You can buy all kinds of keyboards these days, from basic big-brand stuff to obscure mechanical delicacies from small-time builders. Or, you can go the maker route, and build your own. That’s precisely what [Lambert Sartory] did with their Clavier build.

This build goes a bit of a different route to many other DIY keyboards out there, in that [Lambert] was keen to build it around an FPGA instead of an off-the-shelf microcontroller. To that end, the entire USB HID stack was implemented in VHDL on a Lattice ECP5 chip. It was a heavy-duty way to go, but it makes the keyboard quite unique compared to those that just rely on existing HID libraries to do the job. This onboard hardware also allowed [Lambert] to include JTAG, SPI, I2C, and UART interfaces right on the keyboard, as well as a USB hub for good measure.

As for the mechanical design, it’s a full-size 105-key ISO keyboard with one bonus key for good measure. That’s the coffee key, which either locks the attached computer when you’re going for a break, or resets the FPGA with a long press just in case it’s necessary. It’s built with Cherry MX compatible switches, has N-key rollover capability, and a mighty 1000 Hz polling rate. If you can exceed that by hand, you’re some sort of superhuman.

The great thing about building your own keyboard is you can put in whatever features you desire. If you’re whipping up your own neat interface devices, don’t hesitate to let us know!

hackaday.com/2025/10/01/an-fpg…

Introduction

When it comes to digital forensics, AmCache plays a vital role in identifying malicious activities in Windows systems. This artifact allows the identification of the execution of both benign and malicious software on a machine. It is managed by the operating system, and at the time of writing this article, there is no known way to modify or remove AmCache data. Thus, in an incident response scenario, it could be the key to identifying lost artifacts (e.g., ransomware that auto-deletes itself), allowing analysts to search for patterns left by the attacker, such as file names and paths. Furthermore, AmCache stores the SHA-1 hashes of executed files, which allows DFIR professionals to search public threat intelligence feeds — such as OpenTIP and VirusTotal — and generate rules for blocking this same file on other systems across the network.

This article presents a comprehensive analysis of the AmCache artifact, allowing readers to better understand its inner workings. In addition, we present a new tool named “AmCache-EvilHunter“, which can be used by any professional to easily parse the Amcache.hve file and extract IOCs. The tool is also able to query the aforementioned intelligence feeds to check for malicious file detections, this level of built-in automation reduces manual effort and speeds up threat detection, which is of significant value for analysts and responders.

The importance of evidence of execution

Evidence of execution is fundamentally important in digital forensics and incident response, since it helps investigators reconstruct how the system was used during an intrusion. Artifacts such as Prefetch, ShimCache, and UserAssist offer clues about what was executed. AmCache is also a robust artifact for evidencing execution, preserving metadata that indicates a file’s presence and execution, even if the file has been deleted or modified. An advantage of AmCache over other Windows artifacts is that unlike them, it stores the file hash, which is immensely useful for analysts, as it can be used to hunt malicious files across the network, increasing the likelihood of fully identifying, containing, and eradicating the threat.

Introduction to AmCache

Application Activity Cache (AmCache) was first introduced in Windows 7 and fully leveraged in Windows 8 and beyond. Its purpose is to replace the older RecentFileCache.bcf in newer systems. Unlike its predecessor, AmCache includes valuable forensic information about program execution, executed binaries and loaded drivers.

This artifact is stored as a registry hive file named Amcache.hve in the directory C:\Windows\AppCompat\Programs. The metadata stored in this file includes file paths, publisher data, compilation timestamps, file sizes, and SHA-1 hashes.

It is important to highlight that the AmCache format does not depend on the operating system version, but rather on the version of the libraries (DLLs) responsible for filling the cache. In this way, even Windows systems with different patch levels could have small differences in the structure of the AmCache files. The known libraries used for filling this cache are stored under %WinDir%\System32 with the following names:

• aecache.dll
• aeevts.dll
• aeinv.dll
• aelupsvc.dll
• aepdu.dll
• aepic.dll

It is worth noting that this artifact has its peculiarities and limitations. The AmCache computes the SHA-1 hash over only the first 31,457,280 bytes (≈31 MB) of each executable, so comparing its stored hash online can fail for files exceeding this size. Furthermore, Amcache.hve is not a true execution log: it records files in directories scanned by the Microsoft Compatibility Appraiser, executables and drivers copied during program execution, and GUI applications that required compatibility shimming. Only the last category reliably indicates actual execution. Items in the first two groups simply confirm file presence on the system, with no data on whether or when they ran.

In the same directory, we can find additional LOG files used to ensure Amcache.hve consistency and recovery operations:

• C:\Windows\AppCompat\Programs\Amcache.hve.*LOG1
• C:\Windows\AppCompat\Programs\Amcache.hve.*LOG2

The Amcache.hve file can be collected from a system for forensic analysis using tools like Aralez, Velociraptor, or Kape.

Amcache.hve structure

The Amcache.hve file is a Windows Registry hive in REGF format; it contains multiple subkeys that store distinct classes of data. A simple Python parser can be implemented to iterate through Amcache.hve and present its keys:
#!/usr/bin/env python3

import sys
from Registry.Registry import Registry

hive = Registry(str(sys.argv[1]))
root = hive.open("Root")

for rec in root.subkeys():
print(rec.name())
The result of this parser when executed is:

AmCache keys

From a DFIR perspective, the keys that are of the most interest to us are InventoryApplicationFile, InventoryApplication, InventoryDriverBinary, and InventoryApplicationShortcut, which are described in detail in the following subsections.

