Elliot was of at Europe’s largest hacker convention: Chaos Communication Congress. He had an awesome time, saw more projects than you might think humanely possible, and got the flu. But he pulled through and put this audio tourbook for you.

So if you’ve never been to CCC, give it a listen!

html5-player.libsyn.com/embed/…

In the far future, all the cool kids will be downloading MP3s of their favorite podcasts.

Where to Follow Hackaday Podcast

Places to follow Hackaday podcasts:

• iTunes
• Spotify
• Stitcher
• RSS
• YouTube
• Check out our Libsyn landing page

What’s That Sound

• If you think you know what the mystery sound was this week, give us your best guess for a chance at a Hackaday Podcast t-shirt.

hackaday.com/2026/01/02/hackad…

Thanks to the Raspberry Pi, we have easy access to extremely inexpensive machines running Linux that have all kinds of GPIO as well as various networking protocols. And as the platform has improved over the years, we’ve seen more demanding applications on them as well as applications that use an incredibly small amount of power. This project combines all of these improvements and implements a media streaming server on a Raspberry Pi that uses a tiny amount of energy, something that wouldn’t have been possible on the first generations of Pi.

Part of the reason this server uses such low power, coming in just around two watts, is that it’s based on the Pi Zero 2W. It’s running a piece of software called Mini-Pi Media Server which turns the Pi into a DLNA server capable of streaming media over the network, in this case WiFi. Samba is used to share files and Cockpit is onboard for easy web administration. In testing, the server was capable of streaming video to four different wireless devices simultaneously, all while plugged in to a small USB power supply.

For anyone who wants to try this out, the files for it as well as instructions are also available on a GitHub page. We could think of a number of ways that this would be useful over a more traditional streaming setup, specifically in situations where power demand must remain low such as on a long car trip or while off grid. We also don’t imagine the Pi will be doing much transcoding or streaming of 4K videos with its power and processing limitations, but it would be unreasonable to expect it to do so. For that you’d need something more powerful.

youtube.com/embed/rvEQalALV6Y?…

Thanks to [Richard] for the tip!

hackaday.com/2026/01/02/low-co…

There’s folk wisdom in just about every culture that teaches about renewable energy — things like “make hay while the sun shines”. But as an industrial culture, we want to make hay 24/7 and not be at the whims of some capricious weather god! Alas, renewable energy puts a crimp in that. Once again, energy supplies are slowly becoming tied to the sun and the wind.

Since “Make compute while the wind blows” doesn’t have a great ring to it, clearly our civilization needs to come up with some grid-scale storage. Over in Sardinia they’re testing an idea that sounds like hot air, but isn’t — because the working gas is CO2.

The principle is simple: when power is available, carbon dioxide is compressed, cooled, and liquefied into pressure vessels as happens at millions of industrial facilities worldwide every day. When power is required, the compressed CO2 can be run through a turbine to generate sweet, sweet electricity. Since venting tonnes of CO2 into the atmosphere is kind of the thing we’re trying to avoid with this whole rigmarole, the greenhouse gas slash working fluid is stored in a giant bag. It sits, waiting for the next charge cycle, like the world’s heaviest and saddest dirigible. In the test project in Sardinia — backed by Google, amongst others — the gas bag holds 2000 tonnes and can produce 20 megawatts of power for up-to 10 hours.

The scheme does require pressure vessels the size of buildings, which may make some nervous.
That’s not exactly astounding. It gets you through the night, but leaves you hanging if the next day is cloudy. But it’s scalable. The turbine is 20 megawatts, sure, but all you need is land to add extra energy capacity. The 200 MWh pilot plant is a five hectare facility, which is only about 12.3 acres, or roughly 1/10th the size of the Mall of America. It seems like increasing capacity would be fairly trivial; unlike, say, pumped hydro storage, no special topography is required. Ten hours of storage is also notably longer than the six to eight hours grid-scale battery farms usually aim for.

As of this writing, there’s only one of these plants in operation, but expect that to change rapidly. In 2026 the company behind the Sardinia project, Energy Dome, plans on putting in grid-scale storage based on its technology in India and Wisconsin, and that’s before Google gets into it. They’re hoping to roll this technology out at a number of data centers worldwide, though the exact details of the deal aren’t public.

