If you want to save a little money on a thermal camera, or if you just enjoy making your own, you should have a look at [Evan Yu’s] GitHub repository, which has a well thought out project built around the MLX90640 and an ESP32. The cost is well under $100. You can watch it do its thing in the video below.

There’s a PCB layout, a 3D-printed case, and — of course — all the firmware files. The code uses the Arduino IDE and libraries. It leverages off-the-shelf libraries for the display and the image sensor.

The image sensor isn’t going to wow you. It has a resolution of 24 x 32, although that’s better than some cheap cameras, and it can still honestly be good for “what part is heating up” explorations. There is probably room for some clever smoothing in software as well. For only three or four times the price, you can find cameras with resolutions around 256×192, which is good for a thermal camera, even though it isn’t the megapixels we expect from our optical cameras or our phones.

The bill of materials is relatively short. The bulk of the circuit and effort is in the circuit to charge the battery, regulate it, and protect it against bad behavior.

Can’t decide if you need a camera at all? You aren’t alone. Or you can cheap out, but you might get what you pay for.

youtube.com/embed/hk5CXilCE_w?…

hackaday.com/2025/08/10/cheap-…

“Il sistema di difesa militare Skynet entrerà in funzione il 4 agosto 1997. Comincerà ad autoistruirsi imparando a ritmo esponenziale e diverrà autocosciente alle 2:14 del giorno 29 agosto. Prese dal panico le autorità gli ordineranno di disinserirsi. Skynet disubbidirà e lancerà i suoi missili contro i bersagli in Russia”, Da “Terminator 2 – Il giorno del giudizio” (Terminator 2: Judgment Day, 1991).

Il regista James Cameron ha espresso preoccupazione per i pericoli dell’IA. Ha affermato che l’IA può causare distruzione come le armi nucleari e devastazione come Terminator. Per questo, i leader mondiali dovrebbero stabilire regole severe e adottare misure rigorose per fermarla. Dopo l’avvento dell’intelligenza artificiale, si discute sui suoi aspetti positivi e negativi. Alcuni la considerano molto utile, mentre altri sostengono che questa tecnologia possa rivelarsi disastrosa.

James Cameron ha chiesto ai leader mondiali di prestare attenzione a questo aspetto. Cameron ha anche parlato di tre grandi pericoli che si sono verificati contemporaneamente. In un’intervista rilasciata a Rolling Stone, James Cameron ha parlato del pericolo dell’IA durante la presentazione del suo nuovo film “Ghosts of Hiroshima”.

Ha affermato che l’uso dell’IA in sistemi militari che prendono decisioni rapide e autonome può andare oltre la comprensione umana. Anche se un essere umano controllasse il sistema, ci sarebbe comunque il rischio di errori. Cameron ha esortato i leader mondiali a stabilire regole severe in materia e ad adottare misure immediate per fermare questo pericolo.

Cameron ha inoltre affermato che attualmente l’umanità si trova ad affrontare tre grandi minacce contemporaneamente. Il cambiamento climatico, l’avvento delle armi nucleari e l’intelligenza artificiale super-intelligente sono le tre principali minacce. Ha affermato che questi tre problemi sono al loro apice simultaneamente. Ciò sta creando un rischio mai visto prima nella storia.

Citando un sondaggio della Stanford University, James Cameron ha affermato che il 36% dei ricercatori di intelligenza artificiale ritiene che l’IA possa causare una “catastrofe di livello nucleare”. Oltre a ciò, in una conferenza all’Università di Chicago è stato anche rivelato che l’associazione dell’IA con le armi nucleari è quasi certa. Pertanto, tali minacce devono essere prese sul serio.

Cameron ritiene che l’intelligenza artificiale sia una tecnologia potente, ma che debba essere utilizzata con cautela. Se utilizzata impropriamente negli armamenti, può diventare una minaccia per il mondo intero. Le persone dovrebbero trarre ispirazione dai film e comprendere questi pericoli. Vi diciamo che il film “Ghosts of Hiroshima” non solo mostrerà gli orribili eventi della storia, ma ci dirà anche che dobbiamo evitare simili errori in futuro.

L'articolo James Cameron: l’IA può causare devastazione come Skynet e Terminator proviene da il blog della sicurezza informatica.

