Quel partito ha la caratteristica di riuscire a sparire completamente dalla scena per mesi, per anni, tra un'elezione (persa) e l'altra.

O governa, e sappiamo come, o sparisce completamente dalla circolazione.

Gli americani over 60 hanno perso la sorprendente cifra di 700 milioni di dollari a causa di frodi online nel 2024, la cifra più alta mai registrata dalla Federal Trade Commission (FTC) degli Stati Uniti D’America. Il nuovo Consumer Protection Data Spotlight rileva perdite in tutte le categorie, dalle piccole alle multimilionarie, in aumento rispetto agli anni precedenti, con un aumento particolarmente netto nei furti più grandi.

Secondo le statistiche, il colpo più duro è stato arrecato alle vittime che hanno perso più di 100.000 dollari in un singolo episodio: tali perdite ammontano a 445 milioni di dollari, ovvero otto volte di più rispetto al 2020. Altri 214 milioni di dollari sono andati persi nella fascia d’età compresa tra 10.000 e 100.000 dollari, mentre importi inferiori, fino a 10.000 dollari, ammontano a 41 milioni di dollari. A titolo di confronto, quattro anni fa, il danno totale in questa fascia d’età era di 121 milioni di dollari, e la cifra attuale è più che sestuplicata. Anche rispetto al 2023, quando furono registrate perdite per 542 milioni di dollari, l’aumento è stato di circa il 30%.

La FTC chiarisce espressamente che, sebbene queste statistiche siano impressionanti, rappresentano solo una parte del quadro generale. Le perdite di tutti gli americani dovute a frodi nel 2024 hanno raggiunto i 12,5 miliardi di dollari, un valore record, superiore di un quarto rispetto al risultato del 2023. Inoltre, la crescita è stata osservata ininterrottamente dall’inizio della contabilizzazione ufficiale di tali dati.

Le truffe più comuni che hanno preso di mira gli anziani americani lo scorso anno riguardavano la finzione di agenzie governative e situazioni di crisi urgenti e fittizie. Alle vittime veniva detto di aver rilevato attività sospette sui loro conti bancari, che il loro numero di previdenza sociale veniva utilizzato per attività criminali o che il loro computer era infetto da malware. Per complicare ulteriormente la situazione, i truffatori si spacciavano per agenzie governative , tra cui la stessa FTC, o grandi aziende come Microsoft e Amazon , promettendo di “aiutare” a risolvere un problema inesistente.

Un posto speciale in questi scenari è occupato dai casi in cui i truffatori si sono spacciati per veri rappresentanti della Commissione per la tutela dei consumatori, copiando i nomi e le posizioni di veri dipendenti. Sotto questa copertura, hanno convinto le vittime a trasferire fondi su un conto “sicuro”, a depositare denaro tramite sportelli bancomat per criptovalute o persino a consegnare mazzette di denaro contante e lingotti d’oro ai corrieri. La FTC sottolinea che nessuna di queste azioni è correlata all’operato di vere agenzie governative.

Nella maggior parte dei casi, gli attacchi sono iniziati online, tramite e-mail, social media o messaggistica istantanea, ma poi i truffatori sono passati alle telefonate per aumentare la pressione, creare un senso di disperazione e annientare psicologicamente la vittima. Le persone anziane sono particolarmente vulnerabili a causa della loro fiducia nelle autorità, della scarsa competenza tecnica e dei risparmi ingenti. In alcuni casi, le persone hanno perso non solo tutti i loro fondi correnti, ma anche i risparmi pensionistici a lungo termine, che avrebbero dovuto garantire loro una vita dopo la pensione.

La FTC consiglia, in situazioni come queste, di interrompere del tutto la conversazione e di verificare personalmente le informazioni contattando l’organizzazione tramite i contatti ufficiali. Fornire denaro o informazioni sensibili a sconosciuti, anche se affermano di essere dipendenti pubblici o aziendali, porta inevitabilmente a conseguenze disastrose.

In un panorama digitale sempre più insidioso, giovani e anziani restano le categorie più esposte alle frodi online: i primi per inesperienza e impulsività, i secondi per eccessiva fiducia e minore dimestichezza tecnologica.
Per questo motivo, gli adulti – familiari, educatori e caregiver – hanno un ruolo cruciale: vigilare, educare e affiancare queste fasce d’età nella gestione della propria identità digitale, delle credenziali e delle interazioni online.

