Il Ministro Giuseppe Valditara ha firmato il decreto che disciplina le modalità di attribuzione delle posizioni economiche al personale ATA e che consentirà una integrazione salariale delle retribuzioni del personale amministrativo, tecnico e ausilia…
Get your weekly fix of great hacks with your guides, Elliot Williams and Al Williams. This week, the guys talk about hacking airline WiFi, vanishing cloud services, and hobbies adjacent …read more
https://hackaday.com/2024/07/12/hackaday-podcast-episode-
Get your weekly fix of great hacks with your guides, Elliot Williams and Al Williams. This week, the guys talk about hacking airline WiFi, vanishing cloud services, and hobbies adjacent to hacking, such as general aviation. Things go into the weird and wonderful when the topic turns to cavity filters, driving LEDs with a candle, and thermite.
Quick hacks? Everything from vintage automated telescopes to home fusion reactors and ham radio mobile from a bicycle. Then there’s the can’t miss articles about the Solar Dynamics Observatory and an explainer about flash memory technology.
Check out the links below and leave your favorite hack of the week in the comments below!
A batarang-shaped keyboard with a Batmobile that we wish was a mouse.
Whoever thought a keyboard could look so sinister? Well, [rain2] aka [AffectionateWin7178], that’s who. Vengeance is the sixth keyboard they’ve designed, and let’s just say we wouldn’t
Whoever thought a keyboard could look so sinister? Well, [rain2] aka [AffectionateWin7178], that’s who. Vengeance is the sixth keyboard they’ve designed, and let’s just say we wouldn’t mind seeing the other five.
This is a takeoff of Zazu, a custom case printed for the monoblock split designed by [AlSaMoMo]. A friend of [rain2] made a ZMK PCB for the Zazu about a month ago, and they dreamed up the case design together. Among our first questions were of course, how do you type without those bat wings digging into your palms? But evidently, they are designed not to get in the way at all during use.
We particularly like the gold skirt around the edge which joins the two printed halves. It goes nicely with the bank vault elements like the dial around the trackball and the five-way switch that resembles a handle. And yeah, we wish the Batmobile was a mouse, too. While it seems that [rain2] hasn’t released the STLs for the case, you can find the ZMK Zazu repo on GitHub. Happy designing! As always, let us know what you come up with.
The RADIUS authentication scheme, short for “Remote Authentication Dial-In User Service”, has been widely deployed for user authentication in all sorts of scenarios. It’s a bit odd, in that individual …read more
https://hackaday.com/2024/07/12/this-week-
The RADIUS authentication scheme, short for “Remote Authentication Dial-In User Service”, has been widely deployed for user authentication in all sorts of scenarios. It’s a bit odd, in that individual users authenticate to a “RADIUS Client”, sometimes called a Network Access Server (NAS). In response to an authentication request, a NAS packages up the authentication details, and sends it to a central RADIUS server for verification. The server then sends back a judgement on the authentication request, and if successful the user is authenticated to the NAS/client.
The scheme was updated to its current form in 1994, back when MD5 was considered a cryptographically good hash. It’s been demonstrated that MD5 has problems, most notably a chosen-prefix collision attack demonstrated in 2007. The basis of this collision attack is that given two arbitrary messages, it is possible to find a pair of values that, when appended to the end of those messages, result in matching md5 hashes for each combined message. It turns out this is directly applicable to RADIUS.
The attack is a man-in-the-middle, but not against an authenticating user. This attack is a man-in-the-middle between the NAS and the RADIUS server, and a real user isn’t even required. This elevated position does make an attack harder to achieve in some cases, but situations like RADIUS providing authentication for administrative access to a device is squarely in scope. Wrapping the RADIUS backend communications in a TLS layer does protect against the attack.
Gitlab
It’s once again time to go update your Gitlab instances, and this one sounds familiar. It’s another issue where an attacker could run pipeline jobs as an arbitrary user. This comes as one more of a series of problems in Gitlab, with at least one of them being exploited in the wild. It’s not surprising to see a high-visibility vulnerability leading to the discovery of several more similar problems. With this latest issue being so similar to the previous pipeline problem, it’s possible that it’s actually an incomplete patch or additional workaround discovered to exploit the same issue.
