Abbiamo appreso solo da poco “scrivono Marco Cappato e Marco Perduca “che il 15 giugno scorso Baldomero Cáceres Santa María è morto a Lima all’età di 93 anni. Psicologo e ricercatore molto critico del ruolo che la psichiatria aveva giocato nella definizione dell’architettura proibizionista internazionale, Baldo era uno raro esempio di intellettuale antiproibizionista militante che non perdeva occasione per dimostrare come la proibizione della cannabis prima e della foglia di coca poi fossero non solo anti-scientifiche ma anche violazioni dei diritti umani e delle tradizioni e culture ancestrali.

“Abbiamo conosciuto Baldo alla fine degli anni ‘90 tramite Dave Borden della DRCNet Foundation, grazie alle sue conoscenze, nelle nostre visite in Perù abbiamo incontrato pensatori, parlamentari e campesinos determinati nella lotta per ricordare al mondo che “coca non è cocaina”.

Negli anni ’70, mentre viveva a Cusco e lavorava all’Università Nazionale di San Antonio Abad, incontrò l’etnostorico Jan Szemiski che gli insegnò a masticare le foglie di coca. Dopo aver scoperto la pianta e averne sperimentato i benefici che gli permettevano di ridurre mal di testa, insufficienza respiratoria e disturbi gastrici legati al cambio di altitudine, iniziò la sua ricerca sulla storia e le proprietà delle sue piante. Dopo la pubblicazione di un articolo intitolato “Coca, il mondo andino e gli estirpatori di idolatrie del XX secolo” sul quotidiano La Prensa nel 1977, iniziò la sua attività in difesa della foglia di coca.

“Baldomero aveva partecipato alla riunione fondativa della Lega Internazionale Antiproibizionista di Atene di 35 anni fa e da allora non ha perso occasione di perorare la causa della legalizzazione della marihuana e della foglia di coca. Baldo era uno degli ultimi intellettuali della memoria orale, auspichiamo che chi gli è stato vicino per anni possa trovare tempo e risorse per raggruppare il suo pensiero in modo multimediale”.

L'articolo Addio Baldomero Cáceres, raro intellettuale antiproibizionista militante proviene da Associazione Luca Coscioni.

Over on Instructables, [Logan Fouts] shows us the Contrib Cal GitHub desk gadget. This build will allow you to sport your recent GitHub commit activity on your wall or desk with an attractive diffuse light display backed by a 7×4 matrix of multicolor LEDs. Motivate yourself and impress your peers!

This humble project is at the same time multifaceted. You will build a case with 3D printing, make a diffuse screen by gluing and cutting, design a LED matrix PCB using KiCad, solder everything together, and then program it all with Python. The brains of the operation are a Raspberry Pi Zero W.

The Instructables article will run you through the required supplies, help you to print the case, explain how to solder the LEDs, tell how to install the heat-set inserts for high quality screw attachments, explain wiring and power, tell you about how to use the various screws, then tell you about where to get more info and the required software on GitHub: Contrib Cal v2.

Of course this diffuse LED matrix is only one way to display your GitHub progress, you can also Track Your GitHub Activity With This E-Ink Display.

hackaday.com/2025/09/12/reify-…

Fresh hacks here! Get your fresh hot hacks right here! Elliot and Dan teamed up this week to go through every story published on our pages to find the best of the best, the cream of the crop, and serve them up hot and fresh for you. The news this week was all from space, with the ISS getting its latest push from Dragon, plus <<checks notes>> oh yeah, life on Mars. Well, maybe, but it’s looking more and more like we are not alone, or at least not a few million years ago.

But even if we are, plenty is still going on down here to keep you interested. Like homebrewing? Good, because we looked at DIY inductors, wire nuts, and even a dope — but nope — ultralight helicopter. Into retro? We’ve got you covered with a loving look at IRC, a 60s bedside computer guaranteed to end your marriage, and a look at the best 8-bit language you never heard of.

We looked at a rescued fume hood, sensors galore on your phone, a rug that should have — and did, kind of — use a 555, and raytracing for the rest of your natural life. As for “Can’t Miss Articles,” Elliot could barely contain himself with the bounty of projects written up by our Hackaday writers, not to mention Arya’s deep dive into putting GPS modules to work in your builds.

html5-player.libsyn.com/embed/…

Download this MP3, full of twisty little podcasts, all alike. Plugh!

Where to Follow Hackaday Podcast

Places to follow Hackaday podcasts:

• iTunes
• Spotify
• Stitcher
• RSS
• YouTube
• Check out our Libsyn landing page

Episode 337 Show Notes:

News:

• Dragon Is The Latest, And Final, Craft To Reboost ISS
• NASA Presser Reveals New Clues About Ancient Life on Planet Mars – YouTube

What’s that Sound?

• Have a listen, guess where the music is from, and enter your guess right here!

Interesting Hacks of the Week:

• Give Your Twist Connections Some Strength
  
  • Print-in-Place Connectors Aim To Make Wiring Easier

  
  

• Tips For Homebrewing Inductors
• Was Action! The Best 8-Bit Language?
  
