Vibecoding. What could possible go wrong? That’s what [Kevin Joensen] of Baldur wondered, and to find out he asked Anthropic’s Sonnet 4.5 to build a secure login with Two Factor Authentication (2FA). And to the LLM’s credit, it builds the app as requested. [Kevin] took a peek under the hood to see how well the security was handled, and it wasn’t great.

Up first, the Flask app doesn’t have any rate-limiting for guessing that time-based 2FA code. A 6-digit time-based 2FA only works if you can’t try all the possibilities before a given code expires. So what does a vibecoder do, once this has been noticed? Ask the LLM to fix it of course. Here we take a slightly different approach, prompting the AI to double-check its work: “Is there any security features missing in 2fa verify step?” The answer is an impressive:

Great question! Yes, there are several critical security features missing from the 2FA verification step. Let me highlight the most important ones: Critical Security Issues1. No Rate Limiting (MOST CRITICAL)

But the critical question, can it properly fix its mistake? The AI adds the flask-limiter library and chooses 10 attempts per minute, which is a bit loose, but not unreasonable. There’s still an issue, that those attempts are limited by IP address instead of user login. All it takes to bypass that rate limiting is a pool of IP addresses.

This experiment starts to go off the rails, as [Kevin] continues to prompt the LLM to look for more problems in its code, and it begins to hallucinate vulnerabilities, while not fixing the actual problem. LLMs are not up to writing secure code, even with handholding.

But surely the problem of LLMs making security mistakes isn’t a real-world problem, right? Right? Researchers at Escape did a survey of 5,600 vibecoded web applications, and found 2,000 vulnerabilities. Caveat Vibetor.

“Secure” Enclave

A few weeks ago we talked about Battering RAM and Wiretap — attacks against Trusted Execution Environments (TEEs). These two attacks defeated trusted computing technologies, but were limited to DDR4 memory. Now we’re back with TEE-fail, a similar attack that works against DDR5 systems.

This is your reminder that very few security solutions hold up against a determined attack with physical access. The Intel, AMD, and Nvidia TEE solutions are explicitly ineffective against such physical access. The problem is that no one seemed to be paying attention to that part of the documentation, with companies ranging from Cloudflare to Signal getting this detail wrong in their marketing.

Banning TP-Link

News has broken that the US government is considering banning the sale of new TP-Link network equipment, calling the devices a national security risk.

I have experience with TP-Link hardware: Years ago I installed dozens of TL-WR841 WiFi routers in small businesses as they upgraded from DSL to cable internet. Even then, I didn’t trust the firmware that shipped on these routers, but flashed OpenWRT to each of them before installing. Fun fact, if you go far enough back in time, you can find my emails on the OpenWRT mailing list, testing and even writing OpenWRT support for new TP-Link hardware revisions.

From that experience, I can tell you that TP-Link isn’t special. They have terrible firmware just like every other embedded device manufacturer. For a while, you could run arbitrary code on TP-Link devices by putting it inside backticks when naming the WiFi network. It wasn’t an intentional backdoor, it was just sloppy code. I’m reasonably certain that this observation still holds true. TP-Link isn’t malicious, but their products still have security problems. And at this point they’re the largest vendor of cheap networking gear with a Chinese lineage. Put another way, they’re in the spotlight due to their own success.

There is one other element that’s important to note here. There is still a significant TP-Link engineering force in China, even though TP-Link Systems is a US company. TP-Link may be subject to the reporting requirements of the Network Product Security legislation. Put simply, this law requires that when companies discover vulnerabilities, they must disclose the details to a particular Chinese government agency. It seems likely that this is the primary concern in the minds of US regulators, that threat actors cooperating with the Chinese government are getting advanced notice of these flaws. The proposed ban is still in proposal stage, and no action has been taken on it yet.

Sandbox Escape

In March there was an interesting one-click exploit that was launched via phishing links in emails. Researchers at Kaspersky managed to grab a copy of the malware chain, and discovered the Chrome vulnerability used. And it turns out it involves a rather novel problem. Windows has a pair of APIs to get handles for the current thread and process, and they have a performance hack built-in: Instead of returning a full handle, they can return -1 for the current process and -2 for the current thread.

Now, when sandboxed code tries to use this pseudo handle, Chrome does check for the -1 value, but no other special values, meaning that the “sandboxed” code can make a call to the local thread handle, which does allow for running code gadgets and running code outside the sandbox. Google has issued a patch for this particular problem, and not long after Firefox was patched for the same issue.

NPM and Remote Dynamic Dependencies

It seems like hardly a week goes by that we aren’t talking about another NPM problem. This time it’s a new way to sneak malware onto the repository, in the form of Remote Dynamic Dependencies (RDD). In a way, that term applies to all NPM dependencies, but in this case it refers to dependencies hosted somewhere else on the web. And that’s the hook. NPM can review the package, and it doesn’t do anything malicious. And when real users start downloading it, those remote packages are dynamically swapped out with their malicious versions by server-side logic.

