Sometimes it’s the most straightforward of hacks which are also the most satisfying, and so it is that we’d like to draw your attention to [mikeandmertle]’s PVC thumb nuts. They provide a cheap an easy to make way to create thumb-tightenable nuts for your projects.

Starting with a PVC sheet, a series of discs can be cut from it with a hole saw. The hole in the centre of the disc is chosen such that it’s a bit smaller than the required nut, so that it can be pressed into the space with a bolt and a washer. Then a second PVC disc is glued over one side of the first before being sanded to a regular shape, resulting in a captive nut at the centre of a finger-sized and easily turnable handle.

We like this project, and we think that quite a few of you will too. We wonder how much torque it will take, but we’re guessing that a threaded insert could easily be substituted for the nut in more demanding applications. And of course, for more demanding applications you could always try knurling.

Apple is halting the rollout of three new features in the European Union, citing "regulatory uncertainties" caused by the Digital Markets Act (DMA), the tech giant announced on Friday (21 June).

euractiv.com/section/digital/n…

Avevamo già parlato dell'arresto in Corsica (foto sopra) di Marco #Raduano, alias “ Faccia d'angelo” , evaso nel febbraio 2023 da una sezione di massima sicurezza del carcere di Nuoro, utilizzando delle lenzuola annodate tra loro, indicato come presunto capo della "Società Foggiana", l'organizzazione ciminale denominata "Quarta mafia" (poliverso.org/display/0477a01e…). Nei pressi di Granada, in Spagna, la #Guardiacivil aveva arrestato l'uomo di fiducia di Raduano, accusato di aver partecipato all'omicidio di un residente, assassinato il 22 novembre dello scorso anno per un debito di droga. Gli investigatori hanno scoperto però durante le indagini che l'omicidio era stato commesso dallo stesso Raduano, mentre era latitante dopo la fuga da Nuoro.
Raduano, come detto, è attualmente detenuto in un carcere italiano.

L'omicidio avvenne davanti alla porta dell'abitazione della vittima, nella località di Alhendín. Il capo del clan e il suo braccio destro spararono alla vittima tre volte, con un fucile da caccia e fuggirono a bordo di un veicolo rubato.

(Il fucile utilizzato per l'omicidio, ritrovato dalla Guardia Civil)

Il defunto era un noto trafficante dihashish a livello internazionale. Il clan Raduano lo contattò per fare affari e gli diede una notevole somma di denaro, ma le due spedizioni di hashish finanziate con questi soldi furono intercettate, una dalla Guardia Civil ad Alicante e l'altra in Francia.

In seguito a questi interventi, il clan pretese comunque la droga dalla vittima o di riavere indietro il denaro, e questa si nasconse in una "urbanizzazione" ad Alhendín per passare inosservata.

Il capo del clan, che come detto era riuscito a fuggire da un carcere italiano, si rifugiò nell'abitazione che aveva il suo luogotenente - a sua volta latitante - a Otura (Granada). Una volta scoperto dove viveva lo spacciatore che doveva loro dei soldi o la droga, studiarono un piano per ucciderlo.

Per commettere l'omicidio, rubarono tre auto a Granada, cambiandoo targa e iniziarono a monitorare l'abitazione della vittima per scoprire le sue abitudini. Una volta stabilite le routine e gli orari, l'attesero e gli spararono più volte.

Gli unici indizi a disposizione degli investigatori all'inizio delle indagini erano tre cartucce di fucili da caccia calibro 12 e le immagini di un'auto rossa in fuga dal luogo del delitto. Il veicolo fu ritrovato bruciato il giorno successivo a Las Gabias e la Guardia Civil apprese che era stato rubato e che circolava con targhe false.

Sulla base di queste informazioni gli agenti chiusero il cerchio attorno ad un cittadino italiano che viveva a Otura e ad un altro individuo che era con lui.

Grazie all'arresto del cittadino italiano residente a Otura, ricercato dalla giustizia italiana per tre omicidi aggravati dal metodo mafioso e due tentati omicidi, si è scoperto che il secondo indagato era il capo del clan mafioso, che, subito dopo l'omicidio, aveva lasciato la Spagna per fuggire in Corsica e che nel frattempo era stato detenuto in Italia.

Gli agenti si sono recati quindi nel carcere dove è detenuto e gli hanno notificato il mandato di arrestato spagnolo per i reati di omicidio, detenzione illecita di armi, rapina con violenza, furto d'uso di veicoli, rapina con l'uso della forza, danneggiamento, falsità organizzazione documentale e criminale.

La Guardia Civil ha anche rinvenuto l'arma del delitto e le munizioni in un luogo vicino a dove era stata ritrovata l'auto bruciata a Las Gabias. Si trattava di un fucile che era stato rubato in città nel 2019. Recuperate anche due auto e diverse targhe rubate.

@Notizie dall'Italia e dal mondo
#societàfoggiana #guardiacivil

Morse code, often referred to as continuous wave (CW) in radio circles, has been gradually falling out of use for a long time now. At least in the United States, ham radio licensees don’t have to learn it anymore, and the US Coast Guard stopped using it even for emergencies in 1999. It does have few niche use cases, though, as it requires an extremely narrow bandwidth and a low amount of power to get a signal out and a human operator can usually distinguish it even if the signal is very close to the noise floor. So if you want to try and learn it, you might want to try something like this Morse trainer from [mircemk].

While learning CW can be quite tedious, as [mircemk] puts it, it’s actually fairly easy for a computer to understand and translate so not a lot of specialized equipment is needed. This build is based around the Arduino Nano which is more than up for the job. It can accept input from any audio source, allowing it to translate radio transmissions in real time, and can also be connected to a paddle or key to be used as a trainer for learning the code. It’s also able to count the words-per-minute rate of whatever it hears and display it on a small LCD at the front of the unit which also handles displaying the translations of the Morse code.

If you need a trainer that’s more compact for on-the-go CW, though, take a look at this wearable Morse code device based on the M5StickC Plus instead.

youtube.com/embed/HGZTI0FyOiU?…

Mercoledì, Stability AI ha introdotto una nuova versione del suo modello di sintesi delle immagini, Stable Diffusion 3 Medium. Questo modello converte le query di testo in immagini, ma l’inferenza prodotta ha attirato un’ondata di critiche a causa della scarsa qualità delle immagini delle persone, soprattutto rispetto a Midjourney e DALL-E 3.

Come si è scoperto, SD3 Medium crea spesso immagini anatomicamente errate, che è diventato motivo di scherno. C’era un thread su Reddit chiamato “Questo episodio è uno scherzo? [SD3-2B]”, in cui gli utenti condividono esempi di fallimenti di SD3 Medium durante la creazione di immagini di persone, in particolare mani e piedi.

Un altro thread discute i problemi legati alla generazione di immagini di ragazze sdraiate sull’erba.

Generare le mani è stato tradizionalmente un compito impegnativo per i generatori di immagini a causa della mancanza di esempi nei set di dati di addestramento. I modelli moderni hanno già imparato a far fronte a questo compito, ma Stable Diffusion 3 Medium ha fatto un passo indietro.