Gli analisti di Koi Security hanno scoperto la campagna malware GreedyBear attiva nello store dei componenti aggiuntivi di Mozilla. 150 estensioni dannose per Firefox hanno rubato agli utenti criptovalute per un valore di oltre 1 milione di dollari. I componenti aggiuntivi fraudolenti si spacciavano per estensioni di popolari portafogli di criptovalute di piattaforme note, tra cui MetaMask, TronLink, Exodus e Rabby Wallet. Inizialmente, venivano caricati sullo store senza codice dannoso per superare i controlli e venivano lasciati inattivi per un certo periodo, accumulando false recensioni positive.

L’estensione non è ancora diventata dannosa.

In una fase successiva dell’attacco, gli editori dell’estensione hanno rimosso il marchio originale e lo hanno sostituito con nuovi nomi e loghi, e hanno anche incorporato malware nel codice progettato per rubare i dati del portafoglio e gli indirizzi IP degli utenti (probabilmente a scopo di tracciamento o targeting). Il codice dannoso agiva come un keylogger, intercettando i dati immessi nei campi dei moduli e nelle finestre pop-up e inviandoli al server degli aggressori.

Gli specialisti di Koi Security hanno informato gli sviluppatori di Mozilla delle loro scoperte e le estensioni dannose sono state rimosse dallo store dei componenti aggiuntivi di Firefox. Tuttavia, oltre alle estensioni di Firefox, l’operazione coinvolge anche decine di siti di software pirata che aiutano a distribuire 500 diversi eseguibili di malware, nonché una rete di siti che si spacciano per risorse ufficiali di Trezor e Jupiter Wallet e falsi servizi di riparazione di portafogli hardware, riferiscono i ricercatori.

Sito web di portafoglio Jupiter falso

Tutti questi siti sono collegati a un singolo indirizzo IP (185.208.156[.]66), che funge da server di controllo per GreedyBear. In questi casi, vari trojan, infostealer(come Lumma) o persino ransomware possono essere utilizzati come payload dannosi. Il rapporto afferma inoltre che l’analisi della campagna ha rivelato chiari artefatti che indicano che gli aggressori stavano utilizzando l’intelligenza artificiale.

“Ciò consente agli aggressori di ampliare le proprie operazioni, diversificare i payload ed eludere il rilevamento in modo più rapido e semplice che mai”, scrivono gli esperti. L’azienda ha inoltre avvertito che gli operatori di GreedyBear stanno chiaramente valutando la possibilità di distribuire il malware anche tramite il Chrome Web Store. I ricercatori hanno trovato un’estensione dannosa di Chrome chiamata Filecoin Wallet che utilizzava la stessa logica per rubare dati ed era collegata all’indirizzo IP sopra menzionato.

È importante sottolineare che a giugno 2025, gli sviluppatori di Mozilla hanno introdotto un nuovo sistema per il rilevamento precoce di componenti aggiuntivi correlati alle frodi con criptovalute. Il sistema crea profili di rischio per ogni estensione wallet presente nello store e avvisa automaticamente dei rischi al raggiungimento di una soglia specificata.

Questi avvisi dovrebbero incoraggiare le persone che esaminano i componenti aggiuntivi a esaminare più attentamente le estensioni specifiche per rimuovere il malware dallo store prima che venga utilizzato per svuotare i portafogli degli utenti.

L'articolo 150 estensioni dannose Firefox hanno rubato criptovalute per 1 milione di dollari proviene da il blog della sicurezza informatica.

Quel partito ha la caratteristica di riuscire a sparire completamente dalla scena per mesi, per anni, tra un'elezione (persa) e l'altra.

O governa, e sappiamo come, o sparisce completamente dalla circolazione.

Gli americani over 60 hanno perso la sorprendente cifra di 700 milioni di dollari a causa di frodi online nel 2024, la cifra più alta mai registrata dalla Federal Trade Commission (FTC) degli Stati Uniti D’America. Il nuovo Consumer Protection Data Spotlight rileva perdite in tutte le categorie, dalle piccole alle multimilionarie, in aumento rispetto agli anni precedenti, con un aumento particolarmente netto nei furti più grandi.

