Nei paesi dell’Europa orientale si è registrato un rapido aumento di app Android dannose che sfruttano la tecnologia di trasferimento dati contactless per rubare carte di credito.

Secondo Zimperium, negli ultimi mesi sono stati rilevati oltre 760 programmi che utilizzano la tecnologia NFC per l’accesso non autorizzato alle informazioni di pagamento.

A differenza dei trojan bancari che falsificano le interfacce o ottengono l’accesso remoto ai dispositivi, questo nuovo tipo di malware utilizza il meccanismo di emulazione della carta host, consentendo a uno smartphone di imitare una carta bancaria.

Queste app intercettano i campi del protocollo EMV, rispondono alle richieste del terminale con comandi preimpostati o le inoltrano a un server remoto, dove vengono generate le risposte corrette per completare la transazione senza l’intervento del titolare della carta.

Tali attacchi sono stati rilevati per la prima volta in Polonia nel 2023, poi sono comparsi nella Repubblica Ceca e infine si sono diffusi in Russia. Nel tempo, sono emerse diverse varianti dello schema: programmi che trasmettono dati di pagamento tramite Telegram ; toolkit che inoltrano comandi APDU ai dispositivi associati; i cosiddetti pagamenti “fantasma”, in cui le risposte del sistema vengono falsificate in tempo reale; nonché app web e app bancarie fittizie che si registrano come metodo di pagamento principale sul dispositivo.

Gli analisti di Zimperium sottolineano che la popolarità di tali strumenti nell’Europa orientale è in rapida crescita. Sebbene all’inizio del 2023 siano stati riscontrati esempi isolati, ora il loro numero ammonta a centinaia. Per coordinare le loro operazioni, gli aggressori utilizzano oltre 70 server di comando e controllo, piattaforme di distribuzione di app e decine di bot di Telegram attraverso i quali vengono trasmessi i dati rubati.

Le app fraudolente spesso si mascherano da noti servizi di pagamento e banche. Si consiglia agli utenti di scaricare app bancarie solo da siti web ufficiali, evitare di installare file APK da fonti di terze parti e prestare attenzione alle richieste sospette di NFC o di accesso ai servizi in background.

L'articolo Malware Android ruba carte di credito con tecnologia NFC proviene da Red Hot Cyber.

noblogo.org/transit/un-ponte-s…

Transit

2025-11-01 15:53:50

Un ponte sul mare dei conti.

(174)

Il dibattito sul ponte sullo stretto di Messina di questi giorni va oltre la politica. I rilievi della Corte dei conti non sono un atto di ostruzionismo, ma l’esercizio di una funzione di garanzia che tutela la legalità, la trasparenza e la corretta gestione delle risorse pubbliche. In un sistema democratico equilibrato, il controllo non è un freno, ma uno strumento di responsabilità.

Il progetto del ponte muove circa 14 miliardi di euro, coinvolge interessi strategici e incide sull’ambiente, sull’economia e sulla coesione territoriale. È naturale, e necessario, che la Corte chieda chiarezza su piani finanziari, sostenibilità economica e conformità giuridica degli atti, per assicurare che ogni fase rispetti le norme sui contratti pubblici e sulla spesa dello Stato.

Nel caso del governo Meloni, la spinta verso una realizzazione rapida dell’opera è ovvia: il ponte è diventato un simbolo politico, un progetto identitario che promette infrastrutture e sviluppo. Tuttavia, l’urgenza non può sostituire la trasparenza né giustificare forzature amministrative. Il ruolo della Corte è proprio quello di ricordare che una grande opera vive solo se fondata su basi legali solide e su una gestione finanziaria sostenibile.

Parlare di “attacco” o “ostacolo” da parte della Corte significa travisare la sua missione costituzionale. La funzione di controllo serve a rafforzare la credibilità dell’azione di governo, non a limitarla. In un periodo in cui il debito pubblico pesa e i margini di spesa sono stretti, è fondamentale che ogni euro investito sia tracciabile e coerente con i vincoli di legge.

La correttezza dei rilievi contabili sta nel richiamare l’attenzione su elementi tecnici che non possono essere ignorati: la revisione dei contratti con i concessionari, la copertura finanziaria pluriennale, la valutazione dei rischi ambientali e la trasparenza delle gare. Sono queste le condizioni per evitare arbitrio, sprechi o contenziosi futuri che rallenterebbero ulteriormente i lavori. La vera modernizzazione non è solo costruire infrastrutture, ma farlo rispettando le regole e garantendo che la spesa pubblica sia un investimento per tutti, non un rischio collettivo.