  • AtariWiki V3.1: Action Source Code
  • AtariWiki V3.1: Action
  • AtariWiki V3.1: Forth

  
  

• Retrotechtacular: The Noisy Home Computer From 1967
• A Love Letter To Internet Relay Chat
  
  • Life After IRC – Your Move, Mozilla!

  
  

• Making An Ultralight Helicopter

Quick Hacks:

• Elliot’s Picks
  
  • Old Phone Upcycled Into Pico Projector, ASMR
  • Reverse Engineering A Robot Mower’s Fence
  • The 555 As You’ve Never Seen It: In Textile!
  • A Look At Not An Android Emulator
  • No Plans For The Weekend? Learn Raytracing!

  
  

• Dan’s Picks:
  
  • Restoring A Cheap Fume Hood
  • Smartphone Sensors Unlocked: Turn Your Phone Into A Physics Lab
  • Heart Rate Monitoring Via WiFi

  
  

Can’t-Miss Articles:

• FreeCAD Foray: From Brick To Shell
• Bootstrapping Android Development: A Survival Guide
• The Android Linux Commander
• GPS And Its Little Modules

hackaday.com/2025/09/12/hackad…

Two billion downloads per week. That’s the download totals for the NPM packages compromised in a supply-chain attack this week. Ninety-nine percent of the cloud depends on one of the packages, and one-in-ten cloud environments actually included malicious code as a result of the hack. Take a moment to ponder that. In a rough estimate, ten percent of the Internet was pwned by a single attack.

What extremely sophisticated technique was used to pull off such an attack? A convincing-looking phishing email sent from the newly registered npmjs.help domain. [qix] is the single developer of many of these packages, and in the midst of a stressful week, fell for the scam. We could refer to the obligatory XKCD 2347 here. It’s a significant problem with the NPM model that a single developer falling for a phishing email can expose the entire Internet to such risk.

And once that account was compromised, it didn’t take long for the mystery attacker to push malicious code. Within an hour, cryptocurrency stealing code was added to two dozen packages. Within a couple hours, the compromise was discovered and the cleanup effort began.

BREAKING

LARGEST SUPPLY CHAIN ATTACK IN HISTORY PULLS OFF MASSIVE CRYPTO HEIST

ATTACKS STEAL $20.05 OF ETH. ENTIRE WORLD CRUMBLING

— vx-underground (@vxunderground) September 8, 2025

While the attack was staggering in its breadth, in the end only a few hundred dollars worth of cryptocurrency was actually stolen as a result. Why was such a successful attack, when measured by deployment, so minimal in actual theft? Two reasons: First, the malware was only live for two hours before takedowns began. And a related second reason, the malicious code was specifically aimed at developer and end-user machines, while the majority of the installs were on servers and cloud deployments, where cryptocurrency transactions weren’t happening.

It brings to mind the question, what could have happened? Instead of looking for cryptocurrency to steal, if the malicious code was tailored to servers and stealth, how long would it have taken to detect? And is there malicious code on NPM and in other places that we just haven’t discovered yet?

SAP ERP CVEs

Let’s break down this Alphabet soup. SAP is an acronym for “Systems, Applications and Products in Data Processing”, a German company providing business software. ERP is their Enterprise Resource Planning software, and of course a CVE is a Common Vulnerabilities and Exposure. So to translate the acronyms, SAP’s accounting software has vulnerabilities. And in this case, CVE-2025-42944 is a ten out of ten on the CVSS severity scale.

In fact, there are four vulnerabilities altogether, all CVSS of nine or higher, and all in the underlying NetWeaver platform. SAP owned up to the problems, commenting that they operated as a backdoor, allowing unauthorized access. Patches are available for all of these issues, but some of them have been found in use in the wild.

Kerbroasting

You know it’s bad when a sitting US Senator can tell that your security has problems. Though before I read the article, I had a feeling it would be [Ron Wyden].

The issue here is Microsoft’s support for RC4 encryption in Active Directory. RC4, also known as ARC4, is a pseudorandom number generator developed at RSA in 1987. This continuing support leads to an attack known as kerberoasting.

Kerberos is one of the protocols that powers Active Directory. It works through a sort of ticket signing system. The server doing the signing takes a hash of a password and uses that hash as an encryption key to encrypt the Kerberos ticket. There are two possible problems. First, that password may be a human generated password, and therefore a weak password. And second, the legacy combination of RC4 and original NT hashing makes for extremely fast offline password guessing.

So here’s the kerberoasting attack: Take any account in the Active Directory, and request a Kerberos ticket, specifying the legacy RC4 encryption. Take this offline ticket to a modern CPU/GPU, and use Hashcat to crack that password, at a guess rate measured in the billions per second. Once that password is discovered, arbitrary Kerberos tickets can be signed, providing access to basically any account on the AD system.

