Attacco alla Supply Chain della Supply Chain: nuove vulnerabilità sistemiche e approccio alle terze parti
Negli ultimi anni, la cybersecurity ha iniziato a guardare con crescente preoccupazione non solo alle vulnerabilità interne alle organizzazioni, ma a quelle che si insinuano nei loro fornitori. È il tema della supply chain security, dove il punto debole non è più necessariamente il perimetro dell’azienda, ma quello dei suoi partner. Tuttavia, il recente attacco che ha coinvolto Mooney Servizi (MyCicero), ATM Milano, Busitalia Veneto e TUA Abruzzo ci proietta in uno scenario ancora più complesso: un attacco alla supply chain della supply chain.
I fatti degli attacchi recenti
I fatti sono noti, Mooney Servizi – azienda che gestisce piattaforme digitali come myCicero – è stata vittima di un attacco informatico. L’intrusione, secondo quanto dichiarato da Mooney, è avvenuta a livello infrastrutturale: è stato compromesso un archivio cloud gestito da WIIT S.p.A., provider di servizi cloud e data center ad alta affidabilità.
I dati trafugati – secondo quanto riportato – includono informazioni anagrafiche, email, numeri di telefono e dettagli di profilazione legati all’utilizzo dei servizi di mobilità. A non essere stati compromessi, fortunatamente, sono le credenziali di accesso e i dati di pagamento, custoditi su infrastrutture distinte.
Il dettaglio più rilevante non è solo il furto di dati. È la catena delle responsabilità tecniche che si è rivelata lunga e poco trasparente:
- WIIT, il provider cloud, avrebbe subito l’attacco.
- Mooney Servizi, cliente di WIIT, ne è rimasta colpita in quanto ospitava lì i propri sistemi.
- I clienti di Mooney – tra cui ATM Milano, Busitalia Veneto e TUA Abruzzo – si sono trovati a gestire un incidente che non ha avuto origine direttamente nei loro sistemi, ma li ha colpiti in pieno.
E a pagare il prezzo più alto, ancora una volta, sono stati gli utenti finali.
Se nei classici attacchi alla supply chain assistiamo ad una compromissione che da un fornitore arriva al cliente finale, qui accade qualcosa di più subdolo: una vulnerabilità del fornitore del fornitore si traduce in un data breach per più aziende terze, che hanno semplicemente delegato la gestione del servizio a un attore esterno ritenuto affidabile.
La Supply Chain della Supply Chain
ATM, Busitalia e TUA, infatti, non hanno subito direttamente alcuna violazione dei loro sistemi interni. E nemmeno, da quanto emerge, Mooney ha subito un attacco diretto sui propri ambienti di sviluppo. L’intrusione si è verificata su un archivio cloud ospitato presso WIIT.
Questa architettura a cascata, seppur comune nei sistemi SaaS e nel mondo dell’outsourcing, espone a un rischio difficilmente controllabile: quello di diventare “vittime collaterali” di un’architettura altrui, senza reale visibilità su come i dati siano gestiti, protetti, copiati, o eventualmente archiviati in cloud di terze parti.
A fronte delle dichiarazioni puntuali di Mooney Servizi, e della trasparenza di ATM, Busitalia e TUA nel notificare pubblicamente l’accaduto ai propri utenti (con dovizia di dettagli e responsabilità), colpisce la mancata comunicazione del cloud provider: WIIT S.p.A.
Ad oggi, nessun comunicato ufficiale è stato diffuso dal provider cloud. Nessuna conferma, nessuna smentita, nessuna nota tecnica o rassicurazione pubblica. E questo non aiuta neanche ulteriori aziende a fare una lesson learned sull’accaduto e più nello specifico:
- Qual è stata la reale dinamica tecnica dell’attacco?
- I dati sono stati esfiltrati da un sistema di backup, da un bucket S3 mal configurato o da altro?
- Quanti clienti WIIT sono coinvolti oltre a Mooney Servizi?
- È stata attivata una procedura di notifica al Garante Privacy o all’ACN?
- I server sui quali si appoggiava WIIT erano nei suoi datacenter oppure acquistati a loro volta da un altro cloud provider?
Resta quindi la narrazione dei clienti – Mooney e i suoi clienti – che si trovano a fare comunicazione di crisi per conto di chi ha subito (o forse originato) l’attacco.
Un nuovo paradigma di rischio
Il caso Mooney-MyCicero evidenzia un nuovo paradigma di rischio. In un ecosistema digitale distribuito, le aziende che si affidano a fornitori di servizi SaaS o cloud non delegano solo l’operatività, ma anche il proprio rischio reputazionale, legale e tecnico. E spesso lo fanno senza visibilità sulle misure effettive adottate nei livelli inferiori della catena.
La domanda che sorge spontanea è: quanto controllo effettivo hanno ATM, Busitalia o TUA sulla sicurezza dei dati quando affidano a un fornitore un servizio che, a sua volta, si appoggia su altri fornitori? O ancora: quante aziende italiane oggi stanno gestendo dati critici su infrastrutture su cui non hanno alcuna governance reale?
Questo incidente non è solo un problema di sicurezza informatica: è un problema di modello operativo. Quando la supply chain si estende su più livelli, la fiducia non può più essere cieca. Serve una due diligence tecnica multilivello, contrattualizzata e verificabile. Serve maggiore trasparenza nei processi di delega infrastrutturale, e serve anche una catena di responsabilità più chiara e, soprattutto, pubblica.
Fino a quando casi come questi verranno gestiti con comunicazioni parziali o frammentate – in attesa che il fornitore a monte decida se e quando dire qualcosa – sarà difficile ripristinare davvero la fiducia dell’utente finale. E l’industria digitale continuerà a inseguire gli attaccanti, un livello di supply chain alla volta.
L'articolo Attacco alla Supply Chain della Supply Chain: nuove vulnerabilità sistemiche e approccio alle terze parti proviene da il blog della sicurezza informatica.
Introducing Infrared Remote Control Protocols
Over on his YouTube channel [Electronic Wizard] has released a video that explains how infrared (IR) remote controllers work: IR Remote Controllers protocol: 101 to advanced.
There is also an honorable mention of the HS0038 integrated-circuit which can interpret the light waves and output a digital signal. Of course if you’re a tough guy you don’t need no stinkin’ integrated-circuit IR receiver implementation because you can build your own!
Before the video concludes there is a brief discussion about how to interpret the binary signal using a combination of long and short pulses. If this looks similar to Morse Code to you that’s because it is similar to Morse Code! But not entirely the same, as you will learn if you watch the video!
youtube.com/embed/B6y6Pbr0ENI?…
The ProStar: the Portable Gaming System and Laptop From 1995
Whilst recently perusing the fine wares for sale at VCF East, [Action Retro] ended up adopting a 1995 ProStar laptop. Unlike most laptops of the era, however, this one didn’t just have the typical trackpad and clicky mouse buttons, but also a D-pad and four suspiciously game controller looking buttons. This makes it rather like the 2002 Sony VAIO PCG-U subnotebook, or the 2018 GPD Win 2, except that inexplicably the manufacturer has opted to put these (serial-connected) game controls on the laptop’s palm rest.
Though branded ProStar, this laptop was manufactured by Clevo, who to this day produces generic laptops that are rebranded by everyone & their dog. This particular laptop is your typical (120 MHz) Pentium-based unit, with two additional PCBs for the D-pad and buttons wired into the mainboard.
Unlike the sleek and elegant VAIO PCG-U and successors, this Clevo laptop is a veritable brick, as was typical for the era, which makes the ergonomics of the game controls truly questionable. Although the controls totally work, as demonstrated in the video, you won’t be holding the laptop, meaning that using the D-pad with your thumb is basically impossible unless you perch the laptop on a stand.
We’re not sure what the Clevo designers were thinking when they dreamed up this beauty, but it definitely makes this laptop stand out from the crowd. As would you, if you were using this as a portable gaming system back in the late 90s.
youtube.com/embed/HXor-r8-AN8?…
Hackaday Links: April 13, 2025
It’s been a while since we’ve dunked on an autonomous taxi foul-up, mainly because it seemed for a while there that most of the companies field testing driverless ride-sharing services had either ceased operation or curtailed them significantly. But that appears not to be the case after a Waymo robotaxi got stuck in a Chick-fil-A drive-through. The incident occurred at the chicken giant’s Santa Monica, California location at about 9:30 at night, when the autonomous Jaguar got stuck after dropping off a passenger in the parking lot. The car apparently tried to use the drive-through lane to execute a multi-point turn but ended up across the entrance, blocking other vehicles seeking their late-evening chicken fix. The drive-through-only restaurant ended up closing for a short time while Waymo figured out how to get the vehicle moving again.
To be fair, drive-through lanes are challenging even for experienced drivers. Lanes are often narrow, curve radii are sometimes tighter than a large vehicle can negotiate smoothly, and the task-switching involved with transitioning from driver to customer can lead to mistakes. Drive-throughs almost seem engineered to make tempers flare, especially at restaurants where hangry drivers are likely to act out at the slightest delay. This is probably doubly so when drivers are stuck behind a driverless car, completely eliminating even the minimal decency that would likely be extended to a human driver who got themselves in a pickle. If people are willing to honk at and curse out the proverbial little old lady from Pasadena, they’re very unlikely to cooperate with a robotaxi and give it the room it needs to maneuver out of a tight spot. Perhaps that argues for a change in programming that accounts for real-world driving experiences as well as the letter of the law.
The big news from space this week was the private Fram2 mission, which took an all-civilian crew on the world’s first crewed polar flight. The four-person crew took off from Florida in a SpaceX Crew Dragon and rather than heading east towards Africa, took off due north and entered a retrograde orbit at 90° inclination, beating the previous record of 65° inclination by Valentina Tereshkova aboard Vostok 6 back in 1963. The Fram2 team managed a couple of other firsts, from the first medical X-rays taken in space to the first amateur radio contacts made from the Dragon.
It’s been a while, but Bill “The Engineer Guy” Hammack is back with a new video extolling the wonders of plastic soda bottles. If you think that’s a subject too mundane to hold your interest, then you’ve never seen Bill at work. The amount of engineering that goes into creating a container that can stand up to its pressurized content while being able to be handled both by automation machines at the bottling plant and by thirsty consumers is a lesson in design brilliance. Bill explains the whole blow-molding process, amazingly using what looks like an actual Coca-Cola production mold. We would have thought such IP would be fiercely protected, but such is Bill’s clout, we guess. The video is also a little trip down memory lane for some of us, as Bill shows off both the two-piece 2-liter bottles that used to grace store shelves and the ponderous glass versions that predated those. Also interesting is the look at the differences between hot-fill bottles and soda bottles, which we never appreciated before.
youtube.com/embed/kU_gH36GG58?…
And finally, if you’ve ever been confused by which logical fallacy is clouding your thinking, why not turn to the most famous fictional logician of all time to clarify things? “Star Trek Logical Reasoning” is a YouTube series by CHDanhauser that uses clips from the Star Trek animated series to illustrate nearly 70 logical fallacies. Each video is quite short, with most featuring Commander Spock eavesdropping on the conversations of his less-logical shipmates and pointing out the flaws in their logic. Luckily, the 23rd century seems to have no equivalent of human(oid) resources, because Spock’s logical interventions are somewhat toxic by today’s standards, but that’s a small price to pay for getting your logical ducks in a row.
youtube.com/embed/videoseries?…
3D Printed Milling Machine is Solid as a Rock
There are no shortage of CNC machines in the DIY space these days, but sometimes you just need to do things your own way. That’s what [Chris Borges] decided when he put together this rock-solid, concrete-filled CNC milling machine.
The concrete body of this machine is housed inside a 3D printed shell, which makes for an attractive skin as well as a handy mold. Within the concrete is a steel skeleton, with the ‘rebar’ being made of threaded rods and a length of square tubing to hold the main column. You can see the concrete being poured in around the rebar in the image, or watch it happen in the build video embedded below.
![An image of the main column of [Chris]'s CNC mill as the concrete is added. The steel reinforcement is clearly visible.](https://poliverso.org/photo/link/297352 "An image of the main column of [Chris]'s CNC mill as the concrete is added. The steel reinforcement is clearly visible.")
Given that [Chris] has apparently never used a true mill before, this design came out remarkably well. Between the Bill of Materials and 45 page step-by-step assembly instructions, he’s also done a fantastic job documenting the build for anyone who wants to put one together for themselves.
This isn’t the first concrete-filled project we’ve highlighted from [Chris], you may remember seeing his lathe on these pages. It certainly isn’t the first CNC mill we’ve covered, either.
youtube.com/embed/L8t82OQXefM?…
The Spade Hardware Description Language
Spade is an open-source hardware description language (HDL) developed at Linköping University, Sweden.
Other HDLs you might have heard of include Verilog and VHDL. Hardware engineers use HDLs to define hardware which can be rendered in silicon. Hardware defined in HDLs might look like software, but actually it’s not software, it’s hardware description. This hardware can be realized myriad ways including in an FPGA or with an ASIC.
Spade implements a type system for strong and static typing inspired by the Rust programming language and can do type inference. It supports pattern matching such as you might see in a typical functional programming language. It boasts having user-friendly and helpful error messages and tooling.