Gli utenti ritengono che il motivo per cui SD3 Medium fallisce sia dovuto al filtraggio dei contenuti per adulti dai dati di addestramento. “La pesante censura dei modelli rimuove anche i dati anatomici, ecco cosa è successo”, ha osservato un utente.

Gli stessi problemi sono sorti con il rilascio di Stable Diffusion 2.0 nel 2022. Quindi il filtraggio dei contenuti per adulti ha ridotto la capacità del modello di generare un’anatomia umana accurata. L’intelligenza artificiale ha risolto questo problema in SD 2.1 e SD XL, ripristinando parzialmente le abilità perse.

Alcuni utenti ritengono che il filtro NSFW utilizzato per ripulire i dati di addestramento fosse troppo rigido. Di conseguenza, le immagini che non contenevano contenuti sessuali ma erano importanti per addestrare il modello a rappresentare correttamente le persone in varie situazioni potrebbero essere state rimosse dal set di dati.

Un utente Reddit ha scritto: “[SD3] funziona bene finché non ci sono persone nell’inquadratura. Sembra che il loro filtro NSFW migliorato abbia deciso che qualsiasi umanoide sia NSFW.”

L'articolo Stable Diffusion 3 Medium crea mostri e non persone! Tutto per colpa della censura proviene da il blog della sicurezza informatica.

La Cina ha fatto un passo avanti significativo nell’infrastruttura del calcolo quantistico con il lancio dell’impianto a temperatura ultrabassa Origin SL1000. Il dispositivo, prodotto a Hefei, nella provincia di Anhui, è stato sviluppato dal Centro di ricerca sull’informatica quantistica della provincia di Anhui e può ospitare 840 cavi. Zhang Junfeng, un rappresentante del centro, ha osservato: “Origin SL400 può ospitare 336 cavi coassiali speciali ad alta frequenza per temperature estremamente basse, mentre Origin SL1000 può ospitare 840 cavi, soddisfacendo i severi requisiti per la creazione di condizioni operative per chip quantistici con più di 100 qubit.”

Il nuovo dispositivo dimostra le capacità della Cina nelle tecnologie a temperatura ultrabassa e rappresenta un significativo passo avanti nel panorama dell’informatica quantistica. L’impianto crea un ambiente a temperatura estremamente bassa, è un componente chiave nello sviluppo di computer quantistici superconduttori.

Zhang ha sottolineato che Origin SL400 offre l’impressionante capacità di raffreddamento di 400 microwatt a -273,05°C, mentre il sistema Origin SL1000 ancora più potente aumenta questa capacità fino a ben 1.000 microwatt nelle stesse condizioni estreme.

Il Centro di ricerca sull’informatica quantistica dell’Anhui è stato istituito come risultato della fruttuosa collaborazione tra Benyuan Quantum e il principale laboratorio chiave di informazione quantistica dell’Accademia cinese delle scienze. Il centro si concentra sul promettente campo dell’informatica quantistica e si impegna a promuovere attivamente sviluppi ingegneristici innovativi e stimolare l’industrializzazione dei computer quantistici in Cina.

L’impianto per raggiungere temperature ultra-basse è un sistema di raffreddamento chiuso ad alta tecnologia in grado di creare condizioni più fredde rispetto al vuoto dello spazio. In genere, la sua impressionante capacità di raffreddamento si ottiene rilasciando il calore della miscelazione dei rari isotopi elio-3 (He-3) ed elio-4 (He-4). Ciò è reso possibile dalla proprietà unica dell’elio: i suoi due isotopi possono rimanere disciolti anche a temperature estremamente basse, mentre altri liquidi si separano completamente in frazioni a temperature sufficientemente basse.

L'articolo La Cina sviluppa Origin SL1000, il super frigorifero quantistico proviene da il blog della sicurezza informatica.

Nel mondo della cybersecurity, il panorama delle minacce è in continua evoluzione. Tra le minacce più insidiose degli ultimi anni vi sono i ransomware, software malevoli progettati per criptare i dati delle vittime e richiedere un riscatto in cambio della chiave di decrittazione. Un gruppo che ha fatto recentemente notizia di recente è la gang ransomware Cloak, che ha deciso di esporre il proprio data leak site (DLS) anche sulla clearnet, ovvero la parte di internet accessibile pubblicamente senza bisogno di software specifici per l’anonimato come Tor.

Immagine del DLS di Cloak pubblicato sulla clearnet, dallo screenshot si può notare che le attività WEB sono attualmente work in progress rispetto alla versione darkweb

Immagine del DLS di Cloak pubblicato sulla clearnet,sezione dedicata alle FAQ

Il gruppo Cloak

La gang di ransomware Cloak, emergente nel panorama del cybercrimine tra la fine del 2022 e l’inizio del 2023, ha già segnato il suo impatto significativo nonostante la sua relativa novità. Specializzata nella pratica della doppia estorsione, Cloak non solo cifra i dati delle vittime, ma minaccia anche di pubblicare informazioni sensibili se non viene pagato un riscatto​​​​.

Tra le vittime più illustri di Cloak, spicca Mundocar, una compagnia di noleggio veicoli spagnola. Gli hacker sono riusciti a sottrarre 100 GB di dati interni, utilizzando la minaccia di pubblicazione per forzare il pagamento del riscatto. Tuttavia, in questo caso specifico, le negoziazioni sembrano essere fallite, con i dati che sono stati poi pubblicati online​.

Immagine del DLS di Cloak ,post di mundocar.eu

Di seguito alcune delle vittime italiane più rilevanti identificate finora:

1. Settore Retail e Commercio all’Ingrosso – Agosto 2023
2. Settore Manifatturiero – Agosto e Settembre 2023
3. Settore Costruzioni e Architettura – Settembre 2023

Nonostante Cloak non abbia ancora raggiunto la notorietà di gruppi più affermati come LockBit o BlackBasta, la sua capacità di adattarsi e operare efficacemente nel panorama del ransomware indica che potrebbe diventare una minaccia crescente nei prossimi anni​.

Il Contesto dei Data Leak Sites

Tradizionalmente, i gruppi ransomware operano nel dark web, una sezione di internet accessibile solo attraverso software come Tor, che garantisce un alto livello di anonimato e privacy. I data leak sites sono piattaforme dove i cybercriminali pubblicano i dati rubati alle vittime che si rifiutano di pagare il riscatto. Questi siti fungono da ulteriore leva di pressione sulle vittime, minacciando di esporre pubblicamente informazioni sensibili.

La Decisione di Cloak: Clearnet vs. Dark Web

La scelta di Cloak di esporre il proprio DLS anche sulla clearnet rappresenta una mossa audace.

