Given all the incredible technology developed or improved during the Apollo program, it’s impossible to pick out just one piece of hardware that made humanity’s first crewed landing on another celestial body possible. But if you had to make a list of the top ten most important pieces of gear stacked on top of the Saturn V back in 1969, the fuel cell would have to place pretty high up there.
Apollo fuel cell. Credit: James Humphreys
Smaller and lighter than batteries of the era, each of the three alkaline fuel cells (AFCs) used in the Apollo Service Module could produce up to 2,300 watts of power when fed liquid hydrogen and liquid oxygen, the latter of which the spacecraft needed to bring along anyway for its life support system. The best part was, as a byproduct of the reaction, the fuel cells produced drinkable water.

The AFC was about as perfectly suited to human spaceflight as you could get, so when NASA was designing the Space Shuttle a few years later, it’s no surprise that they decided to make them the vehicle’s primary electrical power source. While each Orbiter did have backup batteries for emergency purposes, the fuel cells were responsible for powering the vehicle from a few minutes before launch all the way to landing. There was no Plan B. If an issue came up with the fuel cells, the mission would be cut short and the crew would head back home — an event that actually did happen a few times during the Shuttle’s 30 year career.

This might seem like an incredible amount of faith for NASA to put into such a new technology, but in reality, fuel cells weren’t really all that new even then. The space agency first tested their suitability for crewed spacecraft during the later Gemini missions in 1965, and Francis Thomas Bacon developed the core technology all the way back in 1932.

So one has to ask…if fuel cell technology is nearly 100 years old, and was reliable and capable enough to send astronauts to the Moon back in 1960s, why don’t we see them used more today?

Fuel Cell 101

Before continuing to bemoan their absence from our everyday lives, perhaps it would be helpful to take a moment and explain what a fuel cell is.

In the most basic configuration, the layout of a fuel cell is not entirely unlike a traditional battery. You’ve got an anode that serves as the negative terminal, a cathode for the positive, and an electrolyte in between them. There’s actually a number of different electrolytes that can be used, which in turn dictate both the pressure the cell operates at and the fuel it consumes. But we don’t really need to get into the specifics — it’s enough to understand that the electrolyte allows positively charged ions to move through it, while negatively charged electrons are blocked.

The electrons are eager to get to the party on the other side of the electrolyte, so once the fuel cell is connected to a circuit, they’ll rush through to get over to the cathode. Each cell usually doesn’t produce much electricity, but gang a bunch of them up in serial and you can get your total output into a useful range.

One other element to consider is the catalyst. Again, the specifics can change depending on the type of fuel cell and what it’s consuming, but in general, the catalyst is there to break the fuel down. For example, plating the anode with a thin layer of platinum will cause hydrogen molecules to split as they pass through.

Earthly Vehicle Applications

So we know they were used extensively by NASA up until the retirement of the Shuttle back in 2011, but spacecraft aren’t the only vehicles that have used fuel cells for power.
The fuel cell powered Toyota Mirai, on the market since 2015.
There’s been quite a number of cars that used fuel cells, ranging from prototypes to production models. In fact, Toyota, Honda, and Hyundai actually have fuel cell cars available for sale currently. They’re not terribly widespread however, with availability largely limited to Japan and California as those are nearly the only places you’ll find hydrogen filling stations.

Of course, not all vehicles need to be filled up at a public pump. There have been busses and trains powered by fuel cells, but again, none have ever enjoyed much widespread success. In the early 2000s there were some experimental fuel cell aircraft, but those efforts were hampered by the fact that electric aircraft in general are still in their infancy.

Interestingly, outside of their space applications, fuel cells seem to have enjoyed the most success on the water. While still a minority in the grand scheme of things, there have been a number of fuel cell passenger ferries over the years, with a few still in operation to this day. There’s also been a bit of interest by the world’s navies, with both the German and Italian government collaborating on the development of the Type 212A submarine. Each of the nine fuel cells on the sub can produce up to 50 kW, and together they allow the submarine to remain submerged for weeks — a trick that’s generally only possible with a nuclear-fueled vessels.

Personal Power Plants

While fuel cell vehicles have only seen limited success, there’s plenty of other applications for the technology, some of which are arguably more interesting than a hydrogen-breathing train anyway.

