Siamo ossessionati da firewall e crittografia. Investiamo miliardi in fortezze digitali, ma le statistiche sono inesorabili: la maggior parte degli attacchi cyber non inizia con un difetto nel codice, ma con un difetto nel carattere umano.

La verità è questa: l’unica vulnerabilità che conta davvero è quella psicologica.

Faremo un viaggio radicale. Prenderemo il manuale di istruzioni più efficace che esista per la nostra difesa personale: il capolavoro animato della Pixar, Inside Out (2015).

Come psicologo, filosofo e coach, mostrerò come le dinamiche interiori del film non siano solo una metafora della mente, ma una dottrina di resilienza cibernetica che affonda le radici in Aristotele, Freud e nelle scienze cognitive.

La nostra mente è la nostra ultima e più complessa linea di difesa.

La Console Emotiva: il quartier generale

Nel film, le cinque emozioni (Gioia, Tristezza, Rabbia, Paura, Disgusto) sono gli operatori che lottano per il controllo della console, il nostro interfaccia decisionale.

In termini psicoanalitici, questo quartier generale corrisponde all’Io (Ego) di Sigmund Freud, l’istanza che media tra gli impulsi dell’Es e le richieste del Super-Io e della realtà esterna.

Il social engineering è il tentativo di hackerare questo Ego digitale, sfruttando le sue debolezze.

La console è il luogo della Phronesis (Prudenza) aristotelica, la virtù intellettuale che ci permette di deliberare bene su ciò che è buono e vantaggioso non solo in generale, ma in situazioni specifiche.

Quando le emozioni prendono il sopravvento, la Phronesis viene bypassata.

L’arma a doppio taglio delle emozioni (Paura, Rabbia, Gioia)

I cybercriminali non disattivano le nostre difese emotive; le manipolano per creare un cortocircuito cognitivo.

1. La Paura (IDS)

È il nostro Sistema di Rilevamento delle Intrusioni (IDS).

La sua funzione, riconosciuta anche da Aristotele come elemento essenziale della prudenza (eulabeia), è la prevenzione del danno. Tuttavia, quando i phishing attivano la paura della perdita (“Il tuo account verrà bloccato!”), essa paralizza il giudizio critico.

La Paura è un ottimo sensore, ma un pessimo decisore.

Strategia del Coach: eseguire il “Protocollo 3 Secondi”.

Mettiamo in pausa e respiriamo: inspiriamo lentamente, espiriamo lentamente. Questo attiva la corteccia prefrontale, l’area del cervello responsabile del ragionamento esecutivo, e disinnesca l’amigdala, il centro della paura. Riconoscere l’emozione ci aiuta a prendere le distanze.

2. Rabbia e Gioia (Impulso)

Queste emozioni sono i driver dell’impulsività.

La promessa esagerata di un guadagno facile (sfruttando la Gioia e la FOMO – Fear of Missing Out) o la comunicazione aggressiva che innesca la rabbia (il “breve delirio” condannato da Seneca) bypassano il filtro critico.

In termini di scienze cognitive, il cyberattacco mira a costringere la mente a operare in Sistema 1 (pensiero veloce, intuitivo, emotivo), eludendo il Sistema 2 (pensiero lento, logico, analitico).

Strategia del Coach: allenare il nostro “disgusto cognitivo”.

Ogni volta che proviamo un picco emotivo intenso (Gioia eccessiva, Rabbia improvvisa, Paura paralizzante) in risposta a un’interazione digitale, rifiutiamo di ingerire l’informazione o l’offerta sospetta e sospendiamo l’azione analizzando il contesto.

Nel momento in cui ci costringiamo a fare la verifica (Sistema 2) su un’informazione sospetta, stiamo rafforzando la nostra disciplina mentale contro la manipolazione.

L’Integrazione Emotiva: la potenza della Tristezza

La crisi di Riley inizia quando Gioia tenta di escludere la Tristezza.

Questo tentativo di negazione emotiva è, nel mondo digitale, il rifiuto della vulnerabilità.

• La Tristezza: non è un bug, ma una feature. Segnala la necessità di supporto dopo un errore. L’utente che, per negazione della Tristezza (paura del giudizio), non ammette l’errore digitale (“Ho cliccato sul link sbagliato”), mette a rischio l’intero sistema.
• Resilienza: l’accettazione della Tristezza è l’accettazione della vulnerabilità. La sicurezza, deriva dall’integrazione sinergica di tutte le emozioni: trasformare l’errore (Tristezza) in apprendimento (la complessa Memoria Centrale di Riley).

L’integrazione delle emozioni è la chiave per la maturità emotiva!

In conclusione

La nostra missione finale, come professionisti e individui, è superare la “tirannia della Gioia”: la convinzione ossessiva che si debba essere sempre impeccabili, sempre on-line e mai in errore.

La sicurezza non è perfezione; è resilienza!

L’autenticità emotiva, la capacità di sentire e integrare la Tristezza (l’errore) e la Paura (il rischio) è la nostra forma di self-ware più avanzata.

Solo imparando a fare debugging delle nostre reazioni emotive possiamo raggiungere l’eudaimonia digitale: uno stato di benessere in cui tutte le emozioni coesistono, producendo una vera armonia psicofisica.

La maturità cibernetica, proprio come per Riley, sta nell’integrare la Tristezza (l’ammissione dell’errore) per trasformare ogni fallimento in apprendimento e resilienza.

