompt precisi

Nuove competenze essenziali

1. Prompt Engineering: è necessario saper comunicare efficacemente con l’AI e non dare mai nulla per scontato
2. Testing e Validazione: ancora prima di far scrivere il codice ad un’AI dovresti chiedergli di scrivere il test che verifica il codice che vorresti sviluppare
3. Architettura: progettare sistemi e non fermarsi solo agli aspetti micro della singola funzione
4. Code Review: supervisionare l’output dell’AI con occhio critico

Team ibridi Human-AI

Nel futuro vedremo team dove ogni sviluppatore ha un’“istanza AI” dedicata che:

• Genera codice su richiesta
• Segnala possibili errori
• Ottimizza performance
• Partecipa al processo di sviluppo come un collega virtuale

Il futuro del Vibe Coding

Stiamo andando sempre di più verso sistemi complessi dove un’AI Orchestator coordina altre AI specializzate. Un agente master distribuisce compiti ad AI specifiche per frontend, backend, database, testing.

No-Code Potenziato

I builder visuali si integreranno (lo stanno già facendo) con gli LLM. Potrai dire “quando l’utente clicca su questo tasto voglio che succeda X” e l’AI genererà la logica necessaria, superando i limiti attuali del no-code.

Nuove Professioni

Questo progresso tecnologico, e la disintermediazione dai developer che ne consegue, potrebbe far nascere nuove figure professionali come:

• AI Creative Director: specialisti che orchestrano AI generative
• Vibe Engineers: sviluppatori che uniscono creatività AI e solidità ingegneristica
• Prompt Architects: esperti nella progettazione di conversazioni con l’AI

Verso un Vibe Coding responsabile

La chiave è trovare l’equilibrio tra velocità e qualità. Ma come possiamo fare?

Con alcune best practices e con un approccio emergente, molto interessante, che stanno portando avanti sviluppatori come Omar Diop e Gianluca Carucci: il Vibe Engineering.

Best Practice Emergenti

1. Code Review obbligatorio anche per codice AI-generato
2. Test automatizzati robusti per validare l’output
3. Documentazione di prompt e decisioni architetturali
4. Formazione continua per non perdere competenze tecniche di base

L’Approccio “Vibe Engineering”

La prima volta che ho sentito questa parola è stato in uno dei post della newsletter vibeEngineers su SubStack.

****Il suo assioma fondamentale è quello di non abbandonarsi completamente all’AI, ma di combinare:

• Creatività e velocità del vibe coding
• Solidità e controllo dell’ingegneria tradizionale
• Supervisione umana consapevole

In sostanza è come quando parliamo di guida autonoma supervisionata: l’auto ti porta “da sola” dove hai deciso di andare. Tu mantieni il controllo della destinazione.

Il vibe engineering rappresenta un’evoluzione del vibe coding che unisce il flusso creativo potenziato dall’AI con i principi dell’ingegneria del software: architettura, product development, domain driven design, team topology.

Tutto ciò che serve per costruire prodotti che non solo funzionano, ma crescono, si mantengono e scalano nel tempo.

Conclusione: una conversazione può cambiare tutto?!

Il Vibe Coding rappresenta un cambio di paradigma fondamentale. Non stiamo solo automatizzando la scrittura del codice: stiamo ridefinendo cosa significa essere uno sviluppatore e un product manager.

Il codice del futuro sarà sviluppato sempre più tramite una conversazione tra intelligenze diverse – umane e artificiali. La qualità del risultato dipenderà dalla qualità delle domande, dall’onestà delle risposte e dalla saggezza di chi ascolta.

Ci porterà verso sviluppatori meno abili o semplicemente più efficienti? Ancora è presto per dirlo.

Ma siamo solo all’inizio.

A breve i modelli diventeranno più potenti, gli strumenti più integrati, le modalità di collaborazione uomo-macchina più fluide.

Quindi, la vera domanda, non è se il Vibe Coding cambierà il mondo dello sviluppo software.

Lo sta già facendo.

Il quesito che devi porti è: quale “vibe” vuoi trasmettere alla tua AI per costruire il futuro?

