On the face of it, harnessing wind power to heat your house seems easy. In fact some of you might be doing it already, assuming you’ve got a wind farm somewhere on your local grid and you have an electric heat pump or — shudder — resistive heaters. But what if you want to skip the middleman and draw heat directly from the wind? In that case, wind-powered induction heating might be just what you need.

Granted, [Tim] from the Way Out West Blog is a long way from heating his home with a windmill. Last we checked, he didn’t even have a windmill built yet; this project is still very much in the experimental phase. But it pays to think ahead, and with goals of simplicity and affordability in mind, [Tim] built a prototype mechanical induction heater. His design is conceptually similar to an induction cooktop, where alternating magnetic fields create eddy currents that heat metal cookware. But rather than using alternating currents through large inductors, [Tim] put 40 neodymium magnets with alternating polarity around the circumference of a large MDF disk. When driven by a drill press via some of the sketchiest pullies we’ve seen, the magnets create a rapidly flipping magnetic field. To test this setup, [Tim] used a scrap of copper pipe with a bit of water inside. Holding it over the magnets as they whiz by rapidly heats the water; when driven at 1,000 rpm, the water boiled in about 90 seconds. Check it out in the video below.

It’s a proof of concept only, of course, but this experiment shows that a spinning disc of magnets can create heat directly. Optimizing this should prove interesting. One thing we’d suggest is switching from a disc to a cylinder with magnets placed in a Halbach array to direct as much of the magnetic field into the interior as possible, with coils of copper tubing placed there.

youtube.com/embed/mEo0l5mDbOE?…

Londra, 25 giugno 2024 – Julian Assange, il fondatore di WikiLeaks, è stato liberato ieri dal carcere di massima sicurezza di Belmarsh, dopo aver trascorso 1901 giorni in detenzione. La notizia è stata comunicata dall’organizzazione WikiLeaks attraverso il social media X, confermando che Assange ha accettato un accordo con la giustizia americana per dichiararsi colpevole di un reato minore legato alla pubblicazione di documenti top secret, evitando così l’estradizione e permettendogli di tornare in Australia.

La liberazione di Assange è stata resa possibile grazie a una decisione dell’Alta Corte di Londra che ha concesso la libertà su cauzione. Nel pomeriggio di ieri, Assange è stato rilasciato presso l’aeroporto di Stansted, da dove ha preso un volo lasciando definitivamente il Regno Unito.

“Questo è il risultato di una campagna globale che ha coinvolto organizzatori di base, attivisti per la libertà di stampa, legislatori e leader di tutto lo spettro politico, fino alle Nazioni Unite”, ha dichiarato WikiLeaks su X.

La campagna per la liberazione di Assange ha visto la partecipazione di un vasto numero di sostenitori che hanno spinto per il suo rilascio e per la protezione della libertà di stampa.

Dopo lunghe trattative con il Dipartimento della giustizia degli Stati Uniti, è stato trovato un accordo preliminare che ha permesso di risolvere la situazione legale di Assange. L’accordo, ancora da formalizzare completamente, prevede che Assange si dichiari colpevole di un reato minore, evitandogli così una condanna che poteva arrivare fino a 175 anni di carcere.

La detenzione di Assange è stata segnata da condizioni estremamente dure. Ha trascorso più di cinque anni in una cella di 2×3 metri, in isolamento per 23 ore al giorno. La sua salute e il benessere psicologico sono stati al centro delle preoccupazioni dei suoi sostenitori e di varie organizzazioni internazionali.

WikiLeaks ha sottolineato come Assange presto si riunirà alla moglie Stella e ai loro figli. “Dopo più di cinque anni, finalmente potrà riabbracciare la sua famiglia, che ha conosciuto il padre solo dietro le sbarre”, ha aggiunto l’organizzazione.

La liberazione di Julian Assange segna un capitolo importante nella lunga battaglia legale e politica che lo ha visto protagonista. La sua vicenda ha sollevato dibattiti globali sulla libertà di stampa, la trasparenza governativa e i diritti umani, questioni che continueranno a essere discusse nei prossimi anni.

Assange è stato al centro di una controversia internazionale sin dalla fondazione di WikiLeaks nel 2006. L’organizzazione ha pubblicato una serie di documenti riservati che hanno messo in imbarazzo vari governi e istituzioni. Tra le rivelazioni più esplosive si ricordano i diari di guerra dell’Afghanistan e dell’Iraq, e i cablogrammi diplomatici statunitensi, che hanno esposto la politica estera americana e provocato reazioni in tutto il mondo.

La figura di Assange ha polarizzato l’opinione pubblica. I suoi sostenitori lo vedono come un eroe della libertà di informazione e un difensore della trasparenza, mentre i suoi detrattori lo accusano di aver messo a rischio vite umane e la sicurezza nazionale. La sua prolungata detenzione a Belmarsh ha attirato critiche da parte di gruppi per i diritti umani, che hanno denunciato le condizioni carcerarie come disumane.

L’accordo con la giustizia americana rappresenta un compromesso controverso, ma necessario per Assange e i suoi sostenitori. Molti vedono questa soluzione come un passo verso la chiusura di una saga giudiziaria che ha avuto un impatto significativo sul giornalismo investigativo e sulla protezione delle fonti.

Il ritorno di Assange in Australia segna l’inizio di un nuovo capitolo della sua vita. Rimane da vedere quale sarà il suo ruolo futuro in WikiLeaks e se continuerà a essere una voce influente nel panorama della libertà di stampa. Una cosa è certa: la sua storia ha già lasciato un segno indelebile nella storia moderna della libertà di informazione.

L'articolo Julian Assange: La Libertà Riconquistata Dopo Cinque Anni di Detenzione proviene da il blog della sicurezza informatica.

Nel giugno 2024, Stockmann Group, meglio conosciuto come Lindex Group, ha subito una significativa violazione dei dati. L’incidente è avvenuto quando il Gitlab interno dell’azienda è stato compromesso a causa di una cattiva gestione delle credenziali da parte degli sviluppatori, i quali le avevano memorizzate nel loro spazio di lavoro Jira.

I dati compromessi includono il codice sorgente di vari progetti dell’azienda, esponendo potenzialmente informazioni sensibili e proprietà intellettuale.

IntelBroker Rivendica la Responsabilità

La presunta violazione è stata rivendicata da un gruppo noto come IntelBroker. Questo gruppo ha dichiarato di aver effettuato attacchi simili contro altre grandi aziende tecnologiche, tra cui Apple, AMD e T-Mobile. Sebbene queste affermazioni non siano state confermate in modo indipendente, il nome di IntelBroker è associato a diversi attacchi cibernetici di alto profilo nel passato recente.

Il post di IntelBroker è apparso su un noto forum del dark web, BreachForums, il 23 giugno 2024. Nel post, il gruppo ha annunciato la diffusione del codice sorgente del Lindex Group, mettendo a disposizione dei membri del forum i dettagli dell’attacco e i file compromessi. Nella stessa pubblicazione, IntelBroker ha ringraziato i membri del forum per il loro interesse e ha offerto la possibilità di scaricare il codice sorgente compromesso.

Implicazioni per la Sicurezza

Questa violazione evidenzia l’importanza critica della gestione sicura delle credenziali e delle pratiche di sicurezza informatica robusta. La memorizzazione di credenziali in spazi di lavoro condivisi, come Jira, rappresenta un rischio significativo che può essere facilmente sfruttato da attori malintenzionati.

Risposta di Lindex Group

Al momento non ci sono dichiarazioni ufficiali da parte del Lindex Group riguardo all’incidente. L’azienda è attualmente impegnata a rispondere all’attacco e a collaborare con le autorità competenti per indagare sull’accaduto e prevenire futuri attacchi.

Conclusioni

L’incidente che ha colpito il Lindex Group serve come monito per tutte le aziende sull’importanza della sicurezza informatica e della gestione sicura delle credenziali. Mentre il mondo diventa sempre più digitale, le minacce informatiche continuano a evolversi, rendendo essenziale per le organizzazioni adottare misure proattive per proteggere i propri dati.

Il Lindex Group, come molte altre aziende prima di esso, sta affrontando una sfida significativa, ma una risposta rapida e il miglioramento delle misure di sicurezza rappresentano un passo nella giusta direzione per proteggere i loro sistemi e le loro informazioni sensibili in futuro.

L'articolo IntelBroker rivendica un attacco alla Lindex Group: Compromesso il Codice Sorgente proviene da il blog della sicurezza informatica.