InventoryApplicationFile

The InventoryApplicationFile key is essential for tracking every executable discovered on the system. Under this key, each executable is represented by its own uniquely named subkey, which stores the following main metadata:

• ProgramId: a unique hash generated from the binary name, version, publisher, and language, with some zeroes appended to the beginning of the hash
• FileID: the SHA-1 hash of the file, with four zeroes appended to the beginning of the hash
• LowerCaseLongPath: the full lowercase path to the executable
• Name: the file base name without the path information
• OriginalFileName: the original filename as specified in the PE header’s version resource, indicating the name assigned by the developer at build time
• Publisher: often used to verify if the source of the binary is legitimate. For malware, this subkey is usually empty
• Version: the specific build or release version of the executable
• BinaryType: indicates whether the executable is a 32-bit or 64-bit binary
• ProductName: the ProductName field from the version resource, describing the broader software product or suite to which the executable belongs
• LinkDate: the compilation timestamp extracted from the PE header
• Size: the file size in bytes
• IsOsComponent: a boolean flag that specifies whether the executable is a built-in OS component or a third-party application/library

With some tweaks to our original Python parser, we can read the information stored within this key:
#!/usr/bin/env python3

import sys
from Registry.Registry import Registry

hive = Registry(sys.argv[1])
root = hive.open("Root")

subs = {k.name(): k for k in root.subkeys()}
parent = subs.get("InventoryApplicationFile")

for rec in parent.subkeys():
vals = {v.name(): v.value() for v in rec.values()}
print("{}\n{}\n\n-----------\n".format(rec, vals))

InventoryApplicationFile subkeys

We can also use tools like Registry Explorer to see the same data in a graphical way:

InventoryApplicationFile inspected through Registry Explorer

As mentioned before, AmCache computes the SHA-1 hash over only the first 31,457,280 bytes (≈31 MB). To prove this, we did a small experiment, during which we got a binary smaller than 31 MB (Aralez) and one larger than this value (a custom version of Velociraptor). For the first case, the SHA-1 hash of the entire binary was stored in AmCache.

First AmCache SHA-1 storage scenario

For the second scenario, we used the dd utility to extract the first 31 MB of the Velociraptor binary:

Stripped binary

When checking the Velociraptor entry on AmCache, we found that it indeed stored the SHA-1 hash calculated only for the first 31,457,280 bytes of the binary. Interestingly enough, the Size value represented the actual size of the original file. Thus, relying only on the file hash stored on AmCache for querying threat intelligence portals may be not enough when dealing with large files. So, we need to check if the file size in the record is bigger than 31,457,280 bytes before searching threat intelligence portals.

Second AmCache SHA-1 storage scenario

Additionally, attackers may take advantage of this characteristic to purposely generate large malicious binaries. In this way, even if investigators find that a malware was executed/present on a Windows system, the actual SHA-1 hash of the binary will still be unknown, making it difficult to track it across the network and gathering it from public databases like VirusTotal.

InventoryApplicationFile – use case example: finding a deleted tool that was used

Let’s suppose you are searching for a possible insider threat. The user denies having run any suspicious programs, and any suspicious software was securely erased from disk. But in the InventoryApplicationFile, you find a record of winscp.exe being present in the user’s Downloads folder. Even though the file is gone, this tells you the tool was on the machine and it was likely used to transfer files before being deleted. In our incident response practice, we have seen similar cases, where this key proved useful.

InventoryApplication

The InventoryApplication key records details about applications that were previously installed on the system. Unlike InventoryApplicationFile, which logs every executable encountered, InventoryApplication focuses on those with installation records. Each entry is named by its unique ProgramId, allowing straightforward linkage back to the corresponding InventoryApplicationFile key. Additionally, InventoryApplication has the following subkeys of interest:

• InstallDate: a date‑time string indicating when the OS first recorded or recognized the application
• MsiInstallDate: present only if installed via Windows Installer (MSI); shows the exact time the MSI package was applied, sourced directly from the MSI metadata
• UninstallString: the exact command line used to remove the application
• Language: numeric locale identifier set by the developer (LCID)
• Publisher: the name of the software publisher or vendor
• ManifestPath: the file path to the installation manifest used by UWP or AppX/MSIX apps

With a simple change to our parser, we can check the data contained in this key:
<...>
parent = subs.get("InventoryApplication")
<...>

InventoryApplication subkeys

When a ProgramId appears both here and under InventoryApplicationFile, it confirms that the executable is not merely present or executed, but was formally installed. This distinction helps us separate ad-hoc copies or transient executions from installed software. The following figure shows the ProgramId of the WinRAR software under InventoryApplicationFile.

When searching for the ProgramId, we find an exact match under InventoryApplication. This confirms that WinRAR was indeed installed on the system.

Another interesting detail about InventoryApplication is that it contains a subkey named LastScanTime, which is stored separately from ProgramIds and holds a value representing the last time the Microsoft Compatibility Appraiser ran. This is a scheduled task that launches the compattelrunner.exe binary, and the information in this key should only be updated when that task executes. As a result, software installed since the last run of the Appraiser may not appear here. The LastScanTime value is stored in Windows FileTime format.

InventoryApplication LastScanTime information

InventoryApplication – use case example: spotting remote access software

Suppose that during an incident response engagement, you find an entry for AnyDesk in the InventoryApplication key (although the application is not installed anymore). This means that the attacker likely used it for remote access and then removed it to cover their tracks. Even if wiped from disk, this key proves it was present. We have seen this scenario in real-world cases more than once.

InventoryDriverBinary

The InventoryDriverBinary key records every kernel-mode driver that the system has loaded, providing the essential metadata needed to spot suspicious or malicious drivers. Under this key, each driver is captured in its own uniquely named subkey and includes:

• FileID: the SHA-1 hash of the driver binary, with four zeroes appended to the beginning of the hash
• LowerCaseLongPath: the full lowercase file path to the driver on disk
• DigitalSignature: the code-signing certificate details. A valid, trusted signature helps confirm the driver’s authenticity
• LastModified: the file’s last modification timestamp from the filesystem metadata, revealing when the driver binary was most recently altered on disk

Because Windows drivers run at the highest privilege level, they are frequently exploited by malware. For example, a previous study conducted by Kaspersky shows that attackers are exploiting vulnerable drivers for killing EDR processes. When dealing with a cybersecurity incident, investigators correlate each driver’s cryptographic hash, file path, signature status, and modification timestamp. That can help in verifying if the binary matches a known, signed version, detecting any tampering by spotting unexpected modification dates, and flagging unsigned or anomalously named drivers for deeper analysis. Projects like LOLDrivers help identify vulnerable drivers in use by attackers in the wild.

InventoryDriverBinary inspection

In addition to the InventoryDriverBinary, AmCache also provides the InventoryApplicationDriver key, which keeps track of all drivers that have been installed by specific applications. It includes two entries:

• DriverServiceName, which identifies the name of the service linked to the installed driver; and
• ProgramIds, which lists the program identifiers (corresponding to the key names under InventoryApplication) that were responsible for installing the driver.

