What does one do with old circuit boards and projects? Throwing them out doesn’t feel right, but storage space is at a premium for most of us. [Gregory Charvat] suggests doing what he did: combining them all into a wall-mountable panel in order to memorialize them, creating a functional digital clock in the process. As a side benefit, it frees up storage space!
Everything contributes. If it had lights, they light up. If it had a motor, it moves.
Memorializing and honoring his old hardware is a journey that involved more than just gluing components to a panel and hanging it on the wall. [Gregory] went through his old projects one by one, doing repairs where necessary and modifying as required to ensure that each unit could power up, and did something once it did. Composition-wise, earlier projects (some from childhood) are mounted near the bottom. The higher up on the panel, the more recent the project.

As mentioned, the whole panel is more than just a collage of vintage hardware — it functions as a digital clock, complete with seven-segment LED displays and a sheet metal panel festooned with salvaged controls. Behind it all, an Arduino MEGA takes care of running the show.

Creating it was clearly a nostalgic journey for [Gregory], resulting in a piece that celebrates and showcases his hardware work into something functional that seems to have a life of its own. You can get a closer look in the video embedded below the page break.

This really seems like a rewarding way to memorialize one’s old projects, and maybe even help let go of unfinished ones.

And of course, we’re also a fan of the way it frees up space. After all, many of us do not thrive in clutter and our own [Gerrit Coetzee] has some guidance and advice on controlling it.

youtube.com/embed/hzpCRn0FhVE?…

hackaday.com/2025/09/01/old-pr…

Most robots get around with tracks or wheels, but [Dave] had something different in mind. Sufficiently unbothered by the prospect of mixing electronics and water, [Dave] augmented a canoe with twin, paddle-bearing robotic arms to bring to life a concept he had: the RowboBoat. The result? A canoe that can paddle itself with robotic arms, leaving the operator free to take a deep breath, sit back, and concentrate on not capsizing.

There are a couple of things we really like about this build, one of which is the tidiness of the robotic platform that non-destructively attaches to the canoe itself with custom brackets. A combination of aluminum extrusion and custom brackets, [Dave] designed it with the help of 3D scanning the canoe as a design aid. A canoe, after all, has nary a straight edge nor a right angle in sight. Being able to pull a 3D model into CAD helps immensely in such cases; we have also seen this technique used in refitting a van into an off-grid camper.

The other thing we like is the way that [Dave] drives the arms. The two PiPER robotic arms are driven with ROS, the Robot Operating System on a nearby Jetson Orin Nano SBC. The clever part is the way [Dave] observed that padding and steering a canoe has a lot in common with a differential drive, which is akin to how a tank works. And so, for propulsion, ROS simply treats the paddle-bearing arms as though they were wheels in a differential drive. The arms don’t seem to mind a little water, and the rest of the electronics are protected by a pair of firmly-crossed fingers.

The canoe steers by joystick, but being driven by ROS it could be made autonomous with a little more work. [Dave] has his configuration and code for RowboBoat up on GitHub should anyone wish to take a closer look. Watch it in action in the video, embedded below.

youtube.com/embed/XQX0SXHnbyk?…

hackaday.com/2025/09/01/roboti…

Gli hacker hanno preso di mira l’Ordine dei giornalisti del Lazio. Il presidente Guido D’Ubaldo ha avvertito i colleghi tramite una PEC: Un ransomware di ultima generazione, ha spiegato, ha messo fuori uso i nostri sistemi e ha interrotto anche la connessione internet, provocando un’interruzione di qualche ora. L’attacco potrebbe essere stato orchestrato da un gruppo di hacker di origine russa.

Mercoledì è stato il giorno in cui l’organizzazione, dopo una breve pausa ad agosto, era nuovamente operativa. Tuttavia, si è subito notato che i sistemi erano stati compromessi e che anche la connessione internet non era più disponibile.

L’azione di attacco è stata attribuita a “DragonForce”, una cyber gang ransomware relativamente sconosciuta in Italia, nonostante abbia già avuto un impatto significativo su diverse entità straniere in passato. La natura dell’attacco rimane da chiarire: se sia il risultato di un’azione opportunistica “a strascico” o un’offensiva strategica mirata all’acquisizione di specifiche informazioni.

