La polizia olandese ha fermato due ragazzi di 17 anni sospettati di attività di spionaggio, con possibili collegamenti alla Russia, secondo quanto riportato venerdì dal quotidiano Telegraaf.

Il padre di uno dei giovani ha dichiarato che il figlio sarebbe stato reclutato tramite Telegram da un hacker filo-russo. Ad agosto, il ragazzo si sarebbe recato davanti agli uffici di Europol, Eurojust e all’ambasciata canadese all’Aia trasportando un cosiddetto “wifi sniffer”, uno strumento in grado di individuare reti wireless vicine e intercettarne i dati.

Il pubblico ministero non ha fornito commenti ufficiali sul caso, citando la giovane età dei sospettati. È stato tuttavia confermato che uno dei due resterà in custodia per ulteriori due settimane, mentre l’altro è stato posto agli arresti domiciliari con obbligo di braccialetto elettronico.

Secondo il genitore del principale sospettato, lunedì pomeriggio otto uomini con passamontagna hanno fatto irruzione nella loro abitazione con un mandato di perquisizione. Gli agenti hanno raggiunto direttamente la stanza dove il ragazzo stava facendo i compiti, portandolo via senza ulteriori spiegazioni, limitandosi a parlare di “spionaggio” e “servizi a un paese straniero”.

Il padre ha descritto il figlio come una persona riservata, appassionata di videogiochi e con ottime competenze informatiche, che lavora part-time in un supermercato e non manifesta interesse per esperienze all’esterno. Gli arresti sono stati effettuati a seguito di informazioni fornite dai servizi di intelligence olandesi (AIVD).

Sebbene casi simili non siano mai stati resi pubblici nei Paesi Bassi, in Germania il governo ha già avviato campagne di sensibilizzazione rivolte ai giovani per prevenire il loro coinvolgimento in attività di spionaggio come “agenti usa e getta”.

L'articolo Arrestati due ragazzi olandesi sospettati di spionaggio con legami alla Russia proviene da il blog della sicurezza informatica.

Although ham radio offers a wide array of bands to transmit on, not to mention plenty of modes to communicate with, not everyone wants or needs to use all of this capability. For those needing simple two-way communication services like FRS or GMRS are available (in North America) with much less stringent licensing requirements, and GMRS even allows repeaters to be used to extend their range beyond the typical mile or so. [Dave] aka [N8DAV] has built an off-grid simplex repeater that can travel around with him wherever he goes.

The repeater itself is based on a pre-built simplex repeater module, which means that it has to record an incoming signal and then play it back on the same frequency. Compared to a split frequency repeater which uses different frequencies for transmit and receive this can be a bit cumbersome but simplifies the design and the use. A Baofeng UV-5R is used to perform the actual radio duties paired to a 40 watt amplifier to extend the range as much as possible. It’s all packed into a Pelican-like case and set up with a large battery that could power it for a number of days, making it useful for camping, rescue, or other off-grid activities.

For those wondering why [Dave] is using his ham call sign instead of his GMRS one, all of the equipment in this build will work in either the UHF ham bands or the channels reserved for GMRS with minor adjustments, so it’s perfectly possible to use the setup for one’s preferred license. And, for those in other parts of the world without GMRS there’s a similar class of radio called UHF CB which might be able to support similar builds, but be sure to check your local jurisdiction’s laws before hooking something like this up. For an even longer-range radio repeater using similar equipment we’d recommend looking to the skies.

youtube.com/embed/_S3fQOkPa9s?…

Thanks to [Red] for the tip!

hackaday.com/2025/09/26/a-ham-…

Gli specialisti informatici dell’intelligence di difesa dell’Ucraina hanno portato a termine con successo un attacco che ha paralizzato il sistema di pagamento nazionale russo SBP. Fonti della DIU hanno condiviso la notizia con Militarnyi. Secondo loro, l’attacco era mirato alle infrastrutture utilizzate per finanziare le organizzazioni che sostengono l’aggressione contro l’Ucraina.

A seguito di un attacco DDOS su larga scala al sistema SBP e al provider TransTeleCom, un numero significativo di russi ha perso la possibilità di effettuare trasferimenti istantanei e pagare gli acquisti online. Gli abitanti di Ekaterinburg si sono lamentati in massa sui social media per le interruzioni del servizio, poiché le persone non erano in grado di pagare i mezzi di trasporto o di fare rifornimento alle stazioni di servizio.

L’attacco informatico ha causato anche interruzioni nell’accesso a Internet e alla televisione interattiva. Centinaia di migliaia di abbonati di provider locali in diverse regioni della Federazione Russa sono rimasti senza comunicazione. Secondo l’intelligence ucraina, le conseguenze dell’attacco hanno avuto un impatto significativo sull’economia russa.

“Le perdite economiche stimate a seguito dell’attacco DDOS al sistema di pagamento SBP ammontano fino a 30 milioni di dollari”, ha sottolineato la DIU.

Sui social network di Ekaterinburg sono comparse numerose lamentele riguardo all’impossibilità di pagare online i trasporti pubblici o i pagamenti alle stazioni di servizio.