Installing one of these packages ends with a script scooping up all the data it can, and ex-filtrating it to the attacker’s command and control system. While there isn’t an official response from NPM yet, it seems inevitable that NPM packages will be disallowed from using these arbitrary HTTP/HTTPS dependencies. There are some indicators of compromise available from Koi.

Bits and Bytes

Python deserialization with Pickle has always been a bit scary. Several times we’ve covered vulnerabilities that have their root in this particular brand of unsafe deserialization. There’s a new approach that just may achieve safer pickle handling, but it’s a public challenge at this point. It can be thought of as real-time auditing for anything unsafe during deserialization. It’s not ready for prime time, but it’s great to see the out-of-the-box thinking here.

This may be the first time I’ve seen remote exploit via a 404 page. But in this case, the 404 includes the page requested, and the back-end code that injects that string into the 404 page is vulnerable to XML injection. While it doesn’t directly allow for code execution, this approach can result in data leaks and server side request forgeries.

And finally, there was a sketchy leak, that may be information on which mobile devices the Cellebrite toolkit can successfully compromise. The story is that [rogueFed] sneaked into a Teams meeting to listen in and grab screenshots. The real surprise here is that GrapheneOS is more resistant to the Cellebrite toolkit than even the stock firmware on phones like the Pixel 9. This leak should be taken with a sizable grain of salt, but may turn out to be legitimate.

hackaday.com/2025/10/31/this-w…

Halloween is about tricks and treats, but who wouldn’t fancy a bit to drink with that? [John Sutley] decided to complete his Halloween party with a drink dispenser looking as though it was dumped by a backstreet laboratory. It’s not only an impressive looking separating funnel, it even runs on an Arduino. The setup combines lab glassware, servo motors, and an industrial control panel straight from a process plant.

The power management appeared the most challenging part. The three servos drew more current than one Arduino could handle. [John] overcame voltage sag, brownouts, and ghostly resets. A healthy 1000 µF capacitor across the 5-volt rail fixed it. With a bit of PWM control and some C++, [John] managed to finish up his interactive bar system where guests could seal their own doom by pressing simple buttons.

This combines the thrill of Halloween with ‘the ghost in the machine’. Going past the question whether you should ever drink from a test tube – what color would you pick? Lingonberry juice or aqua regia, who could tell? From this video, we wouldn’t trust the bartender on it – but build it yourself and see what it brings you!

youtube.com/embed/8pY9TOOwmnc?…

hackaday.com/2025/10/31/scared…

A cura di Vicki Vinci, SOC Architect – International di Fortinet

Il trend tecnologico di assoluto maggior rilievo degli ultimi anni è senza dubbio l’avvento dell’Artificial Intelligence soprattutto declinata nella sua componente generativa (GenAI). Accantonando per il momento le considerazioni su come il mercato ne abbia fatto adozione, non è negabile che nel mondo della sicurezza questa evoluzione abbia portato una serie di cambiamenti molto significativi.
A cura di Vicki Vinci, SOC Architect – International di Fortinet
Proviamo ad analizzare alcuni casi d’uso su cui l’industria della security e la community hanno provato a focalizzare maggiormente l’attenzione:

1. Come l’AI viene utilizzata dagli attaccanti
2. L’ AI nelle attività di chi deve difendere
3. Come le soluzioni di GenAI possono venire attaccate
4. Le modalità in cui si possono proteggere i motori di LLM

Partendo dal primo esempio non v’è dubbio che la possibilità di utilizzare strumenti di GenAI abbia facilitato e di molto il compito degli attaccanti su molteplici fronti:

• La facilità nella creazione di codice malevolo in grado di aggirare le difese classiche messe in atto dalle organizzazioni
• Il supporto al perfezionamento di campagne di phishing con testi sempre più perfezionati e repliche fedeli di messaggi e portali realmente in uso da parte degli utenti
• L’integrazione delle funzionalità native degli LLM a supporto di variegate campagne d’attacco automatizzandone ed ottimizzandone le fasi partendo dallaReconnaissance, la Weaponization, fino a Installation, Command and Control (C2) terminando con Actions on Objectives

Allo stesso tempo chi ha come sua missione la difesa, viene affiancato da soluzioni in grado di:

• Accelerare la capacità di Triage aumentandone anche la profondità di dettaglio
• Produrre componenti delle soluzioni di SecOps (playbooks, connettori, ecc.) in maniera semplificata e quanto più sempre nella direzione di uno sviluppo codeless
• Mettere in campo specifiche attività di riconoscimento, contenimento e remediation automatizzate attraverso soluzioni di AgenticAI

Perché questa serie di opzioni possa essere messa in campo, uno degli elementi fondamentali è la disponibilità di un motore di LLM (pubblico o privato che sia) che inevitabilmente diventa a sua volta oggetto di possibili attacchi. La disponibilità, l’integrità e confidenzialità dei contenuti sono messi in pericolo sia singolarmente che in modo congiunto a seconda delle metodologie utilizzate.

