When Donald Trump won in 2016, we weren't sure if good journalism mattered anymore. Now, we're more sure than ever it does.
When Donald Trump won in 2016, we werenx27;t sure if good journalism mattered anymore. Now, wex27;re more sure than ever it does.#DonaldTrump #Announcements #politics
Steve Ballmer famously called Linux “viral”, with some not-entirely coherent complaints about the OS. In a hilarious instance of life imitating art, Windows machines are now getting attacked through malicious Linux VM images distributed through phishing emails.
This approach seems to be intended to fool any anti-malware software that may be running. The VM includes the chisel tool, described as “a fast TCP/UDP tunnel, transported over HTTP, secured via SSH”. Now that’s an interesting protocol stack. It’s an obvious advantage for an attacker to have a Linux VM right on a target network. As this sort of virtualization does require hardware virtualization, it might be worth disabling the virtualization extensions in BIOS if they aren’t needed on a particular machine.
And now, we have Google Project Zero bringing news of their Big Sleep LLM project finding a real-world vulnerability in SQLite. This tool was previously called Project Naptime, and while it’s not strictly a fuzzer, it does share some similarities. The main one being that both tools take their educated guesses and run that data through the real program code, to positively verify that there is a problem. With this proof of concept demonstrated, it’s sure to be replicated. It seems inevitable that someone will next try to get an LLM to not only find the vulnerability, but also find an appropriate fix.
Slipping Between Parsers
Something else interesting from our conversation with Daniel was the trurl tool, that makes the curl url parser available as a standalone tool. The point being that there are often security problems that arise from handling URLs and other user-provided data with different parsers. And that’s the story [Andrea Menin] has to tell, taking a look at how file parsers handle file uploads a bit differently.
More specifically, Web Application Firewalls (WAFs) check a handful of metrics on file uploads, like the file extension, MIME Type, the “magic” first few bytes of the file, file size, filename sanitization, and more. This gets complicated when an application uses multipart/form-data. Files and parameters get chunked, separated by boundary delimiter strings.
So one trick is to hide strings that the WAF would normally block, by sneaking them inside a multipart upload. Another trick is to use the same name field multiple times. The WAF may ignore the repeated names, and the application itself may not ignore the repetition in the same way. There are many more, from inconsistent quotes, to omitting an expected carriage return in the upload, to failing to mention that your filename contains UTF characters.
Backscatter TOR DoS
[delroth] got a nasty surprise. He got an abuse@ email, letting him know that one of his server VMs was sending SSH probes around the Internet. Unless you’re SSH scanning on purpose, that’s not a good surprise. That’s bad for two reasons. First off, it really implies that your server has been compromised. And second, it’s going to put your IP on multiple spam and abuse blacklists.
The natural response was to start looking for malware. The likely culprits were a Syncthing relay, a Mastodon instance, a Tor relay, and a Matrix server. The odd thing was that none of those services showed signs of compromise. The breakthrough came when [delroth] started looking close at port 22 traffic captured by a running tcpdump. No outgoing packets were getting captured, but TCP reset packets were coming in.
And really, that’s the whole trick: Send bogus SSH packets from a spoofed IP address, to a bunch of servers around the Internet, and some of them will generate complaints. Anyone can generate raw packets with spoofed IP addresses. The catch is that not everyone can successfully send that traffic, since many ISPs do BCP38 scrubbing, where “impossible” traffic gets dropped. This traffic was impossible, since those source IPs were coming from the wrong network.
The only real question is “why?” The answer seems to be TOR. While [delroth] does run a TOR node, it’s not an exit node, which is usually enough to keep the IP out of trouble. While TOR does make some guarantees about traffic anonymity, it doesn’t make any guarantees about hiding the IPs of network nodes. And it seems that it’s recently become someone’s hobby to trigger exactly these attacks on TOR nodes.
Bits and Bytes
A pair of developers have started working on hardening for the PHP language and server components. That means adding back safe-unlink, doing memory isolation to make heap spraying harder, and removing trivial ways to trivially get powerful primitives. PHP may not be the cool kid on the block any more, but it’s still very widely used, and making exploitation just a bit harder is a clear win.
Cisco’s Unified Industrial Wireless Software had a trivial command injection attack allowing for arbitrary command execution as root. This was limited to devices running with Ultra-Reliable Wireless Backhaul mode turned on. So far this flaw hasn’t been found in real attacks, but such a flaw in industrial equipment isn’t great.
