If there’s one lesson to be learned from [Aled Cuda]’s pulsed laser driver, it’s that you can treat the current limits on electronic components as a suggestion if the current duration is measured in nanoseconds.

The components in question are a laser diode and an NPN transistor, the latter of which operates in avalanche mode to drive nanosecond-range pulses of high current through the former. A buck-boost converter brings a 12 volt power supply up to 200 volts, which then passes through a diode and into the avalanche transistor, which is triggered by an eternal pulse generator. On the other side of the transistor is a pulse-shaping network of resistors and capacitors, the laser diode, and a parallel array of low-value resistors, which provide a current monitor by measuring the voltage across them. There is an optoisolator to protect the pulse generator from the 200 volt lines on the circuit board, but for simplicity’s sake it was omitted from this iteration; there is some slight irony in designing your own laser driver for the sake of the budget, then controlling it with “a pulse generator we don’t mind blowing up.” We can only assume that [Aled] was confident in his work.

The video below details the assembly of the circuit board, which features some interesting details, such as the use of a transparent solder mask which makes the circuit layout clear while still helping to align components during reflow. The circuit did eventually drive the diode without destroying anything, even though the pulses were probably 30 to 40 watts. A pulse frequency of 360 hertz gave a nice visual beating effect due to small mismatches between the pulse frequency of the driver and the frame rate of the camera.

This isn’t the first laser driver to use avalanche breakdown for short, high-power pulses, but it’s always good to see new implementations. If you’re interested in further high-speed electronics, we’ve covered them in more detail before.

youtube.com/embed/OXhiX0EW5MI?…

hackaday.com/2025/09/30/drivin…

In the days of yore, computers would scream strange sounds as they spoke with each other over phone lines. Of course, this is dial up, the predecessor to modern internet technology, offering laughable speeds compared to modern connections. But what if dial up had more to offer? Perhaps it could even stream a YouTube video. That’s what the folks over at The Serial Port set out to find out.

The key to YouTube over dial up is a little known part of the protocol added right around the time broadband was taking off called multilink PPP. This protocol allows for multiple modems connected to a PC in parallel for faster connections. With no theoretical limit in sight, and YouTube’s lowest quality requiring a mere 175 Kbps, the goal was clear: find if there is a limit to multilink PPP and watch YouTube over dialup in the process.

Setting Up the Server Side Connection

For the ISP setup, a Cisco IAD VoIP gateway with a T1 connection to a 3Com Total Control modem was configured for this setup. On the client side, an IBM Net Vista A21I with Windows ME was chosen for its period correct nature. First tests with two modems proved promising, but Windows ME dials only one modem at a time, making the connection process somewhat slow.

But for faster speeds, more ports are needed, so an Equinox com port adapter was added to the machine. However, drivers for Windows ME were unavailable, so a Windows 2000 computer was used instead. Unfortunately, this still was an unusable setup as no browser capable of running YouTube could be installed on Windows 2000. Therefore, the final client side computer was an IBM Think Center A50 from 2004 with Windows XP.

But a single Equinox card was still not enough, so a second eight port com card was installed. However, the com ports showed up in windows numbered three through ten on both cards with the driver unable to change the addresses on the second card. Therefore, a four port Digi card was used instead, giving a total of thirteen com ports including the one on the motherboard.

Testing with a mere four modems showed that Windows XP had far better multilink support, with all the modems creating a cacophony of sound dialing simultaneously. Unfortunately, this test with four modems failed due to numerous issues ranging from dial tones to hardware failures. As it turned out the DIP switches on the bottom of the modems needed to be set identically. After a few reterminating cables, three of the four modems worked.

The next set was eight modems. Despite persistent connection issues, five modems got connected in this next test with just over 200 kbps, 2000 era broadband speeds. But a neat feature of multilink is the ability to selectively re-dial, so by re-trying the connection of the three unconnected modems, all eight could work in parallel, reaching over 300 kbps.

But still, this is not enough. So after adding more phone lines and scrounging up some more modems, an additional four modems got added to the computer. With twelve modems connected, a whopping 668.8 kbps was achieved over dial up, well in excess of what’s needed for YouTube video playback, and even beating out broadband of the era. Despite this logical extreme, there is still no theoretical limit in site, so make sure to stay tuned for the next dial up speed record attempt!

If you too enjoy the sounds of computers screaming for their internet connection, make sure to check out this dialup over Discord hack next!

youtube.com/embed/LZ259Jx8MQY?…

hackaday.com/2025/09/29/youtub…

Negli ultimi anni, molte aziende hanno fatto un “pieno di cloud”, affidando infrastrutture critiche e servizi aziendali a piattaforme gestite da fornitori esterni. Tuttavia, eventi recenti e le crescenti preoccupazioni legate alla sovranità digitale stanno spingendo molte organizzazioni a riconsiderare il livello di dipendenza da servizi cloud non controllabili all’interno delle proprie regioni.

La vulnerabilità dei dati critici e la possibilità che decisioni politiche o commerciali esterne possano limitare l’accesso alle risorse hanno reso evidente che la gestione interna e la scelta di soluzioni open source possono rappresentare un’alternativa strategica più sicura.

Le Forze Armate austriache hanno completato una profonda revisione della propria infrastruttura IT, abbandonando completamente Microsoft Office a favore della suite open source LibreOffice. La transizione, completata a settembre 2025, ha interessato circa 16.000 postazioni di lavoro ed è diventata uno degli esempi più visibili di trasformazione digitale in Europa.