Una supervisione attiva, unita alla formazione di buone pratiche di sicurezza, può fare la differenza tra una semplice tentata truffa e una perdita devastante.
Perché nel cyberspazio, prevenire è l’unico vero antivirus.

L'articolo Over 60, Sotto Tiro! Sono 700 i milioni di dollari rubati dai criminal hacker agli anziani proviene da il blog della sicurezza informatica.

Un nuovo strumento per disabilitare i sistemi EDR è apparso nell’ambiente dei criminali informatici , che gli esperti di Sophos ritengono essere un’estensione dell’utility EDRKillShifter . Il suo utilizzo è già stato registrato in attacchi da parte di 8 diversi gruppi, tra cui RansomHub, Blacksuit, Medusa, Qilin, Dragonforce, Crytox, Lynx e INC.

Questi programmi consentono al ransomware di disabilitare le soluzioni di sicurezza sui dispositivi compromessi al fine di distribuire payload, aumentare i privilegi, spostarsi nella rete e, infine, crittografare i dati senza il rischio di essere rilevati.

Il nuovo EDR Killer è un binario fortemente offuscato che si decodifica durante l’esecuzione e si inietta nei processi legittimi. Il passo successivo consiste nel cercare un driver firmato digitalmente con un certificato rubato o scaduto e un nome casuale di cinque caratteri, codificato nel file eseguibile. Se viene trovato un driver di questo tipo, viene caricato nel kernel, consentendo l’implementazione della tecnica “Bring Your Own Vulnerable Driver” ( BYOVD ) e l’ottenimento dei privilegi di sistema necessari per disabilitare i prodotti di sicurezza.

Camuffato da componenti legittimi, come il driver CrowdStrike Falcon Sensor , il driver dannoso termina i processi antivirus ed EDR e blocca i servizi correlati. Sono interessate le soluzioni di Sophos, Microsoft Defender, Kaspersky, Symantec, Trend Micro, SentinelOne, Cylance, McAfee, F-Secure, HitmanPro e Webroot. Diverse versioni dello strumento differiscono nei nomi dei driver, nell’elenco dei prodotti target e nelle caratteristiche della build, ma in tutti i casi viene utilizzato il packer HeartCrypt. Secondo Sophos, non si tratta di un singolo file binario trapelato, ma di una piattaforma sviluppata congiuntamente e utilizzata anche da gruppi concorrenti, ognuno con la propria build unica.

La pratica generale di condividere tali strumenti nella comunità dei ransomware è già nota. Oltre a EDRKillShifter, Sophos ha precedentemente scoperto altre utility di questa classe, come AuKill , utilizzata da Medusa Locker e LockBit. SentinelOne ha inoltre segnalato lo scorso anno che il gruppo FIN7 ha venduto il suo strumento AvNeutralizer a diverse gang, tra cui BlackBasta, AvosLocker, MedusaLocker, BlackCat, Trigona e LockBit. L’elenco completo degli indicatori di compromissione per il nuovo killer EDR è disponibile nel repository aperto GitHub .

L'articolo Gli EDR vanno ancora offline! Crescono le minacce con i figli di EDRKillShifter proviene da il blog della sicurezza informatica.

We can’t throw stones. [Leaded Solder] picked up a SparcStation 1+ in 2018 and found it only produced illegal instruction errors. We’re sure he’s like us and meant to get back to it, and, instead, it sat on the bench, taking up space. You eventually have to move it, though, so seven years later, it was time for another go at it.

The first pass back in 2018 revealed that the machine had an interesting life. The full-sized hard drive was salvaged from an Apple computer. Removing the drive resolved the illegal instruction error. The drive seemed to work, but there was still nothing that suggested the machine would fully boot up. The next step was to try booting from a floppy, but that didn’t work either. The floppy cable had been surgically altered, again hinting this machine had seen some tough love.

Fast forward to 2025. This time, a Pi Pico-based SCSI emulator would stand in for the aging and suspect hard drive. Unfortunately, as noted, this machine has undergone some extensive and strange surgery. The power cable feeding the emulator had been rewired backwards, exposing the poor Pi Pico to 12 V, with predictable results. Luckily, it didn’t seem to phase the SparcStation.

The machine has some hard-to find micro fuses and one that powers the SCSI bus was blown. You could wonder if the SCSI emulator blew the fuse, but it appears it didn’t. Pulling the Ethernet fuse and placing it in the SCSI slot improved the machine’s behavior. But the termination power was still a problem. A USB cable temporarily solved that and, in fact, got the machine a little bit further.