A tal proposito i modus operandi che vediamo essere messi in atto dai Threat Actors con maggiore frequenza sono:

• Attacchi volumetrici e qualitativi sulle risorse di calcolo destinate alla fruizione del LLM (DdoS)
• Prompt injection per costruire Bias tali da produrre allucinazioni da parte del motore di LLM o attività di mass-query per estrapolazione delle informazioni contenute
• Attacchi “tradizionali” per colpire le componenti infrastrutturali coinvolte nell’erogazione del servizio (network, compute, application-layer)
• Accessi non autorizzati a motori di LLM privati tramite credenziali compromesse o accessi di rete non correttamente presidiati

In ultima istanza l’industria della Cyber Security si è messa in movimento per dare il suo contributo nella difesa di questa componente sempre più fondamentale nella nostra economia digitale. Mappando le tipologie di attacco appena citate, le soluzioni che stanno guidando il mercato sono:

• Soluzioni di GSLB, Waf e CNAPP
• Prodotti di Deep Inspection che disaccoppiano la sessione dell’utente rispetto all’accesso sulla componente di front-end del motore di LLM, strumenti di DLP e di monitoraggio
• Firewalling, strumenti di API protection
• Unified SASE, ZTNA, MFA e segregazione della rete

In ognuno di questi casi d’uso, l’ingresso degli strumenti di Artifical Intelligence ha cambiato radicalmente il livello qualitativo ma anche le tempistiche collegate alle varie fasi dell’attacco. Se in precedenza l’intervento umano era ancora una componente fondamentale in alcuni dei passaggi, oggi molte di queste attività possono essere delegate a macchine che sono in grado sia di accelerare che di parallelizzare i task accorciandone le tempistiche e moltiplicandone i volumi.

Con queste premesse diventa mandatorio mettere a disposizione dei Blue-Team strumenti che possano contrastare le nuove modalità d’attacco pareggiandone sia i tempi che le quantità. L’obiettivo finale è quello di mettere a disposizione dell’analista informazioni quanto più possibile ricche di dettaglio e che minimizzino il tempo di analisi e decisione delle contromisure, quando non siano già state messe in campo in maniera automatizzata.

Se gli attaccanti stanno utilizzando sempre più la tecnologia (oltre che le tecniche di Social Engineering) elevando la potenza delle loro attività nella scala del “tempo-macchina”, anche i difensori non possono esimersi da adottare strategie e strumenti che permettano loro di rispondere nello stesso ordine di grandezza della scala temporale. Minimizzare il dwell time farà sempre più la differenza tra un attacco andato a buon fine da un’eccellente capacità di risposta e contenimento.

Per tutti gli approfondimenti del caso è disponibile la pagina dedicata.

L'articolo Le Security Operations al tempo dell’Artificial Intelligence proviene da Red Hot Cyber.

Negli ultimi anni la cybersecurity è balzata in cima all’agenda di imprese, istituzioni e pubblica amministrazione. Ma se guardiamo ai numeri, l’Italia sembra ancora correre con le scarpe legate: investe circa lo 0,12% del PIL in sicurezza digitale, meno della metà di Francia e Germania e appena un terzo rispetto a Regno Unito e Stati Uniti (fonti: Rapporto Clusit 2025, DeepStrike Cybersecurity Spend Report 2025).

Questo budget ridotto si traduce in un parco strumenti spesso vecchio e polveroso, incapace di tenere il passo con la mole e la complessità degli attacchi. Il Rapporto Clusit 2025 fotografa una realtà che non lascia spazio a speranze: gli attacchi gravi nel nostro Paese sono cresciuti del 15,2% nell’ultimo anno e quasi ogni giorno qualcuno subisce danni rilevanti, certificati da 357 incidenti gravi che sono stati registrati nel 2024.

Aggiungiamo al quadro un ritardo digitale che pesa come un macigno: appena il 45% degli italiani ha competenze digitali di base, e molte aziende arrancano a trovare profili specializzati per difendersi (fonte: DESI Digital Skills Report 2025). In pratica, questa carenza crea una rete di sicurezza fatta più di buchi che di protezione.

Nulla di nuovo per gli attaccanti, che ci attaccano con automatismi che nelle realtà italiane pubbliche e private – dove anche acquistare una tecnologia, un corso di formazione, oppure un servizio di consulenza è una corsa ad ostacoli – sono pura fantasia: è la nuova realtà, non un’eccezione da tamponare.

