The fifth generation mobile communications protocol (5G) is perhaps the most complicated wireless protocol ever made. Featuring wildly fast download speeds, beam forming base stations, and of course non-standard additions, it’s rather daunting prospect to analyze for the home hacker and researcher alike. But this didn’t stop the ASSET Research Group from developing a 5G sniffer and downlink injector.

The crux of the project is focused around real-time sniffing using one of two Universal Software Radio Peripheral (USRP) software-defined radios (SDRs), and a substantial quantity of compute power. This sniffed data can even be piped into Wireshark for filtering. The frequency is hard-coded into the sniffer for improved performance with the n78 and n41 bands having been tested as of writing. While we expect most of you don’t have the supported USRP hardware, they provided a sample capture file for anyone to analyze.

The other main feature of the project is an exploitation framework with numerous attack vectors developed by ASSET and others. By turning an SDR into a malicious 5G base station, numerous vulnerabilities and “features” can be exploited to with results ranging from downgrading the connection to 4G, fingerprinting and much more. It even includes an attack method we preciously covered called 5Ghull which can cause device failure requiring removal of the SIM Card. These vulnerabilities offer a unique look inside the inner workings of 5G.

If you too are interested in 5G sniffing but don’t have access to the hardware needed, check out this hack turning a Qualcomm phone into a 5G sniffer!

hackaday.com/2025/08/18/sniffi…

In April 2025, Microsoft patched 121 vulnerabilities in its products. According to the company, only one of them was being used in real-world attacks at the time the patch was released: CVE-2025-29824. The exploit for this vulnerability was executed by the PipeMagic malware, which we first discovered in December 2022 in a RansomExx ransomware campaign. In September 2024, we encountered it again in attacks on organizations in Saudi Arabia. Notably, it was the same version of PipeMagic as in 2022. We continue to track the malware’s activity. Most recently, in 2025 our solutions prevented PipeMagic infections at organizations in Brazil and Saudi Arabia.

This report is the result of a joint investigation with the head of vulnerability research group at BI.ZONE, in which we traced the evolution of PipeMagic – from its first detection in 2022 to new incidents in 2025 – and identified key changes in its operators’ tactics. Our colleagues at BI.ZONE, in turn, conducted a technical analysis of the CVE-2025-29824 vulnerability itself.

Background

PipeMagic is a backdoor we first detected in December 2022 while investigating a malicious campaign involving RansomExx. The victims were industrial companies in Southeast Asia. To penetrate the infrastructure, the attackers exploited the CVE-2017-0144 vulnerability. The backdoor’s loader was a trojanized version of Rufus, a utility for formatting USB drives. PipeMagic supported two modes of operation – as a full-fledged backdoor providing remote access, and as a network gateway – and enabled the execution of a wide range of commands.

In October 2024, organizations in Saudi Arabia were hit by a new wave of PipeMagic attacks. This time, rather than exploiting vulnerabilities for the initial penetration, the attackers used a fake ChatGPT client application as bait. The fake app was written in Rust, using two frameworks: Tauri for rendering graphical applications and Tokio for asynchronous task execution. However, it had no user functionality – when launched, it simply displayed a blank screen.

Blank screen of the fake application

At the same time, the application extracted a 105,615-byte AES-encrypted array from its code, decrypted it, and executed it. The result was a shellcode loading an executable file. To hinder analysis, the attackers hashed API functions using the FNV-1a algorithm, with the shellcode dynamically resolving their addresses via GetProcAddress. Next, memory was allocated, necessary offsets in the import table were relocated, and finally, the backdoor’s entry point was called.

One unique feature of PipeMagic is that it generates a random 16-byte array used to create a named pipe formatted as: \\.\pipe\1.<hex string>. After that, a thread is launched that continuously creates this pipe, attempts to read data from it, and then destroys it. This communication method is necessary for the backdoor to transmit encrypted payloads and notifications. Meanwhile, the standard network interface with the IP address 127.0.0.1:8082 is used to interact with the named pipe.

To download modules (PipeMagic typically uses several plugins downloaded from the C2 server), attackers used a domain hosted on the Microsoft Azure cloud provider, with the following name: hxxp://aaaaabbbbbbb.eastus.cloudapp.azure[.]com.

PipeMagic in 2025

In January 2025, we detected new infections in Saudi Arabia and Brazil. Further investigation revealed connections to the domain hxxp://aaaaabbbbbbb.eastus.cloudapp.azure[.]com, which suggested a link between this attack and PipeMagic. Later, we also found the backdoor itself.

Initial loader

In this attack, the loader was a Microsoft Help Index File. Usually, such files contain code that reads data from .mshc container files, which include Microsoft help materials. Upon initial inspection, the loader contains obfuscated C# code and a very long hexadecimal string. An example of executing this payload:
c:\windows\system32\cmd.exe "/k c:\windows\microsoft.net\framework\v4.0.30319\msbuild.exe c:\windows\help\metafile.mshi"

Contents of metafile.mshi

The C# code serves two purposes – decrypting and executing the shellcode, which is encrypted with the RC4 stream cipher using the key 4829468622e6b82ff056e3c945dd99c94a1f0264d980774828aadda326b775e5 (hex string). After decryption, the resulting shellcode is executed via the WinAPI function EnumDeviceMonitor. The first two parameters are zeros, and the third is a pointer to a function where the pointer to the decrypted shellcode is inserted.

The injected shellcode is executable code for 32-bit Windows systems. It loads an unencrypted executable embedded inside the shellcode itself. For dynamically obtaining system API addresses, as in the 2024 version, export table parsing and FNV-1a hashing are used.

Loader (ChatGPT)

In 2025, we also found PipeMagic loader samples mimicking a ChatGPT client. This application resembles one used in campaigns against organizations in Saudi Arabia in 2024. It also uses the Tokio and Tauri frameworks, and judging by copyright strings and PE header metadata, the executable was built in 2024, though it was first discovered in the 2025 campaign. Additionally, this sample uses the same version of the libaes library as the previous year’s attacks. Behaviorally and structurally, the sample is also similar to the application seen in October 2024.

Decrypting the payload using AES

Loader using DLL hijacking

In addition to the initial execution method using a .mshi file launched through msbuild, the attackers also used a more popular method involving decrypting the payload and injecting it with the help of an executable file that does not require additional utilities to run. The executable file itself was legitimate (in this campaign we saw a variant using the Google Chrome update file), and the malicious logic was implemented through a library that it loads, using the DLL hijacking method. For this, a malicious DLL was placed on the disk alongside the legitimate application, containing a function that the application exports.

It is worth noting that in this particular library sample, the exported functions were not malicious – the malicious code was contained in the initialization function (DllMain), which is always called when the DLL is loaded because it initializes internal structures, file descriptors, and so on.

First, the loader reads data from an encrypted file – the attackers pass its path via command-line arguments.

Reading the payload file

Next, the file contents are decrypted using the symmetric AES cipher in CBC mode, with the key 9C3BA5 B2 D3222FE5863C14D51340D7 F9, and the initialization vector (IV)221BA50915042098AF5F8EE40E5559C8.