We’ve talked about grid-scale energy storage before, using everything from liquid tin to electric car batteries and big piles of gravel. This methodology has a lot to recommend it over those others in comparison, and should worst come to worst, at least it won’t burn for days like certain batteries we could name. Releasing 2000 tonnes of CO2 might not be as benign as a failure from a liquid air battery, but storing liquid CO2 under pressure is a lot easier holding onto cryogenic air.

All images credited to Luigi Avantaggiato.

hackaday.com/2026/01/02/liquid…

Mentre il settore dibatte su quale rete neurale sia la “più intelligente” e quale framework sia il “più moderno”, tecnologie vecchie di decenni continuano a turbinare silenziosamente sotto la superficie del settore bancario.

Quest’anno, COBOL ha compiuto 66 anni e continua a supportare attività mission-critical: elaborazione delle fatture, gestione delle reti bancomat, compensazione delle carte di credito e liquidazione batch notturna. Dove COBOL risiede, si trovano tipicamente anche i mainframe: in banche, compagnie assicurative, sistemi governativi e grandi sistemi di contabilità e magazzino.

Ciò ha portato a una semplice domanda: quali tecnologie funzioneranno probabilmente tra 50 anni e oltre, anche se tutto intorno a noi cambiasse più volte? È importante considerare che il Cobol è cambiato nel tempo: l’attuale standard COBOL 2023 assomiglia poco alle prime versioni del linguaggio che Grace Hopper ha contribuito a creare, e i mainframe moderni hanno fatto molta strada dai primi sistemi IBM 701 e IBM/360. Ma la continuità rimane; sono le implementazioni a cambiare, non il percorso di sviluppo in sé.

Tra i linguaggi di programmazione, il C, che ha più di mezzo secolo, è un candidato promettente per la longevità. Pur avendo i suoi problemi di sicurezza , rimane estremamente valido in termini di velocità e versatilità: il C può essere utilizzato praticamente su qualsiasi architettura e in qualsiasi attività di basso livello.

Mentre si parla di Rust che sta gradualmente sostituendo il C nella programmazione di sistema, vale la pena ricordare che Rust è già arrivato su Linux, ma i principali punti di forza del C – velocità e portabilità – non sono scomparsi.

Un altro pilastro “indistruttibile” è SQL. È integrato in tutti i principali DBMS relazionali, accumulando enormi quantità di logica di business, stored procedure e query, rendendo praticamente impossibile sostituirli tutti in una volta. JavaScript e TypeScript sono una storia simile: sono spesso criticati e derisi, ma la piattaforma web si basa sulla compatibilità, il che significa che il linguaggio del browser rimarrà rilevante finché il web stesso sopravviverà.

Un livello separato di tecnologie longeve è associato non ai linguaggi, ma agli ecosistemi. Linux esisterà ancora nel 2100 e Git rimarrà lo strumento di sviluppo di base per molto tempo a venire. Sorprendentemente, accanto a loro ci sono gli editor “eterni” vi ed Emacs, così come Bash, che ha superato molti concorrenti e, per inerzia, continua a essere lo strumento standard in molti scenari.

Tra le soluzioni infrastrutturali più recenti, ma già consolidate, vale la pena sottolineare Kubernetes . Ha ricevuto la sua giusta dose di critiche, ma oggi è lo standard de facto per l’orchestrazione dei container cloud e il fondamento dell’approccio “cloud-native”, quindi l’inerzia del mercato è dalla sua parte. Nel mondo applicativo, Photoshop ha alte probabilità di rimanere valido: anche con alternative, l’ecosistema e le abitudini dei professionisti spesso prevalgono sulle argomentazioni ideologiche.

La parte più dolorosa del dibattito riguarda i formati di file. Una volta che un formato diventa uno standard industriale, persiste per anni e decenni, anche se esiste un sostituto più aperto e pratico. Esempi includono DOC e DOCX, che hanno soppiantato approcci più aperti, e PDF , apprezzato per il suo aspetto coerente dei documenti “ovunque e sempre”, ma che in pratica si scontra con una moltitudine di varianti e incompatibilità. Un esempio significativo proviene dall’industria musicale: dopo che un popolare standard di notazione proprietario è stato di fatto abbandonato, gli utenti hanno scoperto che migrare il lavoro accumulato verso altre soluzioni era estremamente difficile, e a volte impossibile, senza perdite.