E qui salta fuori il CISO, il capo della sicurezza digitale, figura che non può più essere solo un tecnico ingegnoso o un giurista pedante: serve un mix tra diritto, tecnologia, gestione e comunicazione. Chi occupa questo ruolo deve saper trasformare un linguaggio tecnico complesso in argomentazioni convincenti per i vertici dell’organizzazione, spesso poco inclini a capire che la sicurezza non è tecnologia, ma strategia.

L’asimmetria tra chi difende e chi attacca è quasi una barzelletta a denti stretti: i malintenzionati spesso hanno più budget, meno regole e più libertà d’azione. È urgente un cambio di passo che prenda in considerazione investimenti coordinati, sviluppo di competenze ampie e un cambio culturale profondo.

Ogni giorno che passa senza un cambio deciso, il rischio per il sistema Paese cresce fino al prossimo report. La cybersecurity non è più un’opzione, ma è un asset fondamentale per la sopravvivenza in un mondo iperconnesso.

Per approfondire come preparare professionisti capaci di questo salto, rimando al “Manuale CISO Security Manager”, che offre un percorso concreto di formazione multidisciplinare.

L'articolo La corsa alla cybersicurezza è partita e l’Italia corre con le scarpe legate proviene da Red Hot Cyber.

Dear Friend of Press Freedom,

It’s been 220 days since Rümeysa Öztürk was arrested for co-writing an op-ed the government didn’t like. Read on for news from California, Washington D.C. and Maryland as the government shutdown drags on.

Public records are for the public

When Wired made public records-based stories free, subscriptions went up.

When 404 Media published reporting that relied on the Freedom of Information Act without a paywall, new sources came forward.

Freedom of the Press Foundation (FPF) spoke to Wired Global Editorial Director and FPF board member Katie Drummond, and 404 Media co-founder Joseph Cox about why giving the public access to public records reporting is good for journalism — and for business. Read more here.

Shutting down the government doesn’t shut down the First Amendment

It’s absurd and unconstitutional to exclude reporters from immigration hearings unless they get government permission to attend, especially when it’s impossible to obtain permission due to the government shutdown, and particularly when the current government despises First Amendment freedoms and will use any opportunity to evade transparency.

And yet that’s exactly what an immigration court in Maryland did this week. We wrote a detailed letter to the top judge at the courthouse explaining why they need to reverse course, both to comply with the law and for the sake of democracy. The next day, Capital News Service reported that the court had backed down and lifted the ban. Read the letter here.

No secret police in LA

Award-winning journalist Cerise Castle sued Los Angeles County in July and obtained a court order for the department to release the sheriff’s deputy ID photographs.

But now the county is appealing. Its objection to allowing the public to identify law enforcement officers is especially striking when Angelenos and others across the country are outraged by unidentified, masked federal immigration officers abducting their neighbors. It also comes on the heels of the city of Los Angeles embarrassing itself with its failed effort to sue a journalist for publishing officer photographs.

We connected with Castle’s lawyer, Susan Seager, to try to figure out what the department is thinking. Read more here.

Top three questions about the White House ballroom

FPF’s Daniel Ellsberg Chair on Government Secrecy Lauren Harper has lots of questions about the demolition of a section of the White House to construct a ballroom.

She wrote about three of them for our government secrecy site, The Classifieds: (1) Is there a budget? (2) Who are the donors, and what do they get in return? and (3) Where should we look for answers about what’s going on at the East Wing? Read more here.

What we’re reading

U.S. assessment of Israeli shooting of journalist divided American officials (The New York Times). A retired U.S. colonel has gone public with his concern that the Biden administration’s findings about the 2022 killing of Palestinian-American journalist Shireen Abu Akleh by the Israeli military were “soft-pedaled to appease Israel.” There has been “a miscarriage of justice,” he says.

ICE detains British journalist after criticism of Israel on US tour (The Guardian). The detention of Sami Hamdi by U.S. Immigration and Customs Enforcement solely for his views while on a speaking tour in the U.S. is a blatant assault on free speech. These are the tactics of the thought police.

Trump and Leavitt watch with glee as the press is crumbling (Salon). “As the press becomes more subservient and less independent, the firsthand knowledge needed to even stage a fight to get our mojo back is a whisper in the ether,” writes Brian Karem. That’s why veteran journalists who know how abnormal this all is need to be extra vocal these days.

Atlanta journalist says he ‘won’t be the only’ one deported by Trump officials (The Guardian). “It’s not the way I wanted to come back to my country – deported like a criminal,” journalist Mario Guevara told Briana Erickson of FPF’s U.S. Press Freedom Tracker from El Salvador. Read The Guardian’s story, based on reporting by the Tracker.

One third of all journalists are creator journalists, new report finds (Poynter). It’s no time for gatekeeping. There aren’t enough traditional J-School trained journalists to adequately document every ICE abduction – let alone everything else going on. We appreciate everyone who is exercising their press freedom rights, no matter how they’re categorized.