L'articolo Un attacco informatico ucraino paralizza il sistema di pagamento russo SBP proviene da il blog della sicurezza informatica.

Zorin OS ha rilasciato una versione beta della sua nuova release, Zorin OS 18. Attualmente, è disponibile solo l’edizione Core basata su GNOME, senza la libreria proprietaria. Secondo Artem Zorin, una versione Lite leggera basata su Xfce arriverà in seguito, dopo la versione stabile.

Il sistema è basato su Ubuntu 24.04 Noble Numbat, rilasciato quasi un anno e mezzo fa. Tuttavia, gli sviluppatori aderiscono al principio del “release when it’s ready“, anziché basarsi su un calendario. La versione precedente, la 17.3, rimane attuale e stabile, sebbene alcuni utenti siano stati costretti a effettuare il downgrade da Noble a Jammy a causa di problemi con le schede grafiche Nvidia.

L’interfaccia di Zorin OS 18 è basata su GNOME 46, ma è stata significativamente riprogettata con estensioni, tra cui Dash-to-panel sponsorizzata dall’azienda. La barra delle applicazioni ora presenta angoli arrotondati e un layout fluttuante nella parte inferiore dello schermo, che ricorda KDE Plasma 5.25.

Per la gestione delle finestre, Zorin ha implementato l’ estensione Tiling Shell, simile a Snap Assist di Windows 11: quando si trascina una finestra, appare un assistente con diversi layout predefiniti e miniature delle finestre adiacenti.

Gli sviluppatori hanno spostato il nuovo Indicatore di Attività sulla barra delle applicazioni per semplificare l’utilizzo dei desktop virtuali. Inoltre, lo strumento Zorin Appearance verrà aggiornato, consentendo di passare da uno stile di interfaccia all’altro, dalle vecchie versioni di Windows e macOS al classico GNOME. L’edizione Pro aggiungerà ulteriori opzioni, tra cui emulazioni di Linux Mint Cinnamon ed Elementary OS, oltre a una nuova modalità “compatta”.

Altri miglioramenti includono prestazioni migliorate grazie ai driver aggiornati, ricerca full-text nel file manager, supporto migliorato per touchscreen e desktop remoti, latenza audio inferiore grazie a PipeWire e funzionalità di menu corrette sui sistemi multi-monitor.

Zorin OS 18 amplia il supporto per le web app, basandosi sull’eredità di Linux Mint 20.1 e sul consolidato concetto di Progressive Web App. Ora vengono visualizzate come app autonome, senza barra degli indirizzi o pulsanti del browser. Questa funzionalità non è limitata a Brave o Chrome: Firefox 143 include già il supporto.

Per i nuovi utenti che provengono da Windows, il sistema suggerirà automaticamente delle alternative quando si tenta di installare file .exe. Oltre alle applicazioni native, Zorin offre anche versioni web di servizi, come le versioni online gratuite di Microsoft Office.

Molti dei miglioramenti in Zorin OS 18 sono ereditati da Ubuntu 24.04, ma una parte significativa delle modifiche all’interfaccia e agli strumenti utente sono state sviluppate dallo stesso team di Zorin.

Zorin OS 18 arriverà presto e, sebbene i cambiamenti non siano esattamente rivoluzionari, riflettono la maturità di Linux: lo sviluppo si sta orientando verso la praticità e il miglioramento dell’esperienza utente, piuttosto che verso un’innovazione radicale.

L'articolo Zorin OS 18: la nuova versione beta è ora disponibile proviene da il blog della sicurezza informatica.

When Raspberry Pi released the Pi 500, as essentially an RPi 5 integrated into a chiclet keyboard, there were rumors based on the empty spots on the PCB that a better version would be released soon. This turned out to be the case, with [Jeff Geerling] now taking the new RPi 500+ to bits for some experimentation and keyboard modding.

The 500’s case was not designed to be opened, but if you did, you’d find that there was space allocated for a Power-Over-Ethernet section as well as an M.2 slot, albeit with all of the footprints unpopulated. Some hacking later and enterprising folk found that soldering the appropriate parts on the PCB does in fact enable a working M.2 slot. What the 500+ thus does is basically do that soldering work for you, while sadly not offering a PoE feature yet without some DIY soldering.

Perhaps the most obvious change is the keyboard, which now uses short-travel mechanical switches – with RGB – inside an enclosure that is now fortunately easy to open, as you may want to put in a different NVMe drive at some point. Or, if you’re someone like [Jeff] you want to use this slot to install an M.2 to Oculink adapter for some external GPU action.

After some struggling with eGPU devices an AMD RX 7900 XT was put into action, with the AMD GPU drivers posing no challenge after a kernel recompile. Other than the Oculink cable preventing the case from closing and also losing the M.2 NVMe SSD option, it was a pretty useful mod to get some real gaming and LLM action going.

