Recently, [Solder Hub] put together a brief video that demonstrates the basics of a Hall Effect sensor — in this case, one salvaged from an old CPU fan. Two LEDs, a 100 ohm resistor, and a 3.7 volt battery are soldered onto a four pin Hall effect sensor which can toggle one of two lights in response to the polarity of a nearby magnet.

If you’re interested in the physics, the once sentence version goes something like this: the Hall Effect is the production of a potential difference, across an electrical conductor, that is transverse to an electric current in the conductor and to an applied magnetic field perpendicular to the current. Get your head around that!

Of course we’ve covered the Hall effect here on Hackaday before, indeed, our search returned more than 1,000 results! You can stick your toe in with posts such as A Simple 6DOF Hall Effect ‘Space’ Mouse and Tracing In 2D And 3D With Hall Effect Sensors.

youtube.com/embed/YTwcnHwplQw?…

hackaday.com/2025/09/09/the-ma…

Most people’s memories of programming in the 8-bit era revolve around BASIC, and not without reason. Most of the time, it was all we had. On the other hand, there were other options if you sought them out, and [Paul Lefebvre] makes the case that Goto10Retro that Action! was the best of them.

The limits of BASIC as an interpreted language are well-enough known that we needn’t go over them here. C and Pascal were available for some home computers in the 1980s, and programs written in those languages ran well, but compiling them? That was by no means guaranteed.
The text editor. Unusual for Atari at the time, it allowed scrolling along a line of greater than 40 char.
For those who lived on the Atari side of the fence, the Action! language provided a powerful alternative. Released by Optimized Systems Software in 1983, Action! was heavily optimized for the 6502, to the point that compiling and running simple programs with “C” and “R” felt “hardly slower” than typing RUN in BASIC. That’s what [Paul] writes, anyway, but it’s a claim that almost has to be seen to be believed.

You didn’t just get a compiler for your money when you bought Action!, though. The cartridge came with a capable text editor, simple shell, and even a primitive debugger. (Plus, of course, a hefty manual.) It’s the closest thing you’d find to an IDE on a computer of that class in that era, and it all fit on a 16 kB cartridge. There was apparently also a disk release, since the disk image is available online.

Unfortunately for those of us in Camp Commodore, the planned C-64 port never materialized, so we missed out on this language. Luckily our 64-bit supercomputers can easily emulate Atari 8-bit hardware and we can see what all the fuss was about. Heck, even our microcontrollers can do it.

hackaday.com/2025/09/09/was-ac…

Beyond the simple world of basic PLA filaments there is a whole wild world of additives that can change this humble material for better or worse. The most common additives here are primarily to add color, but other additives seek to specifically improve certain properties of PLA. For example Bambu Lab’s new PLA Tough+ filament series that [Dr. Igor Gaspar] over at the My Tech Fun YouTube channel had over for reviewing purposes.

According to Bambu Lab’s claims for the filament, it’s supposed to have ‘up to’ double the layer adhesion strength as their basic PLA, while being much more robust when it comes to flexing and ‘taking a beating’. Yet as [Igor] goes through his battery of tests – comparing PLA Tough+ against the basic PLA – the supposedly tough filament is significantly worse in every count. That sad streak lasts until the impact tests, which is where we see a curious set of results – as shown above – as well as [Igor]’s new set of impact testing toys being put through their paces.

Of note is that although the Tough+ variants tested are consistently less brittle than their basic PLA counterparts, the Silver basic PLA variant makes an unexpectedly impressive showing. This is a good example of how color additives can have very positive impacts on a basic polymer like PLA, as well as a good indication that at least Bambu Lab’s Basic PLA in its Silver variant is basically better than Tough+ filaments. Not only does it not require higher printing temperatures, it also doesn’t produce more smelly VOCs, while being overall more robust.

youtube.com/embed/U-aTEslkqco?…

hackaday.com/2025/09/09/bambu-…

Dedicated word processors are not something we see much of anymore. They were in a weird space: computerized, but not really what you could call a computer, even in those days. More like a fancy typewriter, with a screen and floppy disks. Brother made some very nice ones, and [Chad Boughton] got his hands on one for a modernization project.

The word processor in question, a Brother WP-2200, was chosen primarily because of its beautiful widescreen, yellow-phosphor CRT display. Yes, you read that correctly — yellow phosphor, not amber. Widescreen CRTs are rare enough, but that’s just different. As built, the WP-2200 had a luggable form-factor, with a floppy drive, mechanical keyboard, and dot-matrix printer in the back.

Thanks to [Chad]’s upgrade, most of that doesn’t work anymore. Not yet, anyway. The original logic controller of this word processor was… rather limited. As generations have hackers have discovered, you just can’t do very much with these. [Chad] thus decided to tear it all out, and replace it with an ESP-32, since the ESP32-VGA library is a thing. Of course this CRT is not a VGA display, but it was just a matter of tracing the pinout and guesstimating sane values for h-sync, v-sync and the like. (Details are not given in the video.)

Right now, the excellent mechanical keyboard (mostly) works, thanks to a Teensy reading the keyboard matrix off the original cable. The teensy sends characters via UART to the ESP32 and it can indeed display them upon the screen. That’s half of what this thing could do, back in the 1980s, and a very good start. Considering [Chad] now has magnitudes more compute power available than the engineers at Brother ever did (probably more compute power than the workstation used to program the WP2200, now that we think of it) we’re excited to see where this goes. By the spitballing at the end of the video, this device will end its life as much more than a word processor.To see what he’s got working so far, jump to 5:30 in the video. Once the project is a bit more mature, [Chad] assures us he’ll be releasing both code and documentation in written form.

We’ve seen [Chad]’s work before, most recently his slim-fit CD player, but he has been hacking for a long time.We covered his Super Mario PLC hack back in 2014.

youtube.com/embed/mr3uRO7FDz8?…

hackaday.com/2025/09/09/o-brot…

Business cards, on the whole, haven’t changed significantly over the past 600-ish years, and arguably are not as important as they used to be, but they are still worth considering as a reminder for someone to contact you. If the format of that card and method of contact stand out as unique and related to your personal or professional interests, you have a winning combination that will cement yourself in the recipient’s memory.

In a case study of “show, don’t tell”, [Binh]’s business card draws on technological and paranormal curiosity, blending affordable, short-run PCB manufacturing and an, LLM or, in this case, a Small Language Model, with a tiny Ouija board. While [Binh] is very much with us in the here and now, and a séance isn’t really an effective way to get a hold of him, the interactive Ouija card gives recipient’s a playful demonstration of his skills.

The interface is an array of LEDs in the classical Ouija layout, which slowly spell out the message your supernatural contact wants to communicate. The messages are triggered by the user through touch pads. Messages are generated locally by an ESP32-S3 based on Dave Bennett’s TinyLlama LLM implementation.

For a bit of a role reversal in Ouija communication, check out this Ouija robot. For more PCB business card inspiration, have a look at this pong-playing card and this Arduboy-inspired game console card.

youtube.com/embed/WC3O2cKT8Eo?…

Thanks to [Binh] for sharing this project with us.

hackaday.com/2025/09/09/this-o…

Last time, I described how to write a simple Android app and get it talking to your code on Linux. So, of course, we need an example. Since I’ve been on something of a macropad kick lately, I decided to write a toolkit for building your own macropad using App Inventor and any sort of Linux tools you like.