And finally, Electronic Arts had an improperly secured web API endpoint, and [Sean Kahler] found it and started looking around. It turns out that API included a swagger json, which documents the entire API. Score! In the end, the API allowed for moving a “persona” from one account to another, and that eventually allows for full account takeover. Yikes.
@Informatica (Italy e non Italy 😁) Il Garante privacy ha assegnato 20 giorni ad Intesa San Paolo per informare i clienti che hanno subito il data breach per l’acceso indebito di un proprio dipendente. La banca minimizza, ma
@Informatica (Italy e non Italy 😁) I settori più critici dal punto di vista degli attacchi nel 2023 si sono registrati in ambito finanziario/assicurativo e manifatturiero. Ma anche la sanità è sempre più bersagliata, con attacchi in crescita di oltre l'80% in Italia. Come prepararsi al
@Informatica (Italy e non Italy 😁) L’European Data Protection Board ha pubblicato il primo rapporto di revisione sul Data Privacy Framework (DPF): secondo l’EDPB, le misure implementate dal DPF, sebbene migliorative, lasciano aperte questioni rilevanti sulla reale equivalenza delle
@Informatica (Italy e non Italy 😁) Eletto il 47° presidente degli Stati Uniti d’America: torna Donald Trump a governare una delle maggiori potenze del mondo, ma dal punto di vista della sicurezza e dell’informazione come siamo arrivati all’Election Day? Cosa sappiamo e la
[quote]Di fronte all’aumento della richiesta di sicurezza, legata al contesto geopolitico internazionale, è cresciuta anche la domanda di sistemi, generando prospettive positive per il settore della Difesa. È quanto emerge dai risultati del terzo
io ho sempre dato per scontato che ci fosse qualcuno che facesse semplicemente i suoi interessi e spargesse disinformazione. e comunque sarà sempre così. è un po' coma la risposta "resisto a tutto eccetto alle tentazioni". è responsabilità dei cittadini informarsi ed essere capaci di assumere una posizione responsabile. è un onere che spetta ai cittadini in una democrazia. possiamo al limite trovare come co-responsabili una deliberata distruzione di cultura e informazione da parte del potere. ma non starò a sostenere che è tutta colpa dei poteri forti e neppure dei cialtroni che fanno disinformazione, spesso davvero incredibilmente poco credibili. in un regime libero l'unica vera responsabilità del cittadino è discernere la notizia dalla bufala. niente altro. e lo scarica-barile è quello di sostenere unico responsabile i "poteri forti" o chi diffonde disinformazione. ci sarà sempre. a meno di avere una censura governativa pure peggiore. bisogna essere pragmatici nella vita e smettere di pensare che chi sta attorno a noi debba essere necessariamente onesto. ovviamente combattere i bufalari dovrebbe essere fatto, ma le bufale non smetteranno mai di esistere, fino a quando converranno a qualcuno. e un interesse ci sarà sempre. Mi fanno ridere i "cittadini" quando si lamentano di chi governa, e poi loro non sanno separare la plastica dalla carta... tutti siamo cascati in qualche bufala... è un attimo... una distrazione... ma questo non ci dispensa dall'assumerci le nostre responsabilità. mi è successo di condividere qualche notizia fake. ma di chi è la colpa? mia. non ho verificato bene prima. non è questione di dare la colpa a qualcuno ma di assumersi la responsabilità per OGNI propria azione.
@Notizie dall'Italia e dal mondo Duro sui dazi e debole su Taiwan: in quattro anni di presidenza Trump, Pechino potrà recuperare 40 anni su Washington L'articolo Torna Trump, ecco cosa cambia nei rapporti Usa-Cina proviene da Pagine Esteri.
Law enforcement believe the activity, which makes it harder to then unlock the phones, may be due to a potential update in iOS 18 which tells nearby iPhones to reboot if they have not been in contact with a cellular network for some time, according to a document obtained by 404 Media.#News #Privacy
Law enforcement believe the activity, which makes it harder to then unlock the phones, may be due to a potential update in iOS 18 which tells nearby iPhones to reboot if they have not been in contact with a cellular network for some time, according t…
Visualise statistics about your account with multiple new tools, Bridgy Fed discusses governance, and further integration of the ATmosphere ecosystem with 3p clients
One of the main goals of writing this newsletter is not only to share links, but more importantly, to give context to help you make sense of what is happening in the world of decentralised social networks.