Immagine del DLS di Cloak pubblicato sul darkweb, captcha verification

Immagine del DLS di Cloak pubblicato sul darkweb, DLS Homepage

Questo spostamento ha implicazioni significative sia per le vittime che per le forze dell’ordine:

Visibilità e Rischio

Esponendo il proprio DLS sulla clearnet, Cloak aumenta drasticamente la visibilità dei dati rubati. Qualsiasi utente con accesso a internet può potenzialmente trovare e consultare queste informazioni, amplificando il danno reputazionale e operativo per le vittime. Tuttavia, questa maggiore visibilità comporta anche un rischio elevato per gli stessi cybercriminali, poiché le forze dell’ordine possono monitorare più facilmente queste attività.

Implicazioni Legali e di Sicurezza

La clearnet è soggetta a una regolamentazione molto più severa rispetto al dark web. Le forze dell’ordine e le agenzie di cybersecurity possono intervenire più rapidamente per chiudere i siti e perseguire legalmente i responsabili. Questa mossa potrebbe quindi sembrare controintuitiva, ma potrebbe essere interpretata come un segno di arroganza o un tentativo di sfruttare una fase di transizione in cui le normative non sono ancora completamente efficaci nel contrastare queste minacce.

Strategia di Intimidazione

L’obiettivo di Cloak potrebbe essere duplice: intimidire le vittime mostrando la facilità con cui possono essere esposti i loro dati e sfidare apertamente le autorità, dimostrando una sorta di invulnerabilità percepita. Questo potrebbe essere parte di una strategia più ampia per consolidare il loro marchio nel panorama della criminalità informatica.

Conclusione

La decisione della gang ransomware Cloak di esporre il proprio data leak site sulla clearnet segna un cambiamento significativo nel modus operandi dei cybercriminali. Questa mossa rappresenta una sfida diretta alle autorità e aumenta il livello di rischio per le vittime. Tuttavia, con una risposta tempestiva e coordinata, le forze dell’ordine e la comunità della cybersecurity possono affrontare efficacemente questa minaccia. La battaglia contro i ransomware continua, e la capacità di adattarsi rapidamente a queste evoluzioni sarà cruciale per mantenere la sicurezza nel mondo digitale.

L'articolo Cloak Ransomware: La Minaccia Che Esce dall’Oscurità e sbarca su internet proviene da il blog della sicurezza informatica.

In an excerpt from his book The Chinese Computer: A Global History of the Information Age, [Thomas Mullaney] explains how 1980s computer tech — at least the stuff that was developed in the West — was stubbornly rooted in the Latin alphabet. After all, ASCII was king, and with 60,000 symbols, Chinese was decidedly difficult to shoehorn into 8 bits. Unicode was years in the future so, of course, ingenious hackers did what they do best: hack!

The subject of the post is the dot matrix printer. Early printers had nine pins, which was sufficient to make Latin characters in one pass. To print Chinese, each character required at least two passes of the print head. This was slow, of course, but it was also subject to confusing variations due to ink inconsistency and registration problems. It also made the Chinese characters twice as big as English text.

Initial attempts were made to use finer pins to pack twice as many dots in the same space. But this made the pins too thin and subject to bending and breaking. Instead, some engineers would retain the two passes but move the print head just slightly lower so the second pass left dots in the gaps between the first pass dots. Obviously, the first pass would print even-numbered dots (0, 2, 4,…), and the second pass would catch the odd-numbered dots. This wasn’t faster, of course, but it did produce better-looking characters.

While international languages still sometimes pose challenges, we’ve come a long way, as you can tell from this story. Of course, Chinese isn’t the only non-Latin language computers have to worry about.

Have you ever tired of playing with your latest robot invention and wished you could just eat it? Well, that’s exactly what a team of researchers is investigating. There is a fully funded research initiative (not an April Fools’ joke, as far as we know) delving into the possibilities of edible electronics and mechanical systems used in robotics. The team, led by EPFL in Switzerland, combines food process engineering, printed and molecular electronics, and soft robotics to create fully functional and practical robots that can be consumed at the end of their lifespan. While the concept of food-based robots may seem unusual, the potential applications in medicine and reducing waste during food delivery are significant driving factors behind this idea.

The Robofood project (some articles are paywalled!) has clearly made some inroads into the many components needed. Take, for example, batteries. Normally, ingesting a battery would result in a trip to the emergency room, but an edible battery can be made from an anode of riboflavin (found in almonds and egg whites) and a cathode of quercetin, as we covered a while ago. The team proposed another battery using activated charcoal (AC) electrodes on a gelatin substrate. Water is split into its constituent oxygen and hydrogen by applying a voltage to the structure. These gasses adsorb into the AC surface and later recombine back into the water, providing a usable one-volt output for ten minutes with a similar charge time. This simple structure is reusable and, once expired, dissolves harmlessly in (simulated) gastric fluid in twenty minutes. Such a device could potentially power a GI-tract exploratory robot or other sensor devices.

But what use is power without control? (as some car tyre advert once said) Microfluidic control circuits can be created using a stack of edible materials, primarily oleogels, like ethyl cellulose, mixed with an organic oil such as olive oil. A microfluidic NOT gate combines a pressure-controlled switch with a fluid resistor as the ‘pull-up’. The switch has a horizontal flow channel with a blockage that is cleared when a control pressure is applied. As every electronic engineer knows, once you have a controlled switch and a resistor, you can build NOT gates and all the other logic functions, flip-flops, and memories. Although they are very slow, the control components are importantly edible.

Edible electronics don’t feature here often, but we did dig up this simple edible chocolate bunny that screams when you bite it. Who wouldn’t want one of those?

If you want to read something from magnetic tape, you need a tape head, right? Or you could do like [Igor Brichkov] and make your own. It looks surprisingly simple. He used a washer with a small slot cut in it and a coil of wire.

The first experiment, in the first video below, is using a commercial tape head connected to a preamp. Music playing “through” the homemade head is readable by the commercial tape reader. This is a prelude to creating an entire tape deck using the head, which you can see in the second video below.

The homemade deck is a collection of small protoboards along with some hodgepodge components, a Bluetooth board, and aluminum foil shielding. One of the protoboards has a simple VU meter using eight LEDs.

We aren’t sure what possessed [Igor] to want to make a tape deck, and — to be fair — it looks like he borrowed the transport mechanism from a commercial player. But we never really need an excuse to build something cool, so we appreciate him sharing his DIY tape deck with us and the world.

If you want to know just about anything related to tape decks, we have some suggested reading for you. If you have trouble finding parts for your cassette collection, maybe fire up your 3D printer.

youtube.com/embed/1PhPHSGImXI?…

youtube.com/embed/VYRcN9FX4c0?…

Tiny Tapout is an interesting project, leveraging the power of cloud computing and collaborative purchasing to make the mysterious art of IC design more accessible for hardware hackers. [Yeo Kheng Meng] is one such hacker, and they have produced their very first custom IC for use with their retrocomputing efforts. As they lament, they left it a little late for the shuttle run submission deadline, so they came up with a very simple project with the equivalent behaviour of the Covox Speech Thing, which is just a basic R-2R ladder DAC hanging from a PC parallel port.
The computed gate-level routing of the ASIC layout
The plan was to capture an 8-bit input bus and compare it against a free-running counter. If the input value is larger than the counter, the output goes high; otherwise, it goes low. This produces a PWM waveform representing the input value. Following the digital output with an RC low-pass filter will generate an analogue representation. It’s all very simple stuff. A few details to contend with are specific to Tiny Tapout, such as taking note of the enable and global resets. These are passed down from the chip-level wrapper to indicate when your design has control of the physical IOs and is selected for operation. [Yeo] noticed that the GitHub post-synthesis simulation failed due to not taking note of the reset condition and initialising those pesky flip-flops.