I mentioned there is a server. I wrote some very basic code to exchange data with the Android device on the Linux side. The protocol is simple:

• All messages to the ordinary Linux start with >
• All messages to the Android device start with <
• All messages end with a carriage return

Security

You can build the server so that it can execute arbitrary commands. Since some people will doubtlessly be upset about that, the server can also have a restrictive set of numbered commands. You can also allow those commands to take arguments or disallow them, but you have to rebuild the server with your options set.

There is a handshake at the start of communications where Android sends “>.” and the server responds “<.” to allow synchronization and any resetting to occur. Sending “>#x” runs a numbered command (where x is an integer) which could have arguments like “>#20~/todo.txt” for example, or, with no arguments, “>#20” if you just want to run the command.

If the server allows it, you can also just send an entire command line using “>>” as in: “>>vi ~/todo.txt” to start a vi session.

Backtalk

There are times when you want the server to send you some data, like audio mute status or the current CPU temperature. You can do that using only numbered commands, but you use “>?” instead of “>#” to send the data. The server will reply with “<!” followed by the first line of text that the command outputs.

To define the numbered commands, you create a commands.txt file that has a simple format. You can also set a maximum number, and anything over that just makes a call to the server that you can intercept and handle with your own custom C code. So, using the lower-numbered commands, you can do everything you want with bash, Python, or a separate C program, even. Using the higher numbers, you can add more efficient commands directly into the server, which, if you don’t mind writing in C, is more efficient than calling external programs.

If you don’t want to write programs, things like xdotool, wmctrl, and dbus-send (or qdbus) can do much of what you want a macropad to do. You can either plug them into the commands file or launch shell scripts. You’ll see more about that in the example code.

Now all that’s left is to create the App Inventor interface.

A Not So Simple Sample

One of the pages in the designer
App Inventor is made to create simple apps. This one turned out not to be so simple for a few reasons. The idea was that the macro pad should have a configuration dialog and any number of screens where you could put buttons, sliders, or anything else to interact with the server.

The first issue was definitely a quirk of using App Inventor. It allows you to have multiple screens, and your program can move from screen to screen. The problem is, when you change screens, everything changes. So if we used multiple screens, you’d have to have copies of the Bluetooth client, timers, and anything else that was “global,” like toolbar buttons and their code.

That didn’t seem like a good idea. Instead, I built a simple system with a single screen featuring a toolbar and an area for table layouts. Initially, all but one of the layouts are hidden. As you navigate through the screens, the layout that is active hides, and the new one appears.

Sounds good, but in practice there is a horrible problem. When the layouts become visible, they don’t always recalculate their sizes properly, and there’s no clean way to force a repeat of the layout. This led to quirks when moving between pages. For example, some buttons would have text that is off-center even though it looked fine in the editor.

Another problem is editing a specific page. There is a button in the designer to show hidden things. But when you have lots of hidden things, that’s not very useful. In practice, I just hide the default layout, unhide the one I want to work on, and then try to remember to put things back before I finish. If you forget, the code defensively hides everything but the active page on startup.

Just Browsing

I also included some web browser pages (so you can check Hackaday or listen to Soma FM while you work). When the browser became visible, it would decide to be 1 pixel wide and 1 pixel high, which was not very useful. It took a lot of playing with making things visible and invisible and then visible again to get that working. In some cases, a timer will change something like the font size just barely, then change it back to trigger a recalculation after everything is visible.

Speaking of the browser, I didn’t want to have to use multiple pages with web browser components on it, so the system allows you to specify the same “page” more than once in the list. The page can have more than one title, based on its position, and you can initialize it differently, also based on its position. That was fairly easy, compared to getting them to draw correctly.

Other Gotchas

You’d think 500 blocks was the biggest App Inventor program anyone would be dumb enough to write…
A few other problems cropped up, some of which aren’t the Inventor’s fault. For example, all phones are different, so your program gets resized differently, which makes it hard to work. I just told the interface I was building for a monitor and let the phone resize it. There’s no way to set a custom screen size that I could find.

The layout control is pretty crude, which makes sense. This is supposed to be a simple tool. There are no spacers or padding, for example, but small, fixed-size labels will do the job. There’s also no sane way to make an element span multiple cells in a layout, which leads to lots of deeply nested layouts.

The Bluetooth timeout in App Inventor seemed to act strangely, too. Sometimes it would time out even with ridiculously long timeout periods. I left it variable in the code, but if you change it to anything other than zero, good luck.

How’d It Work?

Over 900 blocks is really dumb!
This is probably the most complex thing you’d want to do with App Inventor. The block structure is huge, although, to be fair, a lot of it is just sending a command off when you press a button. The example pad has nearly 500 blocks. The personalized version I use on my own phone (see the video below) has just over 900 blocks!

Of course, the tool isn’t made for such a scale, so be prepared for some development hiccups. The debugging won’t work after a certain point. You just have to build an APK, load it, and hope for luck.

You can find the demo on GitHub. My version is customized to link to my computer, on my exact screen size, and uses lots of local scripts, so I didn’t include it, but you can see it working in the video below.

If you want to go back and look more at the server mechanics, that was in the last post. Of, if you’d rather repurpose an old phone for a server, we’ve seen that done, too.

youtube.com/embed/15znMKz42yM?…

hackaday.com/2025/09/09/the-an…

We’ve all done it at some time — made an electrical connection by twisting together the bare ends of some wires. It’s quick, and easy, but because of how little force required to part it, not terribly reliable. This is why electrical connectors from terminal blocks to crimp connectors and everything else in between exist, to make a more robust join.

But what if there was a way to make your twist connections stronger? [Ibanis Sorenzo] may have the answer, in the form of an ingenious 3D printed clamp system to hold everything in place. It’s claimed to result in a join stronger than the wire itself.

The operation is simple enough, a spring clamp encloses the join, and a threaded outer piece screws over it to clamp it all together. There’s a pair of 3D printable tools to aid assembly, and a range of different sizes to fit different wires. It looks well-thought-out and practical, so perhaps it could be a useful tool in your armoury. We can see in particular that for those moments when you don’t have the right connectors to hand, a quick 3D print could save the say.

A few years ago we evaluated a set of different ways to make crimp connections. It would be interesting to subject this connection to a similar test. Meanwhile you can see a comprehensive description in the video below the break.

youtube.com/embed/ZSGpUEHWeTg?…

Thanks [George Graves] for the tip.

hackaday.com/2025/09/09/give-y…

Over a year ago, we took a look at importing a .step file of a KiCad PCB into FreeCAD, then placing a sketch and extruding it. It was a small step, but I know it’s enough for most of you all, and that brings me joy. Today, we continue building a case for that PCB – the delay is because I stopped my USB-C work for a fair bit, and lost interest in the case accordingly, but I’m reviving it now.