One of the main goals of writing this newsletter is not only to share links, but more importantly, to give context to help you make sense of what is happening in the world of decentralised social networks. Yesterday and today I thoroughly exhausted my ability to make sense of things, and as such this edition is more of a collection links to everything.
For an in-depth analysis, earlier this week I wrote about how to think about how ATProto works, how that relates to governance and power, and what decentralisation and federation mean in this new context.
In an update on Bridgy Fed, the software that allows bridging between different protocols, creator Ryan Barrett talks about possible futures for Bridgy Fed. Barrett says that Bridgy Fed is currently a side project for him, but people make requests for Bridgy Fed to become bigger, and become ‘core infrastructure of the social web’. Barrett is open to that possibility, but not while the project is his personal side project, and is open for conversations to house the project in a larger organisation, and with someone with experience to lead the project.
Atmosphere Stats and Blueview.app both allow you to show you statistics about your account. Blueview shows you your follower growth over time, and Atmosphere Stats assigns you an animal based on your posting style, as well as showing an overview of your posts by time of day.
The Links
Some updates on Bluesky:
Bluesky will added the ability to post Threads in one go soon, and the feature is already available to test, and a preview of what it looks like here.
A short thread on how the Discover feed works, and some of the steps the Bluesky team is taking to improve the quality of it.
Bluesky engineer Bryan Newbold shares some aspects about what the Bluesky team currently is working on.
There is a renewed call for private data on ATProto: Bluesky Engineer Devin Ivy shares some ideas the team is considering, while Bluesky engineer Bryan Newbold reiterates that the team understands the need for it, and says it is a ‘heavy lift’ to implement.
Bluesky Wall is a simple web app that shows you a realtime feed of posts with any given keyword.
Further integrations of ATProto applications
Hagoromo is a third-party client for Bluesky, focusing on multi-column, and their latest update now also adds support for your Linkat.blue profile.
Third-party client Klearsky now supports showing all other ATProto-powered profiles on your Bluesky profile (as well as other updates).
Blogging platform WhiteWind has added support Frontpage; if a WhiteWind blog is posted on Frontpage, this now automatically shows up in the comment section of the WhiteWind blog as well.
Links for developers:
Supercell is a lightweight and configurable atproto feed generator.
Bluesky COO Rose talked with the Quiet Riot podcast about elections and platform values.
Bluesky board member Mike Masnick talks on Ed Zitron’s Better Offline about tech media and joining the Bluesky board.
That’s all for this week, thanks for reading! You can subscribe to my newsletter to receive the weekly updates directly in your inbox below, and follow this blog @fediversereport.com and my personal account @laurenshof.online.
As Election Day in the U.S. nears, social networking startup Bluesky, now flush with new capital, hopes to demonstrate that its platform can serve as a
[quote]Il candidato Commissario europeo a Difesa e Spazio, Andrius Kubilius, è stato sentito dalle Commissioni per gli affari esteri e per l’industria, la ricerca e l’energia del Parlamento europeo in vista delle votazioni sulla
[quote]Il Regno Unito, nonostante gli annunci che parlano di una spending review imminente, intende aumentare le spese per la Difesa. Dopo un primo momento di riflessione, l’esecutivo laburista guidato da Keir Starmer ha confermato che i tagli non riguarderanno le spese militari e che anzi Londra punta a
After getting hit with a 4 a.m. emergency alert about a shooting hundreds of miles away from where they were sleeping, a lot of Texans were very pissed.#News #texas #fcc
[quote]L’Italia è una cerniera tra due sistemi geopolitici, e per questo investire in Difesa è per il Paese una necessità, non una scelta. A sottolinearlo è stato il ministro della Difesa, Guido Crosetto, in audizione al Senato per illustrare i principali punti
È stata approvata la legge che garantisce l’assistenza sanitaria ai senza fissa dimora - L'Indipendente
"Questa legge, frutto di un lungo dibattito politico e sociale, punta a garantire un accesso equo ai servizi sanitari di base indipendentemente dallo status abitativo o dalla mancanza di documenti formali. Fino ad oggi, infatti, le persone senza fissa dimora, spesso prive di documenti e residenza, si trovavano escluse da una piena partecipazione al sistema sanitario."