Il Cyber Coaching in 3 Passi

1. Mappiamo la nostra Console Emotiva: dopo un’interazione digitale stressante o sospetta (un’email di phishing, un messaggio aggressivo), chiediamoci: “Chi è al comando della console in questo momento?” (Gioia, Paura, Rabbia, Disgusto?). La consapevolezza è la prima linea di difesa contro la manipolazione.
2. Trasformiamoci in Supervisori: insegniamo al nostro Ego (l’Io) a non agire immediatamente quando una singola emozione urla. Il nostro ruolo non è eliminare Paura o Rabbia, ma dare loro un posto al tavolo decisionale, gestito dalla Phronesis (Prudenza).
3. Abbracciamo il Growth Mindset: quando si verifica un errore (abbiamo cliccato, siamo stati truffati, abbiamo dubbi), non neghiamo la Tristezza o la Vergogna. Riconosciamole e trasformiamo la memoria centrale da “errore inconfessabile” a “lezione appresa e condivisa”. Il nostro errore diventa un firewall per gli altri!

Coach’s Challenge

1. Chi è al comando della nostra Console Emotiva in questo momento?”
2. In che modo la Paura e il Disgusto possono essere re-ingegnerizzati dopo un data breach oppure dopo un phishing ?
3. In che modo il raggiungimento della “maturità emotiva” di Riley si traduce concretamente in un comportamento digitale più sicuro e resiliente?

L'articolo Inside Out: perché la Tristezza è il tuo miglior firewall proviene da Red Hot Cyber.

Vi sono momenti nella Storia in cui grandi anime che appartengono a mondi e universi apparentemente incomunicabili, per le circostanze della sorte o di quell’intenzione amorevole che noi cristiani chiamiamo «Provvidenza», entrano in contatto e dialogano tra loro. Appare così, come un rivolo nascosto tra i grandi eventi della Storia, un pensiero divergente, paradossale, al tempo stesso ingenuo e dirompente.

È ciò che è avvenuto tra il 1909 e il 1910, quando Lev Tolstoj e Gandhi – l’uno a Jasnaja Poljana, nella Russia europea, l’altro nel Transvaal sudafricano, colonia inglese – si scambiarono alcune lettere. Il futuro mahatma liberatore dell’India, all’epoca quarantenne, aveva letto il testo che l’autore di Guerra e Pace, Anna Karenina e Resurrezione aveva scritto per il giornale The Free Hindustan, su sollecitazione del suo direttore. Tale scritto, oggi conosciuto come Lettera a un indù, non venne pubblicato, forse perché il giornalista indiano, che pur l’aveva sollecitato, sperava in una risposta dai toni diversi, ma giunse tramite un amico nelle mani di Gandhi, che ne rimase molto colpito. In questa lettera Tolstoj teorizzò la lotta non violenta come via di liberazione non solo interiore, ma anche sociale e politica, e contribuì, a detta dello stesso Gandhi, a far maturare in lui la riflessione sul satyagraha, ossia sulla resistenza all’oppressione (coloniale inglese) tramite la disobbedienza civile.

Sono gli ultimi mesi di vita di Tolstoj, che morirà il 20 novembre 1910. Gandhi gli scrive per manifestargli la sua gratitudine. Contestualmente gli chiede se la versione inglese del testo, inizialmente composto in russo, corrisponde alle idee del suo autore, se vada integrato e se sia possibile pubblicarlo nel giornale fondato da Gandhi stesso, Indian opinion.

Tolstoj è divenuto un punto di riferimento intellettuale a livello internazionale. La sua opzione religiosa e per la pace è diventata irreversibile, e per le sue posizioni eterodosse è già stato scomunicato dalla Chiesa ortodossa. Egli sostiene che la legge dell’amore, affermata da Cristo, risponde alla natura profonda del cuore dell’uomo e si ritrova in ogni tradizione religiosa. Questa norma è stata tradita, schiacciata o elusa, manipolata o avvelenata sia dai «religiosi» sia dai pensatori del socialismo «scientifico», che la vogliono far valere nell’ambito della vita personale, ma la ritengono inadatta a quello delle relazioni politiche istituzionali e negli ambiti sociali.

La condanna da parte di Tolstoj è netta, e l’invito a non partecipare ad alcuna forma di violenza irriducibile. Il male si vince con il bene e con l’amore, mai con il male. Chi teorizza la sospensione della legge dell’amore, proponendo il ricorso alla violenza come inevitabile «in alcuni casi», lo fa per paura inconsapevole o consapevole ambizione di potere. D’altra parte, come spiegare che pochi possano dominare su moltitudini, se non per la complicità di queste ultime, che ritengono la violenza architrave dolorosa e necessaria del vivere comune?

Voce isolata, profetica o ingenua, Tolstoj chiede che l’India – come la Cina – non rinunci alla sua tradizione spirituale, di «pazienza» e mitezza, per abbracciare il modello economico e politico occidentale, considerato fallimentare e nel lungo periodo distruttivo. Nello slancio ideale dello scrittore, colpisce verificare l’acume di alcune sue considerazioni, che possiamo trovare applicabili in filigrana ai nodi ancora irrisolti delle tensioni dei nostri giorni, in termini militari e di sviluppo economico.

