Okta ha scoperto una vulnerabilità nel suo sistema di sicurezza. Si è scoperto che Okta AD/LDAP DelAuth (autenticazione delegata) poteva essere aggirato utilizzando un nome utente molto lungo.

È stato riferito che l’errore poteva essere sfruttato solo se venivano soddisfatte una serie di condizioni, la chiave delle quali era che il nome utente fosse troppo lungo: più di 52 caratteri. Sebbene a prima vista ciò sembri improbabile, ci sono situazioni in cui, ad esempio, un indirizzo e-mail di lavoro viene utilizzato come nome utente.

La vulnerabilità era significativa solo se sull’account di destinazione era stato salvato un tentativo di accesso riuscito, inclusa una chiave di cache corrispondente generata utilizzando bcrypt. Secondo gli sviluppatori di Okta, questa chiave è costituita da una stringa con hash di ID utente, nome utente e password.

Anche la cache dovrebbe essere utilizzata per prima, cosa che secondo l’azienda “potrebbe verificarsi se l’agent AD/LDAP è inattivo o non disponibile, ad esempio a causa dell’intenso traffico di rete”. Va notato che affinché il bug possa essere sfruttato con successo, l’autenticazione a più fattori (MFA) deve essere disabilitata.

Come ha spiegato uno specialista della sicurezza di Brave : poiché l’algoritmo bcrypt ignora l’input superiore a una certa lunghezza e viene utilizzato per eseguire l’hashing della coppia nome utente e password, un nome utente sufficientemente lungo farà sì che qualsiasi password venga accettata.

Okta scrive di aver scoperto il problema il 30 ottobre 2024 e di averlo risolto lo stesso giorno. Al momento della scoperta, però, la vulnerabilità era già presente nel codice da più di tre mesi.

Per questo motivo, l’azienda consiglia ai clienti di abilitare l’MFA e di controllare i registri a partire dal 23 luglio di quest’anno, prestando attenzione ai tentativi di autenticazione che utilizzano nomi utente lunghi (52 caratteri o più).

L’azienda non ha specificato se sia attualmente a conoscenza di tentativi riusciti di sfruttare questo bug.

L'articolo Senza Password! Okta Rivela i Rischi del Bypass nell’Autenticazione per Nomi utente Lunghi proviene da il blog della sicurezza informatica.

Sophos X-Ops ha completato un’indagine su larga scala sugli attacchi da parte di gruppi informatici cinesi che da 5 anni attaccano deliberatamente i dispositivi di rete in tutto il mondo.

Gli obiettivi principali degli aggressori sono i firewall e i sistemi di accesso remoto. Sophos ha analizzato i metodi utilizzati per l’hacking e ha emesso raccomandazioni e aggiornamenti di sicurezza.news.sophos.com/en-us/2024/10/…

La serie di attacchi è iniziata nel dicembre 2018, quando gli aggressori sono riusciti ad accedere a un dispositivo nell’ufficio della divisione indiana di Cyberoam. Utilizzando impostazioni di sicurezza deboli, gli hacker hanno avviato una scansione della rete e hanno scoperto un metodo di accesso. Successivamente, nel 2020, è stata identificata la vulnerabilità Asnarök ( CVE-2020-12271 con punteggio CVSS: 10.0), con la quale gli aggressori sono riusciti ad ottenere l’accesso root ai dispositivi e installare un Trojan. Il malware potrebbe controllare segretamente il sistema, aggirando le misure di sicurezza standard.

Per combattere la minaccia, Sophos ha rilasciato aggiornamenti e aggiunto sensori di telemetria ai dispositivi che hanno consentito loro di monitorare meglio le azioni degli hacker. Nell’aprile 2020, Sophos ha registrato anche una nuova ondata di attacchi attraverso un’altra vulnerabilità – CVE-2020-15069 (punteggio CVSS: 9,8) in Sophos XG Firewall.

