NO INCENERITORE: LIBERI DAI VELENI DI ROMA È UN PATTO PER IL FUTURO.
#Ambiente #StopInceneritore #NoInceneritore #NoInceneritori #ZeroWaste #Rifiuti #Riciclo #EconomiaCircolare #NoAlCarbone #EnergiaPulita
FreeCAD Foray: Good Practices
Last time, we built a case for a PCB that handles 100 W of USB-C power, an old project that I’ve long been aiming to revive. It went well, and I’d like to believe you that the article will give you a much-needed easy-to-grasp FreeCAD introduction, Matrix knowledge upload style, having you designing stuff in no time.
Apart from my firm belief in the power of open-source software, I also do believe in social responsibilities, and I think I have a responsibility to teach you some decent FreeCAD design practices I’ve learned along the way. Some of them are going to protect your behind from mistakes, and some of them will do that while also making your project way easier to work with, for you and others.
You might not think the last part about “others” matters, but for a start, it matters in the ideal world that we’re collectively striving towards, and also, let’s be real, things like documentation are half intended for external contributors, half for you a year later. So, here’s the first FreeCAD tip that will unquestionably protect you while helping whoever else might work with the model later.
Okay, we’re all hackers, so I’ll start with zero-th FreeCAD tip – press Ctrl+S often. That’ll help a ton. Thankfully, FreeCAD’s autorecovery system has made big leaps, and it’s pretty great in case FreeCAD does crash, but the less you have to recover, the better. Now, onto the first tip.
Name Your Bodies, Always
The button is F2. That’s it. Click on your models in the tree view and give them a name. Do it for all extrudes, cuts, and even fillets/chamfers. You don’t have to do it for sketches, since those are always contained within an extrusion. If at all possible, do it immediately, make it a habit.
Why? Because names make it clear what the extrusion/cut/fillet is for, and you’ll be thankful for it multiple times over when modifying your model or even just looking at it the next morning. Also, it makes it way easier to avoid accidentally sending the wrong 3D model to your printer.
How to make naming easier? I’ve figured out an easy and apt naming scheme, that you’ve seen in action in the previous article. For Fusions, I do “primary object +addition” or “with addition”, mentioning just the last addition. So, “Bottom case +cutouts” is a cut that contains “Bottom case +logo” and “Cutouts”, “Bottom case +logo” is a cut that contains “Bottom case” and “Logo”, and “Bottom case” contains “Bottom floor” and “Bottom walls”.
It’s not a perfect scheme, but it avoids verbosity and you have to barely think of the names. Don’t shy away from using words like “pip” and “doohickey” if the word just doesn’t come to your mind at the moment – you’re choosing between a project that’s vaguely endearing and one that’s incomprehensible, so the choice is obvious. Naming your models lets you avoid them becoming arcane magic, which might sound fun at a glance until you realize there’s already an object of arcane magic in your house, it’s called a “3D printer”, and you’ve had enough arcane magic in your life.
Last but not least, to hack something is know learn its true name, and whatever your feature is, there’s no truth in “Cut034”. By the way, about FreeCAD and many CAD packages before it, they’ve been having a problem with true names, actually, it’s a whole thing called Topological Naming Problem.
Naming Is Hard, Topology Is Harder
How do you know where a feature really is? For instance, you take a cube, and you cut two slots into the same side. How does the CAD package ensure that the slots are on the same side? One of the most popular options for it is topological naming. So, a cube gets its faces named Face1 through Face6, and as you slowly turn that cube into, say, a Minecraft-style hand showing a middle finger, each sketch remembers the name of the side you wanted it attached to.
Now, imagine the middle finger hand requires a hole inside of it, and it has to be done at from very start, which means you might need to go back to the base cube and add that hole. All of a sudden, there will be four new faces to the internal cube that holds the finger sketches, and these new faces will need names, too. Best case, they’ll be named Face7 through Face10 – but that’s a best case and the CAD engine needs to ensure to always implement it properly, whereas real world models aren’t as welcoming. Worst case, the faces will be renumbered anew, the sketch-to-face mapping will change which faces get which names, and the model of the hand will turn into a spider. Spooky!
It’s not Halloween just yet, and most regretfully, people don’t tend to appreciate spiders in unexpected places. Even more sadly, this retrospective renaming typically just results in your sketches breaking in a “red exclamation mark” way, since it’s not just sketch-to-face mappings that get names, it’s also all the little bits of external geometry that you’ll definitely invoke if you want to avoid suffering. Every line in your sketch has an invisible name and a number, and external geometry lines will store – otherwise, they couldn’t get updated when you change the base model under their feet, as one inevitably does.
This used to be a big problem with FreeCAD, and it still kind of is, but it’s by no means exclusive to FreeCAD. Hell, I remember dealing with something similar back when my CAD (computer-aided despair) suite of choice was SolidWorks. It’s not an easy problem to solve, because of the innumerable ways you can create and then modify a 3D object; every time you think you’ll have figured out a solution to the horrors, your users will come up with new and more intricate horrors beyond your comprehension.