This was part of the 2024 ransomware attack on Ascension health, and why the US senate is taking notice. What’s strange is how resistant Microsoft has been to fixing this issue. Microsoft states that RC4 only makes up .1% of traffic, which is nonsense, since the attack doesn’t rely on traffic. Finally in 2026, new installs of Windows server 2025 will disable RC4 by default.

Reverse Engineering and TLS Hacking

We get a great primer from [f0rw4rd] on how to defeat TLS certificates, in a very specific scenario. That scenario is reverse engineering an embedded or industrial Linux system. One of the tools you might want to use is to intercept traffic from the embedded system to some web server, but if that system uses HTTPS, it will fail to verify that certificate. What is a researcher to do?

One possible solution is to abuse LD_PRELOAD to poison the application. This approach uses dynamic library loading to insert a “malicious” library before program execution. tls-preloader is a tool to do exactly this, and supports multiple SSL/TLS libraries, allowing sniffing all that useful TLS data.

The Rest of the Story

Just recently we mentioned several 0-day vulnerabilities that were being used for in-the-wild attacks. This week we have updates on a couple of those. First is the iOS and macOS vulnerability in DNG image file processing. The basic issue is that this file type has a TIFF header that includes a SamplesPerPixel metadata, and a SOF3 section with a component count. A properly formatted file will have consistency between these two elements, and the Apple file processing didn’t handle such an inconsistency correctly, leading to memory corruption and potentially Remote Code Execution (RCE).

The other recent 0-day is a FreePBX flaw that was discovered through the presence of a clean.sh script on multiple FreePBX installs. The flaw was an automatic class loader that allowed an unauthenticated user to include module files when calling the ajax.php endpoint. One way to turn this into an exploit is SQL injection in one of the modules. This is what has been patched, meaning there are likely more exploits to find using this php injection quirk.

Bits and Bytes

The Apple CarPlay SDK had a buffer overflow that was reachable by a device connecting to the vulnerable head unit. Researchers from oligo discovered this flaw, and presented it at Def Con this year. The end result is root-level RCE, and while Apple has already published an SDK update, most cars are still vulnerable to this one.

And finally, enjoy [LaurieWired] taking a look at this year’s International Obfuscated C Code Contest (IOCCC) winners. This contest is all about pushing the limits in how terrifying C code can be, while still compiling and doing something interesting. And these entries don’t disappoint.

youtube.com/embed/by53T03Eeds?…

hackaday.com/2025/09/12/this-w…

Non brilliamo molto nella sicurezza informatica, ma sugli Spyware siamo tra i primi della classe!

Secondo una ricerca dell’Atlantic Council, il settore dello spyware è in piena espansione, poiché gli investitori rivolgono sempre più la loro attenzione a questo settore eticamente discutibile ma altamente redditizio. La maggior parte del denaro è destinata ad aziende negli Stati Uniti e in Israele, ma al terzo posto troviamo l’Italia.

E gli investimenti americani nello spyware sono triplicati nell’ultimo anno.

L’Italia al terzo posto nella guerra degli spyware

Lo studio dell’Atlantic Council ha preso in esame 561 organizzazioni provenienti da 46 paesi dal 1992 al 2024. Nel farlo, gli esperti sono riusciti a identificare 34 nuovi investitori, portando il loro numero totale a 128 (rispetto ai 94 del 2024).

Si nota che il maggiore interesse per lo spyware è dimostrato dagli investitori americani: nel 2024 sono state identificate 20 nuove società investitrici negli Stati Uniti, per un totale di 31. Questa crescita ha superato di gran lunga quella di altri Paesi, tra cui Israele, Italia e Regno Unito.

Pertanto, il numero di investitori identificati nell’UE e in Svizzera è stato di 31, con l’Italia, considerata un hub chiave per lo spyware, che ha rappresentato la quota maggiore con 12 investitori. Il numero di investitori in Israele è stato di 26.

Tra gli investitori americani, gli analisti dell’Atlantic Council annoverano i grandi hedge fund DE Shaw & Co. e Millennium Management, la nota società commerciale Jane Street e la grande società finanziaria Ameriprise Financial.

Secondo il rapporto, tutti loro hanno inviato fondi al fornitore israeliano di spyware legale Cognyte. Si sottolinea che questa azienda è stata precedentemente collegata a violazioni dei diritti umani in Azerbaigian, Indonesia e altri paesi.

L’acquisto di Paragon Solution

Un altro esempio degno di nota degli investimenti americani nello spyware è la recente acquisizione del noto fornitore israeliano di spyware Paragon Solutions da parte di AE Industrial Partners, una società di private equity con sede in Florida specializzata in sicurezza nazionale.

Gli autori del rapporto sottolineano che, sebbene i politici americani abbiano sistematicamente combattuto la diffusione e l’abuso di spyware, talvolta con misure politiche severe, esiste una significativa discrepanza tra loro e gli investitori statunitensi, perché “i dollari statunitensi continuano a finanziare proprio le entità che i politici statunitensi stanno cercando di combattere”.