@Notizie dall'Italia e dal mondo Dopo 13 mesi di offensiva israeliana incessante, i palestinesi hanno perso tutto. Visitando Gaza questa settimana, il segretario generale del Norwegian Refugee Council Jan Egeland ha assistito alla sofferenza senza pari delle famiglie lì L'articolo L’umanità pagineesteri.it/2024/11/07/med…
@Notizie dall'Italia e dal mondo La Northern Rangelands Trust sostiene che il suo sia "ad oggi, il più grande progetto di rimozione del carbonio dal suolo esistente al mondo, e il primo progetto generatore di crediti di carbonio derivanti dalla modificazione di pratiche di pascolo
@Notizie dall'Italia e dal mondo Mentre il mondo rimane concentrato sul Medio Oriente e sulle guerre di Israele a Gaza e in Libano, che minacciano di innescare un confronto aperto con l'Iran, quale impatto avrà sulla regione il ritorno di Trump alla guida della prima potenza mondiale? L'articolo Dopo
Si concludono oggi a Palermo le Giornate Nazionali del Cinema per la Scuola 2024.
“Le Giornate sono un elemento fondamentale del Piano Nazionale Cinema e Immagini per la Scuola, non solo perché rappresentano un’offerta formativa d’eccellenza, ma anc…
@Politica interna, europea e internazionale Trump vince anche a Springfield nonostante le polemiche sull’immigrazione C’è un dato clamoroso che è la fotografia perfetta di quanto accaduto in America dove Donald Trump ha trionfato alle elezioni presidenziali statunitensi divenendo,
Penso che starò fuori dai social e dal giro delle news per un po'. Dire che sono allibiza è poco. Mai sottovalutare i redneck. Buona fortuna a tutti noi, ne avremo bisogno. #uspol #electionday #trump
La dichiarazione sulle raccomandazioni del gruppo ad alto livello sull'accesso ai dati per un'applicazione efficace della legge sottolinea che i diritti fondamentali devono essere salvaguardati quando le autorità di contrasto accedono ai dati personali delle persone fisiche. Pur sostenendo l'obiettivo di un'efficace attività di contrasto, l'EDPB sottolinea che alcune delle raccomandazioni del gruppo ad alto livello potrebbero causare gravi intrusioni nei confronti dei diritti fondamentali, in particolare il rispetto della vita privata e della vita familiare.
Pur prendendo atto con soddisfazione della raccomandazione, l'EDPB può portare alla creazione di condizioni di parità in materia di conservazione dei dati, ma ritiene che un obbligo ampio e generale di conservazione dei dati in forma elettronica da parte di tutti i fornitori di servizi creerebbe un'interferenza significativa con i diritti delle persone fisiche. Pertanto, l'EDPB si chiede se ciò soddisferebbe i requisiti di necessità e proporzionalità della Carta dei diritti fondamentali dell'UE e della giurisprudenza della CGUE.
Nella sua dichiarazione, l'EDPB sottolinea inoltre che le raccomandazioni relative alla cifratura non dovrebbero impedirne l'uso né indebolire l'efficacia della protezione che fornisce. Ad esempio, l'introduzione di un processo lato client che consenta l'accesso remoto ai dati prima che siano crittografati e inviati su un canale di comunicazione, o dopo che siano decifrati presso il destinatario, in pratica indebolirebbe la crittografia. Preservare la protezione e l'efficacia della cifratura è importante per evitare ripercussioni negative sul rispetto della vita privata e della riservatezza e per garantire che siano salvaguardate la libertà di espressione e la crescita economica, che dipendono da tecnologie affidabili.
"People around the world recorded the sounds of their forests, so you can escape into nature, and unwind wherever you are. Take a breath and soak in the forest sounds as they breathe with life and beauty!"
People around the world recorded the sounds of their forests, so you can escape into nature, while in lockdown or unable to travel. Use this site to chill, meditate or do some digital shinrin-yoku.
Loops has finally launched, Radio Free Fedi will shut down, and governance for Bridgy Fed.
The News
Loops.video, the short-form video platform has finally launched, after weeks of delays. There is now an iOS app on TestFlight available, as well as an Android APK, and it there is no waitlist anymore. In some statistics shared by Loops developed Daniel Supernault, Loops now has more than 8000 people signed up and close to a 1000 videos posted. The app has the bare minimum of features, with only one feed that seems to be algorithmic, and there is no following feed. Supernault says that he is currently working on adding discovery features as well as notifications to the app. The app currently loads videos smoothly and quickly, and Supernault has already had to upgrade the server to deal with traffic. Loops is currently not federating with the rest of the fediverse, and you cannot interact with Loops from another fediverse account. This feature is planned, but there is no estimation when this will happen. Third party clients are already possible with Loops, and one is already available.
