Ever tear open a potentiometer? If you haven’t, you can still probably guess what’s inside. A streak of resistive material with some kind of contact that moves across it as you rotate the shaft, right? Usually, you’d be right, but [T. K. Hareedran] writes about a different kind of pot: ones that use magnetic sensing.

Why mess with something simple? Simplicity has its price. Traditional units may not be very accurate, can be prone to temperature and contamination effects, and the contact will eventually wear out the resistive strip inside. However, we were a little curious about how a magnetic potentiometer could offer a resistive output. The answer? It doesn’t.

Really, these would be better described as rotary encoders with a voltage output. They aren’t really potentiometers. The SK22B mentioned in the article, for example, requires a 5 V input and outputs somewhere between 10% and 90% of that voltage on the ersatz wiper pin.

That makes the devices much easier to puzzle out. The linearity of a device like that is better than a real pot, and, of course, the life expectancy is greatly increased. On the other hand, we’d rather get one with quadrature or I2C output and read it digitally, but if you need a voltage, these devices are certainly an option.

[T. K.] goes on to show how he fabricated his own non-contact sensor using photosensors and a gray-coded wheel with a single track. You do need to be careful about where you position the sensors, though.

Could you make a real non-contact resistive pot? Seems like you could get close with an FET output stage, but it wouldn’t be as generally applicable as a good old-fashioned smear of carbon. If you have a better idea, drop it in the comments or build it and give us a tip.

Want a 20A-capable device? Build it. Want to see how we like to read encoders?

hackaday.com/2025/09/06/faux-p…

For something non-explosive, this might be the most American project we’ve featured in a while. [Makerinator]’s domestic bliss was apparently threatened by the question “what shall we have for dinner”– that’s probably pretty universal. Deciding that the solution was automation is probably universal to software devs and associated personalities the world over. That the project, aptly called “The Decisioninator” apes a popular game-show mechanic to randomly select a fast-food restaurant? Only people with 100-octanes of freedom running through their veins can truly appreciate its genius.

In form factor, it’s a tiny slot machine which [Makerinator] fabbed up on his laser cutter. The lovely “paintjob” was actually a print out with dye-sublimation ink that was transferred to plywood before laser cutting. Mounted to this are illuminated arcade buttons and a small ISP display. The interface is simplicity itself: the big button spins a virtual “wheel” on the display (with sound effects inspired by The Price is Right) to tell the family what deliciously unhealthy slop they’ll be consuming, while the other button changes decision modes. Of course you can pick more than just dinner with The Decisioninator. You need only decide what spinners to program. Which, uh, that might be a problem.

Luckily [Makerinator] was able to come up with a few modes without recursively creating a The Decisioninator-inator. He’s got the whole thing running on a Pi4, which, with its 1980s supercomputer performance, is hilariously overpowered for the role it plays (in true American fashion). He’s coded the whole thing in the Flame Engine, which is a game engine built on the Flutter UI toolkit by American technology giant Google.

What’s more American than tech giants and fast food? A propane powered plasma cannon, for one thing; or maybe mental gymnastics to translate into freedom units, for another.

Thanks to [Makerinator] for the tip.

hackaday.com/2025/09/05/the-de…

Uno specialista di sicurezza indipendente, noto con il nickname BobDaHacker, ha scoperto delle falle di sicurezza in Pudu Robotics (il principale fornitore mondiale di robot di servizio commerciali). Le vulnerabilità consentivano agli aggressori di reindirizzare i robot in qualsiasi posizione e costringerli a eseguire comandi arbitrari.

Pudu Robotics è un’azienda cinese produttrice di robot che svolgono compiti che vanno dal servire il cibo nei ristoranti con BellaBot alla gestione di sistemi progettati dall’uomo come gli ascensori con FlashBot. Secondo Frost & Sullivan, l’azienda ha detenuto una quota di mercato del 23% per questi dispositivi lo scorso anno.

BobDaHacker ha scoperto di poter accedere al software di controllo dei bot perché l’accesso amministrativo non era bloccato. Per eseguire questo attacco, l’aggressore aveva bisogno di un token di autorizzazione valido, che poteva essere ottenuto tramite cross-site scripting o semplicemente creando un account di prova, progettato per testare i bot prima di acquistarli.

