Il presidente russo Vladimir Putin ha firmato una legge che stabilisce la responsabilità amministrativa per i proprietari di servizi VPN e introduce multe per chi cerca deliberatamente e ottiene l’accesso a materiale estremista.

La scorsa settimana, il disegno di legge n. 755710-8 è stato esaminato dalla Duma di Stato della Federazione Russa in terza lettura e approvato dal Consiglio della Federazione. Ora il testo del documento è pubblicato sul portale ufficiale di informazione giuridica. Gli emendamenti entreranno in vigore il 1° settembre 2025.

A metà luglio si è saputo che sono state proposte modifiche al Codice della Federazione Russa sui reati amministrativi, prevedendo, in particolare, multe per chi “cerca deliberatamente” materiali palesemente estremisti su Internet e vi accede.

Il nuovo articolo 13.53 del Codice degli illeciti amministrativi della Federazione Russa prevede una multa per i cittadini da 3.000 a 5.000 rubli (circa 50 euro), che può essere ricevuta per la ricerca di materiali palesemente estremisti su Internet e per avervi accesso, “compreso l’utilizzo di software e hardware per l’accesso a risorse informative, reti di informazione e telecomunicazioni, il cui accesso è limitato”.

Si tratta di 5.500 materiali estremisti inseriti nell’elenco pubblicato dal Ministero della Giustizia o specificati nel comma 3 dell’articolo 1 “Sul contrasto alle attività estremiste”.

Un altro nuovo articolo, l’articolo 13.52 del Codice degli illeciti amministrativi della Federazione Russa (violazione della procedura per l’utilizzo di software e hardware per l’accesso a risorse informatiche, reti informatiche e di telecomunicazione, il cui accesso è limitato, sul territorio della Federazione Russa) prevede sanzioni pecuniarie per i proprietari di software e hardware che accedono a tali risorse. Questa definizione include sia le VPN sia altri mezzi per aggirare i blocchi.

Fornire accesso a risorse proibite comporterà una sanzione amministrativa per i cittadini pari a 50.000-80.000 (800 euro) rubli, per i funzionari da 80.000 a 150.000 (1500 euro) rubli, per le persone giuridiche da 200.000 a 500.000 (5000 euro) rubli.

Inoltre, è stato proposto di integrare l’articolo 14.3 del Codice degli illeciti amministrativi della Federazione Russa (violazione della legislazione sulla pubblicità) con una disposizione in base alla quale ai cittadini verrà imposta una multa da 50.000 a 80.000 rubli per la distribuzione di pubblicità per l’accesso software e hardware a risorse informative con accesso limitato (per i funzionari, la multa sarà da 80.000 a 150.000 rubli e per le persone giuridiche, da 200.000 a 500.000 rubli).

Il disegno di legge e i relativi emendamenti hanno suscitato aspre critiche anche da parte di deputati e personalità pubbliche. Va notato che la scorsa settimana il capo del Ministero dello sviluppo digitale, Maksut Shadayev, ha assicurato a Vladimir Putin che gli utenti comuni non hanno nulla di cui preoccuparsi: le forze dell’ordine dovranno dimostrare che la persona stava intenzionalmente cercando informazioni proibite.

L'articolo La Russia introduce multe per l’accesso a materiale estremista tramite VPN proviene da il blog della sicurezza informatica.

Google sta spingendo i limiti della sicurezza con una nuova iniziativa, rendendo Device Bound Session Credentials (DBSC) una funzionalità beta pubblica che aiuta a proteggere gli utenti dal furto di cookie di sessione.

Inizialmente presentato come prototipo nell’aprile 2024, il sistema è ora disponibile nel browser Chrome per Windows e collega le sessioni di autenticazione a un dispositivo specifico. Ciò significa che, anche se i cookie vengono rubati, un aggressore non sarà in grado di utilizzarli su un altro computer.

Secondo il responsabile della gestione dei prodotti di Google Workspace, DBSC rafforza la protezione post-accesso bloccando l’autorizzazione remota da un altro dispositivo. Questa associazione impedisce il riutilizzo dei cookie per acquisire la sessione e migliora l’integrità dei dati di autorizzazione. La tecnologia è progettata per rafforzare la protezione dell’account non solo al momento dell’accesso, ma durante l’intera interazione con i servizi.

Oltre a DBSC, Google ha annunciato un supporto esteso per la tecnologia passkey, ora disponibile per oltre 11 milioni di clienti aziendali di Google Workspace. Sono stati inoltre introdotti nuovi strumenti amministrativi per controllare la registrazione delle chiavi e limitarne l’utilizzo ai soli token hardware.

Allo stesso tempo, l’azienda sta avviando test chiusi di un nuovo meccanismo di scambio di segnali di sicurezza: Shared Signals Framework (SSF). Questo protocollo, basato sullo standard OpenID, è progettato per trasferire rapidamente informazioni su potenziali incidenti tra sistemi diversi. SSF crea un’architettura in cui alcuni servizi (“trasmettitori“) possono notificare tempestivamente altri (“ricevitori“) in caso di attività sospette, consentendo di rispondere istantaneamente alle minacce e sincronizzare le misure di protezione.