With the additions of a presoldered M.2 slot and a nicer keyboard, as well as 16 GB RAM, you have to decide whether the $200 asking price is worth it over the $90 RPi 500. In the case of [Jeff] his kids will have to make do with the RPi 500 for the foreseeable future, and the RPi 400 still finds regular use around his studio.

youtube.com/embed/Dv3RRAx7G6E?…

hackaday.com/2025/09/25/the-ne…

L’utilizzo di ChatGPT è aumentato vertiginosamente con l’inizio del nuovo anno scolastico in Occidente, con la generazione di token che ha raggiunto livelli record. Secondo OpenRouter , il popolare chatbot OpenAI ha elaborato 78,3 miliardi di token il 18 settembre, il livello più alto dal calo estivo.

A giugno 2025, quando la maggior parte delle scuole era in vacanza, l’utilizzo medio giornaliero è sceso a 36,7 miliardi di token. A titolo di confronto, a maggio 2025, tra esami e finali, la media era vicina agli 80 miliardi al giorno.

Le statistiche di OpenRouter, che monitorano l’attività di 2,5 milioni di utenti, mostrano come i modelli cambino radicalmente a seconda del calendario accademico. Sebbene i dati riflettano una sola piattaforma, vengono utilizzati attivamente da ricercatori e investitori per analizzare le dinamiche di adozione degli LLM.

Come sottolinea Futurism, studi, tra cui uno della Rutgers University, hanno già confermato una forte correlazione tra la popolarità di ChatGPT e il processo educativo. Questo è facilmente osservabile osservando la grafica interattiva di OpenRouter .

L’attività diminuisce costantemente durante le vacanze primaverili ed estive, mentre aumenta con l’inizio delle lezioni. Pertanto, gli studenti costituiscono una parte significativa del pubblico di ChatGPT.

Tra i modelli monitorati da OpenRouter, ChatGPT 4.1 Mini è in testa, con 26,9 miliardi di token minati il 18 settembre. Il nuovo GPT-5 ha visto 18,7 miliardi di token minati lo stesso giorno. Anche altre versioni, come GPT-4o Mini e GPT-5 Mini, hanno dato un contributo significativo.

Questi dati confermano che gli strumenti di intelligenza artificiale sono sempre più utilizzati negli istituti scolastici. Gli studenti utilizzano il chatbot OpenAI per scrivere, cercare informazioni e supportare l’apprendimento. Non si tratta solo dei rischi associati all’imbroglio. Molti educatori ritengono utile insegnare agli studenti come interagire con tali sistemi e utilizzarli in modo responsabile.

Come ogni nuova tecnologia, l’intelligenza artificiale si sta rapidamente integrando nella vita quotidiana dei giovani. La discussione è già andata oltre la questione se ChatGPT debba essere utilizzato o meno. La questione chiave ora è come integrarlo correttamente nel processo educativo, in modo che l’intelligenza artificiale completi l’apprendimento anziché sostituirlo.

L'articolo Altro che cervello e quaderni! ChatGPT domina i banchi di scuola proviene da il blog della sicurezza informatica.

Gli esperti della Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti hanno segnalato un grave incidente: degli hacker sono riusciti ad accedere alla rete di un’agenzia federale civile sfruttando una vulnerabilità critica nel software del server GeoServer. Il problema ha interessato una versione non patchata della piattaforma, consentendo agli aggressori di eseguire codice da remoto e successivamente infiltrarsi nel sistema.

La vulnerabilità critica, denominata CVE-2024-36401, è stata ufficialmente risolta il 18 giugno 2024, ma molti server erano ancora privi di patch. Circa un mese dopo, la CISA l’ha aggiunta al suo registro pubblico delle vulnerabilità attivamente sfruttate. Il motivo è stato il rilascio pubblico di exploit dimostrativi pubblicati da diversi ricercatori, che dimostravano come la vulnerabilità consenta l’esecuzione di codice arbitrario su macchine non protette.

Come dettagliato nella pubblicazione CISA, già il 9 luglio 2024 il servizio Shadowserver ha rilevato un’ondata di attacchi correlati a questa vulnerabilità. Secondo la piattaforma OSINT di ZoomEye, sulla rete erano presenti oltre 16.000 server GeoServer accessibili dall’esterno.

È stato attraverso uno di questi server che gli aggressori sono penetrati nel sistema IT di un’agenzia statunitense non identificata. Appena due giorni dopo l’inizio degli attacchi, il primo server è stato hackerato, seguito da un secondo un paio di settimane dopo.

Il passo successivo è stato hackerare il server web interno e il database SQL. Il rapporto del CISA afferma che gli hacker hanno caricato web shell, tra cui China Chopper, e script specializzati sui computer per il controllo remoto, il furto di dati, l’escalation dei privilegi e l’esecuzione di comandi.

Dopo aver penetrato l’infrastruttura, gli aggressori sono passati a una fase di raccolta dati attiva, utilizzando, come osserva CISA, il cracking brute-force delle password (Tattica T1110) e dirottando gli account di servizio attraverso componenti vulnerabili. Per tutto questo periodo, circa tre settimane, l’attività dannosa è rimasta inosservata.

L’allerta è arrivata solo il 31 luglio 2024, quando lo strumento di rilevamento degli endpoint (EDR) integrato ha identificato un file sospetto sul server SQL e ha inviato un segnale al Security Operations Center (SOC). Da quel momento in poi, l’agenzia, con l’assistenza del CISA, ha avviato un’indagine interna e ha messo in quarantena i sistemi interessati.