I vantaggi finanziari sono evidenti: un abbonamento a Microsoft 365 E3, al prezzo di 33,75 dollari per utente, costerebbe circa 6,5 milioni di dollari all’anno, mentre LibreOffice non richiede costi iniziali. Tuttavia, in questo caso, il risparmio sui costi non è stato il fattore decisivo.

La ragione principale era il desiderio di sovranità digitale e indipendenza dai servizi cloud esterni. Come ha spiegato Michael Hillebrand, responsabile ICT e difesa informatica del Ministero della Difesa austriaco, era fondamentale per l’esercito garantire che i dati critici fossero elaborati esclusivamente all’interno del Paese e non dipendessero da decisioni prese da aziende straniere.

Le preoccupazioni si sono intensificate nel 2020, quando l’esercito ha riconosciuto i rischi della dipendenza dai fornitori di cloud americani. Conclusioni simili sono state raggiunte in Germania: già nel 2019, il Ministero dell’Interno aveva messo in guardia contro l’eccessiva dipendenza dai prodotti Microsoft.

L’Austria non è l’unica a compiere questo passo. Lo stato tedesco dello Schleswig-Holstein sta migrando le sue agenzie governative a Linux e LibreOffice, mentre le autorità danesi hanno annunciato l’abbandono delle soluzioni Microsoft.

E Lione, in Francia, sta adottando Linux e LibreOffice per proteggere meglio i dati dei cittadini. Questa tendenza sta accelerando a fronte della crescente sfiducia dei paesi europei nei confronti dei fornitori di software americani.

Molti governi temono che la pressione politica possa influenzare il funzionamento di questi servizi. Queste preoccupazioni sono rafforzate da esempi recenti: Microsoft avrebbe recentemente bloccato l’accesso di Israele ad Azure, utilizzato per la sorveglianza palestinese, dimostrando che le aziende possono negare l’accesso a risorse critiche per scopi politici.

I preparativi per la transizione in Austria erano in corso da diversi anni. A partire dal 2022, i dipendenti potevano migrare volontariamente a LibreOffice e, nel 2023, sviluppatori esterni sono stati coinvolti per fornire formazione e perfezionare le funzionalità per le esigenze militari. Alcuni di questi miglioramenti, dalle funzionalità ampliate per grafici e tabelle pivot a un editor di presentazioni perfezionato, sono stati trasferiti nuovamente al progetto LibreOffice e sono ora disponibili a tutti gli utenti.

Sebbene Microsoft Office 2016 sia rimasto integrato nei flussi di lavoro dell’esercito per lungo tempo, è stato completamente rimosso nell’autunno del 2025. Tuttavia, per alcune attività, l’utilizzo dei moduli LTSC di Office 2024 o di programmi specializzati come Microsoft Access è consentito, ma solo su richiesta.

L'articolo Ritorno all’On-Prem: Le Forze Armate austriache scelgono LibreOffice proviene da il blog della sicurezza informatica.

LaOpen Source Hongmeng Technology Conference 2025, recentemente svoltasi a Changsha, ha messo in luce i risultati raggiunti da HarmonyOS “Hongmeng” (鸿蒙) , il sistema operativo open source sviluppato da Huawei. Richard Yu, direttore esecutivo di Huawei e presidente del Device BG, ha dichiarato in un videomessaggio: “Negli ultimi cinque anni, grazie al supporto della Open Atom Open Source Foundation, l’industria, il mondo accademico e la ricerca hanno collaborato per sviluppare HarmonyOS come progetto open source, creando un vero e proprio miracolo nella storia dello sviluppo software cinese”.

Secondo i dati più recenti, la comunità open source di HarmonyOS conta oltre 9.200 collaboratori e più di 130 milioni di righe di codice contribuite fino al 31 agosto 2025 e il sistema operativo cinese è installato su quasi un miliardo di dispositivi. Il sistema operativo copre settori molto diversi, tra cui amministrazione pubblica, trasporti, finanza, energia, tutela delle acque e edilizia, affermandosi come il sistema open source in più rapida crescita.

L’avvio dell’open source risale a settembre 2020, quando la Open Atom Open Source Foundation ha integrato il codice delle funzionalità di base di HarmonyOS donato da Huawei, dando vita al progetto OpenHarmony. Da quel momento, tutte le aziende hanno potuto sviluppare versioni commerciali basate su questa piattaforma, tra cui il Hongmeng 5, rilasciato da Huawei.

Ban di Android e 6 anni per essere autosufficiente

Il progetto HarmonyOS nasce ufficialmente nel 2019, come risposta strategica di Huawei alla crescente incertezza geopolitica e tecnologica. L’idea iniziale era quella di sviluppare un sistema operativo distribuito, capace di operare su dispositivi diversi – dagli smartphone ai tablet, dai cruscotti per auto agli elettrodomestici connessi – offrendo un’esperienza utente uniforme e integrata.

La spinta decisiva allo sviluppo di HarmonyOS arrivò nel maggio 2019, quando il governo degli Stati Uniti inserì Huawei nella “Entity List”, impedendo all’azienda di ricevere tecnologia statunitense senza autorizzazioni speciali. Tra i blocchi più significativi c’era quello relativo a Google, che gestisce Android e i servizi Google Mobile Services (GMS). In pratica, Huawei si trovava di fronte all’impossibilità di aggiornare Android sui propri dispositivi con i servizi Google ufficiali.

Questo divieto accelerò in modo radicale l’autonomia tecnologica cinese.

