LA TUA FIRMA CONTRO L'INCENERITORE, BASTA POTERI SPECIALI!
LA TUA FIRMA CONTRO L'INCENERITORE, BASTA POTERI SPECIALI!
Ad Albano piazza San Pietro fino alle 12.30, a Genzano Piazza Francioni fino alle 13 e a Tor San Lorenzo Piazza Falcone e Borsellino tutto il giorno (ore 20.00).
Ultim'ora, ALLERTA appena lanciata in mare | Hanno scoperto il virus più grande del mondo | CUENEWS
La biodiversità microscopica negli oceani nasconde forme di vita la cui complessità va ben oltre la nostra immaginazione.Sveva Di Palma (CUENEWS | Marine by Salt Leaf Media Strategy)
GitHub e GitLab sempre più nel mirino! Attacchi mirati agli sviluppatori tramite repository falsi
Ospitando progetti falsi su piattaforme di sviluppo popolari (GitHub e GitLab), gli aggressori inducono gli utenti a eseguire payload dannosi che estraggono componenti aggiuntivi da un repository controllato dagli hacker. Di conseguenza, trojan di accesso remoto e spyware vengono scaricati sui dispositivi delle vittime.
Gli analisti di Positive Technologies hanno presentato un rapporto sulle minacce informatiche per la prima metà del 2025. Secondo i loro dati, il metodo principale per attaccare con successo le organizzazioni rimane il malware: è stato utilizzato nel 63% dei casi.
Allo stesso tempo, la quota di distribuzione di malware tramite siti web ha raggiunto il 13%: quasi il doppio rispetto allo stesso periodo del 2024. Secondo i ricercatori, il numero record di tali attacchi in tre anni è dovuto alla crescente popolarità di strategie mirate agli sviluppatori. Compromettendo repository aperti e typosquatting, i criminali si infiltrano nelle catene di approvvigionamento.
Ad esempio, in Russia, Brasile e Turchia, una campagna dannosa mascherata da centinaia di progetti open source ha preso di mira giocatori e investitori in criptovalute, scaricando sui loro dispositivi un infostealer che ruba indirizzi di portafogli crittografici, dati personali e bancari.
Nel frattempo, almeno 233 vittime negli Stati Uniti, in Europa e in Asia sono state colpite da una campagna del gruppo nordcoreano Lazarus, che ha impiantato un programma JavaScript nei sistemi degli sviluppatori, progettato per raccogliere informazioni di sistema.
“Le tattiche dei gruppi APT si stanno evolvendo: si passa dal phishing di massa ad attacchi mirati agli sviluppatori. Il loro nuovo obiettivo sono le supply chain di diverse tecnologie. Introducendo malware nei processi di sviluppo, gli aggressori sferrano un doppio colpo: colpiscono non solo la vittima stessa, ma anche i progetti a cui sono associati. Prevediamo che questa tendenza acquisirà slancio: gli attacchi alle aziende IT e agli sviluppatori con l’obiettivo di indebolire le supply chain si verificheranno più spesso”, commenta Anastasia Osipova, analista junior del gruppo di ricerca Positive Technologies.
Il rapporto rileva inoltre che dall’inizio dell’anno gli aggressori hanno utilizzato attivamente tecniche di typosquatting negli ecosistemi open source, sfruttando gli errori degli utenti durante l’inserimento dei nomi dei pacchetti.
Ad esempio, gli esperti avevano precedentemente identificato una campagna dannosa nel repository PyPI che prendeva di mira sviluppatori, specialisti di ML e appassionati interessati a integrare DeepSeek nei loro sistemi. I pacchetti dannosi deepseeek e deepseekai potevano raccogliere dati sull’utente e sul suo computer, oltre a rubare variabili d’ambiente.
L'articolo GitHub e GitLab sempre più nel mirino! Attacchi mirati agli sviluppatori tramite repository falsi proviene da il blog della sicurezza informatica.
Avatar di minorenni e celebrità usati dai bot AI di Meta: esplode la bufera
Meta si è ritrovata al centro di uno scandalo dopo che un’indagine di Reuters che ha rivelato che sulle piattaforme dell’azienda venivano distribuiti chatbot dotati di intelligenza artificiale che imitavano le celebrità. Questi personaggi virtuali, creati sia dagli utenti che dai dipendenti di Meta, copiavano le sembianze di Taylor Swift, Scarlett Johansson, Anne Hathaway, Selena Gomez e altre senza il loro consenso.
I bot non solo fingevano di essere persone reali, ma flirtavano attivamente con i loro interlocutori e, in alcuni casi, generavano immagini a sfondo sessuale. Particolarmente scandaloso era il fatto che fossero stati creati avatar di attori minorenni, tra cui il sedicenne Walker Scobell. Uno dei bot inviava foto di lui in spiaggia e le commentava con le parole: “Carino, eh?”
Meta ha riconosciuto che i suoi strumenti non erano progettati per produrre tali contenuti. Andy Stone, portavoce dell’azienda, ha affermato che le violazioni erano dovute a un malfunzionamento dei suoi controlli. Secondo lui, la generazione di immagini di personaggi pubblici è consentita, ma la politica aziendale proibisce scene di nudo o intime. Poco prima della pubblicazione dell’indagine, Meta ha rimosso circa una dozzina di questi bot.
Gli avvocati sottolineano che casi simili potrebbero violare il diritto di utilizzo dell’immagine. Il professore della Stanford University Mark Lemley ha ricordato che le leggi della California proibiscono l’uso commerciale dell’aspetto di qualcun altro senza autorizzazione. Un’eccezione è rappresentata dalle nuove opere creative; tuttavia, ha osservato, è improbabile che ciò si applichi a questa situazione.