Ora serve che il governo Meloni abbandoni la retorica distrattiva. Se davvero la priorità è costruire il futuro dell’Italia, si dimostri di saperlo fare passando dal rispetto delle leggi e dall’ascolto delle istituzioni di controllo. Solo così questa opera potrà essere il simbolo di un paese credibile, non di una stagione di scorciatoie, e non divenire l’ennesimo fallimento di un esecutivo che, per ora, non ha portato a casa quasi nulla.

#Blog #PonteSulloStretto #GovernoMeloni #Opinioni #Italia #Politica

Mastodon: @alda7069@mastodon.unoTelegram: t.me/transitblogFriendica: @danmatt@poliverso.orgBio Site (tutto in un posto solo, diamine): bio.site/danielemattioli

Gli scritti sono tutelati da “Creative Commons” (qui)

Tutte le opinioni qui riportate sono da considerarsi personali. Per eventuali problemi riscontrati con i testi, si prega di scrivere a: corubomatt@gmail.com

Transit

Il blog di Alessandra Corubolo & Daniele Mattioli. On line -in varie forme- dal 2005.

^Telegram

Conoscete la storia dell’elefante Don Diego?

Venite a scoprirla il 12 novembre alla Biblioteca Universitaria Alessandrina!
Verrà presentato il volume “Don Diego alla corte roveresca di Casteldurante: l’Historia naturale dell’elefante” di Antonella Attanasio.

Primo dei “Quaderni” della collana “Immaginare i Saperi” per De Luca Editori d’Arte

Interventi di:
Daniela Fugaro, direttrice della Biblioteca Universitaria Alessandrina

Massimo Moretti, Sapienza Università di Roma

Lucia Tomasi Tongiorgi, Accademia Nazionale dei Lincei

Antonella Sbrilli, Sapienza Università di Roma

Ore 17.00 Sala Bio Bibliografica
Biblioteca Universitaria Alessandrina
Palazzo del Rettorato della Sapienza
Piazzale Aldo Moro, 5

.
.
.
#immaginareisaperi#bibliotecauniversitariaalessandrina#sapienzauniversitàdiroma

@delucaeditori@massimo_.moretti@antonellattanasio@diconodioggi@storiadellarterivista@bibliotecaalessandrina

alessandrina.cultura.gov.it/pr…

There’s something delightfully sci-fi about any kind of volumetric display. Sure, you know it’s not really a hologram, and Princess Leia isn’t about to pop out and tell you you’re her only hope, but nothing says “this is the future” like an image floating before you in 3D. [Matthew Lim] has put together an interesting one, using persistence-of-vision and linear motion.

The basic concept is so simple we’re kind of surprised we don’t see it more often. Usually, POV displays use rotary motion: on a fan, a globe, a disk, or even a drone, we’ve seen all sorts of spinning LEDs tricking the brain into thinking there’s an image to be seen. [Matthew’s] is apparently the kind of guy who sticks to the straight-and-narrow, on the other hand, because his POV display uses linear motion.

An ESP32-equipped LED matrix module is bounced up by an ordinary N20 motor that’s equipped with an encoder and driven by a DRV8388. Using an encoder and the motor driver makes sure that the pixels on the LED matrix are synced perfectly to the up-and-down motion, allowing for volumetric effects. This seems like a great technique, since it eliminates the need for slip rings you might have with rotary POV displays. It does of course introduce its own challenges, given that inertia is a thing, but I think we can agree the result speaks for itself.

One interesting design choice is that the display is moved by a simple rack-and-pinion, requiring the motor to reverse 16 times per second. We wonder if a crank wouldn’t be easier on the hardware. Software too, since [matthew] has to calibrate for backlash in the gear train. In any case, the stroke length of 20 mm creates a cubical display since the matrix is itself 20 mm x 20 mm. (That’s just over 3/4″, or about twice the with of a french fry.) In that 20 mm, he can fit eight layers, so not a great resolution on the Z-axis but enough for us to call it “volumetric” for sure. A faster stroke is possible, but it both reduces the height of the display and increases wear on the components, which are mostly 3D printed, after all.

It’s certainly an interesting technique, and the speechless (all subtitles) video is worth watching– at least the first 10 seconds so you can see this thing in action.