Se prima il Paese poteva dipendere da sistemi controllati da altri, come Android o altre piattaforme americane, il ban ha imposto a Huawei e a tutta l’industria cinese di sviluppare soluzioni proprie, aperte e indipendenti. HarmonyOS non è quindi solo un sistema operativo: rappresenta un punto di svolta strategico, capace di ridurre la vulnerabilità tecnologica della Cina e di creare un ecosistema digitale nazionale competitivo.

Dal punto di vista della sicurezza e dell’intelligence internazionale, la situazione assume un peso notevole. L’incapacità di controllare il software cinese, che fino a pochi anni fa poteva essere influenzato indirettamente tramite piattaforme straniere, oggi appare come un errore strategico e di intelligence di proporzioni significative. La direzione è chiara: un sistema operativo completamente cinese, open source e distribuito, riduce la dipendenza da fornitori esterni e consolida l’autonomia nazionale, invertendo equilibri tecnologici che fino a poco tempo fa sembravano consolidati.

In sintesi, il ban su Android ha rappresentato più che un semplice ostacolo commerciale: ha accelerato l’indipendenza tecnologica cinese, trasformando un momento critico in un’opportunità storica per l’industria nazionale e per l’evoluzione di ecosistemi digitali propri, come HarmonyOS.

Accelerazione della crescita

Al 20 settembre 2025, i dispositivi HarmonyOS sono installati su un miliardo di dispositivi e HarmonyOS 5 hanno superato i 17 milioni, mentre l’App Store di HarmonyOS ospita più di 30.000 applicazioni e meta-servizi. Yu Chengdong ha sottolineato come la crescita sia stata rapida: “Ci sono voluti quasi 10 mesi per raggiungere i 10 milioni di dispositivi, e solo due mesi per raddoppiare fino a 20 milioni”, evidenziando una curva di adozione in accelerazione senza precedenti.

Questa impennata indica un punto di svolta nell’ecosistema: HarmonyOS sta passando da un sistema “usabile” a uno “facile da usare”, integrandosi profondamente nella vita quotidiana degli utenti. La piattaforma non si limita più a un singolo dispositivo, ma crea un’esperienza connessa tra telefoni, tablet, laptop, cruscotti per auto e dispositivi per la smart home, migliorando l’efficienza e la fruibilità dei servizi digitali.

Esperienza utente integrata

Gli utenti hanno iniziato a sperimentare una gestione più intuitiva delle funzioni quotidiane. Per esempio, attraverso HarmonyOS è possibile prenotare ristoranti o acquistare biglietti anche all’estero utilizzando app come Dianping, senza dover passare da applicazioni isolate. Weibo, invece, ha introdotto immagini HDR Vivid ad alta definizione, migliorando la qualità visiva dei contenuti quotidiani.

Questa integrazione tra sistemi e applicazioni permette di combinare scenari di vita reale con funzionalità digitali avanzate, creando un ecosistema fluido che cresce grazie al feedback degli utenti e all’ottimizzazione costante del sistema.

Co-creazione con sviluppatori e partner

HarmonyOS non è più solo il prodotto di un singolo fornitore, ma un ecosistema collaborativo. L’App Store di Hongmeng 5 conta oltre 9.000 applicazioni coinvolte in 70 esperienze innovative, mentre più di 100 piattaforme governative e aziendali hanno adottato il sistema, coinvolgendo circa 38 milioni di aziende.

Le app leader, come la versione Hongmeng di Xiaohongshu, hanno introdotto funzionalità innovative basate sul riconoscimento dei gesti, mentre Weibo ha migliorato l’esperienza visiva. Il design leggero e l’architettura flessibile di HarmonyOS permettono agli sviluppatori di testare e ottimizzare nuove funzionalità rapidamente, riducendo costi e tempi di sviluppo. Questo modello di co-creazione genera un ciclo virtuoso di feedback, innovazione e crescita continua.

Ecosistema digitale in espansione

Con più di 20 milioni di dispositivi, HarmonyOS ha raggiunto una scala critica che amplifica gli effetti di rete. Ogni nuovo utente e ogni nuova applicazione rafforzano l’intero ecosistema, incrementando la qualità delle interazioni e stimolando ulteriori innovazioni. L’adozione diffusa del linguaggio ArkTS e l’evoluzione della toolchain DevEco Studio hanno semplificato l’ingresso di sviluppatori di piccole e medie dimensioni, contribuendo alla biodiversità dell’ecosistema.

Il sistema opera oggi come un ciclo auto-rinforzante tra utenti, partner e sviluppatori: il feedback guida l’ottimizzazione, le innovazioni ampliano l’ecosistema e la crescita complessiva attira ulteriori utenti e aziende. HarmonyOS dimostra così che il valore di un ecosistema digitale risiede nella sua simbiosi, piuttosto che nella quantità di singoli nodi.

Verso il futuro

Secondo Richard Yu, HarmonyOS continuerà a svilupparsi trasformando il feedback degli utenti in esperienze sempre più integrate e funzionali. Il percorso di crescita del sistema operativo mostra come l’evoluzione digitale vada oltre la tecnologia, puntando alla creazione di un ecosistema collaborativo dove utenti, aziende e sviluppatori coesistono in un equilibrio virtuoso.

L'articolo HarmonyOS: 1 miliardo di dispositivi e un ecosistema open source in crescita proviene da il blog della sicurezza informatica.

Negli ultimi anni gli attacchi informatici sono diventati una delle principali minacce per le aziende, indipendentemente dal settore. Se i reparti tecnici si concentrano sulla risoluzione dei problemi e sul ripristino dei sistemi, il vero banco di prova per un’organizzazione è la capacità di comunicare con il pubblico in modo chiaro e credibile.