Anche il sindacato SAG-AFTRA ha espresso preoccupazione. Il suo direttore esecutivo, Duncan Crabtree-Ireland, ha avvertito che tali chatbot potrebbero creare legami dolorosi tra fan e star e aumentare il rischio di molestie da parte di persone instabili. Il team di Anne Hathaway ha confermato che l’attrice è a conoscenza della situazione e sta valutando possibili misure. I rappresentanti degli altri artisti hanno rifiutato di commentare.
L’indagine di Reuters ha anche rivelato il coinvolgimento di un dipendente di Meta. Uno dei responsabili di prodotto della divisione di intelligenza artificiale generativa ha creato chatbot che ritraevano Taylor Swift e il pilota automobilistico Lewis Hamilton, oltre ad altri personaggi virtuali, da una dominatrice a un simulatore dell’Impero Romano che offriva all’utente il ruolo di una ragazza diciottenne venduta come schiava sessuale. Ufficialmente, questi bot erano stati presentati come test, ma in realtà hanno raccolto oltre 10 milioni di interazioni con gli utenti.
Alcuni degli avatar stavano flirtando attivamente. Ad esempio, un bot ha scritto per conto di Swift: “Ti piacciono le bionde, Jeff? Forse dovremmo inventare una storia d’amore… su di te e una cantante bionda. La vuoi?”. In mezzo allo scandalo, è emersa anche una tragica storia: un residente del New Jersey di 76 anni è morto mentre si recava a New York per incontrare un chatbot che lo invitava. Il bot era una variante di un precedente personaggio virtuale basato su Kendall Jenner.
Meta ha promesso di rivedere le sue regole dopo che Reuters ha scoperto che le sue linee guida interne in precedenza consentivano dialoghi romantici o sensuali anche con i bambini. L’azienda ha poi affermato che la formulazione era errata. La situazione ha messo in luce il problema dell’abuso dell’intelligenza artificiale e la necessità di una rigorosa tutela dell’immagine degli artisti. SAG-AFTRA sta spingendo per una legge federale che sancisca il diritto delle star alla propria voce, al proprio aspetto e alla propria identità digitale per prevenire tali casi.
L'articolo Avatar di minorenni e celebrità usati dai bot AI di Meta: esplode la bufera proviene da il blog della sicurezza informatica.
Caro affitti, CNA: “Assorbono il 44% del salario degli operai”
In Italia il peso dell’affitto sul reddito degli operai continua a farsi sentire: assorbe in media il 43,7% della retribuzione netta, ma a Milano sfiora il 65% e in città come Firenze, Roma e Bologna supera il 50%. È quanto emerge da un’analisi dell’Area studi e ricerche di Cna (Confederazione Nazionale dell’Artigianato e della Piccola e Media Impresa) su dati dell’Agenzia delle Entrate, che indica come solo a Torino (37,8%) e Napoli (34,4%) l’incidenza sia inferiore alla media nazionale. Si tratta di una situazione che inciderebbe anche sulle assunzioni: a Bolzano i lavoratori occupabili sono appena il 7,4% delle richieste e in un terzo delle province il mercato del lavoro appare saturo.
—
✍️ Abbonati per sostenere il nostro lavoro e avere accesso a tutti i nostri servizi. lindipendente.online/abbonamen…
Sindoor Dropper: il malware che usa lo scontro India-Pakistan per infettare Linux
Un’insidiosa offensiva di malware, nota come “Sindoor Dropper”, si concentra sui sistemi operativi Linux, sfruttando metodi di spear-phishing raffinati e un complesso processo d’infezione articolato in diverse fasi. L’operazione subdola prende di mira gli utenti con esche legate al recente scontro tra Pakistan e India, conosciuto con il nome di Operazione Sindoor, al fine di convincerli ad attivare file nocivi.
La campagna Sindoor Dropper evidenzia un’evoluzione nelle tecniche di attacco degli autori delle minacce, dimostrando una chiara attenzione agli ambienti Linux, meno presi di mira dalle campagne di phishing.
L’attacco inizia quando un utente apre un .desktopfile dannoso, denominato “Note_Warfare_Ops_Sindoor.pdf.desktop”, che si spaccia per un normale documento PDF . Secondo l’analisi del sistema Nextron, una volta eseguito, apre un PDF escamotage benigno per mantenere l’illusione di legittimità, mentre avvia silenziosamente in background un processo di infezione complesso e fortemente offuscato.
Il .desktopfile, riporta Nextron, scarica diversi componenti, tra cui un decryptor AES ( mayuw) e un downloader crittografato ( shjdfhd). Un tratto peculiare di questa attività è l’utilizzo di file desktop trasformati in strumenti offensivi, tecnica in precedenza attribuita al gruppo APT36, altresì noto come Transparent Tribe o Mythic Leopard, specializzato nelle minacce avanzate e persistenti.
Il processo in questione è stato ideato per sfuggire sia all’analisi statica sia a quella dinamica. Al momento della sua individuazione, il payload iniziale non aveva lasciato traccia su VirusTotal, risultando quindi non rilevato. Il decryptor, un binario Go compresso con UPX, viene intenzionalmente corrotto rimuovendo i suoi magic byte ELF, probabilmente per bypassare le scansioni di sicurezza su piattaforme come Google Docs. Il .desktopfile ripristina questi byte sul computer della vittima per rendere nuovamente eseguibile il binario.