Inoltre, Google Project Zero, la divisione specializzata nel rilevamento delle vulnerabilità zero-day, ha annunciato il lancio di un’iniziativa pilota chiamata Reporting Transparency. Il suo obiettivo è ridurre il tempo tra la creazione di una correzione e la sua disponibilità per gli utenti finali. Spesso, il problema non si verifica a livello di utente, ma nelle aziende che utilizzano componenti esterni, che non hanno il tempo di integrare la correzione ricevuta nei propri prodotti. La nuova fase del processo di divulgazione delle vulnerabilità prevede la pubblicazione delle informazioni sul problema riscontrato entro una settimana dal trasferimento allo sviluppatore.

I report includeranno ora il nome del fornitore o del progetto, il nome del prodotto, la data di invio del report e la scadenza per la politica di divulgazione di 90 giorni. L’elenco pilota include già due vulnerabilità di Windows, un bug nel Dolby Unified Decoder e tre bug nel progetto Google BigWave.

Google prevede di utilizzare questo approccio anche nel progetto Big Sleep, uno strumento di intelligenza artificiale sperimentale sviluppato in collaborazione con DeepMind. Il suo obiettivo è utilizzare l’intelligenza artificiale per automatizzare la ricerca di vulnerabilità e accelerare l’analisi di potenziali minacce. Allo stesso tempo, l’azienda sottolinea che nessun dettaglio tecnico, codice PoC o materiale che potrebbe essere utile agli aggressori sarà pubblicato fino alla fine del periodo di divulgazione.

Tutto ciò riflette una tendenza più ampia di Google: l’attenzione verso un modello di difesa informatica proattivo, coordinato e tecnologicamente avanzato, volto a ridurre al minimo i tempi di risposta agli incidenti e ad aumentare la trasparenza nell’intero ecosistema software.

L'articolo Google potenzia la sicurezza con il Device Bound Session Credentials, passkey e nuove politiche sugli 0day proviene da il blog della sicurezza informatica.

Universal control is a neat feature on Macintosh computers, allowing you to slide your mouse seamlessly from device to device. Of course you need a relatively recent version of MacOS to make it work, right? Not necessarily– thanks to [Bart Jackobs] MacFriends, universal control has come to the Macintosh Classic.
The Arduino is perfect for this purpose, but choosing it ruined a perfectly good pun and we can never forgive that.
Well, not exactly universal control, but similar functionality at any rate. [Bart] can slide his mouse from one side of his retina display over onto the glorious 512 x 342, 1-bit display of his Macintosh Classic, just as if the 68k powered antique was a modern device. As you might expect, the Motorola 68000 in that old Mac is getting a teensy bit of help– though sadly for our love of puns, from an Arduino Nano and not any kind of Teensy.

The Arduino is emulating a mouse and keyboard on the Apple Desktop Bus using code based on the abduino by [akuker]. [Bart]’s custom software on the modern Mac captures the mouse and keyboard inputs to pipe to the Arduino via USB serial. Apple’s Universal control doesn’t require a wired connection between the two machines, of course, but then, it doesn’t work on the Classic. One could imagine redoing this project for Bluetooth communication to have that a same Clarkian feeling of technological Apple has always wanted to convey– but nothing was wireless in 1990 except for telegrams and a handful of telephones, so the project is appropriate as-is.

As much as we might resent that micro-controller for ruining a pun, if you want to hook into the ADB– perhaps to use old peripherals with an emulated Macintosh— an Arduino will do the job. So would a Teensy, though, and then we’d have our pun.

Our thanks to [Bart Jakobs] for the tip. Don’t forget to send in your own: the endless maw of the tipsline is always hungry.

hackaday.com/2025/08/01/univer…

Do you use a spell checker? We’ll guess you do. Would you use a button that just said “correct all spelling errors in document?” Hopefully not. Your word processor probably doesn’t even offer that as an option. Why? Because a spellchecker will reject things not in its dictionary (like Hackaday, maybe). It may guess the wrong word as the correct word. Of course, it also may miss things like “too” vs. “two.” So why would you just blindly accept AI code review? You wouldn’t, and that’s [Bill Mill’s] point with his recent tool made to help him do better code reviews.

He points out that he ignores most of the suggestions the tool outputs, but that it has saved him from some errors. Like a spellcheck, sometimes you just hit ignore. But at least you don’t have to check every single word.

The basic use case is to evaluate PRs (pull requests) before sending them or when receiving them. He does mention that it would be rude to simply dump the tool’s comments into your comments on a PR. This really just flags places a human should look at with more discernment.

The program uses a command-line interface to your choice of LLM. You can use local models or select among remote models if you have a key. For example, you can get a free key for Google Gemini and set it up according to the instructions for the llm program. Of course, many people will be more interested in running it locally so you don’t share your code with the AI’s corporate overlords. Of course, too, if you don’t mind sharing, there are plenty of tools like GitHub Copilot that will happily do the same thing for you.