Dopo l’autenticazione iniziale, non sono stati effettuati ulteriori controlli di sicurezza, consentendo a chiunque di modificare gli ordini, spostare i robot in nuove posizioni e rinominarli per rendere più difficile il ripristino dopo un attacco.

In altre parole, l’aggressore è stato in grado di reindirizzare il cibo ordinato verso destinazioni arbitrarie o persino di disabilitare l’intera flotta di robot da ristorante. Il ricercatore osserva inoltre che gli aggressori potrebbero costringere FlashBot a danneggiare i sistemi dell’ufficio o a rubare proprietà intellettuale.

Quando il ricercatore ha provato a contattare i rappresentanti di Pudu Robotics per informarli del problema, non ha ricevuto risposta. Così, il 12 agosto, BobDaHacker ha inviato le prime e-mail, ma i reparti di assistenza tecnica, supporto e vendite non hanno risposto. Dopo aver atteso fino al 21 agosto, lo specialista ha inviato nuovamente nuove e-mail, contattando più di 50 dipendenti dell’azienda nel tentativo di attirare l’attenzione di almeno qualcuno.

Non avendo ricevuto risposta, il ricercatore ha contattato i clienti dei ristoranti di Pudu Robotics; la catena di ristoranti giapponese Skylark Holdings e la catena Zensho hanno preso sul serio gli avvertimenti.

Circa 48 ore dopo che BobDaHacker aveva contattato i clienti, Pudu Robotics ha finalmente risposto alla sua email. Tuttavia, l’esperto ha scritto che la risposta era chiaramente stata scritta da ChatGPT. “Non si sono nemmeno preoccupati di rimuovere il segnaposto nel modello di ChatGPT. È semplicemente uno sforzo incredibile”, ha affermato l’esperto.

L’azienda ha ringraziato lo specialista per aver scoperto le vulnerabilità con il seguente messaggio: “Grazie per il vostro prezioso contributo alla nostra sicurezza. Se desiderate condividere maggiori dettagli o avete domande, non esitate a contattarmi direttamente”, ha scritto il rappresentante dell’azienda.

Tuttavia, da allora Pudu Robotics ha risolto le vulnerabilità individuate dal ricercatore e ha messo in sicurezza i propri sistemi.

Il 3 settembre, BobDaHacker ha aggiornato il suo post e ha riferito che, a quanto pare, l’azienda non aveva ignorato i suoi messaggi. Le prime email non erano effettivamente arrivate ai destinatari previsti, ma una segnalazione dei problemi era stata successivamente ricevuta tramite altri canali. Successivamente, gli sviluppatori hanno iniziato a lavorare a una soluzione, ma l’azienda ha contattato il ricercatore solo quando la correzione era pronta per essere implementata..

L'articolo Robot da ristorante hackerabili: potevano servire il sushi… a casa dell’attaccante proviene da il blog della sicurezza informatica.

I sistemi di intelligenza artificiale sono stati criticati per aver creato report di vulnerabilità confusi e per aver inondato gli sviluppatori open source di reclami irrilevanti. Ma i ricercatori dell’Università di Nanchino e dell’Università di Sydney hanno un esempio del contrario: hanno presentato un agente chiamato A2, in grado di trovare e verificare le vulnerabilità nelle applicazioni Android, simulando il lavoro di un bug hunter. Il nuovo sviluppo è la continuazione del precedente progetto A1, che era in grado di sfruttare i bug negli smart contract.

Gli autori affermano che A2 ha raggiunto una copertura del 78,3% sulla suite di test Ghera , superando l’analizzatore statico APKHunt, che ha ottenuto solo il 30%. Eseguito su 169 APK reali, ha rilevato 104 vulnerabilità zero-day, di cui 57 confermate da exploit funzionanti generati automaticamente. Tra queste, un bug di media gravità in un’app con oltre 10 milioni di installazioni. Si trattava di un problema di reindirizzamento intenzionale che ha permesso al malware di prendere il controllo.

La caratteristica distintiva principale di A2 è il modulo di convalida, assente nel suo predecessore.