Thanks to [carl] for the tip. If a cool project persists in your vision, do please let us know.

youtube.com/embed/KgT20tHpk1g?…

hackaday.com/2025/11/01/volume…

Possibly the biggest privacy story of the year for Europeans and, by extension the rest of the world, has been ChatControl. Chatcontrol is a European Union proposal backed by Denmark for a mandatory backdoor in all online communications. As always with these things, it was touted as a think-of-the-children solution to online child abuse material, but as many opposed to it have warned, that concealed far more sinister possibilities. For now, it seems we can breathe easily as the Danes are reported to have formally backed away from the proposal after it was roundly condemned by the German government, sending it firmly into the political wilderness.

Hackaday readers are likely vastly more informed on this matter than many of the general public, so you’ll have no need for a primer on the obvious privacy and security concerns of such a move. From our point of view, it also suffered from the obvious flaw of being very unlikely to succeed in its stated aim. Even the most blinkered politician should understand that criminals would simply move their traffic to newly-illegal encrypted forms of communication without government backdoors. Perhaps it speaks volumes that it was the Germans who sounded its death-knell, given that state surveillance on that level is very much within living memory for many of them.

The mood in European hackerspaces has been gloomy of late on the subject, so it’s something of a cause for celebration on the continent. If only other governments on the same side of the Atlantic could understand that intrusive measures in the name of thinking of the children don’t work.

European flags: Šarūnas Burdulis, CC BY-SA 2.0 .

hackaday.com/2025/11/01/chatco…

Il 28 ottobre 2025, durante il Forum di cooperazione sulla sicurezza dei cavi sottomarini Taiwan-UE, svoltosi a Taipei, il ministro degli Esteri taiwanese Lin Chia-lung ha presentato la “Iniziativa Internazionale per la Gestione del Rischio dei Cavi Sottomarini”, sottolineando che non si tratta di un progetto esclusivamente di Taiwan, ma di un accordo di collaborazione globale.

Una partnership per la resilienza delle infrastrutture digitali

L’evento, organizzato congiuntamente dal Centro per la Scienza, la Democrazia e la Società (DSET), dal Formosa Club e dal Ministero degli Affari Esteri, ha riunito esperti, rappresentanti governativi e istituzioni europee.

Tra i relatori è intervenuto Richards Kols, presidente del Formosa Club di Taipei e membro della Commissione per gli Affari Esteri del Parlamento Europeo, che ha aperto i lavori del forum.

Nel suo intervento, Lin ha evidenziato come i cavi sottomarini rappresentino un’infrastruttura critica per le comunicazioni globali, ma allo stesso tempo vulnerabile a incidenti e minacce.
Nella regione indo-pacifica, frequentemente colpita da terremoti, i guasti ai cavi sono un problema costante.

A questi si aggiungono i danni causati da attività umane come pesca, dragaggio, ancoraggio e costruzioni offshore, che ogni anno provocano centinaia di interruzioni e comportano costi di manutenzione significativi per governi e operatori.

Le minacce emergenti: sabotaggio e guerra ibrida

Il ministro ha espresso preoccupazione per i rischi di sabotaggio deliberato, sottolineando come il taglio intenzionale dei cavi possa essere utilizzato come strumento di guerra ibrida o coercizione geopolitica, in grado di compromettere la sicurezza nazionale e l’economia di un Paese.

Negli ultimi anni, Taiwan ha sperimentato direttamente le conseguenze di questi incidenti, in particolare nelle isole periferiche, dove le interruzioni di rete hanno avuto ripercussioni sul commercio, sui servizi finanziari, sulle comunicazioni d’emergenza e sulla vita quotidiana dei cittadini.

Taiwan, nodo strategico nelle comunicazioni globali

Lin ha ricordato che Taiwan occupa una posizione strategica nel sistema delle telecomunicazioni internazionali: numerosi cavi sottomarini passano attraverso o vicino all’isola, collegando l’Indo-Pacifico, il Nord America e l’Europa.

Questa centralità comporta non solo vantaggi economici, ma anche una responsabilità condivisa nella protezione delle reti globali. Secondo il ministro, “la stabilità nello Stretto di Taiwan rappresenta un bene pubblico globale, e Taiwan è pronta a contribuire attivamente alla sua salvaguardia”.