Il Broken Access Control è la principale vulnerabilità nella sicurezza delle applicazioni web secondo l’OWASP Top 10 del 2021. Questa vulnerabilità si verifica quando le restrizioni su quali utenti possono vedere o usare le risorse non sono correttamente applicate, rendendo possibile a malintenzionati accedere, modificare, o distruggere dati a cui non dovrebbero avere accesso. Questo tipo di controllo è fondamentale per garantire che solo utenti autorizzati possano accedere a determinate funzioni o dati sensibili.

Un esempio comune di Broken Access Control è la manipolazione di metadati come un JSON Web Token (JWT) o i cookie per elevare i privilegi dell’utente. Queste manipolazioni possono consentire l’accesso non autorizzato a dati o funzionalità critiche. Configurazioni scorrette di CORS possono permettere accessi API da origini non autorizzate, esponendo ulteriormente le applicazioni a rischi di sicurezza.

Per prevenire il Broken Access Control, è essenziale adottare strategie di mitigazione come il principio del deny by default, che nega l’accesso a tutto se non specificamente consentito. È anche importante disabilitare la lista delle directory del server web e assicurarsi che i file metadati e di backup non siano presenti nelle root del web. Monitorare e limitare i fallimenti nei controlli di accesso può aiutare a minimizzare il danno causato dagli attacchi automatizzati.

In poche parole:

• Il Broken Access Control è la principale vulnerabilità nella sicurezza delle applicazioni web.
• Manipolazioni di JWT e configurazioni scorrette di CORS sono esempi comuni di abuso.
• Strategie di mitigazione includono deny by default e monitoraggio dei controlli di accesso.

Comprensione del Broken Access Control

Definizione e Significato

Il Broken Access Control si verifica quando un’applicazione non gestisce correttamente le autorizzazioni degli utenti. Ciò può permettere a utenti non autorizzati di accedere a funzionalità o dati riservati. Questo sbaglio può verificarsi in diversi modi, tra cui la manipolazione dei metadati come JSON Web Token (JWT), la modifica degli URL, e l’uso improprio delle configurazioni CORS.

Ad esempio, un utente malevolo potrebbe manipolare un cookie o un campo nascosto per elevare i suoi privilegi. Le applicazioni devono implementare controlli di accesso rigorosi per prevenire tale abuso.

Rilevazione e Identificazione di Vulnerabilità

Rilevare le vulnerabilità di broken access control richiede un’analisi approfondita. Gli strumenti di test automatizzati possono essere utili, ma verifiche manuali da parte di esperti di sicurezza sono spesso necessarie. Controllare le autorizzazioni dopo l’autenticazione è cruciale per garantire che solo gli utenti autorizzati possano accedere a certe funzioni.

Analisti della sicurezza cercano segnali di manipolazione dei parametri, modifiche degli URL, e accessi non autorizzati tramite richieste API. Questi test devono coprire tutti i metodi HTTP, inclusi POST, PUT e DELETE, per identificare correttamente i potenziali punti deboli.

Esempi Comuni

Un esempio comune di broken access control è il bypass dei controlli di accesso tramite manipolazione dell’URL. Un utente potrebbe cambiare l’ID in un URL per accedere a informazioni che non dovrebbe vedere. In siti mal configurati, la mancata verifica sui permessi degli utenti permette a chiunque di modificare o eliminare dati sensibili.

Un’altra pratica pericolosa è la configurazione errata di CORS, che permette accessi API da origini non autorizzate. Questo scenario può esporre dati critici a terzi non attendibili. Implementare politiche di sicurezza robuste è essenziale per proteggere le applicazioni contro tali minacce.

Nel complesso, prevenire il broken access control richiede una combinazione di controlli di sicurezza stretti e una verifica continua delle autorizzazioni utente.

Impatto ed abuso del controll degli accessi

Conseguenze di Accesso Non Autorizzato

L’accesso non autorizzato a informazioni sensibili può causare furto di dati. Quando gli attaccanti ottengono dati personali o aziendali, possono utilizzarli per scopi malevoli, come il furto di identità o il ricatto.

Perdita di fiducia è un’altra conseguenza. Se i clienti scoprono che i loro dati non sono sicuri, possono decidere di non utilizzare più il servizio. Questo può portare a una perdita significativa per l’azienda.

La compromissione della sicurezza delle applicazioni può anche portare a ulteriori exploit da altri attaccanti, aumentando il rischio complessivo per l’organizzazione.

Metodi di Sfruttamento

Gli attaccanti utilizzano vari metodi per abusare del controllo di accesso. Un metodo comune è modificare l’URL o i parametri per bypassare i controlli di accesso. Questo può essere realizzato facilmente attraverso la manipolazione diretta dell’URL nel browser.

Un altro metodo è l’uso di strumenti di attacco API. Gli attaccanti possono inviare richieste con metodi HTTP come POST, PUT e DELETE senza le corrette verifiche di autorizzazione. Questo permette loro di eseguire azioni privilegiate senza autorizzazione.

Modifiche allo stato dell’applicazione sono utilizzate per aggirare i controlli di accesso interni, permettendo agli attaccanti di ottenere accesso non autorizzato.

Casi noti

Uno studio di caso noto è l’attacco a un’applicazione bancaria che ha condotto a una violazione dei dati. Gli attaccanti sono stati in grado di modificare i parametri dell’URL, accedendo ai conti bancari di altri utenti e trasferendo denaro senza autorizzazione.

Un’altra situazione riguarda un’applicazione di e-commerce. Gli attaccanti hanno usato strumenti di attacco API per modificare ordini e prezzi, causando perdite finanziarie all’azienda.

Un esempio comune è anche l’accesso non autorizzato a sistemi aziendali interni, dove gli attaccanti compromettono le credenziali e accedono a documenti riservati, mettendo a rischio la sicurezza dell’intera organizzazione.

Strategie di Mitigazione e Principi Fondamentali

Per affrontare il problema del Broken Access Control, è essenziale implementare strategie di mitigazione efficaci che comprendano i principi di sicurezza del controllo di accesso, le migliori pratiche di sviluppo e implementazione, e l’uso di strumenti e tecniche di test.

Principi di Sicurezza del Controllo di Accesso

Nel controllo di accesso, il principio del minimum privilege richiede che gli utenti abbiano solo i permessi necessari per svolgere le loro attività. Questo riduce i rischi se vengono compromessi.

La politica deny by default implica che gli accessi siano vietati, a meno che non siano esplicitamente consentiti. Ogni accesso deve essere verificato e approvato.

Le liste di controllo degli accessi (ACL) e i modelli di controllo di accesso come il Role-Based Access Control (RBAC), sono utili per segmentare i permessi in modo accurato e gestibile, garantendo che solo utenti specifici possano accedere a risorse particolari.

Esempio pratico di Broken Access Control

Immaginiamo di avere una piccola applicazione web dove ci sono due pagine principali: una pagina utente normale e una pagina di amministrazione. La pagina di amministrazione dovrebbe essere accessibile solo agli amministratori, ma a causa di un errore di controllo degli accessi, qualsiasi utente autenticato può accedervi.

Esempio di codice

1. Applicazione Web con Flask (Python)

pythonCopy codefrom flask import Flask, request, redirect, url_for, render_template, session

app = Flask(__name__)
app.secret_key = 'supersecretkey'

# Simuliamo un database di utenti
users = {
'admin': {'password': 'adminpass', 'role': 'admin'},
'user1': {'password': 'user1pass', 'role': 'user'}
}

@app.route('/')
def home():
if 'username' in session:
return f"Ciao {session['username']}!Vai alla pagina di amministrazioneLogout"
return "Ciao! Login"

@app.route('/login', methods=['GET', 'POST'])
def login():
if request.method == 'POST':
username = request.form['username']
password = request.form['password']
if username in users and users[username]['password'] == password:
session['username'] = username
session['role'] = users[username]['role']
return redirect(url_for('home'))
return 'Credenziali non valide'
return render_template('login.html')

@app.route('/admin')
def admin():
# Problema di Broken Access Control: non controlliamo se l'utente è un admin
if 'username' in session:
return f"Pagina di Amministrazione - Solo per admin.Ciao {session['username']}!Logout"
return redirect(url_for('login'))

@app.route('/logout')
def logout():
session.pop('username', None)
session.pop('role', None)
return redirect(url_for('home'))

if __name__ == '__main__':
app.run(debug=True)

1. Pagina di login (login.html)

htmlCopy code

Login

Username:

Password:

Descrizione del problema

Il problema qui è che chiunque si logga può accedere alla pagina /admin, anche se non è un amministratore. Non c’è nessun controllo per verificare se l’utente ha il ruolo di admin.

