like this
Trames reshared this.
like this
Dalla caduta degli Sforza sino alla conquista napoleonica, il libro ripercorre la storia delle istituzioni e della società dello Stato di Milano in età moderna: una panoramica aggiornata che attraversa la dominazione degli Asburgo di Spagna, la riforma borromaica della Chiesa ambrosiana e il secolo dei Lumi. Un mosaico di conflitti, di ambizioni individuali e collettive, di stili di vita e di governo, che definirono i tratti salienti, l’identità, la vitalità economica e la capacità creativa dello spazio culturale e politico milanese.Attraverso un’argomentazione sintetica e innovativa, il volume connette e interpreta una lunga teoria di eventi e fenomeni, di temi e problemi, che misurarono la capacità degli Sforza, degli Asburgo di Spagna e degli Asburgo d’Austria di sperimentare strategie efficaci per conservare la sovranità sulla Lombardia, un territorio ricco di risorse e situato in una posizione strategica, e pertanto al centro della contesa tra potenze per l’egemonia nello spazio euro-mediterraneo lungo tutta la prima età moderna.
I saluti istituzionali di Paola Avallone, Direttrice del CNR-ISEM, apriranno i lavori. Seguiranno gli interventi di Isabella Cecchini (CNR-ISEM), Gaetano Sabatini (Università Roma Tre, Direttore Istituto Storico Italiano per l’Età Moderna e Contemporanea) e Michele Maria Rabà (CNR-ISEM), autore del volume.
L’evento si terrà in presenza – presso l’Aula Milone del Dipartimento di Studi Umanistici dell’Università di Ca’ Foscari (3° piano ala D, Palazzo Malcanton Marcorà, Dorsoduro 3246) – e da remoto, attraverso la piattaforma Microsoft Teams, al seguente URL
informapirata ⁂ reshared this.
Need For Speed Map IRL
When driving around in video games, whether racing games like Mario Kart or open-world games like GTA, the game often displays a mini map in the corner of the screen that shows where the vehicle is in relation to the rest of the playable area. This idea goes back well before the first in-vehicle GPS systems, and although these real-world mini maps are commonplace now, they don’t have the same feel as the mini maps from retro video games. [Garage Tinkering] set out to solve this problem, and do it on minimal hardware.
Before getting to the hardware, though, the map itself needed to be created. [Garage Tinkering] is modeling his mini map on Need For Speed: Underground 2, including layers and waypoints. Through a combination of various open information sources he was able to put together an entire map of the UK and code it for main roads, side roads, waterways, and woodlands, as well as adding in waypoints like car parks, gas/petrol stations, and train stations, and coding their colors and gradients to match that of his favorite retro racing game.
To get this huge and detailed map onto small hardware isn’t an easy task, though. He’s using an ESP32 with a built-in circular screen, which means it can’t store the whole map at once. Instead, the map is split into a grid, each associated with a latitude and longitude, and only the grids that are needed are loaded at any one time. The major concession made for the sake of the hardware was to forgo rotating the grid squares to keep the car icon pointed “up”. Rotating the grids took too much processing power and made the map updates jittery, so instead, the map stays pointed north, and the car icon rotates. This isn’t completely faithful to the game, but it looks much better on this hardware.
The last step was to actually wire it all up, get real GPS data from a receiver, and fit it into the car for real-world use. [Garage Tinkering] has a 350Z that this is going into, which is also period-correct to recreate the aesthetics of this video game. Everything works as expected and loads smoothly, which probably shouldn’t be a surprise given how much time he spent working on the programming. If you’d rather take real-world data into a video game instead of video game data into the real world, we have also seen builds that do things like take Open Street Map data into Minecraft.
Thanks to [Keith] for the tip!
youtube.com/embed/sAp7oCB939c?…
GhostFrame: il primo framework PhaaS interamente basato su iframe
Barracuda ha pubblicato i dettagli di un nuovo kit di phishing-as-a-service (PhaaS) elusivo e stealth che nasconde i contenuti dannosi all’interno di iframe di pagine web per eludere il rilevamento e massimizzare la flessibilità.
È la prima volta che Barracuda rileva un framework di phishing completo costruito attorno alla tecnica degli iframe.
Gli analisti delle minacce monitorano il nuovo PhaaS da settembre 2025 e lo hanno soprannominato GhostFrame. Ad oggi, a questo kit sono stati attribuiti oltre un milione di attacchi.
L’analisi tecnica di Barracuda dimostra che la funzionalità di GhostFrame è apparentemente semplice, ma molto efficace.
A differenza della maggior parte dei kit di phishing, GhostFrame utilizza un semplice file HTML apparentemente innocuo, in cui tutte le attività dannose si svolgono all’interno di un iframe, una piccola finestra all’interno di una pagina web che può visualizzare contenuti provenienti da un’altra fonte. Questo approccio fa apparire la pagina di phishing autentica, nascondendone però la vera origine e il vero scopo.
Le caratteristiche più importanti di GhostFrame includono:
- Un file HTML esterno dall’aspetto innocuo che non contiene alcun contenuto di phishing che potrebbe attivare il rilevamento e utilizza codice dinamico per generare e manipolare i nomi dei sottodomini, in modo che ne venga generato uno nuovo per ogni destinazione.
- Tuttavia, all’interno di questa pagina sono presenti dei puntatori incorporati che indirizzano gli utenti a una pagina di phishing secondaria tramite un iframe.
- La pagina iframe ospita i componenti di phishing veri e propri. Gli aggressori nascondono i moduli di acquisizione delle credenziali all’interno di una funzione di streaming di immagini progettata per file di grandi dimensioni, rendendo difficile per gli scanner statici, che in genere cercano moduli di phishing hardcoded, rilevare l’attacco.
