Ever wondered what happens when you insert a bill into a vending machine? [Janne] is back with his latest project: reverse engineering a banknote validator. Curious about how these common devices work, he searched for information but found few resources explaining their operation.
To learn more, [Janne] explored the security features that protect banknotes from counterfeiting. These can include microprinting, UV and IR inks, holograms, color-shifting coatings, watermarks, magnetic stripes, and specialty paper. These features not only deter fraud but also enable validators to quickly verify a bill’s authenticity.
[Janne] purchased several banknote validators to disassemble and compare. Despite varied exteriors, their core mechanisms were similar: systems to move the bill smoothly, a tape head to detect magnetic ink or security strips, and optical sensors to inspect visible, UV, and IR features. By reverse engineering the firmware of two devices, he uncovered their inner workings. There is a calibration procedure they use to normalize their readings, then it will analyze a bill through a sophisticated signal processing pipeline. If the data falls within a narrow acceptance range, the device authenticates the bill; otherwise, it rejects it.
Head over to his site to check out all the details he discovered while exploring these devices, as well as exploring the other cool projects he’s worked on in the past. Reverse engineering offers a unique window into technology Check out other projects we’ve featured showcasing this skill.
Did artificial intelligence just jump the shark? Maybe so, and it came from the legal world of all places, with this report of an AI-generated victim impact statement. In an apparent first, the family of an Arizona man killed in a road rage incident in 2021 used AI to bring the victim back to life to testify during the sentencing phase of his killer’s trial. The video was created by the sister and brother-in-law of the 37-year-old victim using old photos and videos, and was quite well done, despite the normal uncanny valley stuff around lip-syncing that seems to be the fatal flaw for every deep-fake video we’ve seen so far. The victim’s beard is also strangely immobile, which we found off-putting.
In the video, the victim expresses forgiveness toward his killer and addresses his family members directly, talking about things like what he would have looked like if he’d gotten the chance to grow old. That seemed incredibly inflammatory to us, but according to Arizona law, victims and their families get to say pretty much whatever they want in their impact statements. While this appears to be legal, we wouldn’t be surprised to see it appealed, since the judge tacked an extra year onto the killer’s sentence over what the prosecution sought based on the power of the AI statement. If this tactic withstands the legal tests it’ll no doubt face, we could see an entire industry built around this concept.
Last week, we warned about the impending return of Kosmos 482, a Soviet probe that was supposed to go to Venus when it was launched in 1972. It never quite chooched, though, and ended up circling the Earth for the last 53 years. The satellite made its final orbit on Saturday morning, ending up in the drink in the Indian Ocean, far from land. Alas, the faint hope that it would have a soft landing thanks to the probe’s parachute having apparently been deployed at some point in the last five decades didn’t come to pass. That’s a bit of a disappointment to space fans, who’d love to get a peek inside this priceless bit of space memorabilia. Roscosmos says they monitored the descent, so presumably they know more or less where the debris rests. Whether it’s worth an expedition to retrieve it remains to be seen.
Are we really at the point where we have to worry about counterfeit thermal paste? Apparently, yes, judging by the effort Arctic Cooling is putting into authenticity verification of its MX brand pastes. To make sure you’re getting the real deal, boxes will come with seals that rival those found on over-the-counter medications and scratch-off QR codes that can be scanned and cross-referenced to an online authentication site. We suppose it makes sense; chip counterfeiting is a very real thing, after all, and it’s probably as easy to put a random glob of goo into a syringe as it is to laser new markings onto a chip package. And Arctic compound commands a pretty penny, so the incentive is obvious. But still, something about this just bothers us.
Another very cool astrophotography shot this week, this time a breathtaking collection of galaxies. Taken from the Near Infrared camera on the James Webb Space Telescope with help from the Hubble Space Telescope and the XMM-Newton X-ray space observatory, the image shows thousands of galaxies of all shapes and sizes, along with the background X-ray glow emitted by all the clouds of superheated dust and gas between them. The stars with the characteristic six-pointed diffraction spikes are all located within our galaxy, but everything else is a galaxy. The variety is fascinating, and the scale of the image is mind-boggling. It’s galactic eye candy!
And finally, if you’ve ever wondered about what happens when a nuclear reactor melts down, you’re in luck with this interesting animagraphic on the process. It’s not a detailed 3D render of any particular nuclear power plant and doesn’t have a specific meltdown event in mind, although it does mention both Chernobyl and Fukushima. Rather, it’s a general look at pressurized water reactors and what can go wrong when the cooling water stops flowing. It also touches on potentially safer designs with passive safety systems that rely on natural convection to keep cooling water circulating in the event of disaster, along with gravity-fed deluge systems to cool the containment vessel if things get out of hand. It’s a good overview of how reactors work and where they can go wrong. Enjoy.
Pop quiz: are http://example[.]com and https://example[.]com same-site origins?
Bwahahaha trick question. The answer is "it depends" on both feature and browser 🥲
I updated my already endless CSRF background (which I promise I'll turn into a newsletter issue once I stop editing it) but the proposed design is unaffected.
Background Cross Site Request Forgery (CSRF) is a confused deputy attack where the attacker causes the browser to send a request to a target using the ambient authority of the user’s cookies or net...
I don't do plugs often, but if your company relies on work like this being done professionally, Geomys (geomys.org) is how it happens.