Come risolvere il problema

Per risolvere il problema di Broken Access Control, dobbiamo aggiungere un controllo nella funzione [b]admin[/b] per assicurarci che solo gli amministratori possano accedere a quella pagina:
pythonCopy code@app.route('/admin')
def admin():
if 'username' in session and session.get('role') == 'admin':
return f"Pagina di Amministrazione - Solo per admin.Ciao {session['username']}!Logout"
return redirect(url_for('login'))

Dettagli tecnici

1. Controllo della sessione: La funzione admin verifica se c’è una sessione attiva controllando 'username' in session.
2. Verifica del ruolo: La funzione aggiunge una condizione per verificare se il ruolo dell’utente (session.get('role')) è 'admin'. Solo se entrambe le condizioni sono vere, l’utente può accedere alla pagina di amministrazione.

Questa modifica garantisce che solo gli utenti con il ruolo di amministratore possano accedere alla pagina di amministrazione, risolvendo così il problema di Broken Access Control.

Migliori Pratiche di Sviluppo e Implementazione

Durante lo sviluppo, è essenziale riutilizzare i meccanismi di controllo di accesso standardizzati in tutta l’applicazione, invece di crearli separatamente per ogni funzionalità. Questo riduce la possibilità di errori.

Implementare modelli di controllo che rafforzano la proprietà dei record, assicurando che solo i proprietari possano eseguire azioni complesse sui propri dati. Inserire session handling efficace, invalidando sessioni al logout.

Il rate limiting sugli accessi ai controlli API è un’altra strategia per limitare i danni causati da attacchi automatizzati, come menzionato su OWASP.

Strumenti e Tecniche di Test

Il codice deve essere sottoposto a revisione frequente per rilevare eventuali vulnerabilità nel controllo di accesso. Il OWASP Testing Guide fornisce linee guida dettagliate su come condurre questi test.

Usare strumenti di test automatici aiuta a identificare punti deboli e garantisce che i controlli di accesso siano correttamente implementati. Per esempio, strumenti come Burp Suite e OWASP ZAP sono molto apprezzati per testare le vulnerabilità di sicurezza.

P

Codice di esempio di Broken Access Control

Immagina di avere una piccola applicazione web dove ci sono due pagine principali: una pagina utente normale e una pagina di amministrazione. La pagina di amministrazione dovrebbe essere accessibile solo agli amministratori, ma a causa di un errore di controllo degli accessi, qualsiasi utente autenticato può accedervi.

Esempio di codice

1. Applicazione Web con Flask (Python)

pythonCopy codefrom flask import Flask, request, redirect, url_for, render_template, session

app = Flask(__name__)
app.secret_key = 'supersecretkey'

# Simuliamo un database di utenti
users = {
'admin': {'password': 'adminpass', 'role': 'admin'},
'user1': {'password': 'user1pass', 'role': 'user'}
}

@app.route('/')
def home():
if 'username' in session:
return f"Ciao {session['username']}!Vai alla pagina di amministrazioneLogout"
return "Ciao! Login"

@app.route('/login', methods=['GET', 'POST'])
def login():
if request.method == 'POST':
username = request.form['username']
password = request.form['password']
if username in users and users[username]['password'] == password:
session['username'] = username
session['role'] = users[username]['role']
return redirect(url_for('home'))
return 'Credenziali non valide'
return render_template('login.html')

@app.route('/admin')
def admin():
# Problema di Broken Access Control: non controlliamo se l'utente è un admin
if 'username' in session:
return f"Pagina di Amministrazione - Solo per admin.Ciao {session['username']}!Logout"
return redirect(url_for('login'))

@app.route('/logout')
def logout():
session.pop('username', None)
session.pop('role', None)
return redirect(url_for('home'))

if __name__ == '__main__':
app.run(debug=True)

1. Pagina di login (login.html)

htmlCopy code

Login

Username:

Password:

Descrizione del problema

Il problema qui è che chiunque si logga può accedere alla pagina /admin, anche se non è un amministratore. Non c’è nessun controllo per verificare se l’utente ha il ruolo di admin.

Come risolvere il problema

Per risolvere il problema di Broken Access Control, dobbiamo aggiungere un controllo nella funzione admin per assicurarci che solo gli amministratori possano accedere a quella pagina:
pythonCopy code@app.route('/admin')
def admin():
if 'username' in session and session.get('role') == 'admin':
return f"Pagina di Amministrazione - Solo per admin.Ciao {session['username']}!Logout"
return redirect(url_for('login'))

Dettagli tecnici

1. Controllo della sessione: La funzione admin verifica se c’è una sessione attiva controllando 'username' in session.
2. Verifica del ruolo: La funzione aggiunge una condizione per verificare se il ruolo dell’utente (session.get('role')) è 'admin'. Solo se entrambe le condizioni sono vere, l’utente può accedere alla pagina di amministrazione.

Questa modifica garantisce che solo gli utenti con il ruolo di amministratore possano accedere alla pagina di amministrazione, risolvendo così il problema di Broken Access Control.

Penetratio tests periodici sono cruciali per simulare attacchi reali e vedere come il sistema resiste agli stessi. Questi test devono essere eseguiti da esperti per massimizzare la loro efficacia.

L'articolo A01 OWASP Broken Access Control: Sicurezza e Gestione degli Accessi proviene da il blog della sicurezza informatica.

Most one-handed keyboards rely on modifier keys or chording (pressing multiple keys in patterns) to stretch the functionality of a single hand’s worth of buttons. [Dylan Turner]’s PS-OHK takes an entirely different approach, instead putting 75 individual keys within reach of a single hand, with a layout designed to be practical as well as easy to get used to.
We can’t help but notice Backspace isn’t obvious in the prototype, but it’s also a work in progress.
The main use case of the PS-OHK is for one hand to comfortably rest at the keyboard while the other hand manipulates a mouse in equal comfort. There is a full complement of familiar special keys (Home, End, Insert, Delete, PgUp, PgDn) as well as function keys F1 to F12 which helps keep things familiar.

As for the rest of the layout, we like the way that [Dylan] clearly aimed to maintain some of the spatial relationship of “landmark” keys such as ESC, which is positioned at the top-left corner of its group. Similarly, arrow keys are grouped together in the expected pattern.

One-handed keyboards usually rely on modifier keys or multi-key chording and it’s interesting to see work put into a different approach that doesn’t require memorizing strange layouts or input patterns.

Want to make your own? The GitHub repository has everything you need. Accommodating the 75 physical keys requires a large PCB, but it’s a fairly straightforward shape and doesn’t have any oddball manufacturing requirements, which means getting it made should be a snap.

Art.595 c.p.: Chiunque, fuori dei casi indicati nell'articolo precedente, comunicando con più persone, offende l'altrui reputazione, è punito con la reclusione fino a un anno o con la multa fino a milletrentadue euro.

Se l'offesa consiste nell'attribuzione di un fatto determinato, la pena è della reclusione fino a due anni, ovvero della multa fino a duemilasessantacinque euro.

Se l'offesa è recata col mezzo della stampa o con qualsiasi altro mezzo di pubblicità, ovvero in atto pubblico, la pena è della reclusione da sei mesi a tre anni o della multa non inferiore a cinquecentosedici euro.

Se l'offesa è recata a un Corpo politico, amministrativo o giudiziario, o ad una sua rappresentanza, o ad una Autorità costituita in collegio, le pene sono aumentate.

Il contenuto della norma

La diffamazione perpetrata attraverso l’uso della rete, fenomeno assai diffuso, non ha portato ad un intervento specifico del legislatore, operando in tal caso l’ipotesi aggravata prevista dal III comma dell’art. 595 c.p., che prevede la punizione della diffamazione realizzata non solo col mezzo della stampa, ma anche quella posta in essere “con qualsiasi altro mezzo di pubblicità”, all’interno del quale rientrerebbe, appunto, lo strumento telematico.

Trattandosi di una norma non pensata per condotte realizzate in rete, la giurisprudenza è più volte intervenuta per delimitarne l’ambito di applicazione ed i suoi esatti confini.