Pochi giorni dopo l’incidente iniziale, la CISA ha emesso un avviso separato per le infrastrutture critiche degli Stati Uniti, sottolineando l’importanza di una scansione proattiva delle vulnerabilità.

Sebbene non siano stati rilevati segnali di violazione, l’audit ha evidenziato un’ampia gamma di rischi: archiviazione non sicura delle password, credenziali duplicate per gli amministratori locali, accesso remoto aperto, segmentazione di rete configurata in modo errato e registrazione degli eventi inadeguata.

L'articolo Un’agenzia USA hackerata per una patch non risolta. CISA: fate i Vulnerability Assessment! proviene da il blog della sicurezza informatica.

L’aeroporto di Berlino (BER) resta in “modalità di emergenza” il quinto giorno dopo il grave attacco informatico alla supply chain. Ne parla lo Spiegel in un aggiornamento di ieri.

Il fornitore di servizi IT Collins Aerospace, una filiale della società statunitense RTX, è stato vittima di un attacco informatico venerdì della scorsa settimana. L’attacco hacker ha paralizzato i sistemi elettronici utilizzati per la gestione dei passeggeri e dei bagagli.

Secondo un portavoce dell’aeroporto, il BER è ancora in “modalità di emergenza” diversi giorni dopo l’attacco informatico al suo sistema informatico. Il sistema di gestione passeggeri e bagagli, paralizzato, rimane inattivo.

Ha sottolineato che giovedì 25 settembre si sono nuovamente registrati diversi ritardi e sono stati cancellati tre voli. Mercoledì, invece, sono stati cancellati 12 voli. I vigili del fuoco e il personale di terra continuano a fornire assistenza per lo smistamento dei bagagli.

Come abbiamo riportato su queste pagine, un massiccio attacco informatico ha scosso diversi aeroporti europei sabato 20 settembre. La mattina del 22 settembre, l’aeroporto di Bruxelles ha chiesto alle compagnie aeree di cancellare metà delle partenze programmate per quel giorno.

Non è ancora stato reso noto chi è la cyber gang dietro l’attacco informatico al gestore dei check-in. Lo stesso giorno in cui gli aeroporti sono stati colpiti da un attacco informatico, l’aeroporto di Dublino è stato evacuato a causa di quella che sembrava una falsa minaccia di bomba.

L’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) ha successivamente affermato che i disagi negli aeroporti che hanno interessato i sistemi di check-in automatico nei giorni scorsi sono stati causati da un attacco ransomware.

L'articolo Attacco ransomware agli aeroporti europei: Berlino ancora in “modalità di emergenza” proviene da il blog della sicurezza informatica.

Commodore Corporation BV è stata recentemente acquisita da fan ed ex dipendenti. Ora, il nuovo marchio Commodore ha annunciato un traguardo significativo: il primo computer Commodore 64 Ultimate in 30 anni ha superato le 10.000 unità vendute.

L’account X ufficiale dell’azienda ha pubblicato i dati di vendita e ringraziato la community per il supporto. Come mostra il grafico pubblicato, le vendite sono iniziate in modo molto attivo il 12 luglio di quest’anno.

Da agosto, il trend è stato più uniforme, ma stabile. La cronologia mostra anche le date di uscita della trilogia video “Let’s Buy Commodore”, che ha ottenuto centinaia di migliaia di visualizzazioni (un episodio ha superato le 400.000 visualizzazioni). Il management dell’azienda ha monitorato attentamente l’impatto della campagna video sulle vendite.
Volumi di vendita Commodore 64 Ultimate / Commodore in X
Nella prima settimana dopo il lancio del nuovo prodotto, Commodore raccolse oltre 2 milioni di dollari. Ciò coincise con la pubblicazione del video “Making History: Signing the Commodore Contract + C64 Ultimate Production Update”, che vide un ulteriore incremento delle vendite. Fu allora che molti si resero conto che l’azienda era davvero in via di guarigione.

Subito dopo il traguardo delle 10.000 unità vendute, Commodore ha ricordato a tutti che c’è ancora tempo per preordinare il primo lotto tramite commodore.net ed essere tra i primi acquirenti quest’anno.

Il Commodore 64 Ultimate, basato su una piattaforma FPGA e dotato della “prima scheda madre con tastiera trasparente al mondo”, ha un prezzo di partenza di 299 dollari. È stato anche precisato che la Founders Edition sarà un’edizione unica.

Non è ancora stato annunciato un sostituto per chi se l’è perso, ma è previsto un modello simile.

youtube.com/embed/S2fGP59mJ5M?…

Anche se non avete intenzione di immergervi in una versione moderna dell’iconico C64, questa notizia merita di essere accolta positivamente. Commodore si sta posizionando come Founder’s Sandbox, una piattaforma per nuovi progetti informatici. La roadmap dell’azienda prevede fino a 12 importanti release nei prossimi quattro anni, il che ha già incuriosito la comunità degli appassionati di tecnologia retrò e moderna.

