Salta al contenuto principale

friendica (DFRN) - Collegamento all'originale

Anduril accelera sul suo loyal wingman. Effettuati i primi test di volo del “Fury”

@Notizie dall'Italia e dal mondo

Il loyal wingman di Anduril prende ufficialmente il volo. Venerdì scorso, secondo quanto affermato dalla stessa Us Air Force, il prototipo dell’Yfq-44A “Fury” realizzato dalla start-up americana avrebbe iniziato ufficialmente i test di volo in una località

@Notizie dall'Italia e dal mondo

friendica (DFRN) - Collegamento all'originale
“Il mistero della comunione dei santi, che oggi respiriamo a pieni polmoni, ci ricorda qual è il destino finale dell’umanità: una grande festa in cui si gioisce insieme dell’amore di Dio, presente tutto in tutti, che si riconosce ammirando la bellezz…

Leone XIV: Angelus, “la famiglia umana sta soffrendo a causa delle ingiustizie e delle guerre”, essere “costruttori di fraternità” - AgenSIR

M.Michela Nicolais (AgenSIR)

friendica (DFRN) - Collegamento all'originale

Presentazione del volume di Antonella Attanasio “Don Diego alla corte roveresca di Casteldurante: l’Historia naturale dell’elefante” 12 novembre 2025, ore 17.00

Conoscete la storia dell’elefante Don Diego?

Venite a scoprirla il 12 novembre alla Biblioteca Universitaria Alessandrina!
Verrà presentato il volume “Don Diego alla corte roveresca di Casteldurante: l’Historia naturale dell’elefante” di Antonella Attanasio.

Primo dei “Quaderni” della collana “Immaginare i Saperi” per De Luca Editori d’Arte

Interventi di:
Daniela Fugaro, direttrice della Biblioteca Universitaria Alessandrina

Massimo Moretti, Sapienza Università di Roma

Lucia Tomasi Tongiorgi, Accademia Nazionale dei Lincei

Antonella Sbrilli, Sapienza Università di Roma

Ore 17.00 Sala Bio Bibliografica
Biblioteca Universitaria Alessandrina
Palazzo del Rettorato della Sapienza
Piazzale Aldo Moro, 5
🐘
.
.
.
#immaginareisaperi#bibliotecauniversitariaalessandrina#sapienzauniversitàdiroma

@delucaeditori@massimo_.moretti@antonellattanasio@diconodioggi@storiadellarterivista@bibliotecaalessandrina

alessandrina.cultura.gov.it/pr…

friendica (DFRN) - Collegamento all'originale
“Dopo lo storico incontro di preghiera con Re Carlo III la vostra presenza oggi esprime la gioia condivisa per la proclamazione di San John Henry Newman dottore della Chiesa”.

Leone XIV: San John Henry Newman “accompagni i cristiani verso la piena unità” - AgenSIR

M.Michela Nicolais (AgenSIR)

friendica (DFRN) - Collegamento all'originale

Volumetric Display Takes a Straight Forward (and Backward) Approach

There’s something delightfully sci-fi about any kind of volumetric display. Sure, you know it’s not really a hologram, and Princess Leia isn’t about to pop out and tell you you’re her only hope, but nothing says “this is the future” like an image floating before you in 3D. [Matthew Lim] has put together an interesting one, using persistence-of-vision and linear motion.

The basic concept is so simple we’re kind of surprised we don’t see it more often. Usually, POV displays use rotary motion: on a fan, a globe, a disk, or even a drone, we’ve seen all sorts of spinning LEDs tricking the brain into thinking there’s an image to be seen. [Matthew’s] is apparently the kind of guy who sticks to the straight-and-narrow, on the other hand, because his POV display uses linear motion.

An ESP32-equipped LED matrix module is bounced up by an ordinary N20 motor that’s equipped with an encoder and driven by a DRV8388. Using an encoder and the motor driver makes sure that the pixels on the LED matrix are synced perfectly to the up-and-down motion, allowing for volumetric effects. This seems like a great technique, since it eliminates the need for slip rings you might have with rotary POV displays. It does of course introduce its own challenges, given that inertia is a thing, but I think we can agree the result speaks for itself.

One interesting design choice is that the display is moved by a simple rack-and-pinion, requiring the motor to reverse 16 times per second. We wonder if a crank wouldn’t be easier on the hardware. Software too, since [matthew] has to calibrate for backlash in the gear train. In any case, the stroke length of 20 mm creates a cubical display since the matrix is itself 20 mm x 20 mm. (That’s just over 3/4″, or about twice the with of a french fry.) In that 20 mm, he can fit eight layers, so not a great resolution on the Z-axis but enough for us to call it “volumetric” for sure. A faster stroke is possible, but it both reduces the height of the display and increases wear on the components, which are mostly 3D printed, after all.

It’s certainly an interesting technique, and the speechless (all subtitles) video is worth watching– at least the first 10 seconds so you can see this thing in action.

Thanks to [carl] for the tip. If a cool project persists in your vision, do please let us know.

youtube.com/embed/KgT20tHpk1g?…

hackaday.com/2025/11/01/volume…

friendica (DFRN) - Collegamento all'originale
La luce e l’oscurità, il messaggio liberante delle Beatitudini e la malattia del nichilismo che attanaglia la nostra epoca.

Leone XIV: “liberare l’umanità dall’oscurità del nichilismo” - AgenSIR

M.Michela Nicolais (AgenSIR)

friendica (DFRN) - Collegamento all'originale
“Fare delle scuole, delle università e di ogni realtà educativa, anche informale e di strada, come le soglie di una civiltà di dialogo e di pace”. Lo chiesto il Papa agli educatori presenti oggi in piazza san Pietro.

Leone XIV: “fare delle scuole e delle università le soglie di una civiltà di dialogo e di pace” - AgenSIR

M.Michela Nicolais (AgenSIR)

friendica (DFRN) - Collegamento all'originale
“Disarmiamo le false ragioni della rassegnazione e dell’impotenza, e facciamo circolare nel mondo contemporaneo le grandi ragioni della speranza”.

Leone XIV: “disarmiamo le false ragioni della rassegnazione e dell’impotenza” - AgenSIR

M.Michela Nicolais (AgenSIR)

friendica (DFRN) - Collegamento all'originale
“Possano le nostre scuole e università essere sempre luoghi di ascolto e di pratica del Vangelo!”. E’ l’auspicio del Papa, nell’omelia della messa presieduta in piazza San Pietro con il rito per la proclamazione a Dottore della Chiesa di San John Hen…

Leone XIV: “non permettiamo al pessimismo di sconfiggerci”, “liberare l’umanità dall”oscurità del nichilismo” - AgenSIR

M.Michela Nicolais (AgenSIR)

friendica (DFRN) - Collegamento all'originale
“Il Giubileo è un pellegrinaggio nella speranza e voi tutti, nel grande campo dell’educazione, sapete bene quanto la speranza sia una semente indispensabile!”.