In una crisi digitale, infatti, la reputazione rischia di subire danni spesso più pesanti delle perdite economiche derivanti l’attacco stesso.

La reputazione, un patrimonio fragile

La fiducia dei clienti, dei partner e persino dei dipendenti è un bene intangibile che si costruisce nel tempo e può essere compromesso in poche ore. Non è solo la gravità dell’attacco a determinare l’impatto sull’immagine aziendale, ma soprattutto la qualità delle informazioni che vengono trasmesse all’esterno.

Un’azienda che sceglie il silenzio o fornisce comunicazioni vaghe lascia spazio a interpretazioni negative e alla diffusione di voci incontrollate.

Al contrario, chi mostra trasparenza e mantiene un dialogo costante con gli utenti dimostra di avere la situazione sotto controllo, anche in condizioni di emergenza. La reputazione, in questo senso, diventa parte integrante della gestione della crisi.

Errori di comunicazione che danneggiano il brand

Durante un attacco informatico molte imprese cadono negli stessi errori, che finiscono per aggravare molto la crisi:

• Il silenzio totale. Non rilasciare alcun commento porta inevitabilmente i media e gli utenti a colmare il vuoto con supposizioni e notizie non verificate. Questo genera un danno reputazionale difficile da contenere.
• Troppi dettagli tecnici. Fornire un eccesso di informazioni può apparire come un segnale di panico e, in alcuni casi, offrire nuovi spunti agli stessi criminali. La comunicazione deve essere chiara ma sempre calibrata.
• Messaggi vaghi o impersonali. Minimizzare l’impatto o utilizzare un linguaggio troppo burocratico rischia di essere percepito come mancanza di sincerità, riducendo ulteriormente la fiducia del pubblico.

Queste strategie non proteggono il brand: anzi, creano un effetto boomerang che può durare ben oltre la fine dell’attacco.

La trasparenza come arma di difesa

Una comunicazione efficace durante una crisi informatica non significa divulgare ogni dettaglio tecnico, ma costruire un racconto chiaro e coerente. È fondamentale trasmettere tre messaggi chiave:

1. Ammissione del problema, senza minimizzazioni.
2. Azioni in corso, per dimostrare che il team tecnico e quello comunicativo stanno lavorando in sinergia.
3. Tempistiche e aggiornamenti, per ridurre l’incertezza e mostrare che l’azienda è presente.

Questa trasparenza equilibrata è il miglior antidoto contro la diffusione di speculazioni, aiuta a rafforzare la credibilità e permette di mantenere neutro il tono delle conversazioni sui media e sui social.

PR e cybersecurity: una responsabilità condivisa

In passato la sicurezza informatica era considerata un ambito tecnico, affidato esclusivamente agli specialisti IT. Oggi è chiaro che la posta in gioco è molto più alta: la reputazione aziendale. Per questo motivo, i reparti di pubbliche relazioni devono essere coinvolti fin dai primi momenti della crisi.

Solo con un flusso costante di informazioni tra IT e PR è possibile fornire al pubblico aggiornamenti corretti e tempestivi. La mancanza di coordinamento, al contrario, espone l’azienda al rischio di comunicazioni incoerenti o contraddittorie, che aumentano la sfiducia e possono generare un danno di lungo periodo.

Verso un protocollo di comunicazione nelle crisi digitali

Ogni organizzazione dovrebbe predisporre in anticipo un protocollo condiviso per la gestione delle comunicazioni in caso di attacco informatico. Questo documento deve stabilire:

• i tempi entro cui fornire i primi aggiornamenti ufficiali;
• i canali da utilizzare (social, sito web, conferenze stampa);
• il portavoce autorizzato a parlare a nome dell’azienda;
• la linea di trasparenza da mantenere con clienti, partner e media.

Prepararsi prima significa evitare improvvisazioni durante la crisi e dimostrare professionalità, trasformando un momento critico in un’occasione per rafforzare la fiducia.

Conclusioni

La gestione di un attacco informatico non è soltanto un tema tecnico.

La comunicazione gioca un ruolo decisivo nel proteggere la reputazione aziendale. Le imprese che scelgono la trasparenza, la coerenza e la tempestività non solo riducono l’impatto immediato della crisi, ma possono persino rafforzare il legame con i propri clienti e stakeholder.

In un contesto in cui gli attacchi informatici sono sempre più frequenti, saper comunicare diventa un elemento strategico, al pari delle misure di difesa tecnologica.

Perché non si sta discutendo se verrai attaccato. Si sta solo discutendo come ne uscirai fuori dopo un attacco informatico. Ed è questa la cosa più importante sulla quale puntare.

L'articolo Gestione della crisi digitale: la comunicazione è la chiave tra successo o fallimento proviene da il blog della sicurezza informatica.

Il settore della sicurezza informatica sta vivendo una svolta: l’intelligenza artificiale sta diventando non solo uno strumento per gli sviluppatori, ma anche un’arma per gli aggressori. E di questo ne abbiamo parlato abbondantemente.

Questo concetto è stato portato all‘attenzione da Ami Luttwak, CTO di Wiz, spiegando che le nuove tecnologie ampliano inevitabilmente la superficie di attacco e che l’integrazione dell’IA nei processi aziendali accelera sia lo sviluppo che l’emergere di vulnerabilità.

Secondo Luttwak, accelerare lo sviluppo attraverso il vibe coding e l’integrazione di agenti di intelligenza artificiale spesso porta a bug nei meccanismi principali, come il sistema di autenticazione. Questo perché gli agenti eseguono i compiti assegnati letteralmente e non forniscono sicurezza di default.

