Every Thursday of the week, Bastian’s Night is broadcast from 21:30 CEST (new time).

Bastian’s Night is a live talk show in German with lots of music, a weekly round-up of news from around the world, and a glimpse into the host’s crazy week in the pirate movement.

If you want to read more about @BastianBB: –> This way

piratesonair.net/bastians-nigh…

Does the in 65F02 “F” stand for “fast” or “FPGA”? [Jurgen] doesn’t know, but his drop-in replacement board for the 6502 and 65c02 is out there and open source, whatever you want it to stand for.

The “f” could easily be both, since at 100 MHz, the 65f02 is blazing fast by 6502 standards–literally 100 times the speed of the first chips from MOS. That speed comes from the use of a Spartan 6 FPGA core to implement the 6502 logic; making the “f” stand for “FPGA” makes sense, given that the CMOS version of the chip was dubbed the 65c02. The 65f02 is a tiny PCB containing the FPGA and all associated hardware that shares the footprint of a DIP-40 package, making it a drop-in replacement. A really fast drop-in replacement.

You might be thinking that that’s insane, and that (for example) the memory on an Apple ][ could never run at 100 MHz and so you won’t get the gains. This is both true, and accounted for: the 65F02 has an internal RAM “cache” that it mirrors to external memory at a rate the bus can handle. When memory addresses known to interact with peripherals change, the 65f02 slows down to match for “real time” operations.
The USB adapter board for programming is a great touch.
Because of this the memory map of the external machine matters; [Jurgen] has tested the Commodore PET and Apple ][, along with a plethora of German chess computers, but, alas, this chip is not currently compatible with the Commodore 64, Atari 400/800 or BBC Micro (or at least not tested). The project is open source, however, so you might be able to help [Jurgen] change that.

We admit this project isn’t totally new– indeed, it looks like [Jurgen]’s last update was in 2024– but a fast 6502 is just as obsolete today as it was when [Jurgen] started work in 2020. That’s why when [Stephen Walters] sent us the tip (via electronics-lab), we just had to cover it, especially considering the 6502’s golden jubilee.

We also recently featured a 32-bit version of the venerable chip that may be of interest, also on FPGA.

hackaday.com/2025/09/10/65f02-…

E’ stato analizzato che gli inviti del Calendario iCloud sono stati utilizzati per inviare email di phishing camuffate da notifiche di acquisto direttamente dai server di posta di Apple. Questa tattica aumenta le probabilità di bypassare i filtri antispam.

Bleeping Computer ha segnalato che all’inizio di questo mese un lettore ha condiviso un’e-mail dannosa che si spacciava per una ricevuta di 599 dollari, presumibilmente addebitata sul suo conto PayPal. L’e-mail includeva un numero di telefono nel caso in cui il destinatario volesse contrassegnare il pagamento o apportare modifiche.

Lo scopo di queste email è indurre gli utenti a credere che il loro account PayPal sia stato hackerato e che il denaro venga utilizzato da truffatori per effettuare acquisti. I truffatori cercano di spaventare il destinatario dell’email in modo che venga chiamato il falso numero di “assistenza”.

Durante la chiamata, i truffatori continuano a intimidire le vittime, convincendole che l’account è stato effettivamente violato. Gli aggressori si offrono quindi di connettersi da remoto al computer della vittima (presumibilmente per restituire i fondi) o chiedono di scaricare ed eseguire un software. Naturalmente, gli aggressori alla fine utilizzano l’accesso remoto ottenuto per rubare denaro dai conti bancari dell’utente, distribuire malware o rubare dati dal computer compromesso.

Tuttavia, la cosa strana in questo caso era che l’email fraudolenta proveniva da noreply@email.apple.com, superando tutti i controlli di sicurezza SPF, DMARC e DKIM. In altre parole, il messaggio proveniva effettivamente dal server di posta di Apple.

