Did you know you can get a “smart bed” that tracks your sleep, breathing, heart rate, and even regulates the temperature of the mattress? No? Well, you can get root access to one, too, as [Dillan] shows, and if you’re lucky, find a phone-home backdoor-like connection. The backstory to this hack is pretty interesting, too!

You see, a Sleep Number bed requires a network connection for its smart features, with no local option offered. Not to worry — [Dillan] wrote a Homebridge plugin that’d talk the cloud API, so you could at least meaningfully work with the bed data. However, the plugin got popular, Sleep Number didn’t expect the API to be that popular. When they discovered the plugin, they asked that it be shut down. Tech-inclined customers are not to be discouraged, of course.

Taking a closer look at the hardware, [Dillan] found a UART connection and dumped the flash, then wrote an extensive tutorial on how to tap into your bed’s controller, which runs Linux, and add a service you can use locally to query bed data and control the bed – just like it should have been from the beginning. Aside from that, he’s found a way to connect this hub to a network without using Sleep Number’s tools, enabling fully featured third-party use – something that the company doesn’t seem to like. Another thing he’s found is a reverse SSH tunnel back into the Sleep Number network.

Now, it can be reasonable to have a phone-home tunnel, but that doesn’t mean you want it in your personal network, and it does expose a threat surface that might be exploited in the future, which is why you might want to know about it. Perhaps you’d like to use Bluetooth instead of WiFi. Having this local option is good for several reasons. For example, having your smart devices rely on the manufacturer’s server is a practice that regularly results in perma-bricked smart devices, though we’ve been seeing some examples of dedicated hackers bringing devices back to life. Thanks to this hack, once Sleep Number shutters, is bought out, or just wants to move on, their customers won’t be left with a suddenly dumbed-down bed they can no longer control.

[Header image courtesy of Sleep Number]

When we think about sending an STL off on the Internet for processing, we usually want someone to print it for us or we want mesh repair. But [Chuck] found an interesting project on GitHub from [Andrew Sink] that will let you add a variable amount of twist to any STL and then return it to you for printing or whatever else you use STLs for. If you don’t get what we mean, check out the video below.

The site that does the work initially loads a little gnome figure if you are too lazy to upload your own model. That’s perfect, though, because the little guy is a good example of why you might want to twist a model. With just a little work, you can make the gnome look in one direction or even look behind him.

[Chuck] shows how to use the tool for artistic effect by twisting his standard cube logo. The result is something that looks like it would be difficult to create, but could hardly be easier. The tool lets you rotate the object, too, so you can get the twist effect in the right orientation for what you want to accomplish. A great little tool for making more artistic 3D prints without learning new software. If you want some fun, you can try the version that uses sound from your microphone to control the twist.

If you’d rather twist in CAD, we can help. If you really want artsy 3D printing, you probably need to learn Blender.

youtube.com/embed/gq0hmIXf10E?…

Il quotidiano di sinistra tedesco ND ha pubblicato recentemente un articolo che racconta l’esperienza dei lavoratori del collettivo di fabbrica della ex GKN di Campi Bisenzio (Firenze), licenziati nel luglio 2021 e da allora in assemblea permanente, a partire da un’iniziativa di solidarietà alla lotta dei lavoratori promossa in Germania da Tobi Rosswog, un attivista tedesco nella lotta per il clima e per la trasformazione dell’intera industria automobilistica: https://www.nd-aktuell.de/artikel/1183320.konversion-lastenrad-aus-besetzter-fabrik-auf-deutschlandtour.html .

La didascalia dell'immagine dice: "Una cargo-bike della fabbrica occupata in giro per la Germania"

Tobi Rosswog usando una cargo-bike elettrica prodotta dal collettivo di fabbrica della ex GKN ha fatto un giro di sette giorni, per alcune città tedesche, partendo da Wolfsburg, la città della Volkswagen per arrivare a Stoccarda, la città della Mercedes Benz e l’ha chiamato “Konversiontour”, in questo suo tour è stato accompagnato da Anton Benz, un giornalista di ND.
Questo è il link alla home page del suo sito: tobi-rosswog.de/

Il collettivo di fabbrica della ex Gkn dopo il licenziamento collettivo, si è costituito in cooperativa, ha lanciato una campagna di azionariato popolare e ha presentato un piano industriale che prevede una riconversione della fabbrica per la produzione di cargo-bike e di pannelli solari, al momento questo piano non ha ricevuto alcuna risposta dalle autorità di governo e dagli amministratori regionali.

Quando Tobi Rosswog parte per il suo tour (metà giugno), i lavoratori dell’ex GKN sono già da 165 giorni senza stipendio, ogni sera l’attivista arriva in una città diversa, lo aspetta un incontro assemblea sulla situazione della fabbrica di Firenze, fa provare agli interessati la cargo-bike e raccoglie i pre-ordini, in una settimana ne ha raccolti circa 25. Il denaro è destinato a finanziare l'ulteriore produzione di cargo bike, e in alcuni casi può essere utilizzato anche per pagare gli stipendi. Dopo una settimana, due compagni sostituiscono Rosswog e girano la Germania per un'altra settimana.
Qui sotto l'immagine di due cargo-bike prodotte dalcollettivodi fabbrica,lo slogan dilangio è "La cargo-bike con la lotta attorno".

La cargo -bike con la lotta attorno

La cargo - bike si può pre-ordinare anche in Italia: ecco la pagina del sito del collettivo di fabbrica da cui è possibile farlo:
insorgiamo.org/cargo-bike/

Qui sotto invece una foto dall’incontro tenuto a Braunschweig, città sede di una delle fabbriche della VolksWagen, lo striscione dice: "Conversione della ex GKN subito. La lotta per il lavoro è lotta per il clima".

