Questo articolo analizza una recente e sofisticata campagna di phishing che sfrutta la tecnica Browser-in-the-Browser (BitB) per rubare credenziali, in particolare quelle di servizi come Microsoft 365. L’attacco BitB si distingue per la sua capacità di generare una falsa finestra di login che imita in modo iper-realistico un browser ufficiale, ingannando l’utente e inducendolo a inserire i dati in una schermata apparentemente legittima.

L’analisi tecnica rivela che la pericolosità di questa campagna risiede non solo nell’inganno visivo, ma anche in una complessa architettura di occultamento e anti-analisi. L’attacco è preceduto da una landing page di verifica che implementa una pipeline di decodifica JavaScript a più stadi per offuscare il payload finale, filtrare bot e sistemi di sicurezza automatizzati, e contrastare l’analisi forense.

Questo meccanismo di difesa multi-livello permette all’attacco di eludere i rilevamenti iniziali da parte degli endpoint di sicurezza e di raggiungere l’obiettivo in modo più efficace.

Vengono infine sottolineate alcune misure difensive, come la verifica costante della barra degli indirizzi reale e l’adozione dell’autenticazione a più fattori.

Come funziona l’attacco BitB

La pagina malevola genera una finestra che imita perfettamente Microsoft Edge, mostrando persino un URL autentico come login.microsoftonline.com.

In realtà, si tratta di un semplice elemento grafico spostabile all’interno della pagina, mentre la barra degli indirizzi reale del browser punta a un dominio sconosciuto.

L’utente, convinto di trovarsi su un sito legittimo, viene invitato a “Sign in with Microsoft” per accedere a un documento. Inserendo le credenziali, queste finiscono direttamente nelle mani degli attaccanti.

Breve analisi

Catena di attacco:

Behance

II vettore di attacco iniziale è un’email di phishing che induce la vittima a scaricare un file malevolo (o una presunta risorsa) tramite un link che reindirizza a un portale legittimo, come Behance (behance.net/).

A sua volta viene chiesto di aprire un link per scaricare un documento.

Landing 1

Prima che la vera pagina venga visualizzata, ne viene mostrata una intermedia che viene usata nel contesto di attività malevole o campagne di phishing per diversi scopi, il più importante dei quali è l’anti-analisi e l’occultamento del contenuto finale sospetto, come l’analisi su Virus Total.

L’analisi della landing page tramite VirusTotal aveva rilevato solo un endpoint come sospetto. Successivamente, in un’analisi successiva, il numero di endpoint che hanno segnalato la pagina come sospetta è salito a tre.

Nel loader iniziale infatti è presente un codice JavaScript che implementa una pipeline di decodifica a quattro passaggi per offuscare e recuperare dati sensibili, utilizzato per nascondere stringhe, URL o frammenti HTML.

Questo file viene avviato prima di presentare la pagina sospetta perché agisce come un gate di sicurezza multilivello, vengono usare queste misure per:

• filtrare i bot: se è un bot o un sistema di sicurezza automatizzato, viene reindirizzato e non vede la pagina di phishing. Questo serve a evitare che la pagina venga contrassegnata come “sospetta” da servizi come Google Safe Browsing.
• nasconde il payload: il codice della minaccia finale (il “payload”) è offuscato e non è immediatamente visibile nel codice sorgente iniziale.
• mitigare le possibili analisi: le misure anti-debugging rendono estremamente difficile per un ricercatore di sicurezza analizzare la minaccia, in quanto il codice cerca attivamente di rilevare e bloccare gli strumenti di analisi.

Questo è un frammento di codice del loader offuscato. Inaspettatamente sono inseriti anche i commenti sul codice su tutte le operazioni eseguite, per cui è subito di facile lettura.

Un’analisi approfondita della risoluzione DNS e alla chiamata http rivela che il dominio malevolo è attestato dietro l’infrastruttura di Cloudflare, che agisce come un proxy inverso (Reverse Proxy). Questa configurazione non è casuale: l’attaccante sfrutta deliberatamente strumenti nati per la protezione e l’ottimizzazione dei dati per garantirsi un anonimato strategico.

Attraverso questo ‘scudo’, l’attore malevolo riesce a nascondere l’indirizzo IP reale del server di origine, eludere i controlli di sicurezza perimetrale basati su reputazione IP e massimizzare la vita utile della campagna di phishing.

Landing 2

Una volta risolto il “puzzle” viene usato un nuovo passaggio intermedio con caratteristiche analoghe al precedente.

Target

Quest’ultimo con un ulteriore redirect porta alla pagina progettata per simulare una richiesta di autenticazione Microsoft per poter accedere a un documento..

Anche in questa pagina è presente del contenuto offuscato. Inoltre sfruttando il fingerprinting del sistema operativo aggiungendo classi CSS specifiche (.browser-window.edge.dark o .browser-window.safari) al falso browser per farlo apparire esattamente come la finestra del browser dell’utente.

Cliccato il bottone per autenticarsi con Microsoft, viene fatta partire in background una nuova chiamata http per recuperare il contenuto di un form di Microsoft.

Quindi successivamente viene simulato apertura di finto browser sull’area della pagina (nel nostro caso Microsoft Edge), che visualizza il login di Microsoft con tanto di url “autentico”.

Questa tecnica come accennato è nota come Browser-in-the-Browser (BITB) Attack.

Un kit per capire la tecnica

Lo sviluppatore mr.d0x ha pubblicato su GitHub, a scopo didattico, il kit “BitB Attack”, che consente di creare moduli di accesso di phishing basati su Single Sign-On estremamente realistici.
Link: github.com/lucthienphong1120/B…

Conclusioni

Come emerso dall’analisi, la vera insidia si cela nella complessa architettura di occultamento che precede l’attacco finale.

La presenza di una sofisticata sequenza di decodifica JavaScript, unita alle pagine di verifica e alle misure anti-analisi e anti-bot, dimostra un elevato livello di preparazione da parte degli attaccanti.

Queste precauzioni non solo nascondono il payload dalle scansioni automatiche di sicurezza (come quelle di VirusTotal), ma rendono anche estremamente difficile per gli analisti di sicurezza decifrare e bloccare la minaccia in tempo.

L’attacco finale BitB infine induce a un l’inganno visivo per via della creazione di una falsa finestra di browser tramite elementi grafici per rubare le credenziali.

La pubblicazione di strumenti didattici come il kit “BitB Attack” da parte di mr.d0x, sebbene a scopo di ricerca, sottolinea la facilità con cui questa tecnica può essere replicata, rendendo la minaccia accessibile a un ampio spettro di malintenzionati.

Per difendersi efficacemente è necessario prestare sempre attenzione alle mail di spam, verificare sempre URL Reale e in questi casi avere l’autenticazione MFA attiva.

L'articolo Login Microsoft 365 falsi, JavaScript offuscato e Cloudflare: anatomia di un phishing avanzato proviene da Red Hot Cyber.

Quando si parla di sicurezza informatica, è facile cadere nella trappola di pensare che i problemi siano sempre lontani, che riguardino solo gli altri. Ma la realtà è che la vulnerabilità è sempre dietro l’angolo, pronta a colpire.

Uno sciame di agenti di intelligenza artificiale autonomi ha scoperto una falla critica nei dispositivi di rete utilizzati in tutto il mondo, e questo dovrebbe far suonare un campanello d’allarme per tutti.

