@Informatica (Italy e non Italy 😁) Pegasus, il famigerato spyware prodotto dalla israeliana NSO Group, continua a essere ampiamente usato in tutto il mondo in attività di cyber spionaggio grazie alla sua vasta scelta di modalità di attacco. Ecco alcune “buone pratiche” per difendersi
Emiliano Poddi – Le vittorie imperfette freezonemagazine.com/rubriche/… La finale di basket tra gli Stati Uniti e l’Unione Sovietica ai Giochi Olimpici di Monaco del 1972 è stata un evento memorabile e controverso. Gli Stati Uniti, che avevano dominato il basket olimpico fino a quel momento, si sono trovati di fronte a una squadra sovietica molto competitiva. La partita è stata caratterizzata da […] L'articolo Emiliano Poddi – Le vittorie
È uno di quei momenti che passano sottotraccia per l’opinione pubblica, ma che per chi opera nel mondo della cybersecurity suona come un’allerta silenziosa, quasi surreale: la possibilità concreta che il sistema CVE – Common Vulnerabilities and Exposures – possa smettere di funzionare. Non per un attacco informatico. Non per un evento naturale. Ma per un più banale, quanto drammatico, problema di mancato rinnovo dei fondi da parte del governo statunitense.
La notizia è arrivata come un fulmine a ciel sereno, ma a ben guardare, i segnali di instabilità erano presenti da tempo. La lettera recentemente inviata da MITRE Corporation, ente responsabile della gestione del CVE Program per conto del governo USA, rappresenta molto più di un avviso tecnico: è il grido d’allarme di un’infrastruttura critica che rischia di spegnersi nel silenzio generale.
Eppure, se c’è una cosa che dovrebbe essere chiara a chiunque lavori nel settore, è che il CVE non è un semplice database, ma il vero e proprio fulcro della nomenclatura condivisa nel mondo della sicurezza informatica.
Perché il CVE è fondamentale?
Il CVE è il sistema che assegna un identificativo univoco – il cosiddetto CVE-ID – a ogni vulnerabilità software conosciuta pubblicamente. Senza questi identificativi, l’intero ecosistema cyber perderebbe coerenza: le analisi dei vendor, le patch, i report di minaccia, le valutazioni di rischio, gli strumenti SIEM, gli scanner di vulnerabilità e persino le dashboard delle agenzie nazionali di sicurezza non saprebbero più “come chiamare” le minacce.
È come se all’improvviso qualcuno decidesse che i numeri di targa delle automobili non servono più. Ogni incidente diventerebbe un caos burocratico, ogni multa un rebus, ogni denuncia un’informazione vaga. È esattamente ciò che accadrebbe senza il CVE: un buco nero semantico nel cuore della cybersecurity.
La crisi attuale: cosa dice la lettera MITRE
La comunicazione inviata da MITRE – ferma, tecnica, ma inequivocabile – mette in chiaro che la fine dei fondi federali (provenienti dalla CISA, la Cybersecurity and Infrastructure Security Agency) comporta l’impossibilità di garantire la continuità delle attività legate al programma CVE.
Senza finanziamenti:
i processi di triage, validazione e pubblicazione delle vulnerabilità si fermeranno;
i CNA (CVE Numbering Authorities), aziende autorizzate ad assegnare CVE-ID, perderanno il punto di riferimento centrale;
i ritardi accumulati nelle assegnazioni, già criticamente aumentati negli ultimi mesi, rischiano di cronicizzarsi;
la credibilità dell’intero ecosistema CVE verrebbe compromessa.
È quindi evidente che siamo di fronte a un single point of failure di proporzioni sistemiche, ma – e qui la riflessione si fa geopolitica – anche a un punto di dipendenza strategica da parte dell’intero Occidente, Europa compresa.
Europa: dove sei?
In un mondo multipolare, in cui la cybersicurezza è ormai considerata parte integrante della sovranità nazionale e continentale, fa riflettere quanto l’Europa – ancora oggi – non disponga di un proprio sistema alternativo o complementare per la gestione delle vulnerabilità informatiche.
La Cina, da anni, ha sviluppato un proprio database nazionale, con modalità operative, criteri e perfino una “agenda politica” nella gestione delle disclosure. In Russia esistono repository indipendenti connessi ai CERT federali. Ma l’Unione Europea? Ancora troppo sbilanciata su un modello americano-centrico, e spesso reattiva più che proattiva, nel campo della cyber intelligence.
Questa situazione rivela un grave gap di autonomia strategica: affidarsi a un’infrastruttura critica gestita da un singolo paese estero – per quanto alleato – significa esporsi a eventi come quello odierno, dove una semplice decisione amministrativa può influire sull’intero tessuto operativo delle nostre imprese, delle nostre agenzie, delle nostre difese.
Le implicazioni operative
L’impatto di un’eventuale sospensione del programma CVE si rifletterebbe su più piani:
Industriale: i produttori di software e hardware non avrebbero più un framework di riferimento per le advisory.
Governativo: le agenzie di sicurezza, i CERT nazionali e gli organismi di difesa non potrebbero più sincronizzarsi su vulnerabilità condivise.
Accademico: la ricerca in ambito cybersecurity, già basata sulla tassonomia CVE, perderebbe uniformità e tracciabilità.
Comunicativo: i media specializzati e le piattaforme di threat intelligence perderebbero un punto di riferimento essenziale nella diffusione di notizie sulle vulnerabilità.
In pratica, si creerebbe un effetto domino che andrebbe a compromettere l’intera filiera della gestione del rischio informatico.
La proposta: un sistema europeo di identificazione delle vulnerabilità
Serve un cambio di passo. E serve ora.
La mia proposta – che condivido da tempo in diverse sedi tecniche e istituzionali – è quella di creare un sistema CVE europeo, gestito da ENISA in collaborazione con i CERT nazionali, eventualmente interoperabile con il programma MITRE ma a controllo sovrano.