Foto di gruppo dell'incontro di Braunschweig

Un grosso grazie a Tobi Rosswog e a ND 🙂✊

#GKNFirenze #lavoro #CargoBike #solidarietà #Germania #MobiitàSostenibile #CrisiClimatica
@nd.Aktuell @macfranc @lgsp

Un incidente di sicurezza ha colpito il Dipartimento delle Elezioni della Virginia, con la diffusione non autorizzata di un vasto database elettorale. L’attacco, rivendicato da un utente noto come IntelBroker, è stato reso pubblico attraverso un forum online dedicato alle violazioni di dati.

Il Dipartimento delle Elezioni della Virginia (Virginia Department of Elections) è l’ente responsabile per l’amministrazione delle elezioni nello stato della Virginia.

Questo dipartimento garantisce che tutte le elezioni siano condotte in modo giusto, trasparente e conforme alle leggi statali e federali. Si occupa della registrazione degli elettori, della supervisione delle elezioni locali e statali e del mantenimento dell’integrità del processo elettorale attraverso la gestione sicura dei dati elettorali e la formazione del personale elettorale.

Al momento, non possiamo confermare con precisione la veridicità della violazione, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo dovrebbe essere considerato come una ‘fonte di intelligence’.

Dettagli dell’Attacco

Secondo quanto riportato, il database compromesso contiene informazioni dettagliate sui candidati elettorali. IntelBroker, l’utente che ha rivendicato l’attacco, ha dichiarato che il database era stato precedentemente venduto sul forum. Tuttavia, ha deciso di renderlo pubblico per impedire ulteriori frodi da parte di nuovi account che avrebbero potuto trarre vantaggio da tale informazione.

Attualmente, non siamo in grado di confermare con precisione l’accuratezza delle informazioni riportate, poiché non è stato rilasciato alcun comunicato stampa ufficiale sul sito web riguardante l’incidente.

Intelbroker

IntelBroker è un attore di minacce operante operante nel dark web, associato al gruppo CyberNiggers. Specializzato nella vendita di accessi a sistemi compromessi, ha orchestrato attacchi contro aziende come Zscaler ed Europol.

Attivo su forum underground come XSS, Breachforums ed Exposed, ha venduto dati sensibili a prezzi sorprendentemente bassi. IntelBroker sviluppa anche ransomware e si è distinto per la sua capacità di compromettere sistemi di alto profilo, agendo come Initial Access Broker.

Tuttavia, le informazioni pubblicate da IntelBroker si sono rivelate a volte errate, con segnalazioni che hanno attribuito attacchi ad aziende diverse da quelle effettivamente colpite.

Informazioni Compromesse

Il database sembrerebbe contenere un totale di 65.000 righe di dati, con dettagli quali:

• CandidateId: Identificativo del candidato
• CandidateName: Nome del candidato
• TOTAL_VOTES: Totale dei voti
• Party: Partito
• WriteInVote: Voti scritti
• LocalityCode: Codice della località
• LocalityName: Nome della località
• PrecinctId: Identificativo del seggio
• PrecinctName: Nome del seggio
• DistrictId: Identificativo del distretto
• DistrictType: Tipo di distretto
• DistrictName: Nome del distretto
• OfficeId: Identificativo dell’ufficio
• OfficeTitle: Titolo dell’ufficio
• ElectionId: Identificativo dell’elezione
• ElectionType: Tipo di elezione
• ElectionDate: Data dell’elezione
• ElectionName: Nome dell’elezione
• NumberOfSeats: Numero di seggi

Implicazioni della Violazione

La diffusione di tali informazioni sensibili solleva seri interrogativi riguardo la sicurezza dei dati elettorali e la privacy dei candidati. Le informazioni trapelate possono essere utilizzate per scopi malevoli, influenzando la fiducia del pubblico nel sistema elettorale.

Conclusione

Questo incidente mette in evidenza l’importanza di una sicurezza robusta per i dati elettorali. È essenziale che le istituzioni adottino misure preventive e reattive per proteggere le informazioni sensibili e mantenere l’integrità del processo elettorale. Gli elettori devono poter avere fiducia che i loro dati e il sistema elettorale nel suo complesso siano protetti contro tali violazioni.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC Dark Lab monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo Il database del Dipartimento elettorale della Virginia potrebbe essere stato violato e finisce nel Dark Web proviene da il blog della sicurezza informatica.

Un grave episodio di violazione dei dati potrebbe aver colpito recentemente l’Hong Ngoc Hospital, un rinomato ospedale situato in Vietnam. La notizia è stata diffusa tramite il forum BreachForums, una piattaforma nota per la compravendita di dati compromessi. La quantità e la sensibilità delle informazioni compromesse rendono questo episodio particolarmente allarmante.

L’Hong Ngoc General Hospital è stato fondato nel 2003, quando gli ospedali privati non erano ancora molto diffusi in Vietnam. Con uno sforzo continuo, Hong Ngoc si è guadagnato la reputazione di primo ospedale-albergo di Hanoi e del Vietnam settentrionale. Ad oggi, dopo 17 anni di fondazione e sviluppo, Hong Ngoc è diventato un marchio familiare e un indirizzo medico di fiducia per milioni di pazienti.

Attualmente, non siamo in grado di confermare con precisione l’accuratezza delle informazioni riportate, poiché non è stato rilasciato alcun comunicato stampa ufficiale sul sito web riguardante l’incidente.

Dettagli della Violazione

Secondo quanto riportato su BreachForums, la violazione ha coinvolto un totale di 112.621 profili, suddivisi tra pazienti e medici dell’Hong Ngoc Hospital. Le informazioni compromesse includono:

• Nomi completi
• Date di nascita
• Indirizzi email
• Numeri di telefono
• Nomi utente
• Password
• Genere

Questi dati sono stati messi in vendita, esponendo a potenziali rischi di frode e furto d’identità sia i pazienti che i professionisti sanitari dell’ospedale.