You should help us get a contract. You don't need to have spending authority! Just DM me, do an intro, and we'll drive the process. We're pretty good at it.
Part of our job is stepping in to ensure Go is a robust, secure platform to build on. We did it for x/crypto/ssh and bluemonday, now we're doing it for unmaintained and vulnerable CSRF libraries.
As much as I hate some aspects of fancy modern web development - I do like that using fetch() with JSON data instead of posting with a form pretty much removes these CSRF hacks from being needed on the server side.
You normally think of ELINT — Electronic Intelligence — as something done in secret by shadowy three-letter agencies or the military. The term usually means gathering intelligence from signals that don’t contain speech (since that’s COMINT). But [Nukes] was looking at public data from NASA’s SMAP satellite and made an interesting discovery. Despite the satellite’s mission to measure soil moisture, it also provided data on strange happenings in the radio spectrum.
While 1.4 GHz is technically in the L-band, it is reserved (from 1.400–1.427 GHz) for specialized purposes. The frequency is critical for radio astronomy, so it is typically clear other than low-power safety critical data systems that benefit from the low potential for interference. SMAP, coincidentally, listens on 1.41 GHz and maps where there is interference.
Since there aren’t supposed to be any high-power transmitters at that frequency, you can imagine that anything showing up there is probably something unusual and interesting. In particular, it is often a signature for military jamming since nearby frequencies are often used for passive radar and to control drones. So looking at the data can give you a window on geopolitics at any given moment.
The data is out there, and a simple Python script can pull it. We imagine this is the kind of data that only a spook in a SCIF would have had just a decade or two ago.
Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence. Nel post pubblicato nelle underground dai criminali informatici viene riportato che la gang è in possesso di 100GB di dati, esfiltrati dalle infrastrutture IT del comune. Minacciano la pubblicazione tra 14 giorni.
In quella data ci sarà un aggiornamento del post. Sicuramente la gang in quella data potrà pubblicare una parte dei dati in loro possesso per aumentare la pressione sulla vittima.
I criminali informatici, per poter attestare che l’accesso alle infrastrutture informatiche è avvenuto con successo, riportano una serie di documenti (samples) afferenti all’azienda. Questo modo di agire – come sanno i lettori di RHC – generalmente avviene quando ancora non è stato definito un accordo per il pagamento del riscatto richiesto da parte dei criminali informatici. In questo modo, i criminali minacciando la pubblicazione dei dati in loro possesso, aumenta la pressione verso l’organizzazione violata, sperando che il pagamento avvenga più velocemente.
Come spesso riportiamo, l’accesso alle Darknet è praticabile da qualsiasi persona che sappia utilizzare normalmente un PC. Questo è importante sottolinearlo in quanto molti sostengono il contrario, spesso nei comunicati dopo la pubblicazione dei dati delle cybergang ransomware e tali informazioni sono pubblicamente consultabili come fonti aperte.
Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.
RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.
Cos’è il ransomware as a service (RaaS)
Il ransomware, è una tipologia di malware che viene inoculato all’interno di una organizzazione, per poter cifrare i dati e rendere indisponibili i sistemi. Una volta cifrati i dati, i criminali chiedono alla vittima il pagamento di un riscatto, da pagare in criptovalute, per poterli decifrare.
Qualora la vittima non voglia pagare il riscatto, i criminali procederanno con la doppia estorsione, ovvero la minaccia della pubblicazione di dati sensibili precedentemente esfiltrati dalle infrastrutture IT della vittima.
Per comprendere meglio il funzionamento delle organizzazioni criminali all’interno del business del ransomware as a service (RaaS), vi rimandiamo a questi articoli:
Le infezioni da ransomware possono essere devastanti per un’organizzazione e il ripristino dei dati può essere un processo difficile e laborioso che richiede operatori altamente specializzati per un recupero affidabile, e anche se in assenza di un backup dei dati, sono molte le volte che il ripristino non ha avuto successo.
Infatti, si consiglia agli utenti e agli amministratori di adottare delle misure di sicurezza preventive per proteggere le proprie reti dalle infezioni da ransomware e sono in ordine di complessità:
Formare il personale attraverso corsi di Awareness;
Utilizzare un piano di backup e ripristino dei dati per tutte le informazioni critiche. Eseguire e testare backup regolari per limitare l’impatto della perdita di dati o del sistema e per accelerare il processo di ripristino. Da tenere presente che anche i backup connessi alla rete possono essere influenzati dal ransomware. I backup critici devono essere isolati dalla rete per una protezione ottimale;
Mantenere il sistema operativo e tutto il software sempre aggiornato con le patch più recenti. Le applicazioni ei sistemi operativi vulnerabili sono l’obiettivo della maggior parte degli attacchi. Garantire che questi siano corretti con gli ultimi aggiornamenti riduce notevolmente il numero di punti di ingresso sfruttabili a disposizione di un utente malintenzionato;
Mantenere aggiornato il software antivirus ed eseguire la scansione di tutto il software scaricato da Internet prima dell’esecuzione;
Limitare la capacità degli utenti (autorizzazioni) di installare ed eseguire applicazioni software indesiderate e applicare il principio del “privilegio minimo” a tutti i sistemi e servizi. La limitazione di questi privilegi può impedire l’esecuzione del malware o limitarne la capacità di diffondersi attraverso la rete;
Evitare di abilitare le macro dagli allegati di posta elettronica. Se un utente apre l’allegato e abilita le macro, il codice incorporato eseguirà il malware sul computer;
Non seguire i collegamenti Web non richiesti nelle e-mail;
Esporre le connessione Remote Desktop Protocol (RDP) mai direttamente su internet. Qualora si ha necessità di un accesso da internet, il tutto deve essere mediato da una VPN;
Implementare sistemi di Intrusion Prevention System (IPS) e Web Application Firewall (WAF) come protezione perimetrale a ridosso dei servizi esposti su internet.