I quotidiani e le testate on line hanno natura del tutto assimilabile a quella dell’informazione su carta stampata e ,quindi, ad essi si applicano le regole relative alla diffamazione a mezzo stampa.

Tema differente è quello relativo alla responsabilità del direttore ai sensi dell’art.57 c.p., norma che configura una responsabilità a carico del direttore responsabile della testata giornalistica il quale,titolare di una posizione di preminenza organizzativa e gerarchica nell’ambito della redazione,non eserciti il doveroso controllo al fine di impedire che mediante lo strumento editoriale da lui diretto vengano commessi reati. In un primo momento la giurisprudenza ha escluso ogni assimilazione del direttore della testata on line a quello dell’equivalente mezzo di informazione cartaceo, fondando tale conclusione,in via principale, sull’osservanza del principio costituzionale di stretta legalità di cui all’art.25,comma 2,Cost. e del conseguente divieto di analogia in malam partem, affermando che nell’on line mancherebbero i requisiti della stampa come definita dall’art.1 legge 8 febbraio 1948,n.47, secondo il quale essa coincide con >. Successivamente la giurisprudenza, data alla nozione di “stampa”una interpretazione idonea a ricomprendere tutti i giornali, siano essi cartacei o telematici, ha riconosciuto alle testate giornalistiche telematiche non solo le garanzie costituzionali in materia di sequestro, ma anche l’intera disciplina prevista per gli stampati,comprese tutte le fattispecie incriminatrici e tra esse quella relativa alla responsabilità del direttore per omesso controllo prevista dall’art.57 c.p.

Per quanto riguarda gli Internet Service Provider (ISP), è evidente che essi debbano rispondere per le violazioni commesse direttamente, come nel caso di un content provider che fornisce personalmente contenuti. Al contrario, è più complesso stabilire la responsabilità dell’ISP per le violazioni commesse da altri utilizzando le infrastrutture di comunicazione. Il quadro normativo pertinente si trova nel decreto legislativo n. 70/2003, emanato per attuare la Direttiva Europea sul commercio elettronico 2000/31/CE, focalizzata sugli aspetti legali della società dell’informazione nel mercato interno, con particolare attenzione al commercio elettronico.

L’articolo 7 di tale decreto definisce gli ISP come “fornitori di servizi in internet”, mentre l’articolo 2 chiarisce che i servizi della società dell’informazione comprendono attività economiche online e servizi indicati dalla legge n. 317/1986, articolo 1, comma 1, lettera b, cioè servizi a pagamento erogati a distanza, elettronicamente e su richiesta individuale del destinatario dei servizi. Tra questi servizi vi sono, a titolo esemplificativo, l’accesso a Internet e la fornitura di caselle di posta elettronica.

Tuttavia, ciò che risulta particolarmente rilevante è quanto stabilito dall’articolo 15 della suddetta direttiva 2000/31/CE e, di conseguenza, dall’articolo 17 del decreto legislativo 70/2003. In base a questi articoli, negli Stati membri non è imposto agli ISP un obbligo generale di sorveglianza preventiva sulle informazioni trasmesse o memorizzate, né un obbligo di ricerca attiva di condotte presumibilmente illecite.

Non è possibile, inoltre, dedurre una responsabilità penale da fonti diverse. In primo luogo, l’articolo 57 del codice penale è concepito per soggetti completamente diversi e solo in materia di stampa, quindi applicarlo agli ISP sarebbe un’analogia evidente e vietata. In secondo luogo, obblighi simili non sembrano derivare dalle norme sulla protezione dei dati personali, che coprono comportamenti molto diversi rispetto alle diffamazioni.

La situazione è invece diversa e più complessa per gli hosting providers. Questi sono obbligati a segnalare prontamente alle autorità competenti le violazioni rilevate e a condividere ogni informazione utile per identificare l’autore della violazione. Se tali soggetti non collaborano con le autorità, potrebbero essere considerati civilmente responsabili dei danni causati. Questa forma di responsabilità successiva dell’ISP trova fondamento nell’articolo 14, comma 1, lettera b) della direttiva sopracitata e nell’articolo 16 del decreto legislativo 70/2003. Gli hosting provider sarebbero responsabili solo se sono effettivamente a conoscenza della presenza di contenuti illeciti sui loro server e non li rimuovono nonostante ciò.

Dal punto di vista penale, si potrebbe ipotizzare una responsabilità dell’ISP per concorso omissivo nel reato commesso dall’utente.

In via generale,la giurisprudenza,prima di merito e poi di legittimità, ha ritenuto che alla diffamazione commessa tramite Facebook o altro social, sia applicabile l’aggravante dell’art.595,comma 3,c.p., nella parte in cui fa riferimento agli >differenti dalla stampa. Tale orientamento è stato dapprima contrastato dalla giurisprudenza di merito, secondo la quale la pubblicazione sulla pagina social dell’utente può essere visionata soltanto attraverso l’abilitazione all’accesso,costituita dalla c.d. “amicizia” : ciò le conferirebbe la natura di comunicazione privata con destinatari selezionati e,conseguentemente, configurerebbe una ipotesi di diffamazione non aggravata dall’uso di un mezzo di pubblicità.

E’prevalso,tuttavia, l’orientamento opposto,in base al quale, ancorché limitata ad un ambito di utenti selezionato,la pubblicazione sul profilo Facebook realizzerebbe comunque la pubblicità richiesta al fine di integrare la circostanza aggravante.

In relazione al like apposto su un contenuto denigratorio,invece, non vi sono ad oggi precedenti giurisprudenziali anche se di recente è stato disposto un rinvio a giudizio per diffamazione in un caso di apposizione di un like a un post denigratorio di un Sindaco e di alcuni dipendenti comunali.

Su questo tema, da un lato, vi è chi rileva la possibilità di sostenere la sussistenza del concorso nel delitto di diffamazione, ritenendo che attraverso il like si manifesta un’ adesione piena al contenuto e, dal punto di vista tecnico, si contribuisce a determinare una sua maggiore visibilità. Dall’altro, c’è chi osserva come il like venga nella realtà digitale apposto sovente in modo disinvolto, automatico, senza essere preceduto da un’effettiva riflessione e, quindi, non sintomatico di una piena adesione al contenuto.

Considerato che sempre più spesso nei social si registrano commenti e comportamenti troppo disinvolti, il che richiederebbe un maggior senso di responsabilità da parte di tutti, ed essendo pacifico che sul piano astratto anche un like potrebbe condurre ad una configurabilità di un concorso nel delitto di diffamazione, rimane assai difficile, sul piano eminentemente probatorio, dimostrare esclusivamente attraverso lo stesso il dolo richiesto dall’art.595 c.p. , essendo più agevole provare l’automaticità con la quale in altre occasioni si è messo il like o comunque la non riconducibilità dello stesso al messaggio denigratorio, pensiamo alle ipotesi frequenti in cui il like si appone ai contenuti di un amico in quanto tale ed a prescindere da ciò che scrive.

D’altra parte, se passasse la tesi di una compartecipazione al delitto di diffamazione per un semplice like si andrebbe a toccare pesantemente la sfera della libera manifestazione del pensiero nella sua forma minima, ovvero non su quello che si esprime, ma addirittura sulla possibilità o meno di non essere in disaccordo con altri, al di là del modo in cui questi esprimono i loro giudizi.

Ciò detto , in tema di istigazione a delinquere, è stata riconosciuta rilevanza penale ad un like apposto su Facebook (Cass. , Sez.V, sent. n. 55417/17)

Altra questione rilevante riguarda la possibile responsabilità del gestore di un blog. Su questo punto, esiste un ampio corpus di decisioni giurisprudenziali, sia di merito che di legittimità, che mostra una certa eterogeneità riguardo all’estensione delle responsabilità del gestore di tali piattaforme.

In particolare, una parte della giurisprudenza ha considerato il blogger come il direttore responsabile, e di conseguenza, a lui imputabili i contenuti diffamatori inseriti nel blog da altri. Tuttavia, la giurisprudenza prevalente ha adottato un approccio diverso, sostenendo che le norme che attribuiscono responsabilità al direttore e al vice-direttore responsabile di un periodico si applicano solo a soggetti qualificati che assumono tali ruoli in seguito a una nomina specifica ai sensi degli articoli 3 e 5 della legge 8 febbraio 1948, n. 47. Pertanto, secondo questo ragionamento, non sembra possibile attribuire al semplice gestore di un blog gli obblighi di vigilanza e di controllo sul materiale, che comportano l’obbligo di impedire la commissione di reati attraverso la pubblicazione.