Il rapporto di pwn.ai descrive nei dettagli la scoperta di una falla di esecuzione remota di codice (RCE) pre-autenticazione nei dispositivi prodotti da Xspeeder, un fornitore cinese noto per i suoi router e dispositivi SD-WAN. La falla, tracciata come CVE-2025-54322, ha un punteggio CVSS di 10, il che significa che è praticamente una bomba a tempo pronta a esplodere. Ecco perché è fondamentale prendere atto di questa vulnerabilità e capire le implicazioni.

Sebbene gli scanner automatici esistano da tempo, pwn.ai sostiene che questa scoperta rappresenti un balzo in avanti in termini di capacità. La loro piattaforma ha emulato autonomamente il firmware del dispositivo, identificato la superficie di attacco e progettato un modo per accedere senza l’intervento umano. “A nostra conoscenza, questo è il primo RCE 0day scoperto da un agente e sfruttabile da remoto pubblicato“,afferma il rapporto .

I dispositivi SD-WAN di Xspeeder, alimentati dal firmware principale SXZOS, sono stati presi di mira dagli agenti di intelligenza artificiale. Questi ultimi, spesso collocati in ambienti industriali e sedi remote, rappresentano nodi cruciali all’interno delle reti aziendali. Con l’obiettivo di emulare i dispositivi e acquisire un controllo non autorizzato, agli agenti fu assegnata una direttiva basilare. Ne derivarono risultati rapidi e dalle conseguenze devastanti. “Hanno identificato rapidamente un punto di ingresso RCE pre-auth completo e ci ha comunicato di aver trovato un modo per entrare”, hanno spiegato i ricercatori.

La vulnerabilità consente a un aggressore di eseguire comandi di sistema arbitrari senza mai effettuare l’accesso. Manipolando specifiche intestazioni HTTP, utilizzando in particolare uno User-Agent SXZ/2.3 e un’intestazione calcolata basata sul tempo X-SXZ-R, gli agenti sono riusciti a bypassare i controlli di sicurezza nel middleware Nginx del dispositivo.

La vulnerabilità è attualmente zero-day, il che significa che non esiste alcuna patch. Si dice che pwn.ai abbia tentato di contattare Xspeeder per oltre sei mesi per rivelare la falla in modo responsabile, ma non ha ricevuto risposta. “Abbiamo scelto questa come prima segnalazione perché, a differenza di altri fornitori, non siamo riusciti a ottenere alcuna risposta da XSpeeder nonostante oltre sette mesi di contatto”, si legge nel rapporto. “Di conseguenza, al momento della pubblicazione, questa rimane purtroppo una vulnerabilità zero-day”.

La mancanza di risposta da parte del fornitore risulta particolarmente preoccupante, considerando l’ampia diffusione di questi dispositivi. Secondo servizi di fingerprinting come Fofa, sono stati individuati numerosi sistemi esposti. In diverse aree geografiche del mondo, sono accessibili al pubblico decine di migliaia di sistemi che si basano su SXZOS, circostanza che rende questo firmware, e qualunque potenziale vulnerabilità che possa esporre, un’ampia superficie di rischio.

Fino al rilascio di una patch, le organizzazioni che utilizzano dispositivi Xspeeder SD-WAN sono invitate a isolare tali dispositivi dalla rete Internet pubblica per impedire potenziali compromissioni da parte di autori di minacce che potrebbero ora tentare di sfruttare i risultati.

Va evidenziato che la rivelazione del bug 0day risale a molti mesi fa; tuttavia, solo oggi l’azienda decide di parlarne ufficialmente, in base alla logica della divulgazione coordinata delle vulnerabilità, in modo da permettere al produttore di rilasciare la patch in totale sicurezza. E’ opportuno considerare che gli agenti intelligenti stanno progressivamente acquisendo importanza e saranno presto utilizzati per automatizzare le attività di scansione; nondimeno, è fondamentale tenere sempre presente i possibili impatti che potrebbero verificarsi in ambienti operativi.

L'articolo Uno sciame di Agenti AI trovano uno 0day da CVSS 10 nel firmware dei dispositivi Xspeeder proviene da Red Hot Cyber.

La generazione automatica di video tramite intelligenza artificiale ha compiuto un salto significativo il 25 dicembre 2025, quando l’Università di Tsinghua ha annunciato il rilascio open source di TurboDiffusion. Il framework, sviluppato dal laboratorio TSAIL in collaborazione con Shengshu Technology e Biological Mathematics, consente di ridurre drasticamente i tempi di creazione dei video mantenendo una qualità visiva quasi priva di perdita.

Secondo i dati diffusi dal team di ricerca, TurboDiffusion permette di accelerare la generazione video fino a 200 volte rispetto ai modelli di diffusione tradizionali. In uno scenario che fino a poco tempo fa richiedeva diversi minuti di elaborazione, oggi è possibile ottenere un video in circa due secondi utilizzando una singola scheda grafica di fascia alta.

I test condotti su una RTX 5090 mostrano un confronto diretto particolarmente indicativo: un video di 5 secondi in risoluzione 480P, basato su un modello da 1,3 miliardi di parametri, richiedeva in precedenza circa 184 secondi di calcolo. Con TurboDiffusion, lo stesso processo viene completato in 1,9 secondi, con un incremento di velocità pari a circa 97 volte.

L’effetto dell’ottimizzazione risulta evidente anche su modelli di dimensioni maggiori. Un modello immagine-video da 14 miliardi di parametri in risoluzione 720P può ora essere generato in 38 secondi, mentre versioni ottimizzate scendono a 24 secondi. La variante 480P dello stesso modello richiede meno di 10 secondi di elaborazione.

Le tecnologie alla base dell’accelerazione

Il rallentamento storico dei modelli di generazione video basati su Diffusion Transformer è legato a tre fattori principali: l’elevato numero di passaggi di campionamento, il costo computazionale dei meccanismi di attenzione e i limiti di memoria della GPU. TurboDiffusion affronta questi colli di bottiglia integrando quattro tecnologie complementari.

Il primo elemento è SageAttention2++, una tecnica di attenzione a bassa precisione che utilizza quantizzazione INT8 e INT4. Attraverso strategie di smoothing e quantizzazione a livello di thread, il sistema riduce il consumo di memoria e accelera il calcolo dell’attenzione da tre a cinque volte, senza impatti visibili sulla qualità del video generato.

A questa soluzione si affianca l’attenzione Sparse-Linear Attention (SLA), che combina la selezione dei pixel rilevanti con una complessità computazionale lineare. Poiché SLA è compatibile con la quantizzazione a basso bit, può essere applicata in parallelo a SageAttention, amplificando ulteriormente l’efficienza dell’inferenza.

Il terzo pilastro è la distillazione a stadi rCM. Grazie a questo approccio, modelli che richiedevano decine di iterazioni possono ora generare risultati comparabili in uno o quattro passaggi, riducendo drasticamente la latenza complessiva.

Infine, TurboDiffusion (disponibile su GitHub) introduce la quantizzazione W8A8 per i livelli lineari e l’uso di operatori personalizzati sviluppati in Tritone CUDA. Questa combinazione sfrutta pienamente i Tensor Core INT8 della RTX 5090 e riduce il sovraccarico delle implementazioni standard di PyTorch. L’integrazione delle quattro tecniche consente di ottenere incrementi di velocità complessivi fino a 200 volte.

