792.750 dollari in un giorno! 56 zeroday rilevati al Pwn2Own Ireland 2025
Nella seconda giornata della competizione Pwn2Own Ireland 2025, i partecipanti hanno ottenuto un successo impressionante, scoprendo 56 nuove vulnerabilità zero-daye guadagnando un totale di 792.750 dollari. Questa è la seconda fase della competizione, che si tiene a Cork, in Irlanda, dove gli specialisti della sicurezza si sfidano per individuare vulnerabilità critiche nei dispositivi e nei software più diffusi.
Una delle performance più degne di nota è stata l’hack riuscito di un dispositivo Samsung Galaxy S25, in cui un team di due persone, Ken Gannon del Mobile Hacking Lab e Dimitrios Valsamaras del Summoning Team, ha sfruttato una complessa combinazione di cinque falle.
Per questo attacco, hanno ricevuto un premio di 50.000 dollari e 5 punti nella classifica Master of Pwn. Sebbene il team PHP Hooligans sia riuscito ad hackerare un dispositivo NAS QNAP TS-453E in un secondo, la vulnerabilità sfruttata era già stata utilizzata nel programma, quindi il loro risultato non ha stabilito un nuovo record.
Anche altri partecipanti che hanno attaccato il QNAP TS-453E, il Synology DS925+ e il bridge Philips Hue hanno ricevuto 20.000 dollari ciascuno. Tra questi, Chumi Tsai di CyCraft Technology, nonché rappresentanti di Verichains Cyber Force e Synacktiv Team. Inoltre, il secondo giorno, sono state sfruttate con successo vulnerabilità precedentemente sconosciute nella stampante Canon imageCLASS MF654Cdw, nel sistema di domotica Home Automation Green, nella fotocamera Synology CC400W, nel NAS Synology DS925+, nell’Amazon Smart Plug e nella stampante Lexmark CX532adwe.
Dopo due giorni di competizione, il Summoning Team rimane in testa, con un guadagno di 167.500 dollari e un punteggio di 18. Anche il primo giorno di competizione è stato produttivo : i partecipanti hanno scoperto 34 vulnerabilità e hanno ricevuto un totale di 522.500 dollari. Secondo il regolamento della competizione, i produttori di dispositivi hanno 90 giorni di tempo per correggere le vulnerabilità scoperte prima che vengano divulgate pubblicamente dal progetto ZDI.
L’ultimo giorno di Pwn2Own, previsto per il 24 ottobre, prevede nuovi tentativi di attacco al Samsung Galaxy S25, nonché a vari dispositivi di archiviazione e stampa. Un momento clou è la dimostrazione di un attacco di esecuzione di codice remoto senza clic su WhatsApp, potenzialmente l’offerta più preziosa, con un premio di 1 milione di dollari. Un partecipante di nome Eugene del Team Z3 intende tentare questo attacco.
Il concorso è supportato da Meta , Synology e QNAP. Il programma del 2025 comprende otto categorie, che includono smartphone di punta (Samsung Galaxy S25, iPhone 16, Pixel 9), elettronica per la casa e l’ufficio, app di messaggistica, dispositivi per la smart home, sistemi di videosorveglianza e dispositivi indossabili, tra cui i visori Meta Quest 3/3S e gli occhiali intelligenti Ray-Ban.
Quest’anno, gli organizzatori hanno ampliato i vettori di attacco consentiti, includendo lo sfruttamento delle vulnerabilità tramite connessioni USB a smartphone bloccati. Tuttavia, i protocolli wireless standard come Wi-Fi, Bluetooth e NFC continuano a essere utilizzati insieme all’accesso fisico.
L’anno scorso, in una competizione Pwn2Own simile in Irlanda, i partecipanti hanno ricevuto un montepremi complessivo di 1.078.750 dollari per aver identificato oltre 70 vulnerabilità. Il team Viettel Cyber Security è uscito vittorioso, aggiudicandosi 205.000 dollari per aver attaccato con successo dispositivi QNAP, Sonos e Lexmark.
Nel gennaio 2026, ZDI tornerà a Tokyo con una versione automobilistica della competizione Pwn2Own Automotive , organizzata nell’ambito della fiera Automotive World. Tesla la sosterrà ancora una volta.
L'articolo 792.750 dollari in un giorno! 56 zeroday rilevati al Pwn2Own Ireland 2025 proviene da Red Hot Cyber.
Trump vuole diventare azionista anche delle società di computing quantistico
L'articolo proviene da #StartMag e viene ricondiviso sulla comunità Lemmy @Informatica (Italy e non Italy 😁)
Prosegue il "capitalismo politico" di Trump: dopo Intel e le compagnie minerarie, il governo degli Stati Uniti potrebbe diventare azionista anche delle società di computing quantistico. Washington vuole
reshared this
La Cellula Coscioni di Orvieto al Disability Pride – Corteo e incontro pubblico per l’autodeterminazione
In occasione del Disability Pride Orvieto 2025, la Cellula Coscioni di Orvieto parteciperà con entusiasmo e determinazione a una giornata dedicata ai diritti, all’inclusione e alla libertà di scelta delle persone con disabilità.
Dalle ore 9.30 nella Sala del Governatore di Palazzo dei Sette, si terrà un incontro pubblico con attivisti, esperti ed esponenti istituzionali. Sarà l’occasione per affrontare, insieme alla Cellula Coscioni di Orvieto, i nodi ancora irrisolti legati alle barriere – fisiche, culturali e istituzionali – che limitano la piena partecipazione delle persone con disabilità nella società.
Il corteo inizierà alle ore 16:00 in Piazza della Repubblica e attraverserà il centro storico per rivendicare pari diritti, accessibilità e autodeterminazione per tutte e tutti.
Al centro del dibattito anche la necessità di garantire l’accesso ai diritti fondamentali: dalla salute all’autonomia, dalla libertà personale al diritto a scegliere sul proprio corpo e sul proprio futuro.
L'articolo La Cellula Coscioni di Orvieto al Disability Pride – Corteo e incontro pubblico per l’autodeterminazione proviene da Associazione Luca Coscioni.
Tommy Flowers: How An Engineer Won The War
Back in 2016, we took you to a collection of slightly dilapidated prefabricated huts in the English Home Counties, and showed you a computer. The place was the National Museum of Computing, next to the famous Bletchley Park codebreaking museum, and the machine was their reconstruction of Colossus, the world’s first fully electronic digital computer. Its designer was a telephone engineer named Tommy Flowers, and the Guardian has a piece detailing his efforts in its creation.
It’s a piece written for a non-technical audience so you’ll have to forgive it glossing over some of the more interesting details, but nevertheless it sets out to right a long-held myth that the machine was instead the work of the mathematician Alan Turing. Flowers led the research department at the British Post Office, who ran the country’s telephone system, and was instrumental both in proposing the use of electronic switches in computing, and in producing a working machine. The connection is obvious when you see Colossus, as its racks are the same as those used in British telephone exchanges of the era.
All in all, the article makes for an interesting read for anyone with an interest in technology. You can take a look at Colossus as we saw it in 2016 here, and if your interest extends to the only glimpse the British public had of the technology behind it in the 1950s, we’ve also taken a look at another Tommy Flowers creation, ERNIE, the UK Premium Bond computer.
Un impianto idrico “violato” in diretta! L’hacktivism diventa propaganda digitale
A settembre, gli specialisti di Forescout hanno rilevato un attacco mirato al loro server honeypot, che imitava il sistema di controllo di un impianto di trattamento delle acque. Un nuovo gruppo di hacktivisti, TwoNet, che opera in un ambiente associato ad attacchi alle infrastrutture industriali, ha rivendicato la responsabilità dell’attacco.
I membri del gruppo hanno avuto accesso all’interfaccia, modificato le impostazioni, eliminato le fonti di dati e disabilitato alcuni processi senza tentare di ottenere il controllo dell’host. L’obiettivo era dimostrare la propria capacità di interferire e poi diffondere l’accusa di “aver dirottato un impianto reale” su un canale Telegram.
L’attacco è iniziato la mattina da un indirizzo IP registrato presso il provider di hosting tedesco Dataforest GmbH. L’accesso al sistema è stato ottenuto utilizzando le credenziali predefinite “admin/admin”. Dopo aver effettuato l’accesso, gli aggressori hanno tentato di eseguire query SQL per raccogliere informazioni sulla struttura del database e hanno quindi creato un nuovo account con il nome utente “BARLATI“.
Poche ore dopo, sono tornati con questo nome utente e hanno sostituito il testo nella pagina di accesso, attivando una finestra pop-up con la scritta “HACKED BY BARLATI“. Hanno contemporaneamente eliminato i controller connessi, modificato i valori dei parametri e disabilitato log e avvisi. La vulnerabilità CVE-2021-26829 è stata utilizzata per falsificare il contenuto della pagina .