The review tool is just a bash script, so it is easy to change, including the system prompt, which you could tweak to your liking:

Please review this PR as if you were a senior engineer.

## Focus Areas
– Architecture and design decisions
– Potential bugs and edge cases
– Performance considerations
– Security implications
– Code maintainability and best practices
– Test coverage

## Review Format
– Start with a brief summary of the PR purpose and changes
– List strengths of the implementation
– Identify issues and improvement opportunities (ordered by priority)
– Provide specific code examples for suggested changes where applicable

Please be specific, constructive, and actionable in your feedback. Output the review in markdown format.

Will you use a tool like this? Will you change the prompt? Let us know in the comments. If you want to play more with local LLMs (and you have a big graphics card), check out msty.

hackaday.com/2025/08/01/ai-cod…

Once upon a time, you could buy floppy drive cleaning disks at just about any stationary or computer store. These days, they’re harder to find. If you want to build one yourself, though, you might do well to follow [Gammitin]’s fine example.

[Gammitin] has been down this road before, having built head cleaning disks before. This time, a US patent was the inspiration. It basically indicated that the spinning cleaning disc inside should be made of spunbonded polyester or spunbonded olefin (such as Dupont Tyvek)—so those materials were sought out.

The project began with [Gammitin] disassembling a standard floppy disk down to its bare components. The spindle was then separated from the magnetic platter, and refitted with a disc of Tyvek material using super glue. The disk housing was then glued back together with more super glue, and labelled as a “Floppy Cleaning Disk.” Using the disk is as simple as putting a few drops of isopropyl alcohol on the Tyvek material, and inserting it into a drive. [Gammitin] tested it with an old Olivetti machine, and found it cleaned up the heads nicely.

Sometimes, when a commercial product ceases to exist, you can just make your own at home. This is a great example of that ethos. If you’re cooking up your own tools and accessories to keep your old machines running, we’d love to hear all about it on the tipsline!

hackaday.com/2025/08/01/you-ca…

Electric guitars are great, but they’re just so 20th century. You’d think decades of musicians riffing on the instrument would mean there are no hacks left in the humble axe. You’d think so, but you’d be wrong. [Michael], for one, has taken it upon himself to reinvent the electric guitar for the digital era.

Gone are the strings, and the frets have vanished as well. The neck of this guitar is one long custom PCB, looking very sleek with black solder mask. Gold pads serve as touch sensors to give tone data over i2c (from unspecified touch sensing chips) to the Amtel Mega 32u4 at the heart of the build.

With no strings, strumming won’t work, so a laptop-style touchpad serves instead. That means every user interaction with this guitar is with capacitive touch sensors talking i2c. The X and Y coordinates of the touch, along with pressure are sent to the processor over the i2c bus, triggering an interrupt and offering quite a bit of opportunity for sound control.

Said sound control is, of course, done in MIDI. This lets the guitar control a whole variety of synths and/or software, and of course [Michael] is using more futuristic-sounding synths than a pack of guitar samples. That said, what exactly goes on with the MIDI controls is left frustratingly vague. Obviously fretting provides note selection, but does the touchpad just send a “note start” command, or are the X, Y and pressure data used in interesting ways? Is there multitouch support? The video doesn’t say.

How, exactly, the obviously-plastic body of the guitar was manufactured is also left unsaid. Is it a large resin print? SLS? It looks injection-molded, but that makes no sense for a one-off prototype. On the other hand, it looks like he’s selling these, so it may very well be an injection-molded production case we’re seeing being assembled here, and not a prototype at all.

For all the video leaves us wanting more information, we can’t help but admit the end product both looks and sounds very cool. (Skip to the 4:50 mark in the embedded video to hear it in action.) The only thing that would improve it would be a hurdy-gurdy mode. Thanks to [Michael] for the tip, and remember we want to hear tips about all the weird and wonderful hacked-together instruments you make or find on the web.

youtube.com/embed/YTp3YmfvtcU?…

hackaday.com/2025/08/01/digita…

Un annuncio apparso su un forum online, datato 26 luglio 2025, ha catturato la nostra attenzione: un utente di nome “Bucad” pubblicizza la vendita di un “iOS RCE Exploit 0day | ZeroClick/1Click”. L’exploit, apparentemente in grado di compromettere completamente un dispositivo iOS 18.5, inclusa l’acquisizione di privilegi di root, senza visibili crash o interazioni utente significative, e con capacità di persistenza, rappresenta una potenziale minaccia di proporzioni significative.

Sebbene la veridicità di tali affermazioni sia sempre da dimostrare in contesti come questi, l’annuncio solleva questioni cruciali sul funzionamento e le implicazioni del mercato degli exploit 0-day e degli spyware che vogliamo nuovamente riportare all’attenzione.

Cos’è un Exploit RCE 0-day?