Lettera a un indù, Lettera a un cinese e Karma, insieme alla breve ma luminosa corrispondenza tra Gandhi e Tolstoj, sono contenute in questo piccolo e prezioso libro. Come ha scritto nell’Introduzione Davide Brullo, con questo testo ci si muove nell’ambito rarefatto delle parole ultime di una vita lunga, carica di parole, eventi e riflessioni.

The post Buddha first appeared on La Civiltà Cattolica.

Over on YouTube, [Ben Eater] pursues that classic 8-bit sound. In this video, [Ben] integrates the MOS Technology 6581 Sound Interface Device (SID) with his homegrown 6502. The 6581 SID was famously used in the Commodore line of computers, perhaps most notably in the Commodore 64.

The 6581 SID supports three independent voices, each consisting of a tone oscillator/waveform generator, an envelope generator, and an amplitude modulator. These voices are combined into an output filter along with a volume control. [Ben] goes into detail concerning how to configure each of these voices using the available facilities on the available pins, referencing the datasheet for the details.

[Ben]’s video finishes with an 8-bit hit from all the way back in October 1985: Monty on the Run by Rob Hubbard. We first heard about [Ben’s] musical explorations back in June. If you missed it, be sure to check it out. It seems hard to imagine that demand for these chips has been strong for decades and shows little sign of subsiding.

youtube.com/embed/LSMQ3U1Thzw?…

hackaday.com/2025/11/10/progra…

Era il 20 aprile 1998. Microsoft rimase così imbarazzata dall’iconica schermata blu di errore di Windows 98 sul palco decise di cambiare i piani per la costruzione di una nuova sede nel suo campus di Redmond. L’obiettivo era garantire che un incidente del genere non si ripeta mai più durante le presentazioni pubbliche.

Questo momento memorabile si verificò alla grande fiera COMDEX, diversi mesi prima del rilascio ufficiale di Windows 98. Bill Gates stava tenendo la presentazione principale e il dipendente Microsoft Chris Caposselastava illustrando una nuova funzionalità: il supporto plug-and-play per i dispositivi USB.

Mentre collegava uno scanner, che avrebbe dovuto scaricare automaticamente i driver, il sistema mostrò una schermata blu della morte BSOD (Blue Screen Of Death), proprio di fronte al pubblico. Gates reagì con umorismo, scherzando sul fatto che questo spiegasse perché Windows 98 non fosse ancora stato rilasciato, ma all’interno dell’azienda l’incidente ebbe un impatto molto più grave.

Il veterano di Microsoft Raymond Chen ha recentemente scritto sul suo blog che i Microsoft Production Studios dedicati “erano stati progettati proprio all’epoca della schermata blu che compariva quando si collegava un cavo USB a Windows 98“.

In seguito all’incidente, la planimetria dell’edificio è stata modificata, aggiungendo una stanza accanto allo studio principale per preparare e testare tutte le apparecchiature informatiche prima delle trasmissioni in diretta. Le apparecchiature sono state quindi configurate e testate prima di essere consegnate ai conduttori del programma.

Chen ha anche spiegato la ragione tecnica del problema. Il team di sviluppo di Windows aveva testato lo scanner in laboratorio e ne aveva confermato la funzionalità, ma il team che preparava la demo utilizzava un dispositivo diverso: aveva semplicemente acquistato lo scanner in un negozio di elettronica locale.

Questo particolare scanner tentava di assorbire più energia dalla porta USB di quanto consentito dalle specifiche e il team di sviluppo non aveva ancora gestito questo errore. Il risultato è stata una schermata blu di errore di fronte all’intero pubblico.

L’aggiunta di una sala prove ai Microsoft Production Studios fu una conseguenza diretta di questo incidente.

L’azienda non voleva che si ripetesse il disastro della schermata blu durante una diretta streaming e, secondo Chen, la strategia funzionò: incidenti del genere non si sono mai più verificati. Per quanto riguarda lo sfortunato scanner, secondo un ex dipendente Microsoft, il dispositivo venne poi collegato a un elmetto da fante della Seconda Guerra Mondiale, indossato da Brad Carpenter nelle sale operative di Windows per il resto del ciclo di sviluppo del prodotto.

L'articolo La schermata blu della morte di Windows 98 che cambiò i piani di Microsoft proviene da Red Hot Cyber.

Immaginiamo una metropolitana notturna in cui le richieste sono vagoni che scorrono uno dopo l’altro. Il front end fa da bigliettaio e smista i vagoni, il back end è il deposito che li riceve e li lavora. Se il bigliettaio e il deposito non sono d’accordo su dove finisce un vagone e inizia quello successivo, si apre una fessura che qualcuno può sfruttare per infilare un vagone nascosto. Quel vagone nascosto è il contrabbando di richieste HTTP.

Nel mondo reale la cosa prende forma quando componenti diversi della catena di comunicazione interpretano in modo diverso la lunghezza del corpo di una richiesta. In HTTP versione uno ci sono due modi per dichiarare la lunghezza del corpo, uno è il content length e l’altro è la transfer encoding in modalità chunked. Quando i nodi intermedi o i server finali non concordano su quale metodo utilizzare, la stessa sequenza di byte può essere letta da un elemento come parte della richiesta corrente e da un altro come l’inizio della richiesta successiva.

