Of course there is bone-simulation filament on the market. What’s fun about this Reddit thread is all of the semi-macabre concerns of surgeons who are worried about its properties matching the real thing to make practice rigs for difficult surgeries. We were initially creeped out by the idea, but now that we think about it, it’s entirely reassuring that surgeons have the best tools available for them to prepare, so why not 3D prints of the actual patient’s bones?

[PectusSurgeon] says that the important characteristics were that it doesn’t melt under the bone saw and is mechanically similar, but also that it looks right under x-ray, for fluorscopic surgery training. But at $100 per spool, you would be forgiven for looking around for substitutes. [ghostofwinter88] chimes in saying that their lab used a high-wood-content PLA, but couldn’t say much more, and then got into a discussion of how different bones feel under the saw, before concluding that they eventually chose resin.

Of course, Reddit being Reddit, the best part of the thread is the bad jokes. “Plastic surgery” and “my insurance wouldn’t cover gyroid infill” and so on. We won’t spoil it all for you, so enjoy.

When we first read “printing bones”, we didn’t know if they were discussing making replacement bones, or printing using actual bones in the mix. (Of course we’ve covered both before. This is Hackaday.)

Thanks [JohnU] for the tip!

hackaday.com/2025/01/19/bone-f…

In un recente post pubblicato sul forum underground XSS.IS, un utente, noto con il nickname “Ancryno”, ha pubblicizzato uno strumento di exploit chiamato “The EvilLoader”. Questo exploit, stando a quanto affermato dall’autore, è progettato per colpire utenti Android attraverso video Telegram manipolati. L’autore sottolinea la possibilità di personalizzare l’exploit in base alle necessità dell’attaccante, rendendolo una minaccia versatile e particolarmente insidiosa. Ma quali sono i dettagli di questa minaccia, e quali potrebbero essere le sue ripercussioni sul panorama della cybersecurity?

Il Contenuto del Post

Il messaggio si apre con un tono autocelebrativo, sottolineando l’impegno dell’autore nel rilasciare nuove tecnologie di exploit. Nello specifico, il post evidenzia le seguenti caratteristiche dell’exploit:

• Compatibilità con tutte le versioni Android di Telegram.
• Funzionalità personalizzabili, inclusa la possibilità di caricare contenuti spoofati e video manipolati.
• Bypass della soddisfazione dell’utente, che suggerisce la capacità di eludere i controlli di sicurezza o mascherare le attività malevole.

Un aspetto particolarmente preoccupante è la dichiarazione che lo strumento può essere utilizzato per:

• Infezioni dei dispositivi Android.
• Furto di sessioni Telegram, con implicazioni dirette sul furto di dati personali e aziendali.
• Creazione di attacchi di phishing personalizzati, sfruttando la piattaforma di Telegram.

Analisi e Implicazioni

Se quanto descritto nel post fosse vero, “The EvilLoader” rappresenterebbe una minaccia altamente sofisticata, soprattutto considerando l’ampio utilizzo di Telegram come piattaforma di messaggistica sia a livello personale che professionale. Gli attaccanti potrebbero sfruttare video apparentemente innocui per veicolare payload malevoli, consentendo l’installazione di malware sui dispositivi delle vittime.

Il furto di sessioni Telegram, in particolare, potrebbe avere conseguenze devastanti. Telegram utilizza un sistema di autenticazione basato su codici inviati via SMS, che, una volta compromesso, potrebbe consentire agli attaccanti di prendere il controllo completo degli account delle vittime. Questo potrebbe portare a:

• Furto di dati sensibili, inclusi messaggi, file condivisi e contatti.
• Accesso a canali e gruppi privati, con conseguenze potenzialmente catastrofiche per organizzazioni che utilizzano Telegram per comunicazioni interne.
• Esecuzione di attacchi secondari, come phishing o spam, sfruttando la fiducia degli altri utenti nei confronti degli account compromessi.

XSS.IS e il Mercato degli Exploit

Il forum XSS.IS è noto per essere un punto di incontro per cybercriminali, hacker e venditori di exploit. Il fatto che strumenti come “The EvilLoader” vengano pubblicizzati su queste piattaforme sottolinea quanto il mercato degli exploit sia florido e in continua evoluzione. Inoltre, l’autore del post fa riferimento a un modello di vendita tramite escrow, che garantisce transazioni sicure tra acquirente e venditore, dimostrando la professionalizzazione di questi ambienti criminali.

Ripercussioni sul Panorama della Cybersecurity

La crescente diffusione di exploit come “The EvilLoader” pone sfide significative per le aziende di cybersecurity e per gli utenti finali. Le principali preoccupazioni includono:

• Aumento degli attacchi mirati: Gli strumenti personalizzabili permettono agli attaccanti di adattare i loro attacchi a specifici bersagli, aumentando l’efficacia delle campagne malevole.
• Compromissione della fiducia nelle piattaforme: Attacchi di questo tipo minano la fiducia degli utenti in piattaforme come Telegram, che sono sempre più utilizzate anche in ambito professionale.
• Evoluzione delle tecniche di difesa: Gli esperti di cybersecurity dovranno sviluppare contromisure più avanzate per identificare e bloccare attacchi veicolati tramite file multimediali apparentemente innocui.