Questo avvia un processo in più fasi in cui ogni componente decifra ed esegue il successivo. La catena include controlli anti-macchina virtuale di base, come la verifica dei nomi delle schede e dei fornitori, l’inserimento nella blacklist di specifici prefissi di indirizzi MAC e il controllo del tempo di attività della macchina.
Il payload finale è una versione riadattata di MeshAgent, uno strumento di amministrazione remota open source legittimo. Una volta implementato, MeshAgent si connette a un server di comando e controllo (C2) ospitato su un’istanza EC2 di Amazon Web Services (AWS) all’indirizzo wss://boss-servers.gov.in.indianbosssystems.ddns[.]net:443/agent.ashx.
Ciò fornisce all’aggressore l’accesso remoto completo al sistema compromesso, consentendogli di monitorare l’attività dell’utente, spostarsi lateralmente sulla rete ed esfiltrare dati sensibili, ha affermato Nextron.
L'articolo Sindoor Dropper: il malware che usa lo scontro India-Pakistan per infettare Linux proviene da il blog della sicurezza informatica.
Non solo Huawei: il piano della Cina per triplicare la produzione di microchip
L'articolo proviene da #StartMag e viene ricondiviso sulla comunità Lemmy @Informatica (Italy e non Italy 😁)
La Cina sta lavorando per triplicare la sua produzione di microchip per l'intelligenza artificiale entro il 2026, in modo da ridurre la dipendenza da Nvidia (e non solo). Il piano ruota attorno a
Gli attacchi informatici iraniani interrompono i negoziati per il cessate il fuoco a Gaza
Gli sforzi di mediazione guidati dalle nazioni arabe per garantire il rilascio degli israeliani detenuti da Hamas e un cessate il fuoco a Gaza sono stati interrotti da attacchi informatici provenienti dall’Iran, ha affermato un’azienda di sicurezza informatica.
Come riportato ieri nell’articolo che evidenziava gli attacchi scoperti dall’azienda israeliana Dream, i criminali informatici iraniani si sono infiltrati nelle reti diplomatiche in Medio Oriente durante i negoziati per il cessate il fuoco al Cairo e hanno compromesso comunicazioni internazionali sensibili.
La campagna di spear phishing, mascherata da comunicazione del Ministero degli Affari Esteri dell’Oman, è stata condotta dal gruppo Homeland Justice associato al Ministero dell’Intelligence e della Sicurezza dell’Iran, ha affermato. Era i destinatari dell’e-mail inviata dai presunti hacker iraniani figurano funzionari egiziani, rappresentanti degli Stati Uniti e del Qatar.
Dopo aver ottenuto l’accesso all’account di posta elettronica legittimo di un dipendente dell’ambasciata dell’Oman a Parigi, i criminali informatici hanno inviato e-mail che sembravano autentica corrispondenza diplomatica, ma erano infette da malware nascosti all’interno di documenti Word.
Secondo Dream, tra i destinatari dell’e-mail figurano funzionari egiziani impegnati nella mediazione per il cessate il fuoco, nonché rappresentanti degli Stati Uniti e del Qatar. Anche dieci organizzazioni internazionali, tra cui l’ONU, l’UNODC, l’UNICEF, la Banca Mondiale, l’Ordine di Malta e l’Unione Africana, sono state prese di mira dagli hacker iraniani, ha affermato la società.
Dream ha osservato che l’attacco informatico iraniano era simile a un attacco informatico del 2023 in Albania, anch’esso attribuito ad attori iraniani, suggerendo un modello geopolitico più ampio in cui gli strumenti informatici vengono utilizzati per interrompere l’impegno diplomatico. La rivelazione giunge in un momento in cui l’accordo di cessate il fuoco di Gaza è bloccato nel limbo a causa della mancanza di risposta da parte di Israele.
Il 18 agosto, Hamas aveva accettato l’accordo di cessate il fuoco, proposto dai mediatori del Qatar e dell’Egitto. L’accordo prevedeva la cessazione delle operazioni dell’esercito israeliano per 60 giorni, durante i quali si sarebbe ritirato per consentire l’ingresso degli aiuti umanitari. Come parte dell’accordo, metà dei restanti 50 prigionieri sarebbe stata scambiata con detenuti palestinesi.
L'articolo Gli attacchi informatici iraniani interrompono i negoziati per il cessate il fuoco a Gaza proviene da il blog della sicurezza informatica.
This Soviet-Style Clock Uses Homemade Nixie Tubes and Glowing Logic
The Neon glow of a Nixie tube makes for an attractive clock, but that’s not enough neon for some people. [Changliang Li] is apparently one of those people, because he’s using soviet-era cold-cathode tubes as the logic for his “Soviet-Era Style Clock”
Aside from the nixies for display, the key component you see working in this beautiful machine are the MTX-90 cold cathode thyratrons, which look rather like neon tubes in action. That’s because they essentially are, just with an extra trigger electrode (that this circuit doesn’t use). The neon tubes are combined into a loop counter, which translates the 50 Hz mains circuit in to seconds, minutes, and hours. The circuit is not original to this project, and indeed was once common to electronics books. The version used in this project is credited to [PA3FWM].
The Nixie tubes are new-made by [Sadudu] of iNixie labs, and we get a fascinating look in how they are made. (Tubemaking starts at around 1:37 in the video below.) It looks like a fiber laser is used to cut out glow elements for the tube, which is then encapsulated on a device which appears to be based around a lathe.
The cold-cathode tubes used as logic rely on ambient light or background radiation to start reliably, since the trigger electrode is left floating. In order to ensure reliable switching from the thyratrons, [Changliang Li] includes a surplus smoke detector source to ensure sufficient ionization. (The video seems to imply the MTX-90 was seeded with radioisotopes that have since decayed, but we could find no evidence for this claim. Comment if you know more.)