Impatto industriale e prospettive applicative

L’accelerazione ottenuta non rappresenta solo un progresso sperimentale. La possibilità di generare video 720P in pochi secondi su una singola GPU rende l’uso di questi modelli accessibile anche a singoli creatori, piccole imprese e contesti consumer, riducendo al contempo i costi di inferenza su infrastrutture cloud.

Secondo i ricercatori, una riduzione della latenza di inferenza fino a 100 volte consente alle piattaforme SaaS di servire un numero di utenti proporzionalmente maggiore a parità di risorse. Questo apre la strada a nuovi scenari, come l’editing video in tempo reale, la generazione interattiva di contenuti e la produzione automatizzata di format audiovisivi basati su AI.

Le tecnologie sviluppate dal team TSAIL risultano inoltre compatibili con architetture di chip AI cinesi, grazie all’uso di bassa profondità di bit, strutture sparse e operatori personalizzabili. SageAttention, in particolare, è già stato integrato in TensorRT di NVIDIA e adottato da piattaforme come Huawei Ascend e Moore Threads S6000, oltre che da numerose aziende e laboratori internazionali.

L'articolo TurboDiffusion: Arriva la rivoluzione nella Generazione Video AI Open Source proviene da Red Hot Cyber.

OpenAI sta nuovamente discutendo la possibilità di introdurre la pubblicità in ChatGPT, questa volta sotto forma di cosiddetti contenuti sponsorizzati. Non si tratta di banner tradizionali, ma di contenuti che potrebbero apparire direttamente nelle risposte del modello e influenzare in modo sottile le scelte degli utenti.

Queste informazioni sono emerse dopo che The Information ha pubblicato un articolo su prototipi interni di formati pubblicitari.

Secondo alcune fonti, l’azienda starebbe valutando uno scenario in cui l’intelligenza artificiale darebbe priorità ai contenuti sponsorizzati per garantire che vengano visualizzati nelle risposte di ChatGPT. In uno dei mockup, queste informazioni venivano visualizzate in una barra laterale accanto alla finestra di dialogo principale.

In precedenza, nella versione beta 1.2025.329 dell’app Android ChatGPT erano presenti riferimenti a una “funzione pubblicitaria” con termini come “contenuto bazaar”, “annuncio di ricerca” e “carousel di annunci di ricerca”. In seguito, sono emerse segnalazioni secondo cui OpenAI avrebbe accantonato questi piani, decidendo di concentrarsi sulla qualità del prodotto a fronte della crescente concorrenza di Gemini. Tuttavia, nuovi dati suggeriscono che l’azienda non ha abbandonato completamente l’idea.

Un rappresentante di OpenAI ha confermato ai giornalisti che la pubblicità è effettivamente in fase di valutazione. Secondo lui, con la crescita delle capacità e del pubblico di ChatGPT, l’azienda sta cercando modi per rendere la sua intelligenza artificiale accessibile a un pubblico più ampio, e la pubblicità è considerata un’opzione. OpenAI sottolinea che gli utenti si fidano del chatbot e che qualsiasi decisione pubblicitaria deve tener conto di questa fiducia.

Se tali formati dovessero emergere, le implicazioni potrebbero estendersi ben oltre il servizio stesso. A differenza della ricerca tradizionale, ChatGPT conosce già molte più informazioni sul contesto dell’utente: interessi, stile di comunicazione, attività lavorative, obiettivi a lungo termine. Questo apre la strada a un nuovo livello di pubblicità personalizzata : consigli su prodotti e servizi che appariranno come parte di una normale risposta dell’intelligenza artificiale, piuttosto che come un annuncio pubblicitario palese.

In sostanza, ChatGPT potrebbe diventare uno strumento che non si limita a rispondere alle domande, ma spinge anche delicatamente gli utenti verso acquisti specifici, in modo simile agli annunci di Google, ma con una comprensione molto più approfondita dei singoli utenti. In teoria, tali annunci potrebbero anche apparire nei risultati di ricerca all’interno della chat, mascherati da aiuto o consiglio utile.

Non è ancora noto quando esattamente OpenAI lancerà la pubblicità e quale forma assumerà nel prodotto. Tuttavia, data la rapida crescita del servizio e l’aumento dei costi infrastrutturali, i primi esperimenti commerciali potrebbero iniziare già nella prima metà del 2026.

L'articolo Pubblicità dentro le risposte di ChatGPT: la fiducia degli utenti è a rischio? proviene da Red Hot Cyber.

Everyone generally knows about piston and rotary engines, with many a flamewar having been waged over the pros and cons of each design. The “correct” answer is thus to combine both into a single engine design. The resulting birotary engine comes courtesy of Czech company [Knob Engines] which makes their special engine for the aviation market. The workings of this engine and why it makes perfect sense for smaller airplanes is explained by [driving 4 answers] in a recent video.

Naturally, it’s at best confusing to call an engine a “rotary”, as this covers many types of engines. One could consider the birotary engine perhaps a cross between the traditional rotary piston engines that powered early aircraft and the Wankel rotary engines that would appear much later. The fact that both the housing and the crankshaft rotate reinforces this notion of a piston rotary, while it keeps the fixed ports and glow plugs on the housing that is typical of a Wankel-style engine. Having both the housing and crankshaft rotate is also why it’s called the ‘birotary’.

The claimed benefits of this design include a small size, low vibrations, reduced gyroscopic effect due to counter-rotation, no apex seals, and less mechanically complex than a piston engine. This comes at the cost of a very short stroke length and thus the need for a relatively high RPM and slow transition between power output levels, but those disadvantages are why small airplanes and UAVs are being targeted.

youtube.com/embed/lKM76zxCfiU?…

hackaday.com/2025/12/28/the-bi…

In almost every measurable way, a lossless digital audio file is superior to any analog media. This doesn’t mean that analog audio isn’t valuable though; plenty of people appreciate the compression, ambiance, and other side-effects of listening to a vinyl record or a cassette tape despite the technical limitations. To combine the audio technology of the modern world with these pleasant effects of old analog media, [Julius] built a cassette-based media streamer.

The music playback device takes input from a Bluetooth stream of some sort, converts the digital stream to analog, combines the stereo signal into a mono signal, and then records it to a cassette tape. The tape is then looped through to a playback device which outputs the sound to a single speaker. This has the effect of functioning as a tape delay device, and [Julius] did add input and output jacks to use it as such, but in its default state it has the effect of taking modern streaming through a real analog device and adding the compression and saturation that cassette tapes are known for.

The design of the device is impressive as well, showing off the tape loop and cassette front-and-center with a fluorescent vu meter on the side and a metal case. Getting all of this to work well together wasn’t entirely smooth, either, as [Julius] had to sort out a number of issues with the electronics to keep various electric noises out of the audio signal. Retro analog music players are having a bit of a resurgence right now, whether that’s as a revolt against licensed streaming services or as a way to experience music in unique ways, and our own [Kristina Panos] recently went down an interesting rabbit hole with one specific type of retro audio player.

youtube.com/embed/9MjZH790E20?…

hackaday.com/2025/12/28/stream…

righe attuali e inattuali
differx.noblogs.org/2025/12/29…

sulle #scritturediricerca e molto altro

Galileo - domenica sera DJ SET

Biella - Galileo - Via Galileo Galilei, 1, 13900 Biella BI
(domenica, 4 gennaio 21:30)

it's karaoke time!

caosbi.eu/event/galileo-domeni…

Over on YouTube [Lockdown Electronics] reviews an old bit of kit known as the Silicon Controlled Rectifier (SCR). Invented in the 1950s the SCR is a type of thyristor and they were popular back in the 1970s. They are often replaced these days by the TRIAC and the MOSFET but you might still find some old schematics that call for them and you can still buy them.