- Il design dell’iframe consente agli aggressori di modificare facilmente il contenuto di phishing, testare nuovi trucchi o prendere di mira regioni specifiche, il tutto senza modificare la pagina web principale che distribuisce il kit. Semplicemente aggiornando la destinazione dell’iframe, il kit può eludere il rilevamento da parte degli strumenti di sicurezza che controllano solo la pagina esterna.
- Come altri kit di phishing di nuova generazione, GhostFrame impedisce e interrompe in modo aggressivo l’ispezione. Tra le altre cose, blocca il clic destro del mouse, blocca il tasto F12 (utilizzato per gli strumenti di sviluppo) e il tasto Invio, e impedisce l’uso di scorciatoie da tastiera comuni come Ctrl/Cmd e Ctrl/Cmd+Shift. Queste scorciatoie sono spesso utilizzate dagli analisti della sicurezza per visualizzare il codice sorgente, salvare pagine o aprire strumenti di sviluppo.
Le email di phishing di GhostFrame alternano temi tradizionali, come falsi accordi commerciali e falsi aggiornamenti delle risorse umane. Come altre email di phishing, sono progettate per indurre i destinatari a cliccare su link pericolosi o a scaricare file dannosi.
“La scoperta di GhostFrame evidenzia la rapidità e l’intelligenza con cui i kit di phishing si stanno evolvendo. GhostFrame è il primo esempio che abbiamo visto di una piattaforma di phishing basata quasi esclusivamente su iframe, e gli aggressori stanno sfruttando appieno questa funzionalità per aumentare la flessibilità ed eludere il rilevamento” , ha affermato Saravanan Mohankumar, direttore dell’analisi delle minacce di Barracuda.
“Per rimanere protette, le organizzazioni devono andare oltre le difese statiche e adottare strategie multilivello: formazione degli utenti, aggiornamenti regolari del browser, strumenti di sicurezza per rilevare iframe sospetti, monitoraggio continuo e condivisione di informazioni sulle minacce”.
L'articolo GhostFrame: il primo framework PhaaS interamente basato su iframe proviene da Red Hot Cyber.
SIRIA. Attacco dell’Isis: uccisi due soldati e un contractor americani
@Notizie dall'Italia e dal mondo
L'agguato è avvenuto a Palmira (Tadmor) nell'Est del paese dove cellule dello Stato islamico continuano i loro raid
L'articolo SIRIA. Attacco dell’Isis: pagineesteri.it/2025/12/14/med…
Le industrie aerospaziali e della difesa europea sono in ottima salute. L’analisi di Braghini
@Notizie dall'Italia e dal mondo
Performance positive e migliorate – e superiori agli USA – nel 2024 per il comparto AS&D europeo (Ue e non) per il quarto anno consecutivo, con una crescita annua dei ricavi (+10%) e degli addetti (+7%) andamenti differenziati, difesa
Dalla guerra dei chip al Mar Nero: perché la geopolitica sta riscrivendo le regole del cyber
Negli ultimi due anni il cyber ha smesso di essere una dimensione “tecnica” del conflitto ed è diventato infrastruttura strategica. La conseguenza è un effetto domino: parte dalla competizione USA-Cina sui semiconduttori e sull’AI, attraversa la guerra Russia-Ucraina (e i corridoi energetici del Mar Nero), e arriva alla governance europea, che prova a mettere ordine con regolazione e compliance mentre la minaccia accelera.
Questo articolo propone una lettura OSINT orientata ai meccanismi (non alle narrazioni), con indicatori pratici utili per chi lavora in cybersecurity, risk e intelligence economica.
USA–Cina: la supply chain dei chip AI come terreno di scontro
La competizione USA-Cina è sempre meno una gara commerciale e sempre più una partita sui colli di bottiglia: chip avanzati, tool di fabbricazione, cloud/AI e controlli export. Il fattore destabilizzante non è solo il “divieto”, ma la volatilità della policy: licenze, eccezioni, enforcement e ritorsioni diventano variabili operative per intere filiere.
Implicazione cyber: quando l’hardware diventa geopolitica, la sicurezza di filiera (provenance, audit, SBOM, trusted suppliers) non è più una best practice. È una condizione di accesso al mercato e una leva di resilienza nazionale.
Europa: governance e compliance mentre la minaccia corre
In Europa la risposta strutturale è regolatoria: NIS2 (governance e obblighi per settori/entità) e Cyber Resilience Act (sicurezza dei prodotti digitali “by design”). Il tema, però, è il tempo: recepimenti e implementazioni disomogenei producono una postura a macchia di leopardo, con differenze di obblighi, reporting ed enforcement tra Paesi.
Implicazione cyber: l’UE sta costruendo un perimetro serio, ma nel breve periodo molte organizzazioni devono alzare maturità e resilienza senza poter contare su un quadro uniforme in tutti i mercati in cui operano.
Mar Nero: energia, logistica e guerra ibrida
Il Mar Nero è un punto di contatto tra interessi militari, energetici e logistici. È anche l’area in cui cyber e ibrido si intrecciano: porti, raffinerie, shipping, assicurazioni, tracciamento, droni e sabotaggi.
In un contesto sanzionatorio, la pressione su rotte e snodi diventa leva economica e leva politica.
Implicazione cyber: la parola chiave è infrastruttura. Anche senza “hacking spettacolare”, basta rendere più costosi e rischiosi trasporto, assicurazione, manutenzione e compliance per ottenere effetti strategici.