Di conseguenza, le aziende sono costrette a bilanciare velocità e sicurezza, e gli aggressori stanno iniziando a sfruttare questo vantaggio. Ora creano exploit utilizzando prompt, gestendo i propri agenti di intelligenza artificiale e persino interagendo direttamente con gli strumenti aziendali, impartendo comandi come “trasferisci tutti i segreti” o “elimina file”.

Le vulnerabilità emergono persino nei servizi di intelligenza artificiale progettati per uso interno. Quando le aziende implementano soluzioni di terze parti per migliorare la produttività dei dipendenti, spesso cadono vittima di attacchi alla supply chain. È successo a Drift, una startup che offre chatbot per le vendite e il marketing. Una compromissione ha permesso all’azienda di ottenere token di accesso Salesforce da centinaia di clienti, tra cui Cloudflare, Google e Palo Alto Networks. Gli aggressori si sono mascherati da chatbot e hanno navigato nell’infrastruttura dei clienti, richiedendo dati ed espandendo il loro raggio d’azione.

Uno scenario simile è stato osservato nell’operazione s1ingularity contro il sistema di build Nx. Gli aggressori hanno iniettato codice dannoso che ha rilevato l’uso di strumenti di intelligenza artificiale come Claude e Gemini, reindirizzandoli poi alla ricerca autonoma di dati preziosi. Di conseguenza, sono stati rubati migliaia di token e chiavi, dando accesso a repository GitHub privati.

Sebbene Wiz stimi che solo l’1% delle aziende abbia integrato completamente l’intelligenza artificiale nei propri processi, gli attacchi vengono registrati ogni settimana e colpiscono migliaia di clienti. L’intelligenza artificiale è coinvolta in ogni fase della catena di attacco, dalla creazione di exploit all’avanzamento occulto all’interno dei sistemi.

Secondo Luttwak, l’obiettivo dei difensori ora è comprendere lo scopo delle applicazioni dei clienti e costruire una sicurezza orizzontale su misura per le esigenze specifiche di ogni azienda. Ha sottolineato che le startup che lavorano con i dati aziendali devono dare priorità alla sicurezza fin dal primo giorno.

Il set minimo include la nomina di un CISO, l’implementazione di registri di audit, un’autenticazione avanzata, il controllo degli accessi e il Single Sign-On.

Ignorare questi requisiti porta al cosiddetto “debito di sicurezza”, per cui le aziende inizialmente trascurano la sicurezza ma alla fine sono costrette a riprogettare tutti i loro processi per soddisfare gli standard attuali, il che è sempre difficile e costoso.

Luttwak ha posto particolare enfasi sull’architettura. Per una startup di intelligenza artificiale rivolta al mercato aziendale, è fondamentale considerare inizialmente la possibilità di archiviare i dati all’interno dell’infrastruttura del cliente. Questo non solo aumenta la fiducia, ma riduce anche il rischio di compromissioni su larga scala.

Luttwak ritiene che oggi tutti i settori siano accessibili alle startup informatiche, dalla protezione anti-phishing agli endpoint, fino all’automazione dei processi basata sull’intelligenza artificiale.

Tuttavia, ciò richiede una nuova mentalità: difendersi dagli attacchi che si basano sull’intelligenza artificiale tanto quanto lo fanno i difensori.

L'articolo Bilanciare velocità e sicurezza! Questa la vera sfida del Vibe Coding proviene da il blog della sicurezza informatica.

Nel 2025 l’Unione Europea vuole avere il controllo totale sulle chat private. Il Regolamento “Chat Control” (proposta COM(2022)209) promette di combattere la pornografia minorile con la scansione dei messaggi privati su WhatsApp, Telegram, Gmail e simili. Nobile proposito nella teoria. Ma nella pratica vuol dire che qualsiasi messaggio che scrivi online potrebbe essere letto e analizzato da sistemi automatici, con conseguenze reali e immediate per la privacy di tutti. E poiché nessun sistema è inviolabile, possiamo farci due conti sul rischio che corriamo.

Per l’utente comune le conseguenze sono semplici ma concrete:

• Ogni messaggio diventa potenzialmente visibile a un algoritmo che lo valuta e lo categorizza.
• Le piattaforme dovranno introdurre strumenti di scansione, con errori e falsi positivi che possono portare a blocchi o sospensioni ingiustificati.
• La fiducia nelle chat private crolla: niente è più davvero “solo tra te e l’altro”.

E tutto questo mentre chi vuole davvero nascondersi non è il vicino timido – sono criminali, pedofili, terroristi ed estremisti politici pronti a usare qualsiasi mezzo per restare invisibili. Queste categorie continueranno a usare crittografia custom e canali offuscati; Chat Control finirà per colpire i cittadini onesti, lasciando impuniti i malintenzionati.

Aprirà backdoor e vulnerabilità sfruttabili da differenti categorie di malintenzionati dotati della giusta combinazione di competenze e motivazione.

Il risultato? Un sistema goffo, costoso, inefficace e potenzialmente dannoso per miliardi di utenti.

L’illusione del controllo

La narrativa ufficiale è semplice: costringiamo le Big Tech a inserire scanner automatici dei contenuti ovunque. “Niente più segreti, niente più abusi”. Un claim coinvolgente. Peccato che non funzioni così. Puoi obbligare una piattaforma a installare scanner, ma non puoi impedire a due persone determinate di criptare i loro messaggi sopra qualsiasi servizio. La crittografia non è un optional che si elimina con un intervento normativo.