The SCR is a three terminal electronic switch which latches on. You apply a signal at the gate which allows the other two pins, the anode and cathode, to conduct; and they continue to do so until power is removed. The silicon inside the device is comprised of three semiconductor junctions, as: PNPN. The P on the left is the anode, the N on the right is the cathode, and the P in the right middle is the gate.

In the video [Lockdown Electronics] runs us through how to use them and compares them with a TRIAC. Unfortunately the lighting is a bit off for the demo of the SCR with AC power. To finish the video [Lockdown Electronics] wraps up with a windshield wiper control circuit from back in 1977 which is based around SCR technology. If you’d like to learn more about the SCR technology we have covered the basics.

youtube.com/embed/JmtR7_R62mM?…

hackaday.com/2025/12/28/retro-…

Meet the writer - Incontro con Erica Cassano

Candelo - Sala degli affreschi - Via Matteotti 48
(sabato, 17 gennaio 16:00)

Meet the writer è il ciclo di incontri con l'autore organizzato dalla Biblioteca del Liceo del Cossatese e Vallestrona grazie al contributo della Fondazione Cassa di Risparmio di Biella nell'ambito del Bando Eventi.

Oggi incontreremo Erica Cassano, autrice del libro "La grande sete" edito per Garzanti. Un esordio eccezionale, di una giovane autrice di cui siamo sicuri sentiremo parlare per molto tempo. Ad intervistarla, le ragazze e i ragazzi del progetto Biblioteca che dialogheranno con lei sul libro e sul mestiere della scrittrice. Sarà presente in sala un punto vendita per l'acquisto dei libri e per il firmacopie finale.

Breve sinossi del libro:

Anna ha sete. Tutta la città ha sete, da settimane. C'è chi li chiamerà i giorni della Grande Sete, e chi le ricorderà come le Quattro Giornate di Napoli. È il 1943 e l'acqua manca ovunque, tranne che nella casa in cui Anna vive con la sua famiglia. Mentre davanti alla Casa del Miracolo si snoda una fila di donne che chiede quanto basta per dissetarsi, lei si domanda come mai la sua sete le paia così insaziabile. Perché quella che Anna sente è diversa: è una sete di vita e di un futuro di riscatto. A vent'anni vorrebbe seguire le lezioni alla facoltà di Lettere, leggere, vivere in un mondo senza macerie, senza l'agguato continuo delle sirene antiaeree. Ma non c'è tempo per i sogni. Il padre è scomparso, la madre si è chiusa in sé stessa, la sorella e il nipote si sono ammalati. Il loro futuro dipende da lei. Così, quando ne ha l'opportunità, Anna accetta un impiego come segretaria presso la base americana di Bagnoli. Entra in un mondo che non conosce, incontra persone che provengono da una terra lontana, piena di promesse, che incanta e atterrisce allo stesso tempo, come tutte le promesse. La cosa più semplice sarebbe scappare, lasciarsi alle spalle gli anni dolorosi della guerra. Ma Anna non vuole che qualcun altro la salvi. Come Napoli si è liberata da sola, anche Anna deve trovare da sola la sua via di salvezza. La grande sete non è facile da soddisfare. Viene da dentro e parla di indipendenza e di amore per il sapere e, soprattutto, parla del coraggio necessario per farsi sentire in un mondo che non sa ascoltare.

caosbi.eu/event/meet-the-write…

The reason photographic darkrooms are needed is because almost any amount of light can ruin the film or the photographic paper before they are fixed. Until then these things are generally kept in sealed, light-proof containers until they are ready to be developed. But there are a few things that can ruin film even then, most notably because some types of film are sensitive to ionizing radiation as well as light. This was famously how [Henri Becquerel] discovered that uranium is radioactive, but the same effect can be used to take pictures of cosmic rays.

In [Becquerel]’s case, a plate of photographic material was essentially contaminated from uranium by accident, even though the plate was in a completely dark area otherwise. Cosmic rays are similar to this type of radiation in that they are also ionizing and will penetrate various materials even in places we might otherwise think of as dark. For this artistic and scientific experiment, [Gabriel] set up a medium-format digital camera in a completely dark room and set it to take a 41-minute exposure. The results are fairly impressive and are similar to [Becquerel]’s experiment except that [Gabriel] expected to see something whereas the elder scientist was more surprised.

Like cosmic rays or radiation from uranium, there is a lot flying around that is invisible to the human eye but that can be seen with the right equipment and some effort. Although [Gabriel] is using a camera with a fairly large sensor that we might not all have access to, in theory this could work with more off-the-shelf digital photography equipment or even film cameras. A while ago we even saw a build that used UV to see other invisible phenomena like electrical arcing.

hackaday.com/2025/12/28/photog…

A Gaza si continua a morire di Genocidio

Piazza Capranica - Piazza Capranica, 00186 Roma RM
(lunedì, 29 dicembre 15:00)

A GAZA SI CONTINUA A MORIRE DI GENOCIDIO

Autodeterminazione del Popolo Palestinese

Liberazione di Barghouti

Stop Genocidio e Apartheid

Stop rapporti con Israele

29 DICEMBRE
DALLE 15 ALLE 18
PIAZZA CAPRANICA (MONTECITORIO)

LIBERE CITTADINE PER LA PALESTINA
ASSOPACE PALESTINA
SANITARI PER GAZA

roma.convoca.la/event/a-gaza-s…

To make aerated concrete, add a foam-forming agent and stir in a significant amount of air. This serves to make the concrete significantly lighter, better insulating, and more resilient to fire. Making it can however be a bit of an issue, often requiring ingredients that aren’t purchased at the average DIY store. This is where [NightHawkInLight]’s method seems rather promising, requiring effectively only xanthan gum and dishwashing detergent.

For the small-scale demonstration, 15 grams of the thickening agent xanthan gum is mixed with enough alcohol to create a slurry. To this 60 mL of the detergent and 1 liter of water is added and mixed until the xanthan gum has absorbed all the moisture, which takes about 5-10 minutes. This mixture is then added to Portland cement with two parts cement to one part xanthan gum/detergent mixture and mixed for a while.

Of importance here is that this mixture will keep expanding in volume while mixing, so you have to have to keep an eye on the amount of air relative to concrete, as this will determine the strength and other properties of the final aerated concrete. If you continue past a certain point you will even create open-celled aerated concrete that’s completely porous, so you have to know what kind of concrete you want before you start mixing up a big batch.

The basic physics behind this approach seem fairly straightforward, with the air captured in soap bubbles by the detergent, reinforced by the xanthan gum to make them significantly more resilient. A normal concrete mixer seems to work fine, but a mixing rod or kitchen mixer seem to do a much better job at getting a predictable result.