Since then, FreeCAD has seen its v 1.0 release come to fruition, in particular getting a fair bit of work done to alleviate one of major problems for CAD packages, the “topological naming problem”; we will talk about it later on. The good news is, none of my tutorial appears to have been invalidated by version 1.0 changes. Another good news: since version 1.0, FreeCAD has definitely become a fair bit more stable, and that’s not even including some much-needed major features.

High time to pick the work back up, then! Let’s take a look at what’s in store for today: finishing the case in just a few more extrusions, explaining a few FreeCAD failure modes you might encounter, and giving some advice on how to make FreeCAD for you with minimum effort from your side.

As I explained in the last article, I do my FreeCAD work in the Part workbench, which is perfectly fine for this kind of model, and it doesn’t get in your way either. Today, the Part and Sketcher workbenches are all we will need to use, so you need not be overwhelmed by the dropdown with over a dozen entries – they’re there for a reason, but just two will suffice.

Last time, I drew a sketch and extruded it into a box. You’ll want your own starting layer to look different from that, of course, and so do I. In practice, I see two options here. Either you start by drawing some standoffs that the board rests on, or you start by offsetting your sketch then drawing a floor. The first option seems simpler to me, so let’s do that.

You can tie the mounting holes to external geometry from the STEP file, but personally, I prefer to work from measurements. I’d like to be easily able to substitute the board with a new version and not have to re-reference the base sketches, resulting in un-fun failure modes.

So, eyeballing the PCB, the first sketch will have a few blocks that the PCB will be resting on. Let’s just draw these in the first sketch – four blocks, with two of them holding mounting holes. For the blocks with holes, if your printer nozzle size is the usual 0.4 mm, my understanding is that you’ll want to have your thinnest structure be around 1.2 mm. So, setting the hole diameter (refer to the toolbar, or just click D to summon the diameter tool), and for distances between points, you can use the general distance tool (K,D, click K then click D). Then, exit the sketch.

To The Floor And Beyond

Perfect – remember, the first sketch is already extruded, so when we re-drew the sketch, it all re-extruded anew, and we have the block we actually want. Now, remember the part about how to start a sketch? Single click on a surface so it gets highlighted green, press “New sketch”, and click “ok” on the box that asks if you want to do it the “Plane X-Y” way. That’s it, that’s your new sketch.

Now, we need to draw the box’s “floor”. That’s simple too – just draw a big rectangle. You’ll want to get some dimensions going, of course. Here, you can use the general distance constraint (K,D, click K then click D), or constrain even quicker by clicking I (vertical dimension) and L (horizontal dimension). Now, for the fun part – filleting! Simply put, you want to round the box corners for sure, nobody wants a box with jagged sharp holes.

You might have seen the Fillet tool in the Part workbench. Well, most of the time, it isn’t even needed, and frankly, you don’t want to use it if a simpler option exists. Instead, here, just use a sketch fillet – above in the toolbar; sadly, no keybind here. Then, click on corners you want rounded, exit the tool, then set their radius with diameter tool (D), as default radii are way too large at our scale. The sketch fillet tool basically just creates arcs for you – you can always draw the arcs yourself too, but it’s way easier this way.

You got yourself a rounded corners rectangle, which, naturally, means that you’ll be getting a cease and desist from multiple smartphone makers shortly. You might notice that the rectangle is offset, and really, you’d want it aligned. Fortunately, we placed our STEP-imported board approximately in the center of the screen, which makes the job very easy, you just need the rectangle centered. Draw two construction lines (G,N) from opposite corners of the sketch. Then, click on one of the lines, click on the sketch center point, and make them coincident (C). Do the same with the second line, and you’ll have the sketch center point on the intersection of the two lines, which will make the whole sketch centered.

Extrude that to 1 mm, or your favourite multiple of your layer height when slicing the print, and that’s the base of your case, the part that will be catching the floor. Honestly, for pin insulation purposes, this already is more than enough. Feel free to give it ears so that it can be mounted with screws onto a surface, or maybe cat ears so it can bring you joy. If you’re not intimidated by both the technical complexity and the depravity of it, you can even give it human ears, making your PCB case a fitting hacking desk accessory for a world where surveillance has become ubiquitous. In case you unironically want to do this, importing a 3D model should be sufficient.

Build Up This Wall!

Make a sketch at the top of the floor, on the side that you’ll want the walls to “grow out of”. For the walls, you’ll naturally want them to align with the sides of the floor. This is where you can easily use external geometry references. Use the “Create external geometry” tool (G, X) and click on all the 8 edges (4 lines and 4 arcs) of the floor. Now, simply draw over these external geometry with line and arc tool, making sure that your line start and end points snap to points of external geometry.

Make an inset copy of the edges, extrude the sketch, and you’re good to go. Now, did you happen to end up with walls that are eerily hollowed out? There’s two reasons for that. The first reason is, your extruded block got set to “solid: false” in its settings. Toggle that back, of course, but mistaken be not, it’s no accident, it happens when you extrude a sketch and some of the sketch lines endpoints are not as coincident as you intended them to be. Simply put, there are gaps in the sketch — the same kind of gaps you get if you don’t properly snap the Edge.Cuts lines in KiCad.

To fix that, you can go box-select the intersection points with your mouse, and click C for a coincident constraint. Sometimes the sketch will fail. To the best of my knowledge, it’s a weird bug in KiCad, and it tends to happen specifically where external geometry to other solids is involved. Oh well, you can generally make it work by approaching it a few times. If everything fails, you can set distance (K,D) to 0, and if that fails, set vertical distance (I) and then horizontal distance (L) to zero, that should be more than good enough.

And with that, the wall is done. But it still needs USB-C socket holes. Cutting holes in FreeCAD is quite easy, even for a newcomer. You make a solid block that goes “into” your model exactly in the way you want the cut to be made. Then, in Part workbench, click the base model that you want cut in the tree view, click the solid block model, and use the “Cut” tool. Important note – when using the “Cut” tool, you have to first click on the base object, and then the tool. If you do it in reverse, you cut out the pieces you actually want to save, which is vaguely equivalent to peeling potatoes and then trashing the potatoes instead of the peels.

Want a souvenir? In Part toolbox, click Chamfer, click on the USB-C opening edges, set chamfer distance to something lower than your wall thickness, say, 0.6 mm (important!), and press Ok. Now your case has USB-C openings with chamfers that as if direct the plug into the receptacle – it’s the nicer and more professional way to do USB-C openings, after all.

Stepping Up

Once you get past “Hello World”, and want to speed your FreeCAD work tremendously, you will want to learn the keybinds. Once again, the key to designing quickly and comfortably is having one hand on keyboard and another hand on mouse, doesn’t matter if you’re doing PCBs or 3D models. And the keybinds are very mnemonic: “d” is dimension, “c” is coincident.

Another tip is saving your project often. Yet another one is keeping your FreeCAD models in Git, and even publishing them on GitHub/GitLab – sure, they’re binary files, but revision control is worth it even if you can’t easily diff the files. We could always use more public 3D models with FreeCAD sources. People not publishing their source files has long been a silent killer of ideas in the world of 3D printing, as opposed to whatever theories about patents might be floating around the web. If you want something designed to your needs, the quickest thing tends to be taking someone else’s project and modifying it, which is why we need for sharing culture so that we can all finally stop reinventing all the wheels our projects may require.