Israele: stress operativo, ma il cyber resta un asset strategico
Il sistema israeliano è sotto stress per la situazione regionale, ma il comparto cyber continua a rappresentare un asset di capacità e di mercato: talenti, prodotti e M&A restano un magnete globale.
Questo produce, da un lato, accelerazione tecnologica; dall’altro, maggiore attenzione a export compliance, supply chain e rischio di escalation informativa.
Indicatori pratici (OSINT) per chi lavora in sicurezza
Se la dinamica geopolitica deve diventare una checklist operativa, alcuni indicatori ricorrenti sono:
Volatilità normativa su export controls e controlli tecnologici (licenze, eccezioni, enforcement).
Concentrazione dei colli di bottiglia (pochi fornitori per chip, tool, cloud, componenti critici).
Disruption fisica su nodi logistici ed energetici (porti, raffinerie, shipping) come segnali di guerra ibrida.
Frammentazione regolatoria nell’UE (divergenze di posture minime e responsabilità tra Stati).
Consolidamento del mercato su identity e cloud security come segnale di spostamento della superficie d’attacco.
Conclusione
La tesi è semplice: cyber e geopolitica condividono ormai la stessa supply chain. Gli Stati gestiscono tecnologia e infrastrutture come leve strategiche; le imprese devono trattare la cybersecurity come risk management geopolitico, non come sola IT security.
Per le organizzazioni, il vantaggio competitivo nei prossimi anni passerà dalla capacità di leggere policy, filiere e logistica con lo stesso rigore con cui si legge un threat report.
Questo articolo adotta un approccio OSINT e si basa su fonti pubbliche (atti e comunicazioni istituzionali UE, copertura stampa economico-finanziaria internazionale e report di settore su cyber/tech).
L'articolo Dalla guerra dei chip al Mar Nero: perché la geopolitica sta riscrivendo le regole del cyber proviene da Red Hot Cyber.
emili reshared this.
Vulnerabilità in .NET: eseguire codice remoto tramite messaggi SOAP
I ricercatori di sicurezza hanno scoperto una vulnerabilità in .NET che potrebbe colpire diversi prodotti aziendali e causare l’esecuzione di codice remoto. Il problema deriva dal modo in cui le applicazioni Microsoft basate su .NET gestiscono i messaggi SOAP e Microsoft, secondo i ricercatori, si rifiuta di risolvere il problema, scaricando la colpa su sviluppatori e utenti.
Piotr Bazydło di watchTowr ha segnalato la scoperta alla conferenza Black Hat Europe . Ha affermato che diverse soluzioni commerciali e interne sono vulnerabili agli attacchi di esecuzione di codice remoto ( RCE ) a causa di errori nella gestione dei messaggi SOAP nelle applicazioni .NET.
Il problema chiave era la classe SoapHttpClientProtocol. Il ricercatore ha spiegato che può essere utilizzata dagli aggressori in vari modi, a seconda dei loro obiettivi. Questa classe eredita da HttpWebClientProtocol, come altri client proxy, ma SoapHttpClientProtocol è la più comune nel codice sorgente, quindi watchTowr si è concentrato su di essa.
Sulla carta, tutto sembra innocuo: sia il nome della classe che la documentazione ufficiale indicano che dovrebbe gestire messaggi SOAP tramite HTTP. Uno scenario “semplice, prevedibile e sicuro” , come osserva ironicamente Bazydło. In pratica, le cose sono più complicate.
La classe è responsabile dell’impostazione dell’URL di destinazione del servizio SOAP e dell’invocazione del metodo SOAP. La vulnerabilità si verifica quando un aggressore riesce a influenzare questo URL e il modo in cui SoapHttpClientProtocol crea il client. Sebbene sia progettata per funzionare con richieste HTTP, utilizza internamente un meccanismo generalizzato che supporta più protocolli: HTTP/HTTPS, FTP e persino FILE.
Se un aggressore sostituisce l’indirizzo web con un URL del file system, la classe non genererà un errore, ma scriverà semplicemente la richiesta SOAP (inviata tramite il metodo POST) direttamente nel file. “Perché un proxy SOAP dovrebbe ‘inviare’ richieste a un file locale? Nessuna persona sana di mente si aspetterebbe di ricevere una risposta SOAP valida dal file system“, osserva il ricercatore.
Questo comportamento può essere sfruttato per scrivere file arbitrari, inclusi dati XML da una richiesta SOAP. Uno scenario meno distruttivo, ma comunque spiacevole, potrebbe riguardare attacchi di relay NTLM.
Bazydło ha inizialmente segnalato il problema a Microsoft tramite la Zero Day Initiative (ZDI). Secondo lui, l’azienda ha risposto che non avrebbe risolto il bug perché gli sviluppatori non dovrebbero consentire l’utilizzo di dati di input non attendibili.
“Come prevedibile, Microsoft ha considerato questa una ‘funzionalità’ piuttosto che una vulnerabilità “, scrive. “La risposta ha attribuito la colpa agli sviluppatori e agli utenti. Secondo Microsoft, l’URL passato a SoapHttpClientProtocol non dovrebbe mai essere controllato dall’utente e la convalida dell’input è interamente responsabilità dello sviluppatore.”
Bazydło aggiunge sarcasticamente che, ovviamente, “tutti gli sviluppatori decompilano regolarmente gli assembly .NET Framework e studiano l’implementazione interna, ben sapendo che un ‘proxy client HTTP’ può essere convinto a scrivere dati su disco. Come potrebbe essere altrimenti? “
Un anno dopo, il team di watchTowr ha iniziato ad analizzare Barracuda Service Center , una “piattaforma RMM ampiamente utilizzata”, anch’essa risultata vulnerabile alla tecnica descritta in precedenza. I ricercatori hanno scoperto che la sua API SOAP poteva essere chiamata senza autenticazione e hanno quindi trovato una via di exploit alternativa: importando file WSDL (Web Services Description Language).