Un Exploit RCE (Remote Code Execution) 0-day è una vulnerabilità software critica che permette a un attaccante di eseguire codice arbitrario su un sistema remoto (RCE) senza che il fornitore del software (in questo caso, Apple) ne sia a conoscenza o abbia avuto il tempo di rilasciare una patch (0-day).

Le caratteristiche chiave di un RCE 0-day, come quelle descritte nell’annuncio, lo rendono estremamente pericoloso:

• ZeroClick / 1Click: Indica che l’attacco richiede nessuna o minima interazione da parte dell’utente. Un attacco “ZeroClick” può compromettere un dispositivo semplicemente inviando un messaggio o una chiamata non risposta, rendendolo quasi impossibile da rilevare per la vittima. Un “1Click” richiede una singola azione, come l’apertura di un link.
• Compromissione completa del dispositivo con root: Significa che l’attaccante ottiene il massimo livello di controllo sul sistema, potendo accedere a tutti i dati, installare software, modificare impostazioni e monitorare l’attività dell’utente.
• Stealth (Nessun utente, nessun crash): L’exploit opera in modo invisibile, senza generare messaggi di errore o comportamenti anomali che possano allertare l’utente.
• Estensibilità e Persistenza: Capacità di mantenere l’accesso al dispositivo anche dopo riavvii, facilitando lo spionaggio a lungo termine.

Nel caso specifico, un exploit di questo livello su un sistema operativo come iOS, sarebbe estremamente prezioso. Se le affermazioni fossero vere, un bug simile, che colpisce l’ultima versione di iOS (18.5) e supporta futuri aggiornamenti, potrebbe valere milioni di euro sul mercato nero, riflettendo la sua rarità e l’enorme potenziale di sfruttamento.

A Cosa Serve un Exploit di Questo Calibro?

Un exploit RCE 0-day, specialmente per piattaforme così diffuse come iOS, può essere utilizzato per svariati scopi, la maggior parte dei quali illeciti o eticamente discutibili:

• Spionaggio governativo: Stati e agenzie di intelligence lo utilizzano per monitorare dissidenti, giornalisti, attivisti, funzionari governativi stranieri o bersagli di alto valore.
• Cibercriminalità: Gruppi criminali potrebbero usarlo per rubare dati sensibili, credenziali bancarie, installare ransomware o condurre frodi su larga scala.
• Spionaggio industriale: Aziende o stati possono impiegarli per sottrarre segreti commerciali o informazioni strategiche a competitor.
• Sabotaggio: In scenari estremi, un controllo completo del dispositivo potrebbe permettere anche azioni di sabotaggio o disinformazione.

Il Mercato dei Broker 0-day

Esiste un mercato, in gran parte sotterraneo e altamente specializzato, dove gli exploit 0-day vengono acquistati e rivenduti anche in aste private. I principali attori includono:

• Ricercatori di Sicurezza Indipendenti: Alcuni esperti di cybersecurity, dopo aver scoperto una vulnerabilità, decidono di venderla al miglior offerente anziché divulgarla al vendor (processo noto come “disclosure responsabile”).
• Broker di Vulnerabilità (Vulnerability Brokers): Sono intermediari che fungono da “mercato” per gli 0-day. Aziende come Zerodium, Exodus Intelligence o Crowdfense sono tra le più note. Offrono ingenti somme di denaro per exploit verificati, in particolare quelli che colpiscono sistemi operativi e applicazioni molto diffusi, come iOS, Android, o browser web. Le somme possono raggiungere cifre esorbitanti, fino a diversi milioni di dollari per exploit “full chain” (che combinano più vulnerabilità per ottenere un controllo totale senza interazione dell’utente).
• Governi e Agenzie di Intelligence: Sono tra i principali acquirenti, disposti a pagare cifre astronomiche per acquisire capacità offensive uniche.
• Venditori di Spyware: Aziende che sviluppano e vendono software di spionaggio avanzato, le quali utilizzano questi preziosi 0day per infettare gli smartphone delle vittime e ottenere la completa compromissione e quindi la sorveglianza.

Il Mercato degli Spyware e le Sue Polemiche (Pegasus, Paragon, ecc.)

Il mercato degli 0-day è strettamente legato all’industria degli spyware commerciali, che utilizza spesso questi exploit per operare. Aziende come NSO Group (con il suo celebre spyware Pegasus), Candiru, Paragon, Gamma Group (con FinFisher) e altre, sviluppano software di sorveglianza sofisticati che possono intercettare chiamate, leggere messaggi, accedere a microfono e fotocamera, tracciare la posizione e rubare dati da un dispositivo bersaglio.