Implementare una piattaforma di sicurezza XDR, nativamente automatizzata, possibilmente supportata da un servizio MDR 24 ore su 24, 7 giorni su 7, consentendo di raggiungere una protezione e una visibilità completa ed efficace su endpoint, utenti, reti e applicazioni, indipendentemente dalle risorse, dalle dimensioni del team o dalle competenze, fornendo altresì rilevamento, correlazione, analisi e risposta automatizzate.
Sia gli individui che le organizzazioni sono scoraggiati dal pagare il riscatto, in quanto anche dopo il pagamento le cyber gang possono non rilasciare la chiave di decrittazione oppure le operazioni di ripristino possono subire degli errori e delle inconsistenze.
La sicurezza informatica è una cosa seria e oggi può minare profondamente il business di una azienda.
Oggi occorre cambiare immediatamente mentalità e pensare alla cybersecurity come una parte integrante del business e non pensarci solo dopo che è avvenuto un incidente di sicurezza informatica.
Un grave attacco informatico ha colpito l’infrastruttura digitale dell’Università nella notte tra l’8 e il 9 maggio, causando l’interruzione improvvisa dei servizi online dell’Ateneo, inclusi siti istituzionali e piattaforme essenziali per studenti e personale docente.
Al momento è presente sul sito dell’università il seguente comunicato che mette offline il sito istituzionale. Secondo quanto riportato dall’Ateneo stesso in una comunicazione ufficiale, il primo allarme è scattato nella notte dell’8 maggio, quando i servizi informatici hanno smesso improvvisamente di funzionare. Già nelle ore notturne, l’Area Sistemi Informativi ha attivato i protocolli di emergenza, allertando l’Agenzia per la Cybersicurezza Nazionale (ACN) e la Polizia Postale, che si sono recate sul posto per le indagini.
Le operazioni di analisi e contenimento si sono protratte fino alle ore 2:00 del mattino successivo, consentendo di confermare la gravità dell’attacco e di avviare una prima valutazione dei danni all’infrastruttura digitale.
La Direzione 5 e la Direzione 7, insieme ai tecnici informatici dell’Università, sono al lavoro per il ripristino completo delle piattaforme, con l’obiettivo dichiarato di riportare online i principali servizi entro la giornata di lunedì.
Tra i sistemi prioritari:
Contabilità
Protocollo informatico
IRIS (archivio della ricerca)
Segreteria studenti (GOMP)
Proprio la piattaforma GOMP, fondamentale per studenti e docenti, è tornata accessibile già dalla serata del 9 maggio.
Mentre permangono difficoltà su alcuni fronti, la posta elettronica istituzionale risulta pienamente funzionante. Gli utenti possono accedervi utilizzando le proprie credenziali nei formati nome.cognome@stud.uniroma3.it (per gli studenti) e ncognome@os.uniroma3.it (per il personale). L’Ateneo ha promesso aggiornamenti continui sull’evoluzione della situazione e sui tempi di ripristino attraverso i canali ufficiali Attacco informatico sull'infrastruttura dell'Ateneo
Nella notte dell’8 maggio, si è registrata una interruzione dei servizi informatici di Ateneo. A seguito delle operazioni di verifica effettuate già nella notte e proseguite per tutta la mattina del 9 si è potuto constatare che l'infrastruttura dell'Ateneo è stata oggetto di un grave attacco informatico che ha reso inaccessibili i siti web di Ateneo.
Immediatamente dopo aver rilevato l'attacco, l'Area Sistemi Informativi ha contattato l'Agenzia per la Cybersicurezza Nazionale e la Polizia Postale che si sono prontamente recate presso le nostre sedi per attivare tutte le azioni necessarie. Tali procedure si sono protratte fino alle ore 02.00 di questa notte e sono state fondamentali per comprendere l'entità dell'attacco, valutare i danni e iniziare il processo di ripristino.
La Direzione 5 e la Direzione 7 stanno lavorando anche in queste ore per garantire il ripristino dei servizi principali entro la giornata di lunedì.
Tra questi, particolare attenzione è stata dedicata ai servizi di contabilità, protocollo informatico, Iris e segreteria studenti, fondamentali per la gestione amministrativa dell'Università. L’attività eseguita ha permesso, già dalla serata del 9, l’accesso a studenti e docenti ai servizi di segreteria (GOMP).
Ci scusiamo per il disagio, tutto il settore tecnico informatico è impegnato per il ripristino, seguiranno comunicazioni sui progressi nella riattivazione dei servizi.
La posta elettronica di Ateneo è funzionante, per poter accedere fare click qui ed inserire le credenziali tipo mrossi@os.uniroma3.it o mar.rossi@stud.uniroma3.it. Come nostra consuetudine, lasciamo spazio ad una dichiarazione dell’azienda qualora voglia darci degli aggiornamenti su questa vicenda e saremo lieti di pubblicarla con uno specifico articolo dando risalto alla questione.
RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono accedere utilizzare la mail crittografata del whistleblower.
Un grave attacco hacker ha colpito l'infrastruttura IT dell'università Roma Tre, bloccando i servizi digitali. Ripristino in corso, posta elettronica funzionante.
3D printed in-place mechanisms and flexures, such as living hinges, are really neat when you can get them to print correctly. But how do you actually do that? YouTuber [Slant 3D] is here with a helpful video demonstrating the different kinds of springs and hinges (Video, embedded below) that can be printed reliably, and discusses some common pitfalls and areas to concentrate upon.
Living hinges are everywhere and have been used at least as long as humans have been around. The principle is simple enough; join two sections to move with a thinned section of material that, in small sections, is flexible enough to distort a few times without breaking off. The key section is “a few times”, as all materials will eventually fail due to overworking. However, if this thing is just a cheap plastic case around a low-cost product, that may not be a huge concern. The video shows a few ways to extend flexibility, such as spreading the bending load across multiple flexure elements to reduce the wear of individual parts, but that comes at the cost of compactness.
Moving on from springs, the second part of the video describes a few strategies for print-in-place hinges, describing how they fail, and what to do to mitigate. Again, robustness comes at a cost, in this case, increased bulk, but with 3D printing, you get what you pay for. Overall, it’s a nice, concise guide to the topic and well worth a mere seventeen minutes of your time, we reckon.
Il Parlamento Europeo contro il blocco degli aiuti umanitari a #Gaza
Con un’ampia maggioranza – dalla sinistra di The Left e Verdi al Ppe e ai Socialisti, fino a Renew Europe – il Parlamento Europeo ha preso posizione contro il blocco degli aiuti umanitari a Gaza imposto dal governo israeliano. Paradossalmente (o no?) le destre "provita" in questo caso si dimostrano pro-genocidio, in sostegno al criminale Netanyahu, ricercato dalla CPI
The RP2350 has a few advantages over its predecessor, one of which is the ability to load firmware remotely via UART, as [Thomas Pfilser] has documented on his blog and in the video below.
[Thomas] had a project that needed more PWM than the RP2350 could provide, and hit upon the idea of using a second RP2350 as a port expander. Now, one could hard-code this, but dealing with two sets of firmware on one board can be annoying. That’s where the UART bootloader comes in: it will allow [Thomas] to program the port-expander RP2350 using the main microcontroller. Thus he only has to worry about one firmware, speeding up development.
There are limits to this technique: for one, your code must fit into the RP2350’s RAM– but the chip has 512 kB. While 640 kB should be enough for anyone, 512 kB is plenty for the port-expander [Thomas] is working on. The second drawback is that your device now has a boot time of a second or so, since the UART connection is not exactly high-bandwidth. Third, using UART on the same pins as the bootloader within the program is a bit tricky, though [Thomas] found a solution that may soon be in the SDK.
[Thomas] also wanted to be able to perform this trick remotely, which isn’t exactly UART’s forte. RS-485 comes to the rescue, via TI’s THVD1450. That worked reliably at the 10m cable length used for the test. [Thomas] sees no reason it could not work over much longer distances. ([Thomas] suggests up to 100 m, but the baud rate is fairly low, so we wouldn’t be surprised if you could push it quite a bit further than that. The standard is good out to a kilometer, after all.) For all the wrinkles and links to tips and solutions, plus of course [Thomas]’s code, check out the blog. If you want to listen to the information, you can check out the video below.
Remember Video Volley? No? We don’t either. It looks like it was a very early video game console that could play tennis, hockey, or handball. In this video, [James] tears one apart. If you are like us, we are guessing there will be little more than one of those General Instrument video game chips inside.
These don’t look like they were mass-produced. The case looks like something off the shelf from those days. The whole thing looks more like a nice homebrew project or a pretty good prototype. Not like something you’d buy in a store.
Even inside, the wiring looks decidedly hand-built. The cheap phenolic PCB contained a surprise. The box does have a dedicated “pong” chip. But it isn’t from General Instruments! It’s a National Semiconductor chip instead.
The controllers are little more than sliding potentiometers in a box with a switch. We wonder how many of these were made and what they sold for new. If you know anything, let us know in the comments.
We still see the occasional project around a General Instruments chip. If you really want a challenge for a homebrew pong, ditch the pong chip and all the other ICs, too. If you want to read more about the history of the pong chip, you’ll probably enjoy this blog post from [pong-story].
This little audiobook player is a stellar example of the learning process behind a multifaceted project blending mechanical, electrical, and software design. [Mario] designed this audiobook player, dubbed Boxie, for his 3-year-old son to replace the often-used but flawed Toniebox.
The inspiration for Boxie was the Toniebox, a kid-friendly audiobook player. While functional, the Toniebox had drawbacks: it required internet connectivity, limited media selection, and had unreliable controls. Enter Boxie, a custom-built, standalone audiobook player free from web services, designed to address these issues with superior audio quality and toddler-friendly controls.
Boxie’s media is stored on microSD cards inserted into a slot on the device. To make this manageable for a toddler, he designed a PCB with a standard microSD card interface, ensuring easy swapping of audiobooks. The enclosure, crafted via 3D printing, is durable and compact, tailored for small hands.