This is more than enough to ready you up for basic designs, if you ask me. Go get that case done, throw it on GitHub, and revel in knowing your board is that much less likely to accidentally short-circuit. It’s a very nice addition for a board intended to handle 100 W worth of power, and now it can also serve as a design example for your own needs. Next time, let’s talk about a number of good practices worth attending to if you want your FreeCAD models to last.

hackaday.com/2025/09/09/freeca…

One of the great things about sharing hacks is that sometimes one person’s work inspires someone else to take it even further. A case in point is [Ivor]’s colorimeter hacking (parts two and three), which started with some relatively simple request spoofing to install non-stock firmware, and expanded from there until he had complete control over the hardware.

After reading [Adam Zeloof]’s work on replacing the firmware on a cosmetics spectrophotometer with general-purpose firmware, [Ivor] bought two of these colorimeters, one as a backup. He started with [Adam]’s method for updating the firmware by altering the request sent to an update server, but was only able to find the serial number from a quality-control unit. This installed the quality-control firmware, which encountered an error on the device. More searching led [Ivor] to another serial number, which gave him the base firmware, and let him dump and compare the cosmetic, quality-control, and base firmwares.

After analyzing traffic between the host computer and the colorimeter during an update, he wrote a Python program to upload firmware without using the official companion app. Since the first data sent over is a loading screen, this let him display custom images, such as the DOOM title page.

During firmware upload, the colorimeter switches into a bootloader, the menu of which has some interesting options, such as viewing and editing the NAND. Opening the device revealed a flash chip, an AT91SAM ARM9 chip, and some test pads. After carefully soldering to the test pads, he was able to dump the bootloader, and with some difficulty, the NAND contents. Changing the chip ID and serial number in the NAND let the quality-control firmware work on the cosmetic model; interestingly, only the first digit of the serial number needed to be valid.

Of course, the actual journey wasn’t quite this straightforward, and the device seemed to be bricked several times, one of which required the installation of a jumper to force it into a recovery mode. In the end, though, [Ivor] was able to download and upload content to NAND, alter the bootloader, alter the serial number, and enter boot recovery; in short, to have total control over the device’s software. Thoughtfully, he’s used his findings to write a Python utility library to interact with and edit the colorimeter’s software over USB.

If this makes you interested in seeing more examples of reverse-engineering, we’ve covered some impressive work on a mini console and an audio interface.

hackaday.com/2025/09/09/furthe…

Una falla di sicurezza è stata scoperta nella linea di prodotti FortiDDoS-F di Fortinet, che potrebbe permettere ad un attaccante con privilegi di eseguire comandi proibiti. La vulnerabilità, catalogata come CVE-2024-45325, rappresenta un problema di iniezione di comandi nel sistema operativo, localizzato nell’interfaccia a riga di comando (CLI) del prodotto.

Nonostante i requisiti di privilegi elevati, il potenziale impatto su riservatezza, integrità e disponibilità è elevato. Il problema è stato scoperto internamente e segnalato da Théo Leleu del team Product Security di Fortinet.

La vulnerabilità, identificata come CWE-78, deriva da una neutralizzazione impropria di elementi speciali utilizzati in un comando del sistema operativo. Un aggressore con privilegi elevati e accesso locale al sistema potrebbe sfruttare questa debolezza inviando richieste appositamente predisposte alla CLI.

Fortinet ha confermato che diverse versioni di FortiDDoS-F sono interessate da questa vulnerabilità. L’avviso FG-IR-24-344, pubblicato il 9 settembre 2025, descrive le versioni specifiche e le azioni consigliate per gli amministratori.

Un exploit riuscito consentirebbe all’aggressore di eseguire codice o comandi arbitrari con le autorizzazioni dell’applicazione, portando potenzialmente alla compromissione dell’intero sistema. Alla vulnerabilità è stato assegnato un punteggio CVSSv3 pari a 6,5, classificandola come di gravità media.

Si consiglia vivamente agli amministratori che utilizzano versioni vulnerabili di applicare gli aggiornamenti consigliati o di migrare a una versione con patch per prevenire potenziali sfruttamenti.

Le organizzazioni che utilizzano FortiDDoS-F 7.0 devono effettuare immediatamente l’aggiornamento alla versione 7.0.3, mentre quelle che utilizzano rami più vecchi (da 6.1 a 6.6) devono pianificare una migrazione a una versione sicura.

L'articolo Un bug critico in FortiDDoS-F porta all’esecuzione di comandi non autorizzati proviene da il blog della sicurezza informatica.

Con una drammatica inversione di tendenza, il Nepal ha revocato il blackout nazionale sui social media imposto la scorsa settimana dopo che aveva scatenato massicce proteste giovanili e causato almeno 19 morti, secondo i media locali.

La decisione è stata annunciata l’8 settembre dal Ministro delle Comunicazioni e dell’Informazione Prithvi Subba Gurung, che ha affermato che il governo stava rispondendo all’indignazione pubblica e alla tensione nelle strade. Il governo ha inoltre promesso di pagare le cure delle vittime e ha istituito un comitato per indagare sulle cause della tragedia e presentare proposte entro due settimane.

Il blocco ha interessato 26 piattaforme, tra cui Facebook, Instagram, YouTube e X. Le restrizioni erano una diretta prosecuzione della direttiva del 25 agosto: alle piattaforme straniere era stato ordinato di registrare le proprie attività in Nepal e di nominare un rappresentante locale entro sette giorni.

Poiché la maggior parte delle aziende ha ignorato la scadenza, l’accesso ai servizi è stato disattivato la scorsa settimana. Alcune piattaforme non sono state bloccate: TikTok e Viber hanno rispettato i requisiti prima della scadenza e sono state aggiunte al registro.

La cancellazione ha coinciso con il giorno più intenso delle proteste. L’8 settembre, migliaia di persone, molte delle quali adolescenti in uniforme scolastica, hanno riempito le strade delle città di tutto il paese, chiedendo l’accesso ai social media. Le proteste sono degenerate in scontri con le forze di sicurezza; almeno 19 persone sono state uccise e oltre un centinaio sono rimaste ferite, secondo i media nepalesi.

Con l’intensificarsi dei disordini, il Primo Ministro KP Sharma Oli ha affermato che i disordini erano alimentati da “persone esterne”, ma ha sottolineato che il governo non ha respinto le richieste della nuova generazione ed è pronto al dialogo.

Mentre le forze di sicurezza radunavano rinforzi, incendi e manifestazioni violente si sono verificati in città nei pressi di edifici governativi e residenze di politici di alto rango. Secondo quanto riportato dai media locali, i manifestanti sono entrati nel territorio del complesso parlamentare e hanno distrutto edifici lungo la linea di scontro con i partiti al potere.

Anche i feed delle pubblicazioni indiane e nepalesi hanno registrato episodi operativi, dall’evacuazione di funzionari da parte di elicotteri dell’esercito al coordinamento di colonne di manifestanti su piattaforme di messaggistica e chat di gioco. In particolare, alcuni degli inviti all’azione sono stati diffusi tramite Discord e, in serata, un esercito era al lavoro nei pressi del quartiere ministeriale.