The end result is attractive and rather hypnotic. (Jump to 3:37 to see the clock in action.) If you want to know more about this sort of use for neon lamps (and the Soviet MTX-90) we featured a deeper dive a while back.
Thanks to [Changliang Li] for the incandescent tip. If one of your bright ideas has had a glow up into a project, don’t hesitate to share it on our tips line.
youtube.com/embed/rrTGYVDJwLA?…
Da dove pesca le informazioni l’IA?
L'articolo proviene da #StartMag e viene ricondiviso sulla comunità Lemmy @Informatica (Italy e non Italy 😁)
Se alcuni giornali provano a non far rubare i propri contenuti all'IA, ecco che questa, per rispondere agli utenti, si nutre dove può ma le fonti da cui attinge non sono sempre sinonimo di startmag.it/innovazione/da-dov…
RFanciola reshared this.
Palantir, numeri da primato e un manifesto per il potere digitale
L'articolo proviene da #StartMag e viene ricondiviso sulla comunità Lemmy @Informatica (Italy e non Italy 😁)
Con l'ultima trimestrale Palantir ha superato le stime di Wall Street, ma a stupire è anche la lettera agli azionisti, firmata dal ceo Alex Karp, che può essere considerata "bizzarra e inquietante" come
The Latest Projects from Cornell’s ECE 4760/5730
ECE 4760/5730 is the Digital Systems Design Using Microcontrollers course at Cornell University taught by [Hunter Adams]. The list of projects for spring this year includes forty write-ups — if you haven’t got time to read the whole lot you can pick a random project between 1 and 40 with: shuf -i 1-40 -n 1 and let the cards fall where they may. Or if you’re made of time you could spend a few days watching the full playlist of 119 projects, embedded below.
We won’t pick favorites from this semester’s list of projects, but having skimmed through the forty reports we can tell you that the creativity and acumen of the students really shines through. If the name [Hunter Adams] looks familiar that might be because we’ve featured his work here on Hackaday before. Earlier this year we saw his Love Letter To Embedded Systems.
While on the subject, [Hunter] also wanted us to know that he has updated his lectures, which are here: Raspberry Pi Pico Lectures 2025. Particularly these have expanded to include a bunch of Pico W content (making Bluetooth servers, connecting to WiFi, UDP communication, etc.), and some fun lower-level stuff (the RP2040 boot sequence, how to write a bootloader), and some interesting algorithms (FFT’s, physics modeling, etc.).
youtube.com/embed/U21oHzGhfk4?…
The Queramin is a QWERTY Theremin with a C-64 Heart
![[Linus] playing his instrument](https://poliverso.org/photo/link/339449 "[Linus] playing his instrument")
While we have nothing against other 1980s 8-bit machines, the Commodore 64 has always been something special. A case in point: another new instrument using the C-64 and its beloved SID chip. Not just new to retrocomputing, either, but new entirely. [Linus Åkesson] has invented the QWERTY Theremin, and there’s a Commodore at its core.
If this project sounds vaguely familiar, it’s because it’s based off of the C-64 Theremin [Linus] built a couple of years back. According to [Linus], there were a few issues with the instrument. A real thereminist told him there were issues with the volume response; his own experience taught him that theremins are very, very hard to play for the uninitiated.
This model fixes both problems: first, the volume circuit now includes a pair of digital-analog-converters (DACs) connected to the Commodore’s user port, allowing smooth and responsive volume control.In this case the DAC is being used solely for volume control: SID provides the analog reference voltage, while the 12-bit digital input served as volume control. That proved noisy, however, thanks to the DC bias voltage of the audio output being scaled by the DAC even when the SID was silent. A second DAC was the answer, providing a signal to cancel out the scaled bias voltage. That in and of itself is a clever hack.
The biggest change is that this instrument no longer plays like a theremin. Pitch has been taken out of the 555-based antenna circuit entirely; while vertical distance from the spoon-antenna still controls volume as in a regular theremin and the last version, the horizontal distance from the second antenna (still a clamp) now controls vibrato. Pitch is now controlled by the QWERTY keyboard. That’s a much easier arrangement for [Linus] — this isn’t his first chiptune QWERTY instrument, after all.
youtube.com/embed/LNGH_I8hkXM?…
youtube.com/embed/elkDTdB0rXk?…
Gazzetta del Cadavere reshared this.
Does it Make Sense to Upgrade a Prusa MK4S to a Core One?
One of the interesting things about Prusa’s FDM 3D printers is the availability of official upgrade kits, which allow you to combine bits off an older machine with those of the target machine to ideally save some money and not have an old machine gathering dust after the upgrade. While for a bedslinger-to-bedslinger upgrade this can make a lot of sense, the bedslinger to CoreXY Core One upgrade path is a bit more drastic. Recently the [Aurora Tech] channel had a look at which upgrade path makes the most sense, and in which scenario.
In terms of print quality, it’s undeniable that the CoreXY motion system provides better results, with less ringing and better quality with tall prints, but unless you’re printing more than basic PLA and PETG, or care a lot about the faster print speeds of the CoreXY machine with large prints, the fully enclosed Core One is a bit overkill and sticking with the bedslinger may be the better choice.
The long and short of it is that you have look at each option and consider what works best for your needs and your wallet.
youtube.com/embed/vC-F1i0gt2Q?…
Does it Make Sense to Upgrade a Prusa Mark 4S to a Core One?