Il vecchio sistema A1 utilizzava uno schema di verifica fisso che valutava solo se un attacco avrebbe portato profitto. A2, invece, è in grado di confermare una vulnerabilità passo dopo passo, suddividendo il processo in attività specifiche. A titolo di esempio, gli autori citano uno scenario con un’applicazione in cui la chiave AES era memorizzata in chiaro. L’agente trova prima la chiave nel file strings.xml, quindi la utilizza per generare un token di reimpostazione della password falso e infine verifica che questo token bypassi effettivamente l’autenticazione. Tutte le fasi sono accompagnate da verifica automatica: dalla corrispondenza dei valori alla conferma dell’attività dell’applicazione e alla visualizzazione dell’indirizzo desiderato sullo schermo.

Per funzionare, A2 combina diversi modelli linguistici commerciali : OpenAI o3, Gemini 2.5 Pro, Gemini 2.5 Flash e GPT-oss-120b. Sono distribuiti in base ai ruoli: il pianificatore elabora una strategia di attacco, l’esecutore esegue le azioni e il validatore conferma il risultato. Questa architettura, secondo gli autori, riproduce la metodologia umana, il che ha permesso di ridurre il rumore e aumentare il numero di risultati confermati. Gli sviluppatori sottolineano che gli strumenti di analisi tradizionali producono migliaia di segnali insignificanti e pochissime minacce reali, mentre il loro agente è in grado di dimostrare immediatamente la sfruttabilità di un errore.

I ricercatori hanno anche calcolato il costo del sistema. Il rilevamento delle vulnerabilità costa tra 0,0004 e 0,03 dollari per app utilizzando modelli diversi, mentre un ciclo completo con verifica costa in media 1,77 dollari. Allo stesso tempo, se si utilizza solo Gemini 2.5 Pro, il costo aumenta a 8,94 dollari per bug. A titolo di confronto, l’anno scorso un team dell’Università dell’Illinois ha dimostrato che GPT-4 crea un exploit a partire dalla descrizione di una vulnerabilità per 8,80 dollari. Si scopre che il costo per individuare e confermare le falle nelle app mobili è paragonabile al costo di una vulnerabilità di media gravità nei programmi bug bounty, dove le ricompense sono calcolate in centinaia e migliaia di dollari.

Gli esperti sottolineano che A2 supera già le prestazioni degli analizzatori statici di programmi Android e A1 si avvicina ai migliori risultati negli smart contract. Sono fiduciosi che questo approccio possa accelerare e semplificare il lavoro sia dei ricercatori che degli hacker, perché invece di sviluppare strumenti complessi, è sufficiente richiamare l’API di modelli già addestrati. Tuttavia, rimane un problema: i cacciatori di ricompense possono utilizzare A2 per un rapido arricchimento, ma i programmi di ricompensa non coprono tutti i bug. Questo lascia delle scappatoie per gli aggressori che possono utilizzare direttamente gli errori trovati.

Gli autori dell’articolo ritengono che il settore stia appena iniziando a svilupparsi e che ci si possa aspettare un’impennata di attività sia negli attacchi difensivi che in quelli offensivi nel prossimo futuro. I rappresentanti del settore sottolineano che sistemi come A2 spostano le ricerche di vulnerabilità da allarmi infiniti a risultati confermati, riducendo il numero di falsi positivi e consentendo di concentrarsi sui rischi reali.

Per ora, il codice sorgente è disponibile solo per i ricercatori con partnership ufficiali, per mantenere un equilibrio tra scienza aperta e divulgazione responsabile.

L'articolo L’AI A2 ha rilevato 102 bug 0day e creato exploit nelle app Android a 1,77 dollari proviene da il blog della sicurezza informatica.

Nel panorama attuale della cybersecurity, le minacce si muovono sempre più rapidamente e con maggiore sofisticazione. I tradizionali strumenti di difesa non bastano più a garantire visibilità completa, soprattutto quando l’attacco non lascia tracce evidenti sugli endpoint o sfrutta tecniche fileless. In questo contesto si afferma il concetto diNetwork Detection and Response (NDR): una tecnologia progettata per rilevare comportamenti anomali all’interno del traffico di rete e attivare contromisure intelligenti.

Ma cos’è esattamente un NDR? Come funziona? E perché rappresenta una componente sempre più cruciale nella strategia di sicurezza aziendale?