Spade is a work in progress so please expect missing features and breaking changes. The documentation is in The Spade Book. If you’re interested you can follow development on GitLab or Discord.
So now that you know about the Spade language, are you planning to take it for a spin? You will find plenty of Verilog/VHDL designs at Hackaday which you could re-implement using Spade, such as an easy one like Breathing LED Done With Raw Logic Synthesized From A Verilog Design (see benchmarks) or a much more challenging one like Game Boy Recreated In Verilog. If you give Spade a go we’d love to see what you come up with!
youtube.com/embed/N6GiefZDhss?…
Satisfy Your High-Voltage Urges with This Printable Flyback Transformer
Sick of raiding old TVs and CRT monitors for flyback transformers to feed your high-voltage addiction? Never fear; if you’re careful, a 3D-printed flyback might be just the thing you’re looking for.
To be fair, it’s pretty easy to come by new flyback transformers, so building your own isn’t strictly necessary. But [SciTubeHD] was in the market for a particularly large flyback, in a good-natured effort to displace [Jay Bowles] from his lofty perch atop the flyback heap. And it’s also true that this project isn’t entirely 3D-printed, as the split core of the transformer was sourced commercially. The secondary coil, though, was where most of the effort went, with a secondary form made from multiple snap-together discs epoxied together for good measure. The secondary has about a kilometer of 30-gauge magnet wire while the primary holds just ten turns of 8-gauge wire covered with silicone high-voltage insulation.
To decrease the likelihood of arcing, the transformer was placed in a plastic container filled with enough mineral oil liquid dielectric to cover the secondary. After degassing in a vacuum chamber for a day, [SciTubeHD] hooked the primary to a couple of different but equally formidable-looking full-bridge inverters for testing. The coil was capable of some pretty spicy arcs — [SciTubeHD] measured 20 amps draw at 35 volts AC input, so this thing isn’t to be trifled with. STL files for the core parts are coming up soon; we trust schematics for the power supply will be available, too.
youtube.com/embed/SxuzbLQi_nA?…
Software Project Pieces Broken Bits Back Together
With all the attention on LLMs (Large Language Models) and image generators lately, it’s nice to see some of the more niche and unusual applications of machine learning. GARF (Generalizeable 3D reAssembly for Real-world Fractures) is one such project.
GARF may play fast and loose with acronym formation, but it certainly knows how to be picky when it counts. Its whole job is to look at the pieces of a broken object and accurately figure out how to fit the pieces back together, even if there are some missing bits or the edges aren’t clean.
Efficiently and accurately figuring out how to re-assemble different pieces into a whole is not a trivial task. One may think it can in theory be brute-forced, but the complexity of such a job rapidly becomes immense. That’s where machine learning methods come in, as researchers created a system that can do exactly that. It addresses the challenge of generalizing from a synthetic data set (in which computer-generated objects are broken and analyzed for training) and successfully applying it to the kinds of highly complex breakage patterns that are seen in real-world objects like bones, recovered archaeological artifacts, and more.
The system is essentially a highly adept 3D puzzle solver, but an entirely different beast from something like this jigsaw puzzle solving pick-and-place robot. Instead of working on flat pieces with clean, predictable edges it handles 3D scanned fragments with complex break patterns even if the edges are imperfect, or there are missing pieces.
GARF is exactly the kind of software framework that is worth keeping in the back of one’s mind just in case it comes in handy some day. The GitHub repository contains the code (although at this moment the custom dataset is not yet uploaded) but there is also a demo available for the curious.
Learning Linux Kernel Modules Using COM Binary Support
Have you ever felt the urge to make your own private binary format for use in Linux? Perhaps you have looked at creating the smallest possible binary when compiling a project, and felt disgusted with how bloated the ELF format is? If you are like [Brian Raiter], then this has led you down many rabbit holes, with the conclusion being that flat binary formats are the way to go if you want sleek, streamlined binaries. These are formats like COM, which many know from MS-DOS, but which was already around in the CP/M days. Here ‘flat’ means that the entire binary is loaded into RAM without any fuss or foreplay.
Although Linux does not (yet) support this binary format, the good news is that you can learn how to write kernel modules by implementing COM support for the Linux kernel. In the article [Brian] takes us down this COM rabbit hole, which involves setting up a kernel module development environment and exploring how to implement a binary file format. This leads us past familiar paths for those who have looked at e.g. how the Linux kernel handles the shebang (#!) and ‘misc’ formats.
On Windows, the kernel identifies the COM file by its extension, after which it gives it 640 kB & an interrupt table to play with. The kernel module does pretty much the same, which still involves a lot of code.
Of course, this particular rabbit hole wasn’t deep enough yet, so the COM format was extended into the .♚ (Unicode U+265A) format, because this is 2025 and we have to use all those Unicode glyphs for something. This format extension allows for amazing things like automatically exiting after finishing execution (like crashing).
At the end of all these efforts we have not only learned how to write kernel modules and add new binary file formats to Linux, we have also learned to embrace the freedom of accepting the richness of the Unicode glyph space, rather than remain confined by ASCII. All of which is perfectly fine.
Top image: Illustration of [Brian Raiter] surveying the fruits of his labor by [Bomberanian]
Black AI: Nasce Xanthorox AI, la nuova arma degli hacker addestrato per attività criminali
Un nuovo strumento per i criminali informatici è apparso sul dark web: Xanthorox AI, un sistema che si definisce “il killer di WormGPT e di tutti gli EvilGPT”. Questo sviluppo rappresenta una nuova svolta nell’evoluzione dell’intelligenza artificiale nera, volta ad automatizzare gli attacchi e ad aggirare le difese.
Xanthorox nasce nel primo trimestre del 2025. Da allora, ha iniziato a diffondersi attivamente nei forum del darknet e nei canali chiusi. I suoi creatori la promuovono come una piattaforma completamente modulare per operazioni informatiche offensive, focalizzata su privacy, autonomia e personalizzazione.
A differenza di altre IA simili, Xanthorox non utilizza modifiche di modelli esistenti come GPT o LLaMA. Secondo gli sviluppatori, il sistema è costruito da zero e funziona esclusivamente sui propri server, completamente in locale e senza dipendenza da altri modelli.
In termini di architettura, Xanthorox combina cinque modelli diversi, ognuno dei quali è ottimizzato per attività specifiche. Lavorando completamente offline e su server controllati, il sistema evita sorveglianza, blocchi e fughe di dati. Tra le caratteristiche dichiarate: modelli linguistici proprietari (senza utilizzare OpenAI, Meta o Anthropic), elaborazione integrata di immagini e voce, raccolta di informazioni da oltre 50 motori di ricerca, supporto offline e completo isolamento dei dati da terze parti.
Da un punto di vista tecnico, tutte queste funzioni sono realistiche. Esistono già soluzioni che consentono di avviare modelli di intelligenza artificiale locali, di utilizzare voce ed immagini e di raccogliere informazioni dai siti senza utilizzare un’API. Anche se Xanthorox non è perfetto come sembra, l’idea in sé è fattibile e strumenti come questo appariranno sicuramente più spesso.
In termini di funzionalità, Xanthorox si posiziona come un assistente universale per gli hacker criminali.
Genera codice, trova vulnerabilità, analizza dati, lavora con voce e immagini. Il modulo centrale, Xanthorox Coder, automatizza la generazione di script, la creazione di malware e lo sfruttamento delle vulnerabilità. Il modulo Vision analizza le immagini e gli screenshot caricati, estraendone i dati e descrivendone il contenuto. Reasoner Advanced simula il pensiero logico umano e aiuta a risolvere problemi che richiedono una presentazione ben ragionata e una logica coerente, anche se le sue soluzioni non sono sempre precise al 100%.
Il sistema supporta anche il controllo vocale, sia in tempo reale che tramite messaggi vocali. Ciò consente di controllare l’IA senza tastiera, il che può risultare comodo in determinate situazioni. L’integrazione con i motori di ricerca consente a Xanthorox di accedere a informazioni aggiornate, senza restrizioni API e censure. Inoltre, l’analizzatore di file integrato può lavorare con i formati .c, .txt, .pdf e altri: estrae, modifica e riconfeziona i contenuti, il che può essere utile quando si lavora con perdite di dati.
Xanthorox non è solo l’ennesimo tentativo di superare i limiti degli attuali servizi di intelligenza artificiale. Si tratta di un passo avanti verso la creazione di sistemi autonomi, resilienti e mirati, che operano al di fuori del controllo e della supervisione delle grandi piattaforme.
Anche se alcune promesse sono esagerate, il concetto in sé ha già iniziato a concretizzarsi, e le conseguenze potrebbero farsi sentire molto prima di quanto molti pensino.
L'articolo Black AI: Nasce Xanthorox AI, la nuova arma degli hacker addestrato per attività criminali proviene da il blog della sicurezza informatica.
A 17th Century Music Computer
We don’t think of computers as something you’d find in the 17th century. But [Levi McClain] found plans for one in a book — books, actually — by [Athanasius Kirker] about music. The arca musarithmica, a machine to allow people with no experience to compose church music, might not fit our usual definition of a computer, but as [Levi] points out in the video below, there are a number of similarities to mechanical computers like slide rules.
Apparently, there are a few of these left in the world, but as you’d expect, they are quite rare. So [Levi] decided to take the plans from the book along with some information available publicly and build his own.
The computer is a box of wooden cards — tablets — with instructions written on them. Honestly, we don’t know enough about music theory to quite get the algorithm. [Kirker] himself had this to say in his book about the device:
Mechanical music-making is nothing more than a particular system invented by us whereby anyone, even the ἀμουσος [unmusical] may, through various applications of compositional instruments compose melodies according to a desired style. We shall briefly relate how this mechanical music-making is done and, lest we waste time with prefatory remarks, we shall begin with the construction of the Musarithmic Ark.
If you want to try it yourself, you won’t need to break out the woodworking tools. You can find a replica on the web, of course. Let us know if you set any Hackaday posts to music.
We know not everyone thinks something mechanical can be a computer, but we disagree. True, some are more obvious than others.
youtube.com/embed/ko3kZr5N61I?…
The Incomplete JSON Pretty Printer (Brought To You By Vibes)
Incomplete JSON (such as from a log that terminates unexpectedly) doesn’t parse cleanly, which means anything that usually prints JSON nicely, won’t. Frustration with this is what led [Simon Willison] to make The Incomplete JSON pretty printer, a single-purpose web tool that pretty-prints JSON regardless of whether it’s complete or not.
Making a tool to solve a particular issue is a fantastic application of software, but in this case it also is a good lead-in to some thoughts [Simon] has to share about vibe coding. The incomplete JSON printer is a perfect example of vibe coding, being the product of [Simon] directing an LLM to iteratively create a tool and not looking at the actual code once.
[Simon] shares that the term “vibe coding” was first used in a social media post by [Andrej Karpathy], who we’ve seen shared a “hello world” of GPT-based LLMs as well as how to train one in pure C, both of which are the product of a deep understanding of the subject (and fantastically educational) so he certainly knows how things work.
Anyway, [Andrej] had a very specific idea he was describing with vibe coding: that of engaging with the tool in almost a state of flow for something like a weekend project, just focused on iterating one’s way to what they want without fussing the details. Why? Because doing so is new, engaging, and fun.
Since then, vibe coding as a term seems to get used to refer to any and all AI-assisted coding, a subject on which folks have quite a few thoughts (many of which were eagerly shared on a recent Ask Hackaday on the subject).
Of course human oversight is critical to a solid and reliable development workflow. But not all software is the same. In the case of the Incomplete JSON Pretty Printer, [Simon] really doesn’t care what the code actually looks like. He got it made in a short amount of time, the tool does exactly what he wants, and it’s hard to imagine the stakes being any lower. To [Simon], however the LMM decided to do things is fine, and there’s a place for that.
Hacking a Cheap Rechargeable Lamp With Non-Standard USB-C Connector
Recently [Dillan Stock] over at The Stock Pot YouTube channel bought a $17 ‘mushroom’ lamp from his local Kmart that listed ‘USB-C rechargeable’ as one of its features, the only problem being that although this is technically true, there’s a major asterisk. This Inaya-branded lamp namely comes with a USB-C cable with a rather prominent label attached to it that tells you that this lamp requires that specific cable. After trying with a regular USB-C cable, [Dillan] indeed confirmed that the lamp does not charge from a standard USB-C cable. So he did what any reasonable person would do: he bought a second unit and set about to hacking it.
[Dillan] also dug more into what’s so unusual about this cable and the connector inside the lamp. As it turns out, while GND & Vcc are connected as normal, the two data lines (D+, D-) are also connected to Vcc. Presumably on the lamp side this is the expected configuration, while using a regular USB-C cable causes issues. Vice versa, this cable’s configuration may actually be harmful to compliant USB-C devices, though [Dillan] did not try this.
With the second unit in hand, he then started hacking it, with the full plans and schematic available on his website.
The changes include a regular USB-C port for charging, an ESP32 board with integrated battery charger for the 18650 Li-ion cell of the lamp, and an N-channel MOSFET to switch the power to the lamp’s LED. With all of the raw power from the ESP32 available, the two lamps got integrated into the Home Assistant network which enables features such as turning the lamps on when the alarm goes off in the morning. All of this took about $7 in parts and a few hours of work.