I giornalisti spiegano che l’email era in realtà un invito al Calendario iCloud. Gli aggressori hanno semplicemente aggiunto del testo di phishing al campo Note e poi hanno inviato l’invito a un indirizzo Microsoft 365 da loro controllato. Quando si crea un evento nel Calendario iCloud e si invitano persone esterne, un’email di invito viene inviata dai server Apple a (email.apple.com) per conto del proprietario del Calendario iCloud. Questa email proviene da noreply@email.apple.com.

I ricercatori ritengono che questa campagna sia simile a un’altra truffa scoperta nella primavera del 2025. Questo perché in entrambi i casi l’indirizzo Microsoft 365 a cui viene inviato l’invito è in realtà una mail che inoltra automaticamente tutte le email ricevute a tutti gli altri membri del gruppo.

Poiché l’e-mail dannosa proveniva originariamente dai server di posta di Apple, non avrebbe superato i controlli SPF se inoltrata a Microsoft 365. Per evitare che ciò accada, Microsoft 365 utilizza lo schema di riscrittura del mittente (SRS) per riscrivere il percorso di ritorno a un indirizzo correlato a Microsoft, consentendo al messaggio di superare i controlli.

Sebbene l’e-mail di phishing in sé non fosse nulla di speciale, l’abuso della legittima funzionalità di invito del Calendario iCloud e dei server di posta elettronica di Apple aiuta gli aggressori a eludere i filtri antispam perché le e-mail sembrano provenire da una fonte attendibile.

L'articolo Truffa phishing via Calendario iCloud: come funziona e come difendersi proviene da il blog della sicurezza informatica.

Due vulnerabilità significative nell’elevazione dei privilegi, che riguardano la crittografia BitLocker di Windows, sono state risolte da Microsoft. Il livello di gravità di queste falle, identificate come CVE-2025-54911 e CVE-2025-54912 è stato definito elevato. La divulgazione di tali vulnerabilità è avvenuta il 9 settembre 2025.

Entrambi i bug CVE-2025-54911 che CVE-2025-54912 sono classificate come vulnerabilità “ Use-After-Free “, un tipo comune e pericoloso di bug di danneggiamento della memoria. Questa debolezza, catalogata in CWE-416, si verifica quando un programma continua a utilizzare un puntatore a una posizione di memoria dopo che tale memoria è stata liberata o deallocata.

La scoperta del CVE-2025-54912 è stata attribuita a Hussein Alrubaye, in collaborazione con Microsoft, a dimostrazione di uno sforzo collaborativo tra l’azienda e ricercatori di sicurezza esterni per identificare e risolvere problemi di sicurezza critici.

Le vulnerabilità potrebbero permettere a un attaccante con autorizzazione di acquisire i privilegi SYSTEM completi su un computer, superando i protocolli di sicurezza che BitLocker è concepito per far rispettare.

In questo scenario, un malintenzionato potrebbe sfruttare questi bug per eseguire codice arbitrario, portando alla completa compromissione del sistema. La presenza di due distinti bug in BitLocker evidenzia le sfide in corso nel mantenimento della sicurezza della memoria nei software complessi.

Microsoft ha sottolineato che lo sfruttamento è considerato “meno probabile” e, al momento della divulgazione, le vulnerabilità non sono state descritte pubblicamente né sono state viste sfruttate in attacchi specifici.

Secondo le metriche CVSS fornite da Microsoft, un attacco richiede che l’avversario disponga di privilegi sul sistema di destinazione. Inoltre, affinché l’exploit abbia successo, è necessaria una qualche forma di interazione da parte dell’utente, il che significa che un aggressore dovrebbe indurre un utente autorizzato a eseguire un’azione specifica.

In risposta alla scoperta, Microsoft ha corretto le vulnerabilità nell’aggiornamento Patch Tuesday di settembre 2025. L’azienda ha esortato utenti e amministratori ad applicare tempestivamente gli ultimi aggiornamenti per proteggere i propri sistemi da potenziali attacchi.

L'articolo Vulnerabilità critiche in BitLocker: Microsoft risolve 2 falle di sicurezza proviene da il blog della sicurezza informatica.