TwoNet è emerso all’inizio del 2025 e ha rapidamente guadagnato visibilità grazie a una combinazione di affermazioni aggressive e attività caotiche. Inizialmente, si è specializzato in attacchi DDoS , ma in seguito si è spostato sui tentativi di interferire con i sistemi di controllo dei processi industriali. Il canale Telegram del gruppo pubblica screenshot e video presumibilmente provenienti da interfacce SCADA e HMI di varie aziende. I post menzionano l'”hacking” di pannelli solari, sistemi di riscaldamento e caldaie a biomassa in paesi europei, ma non ci sono prove a supporto di queste affermazioni. Gli analisti notano che molte delle immagini provengono da pannelli demo disponibili al pubblico.
Anche gli account TwoNet associati, tra cui BARLATI e DarkWarios, promuovevano offerte commerciali: affitto di accesso a pannelli di controllo, servizi DDoS e persino vendita di ransomware a prezzi gonfiati. Ciò suggerisce un tentativo di monetizzare l’attenzione e di presentarsi come parte di un’organizzazione più ampia. Nelle settimane precedenti la chiusura del canale, i membri del gruppo hanno annunciato alleanze con altri gruppi di hacktivisti, tra cui CyberTroops e OverFlame, consentendo loro di promuoversi a vicenda e di creare l’apparenza di una rete più ampia.
Gli esperti sottolineano che i loro honeypot hanno registrato anche altri attacchi a controller industriali e protocolli Modbus, spesso provenienti da indirizzi europei e mediorientali. In un caso, gli aggressori hanno utilizzato password predefinite e poi hanno sfruttato la vulnerabilità CVE-2021-26828 per iniettare una web shell e ottenere l’accesso alle impostazioni HMI. Un altro incidente ha coinvolto tentativi coordinati di modificare i parametri PLC tramite Modbus e S7, che avrebbero potuto potenzialmente interrompere i processi su sistemi reali.
L’analisi ha rivelato che gli aggressori utilizzano strumenti standard, come Meta Sploit e script già pronti, e il loro comportamento indica un controllo manuale e una conoscenza di base dei protocolli industriali. Questi attacchi vengono spesso eseguiti senza una scansione preventiva e spesso prendono di mira dispositivi accessibili da Internet senza protezione.
Secondo Forescout, i gruppi di hacktivisti si stanno rivolgendo sempre più a obiettivi industriali. Anche se gli attacchi segnalati non sono confermati, dimostrano una tendenza di interesse e il potenziale per attacchi ripetuti contro obiettivi reali. Le aziende del settore idrico ed energetico sono particolarmente vulnerabili, poiché l’accesso alle interfacce degli operatori o dei controllori spesso non richiede autenticazione e la registrazione e il monitoraggio vengono condotti in modo selettivo.
Gli esperti consigliano ai proprietari dei sistemi di controllo di evitare un’autenticazione debole e l’uso di password predefinite, di non esporre le interfacce direttamente su Internet, di segmentare rigorosamente le reti IT e OT, di limitare l’accesso alle porte amministrative tramite elenchi IP e di implementare il monitoraggio con un’ispezione approfondita dei pacchetti in grado di tracciare i comandi Modbus e S7. È inoltre importante prestare attenzione al traffico in uscita per evitare che i dispositivi vengano utilizzati in attacchi DDoS (Distributed Denial of Service).
L’hacktivism, secondo Forescout, sta diventando un’arena in cui il prestigio informatico è più importante dei risultati. I gruppi scompaiono, cambiano nome e ricompaiono, ma i loro membri e i loro metodi rimangono. Ecco perché l’analisi honeypot sta diventando uno strumento chiave per comprendere la direzione delle nuove ondate di attacchi alle infrastrutture industriali.
L'articolo Un impianto idrico “violato” in diretta! L’hacktivism diventa propaganda digitale proviene da Red Hot Cyber.
Scandalo deepfake intorno alle elezioni irlandesi rivela le falle nei controlli sull’AI
L'articolo proviene da #Euractiv Italia ed è stato ricondiviso sulla comunità Lemmy @Intelligenza Artificiale
Un video deepfake della candidata alla presidenza irlandese Catherine Connolly, diventato virale sui social media, ha riacceso i riflettori sulla
reshared this
CONGO. La pace di Trump è un inferno
@Notizie dall'Italia e dal mondo
Trump si vanta di aver riportato la pace in Congo, ma combattimenti e abusi continuano e l'emergenza umanitaria è disastrosa. La Casa Bianca punta a sfruttare le terre rare di cui è ricco il sottosuolo del paese africano
L'articolo CONGO. La pace di Trump è un pagineesteri.it/2025/10/24/afr…
Notizie dall'Italia e dal mondo reshared this.
La Russia e il Cybercrimine: un equilibrio tra repressione selettiva e interesse statale
L’ecosistema del cybercrimine russo è entrato in una fase di profonda mutazione, innescata da una combinazione di fattori: una pressione internazionale senza precedenti da parte delle forze dell’ordine, un riorientamento delle priorità interne e i persistenti, benché evoluti, legami tra la criminalità organizzata e lo Stato russo.
Un evento chiave è stata l’Operazione Endgame, lanciata nel maggio 2024, un’iniziativa multinazionale volta a colpire gruppi di ransomware, servizi di riciclaggio e infrastrutture correlate, anche all’interno di giurisdizioni russe. In risposta, le autorità russe hanno condotto una serie di arresti e sequestri di alto profilo.
Queste azioni segnano un allontanamento dalla storica posizione di quasi totale non interferenza della Russia nei confronti dei cybercriminali che operano a livello interno. Il tradizionale concetto di Russia come “rifugio sicuro” per questi attori si complica, divenendo sempre più condizionato e selettivo. Questa analisi si basa su un recente report elaborato dagli esperti di Recorded Future, un’organizzazione statunitense con cui Red Hot Cyber collabora attivamente nelle attività di intelligence.
Dark Covenant e la Gestione Statale
Chat e resoconti investigativi trapelati hanno confermato che figure di spicco della criminalità informatica intrattengono da tempo rapporti con i servizi di intelligence russi. Questi contatti includono la fornitura di dati, l’esecuzione di compiti specifici o lo sfruttamento di legami politici e corruzione per assicurarsi l’impunità.
Recorded Future, attraverso le analisi del suo Insikt Group, ha rilevato che il rapporto del governo russo con i cybercriminali si è evoluto da una tolleranza passiva a una gestione attiva. Dal 2023, si è osservato un chiaro cambiamento: l’applicazione selettiva della legge, arresti “orchestrati” ed “esempi” pubblici utilizzati per rafforzare l’autorità statale. Le comunicazioni intercettate rivelano persino un coordinamento operativo diretto tra i leader criminali e gli intermediari dell’intelligence.
Questa dinamica rientra nel framework “Dark Covenant”, che descrive una rete di relazioni (dirette, indirette e tacite) che legano il mondo del crimine informatico russo agli elementi dello Stato. In questo contesto, il cybercrimine non è solo un affare commerciale, ma anche uno strumento di influenza, un mezzo per acquisire informazioni e una responsabilità solo quando minaccia la stabilità interna o danneggia gli interessi russi.
Reazioni Clandestine e Pressione Internazionale
All’interno della comunità underground, la crescente ingerenza statale e le operazioni internazionali hanno minato la fiducia. I dati raccolti da Recorded Future sul dark web indicano che la criminalità informatica russa sta subendo una frattura sotto la doppia pressione del controllo statale e della sfiducia interna.
Questa doppia pressione ha accelerato gli adattamenti operativi:
- Rafforzamento dei Controlli: I programmi ransomware-as-a-service (RaaS) hanno introdotto verifiche più severe.
- Rebranding e Decentralizzazione: I gruppi di ransomware si sono riorganizzati, cambiando nome e adottando piattaforme di comunicazione decentralizzate per mitigare i rischi di infiltrazione e sorveglianza. I dati raccolti rivelano come i gruppi stiano decentralizzando le loro operazioni per eludere la sorveglianza sia occidentale che interna.
Contemporaneamente, i governi occidentali hanno inasprito le loro politiche, valutando il divieto di pagare riscatti, introducendo la segnalazione obbligatoria degli incidenti e persino operazioni cyber offensive.
Questa posizione più aggressiva coincide con negoziati e scambi di prigionieri. Insikt Group ritiene che la Russia stia sfruttando strategicamente i cybercriminali come strumenti geopolitici, collegando arresti e rilasci a cicli diplomatici più ampi.
Il Dopo Operazione Endgame: Aumento della Selezione e Regole Interne Più Dure
L’Operazione Endgame, pur non avendo smantellato il modello ransomware-as-a-service (RaaS), ha innescato un’immediata autodisciplina operativa all’interno dell’ecosistema criminale. Gli operatori RaaS non hanno modificato la struttura di base del loro modello di business, ma hanno drasticamente aumentato la soglia di accesso per mitigarne il rischio di rilevamento. Il reclutamento è diventato più selettivo: i gestori danno ora la priorità alle cerchie conosciute, intensificano lo screening e, di fatto, esternalizzano il rischio di eventuali operazioni di infiltrazione agli stessi affiliati.