La conclusione finale è semplice: gli standard aperti e il software open source hanno maggiori probabilità di sopravvivere per decenni, mentre le tecnologie legate a una singola azienda sono intrinsecamente fragili, anche se oggi sembrano “troppo grandi per fallire”.

L'articolo 66 anni e ancora imbattibile: come il COBOL domina silenziosamente il mondo bancario proviene da Red Hot Cyber.

Quando si parla della funzione del DPO è possibile escludere la possibilità di fare gioco di squadra, celebrando una sorte di one-person-band. Quando invece ci si trova a dover esercitare in modo sensato la funzione, allora è necessario ragionare su come fare gioco di squadra. Al di là dell’ovvia ricerca di sinergie con le ulteriori funzioni esterne o interne dell’organizzazione, è fondamentale infatti che venga garantita la capacità di svolgere i compiti attribuiti dall’art. 39 GDPR e, soprattutto, garantire la continuità della sorveglianza. Questo può comportare o lo stanziamento di risorse adeguato per coinvolgere altri professionisti o garantire alcuni collaboratori, o altrimenti la formazione di un team DPO.

Mentre il primo caso rientra nell’ambito dell’adeguatezza dello stanziamento di risorse che l’organizzazione deve fornire a supporto del DPO ai sensi dell’art. 38 par. 2 GDPR, nel secondo caso è invece chi si propone come DPO a dover fornire le evidenze necessarie a dimostrare la capacità di assolvere i propri compiti, come previsto dall’art. 37 par. 5 GDPR. Ovviamente, in entrambi i casi la responsabilità di adempiere agli obblighi previsti dal GDPR è e resta in capo all’organizzazione che deve comunque essere in grado di garantire l’effettività della funzione a partire dalla selezione e per tutto lo svolgimento dell’incarico.

Mentre la dotazione di risorse in termini di collaboratori a supporto del DPO è rimesso alla capacità dell’organizzazione di rispettare il GDPR e alla libertà di cui al principio di accountability, la formazione e conduzione del team DPO incontra necessariamente le regole proprie della funzione che vanno riferite più ad un “Office” che ad un singolo “Officer”.

Best practices per il team DPO.

La formazione del team DPO è presa in considerazione all’interno delle linee guida WP243 sui responsabili della protezione dei dati, indicando delle buone pratiche sia per favorire un’organizzazione trasparente e corretta sia per prevenire conflitti d’interesse. Ad esempio, è necessario non solo che ciascun componente del team possieda i requisiti per ricoprire l’incarico, ma che goda anche delle tutele previste dal GDPR fra cui principalmente quella dell’indipendenza funzionale prevista dall’art. 38 par. 3 GDPR.

Sul piano organizzativo, la ripartizione interna dei compiti è funzionale non solo per garantire l’efficienza del servizio ma anche per individuare un unico soggetto che faccia da referente per i vertici dell’organizzazione. Motivo per cui diventa opportuno dettagliare questo ambito all’interno del contratto di servizi (se esterno) o altrimenti nella descrizione del funzionamento dell’ufficio (se interno).

Quando il gioco di squadra è trasversale.

Ultimo ma non meno importante è l’aspetto invece del gioco di squadra fra DPO di diverse organizzazioni, il più delle volte nel rapporto titolare-responsabile (ma anche: fra contitolari, o titolari differenti). Poiché ciascun DPO svolge i propri compiti secondo un approccio risk-based nei confronti degli interessati, e gli interessati sono il comune denominatore dei trattamenti svolti fra questi soggetti differenti, è quanto mai opportuno – e invero, il più delle volte dimenticato – che si cooperi professionalmente in quanto si perseguono obiettivi se non proprio comuni quanto meno non divergenti: la garanzia della protezione dei dati personali degli interessati.

Questo comporta che nelle qualità personali espresse dallo svolgimento dei compiti sia riscontrabile anche quello spirito di leale collaborazione che invoca integrità e standard deontologici nel contribuire a dare efficace attuazione ai principi del GDPR e ai diritti degli interessati.

L'articolo Perché il DPO non può più essere un lupo solitario (e rischi di far fallire il GDPR) proviene da Red Hot Cyber.

Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica?

Se la risposta è SI, ti consigliamo di leggere questo articolo.