FreeCAD v1.0 has clamped down on a large amount of topological naming errors. They still exist; one simple way I can trigger it is to make a cutout in a cube, make a sketch that external-geometry-exports the cut-in-half outwards-facing line of the cube, and then go back and delete the cutout. It makes sense that it happens, but oh do I wish it didn’t, and it makes for unfun sketch fixing sessions.
How To Stay Well Away
Now, I’m no stranger to problems caused by name changes, and I’m eager to share some of what I’ve learned dealing with FreeCAD’s names in particular.
The first solution concerns cutouts, as they specifically might become the bane of your model. If you have a ton of features planned, just delay doing the cutouts up until you’ve done all the basics of the case that you might ever want to rely on. Cutouts might and often will change, and if your board changes connector or button positions, you want to be able to remake them without ever touching the rest of the sketch. So, build up most of your model, and closer to the end, do the case cutouts, so that external geometry can rely on walls and sides that will never change.
Next, minimize the number of models you’re dealing with, so that you have less places where external geometry has to be involved. If you need to make a block with a hole all the way through, do it in one sketch instead of doing two extrudes and a cut. You’ll thank yourself, both because you’ll have less opportunity for topo naming errors, but also because you have fewer model names to think up.
The third thing is what I call the cockroach rule. If you see a cockroach in your house, you back off slowly, set the house on fire, and then you get yourself a different house, making sure you don’t bring the cockroach into the new house while at it. Same can apply here – if you remove a feature in the base model and you see the entire tree view light up with red exclamation marks, click “Close” on the document, press “Discard changes”, open the document again, and do whatever you wanted to do but in a different way.
Why reload? Because Ctrl+Z does not always help with such problems, as much as it’s supposed to. This does require that you follow the 0th rule – press Ctrl+S often, and it also requires that you don’t press Ctrl+S right after making those changes, so, change-verify-enter. Thankfully, FreeCAD will unroll objects in the model tree when one of the inner object starts to, so just look over the model tree after doing changes deep inside the model, and you’ll be fine. This is also where keeping your models in a Git repo is super helpful – that way, you can always have known-good model states to go back to.
Good Habits Create Good Models
So, to recap. Save often, give your models names, understand topo naming, create cutouts last if at all possible, keep your models simple, and when all fails, nuke it from orbit and let your good habits cushion the fall. Simple enough.
I’ll be on the lookout for further tips for you all, as I’ve got a fair few complex models going on, and the more I work with them, the more I learn. Until then, I hope you can greatly benefit from these tips, and may your models behave well through your diligent treatment.
Un bug critico di bypass dell’autenticazione colpisce Sophos AP6
Sophos ha annunciato di aver corretto una vulnerabilità critica di bypass dell’autenticazione che interessava gli access point wireless della serie AP6. La falla permetteva a un attaccante remoto di ottenere privilegi di amministratore accedendo all’indirizzo IP di gestione del dispositivo. La scoperta è avvenuta durante test di sicurezza interni condotti dalla stessa azienda.
Il problema riguarda le versioni del firmware precedenti alla 1.7.2563 (MR7). In queste release, la vulnerabilità esponeva gli access point al rischio di compromissione completa, con la possibilità per un aggressore di controllare configurazioni e funzionalità.
Sophos ha classificato la gravità della vulnerabilità come critica, con un punteggio CVSS di 9.8. La descrizione tecnica la riconduce a una falla catalogata come CWE-620, che riporta testualmente “Quando si imposta una nuova password per un utente, il prodotto non richiede la conoscenza della password originale né l’utilizzo di un’altra forma di autenticazione.”
Per i clienti che adottano la politica di aggiornamenti predefinita non è necessaria alcuna azione, poiché le patch vengono installate automaticamente. Questo garantisce la protezione immediata dalla falla senza interventi manuali da parte degli amministratori di rete.
Diverso il discorso per coloro che hanno scelto di disattivare gli aggiornamenti automatici: in questo caso è indispensabile installare manualmente la versione firmware 1.7.2563 (MR7), rilasciata dopo l’11 agosto 2025, per ricevere la correzione e le protezioni più recenti.
Sophos invita tutti gli utenti che utilizzano firmware precedenti a effettuare l’aggiornamento quanto prima. L’azienda sottolinea che solo con la versione più recente gli access point della serie AP6 sono completamente messi in sicurezza rispetto a questa vulnerabilità.
Ulteriori informazioni tecniche e dettagli ufficiali sono disponibili nei riferimenti pubblicati da Sophos, tra cui la scheda CVE-2025-10159 e la comunicazione sulla community dedicata agli aggiornamenti dei prodotti wireless.
L'articolo Un bug critico di bypass dell’autenticazione colpisce Sophos AP6 proviene da il blog della sicurezza informatica.