The cartridges slide into the body of the Boxie. This presented a problem, most cartridge media utilize edge connectors. Strictly speaking, his DIY cartridges didn’t have those and couldn’t use traditional cartridge reader components. First trying pogo pins, he ran into several issues, most notably the inability to hold up to the wear and tear of a 3-year-old. A clever hack to add robustness was achieved when he switched to using a series of battery springs to interface with the cartridge.
Inside the Boxie lives an ESP32-S3 microcontroller, which provides the smarts to read all the controls, play audio from the inserted cartridge. The main housing also contains the battery, DAC, amp, and speaker. Mario faced a fair number of new challenges on this project, including designing a battery charging circuit and building his own ESP32-S3 board with support for charging NiMH batteries.
All of the 3D designs, PCB files, and source code are available on his GitHub account. If you’re interested in making a Boxie for a young one in your life, be sure to go check out his detailed write-up. If you enjoyed this project, be sure to check out the other DIY audio players we’ve featured.
Ricordavamo, alla fine del precedente post, come le grandi multinazionali della tecnologia sono solite raccontare, per convincerci ad adottare le ultime soluzioni digitali, unicamente i loro aspetti positivi,
La Wikimedia Foundation, che gestisce Wikipedia, ha intentato una causa presso l’Alta Corte d’Inghilterra e Galles contro la legge britannica sulla sicurezza online, affermando che alcune disposizioni della nuova legislazione potrebbero portare a “manipolazioni e vandalismi” sulla piattaforma.
Potrebbe essere la prima volta che un tribunale contesta le disposizioni della legge sulla sicurezza di Internet. L’organizzazione teme che Wikipedia venga inserita in quelle che definisce piattaforme di “livello uno”, le più grandi e soggette ai requisiti più rigorosi. Ciò, secondo la fondazione, potrebbe minare i principi dell’enciclopedia, danneggiare la privacy dei volontari e distogliere risorse dallo sviluppo e dalla protezione del progetto.
Secondo il consulente generale della fondazione, Phil Bradley-Schmig, la causa mira a “proteggere i volontari di Wikipedia e la disponibilità e l’integrità della conoscenza libera a livello globale”. Il fondo sottolinea di non contestare la legge in sé e di non negare nemmeno la necessità di requisiti per le grandi piattaforme: si tratta solo del meccanismo con cui si decide quale piattaforma classificare come “categoria 1”.
Tali criteri sono stabiliti nella legislazione secondaria firmata dal ministro per il Digitale Peter Kyle. Wikimedia ha presentato una richiesta di revisione giudiziaria del regolamento, che prevede che un tribunale valuti la legalità delle decisioni governative.
Uno dei punti controversi era l’obbligo di verificare l’identità degli utenti. Secondo l’attuale interpretazione della legge, se Wikipedia non verifica gli editori, deve consentire ai collaboratori anonimi di bloccare le modifiche altrui, anche se stanno correggendo trolling o disinformazione. Ciò costringerebbe migliaia di volontari a sottoporsi a un’identificazione, il che contraddice i principi della fondazione di raccolta minima dei dati.
Il mancato rispetto della legge comporterà multe fino a 18 milioni di sterline o il 10% del fatturato globale dell’azienda. In casi estremi è addirittura possibile che l’accesso al servizio nel Regno Unito venga bloccato.
Bradley-Schmig sottolinea che i volontari che lavorano ad articoli in più di 300 lingue potrebbero essere a rischio di fughe di dati, molestie, azioni legali o addirittura arresti da parte di stati autoritari. “La privacy è il fondamento del nostro sistema di sicurezza. E queste regole, originariamente sviluppate per i social network, potrebbero causare gravi danni a Wikipedia”, ha affermato.
Il fondo ritiene che la definizione di “categoria 1” sia troppo vaga. Include siti in cui è possibile visualizzare o condividere contenuti, se dispongono di un algoritmo di selezione delle informazioni e se la piattaforma ha “un numero sufficiente di utenti”, senza tenere conto di come esattamente utilizzano il servizio.
“Chiediamo con rammarico una revisione giudiziaria delle regole di categorizzazione”, ha affermato Bradley-Schmig. “È un peccato che nel nostro tentativo di rendere Internet più sicuro, dobbiamo proteggere i nostri redattori da una legislazione mal concepita.”
Il governo del Regno Unito ha dichiarato di non poter commentare i procedimenti legali in corso, ma ha sottolineato il suo impegno nell’attuazione dell’Online Safety Act.
💣 Quando il regalo per la Festa della Mamma diventa un infostealer interno!
In un mondo in cui l’ingegneria sociale è la regina degli attacchi informatici, nessuno è al sicuro. Neanche papà. Un gesto tenero? No, una breccia nei sistemi familiari.
🧠 Morale della favola: Puoi difenderti da ransomware, phishing e malware… ma non da tua figlia sotto interrogatorio emotivo.
👉 Buona Festa della Mamma a tutte le donne che sanno tutto… prima ancora che succeda.
Per anni, Reddit è rimasto uno dei pochi angoli di Internet in cui era possibile discutere in tutta sicurezza di qualsiasi argomento, dai videogiochi alle criptovalute, dalla politica alle teorie sugli UFO. Ma ora si scopre che anche lì le persone spesso non discutevano con altre persone, ma con l’intelligenza artificiale.