Il presidente dell’Odg del Lazio ha espresso la sua preoccupazione, poiché si teme che questo attacco informatico abbia potuto consentire l’accesso a dati sensibili relativi a più di 20mila iscritti, archiviati nei sistemi.

La procedura di comunicazione è stata attivata dall’Ordine nei confronti dell’Agenzia per la cybersicurezza nazionale (Acn) e del Garante per la protezione dei dati personali, contestualmente alla formalizzazione di una denuncia presso la Polizia postale.

Subito dopo, gli specialisti del Csirt (Computer security incident response team) dell’Acn sono stati prontamente e proficuamente coinvolti per mettere in atto azioni volte a mitigare i danni.

L'articolo Attacco Informatico all’Ordine dei Giornalisti del Lazio. È opera di DragonForce proviene da il blog della sicurezza informatica.

The internals of a printer, whatever technology it may use, are invariably proprietary, with an abstracted more standard language being used to communicate with a host computer. Thus it’s surprisingly rare to see hacks on printers as printers, rather than printer hacks using the parts for some other purpose. This makes [Oelison]’s brain-swap of a Casio thermal label printer a welcome surprise, as it puts an ESP32 in the machine instead of whatever Casio gave it.

The value in the hack lies in the insight it gives into how a thermal printer works as much as it does in the ESP32 and the Casio, as it goes into some detail on the various signals involved. The strobe line for instance to enable the heater is a nuance we were unaware of. The resulting printer will lose its keyboard and display, but make up for it in connectivity.

Despite what we said earlier this isn’t the first label printer hack we’ve seen. A previous one was Linux-based though.

hackaday.com/2025/09/01/a-labe…

La società QNAP Systems ha provveduto al rilascio di aggiornamenti di sicurezza al fine di eliminare varie vulnerabilità presenti nel firmware QVR dei sistemi VioStor Network Video Recorder (NVR). Il 29 agosto 2025, due gravi falle di sicurezza sono state rese note, dopo di che la società ha sollecitato gli utenti a eseguire tempestivamente l’aggiornamento dei propri sistemi, al fine di prevenire possibili violazioni delle norme di sicurezza.

QNAP ha risposto rapidamente a queste segnalazioni in materia di sicurezza rilasciando un firmware aggiornato che risolve entrambe le vulnerabilità. Sono interessati i sistemi VioStor NVR legacy che eseguono QVR 5.1.x, ma gli utenti possono ora eseguire l’aggiornamento a QVR 5.1.6 build 20250621 o versioni successive per eliminare questi rischi per la sicurezza.

L’avviso di sicurezza rivela due distinte vulnerabilità che potrebbero compromettere l’integrità dei sistemi VioStor NVR legacy che eseguono il firmware QVR 5.1.x.

• La prima vulnerabilità, identificata come CVE-2025-52856, rappresenta una falla di autenticazione impropria che consente ad aggressori remoti di compromettere la sicurezza del sistema senza le credenziali appropriate.
• La seconda vulnerabilità, CVE-2025-52861, presenta una falla di sicurezza nell’attraversamento del percorso che diventa sfruttabile quando un aggressore ottiene l’accesso a livello di amministratore.

Un livello di gravità “Importante” è stato assegnato ad entrambe le vulnerabilità, denotando un rischio considerevole per i sistemi coinvolti. Al ricercatore di sicurezza Hou Liuyang di 360 Security sono attribuiti la scoperta e la segnalazione di tali vulnerabilità, il che mette in evidenza il valore della collaborazione nella ricerca sulla sicurezza per individuare le vulnerabilità critiche dei sistemi.

Ecco una rapida dimostrazione dell’impegno di QNAP per la sicurezza dei prodotti nelle infrastrutture, compresi i sistemi legacy che potrebbero non avere più aggiornamenti regolari delle funzionalità. Per farlo, gli utenti sono in grado di controllare la versione del firmware attualmente in uso e di scaricare gli aggiornamenti necessari direttamente dal sito ufficiale di download di QNAP.

L’azienda sottolinea la natura critica di questi aggiornamenti, soprattutto data la natura sensibile dei dati di sorveglianza solitamente gestiti dai sistemi NVR. QNAP fornisce istruzioni dettagliate per l’aggiornamento dei sistemi interessati, sottolineando la semplicità del processo di installazione della patch. Gli amministratori possono accedere alla funzionalità di aggiornamento del firmware tramite il menu Impostazioni di sistema del Pannello di controllo , dove possono caricare e installare le patch di sicurezza più recenti.