Una RCE in Apple CarPlay consente l’accesso root ai sistemi di infotainment dei veicoli
Alla conferenza di sicurezza DefCon, è stata presentata una rilevante catena di exploit da parte dei ricercatori, la quale permette a malintenzionati di acquisire l’autorizzazione di amministratore ai sistemi di intrattenimento dei veicoli attraverso Apple CarPlay.
L’attacco noto come “Pwn My Ride” prende di mira una serie di vulnerabilità presenti nei protocolli che governano il funzionamento del CarPlay wireless. Queste vulnerabilità possono essere sfruttate per eseguire codice remoto (RCE) sull’unità multimediale del veicolo, mettendo a rischio la sicurezza del sistema.
L’attacco, nella sua natura, consiste in una sequenza di debolezze insite nei protocolli che regolano il CarPlay wireless. Ciò consente l’esecuzione remota di codice sull’unità multimediale del veicolo, permettendo potenzialmente agli aggressori di assumere il controllo del sistema.
Al centro di questo exploit c’è CVE-2025-24132, un grave stack buffer overflow all’interno dell’SDK del protocollo AirPlay. Gli studiosi di Oligo Security hanno spiegato in dettaglio come questa falla possa attivarsi quando un intruso si infiltra nella rete Wi-Fi del veicolo.
La vulnerabilità colpisce un ampio spettro di dispositivi che utilizzano versioni di AirPlay Audio SDK precedenti alla 2.7.1, versioni di AirPlay Video SDK precedenti alla 3.6.0.126, nonché versioni specifiche del plug-in di comunicazione CarPlay.
Sfruttando questo stack buffer overflow, un aggressore può eseguire codice arbitrario con privilegi elevati, prendendo di fatto il controllo del sistema di infotainment. L’attacco inizia prendendo di mira la fase iniziale di connessione wireless di CarPlay, che si basa su due protocolli fondamentali: iAP2 (iPod Accessory Protocol) tramite Bluetooth e AirPlay tramite Wi-Fi.
I ricercatori hanno scoperto una falla fondamentale nel processo di autenticazione iAP2. Sebbene il protocollo imponga che l’auto autentichi il telefono, trascura l’autenticazione reciproca, consentendo al telefono di non essere verificato dal veicolo. Questa autenticazione unilaterale consente al dispositivo di un hacker di mascherarsi da iPhone legittimo.
Successivamente, l’intruso può effettuare l’associazione con il Bluetooth del veicolo, spesso senza un codice PIN a causa della prevalenza della modalità di associazione non sicura “Just Works” su molti sistemi. Una volta effettuato l’accoppiamento, l’hacker sfrutta la vulnerabilità iAP2 inviando un RequestAccessoryWiFiConfigurationInformationcomando, ingannando di fatto il sistema e inducendolo a rivelare l’SSID e la password Wi-Fi del veicolo.
Con le credenziali Wi-Fi in mano, l’aggressore ottiene l’accesso alla rete del veicolo e attiva CVE-2025-24132 per proteggere l’accesso root. L’intero processo può essere eseguito come un attacco senza clic su numerosi veicoli, senza richiedere alcuna interazione da parte del conducente.
Sebbene Apple abbia rilasciato una patch per l’SDK AirPlay vulnerabile nell’aprile 2025, i ricercatori hanno notato che, secondo il loro ultimo rapporto, nessun produttore automobilistico aveva implementato la correzione, secondo Oligo Security.
A differenza degli smartphone, che beneficiano di regolari aggiornamenti over-the-air (OTA), i cicli di aggiornamento del software dei veicoli sono notoriamente lunghi e frammentati.
L'articolo Una RCE in Apple CarPlay consente l’accesso root ai sistemi di infotainment dei veicoli proviene da il blog della sicurezza informatica.
Volkswagen punta sull’intelligenza artificiale: un miliardo di euro per ridurre le spese
Volkswagen ha annunciato al primo giorno della fiera internazionale IAA Mobility di Monaco l’intenzione di integrare l’intelligenza artificiale in tutti i settori della propria attività, con l’obiettivo di generare risparmi consistenti sui costi. L’investimento si concentrerà sullo sviluppo di veicoli basati su AI, applicazioni industriali e sull’espansione di infrastrutture IT ad alte prestazioni. Secondo le stime, l’adozione su larga scala dell’intelligenza artificiale potrebbe portare a un risparmio di 4 miliardi di euro entro il 2035.
L’azienda prevede che l’impiego dell’AI consentirà di accelerare in modo significativo lo sviluppo di nuovi modelli e di introdurre più rapidamente sul mercato tecnologie avanzate. “Per noi l’intelligenza artificiale è la chiave per una maggiore velocità, qualità e competitività lungo l’intera catena del valore, dallo sviluppo del veicolo alla produzione”, ha dichiarato il CIO Hauke Stars.