RSVP

freedom.press/issues/public-re…

Part of setting up a microcontroller when writing a piece of firmware usually involves configuring its connections to the outside world. You define a mapping of physical pins to intenral peripherals to decide which is an input, output, analogue, or whatever other are available. In some cases though that choice isn’t available, and when you’ve used all the available output pins you’re done. But wait – can you use an input as an output? With [SCART VADER]’s lateral thinking, you can.

The whole thing takes advantage of the internal pull-up resistor that a microcontroller has among its internal kit of parts. Driving a transistor from an output pin usually requires a base resistor, so would it be possible to use the pullup as a base resistor? If the microcontroller can enable or disable the resistor on an input pin then yes it can, a transistor can be turned off and on with nary an output to be seen. In this case the chip is from ATmega parts bin so we’re not sure if the trick is possible on other manufacturers’ devices.

As part of our 2025 Component Abuse Challenge, this one embodies the finest principles of using a part in a way it was never intended to be used, and we love it. You’ve still got a few days to make an entry yourself at the time of writing this, so bring out your own hacks!

hackaday.com/2025/10/31/2025-c…

A partire da martedì 12 novembre 2025 entreranno in vigore le nuove disposizioni dell’Autorità per le Garanzie nelle Comunicazioni (AGCOM) che impongono un sistema di verifica dell’età per accedere ai siti pornografici.

La misura, prevista dalla delibera 96/25/CONS,dà attuazione a quanto stabilito dal cosiddetto “decreto Caivano”, approvato nel 2023 dal governo di Giorgia Meloni per contrastare la criminalità minorile e proteggere i minori dall’accesso a contenuti vietati.

Cosa cambia dal 12 novembre

Fino ad oggi, per entrare in un sito per adulti bastava dichiarare di avere almeno 18 anni con un semplice clic sulla schermata iniziale. Un metodo facilmente aggirabile che consentiva anche ai minorenni di accedere liberamente a milioni di video.

Con le nuove regole, questo meccanismo sarà sostituito da un controllo più rigoroso: i siti dovranno accertare la maggiore età degli utenti attraverso soggetti terzi certificati – aziende, istituti bancari o operatori telefonici – già autorizzati alla gestione di dati identificativi.

Il processo introdotto dall’AGCOM prevede un sistema di “doppio anonimato” che tutela la privacy dell’utente. In pratica, chi vuole accedere a un sito per adulti dovrà richiedere a un soggetto certificato una “prova dell’età”.

Il fornitore di questo servizio verifica se la persona è maggiorenne e rilascia un codice anonimo, privo di informazioni personali, che l’utente inserisce sul sito per adulti. Il sito, a sua volta, controlla la validità del codice prima di consentire l’accesso. La verifica dovrà essere effettuata ad ogni nuovo accesso.

Le regole e i divieti imposti

La delibera non impone un unico sistema tecnico, ma vieta alcune modalità considerate invasive o non sicure, come il riconoscimento facciale biometrico o la richiesta diretta della carta d’identità da parte dei siti pornografici. È esclusa anche l’autodichiarazione dell’età, ormai ritenuta insufficiente.

L’AGCOM potrà intervenire direttamente contro i portali che non si adegueranno entro 20 giorni dall’entrata in vigore della misura, arrivando, nei casi di inadempienza, fino al blocco del sito sul territorio italiano.

Il provvedimento interesserà inizialmente 48 piattaforme indicate in un elenco pubblicato dall’Autorità, che sarà aggiornato nel tempo. Tra i nomi figurano i più noti portali internazionali come Pornhub, YouPorn, Xvideos, OnlyFans, Chaturbate e Xhamster, insieme a numerosi siti minori.

Questa prima lista rappresenta solo una parte del vasto panorama di siti pornografici accessibili dall’Italia, ma segna l’avvio concreto del nuovo sistema di controllo.

Un modello già adottato in Francia

L’Italia segue così l’esempio della Francia, dove provvedimenti simili sono già entrati in vigore nei mesi scorsi. Anche lì, l’obiettivo principale è stato quello di rendere più difficile per i minorenni l’accesso a contenuti pornografici, bilanciando sicurezza e tutela della privacy.

L'articolo Dal 12 novembre in Italia scatta la verifica dell’età per siti porno. Cosa cambia proviene da Red Hot Cyber.

Award-winning journalist Cerise Castle has some history with the Los Angeles County Sheriff’s Department. In 2021, she chronicled how deputies formed violent gangs within the department. She then turned “A Tradition of Violence,” her 15-part series for Knock LA, into a podcast by the same name.

Perhaps that’s why the department was spooked when Castle submitted a Public Records Act request for names and official ID photographs of all sworn personnel, “excluding those in undercover assignments.” Or maybe the department was merely committed to following its routine practice of delaying and denying records requests.