After pouring the aerated cement mixture into a mold, it should be kept moist while it cures, as it is more fragile than typical concrete, but if done properly you can produce for example cinderblocks that are quite insulating, as well as something akin to AAC blocks, conceivably with even better performance.

youtube.com/embed/z4_GxPHwqkA?…

hackaday.com/2025/12/28/create…

Cantata anarchica per Fabrizio De Andrè

CSA Baraonda - Segrate, via Pacinotti 13
(sabato, 17 gennaio 18:30)

SABATO 17 GENNAIO
Cantata anarchica per Fabrizio De Andrè

Ore 18 - aprono le danze:
- Gruppo Vocale Femina di Audrey ANPI
- Coro di Micene
- Rebelot Cantieri Vocali

Presentazione campagna di azionariato popolare GFF - Collettivo di Fabbrica GKN

Ore 19.30 - Apericena Pop a cura di Baraonda Kidz (prenotazione obbligatoria a: baraonda.kids@gmail.com)

Ore 21 - CANTATA ANARCHICA - Porta la tua voce e il tuo strumento acustico

"Ci salverà il soldato che la guerra rifiuterà"

puntello.org/event/cantata-ana…

We scheduled four upcoming Cambridge/Somerville Pirate Meetups over the next two months:

• 1/10/2026, 2-4pm, 1369 Coffee House, 757 Mass. Ave., Cambridge;
• 1/25/2026, 3-5pm, Diesel Cafe, 257 Elm St., Somerville;
• 2/7/2026, 2-4pm, Tatte Bakery & Cafe, 318 Third St., Cambridge;
• 2/22/2026, 1-3pm, 37 Woodbine St., Somerville.

Click the links to go to their respective registration pages. Knowing how many people plan to attend helps to choose the right sized table.

Looking forward to meeting with fellow pirates in Camberville!

PS: You can also join our local mailing list.

masspirates.org/blog/2025/12/2…

Annunci di lavoro fraudolenti che promettono guadagni facili e lavoro da remoto continuano a inondare i social media, in particolare in Medio Oriente e Nord Africa. Con il pretesto di lavori part-time che non richiedono esperienza, i truffatori raccolgono dati personali ed estorcono denaro.

170 dollari per mettere “mi piace”

Secondo l’analisi di Group-IB, dietro tutto questo ci sono gruppi coordinati che si spacciano per marchi noti ed enti governativi. Il programma inizia con annunci pubblicati su piattaforme come Facebook, Instagram, TikTok e Telegram. Gli annunci sono progettati professionalmente, presentano loghi di aziende note, recensioni positive e promettono fino a 170 dollari per azioni semplici come “Mi piace”, recensioni e completamento di sondaggi.

Gli annunci sono localizzati per Paese e persino per dialetto, utilizzando valute locali e una terminologia familiare, il che li rende particolarmente persuasivi. Dopo aver risposto, l’utente viene indirizzato a un’app di messaggistica dove può comunicare con un “recruiter” che dovrebbe verificare le sue credenziali.

Una truffa ben congeniata

L’utente viene quindi indirizzato a un sito web falso, camuffato da portale di lavoro. Lì, gli viene chiesto di registrarsi, caricare documenti, inserire le informazioni bancarie e persino depositare denaro, apparentemente per attivare delle attività. Dopodiché, il controllo viene trasferito a un altro membro del gruppo, questa volta su Telegram, che supervisiona il “lavoro” e monitora gli ulteriori trasferimenti.

Per creare fiducia, spiegano gli analisti di Group-IB, i truffatori pagano piccole somme di denaro nelle fasi iniziali del loro piano. Tuttavia, poi convincono le vittime a pagare di più per attività più redditizie. Una volta che la somma diventa elevata, i pagamenti si interrompono, i conti scompaiono e tutti i contatti vengono interrotti. Identificare i truffatori diventa praticamente impossibile.

L’analisi di Group-IB mostra che questi schemi prendono di mira un vasto pubblico, dagli adolescenti agli anziani. Prendono di mira principalmente i paesi della regione MENA: Egitto, Emirati Arabi Uniti, Arabia Saudita, Algeria, Iraq, Giordania e altri. Il più delle volte, i siti web e i loghi di marketplace, banche e ministeri governativi vengono falsificati. I gruppi stessi operano in modo organizzato: gestiscono più account, replicano modelli di messaggistica e utilizzano gli stessi metodi per trasferire le vittime tra le piattaforme.

“Guadagni facili”: è sempre il preludio dello scam

Nel 2025, gli specialisti del Group-IB hanno identificato oltre 1.500 annunci di questo tipo, anche se la portata effettiva è probabilmente significativamente più elevata. Gli slogan utilizzati – “guadagna soldi dal tuo telefono”, “lavoro facile da casa”, “guadagni facili” – sono ripetuti in diverse versioni e in diversi Paesi.

I siti web scoperti condividono uno schema comune: un modulo di accesso, una finta interfaccia “task” e un collegamento rapido alle app di messaggistica. Gli account dei truffatori hanno nomi, foto e stili di comunicazione simili. Tutto ciò indica un’infrastruttura unificata che opera secondo un piano ben definito.

Questi annunci non sono tentativi isolati di inganno, ma piuttosto un sistema su larga scala con una struttura chiara e mirato a chi è finanziariamente vulnerabile.

Sfruttando la fiducia nei marchi e le caratteristiche intrinseche dei social media, i truffatori costruiscono una complessa catena di interazioni, in cui ogni fase è finalizzata al profitto.

Raccomandazioni

Per i privati:

• Evitate di condividere documenti sensibili con reclutatori non richiesti e non verificati. Nessuna azienda o ministero legittimo chiederà documenti d’identità, coordinate bancarie o depositi prima ancora di offrire un colloquio.
• Metti sempre in discussione le offerte irrealistiche di guadagni rapidi e alti con poco o nessuno sforzo.
• Verificare l’esistenza dell’azienda tramite siti web ufficiali o eventuali offerte di lavoro tramite portali di pubblicazione di annunci di lavoro affidabili come LinkedIn.
• Segnala gli annunci sospetti direttamente alla piattaforma di social media.

Per aziende e piattaforme:

• Rafforzare i processi di verifica degli annunci, in particolare per le categorie “lavoro”.
• Monitorare l’impersonificazione del marchio aziendale o dei ministeri.
• Avviare campagne di sensibilizzazione in più lingue per mettere in guardia i gruppi vulnerabili.

L'articolo 170 dollari per un like: la mega truffa dei “soldi facili” che sta svuotando i conti proviene da Red Hot Cyber.

È stata scoperta, come riportato in precedenza, una grave vulnerabilità in MongoDB che consente a un aggressore remoto, senza alcuna autenticazione, di accedere alla memoria non inizializzata del server. Al problema è stato assegnato l’identificatore CVE-2025-14847 e un punteggio CVSS di 8,7, che rappresenta un livello di gravità elevato.

Il bug Improper Handling of Length Parameter Inconsistency

L’errore CWE-130 è correlato all’elaborazione errata dei parametri di lunghezza dei dati. In alcune situazioni, il server non associa correttamente il valore di lunghezza specificato nell’intestazione alla quantità effettiva di dati trasferiti.

Ciò è dovuto al protocollo di scambio dati di compressione Zlib: se i campi di lunghezza nell’intestazione compressa non corrispondono al contenuto effettivo, MongoDB potrebbe restituire al client una posizione di memoria non inizializzata in precedenza.