Impatto sulla Sicurezza

La compromissione dei dati sensibili può avere conseguenze devastanti. Gli individui i cui dati sono stati esposti potrebbero diventare vittime di:

• Frode d’identità: I criminali possono utilizzare le informazioni personali per assumere l’identità delle vittime e compiere attività fraudolente.
• Attacchi di phishing: Le email e i numeri di telefono compromessi possono essere utilizzati per ingannare le vittime con messaggi fraudolenti mirati.
• Accesso non autorizzato: Le credenziali degli account, come i nomi utente e le password, possono essere utilizzate per accedere a servizi personali e professionali delle vittime.

Conclusione

La presunta violazione dei dati dell’Hong Ngoc Hospital rappresenta un serio campanello d’allarme sulla vulnerabilità dei sistemi informatici nel settore sanitario. È cruciale che gli istituti sanitari rafforzino le proprie misure di sicurezza per proteggere le informazioni sensibili dei pazienti e del personale. Gli utenti colpiti da questa violazione devono agire prontamente per proteggere i propri dati e prevenire ulteriori danni.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC Dark Lab monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo Vietnam Hong Ngoc Hospital su Breach Forums: 112.621 Profili di Pazienti e Medici Compromessi proviene da il blog della sicurezza informatica.

@Notizie dall'Italia e dal mondo

Un articolo apparso sul New York Times (Camicie nere e bandiere vietate: gli ultras spingono la politica a Euro 2024; nytimes.com/2024/06/26/world/e…) sui gruppi di tifosi ultras politicizzati presenti ai Campionati Europei di calcio in corso in Germania, ci fornisce l’occasione di illustrare aspetti di collaborazione tra forze di polizia in manifestazioni sportive, come quella che si sta disputando in vari stadi di calcio in città tedesche.
Come è evidente particolare rilevanza assume il coordinamento tra Forze di polizia di Stati diversi allorquando sono organizzate manifestazioni sportive che per loro caratteristiche richiamano nel luogo di svolgimento, suoi immediati dintorni e vie che a questi adducono, appassionati e supporters da varie Nazioni.
A riguardo nel 2021 l'Organizzazione delle Nazioni Unite (#ONU) ha rilasciato la Guide on the Security of Major Sporting Events: Promoting Sustainable Security and Legacies.
Nella Guida si legge che la cooperazione e la sensibilizzazione internazionali garantiscono una consultazione regolare tra i servizi nazionali di intelligence e sicurezza e i partner internazionali, compresi i Paesi con gruppi di tifosi. La condivisione delle informazioni supporta la collaborazione delle parti interessate stabilendo piattaforme sicure e conformi per la condivisione dei dati e piattaforme specifiche per eventi per la raccolta e l'analisi delle informazioni sulla sicurezza. I canali sicuri offerti dalle forze dell'ordine internazionali e regionali vengono utilizzati per scambiare informazioni operative con altri paesi.
L’esempio più classico che sovviene è quello di competizioni calcistiche che vedano affrontarsi sia compagini rappresentanti le varie Nazioni (campionati mondiali, continentali, eccetera) sia squadre così dette di club (in Europa si pensi alla Champions’ League e manifestazioni similari). Inoltre, accade che la partita finale di tornei internazionali venga ospitata da uno Stato “terzo”, che dovrà sobbarcarsi nel proprio territorio il controllo dei tifosi affluenti.

L’esempio calcistico non è scelto a caso: è in quel contesto che è nato e si è sviluppato il fenomeno sociale dell’hooliganismo, il cui apice più tragico è la così detta “strage dell'Heysel”, occorsa il 29 maggio 1985, poco prima dell'inizio della finale di Coppa dei Campioni di calcio tra Juventus e Liverpool allo stadio Heysel di Bruxelles, in cui morirono 39 persone (di cui 32 italiane), e ne rimasero ferite oltre 600. Il tragico evento è imputabile ai tifosi inglesi più accesi, che cominciarono a spingersi verso il settore occupato dai tifosi italiani non organizzati, sfondando le reti divisorie e costringendoli ad arretrare sino ad un muro di contenimento, tanto che alcuni si lanciarono nel vuoto per evitare di rimanere schiacciati, altri cercarono di scavalcare gli ostacoli ed entrare nel settore adiacente, altri ancora si ferirono contro le recinzioni. Il muro crollò per il troppo peso e numerose persone rimasero schiacciate, calpestate dalla folla e uccise nella corsa verso una via d'uscita, per molti rappresentata da un varco aperto verso il campo da gioco.
Secondo il Cambridge Dictionary hooligan è “una persona violenta che combatte o provoca danni in luoghi pubblici”, e l’hooliganismo è la manifestazione di questo comportamento. In Inghilterra nell’aprile 1894, fu processato il diciannovenne Charles Clarke per l’aggressione a un agente di polizia. Il quotidiano londinese Daily News descrisse l’imputato come “il capo di una banda di giovani nota con il nome Hooligan Boys”. Nel 1886 a seguito di una rissa tra i sostenitori della squadra di football del Preston contro i rivali del Queens Park era stato sciaguratamente inaugurato il football hooliganism inteso come la violenza competitiva e reciproca tra gruppi diversi di sostenitori organizzati delle compagini calcistiche, con scazzottate e violenze prevalentemente contro arbitri e giocatori.
Se in occasione dell’incontro di calcio Liverpool–Juventus del 29 maggio 1985 gli hooligans furono gli esecutori materiali, le autorità sportive locali ed europee non furono esenti da colpe per la discutibile scelta dell’impianto e la gestione complessiva dell’ordine pubblico.

Per comprendere la portata del fenomeno basti pensare a quanto poi avvenne nel 2016 nel corso dei Campionati europei di calcio ospitati dalla Francia, allorquando emerse che a capo dei supporters a seguito della squadra della Russia vi era Alexander Shpryginm, figlio di un leader storico dell'estrema destra e teorizzatore della fusione tra calcio e politica: “i tifosi sono un potente strumento di forza del potere. Lo Stato ha da tempo capito che quelle dei tifosi sono le associazioni più di massa e più patriottiche” e propugnatore di quello che viene definito “hooliganismo militare”, poiché gli hooligans russi sono indicati come partecipanti alla prima fase del conflitto del Donbass (regione, come noto, contesa dalla Russia all’Ucraina mediante un conflitto armato).