In any case, the department produced the names of about 8,500 deputies but refused to produce any photographs except of the sheriff and his undersheriffs. They claimed that producing photographs of the deputies would violate their right to privacy and might endanger them in the future, if they ever go undercover.

But the department’s rationale seemed suspect because it also refused to comply with separate requests for headshots of three deputies who have been convicted of serious felonies, fired, and obviously won’t be sent on any future undercover operations for the department.

Castle won her Los Angeles County Superior Court Public Records Act lawsuit in July, and the court ordered the department to release the deputy ID photographs. But now the county is appealing. Its objection to allowing the public to identify law enforcement officers is especially striking when Angelenos and others across the country are outraged by unidentified, masked federal immigration officers abducting their neighbors.

The timing is also particularly odd after the California Legislature just enacted Sen. Scott Wiener’s new law, the No Secret Police Act, barring law enforcement officers operating in the state from masking their faces when working in public, beginning on Jan. 1, 2026.

We spoke to Castle’s lawyer, Susan Seager, to learn more about the case and her client’s opposition to the county’s appeal.

What is the county’s basis for its opposition to producing pictures of law enforcement officers who operate in public and serve the public at the public’s expense?

They claim that no deputy will ever work undercover again because if a deputy’s photo is posted online, and if that deputy works undercover in the future, and if a “criminal” uses facial recognition technology, then that future undercover deputy will be recognized by criminals. But the court rejected this argument because it’s all speculation. Los Angeles Superior Court Judge James Chalfant followed decisions by the California Supreme Court, such as Commission on Peace Officer Certification Standards and Training v. Superior Court, which held that ordinary police officers don’t have a right to privacy in their identities and mere “speculation” about safety risks to the general police force is not enough to block disclosure of public records containing individual police officers’ identities.

The top brass at the LA Sheriff’s Department don’t want their deputies to be accountable to the public they serve. The Sheriff’s Department fights all Public Records Act cases. It’s a knee-jerk reaction.

Susan Seager

Have similar arguments been rejected by the courts before?

No. As far as I know, this is the first case where a court decided that official police department officer ID photos are disclosable under the Public Records Act. The city of LA and city of Santa Ana both voluntarily gave journalist Ben Camacho official police officer ID photos in response to his Public Records Act legal actions, but they did so before a court ruled on his request. The LAPD photos are now online for public use at Watch the Watchers.

It seems notable that LA County is pursuing this appeal so soon after the city of Los Angeles wasted its time and the taxpayers’ money, and embarrassed itself in the Camacho case. Why is the county repeating the city’s mistakes?

The problem is that both the Los Angeles County Board of Supervisors and the Los Angeles City Council appear to be very hands-off on the litigation against them, including cases involving their sheriff’s department and police department, respectively. The elected officials seem to let their lawyers make all the decisions on litigation strategies, appeals, etc., without asking for any updates or to be involved in any decisions to appeal in cases against the government agencies. LA’s elected officials need to take more control over litigation involving their police officers. They need to stop wasting taxpayer money fighting Public Records Act cases like this, especially after a superior court orders the police agency to release the records.

Many people in Los Angeles and around the country have been outraged in recent months by Immigration and Customs Enforcement agents wearing masks, and other efforts by the Trump administration to discourage and even criminalize identifying law enforcement officers. What do you make of LA County litigating the right to keep deputies’ identities secret against that backdrop?

LA deputies probably wish they could wear masks as well. And the top brass at the LA Sheriff’s Department don’t want their deputies to be accountable to the public they serve. The Sheriff’s Department fights all Public Records Act cases. It’s a knee-jerk reaction. And the lawyers hired by the county don’t care about public accountability — they are hired to fight and win.

What’s your theory about why the county is pursuing this? Where is the pressure coming from? Do they seriously believe that this is a meritorious appeal that they have a real chance of winning? Or do they just not care because taxpayers are funding it?

This is typical for the county of Los Angeles and the Los Angeles Sheriff’s Department. They fight all Public Records Act cases. In this case, there is extra pressure coming from the labor unions representing the deputies. The deputies’ labor unions actually joined in the case as intervenors, so we are fighting against the county and the labor unions.

If journalists are not able to obtain photos of law enforcement officers through public records requests, what kind of reporting will the public lose out on?

In the age of everyone carrying a smartphone and filming police, and posting images of police on social media or news sites, the public and the press can use those images to identify officers and investigate their past history. There may be instances where deputies use excessive force or threaten members of the public, but the victim doesn’t know the name of the deputy. Photographs help identify officers.

freedom.press/issues/la-sherif…

Speech synthesis has been around since roughly the middle of the 20th century. Once upon a time, it took remarkably advanced hardware just to even choke out a few words. But as [atomic14] shows with this project, these days it only takes some open source software and 10-cent microcontroller

The speech synth is implemented on a CH32V003 microcontroller, known for its remarkably low unit cost when ordered in quantity. It’s a speedy little RISC-V chip running at 48 MHz, albeit with the limitation of just 16 KB of Flash and 2 KB of SRAM on board.