Le vendite del Commodore 64 Ultimate hanno superato le 10.000 unità, dimostrando che l’interesse per i computer retrò rimane forte e che il marchio rilanciato è in grado non solo di attingere alla nostalgia, ma anche di diventare una forza trainante per nuovi progetti tecnologici.

Il Commodore 64 originale (noto anche come C64) fu lanciato nel gennaio 1982 e divenne rapidamente il computer domestico più popolare dell’epoca. Il computer era dotato di un processore MOS Technology 6510/8500 a 8 bit con frequenza di 1,023 MHz nella versione NTSC e 0,985 MHz nella versione PAL.

Oltre a 64 KB di RAM, erano disponibili 20 KB di memoria di sola lettura, incluso un interprete BASIC. Inoltre, il dispositivo offriva supporto hardware per grafica a colori e audio. Il chip grafico VIC-II supportava una risoluzione di 320×200 pixel, 16 colori e sprite hardware. Il tutto era completato da interfacce per joystick, porte video/audio, uno slot per cartucce ROM e una porta seriale IEEE-488 (per unità disco o stampanti).

L'articolo Commodore 64: Dal mito degli anni ’80 al 2025! Vendute 10.000 nuove console proviene da il blog della sicurezza informatica.

If you’re mounting solar panels, everybody knows the drill, right? Point them south, angled according to latitude. It’s easy. In a video which demonstrates that [Everyday Dave] is truly out standing in his field, we hear a different story. [Dave] has a year’s worth of data in his Solar Panel Showdown that suggests there are good reasons to mount your panels vertically.

Specifically, [Dave] is using bifacial solar panels– panels that have cells on both sides. In his preferred orientation, one side faces South, while the other faces North. [Dave] is in the Northern Hemisphere, so those of you Down Under would have to do the opposite, pointing one face North and the other South.

Since [Dave] is far from the equator, the N/S vertical orientation beats the pants off of East-West facing panels, especially in winter. What’s interesting is how much better the bifacial panels do compared to the “standard” tilted orientation. While peak power in the summer is much better with the tilted bifacial panels (indeed, even the tilted single-sided panels), in winter the vertical N/S panels blow them out of the water. (Especially when snow gets involved. Vertical panels don’t need sweeping!)

Even in the summer, though, there are advantages: the N/S panels may produce less power overall, but they give a trickle earlier and later in the day than the tilted orientation. Still, that extra peak power really shows, and over a six-month period from solstice-to-solstice, the vertical panels only produced 77% what the tilted bifacial panels did (while tilted single-sided panels produced 90%).

Is it worth it? That depends on your use case. If most of the power is going to A/C, you’ll need the extra in the warmer months. In that case, you want to tilt the panels. If you have a steady, predictable load, though, having even production winter/summer might be more to your liking– in that case you can join [Dave] in sticking solar panels straight up and down.

These results probably apply at latitudes similar to [Dave] who is in cloudy and snowy Ohio, which is perhaps not the ideal place for solar experimentation. If you’re not an Ohio-like distance from the equator, you might find an East-West array is the best bang for the buck. Of course if you really want to max out power from each individual cell, you can’t beat sun tracking regardless of where you are.

youtube.com/embed/I-Fz5T5c0OQ?…

hackaday.com/2025/09/25/vertic…

The Pentagon faced bipartisan backlash for its ridiculous policy requiring journalists to agree not to obtain or report “unauthorized” information. Now, in a response to an inquiry from the Reporters Committee for Freedom of the Press, officials are trying to walk it back.

They claim the rules were intended to restrict Pentagon staffers from giving unauthorized information to journalists, not to restrict journalists from printing “unsolicited” tips they’re given. We’re not buying it. We commend RCFP for getting the Pentagon to elaborate on the policy — but, despite lots of legalese and doublespeak, its clarifications are mostly meaningless.

As an initial matter, a policy solely aimed at government employees would not need to be distributed to or acknowledged by journalists. To the extent that the government is permitted to keep information secret, the Supreme Court says that’s the government’s responsibility — officials aren’t entitled to shift the burden to reporters to keep their secrets for them. Even crediting the Pentagon’s explanation, the memo was clearly intended to do exactly that. It sends a message to the press, and that message is “tread carefully.”

Nor can the government restrict the press to publishing unsolicited tips. News doesn’t fall from the sky into reporters’ laps. Reporters are entitled to ask questions, cultivate sources, and seek out news (otherwise known as reporting), as long as they don’t break the law in doing so. That’s the job description — they’re journalists, not stenographers.

Journalists should not agree to this ridiculous policy in exchange for … what, exactly? The honor of being lied to at news conferences?

The Pentagon’s position seems to draw from the Supreme Court case Bartnicki v. Vopper, which held that journalists can obtain information given to them by sources that obtained it illegally as long as the journalists didn’t themselves participate in the illegality. By soliciting information from sources, the Pentagon’s reasoning apparently goes, journalists participate in the sources’ violations of Pentagon policy.

But nothing in Bartnicki limits constitutional protection to unsolicited information — the only exception it acknowledges is when journalists participate in a source’s illegal acts (in that case, an unlawful wiretap). There is no analogous underlying illegality here.