Questi spyware vengono venduti a governi e forze dell’ordine con la giustificazione di combattere terrorismo, criminalità organizzata e pedofilia. Tuttavia, il loro utilizzo è diventato oggetto di accesi dibattiti e aspre polemiche per diversi motivi:

1. Abusi dei Diritti Umani: Numerose indagini giornalistiche (come il “Pegasus Project”) e rapporti di organizzazioni per i diritti umani hanno documentato l’uso di questi spyware per spiare giornalisti, avvocati, attivisti per i diritti umani, oppositori politici e anche capi di stato. Questo solleva gravi preoccupazioni sulla violazione della privacy, della libertà di espressione e del diritto a un processo equo.
2. Mancanza di Trasparenza e Responsabilità: Le aziende produttrici di spyware operano spesso con poca trasparenza, sostenendo di vendere solo a governi “legittimi” e di avere “kill switch” per impedire abusi. Tuttavia, i casi di abuso continuano a emergere, e i meccanismi di controllo e responsabilità sembrano insufficienti.
3. Rischio di Diffusione: Una volta che uno spyware, alimentato da un 0-day, viene utilizzato, l’exploit sottostante può essere scoperto e potenzialmente riutilizzato da altri attori malevoli, come accaduto con EternalBlue della NSA, che fu poi utilizzato per WannaCry e NotPetya.
4. Impatto sulla Fiducia Digitale: L’esistenza di strumenti così potenti e il loro uso improprio minano la fiducia nelle tecnologie digitali e nella sicurezza delle comunicazioni online.

Conclusione

La comunità internazionale è divisa su come gestire questo mercato. Alcuni sostengono la necessità di un divieto totale sulla vendita di spyware a entità non statali e di una regolamentazione più stringente a livello globale. Altri evidenziano la necessità di tali strumenti per la sicurezza nazionale e la lotta contro minacce reali, pur riconoscendo il problema degli abusi.

In conclusione, l’annuncio di un exploit 0-day per iOS, sebbene la sua autenticità sia da verificare, ci ricorda la continua minaccia rappresentata dalle vulnerabilità software e l’esistenza di un mercato sotterraneo altamente sofisticato. Questo ecosistema, alimentato da broker e aziende di spyware, pone sfide etiche e di sicurezza globali che richiedono un’attenzione e una regolamentazione sempre maggiori per proteggere i diritti e la privacy degli individui nell’era digitale.

L'articolo Exploit RCE 0day/0click su iOS in vendita. Scopriamo il mercato delle armi cibernetiche per lo spionaggio proviene da il blog della sicurezza informatica.

Do you like buses, or do you just like the flippy-flappy displays they use to show route information? Either way, you’ll probably love the flip-disc clock created by [David Plass].

The build is based around four seven-segment flip disc displays. The modules in question are from Flipo.io. They use a hefty 0.5 amp pulse to create a magnetic field strong enough to flip the discs from one side to the other with coils placed underneath the fluro/black flipdots themselves. The modules are controlled by a Wemos D1, which uses Wi-Fi to query a NTP server to keep accurate time. It then drives the necessary segments to display the current time. The whole thing is assembled in what appears to be some kind of kitchen storage tub.

Notably, the clock flips a couple dots once every second to meet the requirements of our One-Hertz Challenge. This also makes it obvious that the clock is working when it would otherwise be static. However, [David] notes commenting out that part of the code at times, as it can be quite loud!

This clock has got fluro dots, it’s well-executed, and it’s a fine entry to the 2025 One-Hertz Challenge. We’ve also previously explored how these beautiful displays work in detail, too. Meanwhile, if you’re busy repurposing some other kind of mechanical display technology, don’t hesitate to let us know!

hackaday.com/2025/08/01/2025-o…

BornHack is a week-long summer hacker camp in a forest on the Danish island of Fyn, that consistently delivers a very pleasant experience for those prepared to make the journey. This year’s version was the tenth iteration of the camp and it finished a week ago, and having returned exhausted and dried my camping gear after a Biblical rainstorm on the last day, it’s time to take a look at the badges. In case you are surprised by the plural, indeed, this event had not one badge but two. Last year’s badge suffered some logistical issues and arrived too late for the camp, so as a special treat it was there alongside the 2025 badge for holders of BornHack 2024 tickets. So without further ado, it’s time to open the pack for Hackaday and see what fun awaits us.

Two Very Elegant Badges

Best photographed with the badge turned off, the BornHack 2024 badge’s LEDs are BRIGHT!
Both badges are the work of [Thomas Flummer], someone who has appeared here more than once over the years with an array of beautifully designed badges and SAOs. First out is the 2024 one, and it’s a slim rectangular board around 140 by 45 mm with a row of addressable LEDs and a BornHack logo on the front, and the electronics and LiPo battery on the rear. It’s elegant in its simplicity, with an ESP32-C3 Mini module, battery charger and power supply circuit, and an NT3H2x11 addressable NFC chip and associated antenna. There are also the usual SAO and QWiC connectors flus some GPIO pads for expandability.