Although we can commend [Dillan] on this creative hack rather than returning the item, it’s worrying that apparently there’s now a flood of ‘USB C-powered’ devices out there that come with non-compliant cables that are somehow worse than ‘power-only’ USB cables. It brings back fond memories of hunting down proprietary charging cables, which was the issue that USB power was supposed to fix.
youtube.com/embed/E_6Y1iip3p0?…
Vibe Check: False Packages a New LLM Security Risk?
Lots of people swear by large-language model (LLM) AIs for writing code. Lots of people swear at them. Still others may be planning to exploit their peculiarities, according to [Joe Spracklen] and other researchers at USTA. At least, the researchers have found a potential exploit in ‘vibe coding’.
Everyone who has used an LLM knows they have a propensity to “hallucinate”– that is, to go off the rails and create plausible-sounding gibberish. When you’re vibe coding, that gibberish is likely to make it into your program. Normally, that just means errors. If you are working in an environment that uses a package manager, however (like npm in Node.js, or PiPy in Python, CRAN in R-studio) that plausible-sounding nonsense code may end up calling for a fake package.
A clever attacker might be able to determine what sort of false packages the LLM is hallucinating, and inject them as a vector for malicious code. It’s more likely than you think– while CodeLlama was the worst offender, the most accurate model tested (ChatGPT4) still generated these false packages at a rate of over 5%. The researchers were able to come up with a number of mitigation strategies in their full paper, but this is a sobering reminder that an AI cannot take responsibility. Ultimately it is up to us, the programmers, to ensure the integrity and security of our code, and of the libraries we include in it.
We just had a rollicking discussion of vibe coding, which some of you seemed quite taken with. Others agreed that ChatGPT is the worst summer intern ever. Love it or hate it, it’s likely this won’t be the last time we hear of security concerns brought up by this new method of programming.
Special thanks to [Wolfgang Friedrich] for sending this into our tip line.
La Tragedia Di Andrea Prospero E Il Lato Oscuro Delle Droghe Online: Un Allarme Da Non Ignorare
La recente scomparsa di Andrea Prospero, avvenuta a Perugia dopo l’ingestione di pasticche di Oxycodone (meglio noto come OxyContin), ha acceso i riflettori su un fenomeno preoccupante che si sta espandendo in silenzio tra i giovani: l’abuso di farmaci oppioidi acquistati illegalmente sul web.
Numerosi servizi di Chi l’ha visto? su Rai Tre hanno acceso i riflettori su questo fenomeno, che purtroppo non rappresenta un caso isolato. La vendita e l’acquisto di sostanze stupefacenti, infatti, fanno parte della storia di Internet sin dai tempi di Silk Road, il primo grande mercato Underground online.
Secondo le ricostruzioni, Andrea aveva ottenuto le pillole attraverso canali di vendita attivi su Telegram, dove gruppi organizzati offrivano farmaci contraffatti o rubati, spesso spacciati come sicuri grazie a false ricette mediche.
Nelle nostre analisi, abbiamo identificato diversi mercati underground che permettono l’acquisto di grandi quantità di pasticche di OxyContin senza necessità di prescrizione medica, con il pagamento effettuato tramite criptovalute per garantire anonimato e sicurezza nelle transazioni.
Abbiamo approfondito il fenomeno all’interno dei mercati underground criminali per capire quanto sia diventato facile, oggi (ma anche in passato), per chiunque disponga di un computer e di una conoscenza di base delle criptovalute, acquistare sostanze illegali con pochi click.
I Mercati della droga nelle underground
L’acquisto di droghe su Internet non è un fenomeno recente. Fin dagli albori del cosiddetto “dark web”, le sostanze stupefacenti hanno rappresentato una delle principali merci scambiate attraverso piattaforme clandestine. La storia di questo fenomeno è strettamente legata a quella di Silk Road, il primo grande mercato nero online.
Silk Road nacque nel febbraio del 2011, fondato da Ross Ulbricht, conosciuto con il nickname “Dread Pirate Roberts“. Il sito, accessibile solo attraverso la rete anonima Tor, fu pensato come un vero e proprio “Amazon delle droghe”: un marketplace in cui gli utenti potevano acquistare cannabis, LSD, MDMA, eroina e una vasta gamma di altri stupefacenti, pagando in Bitcoin per garantire l’anonimato.
La piattaforma offriva un sistema di recensioni e feedback sui venditori, creando una parvenza di “fiducia” tra compratori e spacciatori. Gli amministratori di Silk Road fungevano da intermediari per le transazioni, trattenendo una percentuale sulle vendite.
Nonostante i suoi sforzi per restare nascosto, Silk Road venne chiuso nell’ottobre del 2013 dall’FBI, dopo oltre due anni e mezzo di attività. Al momento della sua chiusura, contava più di 13.000 annunci di vendita di droghe.
Oggi, a distanza di oltre un decennio, il commercio di sostanze stupefacenti online è tutt’altro che scomparso. Al contrario, si è evoluto e radicato, con decine di marketplace attivi che operano su modelli simili a quello inaugurato da Silk Road. Acquistare droghe su Internet resta, ancora oggi, uno dei business principali delle underground criminali.
Secondo il World Drug Report 2021 redatto dall’UNODC (United Nations Office on Drugs and Crime), il mercato globale delle droghe online ha registrato un incremento vertiginoso negli ultimi anni. Nel 2020, si stimava che i mercati del dark web generassero circa 315 milioni di dollari. Oggi, le notizie più recenti di Europol parlano di un mercato che si avvicina a 1,2 miliardi di dollari, sebbene questi numeri rimangano ancora provvisori e in fase di definizione.
La nostra analisi
Nonostante il fenomeno sia già noto, abbiamo ritenuto fondamentale verificarne di persona la gravità attuale, esplorando alcuni mercati underground del dark web. Ecco cosa abbiamo constatato:
- L’Oxycodone viene venduto a pacchetti, dove maggiore è la quantità maggiore è lo sconto;
- I venditori promettono spedizioni “sicure e anonime” anche in Italia;
- E’ possibile acquistare in modo anonimo attraverso meccanismi di escrow (attraverso un intermediario);
- Non è necessaria nessuna prescrizione: basta pagare in criptovaluta e attendere la spedizione postale.
La situazione è allarmante: decine di canali underground offrono qualsiasi tipologia di farmaco, sfruttando la fragilità e l’ingenuità di ragazzi ed adulti. Tra i ragazzi, diversi fattori spiegano la crescita dell’uso di Oxycodone tra i giovani:
- Apparenza innocua: viene percepito come “meno pericoloso” rispetto all’eroina o alla cocaina perché è un “farmaco da farmacia”;
- Facilità di reperibilità online: i social come Telegram e i marketplace del dark web abbondano di offerte;
- Costo relativamente basso rispetto ad altre droghe illegali;
- Ignoranza sui rischi reali: molti ragazzi non conoscono la rapidità con cui l’Oxycodone può portare alla dipendenza o a un’overdose.
L’Oxycodone non è un farmaco leggero; è un potente analgesico oppioide utilizzato per il trattamento del dolore grave e cronico. A livello terapeutico, viene prescritto principalmente a pazienti che soffrono di dolore intenso, come quelli con tumori o lesioni gravi, e viene somministrato sotto stretto controllo medico per evitare abusi e dipendenze. Non è indicato per il trattamento del dolore lieve o moderato, e il suo uso deve essere attentamente monitorato per prevenire effetti collaterali gravi, inclusa la dipendenza.
L’uso fuori controllo può portare a:
- Depressione respiratoria
- Coma
- Morte per overdose, come purtroppo è accaduto ad Andrea.
E basta una sola dose sbagliata per trasformare una ricerca di “sballo” in una tragedia irreversibile.
La tragica morte di Andrea deve essere un campanello d’allarme per tutti noi. Non possiamo più chiudere gli occhi di fronte a un fenomeno (seppur conosciuto) che cresce silenziosamente, mettendo a rischio la vita di tanti giovani. È fondamentale intervenire in modo deciso su più fronti: prima di tutto, la cosa principale è la consapevolezza del rischio ed è essenziale informare correttamente i ragazzi da parte dei genitori, sensibilizzandoli sui pericoli legati all’acquisto e all’uso di farmaci come l’Oxycodone, spesso reperibili con estrema facilità online.
È altrettanto importante rendere più difficile l’accesso illegale a questi farmaci, intensificando i controlli sui mercati online e aumentando la sicurezza nelle transazioni digitali. Inoltre, bisogna riconoscere i segnali di abuso fin dai primi segni, in modo da poter intervenire tempestivamente. Infine, è necessario promuovere controlli più serrati su social network e nel dark web, dove spesso si celano traffici illeciti più difficili da sradicare.
Parlarne non basta più: è il momento di agire concretamente per proteggere le vite dei nostri giovani e arginare questo pericolo crescente.
I mercati del Dark Web
I mercati nel dark web sono da sempre un punto di riferimento per l’acquisto di sostanze stupefacenti a prezzi decisamente modici, con il pagamento effettuato attraverso criptovalute per garantire l’anonimato delle transazioni. Questi mercati, che operano sotto il radar delle forze dell’ordine, permettono agli acquirenti di accedere facilmente a farmaci come l’Oxycodone e altre sostanze pericolose.
I prezzi possono variare in base alla quantità acquistata: ad esempio, una singola pasticca può costare circa 15 dollari, mentre è possibile acquistare un blocco di 100 pillole per circa 830 euro. La facilità con cui è possibile accedere a questi farmaci, unita all’anonimato garantito dalle criptovalute e dal dark web, rende il fenomeno particolarmente insidioso e pericoloso, specialmente per i giovani che potrebbero cadere in questa rete di traffico illecito.
I mercati nel dark web non solo permettono l’acquisto diretto di sostanze stupefacenti a prezzi contenuti, ma offrono anche opportunità per coloro che desiderano fare affari illeciti rivendendo le droghe a prezzi maggiorati. Acquistando grosse quantità di farmaci come l’Oxycodone, gli utenti possono successivamente rivenderle su piattaforme come Telegram o attraverso altri canali di commercio illecito, ottenendo profitti sostanziosi.
Questo meccanismo di acquisto e rivendita alimenta un circolo vizioso di traffico di sostanze, dove chi si inserisce nel sistema può moltiplicare il proprio guadagno rivendendo a prezzi più alti, sfruttando la domanda crescente e l’anonimato garantito dalla rete. Questo tipo di attività rende ancora più difficile il controllo del fenomeno e amplifica i rischi associati al traffico di droghe online.
I mercati underground operano in modo simile ai tradizionali e-commerce, ma con l’obiettivo di facilitare il commercio di beni illeciti, come le sostanze stupefacenti. Come nei normali marketplace online, anche in questi ambienti vengono utilizzati sistemi di feedback che permettono agli acquirenti di lasciare recensioni sui venditori, creando un sistema di fiducia che aiuta a garantire la qualità e l’affidabilità delle transazioni.
Inoltre, molti di questi mercati fanno uso del meccanismo dell’escrow (escussione), un sistema di protezione delle transazioni che consente di “congelare” il pagamento fino a quando l’acquirente non conferma di aver ricevuto correttamente il prodotto. In altre parole, l’escrow agisce come una terza parte neutrale, trattenendo i fondi fino a quando non vengono soddisfatti tutti i termini dell’accordo, riducendo il rischio di frodi sia per gli acquirenti che per i venditori. Questo sistema di garanzia contribuisce a rendere questi mercati più sicuri e attraenti per chiunque sia coinvolto nel traffico illecito online.
I mercati di Telegram
Su Telegram, il dark web assume la forma di un vero e proprio Far West, dove il commercio illecito di sostanze stupefacenti. Come più volte documentato dalla trasmissione Chi l’ha visto?esistono numerosi canali dedicati esclusivamente alla vendita di questo potente farmaco.
Inoltre, moltissimi piccoli rivenditori pubblicano regolarmente annunci con immagini dei farmaci in vendita, accompagnati da richieste di contatto per concludere la transazione. Questa modalità di vendita diretta e decentralizzata rende ancora più difficile il controllo di queste attività illecite, sfruttando la sicurezza e l’anonimato garantiti dalla piattaforma.
Clear Web e la direzione verso le underground
Anche nel clear web, cioè quella parte visibile di Internet, esistono canali sui social network che fanno riferimento a mercati underground, come quelli su Telegram, dove è possibile richiedere informazioni per l’acquisto di droghe.
Questi canali fungono da ponte tra la superficie di Internet e i circuiti illeciti underground del dark web, alla portata di 5 click, che permettono di entrare in contatto con rivenditori di sostanze stupefacenti.
Ciò significa che anche attraverso i social network più comuni, come Instagram, Facebook o Twitter, è possibile indirizzare le persone verso canali underground, facilitando così l’accesso al traffico illecito e ai mercati di droga nascosti.
Questo meccanismo rende ancora più insidiosa la possibilità di entrare in contatto con queste reti, sfruttando la diffusa presenza sui social per mascherare l’illegalità.
