Ti sei mai chiesto quanto sia davvero sicuro il tuo smartphone?

Tra attestazioni, assertions e jailbreak che sembrano usciti da un film di spionaggio, il mondo della sicurezza mobile è un campo minato. Ma cosa significa tutto questo per noi che amiamo smanettare con le app?

Iniziamo con Android: il sistema operativo verde ha un approccio piuttosto rigido. Le attestazioni hardware sono come un documento d’identità digitale, ma con il rischio di finire in un vendor lock-in. Se da un lato è rassicurante sapere che il tuo telefono è “verificato”, dall’altro ci si chiede: quanto è davvero libero questo sistema?

Passiamo a iOS: qui la situazione è diversa. Apple ha una visione più centralizzata, con App Attest e assertions che sembrano uscite da un romanzo di sci-fi. Il problema? Se il tuo iPhone è jailbroken, anche le protezioni più avanzate possono diventare carta straccia. E poi c’è la questione della privacy: affidarsi a un’azienda che ha fama di essere piuttosto invasiva non è proprio il massimo.

Ma veniamo al punto: cosa significa per noi smanettoni?

Se ami personalizzare il tuo device, probabilmente le attestazioni sono un ostacolo. Ma se invece vuoi creare app sicure, potrebbero essere un alleato prezioso. Il dilemma è sempre lo stesso: sicurezza vs. libertà.

E poi c’è il problema del vendor lock-in. Google e Apple stanno costruendo muri alti, e per noi sviluppatori significa dover scegliere tra comodità e indipendenza.

In conclusione, la sicurezza mobile è un campo affascinante ma complesso. E mentre le grandi aziende continuano a giocare a chi ha la tecnologia più avanzata, noi possiamo solo sperare che, un giorno, la vera libertà torni a essere un’opzione.

Source: German implementation of eIDAS will require an Apple/Google account to function

Avete presente quella sensazione quando lasci le chiavi di casa a un amico “di fiducia” e poi lo scopri che ha fatto una festa a tema “distruzione totale” nella tua cucina? Ecco, OpenClaw è un po’ così, ma in versione digitale.

La notizia bomba del giorno: questo tool AI “intelligente” permette a chiunque di entrare nei tuoi sistemi come admin senza bisogno di password. Niente autenticazione, niente controllo, solo un bel “ciao, sono io, il tuo nuovo amministratore di sistema non invitato”.

Per chi non lo sapesse, OpenClaw è diventato virale perché prometteva di automatizzare un sacco di operazioni noiose. Peccato che, come spesso accade con gli strumenti “revolutionary” del momento, abbia un bug grosso come una casa: basta un po’ di smanettamento da parte di un attaccante per ottenere accessi totali.

Da smanettone a smanettone, vi dico subito cosa ne penso: 1) è sempre una pessima idea fidarsi di strumenti che promettono di “risolvere tutto” senza un controllo adeguato; 2) se state usando OpenClaw, forse è il momento di fare un bel backup e dare una sistemata alle vostre password; 3) se invece siete quelli che amano smanettare con la sicurezza, beh, questo è il vostro nuovo giocattolo preferito.

Ma veniamo al punto cruciale: cosa significa per noi maker e hacker? Beh, intanto che se avete qualche progetto che gira su OpenClaw, forse è il caso di fare un po’ di reverse engineering. E poi, che questa storia ci insegna che la sicurezza è come un castello di sabbia: bellissimo finché non arriva un’onda anomala.

E infine, una nota polemica: perché diamine questi strumenti vengono rilasciati senza un minimo di testing? Ma soprattutto, perché noi utenti dobbiamo sempre fare da cavie?

In conclusione, OpenClaw è un bel esempio di come l’hype tecnologico possa trasformarsi in un incubo notturno. Ma d’altronde, se c’è una cosa che abbiamo imparato, è che la tecnologia è come una scatola di Lego: puoi costruire castelli meravigliosi, ma se non controlli chi gioca con te, finisci per ritrovarti un drago di plastica in mezzo al salotto.

Source: OpenClaw gives users yet another reason to be freaked out about security

Avete mai pensato a cosa succederebbe se la sicurezza aeroportuale fosse gestita da privati? Esatto, quel mix esplosivo tra “chi paga comanda” e “ma chi ha controllato chi ha controllato?”.