Questo disaccordo non è una sottigliezza teorica ma una vera leva d’attacco. Le varianti che si incontrano più spesso sono quelle in cui il front end prende come riferimento il valore di lunghezza mentre il back end interpreta la codifica a blocchi, oppure il contrario, oppure ancora situazioni in cui entrambi supportano la codifica a blocchi ma uno dei due ignora l’intestazione perché leggermente deformata con spazi, tabulazioni o formattazioni non standard. In tutti i casi il risultato effettivo è lo stesso, una parte di dati che si ritrova dove non doveva essere e che può alterare il comportamento di richieste legittime successive.

Le conseguenze pratiche possono diventare molto serie. Una richiesta prepended può cambiare il contesto di una transazione e far credere al server che una chiamata autenticata appartenga a un utente diverso. Si possono rubare sessioni, bypassare filtri, avvelenare cache o inserire comandi nella sequenza di richieste che colpisce utenti successivi sulla stessa connessione. In ambienti moderni il rischio aumenta quando c’è il downgrade da HTTP due a HTTP uno perché la riscrittura o la traduzione dei messaggi introduce ulteriori punti di ambiguità, e quando le connessioni backend vengono riutilizzate per inviare più richieste una dopo l’altra perché il riuso moltiplica le possibilità che dati residui vengano interpretati come nuova richiesta.

Per capire dove guardare basta osservare i comportamenti divergenti tra front end e back end, le intestazioni duplicate o non conformi che emergono nei log e i casi in cui i log mostrano mismatch tra la lunghezza dichiarata e il contenuto reale. Questi segnali non sono la prova definitiva di una vulnerabilità ma sono la traccia che indica che la catena di elaborazione non è allineata e che vale la pena investigare. Dal punto di vista di chi progetta e mantiene l’infrastruttura la soluzione più robusta è eliminare l’ambiguità alla fonte.

La comunicazione end to end su HTTP due risolve il problema alla radice perché quel protocollo fornisce un unico, solido meccanismo per definire le dimensioni delle richieste. Quando non è possibile mantenere HTTP due su tutta la filiera la fase di traduzione verso HTTP uno deve essere trattata come un punto critico: la richiesta riscritta va verificata rispetto alla specifica e gli elementi della catena non devono tollerare deviazioni formattative che possano essere interpretate in modo diverso. Nei pezzi dell’infrastruttura che si occupano di accettare e inoltrare traffico è utile normalizzare le richieste e rilevare le ambiguità invece di tentare di correggerle in modo silente. Il back end, di norma, dovrebbe chiudere la connessione quando non è possibile risolvere un’ambiguità in modo certo, perché mantenere aperte connessioni impure è ciò che permette al contrabbando di propagarsi.

Limitare o controllare il riutilizzo delle connessioni backend riduce la finestra d’attacco anche se non la elimina del tutto. È importante anche uniformare la gestione delle intestazioni che determinano la lunghezza del corpo e non accettare varianti non standard che possono essere sfruttate per mascherare la codifica. A complemento di queste scelte architetturali, test specifici che replicano scenari di desincronizzazione e monitoraggio attento dei log aiutano a individuare regressioni e incidenti reali.

Da ultimo, vale la pena ricordare che le tecniche che permettono di generare desincronizzazione sono potenti e pericolose se usate senza autorizzazione, quindi la loro esplorazione va sempre confinata ad ambienti controllati e autorizzati e qualsiasi scoperta in sistemi di terzi va gestita con responsabilità e disclosure appropriata. Capire il meccanismo del contrabbando di richieste significa riconoscere che non stiamo parlando di bug isolati ma di disallineamenti di protocollo che emergono nelle catene complesse di servizi, ed è proprio per questo che la difesa efficace nasce dall’allineamento dei protocolli, dalla standardizzazione dei comportamenti e dalla capacità di osservare e reagire quando le cose non tornano.

L'articolo Alla scoperta dell’HTTP Request Smuggling: cos’è e come difendersi proviene da Red Hot Cyber.

Con oltre 100 milioni di utenti attivi al giorno, Roblox attrae innumerevoli bambini in tutto il mondo. Quasi la metà del suo pubblico ha meno di 13 anni e, in Australia, i giovani giocatori trascorrono in media 137 minuti al giorno nel mondo virtuale. Tuttavia, dietro l’immagine vibrante di avatar squadrati e milioni di giochi generati dagli utenti si nasconde una realtà inquietante, come rivelato da una giornalista del Guardian che ha deciso di immergersi in questo mondo per una settimana, fingendosi una bambina di otto anni.

L’esperimento è iniziato con la registrazione, che si è rivelata estremamente semplice: bastava un nome utente, la data di nascita e una casella di controllo che indicava che i miei genitori mi avevano dato il permesso di creare un account.

Non è stata richiesta alcuna verifica aggiuntiva. La prima tappa è stata Dress to Impress, uno dei giochi più popolari, che ha ricevuto oltre sei miliardi di visite dal suo lancio nel novembre 2023. Vogue ha persino riferito che gli appassionati di moda adulti si sono uniti al pubblico dei bambini e che il gioco stesso viene promosso come un marchio di moda.

Tuttavia, dietro la facciata del gioco di moda, emersero elementi inquietanti. Gli avatar assomigliano a bambole Barbie grigie con proporzioni innaturali e corpi avvolti in abiti succinti. Il gioco presenta una “stanza della carne” nel seminterrato che ricorda le viscere umane, stanze segrete che alludono a una donna scomparsa e uno degli aggiornamenti precedenti includeva un dungeon con una donna in gabbia. Un aggiornamento recente permetteva ai giocatori di colpire altri giocatori con pomodori o escrementi virtuali, in cambio di denaro reale.