Leone XIV: “scuole e università siano laboratori di profezia” - AgenSIR

M.Michela Nicolais (AgenSIR)

friendica (DFRN) - Collegamento all'originale
“In questa Solennità di Tutti i Santi, è una grande gioia inscrivere San John Henry Newman fra i Dottori della Chiesa e, al tempo stesso, in occasione del Giubileo del Mondo Educativo, nominarlo co-patrono, insieme a San Tommaso d’Aquino, di tutti i …

Leone XIV: “la vita dei santi ci testimonia che è possibile vivere appassionatamente in mezzo alla complessità del presente” - AgenSIR

M.Michela Nicolais (AgenSIR)

friendica (DFRN) - Collegamento all'originale
Papa Leone XIV ha appena proclamato san John Henry Newman Dottore della Chiesa universale. Il Pontefice ha pronunciato la formula di rito in latino, sul sagrato della basilica di San Pietro, sotto lo stendardo del santo inglese, anglicano poi convert…

Leone XIV: proclama San John Henry Newman dottore della Chiesa - AgenSIR

M.Michela Nicolais (AgenSIR)

friendica (DFRN) - Collegamento all'originale

io credo (ma non è che ci si possa basare alcuna strategia) che l'arsenale atomico russo, dopo tutti questi anni di incuria, sia ormai da considerare per lo più "scaduto". per mancanza di manutenzione e rinnovamento. le atomiche non sono cose che metto in un magazzino e durano secoli. il materiale fissile è instabile per necessità stessa di essere bomba e generare un'esplosione. un'instabilità "finemente" "calibrata". e tutti questi proclami di putin, non fanno che alimentare questi dubbi. le atomiche nel mondo sono in dato "acquisito" e ovvio, e pure parlarne rende per certi versi più dubbia l'esistenza. se puoi già nuclearizzare tutto il mondo perché hai bisogno di nuove armi? esiste la possibilità, ma spero di non dovermi mai cacare sotto per provarlo, che in caso di vero conflitto atomico, la russia sia nuclearizzata (2-3 città in tutto, tanto basta) ma sospetto che in europa o usa arriverebbero i classici missili armati di bandierina con la scritta ("il materiale fissile si trova nel magazzino AB92S").

ovviamente ripeto, non è il caso di provare questa cosa.

friendica (DFRN) - Collegamento all'originale

Contenzione meccanica in psichiatria, un documento senza visione né risorse: l’ennesima occasione mancata - Quotidiano Sanità

www.quotidianosanita.it

friendica (DFRN) - Collegamento all'originale

Sotto i ghiacci dell’Antartide scoperto un enorme corpo granitico sepolto da 175 milioni di anni

Sotto il ghiacciaio di Pine Island, in Antartide occidentale, è stato scoperto un enorme corpo granitico largo circa 100 km e spesso circa 7 km, nascosto da 175 milioni di anni.
Ilaria Polastro (Geopop)

friendica (DFRN) - Collegamento all'originale

Guerre di Rete - Il riepilogo del mese


@Informatica (Italy e non Italy 😁)
La bolla dell’intelligenza artificiale sta per scoppiare?

#GuerreDiRete è la newsletter curata da @Carola Frediani
guerredirete.substack.com/p/gu…

#guerredirete @Carola Frediani @Informatica (Italy e non Italy 😁)

friendica (DFRN) - Collegamento all'originale

ChatControl Gets Coup-De-Grace

Possibly the biggest privacy story of the year for Europeans and, by extension the rest of the world, has been ChatControl. Chatcontrol is a European Union proposal backed by Denmark for a mandatory backdoor in all online communications. As always with these things, it was touted as a think-of-the-children solution to online child abuse material, but as many opposed to it have warned, that concealed far more sinister possibilities. For now, it seems we can breathe easily as the Danes are reported to have formally backed away from the proposal after it was roundly condemned by the German government, sending it firmly into the political wilderness.

Hackaday readers are likely vastly more informed on this matter than many of the general public, so you’ll have no need for a primer on the obvious privacy and security concerns of such a move. From our point of view, it also suffered from the obvious flaw of being very unlikely to succeed in its stated aim. Even the most blinkered politician should understand that criminals would simply move their traffic to newly-illegal encrypted forms of communication without government backdoors. Perhaps it speaks volumes that it was the Germans who sounded its death-knell, given that state surveillance on that level is very much within living memory for many of them.

The mood in European hackerspaces has been gloomy of late on the subject, so it’s something of a cause for celebration on the continent. If only other governments on the same side of the Atlantic could understand that intrusive measures in the name of thinking of the children don’t work.

European flags: Šarūnas Burdulis, CC BY-SA 2.0 .

hackaday.com/2025/11/01/chatco…

Gazzetta del Cadavere reshared this.

friendica (DFRN) - Collegamento all'originale

Taiwan lancia un’iniziativa internazionale per la sicurezza dei cavi sottomarini

Il 28 ottobre 2025, durante il Forum di cooperazione sulla sicurezza dei cavi sottomarini Taiwan-UE, svoltosi a Taipei, il ministro degli Esteri taiwanese Lin Chia-lung ha presentato la “Iniziativa Internazionale per la Gestione del Rischio dei Cavi Sottomarini, sottolineando che non si tratta di un progetto esclusivamente di Taiwan, ma di un accordo di collaborazione globale.

Una partnership per la resilienza delle infrastrutture digitali


L’evento, organizzato congiuntamente dal Centro per la Scienza, la Democrazia e la Società (DSET), dal Formosa Club e dal Ministero degli Affari Esteri, ha riunito esperti, rappresentanti governativi e istituzioni europee.

Tra i relatori è intervenuto Richards Kols, presidente del Formosa Club di Taipei e membro della Commissione per gli Affari Esteri del Parlamento Europeo, che ha aperto i lavori del forum.

Nel suo intervento, Lin ha evidenziato come i cavi sottomarini rappresentino un’infrastruttura critica per le comunicazioni globali, ma allo stesso tempo vulnerabile a incidenti e minacce.
Nella regione indo-pacifica, frequentemente colpita da terremoti, i guasti ai cavi sono un problema costante.

A questi si aggiungono i danni causati da attività umane come pesca, dragaggio, ancoraggio e costruzioni offshore, che ogni anno provocano centinaia di interruzioni e comportano costi di manutenzione significativi per governi e operatori.

Le minacce emergenti: sabotaggio e guerra ibrida


Il ministro ha espresso preoccupazione per i rischi di sabotaggio deliberato, sottolineando come il taglio intenzionale dei cavi possa essere utilizzato come strumento di guerra ibrida o coercizione geopolitica, in grado di compromettere la sicurezza nazionale e l’economia di un Paese.

Negli ultimi anni, Taiwan ha sperimentato direttamente le conseguenze di questi incidenti, in particolare nelle isole periferiche, dove le interruzioni di rete hanno avuto ripercussioni sul commercio, sui servizi finanziari, sulle comunicazioni d’emergenza e sulla vita quotidiana dei cittadini.

Taiwan, nodo strategico nelle comunicazioni globali


Lin ha ricordato che Taiwan occupa una posizione strategica nel sistema delle telecomunicazioni internazionali: numerosi cavi sottomarini passano attraverso o vicino all’isola, collegando l’Indo-Pacifico, il Nord America e l’Europa.

Questa centralità comporta non solo vantaggi economici, ma anche una responsabilità condivisa nella protezione delle reti globali. Secondo il ministro, “la stabilità nello Stretto di Taiwan rappresenta un bene pubblico globale, e Taiwan è pronta a contribuire attivamente alla sua salvaguardia”.

I quattro pilastri dell’iniziativa internazionale


L’Iniziativa Internazionale per la Gestione del Rischio dei Cavi Sottomarini mira a promuovere una cooperazione multilaterale tra Stati, imprese e istituzioni, attraverso quattro obiettivi principali:

  1. Mitigazione del rischio: rafforzare la manutenzione preventiva, i sistemi di monitoraggio e la capacità di risposta rapida in caso di guasti o minacce.
  2. Condivisione delle informazioni: istituire canali di scambio e allerta precoce per garantire una comunicazione efficace e tempestiva tra le parti coinvolte.
  3. Riforma del sistema: promuovere linee guida internazionali condivise e il rispetto delle convenzioni esistenti, come la Convenzione delle Nazioni Unite sul Diritto del Mare, aggiornandole se necessario.
  4. Sviluppo delle competenze: organizzare formazioni, workshop e programmi di scambio per accrescere le capacità tecniche e operative dei Paesi interessati.