Cos’è il Network Detection and Response

IlNetwork Detection and Responseè un sistema avanzato di monitoraggio e analisi del traffico di rete in grado di individuare, in tempo reale, attività sospette o malevole che sfuggono ai tradizionali controlli basati su firme o agent.

A differenza degli strumenti perimetrali tradizionali, l’NDR osserva il comportamento interno alla rete (trafficoest-ovest) e i flussi in uscita (nord-sud) per identificare anomalie indicative di compromissione: esfiltrazioni di dati, movimenti laterali, beaconing verso server di controllo (Command & Control), e molto altro.

L’obiettivo è chiaro:rilevare attacchi in corso anche in assenza di segnali evidenti, e rispondere prima che causino danni.

Come funziona un NDR

Un sistema NDR si basa su tre pilastri tecnologici:

Deep packet Inspection (DPI)
Analizza in profondità i pacchetti di rete, estraendo informazioni dettagliate su protocolli, payload e pattern di comunicazione.

1. Machine Learning e Behavioural Analytics
   Crea un modello del comportamento “normale” all’interno della rete, rilevando automaticamente deviazioni sospette che potrebbero indicare una minaccia.
2. Threat Intelligence e Indicatori di Compromissione (IOC)
   Confronta indirizzi IP, URL, certificati e altri metadati con blacklist note, fonti OSINT e feed di intelligence aggiornati.

Il risultato è unasorveglianza costante e invisibile, capace di riconoscere segnali deboli che potrebbero preludere a un attacco complesso.

Perché adottare un NDR

L’NDR non è un semplice strumento di controllo: è unarisorsa strategicaper qualunque azienda che voglia proteggere i propri asset digitali in modo proattivo.

Ecco perché:

• visibilità estesa: monitora tutti i flussi, anche tra dispositivi non gestiti o privi di agent;
• rilevamento in tempo reale: individua minacce sofisticate prima che causino danni;
• riduzione del dwell-time: accorcia il tempo medio di permanenza dell’attaccante nella rete;
• complementarietà con EDR/SIEM: fornisce una prospettiva unica e integrabile nelle architetture esistenti;
• adattabilità: si applica a contesti IT classici, ambienti OT, reti cloud e ibride.

In particolare, l’NDR è cruciale per contesti ad alta criticità (sanità, manifattura, infrastrutture OT) dove dispositivi non monitorabili direttamente – come PLC, HMI, SCADA – rappresentano un punto debole.

LECS: l’NDR evoluto, invisibile, adattivo

Nel panorama delle soluzioni NDR,LECSoffre un approccio radicalmente innovativo con il suo modulo proprietarioSpecto.

Progettato per unasorveglianza continua e non intrusiva, Specto analizza tutto il traffico in transito, impiegando tecniche proprietarie diHidden Analysise un motore AI avanzato integrato con la piattaformaTiresia.

Le caratteristiche distintive di Specto:

• Analisi full-packetcon modelli adattivi comportamentali
• Monitoraggio esteso a reti IT, OT e cloud-based
• Integrazione nativa con intelligenza artificiale LECS
• Reazione immediata attraverso il motoreRaises, che attiva l’isolamento automatico di asset compromessi (fino all’Air‑Gap energetico)
• Connettività diretta con il sistema XDR LECS per una visione cross-layer

Quando serve davvero un NDR?

Un NDR è particolarmente utile quando:

• gestiscireti mistecon dispositivi IoT/OT difficili da proteggere
• temi attacchifilelessoAPTche sfuggono ai tradizionali antivirus
• vuoi identificaremovimenti lateralipost-breach
• hai necessità divisibilità forensesul traffico per investigazioni rapide

Oggi,l’assenza di un NDR è una vulnerabilità. L’attaccante che entra nella tua rete senza lasciare traccia sull’endpoint potrebbe rimanere inosservato per settimane. Con LECS, puoi intercettarlo prima che sia troppo tardi.

Conclusione

Il Network Detection and Response rappresenta la risposta più concreta e intelligente alle minacce che si muovono sotto il radar delle soluzioni tradizionali. LECS, conSpecto,TiresiaeRaises, integra un NDR di nuova generazione in un ecosistema plug & play che unisce visibilità, automazione e reazione rapida.