L’impatto politico è stato immediato. Prima si è dimesso il Ministro degli Interni Ramesh Lekhak, poi il Primo Ministro KP Sharma Oli, sotto pressione sia dalla piazza che dai suoi alleati della coalizione. Nel mezzo dei disordini, l’amministrazione di Kathmandu ha chiuso l’aeroporto internazionale di Tribhuvan e cancellato tutti i voli, citando rischi per la sicurezza senza precedenti.

La decisione del governo è stata criticata dalle organizzazioni internazionali. L’Alto Commissariato delle Nazioni Unite per i Diritti Umani ha ricordato alle autorità nepalesi la necessità di garantire la libertà di riunione pacifica e di espressione. Amnesty International e altre organizzazioni per i diritti umani avevano avvertito, ancor prima della chiusura dei social, che i filtri di massa e le risposte violente alle proteste compromettono le libertà civili fondamentali.

Nonostante lo sblocco dei social network e il cambio di primo ministro, la fase di tensione non è ancora finita. A Kathmandu, le restrizioni alla circolazione permangono, la polizia e l’esercito presidiano gli snodi chiave e gli attivisti stanno preparando eventi di lutto e chiedendo risposte alle domande sulle morti e sul futuro della regolamentazione delle piattaforme online.

La vicenda del blocco si inserisce nel più ampio tentativo di Kathmandu di inasprire le regole per le piattaforme digitali. In primavera, il governo ha presentato un disegno di legge sui social media, ancora in attesa di approvazione.

Il documento prevede multe e pene detentive per le pubblicazioni che le autorità ritengono “contrarie alla sovranità o agli interessi nazionali”. La Federazione Internazionale dei Giornalisti ha descritto l’iniziativa come una minaccia alla libertà di stampa e all’espressione digitale.

Il pensiero di Red Hot Cyber va alle 19 vittime e ai loro cari.

L'articolo In Nepal si muore per i Social Network! In 19 hanno perso la vita per riavere Facebook proviene da il blog della sicurezza informatica.

Microsoft Corporation, secondo Datacenter Dynamics, ha aderito alla World Nuclear Association (WNA), un’organizzazione internazionale no-profit con sede a Londra che promuove l’energia nucleare.

La World Nuclear Association è stata fondata nel 2001. Le sue attività principali sono il supporto alle tecnologie nucleari avanzate, come i piccoli reattori modulari, la semplificazione delle procedure di autorizzazione e il rafforzamento delle catene di approvvigionamento globali nel campo dell’energia nucleare.

Il sito web della WNA afferma che oggi l’associazione comprende aziende e organizzazioni con sede in 44 paesi in tutto il mondo. Tra queste, in particolare, grandi aziende nei settori dell’ingegneria nucleare, dell’edilizia e della gestione dei rifiuti, nonché istituti di ricerca e sviluppo. Tra i membri della WNA figurano Accenture, CEZ, Constellation Energy, EDF, GE Vernova, Iberdrola, Oklo, PG&E e molti altri.

“L’adesione di Microsoft all’associazione rappresenta una svolta per il settore. La sua partecipazione accelererà l’impiego dell’energia nucleare su scala necessaria sia per raggiungere gli obiettivi climatici sia per soddisfare la crescente domanda di energia dei data center “, ha affermato il Dott. Sama Bilbao y León, CEO di WNA.

Secondo quanto riferito, la divisione Energy Technology di Microsoft collaborerà direttamente con i gruppi di lavoro tecnici della WNA per accelerare l’adozione del nucleare, semplificare i processi normativi e sviluppare nuovi modelli commerciali. L’obiettivo finale è quello di scalare l’energia nucleare per soddisfare le crescenti esigenze dell’economia digitale, anche nel segmento dei data center.

Microsoft sta sviluppando diversi progetti nel campo dell’energia nucleare. In precedenza, è stato riferito che la società di Redmond sta formando un team per lavorare su piccoli reattori nucleari per alimentare i data center.

Inoltre, Microsoft ha firmato un contratto ventennale con il più grande gestore di centrali nucleari degli Stati Uniti, Constellation Energy, per la fornitura di elettricità che sarà prodotta nel sito di Three Mile Island in Pennsylvania. Allo stesso tempo, Microsoft spera che l’intelligenza artificiale acceleri lo sviluppo di reattori a fusione commerciali a basso costo in grado di fornire energia a grandi data center.

L'articolo Microsoft entra nella World Nuclear Association per sostenere l’energia nucleare proviene da il blog della sicurezza informatica.

Un ricercatore indipendente di nome Alexander Popov ha presentato una nuova tecnica per sfruttare una vulnerabilità critica nel kernel Linux, a cui è stato assegnato l’identificatore CVE-2024-50264. Questo errore di tipo “use-after-free” nel sottosistema AF_VSOCK è presente dalla versione 4.8 del kernel e consente a un utente locale senza privilegi di avviare uno errore quando si lavora con un oggetto virtio_vsock_sock durante la creazione della connessione.

La complessità e l’entità delle conseguenze hanno fatto sì che il bug si aggiudicasse i Pwnie Awards 2025 nella categoria “Best Privilege Escalation”.

In precedenza, si riteneva che lo sfruttamento del problema fosse estremamente difficile a causa dei meccanismi di difesa del kernel, come la distribuzione casuale delle cache e le peculiarità dei bucket SLAB, che interferiscono con metodi semplici come l’heap spraying.

Tuttavia, Popov è riuscito a sviluppare una serie di tecniche che eliminano queste restrizioni. Il lavoro è stato svolto nell’ambito della piattaforma aperta kernel-hack-drill, progettata per testare gli exploit del kernel.

Il passaggio chiave è stato l’utilizzo di un tipo speciale di segnale POSIX che non termina il processo. Interrompe la chiamata di sistema connect(), consentendo una riproduzione affidabile delle race condition e di non perdere il controllo sull’attacco.

Successivamente, il ricercatore ha imparato a controllare il comportamento delle cache di memoria sostituendo le proprie strutture al posto degli oggetti rilasciati. La messa a punto delle temporizzazioni consente di far scivolare i dati preparati in precedenza esattamente dove si trovava in precedenza l’elemento vulnerabile.

youtube.com/embed/qC95zkYnwb0?…

L'articolo Race condition letale per Linux: il trucco che trasforma un segnale POSIX in un’arma proviene da il blog della sicurezza informatica.

Benvenuti al nostro secondo appuntamento! La scorsa settimana, abbiamo esplorato il campo di battaglia della mente umana, comprendendo come la coevoluzione tra hacker e difensori sia una partita a scacchi psicologica, e come i nostri bias cognitivi e schemi mentali siano i veri punti di accesso per chi vuole attaccarci.

Oggi, è il momento di passare all’azione!

Non ci concentreremo sulle vulnerabilità, ma su come trasformarle in punti di forza.

L’obiettivo? Costruire la nostra resilienza digitale.

La resilienza, nella sua accezione più ampia, è la capacità di un sistema di adattarsi e riprendersi dopo un evento traumatico. Nel nostro contesto, non si tratta solo di resistere a un attacco, ma di uscirne più forti e consapevoli.