As shown in the figure below, the ProgramIds key can be used to track the associated program that uses this driver:

Checking program information by ProgramIds

InventoryDriverBinary – use case example: catching a bad driver

If the system was compromised through the abuse of a known vulnerable or malicious driver, you can use the InventoryDriverBinary registry key to confirm its presence. Even if the driver has been removed or hidden, remnants in this key can reveal that it was once loaded, which helps identify kernel-level compromises and supporting timeline reconstruction during the investigation. This is exactly how the AV Killer malware was discovered.

InventoryApplicationShortcut

This key contains entries for .lnk (shortcut) files that were present in folders like each user’s Start Menu or Desktop. Within each shortcut key, the ShortcutPath provides the absolute path to the LNK file at the moment of discovery. The ShortcutTargetPath shows where the shortcut pointed. We can also search for the ProgramId entry within the InventoryApplication key using the ShortcutProgramId (similar to what we did for drivers).

InventoryApplicationShortcut key

InventoryApplicationShortcut – use case example: confirming use of a removed app

You find that a suspicious program was deleted from the computer, but the user claims they never ran it. The InventoryApplicationShortcut key shows a shortcut to that program was on their desktop and was accessed recently. With supplementary evidence, such as that from Prefetch analysis, you can confirm the execution of the software.

AmCache key comparison

The table below summarizes the information presented in the previous subsections, highlighting the main information about each AmCache key.

AmCache-EvilHunter

Undoubtedly Amcache.hve is a very important forensic artifact. However, we could not find any tool that effectively parses its contents while providing threat intelligence for the analyst. With this in mind, we developed AmCache-EvilHunter a command-line tool to parse and analyze Windows Amcache.hve registry hives, identify evidence of execution, suspicious executables, and integrate Kaspersky OpenTIP and VirusTotal lookups for enhanced threat intelligence.

AmCache-EvilHunter is capable of processing the Amcache.hve file and filter records by date range (with the options --start and --end). It is also possible to search records using keywords (--search), which is useful for searching for known naming conventions adopted by attackers. The results can be saved in CSV (--csv) or JSON (--json) formats.

The image below shows an example of execution of AmCache-EvilHunter with these basic options, by using the following command:
amcache-evilhunter -i Amcache.hve --start 2025-06-19 --end 2025-06-19 --csv output.csv
The output contains all applications that were present on the machine on June 19, 2025. The last column contains information whether the file is an operating system component, or not.

Basic usage of AmCache-EvilHunter

CSV result

Analysts are often faced with a large volume of executables and artifacts. To narrow down the scope and reduce noise, the tool is able to search for known suspicious binaries with the --find-suspicious option. The patterns used by the tool include common malware names, Windows processes containing small typos (e.g., scvhost.exe), legitimate executables usually found in use during incidents, one-letter/one-digit file names (such as 1.exe, a.exe), or random hex strings. The figure below shows the results obtained by using this option; as highlighted, one svchost.exe file is part of the operating system and the other is not, making it a good candidate for collection and analysis if not deleted.

Suspicious files identification

Malicious files usually do not include any publisher information and are definitely not part of the default operating system. For this reason, AmCache-EvilHunter also ships with the --missing-publisher and --exclude-os options. These parameters allow for easy filtering of suspicious binaries and also allow fast threat intelligence gathering, which is crucial during an incident.

Another important feature that distinguishes our tool from other proposed approaches is that AmCache-EvilHunter can query Kaspersky OpenTIP (--opentip ) and VirusTotal (--vt) for hashes it identifies. In this way, analysts can rapidly gain insights into samples to decide whether they are going to proceed with a full analysis of the artifact or not.

Threat intel lookup

Binaries of the tool are available on our GitHub page for both Linux and Windows systems.

Conclusion

Amcache.hve is a cornerstone of Windows forensics, capturing rich metadata, such as full paths, SHA-1 hashes, compilation timestamps, publisher and version details, for every executable that appears on a system. While it does not serve as a definitive execution log, its strength lies in documenting file presence and paths, making it invaluable for spotting anomalous binaries, verifying trustworthiness via hash lookups against threat‐intelligence feeds, and correlating LinkDate values with known attack campaigns.

To extract its full investigative potential, analysts should merge AmCache data with other artifacts (e.g., Prefetch, ShimCache, and Windows event logs) to confirm actual execution and build accurate timelines. Comparing InventoryApplicationFile entries against InventoryApplication reveals whether a file was merely dropped or formally installed, and identifying unexpected driver records can expose stealthy rootkits and persistence mechanisms. Leveraging parsers like AmCache-EvilHunter and cross-referencing against VirusTotal or proprietary threat databases allows IOC generation and robust incident response, making AmCache analysis a fundamental DFIR skill.

securelist.com/amcache-forensi…

There’s an old saying (paraphrasing a quote attributed to Hoare): “I don’t know what language scientists will use in the future, but I know it will be called Fortran.” The truth is, there is a ton of very sophisticated code in Fortran, and if you want to do something more modern, it is often easier to borrow it than to reinvent the wheel. When [Valgriz] picked up a textbook on aircraft simulation, he noted that it had an F-16 simulation in it. In Fortran. The challenge? Port it to Unity3D.

If you have a gamepad, you can try the result. However, the real payoff is the blog posts describing what he did. They go back to 2021, although the most recent was a few months ago, and they cover the entire process in great detail. You can also find the code on GitHub. If you are interested in flight simulation, flying, Fortran, or Unity3D, you’ll want to settle in and read all four posts. That will take some time.

One limitation. The book’s simulator was all about modeling the aerodynamics using data from wind tunnel tests. However, the F-16 is notorious for being a negative stability aircraft — meaning it’s virtually impossible to fly by hand. It is very maneuverable, but only if you let the computer drive using the flight control system. When you direct the aircraft, the control system makes your desire happen, while accounting for all the strange extra motions the plane will create as it flies.

The problem: the book doesn’t include code for the flight controller. [Valgriz], of course, wrote his own. He uses some PID controllers along with limiters for G-force and angle of attack. Interestingly, to do this, the simulator actually runs its own stripped-down simulator to determine the effects of different control inputs.