Non lasciare cieca la tua rete. Metti LECS a sorvegliare! LECS è un prodotti di Cyber Evolution srl

L'articolo LECS powered by Cyber Evolution: la prima black box NDR completamente Made in Italy proviene da il blog della sicurezza informatica.

come accennavo nella precedente presentazione, cercavo un luogo dove poter far vetrina delle 'robe che cucio'.

sono completamente autodidatta e mi muovo con il passaparola per ricevere commissioni per consolidare tecniche e ampliare gli orizzonti, oltre che per guadagnarmi da vivere.

studio modellistica appena ho un attimo, ma mi appoggio anche ad artigiani modellisti che creano cartamodelli che poi cucirò per voi (adulti e bambini).

uso solo tessuti certificati, da rivenditori scelti.

come piattaforma ho scelto di utilizzare Pixelfed.uno.

sperando di non sbagliare proverò a linkare la mia vetrina.

fatemi sapere se l'operazione è andata a buon fine, grazie

Erika

2025-09-05 22:31:26

Abito bimba in popeline 100% cotone certificato GOTS. Cucio robe tentando di guadagnarmi da vivere. Cucio più o meno di tutto. Autodidatta, ho iniziato un anno fa e sono aperta a sperimentazioni. Studio modellistica nelle ore buche e propongo prezzi accessibili che mi consentano di cucire sempre di più e sempre con più precisione e tecnica. Se sei interessat*, contattami!

We were pleasantly surprised when congressional Republicans introduced our farewell article to the former president, titled Biden’s press freedom legacy: Empty words and hypocrisy, into the record at a House Judiciary Committee hearing this week.

That’s great — it’s always nice to have our work recognized. But if Republican lawmakers agree with us that former President Joe Biden was bad on press freedom, someone should really tell them about this Donald Trump character who’s in office now. All the abuses we identified in the article Republicans cited have (as the article predicted) worsened under the new president, and he’s come up with plenty of new ones too.

We wrote a letter to let the committee know that if it’s serious about addressing the issues our article discussed, regardless of who is in the White House, we’re here to help. We’ll let you know if they reply (but don’t hold your breath). Read the letter here or below.

freedom.press/static/pdf.js/we…

freedom.press/issues/thanks-fo…

Dear Friend of Press Freedom,

For 164 days, Rümeysa Öztürk has faced deportation by the United States government for writing an op-ed it didn’t like, and for 83 days, Mario Guevara has been imprisoned for covering a protest. Read on for more, and click here to subscribe to our other newsletters.

Recording police is not ‘violence’

It was bad enough when government officials claimed that journalists are inciting violence by reporting. But now, they’re accusing reporters of actually committing violence.

The supposed violence by reporters? Recording videos. At least three times recently, a government official or lawyer has argued that simply recording law enforcement or Immigration and Customs Enforcement officers is a form of violence. Read more here.

Thanks for citing us, House Republicans. Now do something

Congressional Republicans introduced our farewell article to the former president, titled Biden’s press freedom legacy: Empty words and hypocrisy, into the record at a House Judiciary Committee hearing this week.

That’s great — it’s always nice to have our work recognized. But if these lawmakers agree with us that former President Joe Biden was bad on press freedom, someone should really tell them about this Donald Trump character who’s in office now. All the abuses we identified in the article Republicans cited have (as the article predicted) worsened under the new president, and he’s come up with plenty of new ones too.

We wrote a letter to let the committee know that if it’s serious about addressing the issues our article discussed, regardless of who is in office, we’re here to help. We’ll let you know if they reply (but don’t hold your breath). Read the letter here.

Will secret law prevail in drug boat massacre?

The Trump administration has not provided any legal justification for blowing up a boat carrying 11 alleged Venezuelan drug traffickers on the Caribbean Sea. We filed a Freedom of Information Act request to find out if lawyers at the Justice Department’s Office of Legal Counsel were consulted before the slaughter and, if so, what they said.

If there is an OLC opinion about the targeting of the Venezuelan boat, the public and Congress should be able to debate it right now. Unfortunately, the government has long taken the position that OLC opinions should be secret, even though there should be no such thing as secret law in the United States. Read more here, and, if you want to learn more about government secrecy and what we’re doing to combat it, subscribe to The Classifieds.