Conclusioni
Il caso della tragica morte di Andrea Prospero ha riportato sotto i riflettori una realtà che da anni cresce silenziosamente: l’accesso illegale a farmaci potenti e a basso costo come l’Oxycodone è più semplice di quanto si pensi. Il fenomeno non è nuovo: dal tempo di Silk Road, i mercati underground hanno offerto un canale diretto per l’acquisto di sostanze stupefacenti, e ancora oggi, il traffico di droghe online rappresenta uno dei principali business illeciti a livello globale.
La situazione è aggravata dalla diffusione capillare su Telegram e, indirettamente, anche dal clear web, dove canali e profili social fungono da vetrina per indirizzare gli utenti verso i circuiti sotterranei. I mercati underground funzionano ormai come veri e propri e-commerce illegali, con sistemi di feedback, pagamenti in criptovalute e l’uso dell’escrow per garantire transazioni “sicure” agli acquirenti.
È evidente che l’Oxycodone, un farmaco estremamente potente destinato a casi clinici gravi come pazienti oncologici o persone con dolori cronici severi, sia ormai divenuto merce di consumo tra i più giovani, attratti da un’illusoria facilità d’accesso e dall’idea di una droga “sicura” perché di origine farmaceutica.
L’accesso a queste sostanze sta alimentando un mercato sommerso che non solo mette a rischio la salute pubblica, ma contribuisce anche al sostentamento di circuiti criminali sempre più organizzati e difficili da tracciare.
Non possiamo restare in silenzio. È urgente:
- Informare ragazzi e famiglie sui pericoli reali.
- Rafforzare i controlli sui social network e sulle piattaforme di messaggistica.
- Promuovere attività investigative mirate al tracciamento di questi canali.
- Educare all’uso consapevole di Internet, evidenziando i rischi nascosti anche nei luoghi apparentemente innocui.
La morte di Andrea non deve essere solo una notizia di cronaca: deve diventare un punto di svolta per una presa di coscienza collettiva, soprattutto verso i genitori dei più giovani.
Parlarne non basta più: è il momento di agire.
L'articolo La Tragedia Di Andrea Prospero E Il Lato Oscuro Delle Droghe Online: Un Allarme Da Non Ignorare proviene da il blog della sicurezza informatica.
DIY Soldering Tweezers, Extra Thrifty
It started when [Mitxela] was faced with about a hundred incorrectly-placed 0603 parts. Given that he already owned two TS101 soldering irons, a 3D printer, and knows how to use FreeCAD (he had just finished designing a custom TS101 holder) it didn’t take long to create cost-effective DIY soldering tweezers.
The result works great! The TS101 irons are a friction-fit and the hinge (designed using the that-looks-about-right method) worked out just fine on the first try. Considering two TS101 irons are still cheaper than any soldering tweezer he could find, and one can simply undock the TS101s as needed, we call this a solid win.
One feature we really like is being able to precisely adjust the depth of each iron relative to each other, so that the tips can be made to line up perfectly. A small screw and nut at the bottom end of each holder takes care of that. It’s a small but very thoughtful design feature.
Want to give it a try? The FreeCAD design file (and .stl model) is available from [Mitxela]’s project page. Just head to the bottom to find the links.
We’ve seen DIY soldering tweezers using USB soldering irons from eBay but the TS101 has a form factor that seems like a particularly good fit.
Biting Off More Than I Can Chew
Earlier this year, I bought one of those K40-style laser machines that was listed at a ridiculously low price, and it arrived broken. Well, let me qualify that: the laser tube and the power supply work perfectly, but that’s about the best you can say about it.
On first power-up, it made a horrible noise, the Y-axis was jammed, the X-axis was so off-square that it was visibly apparent, and it turned out that as I fixed one of these problems after the other, that it was just the tip of the iceberg. The Y-axis was jammed because the belts were so tight that they made the motor bind. Replacing them, because they were simply too short, got the stage moving, but it didn’t engage the endstops. Fixing those revealed that the motor was stepped wrong, and flipping the pins in the connector finally got it homing in the right direction. Full disassembly and reassembly steps required at each stage here.
The X-axis just needed adjustment, but the opto on its endstop had been completely crushed by a previous failed homing, and I had to desolder and resolder in a new one. (Keep your junkbox well stocked!) With the machine working, it became obvious that the driver board was barely usable. It accelerates horribly jerkily, which makes the motors skip and stall. It had to be run artificially slowly because it couldn’t make the corners. So I put in a new motor controller board that handles Gcode and does legitimate acceleration ramps.
Movement mostly fixed, it was time to align the laser. Of course, the optical path is all messed up, they forgot the o-ring that holds the focusing lens in place, and the thing keeps powering down randomly. This turns out to be because of the aiming red laser pointer, which has a positive case, which is shorting through the single wrap of electrical tape that “insulates” it from the machine’s frame. When this shorts, the motor driver board browns out. Lovely!
Once I was finally able to start aligning the beam, I discovered that the frame is warped out of plane. The simple solution is to take it all apart again and shim it until it’s flat, but I just haven’t had the time yet. I’m not beaten, but it’s been eating up hours after hours on the weekends, and that time is scarce.
I love DIY, and I love taking a machine apart in order to understand it. Once. But I’m now on my tenth or twelfth unmounting of the motion stage, and frankly, it’s no fun any more. It would have been quicker, if maybe not cheaper, to have built this machine entirely from scratch. At least for the moment, I’ve bitten off more than I have time to chew.
This article is part of the Hackaday.com newsletter, delivered every seven days for each of the last 200+ weeks. It also includes our favorite articles from the last seven days that you can see on the web version of the newsletter. Want this type of article to hit your inbox every Friday morning? You should sign up!
Tiny Pogo Robot Gets Wings, Does Flips
Most robots depend on controlled environments, because the real world is hard to get around in. The smaller the robot, the bigger this problem because little wheels (or legs) can take only little steps. One way around that is MIT’s latest one-legged hopping robot, which sports a set of four insect-like wings on its top end and can quickly pogo-hop its way across different terrain with ease.
The wings aren’t for flying in the usual sense. They provide lift, but also help the tiny device steer itself so that its hops land precisely. Earlier incarnations of one-legged hopping robots (like this one) accomplished this with propellers and electric motors, but traditional motors are a non-starter on a device that weighs less than a paperclip.
Right now, this little winged hopper is not completely self-contained (power and control systems are off-board) but running it as a tethered unit allows researchers to test and evaluate different, minimalistic ways for a machine to move around efficiently. And efficiency is the whole goal of going in this direction.
Certainly tiny flying drones already exist and get about in the real world just fine. But if one wants to shed mass, ditch conventional motors, and reduce cost and power consumption, this tiny winged hopping machine is one way to do it. And it can even carry payloads! The payloads are tiny, of course, but being able to haul around ten times one’s own weight and still function reliably is an impressive feat.
You can watch it in action in the video embedded just below the page break. Once you’ve watched that, we’d like to remind you that novel locomotion isn’t just the domain of hopping robots. Tiny robots with explosive joints is just as wild as it sounds.
youtube.com/embed/UlxQz8F59Hk?…
Repairing Classic Sound Cards
Sound hardware has been built into PC motherboards for so long now it’s difficult to remember the days when a sound card was an expensive add-on peripheral. By the mid to late 1990s they were affordable and ubiquitous enough to be everywhere, but three decades later some of them are starting to fail. [Necroware] takes us through the repair of a couple of Creative Labs Sound Blaster 16s, which were the card to have back then.
The video below is a relaxed look at typical problems afflicting second-hand cards with uncertain pasts. There’s a broken PCB trace on the first one, which receives a neat repair. The second one has a lot more wrong with it though, and reveals some surprises. We would have found the dead 74 series chips, but we’re not so sure we’d have immediately suspected a resistor network as the culprit.
Watching these cards become sought-after in the 2020s is a little painful for those of us who were there at the time, because it’s certain we won’t be the only ones who cleared out a pile of old ISA cards back in the 2000s. If you find one today and don’t have an ISA slot, worry not, because you can still interface it via your LPC bus.
youtube.com/embed/J4djhBXUQ1I?…
Violazione Dati Personali dell’App Tua Abruzzo: Un ennesimo attacco alla Supply Chain
Tuabruzzo informa i propri utenti di una recente violazione di dati personali che ha coinvolto il fornitore di servizi informatici MyCicero S.r.l., incaricato come Responsabile del trattamento dei dati.
La trasparenza nei confronti degli utenti è una priorità assoluta, motivo per cui è stato deciso di comunicare apertamente quanto accaduto. L’azienda sottolinea l’importanza di mantenere la fiducia, aggiornando tempestivamente tutti gli interessati.
l’APP Tua Abruzzo consente di acquistare biglietti e abbonamenti per spostarti con i mezzi pubblici in tutta la regione, consultare gli orari, organizzare il tuo viaggio, inserendo il punto di partenza e arrivo, e consultando tutte le soluzioni fra cui scegliere e avere sempre tutto a portata di mano, senza bisogno di titoli cartacei.
La violazione
Nei giorni scorsi, un attacco alla supply chain di MyCicero ha segnalato una violazione causata da attività malevole condotte da attori esterni non identificati che hanno preso di mira i loro server . Appena ricevuta la notifica dell’incidente, Tuabruzzo ha avviato tutte le verifiche necessarie per comprendere l’entità e l’impatto dell’evento.
Come misura immediata, l’accesso ai sistemi è stato sospeso temporaneamente per consentire interventi di sicurezza urgenti, motivo per cui alcuni utenti potrebbero aver riscontrato rallentamenti o problemi di accesso all’App.
Nonostante l’adozione di stringenti misure di protezione dei dati, la violazione potrebbe aver portato soggetti terzi non autorizzati a venire a conoscenza di informazioni personali degli utenti. Questo rappresenta un rischio importante, sebbene al momento non siano emerse evidenze di utilizzi illeciti dei dati sottratti. L’azienda, tuttavia, invita alla massima attenzione per eventuali comunicazioni sospette o richieste anomale.
Dalle analisi condotte, i dati che potrebbero essere stati compromessi comprendono informazioni di base come nome, cognome e indirizzo e-mail. Al momento non risulta coinvolta nessuna informazione sensibile o bancaria, ma Tuabruzzo continua a monitorare la situazione per intervenire tempestivamente in caso emergessero nuovi elementi.
A seguito dell’accaduto, sono state rafforzate le misure di sicurezza sui sistemi di gestione dati e sono in corso ulteriori controlli per prevenire futuri incidenti. Tuabruzzo resta a disposizione degli utenti per fornire supporto e chiarimenti, ribadendo il proprio impegno costante nella tutela della sicurezza delle informazioni personali.
Attacchi alla Supply Chain
In questo contesto storico, assistiamo sempre più spesso a perdite “collaterali” legate a problematiche nella supply chain. Non si tratta di esfiltrazioni che avvengono direttamente dalle infrastrutture IT delle aziende colpite, ma di violazioni che interessano terze parti e fornitori esterni con cui esse collaborano. Questo scenario mette in evidenza come oggi i fornitori rappresentino un vero e proprio “tallone d’Achille” per la cybersecurity aziendale. Non solo nella produzione, ma anche nella protezione dei dati e dei servizi digitali, è fondamentale prestare la massima attenzione a queste dinamiche.
Gli attacchi alla supply chain possono manifestarsi in molteplici forme: vulnerabilità nei sistemi, infezioni malware, oppure condotte scorrette da parte di dipendenti infedeli. Gli effetti possono essere devastanti, arrivando a causare fermi delle linee produttive e danni a catena su clienti, partner e reputazione aziendale.
Per questo motivo, le attività di controllo e monitoraggio non devono limitarsi alle sole infrastrutture IT interne, ma devono necessariamente estendersi anche ai sistemi tecnologici di partner e fornitori. È fondamentale prevedere nei contratti specifiche clausole che regolamentino gli standard minimi di sicurezza informatica da rispettare.
In un contesto dove ogni anello della catena può rappresentare una vulnerabilità, è indispensabile investire con decisione nella gestione del rischio della supply chain. Il nostro consiglio è di adottare misure concrete che prevedano il diritto di audit, consentendo così al cliente di effettuare controlli periodici sulla sicurezza, per verificare il rispetto dei requisiti stabiliti nei contratti di fornitura. Approfondire questi aspetti non è più un’opzione, ma una necessità strategica per ogni azienda. Questo viene anche richiesto nell’articolo 21 del NIS2che riporta che le entità devono adottare misure adeguate e proporzionate per valutare e gestire i rischi, compresi quelli relativi alla sicurezza delle catene di approvvigionamento, e garantiscono che i contratti con i fornitori includano clausole che permettano la verifica della conformità ai requisiti di sicurezza.
Infine, occorre ricordare che, nel momento in cui avviene una violazione, è quasi sempre il brand del cliente finale ad apparire sui giornali, mentre il fornitore coinvolto resta spesso in secondo piano. Un ulteriore motivo per cui la sicurezza nella catena di approvvigionamento non può essere trascurata.
Questo episodio evidenzia ancora una volta quanto gli attacchi alla supply chain possano avere effetti a cascata su più realtà aziendali. La violazione subita da MyCicero, infatti, non ha colpito solo l’App Tuabruzzo, ma ha avuto ripercussioni anche su ATM Milano, altro cliente del fornitore. Questa situazione dimostra quanto sia delicato l’equilibrio tra le infrastrutture IT dei fornitori di servizi e quelle delle terze parti che li utilizzano. La sicurezza dell’intero ecosistema digitale dipende dalla solidità di ogni singolo anello della catena: una vulnerabilità in un punto può propagarsi rapidamente, coinvolgendo più organizzazioni e aumentando esponenzialmente i rischi per utenti e aziende.