Come dicevano i Cypherpunk nel 1993: “La privacy è necessaria per una società aperta nell’era elettronica. Non possiamo aspettarci che governi, aziende o altre grandi organizzazioni ci diano la privacy come un regalo.”

Serve una prova pratica? Eccola: github.com/F00-Corp/Asocial

Come ho creato un’estensione in un pomeriggio.

Ho preso Cursor, ho rifiutato di scrivere codice a mano e in poche ore ho sfornato un’estensione Chrome che cripta e decripta testi ovunque: LinkedIn, Reddit, Gmail, Twitter.

Funziona così:

• Scrivi un messaggio in un campo di testo;
• Premi Ctrl+Shift+E e guarda il tuo messaggio trasformarsi in un blob indecifrabile. Solo chi ha la chiave giusta potrà leggerlo. Addio, Grande Fratello europeo;
• L’estensione usa ECIES per l’incapsulamento delle chiavi con chiavi effimere per messaggio e AES-256-GCM per cifrare il payload. Le chiavi e i metadati restano locali, lo scambio avviene via JSON copy/paste;
• Pubblica il blob su qualunque social o campo testuale;
• Il destinatario importa la chiave e legge il messaggio originale, pulito e sicuro.

Dal punto di vista della piattaforma quel contenuto è solo rumore casuale. Buona fortuna a “scannerizzarlo”. Tutto diventa più costoso, non impossibile. Non si ostacola, ma almeno si aumenta l’effort anche per chi vorrebbe impiegare backdoor o vulnerabilità che saranno inevitabilmente generate da questo nuovo sistema di controllo.

La strategia di cypher squatting: occupare lo spazio, gratis e con stile

Non è solo crittografia, è strategia. Facciamo cypher squatting: usiamo qualsiasi piattaforma disponibile, gratuitamente, come canale per i nostri messaggi privati. Post, commenti, bio, descrizioni, paste su forum abbandonati, immagini con blob nei metadati – qualsiasi cosa che la piattaforma ospiti e non richieda server nostro. Noi non regaliamo i nostri pensieri, le nostre emozioni o le nostre parole a chi ci ospita. Lo facciamo intenzionalmente perché possiamo.

Perché funziona:

• Le piattaforme trattano quei blob come contenuto legittimo di utenti. Bloccarli in massa significherebbe rompere interi flussi di servizio e di business.
• Non serve infrastruttura aggiuntiva: usi lo storage pubblico della piattaforma come ponte.
• È resiliente: se un canale viene chiuso, se ne usa un altro. Ridondanza gratuita.

Questa non è una pretesa di eroismo, ma applicazione pragmatica di civiltà digitale. Rivendichi ciò che ti appartiene e lo chiudi con un lucchetto matematico prima di offrirlo alla piattaforma.

Perché è alla portata di chiunque

• Usa solo API standard di WebCrypto.
• Nessun server centrale necessario.
• Scambio chiavi con copy/paste semplice.

Se sai premere Ctrl+Shift+E, puoi proteggere le tue chat. Non serve essere un genio della NSA. L’Europa? Può solo guardare impotente. È software libero, è matematica, ed è replicabile in mille varianti.

Come scriveva The Mentor nel Hacker Manifesto: “Questo è il nostro mondo ora… il mondo dell’elettrone e dello switch, la bellezza del baud.”

I sistemi come Chat Control? Non potranno mai vincere contro un mondo che non si può controllare.

Mini panel tecnico (per non tecnici)

• Crittografia dei messaggi: ECIES (Elliptic Curve Integrated Encryption Scheme)
  • Chiavi effimere per ogni messaggio per garantire forward secrecy
  • AES-256-GCM cifra il testo e garantisce integrità

  
  

• Gestione delle chiavi: tutto locale
  • File delle chiavi cifrato con password usando PBKDF2 + AES-256-GCM
  • Ogni chiave memorizzata è cifrata separatamente

  
  

• Magic Codes: identificatori a 7 caratteri per trovare rapidamente le chiavi
• Nessuna rete coinvolta: tutte le operazioni avvengono sul tuo computer

In breve: i messaggi sono cifrati con ECIES + AES-GCM, le chiavi sono protette sul dispositivo, e ogni messaggio usa una chiave temporanea. Nessuno, piattaforma o governo, può leggere i contenuti senza acquisire la chiave corretta. Attenzione: non è un cheat code di invulnerabilità.

L’elefante nella stanza

Se l’UE volesse veramente fermare questo approccio dovrebbe vietare:

• AES, RSA, Curve25519 e tutto ciò che protegge VPN, pagamenti online e comunicazioni.
• L’uso di testo apparentemente casuale su rete pubblica (ciao ciao HTTPS).

In pratica dovremmo tornare all’era dei modem 56k oppure bisognerebbe vietare l’elettricità e il pensiero indipendente. Buona fortuna con quello.

La morale

Il Chat Control è stato venduto politicamente con un: “proteggiamo i bambini”. Ma è tecnicamente ridicolo: la crittografia è open source, riproducibile, e impossibile da cancellare.

Il risultato concreto è quel disastro annunciato già da parte di attivisti purtroppo inascoltati o ascoltati solo all’interno delle proprie bolle informative: sistemi insicuri per miliardi di utenti onesti, mentre i criminali veri – pedofili, terroristi ed estremisti – continueranno a operare indisturbati con pochi accorgimenti tecnici.