Nel corso di una settimana, la bambina virtuale ha subito cyberbullismo, diffamazioni aggressive, molestie sessuali e insulti, il tutto con i controlli parentali attivati.

In un gioco, un altro utente si è seduto sul volto dell’avatar di un giornalista e ha iniziato a fare movimenti inappropriati, ignorando le richieste di fermarlo. In un altro, un gruppo di giocatori ha insultato il personaggio, definendolo una “ragazza brutta e sporca”. L’accesso a casinò, giochi horror, dungeon e innumerevoli giochi di ruolo con interazioni libere con sconosciuti è rimasto aperto all’account della bambina.

Il professor Marcus Carter dell’Università di Sydney paragona gli acquisti in-game sulla piattaforma al “gioco d’azzardo infantile“. Sottolinea la crescente tendenza delle funzionalità “pay to troll” che monetizzano il desiderio dei giocatori di molestare gli altri. Roblox, un’azienda da 92 miliardi di dollari, ricava almeno il 30% di tutte le transazioni sulla piattaforma, basando di fatto il suo business sui giochi creati dagli utenti, molti dei quali sono bambini. Carter definisce questo fenomeno come sfruttamento del lavoro minorile attraverso il gaming.

Particolarmente preoccupante è il fatto che molti giochi popolari siano gestiti da adolescenti. La creatrice di Dress to Impress, conosciuta come Gigi, afferma di aver iniziato a sviluppare il gioco a 14 anni e di averlo lanciato a 16.

L’anno scorso, ha ammesso di aver fatto battute inappropriate sulla violenza e di aver gestito un server di contenuti per adulti su Discord quando era minorenne. Uno degli amministratori del gioco, ventenne, è stato licenziato dopo essere stato accusato di aver adescato una sedicenne.

La piattaforma è stata a lungo accusata di essere pericolosa per i bambini. Diverse cause legali sono state intentate contro l’azienda negli Stati Uniti , descrivendo casi di minori adescati online e poi abusati. Il Procuratore Generale della Louisiana ha dichiarato che le falle di sicurezza di Roblox hanno creato un terreno fertile per pedofili e terroristi .

La Commissaria australiana per la sicurezza informatica, Julie Inman Grant, è in trattativa con l’azienda per nuove misure di sicurezza.

Roblox si è impegnata a rendere privati per impostazione predefinita gli account degli utenti di età inferiore ai 16 anni e a introdurre strumenti per impedire agli adulti di contattare i minori senza il consenso dei genitori entro la fine dell’anno. Un portavoce dell’azienda ha dichiarato l’impegno per la sicurezza e oltre 100 miglioramenti in questo ambito quest’anno. Tuttavia, Carter, la cui carriera professionale riguarda i videogiochi, ammette di non avere intenzione di permettere al figlio di quattro anni di giocare a Roblox.

L'articolo Roblox: la piattaforma che mette a rischio la sicurezza dei bambini proviene da Red Hot Cyber.

Years ago, no math education was complete without understanding how to compute a square root. Today, you are probably just reaching for a calculator, or if you are writing a program, you’ll probably just guess and iterate. [MindYourDecisions] was curious how people did square roots before they had such aids. Don’t remember? Never learned? Watch the video below and learn a new skill.

The process is straightforward, but if you are a product of a traditional math education, you might find his terminology a bit confusing. He will refer to something like 18b meaning “a three-digit number where the last digit is b,” not “18 times b,” as you might expect.

If you think the first few examples are a little convenient, don’t worry. The video gets harder as you go along. By the end, you’ll be working with numbers that have fractional parts and whose square roots are not integers.

Speaking of the last part, stay tuned for the end, where you’ll learn the origin of the algorithm and why it works. Oddly, its origin is a Sanskrit poem. Who knew? He also talks about other ways the ancients computed square roots. As for us, we’ll stick with our slide rule.

youtube.com/embed/6evC4klO_lI?…

hackaday.com/2025/11/10/the-sa…

Just because you are paranoid doesn’t mean people aren’t out to get you. Do you think your soldering iron is after you? Well, [nanofix] asks (and answers): Is My Soldering Iron Dangerous?

He has a look at his cheap FNIRSI soldering station and measures a “phantom voltage” of nearly 50 volts AC across the tip of his iron and earth ground. He explains that this phantom voltage is a very weak power source able to provide only negligible measures of current; indeed, he measures the short circuit current as 0.041 milliamps, or 41 microamps, which is negligible and certainly not damaging to people or components.

He pops open his soldering iron power supply (being careful to discharge the high voltage capacitor) and has a look at the switched mode power supply, with a close look at the optocoupler and Y-class capacitor, which bridge the high voltage and low voltage sides of the circuit board. The Y-class capacitor is a special type of safety capacitor designed to fail open rather than fail short. The Y-class capacitor is there to remove high-frequency noise. Indeed, it is this capacitor that is the cause of the phantom voltage on the iron tip.

He continues by explaining that you can install a 1M resistor across some pads on the high-voltage side of the board if you really want to get rid of the phantom voltage on your iron, but he emphasizes that this isn’t really necessary. And to finish, he demonstrates that a sensitive MOSFET isn’t damaged at all when it’s connected to the phantom voltage.