L'articolo Violazione Dati Personali dell’App Tua Abruzzo: Un ennesimo attacco alla Supply Chain proviene da il blog della sicurezza informatica.
Un attacco alla Supply Chain colpisce L’Azienda Trasporti Milanesi ATM che lo comunica agli utenti
ATM (acronimo di Azienda Trasporti Milanesi) ha informato i propri utenti di un incidente di sicurezza che ha coinvolto l’app ufficiale. Nella serata di sabato 5 aprile, la società Mooney Servizi S.p.A., responsabile della gestione tecnica della piattaforma e del trattamento dei dati personali degli utenti, ha subito un attacco informatico.
La notizia è stata immediatamente comunicata ad ATM, che ha iniziato a collaborare con Mooney per fronteggiare la situazione. In risposta all’attacco, la società ha tempestivamente isolato i sistemi compromessi, limitando così ulteriori accessi non autorizzati.
Cosa è successo
L’attacco ha portato alla violazione di alcuni dati personali degli utenti registrati all’app ATM. Le informazioni coinvolte riguardano dati anagrafici, di contatto e di profilo cliente. Fortunatamente, non sono stati compromessi dati particolarmente sensibili come le carte di credito, i bancomat, altri sistemi digitali di pagamento, né le credenziali di accesso all’app o gli indirizzi di domicilio o residenza degli utenti. Questo ha contribuito a contenere l’incidente sotto il profilo delle possibili conseguenze economiche.
Nonostante la natura limitata dei dati coinvolti, l’incidente comporta comunque un rischio legato alla perdita di riservatezza delle informazioni personali. In particolare, esiste la possibilità che i dati sottratti possano essere divulgati o utilizzati senza autorizzazione. Si invitano quindi le persone utenti dell’APP a prestare attenzione a eventuali comunicazioni sospette che potrebbero derivare da un uso improprio di queste informazioni.
A fronte della violazione, ATM si è subito attivata adottando una serie di misure urgenti. L’azienda ha chiesto a Mooney Servizi una reportistica aggiornata e dettagliata sulle misure di sicurezza implementate, per comprendere l’entità dell’attacco e garantire una risposta adeguata. Inoltre, sono stati immediatamente rafforzati i sistemi di sicurezza per proteggere ulteriormente i dati e prevenire nuovi tentativi di intrusione.
ATM conclude rassicurando gli utenti sul proprio impegno continuo per garantire la protezione dei dati personali. L’azienda sta lavorando a stretto contatto con Mooney Servizi e con le autorità competenti per monitorare la situazione e aggiornare tempestivamente gli utenti su eventuali sviluppi. La trasparenza e la tutela della privacy restano una priorità assoluta, in un contesto in cui le minacce informatiche si fanno purtroppo sempre più sofisticate.
L’ATM è una società per azioni di proprietà del comune di Milano, che gestisce il servizio di trasporto pubblico su un territorio che interessa oltre 3,3 milioni di abitanti e che comprende la città di Milano e 95 comuni della Lombardia.
Gestisce, inoltre, il controllo della sosta su strada, i parcheggi di interscambio, il servizio di bike sharing “BikeMi”, il Sistema Integrato del Traffico e del Territorio (“SCTT”) e le zone a traffico limitato “Area B” e “Area C” del capoluogo lombardo.
Attacchi alla Supply Chain
In questo contesto storico, assistiamo sempre più spesso a perdite “collaterali” legate a problematiche nella supply chain. Non si tratta di esfiltrazioni che avvengono direttamente dalle infrastrutture IT delle aziende colpite, ma di violazioni che interessano terze parti e fornitori esterni con cui esse collaborano. Questo scenario mette in evidenza come oggi i fornitori rappresentino un vero e proprio “tallone d’Achille” per la cybersecurity aziendale. Non solo nella produzione, ma anche nella protezione dei dati e dei servizi digitali, è fondamentale prestare la massima attenzione a queste dinamiche.
Gli attacchi alla supply chain possono manifestarsi in molteplici forme: vulnerabilità nei sistemi, infezioni malware, oppure condotte scorrette da parte di dipendenti infedeli. Gli effetti possono essere devastanti, arrivando a causare fermi delle linee produttive e danni a catena su clienti, partner e reputazione aziendale.
Per questo motivo, le attività di controllo e monitoraggio non devono limitarsi alle sole infrastrutture IT interne, ma devono necessariamente estendersi anche ai sistemi tecnologici di partner e fornitori. È fondamentale prevedere nei contratti specifiche clausole che regolamentino gli standard minimi di sicurezza informatica da rispettare.
In un contesto dove ogni anello della catena può rappresentare una vulnerabilità, è indispensabile investire con decisione nella gestione del rischio della supply chain. Il nostro consiglio è di adottare misure concrete che prevedano il diritto di audit, consentendo così al cliente di effettuare controlli periodici sulla sicurezza, per verificare il rispetto dei requisiti stabiliti nei contratti di fornitura. Approfondire questi aspetti non è più un’opzione, ma una necessità strategica per ogni azienda. Questo viene anche richiesto nell’articolo 21 del NIS2che riporta che le entità devono adottare misure adeguate e proporzionate per valutare e gestire i rischi, compresi quelli relativi alla sicurezza delle catene di approvvigionamento, e garantiscono che i contratti con i fornitori includano clausole che permettano la verifica della conformità ai requisiti di sicurezza.
Infine, occorre ricordare che, nel momento in cui avviene una violazione, è quasi sempre il brand del cliente finale ad apparire sui giornali, mentre il fornitore coinvolto resta spesso in secondo piano. Un ulteriore motivo per cui la sicurezza nella catena di approvvigionamento non può essere trascurata.
Questo episodio evidenzia ancora una volta quanto gli attacchi alla supply chain possano avere effetti a cascata su più realtà aziendali. La violazione subita da MyCicero, infatti, non ha colpito solo l’App Tuabruzzo, ma ha avuto ripercussioni anche su ATM Milano, altro cliente del fornitore. Questa situazione dimostra quanto sia delicato l’equilibrio tra le infrastrutture IT dei fornitori di servizi e quelle delle terze parti che li utilizzano. La sicurezza dell’intero ecosistema digitale dipende dalla solidità di ogni singolo anello della catena: una vulnerabilità in un punto può propagarsi rapidamente, coinvolgendo più organizzazioni e aumentando esponenzialmente i rischi per utenti e aziende.
L'articolo Un attacco alla Supply Chain colpisce L’Azienda Trasporti Milanesi ATM che lo comunica agli utenti proviene da il blog della sicurezza informatica.
Dall’inganno di Zoom al disastro ransomware: viaggio nel cuore dell’attacco BlackSuit
Era una giornata qualsiasi quando un utente ignaro, probabilmente alle prese con una call imminente, ha visitato un sito che sembrava legittimamente legato a Zoom, la nota piattaforma per videoconferenze. Grafica perfetta, dominio plausibile, contenuti apparentemente autentici. Ma dietro quell’interfaccia rassicurante si celava una trappola perfettamente architettata. L’utente scarica quello che crede essere l’installer ufficiale dell’applicazione. Lo esegue. E senza rendersene conto, spalanca le porte a un attacco multi-fase che culminerà, nove giorni dopo, nella devastazione completa del suo ambiente aziendale.
È quanto accaduto recentemente in un attacco analizzato nel dettaglio da The DFIR Report, che ha portato all’infezione e alla crittografia completa di una rete aziendale da parte del ransomware BlackSuit.
Quello che seguirà è un viaggio all’interno di una kill chain articolata, dove ogni componente malevolo ha uno scopo ben definito e ogni passaggio è pensato per restare sotto il radar il più a lungo possibile. Un attacco in cui la pazienza è stata l’arma principale dell’attaccante, e dove la vera forza non stava nella velocità, ma nella silenziosa e metodica occupazione del perimetro digitale della vittima.
Fase uno: Initial Access e installazione del loader
Il primo passo dell’attacco è quello che, da sempre, si conferma tra i più efficaci e pericolosi: l’ingegneria sociale. L’attore minaccia ha creato un sito clone di Zoom, perfettamente curato, al punto da ingannare sia utenti comuni che utenti aziendali. Il file scaricato non è altro che un installer trojanizzato, apparentemente funzionante, ma che contiene al suo interno il primo componente malevolo della catena: d3f@ckloader.
Questo loader, come da definizione, non svolge direttamente attività offensive visibili, ma agisce come ponte verso i successivi payload. Una volta eseguito, instaura immediatamente una comunicazione cifrata con un server di comando e controllo (C2) e scarica componenti aggiuntivi. Tra questi, uno in particolare gioca un ruolo chiave nelle fasi iniziali dell’attacco: SectopRAT.
Fase due: accesso remoto e raccolta delle informazioni
SectopRAT (Remote Access Trojan) è uno strumento già noto nel panorama delle minacce, apprezzato dagli attori malevoli per la sua leggerezza e per l’ampia gamma di funzionalità che offre. Non solo permette l’accesso da remoto alla macchina infetta, ma include capacità di keylogging, cattura dello schermo, gestione dei file e monitoraggio delle attività dell’utente.
L’attaccante, sfruttando SectopRAT, inizia a mappare la rete, raccogliere informazioni sugli utenti, sulla configurazione delle macchine e sulle credenziali. Questa fase è cruciale: non si tratta ancora di un attacco visibile o distruttivo, ma di una fase silenziosa, dove ogni azione è mirata a costruire una conoscenza dettagliata dell’ambiente.
Dall’analisi del traffico e dei log, si osserva l’uso di numerose tecniche MITRE ATT&CK, tra cui:
- T1018 – Remote System Discovery, per identificare le macchine collegate alla rete.
- T1087.001 – Account Discovery: Local Account, per ottenere una panoramica degli utenti locali.
- T1047 – Windows Management Instrumentation, che consente interrogazioni e operazioni remote.
- T1003.001 – Credential Dumping: LSASS Memory, per l’estrazione di credenziali direttamente dalla memoria RAM del processo LSASS.
La tecnica del dump LSASS rappresenta un punto di svolta: consente all’attaccante di ottenere accesso privilegiato (local admin, domain admin) e preparare il terreno per il movimento laterale.
Fase tre: Post-Exploitation con strumenti avanzati
Dopo nove giorni di attività discreta, il gruppo cambia passo. Con le credenziali privilegiate in mano, l’attaccante carica due tra i più temuti strumenti di post-exploitation oggi in circolazione: Brute Ratel e Cobalt Strike.
- Brute Ratel è un framework offensivo moderno, progettato per evadere i sistemi EDR e rendere il rilevamento molto più difficile. Permette l’iniezione di payload in processi legittimi, il beaconing nascosto e tecniche sofisticate di mimetizzazione.
- Cobalt Strike, invece, è ormai un classico. I suoi beacon, distribuiti in varie macchine della rete, permettono all’attaccante di agire in parallelo, eseguire comandi, caricare moduli, elevare privilegi e avviare operazioni di lateral movement.
Viene inoltre attivato QDoor, un malware che funge da proxy per connessioni RDP, facilitando l’accesso a sistemi remoti attraverso tunnel cifrati. In questa fase l’attaccante dispone ormai di controllo totale sulla rete: può accedere, spostarsi, impersonare utenti e amministratori, raccogliere informazioni e prepararsi all’azione finale.
Fase quattro: esfiltrazione e fase d’impatto
Con i dati sotto controllo, si passa all’esfiltrazione, realizzata utilizzando il servizio cloud Bublup. Un sistema apparentemente innocuo, che consente la creazione di raccolte di file e note, ma che viene qui sfruttato per caricare informazioni sottratte: credenziali, configurazioni, dati sensibili.
Segue quindi il colpo finale: l’attivazione di BlackSuit, un ransomware moderno, veloce e altamente distruttivo. La diffusione del ransomware avviene tramite PsExec, strumento legittimo spesso abusato dai criminali informatici per propagare payload su tutte le macchine accessibili nella rete.
Il ransomware crittografa ogni file e lascia note di riscatto. L’azienda è ora completamente paralizzata. Tutto ciò è avvenuto nell’arco di 194 ore, ovvero circa otto giorni.
La mappa MITRE dei malware coinvolti
L’immagine allegata è una rappresentazione grafica e concettuale dell’attacco, che mostra le interrelazioni tra i malware coinvolti e le tecniche MITRE ATT&CK utilizzate. A sinistra e a destra, sono visualizzati i malware: da QDoor, BlackSuit e SectopRAT fino a Brute Ratel, Cobalt Strike e d3f@ckloader.
Al centro, in giallo, un fitto reticolo di tecniche evidenzia la complessità e l’intenzionalità dell’attacco. Tecniche come:
- T1105 – Ingress Tool Transfer, per il caricamento di payload.
- T1059.001 – PowerShell, per esecuzioni silenziose.
- T1560.001 – Archive Collected Data: Archive via Utility, usata per impacchettare i dati prima dell’esfiltrazione.
- T1021.002 – Remote Services: SMB/Windows Admin Shares, chiave nel movimento laterale.