Radio Free Fedi has announced that it will shut down in January 2025. Radio Free Fedi is a radio station and community that broadcasts music by people on the fediverse. The project has grown from a simple stream into multiple non-stop radio streams, a specialty channel and a channel for spoken word, and build up a catalogue of over 400 artists who’s art are broadcast on the radio. Running a project requires a large amount of work, and was largely done by one person. They say that this is not sustainable anymore, and that the way that the project is structured make handing the project over to someone else not an option. Radio Free Fedi has been a big part of the artist’s community on the fediverse, which has contributed to a culture of celebrating independent art, and the sunset of Radio Free Fedi is a loss for fediverse culture.
In an update on Bridgy Fed, the software that allows bridging between different protocols, creator Ryan Barrett talks about possible futures for Bridgy Fed. Barrett says that Bridgy Fed is currently a side project for him, but people make requests for Bridgy Fed to become bigger, and become ‘core infrastructure of the social web’. Barrett is open to that possibility, but not while the project is his personal side project, and is open for conversations to house the project in a larger organisation, and with someone with experience to lead the project.
The Social Web Foundation will organise a Devroom at FOSDEM. FOSDEM is a yearly conference in Brussels for free and open source software, and will be on February 1-2, 2025. The Social Web Foundation is inviting people and projects to give talks about ActivityPub, in the format of either a talk of 25 minutes for bigger projects, or a lightning talk of 8 minutes.
OpenVibe is a client for Mastodon, Bluesky and Nostr, and has now added support for cross-posting to Threads as well. OpenVibe also offers the ability to have a combined feed, that shows posts from your accounts on all the different networks into a single feed, which now can include your Threads account, as well as your Mastodon, Nostr and Bluesky accounts.
The shutdown of the botsin.space server lead to some new experiments with bots on the fediverse:
Ktistec is a single-user ActivityPub server that added support for bots in the form of scripts that the server itself periodically runs.
@Politica interna, europea e internazionale Campania, via libera al terzo mandato per De Luca. Ma il Pd: “Non sarà il nostro candidato” Il Consiglio Regionale della Campania ha approvato la legge regionale che consentirebbe al governatore in carica Vincenzo
#Scuola, disponibili i dati provvisori sullo sciopero del #31ottobre. L’adesione, a livello nazionale, rilevata alla data del 4 novembre, è stata del 5,49%.
#Scuola, disponibili i dati provvisori sullo sciopero del #31ottobre.
L’adesione, a livello nazionale, rilevata alla data del 4 novembre, è stata del 5,49%.
@Politica interna, europea e internazionale Pier Luigi Bersani è stato assolto dall’accusa di diffamazione nei confronti del generale Roberto Vannacci, europarlamentare della Lega: per il giudice del Tribunale di Ravenna “il fatto non sussiste”. Bersani era stato denunciato da Vannacci perché il primo settembre 2023, durante
Changelog: 🦝 fix crash in search when result type is hashtags or users; 🦝 improved login flow, especially for Mastodon users; 🦝 remove channels from selection when using the "Circle" visibility for posts (Friendica-only); 🦝 improved hashtag and mention opening, especially on Mastodon; 🦝 experimental UnifiedPush integration for push notifications; 🦝 dependency updates.
@Privacy Pride Il post completo di Christian Bernieri è sul suo blog: garantepiracy.it/blog/document… Tempo di lettura: 10 minuti. Ma la parte utile è alla fine. (Lo so, sono malefico) In questi giorni è iniziata la fase di test dell'integrazione di IO, l'app di PAGO-PA
Pirati.io
in reply to The Privacy Post • • •PS: qualcuno ha notato le differenze tra la versione inglese e quella italiana?
edpb.europa.eu/news/news/2024/…
L'EDPB adotta la sua prima relazione nell'ambito del quadro UE-USA sulla privacy dei dati e una dichiarazione sulle raccomandazioni sull'accesso ai dati per le attività di contrasto | European Data Protection Board
www.edpb.europa.eureshared this
informapirata ⁂ e Privacy Pride reshared this.
Lord Vetinari
in reply to Pirati.io • • •In quello italiano si parla di "attività di contrasto", in quello inglese di "law enforcement", in quello tedesco "wirksame Strafverfolgung"