La causa della preoccupazione è stato un incidente avvenuto nel subreddit r/changemyview , un luogo popolare per dibattiti civili e scambi di opinioni. A quanto pare, gli scienziati dell’Università di Zurigo hanno lanciato dei bot di intelligenza artificiale per studiare quanto sia facile influenzare le opinioni degli utenti.
I bot si sono comportati nel modo più realistico possibile: sono stati addestrati a riconoscere le sfumature della comunicazione umana e hanno persino discusso meglio di molti partecipanti reali. Tutto questo è avvenuto in segreto, senza preavviso o consenso. Solo dopo la pubblicazione della bozza dei risultati dell’esperimento è diventato chiaro che migliaia di persone avevano inconsapevolmente discusso con le macchine.
I moderatori del subreddit hanno reagito duramente all’esperimento, definendolo “manipolativo e ingiusto”. Nella comunità si aprì un dibattito etico: da un lato si trattava di un lavoro scientifico, dall’altro si trattava di una palese ingerenza nella comunicazione in tempo reale, peraltro senza il consenso dei partecipanti.
In seguito allo scandalo, la dirigenza di Reddit ha deciso di introdurre ulteriori controlli per confermare che l’utente sia un essere umano. Secondo il CEO Steve Huffman, Reddit rimarrà anonimo, ma diventerà più “umano”. Tuttavia, non è ancora chiaro come verrà implementato esattamente il sistema di protezione e se scoraggerà gli utenti reali dal visitare i loro thread preferiti.
In un modo o nell’altro, su una delle ultime piattaforme in cui l’autenticità della comunicazione è stata ancora preservata, sorge una nuova domanda: “Sei davvero umano?”
The Thinkpad line of laptops, originally from IBM, and then from Lenovo, have long been the choice of many in our community. They offer a level of robustness and reliability missing in many cheaper machines. You may not be surprised to find that this article is being written on one. With such a following, it’s not surprising that a significant effort has gone into upgrading older models. For example, we have [Franck Deng]’s new motherboard for the Thinkpad X200 and X201. These models from the end of the 2000s shipped as far as we can remember with Core 2 Duo processors, so we can imagine they would be starting to feel their age.
It’s fair to say the new board isn’t a cheap option, but it does come with a new Core Ultra 7 CPU, DDR5 memory, M.2 interfaces for SSDs alongside the original 2.5″ device, and USB-C with Thunderbolt support. There are a range of screen upgrade options. For an even more hefty price, you can buy a completely rebuilt laptop featuring the new board. We’re impressed with the work, but we have to wonder how it would stack up against a newer Thinkpad for the price.
Microsoft’s latest Phi4 LLM has 14 billion parameters that require about 11 GB of storage. Can you run it on a Raspberry Pi? Get serious. However, the Phi4-mini-reasoning model is a cut-down version with “only” 3.8 billion parameters that requires 3.2 GB. That’s more realistic and, in a recent video, [Gary Explains] tells you how to add this LLM to your Raspberry Pi arsenal.
The version [Gary] uses has four-bit quantization and, as you might expect, the performance isn’t going to be stellar. If you are versed in all the LLM lingo, the quantization is the way weights are stored, and, in general, the more parameters a model uses, the more things it can figure out.
As a benchmark, [Gary] likes to use what he calls “the Alice question.” In other words, he asks for an answer to this question: “Alice has five brothers and she also has three sisters. How many sisters does Alice’s brother have?” While it probably took you a second to think about it, you almost certainly came up with the correct answer. With this model, a Raspberry Pi can answer it, too.
The first run seems fairly speedy, but it is running on a PC with a GPU. He notes that the same question takes about 10 minutes to pop up on a Raspberry Pi 5 with 4 cores and 8GB of RAM.
We aren’t sure what you’d do with a very slow LLM, but it does work. Let us know what you’d use it for, if anything, in the comments.
The Sinclair C5 was Sir Clive’s famous first venture into electric mobility, a recumbent electric-assisted tricycle which would have been hardly unusual in 2025. In 1985, though, the C5 was so far out there that it became a notorious failure. The C5 retains a huge following among enthusiasts, though, and among those is [JSON Alexander, who has bought one and restored it.
We’re treated to a teardown and frank examination of the vehicle’s strengths and weaknesses, during which we see the Sinclair brand unusually on a set of tyres, and the original motor, which is surprisingly more efficient than expected. Sir Clive may be gone, but this C5 will live again.
We’ve had the chance to road test a C5 in the past, and it’s fair to say that we can understand why such a low-down riding position was not a success back in the day. It’s unusual to see one in as original a condition as this one, it’s more usual to see a C5 that’s had a few upgrades.
Wow this got popular, I haven't really done a massive writeup like this since I was working on the PDP-11, and I forgot to finish that in the excitement that followed when I got it to boot, so now I feel obliged to continue.
Sadly I can't really do much active tests without the battery; I ordered one from Halfords for next day in store pickup, but that was on Friday, and still no word; for now it's just a standard 12v lead acid car battery just to make this thing go, but I at least for now know the control electronics are working from my rather flawed test with the power supply.
I'll take this time to talk a little more about the C5 and what I'm planning on doing with it. To start, I've had a couple of people repeat some misconceptions about the C5 and question why I am doing this.
The C5 uses a custom motor made by the Italian company Polymotor, who did make washing machine motors, and also torpedo motors; it very likely needed this custom motor as for the time, it's efficiency is incredible...