After throwing the design down onto a Mimas A7 Artix 7 FPGA board for a quick test, data sent from a parallel port-connected PC popped out as a PWM waveform as expected, and some test audio could be played. Whilst it may be true that you don’t have to prototype on an FPGA, and some would argue that it’s a lot of extra effort for many cases, without a good quality graphical simulation and robust testbench, you’re practically working blind. And that’s not how working chips get made.

If you want to read into Tiny Tapeout some more, then we’ve a quick guide for that. Or, perhaps hear it direct from the team instead?

youtube.com/embed/B-Sx1dmTjro?…

[Dan Schnur] has a simple strategy to ensure their business card stays on the client’s desk and doesn’t just get lobbed in a drawer: make it into a simple gaming platform. This entry into the 2024 Business Card Challenge is based around the tinyjoypad project, integrating an SSD1306 OLED display, joypad, and push button.

Powered by the superstar ATTiny85, the electronics are really not all that much, just a sprinkling of passives to support the display and the six switch inputs from the joystick and push button. Or at least, that’s how much we can glean from the PCB images, as the PCB design files are not provided in the project GitHub.

Leaving the heavy lifting of the software to the tinyjoypad project, the designer can concentrate on the actual job at hand and the reason the business card exists to stay at the forefront of the client’s mind. In the meantime, the card can be a useful distraction for those idle moments. A few such distractions include a tiny version of Missile Command (as shown above), tiny tris, and a very cut-down Q-bert. Sadly, that last game isn’t quite the same without that distinctive sound.

Dopo la rivoluzione del 25 aprile 1974, il 2 maggio, con questo gesto, José P. Maia (1943-2013) ha dimostrato le potenzialità dell'occupazione collettiva e ha dato voce a una lotta che continua. Tanta gente senza casa, tante case senza gente.

Murale fotografato a Lisbona, agosto 2014.

Ilaria Salis è stata eletta al Parlamento Europeo dopo che il giorno precedente l'apertura dei seggi le gazzette l'hanno ritratta come una occupante abusiva di abitazioni. Uno dei peggiori stigmi che il gazzettaio "occidentalista" riesca a gettare.
Dopo qualche giorno dall'elezione Ilaria Salis ha fatto circolare questo scritto. Come nostro uso lo si riporta perché urta chi merita quantomeno di essere urtato. Dobbiamo anche lodare la concretezza della scrivente e il suo non ricorrere al linguaggio inclusivo.

Sì, lo confesso!
Sono stata una militante del movimento di lotta per la casa che negli anni ha dato battaglia sul tema del diritto all'abitare, a Milano e in tutta Italia.
Se qualcuno pensava di fare chissà quale scoop scavando nel mio passato, è solo perché è sideralmente lontano dalla realtà sociale di tale movimento, che si compone di decine di migliaia di abitanti delle case popolari e attivisti, i quali, per aver affermato il semplice principio di avere un tetto sulla testa, sono incappati in qualche denuncia.
Sarebbe auspicabile che l'informazione, piuttosto che gettare fango sul mio conto, si dedicasse al contesto di grave povertà e precarietà abitativa nel quale si ritrovano ampie fasce di popolazione.
Le pratiche collettive dell'occupazione di case sfitte, il blocco degli sfratti, la resistenza agli sgomberi, gli sportelli di ascolto e la lotta per la sanatoria rappresentano un'alternativa reale e immediata all’isolamento sociale e alla guerra tra poveri, strumentalizzate tanto dalle forze politiche razziste quanto dal racket.
Dare una risposta concreta al bisogno dell'abitare significa non solo trovare qui e ora una soluzione, benché precaria e provvisoria, ad una questione lasciata irrisolta dalla politica istituzionale, ma anche indicare una prospettiva politica di trasformazione delle condizioni materiali di vita nel segno della giustizia sociale.
E' con grande orgoglio, dunque, che rivendico di aver fatto parte di questo movimento e di continuare a sostenerlo!
Voglio anche fare chiarezza sulla mia situazione.
Come è stato ampiamente sbandierato sui media di destra, Aler reclama un credito di 90.000 euro nei miei confronti come "indennità" per la presunta occupazione di una casa in via Giosuè Borsi a Milano, basandosi esclusivamente sul fatto che nel 2008 sono stata trovata al suo interno. Sebbene nei successivi sedici anni (!) non siano mai stati svolti ulteriori controlli per verificare la mia permanenza, né sia mai stato avviato alcun procedimento civile o penale a mio carico rispetto a quella casa, Aler contabilizza tale credito e non si fa scrupolo a renderlo pubblico tramite la stampa il giorno prima delle elezioni.
Un gran numero di individui e famiglie, spesso prive dei mezzi necessari per reagire adeguatamente, sono tormentate da richieste infondate di questo genere. Il totale dei crediti contabilizzati da Aler ammonta infatti ad oltre 176 milioni di euro! La pratica di richiedere esose "indennità di occupazione" agli inquilini, basata su presupposti a dir poco incerti, è una strategia utilizzata sistematicamente per spaventare gli occupanti e tentare di fare cassa.
Mentre molte, troppe persone non vedono garantito il proprio diritto all'abitare e non hanno alternative dignitose se non occupare - in una della città con gli affitti più cari, ricordiamolo sempre -, l'ente che dovrebbe tutelare questo diritto sembra essere più interessato a criminalizzare il movimento di lotta per la casa e gli inquilini piuttosto che a trovare soluzioni concrete.
Nei prossimi giorni condividerò alcuni dati e spunti di riflessione sulla questione abitativa a Milano e in Italia.
Ringrazio Libero & co. per avermi servito questo assist per riportare l'attenzione mediatica su un tema che mi sta molto a cuore, perché così cruciale per le classi popolari e i giovani.

MAI PIÙ GENTE SENZA CASA, MAI PIÙ CASE SENZA GENTE!

The week gone by was rich with fun hacks, and Elliot and Dan teamed up this time around to run them down for everyone. The focus this week seemed to trend to old hardware, from the recently revived Voyager 1 to a 1940s car radio, a homebrew instrument from 1979, a paper tape reader, and a 128k Mac emulator built from an RP2040.

Newer hacks include a 3D-printed bottle labeler, a very hackable smart ring, and lessons learned about programming robots. We also took a look at turning old cell phones into Linux machines, making sure climbing ropes don’t let you down, and snooping on orbital junk with a cool new satellite.