Exim server can be configured to block certain file types, and this vulnerability allows those blocked attachments through. The original CVSS of 9.1 is a tad insane. The latest update drops that to a 5.4, which seems much more appropriate.
Plormbing Your ORM
Prisma is a “Next Generation ORM (Object Relational Mapper), that takes database schema, and maps it to code objects. In other words, it helps write code that interacts with a database. There’s some potential problems there, like using filters on protected data, to leak information one byte at a time, in a very Hollywood manner.
This brings us to a second approach, a time-based data leak. Here a SQL query will execute slowly or quickly depending on the data in the database. The plormber tool is designed to easily build attempts at time-based leaks. Hence the pun. If you have a leak in your ORM, call a plORMber. *sigh*
A very odd file extension, .pdf.url, manages to appear as a pdf file with the appropriate icon, and yet opens IE when executed. This finally got classified by Microsoft as a vulnerability and fixed.
Bits and Bytes
There’s another SSH issue, related to regreSSHion. This time a vendor patch makes a call to cleanup_exit() from a signal handler function, calling more async-unsafe code. If that doesn’t make any sense, circle back around to last week’s installment of the column for the details. This time it’s Fedora, Red Hat, and other distros that used the patch.
One of the security barriers that most of us rely on is that traffic originating from the WAN side of the router should stay there. When that paradigm breaks down, we have problems. And that’s exactly what the folks at Claroty are working to defeat. The trick this time is a vulnerability in a router’s Dynamic DNS service. Manage to spoof a DNS lookup or MitM that connection, and suddenly it’s RCE on the router.
Il gruppo CrystalRay, che nel febbraio 2024 ha utilizzato il worm open source SSH-Snake per i suoi attacchi, ha ampliato la portata della sua attività attraverso nuove tattiche ed exploit. Ora gli hacker criminali hanno già contato più di 1.500 vittime le
Il gruppo CrystalRay, che nel febbraio 2024 ha utilizzato il worm open source SSH-Snake per i suoi attacchi, ha ampliato la portata della sua attività attraverso nuove tattiche ed exploit. Ora gli hacker criminali hanno già contato più di 1.500 vittime le cui credenziali sono state rubate e infettate da cryptominer.
Ricordiamo che SSH-Snake è uno strumento open source utilizzato per cercare silenziosamente chiavi private, spostarsi lateralmente attraverso l’infrastruttura di una vittima e fornire payload aggiuntivi ai sistemi compromessi.
È stato scoperto per la prima volta a febbraio di quest’anno dai ricercatori della società Sysdig, che hanno descritto SSH-Snake come un “worm automodificante” che utilizza le credenziali SSH trovate su un sistema compromesso per iniziare a diffondersi nella rete. È stato inoltre notato che si differenzia dai normali worm SSH, evita i modelli tipici degli attacchi e porta il normale movimento laterale della rete al livello successivo essendo più accurato nella ricerca delle chiavi private.
Una volta che il worm ottiene le chiavi SSH, le utilizza per accedere a nuovi sistemi, quindi si copia e ripete il processo su nuovi host. All’inizio dell’anno i ricercatori hanno riferito di essere a conoscenza di circa 100 vittime affette da SSH-Snake. Ma ora Sysdig ha avvertito che gli aggressori dietro questi attacchi, soprannominati CrystalRay, hanno notevolmente ampliato la portata delle loro operazioni, e più di 1.500 organizzazioni sono già tra le vittime.
“Osservazioni recenti indicano che le operazioni di CrystalRay sono aumentate di 10 volte, raggiungendo oltre 1.500 vittime, e ora includono scansioni di massa, sfruttamento di molteplici vulnerabilità e installazione di backdoor utilizzando vari strumenti OSS”, hanno scritto gli esperti.
Secondo i ricercatori, lo scopo principale di CrystalRay è raccogliere e poi vendere credenziali, distribuire miner di criptovaluta (lo script distrugge tutti i minatori concorrenti per massimizzare i profitti) e assicurarsi un punto d’appoggio nella rete della vittima.
Gli strumenti che il gruppo utilizza oltre a SSH-Snake includono zmap, asn, httpx. Allo stesso tempo, SSH-Snake rimane ancora lo strumento principale degli hacker, con l’aiuto del quale si muovono attraverso le reti compromesse.