Il punto chiave è che un aggressore può fornire a un’applicazione un URL che punta a un file WSDL sotto il suo controllo. L’applicazione vulnerabile utilizza questa descrizione per generare un proxy client HTTP, dopodiché Bazydło è riuscito a ottenere l’esecuzione di codice remoto in due modi: caricando una web shell ASPX sul server e inserendo il payload (una web shell CSHTML o uno script PowerShell) nello spazio dei nomi del corpo della richiesta SOAP.
Questa tecnica basata sullo spazio dei nomi, afferma, ha consentito lo sfruttamento efficace di Ivanti Endpoint Manager e Umbraco 8 CMS. Sebbene il rapporto di WatchTowr menzioni specificamente questi prodotti, i ricercatori sottolineano che l’elenco effettivo delle soluzioni interessate è molto più ampio.
L'articolo Vulnerabilità in .NET: eseguire codice remoto tramite messaggi SOAP proviene da Red Hot Cyber.
Why Games Work, and How to Build Them
Most humans like games. But what are games, exactly? Not in a philosophical sense, but in the sense of “what exactly are their worky bits, so we know how to make them?” [Raph Koster] aims to answer that in a thoughtful blog post that talks all about game design from the perspective of what, exactly, makes them tick. And we are right into that, because we like to see things pulled apart to learn how they work.
On the one hand, it’s really not that complicated. What’s a game? It’s fun to play, and we generally feel we know a good one when we see it. But as with many apparently simple things, it starts to get tricky to nail down specifics. That’s what [Raph]’s article focuses on; it’s a twelve-step framework for how games work, and why they do (or don’t) succeed at what they set out to do.
[Raph] says the essentials of an engaging game boil down to giving players interesting problems to solve, providing meaningful and timely feedback, and understanding player motivation. The tricky part is that these aren’t really separate elements. Everything ties together in a complex interplay, and [Raph] provides insights into how to design and manage it.
It’s interesting food for thought on a subject that is, at the very least, hacker-adjacent. After all, many engaging convention activities boil down to being games of some kind, and folks wouldn’t be implementing DOOM on something like KiCAD’s PCB editor or creating first-person 3D games for the Commodore PET without being in possession of a healthy sense of playfulness.
Watch a Recording Lathe From 1958 Cut a Lacquer Master Record
Most of us are familiar with vinyl LPs, and even with the way in which they are made by stamping a hot puck of polyvinyl chloride (PVC) into a record. But [Technostalgism] takes us all the way back to the beginning, giving us a first-hand look at how a lacquer master is cut by a specialized recording lathe.
Cutting a lacquer master is the intricate process by which lacquer disks, used as the masters for vinyl records, are created. These glossy black masters — still made by a company in Japan — are precision aluminum discs coated with a special lacquer to create a surface that resembles not-quite-cured nail polish and, reportedly, smells like fresh paint.
The cutting process itself remains largely unchanged over the decades, although the whole supporting setup is a bit more modernized than it would have been some seventy years ago. In the video (embedded below), we get a whole tour of the setup and watch a Neumann AM32B Master Stereo Disk Recording Lathe from 1958 cut the single unbroken groove that makes up the side of a record.
The actual cutting tool is a stylus whose movement combines the left and right channels and is heated to achieve the smoothest cuts possible. The result is something that impresses the heck out of [Technostalgism] with its cleanliness, clarity, and quality. Less obvious is the work that goes into arranging the whole thing. Every detail, every band between tracks, is the result of careful planning.
It’s very clear that not only is special equipment needed to cut a disk, but doing so effectively is a display of serious craftsmanship, experience, and skill. If you’re inclined to agree and are hungry for more details, then be sure to check out this DIY record-cutting lathe.
youtube.com/embed/p18SspdBx_4?…
Mentra Brings Open Smart Glasses OS With Cross-Compat
There are a few very different pathways to building a product, and we gotta applaud the developers taking care to take the open-source path. Today’s highlight is [Mentra], who is releasing an open-source smart glasses OS for their own and others’ devices, letting you develop your smart glasses ideas just once, a single codebase applicable for multiple models.
Currently, the compatibility list covers four models, two of them Mentra’s (Live and Mach 1), one from Vuzix (Z100), and one from Even Realities (G1) — some display-only, and some recording-only. The app store already has a few apps that cover the basics, the repository looks lively, and if the openness is anything to go by, our guess is that we’re sure to see more.
While smart glasses have their critics, many of those stem from closed-source software running on them, so the ability to easily develop your own is always welcome, and it’s even better to see it done in an open, cross-compatible manner. Want to learn more about the underlying tech? Check out this iFixit coverage of Meta’s Ray-Ban glasses display technology.
CipherWolf reshared this.
Condensing Diesel Heater Hack Is Dripping With Efficiency
Not a huge percentage of our readers probably get their heat from diesel fuel, but it’s not uncommon in remote areas where other fuels are hard to come-by. If you’re in one of those areas, this latest hack from [Hangin with the Hursts] could save you some change, or keep you ̶2̶0̶%̶ ̶c̶o̶o̶l̶e̶r̶ 25% warmer on the same fuel burn.
