Behind the Blog: 'I Reject It!'
This is Behind the Blog, where we share our behind-the-scenes thoughts about how a few of our top stories of the week came together.Samantha Cole (404 Media)
Enhiker Helps You Decide if its a Good Day to Hike
Many of us check the weather before heading out for the day — we want to know if we’re dressed (or equipped) properly to handle what Mother Nature has planned for us. This is even more important if you’re going out hiking, because you’re going to be out in a more rugged environment. To aid in this regard, [Mukesh Sankhla] built a tool called Enhiker.
The concept is simple; it’s intended to tell you everything you need to know about current and pending conditions before heading out on a hike. It’s based around Unihiker, a single-board computer which also conveniently features a 2.8-inch touch screen. It’s a quad-core ARM device that runs Debian and has WiFi and Bluetooth built in, too. The device is able to query its GPS/GNSS receiver for location information, and then uses this to get accurate weather data online from OpenWeatherMap. It makes some basic analysis, too. For example, it can tell you if it’s a good time to go out, or if there’s a storm likely rolling in, or if the conditions are hot enough to make heat stroke a concern.
It’s a nifty little gadget, and it’s neat to have all the relevant information displayed on one compact device. We’d love to see it upgraded further with cellular connectivity in addition to WiFi; this would make it more capable when out and about.
We’ve seen some other neat hiking hacks before, too, like this antenna built with a hiking pole. Meanwhile, if you’ve got your own neat hacks for when you’re out on the trail, don’t hesitate to let us know!
Caccia alla Lamborghini Huracan Rubata a Kris Bryant! Dietro l’Attacco una Rete Criminale
La Lamborghini Huracan del giocatore di baseball Kris Bryant è stata rubata mentre veniva trasportata a Las Vegas. Gli aggressori sono riusciti a modificare il percorso di consegna, ma l’auto è stata recuperata in meno di una settimana, il che ha aiutato a rintracciare diversi sospettati e altre auto rubate.
Il giocatore dei Colorado Rockies ha incaricato una compagnia di trasporti di trasportare una Lamborghini Huracan dal Colorado a Las Vegas, Nevada, dove l’atleta ha giocato in bassa stagione. L’auto però non è mai arrivata a destinazione. La polizia ne ha registrato la scomparsa il 2 ottobre e ha avviato un’indagine.
Si è scoperto che la compagnia di trasporti è stata vittima di un attacco BEC, che ha permesso ai criminali di organizzare il trasporto non autorizzato di automobili in tutto il paese. Grazie all’analisi dei dati provenienti dalle telecamere di riconoscimento targhe, è stato possibile ricostruire il percorso di movimento del camion e del rimorchio che hanno consegnato la Lamborghini.
La Lamborghini Huracan del 2023 presentava modifiche uniche che hanno contribuito a identificare l’auto quando un agente di polizia di Las Vegas l’ha avvistata. L’auto è stata ritrovata il 7 ottobre nella zona di Las Vegas e le persone coinvolte nel rapimento sono state arrestate.
Il conducente della Lamborghini ha affermato di possedere un’autofficina e di aver ricevuto una richiesta da uno sconosciuto in Texas per riparare il sistema elettronico dell’auto. Un altro sospettato è stato arrestato all’aeroporto di Las Vegas, dove avrebbe dovuto ritirare la Lamborghini. Durante la perquisizione dell’auto, la polizia ha rinvenuto strumenti atti a scassinare l’auto.
La scoperta dell’auto è stata un anello chiave per scoprire una rete criminale più ampia. Nel corso di ulteriori indagini, la polizia ha ricevuto informazioni su altri membri del gruppo criminale, che hanno portato alla scoperta di altre due auto rubate, serie di numeri VIN falsi, documenti di immatricolazione falsi, chiavi elettroniche e strumenti per cambiare targa. Inoltre, nell’ambito del caso, è stato possibile restituire un’altra auto rubata in precedenza in California.
Sebbene Bryant non sia stato nominato nella dichiarazione ufficiale della polizia, il Denver Post ha collegato l’incidente a lui.
L'articolo Caccia alla Lamborghini Huracan Rubata a Kris Bryant! Dietro l’Attacco una Rete Criminale proviene da il blog della sicurezza informatica.