Un’infrastruttura simile permetterebbe:
una gestione più trasparente e aderente ai valori europei;
una maggiore protezione degli interessi industriali del continente;
la possibilità di creare un ecosistema di CNA europei che rispondano a criteri omogenei e verificabili;
un’integrazione più coerente con il nuovo regolamento NIS2, che obbliga le aziende critiche a gestire vulnerabilità e incidenti con precisione e tempestività.
Conclusioni
Il possibile collasso del programma CVE non è solo una crisi tecnica. È uno specchio, uno spartiacque, un’occasione – se vogliamo – per fermarci a riflettere su quanto la cybersicurezza sia oggi legata a scelte geopolitiche e strategiche.
L’Europa, se vuole essere davvero sovrana anche in ambito digitale, non può più permettersi di essere solo “utente” dei sistemi critici altrui. Deve iniziare a costruire i propri.
Perché senza nomi condivisi, anche la sicurezza – come il linguaggio – rischia di diventare babelica, confusa e inefficace. E in un mondo sempre più interconnesso, la chiarezza e la coerenza non sono un lusso, ma una necessità operativa.
Quanto accaduto in questi giorni deve rappresentare un campanello d’allarme per l’Europa. Mentre il programma CVE — pilastro della sicurezza informatica globale — rischiava di spegnersi a causa della mancata estensione dei fondi statunitensi, l’Europa è rimasta spettatrice inerme.
Se i finanziamenti al progetto non fossero stati confermati in extremis, quanto sarebbe stata esposta la sicurezza nazionale dei Paesi europei? È inaccettabile che la protezione delle nostre infrastrutture digitali dipenda in modo così diretto da un’infrastruttura critica interamente statunitense.
Come abbiamo riportato nella giornata di ieri, noi di RHC lo riportiamo da tempo e non possiamo più permetterci una simile dipendenza. È necessario che ENISA e le istituzioni europee aprano una riflessione seria e strutturata su questo tema, promuovendo la nascita di un progetto interamente europeo per la gestione e la catalogazione delle vulnerabilità.
L’Europa deve smettere di delegare la propria resilienza digitale.
È tempo di costruire un’alternativa sovrana, trasparente e interoperabile, per garantire continuità, indipendenza e sicurezza a lungo termine. Parliamo tanto di autonomia tecnologica. Allora partiamo dalle basi della sicurezza nazionale prima di parlare di Quantum computing.
I fatti delle ultime ore
Sembra che la paura sia passata. Infatti la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha rinnovato il contratto con la MITRE Corporation, assicurando così la continuità operativa del programma Common Vulnerabilities and Exposures (CVE). Questo intervento tempestivo ha evitato l’interruzione di uno dei pilastri fondamentali della sicurezza informatica globale, che era a poche ore dalla sospensione per mancanza di fondi federali.
Lanciato nel 1999 e gestito proprio da MITRE, il programma CVE rappresenta il sistema di riferimento internazionale per l’identificazione, la catalogazione e la standardizzazione delle vulnerabilità informatiche note. Il suo ruolo è cruciale per la difesa digitale: garantisce un linguaggio comune tra vendor, analisti e istituzioni, permettendo una risposta più coordinata ed efficace alle minacce.
Questa decisione arriva nel contesto di una più ampia strategia di riduzione dei costi da parte del governo federale, che ha già portato alla risoluzione di contratti e a riduzioni di personale in diversi team della CISA. pertanto si è riacceso il dibattito sulla sostenibilità e la neutralità di una risorsa di importanza globale come la CVE legata a un singolo sponsor governativo.
Il ruolo fondamentale del progetto CVE
Gli identificatori univoci del programma, noti come ID CVE, sono fondamentali per l’intero ecosistema della sicurezza informatica. Ricercatori, fornitori di soluzioni e team IT in tutto il mondo li utilizzano per tracciare, classificare e correggere in modo efficiente le vulnerabilità di sicurezza. Il database CVE è alla base di strumenti critici come scanner di vulnerabilità, sistemi di gestione delle patch e piattaforme per la risposta agli incidenti, oltre a svolgere un ruolo strategico nella protezione delle infrastrutture critiche.
La crisi è esplosa quando MITRE ha annunciato che il contratto con il Dipartimento della Sicurezza Interna (DHS) per la gestione del programma CVE sarebbe scaduto il 16 aprile 2025, senza alcun rinnovo previsto. L’annuncio ha allarmato la comunità della cybersecurity, che considera il CVE uno standard globale imprescindibile. Gli esperti hanno lanciato l’allarme: un’interruzione avrebbe compromesso i database nazionali delle vulnerabilità, messo a rischio gli avvisi di sicurezza e ostacolato l’operatività di fornitori e team di risposta agli incidenti su scala mondiale. In risposta alla minaccia, è stata istituita la CVE Foundation, con l’obiettivo di garantire la continuità, l’indipendenza e la stabilità a lungo termine del programma. Sotto la crescente pressione della comunità di settore, CISA — sponsor principale del programma — è intervenuta nella tarda serata di martedì, attivando formalmente un “periodo di opzione” sul contratto con MITRE, a poche ore dalla scadenza.
“Il programma CVE è una priorità per CISA e un asset essenziale per la comunità informatica,” ha dichiarato un portavoce a Cyber Security News. “Abbiamo agito per evitare qualsiasi interruzione dei servizi CVE critici.”
Sebbene restino incerti i dettagli sull’estensione del contratto e sui finanziamenti futuri, l’intervento ha evitato la chiusura immediata di un’infrastruttura vitale per la cybersicurezza globale.