This is one of those projects we aren’t sure we would attempt, but we’re glad someone did, and we can watch. Just be careful. An interest in flight simulation can lead to reduced space in your garage. We know of at least one F-16, by the way, that has an Arduino in it. However, it is probably the only one.

youtube.com/embed/2HZQnnxdISM?…

youtube.com/embed/7vAHo2B1zLc?…

hackaday.com/2025/10/01/portin…

Un argomento meravigliosamente diffuso nel campo largo di chi svolge attività sui dati personali è quello di sottovalutare i rischi o non volerli guardare affatto è quello secondo cui non occorre farsi particolari problemi nel caso in cui siano trattati dati “non sensibili”. La premessa ontologica per la ricerca di soluzioni e correttivi in ambito di liceità e sicurezza è la capacità di farsi le giuste domande. Motivo per cui la propensione al troppo facile skip non può comporre una strategia funzionale o minimamente utile.

Certo, i dati sensibili esistono nel GDPR e richiamano elevate esigenze di protezione. Questo non comporta però che tutte le altre tipologie di dati (impropriamente chiamati comuni da chi ha proprio bisogno di creare categorie inutili) consentano di prescindere da una corretta gestione dei rischi a riguardo. Non sensibile non può in alcun caso significare “non protetto”, nemmeno attraverso il diaframma dell’interpretazione più spregiudicata che possa essere concepita.

Spregiudicatezza o incoscienza?

Mentre la spregiudicatezza consiste in comportamenti che selezionano opzioni di risparmio in spregio delle regole facendo pagare i costi di sicurezza agli interessati, la fonte dei comportamenti che portano a sottostimare l’importanza di proteggere ogni dato personale è spesso riconducibile ad una vera e propria carenza di consapevolezza. Attenzione: questa ipotesi non apre la porta a scenari meno gravi o in cui può essere configurabile un minore margine di responsabilità.

Violare un dato non sensibile, ovverosia un semplice dato identificativo, può comportare conseguenze impattanti per l’interessato. Basti pensare che la maggior parte del phishing avviene con dati di contatto, con una probabilità di successo maggiore se si dispone di informazioni quali le abitudini di consumo o altre che possono essere espresse o dedotte ma che comunque non hanno una sensibilità rilevante. La possibilità di correlare informazioni ad un interessato, in concreto, lo espone infatti a maggiori rischi di subire furti di identità, frodi o una gamma di spiacevoli conseguenze che purtroppo compongono la quotidianità della vita digitale.

La disponibilità di questi dati per i cybercriminali deriva da attività di OSINT, ma anche dalla possibilità di reperire database violati. Database violati per effetto di azioni svolte impiegando semplici dati di contatto e che si arricchiscono attraverso violazioni ulteriori, aumentando l’efficacia delle successive campagne d’attacco.

Non essere consapevoli di tutto questo è, al giorno d’oggi, ingiustificabile per un’organizzazione che svolge attività su dati personali, a prescindere dalla data maturity.

Ragionare sull’utilizzo sostenibile dei dati personali.

L’aspetto della sicurezza e delle violazioni è dunque un argomento particolarmente convincente per non sottovalutare la protezione di tutti i dati personali, ma c’è un elemento ulteriore: la liceità dei trattamenti. Premesso che la sicurezza dei trattamenti è un obbligo previsto dal GDPR, ci sono infatti anche altre ipotesi di violazione ricorrenti che dovrebbero far ragionare proprio su quanto impattante sia violare le “regole del gioco” sin da principio, come ad esempio:

• non informare in modo chiaro e completo gli interessati (=violare il principio di trasparenza);
• aggirare le regole e non garantire i diritti (= violare il principio di correttezza);
• raccogliere e trattare dati senza seguire una logica (= violare il principio di liceità, limitazione delle finalità e minimizzazione);
• non cancellare mai i dati non più utili (= violare il principio di limitazione della conservazione).

Ovviamente, tutto questo porta alla creazione di database al di fuori di un controllo consapevole da parte dell’interessato. E costituisce facile opportunità di guadagno per i cybercriminali, dal momento che una mancanza di strategia qual è quella che può emergere dalle violazioni prese come esempio conduce ad un accumulo di dati senza creazione di valore. E in assenza di valore, non c’è percezione di alcun asset da dover proteggere.

La soluzione è quella di ragionare sull’impiego sostenibile del dato personale. La norma precisa e regola le responsabilità, ma un corretto approccio strategico sa ragionare secondo valore generato e non esclusivamente concentrandosi su componenti di costo come la ricerca di scuse o giustificazioni per fare il minimo necessario.

Altrimenti, si cade facilmente in trappole come quella della convinzione di dover proteggere o prestare attenzione ai soli dati sensibili. Con tutti i punti ciechi di gestione che portano all’inevitabile inadeguatezza delle misure predisposte.

Spoiler: gli interessati se ne accorgono. E difficilmente selezioneranno i servizi di chi non sa garantire un impiego sostenibile dei loro dati.

L'articolo La trappola del “dato non sensibile”: l’errore che costa caro alle aziende proviene da il blog della sicurezza informatica.

Un team di ricercatori ha sviluppato un semplice strumento hardware che sfida i principi fondamentali del trusted computing nei moderni ambienti cloud.

Utilizzando un dispositivo dal costo inferiore a 50 dollari, sono stati in grado di aggirare le protezioni hardware di Intel Scalable SGX e AMD SEV-SNP, che abilitano i Trusted Execution Environment (TEE).

Queste tecnologie sono alla base del confidential computing utilizzato dai principali provider cloud e proteggono i dati in memoria da attacchi privilegiati e accessi fisici, inclusi riavvii a freddo e intercettazioni del bus di memoria.

Il dispositivo sviluppato è un interposer DDR4 che viene inserito tra il processore e la memory stick. Manipola le linee di indirizzo e crea alias di memoria dinamici non rilevabili dagli strumenti di sicurezza integrati. A differenza degli attacchi statici basati sulla modifica dei chip SPD, che Intel e AMD hanno già affrontato nel loro nuovo firmware, la natura dinamica dell’interposer gli consente di bypassare i controlli all’avvio e di operare in tempo reale. Questo trasforma costosi attacchi che coinvolgono hardware dal costo di centinaia di migliaia di dollari in un metodo accessibile che richiede investimenti minimi e competenze ingegneristiche di base .

Utilizzando i sistemi Intel Scalable SGX, gli scienziati hanno dimostrato per la prima volta che l’utilizzo di una singola chiave per l’intero intervallo di memoria consente di leggere e scrivere dati arbitrari all’interno di enclave protette. Hanno anche estratto sperimentalmente la chiave di sicurezza della piattaforma alla base del meccanismo di attestazione remota. Ciò compromette completamente la credibilità del sistema: un aggressore può generare attestazioni false senza accedere all’hardware effettivo. Ciò compromette il meccanismo di verifica dell’integrità fondamentale nei servizi cloud.