It is perhaps worth noting that there is a difference between phantom voltage (as seen above with negligible power) and phantom power. Phantom power can deliver non-negligible amounts of power and is often used in microphones.

youtube.com/embed/_GCIccA5e5U?…

hackaday.com/2025/11/10/invest…

Calendar aging of NMC Li-ion cells at 50 ℃ at various SoCs. (Credit: Wiljan Vermeer, IEEE, 2021)
With batteries being such an integral part of smartphones, it’s little wonder that extending the period between charging and battery replacement has led to many theories and outright myths about what may affect the lifespan of these lithium-ion batteries. To bust some of them, [HTX Studio] over on YouTube has spent the past two years torturing both themselves and a myriad of both iOS and Android phones to tease out some real-life data.

After a few false starts with smaller experiments, they settled on an experimental setup involving 40 phones to investigate two claims: first, whether fast charging is worse than slow charging, and second, whether limiting charging to 80% of a battery’s capacity will increase its lifespan. This latter group effectively uses only 50% of the capacity, by discharging down to 30% before recharging. A single control phone was left alone without forced charge-discharge cycles.

After 500 charge cycles and 167 days, these three groups (fast, slow, 50%) were examined for remaining battery capacity. As one can see in the above graphic for the Android group and the similar one for iOS in the video, the results are basically what you expect. Li-ion batteries age over time (‘calendar aging’), with temperature and state-of-charge (SoC) affecting the speed of this aging process, as can be seen in the SoC graph from an earlier article that we featured on built-in batteries.

It seems that keeping the battery as cool as possible and the SoC as low as possible, along with the number of charge-discharge cycles, will extend its lifespan, but Li-ion batteries are doomed to a very finite lifespan on account of their basic chemistry. This makes these smartphone charging myths both true, but less relevant than one might assume, as over the lifespan of something like a smartphone, it won’t make a massive difference.

youtube.com/embed/kLS5Cg_yNdM?…

hackaday.com/2025/11/10/testin…

Le truffe continuano a rappresentare una delle principali minacce globali, alimentate da reti criminali transnazionali che sfruttano la tecnologia per colpire individui e aziende. Secondo il rapporto State of Scams 2025 della Global Anti-Scam Alliance, basato su un sondaggio condotto su 46.000 persone in tutto il mondo, il 57% degli adulti ha subito almeno una truffa nell’ultimo anno, mentre il 23% ha dichiarato di aver perso denaro a causa di queste attività fraudolente.

Con l’evoluzione del panorama delle minacce, i criminali digitali stanno impiegando l’intelligenza artificiale per automatizzare e rendere più credibili i loro schemi. Google, da parte sua, ha annunciato di utilizzare tecnologie AI avanzate per individuare e bloccare queste frodi in continua evoluzione, condividendo periodicamente rapporti e aggiornamenti sulle nuove tendenze individuate dai propri analisti.

Truffe legate a offerte di lavoro online

Tra i fenomeni in crescita, si registra un aumento delle truffe di reclutamento, dove i criminali si spacciano per aziende legittime o per agenzie governative. Queste campagne sfruttano falsi siti web di ricerca lavoro, email di phishing e annunci ingannevoli per raccogliere dati bancari e documenti personali.
In molti casi vengono richiesti “costi di registrazione” o “spese di elaborazione” anticipati, mentre falsi moduli di candidatura e videointerviste servono a distribuire malware come Trojan ad accesso remoto (RAT) o infostealer.

Google sottolinea che le proprie politiche sulla rappresentazione ingannevole vietano annunci che impersonano aziende o promuovono offerte di lavoro false. Le protezioni integrate in Gmail, Google Messaggi e la verifica in due passaggi aiutano a ridurre significativamente il rischio di furto di credenziali.
Un promemoria importante: nessuna azienda seria richiede pagamenti per ottenere un impiego o per completare una candidatura.

Estorsione tramite recensioni negative

Un’altra minaccia crescente riguarda l’estorsione ai danni delle aziende attraverso recensioni false. Gli attaccanti avviano campagne di review bombing pubblicando recensioni negative non autentiche per poi contattare i titolari, spesso tramite app di messaggistica, chiedendo un pagamento in cambio della rimozione dei commenti.

Google conferma di monitorare costantemente queste attività su Google Maps, rimuovendo recensioni ingannevoli e implementando un nuovo sistema che consente ai commercianti di segnalare tentativi di estorsione direttamente dal profilo aziendale.
Gli esperti raccomandano di non pagare mai il riscatto e di conservare prove (screenshot, email, chat) da consegnare alle autorità competenti.

Falsi prodotti di intelligenza artificiale

Il crescente interesse verso l’AI è diventato una nuova arma per i truffatori. Si moltiplicano infatti le imitazioni di servizi di intelligenza artificiale popolari, che promettono accessi “gratuiti” o “premium” a strumenti di tendenza.
Dietro queste offerte si nascondono app dannose, siti di phishing o estensioni del browser infette, distribuite anche tramite malvertising e account social compromessi.

Google vieta la pubblicità di software malevoli e rimuove regolarmente le app fraudolente dal Play Store e le estensioni sospette da Chrome Web Store.
Gli utenti sono invitati a scaricare software solo da fonti ufficiali, controllare con attenzione gli URL e diffidare di versioni gratuite di programmi a pagamento.

App VPN false e malware nascosti

Gli analisti hanno individuato una crescita significativa di app VPN contraffatte, create per sottrarre dati personali. Queste applicazioni fingono di garantire anonimato e sicurezza ma, una volta installate, distribuiscono malware bancari, RAT e infostealer.
Spesso vengono promosse attraverso pubblicità ingannevoli o esche a sfondo sessuale per attirare utenti in cerca di privacy online.