The whole purpose of the First Amendment is so that the government can’t stop journalists from publishing what the government does not want published. We wouldn’t need a constitutional right to publish what the government authorizes to be released — the government would have no reason to try to prevent that.

That’s the fundamental point that seems entirely lost on this administration. The press exists to hold it accountable, not to keep its secrets or do its bidding.

The other point Pentagon officials are missing – as their response to RCFP makes clear — is that they’re not entitled to scream “national security” like magic words when they want the First Amendment to disappear. The response, disturbingly, reserves the right for the administration to unilaterally deem reporting a national security danger after the fact and punish reporters for it.

But as the Pentagon Papers case made extremely clear, that’s not how it works: “The word ‘security’ is a broad, vague generality whose contours should not be invoked to abrogate the fundamental law embodied in the First Amendment.” And that was a case involving a specific set of documents alleged to pose a threat — not a vague reservation of rights to declare hypothetical documents a threat.

And this administration is guaranteed not to invoke “national security” responsibly. It has claimed the right to deport journalists, activists, and op-ed writers who disagree with, or merely report or comment on its policies. The president has said that when officials want a journalist to give up sources, they can just “tell the reporter, ‘National security’.”

The Trump administration considers anything that threatens to harm its reputation or expose its lies a threat to national security. It considers the First Amendment and free press themselves threats to national security.

The Pentagon is essentially shifting its position from, “You can’t report anything we didn’t authorize you to report” to “You can’t report anything we didn’t authorize you to report unless we decide after the fact in our sole discretion that it’s OK.” That should not provide much comfort to journalists. They certainly should not agree to this ridiculous policy in exchange for … what, exactly? The honor of being lied to at news conferences?

freedom.press/issues/despite-w…

The wheels on roller suitcases are one of their primary failure points. After the destruction of the wheel mount on her DIY suitcase, [Laura Kampf] wondered if it would be better to dispense with wheels altogether.

To give her suitcase a lift, [Kampf] decided to turn it into a hovercraft so it couldn’t be stopped by pavement or puddles. The first task was finding an appropriate fan, and a compact leaf blower donated it’s body to makerdom for the project. After reducing the blower to it’s constituent components and finding a secret turbo switch, work began on the momentum curtain.

“Nose-holing” the arrangement and size of the holes to pipe air through the stapled tarp and tape skirt seemed to be the bulk of the trial-and-error in this one. Based on other hovercraft designs [Kampf] found, keeping the holes near the center of the inflated portion gave better lift. In the end, the carry-on is able to lift a decent amount even on its lowest setting, resulting in a suitcase that is “not embarrassing” for travel. No word yet on what TSA thinks.

If you’re looking for another unexpected lift off, how about a full-sized flying Delorean replica? We’ve also covered some of the reasons why we don’t see more of these all terrain wonders.

youtube.com/embed/dbtdgSodOpw?…

hackaday.com/2025/09/25/hoverc…

We aren’t sure what [theglassman] is working on, but based on his recent projects, we think it is probably something interesting. He’s been decapping ICs, growing oxide on silicon substrates, and has built a tube furnace capable of reaching 1200 °C.

What would you do with something that can melt cast iron? We aren’t sure, but maybe you’ll tell us in the comments. We do have a fair idea of what [theglassman] is doing, though.

The core of the oven is a quartz tube. Insulation is via refractory cement and alumina ceramic wool. The heating itself is classic Nichrome wire and a tiny thermocouple. The real key, though, is to the proper controller. [theglassman] suggests a ramp/soak controller. These allow you to program sequences that heat up and then stop, which, if done properly, can prevent your fragile quartz tube from cracking.

Naturally, you need the tube furnace to grow oxides on silicon. It is less clear why he’s decapping ICs. We were nervous about his process of boiling down sulfuric acid (fuming nitrate works better, anyway, if you just want to remove the epoxy). If you want to remove everything like he does, sodium hydroxide will also work well.

Obviously, we need to keep an eye on [theglassman]. We are curious what he’s working towards. Maybe making a custom transistor? Or, dare we hope, a homemade IC?

hackaday.com/2025/09/25/tube-f…

Cisco ha reso note due vulnerabilità critiche che interessano i propri firewall Secure Firewall Adaptive Security Appliance (ASA) e Secure Firewall Threat Defense (FTD), oltre ad altri prodotti di rete. Entrambe le falle consentono l’esecuzione di codice arbitrario e potrebbero portare al completo compromesso dei dispositivi coinvolti.

CVE-2025-20363 (Score 9,0)

La prima vulnerabilità, identificata come CVE-2025-20363 e con punteggio CVSS 9.0 (critico), riguarda i servizi web di:

• Cisco Secure Firewall ASA Software
• Cisco Secure Firewall FTD Software
• Cisco IOS Software
• Cisco IOS XE Software
• Cisco IOS XR Software

Nel caso dei firewall ASA e FTD, la falla può essere sfruttata da un attaccante remoto non autenticato. Per le piattaforme IOS, IOS XE e IOS XR è invece necessario disporre di credenziali a basso livello di privilegio.