L’attenzione verso l’AI arriva in un momento delicato per Volkswagen, che sta affrontando importanti trasformazioni in due mercati chiave: Cina e Germania. In Germania, il gruppo sta implementando un programma di riduzione dei costi su larga scala, mentre in Cina si concentra sull’innovazione e sul lancio di nuovi modelli per fronteggiare la crescente concorrenza locale e internazionale.
A conferma della strategia di rinnovamento, la casa automobilistica ha annunciato il lancio di una nuova linea di veicoli elettrici compatti previsto per il prossimo anno, con l’obiettivo di vendere diverse centinaia di migliaia di unità in questo segmento nel medio termine. Nel frattempo, il titolo Volkswagen ha registrato un incremento dell’1,3% martedì, segnando un +14,3% dall’inizio dell’anno.
Una delle ragioni che spingono Volkswagen a investire in AI è la possibilità di ottimizzare processi complessi come la gestione delle supply chain e la produzione su larga scala. Con una rete globale di fornitori e stabilimenti, l’azienda potrebbe sfruttare l’intelligenza artificiale per prevedere interruzioni logistiche, ridurre gli sprechi e migliorare la pianificazione della produzione, ottenendo così un vantaggio competitivo in un settore dove efficienza e rapidità sono cruciali.
Inoltre, l’integrazione dell’AI rappresenta un passo strategico per affrontare le sfide future della mobilità. Le tecnologie di intelligenza artificiale sono infatti alla base della guida autonoma, della personalizzazione dei servizi a bordo e dell’analisi predittiva dei dati dei veicoli.
Puntando su queste innovazioni, Volkswagen mira non solo a contenere i costi, ma anche a rafforzare il proprio posizionamento come leader nella transizione verso un ecosistema di mobilità più intelligente, sicuro e sostenibile.
L'articolo Volkswagen punta sull’intelligenza artificiale: un miliardo di euro per ridurre le spese proviene da il blog della sicurezza informatica.
#Droni russi e bugie polacche
Droni russi e bugie polacche
Sullo sconfinamento dei droni russi in Polonia nelle prime ore di mercoledì non sono ancora emerse notizie chiare né prove certe, ma il governo di Varsavia e il resto della NATO non hanno come al solito esitato a lanciare una nuova ondata di attacchi…www.altrenotizie.org
giardino-punk.it/fateveli-racc…
Tutto quello che volevi sapere sull’utopia ma non hai mai avuto il coraggio di leggere
Ransomware in crescita via campagne malware basate sull’AI: come mitigare il rischio
@Informatica (Italy e non Italy 😁)
Secondo l'indagine di Acronis, l’AI sta democratizzando phishing e social engineering che, a loro volta, fanno crescere i ransomware. Ecco le tendenze che emergono nella prima metà del 2025, anche in Italia, e come proteggersi
L'articolo
Cosa contiene la manovra da 848 miliardi per la difesa approvata dalla Camera Usa
@Notizie dall'Italia e dal mondo
La sicurezza nazionale resta una delle basi della politica statunitense. L’approvazione da parte della Camera dei rappresentanti del National defense authorization act (Ndaa) per il 2026 è un passaggio importante nel dibattito sulle spese militari, anche se non tutto è definitivo. Con un budget proposto
Tutti amano i pangolini a colazione - Lucy sui mondi
Ci sono animali che possono diffondere patogeni in ogni momento, eppure nel mondo continuano a essere contrabbandati e venduti. Ma solo se si tracciano le carni si possono monitorare i rischi sanitari.Giorgia Bollati (Lucy sui mondi)
Perché in questo mondo è impossibile agire secondo il principio del consenso
“Siate meccanici, siate luddisti”: così si resiste al tecnocapitalismo
@Informatica (Italy e non Italy 😁)
Il meccanico comprende come funziona un sistema, il luddista sa perché è stato costruito. Il punto di vista di Jathan Sadowski, autore del libro The Mechanic and the Luddite
L'articolo “Siate meccanici, siate luddisti”: così si resiste al tecnocapitalismo proviene da Guerre di
Un mondo armato fino ai denti
@Giornalismo e disordine informativo
articolo21.org/2025/09/un-mond…
La memoria antifascista ce lo aveva insegnato: la violenza come strumento politico porta alla catastrofe
L'articolo Un mondo armato fino ai denti proviene da Articolo21.
Nasce il consorzio Rolls-royce, Avio aero e Ihi per la propulsione Gcap
@Notizie dall'Italia e dal mondo
Il Global combat air programme (Gcap) rappresenta uno dei più ambiziosi progetti di difesa aeronautica a livello internazionale. Lanciato da Italia, Regno Unito e Giappone, il programma mira a sviluppare entro il 2035 un caccia di sesta generazione che segnerà un salto qualitativo non solo sul piano operativo, ma anche
"You can blow out a candle
But you can't blow out a fire
Once the flames begin to catch
The wind will blow it higher".