CrystalRay utilizza anche exploit PoC modificati per varie vulnerabilità, che vengono consegnati alle vittime utilizzando il framework Sliver.
Prima di lanciare exploit, gli aggressori conducono test approfonditi per confermare la presenza di vulnerabilità scoperte. In particolare, gli hacker sfruttano le seguenti vulnerabilità:
CVE-2022-44877 – Vulnerabilità nell’esecuzione di comandi arbitrari del Pannello Web di controllo (CWP)
CVE-2021-3129 – Vulnerabilità relativa all’esecuzione di codice arbitrario in Ignition (Laravel);
CVE-2019-18394 è una vulnerabilità SSRF in Ignite Realtime Openfire.
Secondo i ricercatori, è probabile che anche i prodotti Atlassian Confluence vengano presi di mira da questi aggressori. I ricercatori sono giunti a questa conclusione osservando i modelli di sfruttamento identificati dopo aver studiato molteplici tentativi di hacking provenienti da 1.800 indirizzi IP diversi.
[quote]Nuove sfide e opportunità nel campo della sicurezza, la necessità di un dialogo strutturato tra istituzioni, forze armate e industria, e l’importanza di una visione integrata che coinvolga anche la società civile. Questi sono stati i temi centrali del convegno “Cultura della Sicurezza: l’impegno
[quote]Come ricordato più volte dai vertici della Nato, l’Alleanza assicura la pace esercitando la deterrenza con successo, cosa che può fare solo attraverso uno strumento militare più forte degli avversari. Molto di questo passa dal mantenimento del vantaggio
[quote]Nel contesto di un mondo in rapido mutamento e in costante evoluzione, Mircea Geoană, vice segretario generale della Nato, ha recentemente condiviso le sue riflessioni e analisi durante un’intervista con Andrea Kendall-Taylor, Senior Fellow e Direttore del Transatlantic Security Program al Center for a New American Security. L’evento,
Ringraziamo gli inquirenti per aver identificato e arrestato - da quel che leggiamo - i responsabili dell'assalto con bastoni alla nostra festa e di altri atti
Appello ai Consigli regionali, alle forze politiche che amministrano le Regioni per una convergenza unitaria sull’abrogazione totale della legge 86/2024 sull’autonomia differenziata
Tra pochissimi giorni inizierà la raccolta di 500mila firme per il referendum abrogativo totale della legge Calderoli. La scelta di procedere su un unico quesi
Gen Digital, una società che sviluppa prodotti per la sicurezza informatica e la privacy digitale, ha lanciato una campagna educativa chiamata “Scam Artists” che dimostra l’impatto del crimine informatico sul cervello umano. Il progetto si basa sul vecchi
Gen Digital, una società che sviluppa prodotti per la sicurezza informatica e la privacy digitale, ha lanciato una campagna educativa chiamata “Scam Artists” che dimostra l’impatto del crimine informatico sul cervello umano. Il progetto si basa sul vecchio detto “la vita imita l’arte”, che, secondo gli ideatori, si applica a tutti gli ambiti della vita.
Durante l’esperimento, a tre persone vittime di crimini informatici è stato chiesto di ricordare l’esperienza vissuta. Allo stesso tempo, la loro attività cerebrale è stata registrata mediante elettroencefalografia (EEG). I partecipanti erano collegati a macchine che registravano le risposte cerebrali prima, durante e dopo i ricordi degli attacchi informatici. I dati ottenuti sono stati convertiti in immagini visive che riflettono esplosioni di attività cerebrale associate a stress, ansia e incertezza.
Lynn Beatty, vittima di un furto d’identità, aveva tre diversi stati cerebrali:
Calma
Ansia e stress nel ricordare le esperienze
Ritornare alla calma dopo che al partecipante sono stati spiegati i modi per proteggersi dalle minacce informatiche
Lo psicologo Lee Chambers, che ha preso parte al progetto, ha osservato che tali esperienze possono avere conseguenze a lungo termine e influenzare in modo significativo la qualità della vita di una persona. La campagna mira anche a mostrare perché le persone a volte ignorano le regole di sicurezza online e si affidano al proprio intuito.