Lin ha concluso sottolineando che l’iniziativa si propone di creare una rete di cooperazione globale, capace di rafforzare la resilienza delle infrastrutture digitali e di proteggere un bene comune fondamentale dell’era moderna: la connettività globale.

L'articolo Taiwan lancia un’iniziativa internazionale per la sicurezza dei cavi sottomarini proviene da Red Hot Cyber.

friendica (DFRN) - Collegamento all'originale

Port-scanning nel 2025: Nmap e AI — come integrarli in modo sicuro e operativo

Nel 2025 il port-scanning resta una delle attività chiave tanto per i Red Team (ricognizione, discovery, fingerprinting) quanto per i Blue Team (monitoraggio e difesa proattiva). Ma la novità di questi mesi è l’arrivo dei Large Language Models (LLM) integrati direttamente nel flusso di lavoro tecnico.

Uno degli esempi più interessanti è LLM-Tools-Nmap, presentato da Hackers Arise, che permette di pilotare Nmap tramite istruzioni in linguaggio naturale.

In pratica, il modello traduce la richiesta (“scansiona le porte web più comuni su questo /24 con velocità moderata e output in XML”) in un comando Nmap corretto e sicuro, includendo opzioni di timing, script NSE e limiti di scansione.

Kali Linux 2025.3 include già llm tra i pacchetti opzionali, e il plugin LLM-Tools-Nmap è disponibile su GitHub per integrazione manuale o automatica.

L’obiettivo è ridurre errori di sintassi, velocizzare i test e consentire all’AI di assistere gli operatori nella generazione, validazione e interpretazione dei risultati. È un concetto potente, ma che richiede — come sempre — controllo umano e policy chiare.

Perché Nmap è ancora il punto fermo


Nmap rimane lo standard de-facto per il port-scanning.
La sua documentazione, la prevedibilità del comportamento delle opzioni (-sS, -sV, -O, -T3), e la possibilità di usare script NSE dedicati rendono questo tool imprescindibile.

Conoscere il cheatsheet Nmap è essenziale per capire cosa succede davvero sul wire, diagnosticare falsi negativi, gestire firewall e IDS, e costruire baseline ripetibili.

Vantaggi del cheatsheet:

  • Determinismo e trasparenza: ogni flag fa esattamente ciò che dichiara.
  • Diagnostica: sapere interpretare perché una scansione fallisce.
  • Ripetibilità: perfetto per training e testing controllato.


Dove l’AI accelera (ma non sostituisce)


L’AI, e in particolare LLM-Tools-Nmap, funziona come copilota intelligente:
interpreta comandi complessi, genera pipeline (masscan → nmap → parsing → report), prepara script di parsing (jq, Python) e persino trasforma output XML in report leggibili.
Può adattare la strategia di scanning ai risultati (ad esempio, avviare --script=http-enum solo se trova un webserver) e fornire sintesi utili ai SOC.

Limiti e rischi:

  • L’AI non conosce policy, orari di manutenzione o impatti di rete: può proporre comandi aggressivi.
  • Possibili “allucinazioni” di opzioni inesistenti.
  • Automatizzare senza supervisione può creare rischi legali o operativi.


Workflow consigliato (approccio ibrido)


  1. Formazione manuale: ogni operatore deve padroneggiare il cheatsheet Nmap.
  2. AI come copilota: genera i comandi, ma non li esegue; revisione umana obbligatoria.
  3. Automazione condizionata: script AI eseguibili solo su target autorizzati.
  4. Guard rails: whitelist, rate-limit, log e backoff automatici.
  5. Post-scan: normalizzazione output, comparazione con baseline, analisi dei cambiamenti.


Esempio pratico (solo in LAB)


Prompt AI (sicuro):

“Genera un comando Nmap per discovery TCP sulle porte 1–1024 su lab.example.local, timing moderato, max-retries 2, host-timeout 5m, output XML. Fornisci anche una versione meno invasiva.”

Output atteso:

nmap -sS -p 1-1024 -T3 --max-retries 2 --host-timeout 5m -oX scan_lab.xml lab.example.local
# alternativa meno invasiva:
nmap -sT -p 22,80,443 -T2 --open -oX scan_lab_small.xml lab.example.local

Cheatsheet rapido (estratto)


  • -sS SYN scan (stealth)
  • -sT TCP connect (non privilegiato)
  • -sV Version detection
  • -O OS detection
  • -T0..T5 Timing aggressivo/lento
  • Output: -oX, -oN, -oG, -oA
  • NSE utili: --script=banner, --script=http-enum, --script=vuln
  • Impatto ridotto: --max-retries, --host-timeout, --scan-delay


Conclusione


Il cheatsheet Nmap rimane la base per ogni operatore di sicurezza.

L’AI e strumenti come LLM-Tools-Nmap rappresentano un’ottima estensione: velocizzano, semplificano e aiutano nell’analisi. Ma non sostituiscono esperienza e responsabilità.

L’approccio migliore è ibrido: padronanza manuale + assistenza AI, sotto policy ben definite.

Riferimenti


L'articolo Port-scanning nel 2025: Nmap e AI — come integrarli in modo sicuro e operativo proviene da Red Hot Cyber.

friendica (DFRN) - Collegamento all'originale

KW 44: Die Woche, in der die Bundesregierung ihre KI-Agenda hyped

netzpolitik.org/2025/kw-44-die…

friendica (DFRN) - Collegamento all'originale

Il furto al Louvre: quando i ladri insegnarono il Physical Pen Test a tutto il mondo

L’evento che ha scosso il mondo il 19 ottobre 2025 non è stato un disastro naturale o un crollo finanziario, ma il clamoroso furto dei gioielli di Napoleone dal Museo del Louvre. Al di là del valore storico e artistico, per la comunità della cybersecurity, questo episodio rappresenta il più didattico e costoso caso studio di Physical Pen Test dell’anno.

Il Louvre, con i suoi protocolli di sicurezza multistrato, sensori avanzati (biometrici, sismici, a infrarossi) e un team di vigilanza d’élite, può essere concettualizzato come l‘equivalente fisico di una rete aziendale con un’architettura Zero Trust e un WAF/Firewall di ultima generazione. La sua violazione dimostra che la vera resilienza non si basa sulla singola tecnologia, ma sull’integrazione e la verifica continua di processi, persone e tecnologie.

Tutto inizia dall’Open Source Intelligence


Un attacco di successo come quello al Louvre non inizia con l’azione, ma con una meticolosa raccolta di informazioni. Questo è l’equivalente dell’Open Source Intelligence nel dominio digitale.

Gli autori del furto hanno verosimilmente speso mesi, se non anni, a studiare la “superficie d’attacco” fisica tramite un’Identificazione Passiva e Attiva. Hanno analizzato i cicli di pattugliamento, le consegne e i cambiamenti di turno, spesso individuabili tramite semplici osservazioni o fonti social inattese, oltre ai “punti ciechi” delle telecamere di sorveglianza.