Per mantenere l’integrità e la liquidità delle reti, gli operatori RaaS hanno introdotto requisiti di attività e garanzie finanziarie più rigorosi. Affiliati inattivi per un breve periodo (a volte solo 10 o 14 giorni, a seconda del gruppo, come Mamona o PlayBoy RaaS) vengono bannati per eliminare potenziali infiltrati “dormienti”. In aggiunta, per i nuovi membri, il capitale sociale è stato sostituito da garanzie economiche: sono richiesti depositi (ad esempio, 5.000 dollari) su altri forum affidabili. Questo costo d’ingresso eleva le barriere per i truffatori e rende l’infiltrazione molto più onerosa.
Parallelamente, i gruppi hanno affinato le loro regole di targeting per evitare di attirare l’attenzione politica e delle forze dell’ordine. Molti operatori, tra cui Anubis e PlayBoy RaaS, hanno formalmente vietato attacchi contro enti governativi, organizzazioni sanitarie e non-profit. Tali restrizioni servono sia come protezione reputazionale sia come allineamento implicito con i “limiti da non oltrepassare” del Dark Covenant russo. Sono stati imposti anche riscatti minimi (spesso 50.000 dollari o più) per prioritizzare le vittime con alto rendimento e sono stati vietati attacchi ripetuti per tutelare la credibilità delle negoziazioni.
In sostanza, la crescente pressione esterna e la condizione sempre più precaria della tolleranza statale hanno spinto la comunità criminale a una severa autoregolamentazione. Come lamentato da membri sui forum del dark web, l’aumento della truffa e l’afflusso di agenti non qualificati hanno portato a un deterioramento del controllo basato sulla reputazione. Di conseguenza, i mercati criminali si sono spostati verso canali chiusi e si affidano a garanzie finanziarie, sacrificando l’apertura in favore di una maggiore resilienza e sopravvivenza.
Conti e Trickbot: Immunità Relativa
Il gruppo Conti Ransomware e la sua rete associata Trickbot (considerati la culla di talenti e l’anello di congiunzione con i servizi russi) sono stati duramente presi di mira dalle autorità europee. Nonostante questa pressione, la risposta russa nei confronti delle figure di alto livello legate a Conti e Trickbot è stata modesta o ambigua. Arresti sporadici, come quello di Fyodor Aleksandrovich Andreev (“Angelo”) o di altri membri di Conti, sono stati seguiti da rapidi rilasci o da una scarsa copertura ufficiale.
L’assenza di azioni di contrasto contro altri individui ricercati dall’UE, come Iskander Rifkatovich Sharafetdinov (“alik”) o Vitalii Nikolaevich Kovalev (“stern”, “Bentley”), indica una protezione interna duratura. Kovalev, il presunto leader di Trickbot/Conti, è ritenuto legato al Servizio federale di sicurezza russo (FSB).
Questa protezione è multilivello:
- Contatti di Intelligence: Alcuni membri di Conti avrebbero fornito incarichi o informazioni, talvolta dietro compenso, ai servizi di intelligence russi (GRU e SVR).
- Obiettivi Allineati: La selezione delle vittime di Conti, che includeva il contractor militare statunitense Academi LLC e la rete di giornalismo investigativo Bellingcat, allinea gli interessi criminali con le priorità di raccolta di informazioni dello Stato.
- Clientelismo Politico: Sono stati segnalati presunti legami tra membri di Conti e Vladimir Ivanovich Plotnikov, un membro in carica della Duma russa, ampliando lo scudo protettivo oltre i servizi di sicurezza.
Il Sacrificio dei Facilitatori Finanziari
Al contrario, i servizi finanziari sono risultati sacrificabili. Nel settembre 2024, le autorità americane ed europee hanno sequestrato infrastrutture e fondi in criptovaluta relativi ai servizi di riciclaggio di denaro Cryptex, PM2BTC e UAPS. Questi servizi, gestiti da Sergey Ivanov, avrebbero riciclato oltre un miliardo di dollari di proventi illeciti.
La reazione russa è stata rapida e visibile: a ottobre 2024, il Comitato Investigativo russo (SKR) ha annunciato l’apertura di un’indagine, l’arresto di quasi 100 persone associate e il sequestro di 16 milioni di dollari in rubli e diverse proprietà. La scelta di colpire i facilitatori finanziari, piuttosto che gli operatori ransomware principali, dimostra che la Russia agisce quando la pressione internazionale è alta e il valore in termini di intelligence di questi servizi è basso. Il segnale è chiaro: il “rifugio sicuro” russo è condizionato dagli interessi dello Stato, non dalla legge.
Prospettive
L’evoluzione dell’ecosistema dipenderà dalla capacità delle autorità russe di bilanciare le pressioni esterne, le sensibilità politiche interne e il valore strategico a lungo termine fornito dai proxy cybercriminali. La Russia si presenta meno come un “rifugio” uniforme e più come un mercato controllato, dove sono gli interessi statali a determinare chi gode di protezione e chi viene represso.
L'articolo La Russia e il Cybercrimine: un equilibrio tra repressione selettiva e interesse statale proviene da Red Hot Cyber.
Gli hacker possono accedere alle chat e email di Microsoft Teams tramite token di accesso
Una recente scoperta ha rivelato che gli hacker possono sfruttare una falla in Microsoft Teams su Windows per ottenere token di autenticazione crittografati, i quali garantiscono l’accesso a chat, email e file archiviati su SharePoint senza autorizzazione. Brahim El Fikhi ha dettagliato questa vulnerabilità in un post pubblicato il 23 ottobre 2025, evidenziando come i token, conservati all’interno di un database di cookie ispirato a quello di Chromium, siano vulnerabili alla decrittazione tramite l’utilizzo dell’API di Protezione Dati (DPAPI) fornita da Windows.
I token di accesso offrono agli aggressori la possibilità di impersonare gli utenti, inviando ad esempio messaggi o email di Teams a nome delle vittime, al fine di eseguire attacchi di ingegneria sociale o per mantenere la persistenza. Tali metodi eludono i recenti potenziamenti della sicurezza, mettendo a rischio gli ambienti aziendali con possibili spostamenti laterali e conseguente esfiltrazione dei dati.
Il focus di El Fikhi sulle applicazioni desktop di Office, soprattutto Teams, rivela vulnerabilità nei componenti browser incorporati, deputati alla gestione dell’autenticazione tramite login.microsoftonline.com. Un’analisi recente segnala che l’ecosistema Microsoft resta un bersaglio privilegiato, vista la diffusione capillare all’interno delle aziende.
Le prime versioni di Microsoft Teams memorizzavano i cookie di autenticazione in testo normale all’interno del file SQLite in %AppData%LocalMicrosoftTeamsCookies, una falla scoperta da Vectra AI nel 2022 che consentiva semplici letture di file per raccogliere token per l’abuso della Graph API, bypassando l’MFA.
Gli aggiornamenti hanno eliminato questo tipo di archiviazione in testo normale, adottando formati crittografati allineati alla protezione dei cookie di Chromium per impedire il furto su disco. Tuttavia, questo cambiamento introduce nuovi vettori di attacco. I token ora utilizzano la crittografia AES-256-GCM protetta da DPAPI, un’API di Windows che collega le chiavi ai contesti utente o macchina per l’isolamento dei dati.
Per contrastare le minacce, sono previste misure che comprendono il monitoraggio delle interruzioni anomale di ms-teams.exe o di pattern ProcMon inusuali.
Inoltre, è consigliabile utilizzare l’uso di team basati sul web in modo da limitare l’archiviazione locale. La rotazione dei token tramite policy ID Entra e il monitoraggio dei log API per rilevare irregolarità sono ulteriori passaggi cruciali.
Man mano che le minacce a Teams si evolvono, assumono un’importanza fondamentale le regole EDR che si basano su DPAPI.
L'articolo Gli hacker possono accedere alle chat e email di Microsoft Teams tramite token di accesso proviene da Red Hot Cyber.
Perché il caso Nexperia preoccupa la Germania
L'articolo proviene da #StartMag e viene ricondiviso sulla comunità Lemmy @Informatica (Italy e non Italy 😁)
Le difficoltà di accesso ai microchip di Nexperia rischiano di mandare in panne i cicli produttivi di Volkswagen e Mercedes. L'articolo del Tagesspiegel tratto dalla rassegna startmag.it/innovazione/crisi-…
reshared this
Automatically Serving Up Canned Cat Food
If there’s any one benefit to having a cat as a pet instead of a dog, it’s that they’re a bit more independent and able to care for themselves for many days without human intervention. The only thing that’s really needed is a way to make sure they get food and water at regular intervals, but there are plenty of off-the-shelf options for these tasks. Assuming your cat can be fed dry food, that is. [Ben Heck]’s cat has a health problem that requires a special canned wet food, and since there aren’t automatic feeders for this he built his own cat-feeding robot.