Gli aggressori hanno sfruttato questa falla per installare malware sui dispositivi dotati di interfaccia WAN, che consentiva l’accesso al dispositivo senza essere rilevati.

Dal 2021, gli hacker cinesi hanno iniziato a selezionare obiettivi specifici, prendendo di mira agenzie governative e infrastrutture critiche nella regione Asia-Pacifico. Nel marzo 2022, Sophos ha scoperto una nuova vulnerabilità nel Sophos Firewall – CVE-2022-1040 (punteggio CVSS: 9,8), che potrebbe aggirare la sicurezza e ottenere pieno accesso ai dispositivi. Il bug veniva utilizzato per installare uno speciale rootkit in grado di intercettare segretamente i comandi e fornire il controllo remoto.

Nel 2022, Sophos ha affrontato un nuovo approccio: gli attacchi sono diventati furtivi, utilizzando catene di server proxy per mascherare le fonti. Gli attacchi più recenti, chiamati Covert Channels, hanno consentito agli hacker di rubare credenziali e anche di eseguire script che interrompono la rete.

Sophos ha collaborato con organizzazioni internazionali e centri nazionali di sicurezza informatica per contrastare le minacce. Sophos ha rilasciato aggiornamenti per proteggere i dispositivi e indicatori condivisi di compromissione ( IoC ) in modo che le aziende possano proteggere in modo proattivo le proprie reti dagli attacchi.

L'articolo Rete Globale Sotto Attacco: Scoperti 5 Anni di Violazioni dei Firewall da Parte di Gruppi Cinesi proviene da il blog della sicurezza informatica.

La Cina integra l'intelligenza artificiale nelle sue operazioni militari. E cerca di sfruttare ogni mezzo e occasione.

The post Ops! L’esercito cinese usa l’IA open-source di Meta appeared first on InsideOver.

When the project description starts with the sentence “I use an RC remote and receiver, an esp32, high-current motor drivers, servos, an FPV camera, and a little propane”, you know that this is one which deserves a second look. And so [gearscodeandfire]’s Halloween project caught our eye. It’s a pink Power Wheels jeep driven by a skeletal rider, and the best part is that the whole thing is remote controlled down to a pan-and-tilt skull, a first-person video feed, and even real flames.

At its heart is an ESP32 with a set of motor controllers and relays to do the heavy lifting. The controller is a standard radio remote controller, and the first-person view is an analogue feed as you’d find on a drone. The skeleton is given a child-like appearance by discarding the original adult-proportioned plastic skull and replacing it with a much larger item. The thought that plastic Halloween skulls are available in a range of standard sizes and can be considered as a part in their own right is something we find amusing. The propane burner is supplied from a small cylinder via a solenoid valve, and ignited with the spark from a high-voltage transformer.

The result, we think, wins Halloween hands down. Twelve-foot skeletons are SO 2023!

The video is below the break.

youtube.com/embed/RR6xCiXo64M?…

hackaday.io/project/199110-gho…

hackaday.com/2024/11/05/flamin…

RedLine Stealer è un infostealer avanzato distribuito come “Malware-as-a-Service” (MaaS), uno strumento creato per raccogliere e sottrarre informazioni sensibili dai dispositivi compromessi.

Identificato per la prima volta nel 2020, RedLine Stealer si è rapidamente diffuso su forum di cybercriminalità e canali Telegram dedicati, diventando uno degli strumenti preferiti da hacker e gruppi criminali. Destinato ai dispositivi Windows, questo malware utilizza principalmente campagne di phishing e software compromessi per infiltrarsi nei sistemi delle vittime creando delle botnet con capacità di “logging” delle attività sui client.

RedLine Stealer estrae credenziali di accesso, informazioni sui browser, contenuti di portafogli di criptovalute e altri dati sensibili, che vengono inviati ai server di comando e controllo (C2) degli attaccanti. L’infrastruttura C2 di RedLine Stealer si avvale di registrazioni falsificate, come contatti e dettagli di registrazione inventati, per ostacolare le indagini e nascondere l’identità dei suoi operatori.
Funzionamento di Redline Stealer
Questa combinazione di tecniche di offuscamento e anonimato rende RedLine Stealer un malware di particolare complessità e pericolosità per le vittime e una sfida per le forze dell’ordine.