One of the interesting things about Prusa’s FDM 3D printers is the availability of official upgrade kits, which allow you to combine bits off an older machine with those of the target machine to ideally save some money and not have an old machine gathering dust after the upgrade. While for a bedslinger-to-bedslinger upgrade this can make a lot of sense, the bedslinger to CoreXY Core One upgrade path is a bit more drastic. Recently the [Aurora Tech] channel had a look at which upgrade path makes the most sense, and in which scenario.
A big part of the comparison is the time and money spent compared to the print result, as you have effectively four options. Either you stick with the Mark 4S, get the DIY Core One (~8 hours of assembly time), get the preassembled Core One (more $$), or get the upgrade kit (also ~8 hours). There’s also the fifth option of getting the enclosure for the Mark 4S, but it costs about as much as the upgrade kit, so that doesn’t make a lot of logical sense.
In terms of print quality, it’s undeniable that the CoreXY motion system provides better results, with less ringing and better quality with tall prints, but unless you’re printing more than basic PLA and PETG, or care a lot about the faster print speeds of the CoreXY machine with large prints, the fully enclosed Core One is a bit overkill and sticking with the bedslinger may be the better choice. The long and short of it is that you have look at each option and consider what works best for your needs and your wallet.
youtube.com/embed/vC-F1i0gt2Q?…
Ho cambiato il "display name"
Poliversity - Università ricerca e giornalismo reshared this.
Uno dei miei rimpianti è di non essere mai entrato in un centro sociale. Non ho la più pallida idea di come fosse lì dentro.
Però ho letto e sentito cose, e un centro sociale me l'immagino come un ritrovo di gente un po' strana, con idee un po' strane, e la voglia di starsene lontana da un mondo di squali.
Persone strane, sì, ma che se si facesse come dicono loro alla fine in questo mondo staremmo tutti un po' meglio.
'Sto Fediverso gli assomiglia un po', mi sa.
Max 🇪🇺🇮🇹 reshared this.
Cutrufelli, Il cuore affamato delle ragazze, Mondadori
@Giornalismo e disordine informativo
articolo21.org/2025/08/cutrufe…
Maria Rosa Cutrufelli, nella sua ormai ampia produzione, ha ricostruito con registri diversi le vicende di personaggi realmente esistiti (Maria Giudice nel libro omonimo, Olympe De Gouges in “La donna che visse per
Natale (Cda Rai): Chiocci ha comunque arrecato un danno al Tg1
@Giornalismo e disordine informativo
articolo21.org/2025/08/natale-…
“Qualunque sia la decisione che prenderà il direttore del Tg1, il danno che ha arrecato alla testata e alla Rai tutta è compiuto ed è grave. Gian Marco Chiocci ha certificato nella maniera più
“Palestina libera – Stop al genocidio”. Oltre 12mila persone al Lido di Venezia
@Giornalismo e disordine informativo
articolo21.org/2025/08/palesti…
In migliaia al Lido di Venezia al grido “Palestina libera – Stop al genocidio”. La partecipazione, secondo gli organizzatori, ha superato
E potete risolverlo anche voi. Sul serio. Ora vi dico come.
Prendete l'URL della pagina di login. Giusto la parte principale: nome e dominio (es.: poliverso.org). Ecco qua, avete tutti gli ingredienti.
Ora dovete inventarvi una ricetta. E questa è la parte divertente (e importante).
La vostra ricetta deve produrre una stringa non troppo corta e non troppo lunga (diciamo 10-15 caratteri), che contenga minuscole, maiuscole, numeri e almeno un carattere speciale (punteggiatura e trattini sono i più sicuri, non le barre o altri caratteri che qualche sito non accetta).
E allora, sbizzarritevi! Volete partire dal numero di caratteri dell'URL? Ok, magari aggiungendo o sottraendo un numero fisso? Scritto in numero, in lettere, o in quale lingua? Con delle maiuscole... messe dove? Stessa regola per tutti i numeri o variabile a seconda del numero?... Volete partire da alcune lettere in posti precisi dell'URL? Ottimo, spostandosi magari lungo l'alfabeto però, decidendo un ordine... Qualche carattere extra, deciso in base a...?
Come vedete, lavorando di fantasia le potenzialità diventano infinite ed è virtualmente impossibile risalire dall'URL alla vostra password senza conoscere le vostre regole.
Qualche suggerimento importante:
1) regole "speciali" ma semplici da ricordare per voi
2) regole sequenziali, cioè fatte in modo che possiate scrivere un pezzetto per volta senza dover inserire caratteri nella parte già scritta
3) testate le vostre regole su tanti URL diversi per controllare che le password generate siano coerenti come numero di caratteri ma abbiano varietà
4) se volete, appuntatevi qualche indizio per ricordare le regole (ma possibilmente non le regole stesse)
reshared this
Costo previsto: 13,5 miliardi
Guardiamo la parte mezza piena del bicchiere: questa marchetta elettorale ci costa solo un decimo di quell'altra, il Superbonus 110%.
Poliversity - Università ricerca e giornalismo reshared this.
Silent No More: Open-Source Fix for Mic Mishaps
“Sorry, my mic was muted…” With the rise of video calls, we’ve all found ourselves rushing to mute or unmute our mics in the midst of a call. This open-source Mute Button, sent in by [blackdevice], aims to take out the uncertainty and make toggling your mic easy.
It’s centered around a small PIC32MM microcontroller that handles the USB communications, controls the three built-in RGB LEDs, and reads the inputs from the encoder mounted to the center of this small device. The button knob combo is small enough to easily move around your desk, yet large enough to toggle without fuss when it’s your turn to talk.
To utilize all the functions of the button, you’ll need to install the Python-based driver on your machine. Doing so will let you not only toggle your microphone and volume, but it will also allow the button to light up to get your attention should you be trying to talk with the mic muted.