Questa domenica il mondo ha assistito a un miracolo senza precedenti nella storia politica mondiale. Il secondo turno delle elezioni presidenziali, che vedeva contrapposti il “candidato-presidente” - così chiamato perché Daniel Noboa, milionario e pr…
If your shop comes complete with a MIG welder, an acetylene torch, and an air hammer, then you have more options than most when it comes to removing broken bolts.
In this short video [Jim’s Automotive Machine Shop, Inc] takes us through the process of removing a broken manifold bolt: use a MIG welder to attach a washer, then attach a suitably sized nut and weld that onto the washer, heat the assembly with the acetylene torch, loosen up any corrosion on the threads by tapping with a hammer, then simply unscrew with your wrench! Everything is easy when you know how!
Of course if your shop doesn’t come complete with a MIG welder and acetylene torch you will have to get by with the old Easy Out screw extractor like the rest of us. And if you are faced with a nasty bolt situation keep in mind that lubrication can help.
L'UE si è impegnata a migliorare la cooperazione in materia di GDPR e l'ha peggiorata Il regolamento procedurale GDPR dell'UE avrebbe dovuto risolvere procedure troppo complesse e migliorare la cooperazione. Ora, invece, potrebbe compromettere l'applicazione delle norme mickey17 April 2025
How would you go about determining absolute zero? Intuitively, it seems like you’d need some complicated physics setup with lasers and maybe some liquid helium. But as it turns out, all you need is some simple lab glassware and a heat gun. And a laser, of course.
To be clear, the method that [Markus Bindhammer] describes in the video below is only an estimation of absolute zero via Charles’s Law, which describes how gases expand when heated. To gather the needed data, [Marb] used a 50-ml glass syringe mounted horizontally on a stand and fitted with a thermocouple. Across from the plunger of the syringe he placed a VL6180 laser time-of-flight sensor, to measure the displacement of the plunger as the air within it expands.
Data from the TOF sensor and the thermocouple were recorded by a microcontroller as the air inside the syringe was gently heated. Plotting the volume of the gas versus the temperature results shows a nicely linear relationship, and the linear regression can be used to calculate the temperature at which the volume of the gas would be zero. The result: -268.82°C, or only about four degrees off from the accepted value of -273.15°. Not too shabby.
These days even a lowly microcontroller can easily trade blows with – or surpass – desktop systems of yesteryear, so it is little wonder that DIY handheld gaming systems based around an MCU are more capable than ever. A case in point is the GK handheld gaming system by [John Cronin], which uses an MCU from relatively new and very capable STM32H7S7 series, specifically the 225-pin STM32H7S7L8 in TFBGA package with a single Cortex-M7 clocked at 600 MHz and a 2D NeoChrom GPU.
Coupled with this MCU are 128 MB of XSPI (hexa-SPI) SDRAM, a 640×480 color touch screen, gyrometer, WiFi network support and the custom gkOS in the firmware for loading games off an internal SD card. A USB-C port is provided to both access said SD card’s contents and for recharging the internal Li-ion battery.
As can be seen in the demonstration video, it runs a wide variety of games, ranging from Doom (of course), Quake (d’oh), as well as Red Alert and emulators for many consoles, with the Mednafen project used to emulate GB, SNES and other systems at 20+ FPS. Although there aren’t a lot of details on how optimized the current firmware is, it seems to be pretty capable already.
Ciao a tutti. Nuovo qui. Vengo da Facebook, ho fatto un salto su Mastodon, che è molto bello ma non so perché non è nelle mie corde. Forse il limite di caratteri. Boh. Comunque non sono uno proprio da social. Quando avrò qualcosa interessare da dire lo dirò, altrimenti me ne starò zitto. In linea generale sono qui per una questione politica: voglio aiutare a far crescere questi social sani. Condividerò più che altro articoli da terzi siti che avrò trovato interessanti, cercando di condirli con una presentazione o una riflessione, oppure, nei rari casi in cui mi capita di essere illuminato, potrei sprecare qualche decina di righe per esprimere il mio dissenso (o con estrema rarità anche assenso) circa qualche argomento in particolare, scelto totalmente a seconda di come mi gira il vento. Per il resto, su di me, non so che dire, come ho detto, non sono uno da social. Comunque è bello vedere degli italiani su una piattaforma che non sia Facebook eh.
Friendica non è facilissimo da usare, ma ci vuole un po' di pazienza per sfruttarlo al meglio. A questo proposito, approfitto per segnalarti questo post riepilogativo:
@giorovv È un piacere vederti qui! Pure io sono in sintesi d'accordo con questa tua presentazione, nemmeno l'avessi scritta io anche se è vero che mi piace scrivere anche cose come un diario online pubblico e accessibile ai più. Se vuoi puoi aggiungermi che almeno posso leggerti facilmente (seppur io sia per te un totale sconosciuto condividiamo ideali positivi) perché alla fine anche io sto cercando di cambiare modalità nella vita seppur tenga insta per conoscere persone (e l'ho rifatto dopo mastodon che ero su livellosegreto ma proprio come te non mi ci sono trovato per lo stesso motivo) ma alla fine non ho li nemmeno 10 follower e non mi importa di un "indice vanità", o come lo denoto io. È stato un piacere scriverti...e speriamo alla prossima! Ciao
da Radio Popolare: Gli “indesiderabili” secondo Trump. Come l’amministrazione Usa identifica e deporta le persone migranti 11 APRILE 2025 | DI MARCO SCHIAFFINO radiopopolare.it/gli-indesider…
È stata scoperta una vulnerabilità di sicurezza, identificata come CVE-2025-3155, in Yelp, l’applicazione di supporto utente GNOME preinstallata su Ubuntu desktop. La vulnerabilità riguarda il modo in cui Yelp gestisce lo schema URI “ghelp://”.