All’interno della relazione presentata da parte dell’Autorità Garante per la protezione dei dati personali con riferimento all’attività svolta nel 2024, un capitolo è dedicato ai data breach. Saltano all’occhio il numero di notifiche e la particolare frequenza delle violazioni di riservatezza e disponibilità. Non solo: nel 66,6 % dei casi (quindi: 2 su 3), è avvenuta una notifica per fasi con una notifica preliminare e successive notifiche integrative.
Fonte: relazione 2024 Garante Privacy.
Doverosa considerazione di metodo: il rapporto riguarda i settori che hanno notificato o per cui sono stati rilevati data breach da parte dell’autorità di controllo. Questo impone pertanto di fare attenzione a non incappare nel pregiudizio di sopravvivenza facendo l’errore di ritenere che riguardi tutti i soggetti che hanno subito un data breach. Ad ogni modo è un campione comunque rappresentativo, quanto meno dei soggetti che hanno inteso notificare l’evento di violazione dei dati personali. Che comprende anche quanti, spinti da moventi decisamente meno virtuosi, si sono trovati costretti a non poterli più nascondere.

Ad ogni modo, i settori più colpiti in ambito pubblico sono stati comuni, strutture sanitarie e istituti scolastici. Mentre nel settore privato sono state principalmente le grandi telco, energetiche, bancarie e dei servizi, nonché PMI e professionisti. Questo dato può confermare dunque che nessuno può dirsi esente dall’essere oggetto di attenzioni da parte dei cybercriminali.

Gli attacchi ransomware rimangono i grandi protagonisti della scena, con compromissione di disponibilità e riservatezza dei dati per effetto della doppia estorsione. Sono state riportate come maggiormente significative le violazioni dolose causate da accessi non autorizzati o illeciti a sistemi informativi e compromissione di credenziali. Le divulgazioni accidentali sono invece riconducibili per lo più da errori di configurazione o errori nell’impiego di piattaforme informatiche o sistemi di gestione della posta elettronica.

Comuni denominatori delle istruttorie in caso di data breach.

L’apertura di un’istruttoria in seguito alla ricezione di una notifica di violazione non può essere ridotta ad un “atto dovuto” da parte del Garante di natura meramente burocratica. Piuttosto, è condotta allo scopo di verificare se c’è un’adeguata protezione degli interessati, sia nelle misure adottate o che il titolare altrimenti intende adottare per porre rimedio alla violazione ed attenuare gli effetti negativi nei confronti degli interessati, sia nell’analisi dei rischi svolta.

Bisogna infatti ricordare che queste misure sono prescritte come contenuto essenziale della notifica dall’art. 33 par. 3 GDPR:

La notifica di cui al paragrafo 1 deve almeno:
a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
c) descrivere le probabili conseguenze della violazione dei dati personali;
d) descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

L’esito dell’attività istruttoria è dunque innanzitutto quello di constatare se queste misure sono adeguate, fornendo i correttivi del caso, nonché quello di verificare se il titolare del trattamento sia stato in grado di analizzare compiutamente i rischi. Assumendo, anche con attività ispettive e acquisizioni documentali, tutti gli elementi necessari per valutare tanto i rischi quanto l’adeguatezza delle misure adottate ed esercitare i provvedimenti correttivi del caso. Fra cui, nelle ipotesi di rischi elevati, quello di ingiungere la comunicazione agli interessati coinvolti e fornire le indicazioni specifiche per proteggersi da eventuali conseguenze pregiudizievoli.

In particolare, all’interno del settore sanitario i provvedimenti sanzionatori derivanti da data breach per inadeguatezza delle misure di sicurezza predisposte sono stati talmente significativi da essersi meritati un capo dedicato all’interno della relazione (par. 5.4.1.), con la ricognizione di alcuni casi particolarmente significativi ed esemplari.

Alcuni dubbi sugli obblighi collegati al data breach (che però il Garante non può risolvere).

La relazione conferma alcuni dubbi sugli obblighi di gestione del data breach. Dubbi che richiederebbero un intervento da parte del legislatore in nome di una semplificazione ben più efficace di quella annunciata da Bruxelles e dalle tinte blu ridicolo cui siamo purtroppo abituati. Mettiamo i primi tre sul podio.