Unlike dry food that can dispense a measured amount from a hopper full of food, the wet food needs to be opened and dispensed every day. To accomplish this, his robot has a mechanism that slowly slides a wedge under the pull tab on the can, punctures the can with it, and then pulls it back to remove the lid. From there the food is ejected from the feeder down a ramp to a waiting (and sometimes startled) cat. The cans are loaded into 3D-printed cartridges and then stacked into the machine on top of each other, so the machine can dispense food cans until it runs out. This design has space for six cans.
Although there are many benefits to having pets of any sort, one of the fun side quests of pet ownership is building fun things for them to enjoy or to make caring for them easier. We even had an entire Hackaday contest based on this premise. And, if biological life forms aren’t your cup of tea, there are always virtual pets to care for as well.
Thanks to [Michael C] for the tip!
youtube.com/embed/Mlp_DXk-Sz8?…
Violato il sito della FIA: esposti i dati personali di Max Verstappen e di oltre 7.000 piloti
I ricercatori della sicurezza hanno scoperto delle vulnerabilità in un sito web della FIA che conteneva informazioni personali sensibili e documenti relativi ai piloti, tra cui il campione del mondo Max Verstappen .
Ian Carroll, uno dei tre ricercatori che ha esaminato il sito, ha rivelato la violazione in un post sul blog mercoledì. Ha affermato che la FIA ha affrontato le vulnerabilità nei suoi sistemi immediatamente dopo essere stata contattata nello scorso giugno.
La FIA ha confermato la violazione e ha affermato di aver adottato misure per proteggere i dati dei piloti. Ha contattato i piloti coinvolti e le autorità competenti per la protezione dei dati.
I ricercatori hanno dichiarato di non aver avuto accesso né conservato informazioni sensibili relative a nessuno dei soggetti individuati tramite l’attacco informatico e hanno immediatamente segnalato i risultati alla FIA.
Il sito web è stato compromesso tramite l’utilizzo di un account utente normale. I ricercatori hanno sfruttato le vulnerabilità del sistema per ottenere privilegi di amministratore. Questo ha dato loro la possibilità di accedere alle informazioni personali sensibili di qualsiasi pilota di loro scelta.
“Sembrava che avessimo pieno accesso amministrativo al sito web di categorizzazione dei piloti della FIA”, hanno osservato. “Abbiamo interrotto i test dopo aver constatato che era possibile accedere al passaporto, al curriculum, alla patente, all’hash della password e alle informazioni personali identificabili di Max Verstappen”, ha scritto Carroll. “Questi dati potevano essere accessibili a tutti i piloti di F1 tramite una categorizzazione, insieme a informazioni sensibili relative alle operazioni interne della FIA. Non abbiamo avuto accesso ad alcun passaporto o informazione sensibile e tutti i dati sono stati cancellati”.
Il sito web della FIA dedicato alla classificazione dei piloti contiene i dati di quasi 7.000 piloti.
“La FIA è venuta a conoscenza di un incidente informatico che ha coinvolto il sito web FIA Driver Categorization durante l’estate”, ha affermato. “Sono state adottate misure immediate per proteggere i dati dei piloti e la FIA ha segnalato il problema alle autorità competenti per la protezione dei dati, in conformità con gli obblighi della FIA. È stato inoltre segnalato il numero limitato di piloti interessati da questo problema. Nessun’altra piattaforma digitale della FIA è stata interessata da questo incidente.”
Secondo i ricercatori, la FIA ha disattivato il sito web il 3 giugno, lo stesso giorno in cui è stata informata della violazione. Una settimana dopo, ha fornito i dettagli di una “soluzione completa”.
La FIA afferma di aver “investito ampiamente in misure di sicurezza informatica e resilienza in tutto il suo patrimonio digitale” e di “aver messo in atto misure di sicurezza dei dati di livello mondiale per proteggere tutti i suoi stakeholder e implementare una politica di sicurezza fin dalla progettazione in tutte le nuove iniziative digitali”.
L'articolo Violato il sito della FIA: esposti i dati personali di Max Verstappen e di oltre 7.000 piloti proviene da Red Hot Cyber.
Microsoft Edge protegge la modalità Internet Explorer dagli attacchi
Il team di sicurezza di Microsoft Edge ha apportato modifiche significative alla modalità Internet Explorer dopo aver ricevuto conferma di attacchi mirati che la utilizzavano. Gli esperti hanno scoperto che gli aggressori hanno sfruttato vulnerabilità nel motore JavaScript Chakra, obsoleto e integrato in Internet Explorer, per ottenere l’accesso remoto ai dispositivi degli utenti. Gli attacchi hanno dimostrato che anche nei browser moderni, le funzionalità legacy possono diventare un canale pericoloso per la compromissione del sistema.
La modalità Internet Explorer in Edge è stata creata come soluzione temporanea per supportare siti web e portali aziendali legacy che si basavano su tecnologie come ActiveX e Flash. Sebbene gran parte del web sia migrata verso standard moderni, molte organizzazioni utilizzano ancora interfacce legacy, dai sistemi di videosorveglianza ai servizi governativi, dove gli aggiornamenti infrastrutturali risultano difficili. Pertanto, Microsoft ha mantenuto la possibilità di aprire singoli siti web in modalità IE per garantire la compatibilità senza richiedere un’installazione completa di Internet Explorer.
Tuttavia, l’architettura di IE è ben lontana dagli standard di sicurezza moderni. La mancanza di meccanismi di protezione multilivello integrati in Chromium rende questa modalità vulnerabile ad attacchi che i browser moderni riescono a respingere con successo. Nell’agosto 2025, i ricercatori Microsoft hanno ricevuto informazioni attendibili che indicavano che i criminali informatici stavano utilizzando tecniche di ingegneria sociale e vulnerabilità zero-day in Chakra per compromettere i sistemi.
Lo scenario dell’attacco era il seguente: gli aggressori creavano un sito web falso, visivamente identico a quello ufficiale, e chiedevano all’utente di ricaricare la pagina in modalità IE tramite una finestra pop-up . Dopo aver attivato la modalità, introducevano un exploit per eseguire codice arbitrario e sfruttavano una seconda vulnerabilità per sfuggire al browser e assumere il pieno controllo del dispositivo.
Questo metodo ha aggirato tutte le protezioni integrate di Edge e ha consentito l’installazione di malware, la raccolta di dati sensibili o l’accesso all’interno della rete aziendale. Per bloccare questo sfruttamento, il team di Edge ha rapidamente rimosso i punti di attivazione della modalità IE più rischiosi, tra cui il pulsante della barra degli strumenti, il menu contestuale e l’opzione nell’interfaccia principale del browser. Tuttavia, gli utenti aziendali che abilitano la modalità tramite la gestione delle policy possono continuare a utilizzarla senza restrizioni.
La modalità IE rimane supportata per i singoli utenti, ma ora deve essere abilitata manualmente per ogni sito web specifico. Questa operazione può essere eseguita tramite Impostazioni → Browser predefinito , dove è necessario abilitare l’ impostazione “Consenti il ricaricamento dei siti in modalità Internet Explorer” e aggiungere le pagine desiderate all’elenco di compatibilità.
Questa modifica rende l’attivazione di questa modalità un passaggio consapevole e complica notevolmente la vita degli aggressori, che in precedenza potevano ingannare gli utenti inducendoli ad attivarla con un solo clic. Ora, ogni sito web deve essere aggiunto manualmente, impedendo l’apertura accidentale di pagine dannose nell’ambiente non sicuro di IE.
Microsoft ricorda agli utenti che il supporto per Internet Explorer 11 è terminato ufficialmente il 15 giugno 2022 e raccomanda vivamente di interrompere le tecnologie web legacy. I browser moderni non solo offrono livelli di sicurezza più elevati, ma anche prestazioni e stabilità migliori. Gli utenti possono verificare se la modalità IE è abilitata aprendo le impostazioni di Edge e assicurandosi che l’impostazione “Browser predefinito” sia configurata correttamente.
L'articolo Microsoft Edge protegge la modalità Internet Explorer dagli attacchi proviene da Red Hot Cyber.
Il concorso di birra artigianale in Canada è finito nel caos a causa dei giudici AI
Un importante concorso di birra artigianale in Canada è finito al centro di polemiche dopo aver inaspettatamente introdotto l’intelligenza artificiale nel processo di valutazione delle bevande. La decisione di integrare algoritmi senza preavviso ha suscitato indignazione tra i giudici e i membri della comunità birraria, che l’hanno vista come un’interferenza nel delicato processo di degustazione.
Il sistema di intelligenza artificiale ha valutato gli stessi campioni dei giudici umani, utilizzando i dati accumulati nelle competizioni precedenti: punteggi, note su gusto e aroma e registrazioni audio delle discussioni. Questi materiali hanno costituito la base di un algoritmo progettato per imitare il processo di degustazione umano.
Tuttavia, né i partecipanti né i giudici sono stati informati in anticipo dell’uso dell’intelligenza artificiale nella giuria, né del principio di funzionamento di questo modello, motivo per cui molti hanno percepito l’esperimento come un tentativo nascosto di minare la fiducia nel loro lavoro e di mettere in discussione l’importanza della partecipazione umana.