Nel caso di AMD SEV-SNP, i ricercatori hanno dimostrato un bypass dei nuovi meccanismi ALIAS_CHECK progettati per proteggere dagli attacchi di tipo BadRAM. Il loro metodo ha permesso loro di riprodurre scenari precedentemente considerati sicuri, tra cui la sostituzione di blocchi di testo cifrato e la riproduzione. L’attacco consente di creare macchine virtuali fittizie che superano la verifica remota come legittime, distruggendo di fatto il sistema di fiducia nell’ecosistema SEV .

Il dispositivo è realizzato utilizzando componenti facilmente reperibili: un circuito stampato, un microcontrollore Raspberry Pi Pico 2 e una coppia di interruttori analogici. L’intero progetto è costato meno di 50 dollari, il che lo rende di gran lunga più economico degli analizzatori DDR4 professionali. Inoltre, gli attacchi sono deterministici e rapidi, senza la necessità di apparecchiature costose o condizioni complesse.

Lo studio ha dimostrato che anche le piattaforme aggiornate con firmware Intel e AMD sono vulnerabili a semplici attacchi fisici se un avversario ha accesso temporaneo al server. Potrebbe trattarsi di un dipendente di un provider cloud , di un agente della supply chain o persino delle forze dell’ordine con accesso alle apparecchiature. Gli autori sottolineano che tali minacce non possono essere ignorate, poiché la crittografia della memoria basata su hardware è stata introdotta proprio per prevenirle.

I ricercatori hanno divulgato i dettagli a Intel nel gennaio 2025 e ad AMD a febbraio. Entrambe le aziende hanno riconosciuto la vulnerabilità, ma hanno dichiarato che gli attacchi fisici andavano oltre i loro modelli di minaccia. Arm, dopo aver ricevuto notifica della potenziale applicabilità del metodo all’architettura CCA, ha anche affermato che l’accesso fisico non era coperto dalle garanzie delle sue soluzioni. Dopo la fine dell’embargo, il progetto, inclusi il codice sorgente e il firmware per l’interposer, è stato pubblicato pubblicamente su GitHub.

Gli autori sottolineano che la transizione verso TEE scalabili è stata accompagnata da un indebolimento delle garanzie crittografiche a vantaggio delle prestazioni e del supporto completo della memoria. Questa soluzione, precedentemente considerata sicura, si è rivelata vulnerabile ad attacchi hardware a basso costo. La sicurezza futura può essere rafforzata solo tornando a metodi crittografici più potenti o passando alla memoria integrata, dove l’accesso fisico al bus è impossibile.

L'articolo Con 50 dollari e l’accesso fisico al server, il Cloud si va a far benedire proviene da il blog della sicurezza informatica.

It’s not every day a student newspaper takes on the federal government. But that’s exactly what The Stanford Daily is doing.

Backed by the Foundation for Individual Rights and Expression, the Daily sued Secretary of State Marco Rubio and Secretary of Homeland Security Kristi Noem in August over the Trump administration’s push to deport foreign students for exercising free speech, like writing op-eds and attending protests. The suit argues the administration’s actions violate the First Amendment by retaliating against foreign students for protected speech and chill press freedom by discouraging them from speaking to and writing for the Daily.

We spoke at the start of Stanford University’s fall term with Greta Reich, editor-in-chief of the Daily and president of Stanford Daily Publishing Corp., which operates the paper, about why the Daily is fighting back, even as many corporate media outlets stay silent or capitulate.

Why did The Stanford Daily decide to take this issue to court?

We decided to take this issue to court because we believe legal action would be best for the Daily. Our mission as an independent student paper is to represent the voices of the Stanford community. We cannot fulfill this mission to the fullest extent when a significant portion of students on our campus and in our newsroom are afraid to speak up. The decision ultimately came down to whether or not we felt we could handle the potential negative ramifications of a public suit against the government in order to stay true to our mission. We decided that we could, and we’re hoping for the best outcome.

What happens to your reporting when international students are afraid to talk to your reporters, or when staff quit or avoid covering certain stories because they’re worried about government retaliation?

As we said in our letter from the editors on the lawsuit, fear of government retaliation directly impacts the quality of the Daily’s work.

With every resignation, declined assignment, and refusal to speak on the record, we actively miss out on covering an entire group of students’ voices — as well as the many events and stories on campus that benefit from an international student’s perspective. We are simply not able to conduct our business when speech is chilled like this.

Journalism, and especially student journalism, depends on members of a community not only being able to speak on the record but actively wanting to, at least at times. When an entire subsection of the student population doesn’t feel comfortable speaking with or writing for the Daily, we can’t know what stories are being lost.

When an entire subsection of the student population doesn’t feel comfortable speaking with or writing for the Daily, we can’t know what stories are being lost.

Greta Reich, editor-in-chief of The Stanford Daily

How have people on campus responded to the lawsuit so far?

We only returned to campus this week, so I don’t think I’ve seen every reaction yet, but so far the biggest response has been curiosity. Many of my peers, both in and outside of the Daily, have questions about how the lawsuit is going.

In speaking more in depth with some students throughout the summer and hearing feedback on various social platforms, I know there is a somewhat mixed reaction, though I think it skews positive. Some students, understandably, are concerned about the attention the suit will draw to Stanford as a university. Others have expressed excitement about action being taken to protect First Amendment rights.

I hope that as the suit progresses, students, alumni, faculty, and community members will feel comfortable sharing any opinion with us — we want to hear what people have to say!

How does it feel to stand up for the First Amendment as student journalists when some in corporate media are utterly failing to do so?

It feels great! As student journalists, we definitely face a different set of obstacles and constraints than those in corporate media do. I think that, in a way, these different constraints give us the freedom to take actions like these (though it would be exciting to see more publications taking action too). I am incredibly grateful for all of the support I’ve received from professional journalists and mentors in corporate media, who have reached out with kind words for the Daily. It is not taken for granted one bit.

What outcome are you hoping for, both in terms of the law, but also inspiring student journalists or impacting the national conversation about press freedom?