In 2022 I used to make a daily 10 mile (16km) round commute on a first generation Pure Air e-scooter, it could just about manage it doing 13mph (20km/h), coincidently, this is almost exactly the average performance and range of the C5 with it's original 80 AH lead acid battery, and yet the Pure Air is 40 years newer, weighs half as much and is absolutely packed full of lithium batteries!
A bag of various unrelated projects with varying levels of serviceability and destructiveness. - zfspasskey: a server to decrypt ZFS datasets with age and passkeys · FiloSottile/mostly-harmless@b453995
The age file header is sent to the client, which decrypts it using typage's new passkey support (github.com/FiloSottile/typage?…) and sends back the file key. The server decrypts the password with it and mounts the dataset.
Can use it from my phone via iCloud Keychain, or could use YubiKeys, too!
Interesting idea. I wonder if this could be packaged for initrd for the decryption of the root file system
Does this check for the CTAP protocol version? I don't know if it is transparent in the browser. Unfortunately, CTAP2.0 had a user validation bypass for PRF which is fixed with CTAP2.1.
If you had asked us yesterday “How do you 3D Print a Photo”, we would have said “well, that’s easy, do a lithopane”– but artist, hacker and man with a very relaxing voice [Wyatt Roy] has a much more impressive answer: Gaussian splats, rendered in resin.
Gaussian splats are a 3D scanning technique aimed at replicating a visual rather than geometry, like the mesh-based 3D-scanning we usually see on Hackaday. Using photogrammetry, a point cloud is generated with an associated 3D Gaussian function describing the colour at that point. Blend these together, and you can get some very impressive photorealistic 3D environments. Of course, printing a Gaussian smear of colour isn’t trivial, which is where the hacking comes in.
14-face isospheres do a good job of replicating the complicated Gaussian, as seen with this experimental long-exposure shot. [Wyatt] first generates the Gaussian splats with an app called Polycam, which outputs inscrutable binary .ply files. With AI assistance of dubious quality, [Wyatt] first created a python script to decompile this data into an ASCII file, which is then fed into a Rhino script to create geometry for printing. Rather than try and replicate the Gaussian splat at each point perfectly, which would melt his PC, [Wyatt] uses 14-face isospheres to approximate the 3D Gaussian functions. These then get further postprocessing to create a printable mesh.
Printing this isn’t going to be easy for most of us, because [Wyatt] is using a multi-color DLP resin printer. The main body is clear resin, and black or white resin used for the space defined by the isospheres created from the Gaussian Splat. When the interior color is white, the effect is quite similar to those acrylic cubes you sometimes see, where a laser has etched bubbles into their depths, which makes us wonder if that might be a more accessible way to use this technique.
If you’ve been designing parts for 3D printing, you probably have some tricks and standards for your designs. [Rahix] decided to write out a well-thought-out set of design rules for FDM prints, and we can all benefit.
One of the things we liked about the list is that it’s written in a way that explains everything. Every so often, there’s a box with a summarized rule for that topic. At the end, there’s a list of all the rules. The rules are also in categories, including part strength, tolerance, optimization, integration, machine elements, appearance, and vase mode.
For example, section two deals with tolerance and finish. So, rule R2.8 says, “Do not use circular holes for interference fits. Use hexagon or square holes instead.”
We also appreciate that [Rahix] touched on some of the counter-intuitive aspects of designing for FDM printing. For example, you might think adding voids in your part will reduce the filament and time required to print it, but in many cases it can have the opposite effect.
Some of these — maybe even most of these — won’t surprise you, but you still might take away a tidbit or two. But having it all down in a checklist and then the ability to scroll up and find the rationale for the rule is great.
Do you have any rules you’d add? Or change? Let us know. Meanwhile, we were eyeing our favorites about adding machine elements to prints.
This is definitely one of my favorite things in systemd services. I don't even want to imagine what kind of hell you would have to go through to get this to work nicely with init scripts.
Leone XIV, nel nome la cura dell’umano nell’era dell’AI. #RerumNovarum 2.0
ho pensato di prendere il nome di Leone XIV principalmente perché Leone XIII, con la Rerum novarum, affrontò la questione sociale nel contesto della prima grande rivoluzione industriale; oggi la Chiesa deve rispondere a un’altra rivoluzione industriale e agli sviluppi dell’intelligenza artificiale, con nuove sfide per la difesa della dignità umana, della giustizia e del lavoro.”
Giustizia, infatti, oggi significa anche garantire che l’accesso alla conoscenza, ai dati, alle opportunità generate dall’AI non diventi privilegio di pochi.
Quindi DeepSeek dovrebbe essere visto positivamente da Papa Leone XIV, giusto?
Le autorità statunitensi continuano a cercare soluzioni per fermare la fuga di chip avanzati verso la Cina, nonostante le rigide restrizioni all’esportazione in vigore. Il senatore Tom Cotton ha proposto una soluzione piuttosto semplice: integrare nei chip in questione un sistema di tracciamento in grado di segnalare se il dispositivo si trova nel posto sbagliato. Secondo il suo piano, ciò contribuirà a contrastare il mercato grigio delle GPU ad alte prestazioni, che continuano a entrare in Cina aggirando i divieti.