Il processo di aggiornamento richiede l’accesso amministrativo al sistema VioStor NVR e prevede il download del file firmware specifico per il modello del dispositivo dal sito Web ufficiale di QNAP.

L'articolo QNAP rilascia patch di sicurezza per vulnerabilità critiche nei sistemi VioStor NVR proviene da il blog della sicurezza informatica.

Un ingegnere informatico di origine indiana impiegato presso la Microsoft Corp. è stato trovato morto nel campus dell’azienda a Mountain View, in California. Il trentacinquenne, identificato come Pratik Pandey e originario di Indore, in India, è entrato nell’ufficio la sera del 19 agosto ed è stato trovato morto nelle prime ore del 20 agosto, ha confermato la polizia.

Gli agenti sono intervenuti sul posto intorno alle 2 del mattino e hanno riferito di non aver trovato “segni di attività o comportamenti sospetti”. Le autorità hanno chiarito che il caso non è stato trattato come un’indagine penale, secondo un rapporto di Bloomberg.

I parenti hanno esortato le aziende tecnologiche ad adottare misure più incisive per proteggere i dipendenti dalle richieste di lavoro estreme. Parlando con il Palo Alto Daily Post, lo zio di Pandey, Manoj Pandey, ha dichiarato: “Pratik era un giovane molto gioioso, laborioso e di successo. Nel complesso, una persona molto positiva”.

Suo zio ha inoltre affermato che Pandey aveva “lavorato fino a tardi per un periodo di tempo molto lungo” e ha suggerito che le aziende dovrebbero prestare maggiore attenzione quando i dipendenti entrano regolarmente in ufficio a orari strani. “Questo probabilmente salverà una vita”, ha affermato.

Pandey si è trasferito negli Stati Uniti dieci anni fa per conseguire un master alla San Jose State University. Ha costruito una carriera di tutto rispetto, lavorando presso Apple, Illumina e Walmart Labs, prima di entrare in Microsoft nel luglio 2020.

Colleghi e compagni di classe lo descrivono come una persona disponibile e alla mano, con una passione per sport come il calcio, il cricket e il tennistavolo.

Secondo il Palo Alto Daily Post, amici e parenti hanno organizzato una veglia funebre per Pandey il 29 agosto a Fremont, in California, prima di inviare le sue spoglie in India.

I suoi genitori e due sorelle vivono lì. Suo zio ha sottolineato che la veglia funebre era importante per le loro tradizioni culturali indù. “È un grande dolore per la famiglia quando una persona cara muore”, ha detto.

L'articolo Ingegnere informatico trovato morto nel campus di Microsoft di Mountain View proviene da il blog della sicurezza informatica.

Our hacker from [Appalachian Forge Works] wrote in to let us know about their vending machine build: a Halloween vending computer that talks.

He starts by demonstrating the vending process: a backlit vend button is pressed, an animation plays on the screen as a synthetic voice speaks through attached speakers, the vending mechanism rotates until a successful vend is detected with a photoelectric sensor (a photoresistor and an LED) or a timeout of 10 seconds is reached (the timeout is particularly important for cases when the stock of prizes is fully depleted).

For a successful vend the prize will roll out a vending tube and through some ramps, visible via a perspex side panel, into the receptacle, as the spooky voice announces the vend. It’s the photoelectric sensor which triggers the mask to speak.

The vending mechanism is a wheel that spins, the bouncy balls caught in a hole on the wheel, then fall through a vending tube. The cache of prizes are stored in a clear container attached to the top, which is secured with a keyed lock attached to the 3D printed lid. After unlocking the lid can be removed for restocking.

The whole device is built into an old PC case tower. The back panels have been replaced and sealed. The computer in the box is an ASUS CN60 Chromebox running Ubuntu Linux. The power button is obscured on the back of the case to avoid accidental pressing. The monitor is bolted on to the side panel with a perspex screen and connected to the Chromebox via VGA. Inside there are two power supplies, an Arduino Uno microcontroller, and an audio amplifier attached to a pair of speakers.