I quattro pilastri dell’iniziativa internazionale

L’Iniziativa Internazionale per la Gestione del Rischio dei Cavi Sottomarini mira a promuovere una cooperazione multilaterale tra Stati, imprese e istituzioni, attraverso quattro obiettivi principali:

1. Mitigazione del rischio: rafforzare la manutenzione preventiva, i sistemi di monitoraggio e la capacità di risposta rapida in caso di guasti o minacce.
2. Condivisione delle informazioni: istituire canali di scambio e allerta precoce per garantire una comunicazione efficace e tempestiva tra le parti coinvolte.
3. Riforma del sistema: promuovere linee guida internazionali condivise e il rispetto delle convenzioni esistenti, come la Convenzione delle Nazioni Unite sul Diritto del Mare, aggiornandole se necessario.
4. Sviluppo delle competenze: organizzare formazioni, workshop e programmi di scambio per accrescere le capacità tecniche e operative dei Paesi interessati.

Lin ha concluso sottolineando che l’iniziativa si propone di creare una rete di cooperazione globale, capace di rafforzare la resilienza delle infrastrutture digitali e di proteggere un bene comune fondamentale dell’era moderna: la connettività globale.

L'articolo Taiwan lancia un’iniziativa internazionale per la sicurezza dei cavi sottomarini proviene da Red Hot Cyber.

Nel 2025 il port-scanning resta una delle attività chiave tanto per i Red Team (ricognizione, discovery, fingerprinting) quanto per i Blue Team (monitoraggio e difesa proattiva). Ma la novità di questi mesi è l’arrivo dei Large Language Models (LLM) integrati direttamente nel flusso di lavoro tecnico.

Uno degli esempi più interessanti è LLM-Tools-Nmap, presentato da Hackers Arise, che permette di pilotare Nmap tramite istruzioni in linguaggio naturale.

In pratica, il modello traduce la richiesta (“scansiona le porte web più comuni su questo /24 con velocità moderata e output in XML”) in un comando Nmap corretto e sicuro, includendo opzioni di timing, script NSE e limiti di scansione.

Kali Linux 2025.3 include già llm tra i pacchetti opzionali, e il plugin LLM-Tools-Nmap è disponibile su GitHub per integrazione manuale o automatica.

L’obiettivo è ridurre errori di sintassi, velocizzare i test e consentire all’AI di assistere gli operatori nella generazione, validazione e interpretazione dei risultati. È un concetto potente, ma che richiede — come sempre — controllo umano e policy chiare.

Perché Nmap è ancora il punto fermo

Nmap rimane lo standard de-facto per il port-scanning.
La sua documentazione, la prevedibilità del comportamento delle opzioni (-sS, -sV, -O, -T3), e la possibilità di usare script NSE dedicati rendono questo tool imprescindibile.

Conoscere il cheatsheet Nmap è essenziale per capire cosa succede davvero sul wire, diagnosticare falsi negativi, gestire firewall e IDS, e costruire baseline ripetibili.

Vantaggi del cheatsheet:

• Determinismo e trasparenza: ogni flag fa esattamente ciò che dichiara.
• Diagnostica: sapere interpretare perché una scansione fallisce.
• Ripetibilità: perfetto per training e testing controllato.

Dove l’AI accelera (ma non sostituisce)

L’AI, e in particolare LLM-Tools-Nmap, funziona come copilota intelligente:
interpreta comandi complessi, genera pipeline (masscan → nmap → parsing → report), prepara script di parsing (jq, Python) e persino trasforma output XML in report leggibili.
Può adattare la strategia di scanning ai risultati (ad esempio, avviare --script=http-enum solo se trova un webserver) e fornire sintesi utili ai SOC.

Limiti e rischi:

• L’AI non conosce policy, orari di manutenzione o impatti di rete: può proporre comandi aggressivi.
• Possibili “allucinazioni” di opzioni inesistenti.
• Automatizzare senza supervisione può creare rischi legali o operativi.

Workflow consigliato (approccio ibrido)

1. Formazione manuale: ogni operatore deve padroneggiare il cheatsheet Nmap.
2. AI come copilota: genera i comandi, ma non li esegue; revisione umana obbligatoria.
3. Automazione condizionata: script AI eseguibili solo su target autorizzati.
4. Guard rails: whitelist, rate-limit, log e backoff automatici.
5. Post-scan: normalizzazione output, comparazione con baseline, analisi dei cambiamenti.

Esempio pratico (solo in LAB)

Prompt AI (sicuro):

“Genera un comando Nmap per discovery TCP sulle porte 1–1024 su lab.example.local, timing moderato, max-retries 2, host-timeout 5m, output XML. Fornisci anche una versione meno invasiva.”