L’origine del problema risiede nella gestione non corretta degli input nelle richieste HTTP. Un aggressore può inviare pacchetti manipolati verso i servizi web esposti da un dispositivo vulnerabile, ottenendo la possibilità di eseguire codice arbitrario con privilegi root. Una compromissione di questo tipo può determinare il controllo totale del sistema.

CVE-2025-20333 (Score 9,9)

La seconda falla, già entrata all’interno del catalogo del CISA KEV, catalogata come CVE-2025-20333, ha un punteggio ancora più elevato: CVSS 9.9 (critico). Colpisce esclusivamente i firewall ASA e FTD quando è attivo il server VPN web.

Il difetto, anche in questo caso dovuto alla mancata validazione degli input in richieste HTTP(S), può essere sfruttato da un attaccante remoto in possesso di credenziali VPN valide. L’esito di un attacco riuscito è identico al precedente: esecuzione di codice arbitrario come utente root e potenziale compromissione completa del dispositivo.

Advisory Cisco e raccomandazioni

Cisco ha pubblicato due security advisory ufficiale relativo alla vulnerabilità CVE-2025-20333 e per la CVE-2025-20363. Il Cisco Product Security Incident Response Team (PSIRT) ha segnalato di essere già a conoscenza di tentativi di sfruttamento attivo della vulnerabilità legata al server VPN. Per questo motivo, l’azienda ribadisce l’urgenza di applicare gli aggiornamenti.

La vulnerabilità è stata individuata durante la risoluzione di un caso di supporto tecnico Cisco TAC, con il contributo di diverse agenzie di sicurezza, tra cui:

• Australian Signals Directorate – Australian Cyber Security Centre
• Canadian Centre for Cyber Security
• UK National Cyber Security Centre (NCSC)
• U.S. Cybersecurity & Infrastructure Security Agency (CISA)

Per verificare se un determinato dispositivo è vulnerabile, Cisco mette a disposizione il Cisco Software Checker, che consente di:

• Identificare gli advisory che interessano una specifica release.
• Individuare la prima versione software che corregge il problema.
• Determinare la release che risolve tutte le vulnerabilità note.

Conclusioni

Le vulnerabilità CVE-2025-20363 e CVE-2025-20333 rappresentano rischi significativi per l’infrastruttura di rete aziendale. La possibilità di eseguire codice arbitrario come root rende i dispositivi interessati particolarmente esposti a compromissioni complete.

Cisco invita pertanto i clienti ad aggiornare senza ritardi i firewall ASA e FTD, seguendo le indicazioni riportate nell’advisory ufficiale disponibile al link:

L'articolo Due bug critici in Cisco ASA e FTD: score 9.9 e rischio esecuzione di codice remoto proviene da il blog della sicurezza informatica.

Perpetual motion devices are either a gag, a scam, or as in the case of this particular toy that [Big Clive] bought on AliExpress, a rather fascinating demonstration of a contact-free inductive sensor combined with a pulsed magnet boost for the metal ball. A cool part about the device is that it comes with a completely clear enclosure, so you can admire its internals while it’s operating. Less cool was that after unboxing the device wasn’t working as the detector wasn’t getting the 12 V it needs to operate, requiring a bit of repairing first.
The crucial part of the perpetual motion device schematic with the sensor, MCU and coil. (Credit: bigclivedotcom, YouTube)
Based on the label on the bottom of the device with the creative model identifier P-toy-002, its standby current is 10 µA which ramps up to 3 A when it’s operating. This makes sense when you look at the two core components: the industrial inductive detector, and a rather big electromagnet that’s driven by a bank of three 10 mF, 35V capacitors, turning it into something akin to a coilgun. Annoyingly, an attempt was made to erase most of the IC package markings.

The circuitry isn’t too complex, fortunately, with an adjustable electromagnet coil voltage circuit combined with a MOSFET to provide the pulse, and a 78L12 regulator to generate the 12 VDC from the coil’s voltage rail for the sensor that is monitored by a MCU.

youtube.com/embed/0mpxdDQHYDQ?…

hackaday.com/2025/09/25/surpri…

Once upon a time, home computers were low-powered enough that they barely needed any cooling at all. An Amiga 500 didn’t even have a heatsink on the CPU, while the early Macintosh got by with a single teeny little fan.

Modern smartphones are far more powerful than these ancient machines, packed with multi-core processors running at speeds of many gigahertz. Even still, they’ve generally been able to get by without any active cooling devices. However, as manufacturers continue to push the envelope of performance, they’ve had to scramble for ways to suck heat out of these handheld computers. Vapor chamber cooling has risen as a solution to this problem, using simple physics to keep your handset humming along at maximum speed for longer.

Cool Runnings

Keeping a smartphone cool is a unique challenge compared to other computing devices. In a desktop or laptop computer, designers can rely on fans, heatsinks, and even water cooling loops with radiators to get heat out of a device. However, for a phone, these methods aren’t so practical. Any air vents would be quickly blocked by pocket lint, and even the slimmest fan or heatsink would add a huge amount of bulk, which is unacceptable for a handheld device.
Samsung has been using vapor chambers in phones for almost a decade, relying on them to keep thermal throttling to a minimum. Credit: Samsung
Thus far, smartphones have largely avoided heating issues in two ways. Firstly, by using low-power chipsets that simply don’t generate a lot of heat in the first place. Secondly, by thermally coupling the main chips to metal heat spreaders and sometimes the smartphone’s external housing, to effectively create a simple heatsink. However, smartphones continue to grow more powerful, generating more heat during demanding tasks like recording high-resolution video. Thus, engineers have had to find new ways to dump greater amounts of heat without compromising the aesthetics and usability of their devices.