Un esempio citato è il fornitore di spyware Saito Tech (ex Candiru), presente nell’elenco delle sanzioni del Dipartimento del Commercio degli Stati Uniti dal 2021 e che ha ricevuto nuovi investimenti dalla società statunitense Integrity Partners nel 2024.

Oltre a concentrarsi sugli investimenti, l’Atlantic Council scrive che il mercato globale degli spyware è “in crescita ed evoluzione”, e ora include quattro nuovi fornitori, sette nuovi rivenditori o broker, 10 nuovi fornitori di servizi e 55 nuovi individui associati al settore.

Ad esempio, tra i fornitori recentemente identificati figurano l’israeliana Bindecy e l’italiana SIO. Tra i rivenditori figurano società di facciata associate ai prodotti del Gruppo NSO (come la panamense KBH e la messicana Comercializadora de Soluciones Integrales Mecale). Tra i nuovi fornitori di servizi figurano la britannica Coretech Security e la statunitense ZeroZenX.

youtube.com/embed/jkMy6OaFOyo?…

Broker e rivenditori, sono il cuore pulsante degli spyware

Il rapporto evidenzia il ruolo centrale svolto da tali rivenditori e broker, che rappresentano un “gruppo di attori poco studiato”.

“Queste organizzazioni agiscono da intermediari, oscurando i collegamenti tra venditori, fornitori e acquirenti. Spesso, gli intermediari mettono in contatto i fornitori con nuovi mercati regionali. Questo crea una catena di fornitura complessa e opaca per lo spyware, rendendo estremamente difficile comprendere le strutture aziendali, le manipolazioni giurisdizionali e le responsabilità“, hanno dichiarato gli autori dello studio a Wired .

Ma attenzione: realizzare spyware è solo fare un puzzle

Quasi sempre non si tratta di aziende che sviluppano internamente malware costruiti sfruttando vulnerabilità scoperte da loro stesse (0day): le società che commercializzano spyware spesso non cercano e non scoprono direttamente i bug. Al contrario, la filiera vede la presenza di broker di exploit 0day che fungono da intermediari: questi broker acquistano vulnerabilità da ricercatori o scopritori e le rivendono—talvolta tramite aste private—a operatori che poi le integrano in strumenti di sorveglianza.

Quindi non bisogna pensare che realizzare uno spyware richieda necessariamente capacità tecniche di scoperta di vulnerabilità; nella pratica commerciale descritta basta produrre il software che sfrutta gli exploit 0day ottenuti di ricercatori di sicurezza, che li hanno venduti a loro volta ai broker. Questo spiega perché il mercato dello spyware può funzionare anche separando nettamente il lavoro di ricerca delle vulnerabilità dalla loro applicazione operativa.

L'articolo L’Italia tra i grandi degli Spyware! Un grande terzo posto dopo Israele e USA proviene da il blog della sicurezza informatica.

Dopo che la vulnerabilità in FreePBX è stata scoperta, è stata immediatamente sfruttata attivamente nell’ecosistema della telefonia IP. La comunità ha notato compromissioni di massa il 21 agosto 2025, e da allora sintomi identici e tracce di manomissioni hanno iniziato a comparire sui forum. I ricercatori di watchTowr Labs hanno confermato che si tratta di un attacco remoto senza autenticazione correlato al modulo Endpoint commerciale e a un errore nell’elaborazione del class autoloader.

Al problema è stato assegnato l’identificatore CVE-2025-57819. FreePBX è un’interfaccia web per Asterisk utilizzata da tutti, dagli appassionati di home office ai fornitori di servizi e ai sistemi aziendali, quindi l’impatto si estende oltre i pannelli interni, consentendo l’accesso a chiamate, segreteria telefonica e registrazioni delle chiamate.

Il primo campanello d’allarme, il 25 agosto, è stato il crash di massa dell’interfaccia con un errore PHP relativo a una classe Symfony mancante. Il giorno successivo, uno degli amministratori ha mostrato un file .clean.sh improvvisamente apparso sul server. Lo script ha analizzato i log in “/var/log/*”, ha cancellato selettivamente le righe in cui potevano esserci riferimenti a web shell e nomi di servizi, per poi cancellarsi. Tale pulizia dei log è un tipico segnale di post-exploitation, quando gli aggressori cancellano le tracce e complicano l’analisi dell’incidente.

WatchTowr ha implementato un sensore FreePBX completamente monitorato e ne ha confrontato il comportamento prima e dopo le correzioni. È emerso che l’accesso diretto al codice vulnerabile si trova all’interno del modulo Endpoint e che il bundle di routing /admin/ajax.php e il meccanismo di caricamento automatico delle classi svolgono un ruolo cruciale. Il codice sorgente di FreePBX prevede un controllo class_exists per il valore del parametro del modulo e, con il valore di caricamento automatico PHP predefinito, questa chiamata passa una stringa all’utente fpbx_framework_autoloader.