In conclusione il post di “Ancryno” sul forum XSS.IS è un chiaro esempio di come il panorama delle minacce stia evolvendo rapidamente. Strumenti come “The EvilLoader” rappresentano una minaccia concreta non solo per gli utenti individuali, ma anche per le organizzazioni che utilizzano Telegram come piattaforma di comunicazione. È essenziale che gli utenti adottino pratiche di sicurezza adeguate, come l’uso di autenticazione a due fattori e l’aggiornamento regolare delle applicazioni, per mitigare i rischi. Allo stesso tempo, le aziende di cybersecurity devono continuare a monitorare attentamente i forum underground per anticipare e contrastare queste nuove minacce.

L'articolo “The EvilLoader”: L’Exploit Che Minaccia Telegram e Gli Utenti Android proviene da il blog della sicurezza informatica.

Dimentica tutto ciò che pensavi di sapere sulla sicurezza online. Niente più segnali evidenti, finzioni beffarde, promesse ridicole. La prossima email che sembra provenire da un tuo amico, familiare o collega potrebbe essere stata falsificata in modo così astuto che è quasi impossibile individuare l’inganno.

L’intelligenza artificiale sta rivoluzionando il panorama della sicurezza informatica. McAfee avverte che i criminali informatici hanno la capacità di creare facilmente messaggi personalizzati e convincenti che sembrano provenire da fonti attendibili. I servizi di posta elettronica più diffusi, tra cui Gmail, Outlook e Apple Mail, non dispongono ancora di una protezione efficace contro questa nuova minaccia.

Secondo il Financial Times , si è registrato un aumento degli attacchi di phishing iper-personalizzati creati da bot IA. Grandi aziende come eBay stanno già segnalando un aumento del numero di email truffa contenenti dati personali degli utenti, raccolti analizzando i loro profili online tramite l’intelligenza artificiale.

Check Point prevede che entro il 2025 i criminali informatici utilizzeranno l’intelligenza artificiale per creare campagne di phishing altamente mirate e adattare il malware in tempo reale per aggirare i tradizionali meccanismi di sicurezza. Mentre anche i team di sicurezza stanno implementando strumenti di intelligenza artificiale, gli aggressori continuano a perfezionare i loro metodi di attacco.

I robot AI sono in grado di analizzare enormi quantità di dati sullo stile di comunicazione di un’azienda o di una persona specifica, riproducendone i tratti caratteristici per creare un inganno convincente. Raccolgono inoltre informazioni sulla presenza online della potenziale vittima e sull’attività sui social media per determinare gli argomenti più efficaci per gli attacchi di phishing.

Un pericolo particolare è rappresentato dagli attacchi aziendali mirati ad ottenere informazioni riservate o ad accedere ai sistemi aziendali interni. I truffatori possono utilizzare schemi complessi per manipolare la direzione aziendale e ottenere l’approvazione per le transazioni finanziarie. Check Point afferma che la moderna tecnologia AI consente di creare e-mail di phishing perfette.

Secondo Nadezhda Demidova, ricercatrice di cybersicurezza di eBay, la disponibilità di strumenti di intelligenza artificiale generativa riduce significativamente la barriera all’ingresso nel crimine informatico. Nota un aumento significativo degli attacchi informatici di tutti i tipi, definendo le ultime truffe “raffinate e tempistiche precise”.

La minaccia è così grave che l’FBI ha recentemente emesso un avvertimento speciale sull’intelligenza artificiale generativa. Rileva che questi strumenti sono in grado di creare nuovi contenuti basati sui dati di input e di correggere errori umani che in precedenza avrebbero potuto essere segni di frode. Sebbene i contenuti sintetici non siano di per sé illegali, vengono sempre più utilizzati per commettere reati, tra cui frodi ed estorsioni.

Vale la pena notare che, indipendentemente dall’uso dell’intelligenza artificiale in un attacco, è fondamentale rimanere vigili e valutare attentamente qualsiasi richiesta di trasferimento di denaro o informazioni sensibili, non importa quanto possano sembrare plausibili. Dovresti utilizzare l’autenticazione a due fattori, creare password o passkey complesse e univoche e non fare mai clic su collegamenti sospetti.

L'articolo Attacchi di phishing “perfetti”: come l’IA sta trasformando il cybercrimine proviene da il blog della sicurezza informatica.

If you are like us, you probably just spin up your own code for a lot of simple projects. But that’s wasteful if you are trying to do anything serious. Take a robot, for example. Are you using ROS (Robot Operating System)? If not — or even if you are — check out [Janne Karttunene] and the University of Eastern Finland’s open-source course Robotics and ROS 2 Essentials.

The material is on GitHub. Rather than paraphrase, here’s the description from the course itself:

This course is designed to give you hands-on experience with the basics of robotics using ROS 2 and Gazebo simulation. The exercises focus on the Andino robot from Ekumen and are structured to gradually introduce you to ROS 2 and Docker.

No prior experience with ROS 2 or Docker is needed, and since everything runs through Docker, you won’t need to install ROS 2 on your system beforehand. Along the way, you’ll learn essential concepts like autonomous navigation and mapping for mobile robots. All the practical coding exercises are done in Python.

Topics include SLAM, autonomous navigation, odometry, and path planning. It looks like it will be a valuable resource for anyone interested in robotics or anything else you might do with ROS.

If you want a quick introduction to ROS, we can help. We’ve seen a number of cool ROS projects over the years.

hackaday.com/2025/01/19/roboti…

This week, we witnessed a couple of space oopsies as both Starship and New Glenn suffered in-flight mishaps on the same day. SpaceX’s Starship was the more spectacular, with the upper stage of the seventh test flight of the full stack experiencing a “rapid unscheduled disassembly” thanks to a fire developing in the aft section of the stage somewhere over the Turks and Caicos islands, about eight and a half minutes after takeoff from Boca Chica. The good news is that the RUD happened after first-stage separation, and that the Super Heavy booster was not only able to safely return to the pad but also made another successful “chopsticks” landing on the tower. Sorry, that’s just never going to get old.