D’altra parte, la struttura di un blog non è assimilabile a quella di un giornale tradizionalmente inteso, almeno per quanto riguarda gli aspetti penalistici in caso di mancato controllo del materiale caricato da terzi. Di conseguenza, il blogger può essere ritenuto responsabile dei contenuti pubblicati da terzi solo se prende conoscenza della lesività di tali contenuti e li mantiene consapevolmente. In particolare, la mancata attivazione tempestiva da parte del blogger per rimuovere commenti offensivi pubblicati da terzi non equivale a un mancato impedimento dell’evento diffamatorio ai sensi dell’articolo 40, secondo comma, del codice penale, ma piuttosto a una consapevole condivisione del contenuto lesivo dell’altrui reputazione, con ulteriore riproduzione dell’offensività dei contenuti pubblicati su un diario gestito dal blogger stesso.

Le stesse considerazioni possono essere svolte per il moderatore di un forum. Anche in questo caso, infatti, sembrano mancare completamente i presupposti per l’applicazione dell’articolo 57 del codice penale. Il soggetto in questione potrebbe,quindi, essere chiamato a rispondere solo per concorso nella diffamazione commessa dal soggetto che ha effettivamente diffuso il contenuto lesivo dell’onorabilità altrui.

In relazione alla questione della giurisdizione in relazione al luogo del commesso reato, emergono alcune considerazioni. Nel caso in cui il delitto sia commesso in Italia, con l’agente che opera sul territorio italiano e utilizza un server installato nello stesso paese, la giurisdizione è chiara, poiché l’intero fatto si verifica in Italia e pertanto è soggetto al principio generale di territorialità.

Allo stesso modo, se l’agente opera in Italia e utilizza un server situato all’estero, la giurisdizione italiana si applica secondo l’articolo 6, comma 2, del codice penale, in quanto il reato è considerato compiuto in Italia.

La situazione si complica quando l’agente opera all’estero e il server a cui accede è anch’esso ubicato all’estero, ma il messaggio viene ricevuto pure in Italia. La questione qui è se la diffamazione sia considerata un reato di condotta o di evento.

Inizialmente, le decisioni dei giudici di merito riguardo alla diffamazione su Internet attraverso server esteri hanno concordato sulla mancanza di giurisdizione dell’autorità giudiziaria italiana. Si argomentava che se la diffusione dei contenuti diffamatori avveniva al di fuori dei confini italiani, la consumazione del reato doveva ritenersi avvenuta all’estero. Tuttavia, altro orientamento propone una visione opposta, considerando la diffamazione come un reato di evento, ossia un avvenimento esterno all’agente ma collegato al suo comportamento. In questo contesto, il momento consumativo del reato non è la diffusione del messaggio offensivo, bensì la percezione di esso da parte di terzi che sono “terzi” rispetto all’agente e alla persona offesa. Di conseguenza, se la percezione avviene in Italia, il reato può essere considerato commesso sul territorio italiano. Stesse considerazioni devono essere svolte in tema di competenza per territorio.

Posto, quindi, che il delitto di diffamazione via Internet è un reato di evento che si consuma quando i terzi percepiscono l’espressione offensiva, quando non sia possibile individuare il luogo di consumazione del reato e sia invece possibile individuare il luogo in remoto in cui il contenuto diffamatorio è stato caricato, tale criterio di collegamento, in quanto prioritario rispetto a quello di cui all’art.9 c.p.p. comma 2 (che attribuisce la competenza al giudice della residenza, dimora o domicilio dell’imputato), deve prevalere su quest’ultimo, cosicché la competenza risulta individuabile con riferimento al luogo fisico ove viene effettuato l’accesso alla rete per il caricamento dei dati sul server.

Cosa dice la giurisprudenza

Trattandosi di una norma non pensata per condotte realizzate in rete, la giurisprudenza è più volte intervenuta per delimitarne l’ambito di applicazione ed i suoi esatti confini.

Esempi di diffamazione on line

E’ punibile come fatto di diffamazione l’offesa comunicata via WhatsApp perché la comunicazione nella chat di gruppo opera tra i partecipanti sempre in modo asincrono (Cass. Sez.V, sent. n. 27540/23).

L‘utilizzo della posta elettronica non esclude la sussistenza del requisito della “comunicazione con più persone” anche nella ipotesi di diretta ed esclusiva destinazione del messaggio diffamatorio ad una sola persona determinata, quando l’accesso alla casella mail sia consentito almeno ad altro soggetto, a fini di consultazione, estrazione di copia e di stampa, e tale accesso plurimo sia noto al mittente o, quantomeno, prevedibile secondo l’ordinaria diligenza (Cass.,Sez., Sez.V,sent.n.12826/22).

E’ qualificabile come diffamazione la pubblicazione di messaggi offensivi dell’altrui reputazione sullo stato di Whatsapp (Cass.,Sez.V, sent.n. 33219/21)

Se la persona è presente on line, si integra un’ ingiuria realizzata alla presenza di più persone e non il delitto di diffamazione e quindi va dichiarata l’insussistenza del reato ( Cass., Sez.V, sent.n. 44662/21).

Rilevanza del “like” (mi piace) su Facebook e istigazione a delinquere(Cass. , Sez.V, sent. n. 55417/17) .

Quanto ai social, se da un lato si ritiene che la diffamazione su una bacheca integri il delitto di diffamazione aggravata per l’uso del “mezzo di pubblicità” ( Cass., Sez. I, sent.24431/15), dall’altro si è esclusa la sua sussistenza in capo all’amministratore di un gruppo face book per i commenti di terzi da lui non approvati espressamente. Viceversa lo stesso viene ritenuto punibile qualora abbia scientemente omesso di cancellare,anche a posteriori, le frasi diffamatorie segnalate ( Tribunale di Vallo della Lucania, Gip, sent. n.22/16 ).

Equiparazione diffamazione a mezzo stampa ed a mezzo Internet

In tema di diffamazione a mezzo stampa, con particolare riferimento alla pubblicazione di un video su piattaforma Youtube, ai fini del riconoscimento dell’esimente ex art. 51 c.p., qualora il contenuto digitale contenga una critica formulata con le modalità proprie della satira, il giudice, nell’apprezzare il requisito della continenza, deve tener conto del linguaggio essenzialmente simbolico e paradossale della rappresentazione, rispetto al quale non si può applicare il metro consueto di correttezza dell’espressione, restando, comunque, fermo il limite del rispetto dei valori fondamentali, che devono ritenersi superati quando la persona pubblica, oltre che al ludibrio della sua immagine, sia esposta al disprezzo. Il diritto di satira, cioè, sussiste anche qualora venga esercitato online, a condizione che non vi sia aggressione personale e gratuita ai danni della persona offesa (Cass., Sez. V, sent. n. 12520/23).

Il direttore responsabile della testata giornalistica on line è responsabile ai sensi dell’art. 57 c.p. (Cass.,Sez.V,sent.n. 1275/18; Cass., Sez.V, sent.n.13398/17).

I quotidiani e le testate on line hanno natura del tutto assimilabile a quella dell’informazione su carta stampata;non vi è dubbio,quindi,che per essi si applichino le regole normative e giurisprudenziali relative alla diffamazione a mezzo stampa e alle relative circostanze scriminanti (Cass.,S.U.,sent.n.31022/15).

Il direttore del quotidiano on line non è responsabile ex art. 57 e 57-bis c.p. per omesso controllo (Cass., Sez. V, sent. n. 10594/13; Cass., Sez. V, sent. n. 44126/11; Cass., Sez. V, sent. n. 35511/10).

Responsabilità gestore del blog

Responsabile di diffamazione aggravata il blogger che venuto a conoscenza di un contenuto offensivo pubblicato da un utente non lo rimuove immediatamente (Cass., Sez.V, sent. n. 45680/22).

E’configurabile un concorso omissivo nel reato commissivo dell’autore della pubblicazione quando il blogger, avvedutosi dell’illeceità del contenuto postato da terzi sulle proprie pagine, non lo rimuova, così perpetuando la pubblicazione tramite la permanenza on line (Cass.,Sez.V,sent.n.12546/18).