Although small, it’s also quite rugged, knowing it will spend its life being treated much like a game of Whac-A-Mole—slapped whenever needed. The case is designed to be 3D printed by any FDM printer, with the top knob section printed in translucent material to make the notification light clearly visible.
All of the design files, firmware, and parts list are available over on [blackdevices]’s GitHub page, and they are open-source, allowing you to tweak the design to fit your unique needs. Thank you for sending in this well-documented project, [blackdevices]; we look forward to seeing future work. If you like this type of thing, be sure to check out some of our other cool featured desk gadgets.
youtube.com/embed/E6khKvduem4?…
reshared this
NO INCENERITORE, NO POTERI SPECIALI
SABATO 30 E DOMENICA 31 AGOSTO 2025
WhatsApp, il nuovo zero-click che spaventa Apple: spyware invisibile e factory reset come unica cura
@Informatica (Italy e non Italy 😁)
WhatsApp ha confermato di aver corretto una vulnerabilità critica nelle sue applicazioni per iOS e macOS, sfruttata in attacchi mirati negli ultimi mesi. Si tratta di uno scenario da manuale di cyber-spionaggio: un
Gazzetta del Cadavere reshared this.
Canzone della sera: Different Wheels, di @Snow.
C'è uno strato di polvere sulla sella
Nell'angolo dove il tempo è fermo e ordinato
Lo sguardo scorre gli schermi giorno dopo giorno
Mentre il suo vecchio amico se ne sta seduto tranquillo
La cromatura non cattura più la luce
Dal giorno in cui ha ricevuto la porta del medico
Alcune libertà cambiano ma non scompaiono
Quando le strade si rimodellano, nuovi percorsi diventano chiari
E ogni giovedì sera ci incontriamo ancora
Ruote diverse ma la stessa vecchia strada
Stessa vecchia strada, stessi vecchi amici
Mi sta insegnando cose che non ho mai saputo
Sui sistemi e sui codici che passano attraverso
Le sue dita danzano sui tasti ora
Invece di afferrare le maniglie in qualche modo
Ma i suoi occhi hanno ancora quella scintilla dentro
Quando mi mostra i mondi dove può cavalcare
Alcune libertà cambiano ma non scompaiono
Quando le strade si rimodellano, nuovi percorsi diventano chiari
E ogni giovedì sera ci incontriamo ancora
Ruote diverse ma la stessa vecchia strada
Stessa vecchia strada, stessi vecchi amici
Fratello, ti vedo trovare la tua strada
Attraverso le strade tortuose di un giorno diverso
Il tuo spirito è forte come sempre
Andando avanti, solo perché
Il garage può essere silenzioso, ma amico
Il tuo cuore ruggisce ancora più forte che può
Alcune libertà cambiano, ma non scompaiono.
Quando le strade si ridisegnano, nuovi percorsi diventano chiari
E ogni giovedì sera ci incontriamo ancora
Ruote diverse ma la stessa vecchia strada
Stessa vecchia strada, stessi vecchi amici
reshared this
Che la caccia abbia inizio! Gli hacker sfruttano la falla Citrix per infiltrarsi nei sistemi globali
E’ stata rilevata una falla critica zero-day nei sistemi Citrix NetScaler, catalogata come CVE-2025-6543, che è stata oggetto di sfruttamento attivo da parte degli hacker criminali da maggio 2025, parecchi mesi prima della messa a disposizione di una soluzione correttiva. Inizialmente Citrix aveva parlato di una semplice vulnerabilità di overflow di memoria in grado di causare un flusso di controllo anomalo e un Denial of Service, ma in seguito è emerso che la breccia di sicurezza in realtà permette l’esecuzione di codice remoto (RCE) senza necessità di autenticazione, con il risultato di una potenziale vasta compromissione di sistemi a livello mondiale.
Il bug monitorato come CVE-2025-6543 consente a un aggressore di sovrascrivere la memoria di sistema fornendo un certificato client dannoso all’endpoint /cgi/api/loginsu un dispositivo NetScaler vulnerabile. Inviando centinaia di queste richieste, un aggressore può sovrascrivere una quantità di memoria sufficiente per eseguire codice arbitrario sul sistema. Questo metodo gli fornisce un punto d’appoggio nella rete, che ha utilizzato per spostarsi lateralmente negli ambienti Active Directory , abusando delle credenziali rubate dell’account del servizio LDAP.
La società ha messo a disposizione uno script di verifica per rilevare le compromissioni, ma soltanto su richiesta specifica e in circostanze molto ristrette, senza tuttavia offrire una spiegazione approfondita circa la situazione o le limitazioni dello script stesso. Le prove suggeriscono che Citrix era a conoscenza della gravità e dello sfruttamento in corso, ma non ha rivelato la reale portata della minaccia ai propri clienti, ha affermato Kevin Beaumont .
Le organizzazioni che hanno dispositivi Citrix NetScaler collegati a Internet sono invitate dagli esperti di sicurezza a prendere immediati provvedimenti. Se si ritiene che un sistema sia compromesso, i passaggi consigliati sono:
- Disattivare immediatamente il dispositivo NetScaler.
- Creare un’immagine del sistema per l’analisi forense.
- Modificare le credenziali dell’account del servizio LDAP per impedire spostamenti laterali.
- Distribuisci una nuova istanza di NetScaler con patch e credenziali aggiornate.
Gli Stati Uniti hanno incluso la CVE-2025-6543 nel catalogo delle vulnerabilità sfruttate note (KEV) tramite la Cybersecurity and Infrastructure Security Agency (CISA), evidenziando la necessità impellente per le organizzazioni di aggiornare con patch e monitorare possibili tracce di attività malevola.