L’episodio dell’Heysel tra le altre conseguenze ebbe quello di far scaturire la “Convenzione europea sulla violenza e i disordini degli spettatori durante le manifestazioni sportive, segnatamente nelle partite di calcio”, redatta sotto l'egida del Consiglio d'Europa, firmata a Strasburgo il 19 agosto 1985, ratificata da 42 Paesi, tra i quali l’Italia, ove è entrata in vigore il 1° gennaio 1986.
La Convenzione prevede in particolare, per quanto qui ci interessa, di “facilitare una stretta cooperazione e uno scambio di informazioni appropriate tra le forze di polizia delle varie località interessate o che potrebbero esserlo” nonché “promuovere l’organizzazione responsabile e il comportamento corretto dei club di tifosi e la nomina al loro interno di agenti incaricati di facilitare il controllo e l’informazione degli spettatori durante le partite e di accompagnare i gruppi di tifosi che si recano alle partite in trasferta”.

Inoltre, sempre nell’ambito di Convenzioni del Consiglio d’Europa, l’Italia è firmataria di quella più recente relativa a “un approccio integrato in materia di sicurezza fisica, sicurezza pubblica e servizi in occasione di incontri calcistici e di altre manifestazioni sportive” (ratificata il 18 novembre 2020 ed entrata in vigore il 1° gennaio 2021). La Convenzione si basa su tre pilastri (o tre “S”): quello della sicurezza fisica, quello riferito alla sicurezza pubblica e l’ultimo ai servizi. Come si legge nella sintesi rilasciata in lingua italiana : “la nozione di sicurezza fisica comprende tutte le misure volte a garantire la salute e il benessere delle persone e a tutelare la loro incolumità in occasione di eventi sportivi. Tali misure riguardano le infrastrutture e l’omologazione degli stadi, i piani di emergenza o le disposizioni relative al consumo di alcool. Proteggono inoltre gli spettatori nel loro tragitto verso lo stadio e nei luoghi pubblici di proiezione degli eventi al di fuori degli stadi. La nozione di sicurezza pubblica comprende tutte le misure tese a prevenire, impedire e sanzionare qualsiasi atto violento o altri disordini in occasione di partite di calcio o di altre manifestazioni sportive, all’interno o al di fuori dello stadio. Includono in particolare la valutazione del rischio, la cooperazione tra le forze di polizia e altri enti competenti e l’imposizione di sanzioni. Infine, la nozione di servizi comprende tutte le misure destinate a rendere gli incontri calcistici e le altre manifestazioni sportive piacevoli e accoglienti per tutti, all’interno degli stadi, nonché a far sentire a proprio agio e benvenuti gli spettatori e i tifosi negli spazi pubblici in cui si riuniscono prima, durante e dopo le partite”.
In particolare, l’articolo 11 è dedicato alla cooperazione internazionale. L’articolo istituisce un Punto nazionale d’informazione sul calcio (PNIC), che rappresenta “una fonte nazionale di conoscenze riguardanti le operazioni di polizia correlate a incontri calcistici, le dinamiche dei tifosi e i rischi derivanti per la sicurezza fisica e la sicurezza pubblica”.

Il Consiglio dell’Unione Europea, che come ben sappiamo è organo decisionale essenziale dell'UE, nel 2016 ha adottato la Risoluzione concernente un manuale aggiornato di raccomandazioni per la cooperazione internazionale tra forze di polizia e misure per prevenire e combattere la violenza e i disordini in occasione delle partite di calcio di dimensione internazionale alle quali è interessato almeno uno Stato membro («manuale UE per il settore calcistico») , mediante la quale chiede agli Stati membri di continuare a rafforzare ulteriormente la cooperazione tra forze di polizia per quanto riguarda le partite di calcio (e, se del caso, altri eventi sportivi) di dimensione internazionale; a tal fine, il manuale aggiornato, che fornisce esempi di metodi di lavoro fortemente raccomandati, si chiede che sia messo a disposizione e adottato dalle autorità di contrasto coinvolte nella tutela dell'ordine pubblico in occasione di partite di calcio di dimensione internazionale.

In Italia sin dal 1995 presso Il Dipartimento di Pubblica Sicurezza è stato istituito l’Osservatorio Nazionale sulle Manifestazioni Sportive, presieduto dal Direttore dell’Ufficio Ordine Pubblico, con funzioni di monitoraggio ed analisi di ogni singolo incontro e di indirizzo per le Amministrazioni e gli Enti territoriali. Strumento normativo a disposizione è la Legge 13 dicembre 1989, n. 401 recante “Interventi nel settore del giuoco e delle scommesse clandestine e tutela della correttezza nello svolgimento di competizioni agonistiche”, nel tempo aggiornata ed opportunamente integrata.
Il 30 aprile 2002 nell’ambito dell’Ufficio Ordine Pubblico del Dipartimento fu istituito il Centro Nazionale di Informazione sulle Manifestazioni Sportive, che centralizza la raccolta e l’analisi dei dati sul fenomeno della violenza in occasione di manifestazioni sportive a livello nazionale e si inserisce nella rete europea di Cooperazione Internazionale di Polizia per il contrasto dell’hooliganismo.
Con riguardo da ultimo al Campionato di calcio in corso in Germania, piace sottolineare l’iniziativa italiana del “Consolato mobile”, ovvero una postazione consolare itinerante, allestita su un Ufficio mobile della #PoliziadiStato. Si è spostato nelle città della Germania per fornire assistenza agli italiani che seguono la Nazionale. È nato dalla collaborazione tra #Farnesina e #PoliziadiStato, in accordo naturalmente con la Polizia tedesca ospitante.