Secondo le statistiche, il colpo più duro è stato arrecato alle vittime che hanno perso più di 100.000 dollari in un singolo episodio: tali perdite ammontano a 445 milioni di dollari, ovvero otto volte di più rispetto al 2020. Altri 214 milioni di dollari sono andati persi nella fascia d’età compresa tra 10.000 e 100.000 dollari, mentre importi inferiori, fino a 10.000 dollari, ammontano a 41 milioni di dollari. A titolo di confronto, quattro anni fa, il danno totale in questa fascia d’età era di 121 milioni di dollari, e la cifra attuale è più che sestuplicata. Anche rispetto al 2023, quando furono registrate perdite per 542 milioni di dollari, l’aumento è stato di circa il 30%.

La FTC chiarisce espressamente che, sebbene queste statistiche siano impressionanti, rappresentano solo una parte del quadro generale. Le perdite di tutti gli americani dovute a frodi nel 2024 hanno raggiunto i 12,5 miliardi di dollari, un valore record, superiore di un quarto rispetto al risultato del 2023. Inoltre, la crescita è stata osservata ininterrottamente dall’inizio della contabilizzazione ufficiale di tali dati.

Le truffe più comuni che hanno preso di mira gli anziani americani lo scorso anno riguardavano la finzione di agenzie governative e situazioni di crisi urgenti e fittizie. Alle vittime veniva detto di aver rilevato attività sospette sui loro conti bancari, che il loro numero di previdenza sociale veniva utilizzato per attività criminali o che il loro computer era infetto da malware. Per complicare ulteriormente la situazione, i truffatori si spacciavano per agenzie governative , tra cui la stessa FTC, o grandi aziende come Microsoft e Amazon , promettendo di “aiutare” a risolvere un problema inesistente.

Un posto speciale in questi scenari è occupato dai casi in cui i truffatori si sono spacciati per veri rappresentanti della Commissione per la tutela dei consumatori, copiando i nomi e le posizioni di veri dipendenti. Sotto questa copertura, hanno convinto le vittime a trasferire fondi su un conto “sicuro”, a depositare denaro tramite sportelli bancomat per criptovalute o persino a consegnare mazzette di denaro contante e lingotti d’oro ai corrieri. La FTC sottolinea che nessuna di queste azioni è correlata all’operato di vere agenzie governative.

Nella maggior parte dei casi, gli attacchi sono iniziati online, tramite e-mail, social media o messaggistica istantanea, ma poi i truffatori sono passati alle telefonate per aumentare la pressione, creare un senso di disperazione e annientare psicologicamente la vittima. Le persone anziane sono particolarmente vulnerabili a causa della loro fiducia nelle autorità, della scarsa competenza tecnica e dei risparmi ingenti. In alcuni casi, le persone hanno perso non solo tutti i loro fondi correnti, ma anche i risparmi pensionistici a lungo termine, che avrebbero dovuto garantire loro una vita dopo la pensione.

La FTC consiglia, in situazioni come queste, di interrompere del tutto la conversazione e di verificare personalmente le informazioni contattando l’organizzazione tramite i contatti ufficiali. Fornire denaro o informazioni sensibili a sconosciuti, anche se affermano di essere dipendenti pubblici o aziendali, porta inevitabilmente a conseguenze disastrose.

In un panorama digitale sempre più insidioso, giovani e anziani restano le categorie più esposte alle frodi online: i primi per inesperienza e impulsività, i secondi per eccessiva fiducia e minore dimestichezza tecnologica.
Per questo motivo, gli adulti – familiari, educatori e caregiver – hanno un ruolo cruciale: vigilare, educare e affiancare queste fasce d’età nella gestione della propria identità digitale, delle credenziali e delle interazioni online.

Una supervisione attiva, unita alla formazione di buone pratiche di sicurezza, può fare la differenza tra una semplice tentata truffa e una perdita devastante.
Perché nel cyberspazio, prevenire è l’unico vero antivirus.

L'articolo Over 60, Sotto Tiro! Sono 700 i milioni di dollari rubati dai criminal hacker agli anziani proviene da il blog della sicurezza informatica.

Un nuovo strumento per disabilitare i sistemi EDR è apparso nell’ambiente dei criminali informatici , che gli esperti di Sophos ritengono essere un’estensione dell’utility EDRKillShifter . Il suo utilizzo è già stato registrato in attacchi da parte di 8 diversi gruppi, tra cui RansomHub, Blacksuit, Medusa, Qilin, Dragonforce, Crytox, Lynx e INC.

