Hackerspace News

News

GitHub, 10.000 Trojan e il grande paradosso del ‘clona tutto senza leggere’

🇮🇹 · /root · Lamberto Tedaldi

Immaginate di entrare in un gigantesco magazzino di componenti elettronici, uno di quelli dove trovate di tutto, dai microcontrollori vintage ai sensore più assurdi, e scoprire che tra i chip puliti ci sono decine di migliaia di condensatori che esplodono appena applicate la tensione. Ecco, lo stesso panico da corto circuito è quello che sta attraversando la community di GitHub in questi giorni. Un utente, mentre faceva una banale ricerca su Google per vedere se il suo progetto fosse stato indicizzato, ha scoperchiato un vaso di Pandora digitale: 10.000 repository pronti a iniettare Trojan nei sistemi di chiunque sia abbastanza sbadato da scaricarli. La cosa impressionante non è solo il numero — che è comunque una cifra da mal di testa — ma il metodo. Non parliamo di vecchi fork di progetti famosi o di bot che replicano lo stesso codice sporco. No, qui parliamo di una rete strutturata di repository con nomi diversi, contributori diversi e un pattern di codice che, una volta identificato tramite uno script (e qui bisogna fare un applauso al ricercatore), rivela la natura maligna di tutto il cluster. È una vera e propria operazione di ‘supply chain attack’ su scala industriale, camuffata sotto la maschera del codice open source. Da smanettone che non ne vuole sapere di fidarsi nemmeno della propria madre, trovo questa situazione inquietante ma non del tutto inaspettata. Noi viviamo di repository, di librerie prese a caso da StackOverflow e di script Python trovati in qualche angolo oscuro del web per far girare una funzione di automazione. La nostra forza è la condivisione, ma la nostra debolezza è la pigrizia. La tentazione di fare un ‘git clone’ e sperare che tutto funzioni senza leggere nemmeno una riga di quello che sta succedendo nei file di setup è la nostra rovina. Cosa significa per noi che passiamo le notti a compilare firmware o a integrare librerie per i nostri progetti di automazione? Significa che dobbiamo tornare alle basi. Controllare i commit, analizzare i file di configurazione e, per l’amor di tutti i processore Z80, smetterla di fidarsi ciecamente di ogni repository che promette ‘magia istantanea’. GitHub deve prendersi le proprie responsabilità. Non possiamo permettere che la piattaforma diventi un marketplace per malware strutturati con questa precisione. Se il sistema di rilevamento di GitHub non riesce a beccare un pattern così massiccio, allora il concetto di ‘sicurezza’ è solo una parola vuota da inserire nei comunicati stampa per rassicurare gli investitori. Insomma, ragazzi, occhio a quello che scaricate. La prossima volta che trovate un repository che promette di far girare Blender su un Raspberry Pi 1 con prestazioni incredibili, fermatevi un secondo. Leggete il codice. Non fatevi fregare dal tropo dell’automazione facile. Alla fine della fiera, l’unico vero hacker deve essere quello che scrive il codice, non quello che lo usa per distruggervi il server. Source: I found 10k GitHub repositories distributing Trojan malware