Se si invia un modulo del tipo “FreePBXmodulesendpointajax“, l’autoloader raccoglie il percorso “/admin/modules/endpoint/ajax.php” e include semplicemente il file corrispondente, prima che la sessione venga verificata. In questo modo, il codice del modulo viene avviato senza login, ma a quel punto entra in gioco l’errore di validazione in Endpoint: l’iniezione SQL nei parametri del gestore ajax consente di manipolare il database di FreePBX.

In pratica, gli aggressori hanno prima creato un amministratore nascosto “ampuser” – ciò è confermato dalle richieste honeypot catturate, in cui un’operazione INSERT è stata iniettata nella tabella ampusers nel parametro brand. Quindi, per passare dall’accesso al database all’esecuzione di comandi, hanno aggiunto un record alla tabella cron_jobs con la pianificazione standard “* * * * *”, specificando il payload nel campo command – in questo modo, il codice è stato eseguito una volta al minuto per conto delle utilità di sistema di FreePBX. Questa catena watchTowr è stata riprodotta in laboratorio e, per verificare le tracce, è stato pubblicato un generatore di artefatti di rilevamento, che alternativamente tenta di registrare la web shell tramite cron o di aggiungere un nuovo utente.

Gli sviluppatori di FreePBX hanno risposto prontamente e hanno raccomandato di chiudere temporaneamente l’interfaccia di amministrazione tramite elenchi IP o un firewall e di installare aggiornamenti non pianificati per il modulo Endpoint. Per FreePBX 16/17, è stato suggerito il comando “fwconsole ma downloadinstall endpoint –edge”, per PBXAct 16 – “–tag 16.0.88.19”, per PBXAct 17 – “–tag 17.0.2.31”.

Nella descrizione dell’incidente, il team di FreePBX ha specificamente osservato che, a partire dal 21 agosto 2025, una persona sconosciuta ha iniziato ad accedere ai sistemi versione 16 e 17 accessibili da Internet senza un adeguato filtraggio e, dopo il login iniziale e una serie di passaggi sono stati concessi i diritti di root. Allo stesso tempo, watchTowr sottolinea che la correzione modulare risolve l’SQL injection, ma la causa principale, ovvero il caricamento automatico nel kernel, richiede ancora una riconsiderazione, poiché la connessione pre-autenticazione dei singoli file “.php” all’interno di “admin/modules” rimane una via accessibile.

L'articolo La vulnerabilità critica in FreePBX consente un accesso remoto senza autenticazione proviene da il blog della sicurezza informatica.

Microsoft ha iniziato a testare nuove funzionalità basate sull’intelligenza artificiale in Esplora file di Windows 11. Queste funzionalità consentiranno agli utenti di interagire con immagini e documenti direttamente da Esplora file, senza dover aprire i file in app separate.

La nuova funzionalità si chiama “Azioni AI” e attualmente funziona con immagini JPG, JPEG e PNG, consentendo di effettuare le seguenti operazioni:

• Rimuovi sfondo in Paint: ritaglia rapidamente lo sfondo di un’immagine, lasciando solo il soggetto;
• Rimuovi oggetti con l’app Foto: consente di rimuovere elementi indesiderati dalle foto utilizzando l’intelligenza artificiale generativa;
• Sfoca lo sfondo utilizzando l’app Foto: mette a fuoco il soggetto sfocando lo sfondo;
• Ricerca immagini con Bing Visual Search : la ricerca visiva con Bing trova immagini, oggetti, punti di riferimento e altro simili sul Web.

“Le azioni AI” in Esplora file semplificano e velocizzano il lavoro con i file: basta fare clic con il pulsante destro del mouse, ad esempio, per modificare un’immagine o ottenere un riepilogo di un documento”, affermano i rappresentanti Microsoft Amanda Langowski e Brandon LeBlanc.

Queste nuove funzionalità sono disponibili in Windows 11 Insider Preview Build 27938. Insieme a queste, è stata introdotta un’altra utile funzionalità: in Impostazioni > Privacy e sicurezza > Generazione di testo e immagini, viene ora visualizzato un elenco delle app di terze parti che hanno utilizzato di recente modelli di intelligenza artificiale generativa locale di Windows.

L’utente può visualizzare questa attività e gestire l’accesso di queste app alle funzionalità di intelligenza artificiale.

A inizio maggio, Microsoft ha anche introdotto gli agenti di intelligenza artificiale , assistenti intelligenti in grado di modificare le impostazioni di Windows con un comando vocale o di testo. Queste funzionalità sono ora disponibili sui PC Copilot+ e sui processori Snapdragon.

L'articolo Windows 11: Microsoft Rinnova Esplora file introducendo l’intelligenza artificiale proviene da il blog della sicurezza informatica.

La mia città (Reggio Emilia) è particolarmente brava nella gestione di viabilità e piste ciclabili.

Fino a qualche anno fa ne avevamo alcune ma poi, dal giorno alla notte, sono state tracciate con la vernice moltissime linee ai lati dalle carreggiate.
Quando i reggiani si sono svegliati non potevano saperlo, ma erano diventati i cittadini della città "con più piste ciclabili d'Italia". Qualsiasi cosa volesse intendere il Comune, noi la leggiamo così: che quantità non significa qualità.