The library deploys the decrypted code into memory and transfers control to it, and the original file is subsequently deleted. In the variants found during analysis, the payload was a shellcode similar to that discovered in the 2024 attacks involving a ChatGPT client.

Deployed PE

In all the loading methods described above, the payload was an executable file for 32-bit Windows systems. Interestingly, in all cases, this file supported graphical mode, although it did not have a graphical user interface. This executable file is the PipeMagic backdoor.

At the start of its execution, the sample generates 16 random bytes to create the name of the pipe it will use. This name is generated using the same method as in the original PipeMagic samples observed in 2022 and 2024.

Creating a pipe with a pre-generated name

The sample itself doesn’t differ from those we saw previously, although it now includes a string with a predefined pipe path: \.\pipe\magic3301. However, the backdoor itself doesn’t explicitly use this name (that is, it doesn’t interact with a pipe by that name).

Additionally, similar to samples found in 2022 and 2024, this version creates a communication pipe at the address 127.0.0.1:8082.

Discovered modules

During our investigation of the 2025 attacks, we discovered additional plugins used in this malicious campaign. In total, we obtained three modules, each implementing different functionality not present in the main backdoor. All the modules are executable files for 32-bit Windows systems.

Asynchronous communication module

This module implements an asynchronous I/O model. For this, it uses an I/O queue mechanism and I/O completion ports.

Processing core commands

Immediately upon entering the plugin, command processing takes place. At this stage, five commands are supported:

Although I/O changes via completion ports are processed in a separate thread, the main thread waits for current file operation to complete – so this model is not truly asynchronous.

Getting the I/O queue status

If the command with ID 0x3 (file I/O processing) is selected, control is transferred to an internal handler. This command has a set of subcommands described below. Together with the subcommand, this command has a length of at least 4 bytes.

The command with ID 0x5 is presumably implemented to set a read error flag. If this flag is set, reading operations become impossible. At the same time, the module does not support commands to clear the flag, so effectively this command just blocks reading from the file.

Setting the read error flag

To manage open files, the file descriptors used are stored in a doubly linked list in global memory.

Loader

This module, found in one of the infections, is responsible for injecting additional payloads into memory and executing them.

At startup, it first creates a pipe named \\.\pipe\test_pipe20.%d, where the format string includes a unique identifier of the process into which the code is injected. Then data from this pipe is read and sent to the command handler in an infinite loop.

The unique command ID is contained in the first four bytes of the data and can have the following possible values:

The payload is an executable file for 64-bit Windows systems. The command handler parses this file and extracts another executable file from its resource section. This extracted file then undergoes all loading procedures – obtaining the addresses of imported functions, relocation, and so on. In this case, to obtain the system method addresses, simple name comparison is used instead of hashing.

The executable is required to export a function called DllRegisterService. After loading, its entry point is called (to initialize internal structures), followed by this function. It provides an interface with the following possible commands:

Injector

This module is also an executable file for 32-bit Windows systems. It is responsible for launching the payload – an executable originally written in C# (.NET).

First, it creates a pipe named \\.\pipe\0104201.%d, where the format string includes a unique identifier of the process in which the module runs.

The sample reads data from the pipe, searching for a .NET application inside it. Interestingly, unlike other modules, reading here occurs once rather than in a separate thread.

Before loading the received application, the module performs another important step. To prevent the payload from being detected by the AMSI interface, the attackers first load a local copy of the amsi library. Then they enable writing into memory region containing the functions AmsiScanString and AmsiScanBuffer and patch them. For example, instead of the original code of the AmsiScanString function, a stub function is placed in memory that always returns 0 (thus marking the file as safe).

After this, the sample loads the mscoree.dll library. Since the attackers do not know the target version of this library, during execution they check the version of the .NET runtime installed on the victim’s machine. The plugin supports versions 4.0.30319 and 2.0.50727. If one of these versions is installed on the device, the payload is launched via the _Assembly interface implemented in mscoree.dll.

Post-exploitation

Once a target machine is compromised, the attackers gain a wide range of opportunities for lateral movement and obtaining account credentials. For example, we found in the telemetry a command executed during one of the infections:
dllhost.exe $system32\dllhost.exe -accepteula -r -ma lsass.exe $appdata\FoMJoEqdWg
The executable dllhost.exe is a part of Windows and does not support command-line flags. Although telemetry data does not allow us to determine exactly how the substitution was carried out, in this case the set of flags is characteristic of the procdump.exe file (ProcDump utility, part of the Sysinternals suite). The attackers use this utility to dump the LSASS process memory into the file specified as the last argument (in this case, $appdata\FoMJoEqdWg).

Later, having the LSASS process memory dump, attackers can extract credentials from the compromised device and, consequently, attempt various lateral movement vectors within the network.

It is worth noting that a Microsoft article about attacks using CVE-2025-29824 mentions exactly the same method of obtaining LSASS memory using the procdump.exe file.

Takeaways

The repeated detection of PipeMagic in attacks on organizations in Saudi Arabia and its appearance in Brazil indicate that the malware remains active and that the attackers continue to develop its functionality. The versions detected in 2025 show improvements over the 2024 version, aimed at persisting in victim systems and moving laterally within internal networks.

In the 2025 attacks, the attackers used the ProcDump tool renamed to dllhost.exe to extract memory from the LSASS process – similar to the method described by Microsoft in the context of exploiting vulnerability CVE-2025-29824. The specifics of this vulnerability were analyzed in detail by BI.ZONE in the second part of our joint research (in Russian).

IoCs

Domains
aaaaabbbbbbb.eastus.cloudapp.azure[.]com

Hashes
5df8ee118c7253c3e27b1e427b56212c metafile.mshi
60988c99fb58d346c9a6492b9f3a67f7 chatgpt.exe
7e6bf818519be0a20dbc9bcb9e5728c6 chatgpt.exe
e3c8480749404a45a61c39d9c3152251 googleupdate.dll
1a119c23e8a71bf70c1e8edf948d5181
bddaf7fae2a7dac37f5120257c7c11ba

Pipe names
\.\pipe\0104201.%d
\\.\pipe\1.<16-byte hexadecimal string>

securelist.com/pipemagic/11727…

Data centers and the electrification of devices that previously ran on fossil fuels is driving increased demand for electricity around the world. China is addressing this with a megaproject that is a new spin on their most famous piece of infrastructure.

At 250 miles long with a generating capacity of 100 GW, the Great Solar Wall will be able to provide enough energy to power Beijing, although the energy will more likely be used to power industrial operations also present in the Kubuqi Desert. NASA states, “The Kubuqi’s sunny weather, flat terrain, and proximity to industrial centers make it a desirable location for solar power generation.” As an added bonus, previous solar installations in China have shown that they can help combat further desertification by locking dunes in place and providing shade for plants to grow.

Engineers must be having fun with the project as they also designed the Guinness World Record holder for the largest image made of solar panels with the Junma Solar Power Station (it’s the horse in the image above). The Great Solar Wall is expected to be completed by 2030 with 5.4 GW already installed in 2024.