The microcontroller is hooked up to a speaker via a simple single-transistor circuit, which allows for audio output. [atomic14] first demonstrates this by having the chip play back six seconds of low quality audio with some nifty space-saving techniques to squeeze it into the limited flash available. Then, [atomic14] shows how he implemented the Talkie library on the chip, which is a softwarehttps://www.youtube.com/watch?v=RZvX95aXSdM implementation of Texas Instruments’ LPC speech synthesis architecture—which you probably know from the famous Speak & Spell toys. It’s got a ton of built in vocabulary out of the box, and you can even encode your own words with some freely available tools.

We’ve seen [atomic14] tinker with these chips before, too.

youtube.com/embed/RZvX95aXSdM?…

hackaday.com/2025/10/31/speech…

La società Betavolt, con base a Pechino, dichiara di aver sviluppato una batteria nucleare che rappresenta la prima realizzazione al mondo della miniaturizzazione dell’energia atomica. Questa innovazione consiste nell’integrazione di 63 isotopi nucleari all’interno di un modulo dalle dimensioni inferiori a quelle di una moneta.

La nuova batteria, definita di ultima generazione, sfrutta un procedimento noto fin dal XX secolo per trasformare l’energia sprigionata dal decadimento degli isotopi direttamente in elettricità. In base alle dichiarazioni dell’azienda produttrice, il progetto è ormai in fase avanzata di sperimentazione pilota; l’intento è quello di avviarne la produzione su larga scala per applicazioni di tipo commerciale, ad esempio per alimentare droni e telefoni.

Nell’ambito del 14° piano quinquennale cinese, che punta a consolidare l’economia del Paese nel periodo tra il 2021 e il 2025, è stata avviata la ricerca per ridurre le dimensioni e rendere commercializzabili le batterie nucleari. Allo stesso tempo, anche centri di ricerca europei e statunitensi sono impegnati nello sviluppo di tali batterie, come riportato in un articolo pubblicato sull’Independent.

“Le batterie a energia atomica Betavolt possono soddisfare le esigenze di alimentazione a lunga durata in molteplici scenari, come l’industria aerospaziale, le apparecchiature di intelligenza artificiale, le apparecchiature mediche, i microprocessori, i sensori avanzati, i piccoli droni e i microrobot”, ha affermato la startup in un comunicato stampa. “Questa nuova innovazione energetica aiuterà la Cina a ottenere un vantaggio competitivo nel nuovo ciclo della rivoluzione tecnologica dell’intelligenza artificiale.”

Secondo quanto dichiarato da Betavolt, la sua batteria nucleare d’avanguardia è in grado di fornire una potenza di 100 microwatt e una tensione di 3 volt, racchiusa in un volume di 15x15x5 millimetri cubi. Entro il 2025, l’azienda si propone di realizzare una batteria dalla capacità di 1 watt.

Le loro dimensioni ridotte consentono di utilizzarli in serie per produrre più energia, con l’azienda che immagina telefoni cellulari che non necessitano di essere ricaricati e droni in grado di volare per sempre. Il suo design a strati garantisce inoltre che non prenda fuoco né esploda in risposta a una forza improvvisa, afferma Betavolt, pur essendo in grado di funzionare a temperature comprese tra -60 °C e 120 °C.

Gli scienziati di Betavolt hanno fatto uso del nichel-63, elemento radioattivo, quale fonte energetica per la realizzazione della batteria; successivamente hanno impiegato semiconduttori in diamante per convertire l’energia. Il team ha sviluppato un semiconduttore di diamante monocristallino dello spessore di soli 10 micron e ha poi posizionato un foglio di nichel-63 dello spessore di 2 micron tra due convertitori di semiconduttori di diamante.

L’energia nucleare, tuttavia, comporta anche preoccupazioni relative alle radiazioni. Betavolt ha affrontato questa preoccupazione, affermando che la batteria è sicura in quanto non emette radiazioni esterne ed è adatta all’uso in dispositivi medici all’interno del corpo umano, come pacemaker e impianti cocleari.

“Le batterie a energia atomica sono ecologiche. Dopo il periodo di decadimento, i 63 isotopi si trasformano in un isotopo stabile del rame, che non è radioattivo e non rappresenta alcuna minaccia o inquinamento ambientale”, ha affermato l’azienda.

Potrebbe anche essere più sicuro, poiché Betavolt afferma che il BV100 non prenderà fuoco né esploderà in seguito a forature o addirittura a colpi di arma da fuoco, a differenza di alcune batterie attuali che possono essere pericolose se danneggiate o esposte ad alte temperature.