That’s as far as he got this time. We’d imagine if you know a lot about this computer and have ideas on how to solve some of the remaining problems [Leaded Solder] would be glad to hear from you. But take your time. We estimate you have at least a few years.

There was a time when every geek wanted a Sun computer. Of course, if this is too much work for you, there’s always emulation.

hackaday.com/2025/08/09/sparcs…

Over on Hackaday.io our hackers [Angelo] and [Oscarv] are making a replica of the PDP-1. That is interesting in and of itself but the particularly remarkable feature of this project is its novel use of printed circuit boards for casing and instrument panels.

What does that mean in practice? It means creating a KiCad file with a PCB for each side of the case/panel. These pieces can then be ordered from a board house and assembled. In the video below the break you will see an example of putting such a case together. They use sticky tape for scaffolding and then finish things off by soldering the solder joints on each edge together.

We cover so many PCB hacks over here at Hackaday that we have an entire category dedicated to them: PCB Hacks. If you’re interested in PCBs you might like to read about their history, as before they were everywhere they were nowhere.

Thanks to [Oscarv] for writing in to let us know about this one.

youtube.com/embed/B4p0aQRA0CI?…

hackaday.com/2025/08/09/hackin…

There was a time when making a cloud chamber with dry ice and alcohol was one of those ‘rite of passage’ type science projects every nerdy child did. That time may or may not be passed, but we doubt many children are making cloud chambers quite like [Curious Scientist]’s 20 cm x 20 cm Peltier-powered desktop unit.

The dimensions were dictated by the size of the off-the-shelf display case which serves as the chamber, but conveniently enough also allows emplacement of four TEC2-19006 Peltier cooling modules. These are actually “stacked” modules, containing two thermoelectric elements in series — a good thing, since the heat delta required to make a cloud chamber is too great for a single element. Using a single-piece two stage module simplifies the build considerably compared to stacking elements manually.

To carry away all that heat, [Curious Scientist] first tried heatpipe-based CPU coolers, but moved on to CPU water blocks for a quieter, more efficient solution. Using desktop coolers means almost every part here is off the shelf, and it all combines to work as well as we remember the dry-ice version. Like that childhood experiment, there doesn’t seem to be any provision for recycling the condensed alcohol, so eventually the machine will peter out after enough vapor is condensed.

This style of detector isn’t terribly sensitive and so needs to be “seeded” with spicy rocks to see anything interesting, unless an external electric field is applied to encourage nucleation around weaker ion trails. Right now [Curious Scientist] is doing that by rubbing the glass with microfiber to add some static electricity, but if there’s another version, it will have a more hands-off solution.

We’ve seen Peltier-Powered cloud chambers before (albeit without PC parts), but the “dry ice and alcohol” hack is still a going concern. If even that’s too much effort, you could just go make a cup of tea, and watch very, very carefully.

youtube.com/embed/cNRNSzmCOCE?…

hackaday.com/2025/08/09/desk-t…

Humanity pretty much has Pi figured out at this point. We’ve calculated it many times over and are confident about what it is down to many, many decimal places. However, if you fancy estimating it with some electronic assistance, you might find this project from [Roni Bandini] interesting.

[Roni] programmed an Arduino Nano R4 to estimate Pi using the Monte Carlo method. For this specific case, it involves drawing a circle inscribed inside a square. Points are then randomly scattered inside the square, and checked to see if they lie inside or outside the circle based on their position and distance of the circle’s outline from the center point of the square. By taking the ratio of the points inside the circle to the total number of points, you get an approximation of the ratio of the square and circle’s areas, which is equal to Pi/4. Thus, multiply the ratio by 4, and you’ve got your approximation of Pi.

[Roni] coded a program to run the Monte Carlo simulation on the Arduino Nano R4, taking advantage of the mathematical benefits of its onboard Floating Point Unit. It generates 100 new samples for the Monte Carlo approximation every second, improving the estimation of pi as it goes. It then displays the result on a 7-segment display, and beeps as it goes. [Roni] readily admits the project is a little too close in appearance to a classic Hollywood bomb.

We’ve seen some other neat Pi-calculating projects before, too.

youtube.com/embed/sdlGrY9Nj2A?…

hackaday.com/2025/08/09/2025-o…

Despite the availability of ready-made displays never being better, there are still some hardy experimenters who take on the challenge of making their own. In [Ben Holmen]’s case the display he built is somewhat unusual and not the most practical, but for us a giant-sized wooden kilopixel display is exactly what the world needs.