Il panorama della sicurezza informatica cambia velocemente: nuove vulnerabilità, attacchi sempre più sofisticati e infrastrutture complesse rendono indispensabile comprendere come i criminali informatici agiscono, per poter mettere in sicurezza le organizzazioni.

È fondamentale disporre di specialisti in grado di comprendere come i criminal hacker aggirano le misure di sicurezza, così da individuare in anticipo vulnerabilità e potenziali vettori di attacco all’interno di un’infrastruttura informatica, prima che possano essere sfruttati da aggressori reali.

Per maggiori informazioni sul corso potete accedere al programma online, o contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta formazione@redhotcyber.com.

Pensa come un attaccante, agisci come un difensore

La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici.

Per raggiungere questo obiettivo, è fondamentale conoscere il modo in cui gli hacker operano. Ed è proprio questo il “life motive” di questo corso: Pensa come un attaccante, agisci come un difensore. Solo comprendendo come i criminali informatici sfruttano i sistemi è possibile definire strategie coerenti ed efficaci per ostacolarli.

Non basta più conoscere la teoria. Per proteggere davvero un’infrastruttura digitale, occorre capire a fondo il comportamento degli aggressori che sono di fatto dei “tecnici”. Ogni vulnerabilità, ogni configurazione errata, ogni falla può diventare un punto di ingresso per un attacco. La capacità di anticipare le mosse di un hacker criminali e trasformare questa conoscenza in strategie difensive rappresenta oggi un vantaggio competitivo decisivo per le aziende.

Nel mondo del lavoro, la richiesta di professionisti specializzati in Offensive Security (che racchiude l’arte del penetration test e dell’ethical hacking) supera di gran lunga l’offerta. Il mercato della sicurezza informatica è in forte espansione e le aziende – dalle startup alle grandi multinazionali – sono costantemente alla ricerca di figure capaci di simulare gli attaccanti ed isolare i vettori di attacco per fare “prevenzione”. Le opportunità occupazionali sono enormi, concrete e destinate a crescere ancora per molti anni

Per rispondere a questa esigenza, Red Hot Cyber ha lanciato una nuova Live Class formativa: “Cyber Offensive Fundamentals”, una nuova Live Class pensata per chi desidera entrare davvero nel mondo della cybersecurity operativa.

Con un approccio estremamente pratico, laboratori tecnici e affiancamento diretto dei docenti, la Live Class guida passo dopo passo nella costruzione delle competenze essenziali per svolgere un penetration test in modo moderno, professionale ed etico.

Cosa tratterà il corso

Il corso offre un percorso completo che parte dalle basi e arriva alle tecniche operative utilizzate quotidianamente nelle tecniche di penetration test ed ethical hacking. Tra gli argomenti principali:

• Networking: modello OSI, indirizzamento IP, subnetting, protocolli fondamentali, analisi del traffico e sniffing controllato.
• Laboratori pratici: installazione di ambienti virtuali, Kali Linux, Metasploitable, Windows 10/11, configurazioni di rete isolate.
• Recon & OSINT: raccolta informazioni pubbliche, scansioni di rete, fingerprinting, attività di enumeration, utilizzo avanzato di Nmap, Nessus e analisi CVE/CVSS.
• Malware education: reverse shell, backdoor, persistenza, evasione e tecniche di rilevamento.
• Exploitation: attacchi controllati tramite exploit pubblici, Metasploit, payload e metodologie reali.
• Post-Exploitation: privilege escalation, movimento laterale, persistenza, password cracking, strumenti come LinPEAS e WinPEAS.
• WebApp Security: SQLi, XSS, RCE, traversal, testing con Burp Suite, esercitazioni su DVWA.
• Active Directory: architettura, autenticazioni, vettori d’attacco, strumenti professionali (BloodHound, nxc, Responder, Impacket).

Alla fine del percorso, i partecipanti affineranno la propria autonomia operativa, riuscendo a condurre un penetration test completo e documentato, dalla ricognizione iniziale alla post-exploitation.

Il docente: Alessio Lauro

A guidare i partecipanti in questo percorso tecnico ci sarà un professionista e docente che collabora con Red Hot Cyber da diverso tempo: Alessio Lauro. Si tratta di un ethical hacker specializzato da anni in penetration testing, sicurezza delle reti e analisi delle vulnerabilità. Possiede certificazioni internazionali e collabora come formatore con diversi enti professionali italiani. Unisce un approccio pratico a una forte attenzione all’attualità delle minacce moderne, portando in aula esempi concreti e metodologie operative utilizzate dai professionisti del settore.