L’azienda ideatrice dell’esperimento era Best Beer, che si stava preparando a lanciare un’app per selezionare la birra in base alle preferenze di gusto degli utenti, utilizzando l’intelligenza artificiale. Il concorso è servito da banco di prova per questa tecnologia.
Tuttavia, ancor prima della conclusione dell’evento, uno dei giudici ha criticato duramente il procedimento, provocando la minaccia di azioni legali da parte dei rappresentanti della piattaforma. Questo episodio non ha fatto che alimentare il conflitto: molti operatori del settore lo hanno percepito come un tentativo di forzare gli algoritmi in un campo che ha sempre valorizzato l’esperienza personale, l’intuizione e il giudizio umano.
Questo caso dimostra come il conflitto tra esseri umani e intelligenza artificiale si sia gradualmente esteso oltre i campi creativi, coinvolgendo hobby e attività artigianali, fino a raggiungere la più sacra delle attività: la degustazione di vini.
Ma a giudicare dalla reazione del pubblico, l’introduzione della valutazione automatizzata in tali concorsi continuerà a incontrare una forte resistenza.
I rappresentanti della comunità birraria sottolineano che l’essenza di queste competizioni risiede nell’esperienza dal vivo e nella sottigliezza della valutazione, che non può essere ridotta a calcoli. Nonostante il crescente interesse per la tecnologia, i tentativi di trasferire le impressioni soggettive al regno dell’analisi meccanica sollevano dubbi anche tra i sostenitori dell’innovazione: nella degustazione troppo dipende dalle sensazioni, dal contesto e dalla percezione individuale.
L'articolo Il concorso di birra artigianale in Canada è finito nel caos a causa dei giudici AI proviene da Red Hot Cyber.
What Happened When AI Came for Craft Beer
A prominent beer judging competition introduced an AI-based judging tool without warning in the middle of a competition, surprising and angering judges who thought their evaluation notes for each beer were being used to improve the AI, according to multiple interviews with judges involved. The company behind the competition, called Best Beer, also planned to launch a consumer-facing app that would use AI to match drinkers with beers, the company told 404 Media.Best Beer also threatened legal action against one judge who wrote an open letter criticizing the use of AI in beer tasting and judging, according to multiple judges and text messages reviewed by 404 Media.
The months-long episode shows what can happen when organizations try to push AI onto a hobby, pursuit, art form, or even industry which has many members who are staunchly pro-human and anti-AI. Over the last several years we’ve seen it with illustrators, voice actors, music, and many more. AI came for beer too.
“It is attempting to solve a problem that wasn’t a problem before AI showed up, or before big tech showed up,” Greg Loudon, a certified beer judge and brewery sales manager, and who was the judge threatened with legal action, said. “I feel like AI doesn’t really have a place in beer, and if it does, it’s not going to be in things that are very human.”
“There’s so much subjectivity to it, and to strip out all of the humanity from it is a disservice to the industry,” he added. Another judge said the introduction of AI was “enshittifying” beer tasting.
💡
Do you know anything else about how AI is impacting beer? I would love to hear from you. Using a non-work device, you can message me securely on Signal at joseph.404 or send me an email at joseph@404media.co.This story started earlier this year at a Canadian Brewing Awards judging event. Best Beer is the company behind the Canadian Brewing Awards, which gives awards in categories such as Experimental Beer, Speciality IPA, and Historic/Regional Beers. To be a judge, you have to be certified by the Beer Judge Certification Program (BJCP), which involves an exam covering the brewing process, different beer styles, judging procedures, and more.
Around the third day of the competition, the judges were asked to enter their tasting notes into a new AI-powered app instead of the platform they already use, one judge told 404 Media. 404 Media granted the judge anonymity to protect them from retaliation.
Using the AI felt like it was “parroting back bad versions of your judge tasting notes,” they said. “There wasn't really an opportunity for us to actually write our evaluation.” Judges would write what they thought of a beer, and the AI would generate several descriptions based on the judges’ notes that the judge would then need to select. It would then provide additional questions for judges to answer that were “total garbage.”
“It was taking real human feedback, spitting out crap, and then making the human respond to more crap that it crafted for you,” the judge said.
“On top of all the misuse of our time and disrespecting us as judges, that really frustrated me—because it's not a good app,” they said.
Screenshot of a Best Beer-related website.
Multiple judges then met to piece together what was happening, and Loudon published his open letter in April.
“They introduced this AI model to their pool of 40+ judges in the middle of the competition judging, surprising everyone for the sudden shift away from traditional judging methods,” the letter says. “Results are tied back to each judge to increase accountability and ensure a safe, fair and equitable judging environment. Judging for competitions is a very human experience that depends on people filling diverse roles: as judges, stewards, staff, organizers, sorters, and venue maintenance workers,” the letter says.
“Their intentions to gather our training data for their own profit was apparent,” the letter says. It adds that one judge said “I am here to judge beer, not to beta test.”
The letter concluded with this: “To our fellow beverage judges, beverage industry owners, professionals, workers, and educators: Sign our letter. Spread the word. Raise awareness about the real human harms of AI in your spheres of influence. Have frank discussions with your employers, colleagues, and friends about AI use in our industry and our lives. Demand more transparency about competition organizations.”
33 people signed the letter. They included judges, breweries, and members of homebrewer associations in Canada and the United States.
Loudon told 404 Media in a recent phone call “you need to tell us if you're going to be using our data; you need to tell us if you're going to be profiting off of our data, and you can't be using volunteers that are there to judge beer. You need to tell people up front what you're going to do.”
playlist.megaphone.fm?p=TBIEA2…
At least one brewery that entered its beer into the Canadian Brewing Awards publicly called out Best Beer and the awards. XhAle Brew Co., based out of Alberta, wrote in a Facebook post in April that it asked for its entry fees of $565 to be refunded, and for the “destruction of XhAle's data collected during, and post-judging for the Best Beer App.”“We did not consent to our beer being used by a private equity tech fund at the cost to us (XhAle Brew Co. and Canadian Brewers) for a for-profit AI application. Nor do we condone the use of industry volunteers for the same purpose,” the post said.
Ob Simmonds, head of innovation at the Canadian Brewing Awards, told 404 Media in an email that “Breweries will have amazing insight on previously unavailable useful details about their beer and their performance in our competition. Furthermore, craft beer drinkers will be able to better sift through the noise and find beers perfect for their palate. This in no way is aimed at replacing technical judging with AI.”
With the consumer app, the idea was to “Help end users find beers that match their taste profile and help breweries better understand their results in our competition,” Simmonds said.
Simmonds said that “AI is being used to better match consumers with the best beers for their palate,” but said Best Beer is not training its own model.
Those plans have come to a halt though. At the end of September, the Canadian Brewing Awards said in an Instagram post the team was “stepping away.” It said the goal of Best Beer was to “make medals matter more to consumers, so that breweries could see a stronger return on their entries.” The organization said it “saw strong interest from many breweries, judges and consumers” and that it will donate Best Beer’s assets to a non-profit that shows interest. The post added the organization used third-party models that “were good enough to achieve the results we wanted,” and the privacy policies forbade training on the inputted data.
A screenshot of the Canadian Beer Awards' Instagram post.
The post included an apology: “We apologize to both judges and breweries for the communication gaps and for the disruptions caused by this year’s logistical challenges.”In an email sent to 404 Media this month, the Canadian Brewing Awards said “the Best Beer project was never designed to replace or profit from judges.”
“Despite these intentions, the project came under criticism before it was even officially launched,” it added, saying that the open letter “mischaracterized both our goals and approach.”
“Ultimately, we decided not to proceed with the public launch of Best Beer. Instead, we repurposed parts of the technology we had developed to support a brewery crawl during our gala. We chose to pause the broader project until we could ensure the judging community felt confident that no data would be used for profit and until we had more time to clear up the confusion,” the email added. “If judges wanted their data deleted what assurance can we provide them that it was in fact deleted. Everything was judged blind and they would have no access to our database from the enhanced division. For that reason, we felt it was more responsible to shelve the initiative for now.”
One judge told 404 Media: “I don’t think anyone who is hell bent on using AI is going to stop until it’s no longer worth it for them to do so.”
“I just hope that they are transparent if they try to do this again to judges who are volunteering their time, then either pay them or give them the chance ahead of time to opt-out,” they added.
Now months after this all started, Loudon said “The best beers on the market are art forms. They are expressionist. They're something that can't be quantified. And the human element to it, if you strip that all away, it just becomes very basic, and very sanitized, and sterilized.”
“Brewing is an art.”
XhAle Brew Co.