Output atteso:

nmap -sS -p 1-1024 -T3 --max-retries 2 --host-timeout 5m -oX scan_lab.xml lab.example.local
# alternativa meno invasiva:
nmap -sT -p 22,80,443 -T2 --open -oX scan_lab_small.xml lab.example.local

Cheatsheet rapido (estratto)

• -sS SYN scan (stealth)
• -sT TCP connect (non privilegiato)
• -sV Version detection
• -O OS detection
• -T0..T5 Timing aggressivo/lento
• Output: -oX, -oN, -oG, -oA
• NSE utili: --script=banner, --script=http-enum, --script=vuln
• Impatto ridotto: --max-retries, --host-timeout, --scan-delay

Conclusione

Il cheatsheet Nmap rimane la base per ogni operatore di sicurezza.

L’AI e strumenti come LLM-Tools-Nmap rappresentano un’ottima estensione: velocizzano, semplificano e aiutano nell’analisi. Ma non sostituiscono esperienza e responsabilità.

L’approccio migliore è ibrido: padronanza manuale + assistenza AI, sotto policy ben definite.

Riferimenti

• Hackers Arise — Artificial Intelligence in Cybersecurity: Using AI for Port Scanning (hackers-arise.com/artificial-i…)
• Documentazione ufficiale Nmap — Nmap Reference Guide
• Cheat sheet community — StationX, GitHub
• LLM-Tools-Nmap — progetto GitHub

L'articolo Port-scanning nel 2025: Nmap e AI — come integrarli in modo sicuro e operativo proviene da Red Hot Cyber.

L’evento che ha scosso il mondo il 19 ottobre 2025 non è stato un disastro naturale o un crollo finanziario, ma il clamoroso furto dei gioielli di Napoleone dal Museo del Louvre. Al di là del valore storico e artistico, per la comunità della cybersecurity, questo episodio rappresenta il più didattico e costoso caso studio di Physical Pen Test dell’anno.

Il Louvre, con i suoi protocolli di sicurezza multistrato, sensori avanzati (biometrici, sismici, a infrarossi) e un team di vigilanza d’élite, può essere concettualizzato come l‘equivalente fisico di una rete aziendale con un’architettura Zero Trust e un WAF/Firewall di ultima generazione. La sua violazione dimostra che la vera resilienza non si basa sulla singola tecnologia, ma sull’integrazione e la verifica continua di processi, persone e tecnologie.

Tutto inizia dall’Open Source Intelligence

Un attacco di successo come quello al Louvre non inizia con l’azione, ma con una meticolosa raccolta di informazioni. Questo è l’equivalente dell’Open Source Intelligence nel dominio digitale.

Gli autori del furto hanno verosimilmente speso mesi, se non anni, a studiare la “superficie d’attacco” fisica tramite un’Identificazione Passiva e Attiva. Hanno analizzato i cicli di pattugliamento, le consegne e i cambiamenti di turno, spesso individuabili tramite semplici osservazioni o fonti social inattese, oltre ai “punti ciechi” delle telecamere di sorveglianza.

Chi si occupa di cybersecurity non può non notare un parallelo diretto con le TTP di un APT che effettua un fingerprinting dei target con mappatura dei sottodomini, analisi dei metadati dei documenti pubblici e lo studio dei profili social dei dipendenti chiave per identificare tecnologie e vulnerabilità comportamentali. L’attacco avviene solo quando il Threat Model è completo e verificato. L’obiettivo non è cercare un exploit ovvio, ma costruire un modello di minaccia completo e predittivo che permetta di agire con un’alta probabilità di successo e una bassa probabilità di rilevamento.

Una volta completata la ricognizione, il passo successivo è l’ingresso. Il fatto che il caveau sia stato raggiunto senza un’effrazione fisica eclatante indica un bypass sofisticato delle difese primarie.

Dal bypass tecnologico alle persone

I sistemi di sicurezza fisica, come quelli digitali, sono vulnerabili non per la loro esistenza, ma per la loro configurazione. Aggirare un sensore di movimento con un movimento al di sotto della soglia di rilevamento o neutralizzare un allarme sfruttando una temporizzazione difettosa tra i turni, è l’equivalente di sfruttare un WAF Bypass o una vulnerabilità di HTTP Request Smuggling dove un payload ambiguo passa inosservato.

Verosimilmente potrebbe essere stata sfruttata una debolezza nel firmware di un componente di sicurezza o un difetto logico nel protocollo di comunicazione degli allarmi: il “difetto zero-day” del sistema di allarme fisico. In sostanza è stato abusato il protocollo di sicurezza piuttosto che la sua robustezza fisica.

Ma l’attacco non è completo senza affrontare l’anello più debole della catena. Qui entra in gioco l’elemento più critico e dove l’analogia con la cybersecurity è più cruda.