Parallelamente a questo studio, Gen Digital ha studiato l’atteggiamento del pubblico nei confronti delle minacce informatiche e i metodi per proteggersi da esse. I risultati hanno mostrato che il 58% degli americani e dei britannici è consapevole di poter diventare vittima dei criminali informatici. Tuttavia, il 42% degli intervistati si considera ancora invulnerabile.
Pertanto, le vittime dei crimini su Internet molto spesso sperimentano stress e rabbia. Va notato separatamente che solo la metà degli intervistati ha utilizzato mezzi di protezione contro le minacce informatiche. “Scam Artists” non solo dimostra l’impatto psicologico negativo della criminalità informatica sul cervello umano, ma mostra anche come le misure di sicurezza informatica possano migliorare il benessere psicologico degli utenti.
Questo progetto fa parte di un’iniziativa più ampia di Gen Digital per aumentare la consapevolezza della sicurezza informatica. L’azienda sviluppa soluzioni tecnologiche con i marchi Norton, Avast, LifeLock, Avira e AVG, cercando di fornire agli utenti un’interazione sicura nel mondo digitale.
[quote]Nel corso del secondo giorno del Nato Public Forum (di cui Formiche è stato media partner per l’Italia: potete trovare le repliche a partire da questo link) si è tenuto l’intervento di Josep Borrell, Alto rappresentante dell’Unione per gli affari esteri e la politica di sicurezza e vice Presidente della Commissione europea,
@Notizie dall'Italia e dal mondo Il nuovo articolo di @Valori.it Sei tra le maggiori banche dicono di proteggere la foresta pluviale, ma solo a parole, stando all’ultimo rapporto di Stand.earth L'articolo Sei grandi banche accusate di fare il doppio gioco in Amazzonia proviene da Valori.
JBS is financed by major banks from Brazil, the US, Europe, and Japan. Since 2019, these banks have enabled JBS’s unacceptable business practices in Brazil by providing over US$ 718 million in forest-risk beef credit.
@Notizie dall'Italia e dal mondo Certi "militanti di sinistra" israeliani, scrive l'analista Orly Noi, seguono il profondo e accelerato scivolamento della società verso il fascismo L'articolo ISRAELE. La sinistra scivola verso il Fascismo proviene da pagineesteri.it/2024/07/12/med…
@Notizie dall'Italia e dal mondo Il nuovo articolo di @Valori.it Le soluzioni proposte dal capitalismo verde sono troppo spesso influenzate dalla logica finanziaria. Un'intervista ad Adrienne Buller L'articolo «Quanto vale una balena?» Le illusioni del capitalismo verde proviene da Valori.
Carlo Lattanzio, morto nella notte tra lunedì 8 e martedì 9 luglio a Colle Isarco vicino a Vipiteno, in Alto Adige, è stato ucciso da una politica cinica e c
L’aggressione vigliacca, frutto di quell’ignoranza da troppo tempo sdoganata, che non giustifica il razzismo profondo, di cui ha pagato le spese il nostro c
Ciao, Come forse avrai saputo, ho subito un processo civile da parte della ASL RM1 relativo all’esperienza della Ex Lavanderia. L’ennesimo di una lunga s
@Notizie dall'Italia e dal mondo Le Filippine e il Giappone, i due maggiori alleati degli Usa in Asia orientale, hanno firmato un patto che include lo scambio di truppe L'articolo Giappone e Filippine firmano un patto militare che include lo scambio di truppehttps://pagineesteri.it/2024/07/11/asia/giappone-filippine-patto-militare/
rapporto sul banner di consenso di noyb: Come le autorità decidono realmente La relazione offre un resoconto completo dei risultati della task force EDPB, confrontati con le posizioni assunte dalle DPA nazionali mickey11 July 2024
Ieri si è svolta, presso il #MIM, una riunione tra il Ministro Giuseppe Valditara e le istituzioni centrali e locali e i soggetti competenti delle Regioni Calabria e Sicilia per avviare una collaborazione finalizzata a soddisfare il fabbisogno occupa…
Ieri si è svolta, presso il #MIM, una riunione tra il Ministro Giuseppe Valditara e le istituzioni centrali e locali e i soggetti competenti delle Regioni Calabria e Sicilia per avviare una collaborazione finalizzata a soddisfare il fabbisogno occupa…
in un certo senso è il fatto di essere per caso nel momento sbagliato nel posto sbagliato che fa di noi dei guardiani coatti. non vedo scelte di nessuno in questo. se buoni o cattivi guardiani invece è a nostra scelta.