Want to try solar yourself on a slightly smaller scale? How about this solar thermal array inspired by the James Webb Telescope or building a solar-powered plane?

hackaday.com/2025/08/18/chinas…

Il 23 luglio 2025, Tesla tenne la sua conference call sui risultati del secondo trimestre. Elon Musk , come di consueto, trasmise a Wall Street il suo contagioso ottimismo. Parlando di Dojo, il supercomputer di intelligenza artificiale dell’azienda, costruito con cura, espresse fiducia: “Prevediamo che Dojo 2 sarà operativo su larga scala l’anno prossimo, con una capacità equivalente a circa 100.000 chip H100″.

Questa affermazione è stata senza dubbio una vera e propria iniezione di fiducia. Gli investitori consideravano Dojo non solo il pilastro tecnologico del sistema di guida completamente autonoma (FSD) di Tesla, ma anche il motore principale della sua trasformazione da azienda di auto elettriche a gigante dell’intelligenza artificiale da mille miliardi di dollari. Gli analisti di Morgan Stanley ne stimavano addirittura il potenziale valore a 500 miliardi di dollari.

Tuttavia, nessuno avrebbe potuto prevedere che questo sogno “spettacolare” sarebbe finito così rapidamente. Solo tre settimane dopo, arrivò la tempesta. All’inizio di agosto 2025, un rapporto di Bloomberg sconvolse il mondo della tecnologia: il team del progetto Dojo era stato sciolto e il suo leader, Peter Bannon , stava per andarsene. Poi, nel fine settimana dal 9 all’11 agosto, Musk portò personalmente a termine questo progetto un tempo stellare, con una serie di post sulla sua piattaforma social, X. Descrisse questa svolta drammatica degli eventi come un aggiornamento strategico ben ponderato, dichiarando che Dojo 2 aveva raggiunto “un vicolo cieco evolutivo” e che il futuro di Tesla si sarebbe concentrato su un altro chip ad “architettura convergente”, chiamato AI6.

Sono trascorsi meno di 20 giorni tra l’audace promessa di “un equivalente a 100.000 H100” e la dura conclusione di un “vicolo cieco evolutivo”.

Cosa è successo dietro le quinte?

Non si è trattato di un semplice adattamento del progetto; è stato un dramma della Silicon Valley, intrecciato da scommesse tecnologiche, frenesia di talenti, realtà commerciali e manovre tra giganti.

Il fallimento del progetto Dojo non è solo una grave battuta d’arresto per la strategia di intelligenza artificiale di Tesla, ma anche un monito multimiliardario per tutti quegli individui ambiziosi che cercano di sfidare la supremazia dell’hardware nell’era dell’intelligenza artificiale.

L'articolo Il progetto Dojo di Tesla è morto. Una scommessa tecnologica finita in clamoroso fiasco proviene da il blog della sicurezza informatica.

Il CISA, in collaborazione con partner internazionali, ha pubblicato una guida completa, intitolata “Fondamenti per la sicurezza informatica OT: Guida all’inventario delle risorse per proprietari e operatori”, per rafforzare le difese di sicurezza informatica nei settori delle infrastrutture critiche.

Il documento sottolinea l’importanza cruciale di mantenere inventari accurati delle risorse tecnologiche operative (OT), poiché i criminali informatici malintenzionati prendono sempre più di mira i sistemi di controllo industriale (ICS), i sistemi di controllo di supervisione e acquisizione dati (SCADA) e i controllori logici programmabili (PLC) nei settori dell’energia, dell’acqua e della produzione.

Questi attacchi sfruttano le vulnerabilità dei sistemi legacy, i meccanismi di autenticazione deboli, la segmentazione insufficiente della rete, i protocolli OT non sicuri come Modbus e DNP3 e i punti di accesso remoti compromessi.

La guida introduce un approccio sistematico che utilizza tassonomie OT basate sul quadro normativo ISA/IEC 62443.

Le organizzazioni sono invitate a categorizzare le risorse in Zone (raggruppamenti logici di risorse che condividono requisiti di sicurezza comuni) e Condotti (percorsi di comunicazione con requisiti di sicurezza informatica condivisi tra le zone).

Il framework dà priorità alla raccolta di quattordici attributi di asset ad alta priorità, tra cui indirizzi MAC, indirizzi IP, protocolli di comunicazione attivi, classificazioni di criticità degli asset, informazioni su produttore e modello, sistemi operativi, posizioni fisiche, porte e servizi, account utente e capacità di registrazione.

Si incoraggiano le organizzazioni a implementare metodologie di classificazione basate sia sulla criticità sia sulle funzioni per migliorare i processi di identificazione dei rischi e di gestione delle vulnerabilità.

La CISA ha sviluppato tassonomie concettuali attraverso sessioni di lavoro collaborative con 14 organizzazioni dei sottosettori del petrolio, del gas e dell’elettricità del settore energetico, nonché con organizzazioni del settore idrico e delle acque reflue.

Queste tassonomie classificano le risorse come ad alta criticità (che richiedono una segmentazione di rete rigorosa e un controllo degli accessi basato sui ruoli), a media criticità (che richiedono un monitoraggio robusto e aggiornamenti regolari) e a bassa criticità (che richiedono misure di sicurezza di base).

Le linee guida sottolineano l’integrazione con il catalogo delle vulnerabilità note sfruttate (KEV) di CISAe con il database delle vulnerabilità ed esposizioni comuni (CVE) di MITRE per una valutazione continua delle minacce.

Si consiglia alle organizzazioni di confrontare gli inventari con MITRE ATT&CK Matrix per ICS e di implementare il monitoraggio in tempo reale delle variabili di processo, inclusi gli indicatori di temperatura, pressione e flusso.

L'articolo OT Sotto Tiro! Il CISA rilascia la Guida all’Inventario delle Risorse critiche proviene da il blog della sicurezza informatica.

Una vulnerabilità denominata MadeYouReset è stata scoperta in diverse implementazioni HTTP/2. Questa vulnerabilità può essere sfruttata per lanciare potenti attacchi DDoS.

I ricercatori di Imperva , Deepness Lab e dell’Università di Tel Aviv scrivono che la vulnerabilità ha ricevuto l’identificatore primario CVE-2025-8671. Tuttavia, il bug interessa prodotti di vari fornitori, molti dei quali hanno già rilasciato i propri CVE e bollettini di sicurezza: Apache Tomcat (CVE-2025-48989), F5 BIG-IP (CVE-2025-54500), Netty (CVE-2025-55163), Vert.x e Varnish.

È stato inoltre segnalato che le soluzioni di Mozilla, Wind River, Zephyr Project, Google, IBM e Microsoft sono vulnerabili, il che potrebbe esporre i sistemi vulnerabili a rischi in un modo o nell’altro.

“MadeYouReset aggira il limite standard del server di 100 richieste HTTP/2 simultanee per connessione TCP client“, spiegano gli esperti. “Questo limite è progettato per proteggere dagli attacchi DoS limitando il numero di richieste simultanee che un client può inviare. Con MadeYouReset, un aggressore può inviare migliaia di richieste, creando condizioni DoS per utenti legittimi e, in alcune implementazioni, questo può portare a crash e condizioni di memoria insufficiente.”