Dopo quasi 50 anni il Sudafrica riaprirà le indagini sulla morte di Steve Biko, tra le figure più importanti della lotta all'apartheid - Il Post
https://www.ilpost.it/2025/09/11/sudafrica-riapertura-indagini-morte-steve-biko-apartheid/?utm_source=flipboard&utm_medium=activitypubPubblicato su News @news-ilPost
Poliversity - Università ricerca e giornalismo reshared this.
Mi sembra una pessima idea.
La proposta europea per controllare tutte le chat - Il Post
https://www.ilpost.it/2025/09/11/chat-control-unione-europea/?utm_source=flipboard&utm_medium=activitypubPubblicato su News @news-ilPost
La proposta europea per controllare tutte le chat
Ha lo scopo di contrastare la pedofilia online, se ne discute da anni e ci sono forti dubbi sulla tutela della privacy e della libertà di espressione praticamente di chiunqueIl Post
Maurizio likes this.
Poliversity - Università ricerca e giornalismo reshared this.
Il debutto di Lecornu tra consultazioni e proteste. La rabbia delle piazze: “Ascoltateci”
[quote]PARIGI – All’alba delle manifestazioni che hanno incendiato la Francia dopo le dimissioni del premier Bayrou, il nuovo primo ministro francese Sebastien Lecornu prosegue le consultazioni politiche. Oggi, giovedì 11…
L'articolo Il debutto di Lecornu tra
Charlie Kirk, cosa sappiamo sull’assassinio della rockstar Maga
OREM (UTAH) – C’è ancora molta confusione circa l’assassinio del giovane esponente di punta del Maga Charlie Kirk, morto in ospedale nella notte italiana tra mercoledì 10 settembre e giovedì…
L'articolo Charlie Kirk, cosa sappiamo sull’assassinio della rockstar Maga su Lumsanews.
Usa, ucciso l’attivista conservatore Charlie Kirk (Il Fatto del giorno)
A cura di Enza Savarese
L'articolo Usa, ucciso l’attivista conservatore Charlie Kirk (Il Fatto del giorno) su Lumsanews.
Sanremo, arrestati i due colpevoli dell’aggressione al turista disabile
[quote]SANREMO – Lo hanno aggredito in quattro con calci e pugni nel cuore della notte. Poi si sono dati alla fuga. A farne le spese un turista piemontese di 21…
L'articolo Sanremo, arrestati i due colpevolihttps://www.lumsanews.it/sanremo-arrestati-i-due-colpevoli-dellaggressione-al-turista-disabile/
Old Phone Upcycled Into Pico Projector, ASMR
To update an old saying for the modern day, one man’s e-waste is another man’s bill of materials. Upcycling has always been in the hacker’s toolkit, and cellphones provide a wealth of resources for those bold enough to seize them. [Huy Vector] was bold enough, and transformed an old smartphone into a portable pico projector and an ASMR-style video. That’s what we call efficiency!
Kidding aside, the speech-free video embedded below absolutely gives enough info to copy along with [Huy Vector] even though he doesn’t say a word the whole time. You’ll need deft hands and a phone you really don’t care about, because one of the early steps is pulling the LCD apart to remove the back layers to shine an LED through. You’ll absolutely need an old phone for that, since that trick doesn’t apply to the OLED displays that most flagships have been rocking the past few years.
The projected image looks surprisingly good considering the only optics in this thing are the LCD and the lens from a 5x magnifying glass from AliExpress. The foam board case, too, ends up looking surprisingly good once the textured vinyl wrap is applied. That’s a quick and easy way to get a nice looking prototype, if you don’t particularly need durability.
It’s not the brightest screen you can build, nor the highest resolution projector we’ve seen– but it might just be the easiest such build we’ve featured. As long as you handle the tricky LCD disassembly step, this is absolutely something we could see doing with children, which isn’t always the case on Hackaday.
youtube.com/embed/hx1keLrcFGw?…
Pace: Agostiniane Rossano, questa sera preghiere liturgia al monastero. Sr. Solera (superiora): la preghiera “in unità di cuori bussa con fiducia al cuore di Dio”
Le Monache del Monastero delle Agostiniane di Rossano (Cs), nella presila greca, sono “preoccupate” per il moltiplicarsi di gesti bellici a livello mondiale. Per questa sera, dice al Sir la superiora del Monastero, sr.
Debugging vs Printing
We’ll admit it. We have access to great debugging tools and, yes, sometimes they are invaluable. But most of the time, we’ll just throw a few print statements in whatever program we’re running to better understand what’s going on inside of it. [Loop Invariant] wants to point out to us that there are things a proper debugger can do that you can’t do with print statements.
So what are these magical things? Well, some of them depend on the debugger, of course. But, in general, debuggers will catch exceptions when they occur. That can be a big help, especially if you have a lot of them and don’t want to write print statements on every one. Semi-related is the fact that when a debugger stops for an exception or even a breakpoint, you can walk the call stack to see the flow of code before you got there.