La scoperta di Maxim Rudometov e Operation Magnus

Maxim Rudometov, è stato ritenuto il creatore e amministratore di RedLine, identificato e accusato dalle autorità statunitensi grazie a “Operation Magnus“, un’operazione internazionale di contrasto al cyber crime. L’FBI ha rintracciato Rudometov utilizzando un insieme di prove tecniche, tra cui l’analisi delle sue interazioni con server e account online legati al malware. Errori operativi, come l’uso della stessa email per account su diversi forum di hacker e profili personali, hanno portato gli investigatori a collegare l’identità di Rudometov al codice e alle operazioni del malware RedLine.

Le autorità statunitensi hanno emesso un mandato di arresto e lo hanno accusato di frode legata ai dispositivi di accesso, cospirazione per intrusione informatica e riciclaggio di denaro, reati che potrebbero comportare fino a 35 anni di carcere se condannato.

L’Operation Magnus

Operation Magnus è un’iniziativa globale di cooperazione tra le forze dell’ordine di Stati Uniti, Paesi Bassi, Regno Unito e altre nazioni, mirata a colpire le infrastrutture dei malware RedLine e MetaStealer. L’operazione, che ha portato allo smantellamento di oltre 1.200 server e alla chiusura di canali Telegram legati alla vendita del malware, rappresenta un grande passo avanti nella lotta alla cybercriminalità.

Grazie alle indagini, le autorità hanno sequestrato dati di accesso, registrazioni e codici sorgente di RedLine, limitando in modo significativo l’operatività del malware.

Struttura Tecnica del Malware

RedLine Stealer è un programma scritto in .NET, linguaggio che ne facilita la distribuzione e l’esecuzione su sistemi Windows. Una particolarità riscontrata è l’utilizzo di una data di compilazione fittizia impostata al 2047, un espediente che può rendere più difficile l’attribuzione temporale delle attività e ostacolare l’analisi dei ricercatori. All’interno del codice, sono presenti varie classi suddivise in moduli che gestiscono la connessione con il server C2 e la raccolta dei dati dal sistema infetto.

Il malware esegue una serie di controlli per evitare di attaccare dispositivi in aree geografiche specifiche, come la Russia e altre nazioni correlate, implementando un filtro basato sulla configurazione regionale del sistema. Questo è un indizio spesso presente nei malware di origine russa, poiché molti criminali informatici scelgono di escludere i loro Paesi di origine per minimizzare il rischio di attenzione da parte delle forze dell’ordine locali.

Metodi di Raccolta delle Informazioni

RedLine Stealer è dotato di diverse classi per la raccolta di informazioni da applicazioni specifiche, tra cui:

• AllWallets: raccoglie dati da portafogli di criptovalute, come il file “wallet.dat” dei portafogli Bitcoin.
• BrEx: raccoglie password, cookie e informazioni di estensione dei browser.
• Discord: punta alla cache dei dati delle applicazioni come Discord, popolare tra gli utenti privati.
• Entity19 e Entity20: mirano a raccogliere informazioni su server FTP come quelli di FileZilla e altri dati da database SQLite.
• GameLauncher: cerca dati relativi alla piattaforma di gioco Steam.
• RosComNadzor: cerca file “tdata” di Telegram, che possono includere dettagli di accesso e dati di sessione.