Gli Hacker Nordcoreani Rubano 1 Miliardo di Dollari ad un Exchange della Corea del Sud
La polizia sudcoreana ha confermato il coinvolgimento di hacker legati all’intelligence nordcoreana in un grave furto della criptovaluta Ethereum nel 2019. L’importo dei beni rubati in quel momento era stimato a 41,5 milioni di dollari.
Più della metà dei fondi rubati sono stati riciclati attraverso 3 scambi di criptovalute creati dagli stessi hacker. I fondi rimanenti sono stati distribuiti su 51 piattaforme. I criminali si sono infiltrati nell’exchange di criptovalute in cui era archiviato Ethereum e hanno prelevato 342.000 ETH. Oggi il loro valore supera il miliardo di dollari.
Il nome dell’exchange non è stato specificato nella dichiarazione, ma nel 2019 l’exchange sudcoreano Upbit ha segnalato un trasferimento non autorizzato di 342.000 ETH su un wallet sconosciuto. Non è specificato se questi due incidenti siano collegati.
Dall’inchiesta è emerso che l’attacco è stato effettuato dai gruppi Lazarus e Andariel, legati all’intelligence nordcoreana. I risultati si basano sull’analisi degli indirizzi IP e sul tracciamento delle risorse. Ciò ha segnato la prima volta che la Corea del Nord ha colpito un exchange di criptovalute sudcoreano.
Le forze dell’ordine sono riuscite a rintracciare 4,8 BTC trasferiti su uno scambio di criptovalute svizzero. Nel mese di ottobre gli asset sono stati restituiti alla piattaforma sudcoreana. Oggi il loro valore è di circa 427.800 dollari. La Corea del Nord nega il coinvolgimento in attacchi informatici e furti di criptovalute.
Secondo l’ONU, dal 2017 al 2024, gli hacker nordcoreani hanno effettuato 97 attacchi informatici contro società di criptovalute, causando danni per circa 3,6 miliardi di dollari. Tra gli attacchi c’era un attacco allo scambio di criptovalute HTX: nel novembre 2023 gli hacker hanno rubato 147,5 milioni di dollari e ha riciclato il bottino a marzo del 2024.
L'articolo Gli Hacker Nordcoreani Rubano 1 Miliardo di Dollari ad un Exchange della Corea del Sud proviene da il blog della sicurezza informatica.
This Week in Security: Footguns, Bing Worms, and Gogs
The world of security research is no stranger to the phenomenon of not-a-vulnerability. That’s where a security researcher finds something interesting, reports it to the project, and it turns out that it’s something other than a real security vulnerability. There are times that this just means a researcher got over-zealous on reporting, and didn’t really understand what was found. There is at least one other case, the footgun.
A footgun is a feature in a language, library, or tool that too easily leads to catastrophic mistake — shooting ones self in the foot. The main difference between a footgun and a vulnerability is that a footgun is intentional, and a vulnerability is not. That line is sometimes blurred, so an undocumented footgun could also be a vulnerability, and one possible solution is to properly document the quirk. But sometimes the footgun should really just be eliminated. And that’s what the article linked above is about. [Alex Leahu] takes a look at a handful of examples, which are not only educational, but also a good exercise in thinking through how to improve them.
The first example is Tesla from the Elixer language. Tesla is an HTTP/HTTPS client, not unlike libcurl, and the basic usage pattern is to initialize an instance with a base_url defined. So we could create an instance, and set the URL base to [url=https://hackaday.com/feed/]https://hackaday.com/feed/[/url]. Then, to access a page or endpoint on that base URL, you just call a Tesla.get(), and supply the client instance and path. The whole thing might look like:
client = build_client(config, "https://hackaday.com", headers)
response = Tesla.get(client, "/floss")All is well, as this code snippet does exactly what you expect. The footgun comes when your path isn’t just /floss. If that path starts with a scheme, like http:// or https://, the base URL is ignored, and path is used as the entire URL instead. Is that a vulnerability? It’s clearly documented, so no, definitely not. Is this a footgun, that is probably responsible for vulnerabilities in other code? Yes, very likely. And here’s the interesting question: What is the ideal resolution? How do you get rid of the footgun?
There are two related approaches that come to mind. The first would be to add a function to the library’s API, a Tesla.get_safe() that will never replace the base URL, and update the documentation and examples to use the safe version. The related solution is to then take the extra step of deprecating the unsafe version of the function.