Chi si occupa di cybersecurity non può non notare un parallelo diretto con le TTP di un APT che effettua un fingerprinting dei target con mappatura dei sottodomini, analisi dei metadati dei documenti pubblici e lo studio dei profili social dei dipendenti chiave per identificare tecnologie e vulnerabilità comportamentali. L’attacco avviene solo quando il Threat Model è completo e verificato. L’obiettivo non è cercare un exploit ovvio, ma costruire un modello di minaccia completo e predittivo che permetta di agire con un’alta probabilità di successo e una bassa probabilità di rilevamento.

Una volta completata la ricognizione, il passo successivo è l’ingresso. Il fatto che il caveau sia stato raggiunto senza un’effrazione fisica eclatante indica un bypass sofisticato delle difese primarie.

Dal bypass tecnologico alle persone


I sistemi di sicurezza fisica, come quelli digitali, sono vulnerabili non per la loro esistenza, ma per la loro configurazione. Aggirare un sensore di movimento con un movimento al di sotto della soglia di rilevamento o neutralizzare un allarme sfruttando una temporizzazione difettosa tra i turni, è l’equivalente di sfruttare un WAF Bypass o una vulnerabilità di HTTP Request Smuggling dove un payload ambiguo passa inosservato.

Verosimilmente potrebbe essere stata sfruttata una debolezza nel firmware di un componente di sicurezza o un difetto logico nel protocollo di comunicazione degli allarmi: il “difetto zero-day” del sistema di allarme fisico. In sostanza è stato abusato il protocollo di sicurezza piuttosto che la sua robustezza fisica.

Ma l’attacco non è completo senza affrontare l’anello più debole della catena. Qui entra in gioco l’elemento più critico e dove l’analogia con la cybersecurity è più cruda.

Le speculazioni sull’uso di uniformi contraffatte o l’infiltrazione mirata di un insider evidenziano l’efficacia della manipolazione comportamentale.

Tra Tailgating e Social Engineering


Il concetto di Tailgating o Piggybacking non è solo seguire una persona autorizzata attraverso un accesso. In questo caso si presume una forma di Tailgating Sofisticato:

  • Falsa Identità Accreditata: Utilizzare abiti da manutentore o da addetto alle pulizie, ruoli con accesso ampio ma bassa sorveglianza, è l’equivalente di compromettere una Service Account a basso privilegio ma con accesso a una vasta porzione della rete interna.
  • Sfruttamento della Buona Fede: Un accesso avvenuto con l’inganno si basa sulla riluttanza umana a confrontarsi con una persona che sembra “appartenere” a quell’ambiente. Questo bypassa controlli d’accesso biometrici e tesserini magnetici, sfruttando la debolezza del sistema più complesso: la percezione umana.

Puoi spendere milioni in tecnologie, ma se non testi la tua Security Awareness e le procedure di verifica del personale contro il Social Engineering, la sicurezza fallirà sempre sull’anello umano.

Superato l’ostacolo umano, il successo finale non è l’accesso, ma l’esfiltrazione dei “Crown Jewels” senza intercettazione. Muoversi all’interno del museo senza innescare gli allarmi interni o essere intercettati dalle guardie di sicurezza, l’equivalente del Blue Team / SOC, richiede la conoscenza esatta delle vie di fuga e dei punti ciechi. È necessario intraprendere un Lateral Movement non convenzionale.

Il metodo di uscita, immortalato nel video che mostra i ladri scendere utilizzando la scala del camion per i “lavori”, è emblematico, è l’analogo digitale di un Command and Control Channel mascherato in traffico legittimo come, ad esempio, DNS o ICMP Tunneling. L’esfiltrazione è stata rapida e chirurgica, minimizzando il tempo in cui i ladri erano esposti ai sensori, esattamente come un APT riduce al minimo la permanenza sulla rete dopo il raggiungimento dell’obiettivo.

La Sicurezza come Paranoia Positiva


Dall’OSINT al C2 passando per il Social Engineering, il furto al Louvre è la prova definitiva che la sicurezza, in qualsiasi dominio, non è uno stato statico, ma un processo continuo di convalida e miglioramento. La fiducia nelle barriere difensive, il “Firewall Fisico“, ha portato a una compiacenza che è stata sfruttata.

Per la comunità della cybersecurity questo evento rafforza il principio che i controlli devono essere testati regolarmente da una prospettiva offensiva. Solo un rigoroso programma di Penetration Test che simuli attacchi a 360 gradi tramite tecnologia, processi e persone può esporre le lacune che, altrimenti, verrebbero sfruttate dal prossimo APT con gli strumenti giusti.

La sicurezza fallisce sempre per mancanza di immaginazione ed i ladri del Louvre ci hanno appena ricordato di espandere la nostra

L'articolo Il furto al Louvre: quando i ladri insegnarono il Physical Pen Test a tutto il mondo proviene da Red Hot Cyber.

reshared this

in reply to Cybersecurity & cyberwarfare

CDN friendica
friendica (DFRN) - Collegamento all'originale
CDN friendica
@Cybersecurity & cyberwarfare mi piace molto la conclusione: "La sicurezza fallisce sempre per mancanza di immaginazione e i ladri del Louvre ci hanno appena ricordato di espandere la nostra."
@Cybersecurity & cyberwarfare

reshared this

in reply to CDN friendica

Elena Brescacin
glitchsoc - Collegamento all'originale
Elena Brescacin
@capradellenevi i ladri del louvre e la sicurezza, hanno fregato tutti perché non sono state considerate tutte le ipotesi. Ora guarda Peter Hegseth il capo del Pentagono cosa ha detto. Che la sicurezza informatica è una perdita di tempo e l'esercito americano deve pensare a vincere le guerre. [non ricordo quale sia l'emoji dell'applauso] ma andrebbe bene pure epic fail
@CDN friendica

friendica (DFRN) - Collegamento all'originale

Umfrage zu Rechenzentren: Die Mehrheit folgt dem Hype nicht

netzpolitik.org/2025/umfrage-z…

friendica (DFRN) - Collegamento all'originale

Il grande Indiano che sconfigge BlackRock con la non-violenza e dà inizio allo... scoppio della bolla dei fondi di investimento.

@Politica interna, europea e internazionale

Nuova Delhi:
In quello che viene descritto come un atto di frode finanziaria "mozzafiato", la divisione di investimento nel credito privato della società di investimenti globale BlackRock e diversi importanti istituti di credito stanno ora cercando di recuperare più di 500 milioni di dollari persi in una frode sui prestiti presumibilmente orchestrata dal dirigente indiano del settore delle telecomunicazioni Bankim Brahmbhatt.

Secondo un rapporto esclusivo del Wall Street Journal , i creditori, tra cui HPS Investment Partners di BlackRock, hanno accusato Brahmbhatt, proprietario delle società di servizi di telecomunicazione Broadband Telecom e Bridgevoice, di aver falsificato fatture e crediti commerciali che erano stati dati in garanzia per prestiti ingenti. La causa, intentata ad agosto negli Stati Uniti, sostiene che la rete di società di Brahmbhatt abbia costruito sulla carta l'illusione di una solida situazione finanziaria, trasferendo denaro all'estero, in India e Mauritius.

ndtv.com/world-news/bankim-bra…

@Politica interna, europea e internazionale

friendica (DFRN) - Collegamento all'originale

Porno, AI, big tech: un approccio adeguato alla rivoluzione digitale è indispensabile

L'articolo proviene da #StartMag e viene ricondiviso sulla comunità Lemmy @Informatica (Italy e non Italy 😁)
L’intelligenza artificiale è uno strumento formidabile per chi lo sappia usare tecnicamente e possieda la consapevolezza adeguata dei contenuti da reperire,

#StartMag @Informatica (Italy e non Italy 😁)

reshared this

friendica (DFRN) - Collegamento all'originale

Europa

friendica (DFRN) - Collegamento all'originale

Making YouTube Work in the Netscape 4.5 Browser on Windows 98

The World Wide Web of the 90s was a magical place, where you couldn’t click two links without getting bombarded with phrases such as the Information Super Highway and Multimedia Experience. Of course, the multimedia experience you got on your Windows 9x PC was mostly limited to low-res, stuttery RealMedia and Windows video format clips, but what if you could experience YouTube back then, on your ‘multimedia-ready’ Celeron PC, running Netscape 4.5?