In fact, some debuggers can back step, although not all of them do that. Another advantage is that you can evaluate expressions on the fly. Even better, you should be able to alter program flow, jumping over some code, for example.
So we get it. There is more to debugging than just crude print statements. Then again, there are plenty of Python libraries to make debug printing nicer (including IceCream). Or write your own debugger. If gdb’s user interface puts you off, there are alternatives.
Un bug in Google Drive consente l’accesso ai file di altre persone su desktop condivisi
Milioni di persone e aziende si affidano a Google Drive per archiviare contratti, report, foto e documenti di lavoro, utilizzando il client desktop di Windows per sincronizzare i file tra cartelle locali e cloud. Ma è stata proprio questa applicazione a rivelarsi vulnerabile: è stato scoperto un grave bug che consente a chiunque, su un computer condiviso, di ottenere l’accesso completo ai contenuti dell’account Google Drive di qualcun altro senza dover richiedere una nuova autorizzazione.
I ricercatori hanno scoperto che il programma salva copie dei dati sincronizzati in una cartella DriveFS nascosta all’interno del profilo di Windows. Questa directory dovrebbe essere accessibile solo al proprietario, ma l’applicazione non verifica i diritti di accesso quando si connette alla cache. È sufficiente copiare il contenuto della cartella DriveFS di un altro utente sul proprio profilo, dopodiché il client caricherà i dati di qualcun altro come se fossero propri. All’avvio, Google Drive Desktop percepisce la cache trasferita come legittima, aggirando i controlli di autenticazione e consentendo l’accesso ai file personali e aziendali.
Un test pratico ha dimostrato che su Windows 10 e 11 con versione client 112.0.3.0 la procedura è elementare: l’aggressore accede a Google Drive con il proprio account, chiude l’applicazione, copia la directory DriveFS della vittima (C:/Users/[vittima]/AppData/Local/Google/DriveFS/[ID]) nella propria directory (C:/Users/[attaccante]/AppData/Local/Google/DriveFS/[ID]) e riavvia il programma. Di conseguenza, ottiene pieno accesso all’unità principale della vittima, nonché a tutte le unità condivise, senza password o notifiche.
Codici sorgente, bilanci finanziari, foto personali e qualsiasi altro documento sono in formato aperto.
Questo meccanismo viola i principi fondamentali di Zero Trust, che richiedono la verifica obbligatoria dell’identità a ogni accesso, e compromette anche la protezione associata alla crittografia dei dati. I file nella cache vengono archiviati in chiaro e possono essere utilizzati da chiunque abbia accesso al sistema. Ciò è in contrasto con gli standard e le normative NIST, ISO 27001, GDPR e HIPAA, che prevedono un rigoroso isolamento e una verifica periodica delle credenziali.
Fino al rilascio di una correzione, si consiglia alle organizzazioni di interrompere l’utilizzo di Google Drive Desktop su computer con più utenti. Le misure temporanee includono la cancellazione della cache quando si cambia account, l’utilizzo di profili Windows separati con diritti di accesso rigorosi e la limitazione dell’esecuzione del client solo su dispositivi attendibili. Per risolvere definitivamente il problema, Google dovrebbe implementare la crittografia individuale dei dati memorizzati nella cache, un nuovo accesso obbligatorio quando si monta una cartella e autorizzazioni rigorose a livello di file system.
Dato che una percentuale significativa di perdite è causata da personale interno, affidarsi a una cache non protetta diventa una minaccia diretta. Finché l’azienda non colma questa lacuna, utenti e reparti IT corrono il rischio di accesso non autorizzato ai dati più critici .
L'articolo Un bug in Google Drive consente l’accesso ai file di altre persone su desktop condivisi proviene da il blog della sicurezza informatica.
Gazzetta del Cadavere reshared this.
Comune di Canegrate: presunta violazione e vendita di database e accessi
Nella giornata di ieri, su un noto forum underground frequentato da cyber criminali, è apparso un post che riguarda direttamente il Comune di Canegrate (Milano, Italia).
L’annuncio è stato pubblicato da un utente con nickname “krek1i”, attivo dal mese di aprile 2025 e con una reputazione di 81 punti, indice di una certa affidabilità all’interno della community underground. Lo stesso utente vanta decine di post e thread aperti, fattori che lo rendono un profilo consolidato nell’ambiente.
Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.
Nel messaggio, il criminale informatico sostiene di essere in possesso di un database e degli accessi ai sistemi del Comune di Canegrate, offrendo il tutto in vendita per la cifra di 500 dollari.
A corredo dell’annuncio sono stati pubblicati alcuni sample per dimostrare l’autenticità del materiale. Dall’analisi di tali sample emergono i seguenti elementi potenzialmente sensibili:
- dati personali di cittadini e utenti;
- account e password associati ai sistemi compromessi;
- schemi di database con numerose tabelle, a conferma di un’ampia quantità di informazioni potenzialmente esfiltrate.