Questi moduli, attivati a seconda della configurazione, mirano a sottrarre dati che potrebbero poi essere utilizzati per vendere l’accesso ad account personali o facilitare ulteriori attacchi.
Funzionamento dell’acquisto dei black-feed da parte dei sistemi di intelligence

Comunicazione con il Server di Comando e Controllo (C2)

Per garantire la trasmissione sicura delle informazioni sottratte, RedLine utilizza una serie di classi dedicate alla connessione con il server C2. La classe ConnectionProvider stabilisce e mantiene la connessione, mentre la classe Arguments contiene le credenziali necessarie per identificare il malware sul server. La classe StringDecrypt utilizza algoritmi di decrittazione Base64 e XOR per offuscare gli indirizzi IP e altre stringhe rilevanti, rendendo difficile l’identificazione della destinazione delle comunicazioni.

Dai dati emersi durante l’analisi, sembra che RedLine non proceda con l’esfiltrazione dei dati finché non riesce a stabilire una connessione stabile con il server C2, dimostrando la natura centralizzata della sua operatività.

Conclusione

Il caso RedLine Stealer rappresenta un esempio significativo delle avanzate capacità operative e tecniche dei gruppi criminali, che sfruttano sofisticate infrastrutture e modelli di business come il malware-as-a-service (MaaS) per diffondere minacce di alto livello. Sebbene l’arresto di Maxim Rudometov e l’operazione internazionale che ha colpito la sua infrastruttura abbiano rappresentato un passo importante, la complessità della rete di distribuzione e il modello MaaS continuano a costituire una sfida per le autorità nel bloccare completamente le attività di infostealing.

RedLine Stealer si distingue per la sua capacità di sottrarre informazioni sensibili, dalle credenziali agli asset digitali, fino ai dati specifici di applicazioni come Discord e FileZilla. Il software, reso facilmente accessibile attraverso la vendita come servizio, abbassa le barriere d’ingresso per attori criminali, facilitando il furto di dati e l’avvio di attacchi mirati. Gli indicatori tecnici, come l’esclusione di sistemi configurati in Russia e l’utilizzo di infrastrutture C2 anonimizzate, suggeriscono un’origine russa e testimoniano la sofisticazione dei suoi operatori.

RedLine, con la sua struttura flessibile e la rete di supporto estesa, continuerà a rappresentare una sfida complessa per la security, rendendo essenziale un approccio proattivo per mitigare i rischi legati a malware sempre più mirati e sofisticati.

Indicatori di Compromissione (IoCs)

1. MD5: c7a2de31d6f01d5ba962ce7ba17539d3
2. SHA256: 30eeb6c732a7e37cbfff0148d2[url=https://www.redhotcyber.com/post/tecniche-di-attacco-cosa-si-intende-per-server-di-i-comand-and-control-c2/]c2[/url]457229fb6ef36feb0abb99e2afbfed0d1257

L'articolo RedLine: il RE delle Botnet Colpito al Cuore! Dalla Creazione alla Cattura del Sospetto Sviluppatore proviene da il blog della sicurezza informatica.

Genesi: « In quel giorno il Signore concluse questa alleanza con Abram: alla tua discendenza io do questo paese dal fiume d'Egitto al grande fiume, il fiume Eufrate; il paese dove abitano i Keniti, i Kenizziti, i Kadmoniti, gli Hittiti, i Perizziti, i Refaim, gli Amorrei, i Cananei, i Gergesei, gli Evei e i Gebusei».

Gli ha promesso una terra come Totò promise la Fontana di Trevi al turista e questi ancora oggi pretendono di far valere 'sto contratto...

noblogo.org/transit/camarillo-…

Transit

2024-11-01 09:02:42

Camarillo Brillo Sessions 10 (160)

Alla fine del mondo.

The Cure – “Songs of a Lost World”, Universal

Ho sempre il timore che, quando un disco mi piace, sia perché nel momento in cui l’ascolto è ciò che (inconsciamente?) il mio “io musicale” vuole in quel periodo della vita, che sia un giorno solo o un anno. Perciò, forse, il mio giudizio è falsato: la stessa opera, a distanza di tempo potrebbe farmi un effetto molto diverso, peggiore, magari. Naturalmente ci sono dischi che resistono allo scorrere della vita e sono di certo quelli che personalmente non posso smettere di ascoltare: hanno acquisito una valenza che supera tutto ciò che gli accade intorno.