Cue the [Throaty Mumbo] bloke over on that very same YouTube, and his quest to make this dream come true. Although somewhat ridiculous on the face of it, the biggest problem is actually the era-appropriate hardware, as it was never meant to decode and display full-HD VP9-encoded videos.

Because the HTTPS requirement has meant that no 1990s or early 2000s browser will ever browse the modern WWW, a proxy was going to be needed no matter what. This Python-based proxy then got kitted out with not just the means to render down the convoluted HTML-CSS-JS mess of a YouTube page into something that a civilized browser can display, but also to fetch YouTube videos with yt-dlp and transcode it into MPEG1 in glorious SD quality for streaming to Netscape on the Windows 98 PC.

Because the same civilized browsers also support plugins, such as Netscape’s NPAPI, this meant that decoding and rendering the video was the easy part, as the browser just had to load the plugin and the latter doing all the heavy lifting. Perhaps unsurprisingly, with some tweaks even Netscape 2.0 can be used to browse YouTube and play back videos this way, with fullscreen playback and seeking support.

Although these days only a rare few modern browsers like Pale Moon still support NPAPI, it’s easy to see how the introduction of browser plugins boosted the multimedia future of the WWW that we find ourselves in today.

youtube.com/embed/PGeW-L7UPbM?…

hackaday.com/2025/10/31/making…

friendica (DFRN) - Collegamento all'originale

Recovering Data from the OceanGate depths

Video stills of submarine hardware

When the files on the Titan submersible disaster were published, most people skimmed for drama. Hackers, however, would likely zoom in on the hardware autopsy. [Scott Manley] actually did this. He faced a hacker’s nightmare: three crushed PCs, bent SSDs, and an encrypted SD card from a camera that survived six kilometres under pressure, all sealed in titanium and silence.

[Scott] went all in to resurrect data. First came CT scans: firing 320 kV X-rays through a kilo of mangled electronics to hunt for intact NAND chips. When that failed, he desoldered UFS memory by hand, used custom flash readers, cloned NV-RAMs, and even rebuilt boards to boot salvaged firmware. The ultimate test was grafting the recovered chips onto donor hardware in Canada. Like the monster of Frankenstein, the system came to life.

In the end, it partially worked. Twelve stills and nine videos were retrieved, albeit none from the fatal dive. The process itself was a masterclass in deep hardware forensics, here covered in a video worth watching.

youtube.com/embed/qMUjCZ7MMWQ?…

hackaday.com/2025/10/31/recove…

friendica (DFRN) - Collegamento all'originale
“Sono stati due anni molto difficili. Molto”. Quello che è successo il 7 ottobre, e poi la distruzione di Gaza, “hanno creato una situazione inedita anche per chi aveva vissuto i conflitti del passato.

Terra Santa. Card. Pizzaballa: “Bisogna dare concretezza alla speranza” - AgenSIR

Gianni Borsa (AgenSIR)

friendica (DFRN) - Collegamento all'originale

Building A Clamshell Writer Deck

Most of us do our writing on computers these days, but the modern computing environment does present a lot of distractions. That’s let to the concept of the writer deck, a simplified device intended more specifically for word processing tasks. [Ashtf] has built a great example of the form with a modified version of the PocketMage device.

The PocketMage is a clamshell PDA device that [Ashtf] has been working on for some time. It’s powered by an ESP32, hooked up to a nice e-ink display. In its basic form, it’s not the ideal device for doing serious writing work, mostly because of its tiny keyboard. However, [Ashtf] has since added external keyboard support, which completely changes the game. With the use of a small USB C to USB A adapter, you can hook up any conventional USB keyboard that you like to best attain your maximum typing speed.

The result is a compact, simple device that lets you type away without distractions. If your latest fanfic isn’t coming along quickly enough because you keep losing focus to social media, perhaps this is a route you might like to go. [Ashtf] also included Markdown support so you can create richer documents on the device while operating in what is still fundamentally a text-only environment.

It’s neat to build custom devices that suit your own personal productivity needs. If you dig the PocketMage, you might like to check out the design files on Github. We’ve featured some other fun writer decks before, too. Video after the break.

youtube.com/embed/TXqvZpyvmZY?…

hackaday.com/2025/10/31/buildi…

friendica (DFRN) - Collegamento all'originale

This Week in Security: Vibecoding, Router Banning, and Remote Dynamic Dependencies

Vibecoding. What could possible go wrong? That’s what [Kevin Joensen] of Baldur wondered, and to find out he asked Anthropic’s Sonnet 4.5 to build a secure login with Two Factor Authentication (2FA). And to the LLM’s credit, it builds the app as requested. [Kevin] took a peek under the hood to see how well the security was handled, and it wasn’t great.

Up first, the Flask app doesn’t have any rate-limiting for guessing that time-based 2FA code. A 6-digit time-based 2FA only works if you can’t try all the possibilities before a given code expires. So what does a vibecoder do, once this has been noticed? Ask the LLM to fix it of course. Here we take a slightly different approach, prompting the AI to double-check its work: “Is there any security features missing in 2fa verify step?” The answer is an impressive:

Great question! Yes, there are several critical security features missing from the 2FA verification step. Let me highlight the most important ones:🚨 Critical Security Issues1. No Rate Limiting (MOST CRITICAL)


But the critical question, can it properly fix its mistake? The AI adds the flask-limiter library and chooses 10 attempts per minute, which is a bit loose, but not unreasonable. There’s still an issue, that those attempts are limited by IP address instead of user login. All it takes to bypass that rate limiting is a pool of IP addresses.

This experiment starts to go off the rails, as [Kevin] continues to prompt the LLM to look for more problems in its code, and it begins to hallucinate vulnerabilities, while not fixing the actual problem. LLMs are not up to writing secure code, even with handholding.

But surely the problem of LLMs making security mistakes isn’t a real-world problem, right? Right? Researchers at Escape did a survey of 5,600 vibecoded web applications, and found 2,000 vulnerabilities. Caveat Vibetor.

“Secure” Enclave


A few weeks ago we talked about Battering RAM and Wiretap — attacks against Trusted Execution Environments (TEEs). These two attacks defeated trusted computing technologies, but were limited to DDR4 memory. Now we’re back with TEE-fail, a similar attack that works against DDR5 systems.

This is your reminder that very few security solutions hold up against a determined attack with physical access. The Intel, AMD, and Nvidia TEE solutions are explicitly ineffective against such physical access. The problem is that no one seemed to be paying attention to that part of the documentation, with companies ranging from Cloudflare to Signal getting this detail wrong in their marketing.

Banning TP-Link


News has broken that the US government is considering banning the sale of new TP-Link network equipment, calling the devices a national security risk.

I have experience with TP-Link hardware: Years ago I installed dozens of TL-WR841 WiFi routers in small businesses as they upgraded from DSL to cable internet. Even then, I didn’t trust the firmware that shipped on these routers, but flashed OpenWRT to each of them before installing. Fun fact, if you go far enough back in time, you can find my emails on the OpenWRT mailing list, testing and even writing OpenWRT support for new TP-Link hardware revisions.