We wrapped things up with a discussion of just how weird our solar system is, and Dan getting really jealous about Tom Nardi’s recent trip to see the battleship New Jersey from an up close and personal perspective.

html5-player.libsyn.com/embed/…
Where to Follow Hackaday Podcast

Places to follow Hackaday podcasts:

• iTunes
• Spotify
• Stitcher
• RSS
• YouTube
• Check out our Libsyn landing page

Worried about attracting the Black Helicopters? Download the DRM-free MP3 and listen offline, just in case.

Episode 276 Show Notes:

News:

• 2024 Business Card Contest
• Voyager 1 Once Again Returning Science Data From All Four Instruments

What’s that Sound?

• Galaga: Congrats to [DrJon] for guessing it right. With exclamation points.
• Don’t get caught playing at work

Interesting Hacks of the Week:

• New Part Day: A Hackable Smart Ring
  
  • Bluetooth Ring Hacking, OTA Firmware upload – YouTube
  • GitHub – atc1441/ATC_RF03_Ring: Findings and custom firmware for the Colmi R02 (and similar) Smart Ring with RF03 BlueX SoC

  
  

• A Brief Look Inside A Homebrew Digital Sampler From 1979
  
  • Homebrew Circuit Explores The Mysteries Of Analog-to-Digital Conversion
  • Ask Hackaday: How Do You Make Front Panels?

  
  

• PostmarketOS Now Boots On Over 250 Devices
  
  • Lindroid Promises True Linux On Android
  • Ask Hackaday: Why Aren’t We Hacking Cellphones?
  • Dan’s mom’s “danger pillow” phone

  
  

• When Your Rope Is Your Life
• Probably The Cheapest Mac Emulation Hardware
• Programming Robots Is Hard, Figuring Out How To Make It Easier Is Harder

Quick Hacks:

• Elliot’s Picks
  
  • Harmonic Table Keyboard Brings Old Idea Back To Life
  • Astroscale’s ADRAS-J Satellite Takes Up-Close Photo Of Discarded Rocket Stage
  • 3D Printing A Bottle Labeling Assembly Line

  
  

• Dan’s Picks:
  
  • Use Your Thinkpad X1 Tablet’s Keyboard Standalone
  • A 1940s Car Radio Receives Some Love
  • Homebrew Reader Brings Paper Tape Programs Back To Life

  
  

Can’t-Miss Articles:

• The Solar System Is Weirder Than You Think
• Taking A Look Underneath The Battleship New Jersey
  
  • Megalophobia (Fear of Large Objects): Symptoms & Treatment

  
  

The EIB launched a new programme to "actively participate in the European Commission’s industrial alliances and initiatives" on net zero and strategic technologies, in its 2024-2027 strategic roadmap.

euractiv.com/section/industria…

L’intelligenza artificiale (IA) è un argomento che solleva domande e preoccupazioni, soprattutto riguardo al suo impatto sul lavoro e sull’occupazione. Ne abbiamo sentite di tuti i colori negli ultimi mesi relativamente alle contrazioni dei posti di lavoro, con cifre talmente allarmanti da fare paura.

Ma sembra che ci siano persone che la pensano diversamente in merito, in quanto saremo relegati al ruolo di “controllori delle IA” con un aumento importante del lavoro. Recentemente, Thierry Rayna, professore all’École Polytechnique e ricercatore presso il laboratorio i3 del CNRS, ha discusso su come l’IA influenzerà il nostro futuro lavorativo.

Rayna, con la sua lunga esperienza nel campo dell’economia e della tecnologia, ha offerto una visione divergente sulle trasformazioni che ci attendono.

Un Futuro con Contenuti in Esplosione

“Vivremo in un mondo in cui la quantità di contenuti prodotti esploderà”, afferma Thierry Rayna. L’IA, in particolare nella sua forma generativa, è in grado di produrre contenuti in quantità senza precedenti. Tuttavia, Rayna sottolinea una limitazione significativa: “Questi algoritmi non sono molto bravi a classificare i contenuti”. Questa carenza implica che, sebbene avremo un flusso continuo di nuove informazioni, il compito di filtrare e organizzare questi dati rimarrà in gran parte una responsabilità umana.

Rayna anticipa un aumento del carico di lavoro per gli individui, poiché la necessità di gestire e verificare i contenuti generati dall’IA diventerà sempre più pressante. L’IA, dunque, non ridurrà necessariamente il numero di posti di lavoro, ma piuttosto modificherà la natura del lavoro, richiedendo più tempo e risorse per la gestione delle informazioni.

Diversi Tipi di Intelligenza Artificiale

Quando si parla di IA, è importante comprendere che esistono vari tipi con diverse funzioni e capacità. Rayna spiega che esistono IA basate su regole, IA che rendono “intelligenti” oggetti collettivamente, e IA basate sull’apprendimento automatico.

Tra queste, le IA generative e discriminative sono particolarmente rilevanti. “Le IA generative creano nuovi dati, mentre quelle discriminative cercano di dare un senso a grandi quantità di dati esistenti”, afferma Rayna. Questa distinzione è fondamentale per comprendere le potenzialità e le limitazioni delle diverse applicazioni dell’IA.

Impatti sul Settore Industriale e Casalingo

Nel contesto aziendale, Rayna osserva che la maggior parte delle applicazioni di IA generativa oggi sono essenzialmente adattamenti delle applicazioni di IA tradizionale. Le aziende, infatti, cercano spesso di dare un senso ai dati esistenti piuttosto che generare nuovi contenuti. Tuttavia, l’IA generativa ha il potenziale per rivoluzionare la produzione e la personalizzazione dei prodotti. “Ad esempio, potrebbe rendere possibile la personalizzazione rapida di un prodotto in fabbrica”, afferma Rayna.

In ambito domestico, l’IA potrebbe presto diventare un supporto prezioso per la gestione delle faccende quotidiane. “Siamo vicini a un futuro in cui i robot umanoidi, integrati con IA avanzate, saranno in grado di assisterci nelle faccende domestiche e fornire compagnia”, suggerisce Rayna. Tuttavia, avverte che l’IA è attualmente più brava a creare contenuti medi piuttosto che eccellenti, il che limita la sua utilità in alcuni contesti.

La Sfida della Classificazione dei Contenuti

Una delle principali sfide per il futuro è la gestione dell’enorme quantità di dati generati dall’IA.

“Gli algoritmi di IA sono molto bravi a creare contenuti, ma pessimi nel selezionarli”, osserva Rayna. Questo significa che, mentre l’IA può produrre testi, immagini e video in modo rapido ed efficiente, la capacità di valutare e organizzare questi contenuti rimane limitata.

Questo comporta una crescente necessità di intervento umano per garantire che le informazioni siano accurate e rilevanti.

La Prospettiva di Nuovi Posti di Lavoro

Contrariamente a molte previsioni pessimistiche, Rayna sostiene che l’IA potrebbe effettivamente creare nuovi posti di lavoro. “L’IA non sostituirà necessariamente il lavoro umano, ma cambierà la natura del lavoro”, afferma.