Non so se “Songs of a Lost World” dei “Cure” possa ambire a quell’empireo, pittosto ristretto, in verità. Probabilmente è anche dovuto al fatto che i “Cure” non sono mai stati uno dei miei gruppi preferiti, nemmeno all’apice della loro carriera, quando erano di certo una delle band più importanti della scena dark-wave e Robert Smith godeva di una popolarità immensa. Ed anche per questo mi domando se sia una mia mancanza di approfondimento o semplice affermazione di gusti diversi. O, anche più probabile, distrazione.

Un tempo che potremmo pensare ad appannaggio di Peter Gabriel o dei Pink Floyd per uscire con nuova musica (seppur già proposta, in parte, dal vivo): sedici anni e viene dopo un disco, “4:13 dream” che per i più è claudicante, almeno. E si invecchia, nel mentre. Come se accadesse sempre ad altri, magari perché i musicisti si sentono una categoria a parte, ma non è così. Essere umani è eguale per tutti. Ed allora questo diventa un disco sulla difficoltà del vivere, sul dolore (la perdita del fratello, per Smith), sulle inevitabili somme che si devono tirare, su ciò che ci circonda e che peggiora ogni giorno.

Questo è un disco dove la musica prevale, in una sorta di messaggio che travalica le sensazioni date dalle parole. Ogni canzone, e sono quasi tutte lunghissime, c’è una “intro” che precede i versi ed è una scelta che qualche critico ha bollato come un ritorno, ma senza entusiasmo, agli anni ‘80. Invece funziona, eccome. Dona ai brani un’aura quasi epica, anche per il drumming potente e per la chitarra di Reeves Gabrels (recuperate i “Tin Machine” ogni tanto), nella band dal 2012, tagliente, sferzante.

Il secondo singolo, “A fragile Thing”, è esemplificativa di questo mood, con un basso potente, tocchi di chitarra che ricordano un vento gelido, il cantato chiaro, limpido. Invece “Alone”, più lugubre, più ieratica è la prova che questa è un’opra dolente, che sfocia in “I Can Never Say Goodbye” dove la perdita del fratello è un temporale acustico, una litania dolorosa. Ma forse “Endsong”, la canzone finale del disco (oltre i dieci minuti), è quella che può far risaltare di più il valore di queste canzoni. E’ un brano potente, marziale, tribale, dove Gabrels può lasciare spazio alla sua elegiaca musica, un contrappunto alle parole quasi definitive “...it’s all gone/ no hope/ no dreams/ no more” e quel “...nothing” finale che non solo chiude il disco, ma sembra far calare il sipario su una esistenza intera.

E’ un grande disco, questo: lo si intuisce subito, dal primo ascolto. E come tutti i dischi di spessore cresce nel tempo, per ora brevissimo, dopo la sua uscita. Essendo una riflessione in musica, ognuno ne può far parte, per ciò che desidera, perché i temi sono universali. Gli artisti hanno il dono di farci partecipi tutti in egual maniera, ma non a tutti riesce con convinzione. Stavolta sì, anche per uno come me che non è un “fan”. Quelli che lo sono possono gioire.

#Musica #Music #Opinioni #CamarilloBrillo #Blog

Mastodon: @alda7069@mastodon.unoX: @[url=https://mastodon.uno/users/alda7069]A&D :antifa:[/url] Telegram: t.me/transitblogFriendica: @danmatt@poliverso.orgBio Site (tutto in un posto solo, diamine): bio.site/danielemattioli

Gli scritti sono tutelati da “Creative Commons” (qui)

Tutte le opinioni qui riportate sono da considerarsi personali. Per eventuali problemi riscontrati con i testi, si prega di scrivere a: corubomatt@gmail.com

Transit

Il blog di Alessandra Corubolo & Daniele Mattioli. On line -in varie forme- dal 2005.

^Telegram