XhAle is not just a craft beer company. We are a company comprised of majority equity-deserving folks, and have been and still are marginalized in this industry. We understand and have personally...www.facebook.com
Making the Smallest and Dumbest LLM with Extreme Quantization
The reason why large language models are called ‘large’ is not because of how smart they are, but as a factor of their sheer size in bytes. At billions of parameters at four bytes each, they pose a serious challenge when it comes to not just their size on disk, but also in RAM, specifically the RAM of your videocard (VRAM). Reducing this immense size, as is done routinely for the smaller pretrained models which one can download for local use, involves quantization. This process is explained and demonstrated by [Codeically], who takes it to its logical extreme: reducing what could be a GB-sized model down to a mere 63 MB by reducing the bits per parameter.
While you can offload a model, i.e. keep only part of it in VRAM and the rest in system RAM, this massively impacts performance. An alternative is to use fewer bits per weight in the model, called ‘compression’, which typically involves reducing 16-bit floating point to 8-bit, reducing memory usage by about 75%. Going lower than this is generally deemed unadvisable.
Using GPT-2 as the base, it was trained with a pile of internet quotes, creating parameters with a very anemic 4-bit integer size. After initially manually zeroing the weights made the output too garbled, the second attempt without the zeroing did somewhat produce usable output before flying off the rails. Yet it did this with a 63 MB model at 78 tokens a second on just the CPU, demonstrating that you can create a pocket-sized chatbot to spout nonsense even without splurging on expensive hardware.
youtube.com/embed/a7TOameRqoY?…
Cyber security e geopolitica nell’era dell’AI: le lezioni dal Cybertech Europe 2025
@Informatica (Italy e non Italy 😁)
L'intreccio tra AI, cybersecurity e geopolitica ridefinisce la sicurezza nazionale. Dal Cybertech Europe 2025 emergono lezioni cruciali: attacchi continui, necessità di Cyber Command e resilienza come priorità. Ma la vera sfida è sensibilizzare
Informatica (Italy e non Italy 😁) reshared this.
Keep An Eye On Your Air-Cooled Engine
There was a time, long ago, when passenger vehicles used to be much simpler than they are today. There were many downsides of this era, safety chief among them, but there were some perks as well. They were in general cheaper to own and maintain, and plenty could be worked on with simple tools. There’s perhaps no easier car to work on than an air-cooled Volkswagen, either, but for all its simplicity there are a number of modern features owners add to help them with these antiques. [Pegor] has created his own custom engine head temperature monitor for these vehicles.
As one could imagine with an air-cooled engine, keeping an eye on the engine temperature is critical to ensuring their longevity but the original designs omitted this feature. There are some off-the-shelf aftermarket solutions but this custom version has a few extra features that others don’t. It’s based on a ATMega32u4 microcontroller and will work with any K-type thermocouple, and thanks to its open nature can use a wide array of displays. [Pegor] chose one to blend in with the rest of the instrumentation on this classic VW. The largest issue that needed to be sorted out was around grounding, but a DC-DC converter created an isolated power supply for the microcontroller, allowing the thermocouple to be bonded to the grounded engine without disrupting operation of the microcontroller.
The finished product looks excellent and does indeed blend in to the dashboard more than the off-the-shelf temperature monitor that was in use before. The only thing that is planned for future versions is a way to automatically dim the display when the headlights are on, as [Pegor] finds it a little bright at night. We also enjoy seeing anything that helps these antiques stay on the road more reliably as their modern descendants don’t have any of the charm or engineering of these classics.
Il copione è sempre lo stesso: ti chiamano, dicono che sono “incaricati dalla Guardia di Finanza”, ti dicono che hai un conto trading sequestrato e ti propongono soluzioni (tra cui: versare 199€).
Usano termini tecnici, decreti, nomi di leggi — tutto per creare panico e credibilità.
Curiosità: quando ho detto “ok, pago” mi passano subito un’altra voce, che finge di essere di Milano, cerca di rassicurarmi con accento diverso e tecnicismi.
Quando però rifiuto di dare i dati della carta, rimette l’accento dell’Est e riparte con pressioni e minacce velate.
reshared this
motore per valvola di zona riscaldamento - Questo è un post automatico da FediMercatino.it
Prezzo: 60 €
motore 230V per valvola di zona tipo rbm per impianti di riscaldamento
consegna brevi manu in Ferrara e provincia altrimenti spedisco
Il Mercatino del Fediverso 💵♻️ reshared this.
Inaugurazione della sede di Trieste
@Politica interna, europea e internazionale
Rassegna Stampa Ansa Il Piccolo TeleQuattro
L'articolo Inaugurazione della sede di Trieste proviene da Fondazione Luigi Einaudi.
Politica interna, europea e internazionale reshared this.
PCOfficina al Linux Day 2025: vieni a trovarci!
pcofficina.org/pcofficina-al-l…
Segnalato da PCOfficina in via Pimentel 5 a #Milano e pubblicato sulla comunità Lemmy
macfranc reshared this.
A Logical Clock That Pretends To Be Analog
[kcraske] had a simple plan for their clock build. They wanted a digital clock that was inspired by the appearance of an analog one, and they only wanted to use basic logic, with no microprocessors involved. Ultimately, they achieved just that.
Where today you might build a clock based around a microcontroller and a real-time clock module, or by querying a network time server, [kcraske] is doing all the timekeeping in simpler hardware. The clock is based around a bunch of 74-series logic chips, a CD4060 binary counter IC, and a 32.768 KHz crystal, which is easy to divide down to that critical 1 Hz. Time is displayed on the rings of LEDs around the perimeter of the clock—12 LEDs for hours, and 60 each for minutes and seconds. Inside the rings, the ICs that make up the clock are arranged in a pleasant radial configuration.
It’s a nice old-school build that reminds us not everything needs to run at 200 MHz or hook up to the internet to be worthwhile. We’ve featured some other fun old-school clocks of late, too. Meanwhile, if you’re cooking up your own arcane timepieces, we’d love to hear about it on the tipsline.
2025 Component Abuse Challenge: Nail Your Next Decal
One of the hardest parts of a project — assuming it makes it that far — is finishing it up in an aesthetically pleasing manner. As they say, the devil is in the details, wearing Prada. Apparently the devil also has an excellent manicure, because [Tamas Feher] has come up with a way to introduce incredibly detailed decals (down to 0.1 mm) in cheap, repeatable fashion, using a technique borrowed from the local nail salon. 
For those who aren’t in to nail art (which, statistically speaking, is likely to be most of you) there is a common “stamping” technique for putting details onto human fingernails. Nail polish is first applied to voids on a stencil-like plate, then picked up by a smooth silicone stamper, which is then pressed against the nail, reproducing the image that was on the stencil. If that’s clear as mud, there’s a quick demo video embedded bellow. There’s a common industrial technique that works the same way, which is actually where [Tamas] got the idea. For nail salons and at-home use, there are a huge variety of these stencils commercially available for nail art, but that doesn’t mean you’re likely to find what you want for your project’s front panel.
[Tamas] points out that by using a resin printer to produce the stencil plate, any arbitrary text or symbol can be used. Your logo, labels, whatever. By printing flat to the build plate, you can take advantage of the full resolution of the resin printer — even an older 2 K model would more than suffice here, while higher res like the new 16 K models become the definition of overkill. The prints go quick, as they don’t need any structural thickness: just enough to hold together coming off of the plate, plus enough extra to hold your designs at a 0.15 mm inset. That doesn’t seem very thick, but remember that this only has to hold enough nail polish to be picked up by the stamper.
[Tamas] cautions you have to work fast, as the thin layer of nail polish picked up by the stamper can dry in seconds. You’ll want plenty of nail polish remover (or plain acetone) on hand to clean the stamper once you’ve finished, as well as your stencil. [Tamas] cautions you’ll want to clean it immediately if you ever want to use it again. Good to know.
While this is going outside of the nail art kit’s comfort zone, it might not quite be abuse. It is however a very useful technique to add to our ever-growing quiver of how to make front panels. Besides, we don’t specify you have to literally make components suffer; we just want to see what wild and wonderful substitutions and improvisations you all come up with.
youtube.com/embed/NN003vlGLIk?…
Intelligenza Artificiale Generale AGI: definito il primo standard globale per misurarla
Il 21 ottobre 2025, un gruppo internazionale di ricercatori provenienti da 29 istituzioni di prestigio – tra cui Stanford University, MIT e Università della California, Berkeley – ha completato uno studio che segna una tappa fondamentale nello sviluppo dell’intelligenza artificiale: la definizione del primo quadro quantitativo per valutare l’Intelligenza Artificiale Generale (AGI).
Basato sulla teoria psicologica Cattell-Horn-Carroll (CHC), il modello proposto suddivide l’intelligenza generale in dieci domini cognitivi distinti, ognuno con un peso del 10%, per un totale di 100 punti che rappresentano il livello cognitivo umano.
Sulla base di questa scala, GPT-4 ha raggiunto un punteggio del 27%, mentre GPT-5 ha ottenuto il 58%, evidenziando una distribuzione irregolare delle abilità, con risultati eccellenti in linguaggio e conoscenza, ma punteggi nulli nella memoria a lungo termine.