Come un muscolo che si irrobustisce dopo ogni sforzo, la nostra mente può diventare più agile e preparata a riconoscere e contrastare le minacce digitali.

Il coaching, in questo processo, agisce come un personal trainer per il nostro cervello. Aiuta a identificare i nostri schemi di pensiero, a sfidare le credenze limitanti e a costruire nuove abitudini mentali che favoriscono la vigilanza e la reazione consapevole.

La filosofia stoica: il firewall mentale

Per comprendere a fondo questo concetto, possiamo guardare a una scuola di pensiero millenaria: lo Stoicismo. Filosofi come Seneca e Marco Aurelio ci hanno lasciato un’eredità preziosa su come affrontare l’incertezza e la paura.

Ci insegnano a distinguere ciò che possiamo controllare da ciò che non possiamo.

Possiamo controllare le nostre azioni, le nostre scelte, la nostra attenzione, ma non possiamo controllare l’esistenza degli hacker o la natura di un attacco.

Dobbiamo quindi concentrarci sull’unica cosa che possiamo realmente fortificare: noi stessi.

Premeditatio Malorum: preparare la mente

La premeditatio malorum è una pratica stoica che consiste nel visualizzare in anticipo gli scenari peggiori per preparare la mente a una potenziale avversità. Non si tratta di essere pessimisti, ma di prepararsi a gestire gli imprevisti in modo lucido e calmo, riducendo l’impatto emotivo quando si verificano.

Nel contesto della cybersecurity, questa pratica è il cuore di un approccio proattivo. Invece di attendere l’attacco, occorre mettersi in condizione di affrontarlo prima che accada e il coaching eleva proprio questa pratica, trasformandola da un semplice esercizio mentale in un vero e proprio piano di risposta e di azione.

Come un coach può aiutarci a usare la premeditatio malorum:

• Dalla paura all’azione lucida: un attacco informatico può scatenare ansia e panico. Un coach ci aiuta a riconoscere e gestire queste emozioni, trasformando la paura in una reazione lucida e razionale. L’obiettivo non è eliminare la paura, ma impedire che ci paralizzi, facendoci reagire in modo strategico.
• Dalla visualizzazione alla pianificazione concreta: la premeditatio malorum non si ferma all’immaginazione. Un coach ci spinge a tradurre la visualizzazione in un piano d’azione pratico. Questo esercizio trasforma la preparazione mentale in un protocollo di emergenza personale e professionale.

Il mindset del difensore: crescere dagli errori

Un coach ci spinge a sfidare le nostre convinzioni e a vedere gli errori come occasioni di crescita.

• Identificare e superare le convinzioni limitanti: molte persone pensano di essere “non capaci” o “troppo anziane” Un coach può sfidare queste credenze, aiutando a costruire la fiducia necessaria.
• Trasformare l’errore in apprendimento: quando si cade in una trappola, che sia un’email di phishing o un errore di configurazione, la prima reazione spesso è un mix di vergogna e frustrazione. Il coaching aiuta a superare questa mentalità. Invece di vedere l’errore come un fallimento, si impara a considerarlo un’occasione preziosa per la crescita. Proprio come un muscolo che diventa più forte dopo uno sforzo intenso, ogni errore ci offre la possibilità di apprendere e di rafforzare le nostre difese, rendendoci più resilienti di fronte alle minacce future.

Rafforza la tua mente digitale: 3 esercizi per sviluppare la resilienza

Nel mondo digitale, la nostra prima linea di difesa non sono solo gli antivirus o i firewall, ma la nostra stessa mente.

La resilienza digitale è la capacità di resistere e recuperare dagli attacchi cibernetici, e si basa in gran parte sulle nostre decisioni e sul nostro comportamento.

Gli attacchi più subdoli non puntano a forzare un sistema, ma a ingannare la persona che lo usa.

Proprio per questo, allenare la nostra mente a riconoscere le minacce e a reagire in modo consapevole è fondamentale.

Qui di seguito, ho aggiunto alcuni esempi di semplici esercizi pratici che si possono applicare subito nella nostra quotidianità per costruire un atteggiamento proattivo e difensivo.

1. Il riconoscimento del “cavallo di Troia”

Obiettivo: riconoscere e disinnescare la manipolazione psicologica prima di agire. Questo esercizio ci aiuta a superare le trappole cognitive basate sull’urgenza o l’emotività, tipiche del social engineering.

Esercizio: la prossima volta che riceviamo una comunicazione che ci spinge ad agire in fretta – che si tratti di un’email di phishing che simula un’emergenza aziendale o un messaggio che richiede un’azione immediata – fermiamoci.

Non rispondiamo subito. Facciamo una pausa e applichiamo la “regola dei 3 S”:

• Scansiona: controlliamo l’intestazione, il mittente e il tono del messaggio.
• Sospetta: chiediamoci perché il messaggio è così urgente e chi ha da guadagnarci.
• Smentisci: se il minimo dubbio persiste, verifichiamo la richiesta tramite un canale separato (per esempio, chiamiamo il collega che ha inviato il messaggio invece di rispondere all’email).

2. La pratica del “pensare lento”

Obiettivo: trasformare l’impulso in un’azione consapevole, riducendo i rischi legati ai clic automatici e alla fretta.

Questo esercizio si basa sul principio di thinking slow per prevenire errori che possono compromettere la sicurezza.

Esercizio: per una settimana, introduciamo una pausa di 15 secondi ogni volta che dobbiamo cliccare su un link, scaricare un allegato o eseguire un comando. In quei 15 secondi, non pensiamo a nient’altro se non a una domanda chiave: “Ho verificato la fonte?”

Questo piccolo rituale ci aiuterà a creare una barriera mentale contro le minacce e a trasformare una reazione istintiva in una decisione analitica e consapevole.

3. Il “threat modeling personale”

Obiettivo: applicare le metodologie di analisi del rischio al nostro profilo personale e professionale. Dobbiamo sviluppare una mentalità proattiva e difensiva, identificando le nostre vulnerabilità prima che possano essere sfruttate.

Esercizio: dedichiamo 10 minuti a un threat modeling del nostro profilo personale. Poniamoci queste domande:

• Chi siamo e cosa facciamo? Quali sono le informazioni su di noi che un attaccante potrebbe trovare (es. su LinkedIn, social media)?
• Quali sono le nostre vulnerabilità umane? Siamo particolarmente fiduciosi o inclini ad aiutare? Cediamo facilmente alla pressione sociale? Cosa desideriamo?
• Quali sono i nostri asset personali? Quali dati, accessi o dispositivi possiedono un valore per un malintenzionato? Identifichiamo i nostri punti deboli e creiamo una strategia di difesa, un piano di azione.

Riflessione finale

In questo viaggio, abbiamo compreso che la vera sicurezza non risiede solo in software all’avanguardia o protocolli rigidi, ma nella fortezza interiore che costruiamo.

Abbiamo smesso di essere semplici bersagli passivi per trasformarci in difensori consapevoli, capaci di anticipare e disinnescare la minaccia prima che ci colpisca.