Il sistema Google Play Protect, basato sull’apprendimento automatico, rileva e blocca queste app. Inoltre, la protezione antifrode avanzata impedisce l’installazione di software sospetti provenienti da fonti esterne.
Gli esperti raccomandano di scaricare VPN solo da store ufficiali, controllare le autorizzazioni richieste e non disattivare il software antivirus.

Truffe di recupero crediti e frodi secondarie

Un fenomeno particolarmente insidioso è quello delle truffe di recupero beni, in cui i criminali contattano persone già vittime di frodi precedenti promettendo di aiutarle a recuperare i fondi persi.
I truffatori si fingono investigatori, studi legali o agenzie governative, chiedendo un pagamento anticipato per avviare la pratica. Alcuni siti falsi, creati con l’aiuto dell’intelligenza artificiale, riproducono in modo realistico loghi e documenti ufficiali, rendendo più difficile distinguere la truffa dalla realtà.

Google ha introdotto sistemi di notifica antifrode su Google Messaggi e Telefono, che avvisano gli utenti in tempo reale quando una conversazione mostra segnali di rischio.
Le autorità invitano a non fornire mai accesso remoto a sconosciuti e a verificare sempre la legittimità dell’organizzazione tramite canali ufficiali.

Truffe stagionali e shopping online

Durante i periodi di festività, come Black Friday e Cyber Monday, si registra un picco nelle truffe di e-commerce. I criminali creano falsi negozi online, promuovono offerte “troppo belle per essere vere” e utilizzano campagne di phishing per rubare dati e denaro.
In questo periodo aumentano anche i falsi messaggi relativi a spedizioni, premi e rimborsi.

Per contrastare tali schemi, Google ha potenziato le funzioni di Navigazione sicura e Protezione avanzata su Chrome e Pixel 9, integrando modelli Gemini locali per individuare comportamenti sospetti.
Gli utenti dovrebbero diffidare di sconti eccessivi, utilizzare solo metodi di pagamento sicuri e prestare attenzione a comunicazioni che sollecitano azioni immediate.

L'articolo Truffe online in aumento: Google svela le tattiche più pericolose del 2025 proviene da Red Hot Cyber.

Un raro ritrovamento risalente ai primi giorni di Unix potrebbe riportare i ricercatori alle origini stesse del sistema operativo.

Un nastro magnetico etichettato “UNIX Original From Bell Labs V4 (Vedi Manuale per il formato)” è stato scoperto presso l’Università dello Utah: probabilmente una copia originale di UNIX Fourth Edition, creata presso i Bell Labs intorno al 1973.

Il professor Robert Ricci della Kahlert School of Computing lo ha annunciato in un post su Mastodon. Ha affermato che il nastro è stato trovato da alcuni dipendenti che stavano pulendo un magazzino. Il professore ha riconosciuto la calligrafia sull’etichetta come quella del suo supervisore, Jay Lepreau, morto nel 2008.

Se la firma del nastro corrisponde al suo contenuto, la scoperta ha un valore storico: rimangono solo pochi frammenti di UNIX V4, un po’ di codice sorgente e pagine di manuale, nonché il “Programmer’s Manual ” del novembre 1973.

Fu nella quarta edizione che il kernel Unix e le utilità di base furono riscritti per la prima volta in C, segnando una svolta nella storia dei sistemi operativi.

Ricci ha sottolineato che il nastro recuperato sarà donato al Computer History Museum di Mountain View, in California. Secondo Google Maps, il viaggio dallo Utah al museo è di 1.245 km, ovvero circa 12 ore di macchina.

Il professore ha chiarito che un membro dello staff consegnerà personalmente il reperto, anziché spedirlo per posta, per evitare danni.

In seguito il team scoprì che molto probabilmente il nastro era arrivato all’università negli anni ’70 a Martin Newell , lo stesso ricercatore che aveva creato la famosa “Utah Teapot “, diventata un oggetto 3D iconico nella computer grafica.

Al Kossow, curatore dell’archivio software Bitsavers e dipendente del museo, guiderà l’operazione di recupero dati. Ha annunciato sulla mailing list del TUHS che intende leggere le informazioni utilizzando un convertitore analogico-digitale multicanale, memorizzando i dati in circa 100 GB di RAM e quindi elaborandoli con Readtape, un programma scritto dall’ingegnere Len Shustek.

Secondo Kossow, il nastro 3M lungo 360 metri, probabilmente un nastro a nove tracce (un supporto simile risalente agli anni ’70), viene spesso digitalizzato con successo. In un’altra lettera al TUHS, ha sottolineato che il ritrovamento è così raro che lo metterà in cima alla sua lista di priorità.

L'articolo Alle Origini di UNIX: il Nastro dei Bell Labs ritrovato in uno scantinato dell’Università dello Utah proviene da Red Hot Cyber.