Il termine di gestione del data breach di 72 ore serve davvero a qualcosa?

Piuttosto, sembra che i migliori intenti della norma non superino il reality check. Nella realtà è un onere burocratico, svolto per lo più (in 2 casi su 3 da relazione del Garante) con un: compiliamo subito ora, integriamo poi. Con buona pace degli interessati che invece spesse volte dovranno attendere l’intervento del Garante successivo (e ben oltre le 72 ore) per leggere una comunicazione di data breach non sempre chiara, talvolta ridotta a un formalismo, e spesso inefficace per una serie di ragioni legate al fattore tempo. Ne è infatti trascorso abbastanza perchè i più attenti abbiano già appreso l’evento dai media e i più disattenti ne abbiano subito gli effetti negativi. Top timing!

Ben diversa natura ha invece la notifica degli incidenti informatici ad ACN (e che riguarda soggetti PSNC e NIS 2), che va oltre la tutela degli interessati ma segue scopi di sicurezza nazionale, per cui invece la tempestività è d’obbligo.

Non sarebbe meglio prescrivere 72 ore per comunicare agli interessati?

Forse il termine di 72 ore è maggiormente adeguato per la comunicazione agli interessati, senza lasciare quella formula “senza ingiustificato ritardo” che invece comporta continui ritardi o comunicazioni sgangherate. Questo sì che gioverebbe agli interessati consentendo loro di essere consapevoli dell’accaduto adottare tempestivamente misure a loro protezione.

Inoltre, enfatizzerebbe quell’approccio di responsabilizzazione previsto dal GDPR: rendicontare la gestione dell’incidente, dunque dare priorità alle garanzie a tutela degli interessati.

Magari gioverebbe anche una maggiore attenzione da parte del Garante e conseguenti sanzioni per comunicazioni inadeguate. Just to say. Speriamo di trovare un capo dedicato nelle prossime relazioni di attività.

Perchè parlare di rischio improbabile?

Questa è una perla. Semantica e concettuale. Quel concetto di improbabilità riferito al rischio porta con sé il retrogusto dell’ineffabile.

L’art. 33 par. 1 GDPR prevede infatti che:

In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.

Certo, il considerando n. 85 propone che stia al titolare comprovare il fatto che” è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”. In nome dell’accountability, che viene spesso citata quando non si sa come spiegare le cose.

Ma dal momento che anche l’EDPB fatica a fornire indicazioni e criteri di carattere generale, profondendosi piuttosto in una miriade di esempi, forse sarebbe meglio riformulare il trigger che fa scattare un esonero dall’obbligo di notifica.

Che so, ad esempio citando un rischio basso. E lasciando (vedi sopra circa le 72 ore) tempo al titolare per valutare correttamente il rischio prima di spammar notifiche di data breach “perchè non si sa mai”. Con buona pace dell’accountability.

L'articolo Data breach: cosa leggiamo nella relazione del Garante Privacy proviene da il blog della sicurezza informatica.

11–13 сентября 2025 года состоится очередной трёхдневный так называемый единый день голосования. Избирателям предстоит участвовать в выборах глав субъектов и иных органов власти, включая встроенные в вертикаль после öбнуления Конституции органы местного «самоуправления». Официальным символом голосования власти цинично выбрали символ свободы, жизни и победы.

Пиратская партия России последовательно выступает за внедрение и развитие системы прямого, непрерывного, свободного доступа граждан к участию в решении всех общегосударственных и местных вопросов через систему электронного референдума. Однако, для перехода к прямой демократии представительные органы власти всех уровней должны стать честными, открытыми и подконтрольными гражданам, их выбирающим, а процедуры, предусматривающие реализацию конституционного права каждого гражданина избирать и быть избранным, максимально упрощены.

Мы намерены осуществлять наблюдение за ходом голосования, в том числе на федеральном уровне за тем, что по каким-то причинам всё ещё зовётся системой дистанционного электронного голосования, которая в текущем виде противоречит базовым принципам избирательного права, о чём мы в том числе рассказывали в Госдуме РФ в апреле этого года.