Un approccio scientifico per misurare la “vera intelligenza”
Secondo i ricercatori, stabilire se un’IA possa essere considerata “intelligente” come un essere umano richiede una valutazione ampia e multidimensionale. Come in un check-up medico completo che misura la salute di diversi organi, l’AGI viene analizzata su vari fronti cognitivi – dal ragionamento al linguaggio, dalla memoria alla percezione sensoriale.
Il nuovo quadro si fonda sulla teoria CHC, utilizzata da decenni in psicologia per misurare le capacità cognitive umane. Questo approccio consente di scomporre l’intelligenza in componenti analitiche, come conoscenza, ragionamento, elaborazione visiva e memoria.
L’obiettivo del team è stato trasformare questi principi in un sistema di misurazione oggettivo applicabile anche ai modelli di intelligenza artificiale.
Il “test cognitivo” dell’IA
I test hanno valutato GPT-4 e GPT-5 su dieci aree: conoscenze generali, comprensione e produzione di testo, matematica, ragionamento immediato, memoria di lavoro, memoria a lungo termine, recupero mnemonico, elaborazione visiva, elaborazione uditiva e velocità di reazione.
GPT-5 ha mostrato miglioramenti significativi rispetto al predecessore, raggiungendo punteggi quasi perfetti in linguaggio, conoscenza e matematica. Tuttavia, entrambe le versioni hanno fallito nei test di memoria a lungo termine e nella gestione coerente delle informazioni nel tempo.
Secondo gli studiosi, ciò dimostra che i sistemi di IA attuali compensano le proprie lacune attraverso strategie di “distorsione delle capacità”, sfruttando enormi quantità di dati o strumenti esterni per mascherare limiti strutturali.
La “mente a dente di sega” delle IA moderne
Il rapporto descrive la distribuzione dei risultati come “a dente di sega”: eccellenze in alcune aree e carenze gravi in altre. Ad esempio, GPT-5 si comporta come uno studente brillante in materie teoriche, ma incapace di ricordare le lezioni apprese. Questa frammentazione cognitiva evidenzia che, pur mostrando abilità avanzate, le IA non possiedono ancora una comprensione continua e autonoma del mondo.
Gli autori dello studio paragonano l’IA a un motore sofisticato ma privo di alcuni componenti essenziali. Anche con un sistema linguistico e matematico di altissimo livello, l’assenza di una memoria stabile e di un vero meccanismo di apprendimento limita la capacità complessiva. Per l’intelligenza artificiale, questo si traduce in prestazioni elevate in compiti specifici, ma scarsa adattabilità e apprendimento autonomo nel lungo periodo.
Implicazioni per il futuro dell’IA
Oltre a fornire una base scientifica per la valutazione dell’intelligenza artificiale, lo studio contribuisce a ridefinire le aspettative sullo sviluppo dell’AGI. Dimostra che la semplice crescita delle dimensioni dei modelli o l’aumento dei dati non bastano a raggiungere la cognizione umana: servono nuove architetture in grado di integrare memoria, ragionamento e apprendimento esperienziale.
Gli studiosi sottolineano anche l’importanza di affrontare le cosiddette “allucinazioni” dell’IA – errori di fabbricazione di informazioni – che rimangono un punto critico in tutti i modelli testati. La consapevolezza di questi limiti può guidare un uso più consapevole della tecnologia, evitando sia entusiasmi eccessivi che timori infondati.
In definitiva, il principale contributo di questa ricerca è l’introduzione di un vero e proprio “metro cognitivo” per misurare l’intelligenza artificiale in modo oggettivo e comparabile. Solo conoscendo i punti di forza e di debolezza attuali sarà possibile orientare in modo efficace la prossima generazione di sistemi intelligenti.
L'articolo Intelligenza Artificiale Generale AGI: definito il primo standard globale per misurarla proviene da Red Hot Cyber.
Consiglio non richiesto agli avversari della Meloni
@Giornalismo e disordine informativo
articolo21.org/2025/10/consigl…
Consiglio non richiesto agli avversari della Meloni: evitare di definirla come cortigiana, cheerleader e in altri modi irrispettosi. Infatti, queste espressioni sono sontuose vie di fuga per la Premier, che le
Giornalismo e disordine informativo reshared this.
Libertà, stampa e cultura. Un continuo attentato
@Giornalismo e disordine informativo
articolo21.org/2025/10/liberta…
Forse una coincidenza, ma il 16 ottobre è lo stesso giorno dell’attentato mortale a Dafne Caruana Galizia, a Malta. Nello stesso giorno di ottobre l’attentato a Sigfrido Ranucci. Pochi hanno rilevato la coincidenza. Se tale è.
Giornalismo e disordine informativo reshared this.
Il nuovo video di Pasta Grannies: youtube.com/shorts/HWdv5NUtNVU
@Cucina e ricette
(HASHTAG)
Cucina e ricette reshared this.
Announcing the 2025 Hackaday Superconference Communicator Badge
It’s the moment you hard-core hardware nerds have been waiting for: the reveal of the 2025 Hackaday Supercon Communicator Badge. And this year, we’ve outdone ourselves, but that’s thanks to help from stellar collaboration with folks from the community, and help from sponsors. This badge is bigger than the sum of its parts, and we’ve planned for it to be useful for you to hack on in the afterlife. Indeed, as always, you are going to be the final collaborator, so we can’t wait to see what you’ll do with it.
You look up a topic, say Retro Computing or SAO trading, punch in the channel number on the numpad, and your badge starts listening to everything going on around that topic. But they also listen to everything else, and repeat anything they hear on to their neighbors. Like IRC, but LoRa.
But let’s talk hardware. The first thing that hits you is the custom keyboard, a hat-tip to portable computing devices of yore, but actually infinitely more capable and even nicer under the thumbs. Behind the keyboard is a custom dome-switch sticker sheet and a TC8418 I2C keyboard matrix multiplexer chip, which does away with all of the diodes and decoding and makes a keyboard design easy.
In the driver’s seat is an ESP32-S3, courtesy of Espressif, no less. We asked, and they made it rain: it’s the good one with 8 MB of PSRAM and 16 MB of flash – plenty of room for about anything, and just enough pins to run the show. We needed the form-factor of the LCD screen for the aesthetics, and we’ll just say there’s not much choice in this shape; we had to go for an LCD with a strange newish driver chip, but we made it work with the help of sketchy Arduino init scripts found around the interwebs.
Did we mention LoRa? A Communicator Badge is no good without a means of communication. Seeed makes these nice little SX1262 LoRa modules, and they were our first choice not only because they’re cute, but also because they come with a bring-your-own antenna option, and they had enough of them in stock. (This is not to be underestimated these days!) SMA adapter, LiPo and charging circuitry, and badge is your uncle! Super thanks go out to DigiKey for sponsoring us all manner of needed components.
Radio Frequency Madness
Here is where we run into our first problem, and it’s the exact opposite of the problem that mesh networks are designed to solve. Those little LoRa radios transmit easily 1 km to 2 km in open space, maybe half that in an urban neighborhood. And we’re putting 500 hundred of them in the alley, with often just a couple meters between badges.
Still, we’ve got some tricks up our sleeve, we’ve got a lot of bandwidth at our discretion, and we’ve got a smart bunch of hackers. We can make this work, and we will have some odd corners of radio spectrum for you to play around with too. Get together with a couple friends and have fun with RF.
We’ll also be broadcasting Supercon-relevant news out to the badges from time to time. Things like which talks are coming up, when and where the food has arrived, and so on.
The Keyboard
Other badges have come out using his stock keyboard, but only Hackaday and Supplyframe’s Design Lab was foolish enough to do something totally custom. Actually, it was super easy with [Arturo] leading the keyboard project, because he knows all about the details of preparing the designs for the keyboard dome sheets, and worked with the Design Lab team and Supplyframe’s designer [Bogdan Rosu] to get the custom silicone covers looking pretty. Thanks [Arturo]!
The Software?
The software is still under wraps. The folks at Design Lab are turning out badges as fast as they can, even as we write this, and that means that we’re still working on the software. The last minute is the sweetest minute. Again, though, we’re not alone.
The brains behind the software effort is [Spaceben], and I have to say I haven’t seen such clean Python code in my life. Everything is possible when you have good folks on your team.
We’re using the LVGL graphics framework for Micropython, which makes the GUI design a lot snazzier than it would otherwise be. It was also easy enough to port our funny display driver to lvgl_micropython, and we’re working on the keyboard too. We’ll see what works on Supercon Day 1!
Your Turn
And that brings us to you! Mesh-network-IRC is fun during the conference, but after the fact, these badges are going to be too good to just leave on the shelf. Porting Meshtastic to the badge would be a fantastic project. The keyboard, WiFi, and Bluetooth connectivity just beg for some kind of handheld remote-control device design. The panel for a home automation setup? Or heck, go super simple and just wire the I2C keyboard out to your next project that needs one. We’d bet a Jolly Wrencher sticker that the badge could be quickly transformed into an ELRS radio control unit.
We love the badge scene, and like many of you out there, we find it’s a pity when the badges just sit in the closet. So we tried to plan for the afterlife here by making the badge hardware as useful as we could, and by making the software side as accessible as possible. Those of you who hack on the badge during Supercon, you’ll be blazing the trails for the rest of us afterwards.