It’s bog simple: he takes his off-the-shelf hydronic diesel heater, which is already 71% efficient according to a previous test, and hooks its exhaust to a heat exchanger. Now, you don’t want to restrict the exhaust on one of these units, as that can mess with the air fuel mix, but [Hurst] gets around that with a 3″ intercooler meant for automotive intake. Sure, it’s not made for exhaust gas, but this is a clean-burning heater, and it wouldn’t be a hack if some of the parts weren’t out of spec.
Since it’s a hydronic heater, he’s able to use the exhaust gas to pre-heat the water going into the burner. The intercooler does a very good job of that, sucking enough heat out of the exhaust to turn this into a condensing furnace. That’s great for efficiency — he calculates 95%, a number so good he doesn’t trust it — but not so good for the longevity of the system, since this intercooler isn’t made to deal with the slightly-acidic condensation. The efficiency numbers are combustion efficiency, to be clear. He’s only accounting for the energy in the diesel fuel, not the energy that heats the water in his test, for the record; the electrical power going into the blower is considered free. That’s fair, since that’s how the numbers are calculated in the heating industry in general — the natural gas furnace keeping this author from freezing to death, for example, is a condensing unit that is also 95% efficient.
Another thing you can do to get the most from your diesel heating fuel is add some brains to the operation. Since this is a hydronic system, the cheapest option, long-term, might be to add some solar energy to the water. Sunlight is free, and diesel sure isn’t getting any cheaper.
youtube.com/embed/rjgOsJmnqYc?…
Venti sanità
@Politica interna, europea e internazionale
L'articolo Venti sanità proviene da Fondazione Luigi Einaudi.
CHI PROGRAMMA LA GUERRA?
@Informatica (Italy e non Italy 😁)
37.000 obiettivi generati da un algoritmo. È quanto avrebbe fatto Lavender, il sistema di intelligenza artificiale usato da Israele nel recente conflitto con Hamas, secondo il Guardian.
L'articolo CHI PROGRAMMA LA GUERRA? proviene da GIANO NEWS.
#DIFESA
Gazzetta del Cadavere reshared this.
I combattimenti fra Thailandia e Cambogia continuano
Nonostante Donald Trump avesse detto che era entrato in vigore un cessate il fuocoIl Post
Trames reshared this.
Get Statistical About Your Pet With This Cat Tracking Dashboard
Cats can be wonderful companions, but they can also be aloof and boring to hang out with. If you want to get a little more out of the relationship, consider obsessively tracking your cat’s basic statistics with this display from [Matthew Sylvester].
The build is based around the Seeedstudio ReTerminal E1001/E1002 devices—basically an e-paper display with a programmable ESP32-S3 built right in. It’s upon this display that you will see all kinds of feline statistics being logged and graphed. The data itself comes from smart litterboxes, with [Matthew] figuring out how to grab data on weight and litterbox usage via APIs. In particular, he’s got the system working with PetKit gear as well as the Whisker Litter Robot 4. His dashboard can separately track data for four cats and merely needs the right account details to start pulling in data from the relevant cat cloud service.
For [Matthew], the build wasn’t just a bit of fun—it also proved very useful. When one of his cats had a medical issue recently, he was quickly able to pick up that something was wrong and seek the help required. That’s a pretty great result for any homebrew project. It’s unrelated, too, but Gnocci is a great name for a cat, so hats off for that one.
We’ve featured some other fun cat-tracking projects over the years, too. If you’re whipping up your own neat hardware to commune with, entertain, or otherwise interact with your cat, don’t hesitate to let us know on the tipsline.
fanpage.it/wamily/non-sono-i-v…
la difficoltà generalizzata dirompente che riscontro, che mi fa vedere il genere umano come sempre più incapace di esprimere pensieri complessi (quale che sia l'ambito o lo strumento utilizzato) e composto più da involucri vuoti che persone, deriva forse dal cessato mancato sforzo di dover scrivere lunghi e "tediosi" testi per descrivere le proprie idee e anche le proprie necessità.
la semplificazione e la brevità imposta spesso da ticktock o tutti i social media in generale, e non l'uso del social medio stesso, costituisce secondo me il vero pericolo concreto.
le persone che su social media esprimono solo pensieri semplici, o si astengono, per pigrizia di dover scrivere, poi di persona non mostrano nessun riscatto o risveglio o voglia di stupire con pensieri super-complessi e super-articolati. se ne deduce che la perdita cognitiva non è relativa solo all'ambito limitato dello smarphone/social media ma più generalizzata.
Rinaldo Giorgetti reshared this.
Sabrina Web 📎 reshared this.
- YouTube
Profitez des vidéos et de la musique que vous aimez, mettez en ligne des contenus originaux, et partagez-les avec vos amis, vos proches et le monde entier.www.youtube.com
- YouTube
Profitez des vidéos et de la musique que vous aimez, mettez en ligne des contenus originaux, et partagez-les avec vos amis, vos proches et le monde entier.www.youtube.com
Luigi Di Maio all’Onu? Il grosso salto di carriera con l’ok del governo italiano. Gaza e il piano di Trump: che cosa dovrà fare
Già ministro del Lavoro, Sviluppo, Esteri e vicepremier, oggi è inviato speciale dell'Ue nel Golfo Persico. Per il 39enne da Pomigliano D'Arco si stanno per aprire le porte di una nuova carriera internazionaleGiovanni Ruggiero (Open)
Claus reshared this.
MITRE pubblica la lista delle TOP25 debolezze software più pericolose del 2025
Il MITRE ha reso pubblica la classifica delle 25 più pericolose debolezze software previste per il 2025, secondo i dati raccolti attraverso le vulnerabilità del national Vulnerability Database. Tali vulnerabilità sono state individuate analizzando 39.080 record di Common Vulnerabilities and Exposures (CVE)riportati nell’anno in corso, al fine di segnalare le cause principali.