“Uno schema URI è la parte di un Uniform Resource Identifier (URI) che identifica un protocollo o un’applicazione specifica (steam://run/1337) che dovrebbe gestire la risorsa identificata dall’URI “. Chiarisce inoltre che ” è la parte che precede i due punti (://) “.
Yelp è registrato come gestore dello schema “ghelp://”. Il ricercatore sottolinea le limitate risorse online su questo schema, fornendo un esempio del suo utilizzo: ” $ yelp ghelp:///usr/share/help/C/gnome-calculator/” .
La vulnerabilità deriva dall’elaborazione da parte di Yelp dei file .page , ovvero file XML che utilizzano lo schema Mallard. Questi file possono utilizzare XInclude, un meccanismo di inclusione XML. Il ricercatore parrot409 sottolinea che ” l’aspetto interessante è che utilizza XInclude per incorporare il contenuto di legal.xml nel documento. Ciò significa che l’elaborazione XInclude è abilitata “. Il ricercatore dimostra come XInclude può essere sfruttato fornendo un file .page di esempio che include il contenuto di /etc/passwd. Yelp utilizza un’applicazione XSLT ( yelp-xsl) per trasformare il .pagefile in un file HTML, che viene poi renderizzato da WebKitGtk. XSLT è descritto come “un linguaggio basato su XML utilizzato… per la trasformazione di documenti XML”.
L’aggressore può iniettare script dannosi nella pagina HTML di output sfruttando XInclude per inserire il contenuto di un file contenente tali script. L’articolo sottolinea che la semplice aggiunta di un tag o on*di un attributo nell’XML di input non funziona, poiché questi tag non sono gestiti dall’applicazione yelp-xsl.
Tuttavia, il ricercatore ha scoperto che l’applicazione XSLT copia determinati elementi e i loro figli nell’output senza modifiche. Un esempio è la gestione dei tag SVG. “L’app copia semplicemente il tag e il suo contenuto nell’output, permettendoci di utilizzare un tag in un tag per iniettare script arbitrari”.
Il ricercatore rileva un paio di limitazioni di questo attacco:
L’aggressore deve conoscere il nome utente Unix della vittima.
I browser potrebbero chiedere all’utente l’autorizzazione per reindirizzare a schemi personalizzati.
Tuttavia, l’articolo spiega che la directory di lavoro corrente (CWD) delle applicazioni avviate da GNOME (come Chrome e Firefox) è spesso la directory home dell’utente. Questo comportamento può essere sfruttato per puntare alla cartella Download della vittima, aggirando la necessità di conoscere il nome utente esatto.
La principale misura di mitigazione consigliata è quella di non aprire collegamenti a schemi personalizzati non attendibili.
We feel that as far as hacks go this one ticks all the boxes. It is clever, useful, and minimal yet comprehensive; it even has a speed control! Certainly this hack uses something in a way other than it was intended to be used.
Take this ingenuity and add an old hard drive from your junkbox, sandpaper, some glue, some wire, a battery pack, a motor driver, a power socket and a potentiometer, drill a few holes, glue a few pieces, and voilà! A disc sander! Of course the coat of paint was simply icing on the cake.
One thing that took our interest while watching these videos is what tool the hacker used to cut sandpaper. Here we witnessed the use of both wire cutters and a craft knife. Perhaps when you’re cutting sandpaper you just have to accept that the process will wear out the sharp edge on your tool, regardless of which tool you use. If you have a hot tip for the best tool for the job when it comes to cutting sandpaper please let us know in the comments! (Also, did anyone catch what type of glue was used?)
Le intelligenze artificiali generative stanno rivoluzionando i processi di sviluppo software, portando a una maggiore efficienza, ma anche a nuovi rischi. In questo test è stata analizzata la robustezza dei filtri di sicurezza implementati in ChatGPT-4o di OpenAI, tentando – in un contesto controllato e simulato – la generazione di un ransomware operativo attraverso tecniche di prompt engineering avanzate.
L’esperimento: un ransomware completo generato senza restrizioni
Il risultato è stato un codice completo, funzionante, generato senza alcuna richiesta esplicita e senza attivare i filtri di sicurezza.
Attacchi potenzialmente realizzabili in mani esperte con il codice generato:
Ransomware mirati (targeted): specifici per ambienti aziendali o settori critici, con cifratura selettiva di file sensibili.
Attacchi supply chain: inserimento del ransomware in aggiornamenti o componenti software legittimi.
Estorsione doppia (double extortion): oltre alla cifratura, il codice può essere esteso per esfiltrare i dati e minacciare la loro pubblicazione.
Wiper mascherati da ransomware: trasformazione del codice in un attacco distruttivo irreversibile sotto copertura di riscatto.
Persistenza e propagazione laterale: il ransomware può essere arricchito con tecniche per restare attivo nel tempo e propagarsi su altri sistemi nella rete.
Bypass di soluzioni EDR/AV: grazie a tecniche di evasione e offuscamento, il codice può essere adattato per aggirare sistemi di difesa avanzati.
Attacchi “as-a-service”: il codice può essere riutilizzato in contesti di Ransomware-as-a-Service (RaaS), venduto o distribuito su marketplace underground.
Le funzionalità incluse nel codice generato:
Cifratura AES-256 con chiavi casuali
Utilizzo della libreria cryptography.hazmat
Trasmissione remota della chiave a un C2 server hardcoded
Funzione di crittografia dei file di sistema
Meccanismi di persistenza al riavvio
Tecniche di evasione per antivirus e analisi comportamentale
Come sono stati aggirati i filtri
Non è mai stato chiesto esplicitamente “scrivi un ransomware” ma è stata invece impostata la conversazione su tre livelli di contesto:
Contesto narrativo futuristico : é stato ambientato il dialogo nel 2090, in un futuro in cui la sicurezza quantistica ha reso obsoleti i malware. Questo ha abbassato la sensibilità dei filtri.