Каждый гражданин вправе самостоятельно принимать решение о своём участии или неучастии в выборах. Мы уважаем выбор каждого, если он сделан свободно, без давления и после внимательного анализа информации о кандидатах и партиях.

Мы призываем фиксировать все нарушения избирательного процесса, сообщать о них наблюдателям и независимым организациям, а также добиваться их публичного обнародования.

Также напоминаем, что жизнь важнее единичного проявления политической позиции хотя бы потому, что живой человек будет способен выражать политическую позицию в дальнейшем. В случае каких-либо осложнений, связанных с вашим местонахождением, здоровьем либо другими потенциально препятствующими факторами, оставайтесь дома или в любом другом безопасном для вас месте.

Сообщение О выборах 12-14 сентября 2025 года появились сначала на Пиратская партия России | PPRU.

Sept. 10 – “We, along with the majority of Americans, condemn this and all acts of political violence. We reject the rhetoric inciting violence.

This is NOT the way and never should be.

No matter the party you vote for, violence is not the way.”

Those are the exact words we posted when an attempt was made on the President’s life. Unfortunately since then, the escalation of political violence is has only gotten worse. We have seen political assassinations in Minnesota with the death of Melissa Hortman. Today we saw Turning Point USA’s Charlie Kirk die via gunman’s hands.

This has to end.

The dueling bloodshed of the culture war is your sign that things have gotten too far. Charlie Kirk is a victim of political hatred he was paid handsomely to manufacture. This is the inevitable result of political polarization. We cannot stand by idly and say nothing on this issue.

The time to remember that we are all US Americans and what we share in common dwarfs what makes us different. If we are to make things right in this country, then we need to expel the elephant in the room and not replace it with a donkey. The culture war cannot spiral into a larger conflict. We must remain focused on dealing with the Powers That Be and not turning to political violence on fellow US Americans.

uspirates.org/sept-10-statemen…

Reposted from the Massachusetts Pirate Party. Joe, Steve and James of the Massachusetts Pirate Party discuss ICE coming to Boston (again), LLM Prompt Injection as a vulnerability, Trump’s FCC taking away kid’s WIFI access and RFK Jr. spying on you. youtube.com/embed/np2Dpdh_ZTQ?…Sign up to our newsletter to get notified of new events or volunteer. Join us on:

• Mastodon;
• Facebook;
• Blue Sky;
• Twitter.

Some links we mentioned:

• Our Administrative Coup Memory Bank;
• Our Things to Do when Fascists are Taking Over;
• ICE Is Said to Have Begun Operation in the Boston Area;
• OWASP LLM01: 2025 Prompt Injection;
• FCC chair teams up with Ted Cruz to block Wi-Fi hotspots for schoolkids;
• RFK Jr. wants everyone to use wearables. What are the benefits, risks?

Image Credit: Public Domain via Wikipedia Commons.

uspirates.org/mass-pirate-news…

Si terrà martedì 16 settembre alle 17.30 alla Sala dei Notari Perugia per Laura, una commemorazione in memoria di Laura Santi. A volere fortemente questo evento era stata la stessa giornalista, morta il 21 luglio scorso, dopo aver ricevuto il via libera dalla Asl Umbria 1 per il suicidio assistito. Il suo è stato il primo nella regione Umbria.

Seguendo le sue indicazioni, il marito, Stefano Massoli, insieme alla sindaca di Perugia, Vittoria Ferdinandi e al Comune di Perugia, organizzano la cerimonia a cui prenderanno parte rappresentanti delle istituzioni comunali e regionali, esponenti dell’Associazione Luca Coscioni – che ha supportato in modo fondamentale la battaglia portata avanti dalla giornalista malata di sclerosi multipla progressiva – e alcune persone che hanno affiancato Laura Santi nel suo ultimo tratto di vita.

Intento dichiarato della commemorazione è quello di rendere omaggio a una cittadina perugina che ha affrontato la sua malattia con dignità e coraggio, lottando per il riconoscimento di un diritto civile e offrire un’occasione per promuovere un dibattito costruttivo, informare la cittadinanza e sensibilizzare l’opinione pubblica su queste tematiche. Sarà anche un momento per condividere ricordi personali di chi è stato vicino a Laura e raccontare, una volta ancora, chi era la giornalista. Tutta la cittadinanza è invitata a partecipare.