L’aumento delle minacce informatiche ha elevato l’importanza della classifica annuale, la quale elaborata in base a dati CVE reali, permette una più efficace identificazione e riduzione dei rischi all’interno delle organizzazioni.
Gli aggressori possono assumere il controllo del sistema, sottrarre dati sensibili o compromettere le applicazioni a causa di questi difetti pervasivi, che sono spesso facilmente individuabili e sfruttabili.
La classifica CWE Top 25 può aiutare a:
- Riduzione delle vulnerabilità : le informazioni sulle cause comuni alla radice forniscono un feedback prezioso per la pianificazione SDLC e architettonica dei fornitori, contribuendo a eliminare intere classi di difetti (ad esempio, sicurezza della memoria, iniezione)
- Risparmio sui costi : meno vulnerabilità nello sviluppo del prodotto significano meno problemi da gestire dopo la distribuzione, con conseguente risparmio di denaro e risorse
- Analisi delle tendenze : la comprensione delle tendenze dei dati consente alle organizzazioni di concentrare meglio gli sforzi di sicurezza
- Informazioni sullo sfruttabilità : alcune debolezze, come l’iniezione di comandi, attirano l’attenzione degli avversari, consentendo di stabilire le priorità del rischio.
- Fiducia del cliente : la trasparenza nel modo in cui le organizzazioni affrontano queste debolezze dimostra impegno per la sicurezza del prodotto
Le vulnerabilità legate alla sicurezza della memoria, come i buffer overflow, sono ricorrenti, il che sta portando all’adozione di linguaggi più sicuri come Rust. Nello stesso tempo, le applicazioni web devono far fronte a minacce e problemi di autenticazione. Inoltre, le vulnerabilità come Use After Free, rientranti nella categoria KEV, richiedono l’implementazione di un modello di controllo basato sullo zero-trust.
È fondamentale che le organizzazioni esaminino i propri codici in base a questo elenco, incorporino le verifiche CWE nelle loro pipeline di integrazione continua, insistano con i fornitori per garantire la trasparenza e sfruttino i contratti per imporre ai fornitori l’applicazione di standard rigorosi per la scrittura di codice sicuro..
L'articolo MITRE pubblica la lista delle TOP25 debolezze software più pericolose del 2025 proviene da Red Hot Cyber.
ivdp.it/articoli/i-numeri-segr…
User Serviceable Parts
Al and I were talking on the podcast about the Home Assistant home automation hub software. In particular, about how devilishly well designed it is for extensibility. It’s designed to be added on to, and that makes all of the difference.
That doesn’t mean that it’s trivial to add your own wacky control or sensor elements to the system, but that it’s relatively straightforward, and that it accommodates you. If your use case isn’t already covered, there is probably good documentation available to help guide you in the right direction, and that’s all a hacker really needs. As evidence for why you might care, take the RTL-HAOS project that we covered this week, which adds nearly arbitrary software-defined radio functionality to your setup.
And contrast this with many commercial systems that are hard to hack on because they are instead focused on making sure that the least-common-denominator user is able to get stuff working without even reading a single page of documentation. They are so focused on making everything that’s in-scope easy that they spend no thought on expansion, or worse they actively prevent it.
Of course, it’s not trivial to make a system that’s both extremely flexible and relatively easy to use. We all know examples where the configuration of even the most basic cases is a nightmare simply because the designer wanted to accommodate everything. Somehow, Home Assistant has managed to walk the fine line in the middle, where it’s easy enough to use that you don’t have to be a wizard, but that you can make it do what you want if you are, and hence it got spontaneous hat-tips from both Al and myself. Food for thought if you’re working on a complex system that’s aimed at the DIY / hacker crowd.
This article is part of the Hackaday.com newsletter, delivered every seven days for each of the last 200+ weeks. It also includes our favorite articles from the last seven days that you can see on the web version of the newsletter. Want this type of article to hit your inbox every Friday morning? You should sign up!
Il Day-One del Caos di React2Shell! Spie, criminali e cryptominer si contendono i server
Un recente resoconto del gruppo Google Threat Intelligence (GTIG) illustra gli esiti disordinati della diffusione di informazioni, mettendo in luce come gli avversari più esperti abbiano già preso piede all’interno delle reti dei soggetti colpiti.
Una vulnerabilità critica, identificata come CVE-2025-55182, è stata segnalata alla comunità della sicurezza il 3 dicembre 2025, riguardante React Server Components (RSC). Questa falla di sicurezza, con un punteggioCVSS massimo di 10,0, permette a malintenzionati di eseguire codice arbitrario su un server mediante l’invio di una sola richiesta HTTP appositamente strutturata, senza necessità di autenticazione.
Il mondo informatico ha reagito con prontezza. Subito dopo la notizia pubblica, numerosi cluster di minacce sono stati sfruttati diffusamente, come rilevato dal Google Threat Intelligence Group (GTIG), che ha notato attività sia di gruppi di criminali informatici opportunisti fino a presunti operatori di spionaggio.
Poiché React e Next.js sono fondamentali per il web moderno, la superficie di attacco è enorme. “GTIG considera CVE-2025-55182 una vulnerabilità a rischio critico”. L’attività più allarmante identificata nel rapporto proviene da autori di minacce collegate alla Cina, che hanno rapidamente integrato l’exploit nei loro arsenali per distribuire malware specializzati. Il GTIG ha identificato diverse campagne distinte:
- Tunnelers di UNC6600: questo gruppo è stato visto utilizzare MINOCAT, un sofisticato tunneler. Hanno fatto di tutto per nascondere le proprie tracce, creando directory nascoste come $HOME/.systemd-utils e uccidendo spietatamente i processi legittimi per liberare risorse.