- T1486 – Data Encrypted for Impact, la tecnica conclusiva del ransomware.
Questa mappa non è solo una fotografia, ma una radiografia strategica: dimostra come gli attori malevoli sfruttino in modo modulare strumenti diversi, ognuno specializzato in un compito preciso. La sovrapposizione delle tecniche mostra che questi strumenti condividono obiettivi comuni, e che l’attacco non è un evento isolato, ma il risultato di una pianificazione attenta e raffinata.
Considerazioni finali
Ciò che colpisce di più in questo attacco non è la sua violenza finale, bensì la pazienza e l’intelligenza operativa con cui è stato condotto. L’inizio silenzioso, il tempo dedicato alla scoperta, il furto metodico delle credenziali, la distribuzione strategica dei beacon e infine la detonazione del ransomware: ogni fase è stata eseguita con precisione chirurgica.
In questo scenario, le contromisure devono evolversi. Nessuna soluzione può da sola impedire un attacco così strutturato: serve un approccio stratificato, che includa EDR/XDR efficaci, segmentazione di rete, formazione continua del personale, una gestione attenta delle credenziali e soprattutto una visione strategica della sicurezza.
Perché in guerra, come in cybersecurity, chi si prepara meglio, vince.
L'articolo Dall’inganno di Zoom al disastro ransomware: viaggio nel cuore dell’attacco BlackSuit proviene da il blog della sicurezza informatica.
Tracing the #!: How the Linux Kernel Handles the Shebang
One of the delights in Bash, zsh, or whichever shell tickles your fancy in your OSS distribution of choice, is the ease of which you can use scripts. These can be shell scripts, or use the Perl, Python or another interpreter, as defined by the shebang (#!) at the beginning of the script. This signature is followed by the path to the interpret, which can be /bin/sh for maximum compatibility across OSes, but how does this actually work? As [Bruno Croci] found while digging into this question, it is not the shell that interprets the shebang, but the kernel.
It’s easy enough to find out the basic execution sequence using strace after you run an executable shell script with said shebang in place. The first point is in execve, a syscall that gets one straight into the Linux kernel (fs/exec.c). Here the ‘binary program’ is analyzed for its executable format, which for the shell script gets us to binfmt_script.c. Incidentally the binfmt_misc.c source file provides an interesting detour as it concerns magic byte sequences to do something similar as a shebang.
As a bonus [Bruno] also digs into the difference between executing a script with shebang or running it in a shell (e.g. sh script.sh), before wrapping up with a look at where the execute permission on a shebang-ed shell script is checked.
Creating a Somatosensory Pathway From Human Stem Cells
Human biology is very much like that of other mammals, and yet so very different in areas where it matters. One of these being human neurology, with aspects like the human brain and the somatosensory pathways (i.e. touch etc.) being not only hard to study in non-human animal analogs, but also (genetically) different enough that a human test subject is required. Over the past years the use of human organoids have come into use, which are (parts of) organs grown from human pluripotent stem cells and thus allow for ethical human experimentation.
For studying aspects like the somatosensory pathways, multiple of such organoids must be combined, with recently [Ji-il Kim] et al. as published in Nature demonstrating the creation of a so-called assembloid. This four-part assembloid contains somatosensory, spinal, thalamic and cortical organoids, covering the entirety of such a pathway from e.g. one’s skin to the brain’s cortex where the sensory information is received.
Such assembloids are – much like organoids – extremely useful for not only studying biological and biochemical processes, but also to research diseases and disorders, including tactile deficits as previously studied in mouse models by e.g. [Lauren L. Orefice] et al. caused by certain genetic mutations in Mecp2 and other genes, as well as genes like SCN9A that can cause clinical absence of pain perception.
Using these assembloids the development of these pathways can be studied in great detail and therapies developed and tested.
Gemini 2.0 + Robotics = Slam Dunk?
Over on the Google blog [Joel Meares] explains how Google built the new family of Gemini Robotics models.
The bi-arm ALOHA robot equipped with Gemini 2.0 software can take general instructions and then respond dynamically to its environment as it carries out its tasks. This family of robots aims to be highly dexterous, interactive, and general-purpose by applying the sort of non-task-specific training methods that have worked so well with LLMs, and applying them to robot tasks.
There are two things we here at Hackaday are wondering. Is there anything a robot will never do? And just how cherry-picked are these examples in the slick video? Let us know what you think in the comments!
youtube.com/embed/4MvGnmmP3c0?…
A Mouse, No Hands!
There are some ideas which someone somewhere has to try. Take [Uri Tuchman]’s foot mouse. It’s a computer mouse for foot operation, but it’s not just a functional block. Instead it’s an ornate inlaid-wood-and-brass affair in the style of a very fancy piece of antique footwear.
The innards of an ordinary USB mouse are placed in something best described as a wooden platform heel, upon which is placed a brass sole with a couple of sections at the front to activate the buttons with the user’s toes. The standout feature is the decoration. With engraving on the brass and inlaid marquetry on the wood, it definitely doesn’t look like any computer peripheral we’ve seen.
The build video is below the break, and we’re treated to all the processes sped up. At the end he uses it in a basic art package and in a piloting game, with varying degrees of succes. We’re guessing it would take a lot of practice to gain a level of dexterity with this thing, but we salute him for being the one who tries it.
This has to be the fanciest peripheral we’ve ever seen, but surprisingly it’s not the first foot mouse we’ve brought you.
youtube.com/embed/Lqgbl6JoYoQ?…
GPS Broken? Try TV!
GPS and similar satellite navigation systems revolutionized how you keep track of where you are and what time it is. However, it isn’t without its problems. For one, it generally doesn’t work very well indoors or in certain geographic or weather scenarios. It can be spoofed. Presumably, a real or virtual attack could take the whole system down.
Addressing these problems is a new system called Broadcast Positioning System (BPS). It uses upgraded ATSC 3.0 digital TV transmitters to send exact time information from commercial broadcast stations. With one signal, you can tell what time it is within 100 ns 95% of the time. If you can hear four towers, you can not only tell the time, but also estimate your position within about 100 m.
The whole thing is new — we’ve read that there are only six transmitters currently sending such data. However, you can get a good overview from these slides from the National Association of Broadcasters. They point out that the system works well indoors and can work with GPS, help detect if GPS is wrong, and stand in for GPS if it were to go down suddenly.
If all digital TV stations adopt this, the presentation mentions that there would be 516 VHF stations operating with up to 10 kW over two widely separated bands. That adds to 1,526 UHF stations running between 100 kW to 1000 kW. So lots of power and very diverse in terms of frequencies. Coverage is spotty in some parts of the country, though. A large part of the western United States would lack visibility of the four stations required for a position fix. Of course, currently there are only five or six stations, so this is theoretical at this point.
The Real Story
If you read the slide deck, the real story is at the end in the backup slides. That shows the ATSC standard frame and how the preamble changes. The math is fairly standard stuff. You know where the stations are, you know what time they think they sent the signal, and you can estimate the range to each station. With three or four stations, you can get a good idea of where you must be based on the relative receive times.
The stations diversify their time sources, which helps guard against spoofing. For example, they may get time information from GPS, the network, a local atomic clock, and even neighboring stations, and use that to create an accurate local time that they send out with their signal.
Learn More
Most of the slides come from more detailed white papers you can find on the NAB website. A lot of the site is dedicated to explaining why you can’t live without GPS, but you can’t depend on it, either. The bottom right part of the page has the technical papers you’ll probably be more interested in.
GPS is an impressive system, but we know it needs some help. BPS reminded us a bit of LORAN.
Hackaday Podcast Episode 316: Soft Robots, Linux the Hard Way, Cellphones into SBCs, and the Circuit Graver
Join Hackaday Editors Elliot Williams and Tom Nardi as they talk about the best stories and hacks of the week. This episode starts off with a discussion of the Vintage Computer Festival East and Philadelphia Maker Faire — two incredible events that just so happened to be scheduled for the same weekend. From there the discussion moves on to the latest developments in DIY soft robotics, the challenge of running Linux on 8-pin ICs, hardware mods to improve WiFi reception on cheap ESP32 development boards, and what’s keeping old smartphones from being reused as general purpose computers.
You’ll also hear about Command and Conquer: Red Alert running on the Pi Pico 2, highly suspect USB-C splitters, and producing professional looking PCBs at home with a fiber laser. Stick around to the end to hear about the current state of non-Google web browsers, and a unique new machine that can engrave circuit boards with remarkable accuracy.
Check out the links below if you want to follow along, and as always, tell us what you think about this episode in the comments!
html5-player.libsyn.com/embed/…
As always, the Hackaday Podcast is available as a DRM-free MP3 download.
Where to Follow Hackaday Podcast
Places to follow Hackaday podcasts:
Episode 316 Show Notes:
News:
What’s that Sound?
- Congratulations to [laserkiwi] for winning a Hackaday Podcast t-shirt!
Interesting Hacks of the Week:
- Salamander Robot Is Squishy
- The Future of Robots is Soft (and Squishy!) – YouTube
- These Electronics-free Robots Can Walk Right Off the 3D-Printer
- FlowIO Platform
- 8 Pins For Linux
- Simple Antenna Makes For Better ESP32-C3 WiFi
- LayerLapse Simplifies 3D Printer Time-lapse Shots
- Turning Old Cellphones Into SBCs
- Ben Eater Vs. Microsoft BASIC
Quick Hacks:
- Elliot’s Picks:
- A Tiny Tape Synth
- If You’re 3D Scanning, You’ll Want A Way To Work With Point Clouds
- Why USB-C Splitters Can Cause Magic Smoke Release
- Tom’s Picks:
- Tracking The ISS Made Easy
- Command And Conquer Ported To The Pi Pico 2
- Fiber Laser Gives DIY PCBs A Professional Finish
Can’t-Miss Articles:
hackaday.com/2025/04/11/hackad…
Audio Effects Applied to Text
If you are a visual thinker, you might enjoy [AIHVHIA’s] recent video, which shows the effect of applying audio processing to text displayed on an oscilloscope. The video is below.
Of course, this presupposes you have some way to display text on an oscilloscope. Audio driving the X and Y channels of the scope does all the work. We aren’t sure exactly how he’s doing that, but we suspect it is something like Osci-Render.
Does this have any value other than art? It’s hard to say. Perhaps the effect of panning audio on text might give you some insight into your next audio project. Incidentally, panning certainly did what you would expect it to do, as did the pass filters. But some of the effects were a bit surprising. We still want to figure out just what’s happening with the wave folder.
If text isn’t enough for you, try video. Filtering that would probably be pretty entertaining, too. If you want to try your own experiments, we bet you could do it all — wave generation and filtering — in GNU Radio.
youtube.com/embed/47jlny15IEc?…
This Week in Security: AI Spam, SAP, and Ivanti
AI continues to be used in new and exciting ways… like generating spam messages. Yes, it was inevitable, but we now have spammers using LLM to generate unique messages that don’t register as spam. AkiraBot is a Python-powered tool, designed to evade CAPTCHAs, and post sketchy SEO advertisements to web forms and chat boxes around the Internet.
AkiraBot uses a bunch of techniques to look like a legitimate browser, trying to avoid triggering CAPTCHAs. It also runs traffic through a SmartProxy service to spread the apparent source IP around. Some captured logs indicate that of over 400,000 attempted victim sites, 80,000 have successfully been spammed.
SSRF Attacking AWS
March brought a spike in instances of an interesting EC2 attack. F5 labs has the details, and it’s really pretty simple. Someone is sending requests ending in /?url=hxxp://169.254.169.254/latest/meta-data/iam/security-credentials/, with the hope that the site is vulnerable to a Server Side Request Forgery (SSRF).
That IP address is an interesting one. It’s the location where Amazon EC2 makes the Instance Metadata Service available (IMDSv1). Version 1 of this service completely lacks authentication, so a successful SSRF can expose whatever information that service makes available. And that can include AWS credentials and other important information. The easiest fix is to upgrade the instance to IMDSv2, which does have all the authentication features you’d expect.
SAP and setuid
Up next is this Anvil Secure report from [Tao Sauvage], about finding vulnerable setuid binaries in the SAP Linux images.
Setuid is a slightly outdated way to allow a less-privileged user to run a binary with elevated privileges. The simplest example is ping, which needs raw socket access to send special ICMP packets. The binary is launched by the user, escalates its privileges to send the packet, and then terminates without actually breaking the security barrier. At least that’s what is supposed to happen. In reality, setuid binaries are a consistent source of privilege escalation problems on Linux. So much so, that it’s now preferred to use the capabilities functionality to achieve this. But that’s fairly new, and many distros just give binaries like ping the setuid bit.
This brings us to SAP’s Linux images, like SAP HANA Express. These images include a small collection of custom setuid binaries, with icmbnd and hostexecstart catching our researcher’s eyes. icmbnd notably has the -f flag to specify the output file for a debug trace. That’s a typical setuid problem, in that a user can specify an oddball location, and the binary will change the system’s state in unexpected ways. It’s an easy denial of service attack, but is there a way to actually get root? It turns out the the Linux /etc/passwd file is particularly resilient. Lines that don’t make any sense as password entries are just ignored. Inject a pair of newlines and a single valid passwd entry into the passwd file, and you too can be root on an SAP system.