In terms of the law, we are obviously hoping for the lawsuit to create a real change in how noncitizens are treated with respect to the First Amendment. Whether working for or speaking to our newspaper, no one should fear deportation for what they have to say. In any scenario, I hope those who hear about this lawsuit consider what it means to have a free press and why fear tactics like those the government is currently using have such an impact on it. A central tenet of my education at Stanford has been to form and express my thoughts and opinions with agility. The ability to state these thoughts and opinions publicly is not only being threatened but actively taken away.

And to other student journalists: I am constantly inspired by you and your work, and I hope you are getting through this year with support and engagement from your staff and readers.

freedom.press/issues/student-j…

Appuntamento sabato 4 ottobre alle 9.30 al Palazzo del Capitano del Popolo, in piazza del Popolo 1 ad Orvieto. Il Congresso si svolgerà anche nella giornata di domenica 5 ottobre

Il titolo si ispira a una frase di Laura Santi: “Non rassegnatevi mai”

Oltre 170mila persone hanno sostenuto le nostre richieste alla politica per rimuovere le discriminazioni su fine vita, PMA, aborto e psichedelici. Sono 39 le azioni legali intraprese, 241 le richieste di accesso agli atti. Il Congresso sarà anche l’occasione per fare il punto sui nuovi obiettivi e le azioni politiche del 2026. Filomena Gallo e Marco Cappato commentano: “Non stiamo ad aspettare che vengano tempi migliori per i diritti civili, altrimenti si rischia di tornare indietro come negli USA“.

Nonostante l’ostilità o l’inerzia dei vertici della politica ufficiale e dei partiti, il 2025 è stato un anno di conquiste e azioni concrete per la libertà di scelta, l’autodeterminazione e il diritto alla salute. Dall’approvazione di due leggi regionali per tempi certi di erogazione delle prestazioni sul “suicidio assistito” in Toscana e Sardegna, con proposte analoghe depositate in tutte le Regioni fino alla proposta di legge nazionale in Parlamento per legalizzare l’eutanasia.

E poi, quattro sentenze della Corte costituzionale ottenute tramite procedimenti giudiziari accanto alle persone: due sul fine vita (sentenze 66/2025 e 132/2025) che interpretano come deve essere considerato il requisito del trattamento di sostegno vitale, una sull’accesso alla procreazione medicalmente assistita per donne singole che evidenzia che la cancellazione del divieto non incontra ostacoli costituzionali; una sentenza che ammette con sentenza di incostituzionalità, la firma certificata per le persone che non possono firmare manualmente le liste elettorali, attuando piena partecipazione politica alla vita del paese senza discriminazioni.

La richiesta di garantire l’aborto farmacologico senza obbligo di ricovero e la possibilità alle persone con disabilità di viaggiare in aereo con la propria carrozzina; la pressione sulle ASL per il diritto alla salute in carcere; liste di attesa azioni per garanzie nell’ accesso alle prestazioni. L’Associazione Luca Coscioni ha trasformato nell’ultimo anno le battaglie civili in conquiste di libertà.

Il XXII Congresso, in programma il 4 e 5 ottobre 2025 a Orvieto porrà le basi per le azioni future nella nella Regione dove sono nati Luca Coscioni, pioniere della libertà di ricerca scientifica, e Laura Santi, leader e volto della campagna sul fine vita, che dopo un calvario giudiziario di tre anni ha ottenuto il diritto ad accedere al “suicidio assistito” nel suo Paese, sostenuta dall’Associazione. “Non rassegnatevi mai”, le sue ultime parole, insieme alla memoria di Luca, saranno il filo conduttore del Congresso e delle strategie future dell’Associazione.

Filomena Gallo e Marco Cappato, rispettivamente Segretaria nazionale dell’Associazione e Tesoriere dell’Associazione, hanno dichiarato: “La nostra missione è quella di dare voce e volto alle persone rese invisibili dalla ottusità e dalla violenza delle istituzioni ancora di più che dalla malattia o dalla disabilità e di consentire loro di battersi in prima persona. Non aspettiamo che ‘vengano tempi migliori’ per le libertà civili, perché rischierebbero di non arrivare mai. Infatti, in assenza di lotte sociali nonviolente, in grado di imporsi nell’agenda della politica ufficiale, si rischia anche nel nostro Paese, come sta avvenendo negli USA e in altri Paesi formalmente democratici, un arretramento sul piano dei diritti civili“.

Oltre 170mila firme raccolte

Nell’ultimo anno l’Associazione Luca Coscioni ha raccolto le firme di oltre 170 mila persone in tutta Italia sui temi principali delle sue ventennali battaglie: eutanasia e fine vita, procreazione medicalmente assistita, gravidanza per altri, Aborto senza ricovero, per garantire la possibilità di deospedalizzare l’aborto farmacologico, disabilità, terapie assistite da psichedelici, cannabis legale e firma digitale.

A queste si aggiungono le firme 65.000, raccolte in questi anni su Liberi Subito, la proposta di legge regionale che garantisce il percorso di richiesta di suicidio medicalmente assistito e i controlli necessari in tempi certi e adeguati.

Sono state intraprese 39 azioni legali

Fine vita: 24 procedimenti di cui 18 civili e 6 penali, riguardo l’accesso al “suicidio assistito” in Italia e le disobbedienze civili per l’accompagnamento in Svizzera. Di questi 10 sono attualmente in tribunale e gli altri in fase stragiudiziale. Mentre per i procedimenti penali: un procedimento con tre persone sulle quali pende una imputazione coatta (Felicetta Maltese, Chiara Lalli e Marco Cappato) e altre nove indagate nei cinque procedimenti in cui sono in corso le indagini.

PMA: 15 casi sul tema della fecondazione assistita nei tribunali, di cui oltre 10 sul tema della gravidanza per altri (GPA). Di questi 10, almeno 7 anche sul fronte penale. Sono oltre 50 i casi su cui sono stati forniti pareri in fase stragiudiziale. Sul tema della PMA, è stata ottenuta una sentenza della Corte costituzionale in merito all’accesso alla PMA per donne singole a partire del caso di Evita, 40enne torinese, cui è stata negato l’accesso in Italia alla PMA.

Sono stati condotti 241 accessi agli atti

Salute in carcere: a seguito delle diffide per verificare le condizioni igienico-sanitarie negli istituti penitenziari, sono state effettuate 102 richieste di accesso agli atti a tutte le ASL italiane per ottenere le relazioni delle visite in carcere in modo da monitorare le condizioni degli istituti.