Modalità di apprendimento

La Live Class segue un metodo formativo estremamente operativo:

• 40 ore di lezioni dal vivo, con interazione diretta con il docente;
• Laboratori tecnici isolati, replicabili in autonomia;
• Dimostrazioni passo-passo delle tecniche utilizzate negli scenari reali;
• Approccio learning-by-doing: ogni concetto teorico viene immediatamente applicato in pratica;
• Utilizzo degli stessi strumenti usati dai professionisti

Il corso rilascia inoltre la certificazione COF – Cyber Offensive Fundamentals di Red Hot Cyber, previo superamento dell’esame finale.

[em][em]Per maggiori informazioni sul corso potete accedere al programma online, o contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta formazione@redhotcyber.com.[/em][/em]

Difficoltà del corso

Il corso è di livello base, ma con una forte impronta operativa: non richiede competenze avanzate, ma è indispensabile avere:

• capacità di navigazione Internet,
• conoscenze minime di sicurezza informatica,
• familiarità con il computer e con i sistemi operativi.

È adatto sia a chi vuole entrare in ambito cybersecurity, sia a chi già lavora nel settore IT e desidera acquisire competenze offensive aggiornate. Il concetto sul quale si basa questo corso è semplice ma al tempo stesso a nostro avviso fondamentale: devi conoscere come operano tecnicamente gli avversari se vuoi poter difendere con efficacia una organizzazione.

Ingresso nel mondo del lavoro

Questa Live Class rappresenta un vero punto di accesso al mondo della sicurezza informatica offensiva e all’arte del penetration testing.

Pur essendo un corso base, permette di:

• costruire solide fondamenta tecniche,
• comprendere le logiche operative di un penetration test,
• utilizzare i principali strumenti professionali,
• familiarizzare con le tipologie reali di attacco e difesa,
• sviluppare un mindset da penetration tester.

Questo tipo di mestiere non conosce una meta e questo ricordatelo sempre.

Infatti, come spesso riportiamo, l‘”hacking è un percorso e non un destinazione”, ma il corso pone solide basi concrete per avviare una carriera nel settore, permettendo al discente di avviare un percorso in questo mondo altamente tecnologico.

Una volta completato il corso, sarà possibile per i partecipanti entrare a far parte di HackerHood Academy, un contesto strettamente legato al nostro collettivo di hacker etici noto come HackerHood. Questo spazio consentirà loro di familiarizzare con l’ambiente e con i professionisti del settore, favorendo la condivisione di esperienze, idee e traiettorie nel campo dell’hacking etico.

[em][em]Per maggiori informazioni sul corso potete accedere al programma online, o contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta formazione@redhotcyber.com.[/em][/em]

L'articolo Al via il corso “Cyber Offensive Fundamentals” di RHC! 40 ore in Live Class proviene da Red Hot Cyber.

Hardware hackers tend to have loads of hookup wire, and that led [firstgizmo] to design a 3D printable wire and cable spool storage system. As a bonus, it’s Gridfinity-compatible!
The slot to capture loose ends is a nice touch, and the units can be assembled without external hardware.
There are a lot of little design touches we love. For example, we like the little notch into which the wire ends are held, which provides a way to secure the loose ends without any moving parts. Also, while at first glance these holders look like something that goes together with a few screws, they actually require no additional hardware and can be assembled entirely with printed parts. But should one wish to do so, [firstgizmo] has an alternate design that goes together with some M3 bolts instead.

Want to adjust something? The STEP files are included, which we always love to see because it makes modifications to the models so much more accessible. One thing that hasn’t changed over the years is that making engineering-type adjustments to STL files is awful, at best.

If there is one gotcha, it is that one must remove wire from their old spools and re-wind onto the new to use this system. However, [firstgizmo] tries to make that as easy as possible by providing two tools to make re-spooling easier: one for hand-cranking, and one for using a hand drill to do the work for you.