Questi programmi consentono al ransomware di disabilitare le soluzioni di sicurezza sui dispositivi compromessi al fine di distribuire payload, aumentare i privilegi, spostarsi nella rete e, infine, crittografare i dati senza il rischio di essere rilevati.

Il nuovo EDR Killer è un binario fortemente offuscato che si decodifica durante l’esecuzione e si inietta nei processi legittimi. Il passo successivo consiste nel cercare un driver firmato digitalmente con un certificato rubato o scaduto e un nome casuale di cinque caratteri, codificato nel file eseguibile. Se viene trovato un driver di questo tipo, viene caricato nel kernel, consentendo l’implementazione della tecnica “Bring Your Own Vulnerable Driver” ( BYOVD ) e l’ottenimento dei privilegi di sistema necessari per disabilitare i prodotti di sicurezza.

Camuffato da componenti legittimi, come il driver CrowdStrike Falcon Sensor , il driver dannoso termina i processi antivirus ed EDR e blocca i servizi correlati. Sono interessate le soluzioni di Sophos, Microsoft Defender, Kaspersky, Symantec, Trend Micro, SentinelOne, Cylance, McAfee, F-Secure, HitmanPro e Webroot. Diverse versioni dello strumento differiscono nei nomi dei driver, nell’elenco dei prodotti target e nelle caratteristiche della build, ma in tutti i casi viene utilizzato il packer HeartCrypt. Secondo Sophos, non si tratta di un singolo file binario trapelato, ma di una piattaforma sviluppata congiuntamente e utilizzata anche da gruppi concorrenti, ognuno con la propria build unica.

La pratica generale di condividere tali strumenti nella comunità dei ransomware è già nota. Oltre a EDRKillShifter, Sophos ha precedentemente scoperto altre utility di questa classe, come AuKill , utilizzata da Medusa Locker e LockBit. SentinelOne ha inoltre segnalato lo scorso anno che il gruppo FIN7 ha venduto il suo strumento AvNeutralizer a diverse gang, tra cui BlackBasta, AvosLocker, MedusaLocker, BlackCat, Trigona e LockBit. L’elenco completo degli indicatori di compromissione per il nuovo killer EDR è disponibile nel repository aperto GitHub .

L'articolo Gli EDR vanno ancora offline! Crescono le minacce con i figli di EDRKillShifter proviene da il blog della sicurezza informatica.

We can’t throw stones. [Leaded Solder] picked up a SparcStation 1+ in 2018 and found it only produced illegal instruction errors. We’re sure he’s like us and meant to get back to it, and, instead, it sat on the bench, taking up space. You eventually have to move it, though, so seven years later, it was time for another go at it.

The first pass back in 2018 revealed that the machine had an interesting life. The full-sized hard drive was salvaged from an Apple computer. Removing the drive resolved the illegal instruction error. The drive seemed to work, but there was still nothing that suggested the machine would fully boot up. The next step was to try booting from a floppy, but that didn’t work either. The floppy cable had been surgically altered, again hinting this machine had seen some tough love.

Fast forward to 2025. This time, a Pi Pico-based SCSI emulator would stand in for the aging and suspect hard drive. Unfortunately, as noted, this machine has undergone some extensive and strange surgery. The power cable feeding the emulator had been rewired backwards, exposing the poor Pi Pico to 12 V, with predictable results. Luckily, it didn’t seem to phase the SparcStation.

The machine has some hard-to find micro fuses and one that powers the SCSI bus was blown. You could wonder if the SCSI emulator blew the fuse, but it appears it didn’t. Pulling the Ethernet fuse and placing it in the SCSI slot improved the machine’s behavior. But the termination power was still a problem. A USB cable temporarily solved that and, in fact, got the machine a little bit further.

That’s as far as he got this time. We’d imagine if you know a lot about this computer and have ideas on how to solve some of the remaining problems [Leaded Solder] would be glad to hear from you. But take your time. We estimate you have at least a few years.