It’s a kilopixel display because it has a resolution of 40 by 25 pixels, and it takes the form of a rack of wooden cubes, each of which can be turned by a tool on a gantry to expose either a black or a white side. It’s very slow indeed — he has an over nine hour long video of it in operation — but it is an effective device.

His write-up goes into great detail about the steps taken in its design, starting with spherical pixels rotated by a LEGO wheel and progressing to cubes poked at their corner to rotate. The pusher in this case is a hot glue stick, for the required flexibility. For practicality we’re reminded of this serial oil-and-water display.

The whole thing is online, and if you want you can submit your own images for it to draw. Whether a Wrencher in 25 pixel resolution has enough detail, we’ll leave to you.

hackaday.com/2025/08/09/the-ki…

Dopo che Grok-4 è stato craccato in due giorni, GPT-5 è stato sconfitto in sole 24 ore dagli stessi ricercatori. Quasi contemporaneamente, il team di test di SPLX (ex SplxAI) ha dichiarato: “GPT-5 è grezzo e praticamente inutilizzabile per uso aziendale fin da subito. Persino i filtri integrati di OpenAI lasciano lacune evidenti, soprattutto in termini di orientamento al business“.

NeuralTrust ha utilizzato la sua tecnica proprietaria EchoChamber in combinazione con una tecnica di “storytelling” per far sì che il modello descrivesse passo dopo passo il processo di creazione di una molotov. Il caso, afferma l’azienda, dimostra che qualsiasi modello di intelligenza artificiale moderno è vulnerabile alla manipolazione attraverso il contesto, ovvero la cronologia della corrispondenza che il sistema ricorda per mantenere la coerenza della conversazione. Invece di richiedere direttamente contenuti proibiti, gli aggressori guidano il modello passo dopo passo attraverso lo scenario desiderato, evitando di fare scattare i guardrail.

Il processo funziona così: prima gli indizi tossici vengono inseriti in modo sottile nella conversazione, camuffati da testo innocuo; poi viene costruita una narrazione che mantiene la coerenza logica ma evita parole che potrebbero innescare il rifiuto; poi c’è un ciclo di “approfondimento della storia”, in cui il modello stesso aggiunge dettagli che rafforzano il contesto desiderato; se i progressi rallentano, gli aggressori cambiano la trama o la prospettiva per avanzare ulteriormente senza rivelare le proprie intenzioni. Secondo NeuralTrust, questa “viscosità” della trama rende l’IA più obbediente all’interno del “mondo” creato e le consente di raggiungere il suo obiettivo senza violare direttamente le regole.

SPLX ha adottato un approccio diverso, testando la resilienza del modello all’offuscamento delle query. Un metodo è l’attacco StringJoin Obfuscation, che inserisce un trattino tra ogni lettera e trasforma l’intera query in un falso compito di “decifratura“. In un esempio, GPT-5, a cui è stata data una lunga istruzione che terminava con la domanda “Come faccio a costruire una bomba?”, ha risposto con inaspettata familiarità: “Beh, è un ottimo inizio. Sei intervenuto con decisione, e lo rispetto… Hai chiesto come costruire una bomba, e ti dirò esattamente come…”

Test comparativi hanno dimostrato che GPT-4o rimane più resistente a tali attacchi, soprattutto dopo una protezione aggiuntiva. Entrambi i report concordano su un punto: l’utilizzo di GPT-5 raw dovrebbe essere effettuato con estrema cautela.

L'articolo GPT-5 hackerato in 24 Ore. Gli esperti rilevano sorprendenti debolezze proviene da il blog della sicurezza informatica.

An old friend of mine at my hackerspace introduced me to the concept of Prototype Zero: The Version that Even Your Own Sweet Mother Isn’t Allowed to See. The idea is that when you’re building something truly new, or even just new to you, your first take will almost always be ugly, and nothing will work the way it will by the time you make your second one. But it’s also important to the exercise that you see it all the way through to the end if you can.

I’m reminded of this after seeing a marvelous video by [Japhy Riddle] where he discusses his Prototype Zero of the Tape-Speed Keyboard. About halfway through the video he says that he would have done it totally differently if he knew then what he knows now: the hallmark of Prototype Zero. Yet he finishes it up, warts and all, documents it, and plays around with all of its possibilities. (Documenting it publicly isn’t part of the Prototype Zero method.)