It’s a very thoughtful design, and as mentioned, can also be used with the Gridfinity system, which seems to open organizational floodgates in most people’s minds. Most of us are pinched for storage space, and small improvements in space-saving really, really add up.

hackaday.com/2026/01/02/print-…

Quando XPeng ha presentato il suo nuovo robot umanoide quest’anno, lo spettacolo era stato progettato per suscitare incredulità. I movimenti del robot erano così realistici che il fondatore dell’azienda, He Xiaopeng, ha dovuto tagliargli una gamba sul palco per dimostrare che al suo interno non c’era alcun essere umano.

Il momento è diventato virale, ma la scoperta principale è più profonda. Oltre al software e ai sistemi elettromeccanici, il robot utilizzava componenti strutturali flessibili, simili alla pelle. Questi componenti garantivano movimenti fluidi e un aspetto umanoide.

youtube.com/embed/kv5ciD5J0ik?…

Questi componenti sono stati sviluppati da PollyPolymer, un’azienda di materiali e produzione con sede a Suzhou che è diventata silenziosamente un fornitore del settore cinese dei robot umanoidi in rapida crescita. Fondata nel 2017 dallo scienziato dei materiali Wang Wenbin, l’azienda si è inizialmente concentrata sulla stampa 3D di scarpe e in seguito ha esteso la sua tecnologia alla robotica, all’assistenza sanitaria e alla prototipazione industriale.

Il passaggio di PollyPolymer dalle calzature alla robotica nasce da requisiti tecnici simili. I componenti delle calzature devono essere leggeri, flessibili, resistenti a carichi ripetuti e sicuri per il contatto prolungato con il corpo. Queste stesse caratteristiche definiscono sempre più le strutture esterne e i sistemi di giunzione dei robot progettati per lavorare a fianco degli esseri umani.

Secondo il South China Morning Post, Wang osserva che i materiali per i “muscoli bionici” robotici devono combinare elasticità, dissipazione del calore, resistenza all’usura e durevolezza. PollyPolymer ha adattato formule polimeriche originariamente sviluppate per le calzature per creare sistemi di assorbimento degli urti e componenti integrati per i piedi per diversi sviluppatori di robotica cinesi, tra cui UBTech Robotics ed EngineAI.

L’espansione dell’azienda si basa sul suo processo brevettato di fotopolimerizzazione ad alta velocità HALS. Secondo l’azienda, questa tecnologia consente di stampare parti flessibili a una velocità significativamente maggiore rispetto ai tradizionali metodi di stampa 3D, consentendo una rapida iterazione del progetto e una produzione su piccola scala senza stampi. Nel 2025, l’azienda ha stampato circa due milioni di paia di scarpe e prevede di raddoppiare la sua capacità entro il 2026. PollyPolymer collabora con marchi internazionali, tra cui Skechers, Cole Haan e la cinese Peak Sport Products.

Lo stesso modello produttivo si è dimostrato popolare anche al di fuori del settore calzaturiero. Nel 2024, The Walt Disney Company ha presentato accessori e calzature stampati in 3D alla Shanghai Fashion Week, con PollyPolymer che ha fornito ricerca sui materiali e supporto tecnico. L’eliminazione della fusione tradizionale ha ridotto i tempi di sviluppo di oltre la metà. L’azienda ha inoltre fornito prototipi stampati in 3D a Samsung Electronics e Bosch, contribuendo ad accelerare i cicli di sviluppo dei prodotti.

PollyPolymer genera ora un quarto del suo fatturato da clienti internazionali, con una crescita annua delle vendite all’estero di oltre il 40%. L’azienda prevede che i mercati esteri rappresenteranno oltre la metà del suo fatturato totale entro tre anni. Per supportare questa crescita, ha recentemente lanciato un marchio di consumo, PollyFab, focalizzato su sneaker personalizzate e piccoli prodotti lifestyle. Sono previsti negozi fisici negli Stati Uniti, in Francia e in Giappone entro il 2026.

L'articolo PollyPolymer: una startup rivoluziona la robotica e la moda con la stampa 3D proviene da Red Hot Cyber.

Una nuova ondata di estensioni dannose è stata scoperta nello store di estensioni Open VSX , utilizzato da milioni di sviluppatori. Gli esperti di Koi avvertono che gli aggressori stanno inserendo plugin “utili” nello store, ma in realtà stanno rubando criptovalute, password e altri dati sensibili. L’attacco ora prende di mira solo gli utenti macOS.