Oppure, come nel mio caso, con Ctrl+Shift+E e un po’ di cypher squatting. Pensate se ci si prenderà più di un pomeriggio. Come dice Morpheus in Matrix: “The Matrix is a system, Neo. That system is our enemy.” Il Chat Control è lo stesso sistema.

Cosa vogliamo da chi legge

Rifiutarsi di subire passivamente le invasioni della propria sfera personale è un bene. La privacy non è un optional ma un diritto umano fondamentale.Esprime il diritto di esistere senza etichette, di esprimersi senza essere categorizzati, indicizzati o manipolati. Finanche il diritto di poter essere nessuno. Quell’autodeterminazione informativa che purtroppo stiamo dimenticando per effetto di narrazioni confondenti.

Questa dimostrazione pratica dimostra una cosa semplice: difendersi da tecnologie di controllo invasive è molto più semplice di quanto si pensi. Mantenere IGIENE DEI DATI online e offline è un must-have: qualsiasi informazione che non volete pubblica non deve esistere in forma digitale. MAI.

Se l’estensione vi interessa, il repository su GitHub è pubblico – clonatelo, espandetelo, integrate le vostre idee e, se vi va, fatemi sapere cosa state combinando. Si tratta di uno spunto, forse una provocazione, un divertessiment di ricerca scientifica. Qualcosa che ho voluto però condividere.

Resistete, criptate e fate della privacy un’abitudine e non un optional teatrale.

Disclaimer: l’articolo è stato riletto e approvato da L4wCyph3r per evitare fraintendimenti.

My key:
{
"name": "Rev-X-000 - Asocial-Publish",
"privateKey": "MIGHAgEAMBMGByqGSM49AgEGCCqGSM49AwEHBG0wawIBAQQgUEWKwTHz6RFObEwteDKq7zV1UFrSn+oPx9w23+6cJGyhRANCAASLPO0eZUeSm0jO78Y0lTrXF9StQRp/A7zvs8RTdlHndwq/74kHFOs9mfamB1lwf6/Zs6bAmv9BbfugMt2EXmwL",
"magicCode": "O4GS484",
"type": "reader",
"exportedAt": "2025-09-28T19:33:01.384Z"
}
Can you read this?

[ASOCIAL O4GS484] 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

L'articolo Un’estensione barzelletta e cade Chat Control! Houston, abbiamo un problema… di privacy proviene da il blog della sicurezza informatica.

In un panorama digitale sempre più caratterizzato da sorveglianza di massa e raccolta indiscriminata di dati, la ricerca dell’anonimato online è diventata una necessità primaria per giornalisti, attivisti, ricercatori. È in questo contesto che emerge TOR Anonymizer v3.0, uno strumento che rappresenta un significativo salto di qualità nella protezione della privacy digitale.

Il vero punto di forza di TOR Anonymizer v3.0 sta nella gestione evoluta dei percorsi all’interno della rete Tor. A differenza di un client tradizionale, che si limita a creare connessioni elementari, questo strumento introduce un sistema avanzato capace di costruire collegamenti multi-hop con nodi scelti in modo strategico, così da rafforzare l’anonimato.

Gli entry guard vengono mantenuti stabili per ridurre i rischi di correlazione, mentre i circuiti vengono rinnovati automaticamente ogni dieci secondi con tempistiche variabili, rendendo imprevedibile l’attività di rete.

In parallelo, un meccanismo di controllo continuo analizza qualità e latenza di ciascun percorso, garantendo così efficienza e stabilità costanti.

Tra le componenti più sofisticate spicca il sistema di kill switch avanzato, che va ben oltre il classico interruttore di emergenza. Si tratta infatti di un meccanismo di monitoraggio continuo capace di analizzare fino a quindici parametri della connessione in tempo reale, individuando anomalie di latenza, perdita di pacchetti o pattern di traffico sospetti.

In presenza di irregolarità, il tool attiva immediatamente un protocollo di emergency shutdown multilivello, accompagnato da una procedura di bonifica che elimina ogni traccia digitale dalla memoria del sistema. In sostanza, anche la minima anomalia nella rete viene gestita con contromisure istantanee e mirate, rendendo estremamente difficile qualsiasi tentativo di de-anonimizzazione.

Uno degli aspetti più sofisticati è il sistema di generazione di traffico fittizio, che non si limita a inviare pacchetti a caso ma si basa su un algoritmo intelligente capace di riprodurre pattern di navigazione umana credibili.

Il motore simula visite a siti legittimi in modo casuale ma realistico, bilanciando in modo dinamico il rapporto tra traffico reale e offuscamento e modulando il volume delle comunicazioni artificiali in base all’attività dell’utente. In questo modo le tracce genuine vengono confuse all’interno di uno sfondo molto più ampio, rendendo la correlazione dei flussi estremamente ardua.

Il tool adotta contromisure sofisticate contro il browser fingerprinting: modula automaticamente gli user-agent seguendo schemi non prevedibili per impedire l’associazione diretta con un singolo client, altera dinamicamente gli header HTTP per imitare diversi browser e dispositivi, e gestisce in modo intelligente cookie e sessioni per ridurre tracce persistenti. A complemento, vengono falsificate impostazioni come fuso orario e localizzazione, così che i segnali raccolti dai siti appaiano incoerenti tra loro e diventi molto più difficile ricostruire un’identità univoca a partire dall’insieme di fingerprint.