Il disegno di legge di Cotton, denominato Chip Security Act, obbligherebbe il Dipartimento del Commercio a richiedere che tutti i chip avanzati esportati, o i dispositivi che li contengono, siano dotati di un meccanismo di “verifica della posizione” entro sei mesi dalla sua approvazione. Sebbene il disegno di legge sia stato solo proposto e non ancora adottato, l’idea ha già suscitato interesse e interrogativi.
Secondo il documento, il meccanismo può essere implementato sia tramite software e firmware, sia a livello di hardware fisico. Gli esportatori saranno tenuti a segnalare alle autorità qualsiasi tentativo di disattivare o manomettere il sistema di tracciamento, nonché casi di riassegnazione o uso improprio dei chip. Allo stesso tempo, la legge non fornisce ancora una definizione chiara di come verrà implementato esattamente il controllo: ci sono formulazioni abbastanza vaghe, secondo le quali, in teoria, anche un semplice tag come AirTag potrebbe essere considerato conforme ai requisiti. La protezione non è un’opzione. È una necessità.
Gli autori prevedono che il tracciamento potrebbe essere integrato nei chip stessi o in assemblaggi più grandi come i moduli di elaborazione HGX e OAM. Allo stesso tempo, il Ministero del Commercio avrà il diritto di scegliere i metodi di attuazione più “appropriati e realistici” del momento. Nel lungo termine, si propone di elaborare requisiti obbligatori per tali meccanismi, congiuntamente al Pentagono, e di aggiornarli regolarmente.
Tuttavia, i critici stanno già evidenziando una potenziale vulnerabilità: se il sistema viene facilmente aggirato o contraffatto, l’intera idea sarà inutile. E dato che molti chip moderni contengono già firme digitali univoche, la verifica periodica degli identificatori crittografici nei data center potrebbe essere molto più efficace, un po’ come avvenne con gli ispettori che un tempo monitorarono il disarmo dell’ex Unione Sovietica.
È interessante notare che il disegno di legge non fa alcun accenno alla possibilità di “kill switch” integrati, meccanismi che consentirebbero di disattivare o distruggere a distanza i chip se cadono nelle mani sbagliate. Sebbene l’idea di tali fondi sia già stata sollevata in passato, la sua attuazione comporta seri rischi ed è controversa all’interno del settore.
Infine, la proposta di Cotton arriva nel bel mezzo delle discussioni sulla revisione di alcune norme dell’era Biden volte a limitare l’esportazione della tecnologia di intelligenza artificiale. Il Dipartimento del Commercio degli Stati Uniti ha già annunciato l’intenzione di abbandonare alcune delle restrizioni precedenti. In questo contesto, il disegno di legge sul tracciamento potrebbe diventare un nuovo strumento nella lotta per la superiorità tecnologica e il controllo del mercato globale dei semiconduttori.
Every time we end up talking about 3D printers, Al Williams starts off on how bad he is in a machine shop. I’m absolutely sure that he’s exaggerating, but the gist is that he’s much happier to work on stuff in CAD and let the machine take care of the precision and fine physical details. I’m like that too, but with me, it’s the artwork.
I can’t draw to save my life, but once I get it into digital form, I’m pretty good at manipulating images. And then I couldn’t copy that out into the real world, but that’s what the laser cutter is for, right? So the gameplan for this year’s Mother’s Day gift (reminder!) is three-way. I do the physical design, my son does the artwork, we combine them in FreeCAD and then hand it off to the machine. Everyone is playing to their strengths.
So why does it feel a little like cheating to just laser-cut out a present? I’m not honestly sure. My grandfather was a trained architectural draftsman before he let his artistic side run wild and went off to design jewellery. He could draw a nearly perfect circle with nothing more than a pencil, but he also used a French curve set, a pantograph, and a rolling architect’s ruler when they were called for. He had his tools too, and I bet he’d see the equivalence in mine.
People have used tools since the stone age, and the people who master their tools transcend them, and produce work where the “human” shines through despite having traced a curve or having passed the Gcode off to the cutter. If you doubt this, I’ll remind you of the technological feat that is the piano, with which people nonetheless produce music that doesn’t make you think of the hammers or of the tremendous cast metal frame. The tech disappears into the creation.
I’m sure there’s a parable here for our modern use of AI too, but I’ve got a Mother’s Day present to finish.
This article is part of the Hackaday.com newsletter, delivered every seven days for each of the last 200+ weeks. It also includes our favorite articles from the last seven days that you can see on the web version of the newsletter. Want this type of article to hit your inbox every Friday morning? You should sign up!
A recent campaign targeting Southern European organizations demonstrates advanced evasion techniques combining social engineering, trusted platforms, and geolocation filtering. The attack chain unfolds through four precision stages: 1.
A recent analysis of newly discovered payloads linked to the DOGE Big Balls ransomware operation reveals a complex infection chain combining open-source tools, kernel-level exploits, and psychological warfare.
Filippo Valsorda
in reply to Filippo Valsorda • • •I don't do plugs often, but if your company relies on work like this being done professionally, Geomys (geomys.org) is how it happens.
You should help us get a contract. You don't need to have spending authority! Just DM me, do an intro, and we'll drive the process. We're pretty good at it.
Part of our job is stepping in to ensure Go is a robust, secure platform to build on. We did it for x/crypto/ssh and bluemonday, now we're doing it for unmaintained and vulnerable CSRF libraries.
Joshua Small
in reply to Filippo Valsorda • • •