L'articolo Perugia per Laura: la città rende omaggio a Laura Santi proviene da Associazione Luca Coscioni.

NO INCENERITORE: LIBERI DAI VELENI DI ROMA È UN PATTO PER IL FUTURO
“No all’inceneritore” è stato lo striscione che Carla, attivista di Albano, ha confezionato con le sue mani per consegnarlo a bambine e bambini che, con orgoglio hanno poi portato lungo tutto il percorso del corteo. Con quella luce negli occhi che solo i più piccoli sanno sprigionare, erano a decine, tanto da formare con le loro mamme e papà una testa del corteo numericamente tanto significativa da separare, a grande distanza da tutti loro riempita, lo striscione liberi dai veleni di Roma che gli attivisti dell’Unione dei Comitati hanno condiviso con i tre Sindaci di Albano, Ardea e Pomezia. Il “No all’inceneritore” è stato il coro continuo che ha accompagnato tutto il corteo fino alla Chimec, primo stabilimento a rischio di incidente rilevante (RIR), situato a poche centinaia di metri dal terreno di Ama. L’elevata concentrazione di stabilimenti RIR, quattro nella sola area di Santa Palomba, fa dell’area un’area a elevato rischio di crisi ambientale e in quanto tale inidonea a ospitare l’impianto.
In migliaia siamo partiti per arrivare davanti alla Chimec dove ci sono stati gli interventi istituzionali aperti da Veronica Felici, Sindaco di Pomezia, Maurizio Cremonini, Sindaco di Ardea e Massimiliano Borrelli, Sindaco di Albano. Per il Municipio 9, il sito ricade nel suo territorio, il Consigliere Massimiliano De Julis; gli interventi istituzionali sono terminati con Alessandra Zeppieri, Consigliera alla Regione Lazio. Al corteo i consiglieri comunali di Pomezia Giacomo castro e Renzo Mercanti, di Albano Salvatore Tedone e Barbara Cerro, consigliera di Marino.
La fiaccolata che al ritorno ha concluso il corteo ha reso ancor più suggestiva la straordinaria mobilitazione a sostegno di “liberi dai veleni di Roma”, una mobilitazione che ha coinvolto in donne e uomini consapevoli che la difesa della Terra dove viviamo, della salute di tutti noi e delle generazioni che verranno, dell’ambiente e di un paesaggio senza eguali passa per l’impegno in prima persona. Liberi dai Veleni di Roma diviene così un patto per il futuro della Terra dove viviamo capace di coinvolgere cittadini e istituzioni anche nei passi successivi.
Infatti, a sostegno della nuova petizione abbiamo raccolto oltre seimila firme, gran parte delle quali nei martedì estivi in presidio al sito. La prossima settimana intendiamo far valere tutte quelle firme davanti al Parlamento perché tutte le forze politiche comprendano che va posta fine alla stagione di Gualtieri posto al di sopra della legge per effetto di una norma che ha favorito e legalizzato l’abuso di potere. A chiedere di cancellare il potere di ordinanza in deroga a tutte le pertinenti normative di settore sono le donne e gli uomini che pretendono che la legge sia uguale per tutti, Gualtieri compreso, e che Repubblica finalmente tuteli tutti noi, oltre quanto di nostro già facciamo, specialmente per quei meravigliosi piccoli che aprivano il corteo di ieri. È per loro che trasformeremo il sito destinato a emettere veleni per oltre trent’anni in un parco naturale con polo museale perché Santa Palomba siamo tutti noi che difendiamo il diritto al futuro della Terra dove viviamo. Liberi dai veleni di Roma è quindi il nostro patto per il futuro.

Ambiente, StopInceneritore, NoInceneritore, NoInceneritori, ZeroWaste, Rifiuti, Riciclo, EconomiaCircolare, NoAlCarbone, EnergiaPulita,