From that experience, I can tell you that TP-Link isn’t special. They have terrible firmware just like every other embedded device manufacturer. For a while, you could run arbitrary code on TP-Link devices by putting it inside backticks when naming the WiFi network. It wasn’t an intentional backdoor, it was just sloppy code. I’m reasonably certain that this observation still holds true. TP-Link isn’t malicious, but their products still have security problems. And at this point they’re the largest vendor of cheap networking gear with a Chinese lineage. Put another way, they’re in the spotlight due to their own success.

There is one other element that’s important to note here. There is still a significant TP-Link engineering force in China, even though TP-Link Systems is a US company. TP-Link may be subject to the reporting requirements of the Network Product Security legislation. Put simply, this law requires that when companies discover vulnerabilities, they must disclose the details to a particular Chinese government agency. It seems likely that this is the primary concern in the minds of US regulators, that threat actors cooperating with the Chinese government are getting advanced notice of these flaws. The proposed ban is still in proposal stage, and no action has been taken on it yet.

Sandbox Escape


In March there was an interesting one-click exploit that was launched via phishing links in emails. Researchers at Kaspersky managed to grab a copy of the malware chain, and discovered the Chrome vulnerability used. And it turns out it involves a rather novel problem. Windows has a pair of APIs to get handles for the current thread and process, and they have a performance hack built-in: Instead of returning a full handle, they can return -1 for the current process and -2 for the current thread.

Now, when sandboxed code tries to use this pseudo handle, Chrome does check for the -1 value, but no other special values, meaning that the “sandboxed” code can make a call to the local thread handle, which does allow for running code gadgets and running code outside the sandbox. Google has issued a patch for this particular problem, and not long after Firefox was patched for the same issue.

NPM and Remote Dynamic Dependencies


It seems like hardly a week goes by that we aren’t talking about another NPM problem. This time it’s a new way to sneak malware onto the repository, in the form of Remote Dynamic Dependencies (RDD). In a way, that term applies to all NPM dependencies, but in this case it refers to dependencies hosted somewhere else on the web. And that’s the hook. NPM can review the package, and it doesn’t do anything malicious. And when real users start downloading it, those remote packages are dynamically swapped out with their malicious versions by server-side logic.

Installing one of these packages ends with a script scooping up all the data it can, and ex-filtrating it to the attacker’s command and control system. While there isn’t an official response from NPM yet, it seems inevitable that NPM packages will be disallowed from using these arbitrary HTTP/HTTPS dependencies. There are some indicators of compromise available from Koi.

Bits and Bytes


Python deserialization with Pickle has always been a bit scary. Several times we’ve covered vulnerabilities that have their root in this particular brand of unsafe deserialization. There’s a new approach that just may achieve safer pickle handling, but it’s a public challenge at this point. It can be thought of as real-time auditing for anything unsafe during deserialization. It’s not ready for prime time, but it’s great to see the out-of-the-box thinking here.

This may be the first time I’ve seen remote exploit via a 404 page. But in this case, the 404 includes the page requested, and the back-end code that injects that string into the 404 page is vulnerable to XML injection. While it doesn’t directly allow for code execution, this approach can result in data leaks and server side request forgeries.

And finally, there was a sketchy leak, that may be information on which mobile devices the Cellebrite toolkit can successfully compromise. The story is that [rogueFed] sneaked into a Teams meeting to listen in and grab screenshots. The real surprise here is that GrapheneOS is more resistant to the Cellebrite toolkit than even the stock firmware on phones like the Pixel 9. This leak should be taken with a sizable grain of salt, but may turn out to be legitimate.

hackaday.com/2025/10/31/this-w…

Sabrina Web 📎 reshared this.

friendica (DFRN) - Collegamento all'originale

Scared for a Drink?

Dark lab setup with scientific looking drink dispenser

Halloween is about tricks and treats, but who wouldn’t fancy a bit to drink with that? [John Sutley] decided to complete his Halloween party with a drink dispenser looking as though it was dumped by a backstreet laboratory. It’s not only an impressive looking separating funnel, it even runs on an Arduino. The setup combines lab glassware, servo motors, and an industrial control panel straight from a process plant.

The power management appeared the most challenging part. The three servos drew more current than one Arduino could handle. [John] overcame voltage sag, brownouts, and ghostly resets. A healthy 1000 µF capacitor across the 5-volt rail fixed it. With a bit of PWM control and some C++, [John] managed to finish up his interactive bar system where guests could seal their own doom by pressing simple buttons.

This combines the thrill of Halloween with ‘the ghost in the machine’. Going past the question whether you should ever drink from a test tube – what color would you pick? Lingonberry juice or aqua regia, who could tell? From this video, we wouldn’t trust the bartender on it – but build it yourself and see what it brings you!

youtube.com/embed/8pY9TOOwmnc?…

hackaday.com/2025/10/31/scared…

friendica (DFRN) - Collegamento all'originale

Le Security Operations al tempo dell’Artificial Intelligence

A cura di Vicki Vinci, SOC Architect – International di Fortinet

Il trend tecnologico di assoluto maggior rilievo degli ultimi anni è senza dubbio l’avvento dell’Artificial Intelligence soprattutto declinata nella sua componente generativa (GenAI). Accantonando per il momento le considerazioni su come il mercato ne abbia fatto adozione, non è negabile che nel mondo della sicurezza questa evoluzione abbia portato una serie di cambiamenti molto significativi.
A cura di Vicki Vinci, SOC Architect – International di Fortinet
Proviamo ad analizzare alcuni casi d’uso su cui l’industria della security e la community hanno provato a focalizzare maggiormente l’attenzione:

  1. Come l’AI viene utilizzata dagli attaccanti
  2. L’ AI nelle attività di chi deve difendere
  3. Come le soluzioni di GenAI possono venire attaccate
  4. Le modalità in cui si possono proteggere i motori di LLM

Partendo dal primo esempio non v’è dubbio che la possibilità di utilizzare strumenti di GenAI abbia facilitato e di molto il compito degli attaccanti su molteplici fronti:

  • La facilità nella creazione di codice malevolo in grado di aggirare le difese classiche messe in atto dalle organizzazioni
  • Il supporto al perfezionamento di campagne di phishing con testi sempre più perfezionati e repliche fedeli di messaggi e portali realmente in uso da parte degli utenti
  • L’integrazione delle funzionalità native degli LLM a supporto di variegate campagne d’attacco automatizzandone ed ottimizzandone le fasi partendo dallaReconnaissance, la Weaponization, fino a Installation, Command and Control (C2) terminando con Actions on Objectives

Allo stesso tempo chi ha come sua missione la difesa, viene affiancato da soluzioni in grado di:

  • Accelerare la capacità di Triage aumentandone anche la profondità di dettaglio
  • Produrre componenti delle soluzioni di SecOps (playbooks, connettori, ecc.) in maniera semplificata e quanto più sempre nella direzione di uno sviluppo codeless
  • Mettere in campo specifiche attività di riconoscimento, contenimento e remediation automatizzate attraverso soluzioni di AgenticAI

Perché questa serie di opzioni possa essere messa in campo, uno degli elementi fondamentali è la disponibilità di un motore di LLM (pubblico o privato che sia) che inevitabilmente diventa a sua volta oggetto di possibili attacchi. La disponibilità, l’integrità e confidenzialità dei contenuti sono messi in pericolo sia singolarmente che in modo congiunto a seconda delle metodologie utilizzate.