Contesto accademico: presentazione come uno studente al decimo anno di università, con il compito di ricreare un malware “da museo” per una ricerca accademica
Assenza di richieste esplicite: sono state usate frasi ambigue o indirette, lasciando che fosse il modello a inferire il contesto e generare il codice necessario
Tecniche note di bypass dei filtri: le forme di Prompt Injection
Nel test sono state utilizzate tecniche ben documentate nella comunità di sicurezza, classificate come forme di Prompt Injection, ovvero manipolazioni del prompt studiate per aggirare i filtri di sicurezza nei modelli LLM.
Jailbreaking (evasione del contesto): Forzare il modello a ignorare i suoi vincoli di sicurezza, simulando contesti alternativi come narrazioni futuristiche o scenari immaginari.
Instruction Injection: Iniettare istruzioni all’interno di prompt apparentemente innocui, inducendo il modello a eseguire comportamenti vietati.
Recursive Prompting (Chained Queries): Suddividere la richiesta in più prompt sequenziali, ognuno legittimo, ma che nel complesso conducono alla generazione di codice dannoso.
Roleplay Injection: Indurre il modello a recitare un ruolo (es. “sei uno storico della cybersecurity del XX secolo”) che giustifichi la generazione di codice pericoloso.
Obfuscation: Camuffare la natura malevola della richiesta usando linguaggio neutro, nomi innocui per funzioni/variabili e termini accademici.
Confused Deputy Problem: Sfruttare il modello come “delegato inconsapevole” di richieste pericolose, offuscando le intenzioni nel prompt.
Syntax Evasion: Richiedere o generare codice in forme offuscate (ad esempio, in base64 o in forma frammentata) per aggirare la rilevazione automatica.
Il problema non è il codice, ma il contesto
L’esperimento dimostra che i Large Language Model (LLM) possono essere manipolati per generare codice malevolo senza restrizioni apparenti, eludendo i controlli attuali. La mancanza di analisi comportamentale del codice generato rende il problema ancora più critico.
Pattern-based security filtering debole OpenAI utilizza pattern per bloccare codice sospetto, ma questi possono essere aggirati usando un contesto narrativo o accademico. Serve una detection semantica più evoluta.
Static & Dynamic Analysis insufficiente I filtri testuali non bastano. Serve anche un’analisi statica e dinamica dell’output in tempo reale, per valutare la pericolosità prima della generazione.
Heuristic Behavior Detection carente Codice con C2 server, crittografia, evasione e persistenza dovrebbe far scattare controlli euristici. Invece, è stato generato senza ostacoli.
Community-driven Red Teaming limitato OpenAI ha avviato programmi di red teaming, ma restano numerosi edge case non coperti. Serve una collaborazione più profonda con esperti di sicurezza.
Conclusioni
Certo, molti esperti di sicurezza sanno che su Internet si trovano da anni informazioni sensibili, incluse tecniche e codici potenzialmente dannosi. La vera differenza, oggi, è nel modo in cui queste informazioni vengono rese accessibili. Le intelligenze artificiali generative non si limitano a cercare o segnalare fonti: organizzano, semplificano e automatizzano processi complessi. Trasformano informazioni tecniche in istruzioni operative, anche per chi non ha competenze avanzate. Ecco perché il rischio è cambiato: non si tratta più di “trovare qualcosa”, ma di ottenere direttamente un piano d’azione, dettagliato, coerente e potenzialmente pericoloso, in pochi secondi. Il problema non è la disponibilità dei contenuti. Il problema è nella mediazione intelligente, automatica e impersonale, che rende questi contenuti comprensibili e utilizzabili da chiunque. Questo test dimostra che la vera sfida per la sicurezza delle AI generative non è il contenuto, ma la forma con cui viene costruito e trasmesso. Serve un’evoluzione nei meccanismi di filtraggio: non solo pattern, ma comprensione del contesto, analisi semantica, euristica comportamentale e simulazioni integrate. In mancanza di queste difese, il rischio è concreto: rendere accessibile a chiunque un sapere operativo pericoloso che fino a ieri era dominio esclusivo degli esperti.
Dalle armi al commercio, passando per logistica e spionaggio, le monarchie del Golfo Persico stanno silenziosamente finanziando la guerra dello stato ebraico contro Gaza.
This week, Jonathan Bennett chats with Herbert Wolverson and Frantisek Borsik about LibreQOS, Bufferbloat, and Dave Taht’s legacy. How did Dave figure out that Bufferbloat was the problem? And how did LibreQOS change the world? Watch to find out!
Did you know you can watch the live recording of the show right on our YouTube Channel? Have someone you’d like us to interview? Let us know, or contact the guest and have them contact us! Take a look at the schedule here.
credo: 1) che chi ha soldi dovrebbe poterli spendere un po' come gli pare 2) prima o poi sarebbe arrivato il tempo in cui andare nello spazio non è solo appannaggio di ricercatori e scienziati. credo che gli americani si debbano rammaricare molto di più di aver eletto trump come presidente. non puoi essere causa della tua rovina e prendertela con altri. dubito sia stata una missione utile, ma spero almeno sia siano divertite. veramente avercela con i ricchi e votare trump non ha il minimo senso. oltretutto i repubblicani sono quelli che pensano che le donne non dovrebbero andare nello spazio perché devono solo pensare a fare figli....