#ordinepubblico #europeidicalcio #OsservatorioNazionalesulleManifestazioniSportive

Cardboard is a surprisingly durable material, especially in its corrugated form. It’s extremely lightweight for its strength, is easy to work, can be folded and formed into almost any shape, is incredibly inexpensive, and when it has done its duty it can be recycled back into more paper. For these reasons, it’s often used in packaging material but it can be used to build all kinds of things outside of ensuring that products arrive at their locations safely. This working cardboard record player is one example.

While the turntable doesn’t have working records in the sense that the music is etched into them like vinyl, each has its own RFID chip embedded that allows the ESP32 in the turntable’s body to identify them. Each record corresponds to a song stored on an SD card that instructs the ESP32 to play the appropriate song. It also takes care of spinning the record itself with a small stepper motor. There are a few other details on this build that tie it together too, including a movable needle arm held on with a magnet and a volume slider.

As far as a building material goes, cardboard is fairly underrated in our opinion. Besides small projects like this turntable, we’ve also seen it work as the foundation for a computer, and it even has the strength and durability to be built into a wall or even used as shelving material. And, of course, it’s a great material to use when prototyping new designs.

youtube.com/embed/hpOjRkCLpCE?…

Microsoft potrebbe aver aperto un dibattito controverso con i recenti commenti fatti dal direttore delle AI del colosso tecnologico, Mustafa Suleyman ha parlato con Andrew Ross Sorkin della CNBC all’Aspen Ideas Festival all’inizio di questa settimana.

Nelle sue osservazioni, Suleyman ha affermato che tutti i contenuti condivisi sul web sono disponibili per essere utilizzati per la formazione sull’intelligenza artificiale, a meno che un produttore di contenuti non dica diversamente in modo specifico.

youtube.com/embed/lPvqvt55l3A?…

“Per quanto riguarda i contenuti che si trovano già sul web aperto, il contratto sociale di tali contenuti dagli anni ’90 è stato quello del fair use. Chiunque può copiarli, ricrearli, riprodurli.”, ha detto Suleyman.

“C’è una categoria separata in cui un sito web, un editore o un’organizzazione giornalistica ha detto esplicitamente: ‘non scansionarmi o scansionarmi per nessun altro motivo se non per indicizzarmi in modo che altre persone possano trovare quel contenuto’. Questa è un’area grigia e penso che troverà la sua strada nei tribunali”.

L’intelligenza artificiale generativa è uno degli argomenti più caldi della tecnologia nel 2024. È anche un argomento scottante tra i creatori. Alcuni sostengono che l’intelligenza artificiale addestrata sul lavoro di altre persone sia una forma di furto. Altri equiparano la formazione dell’intelligenza artificiale sul lavoro esistente agli artisti che studiano a scuola. La controversia spesso ruota attorno alla monetizzazione del lavoro derivato da altri contenuti.

Secondo quanto riferito, YouTube ha offerto “grandi somme di denaro” per addestrare i suoi modelli di intelligenza artificiale sulle librerie musicali delle principali etichette discografiche. La differenza in quella situazione è che le etichette discografiche e YouTube avranno concordato i termini. Suleyman sostiene che un’azienda potrebbe utilizzare qualsiasi contenuto sul web per addestrare l’intelligenza artificiale, a condizione che non ci sia una dichiarazione esplicita che richiede che ciò non venga fatto.

Microsoft e OpenAI sono state destinatarie di diverse cause legali per violazione del copyright . Otto editori con sede negli Stati Uniti hanno intentato cause contro OpenAI e Microsoft, unendosi al New York Times, che aveva già una causa in corso.

I contenuti generati dall’intelligenza artificiale sono controversi in modi diversi dal materiale di partenza. Un video animato ha scatenato i fan dei Pink Floyd quando è diventato finalista in un concorso di animazione .

L'articolo Microsoft AI: Tutto ciò che è online può essere usato dalle AI se non esplicitato il contrario proviene da il blog della sicurezza informatica.

In un recente attacco informatico, il gruppo di cybercriminali conosciuto come “INC Ransomware” ha dichiarato di aver violato i sistemi di Cambridge University Press & Assessment, mettendo in atto una strategia di doppia estorsione. Questa tattica, sempre più diffusa tra i gruppi ransomware, prevede il furto e la crittografia dei dati dell’azienda vittima, seguiti dalla minaccia di divulgarli pubblicamente se non viene pagato un riscatto.

L’attacco a Cambridge University Press & Assessment

Il 24 giugno 2024, il gruppo INC Ransomware ha pubblicato sul proprio blog di divulgazione informazioni relative all’attacco, compresi documenti rubati come prova dell’intrusione. Cambridge University Press & Assessment, una delle principali istituzioni globali nel campo delle pubblicazioni accademiche e delle valutazioni educative, con un fatturato annuale di 558,4 milioni di dollari, è stata presa di mira a causa della sua importanza e della quantità di dati sensibili che gestisce.

Attualmente, non siamo in grado di confermare con precisione l’accuratezza delle informazioni riportate, poiché non è stato rilasciato alcun comunicato stampa ufficiale sul sito web riguardante l’incidente.

La tattica della doppia estorsione

La doppia estorsione è una tecnica sofisticata in cui i cybercriminali non solo criptano i dati della vittima, rendendoli inaccessibili, ma minacciano anche di divulgare questi dati sensibili se il riscatto non viene pagato. Questo mette un’enorme pressione sull’azienda vittima, che deve affrontare non solo la perdita di accesso ai propri dati ma anche il rischio di danni reputazionali e legali derivanti dalla diffusione pubblica delle informazioni.

Cambridge University Press & Assessment

Si tratta di una delle istituzioni educative e di pubblicazione più antiche e rispettate al mondo. Parte dell’Università di Cambridge, questa entità è nota per il suo impegno nell’eccellenza accademica e per il suo contributo significativo alla diffusione del sapere e alla valutazione educativa globale.