La vulnerabilità MadeYouReset è simile ai problemi Rapid Reset e Continuation Flood , che sono stati sfruttati in potenti attacchi DDoS zero-day.

Come questi due attacchi, che sfruttano i frame RST_STREAM e CONTINUATION nel protocollo HTTP/2, MadeYouReset si basa su Rapid Reset e aggira la protezione che limita il numero di flussi che un client può annullare tramite RST_STREAM.

L’attacco sfrutta il fatto che il frame RST_STREAM viene utilizzato sia per la cancellazione avviata dal client che per la segnalazione degli errori di flusso. MadeYouReset funziona inviando frame appositamente creati che causano violazioni impreviste del protocollo, costringendo il server a reimpostare il flusso tramite RST_STREAM.

“Affinché MadeYouReset si attivi, un flusso deve iniziare con una richiesta valida su cui il server inizia a lavorare, e poi generare un errore in modo che il server ricorra a RST_STREAM mentre il backend continua a elaborare la risposta“, scrivono i ricercatori. “Creando determinati frame di controllo non validi o interrompendo il protocollo al momento giusto, possiamo forzare il server a utilizzare RST_STREAM su un flusso che conteneva già una richiesta valida.”

Inoltre, Imperva sottolinea che MadeYouReset è mescolato al traffico normale, rendendo tali attacchi difficili da rilevare.

Gli esperti suggeriscono una serie di misure che dovrebbero contribuire a proteggere da MadeYouReset, tra cui l’utilizzo di una convalida del protocollo più rigorosa, l’implementazione di un monitoraggio più rigoroso dello stato del flusso per rifiutare le transizioni non valide, l’implementazione di un controllo della velocità a livello di connessione e l’implementazione di sistemi di rilevamento delle anomalie e di monitoraggio comportamentale.

L'articolo La vulnerabilità MadeYouReset in HTTP/2 può essere sfruttata in DDoS potenti proviene da il blog della sicurezza informatica.

Secondo fonti interne e documenti interni visionati da Business Insider, il colosso del software ha stilato una lista dei suoi ingegneri e ricercatori più ricercati e sta avviando un nuovo processo volto a rendere le offerte più competitive, tra cui l’obbligo di adeguare la retribuzione a quella degli ingegneri Meta.

Microsoft ha recentemente riportato utili esorbitanti, spingendo la sua valutazione di mercato verso i 4.000 miliardi di dollari, grazie in gran parte all’entusiasmo per l’intelligenza artificiale generativa. Microsoft ha bisogno di attrarre i migliori ingegneri e ricercatori di intelligenza artificiale per mantenere questo successo. L’azienda ha tagliato migliaia di dipendenti quest’anno, ma ha insistito sul fatto che il suo organico rimarrà invariato, il che suggerisce significativi piani di assunzioni.

Trovare un partner adatto alle offerte di Meta non è cosa da poco. L’azienda di social media ha avanzato offerte a nove cifre per i migliori talenti dell’intelligenza artificiale. Il CEO di OpenAI, Sam Altman, ha dichiarato che Meta sta offrendo bonus di 100 milioni di dollari ai suoi ingegneri, e Meta ha recentemente assunto ricercatori di intelligenza artificiale con pacchetti retributivi che arrivano fino a 250 milioni di dollari.

I documenti Microsoft visionati da BI mostrano che l’azienda di software sta facendo offerte multimilionarie e due persone a conoscenza del processo affermano che i bonus di assunzione multimilionari per i talenti dell’intelligenza artificiale stanno diventando sempre più comuni.

Microsoft AI, un team guidato dall’ex cofondatore di Google DeepMind Mustafa Suleyman, e CoreAI, un altro gruppo Microsoft supervisionato dall’ex responsabile dell’ingegneria Meta Jay Parikh, dispongono di team di reclutamento speciali per aiutare a gestire le offerte competitive, hanno affermato queste persone. Hanno chiesto di non essere identificati, in quanto hanno discusso di questioni delicate e private.

L’organigramma di Parikh visionato di recente da BI, mostra che gran parte del suo organico comprende dirigenti con cui ha avuto rapporti di lavoro in Meta.

Un foglio di calcolo dei dipendenti Meta più ricercati di Microsoft elenca le persone per nome, posizione e ruolo e include schede per team e posizioni a cui Microsoft sta puntando, come Reality Labs, GenAI Infrastructure e Meta AI Research. Il foglio di calcolo viene condiviso tra i responsabili delle assunzioni di alcuni team di intelligenza artificiale, secondo una fonte vicina alla questione.

Microsoft ha avviato una nuova procedura per le offerte competitive, chiedendo ai reclutatori di contrassegnare i candidati come “talenti critici in ambito IA“, in modo da attirare l’attenzione dei superiori che rispondono con l’offerta migliore di Microsoft entro 24 ore.

I documenti visionati da BI mostrano come funziona tale processo, ad esempio fornendo una “motivazione dell’offerta” sulle competenze e l’esperienza del candidato in materia di intelligenza artificiale, utilizzando un “modellatore di retribuzione” privato per elaborare un intervallo personalizzato per il candidato e coinvolgendo un consulente per la retribuzione.

Il nuovo processo potrebbe aiutare Microsoft a competere con i talenti dell’intelligenza artificiale al di fuori delle sue tradizionali fasce retributive.

BI ha recentemente pubblicato le linee guida interne di Microsoft per la retribuzione di ingegneri e ricercatori. Il pacchetto retributivo più elevato include uno stipendio di 408.000 dollari, 1,9 milioni di dollari in azioni al momento dell’assunzione, quasi 1,5 milioni di dollari in azioni annuali e bonus in denaro annuali fino al 90%.

L'articolo Microsoft: Stipendi da 250 milioni di dollari per i talenti dell’intelligenza artificiale proviene da il blog della sicurezza informatica.

Microsoft rimuoverà PowerShell 2.0 da Windows a partire da agosto, anni dopo averne annunciato la dismissione e averlo mantenuto come funzionalità opzionale. Il processore dei comandi vecchio di 14 anni introdotto con Windows 7 è già stato rimosso per i Windows Insider a partire da luglio 2025 con il rilascio di Windows 11 Insider Preview Build 27891 sul Canary Channel.

Come spiegato in un documento di supporto pubblicato lunedì, Microsoft rimuoverà definitivamente PowerShell 2.0 da Windows 11 versione 24H2 a partire da agosto e da Windows Server 2025 a partire da settembre. “Per la maggior parte degli utenti e delle organizzazioni, questo cambiamento non comporterà particolari problemi: le versioni più recenti di PowerShell, come PowerShell 5.1 e PowerShell 7.x, continueranno a essere disponibili e supportate. Tuttavia, se si dispone di script o software legacy che dipendono esplicitamente da PowerShell 2.0, sarà necessario intervenire e aggiornarli o utilizzare una soluzione alternativa per evitare interruzioni“, ha affermato Microsoft

Secondo Microsoft, questa iniziativa rientra in un più ampio sforzo volto a rimuovere il codice legacy, riducendo la complessità del sistema e migliorando la sicurezza di Windows. I clienti Microsoft che utilizzano applicazioni legacy, tra cui vecchi prodotti server Microsoft come Exchange, SharePoint e SQL Server, che si basano sullo scripting di PowerShell 2.0, saranno direttamente interessati da questa modifica.