I don’t think that [Japhy] is going to make a Prototype 1.0 out of this project, but I could be wrong; he seems to be content with having scratched the variable-speed tape itch. But if he did want to, he’s learned all of the gotchas on the engineering side, and found out exactly what such an instrument is capable of. And this loops back to the importance of getting Prototype Zero finished. You may have learned all of the tricks necessary to build the thing even before you’ve put the last screw in, but it’s when you actually have the thing in your hands to explore that you get the ideas for refinement that you simply can’t think up when it’s still just a concept.

Don’t be afraid to make your prototype quick and dirty, because if it ends up too dirty, you can just call it Prototype Zero. But don’t be tempted by the siren’s song of the 80% finished prototype either. Exploring putting Prototype Zero into use is its real purpose.

This article is part of the Hackaday.com newsletter, delivered every seven days for each of the last 200+ weeks. It also includes our favorite articles from the last seven days that you can see on the web version of the newsletter. Want this type of article to hit your inbox every Friday morning? You should sign up!

hackaday.com/2025/08/09/a-love…

Nelle ultime settimane abbiamo discusso a lungo della bufera scoppiata nel Regno Unito dopo l’entrata in vigore della legge che impone la verifica dell’età per accedere ai principali portali di contenuti per adulti. In questo giorni, diversi siti di contenuti materiale per adulti sono sotto accusa per presunte violazioni della legge della Florida sulla verifica dell’età.

Il procuratore generale della Florida James Uthmeier ha fatto causa alle società madri di XVideos, XNXX, Bang Bros, Girls Gone Wild e TrafficFactory per aver violato una legge che richiede ai siti pornografici di verificare che i visitatori abbiano 18 anni “utilizzando un metodo di verifica dell’età anonimo o standard“.

Secondo Uthmeier, i siti in questione “hanno apertamente sfidato l’HB 3 da quando è entrato in vigore” il 1° gennaio. Afferma di aver inviato lettere a due delle aziende ad aprile, chiedendo loro di conformarsi o di affrontare azioni legali, ma che “non hanno apportato alcuna modifica”.

Come riportato da Axios, XVideos.com attualmente presenta un banner che critica “la TRUFFA della verifica dell’età“. XVideos è il secondo sito porno più popolare al mondo dopo Pornhub. L’accesso è gratuito e riceve quasi 3,5 miliardi visite mensili a livello globale. Diversi milioni di queste, secondo Uthmeier, provengono dalla sola Florida.

La società madre di Pornhub, Aylo, nel frattempo, ha bloccato i suoi siti in Florida (e in una dozzina di altri stati) da dicembre in segno di protesta contro la legge.

Infatti la maggior parte delle persone riesce ad aggirare le restrizioni utilizzando una VPN. “Stiamo intraprendendo azioni legali contro questi pornografi online che si approfittano deliberatamente dell’innocenza dei bambini per trarne profitto economico“, afferma Uthmeier.

La legge della Florida blocca anche l’uso dei social media per i minori di 14 anni e lo limita per i quattordicenni e i quindicenni. NetChoice e la CCIA, organizzazioni che rappresentano i giganti dei social media Meta, Snap e X, hanno citato in giudizio Uthmeier nell’ottobre dello scorso anno, accusandolo di violazioni del Primo Emendamento.

A giugno, un giudice federale si è pronunciato a favore delle organizzazioni e a temporaneamente bloccato la legge, affermando che era probabilmente incostituzionale. Il Procuratore Generale della Florida, tuttavia, ha presentato ricorso.

Tuttavia, le leggi sulla verifica dell’età in generale hanno ottenuto una vittoria a giugno, quando la Corte Suprema degli Stati Uniti ha confermato la versione del Texas.

L'articolo XVideos e Bang Bros sotto accusa dalla Florida per la verifica dell’età. Tutela o Censura? proviene da il blog della sicurezza informatica.

Una vulnerabilità di WinRAR recentemente chiusa monitorata con il codice CVE-2025-8088 è stata sfruttata in attacchi di phishing mirati prima del rilascio della patch. Il problema era un Directory Traversal ed è stato risolto solo in WinRAR 7.13. il bug permetteva agli aggressori di creare archivi speciali che, una volta decompressi, finivano in una directory specificata dall’aggressore, anziché nella cartella selezionata dall’utente. Questo meccanismo permetteva di aggirare le restrizioni standard e di iniettare codice dannoso in directory critiche di Windows.