Rob Ricci

2025-11-06 20:49:19

While cleaning a storage room, our staff found this tape containing #UNIX v4 from Bell Labs, circa 1973

Apparently no other complete copies are known to exist: gunkies.org/wiki/UNIX_Fourth_E…

We have arranged to deliver it to the Computer History Museum

#retrocomputing

UNIX Fourth Edition - Computer History Wiki

^gunkies.org

≋3≋ allarmi che devono farci riflettere 1. L’arresto di Julian Assange L’11 aprile 2019 il giornalista d’inchiesta Julian Assange viene arrestato nell’ambasciata ecuadoriana a Londra, dopo quasi sette anni di asilo internazionale. euronews+2TechCrunch+2L’arresto segna l’avvio di una battaglia legale che coinvolge l’estradizione negli Stati Uniti e solleva questioni fondamentali sulla libertà di stampa e la […]

freeassangeitalia.it/liberta-d…

Using a speaker as a microphone is a trick old enough to have become common knowledge, but how often do you see the hack reversed? As part of a larger project to measure the acoustic power of a subwoofer, [DeepSOIC] needed to characterize the phase shift of a microphone, and to do that, he needed a test speaker. A normal speaker’s resonance was throwing off measurements, but an electret microphone worked perfectly.

For a test apparatus, [DeepSOIC] had sealed the face of the microphone under test against the membrane of a speaker, and then measured the microphone’s phase shift as the speaker played a range of frequencies. The speaker membrane he started with had several resonance spikes at higher frequencies, however, which made it impossible to take accurate measurements. To shift the resonance to higher frequencies beyond the test range, the membrane needed to be more rigid, and the driver needed to apply force evenly across the membrane, not just in the center. [DeepSOIC] realized that an electret microphone does basically this, but in reverse: it has a thin membrane which can be uniformly attracted and repelled from the electret. After taking a large capsule electret microphone, adding more vent holes behind the diaphragm, and removing the metal mesh from the front, it could play recognizable music.

Replacing the speaker with another microphone gave good test results, with much better frequency stability than the electromagnetic speaker could provide, and let the final project work out (the video below goes over the full project with English subtitles, and the calibration is from minutes 17 to 34). The smooth frequency response of electret microphones also makes them good for high-quality recording, and at least once, we’ve seen someone build his own electrets.

youtube.com/embed/zlgHMzM6WxE?…

hackaday.com/2025/11/10/2025-c…

Il 9 novembre ha segnato il 21° anniversario di Firefox 1.0. Nel 2004, è stata la prima versione stabile del nuovo browser di Mozilla, che si è subito posizionato come un’alternativa semplice e sicura a Internet Explorer. Inizialmente, vantava la navigazione a schede, il blocco dei pop-up, un sistema di estensioni flessibile e impostazioni di privacy intuitive, attirando rapidamente sia il pubblico che la stampa.

Prima del suo rilascio, il browser subì diversi cambi di nome. Il ramo sperimentale della Mozilla Suite fu inizialmente chiamato Phoenix, poi Firebird e, nel febbraio 2004, Firefox. Fu scelto per la sua unicità e l’assenza di conflitti, e la volpe rossa divenne la sua mascotte.

Il lancio della versione 1.0 fu accompagnato da una rara campagna pubblicitaria per i fan all’epoca. La community raccolse fondi per una pagina intera di pubblicità sul New York Times e, il giorno del lancio, recensioni entusiastiche ne elogiarono la velocità, l’usabilità e la compatibilità con i siti web di IE. La campagna contribuì a rendere Firefox un prodotto visibile anche al di fuori della cerchia degli appassionati.

Negli anni successivi, Firefox divenne una vera e propria forza sul mercato. Nel 2008, il lancio di Firefox 3 fu celebrato come Download Day, con un record mondiale per il numero di download in un solo giorno, oltre 8 milioni di installazioni. Le statistiche dell’epoca mostravano che il browser stava guadagnando costantemente quote di mercato rispetto a Internet Explorer, con alcuni report in Europa che si avvicinavano a un terzo del mercato.

Il rilascio di Firefox Quantum nel 2017 ha rappresentato un importante aggiornamento tecnologico, accelerando significativamente le prestazioni e rinnovando l’interfaccia. In termini di privacy, il progetto ha fatto fare un passo avanti al settore con la protezione antitracciamento abilitata di default e la Total Cookie Protection, che isola i cookie tra i siti web. Queste soluzioni hanno consolidato la reputazione di Firefox come browser per utenti che apprezzano il controllo e l’indipendenza dei dati.

Oggi, Firefox rimane l‘unico grande browser indipendente a utilizzare il proprio motore Gecko, indipendente da Chromium. La storia della versione 1.0 è un esempio di come la comunità e lo sviluppo aperto possano cambiare gli equilibri di potere e di come la privacy e gli standard aperti possano diventare un vantaggio competitivo.

La versione del 2004 ha reso tutto questo possibile, colpendo un nervo scoperto dell’epoca e riportando la concorrenza nel mercato dei browser.

L'articolo 21 anni di Firefox: una storia di innovazione e indipendenza proviene da Red Hot Cyber.

Pare che il team di sviluppo di Debian abbia deciso di sospendere il supporto al kernel 32 bit. Nella pagina di download infatti non figurano più le ISO a 32 bit.

Questo implica che tutte le distro basate su Debian non supporteranno più hardware a 32 bit entro poco tempo?

E mo' ?

Come facciamo a far funzionare il vecchio hardware? (Ero così felice che MX facesse funzionare il mio netbook del 2012, e ora...)

Quello che ci siamo raccontati fino ad oggi (che Linux è perfetto per il vecchio hardware) non è più così vero?

Sono curioso di sentire i vostri consigli e pensieri.

Grazie a chi vorrà partecipare alla discussione.

#linux