In test indipendenti eseguiti su infrastrutture di laboratorio, TOR Anonymizer v3.0 ha mostrato risultati soddisfacenti: ha preservato l’anonimato nel 99,8% dei casi contro attacchi di correlazione di base e ha raggiunto un’efficacia del 97,3% anche contro tecniche avanzate di timing attack. La rotazione completa dell’identità digitale avviene in meno di due secondi, mentre l’overhead computazionale si mantiene contenuto, nell’ordine del 15-20% rispetto a una distribuzione Tor “vanilla”. Questi dati indicano che il tool offre un bilanciamento efficace tra robustezza della protezione e impatto sulle prestazioni.

Il sistema è stato progettato per resistere ad attacchi reali: prima di tutto seleziona con cura i nodi di ingresso per evitare che nodi malevoli si infilino nella rete. Quando serve, cambia rapidamente i percorsi di comunicazione e aggiunge traffico “falso” che imita l’uso normale, così da confondere chi cerca di collegare due punti della stessa sessione.

Per chi prova ad analizzare i pacchetti, l’informazione utile è frammentata e mascherata su più livelli, rendendo il lavoro degli attaccanti molto più difficile. Infine, ogni richiesta DNS passa esclusivamente attraverso la rete Tor, quindi non ci sono “fughe” che possano rivelare quali siti vengono visitati. In sostanza, il sistema combina più barriere complementari per proteggere l’anonimato in scenari complessi.

TOR Anonymizer v3.0 non è soltanto uno strumento operativo, ma si configura anche come una vera e propria piattaforma di ricerca. Grazie alla sua architettura modulare, offre la possibilità di sperimentare nuove tecniche di anonimizzazione in ambienti controllati, verificare in modo rigoroso l’efficacia delle contromisure contro la sorveglianza digitale e sviluppare algoritmi anti-fingerprinting da validare direttamente sul campo. In questo modo diventa non solo un tool per la protezione della privacy, ma anche un laboratorio flessibile per l’innovazione in ambito sicurezza.

Come per qualsiasi soluzione basata su Tor, l’efficacia complessiva di TOR Anonymizer v3.0 dipende direttamente dalla stabilità e dalla resilienza della rete Tor stessa. In periodi di sorveglianza intensificata o in caso di attacchi coordinati alla rete, anche gli strumenti più sofisticati possono vedere ridotta la capacità di garantire anonimato completo. È quindi fondamentale considerare lo stato della rete come un fattore critico nel mantenimento della privacy.

Per un operatore di sicurezza informatica, TOR Anonymizer v3.0 rappresenta uno strumento strategico per la protezione dell’anonimato e la sperimentazione di tecniche avanzate di difesa della privacy. Pur consapevoli che nessun sistema può garantire anonimato assoluto, l’adozione di strumenti come questo permette di ridurre significativamente la superficie di attacco, testare contromisure contro sorveglianza e fingerprinting, e integrare pratiche di offuscamento del traffico in scenari reali. La modularità e la trasparenza del tool ne fanno anche una piattaforma utile per valutare vulnerabilità della rete e rafforzare protocolli interni di sicurezza, fornendo un vantaggio operativo concreto nella gestione del rischio digitale.

L'articolo TOR Anonymizer v3.0: Protezione Avanzata per la Privacy Digitale proviene da il blog della sicurezza informatica.

GUI design can be a tedious job, requiring the use of specialist design tools and finding a suitable library that fits your use case. If you’re looking for a lightweight solution, though, you might consider just using a simple image editor with a nifty Python library that [Manish Kathuria] whipped up.

[Manish’s] intention was to create a better-looking user interface solution for Python apps that was also accessible. He’d previously considered other Python GUI options to be unimpressive, requiring a lot of code and delivering undesirable results. His solution enables the use of just about any graphic you can think of as a UI object, creating all kinds of visually-appealing possibilities. He also was eager to make sure his solution would work with irregular-shaped buttons, sliders, and other controls—a limitation popular libraries like Tkinter never quite got around.

The system simply works by using layered image files to create interactive interfaces, with a minimum of code required to define the parameters and performance of the interface. You’re not strictly limited to using the GIMP image editor, either; some of the examples use MS Paint instead. Files are on Github for those eager to try the library for themselves.

We’ve featured some neat GUI tools before, too, like this library for embedded environments. Video after the break.

youtube.com/embed/382ugrMfP8g?…

youtube.com/embed/MbUyM4_DJAU?…

hackaday.com/2025/09/29/creati…

The Etch A Sketch was never supposed to meet a Raspberry Pi, a camera, or a mathematical algorithm, but here we are. [Tekavou]’s Teka-Cam and TekaSketch are a two-part hack that transforms real photos into quite stunning, line-drawn Etch A Sketch art. Where turning the knobs only results in wobbly doodles, this machine plots out every curve and contour better than your fingertips ever could.

Essentially, this is a software hack mixed with hardware: an RPi Zero W 2, a camera module, Inkplate 6, and rotary encoders. Snap a picture, and the image is conveyed to a Mac Mini M4 Pro, where Python takes over. It’s stripped to black and white, and the software creates a skeleton of all black areas. It identifies corner bridges, and unleashes a modified Chinese Postman Algorithm to stitch everything into one continuous SVG path. That file then drives the encoders, producing a drawing that looks like a human with infinite patience and zero caffeine jitters. Originally, the RPi did all the work, but it was getting too slow so the Mac was brought in.

It’s graph theory turned to art, playful and serious at the same time, and it delivers quite unique pieces. [Tekavou] is planning on improving with video support. A bit of love for his efforts might accellerate his endeavours. Let us know in the comments below!

youtube.com/embed/g_TLOn1jJWY?…

hackaday.com/2025/09/29/tekask…