Fondazione per la Scuola: l’istruzione pubblica sempre più al servizio di interessi privati l L'Indipendente
"A parte le considerazioni e i commenti riguardo l’equità sociale e il futuro dei giovani, quello che emerge è fondamentalmente l’interesse del settore privato a formare i lavoratori di domani, il capitale umano da mettere al servizio dei grandi gruppi privati, più che esseri umani con capacità critiche e cittadini consapevoli con una propria dignità sociale."
Oggi dalle ore 10.30, presso la Sala della Regina della Camera dei Deputati, si terrà la presentazione del Rapporto nazionale "Le prove #Invalsi 2024".
Interverrà alla conferenza il Ministro Giuseppe Valditara.
Oggi dalle ore 10.30, presso la Sala della Regina della Camera dei Deputati, si terrà la presentazione del Rapporto nazionale "Le prove #Invalsi 2024".
Interverrà alla conferenza il Ministro Giuseppe Valditara.
Gli abbonati a #Spotify possono godersi un po' di musica lounge #italiana. Una delle canzoni del nostro album - indovinate quale! (scritta da Luigi Tenco) - è appena entrata in questa playlist.
All'arrivo in spiaggia questa settimana ho trovato questo abbandonato chiuso sulla mia sdraio. Mi trova d'accordo. (Update: abbiamo constatato che la scritta è fosforescente!) #fuckAldo #cazzoDiCaldo
Metto qui la descrizione perché non mi ricordo come metterla in Friendica. 😅 Foto di un ventaglio aperto su un lettino da spiaggia. È colorato con un gradiente da viola a pesca e attraversato dalla scritta in stampatello bianco: "Cazzo di caldo".
@Notizie dall'Italia e dal mondo Il nuovo articolo di @Valori.it Un precedente europeo in difesa della salute e dell'ambiente: la battaglia legale dei cittadini tarantini e il ruolo della direttiva sulle emissioni industriali L'articolo Ilva, storica sentenza della Corte di valori.it/corte-giustizia-euro…
Ecco alcuni numeri sulle connessioni del nostro nodo Friendica "poliverso.org". Da notare l'esplosione delle istanze Wordpress e lo sviluppo di GoToSocial
Attualmente poliverso.org è connesso con 38.692 istanze (1.708.777 utenti attivi il mese scorso, 3.145.491 utenti attivi negli ultimi sei mesi, 16.915.677 utenti registrati in totale) dalle seguenti piattaforme:
forse più che immaginare dio potremmo immaginare qualcosa di utile, tipo appunto un'idea di intelligenza non uomo-centrica. visto che secondo alcuni siamo dotati di immaginazione.