Fine vita (“suicidio assistito”): sono state effettuate 93 richieste di accesso agli atti tra Regioni e ASL per conoscere il numero di richieste di accesso al “suicidio assistito” effettuate in Italia dalla sentenza della Corte costituzionale 242 del 2019 sul caso Cappato-Dj Fabo che ha di fatto legalizzato l’accesso alla morte volontaria assisita in Italia a determinate condizioni.

Sempre in tema di fine vita, oltre 16.000 cittadini hanno ricevuto informazioni tramite il Numero Bianco su diritti legati a fine vita. Le iniziative popolari hanno portato all’approvazione di 2 leggi regionali sul suicidio assistito, al deposito in tutte le Regioni (discussa in 6), mentre sono state ottenute 2 udienze in Corte costituzionale sul fine vita. A livello nazionale, è stata depositata una proposta di legge di iniziativa popolare per legalizzare l’eutanasia. Sono 16.000, inoltre, i testamenti biologici scaricati dal sito dell’Associazione.

Barriere architettoniche: L’Associazione sta conducendo anche una attività di ricognizione dei Piani di Eliminazione delle barriere architettoniche nei comuni capoluoghi italiani. A fronte delle informazioni reperite sui siti di 60 capoluoghi, sono state promosse 46 richieste di accessi agli atti nelle restanti città. All’accesso, per il momento, hanno risposto 17 capoluoghi.

Partecipazione e mobilitazione

Oltre 585 eventi pubblici in tutta Italia hanno portato nelle piazze e nelle città temi sociali e scientifici spesso ignorati dalla politica, coinvolgendo 45.000 persone in campagne, petizioni e azioni politiche. Sono state inoltre depositate 2 proposte di legge in Parlamento, una sul fine vita e una sulla legalizzazione della gravidanza per altri.

L'articolo Al via dal 4 ottobre il XXII Congresso dell’Associazione Luca Coscioni proviene da Associazione Luca Coscioni.

Quando Neil Postman pubblicò Amusing Ourselves to Death (Compiaciamoci fino alla morte) nel 1985, la sua tesi era tanto semplice quanto radicale: non è il contenuto a determinare la qualità del dibattito pubblico, ma il mezzo che lo veicola. Il modo in cui comunichiamo, scriveva, cambia ciò che siamo in grado di pensare e discutere. All’epoca con la televisione come “nuovo mezzo”a trasformare la politica in spettacolo fino ad oggi, con Donald Trump e i social media, quel processo sembra più che compiuto: la politica è intrattenimento puro.

Trump, di cui continuiamo a stupirci e a chiederci “perché”, ne è forse il più banale esempio, paradossalmente.

Dal giornale al tweet: il mezzo è il messaggio

Per capire perché questo modello ha avuto tanto successo, Postman ci invita a guardare indietro. Fino all’Ottocento, negli Stati Uniti il principale mezzo di comunicazione era la parola scritta: libri, giornali, opuscoli. La popolazione era in larga parte alfabetizzata (quasi 98% della popolazione) e aveva l’abitudine di leggere e collegare le informazioni. Non era raro assistere a dibattiti pubblici , come quelli celebri tra Lincoln e Douglas , che duravano piu di quattro ore, con lunghi monologhi e ragionamenti articolati. Non si trattava di intrattenere, ma di argomentare: chi ascoltava era in grado di seguire, analizzare, confutare e il politico non doveva ottenere il tifo da stadio, ma il vero assenso critico.

Con il telegrafo prima e la televisione poi, il tempo di attenzione si è contratto. In una società capitalista, ciò che si vende non è mai neutro: lo spettacolo diventa il fine, il contenuto un pretesto. La notizia non arrivava più come parte di una catena di cause ed effetti, ma come frammento isolato, un “flash” che si consumava in sé. Persino il ritmo dei telegiornali, quel “and now…” che introduce il servizio successivo, contribuisce a dare l’idea che ogni notizia sia un pacchetto isolato, slegato dal contesto, incapace di creare una continuità storica. Il cervello registra, archivia e passa oltre: informati, ma senza davvero comprendere. L’educazione stessa, nei programmi per bambini, si piegava a questa logica: più che formare menti critiche, occorreva mantenere alta l’attenzione, catturare con colori, suoni, immagini veloci.

Da qui alla politica lo scarto è breve. Se il cittadino è trattato come consumatore, e il dibattito politico come un prodotto televisivo, allora ciò che conta non è la coerenza di un programma ma la capacità di intrattenere. È in questo contesto che Trump, come introdotto, non appare come un’anomalia, bensì come il compimento logico di un lungo percorso. Le sue frasi contraddittorie, gli insulti in diretta, le provocazioni da circo non sono “scivoloni” o comportamenti da “outsider” ma parte integrante di un format: quello della politica come show. Trump quindi è il massimo splendore, o il punto più estremo, della politica-spettacolo repubblicana, costruita per scatenare emozioni e fidelizzare il pubblico-elettorato come fosse una tifoseria.

Trump non ha inventato nulla, ma ha colto meglio di chiunque altro lo spirito di questo ecosistema. Ha trasformato la campagna elettorale in reality show, la conferenza stampa in wrestling verbale, il tweet in un orrendo capslock come documento ufficiale di Stato, cosa impensabile in un paese europeo. Per i suoi sostenitori, non importa se le sue affermazioni resistano a un fact-check: importa la loro forza emotiva, la capacità di far arrabbiare l’avversario o di rafforzare l’identità della propria “squadra”.

In questo senso, Postman aveva visto giusto: quando la politica si piega alle regole dell’intrattenimento, il pensiero critico diventa un lusso, la democrazia si riduce a spettacolo.

E in Europa?

A guardarla dall’Europa, questa deriva sembra grottesca, un eccesso tutto americano. Eppure anche noi stiamo importando lo stesso modello, con qualche anno di ritardo. Dai talk show alla comunicazione social dei leader politici, il meccanismo è identico: polarizzazione, frasi a effetto, immagini virali che scatenano emozioni immediate e poco più. Le differenze sono “solo” due: negli Stati Uniti questa logica agisce da decenni, in Italia e in Europa da molto meno. Inoltre, In Italia ed Europa il peso della scuola, della tradizione letteraria e di una cultura politica più stratificata hanno lasciato ancora tracce di profondità. Nonostante l’analfabetismo funzionale crescente, l’educazione alla lettura e all’argomentazione ha conservato uno spazio. Non a caso, almeno da parte maggioritaria della sinistra, il dibattito resta più strutturato, più legato al contenuto che alla performance.