Secondo l’ultima proposta di bilancio, Trump vorrebbe privatizzare gli addetti TSA, quei simpaticoni in divisa blu che ci fanno svuotare le tasche e ci guardano con sospetto quando tiriamo fuori un Arduino dal bagaglio. La scusa? “Efficienza” e “riduzione dei costi”. Già, perché niente dice “sicurezza” come affidare i controlli a chi ha come priorità il profitto.

Per noi smanettoni, la faccenda è doppiamente interessante. Da un lato, potrebbe aprire scenari di vendor lock-in assurdi: immaginatevi di dover pagare una licenza per usare un metal detector “proprietario” o di dover hackerare i protocolli di screening perché nessuno rilascia documentazione pubblica. Dall’altro, potrebbe creare un nuovo mercato di gadget per eludere i controlli (sì, sto già pensando a un badge RFID con spoofing integrato).

Il vero problema, però, è la mancanza di trasparenza. Se anche la sicurezza diventa un servizio “black box”, come facciamo a verificare che non ci siano backdoor o vulnerabilità? Ricordate quando abbiamo smontato quel vecchio scanner aeroportuale per vedere come funzionava? Ecco, ora immaginate di dover firmare un NDA solo per dare un’occhiata ai circuiti.

E poi c’è la questione della privacy. I dati biometrici, i pattern di viaggio, le abitudini degli utenti: tutto materiale prezioso per chi vuole fare profiling. Se la gestione diventa privatizzata, chi ci garantisce che questi dati non finiscano in qualche database commerciale? E soprattutto, chi ci dice che non verranno usati per scopi diversi dalla sicurezza?

Per concludere, la proposta è un perfetto esempio di “soluzione tecnologica” a un problema che non è tecnologico. Più che hackerare i controlli, forse dovremmo hackerare il sistema politico che permette queste decisioni. Intanto, preparatevi a pagare di più per far passare il vostro Raspberry Pi attraverso il metal detector.

Source: Trump Wants to Start Privatizing TSA in Latest Budget Proposal

Ecco una notizia che farà drizzare le antenne a tutti gli appassionati di hardware e sicurezza: gli attacchi Rowhammer sono tornati, ma questa volta hanno preso di mira le GPU Nvidia. Sì, avete capito bene, non più solo la RAM, ma anche i vostri amati schemi video.

GDDRHammer, GeForge e GPUBreach sono i nuovi nomi che dovreste iniziare a temere (o almeno rispettare). Questi attacchi sfruttano le vulnerabilità nelle memorie GDDR delle GPU per ottenere il controllo completo dei sistemi. In pratica, stiamo parlando di un modo per hackerare la CPU attraverso la GPU. Non male, eh?

Se siete tra quelli che pensano che la sicurezza hardware sia roba da nerd con troppo tempo libero, forse è il momento di ricredervi. Questi attacchi dimostrano che anche i componenti più avanzati possono diventare punti deboli in un sistema.

Ma cosa significa per noi smanettoni? Beh, prima di tutto, significa che dobbiamo stare ancora più attenti quando facciamo overclocking o modding sulle nostre schede video. E sì, anche se usate una GPU Nvidia per fare rendering 3D o giocare, non siete immuni.

Nvidia, da parte sua, ha già rilasciato alcuni aggiornamenti, ma sappiamo tutti come vanno queste cose: patch oggi, nuove vulnerabilità domani. Il problema è che, mentre i vendor continuano a correre dietro alle vulnerabilità, noi utenti siamo costretti a fare i conti con hardware che potrebbe non essere così sicuro come pensavamo.

Per chi ama metter le mani in pasta, questo è un altro motivo per esplorare alternative open-source o soluzioni più trasparenti. Perché, diciamocelo, la sicurezza è come il sesso: meglio farlo con qualcuno di cui ti fidi.

In conclusione, tenete gli occhi aperti, aggiornate i vostri driver e, soprattutto, non date per scontato che la vostra GPU sia un’isola felice. Il mondo della sicurezza hardware è un campo minato, e questi nuovi attacchi sono solo l’ultima prova.

Source: New Rowhammer attacks give complete control of machines running Nvidia GPUs

Sapete qual è la cosa più underrated nel mondo del tech? Gli antivirus che non cercano di fare i fenomeni da bar. Avast Premium è uno di quelli: non ha luccichii, non promette di salvare il mondo, ma fa il suo lavoro senza troppe storie. E forse è proprio questo che lo rende intelligente.

Avast Premium offre protezione da malware, blocco di truffe e rilevamento di deepfake per un PC e un dispositivo mobile. Niente di rivoluzionario, ma tutto quello che serve per navigare senza troppi pensieri. La domanda è: vale davvero la pena?