The other example we’ll look at is Psychopg, a PostSQL driver library for Python. The example of correctly using the driver is cur.execute("INSERT INTO numbers VALUES (%s, %s)", (10, 20)), while the incorrect example is cur.execute("INSERT INTO numbers VALUES (%s, %s)" % (10, 20)). The difference may not seem huge, but the first example is sending the values of 10 and 20 as arguments to the library. The second example is doing an printf-like Python string formatting with the % operator. That means it bypasses all the protections this library has to prevent SQL injection. And it’s trivially easy because the library uses % notation. The ideal solution here is pretty straightforward. Deprecate the % SQL notation, and use a different character that isn’t overloaded with a particularly dangerous language functino.
Wormable Bing
[pedbap] went looking for a Cross-Site Scripting (XSS) flaw on Microsoft’s services. The interesting thing here is that Bing is part of that crowd of Microsoft websites, that users automatically get logged in to with their Microsft accounts. An XSS flaw there could have interesting repercussions for the entire system. And since we’re talking about it, there was obviously something there.
The flaw in question was found on Bing maps, where a specific URL can load a map with custom features, though the use of json file specified in the URL. That json file can also include a Keyhole Markup Language file, a KML. These files have a lot of flexibility, like including raw HTML. There is some checking to prevent running arbitrary JavaScript, but that was defeated with a simple mixed case string: jAvAsCriPt:(confirm)(1337). Now the example does require a click to launch the JS, so it’s unclear if this is actually wormable in the 0-click sort of way. Regardless, it’s a fun find, and netted [pedbap] a bounty.
youtube.com/embed/_brKdFmYGdI?…
Right There in Plain Text
[Ian] from Shells.Systems was inside a Palo Alto Global Protect installation, a VPN server running on a Windows machine. And there was something unusual in the system logs. The log contained redacted passwords. This is an odd thing to come across, particularly for a VPN server like this, because the server shouldn’t ever have the passwords after creation.
So, to prove the point, [Ian] wrote an extractor program, that grabs the plaintext passwords from system memory. As far as we can tell, this doesn’t have a CVE or a fix, as it’s a program weakness rather than a vulnerability.
Your Gogs Need to Go
Speaking of issues that haven’t been patched, if you’re running gogs, it’s probably time to retire it. The latest release has a Remote Code Execution vulnerability, where an authenticated user can create a symlink to a real file on the gogs server, and edit the contents. This is a very quick route to arbitrary code execution.
The real problem here isn’t this specific vulnerability, or that it hasn’t been patched yet, or even that gogs hasn’t seen a release since 2023. The real problem is that the project seems to have been almost completely abandoned. The last change was only 2 weeks ago, but looking through the change log, almost all of the recent changes appear to be automated changes. The vulnerability was reported back in August, the 90 day disclosure deadline came and went, and there was never a word from the project. That’s concerning. It’s reminiscent of the sci-fi trope, when some system keeps running itself even after all the humans have left.
Bits and bytes
The NPM account takeover hack now has an Open Source checking tool. This is the issue of expired domains still listed on the developer email addresses on NPM packages. If an attacker can register the dangling domain, it’s possible to take over the package as well. The team at Laburity are on it, with the release of this tool.
Lutra Security researchers have an interesting trick up their sleeves, when it comes to encrypted emails. What if the same encrypted text encrypted to different readable messages for each different reader? With some clever use of both encryption and the multipart/alternative MIME type, that;s what Salamander/MIME pulls off.
And finally, it’s time to dive in to DOMPurify bypasses again. That’s the JavaScript library for HTML sanitizing using the browser’s own logic to guarantee there aren’t any inconsistent parsing issues. And [Mizu] has the lowdown on how to pull off an inconsistent parsing attack. The key here is mutations. When DOMPurify runs an HTML document through the browser’s parsing engine, that HTML is often modified — hence the Purify in the title. What’s not obvious is that a change made during this first iteration through the document can have unexpected consequences for the next iteration through the document. It’s a fun read, and only part one, so keep your eyes peeled for the rest of it!