- C2 “legittimo” (UNC6603): questo autore ha implementato una versione aggiornata della backdoor HISONIC. In un’astuta mossa per mimetizzarsi, HISONIC “utilizza servizi cloud legittimi, come Cloudflare Pages e GitLab, per recuperare la sua configurazione crittografata”.
- The Masqueraders (UNC6595): Distribuendo un malware denominato ANGRYREBEL.LINUX, questo gruppo ha tentato di eludere il rilevamento “mascherando il malware come il legittimo demone OpenSSH (sshd) all’interno della directory /etc/” e utilizzando tecniche anti-forensi come il timestomping.
- Vim Impostor (UNC6588): in un’altra ondata di attacchi, gli autori hanno utilizzato l’exploit per scaricare COMPOOD, una backdoor che si camuffava da popolare editor di testo Vim per evitare sospetti.
“GTIG ha identificato campagne distinte che sfruttano questa vulnerabilità per distribuire un tunneler MINOCAT, un downloader SNOWLIGHT, una backdoor HISONIC e una backdoor COMPOOD, nonché miner di criptovalute XMRIG, alcune delle quali si sovrappongono all’attività precedentemente segnalata da Huntress“.
Oltre allo spionaggio, a partire dal 5 dicembre si sono uniti alla mischia anche criminali motivati da interessi finanziari, che hanno utilizzato i miner XMRig per dirottare le risorse del server e generare criptovalute.
Il caos è stato ulteriormente aggravato da un’ondata di disinformazione. Nelle prime ore successive alla divulgazione, Internet è stato inondato di exploit falsi. Un importante repository “che inizialmente sosteneva di essere un exploit funzionale legittimo, ha ora aggiornato il proprio file README per etichettare correttamente le affermazioni iniziali della ricerca come generate dall’intelligenza artificiale e non funzionali”.
L'articolo Il Day-One del Caos di React2Shell! Spie, criminali e cryptominer si contendono i server proviene da Red Hot Cyber.
Normally, it’s bad news to be next to an exploding star. But ancient supernovae may have aided the formation of our home world—and perhaps Earthlike planets elsewhere.#TheAbstract
Earth-Like Planets Are More Common Than We Thought, Study Says
Welcome back to the Abstract! These are the studies this week that got hosed with star spray, mounted a failed invasion, declined to comment, and achieved previously unknown levels of adorability.First, a study about how the solar system wasn’t destroyed 4.5 billion years ago (phew!). Then: a human touch on an ancient boat, the duality of posters and lurkers, and an important update on toadlets.
As always, for more of my work, check out my book First Contact: The Story of Our Obsession with Aliensor subscribe to my personal newsletter the BeX Files.
Sink into a warm cosmic-ray bath
Earth was cosmically conceived in part by a massive shockwave from a nearby supernova, which seeded our home world and neighboring rocky planets with telltale radioactive signatures, according to a new study.
The solar system’s rocky planets contain short-lived radionuclides (SLRs), which are ancient elements that were likely barfed out from exploding stars. For this reason, scientists have long suspected that stars must’ve detonated next to the gassy disk that gave rise to the solar system. The heat generated from these radioactive elements helped the building blocks of the rocky planets—Mercury, Venus, Earth, and Mars—melt together so they could become whole worlds, which means we owe our existence to these ancient supernovas.
Now, a team has developed a new model to explain how the primordial pyrotechnics didn’t just blow up the nascent solar system. The results suggest that rocky Earth-like worlds may be common in the universe, with potential implications for the search for extraterrestrial life.
“A key question in astronomy is how ubiquitous Earth-like rocky planets are,” said researchers led by Ryo Sawada of the University of Tokyo. “The formation of terrestrial planets in our Solar System was strongly influenced by the radioactive decay heat of SLRs, particularly aluminum-26, likely delivered from nearby supernovae.”
“However, the supernova injection scenario faces an unresolved problem in that existing supernova models could not reproduce both the relative and absolute abundances of SLRs without disrupting the protosolar disk,” an event that “would likely prevent the Solar System formation altogether,” the team added.
In other words, it’s hard to explain how the solar system got its high abundance of SLRs without killing it in the cradle. Sawada and his colleagues propose a solution that involves at least one star exploding about three light years of the disk, sparking a shockwave that created a cosmic-ray “bath.”
Schematic picture of the system assumed in this study. Image: Sawada et al., Sci. Adv. 11, eadx7892
In this “immersion mechanism,” energetic cosmic rays trapped in the bath triggered SLR-producing reactions directly within the disk. This contrasts with the hypothesis that the SLRs were largely injected and then mixed up in the disk through some unknown process. This new solution can account both for the high abundance of certain SLRs, like aluminum-26, and the fact that the solar system was not destroyed, as evidenced by its apparent continued existence.“Our results suggest that Earth-like, water-poor rocky planets may be more prevalent in the
Galaxy than previously thought,” the team said, noting that many disks are rocked by similar supernova-shockwaves. “This challenges previous interpretations that classified the Solar System as an outlier with a particularly high [aluminum-26] abundance.”
In addition to offering a new hypothesis for an old astronomical problem, the study gets bonus points for its extremely poetic title: “Cosmic-ray bath in a past supernova gives birth to Earth-like planets.” If you say this enchanted phrase three times, somewhere an Earth-like world will be born.