Tendenzialmente unanime, tranne casi isolati (Trib. Varese, GUP, 22 febbraio 2013; Trib. Aosta, 26 maggio 2006), l’idea che il gestore del blog non possa essere considerato responsabile della diffamazione per scritti altrui, non essendo equiparabile al direttore di una testata giornalistica e non avendo obblighi giuridici di impedire l’evento (Cass.,Sez.V, sent.n.44126/11; Cass.,Sez.V, sent.n.35511/10).

Il luogo del commesso reato

Il Giudice penale competente a conoscere della diffamazione consumata tramite mail è quello del luogo ove la riceve il destinatario (Cass.,Sez.V, sent.n. 38144/23)

Quando più persone appartenenti allo stesso gruppo Facebook offendono la reputazione della medesima persona offesa la competenza territoriale spetta al giudice del luogo ove è stata iscritta per prima la notizia di reato (Cass., Sez.V, sent.n. 7377/23).

Il delitto di diffamazione via Internet è un reato di evento che si consuma quando i terzi percepiscono l’espressione ingiuriosa (Cass., Sez. V, sent.234528/06).

Quando non sia possibile individuare il luogo di consumazione del reato e sia invece possibile individuare il luogo in remoto in cui il contenuto diffamatorio è stato caricato, tale criterio di collegamento, in quanto prioritario rispetto a quello di cui all’art.9 c.p.p. comma 2 (che attribuisce la competenza al giudice della residenza, dimora o domicilio dell’imputato), deve prevalere su quest’ultimo, cosicché la competenza risulta individuabile con riferimento al luogo fisico ove viene effettuato l’accesso alla rete per il caricamento dei dati sul server (Cass., Sez.V ,sent. n.31677/15; Cass., Sez. I, sent.n.8513/09).

Accertamento del reato

La tesi del furto di identità per difendersi dall’accusa di diffamazione a mezzo Facebook presuppone la prova della denuncia dell’illecito subito ( Cass., Sez. V, sent.n. 40309/22).

La diffamazione può essere provata anche con gli screenshot che riportano le frasi offensive della reputazione scambiate su Facebook( Cass. , Sez. V, sent.n. 24600/22).

La diffamazione commessa in rete può essere provata anche in mera via logica, partendo da una semplice “stampata”del contenuto offensivo, senza il ricorso a tecniche di indagini informatiche (Cass.,Sez.V, sent.34406/15).

Interessante, ma isolata, la decisione secondo cui la diffamazione via Internet non può essere presunta, in quanto a differenza della televisione e della radio, il messaggio inserito non è detto che venga letto. Pertanto in assenza di prova di percezione da parte di terzi si risponderebbe di tentata diffamazione (Tribunale di Teramo, sent. n.112/02).

L'articolo Digital Crime: La diffamazione online dal punto di vista Penale proviene da il blog della sicurezza informatica.

WikiLeaks founder Julian Assange is due to plead guilty on Wednesday (26 June) to violating US espionage law, in a deal that will end his imprisonment in Britain and allow him to return home to Australia, ending a 14-year legal odyssey.

euractiv.com/section/global-eu…

High-tech movie guides on CD-ROM; clearly the future had arrived in 1994.
In the innocent days of the early 90s the future of personal computing still seemed to be wide open, with pundits making various statements regarding tis potential trajectories. To many, the internet and especially the World Wide Web didn’t seem to be of any major significance, as it didn’t have the reach or bandwidth for the Hot New Thingtm in the world of PCs: multimedia. Enter the CD-ROM, which since its introduction in 1985 had brought the tantalizing feature of seemingly near-infinite storage within reach, and became cheap enough for many in the early 90s. In a recent article by [Harry McCracken] he reflects on this era, and how before long it became clear that it was merely a bubble.

Of course, there was a lot of good in CD-ROMs, especially when considering having access to something like Encarta before Wikipedia and broadband internet was a thing. It also enabled software titles to be distributed without the restrictions of floppy disks. We fondly remember installing Windows 95 (without Internet Explorer) off 13 1.44 MB floppies, followed by a few buckets of Microsoft Office floppies. All pray to the computer gods for no sudden unreadable floppy.

Inevitably, there was a lot of shovelware on CD-ROMs, and after the usefulness of getting free AOL floppies (which you could rewrite), the read-only CD-ROMs you got in every magazine and spam mailing were a big disappointment. Although CD-ROMs and DVDs still serve a purpose today, it’s clear that along with the collapse of the Internet Bubble of the late 90s, early 2000s, optical media has found a much happier place. It’s still hard to beat the sheer value of using CD-R(W)s and DVD-/+R(W)s (and BD-Rs) for offline backups, even if for games and multimedia they do not appear to be relevant any more.

If you’re interested in another depiction of this period, it’s somewhere we’ve been before.

There is perhaps no more important time to have a business card than when you’re in college, especially near the end when you’re applying for internships and such. And it’s vital that you stand out from the crowd somehow. To that end, Electrical & Computer Engineer [Ryan Chan] designed a tidy card that plays tic-tac-toe.

Instead of X and O, the players are indicated by blue and red LEDs. Rather than having a button at every position, there is one big control button that gets pressed repeatedly until your LED is in the desired position, and then you press and hold to set it and switch control to the other player. In addition to two-player mode, the recipient of your card can also play alone against the ATMega.

The brains of this operation is an ATMega328P-AU with the Arduino UNO bootloader for ease of programming. Schematic and code are available if you want to make your own, but we suggest implementing some type of changes to make it your own. Speaking of, [Ryan] has several next steps in mind, including charlieplexing the LEDs, using either USB-C or a coin cell for power, upgrading the AI, and replacing the control button with a capacitive pad or two. Be sure to check it out in action in the two videos after the break.

youtube.com/embed/G4o2sbfmwy4?…

youtube.com/embed/5EbTwoRA7A0?…

Displays are crucial to modern life; they are literally everywhere. But modern flat-panel LCDs and cheap 7-segment LED displays are, well, a bit boring. When we hackers want to display the progress of time, we want something more interesting, hence the plethora of projects using Nixie tubes and various incantations of edge-lit segmented units. Here is [upir] with their take on the simple edge-lit acrylic 7-segment design, with a great video explanation of all the steps involved.
Engraving the acrylic sheets by hand using 3D printed stencils
The idea behind this concept is not new. Older displays of this type used tiny tungsten filament bulbs and complex light paths to direct light to the front of the display. The modern version, however, uses edge-lit panels with a grid of small LEDs beneath each segment, which are concealed within a casing. This design relies on the principle of total internal reflection, created by the contrast in refractive indices of acrylic and air. Light entering the panel from below at an angle greater than 42 degrees from normal is entirely reflected inside the panel. Fortunately, tiny LEDs have a wide dispersion angle, so if they are positioned close enough to the edge, they can guide sufficient light into the panel. Once this setup is in place, the surface can be etched or engraved using a CNC machine or a laser cutter. A rough surface texture is vital for this process, as it disrupts some of the light paths, scattering and directing some of it sideways to the viewer. Finally, to create your display, design enough parallel-stacked sheets for each segment of the display—seven in this case, but you could add more, such as an eighth for a decimal point.

How you arrange your lighting is up to you, but [upir] uses an off-the-shelf ESP32-S3 addressable LED array. This design has a few shortcomings, but it is a great start—if a little overkill for a single digit! Using some straightforward Arduino code, one display row is set to white to guide light into a single-segment sheet. To form a complete digital, you illuminate the appropriate combination of sheets. To engrave the sheets, [upir] wanted to use a laser cutter but was put off by the cost. A CNC 3018 was considered, but the choice was bewildering, so they just went with a hand-engraving pick, using a couple of 3D printed stencils as a guide. A sheet holder and light masking arrangement were created in Fusion 360, which was extended into a box to enclose the LED array, which could then be 3D printed.

If you fancy an edge-lit clock (you know you do) check out this one. If wearables are more your thing, there’s also this one. Finally, etched acrylic isn’t anywhere near as good as glass, so if you’ve got a vinyl cutter to hand, this simple method is an option.

youtube.com/embed/Cg9MDF1VE2g?…

[Luizão] wanted to create some hardware to honour the memory of the technology used to put man on the moon and chose the literal core of the project, that of the hardware used to store the software that provided the guidance. We’re talking about the magnetic core rope memory used in the Colossus and Luminary guidance computers. [Luizão] didn’t go totally all out and make a direct copy but instead produced a scaled-down but supersized demo board with just eight cores, each with twelve addressable lines, producing a memory with 96 bits.