Al momento, sul sito ufficiale del Comune di Canegrate non sono presenti comunicazioni in merito alla presunta violazione. Non si hanno quindi conferme ufficiali su quanto dichiarato dal criminale informatico.
Se confermata, la compromissione rappresenterebbe un grave incidente di sicurezza informatica ai danni di un ente pubblico locale, con possibili ripercussioni sulla protezione dei dati personali dei cittadini.
Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione dell’organizzazione qualora voglia darci degli aggiornamenti su questa vicenda e saremo lieti di pubblicarla con uno specifico articolo dando risalto alla questione.
RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono accedere utilizzare la mail crittografata del whistleblower.
L'articolo Comune di Canegrate: presunta violazione e vendita di database e accessi proviene da il blog della sicurezza informatica.
Ex dipendente di WhatsApp: “1500 ingegneri hanno accesso ai dati riservati degli utenti”
Attaullah Baig, che avrebbe guidato il team di sicurezza di WhatsApp dal 2021 al 2025, ha intentato una causa contro la società madre Meta. Baig sostiene di essere stato licenziato per aver ripetutamente tentato di risolvere i gravi problemi di sicurezza informatica dell’app di messaggistica.
Baig ha intentato una causa ai sensi del Sarbanes-Oxley Act per aver presumibilmente occultato problemi di sicurezza che avrebbero potuto portare a potenziali frodi da parte degli azionisti, nonché potenziali violazioni delle norme della Securities and Exchange Commission (SEC) degli Stati Uniti in materia di controlli interni delle informazioni.
Nella causa, l’ex dipendente di WhatsApp (che in precedenza aveva ricoperto posizioni legate alla sicurezza informatica presso PayPal e Capital One) sostiene che la dirigenza di WhatsApp lo ha ingiustamente licenziato, travisando la sua valutazione delle prestazioni e usandola come pretesto per rescindere il suo contratto.
I documenti affermano che poco dopo essersi unito a WhatsApp nel 2021, Baig “ha scoperto problemi sistemici di sicurezza informatica che creavano gravi rischi per i dati degli utenti e violavano gli obblighi legali di Meta ai sensi della Risoluzione sulla privacy del 2020 e delle leggi federali sui titoli”.
Baig sostiene che circa 1.500 ingegneri di WhatsApp avevano accesso illimitato ai dati personali sensibili degli utenti e sono stati in grado di copiarli e rubarli senza essere scoperti o sottoposti a controlli.
L’8 settembre 2022, Baig avrebbe sollevato le seguenti violazioni durante una riunione di lavoro:
- impossibilità di inventariare i dati degli utenti;
- incapacità di localizzare ed elencare i repository di dati;
- accesso illimitato ai dati degli utenti, a disposizione di 1.500 ingegneri informatici;
- mancanza di controllo sull’accesso ai dati degli utenti;
- incapacità di rilevare perdite di dati;
- incapacità di proteggere gli account utente da eventuali furti (si stima che si verifichino circa 100.000 casi di questo tipo al giorno).
Nell’ottobre 2022, Baig avrebbe informato dieci dirigenti senior di WhatsApp, tra cui l’amministratore delegato Will Cathcart e l’ingegnere capo Nitin Gupta, dei problemi, avvertendo che l’azienda avrebbe potuto affrontare conseguenze legali.
Baig afferma di aver tentato di sollevare le sue preoccupazioni nel 2023, ma di aver incontrato la resistenza dei dirigenti. Poi, all’inizio del 2024, avrebbe inviato una lettera al CEO di Meta Mark Zuckerberg e al consulente legale Jennifer Newstead, informandoli delle potenziali violazioni, delle resistenze che stavano affrontando e delle “prove che il team di sicurezza stava falsificando i report per nascondere le proprie decisioni e non affrontare i rischi di furto di dati”.
Nel febbraio 2025, Baig venne licenziato dall’azienda, presumibilmente diversi mesi dopo aver personalmente segnalato alla Securities and Exchange Commission degli Stati Uniti presunte violazioni della sicurezza informatica presso Meta.
Ora Baig chiede un processo con giuria e vuole che Meta lo reintegrasse, oltre a rimborsargli gli stipendi arretrati, le spese legali, i danni emotivi e le sofferenze. Tuttavia, Meta ha dichiarato ai media che Baig non ricopriva affatto il ruolo di “responsabile della sicurezza” di WhatsApp, ma piuttosto quello di responsabile dello sviluppo software, con diversi dirigenti senior al di sopra di lui. Secondo l’azienda, diversi ingegneri senior hanno stabilito in modo indipendente che le sue prestazioni non soddisfacevano le aspettative dell’azienda, il che ha portato al suo licenziamento.
“Purtroppo, è uno scenario familiare quello in cui un dipendente viene licenziato per scarse prestazioni e poi rilascia dichiarazioni distorte che sminuiscono l’essenza del duro lavoro del nostro team”, ha affermato Andy Stone, direttore delle comunicazioni di Meta.