Da smanettone, la prima cosa che mi viene in mente è: perché spendere di più per funzionalità che non userò mai? Avast Premium non cerca di convincerti a comprare abbonamenti premium per features inutili. È semplice, diretto e, soprattutto, economico. Per noi che passiamo le notti a smanettare con Arduino e Raspberry Pi, avere un antivirus che non rallenta il sistema è una manna dal cielo.

Ma c’è un però. Avast ha avuto qualche problema di privacy in passato, e anche se ora sembra essersi ripulito, la domanda rimane: possiamo davvero fidarci? Per chi lavora su progetti open source o maneggia dati sensibili, la privacy è un tema caldo. Se da una parte apprezzo la semplicità, dall’altra non posso fare a meno di chiedermi se sto davvero pagando per la mia sicurezza o per la raccolta di dati.

Detto questo, se siete alla ricerca di un antivirus che non vi faccia impazzire con notifiche inutili e non vi costi un patrimonio, Avast Premium potrebbe essere la scelta giusta. Certo, non è perfetto, ma per chi cerca qualcosa di affidabile e senza fronzoli, è un’opzione da considerare.

E voi, lo provereste o preferite altre soluzioni? Fateci sapere nei commenti!

Source: Avast Premium Isn’t Flashy — But It Might Be the Smartest Cheap Antivirus Right Now

Immagina di costruire un castello di carte perfetto, solo per scoprire che la tua carta da gioco preferita ha un bug che lo fa crollare. Ecco cosa è successo ad Anthropic con Claude Code.

Sì, avete letto bene. Il codice sorgente di Claude Code, l’IA di Anthropic, è finito su NPM per un errore di configurazione. E non stiamo parlando di qualche snippet di utility, ma di feature flags segrete, architetture sperimentali e persino un sistema Tamagotchi integrato. Insomma, il genere di roba che normalmente trovi solo nelle slide di un keynote.

Ma partiamo dall’inizio. Bun, il runtime JavaScript che Anthropic ha acquisito lo scorso anno, ha un bug noto (trackato come #28001) che serve le source map anche in modalità produzione. Questo è il motivo per cui il codice di Claude Code è finito su NPM. Un errore che fa sorridere amaramente, soprattutto perché il team di Anthropic deve aver pensato: “Ma chi mai guarderà il sorgente?”. Spoiler: lo stiamo facendo tutti, e non solo per curiosità.

Tra le cose più interessanti, troviamo KAIROS, un sistema autonomo che sembra uscito da un film di fantascienza. Gestione di agenti multipli, cron-job, webhook su GitHub: è il genere di feature che fa sognare chiunque ami automatizzare tutto. Peccato che ora tutti i competitor sappiano esattamente dove sta andando Anthropic.

Ma non è tutto oro quel che luccica. Il codice mostra anche una serie di scelte architetturali discutibili, come una funzione print lunga 5.594 righe (sì, avete letto bene) e un uso eccessivo di Axios proprio mentre veniva compromesso da un RAT. E poi ci sono le misure anti-distruzione del cache che sembrano uscite da un corso avanzato di ottimizzazione, ma che alla fine sono solo un modo per evitare di pagare troppi token.

Per noi smanettoni, la lezione è chiara: anche le grandi aziende commettono errori madornali. E mentre Anthropic corre a chiudere le falle, noi possiamo finalmente sbirciare sotto il cofano di un sistema che prometteva di essere la prossima rivoluzione.

E poi, ammettiamolo: chi non vorrebbe un Tamagotchi nel proprio terminale? Anche se probabilmente non è stato pensato per questo.

Source: The Claude Code Source Leak: fake tools, frustration regexes, undercover mode

Se pensavi che i quantum computer fossero roba da laboratori super-costosi, con bilanci da miliardari e team di scienziati in camice bianco, beh… preparati a una doccia fredda.

Secondo gli ultimi studi, Q-Day (il giorno in cui i quantum computer potranno finalmente crackare le nostre crittografie più diffuse) potrebbe arrivare molto prima del previsto, e con un budget molto più abbordabile.

In soldoni, i ricercatori hanno scoperto che per violare i sistemi di crittografia a curva ellittica (quelle che usiamo per il nostro Wi-Fi, le carte di credito, e persino i nostri portafogli Bitcoin) servono molti meno qubit del previsto. E questo, cari amici, è un problema.

Ma partiamo dalle basi: cosa significa davvero questa notizia per noi smanettoni?