Il Coaching, unito alla saggezza millenaria dello Stoicismo e alla potente pratica della Premeditatio Malorum, ci ha fornito una mappa per navigare nel campo minato del mondo digitale.

Non si tratta di eliminare il rischio, ma di imparare a danzare con l’incertezza, a trasformare la paura in azione lucida e ogni errore in un trampolino di lancio verso una maggiore resilienza.

Come un muscolo che si irrobustisce dopo ogni sforzo, la nostra mente può diventare più agile e preparata a riconoscere e contrastare le minacce.

La nostra resilienza non è una dote innata, ma un’abilità che si costruisce, passo dopo passo, un pensiero consapevole dopo l’altro.

La sicurezza non è una destinazione, ma un percorso di crescita continua!

La prossima settimana, spingeremo la nostra esplorazione ancora oltre, scavando nel ruolo profondo e spesso sottovalutato delle discipline umanistiche e della filosofia nella cybersecurity.

Siete pronti a fare un ulteriore salto di consapevolezza? Vi aspetto.

L'articolo Non è il tuo PC l’anello debole, ma la tua mente: gli esercizi per difenderti dagli hacker proviene da il blog della sicurezza informatica.

Google intende semplificare l’accesso degli utenti alla modalità AI consentendo loro di impostarla come ricerca predefinita (al posto dei link tradizionali). La modalità AI è una versione della ricerca Google che utilizza modelli linguistici di grandi dimensioni per riassumere le informazioni dal web, in modo che gli utenti possano trascorrere più tempo su Google, anziché cliccare sui link dei siti web.

La nuova modalità AI nella ricerca di Google

La modalità AI può rispondere a domande complesse, elaborare immagini, riassumere informazioni, creare tabelle, grafici e persino fornire supporto con il codice. Come sottolinea Bleeping Computer , la modalità AI è attualmente facoltativa e si trova a sinistra della scheda “Tutti”. È disponibile in inglese in 180 paesi e territori in tutto il mondo.

Tuttavia, verso la fine della scorsa settimana, Logan Kilpatrick, responsabile del prodotto Google AI Studio, ha annunciato sul social media X che la modalità AI sarebbe presto diventata la modalità predefinita in Google. Successivamente, Robby Stein, vicepresidente del prodotto per la Ricerca Google, ha chiarito che l’azienda intende solo rendere la modalità AI più facilmente accessibile per le persone che desiderano utilizzarla.

L’azienda afferma che al momento non ci sono piani per rendere la modalità AI predefinita per tutti, ma se un utente preferisce utilizzarla sempre, presto sarà disponibile un interruttore o un pulsante a tale scopo.

In questo caso, i link tradizionali non verranno visualizzati per impostazione predefinita, ma è possibile passare alla vecchia visualizzazione dei risultati di ricerca trovando la scheda “Web”, che si trova proprio alla fine del pannello. La pubblicazione sottolinea che nel prossimo futuro la modalità AI potrebbe diventare la pagina di ricerca predefinita per tutti. Tuttavia, gli ingegneri di Google stanno attualmente cercando di determinare come questo passaggio influenzerà il settore pubblicitario.

Se l’AI fa il sunto, gli editori che fine fanno?

Google sta già testando annunci e recensioni basati sull’intelligenza artificiale e sta offrendo tali annunci ai partner. Tuttavia, il settore del marketing digitale non ha ancora capito come funzionerà il tutto se i link classici saranno completamente sostituiti dalla modalità AI.

I piani di Google per monetizzare la ricerca basata sull’intelligenza artificiale

Google detiene ancora circa il 90% del mercato della ricerca e continua a generare miliardi di clic per gli editori di tutto il mondo. Tuttavia, Google non paga editori e blog indipendenti per utilizzare l’intelligenza artificiale per riassumere i contenuti. Al contrario , l’azienda sostiene che i riepiloghi basati sull’intelligenza artificiale inviino più clic “di qualità” agli editori, sebbene non vi siano dati ufficiali a supporto di questa affermazione.

Una alleanza contro Google

Allo stesso tempo, ricerche indipendenti dimostrano che le persone sono meno propense a cliccare sui risultati di ricerca se il motore di ricerca fornisce loro un riepilogo basato sull’intelligenza artificiale.

Secondo quanto riportato dai media, alcuni editori indipendenti stanno già discutendo la creazione di un’alleanza tra media e notizie per combattere la crisi esistenziale che l’introduzione dell’intelligenza artificiale nei motori di ricerca comporta.

L'articolo Google spinge l’AI come ricerca predefinita: rischio blackout per editori e blog indipendenti proviene da il blog della sicurezza informatica.

L’Aeronautica Militare statunitense sta cercando un modo per gestire sciami di piccoli droni in aree in cui la navigazione satellitare viene disturbata o manomessa. In una nuova richiesta di informazioni (RFI), l’Air Force Laboratory (AFRL) ha annunciato l’intenzione di creare un sistema avanzato di posizionamento, navigazione e sincronizzazione (PNT) che consentirebbe ai droni di operare insieme senza dover fare affidamento sul GPS, una risorsa sempre più vulnerabile alla guerra elettronica.

Al centro dell’iniziativa c’è il banco di prova Joint Multi-INT Precision Reference (JMPR). Integrerà l’orologio atomico di nuova generazione (NGAC) con una stabilità dichiarata al picosecondo e una precisione migliore del nanosecondo. Questa sincronicità è necessaria affinché lo sciame possa muoversi in sincronia e scambiare dati senza timestamp satellitari.

L’AFRL sottolinea che “un’estrema coerenza temporale tra i droni in uno sciame è fondamentale” per coordinare le manovre, mantenere le comunicazioni e collaborare in ambienti “contesi”.

Le esperienze maturate nei conflitti degli ultimi anni, tra cui l’uso diffuso di tecniche di jamming e spoofing GPS, nonché lo sviluppo di capacità simili da parte della Cina, hanno costretto il Pentagono a cercare urgentemente alternative al riferimento satellitare.

L’architettura proposta è decentralizzata e “aperta”: ogni drone costruisce un sistema di riferimento locale basato sui propri sensori e sul posizionamento relativo dei suoi vicini. JMPR dovrebbe fornire il cosiddetto “PNT a freddo, progressivamente migliorato”, ovvero quando i dispositivi si avviano senza alcun supporto esterno e la precisione aumenta gradualmente man mano che nuove piattaforme vengono connesse e i dati vengono scambiati all’interno della rete.

Gli orologi atomici di bordo ad alta precisione svolgono un ruolo chiave in questo ambito: limitano la deriva temporale, aiutano a mantenere la formazione, gestiscono le letture dei sensori e svolgono missioni coordinate. Questo approccio, secondo i calcoli dell’AFRL, sarà anche direttamente utile nella lotta contro i sistemi a sciame nemici, dove contano i miliardesimi di secondo: più è preciso il tempo, più lo sciame si comporta come un “singolo organismo” piuttosto che come un insieme di dispositivi individuali.