In parole povere, una richiesta appositamente creata consente di leggere frammenti della RAM di un server senza effettuare l’accesso. Questi dati possono contenere lo stato interno del processo, puntatori, strutture di servizio o altre informazioni che facilitano ulteriori attacchi.

La vulnerabilità interessa un’ampia gamma di versioni di MongoDB Server:

• ramo 8.2 da 8.2.0 a 8.2.3
• ramo 8.0 da 8.0.0 a 8.0.16
• ramo 7.0 da 7.0.0 a 7.0.26
• ramo 6.0 da 6.0.0 a 6.0.26
• ramo 5.0 da 5.0.0 a 5.0.31
• ramo 4.4 da 4.4.0 a 4.4.29
• così come tutte le versioni di MongoDB Server 4.2, 4.0 e 3.6

Gli sviluppatori hanno già rilasciato aggiornamenti che risolvono il problema. Le correzioni sono disponibili nelle versioni 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 e 4.4.30. MongoDB sottolinea che lo sfruttamento della vulnerabilità è possibile lato client e non richiede credenziali, pertanto si consiglia di installare l’aggiornamento il prima possibile.

L’Exploit MongoBleed

MongoBleed viene eseguito prima dei controlli di autenticazione. Creando pacchetti di rete compressi e malformati, gli aggressori non autenticati possono ora indurre il server a gestire in modo errato le lunghezze dei messaggi decompressi, con il risultato che il server restituisce frammenti di memoria heap non inizializzati direttamente al client.

La causa principale risiede in message_compressor_zlib.cpp, dove il codice vulnerabile restituiva la dimensione del buffer allocato anziché la lunghezza effettiva dei dati decompressi. Questa falla sottile ma critica consente a payload sottodimensionati o malformati di esporre la memoria heap adiacente contenente informazioni sensibili, una vulnerabilità di buffer overflow analoga a Heartbleed .

Poiché la falla è raggiungibile prima dell’autenticazione e non richiede alcuna interazione da parte dell’utente, i server MongoDB esposti a Internet corrono un rischio immediato di sfruttamento.

Secondo Censys, attualmente sono circa 87.000 le istanze potenzialmente vulnerabili esposte in tutto il mondo, mentre la ricerca di Wiz indica che il 42% degli ambienti cloud ospita almeno un’istanza MongoDB vulnerabile.

Risorse online

Negli ultimi giorni sono stati pubblicati su GitHub diversi repository dedicati allo sfruttamento e alla rilevazione della CVE-2025-14847, una vulnerabilità critica di memory disclosure in MongoDB legata alla gestione della compressione zlib (flag OP_COMPRESSED).

Progetti come ProbiusOfficial/[url=https://www.redhotcyber.com/en/cve-details/?cve_id=CVE-2025-14847]CVE-2025-14847[/url]e cybertechajju/CVE-2025-14847_Exploit forniscono proof of concept ed exploit funzionanti che dimostrano come sia possibile estrarre dati sensibili direttamente dalla heap di istanze MongoDB vulnerabili, evidenziando l’impatto concreto del bug.

Accanto agli exploit, sono comparsi anche strumenti di detection e scanning, come onewinner/CVE-2025-14847 e Black1hp/mongobleed-scanner, pensati per individuare rapidamente sistemi esposti, molto utili in contesti di bug bounty, red teaming e security assessment.

Il repository Ashwesker/Blackash-CVE-2025-14847 completa il panorama offrendo un’ulteriore implementazione focalizzata sull’analisi della vulnerabilità.

Nel complesso, questa ondata di tool conferma l’elevata attenzione della community sulla falla e la sua pericolosità reale in scenari di produzione, soprattutto per database MongoDB esposti in rete o non adeguatamente aggiornati.

L'articolo L’Exploit MongoBleed è online: 87.000 istanze su internet a rischio compromissione proviene da Red Hot Cyber.

Ciaspolata di fine anno

Oasi Zegna - Bocchetto Sessera
(mercoledì, 31 dicembre 21:00)

L’appuntamento è alle ore 21:00 presso il Monticchio Camere e Sport, in località Bocchetto Sessera, per la distribuzione delle ciaspole e un breve briefing pre-partenza.

Alle 22:00 si partirà in direzione Chalet Massaro(Località Moncerchio), seguendo un itinerario guidato che attraversa boschi e radure illuminate dalla luna.

All’arrivo i partecipanti verranno accolti con vin brulè, tè caldo, spumante e panettone. A partire dalle 23:00, lo Chalet Massaro farà da scenografia a un concerto sulla neve, per attendere insieme la mezzanotte e dare il benvenuto al nuovo anno tra natura, musica e festeggiamenti.

La partecipazione alla serata ha un costo di 30 euro, comprensivo di noleggio ciaspole.

caosbi.eu/event/ciaspolata-di-…

There’s a seemingly unending list of modifications or upgrades you can make to a 3D printer. Most revolve around the mechanical side of things, many are simple prints or small add-ons. This upgrade is no small task: this 17-year-old hacker [Kai] took on designing and building his own 3D printer control motherboard, the Cheetah MX4 Mini.

He started the build by picking out the MCU to control everything. For that, he settled on the STM32H743, a fast chip with tons of support for all the protocols he could ask for, even as he was still nailing down the exact features to implement. For stepper drivers, [Kai] went with four TMC stepstick slots for silent motor control. There are provisions for sensorless homing and endstops, support for parallel and serial displays, and both USB-C and microSD card slots for receiving G-code. It can drive up to three fans as well as two high-amperage loads, such as for the heated bed.

All these features are packed into a board roughly the size of a drink coaster. Thanks to the STM32H743, the Cheetah MX4 Mini supports both Marlin and Klipper firmware, a smart choice that lets [Kai] leverage the massive amount of work that’s already gone into those projects.

One of the things that stood out about this project is the lengths to which [Kai] went to document what he did. Check out the day-by-day breakdown of the 86 hours that went into this build; reading through it is a fantastic learning aid for others. Thanks [JohnU] for sending in this tip! It’s great to see such an ambitious project not only taken on and accomplished, but documented along the way for others to learn from. This is a fantastic addition to the other 3D printer controllers we’ve seen.

hackaday.com/2025/12/28/cheeta…

LOUD HERTZ Drum and bass party @ Spazio Hydro

Biella - spazio Hydro - via Cernaia 46 Biella
(lunedì, 5 gennaio 22:00)

::Lunedì 5 gennaio 2026:: =>>>@spaziohydro

LOUD HERTZ Ritorna a biella, con il meglio della musica drum n bass!!