1. **Addio alla crittografia facile**: Se prima pensavamo che i quantum computer fossero una minaccia lontana, ora sappiamo che la minaccia è molto più concreta. Questo significa che dobbiamo iniziare a pensare a soluzioni alternative, come la crittografia post-quantum.

2. **Opportunità per i maker**: Se siete appassionati di sicurezza informatica, questo è il momento perfetto per iniziare a sperimentare con algoritmi resistenti ai quantum. E chi lo sa, magari il prossimo grande algoritmo di crittografia lo inventerete voi nel vostro garage.

3. **Problemi per i corporate**: Le grandi aziende tecnologiche stanno già iniziando a sudare freddo. La crittografia è la base di tutta la nostra sicurezza digitale, e se i quantum computer la rendono obsoleta, dovranno investire miliardi per aggiornare i loro sistemi.

Ma non tutto è perduto. I ricercatori stanno già lavorando a nuove forme di crittografia che potrebbero resistere agli attacchi dei quantum computer. E, come sempre, la comunità open source è in prima linea per trovare soluzioni.

Quindi, mentre i grandi player si preparano alla battaglia, noi possiamo già iniziare a sperimentare e scoprire. Perché, alla fine, la tecnologia è nostra, e noi siamo quelli che la fanno funzionare.

E se vi state chiedendo cosa fare nel frattempo, beh… forse è il momento di aggiornare le vostre password. Ma questa è un’altra storia.

Source: Quantum computers need vastly fewer resources than thought to break vital encryption

Cari hacker, maker e smanettoni vari, oggi abbiamo una notizia che vi farà grattare la testa (e forse controllare due volte i vostri progetti su GitHub).

Immaginate un malware che non solo si diffonde da solo, ma lo fa attraverso il software open-source, quella roba che tutti noi amiamo per la sua trasparenza e libertà. Beh, qualcuno ha deciso di trasformare il nostro amato codice open in un cavallo di Troia. E il bersaglio principale? Macchine in Iran.

La storia è questa: un malware auto-propagante sta infettando progetti open-source, e quando dice “infettare” intende proprio quello, come un virus informatico che si diffonde attraverso i progetti condivisi. Una volta dentro, il malware non solo si replica, ma cancella dati su macchine basate in Iran. Sì, avete letto bene: cancella dati. Non è un ransomware che chiede un riscatto, ma un software che agisce come un bulldozer digitale, distruggendo tutto ciò che trova.

Ma perché dovrebbe interessarvi? Beh, perché se siete sviluppatori, maker o semplicemente amanti del codice open-source, questo è un campanello d’allarme. Il malware sfrutta la fiducia che riponiamo nei progetti open-source, trasformandoli in veicoli per attacchi. E il peggio? Non è la prima volta che succede, e probabilmente non sarà l’ultima.

Da smanettone a smanettone, vi dico: controllate i vostri repository, aggiornate le dipendenze e, per l’amore di tutto ciò che è sacro nel mondo del coding, fate backup. Non si sa mai quando un progetto che avete scaricato per un Arduino o un Raspberry Pi possa diventare un’arma a doppio taglio.

E poi c’è la questione etica. L’open-source è basato sulla condivisione e la collaborazione. Vedere il proprio lavoro strumentalizzato per attacchi è come scoprire che il tuo progetto di riciclo della plastica è stato usato per costruire un’arma. Non è bello, ma è la realtà. Quindi, siate vigili, siate paranoici (ma non troppo), e soprattutto, continuate a smanettare. Perché il mondo ha bisogno di maker, non di paranoici che non toccano più una riga di codice.

In conclusione, questo episodio è un promemoria che anche nel mondo open-source, la sicurezza è fondamentale. Quindi, andate a controllare i vostri progetti, aggiornate tutto, e magari fate un backup. E se trovate qualcosa di sospetto, fatelo sapere alla community. Insieme siamo più forti, anche contro i malware.

Source: Self-propagating malware poisons open source software and wipes Iran-based machines

Se avessi un euro ogni volta che un’azienda tech promette di risolvere tutti i tuoi problemi con un click, potrei comprarmi un Raspberry Pi a ogni angolo di strada.

Delve, una startup che si vantava di offrire ‘compliance as a service’, ha fatto esattamente questo: ha convinto centinaia di clienti di essere la soluzione definitiva per la conformità normativa, per poi essere smascherata quando ha mentito su tutto. Un bel po’ di audacia, no?