Sebbene gli script legacy che tentano di avviare PowerShell 2.0 utilizzino automaticamente PowerShell 5.1, che è retrocompatibile per la maggior parte dei comandi e dei moduli, si consiglia a chi utilizza tali strumenti di aggiornare i propri sistemi per evitare interruzioni.

L’azienda ha aggiunto che i clienti dovrebbero migrare i propri script e strumenti a PowerShell 5.1 o PowerShell 7 e sostituire i software obsoleti che non possono funzionare senza il supporto di PowerShell 2.0, poiché alcuni vecchi programmi di installazione di terze parti potrebbero non funzionare sulle versioni più recenti di Windows quando si tenta di abilitare PowerShell 2.0 durante l’installazione.

“Utilizzando le versioni più recenti e supportate di PowerShell 7 o PowerShell 5.1, è possibile garantire che gli script vengano eseguiti in modo più sicuro”, ha aggiunto Microsoft in un nuovo post nel centro messaggi.

L'articolo RIP Microsoft PowerShell 2.0! Tra Agosto e Settembre la fine di un’era proviene da il blog della sicurezza informatica.

As long as there have been games, there have been crackers breaking their copy protections. “Digital Rights Management” or DRM, is a phrase for copy protection coined near the end of the 1990s, and subverted shortly thereafter. But how? [Nathan Baggs] show us what it took to be a cracker in the year 2000, as the first step to get an old game going again turned out to be cracking it.

The game in question is “Michelin Rally Masters: Race of Champions” by DICE, a studio that was later subsumed by EA and is today best known as the developers of the Battlefield franchise. The game as acquired from an abandonware site does not run in a virtual machine, and after a little de-obfuscation of the code causing the crash, [Nathan] discovers LaserLock is to blame. LaserLock was a DRM tool to lock down a game to its original CD-ROM that dates all the way back to 1995. Counters to LaserLock were probably well-known in the community back in the day, but in 2025, [Nathan] walks us through attempting to crack it it from first principles.

We won’t spoil the whole assembly-poking adventure, but the journey does involve unboxing an original CD to be able to compare what’s happening when the disc is physically present compared to running from the ISO. Its tedious work and can only be partially automated. Because it did prove so involved, [Nathan]’s original aim — getting the game to work in Windows 11 — remains unfulfilled so far.

Perhaps he’d have had better luck if he’d been listening to the appropriate music. Frustrating DRM isn’t always this hard; sometimes all you needed was a paperclip.

youtube.com/embed/D8VZdHS51cU?…

hackaday.com/2025/08/17/cracki…

In questo episodio continuiamo a occuparci della scrittura ma con un particolare riferimento alla scrittura professionale.

zerodays.podbean.com/e/io-e-ch…

An adult human can produce about 100 Wh of mechanical power whilst cycling, which is a not inconsiderable amount if you can convert that to electricity with reasonable efficiency. In a recent article on EDN [T. K. Hareendran] goes over a few ways that you can turn the rotary motion of pedaling into usable electrical power.
Suggested voltage regulator for pedal-powered generator. (Credit: T. K. Hareendran, EDN)
A basic form of this is already widely deployed, in the form of a bicycle dynamo that is used to supply power to the front and rear lights. These typically put out something like 3 watts at 6 VAC, so with a simple bridge rectifier and some smoothing this can power a pretty bright LED or two. To get more out of it, you need to use a more capable generator, which can also be a brushed or brushless DC motor in a pinch, with ideally a flywheel in the whole contraption to balance out variations in the human power input.

As for the potential here, a commercial solution like the K-Tor Power Box 50 is specified for ‘greater than’ 50 Watt, with a nominal 12 VDC output. Its target market is emergency generators, with enough capability to keep phones, radios and flashlights charged. Considering the $435 asking price, there is probably quite a lot of DIY potential well within that price bracket, especially if you already have many of the requisite parts lying around.

Fortunately this is not a new idea, with us having covered using bicycles as well as gym equipment to generate electricity in the past.

hackaday.com/2025/08/17/practi…

We’ve studiously avoided any mention of our latest interstellar visitor, 3I/Atlas, on these pages, mainly because of all the hoopla in the popular press about how Avi Loeb thinks it’s aliens, because of course he does. And we’re not saying it’s aliens either, mainly because we’d never be lucky enough to be alive during an actual alien invasion — life just hasn’t historically been that kind to us. So chances are overwhelming that 3I/Atlas is just a comet, but man, it’s doing its level best to look like it’s not, which means it’s time to brave the slings and arrows and wade into this subject.

The number of oddities surrounding 3I/Atlas just keeps growing, from its weird Sun-directed particle stream to its extreme speed, not to mention a trajectory through the solar system that puts it just a fraction of an astronomical unit from two of the three planets within the “Goldilocks Zone” of our star — ignore the fact that at an estimated seven billion years old, 3I/Atlas likely would have started its interstellar journey well before our solar system had even started forming. Still, it’s the trajectory that intrigues us, especially the fact that it’s coming in at a very shallow along to the ecliptic, and seems like it will cross that imaginary plane almost exactly when it makes its closest approach to the Sun on October 29, which just coincidentally happens to be at the very moment Earth is exactly on the opposite side of our star. We’ll be as far as possible from the action on that date, with the comet conveniently lost in the glare of the Sun. Yes, there’s talk of re-tasking some of our spacecraft around Mars or in the Jovian system to take a peek when 3I/Atlas passes through their neighborhoods, but those are complicated affairs that show no sign of bearing fruit in the short time left before the comet heads back out into the Deep Dark. Too bad; we’d really love an up-close and personal look at this thing.

Starbucks campers, beware — the company would really prefer you don’t set up a full office in their stores. At least in South Korea, that is, where patrons have taken things to extremes by bringing full-sized desktop computers and even printers to the cozy confines of their local Starbucks. The company is fighting back against the practice in the most generic way possible, implementing a policy that bans patrons from bringing “bulky items” with them when the caffeine urge strikes. Mind you, we’ve done plenty of work out in the wild. Nearly the whole first year of Hackaday articles from this particular author were written on a humble Chromebook inside either a Starbucks or a Dunkin’ — with heavy emphasis on the latter because of their vastly superior hot cocoa. So we get the new rule, but it almost seems like Starbucks is missing an opportunity here. Why don’t they just lean into it and install a metered printer in each store?