On the Bezos side of the billionaire rocket club, the maiden flight of Blue Origin’s New Glenn ended with the opposite problem. The upper stage reached orbit, but the reusable booster didn’t make it back to the landing barge parked off the Bahamas. What exactly happened isn’t clear yet, but judging by the telemetry the booster was coming in mighty fast, which may indicate that the engines didn’t restart fully and the thing just broke up when it got into the denser part of the atmosphere.

While we’re not huge fans of doorbell cameras, mainly on privacy grounds but also because paying a monthly fee for service just seems silly, we might reconsider our position after one captured video of a meteorite strike. The impact, which occurred at the Prince Edward Island home of Joe Velaidum, happened back in July but the video was only just released; presumably the delay was for confirmation that the object was indeed a meteorite. Joe’s Ring camera captured video of something yeeting out of the sky and crashing into the sidewalk next to the driveway, in the exact spot he’d been standing only moments before. It’s hard to say if he would have been killed by the impact, but it sure wouldn’t have been fun.

youtube.com/embed/dJJtLtV0Gx4?…

While we’re on space-adjacent topics, we saw an interesting story about a satellite that was knocked out of service for a couple of days thanks to 2024 being a leap year. The Eutelsat OneWeb communications satellite went offline on the last day of the year, apparently because some software wasn’t prepared for the fact that 2024 had 366 days. It’s not clear if this caused any problems with the satellite itself, although the company said the problem was with the “ground segment” so it likely wasn’t. Engineers were able to work through the problem and get it back online within 48 hours, but we’re left wondering how something like this could happen with so many standard libraries out there that specifically deal with leap day calculations.

It’s that time of year again — HOPE_16 is gearing up, and tickets for the August 15-17 conference at St. John’s University in Queens are already on sale. It looks like the Call for Proposals is active now too, so if you’ve got a talk you’d like to give, get going.

And finally, sad news for a hapless early adopter of Bitcoin, whose eleven-year effort to locate a hard drive with 8,000 Bitcoin on it has reached a legal end. Back in 2013, a hard drive owned by James Howells containing the Bitcoin wallet was accidentally disposed of, ending up in a landfill in Newport, Wales. Howells immediately asked for permission to search for the missing fortune, which at the time was worth about $7.5 million. This seems to us like his first mistake; in light of the potential payout, we’d probably have risked a trespassing charge. Howells spent the next couple of years trying to get access while assembling a recovery team, with the effort driven by the ever-increasing price of Bitcoin. Howells also brought suit against the council to get access, an effort that a High Court judge brought to an end last week. So Howells is out of luck, and the hard drive, now worth $765 million, still lies in the landfill.

hackaday.com/2025/01/19/hackad…

In questo episodio ho commentato riga per riga un documento di ACN e CSIRT che ripercorre con molta cura tutti gli aspetti più interessanti relativi al ransomware. Sul mio canale YouTube è presente anche il video, per chi volesse seguire il testo del documento.

zerodays.podbean.com/e/tutto-s…

The chances are overwhelming, that you are reading this article on a web browser powered by some form of the Blink or WebKit browser engines as used by Google, Apple, and many open source projects, or perhaps the Gecko engine as used by Firefox. At the top end of the web browser world there are now depressingly few maintained browser engines — we think to the detriment of web standards evolution.

Moving away from the big players though, there are several small browser projects which eschew bells and whistles for speed and compactness, and we’re pleased to see that one of the perennial players has released a new version as it passes its quarter century.

Dillo describes itself as ” a fast and small graphical web browser”, and it provides a basic window on the web with a tiny download and the ability to run on very low-end hardware. Without JavaScript and other luxuries it sometimes doesn’t render a site as you’d see it in Chrome or Firefox, but we’re guessing many users would relish some escape from the web’s cycle-sucking garbage. The new version 3.2.0 brings bug fixes, as well as math formula rendering, and navigation improvements.

The special thing about Dillo is that this is a project which came back from the dead. We reported last year how a developer resurrected it after a previous release back in 2015, and it seems that for now at least it has a healthy future. So put it on your retro PC, your original Raspberry Pi, or your Atari if you have one, and try it on your modern desktop if you need reminding just how fast web browsing can be.

This isn’t the only interesting browser project on the block, we’re also keeping an eye on Ladybird, which is aiming for those big players rather than simplicity like Dillo.

Thanks [Feinfinger] for the tip.

hackaday.com/2025/01/19/dillo-…

Hot on the heels of Bambu Lab’s announcement that it would be locking down all network access to its X1-series 3D printers with new firmware, the X.509 certificate and private key from the Bambu Connect application have now been extracted by [hWuxH]. This application was intended to be the sole way for third-party software to send print jobs to Bambu Lab hardware as we previously reported.

The Bambu Connect app is a fairly low-effort Electron-based affair, with some attempt at obfuscation and encryption, but not enough to keep prying eyes out. The de-obfuscated main.js file can be found here, with the certificate and private key clearly visible. These are used to encrypt HTTP traffic with the printer, and is the sole thing standing in the way of tools like OrcaSlicer talking with authentication-enabled Bambu Lab printers.

As for what will be the next steps by Bambu Lab, it’s now clear that security through obfuscation is not going to be very effective here. While playing whack-a-mole with (paying) users who are only interested in using their hardware in the way that they want is certainly an option, this might be a wake-up call for the company that being more forthcoming with their userbase would be in anyone’s best interest.