La storia è semplice: Delve ha promesso di aiutare le aziende a rispettare le normative più stringenti, ma quando è stato scoperto che i loro certificati erano falsi, hanno semplicemente scrollato le spalle e hanno continuato a fare business. Niente scuse, niente rimorsi. Solo un bel “Ops, ci avete beccati, ma intanto abbiamo già preso i vostri soldi”.

Da smanettone, la cosa mi fa ribollire il sangue. Perché? Perché nel nostro mondo, dove ogni riga di codice conta e ogni componente hardware deve funzionare come dovrebbe, la trasparenza è tutto. Se un’azienda non è onesta con i propri clienti, come possiamo fidarci di qualsiasi altra cosa che ci vendono?

E poi, parliamo del concetto stesso di ‘compliance as a service’. Sembra una di quelle soluzioni magiche che promettono di risolvere problemi complessi con un abbonamento mensile. Ma sappiamo tutti che la compliance non funziona così. È un processo continuo, fatto di controlli, aggiornamenti e, soprattutto, di persone che si assumono la responsabilità delle proprie azioni.

Cosa significa tutto questo per noi, che amiamo mettere le mani in pasta? Significa che dobbiamo essere ancora più attenti. Non possiamo affidarci a soluzioni pronte all’uso, soprattutto quando si tratta di sicurezza e conformità. Dobbiamo fare le nostre ricerche, verificare le fonti e, se necessario, costruire le nostre soluzioni personalizzate.

E poi, c’è la questione del vendor lock-in. Delve ha probabilmente legato i suoi clienti con contratti a lungo termine, rendendo difficile per loro cambiare fornitore anche dopo lo scandalo. È una lezione importante: prima di firmare qualsiasi contratto, leggiamo bene i termini e condizioni. E se qualcosa non ci convince, cerchiamo alternative.

In conclusione, Delve è un esempio lampante di come l’hype tecnologico possa portare a decisioni avventate. Ma per noi, che amiamo la tecnologia per quello che è veramente, è un richiamo all’azione: continuiamo a fare le cose per bene, senza fretta e senza compromessi.

Source: Delve – Fake Compliance as a Service

La prossima volta che metti il tuo tracker fitness, pensa che potrebbe rivelare più di quanto vuoi.

Le Monde ha scoperto che la portaerei Charles de Gaulle francese è stata localizzata in tempo reale grazie a un marinaio che usava Strava. Non è uno scherzo, né un film di spionaggio low-budget. È la realtà del 2026, dove le app per la salute diventano strumenti di intelligence.

Per chi non lo sapesse, Strava è quell’app che usa chi corre, va in bici o fa palestra per tracciare i propri progressi. Il problema? Se non disattivi la condivisione dei dati, chiunque può vedere dove corri. E nel caso di un marinaio su una portaerei, beh, diciamo che la privacy è un po’ più importante del tuo record personale sulla maratona.

Questa non è la prima volta che Strava finisce sotto i riflettori per motivi di sicurezza. Nel 2018, per esempio, aveva già mostrato le basi militari americane in Medio Oriente. Eppure, a quanto pare, le lezioni non sono state imparate. O forse i militari francesi pensavano che nessuno avrebbe notato un tipo in tuta da ginnastica che corre sul ponte di una nave da guerra.

Da smanettone, non posso fare a meno di trovare la situazione tragicomica. Da un lato, ammiro la capacità di un’app di fitness di raccogliere dati così precisi. Dall’altro, mi chiedo come sia possibile che in un’epoca di cyber-guerra e hacking sofisticato, la sicurezza nazionale dipenda da un marinaio che dimentica di cambiare le impostazioni della sua app.

Per noi che amiamo mettere le mani in pasta, questa storia è un promemoria: i dati sono potenti, e spesso non sappiamo nemmeno chi li sta usando o come. Se vuoi evitare di tradire la tua posizione (o quella della tua portaerei), controlla sempre le impostazioni di privacy delle tue app. E se sei un maker, perché non costruirti un tracker fitness open-source? Almeno così saprai esattamente chi può vedere i tuoi dati.

In conclusione, Strava è diventata l’ennesimo esempio di come la tecnologia possa essere sia utile che pericolosa. E mentre i governi spendono miliardi in sicurezza, forse dovrebbero iniziare a guardare anche alle app che usano i loro soldati per tenersi in forma.

Ah, e la prossima volta che corri, spegni il GPS. Non si sa mai.

Source: France's aircraft carrier located in real time by Le Monde through fitness app