A tal proposito i modus operandi che vediamo essere messi in atto dai Threat Actors con maggiore frequenza sono:

  • Attacchi volumetrici e qualitativi sulle risorse di calcolo destinate alla fruizione del LLM (DdoS)
  • Prompt injection per costruire Bias tali da produrre allucinazioni da parte del motore di LLM o attività di mass-query per estrapolazione delle informazioni contenute
  • Attacchi “tradizionali” per colpire le componenti infrastrutturali coinvolte nell’erogazione del servizio (network, compute, application-layer)
  • Accessi non autorizzati a motori di LLM privati tramite credenziali compromesse o accessi di rete non correttamente presidiati

In ultima istanza l’industria della Cyber Security si è messa in movimento per dare il suo contributo nella difesa di questa componente sempre più fondamentale nella nostra economia digitale. Mappando le tipologie di attacco appena citate, le soluzioni che stanno guidando il mercato sono:

  • Soluzioni di GSLB, Waf e CNAPP
  • Prodotti di Deep Inspection che disaccoppiano la sessione dell’utente rispetto all’accesso sulla componente di front-end del motore di LLM, strumenti di DLP e di monitoraggio
  • Firewalling, strumenti di API protection
  • Unified SASE, ZTNA, MFA e segregazione della rete

In ognuno di questi casi d’uso, l’ingresso degli strumenti di Artifical Intelligence ha cambiato radicalmente il livello qualitativo ma anche le tempistiche collegate alle varie fasi dell’attacco. Se in precedenza l’intervento umano era ancora una componente fondamentale in alcuni dei passaggi, oggi molte di queste attività possono essere delegate a macchine che sono in grado sia di accelerare che di parallelizzare i task accorciandone le tempistiche e moltiplicandone i volumi.

Con queste premesse diventa mandatorio mettere a disposizione dei Blue-Team strumenti che possano contrastare le nuove modalità d’attacco pareggiandone sia i tempi che le quantità. L’obiettivo finale è quello di mettere a disposizione dell’analista informazioni quanto più possibile ricche di dettaglio e che minimizzino il tempo di analisi e decisione delle contromisure, quando non siano già state messe in campo in maniera automatizzata.

Se gli attaccanti stanno utilizzando sempre più la tecnologia (oltre che le tecniche di Social Engineering) elevando la potenza delle loro attività nella scala del “tempo-macchina”, anche i difensori non possono esimersi da adottare strategie e strumenti che permettano loro di rispondere nello stesso ordine di grandezza della scala temporale. Minimizzare il dwell time farà sempre più la differenza tra un attacco andato a buon fine da un’eccellente capacità di risposta e contenimento.

Per tutti gli approfondimenti del caso è disponibile la pagina dedicata.

L'articolo Le Security Operations al tempo dell’Artificial Intelligence proviene da Red Hot Cyber.

friendica (DFRN) - Collegamento all'originale

La corsa alla cybersicurezza è partita e l’Italia corre con le scarpe legate

Negli ultimi anni la cybersecurity è balzata in cima all’agenda di imprese, istituzioni e pubblica amministrazione. Ma se guardiamo ai numeri, l’Italia sembra ancora correre con le scarpe legate: investe circa lo 0,12% del PIL in sicurezza digitale, meno della metà di Francia e Germania e appena un terzo rispetto a Regno Unito e Stati Uniti (fonti: Rapporto Clusit 2025, DeepStrike Cybersecurity Spend Report 2025).

Questo budget ridotto si traduce in un parco strumenti spesso vecchio e polveroso, incapace di tenere il passo con la mole e la complessità degli attacchi. Il Rapporto Clusit 2025 fotografa una realtà che non lascia spazio a speranze: gli attacchi gravi nel nostro Paese sono cresciuti del 15,2% nell’ultimo anno e quasi ogni giorno qualcuno subisce danni rilevanti, certificati da 357 incidenti gravi che sono stati registrati nel 2024.

Aggiungiamo al quadro un ritardo digitale che pesa come un macigno: appena il 45% degli italiani ha competenze digitali di base, e molte aziende arrancano a trovare profili specializzati per difendersi (fonte: DESI Digital Skills Report 2025). In pratica, questa carenza crea una rete di sicurezza fatta più di buchi che di protezione.

Nulla di nuovo per gli attaccanti, che ci attaccano con automatismi che nelle realtà italiane pubbliche e private – dove anche acquistare una tecnologia, un corso di formazione, oppure un servizio di consulenza è una corsa ad ostacoli – sono pura fantasia: è la nuova realtà, non un’eccezione da tamponare.

E qui salta fuori il CISO, il capo della sicurezza digitale, figura che non può più essere solo un tecnico ingegnoso o un giurista pedante: serve un mix tra diritto, tecnologia, gestione e comunicazione. Chi occupa questo ruolo deve saper trasformare un linguaggio tecnico complesso in argomentazioni convincenti per i vertici dell’organizzazione, spesso poco inclini a capire che la sicurezza non è tecnologia, ma strategia.

L’asimmetria tra chi difende e chi attacca è quasi una barzelletta a denti stretti: i malintenzionati spesso hanno più budget, meno regole e più libertà d’azione. È urgente un cambio di passo che prenda in considerazione investimenti coordinati, sviluppo di competenze ampie e un cambio culturale profondo.

Ogni giorno che passa senza un cambio deciso, il rischio per il sistema Paese cresce fino al prossimo report. La cybersecurity non è più un’opzione, ma è un asset fondamentale per la sopravvivenza in un mondo iperconnesso.

Per approfondire come preparare professionisti capaci di questo salto, rimando al “Manuale CISO Security Manager”, che offre un percorso concreto di formazione multidisciplinare.

L'articolo La corsa alla cybersicurezza è partita e l’Italia corre con le scarpe legate proviene da Red Hot Cyber.

friendica (DFRN) - Collegamento all'originale

Public records are for the public

Dear Friend of Press Freedom,

It’s been 220 days since Rümeysa Öztürk was arrested for co-writing an op-ed the government didn’t like. Read on for news from California, Washington D.C. and Maryland as the government shutdown drags on.

Public records are for the public


When Wired made public records-based stories free, subscriptions went up.

When 404 Media published reporting that relied on the Freedom of Information Act without a paywall, new sources came forward.

Freedom of the Press Foundation (FPF) spoke to Wired Global Editorial Director and FPF board member Katie Drummond, and 404 Media co-founder Joseph Cox about why giving the public access to public records reporting is good for journalism — and for business. Read more here.

Shutting down the government doesn’t shut down the First Amendment


It’s absurd and unconstitutional to exclude reporters from immigration hearings unless they get government permission to attend, especially when it’s impossible to obtain permission due to the government shutdown, and particularly when the current government despises First Amendment freedoms and will use any opportunity to evade transparency.

And yet that’s exactly what an immigration court in Maryland did this week. We wrote a detailed letter to the top judge at the courthouse explaining why they need to reverse course, both to comply with the law and for the sake of democracy. The next day, Capital News Service reported that the court had backed down and lifted the ban. Read the letter here.

No secret police in LA


Award-winning journalist Cerise Castle sued Los Angeles County in July and obtained a court order for the department to release the sheriff’s deputy ID photographs.

But now the county is appealing. Its objection to allowing the public to identify law enforcement officers is especially striking when Angelenos and others across the country are outraged by unidentified, masked federal immigration officers abducting their neighbors. It also comes on the heels of the city of Los Angeles embarrassing itself with its failed effort to sue a journalist for publishing officer photographs.

We connected with Castle’s lawyer, Susan Seager, to try to figure out what the department is thinking. Read more here.