Sicurezza ambientale, la nuova sfida (anche per la Nato)
@Notizie dall'Italia e dal mondo
Il cambiamento climatico non è più solo una questione ambientale, ma un problema totale che tocca la stabilità sociale, economica, geopolitica: in definitiva una priorità di sicurezza nazionale. Questo è stato il tema centrale del workshop “Climate Change and Natural Hazards in the Euro-Mediterranean Region:
Notizie dall'Italia e dal mondo reshared this.
Una ragazza urta con la propria auto un'altra auto ferma a lato della strada, facendola avanzare di 20 m.
A che velocità andava la ragazza?
ilgiornaledivicenza.it/territo…
La Palestina protagonista di “Mediterraneo Contemporaneo”
@Notizie dall'Italia e dal mondo
Dal 23 novembre al 1° dicembre 9 appuntamenti tra giornalismo, cinema, poesia, cucina, arte e teatro, che si snodano tra Salerno e Napoli per conoscere da vicino la Palestina e le sue tensioni sociali e culturali
L'articolo La Palestina protagonista di “Mediterraneo Contemporaneo” proviene
Notizie dall'Italia e dal mondo reshared this.
A Surprisingly Simple Omnidirectional Display
Old-school technology can spark surprising innovations. By combining the vintage zoetrope concept with digital displays, [Mike Ando] created the Andotrope, a surprisingly simple omnidirectional display.
Unlike other 3D displays, the Andotrope lets you view a normal 2D video or images that appear identical irrespective of your viewing angle. The prototype demonstrated in the video below consists of a single smart phone and a black cylinder spinning at 1,800 RPM. A narrow slit in front of each display creates a “scanning” view that our brain interprets as a complete image, thanks to persistence of vision. [Mike] has also created larger version with a higher frame rate, by mounting two tablets back-to-back.
Surprisingly, the Andotrope appears to be an original implementation, and neither [Mike] nor we can find any similar devices with a digital display. We did cover one that used a paper printout in a a similar fashion. [Mike] is currently patenting his design, seeing the potential for smaller displays that need multi-angle visibility. The high rotational speed creates significant centrifugal force, which might limit the size of installations. Critically, display selection matters — any screen flicker becomes glaringly obvious at speed.
This device might be the first of its kind, but we’ve seen plenty of zoetropes over the years, including ones with digital displays or ingenious time-stretching tricks.
youtube.com/embed/YxkUCFis668?…
HAITI. Medici Senza Frontiere sospende attività nella capitale
@Notizie dall'Italia e dal mondo
Una nuova ondata di violenza a Port-au-Prince ha causato nell'ultima settimana 150 morti e 20.000 sfollati.
L'articolo HAITI. Medici Senza Frontiere sospende attività pagineesteri.it/2024/11/22/ame…
Notizie dall'Italia e dal mondo reshared this.
BRASILE. Bolsonaro incriminato per tentato colpo di Stato
@Notizie dall'Italia e dal mondo
Secondo il rapporto della polizia brasiliana, l'ex presidente era a conoscenza di un piano per mantenere il potere dopo l'elezione del suo rivale e successore Luiz Inácio Lula da pagineesteri.it/2024/11/22/ame…
Notizie dall'Italia e dal mondo reshared this.
Il governo si spacca sul mandato d’arresto a Netanyahu. Crosetto: “Sentenza va eseguita”. Salvini: “Sarebbe il benvenuto in Italia, i criminali di guerra sono altri”
@Politica interna, europea e internazionale
Il governo italiano si spacca sul mandato d’arresto a Netanyahu Il mandato d’arresto per il premier israeliano Benyamin Netanyahu e l’ex ministro della Difesa Yoav Gallant emesso dalla Corte
Politica interna, europea e internazionale reshared this.
Il #22novembre è la Giornata nazionale della #sicurezza nelle scuole, il Ministro Giuseppe Valditara ricorda le vittime e rinnova l’impegno nel garantire ambienti scolastici sicuri e accoglienti.
Qui tutti i dettagli ▶️ mim.gov.