The hostexecstart vulnerability is a bit more involved. That binary starts and stops the SAP Host Agent on the system. That would be a dead end, except it can also take a SAR archive and upgrade the system agent. [Tao] chased a couple of dead ends regarding library injection and SAR archive signing, before finally using another standard setuid technique, the symbolic link. In this case, link the /etc/passwd file to the local sapcar_output location, and include a malicious passwd line inside a cooked SAR archive. hostexecstart tries to unpack the archive, and outputs the log right into the local sapcar_output file. But that file is really a symbolic link, and it once again clobbers passwd.
Google’s Take on End-to-end-encryption
We’re fans of end-to-end encryption around here. If Alice had a message that’s only intended for Bob to see, then it seems only right that Bob is really the only one that can read the message. The reality of modern cryptography is that this is 100% possible via RSA encryption, and the entire variety of asymmetric encryption schemes that followed. The problem with actually using such encryption is that it’s a pain. Between managing keys, getting an email client set up properly, and then actually using the system in practice, end-to-end asymmetric encryption is usually just not worth the hassle for everyday people.
Google feels that pain, and is bringing easy end-to-end encryption to business Gmail accounts. Except, it’s not actually asymmetric encryption. This works using the key access control list (KACL). Here Alice writes a message, and asks the KACL server for a key to use to send it to Bob. The server provides a symmetric key, and Alice encrypts the message. Then when Bob receives the message, he asks the same server for the same key, and the server provides it, allowing him to decrypt the message.
So is this actually end-to-end encryption? Yes, but also no. While this solution does mean that Google never has the key needed to decrypt the message, it also means that whoever is running the KACL server does have that key. But it is better than the alternative. And the technique in use here could be adapted to make true symmetric encryption far easier for end users.
Ivanti Connect Active Exploit
Google’s Mandiant has announced that Ivanti Connect Secure boxes are under active exploitation via an n-day exploit. This is a buffer overflow that Ivanti discovered internally, and patched in February of this year. The overflow was considered to be strictly limited to denial of service, as the characters written to memory could only be digits and the dot symbol. If that sounds like an IP address, just hang on, and we’ll get there.
It’s apparent that malware actors around the world are actively checking for potential vulnerabilities in Ivanti firmware updates, as the group Mandiant calls UNC5221 has apparently worked out a way to achieve Remote Code Execution with this vulnerability, and is using it to deploy malware on these systems. This is thought to be the same Chinese group that Microsoft appropriately calls Silk Typhoon.
Our friends at watchTowr have dug a bit more into this issue, and found the exact vulnerable code. It’s in HTTP header handling code, where a specific header is first limited to numerals and the period, and then copied into a fixed size buffer. Remember that observation that this sounds like an IP address? The header is X-Forwarded-For, and setting that to a long string of numbers on a vulnerable Ivanti box will indeed trigger a crash in the web binary. There’s no word yet on how exactly that was used to achieve RCE, but we’re very much hoping the rest of the story comes to light, because it’s an impressive feat.
Bits and Bytes
About 100,000 WordPress sites have a real problem. The Ottokit plugin has an authentication bypass issue, where a blank API key can be matched by setting an empty st_authorization header in an incoming request. The flaw was reported privately on April 3rd, and a fixed version was released the same day. But within hours exploitation attempts were seen in the wild.
Legacy Gigacenter devices expose a TR-069 service on port 6998. That service can be accessed with a simple telnet connection, and the commands entered here are not properly sanitized before being evaluated. Anything inside a $() substitution string is executed locally: $(ping -c5 your.ip.address) This makes for an exceedingly trivial remote code execution attack on these devices.
And finally, the Langflow AI workflow tool has a simple remote exploit vulnerability fixed in version 1.3.0. This vulnerability notably allows bypassing authentication through an API endpoint. While Langflow has Python execution by design, doing it while bypassing authentication is a definite problem. You should update to 1.3.0, and don’t expose Langflow to the Internet at all if you can help it.
Attacco hacker a Busitalia: compromessi i dati dei passeggeri
Un avviso è comparso sul sito ufficiale di Busitalia, la società del gruppo Ferrovie dello Stato che gestisce il trasporto pubblico nelle province di Padova e Rovigo. In mezzo agli aggiornamenti sulle nuove corse e alle modifiche delle linee, è stato pubblicato un comunicato dal titolo inequivocabile: “Comunicazione di una violazione dei dati personali”.
Nei giorni scorsi Busitalia è stata vittima di un attacco informatico che ha compromesso i dati personali dei passeggeri registrati. L’incidente riguarda in particolare i canali digitali come l’App Busitalia Veneto e il portale abbonamenti, che vengono utilizzati quotidianamente da migliaia di utenti per gestire spostamenti e titoli di viaggio.
Nello specifico, il fornitore ha comunicato che è stata riscontrata a livello di un data center esterno, una violazione dei dati personali (esfiltrazione non autorizzata verso un cloud esterno) causata da attività malevole di attori esterni non identificati, avvenuta tra il 29 e il 30 marzo 2025.
Di tali fatti, è stata trasmessa comunicazione a Busitalia Veneto S.p.A. in data 4 aprile u.s., quale Titolare del trattamento dei dati personali in argomento. Nel dettaglio, il fornitore ha comunicato che:
· le categorie di interessati coinvolte sono: Utenti/Contraenti/Abbonati/Clienti attuali o potenziali;
· le categorie di dati personali oggetto della violazione sono: dati anagrafici, dati di contatto, dati di profilazione, dati relativi all’ubicazione. Non sono stati invece coinvolti i dati relativi alle carte di credito, in quanto conservati presso i sistemi di Payment Service Provider;
· le probabili conseguenze della violazione per gli interessati riguardano la potenziale perdita di riservatezza (possibilità che i dati siano divulgati al di fuori di quanto previsto dall’informativa ovvero dalla disciplina di riferimento) e perdita di disponibilità (mancato accesso a servizi, malfunzionamento e difficoltà nell’utilizzo di servizi);
· non appena rilevata la violazione, il sistema è stato reso inaccessibile per un periodo di tempo limitato al fine di consentire le opportune verifiche ed azioni di sicurezza;
· sono state adottate e sono in corso di adozione misure per contenere la violazione e attenuarne gli effetti, nonché volte a prevenire il ripetersi di violazioni analoghe.
Si consiglia comunque, in via del tutto precauzionale, di modificare la password dell’account e di prestare particolare attenzione a e-mail di phishing, messaggi e chiamate sospetti o altre richieste di informazioni personali.
L’Azienda si è immediatamente attivata per analizzare quanto accaduto e per mettere in atto tutte le misure possibili per scongiurare le conseguenze negative di tale attacco verso i propri Clienti. In particolare, Busitalia Veneto S.p.A., oltre al presente comunicato, ha ritenuto di effettuare:
• la notifica preliminare all’Autorità Garante per la protezione dei dati personali;
• la richiesta di informazioni al Responsabile del trattamento, ai sensi dell’art. 28, par. 3, lettere f) e g), del GDPR affinché assista Busitalia Veneto S.p.A. nel garantire il rispetto degli artt. da 32 a 36, con particolare riferimento alla gestione della violazione dei dati personali e alle misure di sicurezza implementate a seguito della stessa.
Per ulteriori informazioni in ordine alla violazione in argomento, le richieste possono essere presentanti direttamente ai contatti istituzionali della società. di seguito indicati:
• privacy@fsbusitaliaveneto.it
• protezionedati@fsbusitalia.it
Infine, si desidera rassicurare i Clienti che Busitalia Veneto S.p.A. è impegnata a proteggere e a salvaguardare qualsiasi dato personale e, anche in questa circostanza, agirà nell’interesse e per la tutela dei diritti dei propri Clienti.
Rimarremo costantemente in contatto con il fornitore per monitorare l’esito degli accertamenti e per assumere ogni altra iniziativa volta a mitigare i possibili effettivi di quanto verificatosi.
La società ha prontamente informato i clienti, specificando che l’attacco ha potenzialmente esposto informazioni sensibili. Tuttavia, non sono ancora stati resi noti i dettagli tecnici sull’entità dell’intrusione, né quali dati siano stati effettivamente compromessi. Busitalia ha dichiarato di aver immediatamente avviato le procedure di sicurezza previste dal GDPR e di essere al lavoro per limitare gli impatti dell’incidente.
Secondo le prime ricostruzioni, l’accesso non autorizzato ai sistemi avrebbe potuto permettere la visualizzazione di dati personali come “dati anagrafici, dati di contatto, dati di profilazione, dati relativi all’ubicazione. Non sono stati invece coinvolti i dati relativi alle carte di credito, in quanto conservati presso i sistemi di Payment Service Provider”
L’accaduto sottolinea ancora una volta la crescente vulnerabilità dei sistemi informatici nel settore dei trasporti pubblici. In un contesto in cui la digitalizzazione dei servizi è sempre più centrale, episodi come questo richiamano l’urgenza di investire in soluzioni di cybersecurity più robuste e in una maggiore sensibilizzazione degli utenti.
L'articolo Attacco hacker a Busitalia: compromessi i dati dei passeggeri proviene da il blog della sicurezza informatica.
The Jupiter Ace Remembered
It is hard to imagine that it has been more than four decades since two of the original designers of the Sinclair ZX Spectrum broke off to market the Jupiter Ace. [Nemanja Trifunovic] remembers the tiny computer in a recent post, and we always love to recall the old computers that used TVs for screens and audio tape recorders for mass storage.
One thing we always loved about the Jupiter Ace is that while most computers of the era had Basic as their native tongue, the Ace used Forth. As the post points out, while this may have given it great geek cred, it didn’t do much for sales, and the little machine was history within a year. However, the post also proposes that Forth wasn’t the real reason for the machine’s lack of commercial success.
Why did they pick Forth? Why not? It is efficient and interactive. The only real disadvantage was that Basic was more familiar to more people. Books and magazines of the day showed Basic, not Forth. But, according to the post, the real reason for its early demise was that it was already using outdated hardware from day one.
The Ace provided only 3K of RAM and did not offer color graphics. While this may sound laughable today, it wasn’t totally out of the question in 1978. Unfortunately, the Ace debuted in 1982. There were options that offered much more for just a little less. There is also the argument that as users became less technical, they just wanted to load pre-programmed tapes or cartridges and didn’t really care what language was running the computer.
Maybe, but we did and we can’t help but imagine a future where Forth was the language of choice for personal computers. Given how few of these were made, we see a lot of projects around them or, at least, replicas. Of course, these days that can be as simple as a single chip.
Brush Up on Your Trade Craft With This Tiny FM Bug
Would-be spooks and spies, take note: this one-transistor FM transmitter is a circuit you might want to keep in mind for your bugging needs. True, field agents aren’t likely to need to build their own equipment, but how cool a spy would you be if you could?
Luckily, you won’t need too many parts to recreate [Ciprian (YO6DXE)]’s project, most of which could be found in a decently stocked junk bin, or even harvested from e-waste. On the downside, the circuit is pretty fussy, with even minor component value changes causing a major change in center frequency. [Ciprian] had to do a lot of fiddling to get the frequency in the FM band, particularly with the inductor in the LC tank circuit. Even dropping battery voltage shifted the frequency significantly, which required a zener diode to address.
[Ciprian] ran a few tests and managed to get solid copy out to 80 meters range, which is pretty impressive for such a limited circuit. The harmonics, which extend up into the ham bands and possibly beyond, are a bit of a problem; while those could be addressed with a low-pass filter, in practical terms, the power of this little fellow is probably low enough to keep you from getting into serious trouble. Still, it’s best not to push your luck.
While you’re trying your hand at one-transistor circuits, you might want to try [Ciprian]’s one-transistor CW transceiver next.
youtube.com/embed/NxbeOI3g_Gc?…
Una Azienda italiana Sta per essere Violata! Accesso in vendita e revenue da 10 milioni di dollari
Nelle ultime ore è comparso su sul noto forum underground chiuso in lingua russa XSS un annuncio particolarmente interessante pubblicato dall’utente redblueapple2. L’inserzione propone la vendita di accesso amministrativo a un’infrastruttura aziendale italiana operante nella produzione cartaria, con un fatturato dichiarato di circa 10 milioni di dollari.
L’accesso offerto include credenziali di Domain Admin, con la possibilità di ottenere ulteriori credenziali, accesso remoto tramite AnyDesk, e una vasta quantità di dati aziendali, stimati in almeno 700 GB su un singolo host, oltre a numerosi database su altri server. L’inserzione segnala anche la presenza di Trend Micro AV (antivirus) su alcuni sistemi, ma non su tutta la rete. La rete interessata comprende diversi segmenti /24 (tipiche classi di sottoreti IP).
Il prezzo richiesto è 10.000 dollari, con la possibilità di trattativa.
Analisi della Criticità e affidabilità del Threat Actors
Se questa offerta fosse reale e concreta, le conseguenze per l’azienda sarebbero gravissime:
- Compromissione Totale: Il possesso di un account Domain Admin consente il controllo assoluto della rete: gestione utenti, dispositivi, accessi, policy di sicurezza.
- Furto e Diffusione di Dati Sensibili: I 700 GB di dati, più i database distribuiti su altri server, rappresentano un’enorme esposizione di dati industriali, finanziari e personali.