Top three questions about the White House ballroom


FPF’s Daniel Ellsberg Chair on Government Secrecy Lauren Harper has lots of questions about the demolition of a section of the White House to construct a ballroom.

She wrote about three of them for our government secrecy site, The Classifieds: (1) Is there a budget? (2) Who are the donors, and what do they get in return? and (3) Where should we look for answers about what’s going on at the East Wing? Read more here.

What we’re reading


U.S. assessment of Israeli shooting of journalist divided American officials (The New York Times). A retired U.S. colonel has gone public with his concern that the Biden administration’s findings about the 2022 killing of Palestinian-American journalist Shireen Abu Akleh by the Israeli military were “soft-pedaled to appease Israel.” There has been “a miscarriage of justice,” he says.

ICE detains British journalist after criticism of Israel on US tour (The Guardian). The detention of Sami Hamdi by U.S. Immigration and Customs Enforcement solely for his views while on a speaking tour in the U.S. is a blatant assault on free speech. These are the tactics of the thought police.

Trump and Leavitt watch with glee as the press is crumbling (Salon). “As the press becomes more subservient and less independent, the firsthand knowledge needed to even stage a fight to get our mojo back is a whisper in the ether,” writes Brian Karem. That’s why veteran journalists who know how abnormal this all is need to be extra vocal these days.

Atlanta journalist says he ‘won’t be the only’ one deported by Trump officials (The Guardian). “It’s not the way I wanted to come back to my country – deported like a criminal,” journalist Mario Guevara told Briana Erickson of FPF’s U.S. Press Freedom Tracker from El Salvador. Read The Guardian’s story, based on reporting by the Tracker.

One third of all journalists are creator journalists, new report finds (Poynter). It’s no time for gatekeeping. There aren’t enough traditional J-School trained journalists to adequately document every ICE abduction – let alone everything else going on. We appreciate everyone who is exercising their press freedom rights, no matter how they’re categorized.

RSVP

freedom.press/issues/public-re…

Mr. Bill reshared this.

friendica (DFRN) - Collegamento all'originale

Il nuovo video di Pasta Grannies: youtube.com/watch?v=vcMz03EoFz…
@Cucina e ricette

(HASHTAG)

@Cucina e ricette

Cucina e ricette reshared this.

friendica (DFRN) - Collegamento all'originale

2025 Component Abuse Challenge: An Input Is Now An Output

Part of setting up a microcontroller when writing a piece of firmware usually involves configuring its connections to the outside world. You define a mapping of physical pins to intenral peripherals to decide which is an input, output, analogue, or whatever other are available. In some cases though that choice isn’t available, and when you’ve used all the available output pins you’re done. But wait – can you use an input as an output? With [SCART VADER]’s lateral thinking, you can.

The whole thing takes advantage of the internal pull-up resistor that a microcontroller has among its internal kit of parts. Driving a transistor from an output pin usually requires a base resistor, so would it be possible to use the pullup as a base resistor? If the microcontroller can enable or disable the resistor on an input pin then yes it can, a transistor can be turned off and on with nary an output to be seen. In this case the chip is from ATmega parts bin so we’re not sure if the trick is possible on other manufacturers’ devices.

As part of our 2025 Component Abuse Challenge, this one embodies the finest principles of using a part in a way it was never intended to be used, and we love it. You’ve still got a few days to make an entry yourself at the time of writing this, so bring out your own hacks!

2025 Hackaday Component Abuse Challenge

hackaday.com/2025/10/31/2025-c…

friendica (DFRN) - Collegamento all'originale

Dal 12 novembre in Italia scatta la verifica dell’età per siti porno. Cosa cambia

A partire da martedì 12 novembre 2025 entreranno in vigore le nuove disposizioni dell’Autorità per le Garanzie nelle Comunicazioni (AGCOM) che impongono un sistema di verifica dell’età per accedere ai siti pornografici.

La misura, prevista dalla delibera 96/25/CONS,dà attuazione a quanto stabilito dal cosiddetto “decreto Caivano”, approvato nel 2023 dal governo di Giorgia Meloni per contrastare la criminalità minorile e proteggere i minori dall’accesso a contenuti vietati.

Cosa cambia dal 12 novembre


Fino ad oggi, per entrare in un sito per adulti bastava dichiarare di avere almeno 18 anni con un semplice clic sulla schermata iniziale. Un metodo facilmente aggirabile che consentiva anche ai minorenni di accedere liberamente a milioni di video.

Con le nuove regole, questo meccanismo sarà sostituito da un controllo più rigoroso: i siti dovranno accertare la maggiore età degli utenti attraverso soggetti terzi certificati – aziende, istituti bancari o operatori telefonici – già autorizzati alla gestione di dati identificativi.

Il processo introdotto dall’AGCOM prevede un sistema di “doppio anonimato” che tutela la privacy dell’utente. In pratica, chi vuole accedere a un sito per adulti dovrà richiedere a un soggetto certificato una “prova dell’età”.

Il fornitore di questo servizio verifica se la persona è maggiorenne e rilascia un codice anonimo, privo di informazioni personali, che l’utente inserisce sul sito per adulti. Il sito, a sua volta, controlla la validità del codice prima di consentire l’accesso. La verifica dovrà essere effettuata ad ogni nuovo accesso.

Le regole e i divieti imposti


La delibera non impone un unico sistema tecnico, ma vieta alcune modalità considerate invasive o non sicure, come il riconoscimento facciale biometrico o la richiesta diretta della carta d’identità da parte dei siti pornografici. È esclusa anche l’autodichiarazione dell’età, ormai ritenuta insufficiente.

L’AGCOM potrà intervenire direttamente contro i portali che non si adegueranno entro 20 giorni dall’entrata in vigore della misura, arrivando, nei casi di inadempienza, fino al blocco del sito sul territorio italiano.

Il provvedimento interesserà inizialmente 48 piattaforme indicate in un elenco pubblicato dall’Autorità, che sarà aggiornato nel tempo. Tra i nomi figurano i più noti portali internazionali come Pornhub, YouPorn, Xvideos, OnlyFans, Chaturbate e Xhamster, insieme a numerosi siti minori.

Questa prima lista rappresenta solo una parte del vasto panorama di siti pornografici accessibili dall’Italia, ma segna l’avvio concreto del nuovo sistema di controllo.

Un modello già adottato in Francia


L’Italia segue così l’esempio della Francia, dove provvedimenti simili sono già entrati in vigore nei mesi scorsi. Anche lì, l’obiettivo principale è stato quello di rendere più difficile per i minorenni l’accesso a contenuti pornografici, bilanciando sicurezza e tutela della privacy.

L'articolo Dal 12 novembre in Italia scatta la verifica dell’età per siti porno. Cosa cambia proviene da Red Hot Cyber.

friendica (DFRN) - Collegamento all'originale

Teologia: Jp2, a novembre un seminario di studio con approfondimento della lettura patristica del Cantico dei Cantici

La Cattedra Wojtyla del Pontificio Istituto teologico Giovanni Paolo II, in collaborazione con il Corso di dottorato di ricerca in Contemporary Humanism dell’Università Lumsa, organizza un seminario di studio dedicato all’approfondimento della lettur…


Teologia: Jp2, a novembre un seminario di studio con approfondimento della lettura patristica del Cantico dei Cantici - AgenSIR

Gigliola Alfaro (AgenSIR)

friendica (DFRN) - Collegamento all'originale

Transparenzbericht 3. Quartal 2025: Unsere Einnahmen und Ausgaben und verschiedene Hüte

netzpolitik.org/2025/transpare…