C’è però un elemento nuovo rispetto all’epoca di Postman: i social network. Essi rappresentano allo stesso tempo il problema e la possibile soluzione. Da un lato amplificano la logica dell’infotainment: un tweet o un reel valgono più di un ragionamento complesso, e il meccanismo della viralità favorisce contenuti che generano emozione più che conoscenza. Dall’altro lato, i social possono essere usati anche per il debunking, per spezzare il ciclo dell’emotività e offrire strumenti critici. Sta qui la sfida: trasformare lo stesso mezzo che alimenta la superficialità in un veicolo di consapevolezza.
Un esempio recente di come la politica-spettacolo emotiva repubblicana (“trumpiana”) statunitense si sia infiltrata e adattata perfettamente alla comunicazione politica, di destra in Italia nel particolare, arriva dalla narrazione sulla morte di Charlie Kirk sfruttata come miccia emotiva per generare indignazione e mobilitare il pubblico, indipendentemente dalla verità dei fatti. In questo caso, l’onda mediatica costruita attorno alla vicenda ha fatto leva sulle emozioni immediate degli spettatori, trasformando un evento complesso in un pretesto per uno storytelling politico spettacolare. Paradossalmente, lo stesso mezzo, i social, usati dalla stessa vittima per portare messaggi estremi, divisivi e di “intrattenimento”, potrebbe essere usato anche per il debunking rapido e per restituire al pubblico un quadro più chiaro, insegnando a leggere le notizie con senso critico e a non fermarsi alla reazione emotiva iniziale.

Politica o intrattenimento? Una scelta cruciale

Se lasciamo che l’emotività prevalga sulla razionalità, se non creiamo spazi di confronto e approfondimento, finiremo per importare in blocco il modello americano, con le sue contraddizioni e i suoi rischi.

Il futuro non è scritto, diceva Postman. Ed è vero anche oggi: dipende da come useremo i mezzi di comunicazione, se come strumenti di intrattenimento o come occasioni di pensiero. La differenza non è secondaria. Da essa dipende la qualità della nostra democrazia.

Karin Silvi
Possibile Reggio Emilia

L'articolo La presidenza Trump non è follia, è la conseguenza della politica dello spettacolo proviene da Possibile.

Nuove recensioni su :: acufeni ::
Questa settimana ci siamo persi (e ritrovati) tra post punk, elettronica, black metal e patchwork sonori fuori da ogni schema.

- Coded Marking – debutto impeccabile, forse fin troppo. Un album che avrebbe potuto gridare, ma sceglie di sussurrare.
- Giant Claw – libertà totale e ironia sonora: un patchwork che funziona come poche volte capita.
- Sea Mosquito – spiritualità oscura e critica alla modernità: psichedelia e black metal intrecciati in un lavoro imponente, anche se non perfetto.
- Siavash Amini – Caligo: la polvere dei bombardamenti a Teheran trasformata in un suono che fa male.
- Xeeland – Master Builder: drone e krautrock per costruire cattedrali di cemento sonoro, fredde e opprimenti.

#iyezine #inyoureyesezine #iyezine.com
iyezine.com/acufeni-fastidi-au…
@Musica Agorà

Coded Marking, Giant Claw, Sea Mosquito, Siavash Amini, Xeeland Recensioni

Questa puntata abbiamo presentato: Coded Marking, Giant Claw, Sea Mosquito, Siavash Amini, Xeeland.

^{Marco Valenti (In Your Eyes ezine)}

Oggi pomeriggio abbiamo depositato alla Camera dei deputati 24 mila firme che chiedono la fine dei poteri speciali di Gualtieri che beneficia di una concentrazione di potere senza precedenti cumulando ruolo e funzioni di Sindaco di Roma, di Sindaco della Città metropolitana e di Commissario straordinario di governo al Giubileo con poteri illimitati in materia di rifiuti. Come è arcinoto, i poteri straordinari relativi ai rifiuti sono attributi per affrontare l’afflusso dei pellegrini del Giubileo 2025 che però è sta per finire. Poteri concentrati nelle mani di Gualtieri che, da subito, li ha utilizzati in spregio alle normative di settore anche di derivazione europea per impianti che con il Giubileo non c’entrano quindi nulla e rispetto ai quali, come nel caso dell’inceneritore, in campagna elettorale si era pubblicamente dichiarato contrario in un confronto con lo sfidante Calenda.

Oggi pomeriggio davanti al Palazzo di Montecitorio abbiamo innalzato lo striscione che riafferma davanti alla Camera dei deputati che, con il Senato, approva le leggi il principio costituzionale per il quale tutti sono eguali davanti alla legge. Non a Roma dove da tre anni esatti non è così perché Roberto Gualtieri in quanto Commissario con poteri speciali può impunemente violare le leggi. Questo accade perché finora non abbiamo trovato un giudice coraggioso capace di portare la norma attributiva dei poteri davanti alla Corte costituzionale.

Allora siamo quindi tornati alla Camera, presto torneremo al Senato perché quella norma il Parlamento l’ha scritta e il Parlamento dovrà cambiarla perché una concentrazione di potere nelle mani di uno solo viola il principio democratico e non può quindi più essere tollerata laddove ci si riconosca nei principi della Costituzione della Repubblica italiana.

Con noi oggi c’erano e hanno preso lo striscione i deputati Francesco Emilio Borrelli, Filiberto Zaratti e Andrea Volpi, Sindaco di Lanuvio, unitamente ai Sindaci di Albano, Massimiliano Borelli, di Ardea, Maurizio Cremonini, di Ariccia Gianluca Staccoli e di Genzano Carlo Zoccolotti. I consiglieri regionali Alessandra Zeppieri e Adriano Zuccala, i consiglieri comunali di Albano Salvatore Tedone, di Pomezia Giacomo Castro e Luisa Navisse e Marco Cerisola consigliere del Municipio IX.

L’Unione dei Comitati contro l’inceneritore

Abbiamo consegnato 24 Mila firme chiedendo alla Camera dei Deputati che la legge sia uguale per tutti, Gualtieri compreso.
Più tardi diamo comunicazione dettagliata.

#Ambiente #StopInceneritore #NoInceneritore #NoInceneritori #ZeroWaste #Rifiuti #Riciclo #EconomiaCircolare #NoAlCarbone #EnergiaPulita