At least for a time, it seemed fuel cells would have a future powering our personal devices like phones and laptops. Modern designs don’t require the liquid oxygen of the Apollo-era hardware, and can instead suck in atmospheric air. You still need the hydrogen, but that can be provided in small replaceable cylinders like many other commercially-available gases.

The peak example of this concept has to be the Horizon MiniPak. This handheld fuel cell was designed to power all of your USB gadgets with its blistering 2 watt output, and used hydrogen cylinders which could either be tossed when they were empty or refilled with a home electrolysis system. Each cylinder reportedly contained enough hydrogen to generate 12 watt-hours, which would put each one about on par with a modern 18650 cell.

The device made its debut at that the 2010 Consumer Electronics Show (CES), but despite contemporary media coverage talking about an imminent commercial release, it’s not clear that it was ever actually sold in significant numbers.

Looking at what’s on the market currently, a company called EFOY offers a few small fuel cells that seem to be designed for RVs and boats. They certainly aren’t handheld, with the most diminutive model roughly the size of a small microwave, but at least it puts out 40 watts. Unfortunately, the real problem is the fuel — rather than breathing hydrogen and spitting out pure water, the EFOY units consume methanol and output as a byproduct the creeping existential nightmare of being burned alive by invisible fire.

DIY To the Rescue?

If the free market isn’t offering up affordable portable fuel cells, then perhaps the solution can be found in the hacker and maker communities. After all, this is Hackaday — we cover home-spun alternatives for consumer devices on a daily basis.

Except, not in this case. While there are indeed very promising projects like the Open Fuel Cell, we actually haven’t seen much activity in this space. A search through the back catalog while writing this article shows the term “fuel cell” has appeared fewer than 80 times on these pages, and of those occurrences, almost all of them were discussing some new commercial development. There were two different fuel cell projects entered into the 2015 Hackaday Prize, but unfortunately both of those appear to have been dead ends.

So Dear Reader, the question is simple: what’s the hold up with mainstream fuel cells? The tech is not terribly complex, and a search online shows plenty of companies selling the parts and even turn-key systems. There’s literally a site called Fuel Cell Store, so why don’t we see more of them in the wild? Got a fuel cell project in the back of your mind? Let us know in the comments.

hackaday.com/2025/08/21/ask-ha…

Computed Axial Lithography (CAL) is a lighting-fast form of volumetric 3D printing that holds incredible promise for the future, and [The Action Lab] filmed it in action at a Berkeley team’s booth at the “Open Sauce” convention.

The basic principle works like this: an extra-viscous photopolymer resin sits inside a rotating, transparent cylinder. As the cylinder rotates, UV light is projected into the resin in patterns carefully calculated to reproduce the object being printed. There are no layers, no FEP, and no stop-and-start; it’s just one long exposure from what is effectively an object-generating video, and it does not take long at all. You can probably guess that the photo above shows a Benchy being created, though unfortunately, we’re not told how long it took to produce.

Don’t expect to grab a bottle of SLA resin to get started: not only do you need higher viscosity, but also higher UV transmission than you get from an SLA resin to make this trick work. Like regular resin prints, the resolution can be astounding, and this technique even allows you to embed objects into the print.
This handle was printed directly onto the shaft of the screwdriver.
It’s not a new idea. Not only have we covered CAL before, we even covered it being tested in zero-G. Floating in viscous resin means the part couldn’t care less about the local gravity field. What’s interesting here is that this hardware is at tabletop scale, and looks very much like something an enterprising hacker might put together.

Indeed, the team at Berkeley have announced their intention to open-source this machine, and are seeking to collaborate with the community on their Discord server. Hopefully we’ll see something more formally “open” in the future, as it’s something we’d love to dig deeper into — and maybe even build for ourselves.

Thanks to [Beowulf Shaeffer] for the tip. If you are doing something interesting with photopolymer ooze (or anything else) don’t hesitate to let us know!

youtube.com/embed/L7QnADt04ZU?…

hackaday.com/2025/08/21/cal-3d…

In data odierna – avverte il Cert-AGiD – sono pervenute segnalazioni da parte di Pubbliche Amministrazioni riguardo a una campagna malevola mirata diffusa in queste ore.