Inoltre, secondo i documenti forniti dall’azienda a SecurityWeek, il Dipartimento del Lavoro degli Stati Uniti aveva precedentemente respinto il reclamo di Baig. L’OSHA ha concluso che Meta non aveva attuato ritorsioni nei confronti di un dipendente che aveva cercato di sollevare problemi di sicurezza. I documenti mostrano inoltre che il Dipartimento del Lavoro ha stabilito che le azioni di Baig non erano giustificate ai sensi del Sarbanes-Oxley Act.
L'articolo Ex dipendente di WhatsApp: “1500 ingegneri hanno accesso ai dati riservati degli utenti” proviene da il blog della sicurezza informatica.
Un Sogno d’oro
La vittoria alle Olimpiadi di Parigi 2024 della nazionale italiana di pallavolo femminile fa da cornice a questa autobiografia di Anna Danesi, giocatrice e capitana della nazionale, intitolata Un sogno d’oro. Con uno stile immediato e coinvolgente, adatto soprattutto a un pubblico giovanile, l’A. ripercorre le tappe della sua carriera, che inizia a Orago, appena quattordicenne, per poi mollare gli ormeggi e trasformare la passione per la pallavolo in un’attività professionale.
Il racconto è un insieme di flashback che vanno dall’ultima fatica azzurra, ossia la partecipazione alle Olimpiadi di Parigi 2024, sotto la guida del c.t. Julio Velasco, alla conquista della medaglia d’oro, ambita, ricercata e attesa. Il tempo olimpionico, fatto di training e tattica, sotto la pressione di una stampa spesso troppo critica rispetto alla squadra che era stata eliminata alle Olimpiadi di Tokyo nel 2021, spinge l’atleta a ripercorrere il suo passato, tra i tanti trasferimenti scolastici per i cambi di squadra, i sacrifici per gli intensi allenamenti, le vittorie, ma, soprattutto, le sconfitte, che spesso diventano più importanti degli obiettivi raggiunti.
Quando si osservano i gesti atletici, i salti plastici che si librano nell’aria, quasi a rimanere sospesi per infiniti secondi tra cielo e terra, alla ricerca di una schiacciata o di un muro difensivo, non si pensa che essi sono il risultato di una lunga preparazione, atletica e mentale, fatta di ripetizioni, tentativi, intuito, senso del tempo – timing –, costruiti con dedizione, attenzione e pazienza.
Non solo. L’autobiografia si sofferma spesso – e questo forse è il vero volto del libro – sull’interiorità di Danesi: le insicurezze, le ansie che sono sempre dietro l’angolo, il dover riuscire sempre a sostenere le critiche, che «per me, erano sempre più rilevanti rispetto ai complimenti e alle parole d’incoraggiamento» (p. 31), e che inducono a diventare spesso i peggiori giudici di sé stessi: «Tu non vali niente, non hai fatto nulla e non sei nessuno» (ivi). Sono aspetti psicologici che possono divenire pesanti fardelli soprattutto per chi, in fin dei conti, ha dovuto allontanarsi dall’ambito familiare molto presto, vivendo amicizie temporanee e dovendo confrontarsi con un mondo agonistico che spesso richiede una maturità che si deve acquisire troppo velocemente. E così la pallavolista dedica un intero capitolo all’equilibrio tra corpo e mente, raccontando il percorso di accompagnamento psicologico, facendo anche tesoro di alcuni pensieri dell’allenatore Velasco, che sono validi non solo per le sfide sportive, proprio per il fatto che «le tue insicurezze si fanno sentire sempre di più, il pallone in mano scotta e nella testa si forma una matassa di pensieri impossibile da sbrogliare» (p. 164).
Pagina dopo pagina, si arriva alla finale contro gli Stati Uniti, dopo aver sconfitto squadre come la Serbia ai quarti di finale, la Turchia nelle semifinali. In un racconto che è una cronaca vista in soggettiva da chi è in campo, si narrano i punti fondamentali, uno dopo l’altro, tra pensieri che portano gradualmente alla realizzazione del sogno dell’oro olimpico: una vittoria che è individuale, di squadra, ma anche di nazione.
Nella sua semplicità e immediatezza Un sogno d’oro è adatto a trasmettere, soprattutto agli adolescenti e ai giovani, quanto le proprie passioni e desideri siano da tenere in considerazione e come, per alimentarli costantemente, siano necessarie tenacia, convinzione, ma anche una sana capacità di comprendersi a fondo, custodendo il proprio corpo e ascoltando il proprio animo. L’essere umano non è solamente un fascio di muscoli e nervi che sprigiona forza e agonismo, ma un insieme di anima e corpo, che devono crescere all’unisono, in armonia e integralmente, per riuscire non solo a vincere, ma a saper affrontare le tante sfide che la vita pone davanti.
The post Un Sogno d’oro first appeared on La Civiltà Cattolica.