La crescente produzione di contenuti richiederà più risorse per la loro gestione e verifica, creando nuove opportunità di impiego. Inoltre, l’IA potrebbe liberare tempo per attività più creative e complesse, potenzialmente migliorando la qualità del lavoro umano.

Conclusione

L’intelligenza artificiale sta trasformando il nostro mondo in modi che non sempre sono prevedibili. Thierry Rayna evidenzia che, sebbene l’IA possa semplificare molte attività, aumenterà anche la quantità di lavoro necessario per gestire e verificare i contenuti.

“L’IA sconvolgerà le nostre vite perché lavoreremo sempre di più”, conclude Rayna. Questa nuova realtà richiederà un adattamento continuo e una maggiore collaborazione internazionale per affrontare le sfide emergenti e sfruttare le opportunità offerte dall’IA.

Mentre ci prepariamo a un futuro dominato dall’intelligenza artificiale, è essenziale comprendere che il successo dipenderà non solo dalle capacità tecnologiche, ma anche dalla nostra capacità di gestire e interpretare i dati in modo efficace.

L'articolo L’Intelligenza Artificiale sconvolgerà le nostre vite! “perché lavoreremo sempre di più” proviene da il blog della sicurezza informatica.

Una delegazione dell’Arma dei Carabinieri guidata dal Generale C.A. Andrea Rispoli, Comandante del #CUFA (Comando Unità Forestali, Ambientali e Agroalimentari Carabinieri), si è recata in visita dal 18 al 20 giugno ad Adis Abeba (Etiopia) per presentare il Centro di Eccellenza per la Tutela Ambientale di Sabaudia ai rappresentanti dell’Unione Africana che si occupano di tutela ambientale, conservazione della natura e agricoltura.

La delegazione ha descritto le caratteristiche e le potenzialità del Centro, un istituto di formazione internazionale in materia ambientale, forestale, di biodiversità e di gestione delle aree naturali, nato dalla partnership istituzionale con le Agenzie ONU di riferimento per le questioni ambientali, con le quali vengono promossi piani di formazione a favore dei Paesi in via di sviluppo.

Il Centro di Sabaudia ha dalla sua inaugurazione riscontrato l’interesse delle principali autorità nazionali e internazionali, in particolare per le attività formative, gli incontri e i confronti a tutti i livelli, estremamente utili per acquisire quelle competenze, teoriche e pratiche, necessarie per combattere gli effetti del cambiamento climatico e fornire un contributo fondamentale in termini di peacekeeping.
I cambiamenti climatici, infatti, determinando la perdita di fertilità del suolo, la diminuzione della disponibilità idrica, la siccità, le inondazioni e altri gravi problemi, possono favorire l'aggressività di Paesi che per la sopravvivenza delle proprie popolazioni sono indotti a intraprendere la via del conflitto armato.
Come riferì sull'argomento il Comandante Generale dell'Arma, Teo Luzi, «l'idea portante si basa su una partnership istituzionale con le Agenzie ONU di riferimento per le questioni ambientali, con le quali promuovere piani di formazione a favore dei Paesi in via di sviluppo. Il Centro permetterà di integrare elementi di governance ambientale presso Stati che necessitano di acquisire abilità ed esperienze, affinchè il loro sviluppo economico sia anche sostenibile sul piano ecologico. Notevole è anche la collaborazione tramite il Ministero degli Affari Esteri e della Cooperazione Internazionale che ha permesso di avviare corsi di formazione in Ruanda, Uganda, Namibia e Zambia per il personale di sorveglianza dei parchi contro il dilagante fenomeno del bracconaggio».

Attualmente per l’attività di formazione sono stati già strutturati i programmi di 14 moduli formativi della durata minima di 5 giorni. L'insegnamento è svolto in lingua inglese e francese, da esperti dell'Organizzazione Forestale, Ambientale e Alimentare dell'Arma dei Carabinieri, e da funzionari dei Ministeri coinvolti nelle attività nonché magistrati e professionisti del mondo accademico e del settore privato.

#ArmadeiCarabinieri #CentrodiEccellenzaperlaTutelaAmbientale #Unionioneafricana
@Notizie dall'Italia e dal mondo

Picture it: you’re on the treadmill, running through a forest, sweating like a pig, and the doorbell rings because a package is being delivered. Would you even hear it? Chances are, if you’re rocking out to music on headphones and your treadmill is as noisy as [Antonio]’s, you wouldn’t, and you’d once again face the dreaded ‘we’ll try later’ slip.

What you need is something that thing listens for the doorbell and flashes a giant 20 mm red LED to alert you. Could this be done with a 555? Yes, in fact, [Antonio] used a pair of them in the form of the 556 on the alert side.

The first 555 is wired up in astable mode to control the tempo of the flashing light, and the second timer is in monostable mode to control the length of time the light flashes. Power comes from the doorbell’s 9V, which is wired up through an existing Ethernet jack.

Now whenever the doorbell rings, [Antonio] has 60 seconds of flashing light in order to react, stop the treadmill, and jump off to answer the door. To conserve power when [Antonio] is relaxing, there’s an on/off switch.

I ricercatori di sicurezza informatica hanno scoperto un nuovo downloader dannoso, SquidLoader, che si diffonde attraverso campagne di phishing rivolte alle organizzazioni cinesi.

Secondo LevelBlue Labs , che per primo ha rilevato questo codice dannoso alla fine di aprile 2024, SquidLoader utilizza metodi per evitare l’analisi statica e dinamica e, in definitiva, il rilevamento.

Le catene di attacco utilizzano e-mail di phishing con allegati che si mascherano da documenti Microsoft Word ma in realtà sono file binari che attivano l’esecuzione di codice dannoso. Questo codice viene utilizzato per scaricare la seconda fase del malware da un server remoto, incluso Cobalt Strike.

Il ricercatore di sicurezza Fernando Dominguez osserva che i downloader dispongono di sofisticati meccanismi di evasione e di esca che li aiutano a rimanere inosservati e li rendono difficili da analizzare. Lo shellcode fornito viene caricato nello stesso processo per evitare che il malware venga scritto su disco e quindi evitarne il rilevamento.

SquidLoader utilizza varie tecniche di evasione come l’utilizzo di segmenti di codice crittografati, codice spazzatura che rimane inutilizzato, offuscamento del grafico del flusso di controllo (CFG), rilevamento del debugger ed esecuzione di chiamate di sistema dirette invece di chiamate API di Windows NT.

I downloader di malware sono diventati popolari tra gli aggressori che cercano di fornire ed eseguire payload aggiuntivi su dispositivi compromessi, aggirando le protezioni antivirus e altre misure di sicurezza.

L’evoluzione delle minacce informatiche richiede vigilanza e adattamento costanti. Le organizzazioni non dovrebbero solo rafforzare gli aspetti tecnici della protezione, ma anche formare i dipendenti a riconoscere gli attacchi di phishing, poiché anche i sistemi di sicurezza più avanzati possono essere aggirati a causa di un errore umano.