Le piste create in questo modo sono molto pericolose, quasi quanto le altre, quelle che sempre dal giorno alla notte si è deciso di mettere in piedi facendo diventare spazi condivisi i marciapiedi che prima erano soltanto...beh, marciapiedi. Queste sono diventate pericolose non tanto perché da quel momento bici e pedoni convivono, ma per le innumerevoli intersezioni con le vie laterali, ad esempio sulla via Emilia che tanto per chiudere il quadro ha pure tanti alberi tra la pista e la strada, così chi esce dalle vie laterali non ti vede. Ma si sa, la perfezione non è di questo mondo.

Questa lunga e doverosa premessa andava fatta per farvi capire la situazione di partenza.

Ad Aprile vicino a casa mia (che è lungo la via Emilia) iniziano a rifare una pista ciclabile, una di quelle create con la vernice tanto tempo fa, e io mi dico "dai, finalmente non ci troverò più le macchine parcheggiate sopra!

Pura illusione.

Per qualche settimana sono comparsi i cartelli del nuovo cantiere e basta.

Finché non si è visto l'inizio dei lavori, io e altri ciclisti usavamo abusivamente la pista, anche perché non sapevamo dove altro passare (in questo tratto non c'è il marciapiedi con lo spazio condiviso).

A Giugno hanno cominciato a costruire dei muretti che delimitassero la carreggiata delle automobili tenendola separata da quella delle bici. "Benissmo!" Mi son detto.

Ma a luglio le persone sfruttavano le interruzioni nei muretti (ad esempio negli incroci) per intrufolarsi e parcheggiare la macchina sulla pista, come se niente fosse. Ora chi andava in bici stava peggio di prima, perché non poteva scavalcare il muretto per mettersi nella carreggiata e aggirare l'ostacolo.

La settimana scorsa hanno messo i paletti, per evitare questi parcheggi abusivi, e ci siamo detti "Evviva! Non capiterà più!"

Niente paura, l'Amministrazione è tosta ma nei cittadini trova pane per i suoi denti: alcuni paletti sono stati rimossi, altri investiti (spero non apposta) con un'automobile, e ora si può entrare di nuovo nella pista.

Nel frattempo le moto non si fanno problemi e parcheggiano dove gli pare.

Lunedì scorso hanno iniziato i lavori per asfaltare e mi son detto "Finalmente, non ci saranno più buche!".

Ad ora, il km di pista pagato con fondi PNRR non è ancora terminato: mancano i paletti rimossi e l'asfalto non è ancora finito. Inoltre, alcuni muretti sono stati già rovinati da auto/camion che ci hanno sbattuto sopra.

Quando dico che in questo paese non ce la possiamo fare, c'è un motivo.

5 mesi per un km di pista ciclabile, e non se ne vede la fine. Nel frattempo, i ciclisti rischiano la vita non potendola usare, spesso, per lavori o per inciviltà.

#inciviltà #reggioemilia #italia #reggioemiliadavivere #mobilitàciclabile #mobilitàinbicicletta #indietrocomelacodadeimaiali #celaraccontiamo #SENSOCIVICO #degrado #sfacelo #bicicletta

“A chi appartiene la tua vita? Riflessioni sul fine vita”

Torino, Festa dell’Unità – Piazza d’Armi
Lunedì 15 settembre 2025
Ore 21:00

la Cellula Coscioni di Torino organizza un incontro pubblico per riflettere insieme sul tema del fine vita, sulla libertà di scelta e sulla responsabilità individuale e collettiva di fronte alle decisioni più intime e difficili.

Intervengono:

• Davide di Mauro, Coordinatore Cellula Coscioni Torino
• Paola Stringa, Avvocata civilista, Giurista per le Libertà – Associazione Luca Coscioni
• Esmeralda Moretti, Divulgatrice filosofica
• Matteo Cresti, Ricercatore di filosofia morale, Consigliere Consulta di Bioetica

Modera: Luca Scagnolari (Gd Grugliasco)

L'articolo A Torino l’evento “A chi appartiene la tua vita? Riflessioni sul fine vita” proviene da Associazione Luca Coscioni.

Serata informativa e raccolta firme a sostegno della proposta “Trentino Liberi Subito”

Ala (TN), Sala Zendri – Via M. Soini n. 51
Giovedì 18 settembre 2025
Ore 20:30

Una serata dedicata al diritto di scegliere, alla libertà e alla dignità, con un momento di approfondimento e partecipazione attiva.

Durante l’incontro sarà possibile firmare per la proposta di legge provinciale sul suicidio medicalmente assistito, promossa dal Comitato Trentino Liberi Subito dell’Associazione Luca Coscioni.

Interverrà l’Avv. Fabio Valcanover, da anni impegnato nella difesa dei diritti civili.
Nel corso della serata verrà trasmesso un videomessaggio di Mina Welby, co-presidente dell’Associazione.