Le speculazioni sull’uso di uniformi contraffatte o l’infiltrazione mirata di un insider evidenziano l’efficacia della manipolazione comportamentale.

Tra Tailgating e Social Engineering

Il concetto di Tailgating o Piggybacking non è solo seguire una persona autorizzata attraverso un accesso. In questo caso si presume una forma di Tailgating Sofisticato:

• Falsa Identità Accreditata: Utilizzare abiti da manutentore o da addetto alle pulizie, ruoli con accesso ampio ma bassa sorveglianza, è l’equivalente di compromettere una Service Account a basso privilegio ma con accesso a una vasta porzione della rete interna.
• Sfruttamento della Buona Fede: Un accesso avvenuto con l’inganno si basa sulla riluttanza umana a confrontarsi con una persona che sembra “appartenere” a quell’ambiente. Questo bypassa controlli d’accesso biometrici e tesserini magnetici, sfruttando la debolezza del sistema più complesso: la percezione umana.

Puoi spendere milioni in tecnologie, ma se non testi la tua Security Awareness e le procedure di verifica del personale contro il Social Engineering, la sicurezza fallirà sempre sull’anello umano.

Superato l’ostacolo umano, il successo finale non è l’accesso, ma l’esfiltrazione dei “Crown Jewels” senza intercettazione. Muoversi all’interno del museo senza innescare gli allarmi interni o essere intercettati dalle guardie di sicurezza, l’equivalente del Blue Team / SOC, richiede la conoscenza esatta delle vie di fuga e dei punti ciechi. È necessario intraprendere un Lateral Movement non convenzionale.

Il metodo di uscita, immortalato nel video che mostra i ladri scendere utilizzando la scala del camion per i “lavori”, è emblematico, è l’analogo digitale di un Command and Control Channel mascherato in traffico legittimo come, ad esempio, DNS o ICMP Tunneling. L’esfiltrazione è stata rapida e chirurgica, minimizzando il tempo in cui i ladri erano esposti ai sensori, esattamente come un APT riduce al minimo la permanenza sulla rete dopo il raggiungimento dell’obiettivo.

La Sicurezza come Paranoia Positiva

Dall’OSINT al C2 passando per il Social Engineering, il furto al Louvre è la prova definitiva che la sicurezza, in qualsiasi dominio, non è uno stato statico, ma un processo continuo di convalida e miglioramento. La fiducia nelle barriere difensive, il “Firewall Fisico“, ha portato a una compiacenza che è stata sfruttata.

Per la comunità della cybersecurity questo evento rafforza il principio che i controlli devono essere testati regolarmente da una prospettiva offensiva. Solo un rigoroso programma di Penetration Test che simuli attacchi a 360 gradi tramite tecnologia, processi e persone può esporre le lacune che, altrimenti, verrebbero sfruttate dal prossimo APT con gli strumenti giusti.

La sicurezza fallisce sempre per mancanza di immaginazione ed i ladri del Louvre ci hanno appena ricordato di espandere la nostra

L'articolo Il furto al Louvre: quando i ladri insegnarono il Physical Pen Test a tutto il mondo proviene da Red Hot Cyber.

The World Wide Web of the 90s was a magical place, where you couldn’t click two links without getting bombarded with phrases such as the Information Super Highway and Multimedia Experience. Of course, the multimedia experience you got on your Windows 9x PC was mostly limited to low-res, stuttery RealMedia and Windows video format clips, but what if you could experience YouTube back then, on your ‘multimedia-ready’ Celeron PC, running Netscape 4.5?

Cue the [Throaty Mumbo] bloke over on that very same YouTube, and his quest to make this dream come true. Although somewhat ridiculous on the face of it, the biggest problem is actually the era-appropriate hardware, as it was never meant to decode and display full-HD VP9-encoded videos.

Because the HTTPS requirement has meant that no 1990s or early 2000s browser will ever browse the modern WWW, a proxy was going to be needed no matter what. This Python-based proxy then got kitted out with not just the means to render down the convoluted HTML-CSS-JS mess of a YouTube page into something that a civilized browser can display, but also to fetch YouTube videos with yt-dlp and transcode it into MPEG1 in glorious SD quality for streaming to Netscape on the Windows 98 PC.

Because the same civilized browsers also support plugins, such as Netscape’s NPAPI, this meant that decoding and rendering the video was the easy part, as the browser just had to load the plugin and the latter doing all the heavy lifting. Perhaps unsurprisingly, with some tweaks even Netscape 2.0 can be used to browse YouTube and play back videos this way, with fullscreen playback and seeking support.