Stop the judicial secrecy bill

An amendment to the National Defense Authorization Act would allow lawmakers to scrub information about themselves from the internet. The bill fails to achieve its stated purpose of keeping lawmakers safe — except from investigative journalism.

This week we helped lead a letter to senators from press freedom and civil liberties organizations objecting to the misguided legislation. Even if the NDAA amendment does not succeed, it’s likely that this bill will be back, and we’ll be ready to fight it. Read the letter here.

ICE revives contract for spyware

In 2023, Biden issued an executive order limiting government use of commercial spyware. Subsequently, the Biden administration issued a stop-work order on a $2 million contract between Immigration and Customs Enforcement and Paragon, a spyware vendor that makes products that have reportedly been used to spy on journalists.

It now appears ICE is reinstating this contract. Read more here and subscribe to our Digital Security Tips newsletter.

What we’re reading

Inside Trump’s decade-long war on the press: 75,000 posts, 3,500 direct attacks

Editor and Publisher
Trump’s anti-press rhetoric is “not bluster; it is not a personality trait. It is deliberate,” our U.S. Press Freedom Tracker’s Stephanie Sugars said. “It is very much at the cost of the strength of our social fabric and our shared reality.”

RSF and Avaaz launch international media operation

RSF
Great work by our friends at Reporters Without Borders organizing this response to Israel’s slaughter of journalists in Gaza. It’s unfortunate that more U.S. outlets did not participate. If the outlets you support were not among the few, ask them why.

Illinois restores protections for press targeted with frivolous lawsuits

The Dissenter
We spoke to The Dissenter about the Illinois Supreme Court’s ridiculous ruling that the state’s law against strategic lawsuits against public participation doesn’t protect reporting, and the recently passed bill to repair the damage.

He plagiarized and promoted falsehoods. The White House embraces him

The New York Times
We talked to the Times about influencers replacing journalists at the White House. Yes, it’s awful that Trump won’t grant reporters the honor of getting lied to at press briefings. But the decimation of FOIA — a source of facts, not spin — is even more concerning.

Noem accuses CBS of ‘deceptively’ editing interview about Abrego Garcia

The Hill
Kristi Noem’s complaints underscore why news outlets can’t settle frivolous lawsuits. Now, the door is wide open for government officials to question every editing decision news outlets make, whether to shorten an interview for time or to not air lies and nonsense.

Police body cameras are supposed to shed light. Rhode Island rules let officers keep footage in the dark

Rhode Island Current
When rules restrict police body cameras from being used to provide transparency, the only use left for them is surveillance.

Judge Charles Wilson defends New York Times v. Sullivan

Reason
A good recap of why “originalist” attacks on the actual malice standard — which limits defamation claims by public figures — are so disingenuous.

freedom.press/issues/recording…

In occasione di Uman Festival, il tesoriere dell’Associazione Luca Coscioni Marco Cappato sarà protagonista di un incontro pubblico dal titolo “Democrazia. In dialogo con Marco Cappato”.

L’appuntamento è per venerdì 12 settembre 2025 alle ore 15:00 presso l’Aula 002 del Dipartimento di Sociologia – Università di Trento, Via Giuseppe Verdi 26, a Trento.

In occasione di Uman Festival, l’attivista e tesoriere dell’Associazione Luca Coscioni Marco Cappato sarà protagonista di un incontro pubblico dal titolo “Democrazia. In dialogo con Marco Cappato”.

Un momento di confronto con studenti, studentesse e cittadinanza, per discutere il valore della partecipazione democratica e dei diritti civili in Italia e in Europa.

Partecipano:
Marco Cappato (Associazione Luca Coscioni)
Marta Citriniti (Presidente Tridentum)
Renata Maria Giordano (Presidente ELSA Trento)
Prof.ssa Marta Tomasi (Università di Trento)

Aula 002, Dipartimento di Sociologia – Università di Trento
Ingresso libero, aperto a tutte e tutti

L'articolo Marco Cappato a Trento – Dialogo sulla democrazia all’Università proviene da Associazione Luca Coscioni.