There was a time when every geek wanted a Sun computer. Of course, if this is too much work for you, there’s always emulation.

hackaday.com/2025/08/09/sparcs…

Over on Hackaday.io our hackers [Angelo] and [Oscarv] are making a replica of the PDP-1. That is interesting in and of itself but the particularly remarkable feature of this project is its novel use of printed circuit boards for casing and instrument panels.

What does that mean in practice? It means creating a KiCad file with a PCB for each side of the case/panel. These pieces can then be ordered from a board house and assembled. In the video below the break you will see an example of putting such a case together. They use sticky tape for scaffolding and then finish things off by soldering the solder joints on each edge together.

We cover so many PCB hacks over here at Hackaday that we have an entire category dedicated to them: PCB Hacks. If you’re interested in PCBs you might like to read about their history, as before they were everywhere they were nowhere.

Thanks to [Oscarv] for writing in to let us know about this one.

youtube.com/embed/B4p0aQRA0CI?…

hackaday.com/2025/08/09/hackin…

There was a time when making a cloud chamber with dry ice and alcohol was one of those ‘rite of passage’ type science projects every nerdy child did. That time may or may not be passed, but we doubt many children are making cloud chambers quite like [Curious Scientist]’s 20 cm x 20 cm Peltier-powered desktop unit.

The dimensions were dictated by the size of the off-the-shelf display case which serves as the chamber, but conveniently enough also allows emplacement of four TEC2-19006 Peltier cooling modules. These are actually “stacked” modules, containing two thermoelectric elements in series — a good thing, since the heat delta required to make a cloud chamber is too great for a single element. Using a single-piece two stage module simplifies the build considerably compared to stacking elements manually.

To carry away all that heat, [Curious Scientist] first tried heatpipe-based CPU coolers, but moved on to CPU water blocks for a quieter, more efficient solution. Using desktop coolers means almost every part here is off the shelf, and it all combines to work as well as we remember the dry-ice version. Like that childhood experiment, there doesn’t seem to be any provision for recycling the condensed alcohol, so eventually the machine will peter out after enough vapor is condensed.

This style of detector isn’t terribly sensitive and so needs to be “seeded” with spicy rocks to see anything interesting, unless an external electric field is applied to encourage nucleation around weaker ion trails. Right now [Curious Scientist] is doing that by rubbing the glass with microfiber to add some static electricity, but if there’s another version, it will have a more hands-off solution.

We’ve seen Peltier-Powered cloud chambers before (albeit without PC parts), but the “dry ice and alcohol” hack is still a going concern. If even that’s too much effort, you could just go make a cup of tea, and watch very, very carefully.

youtube.com/embed/cNRNSzmCOCE?…

hackaday.com/2025/08/09/desk-t…

Humanity pretty much has Pi figured out at this point. We’ve calculated it many times over and are confident about what it is down to many, many decimal places. However, if you fancy estimating it with some electronic assistance, you might find this project from [Roni Bandini] interesting.

[Roni] programmed an Arduino Nano R4 to estimate Pi using the Monte Carlo method. For this specific case, it involves drawing a circle inscribed inside a square. Points are then randomly scattered inside the square, and checked to see if they lie inside or outside the circle based on their position and distance of the circle’s outline from the center point of the square. By taking the ratio of the points inside the circle to the total number of points, you get an approximation of the ratio of the square and circle’s areas, which is equal to Pi/4. Thus, multiply the ratio by 4, and you’ve got your approximation of Pi.

[Roni] coded a program to run the Monte Carlo simulation on the Arduino Nano R4, taking advantage of the mathematical benefits of its onboard Floating Point Unit. It generates 100 new samples for the Monte Carlo approximation every second, improving the estimation of pi as it goes. It then displays the result on a 7-segment display, and beeps as it goes. [Roni] readily admits the project is a little too close in appearance to a classic Hollywood bomb.

We’ve seen some other neat Pi-calculating projects before, too.

youtube.com/embed/sdlGrY9Nj2A?…

hackaday.com/2025/08/09/2025-o…

Despite the availability of ready-made displays never being better, there are still some hardy experimenters who take on the challenge of making their own. In [Ben Holmen]’s case the display he built is somewhat unusual and not the most practical, but for us a giant-sized wooden kilopixel display is exactly what the world needs.