In other news…
The biometrics of a Baltic boatsman
Stars aren’t the only things leaving their dirty fingerprints in unexpected places this week. Archeologists working on the mysterious Hjortspring boat, a 2,400-year-old Scandinavian vessel, discovered a tantalizing partial human fingerprint in its caulking, providing “a direct link to the ancient seafarers who used this boat,” according to the study.
Photo of caulking fragment showing fingerprint on the left and high-resolution x-ray tomography scan of fingerprint region on the right. Image: Photography by Erik Johansson, 3D model by Sahel Ganji
The ridges of the fingerprint “fall within average distributions for both adult male and females as well as for juvenile adults, making it difficult to say much about the individual who produced the print,” said researchers led by Mikael Fauvelle of Lund University. “The most likely interpretation, however, is that it was made during repairs by one of the crew members on the boat itself, providing a direct link to the seafarers of the ancient vessel.”Regardless of this person’s identity, their voyage didn’t end well. Researchers think the crew of the Hjortspring boat probably sailed from the eastern Baltic Sea to attack the Danish island of Als, where they were defeated. “The victors [deposited] the weapons of their vanquished foes together with one of their boats into the bog,” where they remained for millennia until they were rediscovered in the 1880s, the team said.
It’s a timeless reminder for would-be invaders: Don’t get caulky.
Long-time lurker, first-time poster
At last, scientists have investigated the most elusive online demographic: the humble lurker. A team recruited 520 Redditors in the U.S. to participate in small subreddits focused on a variety of political topics during the summer of 2024. The aim was to probe why some people became prolific “power-users” that post with voluminous confidence, while others remained wallflowers.
“Online political discussions are often dominated by a small group of active users, while most remain silent,” said researchers led by Lisa Oswalt of the Max Planck Institute for Human Development. “This visibility gap can distort perceptions of public opinion and fuel polarization.”
The team found that “lurking (posting nothing) was most common among users who perceived discussions as toxic, disrespectful, or unconstructive.” Lurkers were offered small payments to post in the experiment, which succeeded in motivating some to contribute to discussions. As a result, the study concluded that “future interventions may be able to make online political discussions more representative by offering more positive social rewards for lurkers to post.”
At last, an opportunity to unionize the lurkers of the world. Solidarity (in silence) forever.
It’s the great pumpkin toadlet, Charlie Brown
We will close, as we have before, with an impossibly cute toadlet. Scientists have discovered this new species of “pumpkin toadlet” in the “cloud forests” of Brazil, a sentence so twee that it’s practically its own fairy tale. The tiny toad Brachycephalus lulai, pictured below on a pencil tip, belongs to a family of “flea toads” that are among the smallest vertebrates on Earth.
Basically it is very smol: Brachycephalus lulai is a tiny pumpkin toadlet measuring less than 14 mm in length. Photo: Luiz Fernando Ribeiro. Image credit 1: Luiz Fernando Ribeiro, CC-BY 4.0 (creativecommons.org/licenses/b…)
“Our team sought to better document the individual variation of all Brachycephalus species in southern Brazil, looking for them in the field over the past seven years,” said researchers led by Marcos R. Bornschein of São Paulo State University. “As a result of this work, we discovered and herein described a population collected on the eastern slope of Serra do Quiriri as a new species.”The team also reported that the toads are actively colonizing newly formed cloud forests, which are high-altitude woods shrouded in mist. The researchers propose making these unique habitats into refuges for the adorable anurans.
Thanks for reading! See you next week.
First Contact
A narrative and visual exploration of humanity’s age-old search for and fixation with extraterrestrials.First Contact explores the ancient idea—and epic ...Hachette Book Group
Biohack Your Way To Lactose Tolerance (Through Suffering)
A significant fraction of people can’t handle lactose, like [HGModernism]. Rather than accept a cruel, ice cream free existence, she decided to do something you really shouldn’t try: biohacking her way to lactose tolerance.
The hack is very simple, and based on a peer reviewed study from the 1990s: consume lactose constantly, and suffer constantly, until… well, you can tolerate lactose. If you’re lactose intolerant, you’re probably horrified at the implications of the words “suffer constantly” in a way that those milk-digesting-weirdos could never understand. They probably think it is hyperbole; it is not. On the plus side, [HGModernism]’s symptoms began to decline after only one week.
The study dates back to the 1980s, and discusses a curious phenomenon where American powdered milk was cluelessly distributed during an African famine. Initially that did more harm than good, but after a few weeks mainlining the white stuff, the lactose-intolerant Africans stopped bellyaching about their bellyaches.
Humans all start out with a working lactase gene for the sake of breastfeeding, but in most it turns off naturally in childhood. It’s speculated that rather than some epigenetic change turning the gene for lactose tolerance back on — which probably is not possible outside actual genetic engineering — the gut biome of the affected individuals shifted to digest lactose painlessly on behalf of the human hosts. [HGModernism] found this worked but it took two weeks of chugging a slurry of powdered milk and electrolyte, formulated to avoid dehydration due to the obvious source of fluid loss. After the two weeks, lactose tolerance was achieved.
Should you try this? Almost certainly not. [HGModernism] doesn’t recommend it, and neither do we. Still, we respect the heck out any human willing to hack the way out of the limitations of their own genetics. Speaking of, at least one hacker did try genetically engineering themselves to skip the suffering involved in this process. Gene hacking isn’t just for ice-cream sundaes; when applied by real medical professionals, it can save lives.
youtube.com/embed/h90rEkbx95w?…
Thanks to [Kieth Olson] for the tip!
reshared this
RFanciola
in reply to simona • • •