Fondata nel 1534, Cambridge University Press è la casa editrice più antica al mondo. Ha una lunga tradizione di pubblicazioni accademiche, che coprono una vasta gamma di discipline, tra cui scienze, arti, medicina e tecnologia. La sua missione è quella di contribuire alla divulgazione della conoscenza e della ricerca di alta qualità, supportando l’istruzione a tutti i livelli.

Nel 2021, Cambridge Assessment, un’organizzazione specializzata nella valutazione educativa, si è fusa con Cambridge University Press per formare Cambridge University Press & Assessment. Questa fusione ha creato un’unica entità con l’obiettivo di fornire risorse educative e strumenti di valutazione integrati, supportando studenti, insegnanti e istituzioni educative in tutto il mondo.

Dettagli dell’intrusione

La pagina di divulgazione di INC Ransomware include una serie di documenti rubati, tra cui:

• Fatture dettagliate da e verso diversi fornitori
• Contratti di servizio e accordi commerciali
• Informazioni finanziarie interne
• Documenti riservati e corrispondenza aziendale

Implicazioni e rischi

La compromissione dei dati di Cambridge University Press & Assessment rappresenta una grave minaccia non solo per l’azienda stessa ma anche per i milioni di individui e istituzioni che si affidano ai suoi servizi. La diffusione di informazioni sensibili potrebbe avere conseguenze devastanti per la reputazione dell’azienda, la fiducia dei clienti e la sicurezza delle informazioni personali.

Conclusioni

Questo incidente evidenzia la crescente minaccia rappresentata dai gruppi di ransomware e l’importanza cruciale di misure di sicurezza informatica robuste e aggiornate. Le aziende, specialmente quelle che gestiscono grandi quantità di dati sensibili, devono essere preparate a rispondere rapidamente ed efficacemente a tali attacchi per proteggere i loro dati e la fiducia dei loro clienti.

L’attacco a Cambridge University Press & Assessment serve come un severo promemoria dei pericoli del cybercrime nel mondo moderno e della necessità di una vigilanza costante e di investimenti in tecnologie di sicurezza avanzate. Solo attraverso una preparazione adeguata e una risposta rapida è possibile mitigare gli effetti devastanti di tali intrusioni.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC Dark Lab monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo Cambridge University Press & Assessment finisce nel DLS di INC Ransomware proviene da il blog della sicurezza informatica.

There are so many new cool MCUs coming out, and you want to play with all of them, but, initially, they tend to be accessible as bare chips. Devboards might be hard to get, not expose everything, or carry a premium price. [Willmore] has faced this problem with an assortment of new WCH-made MCUs, and brings us all a solution – a universal board for TSSOP20-packaged MCUs, breadboard-friendly and adaptable to any pinout with only a few jumpers on the underside.

The board brings you everything you might want from a typical MCU breakout – an onboard 3.3V regulator, USB series resistors, a 1.5K pullup, decoupling capacitors, and a USB-C port. All GPIOs are broken out, and there’s a separate header you can wire up for all your SWD/UART/USB/whatever needs – just use the “patch panel” on the bottom of the board and pick the test points you want to join. [Willmore] has used these boards for the CH32Vxxx family, and they could, no doubt, be used for more – solder your MCU on, go through the pin table in the datasheet, do a little point-to-point wiring, and you get a pretty functional development board.

Everything is open-source – order a few of these boards from your fab of choice, and you won’t ever worry about a breakout for a TSSOP20 MCU or anything that would fit the same footprint. It could even be used in a pinch for something like an I2C GPIO expander. This is also a technique worth keeping in mind – a step above the generic footprint breakouts. Looking for more universal breakouts to keep? Here’s one for generic LCD/OLED panel breakouts.

As a result of the European Union’s push for greater repairability of consumer devices like smartphones, Apple sees itself forced to make the batteries in the iPhone user-replaceable by 2027. Reportedly, this has led Apple to look at using electroadhesion rather than conventional adhesives which require either heat, isopropyl alcohol, violence, or all of the above to release. Although details are scarce, it seems that the general idea would be that the battery is wrapped in metal, which, together with the inside of the metal case, would allow for the creation of a cationic/anionic pair capable of permanent adhesion with the application of a low-voltage DC current.

This is not an entirely wild idea. Tesa has already commercialized it in the electrical debonding form of its Debonding on Demand product. This uses a tape that’s applied to one side of the (metal) surfaces, with a 5 bar pressure being applied for 5 seconds. Afterwards, the two parts can be released again without residue as shown in the above image. This involves applying a 12V DC voltage for 60 seconds, with the two parts afterward removable without force.

Tesa markets this right alongside the pull tab adhesive strips which are currently all the rage in smartphones, with the opinions on pull strips during battery replacement strongly divided. A bottle of IPA is always good to have nearby when a pull tab inevitably snaps off and you have to pry the battery loose. In that regard electroadhesion for debonding would make life significantly easier since the times when batteries were not a structural part of smartphones are unlikely to return no matter how much we might miss them.

We covered electroadhesion previously, as you can make just about anything stick to anything, including biological tissues to graphite and metal, with potentially interesting applications in robotics and medicine.

È stata scoperta una vulnerabilità nell'UEFI SecureCore di Phoenix Technologies che interessa centinaia di dispositivi con CPU Intel. I produttori stanno già rilasciando la patch, per cui è importante aggiornare i propri sistemi il prima possibile. Ecco tutti i dettagli

L'articolo Bug nell’UEFI di Phoenix impatta su dispositivi con CPU Intel: aggiorniamo subito il firmware proviene da Cyber Security 360.

I dati personali dei pazienti dell'ASST Rhodense sono stati pubblicati online e sono ora liberamente scaricabili. La rivendicazione è del gruppo ransomware Cicada3301. Ecco le implicazioni e le misure che servono per impedire che attacchi del genere si verifichino di nuovo

L'articolo Attacco all’ASST Rhodense, online 1 TB di dati: c’è la rivendicazione del ransomware Cicada3301 proviene da Cyber Security 360.