L'articolo Sei distratto online? Ti meriti SquidLoader! proviene da il blog della sicurezza informatica.

Secondo un nuovo rapporto dei ricercatori Symantec, dei gruppi di spionaggio informatico legati alla Cina sono coinvolti in una lunga campagna per hackerare diversi operatori di telecomunicazioni in un paese asiatico a partire dal 2021.

L’azienda non ha specificato quale Paese sia stato attaccato, ma ha precisato che l’attività dannosa consisteva nell’implementazione periodica di backdoor nelle reti delle organizzazioni prese di mira con successivo furto di credenziali.

Gli strumenti utilizzati nella campagna corrispondono a quelli utilizzati negli ultimi anni dai gruppi cinesi di spionaggio informatico come Mustang Panda, RedFoxtrot e Naikon. Questi strumenti includono backdoor appositamente progettati COOLCLIENT, QUICKHEAL e RainyDay, in grado di acquisire dati sensibili e stabilire una comunicazione con un server C2.

Sebbene il metodo esatto di accesso iniziale agli obiettivi non sia ancora noto, questa campagna dannosa si distingue per l’utilizzo di strumenti per scansionare le porte e rubare credenziali scaricando il contenuto del registro di Windows. Il collegamento di tutti questi strumenti con tre diversi gruppi di criminali informatici porta i ricercatori alle seguenti ipotesi mutuamente esclusive:

• gli attacchi vengono effettuati indipendentemente l’uno dall’altro;
• lo stesso aggressore utilizza strumenti acquistati da gruppi diversi;
• diversi gruppi cooperano tra loro all’interno della stessa campagna dannosa.

Anche lo scopo principale delle intrusioni non è chiaro in questa fase, anche se in generale i gruppi cinesi prendono di mira abbastanza spesso il settore delle telecomunicazioni in tutto il mondo. Così, nel novembre 2023, Kaspersky Lab ha identificato una campagna che utilizzava il malware ShadowPad contro una delle società di telecomunicazioni nazionali del Pakistan sfruttando vulnerabilità note in Microsoft Exchange Server.

L’incidente esaminato da Symantec evidenzia la necessità di una vigilanza continua e di un miglioramento della sicurezza informatica nel settore delle telecomunicazioni. La sofisticatezza e la durata degli attacchi dimostrano che le minacce odierne richiedono non solo soluzioni tecniche, ma anche cooperazione internazionale per combattere la criminalità informatica. È importante sviluppare una cultura della sicurezza informatica in cui ogni dipendente comprenda il proprio ruolo nella protezione delle infrastrutture critiche.

L'articolo Campagna di Spionaggio Cinese: Gli Hacker Attaccano le TELCO Asiatiche dal 2021 proviene da il blog della sicurezza informatica.

I Funzionari del Massachusetts hanno affermato che un firewall difettoso di proprietà di Comtech ha causato un’interruzione dei sistemi di chiamata di emergenza in tutto lo stato questa settimana.

Il sito web di Comtech afferma di avere più di 25 anni di esperienza nella tecnologia della sicurezza pubblica e che “i fornitori di servizi, gli stati e i governi locali di tutto il paese fanno affidamento sul suo portafoglio di prodotti e servizi mission-critical”.

Secondo un’indagine preliminare del dipartimento statale dei servizi di emergenza sanitaria e di Comtech, l’interruzione è stata causata da un firewall che per qualche motivo “non consentiva alle chiamate di raggiungere i centri di spedizione dei servizi di emergenza”.

Comtech sottolinea che le interruzioni non sono state il risultato di un attacco di hacker o di un’irruzione, ma afferma che “il motivo esatto per cui il firewall ha impedito alle chiamate di raggiungere i centri di distribuzione non è stato ancora determinato” e l’indagine sull’incidente è ancora in corso.

In totale, le interruzioni delle chiamate di emergenza sono durate circa due ore. Poco dopo l’inizio dell’interruzione, il dipartimento locale dei servizi di emergenza sanitaria ha avvisato le forze dell’ordine e ha emesso un avviso di emergenza ai residenti nello stato, consigliando loro di chiamare direttamente le linee di pubblica sicurezza locali in caso di emergenza.

“Anche se alcune chiamate potrebbero non andare a buon fine, il sistema consente ai centri di spedizione di determinare il numero di telefono del chiamante e di richiamarlo. Non abbiamo ricevuto alcuna segnalazione di emergenze verificatesi durante l’interruzione”, affermano i funzionari statali.

L'articolo Le Chiamate in Emergenza dello stato del Massachusetts bloccate per due ore per un Firewall guasto proviene da il blog della sicurezza informatica.

Nuovo disco per il gruppo italo svizzero degli Houstones, dal titolo "A + C", in uscita per Soppressa Records, Collettivo Dotto e Entes Anomicos. @Musica Agorà

iyezine.com/houstones-a-c

Houstones - A + C

Houstones - A + C - Nuovo disco per il gruppo italo svizzero degli Houstones, dal titolo "A + C", in uscita per Soppressa Records, Collettivo Dotto e Entes Anomicos. - Houstones

^{Massimo Argo (In Your Eyes ezine)}

Way back in 2020, I actually read the proposed US legislation known as EARN IT, and with some controversy, concluded that much of the criticism of that bill was inaccurate. Well what’s old is new again, except this time it’s the European Union that’s wrestling with how to police online Child Sexual Abuse Material (CSAM). And from what I can tell of reading the actual legislation (pdf), this time it really is that bad.

The legislation lays out two primary goals, both of them problematic. The first is detection, or what some are calling “upload moderation”. The technical details are completely omitted here, simply stating that services “… take reasonable measures to mitigate the risk of their services being misused for such abuse …” The implication here is that providers would do some sort of automated scanning to detect illicit text or visuals, but exactly what constitutes “reasonable measures” is left unspecified.

The second goal is the detection order. It’s worth pointing out that interpersonal communication services are explicitly mentioned as required to implement these goals. From the bill:

Providers of hosting services and providers of interpersonal communications services that have received a detection order shall execute it by installing and operating technologies approved by the Commission to detect the dissemination of known or new child sexual abuse material or the solicitation of children…

This bill is careful not to prohibit end-to-end encryption, nor require that such encryption be backdoored. Instead, it requires that the apps themselves be backdoored, to spy on users before encryption happens. No wonder Meredith Whittaker has promised to pull the Signal app out of the EU if it becomes law. As this scanning is done prior to encryption, it’s technically not breaking end-to-end encryption.

You may wonder why that’s such a big deal. Why is it a non-negotiable for the Signal app to not look for CSAM in messages prior to encryption? For starters, it’s a violation of user trust and an intentional weakening of the security of the Signal system. But maybe most importantly, it puts a mechanism in place that will undoubtedly prove too tempting for future governments. If Signal can be forced into looking for CSAM in the EU, why not anti-government speech in China?