Email malevola

L’e-mail fraudolenta, sfruttando un presunto aggiornamento urgente di un software di firma digitale, induce gli utenti a cliccare sul link presente nel corpo del messaggio con lo scopo di scaricare un file ZIP contenente un VBS malevolo.

File VBS malevolo

Il file VBS non adotta tecniche di offuscamento e il codice risulta commentato in italiano, suggerendo l’uso di strumenti AI da parte di un threat actor italiano o, in alternativa, il tentativo di sviare l’attribuzione.

L’obiettivo è l’installazione di Action1, uno strumento legittimo normalmente utilizzato per la gestione remota di patch e la risoluzione delle vulnerabilità presenti sui sistemi da parte degli amministratori IT, ma che in questo contesto viene sfruttato da attori malevoli per ottenere accesso non autorizzato ai dispositivi compromessi.

Analisi del file MSI

Per il CERT-AGID si tratta della prima evidenza in Italia dell’abuso di questo strumento da parte di attori malevoli, sebbene a livello internazionale sia già noto per essere stato sfruttato in campagne di distribuzione di malware, incluso dal gruppo ransomware Conti.

Analogamente a quanto accaduto con altri prodotti leciti di remote management, come ScreenConnect, i criminali informatici sfruttano software firmati e legittimi per ridurre la probabilità di rilevazione da parte delle soluzioni di sicurezza.

Al momento non è stato identificato il malware o il payload finale che potrebbe essere distribuito; è verosimile che gli attori malevoli stiano attendendo il momento più opportuno per rilasciarlo.

Azioni intraprese e suggerimenti

Il CERT-AGID ha avviato le opportune attività di contrasto alla campagna, diffondendo gli IoC relativi e contattando il Gestore di Firma interessato. Invita inoltre le Pubbliche Amministrazioni e, più in generale, tutti gli utenti che abbiano ricevuto questa email a:

• non cliccare sul link contenuto nel messaggio;
• utilizzare gli Indicatori di Compromissione (IoC) messi a disposizione dal CERT-AGID per effettuare le opportune verifiche;
• usare il tool hashr per la ricerca di file malevoli all’interno dei propri sistemi;
• in caso di compromissione, isolare immediatamente il dispositivo e segnalare l’incidente al CSIRT Italia.

Indicatori di Compromissione

Gli IoC relativi a questa campagna sono stati già condivisi con le organizzazioniaccreditate al flusso IoCdel CERT-AGID.

Link:Download IoC

L'articolo Una falsa patch per la firma digitale, diffonde malware! Attenzione alla truffa proviene da il blog della sicurezza informatica.

At this point the question is no longer whether a new device runs DOOM, but rather how well. In the case of Anker’s Prime Charging Station it turns out that it’s actually not too terrible at controlling the game, as [Aaron Christophel] demonstrates. Unlike the similar Anker power bank product with BLE and a big display that we previously covered, this device has quite the capable hardware inside.
Playing a quick game of DOOM while waiting for charging to finish. (Credit: Aaron Christophel, YouTube)
According to [Aaron], inside this charging station you’ll not only find an ESP32-C3 for Bluetooth Low Energy (BLE) duty, but also a 150 MHz Synwit SWM341RET7 (Chinese datasheet) ARM-based MCU along with 16 MB of external flash and 8 MB of external RAM. Both of these are directly mapped into the MCU’s memory space. The front display has a 200×480 pixel resolution.

This Synwit MCU is a bit of a curiosity, as it uses ARM China’s Star-MC1 architecture most of the information on it is in Chinese, though it’s clear that it implements the ARMv8-M profile. It can also be programmed the typical way, which is what [Aaron] did to get DOOM on it, with the clicky encoder on the side of the charging station being the sole control input.