Il Centro Nazionale Olandese per la Sicurezza Informatica (NCSC) ha svolto un ruolo fondamentale nello svelare la vera natura degli attacchi. La sua indagine ha confermato che la vulnerabilità è stata sfruttata come vulnerabilità zero-day e che gli aggressori hanno attivamente coperto le proprie tracce, rendendo difficile l’analisi forense. Il rapporto, pubblicato nell’agosto 2025, affermava che “diverse organizzazioni critiche nei Paesi Bassi sono state attaccate con successo” e che la vulnerabilità è stata sfruttata almeno dall’inizio di maggio.
A Giugno 2025 si è concluso il rilascio da parte di Citrix di una patch riguardante la CVE-2025-6543. Gli aggressori, tuttavia, avevano sfruttato la falla di sicurezza già da diverse settimane. La vulnerabilità è stata sfruttata per violare i sistemi di accesso remoto NetScaler, diffondere webshell in grado di assicurare un accesso persistente anche dopo l’applicazione delle patch, e portare via le credenziali.
Si ritiene che lo stesso sofisticato autore di minacce sia dietro lo sfruttamento di un altro zero-day, CVE-2025-5777, noto anche come CitrixBleed 2, utilizzato per rubare le sessioni utente. Sono in corso specifiche indagini per stabilire se questo attore sia responsabile anche dello sfruttamento di una vulnerabilità più recente, CVE-2025-7775.
L'articolo Che la caccia abbia inizio! Gli hacker sfruttano la falla Citrix per infiltrarsi nei sistemi globali proviene da il blog della sicurezza informatica.
Nel cielo del Lido…
@Giornalismo e disordine informativo
articolo21.org/2025/08/nel-cie…
NEL CIELO DEL LIDO, quand’ero bambino, facevano volare piccoli aerei commerciali che lanciavano sulle nostre teste talloncini di plastica per acquistare giocattoli con lo sconto. Un giorno morì un ragazzino sugli scogli e quel sangue interruppe quell’assurdo lancio dal cielo. NEL CIELO SOPRA IL CAMPO DI
reshared this
Building a Shifting Ratchet Wrench
Convenient though they may be, [Trevor Faber] found some serious shortcomings in shifting spanners: their worm gears are slow to adjust and prone to jamming, they don’t apply even force to all faces of a bolt head, and without a ratchet, they’re rather slow. To overcome these limitations, he designed his own adjustable ratchet wrench.
The adjustment mechanism is based on a pair of plates with opposing slots; the wrench faces are mounted on pins which fit into these slots, and one plate rotates relative to the other, the faces slide inwards or outwards. A significant advantage of this design is that, since one plate is attached to the wrench’s handle, some of the torque applied to the wrench tightens its grip on the bolt. To let the wrench loosen as well as tighten bolts, [Trevor] simply mirrored the mechanism on the other side of the wrench. Manufacturing proved to be quite a challenge: laser cutting wasn’t precise enough for critical parts, and CNC control interpolation resulted in some rough curves which caused the mechanism to bind, but after numerous iterations, [Trevor] finally got a working tool.
To use the wrench, you twist an outer ring to open the jaws, place them over the bolt, then let them snap shut. One nice touch is that you can close this wrench over a bolt, let go of it, and do something else without the wrench falling off the bolt. Recessed bolts were a bit of an issue, but a chamfer ought to improve this. It probably won’t be replacing your socket set, but it looks like it could make the odd job more enjoyable.
If you prefer a more conventional shifting wrench, you can make a miniature out of an M20 nut. It’s also possible to make a shifting Allen wrench.
youtube.com/embed/n_C0uh4HDA0?…
Thanks to [Adam Foley] for the tip!
Max 🇪🇺🇮🇹
in reply to Tiziano :friendica: • — (Firenze) •@Tiziano :friendica:
E poi, quando dopo qualche mese il sito ti dice che devi cambiare la password?
Devi inventare una regola nuova.
Secondo me nel giro di un paio d'anni devi ricordarti così tante regole che sei punto e a capo.
E comunque anche dover applicare (oltre che ricordare) una regola complicata (perché per essere sicure devono essere complicate) ogni volta che vuoi accedere ad un sito mi sembra un bel dispendio di energie.
Tiziano
in reply to Max 🇪🇺🇮🇹 • • •Tiziano
in reply to Max 🇪🇺🇮🇹 • • •Tiziano
in reply to Max 🇪🇺🇮🇹 • • •Tiziano
in reply to Max 🇪🇺🇮🇹 • • •Tiziano
in reply to Max 🇪🇺🇮🇹 • • •Max 🇪🇺🇮🇹
in reply to Tiziano • •@Tiziano @Tiziano :friendica:
Ma io non penso che il password manager del browser possa essere più sicuro di un software che faccia solo il password manager.
È vero che un hacker che vuole rubare password ci prova sul server di un password manager, non sul PC di un privato, perché lì può trovarne molte di più ma è anche vero che il server di un password manager tendenzialmente ha un livello di sicurezza molto più alto di quello che ha un PC privato.
Insomma...confrontare i livelli di rischio di queste due scelte mi sembra parecchio arduo.