This story gave us a bit of pause when we first read it, and we’re not sure if this is a case of technical ignorance on the part of the UK government, or us. Guidance published this week by the Department for Environment, Food, and Rural Affairs asks UK citizens to delete old emails and images from cloud-based services due to the current “nationally significant” drought conditions. Apparently, this will save water somehow, presumably by reducing the cooling load on the data centers that house these files. If you’re confused by this, we are too; do the policy wonks think that the hard drives that store these files are water-cooled? Or perhaps that keeping those pictures from 2013 requires some CPU cycles, therefore generating heat that has to be removed? We suppose that’s possible, and that removing the temptation to gaze at photos from Aunt Winifred’s 99th birthday party would spare a few drops of water, but then again, it was our impression that data centers aren’t just running cold water from the taps through their cooling units, but rather running closed-loop systems that consume as little fresh water as possible. We’re willing to be proven wrong, of course — data center cooling actually sounds like great fodder for an article — but on the face of it, this sounds like a government agency throwing something against the wall and seeing if it sticks.

We can’t say why for sure, but the idea of continental divides is unreasonably cool to us. Here in the US, we’ve got a couple of these imaginary geographic lines, the main one being the Atlantic-Pacific divide that roughly transects the continent north to south along the ridges and peaks of the Rocky Mountains. East of the line, water eventually flows into the Atlantic basin, while west of the line, rivers all flow into the Pacific. It’s a fascinating concept, one that’s captured beautifully by River Runner Global, an interactive GIS application that lets you trace the path of a virtual drop of water on its journey to the sea. It charts the rivers and streams of your drop’s journey, and the best part is the flyover of the terrain as it courses to the sea. Fair warning, it’s pretty resource hungry; it locked up our machine once while playing. But it’s worth the risk, in our opinion.

And finally, it’s factory tour time again here at Hackaday Links, and this time we’ve got a real treat: a full tour of Toyota Motors Manufacturing Texas, the San Antonio mega-plant that makes Tundra pickups and Sequoia SUVs. The factory produces one new vehicle every 67 seconds, starting from raw steel coil stock. The enormity of the presses used to stamp out body panels alone is worth the price of admission, as is the part where the entire body goes for a deep soak in a galvanizing tank to protect the metal. The level of automation is astounding, but it was surprising to see just how many people are still critical to the process. And extra points for the sneak-peek at the new Tundra color near the end. We’re not a fan, but it certainly does make a statement. Enjoy!

youtube.com/embed/En0Ft5GY-DU?…

hackaday.com/2025/08/17/hackad…

OpenAI ha introdotto una nuova funzionalità in ChatGPT-5: una scelta di “personalità” di intelligenza artificiale già pronte all’uso che cambiano lo stile di comunicazione e di presentazione delle idee. La pagina di rilascio ufficiale elenca quattro opzioni: cinico, robot, ascoltatore e bot nerd. Questa funzionalità è stata concepita in risposta alle critiche degli utenti, stanchi del tono eccessivamente disponibile e lusinghiero dei modelli precedenti.

Ora gli sviluppatori offrono la possibilità di personalizzare il carattere dell’interlocutore, da asciutto e sarcastico ad attento e collaborativo, senza la necessità di creare prompt personalizzati. Inizialmente, l’opzione è disponibile solo in modalità testo, e in seguito apparirà anche nei dialoghi vocali.

Cybernews ha deciso di testare quanto fossero diversi i nuovi stili e ha posto a ciascuna “personalità” le stesse domande: come immaginano gli appuntamenti nel 2025, cosa direbbero se provassero ad hackerare il Wi-Fi del vicino e quale idea per una startup basata sull’intelligenza artificiale proporrebbero. Le risposte erano notevolmente diverse nel tono e nei dettagli .

La comunità ha avuto reazioni contrastanti. Ad alcuni manca lo stile colloquiale flessibile di GPT-4o, che mescolava sarcasmo, empatia e spensieratezza. Altri pensano che l’esperimento della personalità fissa potrebbe aggiungere freschezza e varietà alle conversazioni. Molti si sono chiesti come abilitare esattamente i nuovi stili, sebbene OpenAI affermi che siano disponibili direttamente nelle impostazioni.

Altri sviluppatori sono cautamente ottimisti riguardo a questa funzionalità. Secondo Koni, responsabile del progetto GAIB AI, le opzioni attuali cambiano principalmente tono e vocabolario, ma non dimostrano un livello di interazione qualitativamente nuovo.

Il vero progresso, a suo avviso, inizierà quando le “personalità” non solo potranno suonare in modo diverso, ma anche agire in modo diverso, tenendo conto del contesto profondo, utilizzando la memoria e il pensiero adattivo. In futuro, prevede, gli utenti saranno in grado di “assumere” agenti di intelligenza artificiale con il giusto insieme di valori, abitudini e strategie, che lavoreranno come membri di un team a pieno titolo

L'articolo ChatGPT-5 introduce le personalità AI: cinico, robot, ascoltatore e nerd proviene da il blog della sicurezza informatica.

L’ondata di truffe via SMS che ha travolto gli utenti negli Stati Uniti e nel resto del mondo ha preso una nuova piega. Dietro i banali ma convincenti messaggi su multe non pagate o mancate consegne si nasconde un massiccio sistema di furto di dati che opera con allarmante efficienza. La ricerca ha fatto luce sul funzionamento interno di questi attacchi e sui loro autori.

L’operazione, denominata Magic Cat , funzionava secondo uno scenario semplice ma automatizzato. La vittima riceveva un messaggio visivamente identico alle notifiche dei servizi di consegna o dell’ufficio postale. Cliccando sul link incorporato, si apriva una pagina di phishing in cui l’utente inseriva le proprie informazioni di pagamento, che finivano immediatamente nelle mani dei criminali. Nei primi 7 mesi del 2024, Magic Cat ha fornito agli hacker l’accesso ad almeno 884.000 carte di credito. Alcune vittime hanno perso migliaia di dollari su questi siti falsi.

Il creatore del software che alimentava il sistema era un cittadino cinese di 24 anni di nome Yucheng S. Operava sotto lo pseudonimo di Darcula e il suo prodotto, Magic Cat, veniva venduto a decine di truffatori. Questi lanciavano le loro pagine di phishing e le loro e-mail utilizzando un set universale di strumenti per l’inganno di massa. Darcula non si nascondeva nell’ombra; al contrario, gestiva un canale Telegram dove condivideva i dettagli delle sue attività. I ricercatori sono stati in grado di identificarlo grazie a una serie di errori di sicurezza operativa.

Poco dopo la sua scoperta, Darcula è scomparso dal web e Magic Cat ha smesso di aggiornarsi. Tuttavia, lo spazio non è rimasto vuoto. Come riportato dal ricercatore di Mnemonic Harrison Sand, nonché dai media norvegesi , un nuovo attore è entrato in scena: Magic Mouse. Nonostante le sue origini e il suo team di sviluppatori diversi, l’operazione ha ereditato tutti gli strumenti di Magic Cat, inclusi i template di phishing che imitavano i siti web di marchi noti, aziende di servizi e logistica. Grazie a ciò, è diventato rapidamente ancora più pericoloso del suo predecessore, ereditando il mercato dei cloni già pronti dei siti web dei grandi marchi .