Gli obiettivi tecnici includono una precisione temporale inferiore al nanosecondo, resistenza alle interferenze elettroniche, rigidi vincoli di dimensioni, peso e consumo energetico per l’installazione su piccoli droni e scalabilità da pochi a centinaia di droni, mantenendo la coerenza. Si prevede inoltre che il sistema sia flessibile nelle sue applicazioni, dal targeting distribuito e dalla fusione dei dati a comunicazioni robuste e condivisione di informazioni.

L’AFRL chiede all’industria di fornire modelli prestazionali, risultati di test e valutazioni dei colli di bottiglia tecnologici delle apparecchiature radio commerciali esistenti quando integrate in soluzioni PNT decentralizzate. La scadenza per le risposte è il 19 settembre 2025.

L’attenzione rivolta agli orologi atomici è un segnale dell’intenzione di ridurre la dipendenza dal GPS, su cui l’esercito statunitense fa affidamento da decenni per la navigazione e la sincronizzazione. Se il progetto avrà successo, i droni statunitensi saranno in grado di operare in modo fluido e rapido anche dove i satelliti sono silenziosi, e quindi operare in modo più efficace in spazi aerei difficili e pericolosi.

L'articolo Guerra Elettronica: L’Aeronautica Militare USA cerca un sistema alternativo al GPS per i droni proviene da il blog della sicurezza informatica.

Over 500 of the world’s leading cryptographers, security researchers, and scientists from 34 countries have today delivered a devastating verdict on the EU’s proposed “Chat Control” regulation. An open letter published this morning declares the plan to mass-scan private messages is “technically infeasible,” a “danger to democracy,” and will “completely undermine” the security and privacy of all European citizens.

The scientific consensus comes just days before a crucial meeting of EU national experts on September 12 and weeks before a final vote planned for October 14. The letter massively increases pressure on a handful of undecided governments—notably Germany—whose votes will decide whether to form a blocking minority to stop the law.What is ‘Chat Control’?

The proposed EU regulation would legally require providers of services like WhatsApp, Signal, Instagram, E-Mail and others to scan all users’ private digital communications and chats—including text messages, photos, and videos. This automated, suspicionless scanning would apply even to end-to-end encrypted chats, forcing companies to bypass or break their own security protections. Any content flagged by the algorithms as potential child sexual abuse material (CSAM) would be automatically reported to authorities, effectively creating a system of constant mass surveillance for hundreds of millions of Europeans.

What the researchers highlight (key points)

The open letter from the scientific community systematically dismantles the core arguments for Chat Control, warning that the technology simply does not work and would create a surveillance infrastructure ripe for abuse:

• A Recipe for Error and False Accusations: The scientists state it is “simply not feasible” to scan hundreds of millions of users’ private photos and messages with “an acceptable level of accuracy.” This would trigger a tsunami of false reports, placing innocent citizens—families sharing holiday photos, teenagers in consensual relationships, even doctors exchanging medical images—under automatic suspicion.
• The End of Secure Encryption: The letter confirms that any form of scanning “inherently undermines the protections that end-to-end encryption is designed to guarantee.” It creates a backdoor on every phone and computer, a single point of failure that the scientists warn will become a “high-value target for threat actors.”
• A Gift to Criminals, a Threat to the Innocent: Researchers confirm that detection algorithms are “easy to evade” by perpetrators with trivial technical modifications. The surveillance system would therefore fail to catch criminals while subjecting the entire population to invasive, error-prone scanning.
• A Blueprint for Authoritarianism: The letter issues a stark warning that the proposal will create “unprecedented capabilities for surveillance, control, and censorship” with an inherent risk of “function creep and abuse by less democratic regimes.”

The Political Battlefield: Undecided Nations Hold the Key

The future of digital privacy in Europe hangs in the balance, with EU member states deeply divided. A blocking minority requires rejection or abstention by at least four Member States representing more than 35% of the EU population. Based on current stances, the population threshold would be reached if Germany joined the “not in favour” group alongside the seven governments already not in favour.

• Pro-Surveillance Bloc (14): A coalition led by Denmark, Ireland, Spain, and Italy is pushing hard for the law. They are joined by Bulgaria, Croatia, Cyprus, France, Hungary, Latvia, Lithuania, Malta, Portugal, and Slovakia.
• The Resistance (7): A firm group of critics includes Austria, Belgium, the Czech Republic, Finland, Luxembourg, the Netherlands, and Poland.
• The Kingmakers (7): The deciding votes lie with Estonia, Germany, Greece, Romania, Slovenia, and Sweden. Germany’s position is pivotal. A ‘No’ vote or an abstention from Berlin would kill the bill.

Patrick Breyer, a digital rights advocate and former Member of the European Parliament for the Pirate Party, urges the undecided governments to heed the scientific evidence:

“This letter is a final, unambiguous warning from the people who build and secure our digital world. They are screaming that this law is a technical and ethical disaster. Any minister who votes for this is willfully ignoring the unanimous advice of experts. The excuse that this can be done without breaking encryption is a lie, and the myth that exempting encrypted services would solve all problems has now been proven wrong.

I am calling on the government of Germany, in particular, to show political courage, but also on France to reconsider its stance. Do not sacrifice the fundamental rights of 500 million citizens for a security fantasy that will not protect a single child. The choice is simple: stand with the experts and defend a free and secure internet for all – including children, or stand with the surveillance hardliners and deploy authoritarian China-style methods. Europe is at a crossroads, and your vote will define its digital future.”

The Pirate Party and the scientific community advocate for investing in proven child protection measures, such as strengthening law enforcement’s targeted investigation capabilities, designing communications apps more securely, funding victim support and prevention programs, and promoting digital literacy, rather than pursuing dangerous mass surveillance technologies.

Suggested questions for competent national ministries:

• Encryption and national security: How will E2EE used by citizens, public authorities, businesses and critical services remain uncompromised under any detection mandates?
• Accuracy and efficacy: What evidence shows image/URL scanning can achieve low false‑positive/negative rates at EU scale and resist trivial evasion? The German Federal Crime agency has reported an error rate of 48% in 2024 (page 18).
• Scope and function creep: How does the government intend to ensure detection cannot be expanded or repurposed to broader surveillance/censorship in future (e.g., text/audio, political content)?
• Child protection outcomes: Which evidence‑based measures (education, digital literacy, trauma‑informed victim support, faster handling of voluntary reports, targeted investigations) will be prioritised?

Key quotes from the open letter:

• “On‑device detection, regardless of its technical implementation, inherently undermines the protections that end‑to‑end encryption is designed to guarantee.”
• “Existing research confirms that state‑of‑the‑art detectors would yield unacceptably high false positive and false negative rates, making them unsuitable for large‑scale detection campaigns at the scale of hundreds of millions of users.”
• “There is no machine‑learning algorithm that can [detect unknown CSAM] without committing a large number of errors … and all known algorithms are fundamentally susceptible to evasion.”

Further Information:

• Open Letter from 500+ Scientists (9 Sept 2025): csa-scientist-open-letter.org/…
• Map of National Positions and background information: www.chatcontrol.eu

Upcoming Dates:

• 12 September 2025: Council working party meeting on the proposal.
• 14 October 2025: Planned final vote by EU home affairs ministers.

patrick-breyer.de/en/danger-to…