The LEDs on the front can display pretty colours of course, but their intended use is for persistence-of-vision displays. On its GitHub repository are several firmwares should you wish to play around with this. Meanwhile the NFC chip is interesting in itself, as it’s both a passive tag that can be read when the badge is turned off, and a tag that can be addressed by the ESP32. It was intended for an NFC game at BornHack 2024, but it remains a part worth investigating.
The Molex antenna on the 2025 badge sticks over the PCB antenna, which isn’t ideal, but seemed to work.
Having given some attention to the 2024 badge it’s time to pick up the 2025 model, which is a large white PCB in the shape of an Ø character. On the front is a BornHack logo and a row of backlit status icons on the left hand side, while on the back you’ll find the electronics and a pair of AA batteries. It’s a LoRa experimentation board, so alongside another ESP32-C3 Mini there’s a European 868 MHz LoRa Module. There’s a PCB antenna on the board but this module has one of those tiny co-axial connectors and was supplied with a Molex stick-on antenna. Full design details can be found in its GitHub repository.

A Real World LoRa Propagation Test

BornHack: Very lovely, but not the best landscape for radio.
Out-of-the-box, this badge came with a Meshtastic node firmware, which for a hacker camp badge worked very well indeed. It’s easy enough to connect to the Meshtastic app on your smartphone, and soon a plethora of nodes sprang up. Most of you will be familiar with Meshtastic networks so it’s not worth going into too much detail on that front, but the site offered an interesting opportunity to test both those Molex antennas, and 868 MHz propagation in a real-world setting.

The BornHack site is not the least challenging location from a UHF radio perspective, being a series of former gravel pits interspersed with dense forest over a large area. Thus instead of line-of-sight it offers earth banks and dense foliage, neither ideal for radio propagation. I tested it by going to the far corners of the site and sending messages to my friends, and I was pleased to find I could cover the whole terrain with no more than a single intermediate badge providing a relay. This is as much to do with the clever tech behind LoRa as it is the Molex antennas, but I was still pleasantly surprised that they worked that well. In use it makes far more sense to take power from a USB-C source than those batteries, and I fond it didn’t appreciably accelerate my phone’s power drain.
The alien abduction artwork on the EMF Explorer makes for great backlighting.
So at the camp with two badges there was plenty to do with both of them, and it’s pleasing to see a design very much focused around life after the camp. I particularly like the “10” they form together as a reference to the tenth BornHack. The 2024 badge provides a fun light show and a chance to experiment with an interesting NFC chip, while there’s every chance you’ll encounter one of the 2025 badges providing Meshtastic service in a European hackerspace over the next few years, or being carried around as a personal node.

The two official badges weren’t entirely the end of the badge story for me at BornHack, because along the way I also picked up a sporklogic.com EMF Explorer badge from its creator [Darcy Neal]. It’s an analogue circuit for listening to ambient electric fields in glorious stereo which is enough fun, but the party piece is the UFO design backlit by a green LED. One of the most effective uses of unclad PCB I have seen on a badge.

hackaday.com/2025/08/01/two-fo…

Another week, another Hackaday podcast, and for this one Elliot is joined by Jenny List, fresh from the BornHack hacker camp in Denmark.

There’s a definite metal working flavour to this week’s picks, with new and exciting CNC techniques and a selective electroplater that can transfer bitmaps to metal. But worry not, there’s plenty more to tease the ear, with one of the nicest cyberdecks we’ve ever seen, and a bird that can store images in its song.

Standout quick hacks are a synth that makes sounds from Ethernet packets, and the revelation that the original PlayStation is now old enough to need replacement motherboards. Finally we take a closer look at the huge effort that goes in to monitoring America’s high voltage power infrastructure, and some concerning privacy news from the UK. Have a listen!

frame for podcast

And/or download your own freshly-baked MP3, full of unadulterated hacky goodness.
Where to Follow Hackaday Podcast

Places to follow Hackaday podcasts:

• iTunes
• Spotify
• Stitcher
• RSS
• YouTube
• Check out our Libsyn landing page

Episode 331 Show Notes:

News:

• We’ve reache the halfway point: Announcing The 2025 Hackaday One Hertz Challenge

What’s that Sound?

• If you know what this week’s sound is, enter your best guess here.

Interesting Hacks of the Week:

• Painting In Metal With Selective Electroplating
• A Dual-Screen Cyberdeck To Rule Them All
• Human In The Loop: Compass CNC Redefines Workspace Limits
• AVIF: The Avian Image Format
• Skateboard Wheels Add Capabilities To Plasma Cutter
• Engrave A Cylinder Without A Rotary Attachment? No Problem!
• The LumenPnP Pasting Utility: Never Buy Solder Stencils Again?

Quick Hacks:

• Elliot’s Picks:
  
  • Transparent PCBs Trigger 90s Nostalgia
  • Listening To Ethernet Via Eurorack
  • Read QR Codes On The Cheap
  • 2025 One-Hertz Challenge: A Clock Sans Silicon

  
  

• Jenny’s Picks:
  
  • A Non-Sony Playstation Motherboard Replacement
  • A Cable Modem, The Way All Network Gear Should Be Mounted
  • A Very Tidy Handheld Pi Terminal Indeed

  
  

Can’t-Miss Articles:

• Power Line Patrols: The Grid’s Eye In The Sky
• When Online Safety Means Surrendering Your ID, What Can You Do?

hackaday.com/2025/08/01/hackad…

When a tipster came to us with the line “One dollar BASIC computer”, it intrigued us enough to have a good look at [Stan6314]’s TinyBasRV computer. It’s a small PCB that forms a computer running BASIC. Not simply a microcontroller with a serial header, this machine is a fully functioning BASIC desktop computer that takes a PS/2 keyboard and a VGA monitor. Would that cheap price stand up?