This story is ongoing, with the latest news that the EU has delayed the next step in attempting to ratify the proposal. It’s great news, but the future is still uncertain. For more background and analysis, see our conversation with the minds behind Matrix, on this very topic:

youtube.com/embed/00Dg0vRc2Zg?…

Bounty or Extortion?

A bit of drama played out over Twitter this week. The Kraken cryptography exchange had a problem where a deposit could be interrupted, and funds added to the Kraken account without actually transferring funds to back the deposit. A security research group, which turned out to be the CertiK company, discovered and disclosed the flaw via email.

Kraken Security Update:

On June 9 2024, we received a Bug Bounty program alert from a security researcher. No specifics were initially disclosed, but their email claimed to find an “extremely critical” bug that allowed them to artificially inflate their balance on our platform.

— Nick Percoco (@c7five) June 19, 2024

All seemed well, and the Kraken team managed to roll a hotfix out in an impressive 47 minutes. But things got weird when they cross referenced the flaw to see if anyone had exploited it. Three accounts had used it to duplicate money. The first use was for all of four dollars, which is consistent with doing legitimate research. But additionally, there were more instances from two other users, totaling close to $3 million in faked transfers — not to mention transfers of *real* money back out of those accounts. Kraken asked for the details and the money back.

According to the Kraken account, the researchers refused, and instead wanted to arrange a call with their “business development team”. The implication is that the transferred money was serving as a bargaining chip to request a higher bug bounty payout. According to Kraken, that’s extortion.

There is a second side to this story, of course. CertiK has a response on their x.com account where they claim to have wanted to return the transferred money, but they were just testing Kraken’s risk control system. There are things about this story that seem odd. At the very least, it’s unwise to transfer stolen currency in this way. At worst, this was an attempt at real theft that was thwarted. The end result is that the funds were eventually completed.

There are two fundamental problems with vuln disclosure/bounty:
#1 companies think security researchers are trying to extort them when they are not
#2 security researchers trying to extort companies t.co/I7vnk3oXi5

— Robert Graham 𝕏 (@ErrataRob) June 20, 2024

Report Bug, Get Nastygram

For the other side of the coin, [Lemon] found a trivial flaw in a traffic controller system. After turning it in, he was rewarded with an odd letter that was a combination of “thank you” and your work “may have constituted a violation of the Computer Fraud and Abuse Act”. This is not how you respond to responsible disclosure.

I received my first cease and desist for responsibly disclosing a critical vulnerability that gives a remote unauthenticated attacker full access to modify a traffic controller and change stoplights. Does this make me a Security Researcher now? pic.twitter.com/ftW35DxqeF

— Lemon (@Lemonitup) June 18, 2024

Emoji Malware

We don’t talk much about malware in South Asia, but this is an interesting one. DISGOMOJI is a malware attributed to a Pakistani group, mainly targeting government Linux machines in India. What really makes it notable is that the command and control system uses emoji in Discord channels. The camera emoji instructs the malware to take a screenshot. A fox triggers a hoovering of the Firefox profiles, and so on. Cute!

Using Roundcube to break PHP

This is a slow moving vulnerability, giving that the core is a 24-year old buffer overflow in iconv() in glibc. [Charles Fol] found this issue, which can pop up when using iconv() to convert to the ISO-2022-CN-EXT character set, and has been working on how to actually trigger the bug in a useful way. Enter PHP. OK, that’s not entirely accurate, since the crash was originally found in PHP. It’s more like we’re giving up on finding something else, and going back to PHP.

The core vulnerability can only overwrite one, two, or three bytes past the end of a buffer. To make use of that, the PHP bucket structure can be used. This is a growable doubly-linked list that is used for data handling. Chunked HTTP messages can be used to build a multi-bucket structure, and triggering the iconv() flaw overwrites one of the pointers in that structure. Bumping that pointer by a few bytes lands in attacker controlled data, which can land in a fake data structure, and continuing the dechunking procedure gives us an arbitrary memory write. At that point, a function pointer just has to be pointed at system() for code execution.

That’s a great theoretical attack chain, but actually getting there in the wild is less straightforward. There has been a notable web application identified that is vulnerable: Roundcube. Upon sending an email, the user can specify the addresses, as well as the character set parameter. Roundcube makes an iconv() call, triggering the core vulnerability. And thus an authenticated user has a path to remote code execution.

Bits and Bytes

Speaking of email, do you know the characters that are allowed in an email address? Did you know that the local user part of an email address can be a quoted string, with many special characters allowed? I wonder if every mail server and email security device realized that quirk? Apparently not, at least in the case of MailCleaner, which had a set of flaws allowing such an email to lead to full appliance takeover. Keep an eye out for other devices and applications to fall to this same quirk.

Nextcloud has a pair of vulnerabilities to pay attention to, with the first being an issue where a user with read and share permissions to an object could reshare it with additional permissions. The second is more troubling, giving an attacker a potential method to bypass a two-factor authentication requirement. Fixes are available.

Pointed out by [Herr Brain] on Hackaday’s Discord, we have a bit of bad news about the Arm Memory Tagging Extensions (MTE) security feature. Namely, speculative execution can reveal the needed MTE tags about 95% of the time. While this is significant, there is a bit of chicken-and-egg problem for attackers, as MTE is primarily useful to prevent running arbitrary code at all, which is the most straightforward way to achieve a speculative attack to start with.

And finally, over at Google Project Zero, [Seth Jenkins] has a report on a trio of Android devices, and finding vulnerabilities in their respective kernel drivers. In each case, the vulnerable drivers can be accessed from unprivileged applications. [Seth]’s opinion is that as the Android core code gets tighter and more secure, these third-party drivers of potentially questionable code quality will quickly become the target of choice for attack.

While EV charging isn’t that tedious with a cable, for quick trips, being able to just park and have your car automatically charge would be more convenient. Researchers from Oak Ridge National Lab (ORNL) and VW have moved high-speed wireless EV charging one step closer to reality.

We’ve seen fast wireless EV chargers before, but what sets this system apart is the coil size (~0.2 m2 vs 2.0 m2) and the fact it was demonstrated on a functioning EV where previous attempts have been on the bench. According to the researchers, this was the first wireless transfer to a light duty vehicle at 270 kW. Industry standards currently only cover systems up to 20 kW.

The system uses a pair of polyphase electromagnetic coupling coils about 50 cm (19″) wide to transfer the power over a gap of approximately 13 cm (5″). Efficiency is stated at 95%, and that 270 kW would get most EVs capable of those charge rates a 50% bump in charge over ten minutes (assuming you’re in the lower part of your battery capacity where full speeds are available).

We’ve seen some in-road prototypes of wireless charging as well as some other interesting en route chargers like pantographs and slot car roads. We’ve got you covered if you’re wondering what the deal is with all those different plugs that EVs have too.

youtube.com/embed/AQxxyDUzoZI?…

Welcome to Euractiv’s Tech Brief, your weekly update on all things digital in the EU.

euractiv.com/section/digital/n…