We await Bambu Lab’s response with bated breath.

hackaday.com/2025/01/19/bambu-…

When the Game Boy Printer was released back in 1998, being able to produce a hard-copy of your Pokémon diploma or your latest Game Boy Camera snapshot at the touch of a button was was pretty slick indeed. But in our modern paperless society, the GB Printer somehow sticks out as even more archaic than the other add-on’s for Nintendo’s iconic handheld. Even among the folks who are still proudly playing the games that support the Printer, nobody actually wants to print anything out — although that doesn’t mean they don’t want to see the images.

The TinyGB Printer, developed by [Raphaël BOICHOT] and [Brian KHUU], could be considered something of a Game Boy Non-Printer. Powered by the RP2040 Zero development board, this open source hardware device plugs into your Game Boy and is picked up by all the games as a legitimate Printer. But instead of cranking out a little slip of thermal paper once you hit the button, the image is displayed in all its 240×240 glory on a 1.3 inch TFT display mounted to the top of the board.

Now, there’s a couple neat things going on here. First of all, because the whole process is digital, [Raphaël] and [Brian] have managed to pull out all the stops and believe they are reproducing these images in the highest fidelity possible. The images are also being simultaneously stored (as PNGs) to a micro SD card on the board, which given the file size of these images, essentially gives you unlimited storage capacity. The documentation says the code might start glitching once you’ve put tens of thousands of images on the card, but surely your sanity would give out before then.
Clever use of off-the-shelf modules keeps the board cheap, easy to build, and relatively compact.
The documentation looks fantastic on this project, and we love the different variations that are possible depending on how you want to build it. For example you can choose to power it with AA or AAA batteries (to match whatever your Game Boy uses), and there’s support for removing the display if you’re more interested in banking the images than viewing them on the go.

If this project seems a bit similar, it’s probably because the duo were involved in the NeoGB Printer we covered back in 2021. Between the two this new version is considerably more polished, and it’s interesting to see how the team has improved on the basic concept over the last few years.

hackaday.com/2025/01/19/an-ins…

If you’re into handheld gaming, you’ve got a wide array of hardware options to choose from these days that are capable of running everything from console classics to full-fledged PC titles. But that doesn’t mean there aren’t enterprising gamers out there who are still building their own custom handhelds — like the Retro Lite CM5.

For this project, [StonedEdge], [GinKage], and [notime2d8] set out to create a powerful enough handheld that could emulate games spanning the PlayStation 2, GameCube, and 3DS eras. Using a Radxa Rk3588s compute module as a base, the build navigates the design and construction of things like the carrier board, custom controllers, and the enclosure.

The project’s build log takes the form of a set of forum entries that starts with emulating games on an OrangePi 5 and mapping out things like USB 3.0 support, Power Delivery and management, I2S audio, along with display options amongst other chores. But the project’s GitHub repo is packed with technical details for anyone looking for a more condensed version.

There are experiments with the MIPI OLED displays and the final revision uses an RP2040 as an HID to read button presses and data from the IMU. WiFi 6 and BLE 5.2 are handled by an M2 slot-mounted module that is interfaced using a PCI Express bus which is always tricky when designing your PCBs. The final product looks great and there are a couple of videos that show the device in action. Additionally, the design files and code are available for anyone who fancies building one themselves.

If you like handheld gaming consoles, then have a look at the Intel NUC based Handheld with Steam Deck vibes.

youtube.com/embed/lf8C4oy6nv0?…

hackaday.com/2025/01/19/diy-ha…

When it comes to amateur radio, one size definitely does not fit all. That’s especially true with antennas, which need to be just the right size for the band you’re working, lest Very Bad Things happen to your expensive radio. That presents a problem for the ham who wants the option to work whichever band is active, and doubly so if portable operation is desired.

Of course, there are commercial solutions to this problem, but they tend to be expensive. Luckily [Øystein (LB8IJ)] seems to have found a way around that with this low-cost homebrew motorized antenna coil, which is compatible with the Yaesu Automatic Tuning Antenna System. ATAS is supported by several Yaesu transceivers, including the FT-891 which [Øystein] favors for field operations. ATAS sends signals up the feedline to a compatible antenna, which then moves a wiper along a coil to change the electrical length of the antenna, allowing it to resonate on the radio’s current frequency.

The video below details [Øystein]’s implementation of an ATAS-compatible tuning coil, mainly focusing on the mechanical and electrical aspects of the coil itself, which takes up most of the room inside a 50-mm diameter PVC tube. The bore of the air-core coil has a channel that guides a wiper, which moves along the length of the coil thanks to a motor-driven lead screw. [Øystein] put a lot of work into the wiper, to make it both mechanically and electrically robust. He also provides limit switches to make sure the mechanism isn’t over-driven.

There’s not much detail yet on how the control signals are detected, but a future video on that subject is promised. We’re looking forward to that, but in the meantime, the second video below shows [Øystein] using the tuner in the field, with great results.

youtube.com/embed/skmWhgQLtnM?…

youtube.com/embed/MKAW8y2GVl8?…

hackaday.com/2025/01/19/motori…

High-speed bench equipment has become so much more affordable in the last decade that naturally one wonders what has made that possible. A great source of answers is a teardown by users like [kerry wong] who are kind enough to take apart their MSO2304X 300MHz osilloscope for our viewing pleasure.

The posted teardown video shows the guts of the scope without enclosure, heatsinks and shields that reveal a handful of boards that execute the functions nicely. The motherboard uses the Xilinx KINTEX-7 FPGA that is expected to run core processes such as signal processing as well as managing the sample storage on the paired DDR3 memory.