Although these days only a rare few modern browsers like Pale Moon still support NPAPI, it’s easy to see how the introduction of browser plugins boosted the multimedia future of the WWW that we find ourselves in today.

youtube.com/embed/PGeW-L7UPbM?…

hackaday.com/2025/10/31/making…

When the files on the Titan submersible disaster were published, most people skimmed for drama. Hackers, however, would likely zoom in on the hardware autopsy. [Scott Manley] actually did this. He faced a hacker’s nightmare: three crushed PCs, bent SSDs, and an encrypted SD card from a camera that survived six kilometres under pressure, all sealed in titanium and silence.

[Scott] went all in to resurrect data. First came CT scans: firing 320 kV X-rays through a kilo of mangled electronics to hunt for intact NAND chips. When that failed, he desoldered UFS memory by hand, used custom flash readers, cloned NV-RAMs, and even rebuilt boards to boot salvaged firmware. The ultimate test was grafting the recovered chips onto donor hardware in Canada. Like the monster of Frankenstein, the system came to life.

In the end, it partially worked. Twelve stills and nine videos were retrieved, albeit none from the fatal dive. The process itself was a masterclass in deep hardware forensics, here covered in a video worth watching.

youtube.com/embed/qMUjCZ7MMWQ?…

hackaday.com/2025/10/31/recove…

Most of us do our writing on computers these days, but the modern computing environment does present a lot of distractions. That’s let to the concept of the writer deck, a simplified device intended more specifically for word processing tasks. [Ashtf] has built a great example of the form with a modified version of the PocketMage device.

The PocketMage is a clamshell PDA device that [Ashtf] has been working on for some time. It’s powered by an ESP32, hooked up to a nice e-ink display. In its basic form, it’s not the ideal device for doing serious writing work, mostly because of its tiny keyboard. However, [Ashtf] has since added external keyboard support, which completely changes the game. With the use of a small USB C to USB A adapter, you can hook up any conventional USB keyboard that you like to best attain your maximum typing speed.

The result is a compact, simple device that lets you type away without distractions. If your latest fanfic isn’t coming along quickly enough because you keep losing focus to social media, perhaps this is a route you might like to go. [Ashtf] also included Markdown support so you can create richer documents on the device while operating in what is still fundamentally a text-only environment.

It’s neat to build custom devices that suit your own personal productivity needs. If you dig the PocketMage, you might like to check out the design files on Github. We’ve featured some other fun writer decks before, too. Video after the break.

youtube.com/embed/TXqvZpyvmZY?…

hackaday.com/2025/10/31/buildi…

Vibecoding. What could possible go wrong? That’s what [Kevin Joensen] of Baldur wondered, and to find out he asked Anthropic’s Sonnet 4.5 to build a secure login with Two Factor Authentication (2FA). And to the LLM’s credit, it builds the app as requested. [Kevin] took a peek under the hood to see how well the security was handled, and it wasn’t great.

Up first, the Flask app doesn’t have any rate-limiting for guessing that time-based 2FA code. A 6-digit time-based 2FA only works if you can’t try all the possibilities before a given code expires. So what does a vibecoder do, once this has been noticed? Ask the LLM to fix it of course. Here we take a slightly different approach, prompting the AI to double-check its work: “Is there any security features missing in 2fa verify step?” The answer is an impressive:

Great question! Yes, there are several critical security features missing from the 2FA verification step. Let me highlight the most important ones: Critical Security Issues1. No Rate Limiting (MOST CRITICAL)

But the critical question, can it properly fix its mistake? The AI adds the flask-limiter library and chooses 10 attempts per minute, which is a bit loose, but not unreasonable. There’s still an issue, that those attempts are limited by IP address instead of user login. All it takes to bypass that rate limiting is a pool of IP addresses.

This experiment starts to go off the rails, as [Kevin] continues to prompt the LLM to look for more problems in its code, and it begins to hallucinate vulnerabilities, while not fixing the actual problem. LLMs are not up to writing secure code, even with handholding.

But surely the problem of LLMs making security mistakes isn’t a real-world problem, right? Right? Researchers at Escape did a survey of 5,600 vibecoded web applications, and found 2,000 vulnerabilities. Caveat Vibetor.

“Secure” Enclave

A few weeks ago we talked about Battering RAM and Wiretap — attacks against Trusted Execution Environments (TEEs). These two attacks defeated trusted computing technologies, but were limited to DDR4 memory. Now we’re back with TEE-fail, a similar attack that works against DDR5 systems.