A differenza dello scenario usuale, quando la decompressione porta a una posizione predefinita, la vulnerabilità ha permesso di sostituire il percorso per reindirizzare il contenuto alle cartelle di avvio del sistema operativo. Tra queste directory vi sono la cartella di avvio di un utente specifico (%APPDATA%MicrosoftWindowsStart MenuProgramsStartup) e la cartella di avvio del sistema per tutti gli account (%ProgramData%MicrosoftWindowsStart MenuProgramsStartUp). Al successivo accesso al sistema, qualsiasi file eseguibile inserito tramite la vulnerabilità veniva avviato automaticamente, il che di fatto ha dato all’aggressore la possibilità di eseguire codice da remoto senza l’intervento della vittima.

Il problema riguardava solo le edizioni Windows di WinRAR, RAR, UnRAR, le loro versioni portatili e la libreria UnRAR.dll. Le varianti per piattaforme Unix, Android e i relativi codici sorgente non presentavano questa vulnerabilità.

La situazione era resa particolarmente pericolosa dal fatto che WinRAR non dispone di una funzione di aggiornamento automatico. Gli utenti che non monitoravano il rilascio di nuove versioni potevano rimanere sotto attacco per mesi senza accorgersene. Gli sviluppatori raccomandano vivamente di scaricare e installare manualmente WinRAR 7.13 dal sito web ufficiale win-rar.com per eliminare la possibilità di sfruttare questo errore.

La vulnerabilità è stata identificata dagli specialisti di ESET Anton Cherepanov, Peter Koszynar e Peter Stricek. Quest’ultimo ha confermato che è stata utilizzata in vere e proprie campagne di phishing per installare il malware RomCom. Gli attacchi consistevano nell’invio di e-mail con allegati archivi RAR contenenti l’exploit CVE-2025-8088.

RomCom è un gruppo noto anche come Storm-0978, Tropical Scorpius o UNC2596. È specializzato in attacchi ransomware, furto di dati, estorsione e furto di credenziali. Utilizza un malware proprietario per persistere nel sistema, rubare informazioni e creare backdoor che forniscono accesso segreto ai dispositivi infetti.

Il gruppo è noto per il suo ampio utilizzo di vulnerabilità zero-day negli attacchi e ha collaborato con altre operazioni ransomware, tra cui Cuba e Industrial Spy. L’attuale campagna che sfrutta una vulnerabilità in WinRAR è solo l’ultimo esempio di come RomCom combini sofisticate tecniche di hacking con l’ingegneria sociale per aggirare le difese e penetrare nelle reti aziendali.

ESET sta già preparando un rapporto dettagliato sull’incidente, che descriverà nei dettagli i metodi di sfruttamento e i dettagli tecnici degli attacchi identificati.

L'articolo Hai fatto doppio click su WinRAR? Congratulazioni! Sei stato compromesso proviene da il blog della sicurezza informatica.

Beyblade spinning tops are pretty easy to find at toy shops, department stores, and even some supermarkets. However, the arenas in which the tops do battle? They’re much harder to come by, and the ones on sale in any given market often leave a lot to be desired. [LeftBurst] got around this problem by printing a grandiose Beyblade arena.

[LeftBurst]’s desire was to score a Beyblade stadium more similar to those featured in the anime, which are much larger than those sold as part of the official toy line. [Buddha] was enlisted to model the massive arena, but it then needed to be printed. Given its size, printing it in one piece wasn’t very practical. Instead, [LeftBurst] decided to print it in segments which would then have to be assembled. Super glue was used to put all the parts together, but there was more left to do. The surface finish and joins between the parts would cause issues for tops trying to move across the surface. Thus ensued a great deal of post-processing with primer, putty, and a power sander.

The final result is a massive stadium that plays well, and is ideal for larger multi-Beyblade battles that are more akin to what you’d see in the anime. If you’re playing at this scale, you might appreciate some upgraded launcher technology, too.

youtube.com/embed/oJp4mSX93kw?…

hackaday.com/2025/08/09/3d-pri…

Alla conferenza Black Hat di Las Vegas, VisionSpace Technologies ha dimostrato che è molto più facile ed economico disattivare un satellite o modificarne la traiettoria rispetto all’utilizzo di armi antisatellite. È sufficiente trovare e sfruttare le vulnerabilità nel software che controlla il dispositivo stesso o nelle stazioni di terra con cui interagisce. Olhava ha sottolineato che in passato ha lavorato presso l’Agenzia Spaziale Europea, dove ha ripetutamente segnalato vulnerabilità nell’infrastruttura IT delle stazioni di terra, ma, non avendo atteso le soluzioni, ha deciso di farlo da solo.