È possibile firmare anche in tutti gli uffici comunali del Trentino.
Maggiori informazioni sul sito: associazionelucacoscioni.it/trentino-liberi-subito

Partecipa, informati, firma. Per una legge di civiltà, Liberi fino alla fine.

L'articolo In provincia di Trento, una serata informativa e raccolta firme a sostegno della proposta “Trentino Liberi Subito” proviene da Associazione Luca Coscioni.

“Costretto ad andare in Svizzera”, commenta

Pur rientrando chiaramente nelle condizioni previste dalla Corte costituzionale, una ASL ligure a maggio gli aveva rifiutato l’aiuto alla morte volontaria, da lui chiesto a febbraio. Dopo un’opposizione alla decisione della ASL sono state effettuate nuove visite per rivalutare la sua condizione, ma Fabrizio è ancora in attesa di una risposta e non vuole più aspettare perché la sua sofferenza è insopportabile

“Fabrizio” (nome di fantasia a tutela della privacy) cittadino ligure 79enne, affetto da una patologia neurodegenerativa progressiva, ha ricevuto un diniego da parte della ASL all’accesso al suicidio assistito. Secondo il Servizio sanitario della Regione Liguria, Fabrizio non dipende da alcun trattamento di sostegno vitale, uno dei requisiti poter accedere legalmente alla morte volontaria assistita in Italia, sulla base della sentenza 242/2019 della Corte costituzionale.

Aveva chiesto la verifica delle condizioni a febbraio 2025. Dopo le visite della commissione medica, a maggio era arrivato il diniego. A quel punto, assistito dal team legale dell’Associazione Luca Coscioni, coordinato dall’avvocata Filomena Gallo, Fabrizio ha presentato un’opposizione alla decisione della ASL, chiedendo la rivalutazione del requisito del trattamento di sostegno vitale. Le nuove visite sono state effettuate a luglio, ma Fabrizio aspetta ancora una risposta.

“Fabrizio” però non vuole aspettare altro tempo in condizioni di sofferenza insopportabile e vuole andare in Svizzera per accedere al suicidio assistito. Ha scritto:

“Come dice Pessoa: la vita è un viaggio sperimentale fatto involontariamente. Siccome io non posso più sperimentare nulla, meglio cessare l’esistenza… Per me la vita è solo una sofferenza, bado solo a non soffrire troppo. Non mi piango addosso. Sono determinato ad andare in Svizzera per finire questa vita”.

L’uomo è affetto dalla malattia del motoneurone, una patologia neurodegenerativa progressiva) che lo ha portato a una totale perdita della capacità di parlare e a gravi disturbi motori. Attualmente comunica solo tramite gesti e, a fatica, con un tablet. È totalmente dipendente da assistenza quotidiana continua.

“Il diniego opposto dalla ASL è illegittimo perché non applica la giurisprudenza costituzionale. La Corte, con la sentenza n. 242 del 2019 e con la più recente n. 135 del 2024, ha chiarito che il requisito del trattamento di sostegno vitale comprende anche tutte quelle forme di assistenza senza le quali la persona non potrebbe sopravvivere, incluse quelle garantite quotidianamente da caregiver e familiari.

Negare questa evidenza significa violare i diritti fondamentali di una persona malata che soffre, privandola della possibilità di esercitare ora, mentre è ancora capace di autodeterminarsi, la libertà di scegliere il proprio fine vita. La mancata applicazione corretta delle pronunce della Consulta costringe i malati a ulteriori sofferenze e discriminazioni, obbligandoli ad andare all’estero per veder rispettata la propria scelta e a dilatare il tempo di attesa nella sofferenza, prigionieri di un corpo che non risponde più”, ha dichiarato Filomena Gallo, segretaria nazionale Associazione Luca Coscioni e coordinatrice del collegio legale di “Fabrizio”.

Approfondimento: L’accesso alla morte volontaria assistita in Italia

In assenza di una legge nazionale che regolamenti l’aiuto alla morte volontaria, ovvero l’accesso al suicidio assistito, in Italia questa scelta di fine vita è normata dalla sentenza 242/2019 della Corte costituzionale sul caso Cappato-Antoniani, che ha legalizzato l’accesso alla procedura ma solo a precise condizioni di salute delle persone. La Consulta ha disposto, con una sentenza di incostituzionalità parziale dell’articolo 580 del codice penale, che la persona malata che vuole accedere all’aiuto alla morte volontaria (suicidio assistito) deve essere in possesso di determinati requisiti:

1. deve essere capace di autodeterminarsi,
2. essere affetta da patologia irreversibile,
3. tale patologia deve essere fonte di sofferenze fisiche o psicologiche che la persona reputa intollerabili,
4. essere dipendente da trattamenti di sostegno vitale.

Questi requisiti, insieme alle modalità per procedere, devono essere verificati dal Servizio Sanitario Nazionale con le modalità previste dalla legge 219/2017 sulle DAT agli articoli 1 e 2 (Norme in materia di consenso informato e di disposizioni anticipate di trattamento), previo parere del comitato etico territorialmente competente.