La condivisione delle soluzioni e degli strumenti di cyber security rappresenta un vantaggio per l’organizzazione che adotta il cloud computing, ma occorre assegnare le responsabilità tra provider e client. Ecco come farlo seguendo le regole dello Shared Security Responsibility Model (SSRM)

L'articolo Shared Security Responsibility Model per il cloud computing: punti di forza e problematiche proviene da Cyber Security 360.

Al Security Summit di Roma, il Clusit ha illustrato il panorama nella cyber security nella Pubblica Amministrazione e nella Sanità. Emerge un aumento degli attacchi verso l'Italia, soprattutto in ambito sanitario. Ecco perché, quali pericoli si corrono e come mitigare il rischio

L'articolo Clusit: sotto attacco è la sanità, dove si rischia la perdita di vite umane proviene da Cyber Security 360.

L’IoT offre notevoli vantaggi, ma la comunicazione tra uomo e macchina genera enormi quantità di dati altamente sensibili che devono essere efficacemente protetti. Per minimizzare i rischi è importante considerare alcuni aspetti cruciali nella selezione delle soluzioni da implementare. Ecco quali

L'articolo Industria 4.0: gli aspetti cruciali per la sicurezza della rete proviene da Cyber Security 360.

Molti dei requisiti del DORA, relativi alle implementazioni di misure di resilienza e sicurezza e ai rapporti con i fornitori ICT, si applicano espressamente solo in presenza di questo sottoinsieme di funzioni aziendali. La loro corretta individuazione è quindi particolarmente importante se si desidera limitare il perimetro degli interventi di adeguamento

L'articolo Regolamento DORA, le funzioni essenziali e importanti: gli errori da evitare proviene da Cyber Security 360.

La Direttiva NIS 2 introduce dei requisiti di gestione a 360° dei fornitori. Vediamoli nel dettaglio

L'articolo Gestione dei fornitori: l’impatto della Direttiva NIS 2 proviene da Cyber Security 360.

Un nuovo malware Android che si camuffa da aggiornamento di Google Play è stato rilevato dai ricercatori di Cyble. Cos’è Antidot, cosa fa e, soprattutto, come evitare di abboccare all’amo

L'articolo Antidot, il finto aggiornamento di Google Play che ruba dati sensibili proviene da Cyber Security 360.

Il Garante privacy ha reso pubblico il nuovo provvedimento sul trattamento dei metadati delle e-mail: come il precedente, non contiene prescrizioni ma ribadisce che, alla luce del principio di accountability, chi è chiamato a definirne i tempi di conservazione resta il titolare del trattamento. Facciamo chiarezza

L'articolo E-mail e metadati: la portata (minimale) del provvedimento del Garante privacy proviene da Cyber Security 360.

When choosing a low-level language, it’s hard to beat the efficiency of Forth while also maintaining some amount of readability. There are open source options for the language which makes it accessible, and it maintains its prevalence in astronomical and other embedded systems for its direct hardware control and streamlined use of limited resources even though the language started over 50 years ago. Unlike 50 years ago, though, you can now take your own self-contained Forth programmer on the go with you.

The small computer is built on a design that [Dennis] built a while back called my4TH which has its own dedicated 8-bit CPU and can store data in a 256 kB EEPROM chip. Everything else needed for the computer is built in as well but that original design didn’t include a few features that this one adds, most notably a small 40×4 character LCD and a keyboard. The build also adds a case to tie everything together, with ports on the back for I2C and power plus an RS232 port. An optional battery circuit lets the computer power up without an external power supply as well.

Part of the appeal of Forth for systems like this is that it includes an interpreter and compiler in addition to the programming language itself, meaning that it has everything needed for a usable computer system built right in. For some more details on this unique language, or if you’d like to explore below the world of Python or C, check out [Elliot]’s discussion on the “hacker’s language.”. While Forth can tackle big problems, it can fit on tiny machines, too.

Showing off the 3D-printed hydraulics system. (Credit: Indeterminate Design, YouTube)
Hydraulics are incredibly versatile, but due to the pressures at which they operate, they are also rather expensive and not very DIY-friendly. This isn’t to say that you cannot take a fair shot at a halfway usable 3D-printed set of hydraulics, as [Indeterminate Design] demonstrates in a recent video. Although not 100% 3D-printed, it does give a good idea of how far you can push plastic-based additive manufacturing in this field.

Most interesting is the integration of the gear pump, 4-way selector valve, and relief valve into a single structure, which was printed with a resin printer (via the JLC3DP 3D print service). After bolting on the (also 3D printed) clear reservoir and assembling the rest of the structure including the MR63 ball bearings, relief spring valve, and pneumatic fittings it was ready to be tested. The (unloaded) gear pump could pump about 0.32 L/minute, demonstrating its basic functionality.

For the hydraulic cylinder, mostly non-3D printed parts were used, with a brass cylinder forming the main body. During these initial tests, plain water was used, followed by CHF11 hydraulic oil, with a pressure of about 1.3 bar (19 PSI) calculated afterward. This fairly low pressure is suspected to be caused by leaky seals (including the busted shaft seal), but as a basic proof of concept, it provides an interesting foundation for improvements.

Want a primer on hydraulics? We got you. MIT likes 3D printing with hydraulics, too (dead link, but the underlying paper link is still good).

youtube.com/embed/BfJxwzkcQqE?…

Normally, when you think of solar power, you think about photovoltaic cells or using the sun to generate steam. But engineers at Synhelion — a spin off from ETH Zurich — had a crazy idea. Could you reverse combustion and change waste products back into fuel? The answer is yes if you can use the sun to turn things up to 1,500°C.