A 12V DC motor controls the vending prize wheel which feeds a prize into the vending tube. The vending tube has an LED on one side and a photoresistor on the other side that detects the vend. The software, running on Linux, is Python code using the Pygame library.

If you’re interested in vending machines you might also be interested in this one: This Vending Machine Is For The Birds.

youtube.com/embed/XMS0pFVNI_o?…

Thanks to [Adam] for writing in about this one.

hackaday.com/2025/09/01/buildi…

Sophos ha messo in guardia da una pratica sempre più sofisticata da parte degli aggressori: l’utilizzo di strumenti di sicurezza informatica legittimi nell’ambito della tattica Living-off-the-Land (LotL), in cui un attacco viene effettuato utilizzando software esistente o disponibile al pubblico, anziché malware sviluppato internamente.

In un ultimo incidente, degli aggressori sconosciuti hanno introdotto Velociraptor, uno strumento open source di monitoraggio degli endpoint e di analisi forense digitale, nell’infrastruttura della vittima. Lo strumento è stato installato tramite msiexec, scaricando il programma di installazione MSI da un dominio sulla piattaforma Cloudflare Workers.

E’ risaputo che gli autori delle minacce, spesso, utilizzano tecniche “living-off-the-land” (LotL) o approfittano di strumenti legittimi di gestione e monitoraggio remoto (RMM) per i loro attacchi. Nonostante ciò, l’utilizzo di Velociraptor rivela un’evoluzione strategica evidente, in cui i software di risposta agli incidenti vengono utilizzati per ottenere un vantaggio e ridurre allo stesso tempo la necessità di diffondere malware creato ad hoc.

La nuova indagine sull’incidente ha messo in luce che i responsabili dell’attacco hanno sfruttato la funzione msiexec di Windows per recuperare un pacchetto di installazione MSI da un dominio di Cloudflare Workers. Quest’ultimo rappresenta il fondamento per altri tool impiegati dagli aggressori, come un’applicazione per il tunneling Cloudflare e un software per l’amministrazione remota conosciuto con il nome di Radmin.

Il file MSI è progettato per installare Velociraptor, che poi stabilisce un contatto con un altro dominio Cloudflare Workers. L’accesso viene quindi sfruttato per scaricare Visual Studio Code dallo stesso server di staging utilizzando un comando PowerShell codificato ed eseguire l’editor del codice sorgente con l’opzione tunnel abilitata per consentire sia l’accesso remoto che l’esecuzione di codice remoto.

Tecniche simili che coinvolgono strumenti di accesso remoto sono state collegate a gruppi ransomware come Black Basta dalla metà del 2024, queste campagne più recenti rinunciano alla fase preliminare di email bombing e in ultima analisi sfruttano l’accesso remoto per distribuire un payload PowerShell con funzionalità comunemente associate al furto di credenziali, alla persistenza e all’esecuzione di codice remoto.

Questi attacchi iniziano con gli autori della minaccia che utilizzano tenant appena creati o compromessi per inviare messaggi diretti o avviare chiamate ai bersagli, impersonando i team dell’help desk IT o altri contatti fidati per installare software di accesso remoto come AnyDesk, DWAgent o Quick Assist e prendere il controllo dei sistemi delle vittime per diffondere malware.

Le credenziali di Windows possono essere richieste anche tramite attacchi di questo tipo, spingendo gli utenti a digitare le loro password sotto forma di richiesta apparentemente innocua per la configurazione del sistema, che vengono successivamente raccolte e archiviate in un file di testo nel sistema.

L'articolo Living-off-the-Land 2.0: quando gli aggressori trasformano gli strumenti di sicurezza in armi proviene da il blog della sicurezza informatica.

Often times, e-bikes seek to build the biggest battery with the most range. But what if you want to take a couple lunch loops on your bike and only need 20 minutes of charge? That’s [Seth] from Berm Peak set out to find out with his minuscule Bermacell battery.

The battery is made from only 14 18650s, this tiny 52V batty is nearly as small an e-bike battery as can be made. Each cell is 3000 mAh making a total battery capacity of 156 Wh. All the cells were welded in series with an off the shelf BMS and everything was neatly packaged in an over-sized 3D printed 9V battery case. [Seth] plans to make another smaller battery with less then 100 Wh of capacity so he can take it on a plane, so stay tuned for more coverage!