L'articolo Che cos’è il vibe coding? Scopriamo la nuova frontiera della Programmazione proviene da il blog della sicurezza informatica.

Lo stato americano del Wyoming, che conta poco meno di 600.000 abitanti, potrebbe dotarsi di un data center che consuma più elettricità dell’intera popolazione dello stato. Il progetto, guidato dalla società energetica Tallgrass e dallo sviluppatore di infrastrutture di intelligenza artificiale Crusoe, prevede la costruzione di una struttura da 1,8 gigawatt, che potrebbe essere espansa fino a ben 10 gigawatt.

Al momento del lancio, il data center consumerà circa 15,8 terawattora all’anno, cinque volte di più di tutte le abitazioni unifamiliari del Wyoming. Se la struttura raggiungerà la capacità massima dichiarata, il suo consumo energetico annuo sarà di 87,6 terawattora, il doppio di quanto attualmente produce l’intero stato che attualmente ha 587.000 abitanti.

L’allacciamento alla rete con un carico di questo tipo è stato ritenuto impossibile, quindi il centro opererà con energia autonoma, che includerà la produzione di gas e fonti rinnovabili. Un nuovo centro energetico basato sull’intelligenza artificiale è previsto per il sud, vicino all’autostrada 85 e al confine con il Colorado, secondo Patrick Collins, sindaco di Cheyenne, capitale del Wyoming.

“È una svolta. È una cosa enorme”, ha detto lunedì il sindaco Patrick Collins.

Il governatore del Wyoming Mark Gordon ha rilasciato una dichiarazione a sostegno dell’iniziativa, sottolineandone l’importanza per l’industria del gas naturale dello Stato. Tuttavia, non è ancora stato rivelato chi utilizzerà esattamente la potenza di calcolo del centro. Ciò ha alimentato le speculazioni su un possibile collegamento con l’imponente programma Stargate di OpenAI, un’ipotetica infrastruttura del futuro annunciata nel gennaio 2025 ma non ancora pubblicamente associata a località specifiche.

Sebbene un rappresentante di Crusoe abbia rifiutato di confermare o smentire il suo coinvolgimento nel progetto Stargate , vale la pena notare che l’azienda ha già costruito strutture simili in Texas, tra cui ad Abilene, dove OpenAI e Oracle hanno collaborato. La struttura texana opera a circa un gigawatt ed è già considerata il più grande data center al mondo, secondo il portavoce di OpenAI, Chris Lehane.

Inoltre, OpenAI aveva precedentemente annunciato l’intenzione di costruire ulteriori 4,5 gigawatt di potenza di calcolo in partnership con Oracle, senza rivelare tutte le sedi. Il Wyoming non era tra i 16 stati presi in considerazione, il che ha contribuito ad aumentare l’interesse per l’annuncio attuale.

È importante notare che il Wyoming, con il suo clima freddo, la bassa densità di popolazione e la ricca infrastruttura energetica, non è estraneo all’implementazione di data center: Microsoft e Meta operano nella regione dal 2012. Ma questo particolare progetto colloca la regione in una categoria completamente diversa, portando il consumo energetico a livelli precedentemente inimmaginabili persino per le megalopoli. Segnala anche un cambiamento fondamentale nella strategia di implementazione della potenza di calcolo, abbandonando i centri cloud nelle aree densamente popolate e puntando su sistemi di cluster industriali autonomi in hub energetici remoti.

Se l’iniziativa riceverà l’approvazione normativa, la costruzione potrebbe iniziare a breve.

Lo stesso Collins ha espresso fiducia nel fatto che i partner siano ansiosi di avviare il progetto il più rapidamente possibile. Tuttavia, anche con le proprie fonti energetiche, un’infrastruttura di così vasta portata potrebbe avere un impatto significativo sul panorama ambientale, dei trasporti e sociale del Wyoming meridionale, oltre a ridefinire il ruolo della regione nell’architettura dell’intelligenza artificiale globale.

L'articolo Febbre da AI per il Wyoming! Un Data Center da 10 gigawatt mangerà più corrente di 600.000 persone proviene da il blog della sicurezza informatica.