@Notizie dall'Italia e dal mondo L'entusiasmo del popolo della sinistra per la vittoria sulla destra di Le Pen lascia gradualmente il posto alla realtà della frammentazione politica e delle tensioni sociali sul terreno. Ne abbiamo parlato con la sociologa
credo che sia importante definire la specie umana in relazione alle altre del pianeta terra. è errato definire quella umana "quella intelligente" perché presuppone che le altre non lo siano o lo siano di meno. possiamo definire l'uomo invece in relazione alle sue caratteristiche oggettive. l'uomo ha una capacità di astrazione "più evoluta" ed ha dimostrato di saper costruire strumenti "più avanzati". l'uomo è un animale la cui intelligenza è specializzata nella comunicazione: in sostanza noi esistiamo e percepiamo l'esistenza solo in relazione ai pensieri che riusciamo a costruire. esistiamo solo all'interno di parole, quelle che definiscono noi e l'ambiente che ci circonda. la nostra visione del mondo è "linguaggio-centrica". noi parliamo con le persone e comunichiamo a parole, che costruiamo prima nella mente. ma quelle stesse parole sono indispensabili per formulare pensieri, unica "frazione" all'interno della quale realmente sentiamo di esistere: al di fuori delle "parole di pensiero" in un certo senso "NON esistiamo". siamo delle macchine parlanti, esistiamo solo in funzione della propria parola. potremmo migliorare la frase "io penso, quindi sono" (che già era vicino alla reale auto-definizione) con "posso pensare tramite parole, e fino a quando riuscirò a formulare parole, esisterò". e questa argomentazione dovrebbe renderci umili, perché siamo creature davvero estremamente specializzate ed estreme. al di fuori della nostra specializzazione, esiste ancora intelligenza, esiste ancora consapevolezza, esiste ancora comprensione, ma non nella specie umana, e con strumenti che noi, a causa della nostra progettazione "a senso unico" ultra-specializzata, non riusciamo a capire e difficilmente riusciremo a farlo. e così invece di riuscire a capire davvero la natura e il mondo che ci circonda, vittime di limiti oggettivi ma nascosti, abbiamo definito la specie umana come l'unica dotata di anima (altra definizione che a pensarci bene è solo una parola, visto che non è oggetto fisico), escludendone rigorosamente OGNI ALTRA specie animale, senza in realtà alcuna informazione di come siano gli altri animali della terra. il nostro dio è chiaramente un dio umano, per umani, pensato da un umano, stranamente e sospettosamente così "affine" al nostro essere, con tanto di difetti riconosciuti (tipo capace di perdere la pazienza), e noi siamo gli auto-definiti guardiani della terra. aggiungerei però guardiani di fatto e non per scelta volontaria di qualcuno o di qualcosa, o almeno non necessariamente.
@Notizie dall'Italia e dal mondo Il nuovo articolo di @Valori.it Quali sono le radici del caporalato in Italia e perché un rinnovato ruolo dei poteri pubblici potrebbe aiutarci a renderlo un ricordo L'articolo Lavoro, la lotta contro il caporalato si vince anche col ritorno dello Stato valori.it/caporalato-storia-st…
@Notizie dall'Italia e dal mondo Il nuovo articolo di @Valori.it In Francia Mbappé sposta voti con le sue dichiarazioni. In Italia Spalletti va alla festa del partito neofascista al governo L'articolo Kylian Mbappé, il calciatore che ferma l’avanzata del neofascismo proviene da Valori.
Questa è la seconda #estate che, anziché stare in #spiaggia con un bikini o un intero sportivo (leggi: attillato), preferisco combinare il top a triangolo del bikini con un paio di bermudoni. Combo comodissima e a prova di "fuoriuscite" dalle mutandine striminzite del bikini.
Diversi conoscenti si sono permessi di disapprovare, perché se sei anche solo vagamente magra dovresti fare vedere la mercanzia.
Ma io non sono in vetrina, sono in spiaggia! La mia priorità non è né essere figa, né venire guardata. È stare stravaccata comoda e rilassarmi.
Quindi fuck the fuck off e viva i bermuda! #mare #Vacanze
Xandr di Microsoft concede i diritti GDPR a un tasso dello 0% noyb ha presentato un reclamo GDPR per questioni di trasparenza, diritto di accesso e utilizzo di informazioni inesatte sugli utenti mickey09 July 2024
ailiphilia
in reply to Gif Animale • • •Molto interessante, grazie per la condivisione.
Possiamo aggiungere almeno Bradesco e Goldman Sachs; e Mizuha Financial, Grupo XP, Banco do Brasil, BMO Financial Group, Royal Bank of Canada, BTG Pactual.
Solo due settimane fa, il governo di Perù ha concesso il diritto esclusivo alla Cina di gestire il porto di Chanchay in Peru.
Ora vari gruppi d'affari stanno spingendo per la costruzione di una strada tra il porto e lo stato brasiliano di Acri attraverso l'Amazzonia, per accelerare l'accesso al commercio marittimo con la Cina, al costo di più danni alla foresta pluviale amazzonica. Probabilmente questo significa che presto potremo aggiungere almeno una banca cinese alla lista.
JBS: Climate chaos and exploitation in the Amazon - Forests & Finance
Rebecca Lumbantobing (Forests & Finance)like this
Gif Animale likes this.
reshared this
Gif Animale reshared this.