L’azienda sanitaria deve inoltre verificare le modalità di esecuzione le quali dovranno essere evidentemente tali da evitare abusi in danno di persone vulnerabili, da garantire la dignità del paziente e da evitare al medesimo sofferenze.

Ai sensi della recente sentenza costituzionale n.135 del 2024 la Consulta ha anche ampliato la portata del requisito del trattamento di sostegno vitale includendo tutte quelle procedure che, indipendentemente dal loro grado di complessità tecnica e di invasività, sono normalmente compiute da familiari o caregivers.

Ha inoltre affermato che il requisito del “trattamento di sostegno vitale” può dirsi soddisfatto anche quando non sia in esecuzione perché, legittimamente, rifiutato dalla persona malata.

L'articolo Fabrizio, ligure con una malattia neurodegenerativa, vede negarsi dall’ASL l’accesso al suicidio medicalmente assistito nonostante le pronunce della Corte della Consulta proviene da Associazione Luca Coscioni.

There have been plenty of books and movies about how the Manhattan Project brought together scientists and engineers to create the nuclear bomb. Most of them don’t have a lot of technical substance, though. You know — military finds genius, genius recruits other geniuses, bomb! But if you want to hear the story of the engineering, [Brian Potter] tells it all. We mean, like, all of it.

If you’re looking for a quick three-minute read, you’ll want to give this a pass. Save it for a rainy afternoon when you can settle in. Even then, he skips past a lot of what is well known. Instead, he spends quite a bit of time discussing how the project addressed the technical challenges, like separating out U235.

Four methods were considered for that task. Creating sufficient amounts of plutonium was also a problem. Producing a pound of plutonium took 4,000 pounds of uranium. When you had enough material, there was the added problem of getting it together fast enough to explode instead of just having a radioactive fizzle.

There are some fascinating tidbits in the write-up. For example, building what would become the Oak Ridge facility required conductors for electromagnets. Copper, however, was in short supply. It was wartime, after all. So the program borrowed another good conductor, silver, from the Treasury Department. Presumably, they eventually returned it, but [Brian] doesn’t say.

There’s the old story that they weren’t entirely sure they wouldn’t ignite the entire atmosphere but, of course, they didn’t. Not that the nuclear program didn’t have its share of bad luck.

hackaday.com/2025/09/12/everyt…

La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha presentato il documento “CISA Strategic Focus CVE Quality for a Cyber Secure Future”, una visione strategica volta a ridefinire il programma Common Vulnerabilities and Exposures (CVE). L’obiettivo è orientare il sistema verso le reali esigenze della comunità globale della sicurezza informatica, ponendo al centro fiducia, reattività e qualità dei dati.

Il documento segna il passaggio da una fase di crescita quantitativa a un'”era di qualità”, che mira a rafforzare la logica costruttiva e l’evoluzione del sistema di difesa cibernetica. Il progetto CVE, nato come strumento universale di identificazione delle vulnerabilità, ha già raggiunto una vasta espansione, con oltre 460 autorità di numerazione coinvolte e una gestione collaborativa globale che ha migliorato l’efficienza complessiva delle attività.

Con l’avanzare della digitalizzazione e l’aumento delle esigenze di protezione delle infrastrutture critiche, il modello basato esclusivamente sull’espansione si è rivelato insufficiente. Da qui la necessità di una nuova fase, fondata sulla creazione di fiducia, sulla velocità di risposta e sulla qualità dei dati prodotti.

CISA ha ribadito che il progetto CVE è un bene pubblico essenziale e deve rispettare tre principi cardine: neutralità rispetto ai fornitori, collaborazione ampia e trasparenza dei processi. La governance, quindi, non deve favorire interessi particolari, ma garantire un approccio inclusivo e verificabile.

Un altro punto centrale è la gratuità e l’accessibilità del CVE, considerato un pilastro della difesa informatica globale. Su queste basi, CISA ha delineato alcune direttrici strategiche: ampliare la rete di partner internazionali, assicurare un sostegno finanziario stabile e avviare processi di modernizzazione dell’infrastruttura e dei servizi.

Tra le priorità indicate figurano anche il rafforzamento della trasparenza e della comunicazione con la comunità, la sistematica integrazione del feedback nella roadmap progettuale, l’ottimizzazione dell’esperienza utente e l’espansione del supporto API. Centrale, inoltre, l’impegno a migliorare la qualità dei dati attraverso standard minimi condivisi, arricchimento delle informazioni e l’uso di tecnologie avanzate come l’intelligenza artificiale.

Secondo CISA, il passaggio all'”era della qualità” avrà effetti non solo sulla resilienza cibernetica degli Stati Uniti, ma sull’intero scenario internazionale. La costruzione di una base dati più affidabile e di meccanismi di collaborazione rafforzati contribuirà a un sistema globale di difesa informatica più solido ed efficiente.

L'articolo CISA lancia nuovo piano per migliorare qualità CVE e difesa informatica globale proviene da il blog della sicurezza informatica.