This is your reminder that very few security solutions hold up against a determined attack with physical access. The Intel, AMD, and Nvidia TEE solutions are explicitly ineffective against such physical access. The problem is that no one seemed to be paying attention to that part of the documentation, with companies ranging from Cloudflare to Signal getting this detail wrong in their marketing.

Banning TP-Link

News has broken that the US government is considering banning the sale of new TP-Link network equipment, calling the devices a national security risk.

I have experience with TP-Link hardware: Years ago I installed dozens of TL-WR841 WiFi routers in small businesses as they upgraded from DSL to cable internet. Even then, I didn’t trust the firmware that shipped on these routers, but flashed OpenWRT to each of them before installing. Fun fact, if you go far enough back in time, you can find my emails on the OpenWRT mailing list, testing and even writing OpenWRT support for new TP-Link hardware revisions.

From that experience, I can tell you that TP-Link isn’t special. They have terrible firmware just like every other embedded device manufacturer. For a while, you could run arbitrary code on TP-Link devices by putting it inside backticks when naming the WiFi network. It wasn’t an intentional backdoor, it was just sloppy code. I’m reasonably certain that this observation still holds true. TP-Link isn’t malicious, but their products still have security problems. And at this point they’re the largest vendor of cheap networking gear with a Chinese lineage. Put another way, they’re in the spotlight due to their own success.

There is one other element that’s important to note here. There is still a significant TP-Link engineering force in China, even though TP-Link Systems is a US company. TP-Link may be subject to the reporting requirements of the Network Product Security legislation. Put simply, this law requires that when companies discover vulnerabilities, they must disclose the details to a particular Chinese government agency. It seems likely that this is the primary concern in the minds of US regulators, that threat actors cooperating with the Chinese government are getting advanced notice of these flaws. The proposed ban is still in proposal stage, and no action has been taken on it yet.

Sandbox Escape

In March there was an interesting one-click exploit that was launched via phishing links in emails. Researchers at Kaspersky managed to grab a copy of the malware chain, and discovered the Chrome vulnerability used. And it turns out it involves a rather novel problem. Windows has a pair of APIs to get handles for the current thread and process, and they have a performance hack built-in: Instead of returning a full handle, they can return -1 for the current process and -2 for the current thread.

Now, when sandboxed code tries to use this pseudo handle, Chrome does check for the -1 value, but no other special values, meaning that the “sandboxed” code can make a call to the local thread handle, which does allow for running code gadgets and running code outside the sandbox. Google has issued a patch for this particular problem, and not long after Firefox was patched for the same issue.

NPM and Remote Dynamic Dependencies

It seems like hardly a week goes by that we aren’t talking about another NPM problem. This time it’s a new way to sneak malware onto the repository, in the form of Remote Dynamic Dependencies (RDD). In a way, that term applies to all NPM dependencies, but in this case it refers to dependencies hosted somewhere else on the web. And that’s the hook. NPM can review the package, and it doesn’t do anything malicious. And when real users start downloading it, those remote packages are dynamically swapped out with their malicious versions by server-side logic.

Installing one of these packages ends with a script scooping up all the data it can, and ex-filtrating it to the attacker’s command and control system. While there isn’t an official response from NPM yet, it seems inevitable that NPM packages will be disallowed from using these arbitrary HTTP/HTTPS dependencies. There are some indicators of compromise available from Koi.

Bits and Bytes

Python deserialization with Pickle has always been a bit scary. Several times we’ve covered vulnerabilities that have their root in this particular brand of unsafe deserialization. There’s a new approach that just may achieve safer pickle handling, but it’s a public challenge at this point. It can be thought of as real-time auditing for anything unsafe during deserialization. It’s not ready for prime time, but it’s great to see the out-of-the-box thinking here.

This may be the first time I’ve seen remote exploit via a 404 page. But in this case, the 404 includes the page requested, and the back-end code that injects that string into the 404 page is vulnerable to XML injection. While it doesn’t directly allow for code execution, this approach can result in data leaks and server side request forgeries.

And finally, there was a sketchy leak, that may be information on which mobile devices the Cellebrite toolkit can successfully compromise. The story is that [rogueFed] sneaked into a Teams meeting to listen in and grab screenshots. The real surprise here is that GrapheneOS is more resistant to the Cellebrite toolkit than even the stock firmware on phones like the Pixel 9. This leak should be taken with a sizable grain of salt, but may turn out to be legitimate.

hackaday.com/2025/10/31/this-w…