webnewscybersecurityGitHubhackingmalware

Nuovi reattori in Svizzera: Il grande reboot del sistema energetico

🇮🇹 · /root · Lamberto Tedaldi

Avete presente quando cercate di fixare un bug in uno script Python, vi accorgete che la soluzione più semplice è quella che avete ignorato per mesi e, improvvisamente, tutto torna a girare senza crashare? Ecco, la Svizzera sta provando a fare esattamente questo con la sua rete elettrica. Il Parlamento federale a Berna ha appena dato il via libera alla rimozione del divieto sulle nuove centrali nucleari. Sì, avete letto bene. Dopo anni di ‘non se ne parla’, hanno deciso di riaprire il repository delle opzioni energetiche. In pratica, hanno rimosso un grosso limite nel codice della loro strategia nazionale, permettendo di pianificare nuovi reattori se la domanda di energia dovesse superare l’offerta. Per chi vive di maker space, stampanti 3D che consumano kilowatt come se non ci fosse un domani e server che girano 24/7 per addestrare modelli di AI locali, la notizia è un mix di «finalmente un po’ di stabilità» e «speriamo che non sia il solito hype senza sostanza». Non è che domani vedremo un reattore nucleare spuntare nel garage di un appassionato di retrocomputing, sia chiaro. È una decisione macroscopica, di quelle che cambiano la roadmap di intere nazioni. Da smanettone, la vedo come una gestione della memoria un po’ aggressiva. Il governo sta cercando di evitare il ‘kernel panic’ energetico che potrebbe derivare dalla transizione verso le rinnovabili, che pur essendo fantastiche, hanno il limite strutturale dell’intermittenza (un po’ come un controller Bluetooth che si disconnette proprio durante il boss finale). Certo, c’è da essere scettici. Come sempre, il rischio è il classico ‘vendor lock-in’ delle grandi corporation energetiche e la gestione di scarti che sembrano i residui di un esperimento fallito con la stampa 3D in metallo. Ma, d’altro canto, se l’obiettivo è avere una base di carico costante per alimentare la prossima ondata di infrastrutture tech e industrializzazione, avere una fonte stabile è fondamentale. In definitiva, non è la solita fuffa da comunicato stampa per rassicurare gli investitori. È un cambio di configurazione reale. Resta da vedere quanto sarà complesso il deployment di questa nuova infrastruttura e se riusciranno a gestire i processi senza mandare tutto in overflow. Per ora, tengiamo d’occhio i log di Berna. Source: Swiss parliament lifts ban on new nuclear power plants

webnewsenergiageopoliticanucleareSvizzera

Il Grinch sta tornando: un reboot o solo un glitch nel sistema della nostalgia?

🇮🇹 · /root · Lamberto Tedaldi

Il ciclo della vita dei reboot cinematografici è ormai più prevedibile di un bug non documentato in una libreria legacy. Senza troppi giri di parole: pare che Ron Howard sia in trattative per dirigere un sequel di «How the Grinch Stole Christmas», il classico del 2000 con Jim Carrey. Sì, avete letto bene. Mentre noi cerchiamo di far girare modelli di Stable Diffusion su hardware che dovrebbe essere da museo, Hollywood ha deciso che è il momento di riaprire il file del Grinch e fare un ‘copy-paste’ della nostalgia. Non è che l’industria abbia finito le idee originali? Probabil’è proprio così. È un po’ come quando un progetto open source non riceve commit da anni e qualcuno decide di fare un fork senza aggiungere nessuna feature utile, limitandosi a cambiare il logo e sperare che la community non se ne accorga. Dal punto di vista di chi ama smanettare, però, c’è un lato che non posso ignorare: l’aspetto tecnico e l’estetica. Il film originale aveva quel look particolare, un mix di pratiche effetti speciali e CGI che oggi, con Blender e i motori di rendering moderni, potremmo analizzare o addirittura reinterpretare in chiave totalmente diversa. Immaginate un progetto fan-made in Godot che ricostruisce Whoville con un’estetica procedurale o un setup di luci completamente nuovo. Certo, l’idea di un sequel mi lascia un po’ perplesso. Il Grinch di Carrey era un capolavoro di espressionismo e timing comico; c’è il rischio concreto che un sequel sia solo un assemblaggio di asset pre-esistenti, un remake low-effort che punta tutto sul fatto che siamo cresciuti con quel film. È il classico ‘vendor lock-in’ della memoria emotiva: ti vendono la stessa cosa, ma con un abbonamento diverso. Tuttavia, se Howard riuscisse a portare un approccio più ‘maker’, magari integrando nuove tecnologie visive senza tradire l’anima del materiale originale, potremmo anche godercelo. Per ora, resto in attesa di vedere se sarà un upgrade degno di nota o solo un aggiornamento software che rompe la compatibilità con il piacere di guardare un grande classico. Source: Jim Carrey’s Grinch Will Steal Christmas Again

webnewscinemanostalgiapop culturetech-review