The components chosen are all big honking through-hole parts, reminiscent of those available at the time, nicely laid out in an educational context. You could easily show someone how to re-code the memory with only a screwdriver to hand; no microscope is required for this memory. The board was designed in EasyEDA, and is about as simple as possible. Being an AC system, this operates in a continuous wave fashion rather than a pulsed operation mode, as a practical memory would. A clock input drives a large buffer transistor, which pushes current through one of the address wires via a 12-way rotary switch. The cores then act as transformers. If the address wire passes through the core, the signal is passed to the secondary coil, which feeds a simple rectifying amplifier and lights the corresponding LED. Eight such circuits operate in parallel, one per bit. Extending this would be easy.

Obviously, we’ve covered the Apollo program a fair bit. Here’s a fun tale about recovering the guidance software from the real hardware. Like always, the various space programs create new technologies that we mere mortals get to use, such as an auto-dialling telephone.

(video in Brazilian Portuguese)

youtube.com/embed/TnKUSDZDZGY?…

@Notizie dall'Italia e dal mondo

Abbiamo più volte trattato nel nostro blog dell’afflusso di cocaina in Europa, per il tramite di #navi container che giungono nei principali #porti. Una situazione che ha spinto il Belgio (nella sua veste di Presidente di turno dell’Unione Europea e Paese particolarmente attinto dal flusso mercè i suoi importanti scali) a farsi promotore di una “alleanza” dedicata al contrasto di tali non graditi arrivi di merce illegale.
Leggi qui: poliverso.org/display/0477a01e… , qui poliverso.org/display/0477a01e… , qui poliverso.org/display/0477a01e… e qui noblogo.org/cooperazione-inter… .

La Organized Crime and CorruptionReporting Project (#OCCRP) è una delle più grandi organizzazioni di giornalismo investigativo al mondo, con personale in sei continenti e hub ad Amsterdam, Washington, D.C. e Sarajevo

OCCRP ha predisposto un interessante dossier sull’utilizzo da parte dei cartelli della droga dei mezzi navali ove occultare la cocaina poi trafficata in Europa.
Secondo il dossier, la #Colombia, il più grande produttore di #cocaina al mondo, ha statistiche limitate sui sequestri di droga, con almeno quattro diverse agenzie che tengono registri dei sequestri ma non facilmente accessibili al pubblico. Quando i dati vengono pubblicati, in genere includono poco oltre la data, il luogo e la quantità di droga sequestrata. Le autorità colombiane non conservano i dati sulle spedizioni colombiane che avvengono all'estero, rendendo difficile per i giornalisti e la società civile analizzare le tendenze del traffico.
Cuestión Pública, partner di OCCRP, ha dedicato più di un anno alla creazione di un database che mira a cambiare questa situazione. Spulciando i file trapelati, i giornalisti hanno identificato 158 spedizioni di droga provenienti dalla Colombia. Hanno quindi creato un database più completo contattando il ministero della difesa colombiano, l'ufficio del procuratore, la marina e la polizia e presentando richieste di libertà di informazione per ottenere l'accesso ai loro registri. I dati sono stati integrati anche dalle relazioni del servizio federale delle dogane belga.
In totale, i giornalisti hanno identificato 1.764 arresti separati tra il 2016 e l'aprile 2022, di cui circa tre quarti avvenuti su piccole imbarcazioni. Di questi incidenti, la società proprietaria della nave o dei container è stata identificata in 374 casi, di cui più di tre quarti hanno coinvolto importanti compagnie di navigazione, come Maersk, CMA CGM e Hapag-Lloyd.

Il set di dati NarcoFiles ha rivelato che i trafficanti di cocaina colombiani utilizzano sempre più spesso grandi navi portacontainer, con la maggior parte dei sequestri che si verificano in Colombia. I dati mostrano che la maggior parte dei sequestri che hanno coinvolto navi di grandi dimensioni ha avuto luogo in Colombia, con 259 arresti di quasi 99 tonnellate di cocaina. Al di fuori della Colombia, il Belgio e la Spagna sono stati i punti di intercettazione più comuni, con oltre 26 tonnellate di cocaina sequestrate in 26 casi in Belgio e 32 tonnellate in 25 arresti in Spagna. Il porto settentrionale della Colombia, a Santa Marta, è stato il principale punto di origine dei sequestri di grandi navi, per un totale di 94 spedizioni arrestate.

Le spedizioni di banane sono attraenti per i trafficanti perché sono deperibili e spesso coltivate in aree in cui i cartelli sono attivi,e per tale motivo spesso i carichi illegai sono nascosti in tali spedizioni.
L'ultimo rapporto dell'agenzia antidroga delle Nazioni Unite evidenzia l'aumento dell'uso da parte dei trafficanti di cocaina di grandi navi portacontainer e i metodi di contaminazione che stanno diventando sempre più sofisticati. Maersk, la compagnia di navigazione danese dominante nel mercato colombiano, è stata coinvolta nel maggior numero di arresti di droga nel set di dati, rappresentando più di un terzo dei 374 casi in cui è stato possibile identificare la compagnia di navigazione o di container. Maersk ha attribuito i sequestri al rafforzamento della cooperazione tra le autorità colombiane. I dati forniscono anche informazioni sulle centinaia di tonnellate di cocaina trafficate con successo ogni anno.
Il Report di OCCR è reperibile qui: occrp.org/en/narcofiles-the-ne…

[Ken Shirriff] likes to take chips apart and this time his target is an NFC chip used in Montreal transit system tickets. As you might expect, the tickets are tiny, cheap, and don’t have any batteries. So how does it work?

The chip itself is tiny at 570 µm × 485 µm. [Ken] compares it to a grain of salt. The ticket has a thin plastic core with a comparatively giant antenna onboard.

Working with such a tiny chip presented additional challenges. A few drops of boiling sulphuric acid freed the die. Then applications of phosphoric acid, Armour etch — nasty stuff, but better than hydroflouric acid — and hydrochloric acid took care of the rest.

With everything exposed, it was time to analyze the different parts. As you’d expect, the NFC tag draws power from the antenna and sends data from a EEPROM. There was some analog circuitry and also some digital gates used to control the output. But there isn’t room for much.

How are these so cheap? You can order an 8-inch wafer with 100,587 chips onboard. The price? Around $9,000 per wafer, so about nine cents per chip. Actually, you may be more because the wafer actually has 103,682 dice but a file included tells you which ones are bad. If you want to bargain shop, a 12-inch wafer is $19,000 but gives you 215,712 dice. What a steal!

Can’t get enough NFC? We understand. There are times you just want to make your own.

It is funny how sometimes things you think are bad turn out to be good in retrospect. Like many of us, when I was a kid, I was fascinated by science of all kinds. As I got older, I focused a bit more, but that would come later. Living in a small town, there weren’t many recent science and technology books, so you tended to read through the same ones over and over. One day, my library got a copy of the relatively recent book “The Amateur Scientist,” which was a collection of [C. L. Stong’s] Scientific American columns of the same name. [Stong] was an electrical engineer with wide interests, and those columns were amazing. The book only had a snapshot of projects, but they were awesome. The magazine, of course, had even more projects, most of which were outside my budget and even more of them outside my skill set at the time.

If you clicked on the links, you probably went down a very deep rabbit hole, so… welcome back. The book was published in 1960, but the projects were mostly from the 1950s. The 57 projects ranged from building a telescope — the original topic of the column before [Stong] took it over — to using a bathtub to study aerodynamics of model airplanes.

X-Rays

[Harry’s] first radiograph. Not bad!However, there were two projects that fascinated me and — lucky for me — I never got even close to completing. One was for building an X-ray machine. An amateur named [Harry Simmons] had described his setup complaining that in 23 years he’d never met anyone else who had X-rays as a hobby. Oddly, in those days, it wasn’t a problem that the magazine published his home address.

You needed a few items. An Oudin coil, sort of like a Tesla coil in an autotransformer configuration, generated the necessary high voltage. In fact, it was the Ouidn coil that started the whole thing. [Harry] was using it to power a UV light to test minerals for flourescence. Out of idle curiosity, he replaced the UV bulb with an 01 radio tube. These old tubes had a magnesium coating — a getter — that absorbs stray gas left inside the tube.

The tube glowed in [Harry’s] hand and it reminded him of how an old gas-filled X-ray tube looked. He grabbed some film and was able to image screws embedded in a block of wood.
With 01 tubes hard to find, why not blow your own X-ray tubes?
However, 01 tubes were hard to get even then. So [Harry], being what we would now call a hacker, took the obvious step of having a local glass blower create custom tubes to his specifications.