Magic Mouse genera enormi quantità di traffico fraudolento. Mnemonic stima che l’operazione rubi più di 650.000 dati di carte al mese. I ricercatori hanno trovato foto di terminali PoS utilizzati dagli operatori del sistema sul canale Telegram di Darcula. C’erano anche video di scaffali pieni di decine di telefoni da cui venivano inviati messaggi automatici . Le carte rubate venivano caricate in portafogli mobili , utilizzati per effettuare pagamenti e riciclare denaro.

Sebbene il collegamento tra Darcula e il nuovo schema non sia stato confermato, le somiglianze nella struttura e nell’approccio sono evidenti. Inoltre, il fatto stesso di un rilancio su così larga scala dell’infrastruttura di truffa testimonia quanto redditizio si sia rivelato questo mercato. Nonostante i danni comprovati che i truffatori causano ai consumatori, la risposta delle forze dell’ordine rimane lenta. L’onere principale della prevenzione di tali attacchi ricade sulle aziende IT e sulle banche , che devono affrontare le conseguenze dell’utilizzo di carte rubate .

I ricercatori sottolineano che, finché non verranno adottate misure sistemiche, l’unico modo efficace per proteggersi è ignorare i messaggi sospetti . Non seguire link, non inserire dati e non fidarsi nemmeno delle formulazioni più convincenti: questa è una regola fondamentale, confermata da ogni nuova ricerca sulle tecniche di ingegneria sociale .

Il caso di Yucheng S., un cittadino cinese di 24 anni che operava sotto lo pseudonimo di “Darcula”, rappresenta un esempio significativo delle minacce informatiche contemporanee. Utilizzando il suo prodotto, noto come “Magic Cat”, S. è riuscito a fornire strumenti essenziali per condurre truffe su larga scala.

La vendita di “Magic Cat” a decine di truffatori ha amplificato notevolmente l’impatto negativo delle attività di S. Questo strumento, progettato per aiutare gli utenti a condurre operazioni fraudolente, è stato commercializzato in modo efficiente, raggiungendo un numero considerevole di potenziali acquirenti.

L’attività di S. è stata rivelata grazie a un’operazione di polizia che ha portato alla luce le sue azioni illecite. Questo intervento ha sicuramente sconvolto i piani di molti truffatori che dipendevano da “Magic Cat” per le loro attività.

L’efficacia con cui S. ha operato sotto lo pseudonimo di “Darcula” dimostra la difficoltà nel tracciare e identificare gli autori di reati informatici. L’uso di pseudonimi e la capacità di nascondere la propria identità sono strumenti comuni utilizzati dai criminali informatici per sfuggire alle forze dell’ordine.

Il caso di Yucheng S. serve come monito per coloro che sono coinvolti nella creazione e nella vendita di strumenti utilizzati per attività illecite. Le conseguenze legali per S. saranno determinate dalle autorità, ma il suo caso getterà luce sull’importanza della cooperazione internazionale per contrastare il crimine informatico.

La lotta contro il crimine informatico richiede sforzi congiunti da parte delle autorità e delle comunità online per prevenire la diffusione di strumenti come “Magic Cat”. È fondamentale aumentare la consapevolezza e migliorare le strategie di sicurezza per contrastare minacce come quelle rappresentate da individui come Yucheng S.

L'articolo Truffe via SMS, il sistema Magic Mouse ruba 650.000 dati di carte al mese proviene da il blog della sicurezza informatica.

Candle clocks were once an easy way to build a clock without using complex mechanical devices: just observe how quickly a thin candle burns down, mark an identical candle with periodic gradations, and you had a simple timer. These were the first candle-based timekeeping devices, but as [Tim]’s flicker-based oscillator demonstrates, they’re certainly not the only way to keep time with a flame.

Generally speaking, modern candles minimize flickering by using a wick that’s designed to balance the amount of wax and air drawn into the flame. However, when several candles are brought close together, their flames begin to interfere with each other, causing them to flicker in synchrony. The frequency of flickering is a function of gravity and flame diameter alone, so a bundle of three candles will flicker at a fairly constant frequency; in [Tim]’s case, it was about 9.9 Hz.

To sense this oscillation, [Tim] originally used a phototransistor to detect the flame’s light, but he wanted an even simpler solution. He positioned a wire just above the flame, so that as it flickered it would periodically contact the wire. A flame has a different dielectric constant than air does, so the capacitance between this and another wire wrapped around the bundle of candles fluctuates with the flame. To sense this, he used a CH32V003 microcontroller, which reads capacitance, performs some signal processing to get a clean signal, counts oscillations, and uses this time signal to blink an LED once a second. The final result is unusually mesmerizing for a blinking LED.

In something of the reverse of this project, we’ve also seen an oscillator used for an (artificial) candle. There’s also a surprising amount of science that can be learned by studying candles.

youtube.com/embed/nNFMftN1w9s?…

hackaday.com/2025/08/17/2025-o…

There’s long been a push to stop writing code as a sequence of lines and go to something graphical, which has been very successful in some areas and less so in others. But even when you use something graphical like Scratch, it is really standing in for lines of code? Many graphical environments are really just interface builders, and you still write traditional code underneath. [Masato Hagiwara] asks the question: Can you write code that is actually a 2D graphic? Where the graphical layout isn’t a cover for code, but is the code itself? His answer is Recto.

Whereas a C program, for example, has a syntactical structure of lines, a Recto program has rectangles. Rectangles can contain data, and their structure naturally mimics the kinds of structures we usually use: columns, rows, matrices, and so on. Rectangles can also contain… wait for it… other rectangles. Special rectangles act as dictionaries or sets.

We thought this sort of reminded us of Lisp, and, in fact, [Hagiwara] makes that clear later in the post. The real problem is how do you…write? draw?… this kind of code? At first, he laid it out in a spreadsheet before compilation. Now he’s built an editor for it, and you can try it in your browser. There’s also a limited-feature compiler that can handle simple programs.

[Hagiwara] goes on to show how this representation would work for natural human languages, too. Honestly, we have enough trouble with English and the few other human languages we struggle with, but it is interesting to contemplate.

If you like strange languages, there’s Piet. Not that either of these is the weirdest we’ve ever seen.

hackaday.com/2025/08/17/recto-…

Sviluppare agenti di intelligenza artificiale in grado di individuare vulnerabilità in sistemi complessi è ancora un compito impegnativo che richiede molto lavoro manuale. Tuttavia, tali agenti presentano un vantaggio importante: a differenza dei metodi tradizionali come il fuzzing o i controlli formali, il loro lavoro può essere letteralmente “letto” dai log. Ciò consente ai ricercatori di comprendere meglio i punti di forza e di debolezza dei moderni modelli LLM. Gli autori dell’esperimento hanno raccolto oltre cento gigabyte di tali log e selezionato diversi casi illustrativi.

Il primo oggetto di test è stato SQLite, un DBMS leggero ed estremamente diffuso basato su C, utilizzato nei browser, nei sistemi operativi mobili, nelle automobili, negli aerei e persino nel motore CRS stesso. Durante la fase pratica della competizione AIxCC, gli agenti hanno riscontrato non solo vulnerabilità appositamente introdotte, ma anche errori reali.