The analog front-end here is a bit of a surprise as it sports TI’s ADC08D1000 ADCs that are capable of 1.3 GSPS but the scope is advertised to be capable of more. The inferred design is that all four ADCs are being operated in an interleaved symphony to achieve 5 GSPS. Testing confirms that each input uses two ADCs at a time and when two or more channels are employed, the reconstruction quality drops.

The input lanes are pretty standard and are equipped with amps and power regulators that are more than up to the task. More TI chips are discovered such as the DAC128S085 that are the key to the analog waveform generator which is a feature commonly found in modern high-end oscilloscopes. On the application processor side, the scope has a Rockchip RK3568 that is responsible for the GUI and other user-level functions.

An interesting point in the video was how lean the construction is as well as the cost. The FPGA, ADCs, and other analog components are estimated to total the sale price of the scope, which means that manufacturer pricing would have to be heavily discounted to grant gross margin on sales. We loved the review of the scope and is the other part of the story.

youtube.com/embed/rY8mqdbomXA?…

hackaday.com/2025/01/18/a-look…

A simple yet intriguing idea is worth sharing, even if it wasn’t a flawless success: it can inspire others. [Richard]’s experiment with a motion-powered AirTag fits this bill. Starting with our call for simple projects, [Richard] came up with a circuit that selectively powers an AirTag based on movement. His concept was to use an inertial measurement unit (IMU) and a microcontroller to switch the AirTag on only when it’s on the move, creating a stealthy and battery-efficient tracker.

The setup is minimal: an ESP32 microcontroller, an MPU-6050 IMU, a transistor, and some breadboard magic. [Richard] demonstrates the concept using a clone AirTag due to concerns about soldering leads onto a genuine one. The breadboard-powered clone chirps to life when movement is detected, but that’s where challenges arise. For one, Apple AirTags are notoriously picky about batteries—a lesson learned when Duracell’s bitter coating blocks functionality. And while the prototype works initially, an unfortunate soldering mishap sadly sends the experiment off the rails.

Despite the setbacks, this project may spark a discussion on the possibilities of DIY digital camouflage for Bluetooth trackers. By powering up only when needed, such a device avoids constant broadcasting, making it harder to detect or block. Whether for tracking stolen vehicles or low-profile uses, it’s a concept rich with potential. We talked about this back in 2022, and there’s an interesting 38C3 talk that sheds quite some light on the broadcasting protocols and standards.

youtube.com/embed/WpcrsezGGOM?…

Header AirTag: Apple, Public domain, via Wikimedia Commons

hackaday.com/2025/01/18/stealt…

Un quindicenne di Cesena è stato denunciato dalla Polizia Postale alla Procura dei Minori di Bologna per aver commesso diversi reati informatici. Il giovane, con una notevole abilità nell’uso della tecnologia, ha iniziato quasi per gioco a cercare accessi a siti protetti, tra cui quello al sito del registro elettronico. Il suo obiettivo principale era modificare le proprie pagelle digitali dell’istituto tecnico che frequentava, trasformando i voti insufficienti in sufficienti.

Tutto dalla sua cameretta

Operando dalla sua cameretta (come riporta il corriere di Romagna), il ragazzo è riuscito a violare i registri scolastici e successivamente ha ampliato le sue attività illecite accedendo ai portali che gestiscono le rotte delle petroliere e delle navi da trasporto nel Mar Mediterraneo. Senza alcun interesse economico, ma spinto dal desiderio di divertirsi, ha modificato i percorsi di alcune navi, costringendole a deviare dalle rotte programmate.

La manipolazione dei sistemi di navigazione ha destato preoccupazione per la sicurezza marittima, portando all’avvio di un’indagine. I responsabili della sicurezza informatica sono riusciti a tracciare gli accessi non autorizzati fino all’area di Cesena. La denuncia è stata presentata alla Procura di Forlì e successivamente trasferita alla Polizia Postale, che ha identificato il giovane hacker e ricostruito le sue attività illecite.

Oltre alle interferenze con le rotte marittime, l’indagine ha rivelato che il ragazzo aveva anche alterato i propri voti scolastici, cancellando le insufficienze dopo aver trovato un modo per accedere ai registri del suo istituto. Vista la sua età, la denuncia è stata inoltrata al Tribunale dei Minori di Bologna, che valuterà come procedere.

Le infrastrutture critiche abusate da minori con capacità

Questo caso solleva interrogativi sulla sicurezza dei sistemi informatici e sulla vulnerabilità delle infrastrutture digitali, evidenziando la necessità di rafforzare le misure di protezione per prevenire accessi non autorizzati. Inoltre, mette in luce l’importanza di educare i giovani all’uso responsabile della tecnologia, affinché competenze avanzate non vengano utilizzate per attività illecite ma bensì per cause etiche.

Episodi simili sono stati spesso narrati in film e romanzi, dove giovani talenti informatici riescono a superare le più sofisticate barriere di sicurezza. Nella realtà, tali azioni comportano conseguenze legali significative, ma possono anche rappresentare un’opportunità per indirizzare queste abilità verso carriere nella sicurezza informatica, contribuendo a proteggere le infrastrutture digitali da minacce sempre più sofisticate.

L'articolo Piccoli Hacker Crescono! 15 Anni, Italiano, Cambiava i Voti Di Scuola e Deviava Le Petroliere In Mare proviene da il blog della sicurezza informatica.