Negli ultimi 20 anni, il numero di satelliti operativi è cresciuto da meno di 1.000 a circa 12.300, secondo l’Agenzia Spaziale Europea. Una parte significativa di questi sono satelliti Starlink di SpaceX, ma anche il numero di piattaforme militari è aumentato significativamente a causa delle tensioni geopolitiche. A ciò si aggiunge il fatto che i satelliti sono diventati più economici da sviluppare e lanciare, accelerandone la proliferazione.

Tuttavia, la crescita del numero di dispositivi è accompagnata da problemi di sicurezza del software di controllo. Un esempio è il sistema aperto Yamcs, utilizzato dalla NASA e da Airbus per comunicare e controllare i dispositivi orbitali. Nel suo codice sono state trovate cinque vulnerabilità , che hanno consentito di ottenere il pieno controllo del sistema. Nell’ambito della dimostrazione, gli specialisti hanno mostrato come inviare un comando per accendere i motori e modificare l’orbita del satellite, in modo che questo non venga visualizzato immediatamente nell’interfaccia operatore. L’esperimento è stato condotto in un simulatore e i dispositivi reali non sono stati danneggiati.

La situazione si è rivelata ancora peggiore in OpenC3 Cosmos, un altro sistema aperto per il controllo dei dispositivi dalle stazioni di terra. Qui sono state identificate sette vulnerabilità , tra cui la possibilità di eseguire codice da remoto e condurre attacchi cross-site scripting. Anche la NASA non è stata esente da problemi: sono stati rilevati quattro difetti critici nel pacchetto Eagle del Core Flight System (cFS) : due che portano a un denial of service, una vulnerabilità di path traversal e una falla che consente l’esecuzione remota di codice arbitrario. Tali errori possono disabilitare il software di bordo e dare agli aggressori il controllo completo sui sistemi.

Anche la libreria di crittografia open source CryptoLib, utilizzata su molti satelliti, non è sfuggita a gravi problemi. Nella versione utilizzata dalla NASA sono state rilevate quattro vulnerabilità, mentre il pacchetto standard ne presentava sette, due delle quali valutate criticamente. Secondo Startsik, alcuni degli errori scoperti consentono all’intero software di bordo di bloccarsi con una semplice richiesta non autenticata, causando un riavvio e, se il dispositivo è configurato in modo errato, tutte le chiavi di crittografia vengono reimpostate. In questo caso, il sistema è completamente esposto a ulteriori interventi.

Tutti i difetti identificati sono stati trasferiti agli sviluppatori e sono già stati corretti. Tuttavia, gli specialisti di VisionSpace sono convinti che sia impossibile affidare il controllo del veicolo orbitale a soluzioni non sicure e presumono che altre vulnerabilità critiche possano persistere nel software utilizzato.

L'articolo Satelliti Sotto il controllo degli Hacker: “è più semplice hackerarli che usare armi satellitari” proviene da il blog della sicurezza informatica.

One reason Forth remains popular is that it is very simple to create, but also very powerful. But there’s an even older language that can make the same claim: LISP. Sure, some people think that’s an acronym for “lots of irritating spurious parenthesis,” but if you can get past the strange syntax, the language is elegant and deceptively simple, at least at its core. Now, [Daniel Holden] challenges you to build your own Lisp as a way to learn C programming.

It shouldn’t be surprising that LISP is fairly simple. It was the second-oldest language, showing up in the late 1950s with implementations in the early 1960s. The old hardware couldn’t do much by today’s standards, so it is reasonable that LISP has to be somewhat economical.

With LISP, everything is a list, which means you can freely treat code as data and manipulate it. Lists can contain items like symbols, numbers, and other lists. This is somewhat annoying to C, which likes things to have particular types, so that’s one challenge to writing the code.

While we know a little LISP, we aren’t completely sold that building your own is a good way to learn C. But if you like LISP, it might be good motivation. We might be more inclined to suggest Jones on Forth as a good language project, but, then again, it is good to have choices. Of course, you could choose not to choose and try Forsp.

hackaday.com/2025/08/09/learn-…