We hope you find it fun to chat with others at Supercon, a fun platform to work on, and something useful after the fact. Managing an ad-hoc chaos mesh network isn’t going to be easy, but the real goal is the friends you meet along the way. See you all at Supercon!
2,5 miliardi di dollari: il costo dell’attacco informatico a Jaguar Land Rover
Jaguar Land Rover continua ad affrontare le conseguenze dell’attacco informatico che ha paralizzato la produzione, interrotto la rete di concessionari e messo a repentaglio le catene di approvvigionamento.
Nei maggiori impianti del Regno Unito, la fabbricazione di veicoli è stata interrotta per un periodo di quasi cinque settimane. Una riduzione di produzione di quasi 5.000 veicoli a settimana è stata registrata nel Regno Unito durante la sospensione, corrispondente a una perdita stimata settimanale di 108 milioni di sterline per le operazioni di JLR nel Regno Unito, includendo sia i costi fissi sia le perdite di profitto.
Il Cyber Monitoring Centre stima stima che l’evento abbia causato un impatto finanziario nel Regno Unito di 1,9 miliardi di sterline e abbia interessato oltre 5.000 organizzazioni del Regno Unito . L’intervallo di perdita modellato è compreso tra 1,6 e 2,1 miliardi di sterline, ma potrebbe essere superiore in caso di impatto significativo sulla tecnologia operativa o di ritardi imprevisti nel riportare la produzione ai livelli precedenti l’evento. Questa stima riflette la sostanziale interruzione della produzione di JLR, della sua catena di fornitura multilivello e delle organizzazioni a valle, comprese le concessionarie. La stima è sensibile alle ipotesi chiave, tra cui la data in cui JLR sarà in grado di ripristinare completamente la produzione e il profilo della ripresa; questa e altre ipotesi e limitazioni sono discusse più avanti in questo documento.
La valutazione dell’impatto finanziario si basa su un ritorno alla piena produzione all’inizio di gennaio 2026. A seguito delle chiusure dovute al COVID, JLR ha impiegato diverse settimane per tornare alla piena produzione. Un ritorno all’inizio di gennaio si basa sul contributo di esperti secondo cui JLR probabilmente incontrerà ulteriori complessità nel suo ritorno alla piena operatività, a causa delle continue sfide all’interno dell’infrastruttura IT o dei vincoli della catena di approvvigionamento.
Si prevede che il ritorno alla piena produzione sarà impegnativo, con la possibilità che si presentino problemi imprevisti che dovranno essere risolti. E’ stata ipotizzata una ripresa lineare dall’8 ottobre, quando è stato annunciato il ritorno alla produzione limitata, fino all’inizio di gennaio 2026.
Il Cyber Monitoring Centre ha riportato che per ragioni attualmente poco chiare, sono emersi pubblicamente meno dettagli tecnici su questo incidente rispetto al solito in casi simili.
La valutazione dell’impatto finanziario dell’incidente dipende fortemente dai dettagli tecnici, soprattutto per quanto riguarda l’influenza sulla tecnologia operativa (OT) di JLR, un aspetto fondamentale in questo contesto.
La portata dell’impatto dipenderà dall’estensione degli exploit dannosi realizzati, dai sistemi coinvolti e dalle possibili ulteriori conseguenze che potrebbero scaturire da un’interruzione non controllata.
Effettuare un blocco della produzione significa che è esistito un rischio significativo che gli aggressori potessero minare o avrebbero potuto minare le strutture operative essenziali, aumentando così il rischio di un’interazione dannosa tra i sistemi operativi e quelli informatici. Tuttavia, la ripresa della produzione all’inizio di ottobre suggerisce che l’entità di questo rischio sia probabilmente contenuta.
L'articolo 2,5 miliardi di dollari: il costo dell’attacco informatico a Jaguar Land Rover proviene da Red Hot Cyber.
Finalmente cestini della munnezza abbinati alle insegne de Roma!
cedolare secca
Affitto villetta sul Trasimeno, chi a vuole come affitto lungo?
CICI, MAI SENTITO NOMINARE?
@Informatica (Italy e non Italy 😁)
ByteDance, l’azienda madre di TikTok, ha creato quello che è attualmente il chatbot, il modello di intelligenza artificiale, più popolare in Cina: “Doubao”. Presentato nel 2023, con un successo quasi istantaneo è assurto ai vertici del mercato dell'intelligenza artificiale generativa del Paese di Mezzo, raggiungendo oltre 157 milioni di utenti attivi al
faghy diaspo likes this.
Informatica (Italy e non Italy 😁) reshared this.
The first application of enteral ventilation—aka breathing through the bum—to humans proved the technique is safe.#TheAbstract
Breathing Through Our Butts Declared Safe After First Human Trial
🌘
Subscribe to 404 Media to get The Abstract, our newsletter about the most exciting and mind-boggling science news and studies of the week.Hold onto your butts, because one day you might be breathing through them.
Scientists have tested out enteral ventilation—a possible method of administering oxygen with a liquid delivered through the rectum that is then absorbed into the intestines—in humans for the first time. The trial demonstrated that this method of ventilation is safe and “paves the way for future studies to see if this technique can help patients with respiratory failure,” according to a study published on Monday in the journal Med.
“Enteral ventilation is not meant to replace mechanical ventilators or ECMO, but rather to serve as a complementary oxygenation route,” said Takanori Takebe, an expert in organoid medicine with appointments at both Cincinnati Children’s Hospital Medical Center and the University of Osaka, in an email to 404 Media. The technique proves a backdoor “to provide partial oxygen support while allowing the lungs to rest,” he added.
But while this method is safe for humans, it hasn’t been experimentally shown to work on patients experiencing respiratory distress yet. If future trials show that enteral ventilation is also effective, it could potentially help newborns and premature infants who are struggling to establish lung function after birth, aid patients with severe respiratory failure or Acute Respiratory Distress Syndrome (ARDS), or be applied in other situations in which temporary oxygen supplementation is needed.
“In such cases, intestinal oxygen delivery could serve as a ‘bridge’ therapy until normal respiration or full ventilatory support can be established,” Takebe said.
A figure outlining the first enteral ventilation trial in humans. Image: Fujii, Tasuku et al.
The team previously published a study in 2021 that showed enteral ventilation was effective in ameliorating respiratory failure in rats, mice, and pigs. This initial trial in humans involved 27 healthy male volunteers, who received a liquid called perfluorodecalin through their rectums in an enema-like process.Since the trial was only intended to determine the safety of the procedure, rather than probe its efficacy in humans, the perfluorodecalin was not oxygenated and none of the volunteers were experiencing any respiratory distress during the course of the study.
“The results aligned closely with what we had anticipated from our preclinical data,” Takebe said. “We found that intrarectal administration of perfluorodecalin up to 1,000 mL was safe and well tolerated, with only mild and transient gastrointestinal symptoms such as bloating.”
“The next phase will involve testing ‘oxygenated’ perfluorodecalin (O₂-PFD) in patients with hypoxemia to evaluate actual oxygen transfer efficacy,” he added. “We are currently planning a Phase II trial in collaboration with clinical partners in Japan and the U.S.”
Takebe and his colleagues were inspired to develop this roundabout route by aquatic species, such as loaches, which absorb oxygen through their intestines to survive in low-oxygen environments. While the idea of rectally administering perfluorodecalin is relatively new, the use of oxygenated liquid for ventilation dates back decades. It even shows up in James Cameron’s 1989 thriller The Abyss, which includes a real scene of a rat breathing in a tank of liquid perfluorocarbon.
The technique may prove to be an effective means to alleviate respiratory distress in humans, but it’s also inspired its fair share of jokes because, well, it is about butt breath, after all.
In 2024, for instance, Takebe’s team received the Ig Nobel Prize, a satirical award that honors “achievements so surprising that they make people laugh, then think,” according to its website. Fellow Ig Nobel awardees include a team that levitated a frog in midair and another that investigated why pregnant women aren’t constantly tipping over.
“Receiving the Ig Nobel Prize was both humorous and humbling,” Takebe said. “It was a reminder that truly unconventional ideas often begin at the boundary between curiosity and skepticism.”
“While the prize is lighthearted in tone, I do believe it serves a serious purpose, encouraging the public to stay curious and to appreciate how even seemingly odd scientific questions can lead to meaningful innovations,” he concluded. “What began as a playful concept is now moving closer to a viable medical technology.”
🌘
Subscribe to 404 Media to get The Abstract, our newsletter about the most exciting and mind-boggling science news and studies of the week.The Ig Nobel Prize: Levitating frogs, constipated scorpions, and other science that makes you laugh then think - American Chemical Society
The Ig Nobel Prize celebrates discoveries that are unusual and imaginative that might not make it into a more traditional research journal.American Chemical Society
Otttoz
in reply to Antonella Ferrari • • •Giornalismo e disordine informativo reshared this.