TikTok in pochi anni è diventato un fenomeno culturale che ha cambiato molti settori, tra cui musica, moda, cibo e persino istruzione, è stato ufficialmente bloccato negli Stati Uniti. La decisione della Corte Suprema di confermare il divieto dell’app ha suscitato un’ondata di emozioni, che vanno dalla delusione alle proteste, soprattutto tra i giovani che utilizzavano la piattaforma non solo per divertimento ma anche per esprimere le proprie idee e partecipare a cause sociali.

Il lancio di TikTok negli Stati Uniti nel 2018 ha coinciso con l’aumento della popolarità delle app video in formato breve. Nel 2020, al culmine della pandemia di COVID-19, TikTok contava più di 100 milioni di utenti nel paese, diventando un luogo di espressione personale e una fonte di ispirazione per molti. La piattaforma, grazie ad un algoritmo che si adatta perfettamente alle preferenze dell’utente, ha rapidamente conquistato il cuore del pubblico offrendo contenuti “live” e “non verniciati”.

La popolarità di TikTok ha portato concorrenti come Meta, Snapchat e YouTube a introdurre i propri equivalenti: rispettivamente Reels, Spotlight e Shorts. Tuttavia, TikTok ha mantenuto la sua leadership grazie al suo ecosistema unico, che ha avuto un impatto in molti settori. Ad esempio, le tendenze nate su TikTok hanno cambiato il mercato più di una volta: aggiornamenti del guardaroba ispirati alla moda cottagecore e “coastal granny”, BookTok ha aumentato le vendite di libri e ricette come la feta sono diventate dei veri successi.

La piattaforma era anche un luogo dove gli utenti potevano mostrare le loro migliori qualità umane: attraverso di essa venivano raccolti milioni di dollari per aiutare chi era nel bisogno, sostenere gli insegnanti e le vittime dei disastri naturali. Tuttavia, TikTok è stato anche criticato per aver diffuso disinformazione, tendenze tossiche e caratteristiche che creano dipendenza. Ciò, unito alle preoccupazioni sulla sicurezza nazionale e sulla privacy dei dati, ha portato ad anni di pressioni da parte dei legislatori.

Dopo che TikTok è stato bandito negli Stati Uniti, molti utenti si sono riversati su nuove piattaforme, inclusa l’app cinese RedNote (Xiaohongshu). Tuttavia, gli esperti avvertono che RedNote potrebbe essere ancora più pericoloso in termini di privacy raccogliendo dati, inclusa la geolocalizzazione, e censurando gli utenti.

In questo contesto, organizzazioni giovanili come Design It For Us stanno sostenendo leggi federali per regolare la raccolta dei dati, nonché restrizioni sul “design dannoso” che rende le app eccessivamente avvincenti. Tuttavia, nonostante la maggioranza dei cittadini sostenga tali misure, il Congresso finora non è riuscito ad approvare la legislazione.

Stati come il Maryland stanno iniziando ad implementare le proprie norme sulla privacy, che potrebbero diventare un modello per il resto del paese. Rimangono però dei problemi: vietare TikTok da solo non è sufficiente per affrontare le minacce alla sicurezza digitale, e la strategia nazionale in questo ambito appare ancora poco chiara.

Forse TikTok tornerà. Il presidente eletto Donald Trump ha annunciato la sua intenzione di preservare la piattaforma, proponendo una proroga di 90 giorni per il divieto. E il CEO di TikTok Shaw Zee Chu ha espresso la fiducia che l’azienda farà ogni sforzo per continuare a deliziare gli utenti e ispirarli verso nuovi traguardi.

La decisione di vietare TikTok solleva seri interrogativi su come un paese, una volta considerato un bastione della libertà di parola, stia rapidamente cadendo nella censura. Bloccare un popolare social network senza chiare basi giuridiche e senza sviluppare una legislazione esaustiva sembra un duro colpo ai principi democratici. Invece di proteggere i diritti dei cittadini, il governo ricorre a divieti motivati ​​politicamente, lasciando irrisolti i problemi di privacy e sicurezza. Questo sviluppo minaccia l’idea stessa di uno spazio digitale libero e aperto.

L'articolo Gli Stati Uniti, Baluardo Di Libertà di Parola, Cade Nella Censura. Il Caso TikTok proviene da il blog della sicurezza informatica.

Gli hacker hanno annunciato che Gravy Analytics, una società che vende dati sulla posizione degli smartphone al governo degli Stati Uniti, è stata hackerata. Gli aggressori avrebbero avuto accesso a una grande quantità di dati, tra cui elenchi di clienti, informazioni sul settore e geodati precisi degli utenti. Gli hacker minacciano di pubblicare informazioni se l’azienda non risponde entro 24 ore.

L’incidente è stato un serio avvertimento per l’intero settore del commercio di dati di geolocalizzazione. Per anni, le aziende hanno raccolto dati sulla posizione tramite app mobili e reti pubblicitarie per poi venderli ad aziende private e agenzie governative. Tra i clienti figurano il Dipartimento della Difesa degli Stati Uniti, il Dipartimento per la Sicurezza Nazionale, l’Internal Revenue Service e l’FBI. Tuttavia, tali dati diventano un obiettivo attraente per i criminali informatici.

Sui forum, gli hacker hanno pubblicato campioni di dati che includevano le coordinate esatte degli utenti, i tempi di viaggio e ulteriori qualificatori, come “probabilmente alla guida”. Tra i dati sono state trovate informazioni su utenti di diversi paesi, tra cui Russia, Messico e Paesi Bassi. Alcuni dati sono già stati utilizzati dalle agenzie statunitensi per le operazioni di migrazione.