- Minaccia di Ransomware: Gli accessi venduti potrebbero essere utilizzati per lanciare attacchi ransomware devastanti.
- Attacchi Persistenti (APT): L’ampia esposizione e il controllo sugli endpoint permettono la creazione di backdoor e meccanismi di persistenza a lungo termine.
- Possibili Ripercussioni Legali: In caso di violazione dei dati personali (GDPR), l’azienda rischia multe pesanti e danni reputazionali irreparabili.
L’autore dell’annuncio, redblueapple2, si è registrato a gennaio 2023 e ha una bassa attività (10 post, nessuna reazione). Questo solleva alcuni dubbi:
- Pro: Annuncio dettagliato, informazioni tecniche abbastanza precise.
- Contro: Poca storia verificabile; potrebbe essere un tentativo di scam (truffa) o un annuncio di accessi già compromessi da altri e rivenduti.
Nei forum underground, la credibilità degli Initial Access Broker (IAB) è fondamentale: i venditori consolidati pubblicano prove di accesso (screenshot di sistemi interni, liste di host, ecc.), accettano escrow (servizi di deposito a garanzia) e ricevono feedback positivi. Questo annuncio, per ora, non mostra tali prove pubbliche.
Conclusioni
Gli Initial Access Broker (IAB) sono figure chiave nell’ecosistema cybercriminale. Il loro compito è ottenere accessi a reti aziendali (tramite phishing, exploit, vulnerabilità RDP, ecc.) e rivenderli ad altri attori malintenzionati, come:
- Gruppi ransomware, che utilizzano gli accessi per criptare dati e chiedere riscatti.
- Criminali finanziari, per furti di dati bancari o carte di credito.
- Spie industriali, per il furto di proprietà intellettuale.
- Altri broker, per “catene” di rivendita.
Gli IAB riducono i tempi e i costi di un attacco, permettendo ai gruppi specializzati di concentrarsi sulle fasi più redditizie (esfiltrazione, ransomware deployment, estorsione).
Questo tipo di annuncio sottolinea ancora una volta l’importanza di rafforzare la sicurezza interna, implementare monitoraggi avanzati delle reti, controllare rigorosamente gli accessi remoti, e mantenere antivirus e sistemi sempre aggiornati. Se confermato, l’accesso venduto rappresenta una minaccia seria non solo per l’azienda specifica, ma anche per l’intero ecosistema economico e industriale italiano.
L'articolo Una Azienda italiana Sta per essere Violata! Accesso in vendita e revenue da 10 milioni di dollari proviene da il blog della sicurezza informatica.
La Rinascita di Crack.io: Combattere il cybercrime è come estirpare erbacce: se lasci le radici, ricresceranno
Abbiamo spesso su Red Hot Cyber ripetuto questa frase: ‘Combattere il cybercrime è come estirpare le erbacce: se lasci le radici, ricresceranno.’ Oggi, più che mai, questa verità si conferma essere vera.
Il 29 gennaio 2025 è stato un giorno che ha lasciato il segno nell’underground digitale: Crack.io, uno dei forum più popolari del panorama hacking e cracking, è caduto sotto il fuoco dell’ennesima operazione internazionale. Operazione Talent – così l’hanno battezzata – non puntava solo a colpire un’infrastruttura, ma a spegnere per sempre una comunità. Non c’è riuscita.
Cracked.io (alias Cracked.sh) è tornato. E, per ora, è qui per restare.
Dopo settimane di silenzio, oggi Crack.io (ora Cracked.sh) è tornato online. Non è una resurrezione improvvisata: dietro il ritorno, c’è stato un lavoro mirato, un periodo di riflessione, e – come dichiarato nel messaggio ufficiale dell’amministrazione – un’importante ristrutturazione del backend, a partire dalla Shoutbox fino al sistema di pagamento, attualmente in fase di transizione.
Il punto centrale, ovviamente, è la sicurezza. I server sequestrati erano cifrati. Tradotto: post, credenziali e messaggi privati non sono finiti in mano a nessuno. Un colpo di fortuna? No, semplice pratica di buon senso (che spesso, però, manca). Tuttavia, l’admin non fa promesse: nel clearweb non esistono garanzie al 100%. Ecco perché l’invito a cambiare password o cancellare i messaggi privati, per chi volesse dormire sonni più tranquilli.
Nuova leadership, vecchia community
L’amministratore ha ora un nuovo “volto”: @Liars, che ha preso le redini della piattaforma. Sarà lui il punto di riferimento per chiunque voglia ripristinare gli upgrade o i crediti acquistati dopo il 25 gennaio (data dell’ultimo backup recuperabile), oppure effettuare nuovi acquisti – per ora, solo via messaggio privato.
Chi conosce il mondo dei forum sa bene che una transizione del genere può segnare un prima e un dopo. Ma Crack.io non è un semplice sito: è una comunità, spesso controversa, sicuramente discussa, ma altrettanto resiliente.
Nei prossimi giorni sono attesi fix continui: ogni bug segnalato sarà affrontato, nel tentativo di rendere l’esperienza utente il più fluida possibile, in un contesto che di fluido – per sua stessa natura – ha ben poco. Nel frattempo, la parola d’ordine è una sola: manualità. Chi vuole qualcosa, lo chiede direttamente. Vecchia scuola? Forse. Ma anche una delle poche strategie efficaci in un contesto dove ogni script automatizzato è potenzialmente una porta aperta.
Il ritorno di Crack.io (pardon, Cracked.sh) non è solo una questione tecnica: è una dichiarazione. Dichiarazione di resilienza, di sfida, e per alcuni anche di sopravvivenza. Il gioco del gatto e del topo tra law enforcement e comunità underground continua, e oggi il topo si è rimesso in piedi.
Dubbi e sospetti: Cracked.io controllato dai federali?
Come spesso accade in casi di “rinascite” così improvvise e ben orchestrate, non mancano le ipotesi più controverse. In un thread pubblicato su BreachForums, l’utente Synaptic ha sollevato un dubbio pesante:
“And it’s probably operated by the feds themselves. I see they’re using a backup and not going from scratch, so that’s something.”
L’osservazione è lucida: perché ripartire da un backup invece di ricostruire da zero? Per alcuni, questo può rappresentare un potenziale segnale di operazione sotto copertura, ipotizzando che l’intera infrastruttura possa oggi essere in mano all’FBI o ad altri enti governativi, con finalità di tracciamento e indagine.
Naturalmente, si tratta di speculazioni. Ma nel mondo dell’underground digitale, la paranoia non è un bug: è una feature. E anche la rinascita di Crack.io dovrà fare i conti con una fiducia da riconquistare, un utente alla volta.
La vera domanda, ora, non è se il forum sopravviverà. Ma per quanto.
L'articolo La Rinascita di Crack.io: Combattere il cybercrime è come estirpare erbacce: se lasci le radici, ricresceranno proviene da il blog della sicurezza informatica.
Farewell Economy 7, a Casualty of the Long Wave Switch-Off
If you paid attention to advertising in 1980s Britain, you were never far from Economy 7. It was the magic way to heat your house for less, using storage heaters which would run at night using cheap electricity, and deliver warmth day-long. Behind it all was an unseen force, a nationwide radio switching signal transmitted using the BBC’s 198 kHz Long Wave service. Now in 2025 the BBC Radio 4 Long Wave service it relies on is to be turned off, rendering thousands of off-peak electricity meters still installed, useless. [Ringway Manchester] is here to tell the tale.
The system was rolled out in the early 1980s, and comprised of a receiver box which sat alongside your regular electricity meter and switched in or out your off-peak circuit. The control signal was phase-modulated onto the carrier, and could convey a series of different energy use programs. 198 kHz had the useful property due to its low frequency of universal coverage, making it the ideal choice. As we’ve reported in the past the main transmitter at Droitwich is to be retired due to unavailability of the high-power vacuum tubes it relies on, so now time’s up for Economy 7 too. The electricity companies are slow on the uptake despite years of warning, so there’s an unseemly rush to replace those old meters with new smart meters. The video is below the break.
The earliest of broadcast bands may be on the way out, but it’s not entirely over. There might even be a new station on the dial for some people.
youtube.com/embed/DEjDdtCRNlQ?…
Using Integer Addition to Approximate Float Multiplication
Once the domain of esoteric scientific and business computing, floating point calculations are now practically everywhere. From video games to large language models and kin, it would seem that a processor without floating point capabilities is pretty much a brick at this point. Yet the truth is that integer-based approximations can be good enough to hit the required accuracy. For example, approximating floating point multiplication with integer addition, as [Malte Skarupke] recently had a poke at based on an integer addition-only LLM approach suggested by [Hongyin Luo] and [Wei Sun].
As for the way this works, it does pretty much what it says on the tin: adding the two floating point inputs as integer values, followed by adjusting the exponent. This adjustment factor is what gets you close to the answer, but as the article and comments to it illustrate, there are plenty of issues and edge cases you have to concern yourself with. These include under- and overflow, but also specific floating point inputs.
Unlike in scientific calculations where even minor inaccuracies tend to propagate and cause much larger errors down the line, graphics and LLMs do not care that much about float point precision, so the ~7.5% accuracy of the integer approach is good enough. The question is whether it’s truly more efficient as the paper suggests, rather than a fallback as seen with e.g. integer-only audio decoders for platforms without an FPU.
Since one of the nice things about FP-focused vector processors like GPUs and derivatives (tensor, ‘neural’, etc.) is that they can churn through a lot of data quite efficiently, the benefits of shifting this to the ALU of a CPU and expecting (energy) improvements seem quite optimistic.
Windows on ARM on Arm
While some companies like Apple have gone all-in on the ARM architecture, others are more hesitant to dive into the deep end. For example, Microsoft remains heavily invested in the x86 architecture and although it does have some ARM offerings, a lot of them feel a bit half-baked. So you might question why someone like [Gustave] has spent so much time getting Windows to run on unusual ARM platforms. But we don’t need much of a reason to do something off-the-wall like that around these parts, so take a look at his efforts to get Windows for ARM running on a smartwatch.
The smartwatch in question here is a Pixel Watch 3, which normally runs a closed-source Android implementation called Wear OS. The bootloader can be unlocked, so [Gustave] took that approach to implement a few clever workarounds to get Windows to boot including adding UEFI to the watch. During the process Google updated these devices to Android 15, though, which broke some of these workarounds. The solution at that point was to fake a kernel header and re-implement UEFI and then load Windows (technically Windows PE) onto the watch.
Although this project was released on April 1, and is by [Gustave]’s own admission fairly ridiculous and not something he actually recommends anyone do, he does claim that it’s real and provides everything needed for others to run Windows on their smartwatches if they want to. Perhaps one of our readers will be brave enough to reproduce the results and post about it in the comments. In the meantime, there are a few more open options for smartwatches available if you’re looking for something to tinker with instead.
Thanks to [Ruhan] for the tip!
A New Mechanical Keyboard for an Old Computer
As computers age, a dedicated few work towards keeping some of the more interesting ones running. This is often a losing battle of sorts, as the relentless march of time comes for us all, human and machine alike. So as fewer and fewer of these machines remain new methods are needed to keep them running as best they can. [CallousCoder] demonstrates a way of building up a new keyboard for a Commodore 64 which both preserves the original look and feel of the retro computer but also adds some modern touches.
One of the main design differences between many computers of the 80s and modern computers is that the keyboard was often built in to the case of the computer itself. For this project, that means a custom 3D printed plate that can attach to the points where the original keyboard would have been mounted inside the case of the Commodore. [CallousCoder] is using a print from [Wolfgang] to get this done, and with the plate printed and a PCB for the keys it was time to start soldering. The keyboard uses modern switches and assembles like most modern keyboards do, with the exception of the unique layout for some of the C64 keys including a latching shift key, is fairly recognizable for anyone who has put together a mechanical keyboard before.
[CallousCoder] is using the original keycaps from a Commodore 64, so there is an additional step of adding a small adapter between the new switches and the old keycaps. But with that done and some amount of configuring, he has a modern keyboard that looks like the original. If you’re more a fan of the original hardware, though, you can always take an original C64 keyboard and convert it to USB to use it on your modern machines instead.
youtube.com/embed/fT9_SzN4JhA?…
Improving Magnetoplasmadynamic Ion Thrusters With Superconductors
Ion thrusters are an amazing spacecraft propulsion technology, providing very high efficiency with relatively little fuel. Yet getting one to produce more thrust than that required to lift a sheet of A4 paper requires a lot of electricity. This is why they have been only used for applications where sustained thrust and extremely low fuel usage are important, such as the attitude management of satellites and other spacecraft. Now researchers in New Zealand have created a prototype magnetoplasmadynamic (MPD) thruster with a superconducting electromagnet that is claimed to reduce the required input power by 99% while generating a three times as strong a magnetic field.
Although MPD thrusters have been researched since the 1970s – much like their electrostatic cousins, Hall-effect thrusters – the power limitations on the average spacecraft have limited mission profiles. Through the use of a high-temperature superconducting electromagnet with an integrated cryocooler, the MPD thruster should be able to generate a very strong field, while only sipping power. Whether this works and is as reliable as hoped will be tested this year when the prototype thruster is installed on the ISS for experiments.