Ministero dell'Istruzione
Il #22novembre è la Giornata nazionale della #sicurezza nelle scuole, il Ministro Giuseppe Valditara ricorda le vittime e rinnova l’impegno nel garantire ambienti scolastici sicuri e accoglienti. Qui tutti i dettagli ▶️ https://www.mim.gov.Telegram
“Siamo esseri umani o il nostro unico diritto è quello di morire?”. Il discorso di Majed Bamya all’ONU
@Notizie dall'Italia e dal mondo
Il rappresentante palestinese ha parlato al Consiglio di Sicurezza dopo il veto degli Stati Uniti al cessate il fuoco incondizionato della guerra di Israele su Gaza. “14 mesi e ancora discutiamo se un
reshared this
Trump presenterà all’Italia il conto delle spese militari?
@Notizie dall'Italia e dal mondo
Il prossimo ritorno di Donald Trump alla Casa Bianca sta mettendo in agitazione le cancellerie europee, le quali si chiedono quante delle esternazioni della campagna elettorale si tradurranno in politiche effettive e azioni reali. Nel corso dell’ultimo anno, Trump ha più volte affermato che i rapporti
Notizie dall'Italia e dal mondo reshared this.
Questa è la capacità di ascolto di questo #governo, cioè zero. In maniera particolare il ministro #Salvini sembra abbia bisogno di una bella vista dall'otorino.
Una modifica al codice che non è dalla parte della sicurezza, con regole assurde. Ora, per esempio, si potranno commettere più infrazioni sullo stesso tratto stradale pagando solo la contravvenzione più elevata aumentata di una percentuale. Quindi ... chissenefrega.
Demonizzati i monopattini elettrici, che evidentemente sono il grosso problema della sicurezza stradale, ma solo se ti beccano, visto che manca il personale che dovrebbe controllare.
Nessuna proposta è stata ascoltata, nemmeno quelle delle associazioni delle vittime della strada.
Che dire, ha ragione Vannacci: è un mondo al contrario.
#GiorgiaMeloni se ci sei
Corte penale internazionale. Emessi i mandati di arresto per Netanyahu e Gallant
@Notizie dall'Italia e dal mondo
Per la CPI esistono "ragionevoli motivi" per credere che i leader israeliani abbiano intenzionalmente privato la popolazione di Gaza di ciò che era più necessario per la propria sopravvivenza
L'articolo Corte penale internazionale. Emessi i mandati di
Notizie dall'Italia e dal mondo reshared this.
La Sanità è un diritto. Difendiamola.
Cartabellotta: 'Di questo passo il diritto alla salute diverrà privilegio di pochi'
Lo sciopero dei medici e del personale paramedico accende un riflettore sulla crisi del Sistema sanitario italiano. Abbiamo chiesto a Nino Cartabellotta, presidente di Fondazione Gimbe, di aiutarci a capire dove sono i problemi principali e quali...Famiglia Cristiana
Gaetano Martino 1900 – 1967 di Marcello Saija, Angela Villani
@Politica interna, europea e internazionale
Di Gaetano Martino si sapeva poco. Dopo la sua morte ciò che restava di lui, a Messina, Roma, New York e Bruxelles, era il ricordo personale di quanti lo avevano conosciuto e apprezzato. Un ricordo che, però, andava scemando con la scomparsa degli uomini del suo tempo. Ma ncava una
Politica interna, europea e internazionale reshared this.
📌 Il Fondo per l'Ambiente Italiano presenta il #concorso "Raccontiamo il patrimonio: nuove narrazioni".
Ministero dell'Istruzione
#NotiziePerLaScuola 📌 Il Fondo per l'Ambiente Italiano presenta il #concorso "Raccontiamo il patrimonio: nuove narrazioni".Telegram
La crisi dell’automotive europeo potrebbe essere una crisi di modello gestionale.
Automotive, ecatombe europea: la lezione di Byd e Tesla
La crisi dell'automotive europeo potrebbe essere una crisi di modello gestionale. Tesla e BYD insegnano come visione imprenditoriale e innovazione siano cruciali per il successo nel mercato automobilistico futuroFrancesco Vito Tassone (Agenda Digitale)
Alex Bracco likes this.
Finché l'ONU sarà organizzato nella maniera attuale, sarà sempre manipolabile...
Gli USA pongono il veto sulla bozza Onu per la tregua a Gaza
La bozza di risoluzione del Consiglio di Sicurezza Onu preparata dai 10 membri non permanenti che chiedeva un «cessate il fuoco immediato, incondizionato e permanente» ed il rilascio di tutti gli ostaggi è stata bloccata dal veto degli Stati Uniti, posto perché, da quanto si apprende, la risoluzione “non affronterebbe in modo sufficiente il rilascio degli ostaggi” in mano ad Hamas. Il veto americano è stato anche l’unico voto contrario alla risoluzione, che aveva ottenuto ben
14 voti favorevoli sui 15 totali.