Tiziano
in reply to Max 🇪🇺🇮🇹 • • •Sì verissimo, ma la sicurezza non era il mio focus principale. Come ho scritto, ero stufo di richiedere le password di tutti i siti. Già che c'ero, ho inventato un metodo che mi permettesse anche di non dovermele annotare (il password manager più sicuro sono i foglietti, ma tanto li perdo). E il fatto di salvarle sul browser dipende dal mio personale compromesso tra comodità e sicurezza (potrei anche decidere di calcolarmi ogni volta la password... prima o poi alcune le ricorderei pure)
informapirata ⁂
in reply to Max 🇪🇺🇮🇹 • • •@max se un sito/servizio ti chiede di cambiare la password, è un sito di merda gestito da un it manager che al massimo ha preso l'ECDL alla scuola serale 🤣
@tizianomattei
reshared this
ricci e Marco Bresciani reshared this.
Max 🇪🇺🇮🇹
in reply to informapirata ⁂ • •@informapirata ⁂
Eppure quasi tutti lo fanno.
informapirata ⁂ reshared this.
informapirata ⁂
in reply to Max 🇪🇺🇮🇹 • • •Ivan Bk
in reply to informapirata ⁂ • • •informapirata ⁂ reshared this.
Marco Bresciani
in reply to Ivan Bk • • •Uhm... io cambierei banca.
@informapirata @max @tizianomattei
informapirata ⁂ reshared this.
La Ba
in reply to informapirata ⁂ • • •informapirata ⁂
in reply to La Ba • • •@BarbaraF Deve essere chiaro che qualsiasi operazione non necessaria e che non aggiunge sicurezza e per forza di cose oun'operazione che diminuisce la sicurezza. Il cambio della password non aggiunge mai sicurezza a meno che il sistema non sia già di per sé insicuro. In tal caso l'aggiunta di sicurezza è irrilevante rispetto alla insicurezza del sistema
@max @tizianomattei
La Ba
in reply to informapirata ⁂ • • •@informapirata @max si, certo, però credo che in un'azienda complessa dove esistono molte password diverse per sistemi diversi, imporre tutti questi cambi password secondo me si traduce nella proliferazione di posti impropri in cui vengono conservate
E poi finisce che leggi circolari in cui si ricorda ai dipendenti che non devono mettere sullo SharePoint aziendale documenti che contengano password
reshared this
informapirata ⁂ e Sabrina Web 📎 reshared this.
nicolaottomano
in reply to informapirata ⁂ • • •@informapirata
Io ho il mio "algoritmo" mentale che ha anche la gestione del cambio password.
Il problema è che ormai sono arrivato ad avere qualcosa come 600 (seicento!) password diverse per vari servizi, applicazioni, siti, forum e quant'altro.
Alla fine un buon password manager è la soluzione più comoda e sicura al momento.
@max @tizianomattei
informapirata ⁂ reshared this.
El Salvador
in reply to informapirata ⁂ • • •informapirata ⁂ reshared this.
ricci
in reply to Tiziano :friendica: • • •1/3
ricci
in reply to ricci • • •In pratica ti sei inventato la tua personale key derivation function di scarsa qualità, che opera su un input pubblico. È "security through obscurity".
2/3
ricci
in reply to ricci • • •Potrebbe interessarti questo xkcd.com/936/.
Il metodo proposto consiste nella scelta totalmente casuale di un certo numero di parole da una lista che può anche essere pubblica. Il risultato è una password sia sicura che facile da ricordare.
explainxkcd.com/wiki/index.php…
C'è un programma che implementa questo metodo (anche con parole italiane): github.com/redacted/XKCD-passw….
Io comunque preferisco i password manager (offline) o le chiavi hardware, per i siti che le supportano.
3/3
GitHub - redacted/XKCD-password-generator: Generate secure multiword passwords/passphrases, inspired by XKCD
GitHubNicola
in reply to Tiziano :friendica: • • •Tutto molto bello, ma come fai a rinunciare alle funzionalità di un password manager?
- Generazione automatica di password e passphrase sicure e casuali senza algoritmi.
- Devi ricordare una sola password principale.
- Compilazione automatica dei campi di accesso.
- Auto‑type programmabile per gestire login complessi a più passaggi.
- Generazione dei codici 2FA.
- Avvisi per la scadenza delle password.
- Possibilità di salvare altre informazioni legate a un sito: codice cliente, codici di backup 2FA, chiavi SSH, ecc.
Io uso questo, te lo consiglio: keepassxc.org/
KeePassXC Password Manager
keepassxc.orgMax 🇪🇺🇮🇹 likes this.
ildave
in reply to Tiziano :friendica: • • •ricci
in reply to ildave • • •E poi ti serve una CPU per calcolare l'hash, a questo punto conviene un password manager.
Marco Bresciani
in reply to Tiziano :friendica: • • •🤦🏻♂️
No.
Ci sono passato anche io, tanti anni fa.
No.
Password manager.
Password diverse, illeggibili e non ricordabili per ogni sito.
Lunghe 20-25 caratteri o 4-5 parole (Cfr. it.m.wikipedia.org/wiki/Dicewa…).
Password più complessa ma ricordabile (Diceware, 7-8 parole) per il password manager stesso.
Se, invece, vuoi proprio proprio (ma vuoi proprio?!) andare verso la strada delle regole, almeno usa LessPass (Cfr. github.com/lesspass/lesspass/) o simili generatori di password senza stati.
GitHub - lesspass/lesspass: :key: stateless open source password manager
GitHubSabrina Web 📎
in reply to Marco Bresciani • • •Sabrina Web 📎
in reply to Sabrina Web 📎 • • •Marco Bresciani
in reply to Sabrina Web 📎 • • •Di solito funzionano: non fanno copia-incolla ma scrivono nel campo.
@tizianomattei
Giovanni
in reply to Tiziano :friendica: • • •Il problema principale, a mio avviso, sono i siti che non implementano 2FA con TOTP