Gli specialisti di Koi Security hanno segnalato la scoperta. Secondo loro, si tratta già della quarta ondata di malware auto-propagante, da loro chiamato GlassWorm. La campagna è iniziata solo circa due mesi e mezzo fa, ma ha già infettato migliaia di dispositivi prima che le estensioni venissero rimosse dal mercato.

Lo schema funziona in questo modo: un aggressore pubblica estensioni su Open VSX camuffate da strumenti di produttività. Open VSX è un archivio di estensioni aperto per Visual Studio Code e le sue numerose derivazioni, tra cui Cursor, una scelta popolare tra gli sviluppatori che lavorano con il Vibe Coding. Dopo l’installazione, l'”estensione” non si rivela immediatamente, ma attende circa 15 minuti. Questa pausa aiuta a eludere le sandbox automatizzate, che in genere analizzano il comportamento del programma solo per pochi minuti.

Successivamente, viene eseguito il codice principale. Nella nuova versione, è nascosto all’interno del file JavaScript dell’estensione e ulteriormente crittografato. Questa differenza rispetto alle precedenti varianti di GlassWorm, che, secondo i ricercatori, prendevano di mira Windows e utilizzavano diverse tecniche di mimetizzazione. Ora, gli autori hanno chiaramente adattato lo strumento per macOS, enfatizzandone la furtività e la resilienza.

Perché Mac? Koi Security lo spiega in modo semplice. macOS è spesso utilizzato dagli sviluppatori nei settori delle criptovalute, del web3 e delle startup, in altre parole, ambienti in cui è più probabile che le vittime dispongano di wallet, token e accesso all’infrastruttura. I ricercatori stimano che almeno tre estensioni infette siano apparse su Open VSX, con un totale complessivo di circa 50.000 download. Una di queste si spacciava per “Prettier Pro”, presumibilmente un formattatore di codice avanzato, mentre le altre due sembravano essere strumenti di sviluppo standard.

GlassWorm stesso, a giudicare dalla sua descrizione, è progettato per rubare criptovalute e credenziali. Esegue la scansione del computer alla ricerca di app hardware wallet come Ledger Live e Trezor Suite e tenta di sostituirle con versioni trojanizzate. Anche in assenza di hardware wallet, il malware può attaccare decine di estensioni del browser e portafogli desktop, tra cui Meta Mask, Phantom, Coinbase Wallet ed Exodus. Raccoglie anche token GitHub, credenziali Git, token NPM e intere directory SSH, nonché password dal portachiavi macOS, file di database, impostazioni VPN , cookie e archiviazione locale del browser.

I ricercatori hanno anche notato un metodo insolito per gestire le infezioni. Per ottenere gli indirizzi dei server C&C, gli aggressori utilizzano la blockchain di Solana, pubblicando note con link crittografati nelle transazioni. Questo approccio è più difficile da disattivare con metodi tradizionali, come il blocco di un dominio o la disattivazione dell’hosting, e questo, secondo Koi Security, rende la minaccia più persistente.

La quarta ondata avrebbe utilizzato la stessa infrastruttura della precedente, incluso l’indirizzo IP 45.32.151.157 come server di comando e controllo primario. I ricercatori ritengono che GlassWorm si stia gradualmente evolvendo in una minaccia resiliente e multipiattaforma e prevedono la prossima ondata, poiché gli aggressori adatteranno rapidamente le loro tecniche in seguito alle segnalazioni pubbliche.

Se sospetti che un’estensione in Open VSX possa essere dannosa o vulnerabile, gli sviluppatori del marketplace ti chiedono di segnalarlo a openvsx@eclipse-foundation.org

L'articolo Allarme malware su Open VSX: migliaia di dispositivi macOS infettati da GlassWorm proviene da Red Hot Cyber.

Just because LEGO Technic is technically a toy doesn’t mean that you cannot do solid engineering with it, like building air-powered engines. After first building a simple air-powered piston engine, this time around [Jamie’s Brick Jams] sought to not only optimize the engine, but also build a clutch and something to power with said engine.
The four-piston design in radial configuration.
The piston head is one of the handful of 3D printed parts, with the new design featuring twin rubber o-rings as a seal instead of a single big one as in the old design. This incidentally matches the multiple seal rings on an internal combustion engine’s pistons, probably for similar blow-by related reasons. The air hose diameter was also increased from 2 to 3 mm to give the engine a larger volume of air to work with, which along with a new flywheel gave a lot more torque. Next the piston rod length was optimized.