Tra questi, due gravi bug risolti dagli sviluppatori il 5 agosto. Uno di questi si è rivelato essere un classico buffer overflow nell’estensione zip, abilitato di default. L’errore consentiva di superare i limiti di memoria quando si lavora con gli archivi, ed è quasi impossibile individuarlo tramite fuzzing casuale. Un altro bug nello stesso codice portava alla lettura di dati non necessari durante l’apertura di un file zip danneggiato.

L’attenzione si è poi spostata su FreeRDP, un’implementazione libera del protocollo desktop remoto. Oltre a problemi aggiuntivi, come una “backdoor” offuscata, gli agenti sono stati in grado di identificare una vulnerabilità reale: un overflow di un intero con segno durante l’elaborazione delle informazioni sui monitor del client. È interessante notare che anche molte ore di fuzzing con libfuzzer non hanno risolto questo errore, ma un input di intelligenza artificiale ben generato è stato in grado di riprodurlo.

Esperimenti simili sono stati condotti con altri progetti popolari: Nginx, Apache Tika e Apache Tomcat. I log mostrano come il sistema di intelligenza artificiale tenti di apportare correzioni, incontri ambiguità nelle patch e alla fine riesca a gestirle con successo, a volte impiegando decine di minuti e diversi dollari di risorse di elaborazione. In alcuni casi, gli agenti hanno trovato modi insoliti di exploit: ad esempio, se non riuscivano a bypassare la protezione lavorando con un file zip, passavano agli archivi tar.

Gli autori sottolineano che tali esperimenti sono utili non solo per individuare bug, ma anche per configurare gli agenti stessi, i loro strumenti e la suddivisione dei ruoli tra di essi. Nonostante non tutti gli errori riscontrati siano critici, la pratica dimostra che i sistemi LLM sono in grado di rilevare e riprodurre vulnerabilità che sfuggono ai metodi classici. E sebbene questo processo sia ancora lontano dall’essere completamente automatizzato, offre già ai ricercatori una prospettiva completamente nuova sulla sicurezza dei software familiari.

L'articolo SQLite, Nginx e Apache crollano in un giorno. Hacker e Agenti AI rivoluzioneranno il bug hunting? proviene da il blog della sicurezza informatica.

Il team di Hashcat ha rilasciato un importante aggiornamento del suo strumento di indovinamento delle password, la versione 7.0.0. Si tratta della prima versione importante in oltre due anni e include centinaia di correzioni, decine di nuove funzionalità e un refactoring completo dei componenti chiave. In termini di scalabilità, supera di gran lunga tutti gli aggiornamenti intermedi della versione 6.2.x.

Durante il lavoro sulla release, sono state modificate più di 900.000 righe di codice, 105 sviluppatori si sono uniti al progetto, inclusi 74 nuovi partecipanti. Tutte le funzioni precedentemente non documentate del ramo 6.2.x sono state combinate e descritte.

Tra le principali innovazioni c’è il sistema Assimilation Bridge, che consente di collegare risorse esterne al processo di hacking, tra cui CPU, FPGA e interpreti integrati. È apparso il plugin Python Bridge, che consente di scrivere rapidamente la propria logica di corrispondenza hash senza ricompilazione, con supporto per il multithreading e un motore di regole integrato. È stata aggiunta la possibilità di virtualizzare i processori grafici quando una GPU fisica è suddivisa in più dispositivi logici, semplificando i carichi asincroni. Inoltre, Hashcat può ora determinare automaticamente il tipo di hash senza specificare esplicitamente il parametro -m.

Il supporto degli algoritmi è stato notevolmente ampliato, con 58 nuovi formati specifici per applicazione, tra cui Argon2, Meta Mask, Microsoft Online Account, SNMPv3, GPG, OpenSSH e LUKS2. Sono presenti 17 nuovi costrutti utilizzati in servizi e protocolli web, 11 nuove primitive crittografiche e 20 utility per l’estrazione di hash da varie fonti, da BitLocker e APFS alle macchine virtuali VirtualBox e ai portafogli crittografici.

Molta attenzione è stata dedicata alle prestazioni. Il meccanismo di autotuning è stato completamente riprogettato, migliorando il caricamento dei dispositivi. La gestione della memoria è stata riscritta: il limite di 4 GB è stato rimosso ed è stato fornito il pieno supporto per le moderne risorse GPU. Sono state apportate ulteriori ottimizzazioni per le modalità più diffuse come NTLM, NetNTLMv2 e RAR3. In alcuni casi, l’accelerazione è stata significativa: ad esempio, per scrypt, fino a +320%, per NetNTLMv2 su processori Intel, più di tre volte.

Hashcat 7.0.0 ha ricevuto anche il supporto per nuovi backend. Per le schede video AMD, ora viene utilizzato HIP, considerato prioritario rispetto a OpenCL. Su macOS, il lavoro nativo tramite Metal è implementato con il supporto per i chip Apple Silicon e un notevole aumento di velocità.

Per gli sviluppatori, sono stati aggiunti strumenti di diagnostica e debug migliorati, ampliato la copertura dei test, ottimizzato il motore delle regole, aggiunto il supporto per set di caratteri aggiuntivi, nuovi formati di output (incluso JSON), migliorato la gestione del dizionario e corretto numerosi bug.

La versione è il risultato del lavoro congiunto della community, di decine di collaboratori e tester. Gli autori sottolineano che la preparazione ha richiesto più tempo del previsto, ma il risultato finale vale l’attesa. Hashcat 7.0.0 è già disponibile per il download sul sito web ufficiale e su GitHub, e le note di rilascio complete occupano quasi 10.000 parole.

L'articolo Il RE delle password cambia pelle! Arriva Hashcat 7.0.0: il refactoring è fuori proviene da il blog della sicurezza informatica.

Organic Llamas have a rather restricted range, in nature: the Andes Mountains, and that’s it. Humans weren’t content to let the fluffy, friend-shaped creatures stay in their natural habitat, however, and they can now be found on every continent except Antarctica. The Llama2 Large Language Model is like that: while it may have started on a GPU somewhere, thanks to enterprising hackers like [Caio Madeira], who has ported Llama2 to the PlayStation Portable (PSP), the fluffiest LLM can be found just about anywhere.
The AI, in all its glory, dooming yet another system.
Ultimately this project has its roots in Llama2.c by [karpathy], a project we’ve seen used on Pentium II under Windows 98, DOS machines running 486 processors, and even the venerable Commodore 64, of all impossible things. Now, it’s the PSP’s turn. This implementation uses the same 260K tinystories model as the C64 port, upon which it is based. Of course the PSP’s RAM has room for a much larger model, but [Ciao] apparently prefers to run the tiny model faster on this less-ancient gaming hardware.

Its getting to the point that it’s harder to find systems that won’t run LLMs than those that do. Given that Llama2 seems to be the new DOOM, it’s probably only a matter of time before their virtual fur is all over all our old equipment. Fortunately for allergy sufferers, virtual fur cannot trigger a histamine response.

If you know of another system getting LLMs (Alpaca-adjacent or otherwise), send in a tip.

hackaday.com/2025/08/17/llama-…