As can be seen in the video it makes for a somewhat awkward playing experience, but far more usable than one might expect, even if running full-screen proved to be a bit too much for the hardware.

youtube.com/embed/MdOU8SqCqeY?…

hackaday.com/2025/08/21/playin…

I ricercatori di Proofpoint hanno identificato un sofisticato attacco di downgrade che potrebbe aggirare l’autenticazione basata su FIDO, esponendo gli obiettivi a minacce “adversary-in-the-middle” (AiTM).
Queste alcune tra le principali evidenze riscontrate dai ricercatori:

• Utilizzando un “phishlet” dedicato, gli attaccanti potrebbero effettuare il downgrade dell’autenticazione basata su FIDO a metodi meno sicuri, esponendo gli obiettivi a minacce “adversary-in-the-middle” (AiTM).
• Questo attacco sfrutta una lacuna apparentemente insignificante nella funzionalità, dove non tutti i browser web supportano il metodo di autenticazione “passkey” (FIDO2) con Microsoft Entra ID, consentendo agli attaccanti di falsificare un “user agent” non supportato e forzare un metodo di autenticazione meno sicuro.
• Sebbene siano tecnicamente possibili, i ricercatori di Proofpoint non hanno ancora osservato attacchi di downgrade dell’autenticazione FIDO “in the wild”, con l’attenzione degli attaccanti che rimane su account con altri metodi MFA o senza metodi MFA.

Nonostante la mancanza di un utilizzo osservato da parte degli attori delle minacce, Proofpoint considera gli attacchi di downgrade dell’autenticazione FIDO come una significativa minaccia emergente. Questi attacchi potrebbero essere condotti da avversari sofisticati e APT (in particolare attori sponsorizzati da stati o hacker tecnicamente esperti).

Sottolineano i ricercatori Proofpoint: “È importante notare che le “passkey” basate su FIDO restino un metodo di autenticazione altamente raccomandato per proteggersi dal phishing di credenziali prevalente e dalle minacce di account takeover (ATO).”

Guardando al futuro, man mano che cresce la consapevolezza dei rischi posti dal phishing AiTM e sempre più organizzazioni adottano metodi di autenticazione “resistenti al phishing” come FIDO, gli attaccanti potrebbero tentare di evolvere le tattiche, le tecniche e le procedure (TTP) esistenti incorporando il downgrade dell’autenticazione FIDO nelle loro “kill chain”.

L'articolo Attacchi di downgrade FIDO, nuova minaccia per l’autenticazione proviene da il blog della sicurezza informatica.

Un’implementazione di sicurezza urgente è stata distribuita da Apple per iOS e iPadOS al fine di sanare una falla critica zero-day. Questa vulnerabilità, riconosciuta con l’identificativo CVE-2025-43300, risulta essere sfruttata attivamente in attacchi estremamente mirati, come confermato.

Le patch urgenti, rilasciate come iOS 18.6.2 e iPadOS 18.6.2, risolvono una vulnerabilità di danneggiamento della memoria che potrebbe essere innescata dall’elaborazione di un file immagine creato appositamente.

Il problema principale è una scrittura fuori dai limiti all’interno del framework ImageIO, un componente fondamentale per il modo in cui i sistemi operativi Apple gestiscono e riproducono vari formati di immagine.

Secondo l’avviso di sicurezza di Apple, l’azienda è “a conoscenza di una segnalazione secondo cui questo problema potrebbe essere stato sfruttato in un attacco estremamente sofisticato contro individui specifici“.

Inviando un’immagine dannosa, un aggressore potrebbe scrivere dati al di fuori del buffer di memoria previsto. Questo tipo di difetto di corruzione della memoria è un vettore classico per ottenere l’esecuzione di codice arbitrario, consentendo potenzialmente a un aggressore di assumere il pieno controllo di un dispositivo interessato.

Questo schema di attacco è simile ai precedenti exploit zero-click utilizzati per implementare strumenti di sorveglianza come Pegasus, in cui le vittime vengono compromesse semplicemente ricevendo un file tramite un’app di messaggistica, senza alcuna interazione da parte dell’utente.

Le patch rilasciate da Apple coprono::

• iPhone XS e successivi
• iPad Pro (13 pollici, 12,9 pollici di terza generazione e successive, 11 pollici di prima generazione e successive)
• iPad Air di terza generazione e successivi
• iPad di settima generazione e successivi
• iPad mini di quinta generazione e successivi

Lo sfruttamento attivo di CVE-2025-43300 lo trasforma da un rischio teorico a un pericolo chiaro e attuale per gli utenti di dispositivi non aggiornati.

L'articolo Spyware sotto tiro! Apple rilascia una patch critica per uno 0day usato su iOS e iPadOS proviene da il blog della sicurezza informatica.