The input is water, carbon dioxide, and methane into syngas. The pilot plant in Germany is set to begin operations using a thermal storage device to allow the plant to operate around the clock. The new plant is slated to produce several thousand liters of fuel a year. Future plants will produce more, and they are targeting a cost of $1 per liter of fuel. The pilot plant has a 20-meter-tall tower and around 1,500 square meters of mirrors, producing 600 kW of output. The hexagonal mirrors are very thin, and the plant uses drones to aim the mirrors quickly compared to other methods.

Syngas shows up a lot lately. Getting to 1,500 degrees is a big ask, although we’ve seen ETH Zurich get to 1,000 using solar.

Recentemente, è stata rinvenuta in rete una Proof of Concept (POC) per una vulnerabilità identificata come CVE-2024-34102, che colpisce le piattaforme di e-commerce Magento e Adobe Commerce. Questa vulnerabilità, rilevata dagli esperti di sicurezza di Assetnote, rappresenta una minaccia significativa poiché consente attacchi di XML entity injection senza autenticazione.

Descrizione della Vulnerabilità

La CVE-2024-34102 è una vulnerabilità di tipo XML entity injection che può essere sfruttata prima della fase di autenticazione, rendendola particolarmente pericolosa. Le piattaforme di e-commerce come Magento e Adobe Commerce sono ampiamente utilizzate per la gestione di negozi online, e una falla di questo tipo potrebbe esporre numerosi dati sensibili e compromettere la sicurezza dei server coinvolti.

Dettagli Tecnici

L’attacco sfrutta la capacità di un sistema di parsing XML di elaborare entità esterne, che consente a un attaccante di indurre il server a leggere file locali o a effettuare richieste verso altre risorse di rete. In questo specifico caso, la POC tenta di leggere file dai server target che sono vulnerabili alla CVE-2024-34102.

Questo tipo di attacco può portare a esposizioni di dati sensibili, inclusi file di configurazione, chiavi di accesso e altre informazioni critiche che possono compromettere ulteriormente la sicurezza del sistema.

Implicazioni di Sicurezza

L’impatto di questa vulnerabilità è considerevole. Un attaccante che riesce a sfruttare con successo questa falla potrebbe:

1. Accedere a file sensibili sul server vulnerabile.
2. Raccogliere informazioni critiche che possono essere utilizzate per ulteriori attacchi.
3. Compromettere la riservatezza, l’integrità e la disponibilità dei dati gestiti dal sistema di e-commerce.
4. Effettuare movimenti laterali all’interno della rete aziendale, aumentando il rischio di compromissioni più ampie.

Misure di Mitigazione

Per mitigare il rischio associato a questa vulnerabilità, è fondamentale adottare le seguenti misure:

1. Aggiornamento dei Sistemi: Assicurarsi che tutte le installazioni di Magento e Adobe Commerce siano aggiornate con le ultime patch di sicurezza rilasciate dai rispettivi fornitori.
2. Configurazione Sicura del Parser XML: Disabilitare la risoluzione delle entità esterne (External Entity Resolution) nel parser XML utilizzato dal sistema.
3. Monitoraggio dei Log: Implementare un sistema di monitoraggio dei log per rilevare attività sospette che potrebbero indicare tentativi di sfruttamento della vulnerabilità.
4. Isolamento dei Server: Isolare i server di produzione per limitare il potenziale impatto di una compromissione.

Conclusioni

La scoperta della POC per la vulnerabilità CVE-2024-34102 evidenzia ancora una volta l’importanza della sicurezza nelle piattaforme di e-commerce. Gli amministratori di sistema devono essere proattivi nell’applicazione delle patch di sicurezza e nella configurazione corretta dei propri ambienti per prevenire attacchi di questo tipo. La collaborazione con esperti di sicurezza e la continua formazione del personale addetto alla gestione dei sistemi possono contribuire significativamente a ridurre i rischi associati a queste minacce.

In conclusione, mentre le tecnologie continuano a evolversi, le vulnerabilità di sicurezza rimangono una sfida costante. La comunità IT deve rimanere vigile e reattiva per proteggere le risorse digitali e mantenere la fiducia dei propri utenti.

L'articolo Identificato POC per la Vulnerabilità CVE-2024-34102 in Magento / Adobe Commerce proviene da il blog della sicurezza informatica.

Last week, [Al Williams] wrote up a his experience with a book that provided almost too much detailed information on how to build a DIY x-ray machine for his (then) young soul to bear. He almost had to build it! Where the “almost” is probably both a bummer because he didn’t have an x-ray machine as a kid, but also a great good because it was a super dangerous build, of a typical sort for the 1950s in which it was published.

Part of me really loves the matter-of-factness with which “A Boy’s First Book of Linear Accelerators” tells you how you (yes you!) can build a 500 kV van der Graff generator. But at the same time, modern me does find the lack of safety precautions in many of these mid-century books to be a little bit spooky. Contrast this with modern books where sometimes I get the feeling that the publisher’s legal team won’t let us read about folding paper airplanes for fear of getting cut.

A number of us have built dangerous projects in our lives, and many of us have gotten away with it. Part of the reason that many of us are still here is that we understood the dangers, but I would be lying if I said that I always fully understood them. But thinking about the dangers is still our first and best line of defense. Humility about how well you understand all of the dangers of a certain project is also very healthy – if you go into it keeping an eye out for the unknown unknowns, you’re in better shape.

Safety isn’t avoiding danger, but rather minimizing it. When we publish dangerous hacks, we really try to at least highlight the most important hazards so that you know what to look out for. And over the years, I’ve learned a ton of interesting safety tricks from the comments and fellow hackers alike. My ideal, then, is the spirit of the 1950s x-ray book, which encourages you to get the hack built, but modernized so that it tells you where the dangers lie and how to handle them. If you’re shooting electrons, shouldn’t the book also tell you how to stay out of the way?

This article is part of the Hackaday.com newsletter, delivered every seven days for each of the last 200+ weeks. It also includes our favorite articles from the last seven days that you can see on the web version of the newsletter. Want this type of article to hit your inbox every Friday morning? You should sign up!