Enter vapor chamber cooling. Picture a sealed metal cavity built into a smartphone, inside which is a small amount of water-based coolant. The phone’s chipset is thermally coupled to the cavity, such that the heat is absorbed by the coolant inside. Thanks to the physical properties of water, notably its huge specific heat value, it’s able to absorb a great deal of heat energy, particularly as it passes through the phase-change regime as the fluid turns from a liquid into a gas. As it heats up and vaporizes, the coolant spreads to fill the entire cavity, spreading the heat into the whole thermal mass of the casing where it can be released into the surroundings. As heat is released, the vapor cools back into a liquid, and the cycle can begin again. The idea is exactly the same as is used in heat pipes—where a liquid is heated beyond its phase change point into a vapor, and used to spread heat to other areas of a sealed cavity.
A visual demonstration of a vapor chamber at work. The fluid is heated until it evaporates, and then spreads around the cavity. Credit: Apple
The vapor chamber has benefits over traditional metal heatsinks. The liquid coolant is very effective at evaporating and spreading heat around the entire chamber, wicking heat away from hot chips more quickly. Traditional heatsinks can end up with a hotspot over individual chips, whereas the vapor chamber is more effective at distributing the heat over a wider area.

The intention behind this is to allow phones to run at maximum performance for longer. Whether you’re shooting video or playing a game, it’s no good if your phone has to start throttling clock rates to stay cool in the middle of a task. The vapor chamber simply helps engineers suck more heat out of a phone’s chipset and get rid of it faster.
Google has recently seen fit to include vapor chambers in various models of the Pixel 9 series, aiming to keep phones running at maximum performance for longer. Credit: Google
One drawback is that vapor chambers are obviously far more complex to manufacture than traditional heatsinks. Rather than a flat metal heat spreader, you have a delicate chamber into which coolant must be injected, and then the chamber must be sealed. The coolant must be able to soak up a great deal of heat, as well as safely deal with many cycles of vaporization and condensation, without causing any corrosion or damage to the chamber in the process. The entire vapor chamber must be able to survive the rough-and-tumble life of a handheld device that’s stuffed into pockets and thrown into bags every day of its life.

Vapor chambers have been around for a while now, first showing up in the Galaxy S7 in 2016. They’ve gradually become more popular, though, and these days, you’ll find a vapor chamber in phones like the Google Pixel 9 Pro, the Samsung Galaxy S25+, and the Apple iPhone 17 Pro and Pro Max. They’re still largely the preserve of flagship devices, perhaps as much due to their high-tech appeal and higher cost than traditional cooling solutions. Still, as the smartphone arms race continues, and these parts become more common, expect the technology to trickle down to more humble models in the years to come.

hackaday.com/2025/09/25/how-wa…

FOR IMMEDIATE RELEASE:

The Washington Post reported today that officials plan to require Pentagon reporters to pledge not to gather or report any information that the government has not authorized for release, whether classified or unclassified. Violators risk having their press credentials revoked.

Freedom of the Press Foundation (FPF) Director of Advocacy Seth Stern issued the following statement:

“The Supreme Court has made clear for decades that journalists are entitled to lawfully obtain and publish government secrets. That is essentially the job description of an investigative journalist. The law is also clear that the government can’t require people to contract away a constitutional right, like the right to obtain and publish secrets, in exchange for a benefit, like access to government buildings or press credentials.

“This policy operates as a prior restraint on publication, which is considered the most serious of First Amendment violations. As we learned in the Pentagon Papers case, the government cannot prohibit journalists from public information merely by claiming it’s a secret or even a national security threat. This is worse in a way, because the government isn’t only seeking to restrain specific documents it contends pose a unique threat, it’s seeking to restrain everything it doesn’t want the public to know. That is fundamentally un-American.

“In the meantime, journalists will need to decide whether they’re so dependent on physical access to the Pentagon that they’re willing to trade away their independence to retain it.

“I hope they won’t, and will find other ways to gather news. Agreeing not to look where the government doesn’t want you to look and, by extension, not to print what it doesn’t want you to print, is propaganda, not journalism. Caving to these kinds of demands would in some ways be the most outrageous capitulation yet, and there are plenty to choose from.

“Virtually every time this administration (and past ones) has tried to justify secrecy by claiming it’s protecting national security, its real agenda turned out to be saving itself from embarrassment or from having its lies exposed. There is no reason to think this is any different. Perhaps there are so many embarrassing documents at this point that it’s too difficult to keep finding bogus reasons to keep each of them secret. Maybe that’s why the administration is taking more of a wholesale approach to concealing records that may show wrongdoing, corruption, and incompetence.”

Please contact us if you would like further comment on the dangers this policy poses to press freedom in the United States.

freedom.press/issues/pentagon-…