Gli scienziati dell’Unione Sovietica e degli Stati Uniti riuscirono a sviluppare la tecnologia per l’impiego in veicoli spaziali, sistemi sottomarini e stazioni scientifiche remote. Tuttavia, le batterie termonucleari erano costose e ingombranti.

L'articolo 50 anni senza ricaricare il telefono: ecco la batteria cinese che cambierà tutto proviene da Red Hot Cyber.

AzureHound, parte della suite BloodHound, nasce come strumento open-source per aiutare i team di sicurezza e i red team a individuare vulnerabilità e percorsi di escalation negli ambienti Microsoft Azure ed Entra ID.

Oggi, però, è sempre più spesso utilizzato da gruppi criminali e attori sponsorizzati da stati per scopi ben diversi: mappare infrastrutture cloud, identificare ruoli privilegiati e pianificare attacchi mirati.

Perché AzureHound è diventato uno strumento pericoloso

Scritto in Go e disponibile per Windows, Linux e macOS, AzureHound interroga le API di Microsoft Graph e Azure REST per raccogliere informazioni su identità, ruoli, applicazioni e risorse presenti nel tenant.

Il suo funzionamento, progettato per scopi legittimi, si rivela utile anche a chi vuole colpire:

1. Può essere eseguito da remoto, senza accedere direttamente alla rete vittima.
2. Produce output JSON compatibili con BloodHound, che li traduce in grafici di relazioni, privilegi e potenziali percorsi di attacco.

In altre parole, AzureHound consente di automatizzare quella fase di ricognizione che, in passato, richiedeva tempo e competenze manuali, trasformando il cloud reconnaissance in un processo rapido e preciso.
Execution of AzureHound to enumerate users BloodHound illustration of available key vaults.

Dall’uso legittimo all’abuso

Nel corso del 2025 diversi gruppi di cybercriminali hanno adottato AzureHound per scopi offensivi.
Secondo analisi di threat intelligence, Curious Serpens (noto anche come Peach Sandstorm), Void Blizzard e il gruppo Storm-0501 hanno impiegato lo strumento per enumerare ambienti Entra ID, individuare configurazioni errate e pianificare escalation di privilegi.
Ciò dimostra come strumenti nati per la sicurezza possano diventare parte integrante delle campagne di compromissione, soprattutto quando gli ambienti cloud non sono monitorati in modo adeguato.

Come viene sfruttato

Dopo aver ottenuto un primo accesso a un tenant Azure tramite credenziali compromesse, phishing o account di servizio vulnerabili, gli operatori malevoli eseguono AzureHound per:

• raccogliere informazioni su utenti, ruoli e relazioni;
• individuare identità privilegiate o service principal con permessi eccessivi;
• scoprire percorsi indiretti di escalation di privilegi;
• costruire, tramite BloodHound, una rappresentazione grafica dell’intero ambiente.

Questa visibilità permette di pianificare con precisione i passi successivi: dall’escalation al movimento laterale, fino all’esfiltrazione dei dati o alla distribuzione di ransomware.

Cosa fare per difendersi

Le organizzazioni che utilizzano Azure e Microsoft Entra ID dovrebbero implementare controlli mirati per individuare e bloccare comportamenti anomali legati all’uso improprio di strumenti come AzureHound.

Monitorare le API per individuare pattern di enumerazione insoliti verso Graph e REST API.
Creare alert su query massicce o su richieste con user-agent sospetti.
Limitare i permessi delle applicazioni e delle service principal, adottando il principio del privilegio minimo.
Applicare MFA e controlli stringenti sugli account sincronizzati con privilegi elevati.
Integrare regole di hunting nei SIEM (come Microsoft Sentinel o Defender XDR) per rilevare comportamenti riconducibili alla raccolta automatica di dati.

Conclusione

AzureHound rappresenta un esempio concreto di come strumenti nati per migliorare la sicurezza possano diventare un’arma nelle mani sbagliate.
Capire come questi strumenti vengono abusati è fondamentale per costruire strategie di difesa efficaci, potenziare la visibilità sugli ambienti cloud e ridurre il tempo di reazione in caso di compromissione.
Solo conoscendo le stesse tecniche impiegate da chi attacca è possibile anticiparle e mantenere il controllo delle proprie infrastrutture digitali.

L'articolo AzureHound: lo strumento “legittimo” per gli assalti al cloud proviene da Red Hot Cyber.

Join us at a Pirate Meetup at the Boston Anarchist Book Fair this weekend at the Cambridge Community Center. We will start at noon on both days!

We will meet at the 5 Callender Street entrance to the Cambridge Community Center. As part of the meetup, we will divide up the area around the Community Center and go searching for Ring and other cameras to add to our Surveillance Camera Map. We mapped some of the cameras in the area and expect there will be more.

Tell us if you can make it.

Before you come, consult our Mapping Surveillance page with instructions on how create an Open Street Map account and setup a client on your phone.

masspirates.org/blog/2025/10/3…