Gli hacker affermano di aver ottenuto l’accesso all’infrastruttura Gravy Analytics nel 2018. Gli screenshot mostrano l’accesso completo ai server, ai domini e allo spazio di archiviazione Amazon S3 dell’azienda. Si dice che anche i server hackerati eseguano Ubuntu, evidenziando la portata della violazione.

Sito web di un’azienda hackerata e screenshot degli hacker (404 Media)

Nel 2023, Gravy Analytics è stata acquisita da Unacast, ma il sito web dell’azienda rimane inaccessibile. I rappresentanti di Unacast non hanno fornito commenti sulla situazione.

I clienti di Gravy Analytics (la società madre di Venntel) includono Apple, Uber, Comcast, Equifax e appaltatori del governo statunitense come Babel Street. Quest’ultimo ha precedentemente utilizzato i dati per strumenti di tracciamento, compreso il monitoraggio dei visitatori delle cliniche per aborti.

In precedenza, la Federal Trade Commission (FTC) degli Stati Uniti aveva avviato un’indagine contro Gravy Analytics e Venntel. Le società sono state accusate di aver venduto dati riservati senza il consenso dell’utente e hanno ordinato di cancellare i dati storici di geolocalizzazione. La FTC ha affermato che le azioni delle società violano una legge che vieta l’uso ingiusto delle informazioni personali.

In precedenza si era saputo che le basi militari americane in Europa erano minacciate a causa della fuga di dati sulla posizione raccolti per la pubblicità mirata. Dall’indagine è emerso che le aziende statunitensi che raccolgono legalmente dati a scopo pubblicitario offrono in realtà la possibilità di tracciare i movimenti del personale militare e dei servizi segreti.

L'articolo Dati di Geolocalizzazione: Gli Hacker Vogliono Pubblicare Il Bottino di Gravy Analytics proviene da il blog della sicurezza informatica.

L’organizzazione per i diritti umani None of Your Business (noyb) ha presentato 6 denunce contro TikTok , AliExpress, SHEIN, Temu, WeChat e Xiaomi. Le società sono accusate di aver trasferito illegalmente i dati degli utenti europei in Cina, in violazione del Regolamento generale sulla protezione dei dati dell’UE (GDPR).

Noyb è specializzato nell’intraprendere azioni legali contro le aziende che violano i diritti degli utenti nei settori della trasmissione dei dati, del tracciamento online e della sorveglianza. Sono stati presentati reclami alle autorità di protezione dei dati in Grecia, Italia, Belgio, Paesi Bassi e Austria per conto di utenti di questi paesi.

L’organizzazione sottolinea che le autorità cinesi raccolgono e trattano i dati dei cittadini senza adeguate restrizioni, il che è contro la legislazione europea sulla protezione dei dati. Il GDPR consente il trasferimento di dati al di fuori dell’UE solo in casi eccezionali in cui sia stato dimostrato il rispetto delle misure di sicurezza contro l’accesso non autorizzato.

Secondo noyb, le aziende cinesi stanno violando il Capo V del GDPR, compresi gli articoli 44, 46 e 46(1), non fornendo adeguate garanzie e non conducendo valutazioni di impatto dei trasferimenti di dati. Inoltre, le aziende sono tenute a rispettare le richieste del governo cinese di accesso ai dati senza giustificazione o restrizione.

Xiaomi ha precedentemente riconosciuto nei suoi rapporti pubblici che le autorità cinesi potrebbero richiedere un accesso “illimitato” ai dati degli utenti. Noyb sottolinea inoltre che gli utenti europei vedono le loro richieste di accesso ai dati ignorate, in violazione dell’articolo 15 del GDPR. La clausola dà alle persone il diritto di sapere quali dati vengono raccolti su di loro e come vengono utilizzati.

A questo proposito, noyb ha presentato i seguenti reclami alle autorità per la protezione dei dati in cinque paesi dell’UE:

• TikTok – in Grecia;
• Xiaomi – in Grecia;
• SHEIN – in Italia;
• AliExpress – in Belgio;
• WeChat – nei Paesi Bassi;
• Temù – in Austria.

L’organizzazione chiede alle autorità di interrompere immediatamente i trasferimenti di dati verso la Cina e di richiedere alle aziende di conformare i propri processi di trattamento dei dati al GDPR. Se le violazioni vengono confermate, le aziende rischiano sanzioni amministrative fino al 4% del fatturato annuo globale. Per Xiaomi e Temu, questo potrebbe essere rispettivamente di 1,75 e 1,35 miliardi di dollari.

Al momento, nessuna delle società citate nella causa ha risposto alle richieste di commento.

In precedenza, noyb aveva presentato un reclamo contro Mozilla. L’organizzazione accusa gli sviluppatori del browser Firefox di monitorare il comportamento degli utenti sui siti web senza consenso. E nel giugno 2024, l’organizzazione ha presentato una denuncia ad Alphabet, accusandola di monitorare gli utenti del browser Chrome. Nel complesso, sin dalla sua nascita, noyb ha presentato centinaia di denunce contro le principali aziende tecnologiche, alcune delle quali hanno comportato multe significative.

L'articolo TikTok, SHEIN e Xiaomi sotto accusa: il caso del trasferimento illegale di dati in Cina proviene da il blog della sicurezza informatica.

The RP2040 has quickly become a hot favorite with tinkerers and makers since its release in early 2021. This is largely attributed to the low cost, fast GPIOs, and plethora of bus peripherals. [xyphro] has written the I3C Blaster firmware that helps turn the Raspberry Pi Pico into a USB to I3C converter.