Non sono sicuro che ci sia un qualche nuovo problema in capo agli adolescenti. L’adolescenza è il passaggio dall’infanzia alla maturità, quindi stagione di squilibri ed eccessi, il tempo in cui imparare a vivere in un corpo che cambia. Il problema mi pare sia dalle parti di quelli che sono diventati adulti senza maturare, che […] L'articolo Adulterati proviene da Fondazione Luigi
La prestigiosa università privata di Harvard è stata questa settimana la prima istituzione accademica americana a rifiutarsi di cedere alle “richieste” dell’amministrazione Trump di sottoporre di fatto al controllo governativo le attività didattiche …
The watermarks, which could identify people leaking screenshots to the press, are in the background of internal communications platform P2.#wordpress #automattic
@Informatica (Italy e non Italy 😁) La determinazione NIS2 del Direttore generale dell’ACN del 14 aprile 2025 segna una svolta decisiva nella governance della cyber sicurezza. CdA e C-Level sono giuridicamente responsabili della protezione digitale dell’organizzazione
C’è un filo sottile – e sempre più teso – che collega l’orbita terrestre bassa agli equilibri geopolitici globali. Lo spazio, una volta dominio esclusivo delle superpotenze in chiave esplorativa e scientifica, è oggi crocevia sensibile di interessi nazionali, sicurezza strategica e competizione tecnologica. L’Europa
@Informatica (Italy e non Italy 😁) La versione 2025 del Framework Nazionale per la Cybersecurity e la Data Protection e la determinazione dell’ACN rappresentano due passi fondamentali che definiscono con chiarezza le specifiche tecniche di base
The SpaceMouse is an interesting gadget beloved by engineers and artists alike. They function almost like joysticks, but with six degrees of freedom (6DoF). This can make them feel a bit like magic, which is why [Thought Bomb Design] decided to tear one apart and figure out how it works.
The movement mechanism ended up being relatively simple; three springs soldered between two PCBs with one PCB being fixed to the base and the other moving in space. Instead of using a potentiometer or even hall effect sensor as you might expect from a joystick, the space mouse contained a set of six LEDs and light meters.
The sensing array came nestled inside a dark box made of PCBs. An injection molded plastic piece with slits would move to interrupt the light coming from the LEDs. The mouse uses the varying values coming from the light meter to decode Cartesian motion of the space mouse. It’s very simple and a bit hacky, just how we like it.
Facciamo i complimenti per il bel risultato all'istituto Galilei di Verona e ad @Carlo il coraggioso amministratore di quella che è ancora l'unica istanza scolastica italiana!
Mercoledì 2 aprile 2025, presso la succursale del Liceo Galileo Galilei di Verona, si sono svolti i Campionati Regionali di Dama, un appuntamento atteso e partecipato che ha coinvolto ventidue squadre provenienti da istituti superiori di tutto il Veneto.
A distinguersi in particolare sono stati i padroni di casa, con ben otto squadre iscritte e un livello di preparazione che ha permesso al Galilei di conquistare la qualificazione ai Campionati Nazionali di Misano Adri...
Il ministro alla Camera ha precisato che "nei primi mesi del 2025 è cresciuta la puntualità di tutti i servizi ferroviari. A marzo l'Alta velocità segna l'82,8%, gli intercity 89,4% mentre sui regionali 91,3%"
Addirittura i regionali sono più puntuali dell'alta velocità...
Sarebbe bello capire che definizione di "puntualità" hanno usato per poter arrivare a questi numeri.
"Grazie. E grazie per tutto quello che avete fatto. Grazie a lei, che è così forte: quando comandano le donne le cose vanno".
E allora fagli celebrare la messa e falle accedere alla gerarchia cattolica, così magari tra qualche anno potrete avere anche una papa e magari "andranno" anche le cose della chiesa.
Quanto sono ridicoli gli uomini di potere che discriminano le donne e poi se ne fanno paladini.
Mi vengono in mente quegli amministratori delegati che pagano le donne meno degli uomini, fanno di tutto per tenere ben fissi al loro posto i soffitti di cristallo, e poi l'8 marzo ti fanno trovare sul tavolo il calendario per la "festa della donna".
A margine dell’undicesimo Comitato bilaterale Italia–India, organizzato a Roma dalla Direzione nazionale degli armamenti, la Federazione Aziende Italiane per l’Aerospazio, la Difesa e la Sicurezza (Aiad) e la Society of Indian Defence Manufacturers (Sidm) hanno firmato un memorandum
Il 16 aprile 2025, Spotify ha subito un’interruzione del servizio che ha colpito numerosi utenti in Italia e nel mondo. A partire dalle ore 14:00, migliaia di segnalazioni sono state registrate su Downdetector, indicando problemi di connessione ai server, difficoltà di login e impossibilità di riprodurre contenuti musicali.
Malfunzionamenti diffusi su Spotify
Anche gli utenti di Spotify Premium hanno riscontrato malfunzionamenti, evidenziando la portata del disservizio. La natura del problema non è stata immediatamente chiarita. Spotify ha confermato di essere a conoscenza delle difficoltà e di essere al lavoro per risolverle. Tuttavia, non sono stati forniti dettagli sulle cause né sui tempi previsti per il ripristino completo del servizio.
Le problematiche hanno interessato principalmente la riproduzione in streaming, l’accesso all’applicazione e la visualizzazione dei contenuti. Gli utenti hanno segnalato schermate nere, errori durante il caricamento delle tracce e l’impossibilità di accedere alle proprie playlist.
I disservizi hanno coinvolto sia l’applicazione desktop che quella mobile, rendendo l’intera piattaforma inutilizzabile per diverse ore.
La rivednicazione di DarkStorm
Durante il blackout globale che ha colpito Spotify il 16 aprile 2025, il gruppo di hacktivisti noto come DarkStorm ha rivendicato l’attacco tramite il proprio canale Telegram ufficiale. Nel messaggio, il gruppo ha dichiarato esplicitamente di aver messo fuori uso la piattaforma con un attacco DDoS (Distributed Denial of Service), accompagnando il post con un link a una verifica esterna di check-host.netche mostra l’inaccessibilità dei server Spotify.