Read about EDRi’s work in 2024 to build an inclusive and equitable digital world. Last year, we witnessed massive changes in the political realm after the European elections in June, and resisted growing attacks on important digital rights legislation while staying rooted in our long-term vision for digital futures.

The post EDRi Annual Report 2024: Reinforcing digital rights and justice in uncertain times appeared first on European Digital Rights (EDRi).

Un esperto di sicurezza informatica ha individuato falle zero-day che coinvolgono undici noti gestori di password, mettendo a rischio potenzialmente decine di milioni di utenti per il furto di credenziali con un semplice clic malevolo.

Un’innovativa strategia di attacco, conosciuta come \”DOM-based Extension Clickjacking\”, segna un avanzamento sostanziale rispetto ai metodi tradizionali di clickjacking online.

La ricerca, condotta dall’esperto di sicurezza Marek Tóth, rivela che gli aggressori possono sfruttare queste vulnerabilità per rubare dati di carte di credito, informazioni personali, credenziali di accesso e persino codici di autenticazione a due fattori da utenti ignari.

Catena di attacco di estensione basata su DOM

Diversamente dagli approcci tradizionali, che colpiscono le applicazioni web attraverso iframe non visibili, questa strategia altera gli elementi dell’interfaccia utente inseriti dalle estensioni del gestore di password nelle strutture DOM delle pagine web, facendoli diventare non visibili ma ancora cliccabili.

Quando gli utenti incontrano elementi apparentemente legittimi, come banner di consenso ai cookie o domande CAPTCHA su siti web compromessi, un singolo clic può attivare la compilazione automatica di moduli nascosti con i dati sensibili memorizzati.

L’attacco funziona creando script dannosi che nascondono gli elementi dell’interfaccia utente dell’estensione tramite manipolazione. JavaScript , in particolare tramite regolazioni dell’opacità e tecniche di sovrapposizione DOM. La ricerca approfondita di Tóth ha testato undici noti gestori di password, tra cui leader del settore come 1Password, Bitwarden, LastPass, Dashlane, Keeper e altri.

I risultati sono stati allarmanti: tutti i gestori di password testati erano inizialmente vulnerabili ad almeno una variante della tecnica Extension Clickjacking basata su DOM. Le vulnerabilità interessano circa 40 milioni di installazioni attive sulle piattaforme Chrome Web Store, Firefox Add-ons ed Edge Add-ons.

Sei gestori di password su nove testati erano vulnerabili all’estrazione dei dati delle carte di credito, mentre otto su dieci potevano essere sfruttati per esfiltrare informazioni personali memorizzate.

Forse la cosa più preoccupante è che dieci gestori di password su undici erano soggetti a furto di credenziali, compresi i codici TOTP (Time-based One-Time Password) utilizzati per l’autenticazione a due fattori.

L'articolo LastPass, 1Password e Keeper sotto tiro! Rilevati diffusi bug 0day e milioni di utenti a rischio proviene da il blog della sicurezza informatica.

Navigare nel dark web può rivelare annunci inquietanti e allarmanti per chi si occupa di sicurezza informatica. Recentemente, abbiamo notato un post che offre in vendita un exploit 0-day, un tipo di strumento estremamente pericoloso. L’annuncio, proveniente da un utente con il nickname “admc21”, mette in mostra un attacco di Remote Code Execution (RCE) che colpisce le versioni più recenti di Windows, tra cui Windows 10, Windows 11 e Windows Server 2022. Il prezzo richiesto è di $125.000, una cifra che sottolinea il valore di questi strumenti sul mercato nero.

Ma cosa rende questi exploit così letali?

Cos’è esattamente un Exploit 0-Day?

Il termine “0-day” (o zero-day) si riferisce a una vulnerabilità del software che è sconosciuta allo sviluppatore del prodotto. Questo significa che non esiste ancora una patch o un aggiornamento di sicurezza per correggerla. L’attaccante che scopre o acquista un exploit 0-day ha un vantaggio enorme: può sfruttare la falla per attaccare i sistemi senza che le vittime possano difendersi. Una volta che la vulnerabilità viene resa pubblica o scoperta, gli sviluppatori hanno zero giorni per preparare una contromisura.