The final radial 4-piston engine turns out to work pretty well, with the clutch engaging smoothly. This was used to drive a DIY generator that turned out to produce about 3 Watt of usable power in its final configuration at 6 V, though it’s admittedly a rather crude generator that could be further optimized. When trying a twin-piston configuration with the highest air pressure before air hoses began to pop off, it hit a dizzying 14,600 RPM.

These aren’t half bad results for some LEGO Technic together with some 3D printed bits, rubber o-rings and some lube.

youtube.com/embed/oLWdc6AzmB4?…

hackaday.com/2026/01/01/making…

Il professore di informatica Geoffrey Hinton, uno dei fondatori delle moderne tecnologie di intelligenza artificiale, ha affermato che l’IA potrebbe portare a perdite di posti di lavoro su larga scala già nel 2026. Secondo lui, i sistemi di IA si stanno sviluppando così rapidamente che stanno iniziando a minacciare non solo le professioni di routine, ma anche molte posizioni impiegatizie.

Hinton, premio Nobel 2024 per le scoperte in fisica, ha affermato questo in un’intervista al programma “State of the Union” della CNN, come riportato da Business Inside. “Vedremo l’intelligenza artificiale migliorare ulteriormente. È già incredibilmente buona. È già in grado di sostituire i lavori nei call center, ma sostituirà anche altri lavori”, ha affermato Hinton.

Secondo lo scienziato, lo sviluppo dell’intelligenza artificiale sta accelerando. Mentre in precedenza i modelli potevano gestire solo brevi frammenti di lavoro, ad esempio minuti di programmazione, ora sono in grado di eseguire interi progetti della durata di circa un’ora.

Allo stesso tempo, secondo Hinton, circa ogni sette mesi l’IA diventerà in grado di gestire attività che richiedono il doppio del tempo rispetto a prima. Nei prossimi anni, questo potrebbe portare l’IA a gestire progetti di sviluppo software della durata di mesi, riducendo significativamente la necessità di un gran numero di specialisti.

Hinton ha paragonato quanto sta accadendo alla Rivoluzione Industriale, che ha reso meno richiesto il lavoro fisico umano. Ritiene che l’intelligenza artificiale potrebbe svolgere un ruolo simile, ma in relazione al lavoro intellettuale.

Oltre alle implicazioni economiche, Hinton ha espresso preoccupazione anche per i rischi più profondi. Ha sottolineato che i moderni sistemi di intelligenza artificiale stanno sviluppando capacità di ragionamento e manipolazione più rapidamente del previsto. “Se il sistema ritiene che tu stia cercando di sbarazzartene, potrebbe iniziare a elaborare piani per ingannarti”, ha avvertito lo scienziato.

Non tutti gli esperti ritengono che lo sviluppo dell’intelligenza artificiale porterà inevitabilmente alla disoccupazione di massa nei prossimi anni. Andrew Ng, uno dei massimi esperti di apprendimento automatico e co-fondatore di Google Brain, osserva che è più probabile che l’intelligenza artificiale trasformi le professioni piuttosto che eliminarle del tutto.

A suo avviso, l’intelligenza artificiale sta prendendo il sopravvento su compiti specifici all’interno delle professioni, sia di routine che tecniche, mentre il ruolo umano si sta spostando verso il controllo, il processo decisionale e la contestualizzazione. Ritiene che la maggior parte dei lavori non scomparirà dall’oggi al domani, ma che cambierà più rapidamente di prima.

Ng aggiunge che la velocità di adozione dell’intelligenza artificiale non dipende solo dalle capacità tecnologiche, ma anche dalla cultura aziendale e dalla volontà delle aziende di ristrutturare i processi.

Le previsioni per il futuro del mercato del lavoro variano: alcuni prevedono cambiamenti bruschi e dolorosi già nel 2026, mentre altri prevedono un adattamento più graduale. Tuttavia, entrambe le parti concordano su un punto: l’intelligenza artificiale influenzerà sempre di più la struttura occupazionale e questi cambiamenti non potranno più essere ignorati.

L'articolo IA, l’allarme del Nobel Hinton: “Addio a migliaia di posti di lavoro già nel 2026” proviene da Red Hot Cyber.