Given that I lived where the library barely had any books published after 1959, it is no surprise that I had no access to 01 tubes or glass blowers. It wasn’t clear, either, if he was evacuating the tubs or if the glass blower was doing it for him, but the tube was down to 0.0001 millimeters of mercury.

Why did this interest me as a kid? I don’t know. For that matter, why does it interest me now? I’d build one today if I had the time. We have seen more than one homemade X-ray tube projects, so it is doable. But today I am probably able to safely operate high voltages, high vaccums, and shield myself from the X-rays. Probably. Then again, maybe I still shouldn’t build this. But at age 10, I definitely would have done something bad to myself or my parent’s house, if not both.

Then It Gets Worse

The other project I just couldn’t stop reading about was a “homemade atom smasher” developed by [F. B. Lee]. I don’t know about “atom smasher,” but it was a linear particle accelerators, so I guess that’s an accurate description.
The business part of the “atom smasher” (does not show all the vacuum equipment).
I doubt I have the chops to pull this off today, much less back then. Old refigerator compressors were run backwards to pull a rough vaccuum. A homemade mercury diffusion pump got you the rest of the way there. I would work with some of this stuff later in life with scanning electron microscopes and similar instruments, but I was buying them, not cobbling them together from light bulbs, refigerators, and home-made blown glass!

You needed a good way to measure low pressure, too, so you needed to build a McLeod gauge full of mercury. The accelerator itself is three foot long, borosilicate glass tube, two inches in diameter. At the top is a metal globe with a peephole in it to allow you to see a neon bulb to judge the current in the electron beam. At the bottom is a filament.

The globe at the top matches one on top of a Van de Graf generator that creates about 500,000 volts at a relatively low current. The particle accelerator is decidedly linear but, of course, all the cool particle accelerators these days form a loop.

[Andres Seltzman] built something similar, although not quite the same, some years back and you can watch it work in the video below:

youtube.com/embed/pNLlD3QT3yA?…

What could go wrong? High vacuum, mercury, high voltage, an electron beam and plenty of unintentional X-rays. [Lee] mentions the danger of “water hammers” in the mercury tubes. In addition, [Stong] apparently felt nervous enough to get a second opinion from [James Bly] who worked for a company called High Voltage Engineering. He said, in part:

…we are somewhat concerned over the hazards involved. We agree wholeheartedly with his comments concerning the hazards of glass breakage and the use of mercury. We feel strongly, however, that there is inadequate discussion of the potential hazards due to X-rays and electrons. Even though the experimenter restricts himself to targets of low atomic number, there will inevitably be some generation of high-energy X-rays when using electrons of 200 to .300 kilovolt energy. If currents as high as 20 microamperes are achieved, we are sure that the resultant hazard is far from negligible. In addition, there will be substantial quantities of scattered electrons, some of which will inevitably pass through the observation peephole.

I Survived

Clearly, I didn’t build either of these, because I’m still here today. I did manage to make an arc furnace from a long-forgotten book. Curtain rods held carbon rods from some D-cells. The rods were in a flower pot packed with sand. An old power cord hooked to the curtain rods, although one conductor went through a jar of salt water, making a resistor so you didn’t blow the fuses.

Somehow, I survived without dying from fumes, blinding myself, or burning myself, but my parent’s house had a burn mark on the floor for many years after that experiement.

If you want to build an arc furnace, we’d start with a more modern concept. If you want a safer old book to read, try the one by [Edmund Berkeley], the developer of the Geniac.

I ricercatori del team di sicurezza XLab hanno recentemente scoperto una nuova botnet nel cyberspazio, Zergeca, che si distingue per le sue capacità avanzate e rappresenta una seria minaccia per milioni di dispositivi digitali. Zergeca è in grado non solo di sferrare attacchi DDoS, ma anche di svolgere molte altre funzioni dannose.

Il 20 maggio 2024, XLab ha rilevato un file ELF sospetto nella directory “/usr/bin/geomi” sulla piattaforma Linux di uno dei suoi clienti. Questo file, compresso utilizzando un UPX modificato, è rimasto a lungo inosservato dai programmi antivirus.

Dopo l’analisi i ricercatori hanno scoperto che si tratta di una botnet implementata a Golang. E dato che la sua infrastruttura C2 utilizzava la stringa “ootheca“, che ricorda gli zerg di StarCraft, gli specialisti di XLab hanno chiamato la botnet Zergeca, sottolineandone la diffusione aggressiva e rapida.

Zergeca supporta sei metodi di attacco DDoS, oltre a funzioni di proxying, scansione, aggiornamento automatico, persistenza, trasferimento di file, shell inversa e raccolta di informazioni sensibili.

Zergeca utilizza diversi metodi di risoluzione DNS, incluso DNS su HTTPS (DOH). Viene utilizzata anche la libreria Smux per il protocollo C2, che fornisce la crittografia utilizzando XOR. Ciò consente alla botnet di nascondere efficacemente le proprie attività e di renderle difficili da rilevare.

Dall’analisi è emerso che l’indirizzo IP 84.54.51.82, utilizzato per C2, serve due botnet Mirai da settembre 2023, il che testimonia l’esperienza accumulata dai suoi creatori. I principali metodi di distribuzione di Zergeca includono lo sfruttamento di password Telnet deboli e vulnerabilità CVE-2022-35733 e CVE-2018-10562.

Dall’inizio di giugno 2024 Zergeca ha preso di mira Canada, Usa e Germania. Il tipo principale di attacco è stato ackFlood (atk_4) e le vittime sono stati diversi sistemi autonomi (ASN). Zergeca funziona su architettura x86-64 e prende di mira la piattaforma Linux, ma i ricercatori hanno trovato anche riferimenti ad Android e Windows nel codice della botnet, il che suggerisce futuri scenari di sviluppo del malware.

Zergeca ottiene la persistenza sui dispositivi compromessi aggiungendo un servizio di sistema “geomi.service”, che garantisce che il processo si avvii automaticamente al riavvio del dispositivo. La crittografia delle stringhe utilizza XOR con una chiave codificata.

La botnet include il modulo Silivaccine, che elimina le minacce della concorrenza come miner e trojan, garantendo il monopolio sul dispositivo infetto e sfruttando le massime prestazioni.

La scoperta di Zergeca dimostra la continua evoluzione e sofisticazione delle botnet. Con le sue funzionalità avanzate, coerenza e flessibilità, Zergeca rappresenta una seria minaccia. I professionisti della sicurezza informatica devono rimanere vigili e adottare misure proattive per identificare e mitigare tali minacce.

L'articolo Zergeca: La Botnet Che Minaccia Linux e Altri Sistemi Operativi con Attacchi DDoS e Funzionalità Avanzate proviene da il blog della sicurezza informatica.

Beyond bothering large language models (LLMs) with funny questions, there’s the general idea that they can act as supporting tools. Theoretically they should be able to assist with parsing and summarizing documents, while answering questions about e.g. electronic design. To test this assumption, [Duncan Haldane] employed three of the more highly praised LLMs to assist with circuit board design. These LLMs were GPT-4o (OpenAI), Claude 3 Opus (Anthropic) and Gemini 1.5 (Google).

The tasks ranged from ‘stupid questions’, like asking the delay per unit length of a trace on a PCB, to finding parts for a design, to designing an entire circuit. Of these tasks, only the ‘parsing datasheets’ task could be considered to be successful. This involved uploading the datasheet for a component (nRF5340) and asking the LLM to make a symbol and footprint, in this case for the text-centric JITX format but KiCad/Altium should be possible too. This did require a few passes, as there were glitches and omissions in the generated footprint.

When it came to picking components for a design, it’s clear that you’re out of luck here unless you’re trying to create a design that a million others have made before you in exactly the same way. This problem got worse when trying to design a circuit and ultimately spit out a netlist, with the best LLM (Claude 3 Opus) giving nonsensical suggestions for filter designs and mucking up even basic amplifier designs, including by sticking decoupling capacitors and random resistors just about everywhere.

Effectively, as a text searching tool it would seem that LLMs can have some use for engineers who are tired of digging through yet another few hundred pages of poorly formatted and non-indexed PDF datasheets, but you still need to be on your toes with every step of the way, as the output from the LLM will all too often be slightly to hilariously wrong.