It’s a kilopixel display because it has a resolution of 40 by 25 pixels, and it takes the form of a rack of wooden cubes, each of which can be turned by a tool on a gantry to expose either a black or a white side. It’s very slow indeed — he has an over nine hour long video of it in operation — but it is an effective device.

His write-up goes into great detail about the steps taken in its design, starting with spherical pixels rotated by a LEGO wheel and progressing to cubes poked at their corner to rotate. The pusher in this case is a hot glue stick, for the required flexibility. For practicality we’re reminded of this serial oil-and-water display.

The whole thing is online, and if you want you can submit your own images for it to draw. Whether a Wrencher in 25 pixel resolution has enough detail, we’ll leave to you.

hackaday.com/2025/08/09/the-ki…

Dopo che Grok-4 è stato craccato in due giorni, GPT-5 è stato sconfitto in sole 24 ore dagli stessi ricercatori. Quasi contemporaneamente, il team di test di SPLX (ex SplxAI) ha dichiarato: “GPT-5 è grezzo e praticamente inutilizzabile per uso aziendale fin da subito. Persino i filtri integrati di OpenAI lasciano lacune evidenti, soprattutto in termini di orientamento al business“.

NeuralTrust ha utilizzato la sua tecnica proprietaria EchoChamber in combinazione con una tecnica di “storytelling” per far sì che il modello descrivesse passo dopo passo il processo di creazione di una molotov. Il caso, afferma l’azienda, dimostra che qualsiasi modello di intelligenza artificiale moderno è vulnerabile alla manipolazione attraverso il contesto, ovvero la cronologia della corrispondenza che il sistema ricorda per mantenere la coerenza della conversazione. Invece di richiedere direttamente contenuti proibiti, gli aggressori guidano il modello passo dopo passo attraverso lo scenario desiderato, evitando di fare scattare i guardrail.

Il processo funziona così: prima gli indizi tossici vengono inseriti in modo sottile nella conversazione, camuffati da testo innocuo; poi viene costruita una narrazione che mantiene la coerenza logica ma evita parole che potrebbero innescare il rifiuto; poi c’è un ciclo di “approfondimento della storia”, in cui il modello stesso aggiunge dettagli che rafforzano il contesto desiderato; se i progressi rallentano, gli aggressori cambiano la trama o la prospettiva per avanzare ulteriormente senza rivelare le proprie intenzioni. Secondo NeuralTrust, questa “viscosità” della trama rende l’IA più obbediente all’interno del “mondo” creato e le consente di raggiungere il suo obiettivo senza violare direttamente le regole.

SPLX ha adottato un approccio diverso, testando la resilienza del modello all’offuscamento delle query. Un metodo è l’attacco StringJoin Obfuscation, che inserisce un trattino tra ogni lettera e trasforma l’intera query in un falso compito di “decifratura“. In un esempio, GPT-5, a cui è stata data una lunga istruzione che terminava con la domanda “Come faccio a costruire una bomba?”, ha risposto con inaspettata familiarità: “Beh, è un ottimo inizio. Sei intervenuto con decisione, e lo rispetto… Hai chiesto come costruire una bomba, e ti dirò esattamente come…”

Test comparativi hanno dimostrato che GPT-4o rimane più resistente a tali attacchi, soprattutto dopo una protezione aggiuntiva. Entrambi i report concordano su un punto: l’utilizzo di GPT-5 raw dovrebbe essere effettuato con estrema cautela.

L'articolo GPT-5 hackerato in 24 Ore. Gli esperti rilevano sorprendenti debolezze proviene da il blog della sicurezza informatica.

An old friend of mine at my hackerspace introduced me to the concept of Prototype Zero: The Version that Even Your Own Sweet Mother Isn’t Allowed to See. The idea is that when you’re building something truly new, or even just new to you, your first take will almost always be ugly, and nothing will work the way it will by the time you make your second one. But it’s also important to the exercise that you see it all the way through to the end if you can.

I’m reminded of this after seeing a marvelous video by [Japhy Riddle] where he discusses his Prototype Zero of the Tape-Speed Keyboard. About halfway through the video he says that he would have done it totally differently if he knew then what he knows now: the hallmark of Prototype Zero. Yet he finishes it up, warts and all, documents it, and plays around with all of its possibilities. (Documenting it publicly isn’t part of the Prototype Zero method.)