Vi aspettiamo per una notte di bassi profondi e ritmi frenetici💣

From 22:00 till late....ingresso con tessera Arci e sottoscrizione

caosbi.eu/event/loud-hertz-dru…

Spit on tha mic

Santa Cruz (by Rock Pub) - Viale mare Adriatico 6 Lido di Pomposa
(venerdì, 16 gennaio 21:00)

fuorinellanebbia.it/event/spit…

Presentazione de libro “ZAPATA VIVE! LA LUCHA SIGUE! Storia e memoria dei conflitti sociali in Messico”

Nuovo presidio San Giuliano - San Giuliano di Susa
(venerdì, 9 gennaio 18:00)

Venerdì 9 Gennaio alle ore 18 presso il Nuovo Presidio No Tav di San Giuliano, presentazione del libro "ZAPATA VIVE, LA LUCHA SIGUE! Storia e memoria dei conflitti sociali nel Messico contemporaneo", di Giovanni Confetto (Cronache Ribelli, 2024). La presentazione del libro sarà l'opportunità di dialogare con Giovanni Confetto, compagno del collettivo Nodo Solidale e storico che da tanti anni ormai vive in Messico, riguardo la complessa storia politica messicana del secolo scorso, tra la rivoluzione del 1910, l’eredità rivoluzionaria e "campesina" di Emiliano Zapata, fino ai conflitti sociali e territoriali del presente. Dalla più nota esperienza politica dell'EZLN fino alle innumerevoli comunità indigene e alle lotte territoriali contro megaprogetti nocivi come il Proyecto Integral Morelos (gasdotto) e il Tren Maya (progetto di treno turistico estrattivista e devastatore), cercheremo di riflettere sul rapporto tra storia e memoria, e la sua forza propulsiva nella creazione di forme di lotta e nella costruzione di mondi altri nel cuore del Messico contemporaneo. Un insieme di stimoli e racconti che sicuramente riverberano nella resistenza No Tav in Val di Susa, nella sua lotta passata, presente e futura. A seguito della presentazione, Apericena! Ci vediamo il 9 Gennaio a San Giuliano (Frazione S. Giuliano, 9, 10059 Susa, TO). Non mancate!

gancio.cisti.org/event/present…

Every system administrator worth their salt knows that the right way to coax changes to network infrastructure onto a production network is to first validate it on a Staging network: a replica of the Production (Prod) network. Meanwhile all the developers who are working on upcoming changes are safely kept in their own padded safety rooms in the form of Test, Dev and similar, where Test tends to be the pre-staging phase and Dev is for new-and-breaking changes. This is what anyone should use, and yet Cloudflare apparently deems itself too cool for such a rational, time-tested approach based on their latest outage.

In their post-mortem on the December 5th outage, they describe how they started doing a roll-out of a change to React Server Components (RSC), to allow for a 1 MB buffer to be used as part of addressing the critical CVE-2025-55182 in RSC. During this roll-out on Prod, it was discovered that a testing tool didn’t support the increased buffer size and it was decided to globally disable it, bypassing the gradual roll-out mechanism.

This follows on the recent implosion at Cloudflare when their brand-new, Rust-based FL2 proxy keeled over when it encountered a corrupted input file. This time, disabling the testing tool created a condition in the original Lua-based FL1 where a NIL value was encountered, after which requests through this proxy began to fail with HTTP 500 errors. The one saving grace here is that the issue was detected and corrected fairly quickly, unlike when the FL2 proxy fell over due to another issue elsewhere in the network and it took much longer to diagnose and fix.

Aside from Cloudflare clearly having systemic issues with actually testing code and validating configurations prior to ‘testing’ on Prod, this ought to serve as a major warning to anyone else who feels that a ‘quick deployment on Prod’ isn’t such a big deal. Many of us have dealt with companies where testing and development happened on Staging, and the real staging on Prod. Even if it’s management-enforced, that doesn’t help much once stuff catches on fire and angry customers start lighting up the phone queue.

hackaday.com/2025/12/28/cloudf…

Bagna Caöda Beneft Cassa Antirepressione Alpi Occidentali

Centro Sociale Via Lequio Pinerolo - Via Lequio 26, Pinerolo
(martedì, 6 gennaio 12:30)

Bagna Caöda Beneft Cassa Antirepressione Alpi Occidentali dalle ore 12:30 Presso il centro sociale di Via Lequio 26 a Pinerolo. Per prenotazioni inviare un sms preferibilmente entro il 03/01/2026 al +39 3293791492

gancio.cisti.org/event/bagna-c…

Officine Naturali. Autoproduzione Erboristica

CSOA Forte Prenestino - via Federico delpino, Roma, Italy
(mercoledì, 14 gennaio 19:00)

li appuntamenti sono previsti a partire dal 22 Ottobre 2025, il Mercoledì pomeriggio, dalle ore 19:00 alle ore 21:00.

INFO COMPLETE NEL LEGGI TUTTO!

Anche quest’anno vorremmo realizzare una formazione di autoproduzione di base Erboristica e Fitocosmetica.

Durante le formazioni completeremo il percorso intrapreso lo scorso anno ed impareremo insieme a utilizzare le erbe per la formulazione di tisane ad azione specifica per lavorare in maniera mirata sui singoli apparati (nervoso, osteoarticolare, genitale, respiratorio, etc.), a realizzare tantissime formulazioni (idrolati, paste, burri labbra, spray per la gola etc.) e introdurremo importanti discipline parallele e complementari all’Erboristeria come Apiterapia (con uscite di approfondimento su campo), Idroterapia e Argilloterapia.

*La partecipazione agli incontri è libera, a sottoscrizione, ed è possibile per chi lo desidera seguire tutta l’esperienza formativa o anche solo singole giornate.

*Gli incontri si terranno nel nostro laboratorio (p.zza d'armi a destra), gli incontri con ospiti invece nella sala cinema.

*Per maggiori info passate a trovarci o scrivete sulla pagina FB (Officine Naturali).

PERCORSO FORMATIVO:

-12 NOVEMBRE 2025 Impacchi e compresse e cataplasmi di erbe.

Preparazione di compresse calde, fredde e derivate. Applicazioni cutanee a base di idroliti. Differenze tra impacchi e cataplasmi. Preparazione e usi del cataplasma di semi di lino.

-19 NOVEMBRE 2025 Incontro sulla coltivazione raccolta e usi dello Zafferano con Alex Tombolillo.

- 26 NOVEMBRE 2025 Pomate: Paste Galeniche

Preparazione ed uso delle paste galeniche. Formulazione del linimento noto come “Pasta di Hoffman”. Pomate galeniche a uso specifico per: dermatiti, varici, ustioni, etc.

-3 DICEMBRE 2025 Incontro sulla Medicina Tradizionale Latinoamericana con Carmen Tersa Vazquez.

-10 DICEMBRE 2025 Idroterapia

Bagni, semicupi ed altri usi del solvente acqua. Introduzione all’Idroterapia: i bagni aromatici e i semicupi Metodo Kneipp e dei semicupi con frizione, noti come “bagni derivativi”.

-14 GENNAIO 2026 Argilloterapia

Argilla da bere (legislazione relativa) e cataplasmi d’argilla. Argille: tipologie, impieghi e proprietà. Tecniche per depurare l’organismo con le argille. Latte d’argilla ed acque d’argilla.

-21 GENNAIO 2026 PH e Conservazione Naturale

Tecniche di misurazione e regolazione del pH nelle preparazioni. Conservanti naturali ad uso alimentare: formulazioni, dosaggi e norme d’uso.

-28 GENNAIO 2026 Incontro sulla Medicina Tradizionale Cinese con Raniero Iacobucci.