The board uses a CH32 microcontroller, a RISC-V part that’s certainly very cheap indeed and pretty powerful, paired with an I2C memory chip for storage. The software is TinyBASIC. There’s some GPIO expandability and an I2C bus, and it’s claimed it can run in headless mode for a BASIC program to control things.

We haven’t added up all the parts in the BoM to check, but even if it’s not a one dollar computer it must come pretty close. We can see it could make a fun project for anyone. It’s certainly not the only small BASIC board out there, it’s got some competition.

Thanks [Metan] for the tip.

hackaday.com/2025/08/01/a-prop…

Un nuovo studio di Microsoft offre uno sguardo sorprendente (e inquietante) su come l’intelligenza artificiale generativa stia rimodellando la forza lavoro globale. Contrariamente a quanto si pensa, non sono solo i professionisti del settore high-tech a percepire il cambiamento: anche venditori, giornalisti, correttori di bozze e traduttori sono nel mirino dell’intelligenza artificiale.

E queste non sono solo previsioni, ma si basano su dati di utilizzo reali che stanno ridisegnando la mappa dell’occupazione. In cima alla lista dei “più colpiti” ci sono i lavori incentrati sull’informazione, la comunicazione e la creazione di contenuti, come traduttori, storici e scrittori. Si tratta di ruoli in cui i modelli linguistici eccellono, assistendo gli utenti in attività quali la riscrittura, la sintesi o la traduzione con precisione e velocità.

Al contrario, i ruoli pratici o fisicamente impegnativi difficilmente si intersecano con ciò che i chatbot sono in grado di fare. Tra questi rientrano lavori come elettricisti, idraulici, addetti alla rimozione di materiali pericolosi. In parole povere: l’intelligenza artificiale può imitare il lavoro intellettuale, ma non il lavoro manuale.

Tuttavia, lo studio di Microsoft sull’intelligenza artificiale ha evitato di fare affermazioni generali sulla perdita o la creazione di posti di lavoro. Non si è ancora arrivati a dire se la tecnologia sostituirà posti di lavoro o semplicemente li rimodellerà. Questa questione è al centro di un acceso dibattito nel settore tecnologico. Intanto il CEO di Anthropic, Dario Amodei, ha recentemente lanciato un monito all’opinione pubblica: entro cinque anni potrebbe scomparire fino alla metà di tutti i posti di lavoro impiegatizi di livello base.

Il responsabile del design della Mercedes-Benz si è spinto oltre, affermando che l’intelligenza artificiale lo sostituirà tra 10 anni e che sarà anche molto più economica. Altri, come il miliardario Mark Cuban, sostengono che la tecnologia finirà per creare nuovi posti di lavoro. Kiran Tomlinson, ricercatore capo di Microsoft, ha sottolineato che i risultati indicano un supporto a livello di attività piuttosto che un’automazione completa del lavoro.

Tuttavia, alcuni temono che sia solo questione di tempo prima che la robotica e l’intelligenza artificiale inizino a insinuarsi anche in questi ambiti. Lo studio solleva interrogativi più ampi su come le società e i governi intendono gestire i cambiamenti che l’intelligenza artificiale porterà con sé. Mentre alcuni esperti sperano che l’intelligenza artificiale liberi le persone da compiti noiosi o contribuisca a risolvere grandi problemi come malattie o povertà, altri temono l’aumento della disoccupazione, delle disuguaglianze e dei disordini sociali.

In altre parole, l’intelligenza artificiale potrà aiutarti a semplificare il lavoro, ma è ancora improbabile che possa prenderne completamente il controllo. Un’altra importante avvertenza: lo studio ha valutato solo l’impatto di grandi modelli linguistici, ma non di altri tipi di intelligenza artificiale. Quindi, anche se oggi i chatbot non stanno sostituendo gli autisti di camion, i progressi nella robotica o nella guida autonoma potrebbero avere un impatto su questi settori in futuro.

Tuttavia, lo studio rafforza il crescente consenso sul fatto che questa rivoluzione colpisca innanzitutto i lavori d’ufficio.

L'articolo Microsoft stila la lista dei 40 lavori che scompariranno grazie all’AI. I lavori “pratici” resistono proviene da il blog della sicurezza informatica.

Microsoft continua a impegnarsi per contrastare i meccanismi potenzialmente pericolosi in Office e Windows annunciando nuove restrizioni in Excel.