[Seth] hooked up the Bermacell to the Bimotal e-bike conversion system on his trail bike and hit Kanuga bike park. He got three laps out of the Bermacell, and thinks a fourth is possible with more conservative throttle usage. The three laps equates to about 1500 ft of total elevation gain, a metric commonly used by mountain bikers. For a more useful metric for commuters, [Seth] recharged the battery and rode to a nearby coffee shop and back, a distance of nearly 13 miles with pedaling and throttle assist.

This is not the first time we have seen [Seth] hacking on e-bikes. Make sure to check out our coverage of his jailbreak of a pay to ride e-bike.

hackaday.com/2025/09/01/making…

Un episodio inquietante di guerra elettronica (Electronic War, EW) ha coinvolto direttamente la presidente della Commissione europea, Ursula von der Leyen. Durante l’avvicinamento all’aeroporto di Plovdiv, in Bulgaria, il jet che trasportava la leader europea ha improvvisamente perso tutti gli ausili elettronici alla navigazione satellitare, rimanendo “al buio” sul segnale GPS.

Secondo quanto riportato dal Financial Times e confermato da funzionari europei, l’incidente viene trattato come un’operazione di interferenza deliberata, presumibilmente di matrice russa.

L’incidente e un atterraggio “alla vecchia maniera”

Il velivolo, partito da Varsavia e diretto a Plovdiv per un incontro ufficiale con il premier bulgaro Rosen Zhelyazkov e una visita a una fabbrica di munizioni, si è trovato improvvisamente privo di riferimenti digitali per l’avvicinamento alla pista.
L’intera area aeroportuale risultava “cieca” al segnale GPS, costringendo l’equipaggio a sorvolare lo scalo per circa un’ora prima di decidere un atterraggio manuale con l’ausilio di mappe cartacee. Uno dei funzionari informati ha dichiarato: «Era un’interferenza innegabile. L’intera area era accecata». Dopo la visita, von der Leyen ha lasciato Plovdiv a bordo dello stesso aereo senza ulteriori problemi.

Electronic War o attacco cyber?

Gli esperti distinguono tra due scenari:

1. Cyberattacco ai sistemi di gestione del GPS: un’azione che prende di mira direttamente le infrastrutture digitali e software del sistema di posizionamento, manipolandone i dati o interrompendone il funzionamento.
2. Jamming e spoofing delle frequenze: ossia l’oscuramento o la falsificazione dei segnali satellitari attraverso emissioni radio ad alta potenza che saturano o confondono i ricevitori. Questo secondo caso rientra nella definizione classica di Electronic War (EW), ovvero guerra elettronica, che mira ad accecare, disturbare o ingannare i sistemi di comunicazione e navigazione del nemico.

Gli indizi raccolti a Plovdiv fanno propendere per il jamming delle frequenze GPS, un’operazione tipica delle tecniche EW, più vicina alla guerra elettronica sul campo che a un attacco informatico classico.

Le moderne capacità militari si basano sempre più sullo spettro elettromagnetico. I combattenti dipendono dallo spettro elettromagnetico per comunicare tra loro, per acquisire missioni dai loro comandanti. Inoltre utilizzano tale spettro per comprendere l’ambiente e prendere decisioni, per identificare accuratamente gli obiettivi e per proteggere i loro eserciti dai danni.

La Electronic warfare fornisce una funzione di vitale importanza, ovvero permette di proteggere il nostro accesso e l’uso dello spettro elettromagnetico. Allo stesso tempo nega e degrada l’uso dello spettro al suo diretto avversario.

Un messaggio politico?

L’incidente si inserisce in un contesto delicato. Ursula von der Leyen è impegnata in un tour negli Stati di frontiera dell’Unione europea per rafforzare la cooperazione sulla difesa, in risposta alla guerra della Russia contro l’Ucraina.
Colpire la navigazione satellitare dell’aereo della leader europea, se confermato come un’operazione russa, equivarrebbe a un atto di pressione politica e militare: un avvertimento silenzioso che porta la guerra ibrida direttamente nei cieli d’Europa.

L'articolo Ma quale attacco Hacker! L’aereo di Ursula Von Der Leyen vittima di Electronic War (EW) proviene da il blog della sicurezza informatica.