The firmware is essentially a bit-bang wrapper and exposes an interactive shell with a generous command set. But it is a lot more than that. [xyphro] has taken the time to dive into the I3C implementation standard and the code is a fairly complex state-machine that is a story on its own.

[xyphro] provides a Python script in case you feel like automating things or drawing up your GUI. And finally, if you are feeling adventurous, the I3C implementation is available for your project tinkering needs.

We loved the fact there is a branch project that lets you extend a Saleae Logic Analyzer to decode I3C and associated protocols by adding a Pico on the cheap. The last update to the project log shows the addition of a MIPI I3C High Data Rate Mode which operates at 25 Mbps which is right up the RP2040s.

[xyphro] gave us the Home Brew Version Of Smart Tweezers a decade ago and we expect there is more to come. If you are interested in reading more about the I3C bus, have a look at I3C — No Typo — Wants To Be Your Serial Bus.

hackaday.com/2025/01/18/i3c-bi…

Recently a video surfaced from someone claiming that certain USB-to-Ethernet dongles contained ‘malware’ among other big claims. Basically these dongles were said to be designed by China (and Russia) to spy on users and so on, but how much of this is actually grounded in reality? When [lcamtuf] dove into the topic, what he found was not so much a smoking gun, but rather a curious relic from the era when drivers-on-CD were being phased out.

The item that the video went bananas about was namely an additional SPI Flash chip on the PCB alongside the USB 2.0 – Ethernet IC, with many conspiracy theories being floated as to what it would be used for. After some digging, [lcamtuf] found that the IC used in these dongles (SR9900) is by a company called CoreChips Shenzhen, with a strong suggestions that it is a clone of the (2013-era) Realtek RTL8152B.

Both chips have an external SPI Flash option, which is used with the USB side to present a ‘virtual CD drive’ to the user when the dongle is plugged in. This was borne out with the SR9900 Windows system mass production tool that [lcamtuf] obtained a copy of. Included with the flashing tool is a 168 kB ISO image (containing the SR9900 driver package) which happily fits on the 512 kB Flash chip.

Although it’s always possible for chips and firmware to contain backdoors and malware, in this particular case it would appear to be that it’s merely a cruel reminder that 2013 is now already vanishing into the realm of ‘retro computing’ as us old fogies cling to our driver installation floppies and CDs.

hackaday.com/2025/01/18/invest…

With so much data being thrown at our eyeballs these days, it’s worryingly easy for the actually important stuff to slip by occasionally. So when [Liam Jackson] wanted a way to visualize the number of test failures popping up in the continuous integration system at work, he went with a novel but effective solution — universal motorcycle tachometers.

It turns out these little gauges can be had for under $10 a piece from the usual overseas retailers, and are very easy to drive with a microcontroller. As [Liam] explains, all you need to do other than providing them with 12 volts, is feed them a PWM signal. Even though the gauges are designed for a 12 V system, they apparently don’t have any problem responding to the 5 V logic level from the Arduino’s pins.

As for the frequency he says that 1,000 RPM corresponds to 16.66 Hz, so you can just multiply up from there to show whatever number you wish. That said, [Liam] warns that the gauges draw several hundred milliamps once the needle gets into the two digit range, so keep that in mind. Conveniently, those number happen to be in red anyway…

For his particular application, [Liam] put three of the gauges together to create a very handsome dashboard. If you want to recreate his setup exactly he’s made the STLs available for the gauge cluster housing. Note the small OLED at the center, this offers a way to show a bit more context than the three analog gauges alone can express, especially if you’ve got an application where you might be switching between multiple data sources.

Over the years we’ve seen several projects that repurposed analog gauges of various types, often for showing computer performance, but they generally involved having to drive the galvanometers directly. That these tachometers can simply be fed a simple digital signal should make implementing them into your project much easier.

hackaday.com/2025/01/18/puttin…

TikTok ha annunciato l’intenzione di sospendere le proprie operazioni negli Stati Uniti da domenica 19 gennaio, a meno che non intervenga l’amministrazione Biden. L’azienda sta cercando una dichiarazione del governo che protegga i suoi partner chiave, tra cui Apple, Google, Amazon e Oracle, da potenziali conseguenze legali.

L’annuncio di TikTok arriva dopo che una sentenza della Corte Suprema degli Stati Uniti, la quale ha confermato una legge che imporrebbe alla società cinese ByteDance di vendere la propria partecipazione nell’app. Se questa condizione non viene soddisfatta, TikTok sarà bandito nel Paese.

L’amministrazione Biden ha affermato che l’ulteriore attuazione della legge sarà trasferita all’amministrazione Donald Trump, che inizierà i lavori lunedì 20 gennaio. Il presidente Trump aveva precedentemente promesso di preservare TikTok mentre discuteva la questione con il presidente cinese Xi Jinping.

Il Dipartimento di Giustizia degli Stati Uniti sostiene il divieto, affermando che la sicurezza nazionale del paese è a rischio a causa del potenziale accesso ai dati degli utenti americani. Tuttavia, alcuni politici che hanno sostenuto il divieto hanno iniziato a cambiare idea. Il senatore Chuck Schumer ha osservato che l’attuazione della legge potrebbe avere un impatto negativo sull’eredità di Biden.

TikTok ha affermato che se non verrà raggiunta la chiarezza, l’app non sarà più disponibile per i suoi 170 milioni di utenti americani a partire dal 19 gennaio.

L'articolo TikTok verso la chiusura negli USA: scatta l’allarme per 170 milioni di utenti proviene da il blog della sicurezza informatica.