L'Indipendente
ESCLUSIVO TPI – Sahra Wagenknecht ospite della convention del Movimento 5 Stelle
@Politica interna, europea e internazionale
Sahra Wagenknecht, l’astro nascente della politica tedesca, sarà tra gli ospiti di Nova, la convention che si terrà al Palazzo dei Congressi di Roma il 23 e 24 novembre in occasione dell’assemblea costituente del Movimento 5 Stelle: è quanto è in grado di anticiparvi in
Politica interna, europea e internazionale reshared this.
@friendica io te vojo bbene, ma tu a me me schifi!
#friendica
Il bello di scrivere e studiare in biblioteca
Un altro fattore che rende impagabile lavorare qui è come il silenzio e la pace che mi circonda mi permetta di fare qualcosa che è diventata sempre più difficile col passare del tempo: lasciare questo mondo che sta uscendo dai binari a velocità sempre più folle fuori dalla finestra.
Poi per carità, fuori dalla finestra ci sarà anche tutto in fiamme, ma almeno qui abbiamo tè caldo e musica soffusa. Volete mettere?
Il caccia europeo si aggiorna. Ecco le nuove capacità di guerra elettronica del Typhoon
@Notizie dall'Italia e dal mondo
Ispirato alla leggendaria guardia personale degli imperatori romani, noto ufficialmente come Defensive aid sub-system (Dass), il Praetorian è il complesso di sistemi difensivi integrati che equipaggia il caccia europeo di quarta generazione Eurofighter Typhoon. In occasione del primo
Notizie dall'Italia e dal mondo reshared this.
We chat Buzzfeed's AI-powered ads, a big Graykey leak, and the wave of publishers making deals with AI companies.
We chat Buzzfeedx27;s AI-powered ads, a big Graykey leak, and the wave of publishers making deals with AI companies.#Podcast
Podcast: Buzzfeed's AI Ads Are a Disaster
We chat Buzzfeed's AI-powered ads, a big Graykey leak, and the wave of publishers making deals with AI companies.Joseph Cox (404 Media)
Come sta cambiando il conflitto in Ucraina dopo mille giorni di guerra
@Notizie dall'Italia e dal mondo
Nel millesimo giorno del conflitto russo-ucraino, una serie di eventi significativi ha marcato un’importante escalation nelle dinamiche belliche. L’autorizzazione da parte dell’amministrazione Biden all’uso dei missili Atacms contro obiettivi in territorio russo ha trovato
Notizie dall'Italia e dal mondo reshared this.
The Woggles - Anyway the Wind / Slippin'out 7"
A questo punto amici della Rogue Records vi attendiamo al varco.
Eh sì perché continuare a dare luce a prodotti di così alto lignaggio senza sbagliare un colpo sembra impresa davvero titanica. Certo, conosciamo la vostra competenza e la vostra passione, ma perdio fatelo uscire un 7" un po' inferiore alla media.
iyezine.com/the-woggles-anyway…
@Musica Agorà
The Woggles - Anyway the Wind / Slippin'out 7"
The Woggles - Anyway the Wind / Slippin'out 7" - The Woggles - Anyway the Wind / Slippin'out 7" se tale occasione ci sarà non si tratta comunque di questa perché la recente infornata di singoli offertaci dall'etichetta di Tolosa è nuovamente di una q…Il Santo (In Your Eyes ezine)
Musica Agorà reshared this.
"La Russia ha aggredito l'Ucraina". Questa secondo te è una verità solo formale o anche sostanziale?
E' un dato oggettivo verificabile. In che altro modo vuoi metterla? Non è legittimo invadere un paese confinante perché non vuole far parte del proprio blocco di influenza. L'unica colpa dell'Ucraina è aver rigettato il presidente fantoccio generosamente fornito da Mosca (stile Bielorussia). Se questa è l'idea di pace russa, non ci siamo. Perlomeno in europa. In quale universo distopico parallelo, quella russa non è un'invasione ma un "salvataggio"?