-4 FEBBRAIO 2026 Colliri e Riabilitazione Visiva

Formulazione dei colliri e trattamento delle infiammazioni oculari. La riabilitazione visiva: tecniche ed esercizi per una corretta funzionalità della vista. Formulazione di colliri e preparazioni oculari

-11 FEBBRAIO 2026 Trattamenti Nasali e Auricolari

. Tecniche di pulizia e di purificazione nasale e auricolare. Irrigazioni e lavaggi nasali. Formulazione e applicazione di gocce e rimedi auricolari. Buone norme igieniche e tecniche sconsigliate.

-18 FEBBRAIO 2026 Collutori, Trattamenti Buccali e Spray per la Gola

Igiene orale e disinfezione: preparazione e impiego dei collutori Trattamenti per il mal di gola. Spray orali ad azione specifica: formulazione e posologia.

-25 FEBBRAIO 2026 Incontro sulla Medicina Tradizionale Ayurvedica con Luca D’Alessandro.

-4 MARZO 2026 Capsule e Integratori

Erbe in polvere per la realizzazione di integratori naturali. Introduzione agli integratori norme, impiego preparazione, confezionamento e posologia delle capsule.

-25 MARZO 2026 Incontro sulla Medicina Tradizionale Mediterranea con Paolo Ospici.

-15 APRILE 2026 Apiterapia: Miele, Propolis, Pappa Reale e Polline.

La vita dell’alveare e le risorse dell’Apiterapia: miele, polline, propolis e pappa reale. Formulazione della tintura madre di propolis e applicazione dell’apiterapia in erboristica.

-22 APRILE 2026 Incontro sul riconoscimento, raccolta e usi delle erbe spontanee con Marco Sarandrea.

-6 MAGGIO 2026 Oli essenziali

Introduzione agli oli essenziali, caratteristiche, indicazioni e controindicazioni. Essenze in relazione ai vettori, somministrazione a uso interno e bagni aromaterapeutici.

-13 MAGGIO 2025 Incontro con lo Sportello di Ascolto Nutrizionale: focus su prevenzione e salute donna a cura di Foodopia e Rock the food.

roma.convoca.la/event/officine…

Gancio de Roma

2025-12-28 10:14:32

Officine Naturali. Autoproduzione Erboristica

Inizia: Mercoledì Gennaio 14, 2026 @ 7:00 PM GMT+01:00 (Europe/Rome)

Finisce: Mercoledì Gennaio 14, 2026 @ 9:00 PM GMT+01:00 (Europe/Rome)

li appuntamenti sono previsti a partire dal 22 Ottobre 2025, il Mercoledì pomeriggio, dalle ore 19:00 alle ore 21:00.

INFO COMPLETE NEL LEGGI TUTTO!

Anche quest’anno vorremmo realizzare una formazione di autoproduzione di base Erboristica e Fitocosmetica.

Durante le formazioni completeremo il percorso intrapreso lo scorso anno ed impareremo insieme a utilizzare le erbe per la formulazione di tisane ad azione specifica per lavorare in maniera mirata sui singoli apparati (nervoso, osteoarticolare, genitale, respiratorio, etc.), a realizzare tantissime formulazioni (idrolati, paste, burri labbra, spray per la gola etc.) e introdurremo importanti discipline parallele e complementari all’Erboristeria come Apiterapia (con uscite di approfondimento su campo), Idroterapia e Argilloterapia.

*La partecipazione agli incontri è libera, a sottoscrizione, ed è possibile per chi lo desidera seguire tutta l’esperienza formativa o anche solo singole giornate.

*Gli incontri si terranno nel nostro laboratorio (p.zza d'armi a destra), gli incontri con ospiti invece nella sala cinema.

*Per maggiori info passate a trovarci o scrivete sulla pagina FB (Officine Naturali).

PERCORSO FORMATIVO:

-12 NOVEMBRE 2025 Impacchi e compresse e cataplasmi di erbe.

Preparazione di compresse calde, fredde e derivate. Applicazioni cutanee a base di idroliti. Differenze tra impacchi e cataplasmi. Preparazione e usi del cataplasma di semi di lino.

-19 NOVEMBRE 2025 Incontro sulla coltivazione raccolta e usi dello Zafferano con Alex Tombolillo.

- 26 NOVEMBRE 2025 Pomate: Paste Galeniche

Preparazione ed uso delle paste galeniche. Formulazione del linimento noto come “Pasta di Hoffman”. Pomate galeniche a uso specifico per: dermatiti, varici, ustioni, etc.

-3 DICEMBRE 2025 Incontro sulla Medicina Tradizionale Latinoamericana con Carmen Tersa Vazquez.

-10 DICEMBRE 2025 Idroterapia

Bagni, semicupi ed altri usi del solvente acqua. Introduzione all’Idroterapia: i bagni aromatici e i semicupi Metodo Kneipp e dei semicupi con frizione, noti come “bagni derivativi”.

-14 GENNAIO 2026 Argilloterapia

Argilla da bere (legislazione relativa) e cataplasmi d’argilla. Argille: tipologie, impieghi e proprietà. Tecniche per depurare l’organismo con le argille. Latte d’argilla ed acque d’argilla.

-21 GENNAIO 2026 PH e Conservazione Naturale

Tecniche di misurazione e regolazione del pH nelle preparazioni. Conservanti naturali ad uso alimentare: formulazioni, dosaggi e norme d’uso.

-28 GENNAIO 2026 Incontro sulla Medicina Tradizionale Cinese con Raniero Iacobucci.

-4 FEBBRAIO 2026 Colliri e Riabilitazione Visiva

Formulazione dei colliri e trattamento delle infiammazioni oculari. La riabilitazione visiva: tecniche ed esercizi per una corretta funzionalità della vista. Formulazione di colliri e preparazioni oculari

-11 FEBBRAIO 2026 Trattamenti Nasali e Auricolari

. Tecniche di pulizia e di purificazione nasale e auricolare. Irrigazioni e lavaggi nasali. Formulazione e applicazione di gocce e rimedi auricolari. Buone norme igieniche e tecniche sconsigliate.

-18 FEBBRAIO 2026 Collutori, Trattamenti Buccali e Spray per la Gola

Igiene orale e disinfezione: preparazione e impiego dei collutori Trattamenti per il mal di gola. Spray orali ad azione specifica: formulazione e posologia.

-25 FEBBRAIO 2026 Incontro sulla Medicina Tradizionale Ayurvedica con Luca D’Alessandro.

-4 MARZO 2026 Capsule e Integratori

Erbe in polvere per la realizzazione di integratori naturali. Introduzione agli integratori norme, impiego preparazione, confezionamento e posologia delle capsule.

-25 MARZO 2026 Incontro sulla Medicina Tradizionale Mediterranea con Paolo Ospici.

-15 APRILE 2026 Apiterapia: Miele, Propolis, Pappa Reale e Polline.

La vita dell’alveare e le risorse dell’Apiterapia: miele, polline, propolis e pappa reale. Formulazione della tintura madre di propolis e applicazione dell’apiterapia in erboristica.

-22 APRILE 2026 Incontro sul riconoscimento, raccolta e usi delle erbe spontanee con Marco Sarandrea.

-6 MAGGIO 2026 Oli essenziali

Introduzione agli oli essenziali, caratteristiche, indicazioni e controindicazioni. Essenze in relazione ai vettori, somministrazione a uso interno e bagni aromaterapeutici.

-13 MAGGIO 2025 Incontro con lo Sportello di Ascolto Nutrizionale: focus su prevenzione e salute donna a cura di Foodopia e Rock the food.