Il post fa riferimento a un RCE, un tipo di attacco che consente a un cyber-criminale di eseguire codice malevolo sul computer della vittima da remoto, senza che questa se ne accorga. Nel caso specifico, l’exploit fornisce i privilegi di “SYSTEM”, il massimo livello di controllo su un sistema Windows.

È come dare le chiavi di casa all’aggressore: può rubare dati, installare malware o prendere il controllo totale del dispositivo.

Le contromisure tecniche e l’economia del crimine informatico

L’annuncio specifica che l’exploit è in grado di aggirare le moderne difese di Windows come ASLR (Address Space Layout Randomization), DEP (Data Execution Prevention) e CFG (Control Flow Guard). Queste misure di sicurezza sono state create proprio per rendere più difficile lo sfruttamento delle vulnerabilità, ma un exploit 0-day ben progettato può riuscire a eluderle.

Il prezzo di $125.000 in criptovaluta ci offre uno sguardo sull’economia sommersa del cyber-crime. La richiesta di una “single-use sale” (vendita singola) indica che l’acquirente avrà l’uso esclusivo di questo strumento, almeno per un certo periodo, il che ne aumenta il valore e la segretezza.

Questa tipologia di transazioni alimenta un ecosistema in cui le vulnerabilità dei nostri sistemi vengono trasformate in armi digitali.

Proteggersi da minacce sconosciute

Allora, come possiamo proteggerci da una minaccia che non conosciamo? La risposta è complessa, ma si basa su alcuni principi fondamentali di cybersecurity:

1. Mantenere i sistemi aggiornati: anche se un 0-day è per sua natura sconosciuto, i fornitori di software rilasciano costantemente patch per vulnerabilità già scoperte. Mantenere i sistemi aggiornati riduce il rischio di attacchi noti.
2. Utilizzare software di sicurezza avanzati: i moderni software EDR (Endpoint Detection and Response) non si basano solo sulle firme dei malware, ma utilizzano l’intelligenza artificiale per rilevare comportamenti anomali che potrebbero indicare un attacco 0-day.
3. Adottare una politica di “zero trust”: non fidarsi di nessuno, né all’interno né all’esterno della rete, e implementare controlli di sicurezza rigorosi su ogni dispositivo e utente.

La vendita di exploit 0-day ci ricorda che il mondo della sicurezza informatica è una battaglia continua.

Solo rimanendo informati, vigilanti e adottando le giuste contromisure possiamo sperare di rimanere un passo avanti rispetto alle minacce.

L'articolo Exploit RCE 0-day per Windows in vendita a 125.000 dollari: come proteggersi proviene da il blog della sicurezza informatica.

Over on his YouTube channel [Ryan Inis] has a video about how electrostatic motors are breaking all the rules.

He explains that these days most motors are electromagnetic but suggests that may be changing as the age-old principles of electrostatics are being explored again, particularly due to the limited supply of rare-earth magnets and other materials (such as copper and steel) which are used in many electromagnetic motors.

[Ryan] says that new electrostatic motors could be the answer for highly efficient and economical motors. Conventional electromagnetic motors pass current through copper windings which create magnetic fields which are forces which can turn a rotor. The rotor generally has permanent magnets attached which are moved by the changing magnetic forces. These electromagnetic motors typically use low voltage and high current.

Electrostatic alternatives are actually an older design, dating back to the 1740s with the work of Benjamin Franklin and Andrew Gordon. These electrostatic motors generate motion through the attraction and repulsion of high voltage electric charges and demand lower current than electromagnetic motors. The high voltages involved create practical problems for engineers who need to harness this energy safely without leading to shocks or sparks or such.

[Ryan] goes on to discuss particular electrostatic motor designs and how they can deliver higher torque with lower energy losses due to friction and heat making them desirable for various applications, particularly industrial applications which demand low speed and high torque. He explains the function of the rotor and stator and says that these types of motors use 90% less copper than their electromagnetic alternatives, also no electrical steel and no permanent magnets.

For more coverage on electrostatic motors check out Electrostatic Motors Are Making A Comeback.

youtube.com/embed/44WM5J6AcHo?…

hackaday.com/2025/08/20/lets-b…