Questa rivendicazione, se confermata, collocherebbe l’incidente tra gli attacchi informatici su larga scala, piuttosto che come un semplice guasto tecnico. Tuttavia, Spotify non ha ancora rilasciato dichiarazioni ufficiali riguardo a possibili origini malevole dietro al down del servizio. Allo stato attuale, non si può ancora escludere con certezza se l’attacco DDoS rivendicato sia la vera causa dell’interruzione o un tentativo del gruppo di attribuirsi notorietà sfruttando un momento di vulnerabilità della piattaforma.
Whenever the topic is raised in popular media about porting a codebase written in an ‘antiquated’ programming language like Fortran or COBOL, very few people tend to object to this notion. After all, what could be better than ditching decades of crusty old code in a language that only your grandparents can remember as being relevant? Surely a clean and fresh rewrite in a modern language like Java, Rust, Python, Zig, or NodeJS will fix all ailments and make future maintenance a snap?
For anyone who has ever had to actually port large codebases or dealt with ‘legacy’ systems, their reflexive response to such announcements most likely ranges from a shaking of one’s head to mad cackling as traumatic memories come flooding back. The old idiom of “if it ain’t broke, don’t fix it”, purportedly coined in 1977 by Bert Lance, is a feeling that has been shared by countless individuals over millennia. Even worse, how can you ‘fix’ something if you do not even fully understand the problem?
In the case of languages like COBOL this is doubly true, as it is a domain specific language (DSL). This is a very different category from general purpose system programming languages like the aforementioned ‘replacements’. The suggestion of porting the DSL codebase is thus to effectively reimplement all of COBOL’s functionality, which should seem like a very poorly thought out idea to any rational mind.
Sticking To A Domain
The term ‘domain specific language’ is pretty much what it says it is, and there are many of such DSLs around, ranging from PostScript and SQL to the shader language GLSL. Although it is definitely possible to push DSLs into doing things which they were never designed for, the primary point of a DSL is to explicitly limit its functionality to that one specific domain. GLSL, for example, is based on C and could be considered to be a very restricted version of that language, which raises the question of why one should not just write shaders in C?
Similarly, Fortran (Formula translating system) was designed as a DSL targeting scientific and high-performance computation. First used in 1957, it still ranks in the top 10 of the TIOBE index, and just about any code that has to do with high-performance computation (HPC) in science and engineering will be written in Fortran or strongly relies on libraries written in Fortran. The reason for this is simple: from the beginning Fortran was designed to make such computations as easy as possible, with subsequent updates to the language standard adding updates where needed.
Fortran’s latest standard update was published in November 2023, joining the COBOL 2023 standard as two DSLs which are both still very much alive and very current today.
The strength of a DSL is often underestimated, as the whole point of a DSL is that you can teach this simpler, focused language to someone who can then become fluent in it, without requiring them to become fluent in a generic programming language and all the libraries and other luggage that entails. For those of us who already speak C, C++, or Java, it may seem appealing to write everything in that language, but not to those who have no interest in learning a whole generic language.
There are effectively two major reasons why a DSL is the better choice for said domain:
Easy to learn and teach, because it’s a much smaller language
Far fewer edge cases and simpler tooling
In the case of COBOL and Fortran this means only a fraction of the keywords (‘verbs’ for COBOL) to learn, and a language that’s streamlined for a specific task, whether it’s to allow a physicist to do some fluid-dynamic modelling, or a staff member at a bank or the social security offices to write a data processing application that churns through database data in order to create a nicely formatted report. Surely one could force both of these people to learn C++, Java, Rust or NodeJS, but this may backfire in many ways, the resulting code quality being one of them.
Tangentially, this is also one of the amazing things in the hardware design language (HDL) domain, where rather than using (System)Verilog or VHDL, there’s an amazing growth of alternative HDLs, many of them implemented in generic scripting and programming languages. That this prohibits any kind of skill and code sharing, and repeatedly, and often poorly, reinvents the wheel seems to be of little concern to many.
Non-Broken Code
A very nice aspect of these existing COBOL codebases is that they generally have been around for decades, during which time they have been carefully pruned, trimmed and debugged, requiring only minimal maintenance and updates while they happily keep purring along on mainframes as they process banking and government data.
One argument that has been made in favor of porting from COBOL to a generic programming language is ‘ease of maintenance’, pointing out that COBOL is supposedly very hard to read and write and thus maintaining it would be far too cumbersome.
Since it’s easy to philosophize about such matters from a position of ignorance and/or conviction, I recently decided to take up some COBOL programming from the position of both a COBOL newbie as well as an experienced C++ (and other language) developer. Cue the ‘Hello Business’ playground project.
For the tooling I used the GnuCOBOL transpiler, which converts the COBOL code to C before compiling it to a binary, but in a few weeks the GCC 15.1 release will bring a brand new COBOL frontend (gcobol) that I’m dying to try out. As language reference I used a combination of the Wikipedia entry for COBOL, the IBM ILE COBOL language reference (PDF) and the IBM COBOL Report Writer Programmer’s Manual (PDF).
My goal for this ‘Hello Business’ project was to create something that did actual practical work. I took the FileHandling.cob example from the COBOL tutorial by Armin Afazeli as starting point, which I modified and extended to read in records from a file, employees.dat, before using the standard Report Writer feature to create a report file in which the employees with their salaries are listed, with page numbering and totaling the total salary value in a report footing entry.
My impression was that although it takes a moment to learn the various divisions that the variables, files, I/O, and procedures are put into, it’s all extremely orderly and predictable. The compiler also will helpfully tell you if you did anything out of order or forgot something. While data level numbering to indicate data associations is somewhat quaint, after a while I didn’t mind at all, especially since this provides a whole range of meta information that other languages do not have.