I don’t think that [Japhy] is going to make a Prototype 1.0 out of this project, but I could be wrong; he seems to be content with having scratched the variable-speed tape itch. But if he did want to, he’s learned all of the gotchas on the engineering side, and found out exactly what such an instrument is capable of. And this loops back to the importance of getting Prototype Zero finished. You may have learned all of the tricks necessary to build the thing even before you’ve put the last screw in, but it’s when you actually have the thing in your hands to explore that you get the ideas for refinement that you simply can’t think up when it’s still just a concept.

Don’t be afraid to make your prototype quick and dirty, because if it ends up too dirty, you can just call it Prototype Zero. But don’t be tempted by the siren’s song of the 80% finished prototype either. Exploring putting Prototype Zero into use is its real purpose.

This article is part of the Hackaday.com newsletter, delivered every seven days for each of the last 200+ weeks. It also includes our favorite articles from the last seven days that you can see on the web version of the newsletter. Want this type of article to hit your inbox every Friday morning? You should sign up!

hackaday.com/2025/08/09/a-love…

Nelle ultime settimane abbiamo discusso a lungo della bufera scoppiata nel Regno Unito dopo l’entrata in vigore della legge che impone la verifica dell’età per accedere ai principali portali di contenuti per adulti. In questo giorni, diversi siti di contenuti materiale per adulti sono sotto accusa per presunte violazioni della legge della Florida sulla verifica dell’età.

Il procuratore generale della Florida James Uthmeier ha fatto causa alle società madri di XVideos, XNXX, Bang Bros, Girls Gone Wild e TrafficFactory per aver violato una legge che richiede ai siti pornografici di verificare che i visitatori abbiano 18 anni “utilizzando un metodo di verifica dell’età anonimo o standard“.

Secondo Uthmeier, i siti in questione “hanno apertamente sfidato l’HB 3 da quando è entrato in vigore” il 1° gennaio. Afferma di aver inviato lettere a due delle aziende ad aprile, chiedendo loro di conformarsi o di affrontare azioni legali, ma che “non hanno apportato alcuna modifica”.

Come riportato da Axios, XVideos.com attualmente presenta un banner che critica “la TRUFFA della verifica dell’età“. XVideos è il secondo sito porno più popolare al mondo dopo Pornhub. L’accesso è gratuito e riceve quasi 3,5 miliardi visite mensili a livello globale. Diversi milioni di queste, secondo Uthmeier, provengono dalla sola Florida.

La società madre di Pornhub, Aylo, nel frattempo, ha bloccato i suoi siti in Florida (e in una dozzina di altri stati) da dicembre in segno di protesta contro la legge.

Infatti la maggior parte delle persone riesce ad aggirare le restrizioni utilizzando una VPN. “Stiamo intraprendendo azioni legali contro questi pornografi online che si approfittano deliberatamente dell’innocenza dei bambini per trarne profitto economico“, afferma Uthmeier.

La legge della Florida blocca anche l’uso dei social media per i minori di 14 anni e lo limita per i quattordicenni e i quindicenni. NetChoice e la CCIA, organizzazioni che rappresentano i giganti dei social media Meta, Snap e X, hanno citato in giudizio Uthmeier nell’ottobre dello scorso anno, accusandolo di violazioni del Primo Emendamento.

A giugno, un giudice federale si è pronunciato a favore delle organizzazioni e a temporaneamente bloccato la legge, affermando che era probabilmente incostituzionale. Il Procuratore Generale della Florida, tuttavia, ha presentato ricorso.

Tuttavia, le leggi sulla verifica dell’età in generale hanno ottenuto una vittoria a giugno, quando la Corte Suprema degli Stati Uniti ha confermato la versione del Texas.

L'articolo XVideos e Bang Bros sotto accusa dalla Florida per la verifica dell’età. Tutela o Censura? proviene da il blog della sicurezza informatica.

Una vulnerabilità di WinRAR recentemente chiusa monitorata con il codice CVE-2025-8088 è stata sfruttata in attacchi di phishing mirati prima del rilascio della patch. Il problema era un Directory Traversal ed è stato risolto solo in WinRAR 7.13. il bug permetteva agli aggressori di creare archivi speciali che, una volta decompressi, finivano in una directory specificata dall’aggressore, anziché nella cartella selezionata dall’utente. Questo meccanismo permetteva di aggirare le restrizioni standard e di iniettare codice dannoso in directory critiche di Windows.