A partire da ottobre 2025, Microsoft adotterà misure drastiche per isolare Excel da fonti potenzialmente pericolose. La nuova policy di blocco dei collegamenti esterni a determinati tipi di file diventerà attiva per impostazione predefinita e raggiungerà tutti gli utenti di Excel in un’implementazione in più fasi che sarà completata entro luglio 2026.

Ciò significa che tutte le cartelle di lavoro che fanno riferimento a tali formati smetteranno di aggiornare i dati o genereranno un errore #BLOCKED, eliminando un vettore di attacco precedentemente utilizzato per iniettare codice dannoso tramite collegamenti a documenti esterni.

L’innovazione è implementata tramite un nuovo criterio di gruppo FileBlockExternalLinks , che espande le attuali impostazioni di sicurezza di File Block Settings per includere non solo l’apertura locale di determinati tipi di file, ma anche i collegamenti remoti all’interno dei documenti Excel. Come spiegato da Microsoft in un messaggio pubblicato nell’interfaccia su Microsoft 365, un avviso relativo alla modifica inizierà a comparire nella barra delle notifiche all’apertura di file contenenti tali collegamenti, a partire dalla build di Excel versione 2509 .

Tuttavia, già nella build 2510 entrerà in vigore una nuova logica di elaborazione: se la policy non viene configurata, Excel smetterà di supportare l’aggiornamento e la creazione di nuovi collegamenti ai formati presenti nella blacklist del Centro protezione. Allo stesso tempo, Microsoft sottolinea che non verranno apportate modifiche fino a ottobre 2025, anche senza la configurazione della policy: le organizzazioni avranno il tempo di prepararsi e informare gli utenti.

Per mantenere l’accesso a tali file, gli amministratori di Microsoft 365 possono modificare manualmente il Registro di sistema aggiungendo la chiave HKCUSoftwareMicrosoftOfficeExcelSecurityFileBlockFileBlockExternalLinks. Istruzioni dettagliate sono disponibili nella Knowledge Base ufficiale di Microsoft.

Questo aggiornamento fa parte di un più ampio sforzo per affrontare la sicurezza di vulnerabilità che vengono attivamente sfruttate dagli aggressori per diffondere malware. Nel corso del 2024 e del 2025, Microsoft ha costantemente rafforzato le misure di sicurezza nei prodotti Office e Windows, disabilitando i controlli ActiveX in tutte le versioni di Microsoft 365 e Office 2024, aggiungendo formati .library-msall’elenco .search-ms degli allegati vietati in Outlook e introducendo ulteriori misure contro macro ed estensioni .

Dal 2018, quando è stato introdotto il supporto per Antimalware Scan Interface (AMSI) in Office 365, Microsoft ha sistematicamente chiuso i canali vulnerabili: le macro VBA sono state gradualmente disabilitate, gli script XLM (Excel 4.0) sono stati vietati, è stato aggiunto il filtraggio dei componenti aggiuntivi XLL ed è stato annunciato l’imminente abbandono di VBScript in quanto meccanismo arcaico e pericoloso.

Tutte queste misure mirano a ridurre al minimo i rischi associati agli attacchi basati sui documenti, tra cui il phishing tramite file Excel e il download di componenti eseguibili tramite link esterni. Come dimostrano recenti ricerche, tali metodi sono ancora attivamente utilizzati dagli aggressori per distribuire downloader e trojan dannosi , mascherati da legittimi sistemi di integrazione tra documenti.

Nello stesso giorno, Microsoft ha annunciato l’aumento delle ricompense per vulnerabilità critiche, consentendo ai ricercatori di guadagnare fino a 40.000 dollari per bug che interessano le piattaforme .NET e ASP.NET Core. Questa decisione rafforza l’investimento dell’azienda nella collaborazione con la comunità della sicurezza informatica e sottolinea la priorità che attribuisce alla sicurezza come componente chiave dell’ecosistema Microsoft 365 e Office.

Gli amministratori devono verificare in anticipo le dipendenze nei documenti esistenti e, se necessario, adattare i processi aziendali prima che le restrizioni entrino in vigore.

L'articolo Zero Tollerance in Office! Microsoft bloccherà i link esterni in Excel per sicurezza proviene da il blog della sicurezza informatica.

Guardo con grande interesse alle svariate vie lungo le quali si sviluppa l’approccio sistemico, alla molteplicità di versioni che ne nascono nelle stanze e nelle pratiche dei colleghi. Guardo con gratitudine al modo in cui tanti clinici, sia più esperti sia più giovani di me, interpretano un modo di lavorare che non s’impone come una dottrina ma si propone come una cornice da riempire nell’incontro con l’unicità di tante storie e nell’esercizio della responsabilità etica ed epistemologica del singolo clinico...

massimogiuliani.it/blog/2025/0…

"Teorie attaccapanni": crisi e creatività nella formazione del terapeuta sistemico - Corpi che parlano, il blog

La formazione sistemica, senza la biografia del clinico, è un attaccapanni vuoto. Riflessioni su creatività e originalità nel percorso formativo.

^{Massimo Giuliani (Corpi che parlano, il blog)}