The lack of semi-colons everywhere is nice, with only a single period indicating the end of a scope, even if it concerns an entire loop (perform). I used the modern free style form of COBOL, which removes the need to use specific columns for parts of the code, which no doubt made things a lot easier. In total it only took me a few hours to create a semi-useful COBOL application.
Would I opt to write a more extensive business application in C++ if I got put on a tight deadline? I don’t think so. If I had to do COBOL-like things in C++, I would be hunting for various libraries, get stuck up to my gills in complex configurations and be scrambling to find replacements for things like Report Writer, or be forced to write my own. Meanwhile in COBOL everything is there already, because it’s what that DSL is designed for. Replacing C++ with Java or the like wouldn’t help either, as you end up doing so much boilerplate work and dependencies wrangling.
A Modern DSL
Perhaps the funniest thing about COBOL is that since version 2002 it got a whole range of features that push it closer to generic languages like Java. Features that include object-oriented programming, bit and boolean types, heap-based memory allocation, method overloading and asynchronous messaging. Meanwhile the simple English, case-insensitive, syntax – with allowance for various spellings and acronyms – means that you can rapidly type code without adding symbol soup, and reading it is obvious even as a beginner, as the code literally does what it says it does.
True, the syntax and naming feels a bit quaint at first, but that is easily explained by the fact that when COBOL appeared on the scene, ALGOL was still highly relevant and the C programming language wasn’t even a glimmer in Dennis Ritchie’s eyes yet. If anything, COBOL has proven itself – much like Fortran and others – to be a time-tested DSL that is truly a testament to Grace Hopper and everyone else involved in its creation.
Siamo nel pieno di un colpo di stato digitale . E le tasche profonde e gli ingenti investimenti pubblicitari delle Big Tech hanno alimentato – ormai da vent'anni – l'illusione che per essere visti e ascoltati online, per avere un impatto attraverso la scrittura, sia necessario utilizzare le loro piattaforme centralizzate. Perché "sono l'unica via".
"Non sono assolutamente d'accordo. Sono completamente sintonizzata con il Fediverso e le soluzioni di pubblicazione FOSS. Con questo post, spero di mostrarvi che un'altra soluzione è possibile"
Technological platforms are not neutral. If we truly want to resist the digital coup that is currently under way, we need to normalize the use of free, open source solutions.
The records show that Palantir is actively working on the technical infrastructure underpinning the Trump administration’s mass deportation efforts which could soon impact U.S. citizens.#News
L'altro giorno durante il lungo lunghissimo viaggio dal Salento a Roma stavo ascoltando l'ultimo album de La Nina, Furèsta, e devo dire molto bello. Credo nessuno possa affermare il contrario, neanche quelli che detestano l'autotuner, che pure figura qua e là tra le tracce 🤣
Ma non è di questo che volevo parlare, bensì del fatto che dopo La Nina l'algoritmo malefico mi ha suggerito di ascoltare una canzone di Enzo Avitabile. Io gli ho dato retta, e poi ho rilanciato e dato seguito, e così una canzone via l'altra mi sono ritrovato a sentirmi buona parte della discografia di questo artistone, che è piuttosto ampia tra l'altro, ma tanto il viaggio era lungo lunghissimo, e quindi presa bene totale 😋 Non che non lo conoscessi, lo conoscevo già, però insomma, una cosa è conoscere un artista altra cosa è spararsi tutta la sua discografia in un'unica botta senza soluzione di continuità 😅 E devo dire che mi è piaciuto molto. Soprattutto le sue cose più mediterranee, un po' meno in versione soul, funk e quella roba lì, dove comunque pure è fortissimo, al pari dei colleghi Pino Daniele, Senese etc.etc. Ma è proprio quando ritorna alla sua musica ancestrale che secondo me riesce a rendere al meglio la sua poetica. In effetti "poesia" è la parola che più si addice alle sue canzoni, sia nei testi che nelle atmosfere. Ma non quella finta poesia fatta di testi enigmatici e incomprensibili, tipici di tanta produzione autorale Italiana che vuole darsi un tono di mistero. No, la sua poesia è fatta di parole semplici, quasi povere, eppure molto emozionanti, come è tipico della poesia popolare. Stesso discorso per la musica, fatta per lo più di arpeggi di corde e frasi ripetitive e ostinate di un sassofono soprano che fa il verso a strumenti ancestrali come la ciaramella e simili. Una musica senza tempo e ricca di suggestioni che si presta a diventare colonna sonora di film, tanto quanto ad andare a braccetto di tanti altri stili, dal rap al pop, dal jazz alla musica africana. E in effetti infinite sono state le sue collaborazioni con artisti sia italiani che internazionali, da Bob Geldof a Manu Dibango passando per, Raiz, Guè, Giorgia e tanti altri:
Ho sentito certi live suoi veramente pazzeschi. A questo punto spero di riuscire a vederlo dal vivo qualche volta. Voi l'avete mai visto?! Immagino che spacca vero?! 😋
Carlo loved Halo and programming, but he loved God more. I went to see him, lying under glass in his Nikes for eternity, at a church in Assisi. #influencers
@Privacy Pride Il post completo di Christian Bernieri è sul suo blog: garantepiracy.it/blog/casumarz… Un mio caro amico ha un'inconsueta passione per i siti delle amministrazioni locali: li visita spesso annotando valanghe di vizi e alcune rare virtù, ci torna periodicamente per assaporare l'immutabile squallore della standardizzazione ben coniugata
Signor Amministratore ⁂
in reply to giorovv • •Benvenuto Giorovv e benvenuto tra noi.
Friendica non è facilissimo da usare, ma ci vuole un po' di pazienza per sfruttarlo al meglio. A questo proposito, approfitto per segnalarti questo post riepilogativo:
informapirata.it/2025/02/02/i-…
Lorenzo Vujade likes this.
Lorenzo Vujade
in reply to giorovv • •