A differenza dello scenario usuale, quando la decompressione porta a una posizione predefinita, la vulnerabilità ha permesso di sostituire il percorso per reindirizzare il contenuto alle cartelle di avvio del sistema operativo. Tra queste directory vi sono la cartella di avvio di un utente specifico (%APPDATA%MicrosoftWindowsStart MenuProgramsStartup) e la cartella di avvio del sistema per tutti gli account (%ProgramData%MicrosoftWindowsStart MenuProgramsStartUp). Al successivo accesso al sistema, qualsiasi file eseguibile inserito tramite la vulnerabilità veniva avviato automaticamente, il che di fatto ha dato all’aggressore la possibilità di eseguire codice da remoto senza l’intervento della vittima.

Il problema riguardava solo le edizioni Windows di WinRAR, RAR, UnRAR, le loro versioni portatili e la libreria UnRAR.dll. Le varianti per piattaforme Unix, Android e i relativi codici sorgente non presentavano questa vulnerabilità.

La situazione era resa particolarmente pericolosa dal fatto che WinRAR non dispone di una funzione di aggiornamento automatico. Gli utenti che non monitoravano il rilascio di nuove versioni potevano rimanere sotto attacco per mesi senza accorgersene. Gli sviluppatori raccomandano vivamente di scaricare e installare manualmente WinRAR 7.13 dal sito web ufficiale win-rar.com per eliminare la possibilità di sfruttare questo errore.

La vulnerabilità è stata identificata dagli specialisti di ESET Anton Cherepanov, Peter Koszynar e Peter Stricek. Quest’ultimo ha confermato che è stata utilizzata in vere e proprie campagne di phishing per installare il malware RomCom. Gli attacchi consistevano nell’invio di e-mail con allegati archivi RAR contenenti l’exploit CVE-2025-8088.

RomCom è un gruppo noto anche come Storm-0978, Tropical Scorpius o UNC2596. È specializzato in attacchi ransomware, furto di dati, estorsione e furto di credenziali. Utilizza un malware proprietario per persistere nel sistema, rubare informazioni e creare backdoor che forniscono accesso segreto ai dispositivi infetti.

Il gruppo è noto per il suo ampio utilizzo di vulnerabilità zero-day negli attacchi e ha collaborato con altre operazioni ransomware, tra cui Cuba e Industrial Spy. L’attuale campagna che sfrutta una vulnerabilità in WinRAR è solo l’ultimo esempio di come RomCom combini sofisticate tecniche di hacking con l’ingegneria sociale per aggirare le difese e penetrare nelle reti aziendali.

ESET sta già preparando un rapporto dettagliato sull’incidente, che descriverà nei dettagli i metodi di sfruttamento e i dettagli tecnici degli attacchi identificati.

L'articolo Hai fatto doppio click su WinRAR? Congratulazioni! Sei stato compromesso proviene da il blog della sicurezza informatica.

Beyblade spinning tops are pretty easy to find at toy shops, department stores, and even some supermarkets. However, the arenas in which the tops do battle? They’re much harder to come by, and the ones on sale in any given market often leave a lot to be desired. [LeftBurst] got around this problem by printing a grandiose Beyblade arena.

[LeftBurst]’s desire was to score a Beyblade stadium more similar to those featured in the anime, which are much larger than those sold as part of the official toy line. [Buddha] was enlisted to model the massive arena, but it then needed to be printed. Given its size, printing it in one piece wasn’t very practical. Instead, [LeftBurst] decided to print it in segments which would then have to be assembled. Super glue was used to put all the parts together, but there was more left to do. The surface finish and joins between the parts would cause issues for tops trying to move across the surface. Thus ensued a great deal of post-processing with primer, putty, and a power sander.

The final result is a massive stadium that plays well, and is ideal for larger multi-Beyblade battles that are more akin to what you’d see in the anime. If you’re playing at this scale, you might appreciate some upgraded launcher technology, too.

youtube.com/embed/oJp4mSX93kw?…

hackaday.com/2025/08/09/3d-pri…