Akira rappresenta una delle più recenti minacce ransomware in grado di aggirare i tradizionali strumenti di difesa delle organizzazioni. Un recente caso analizzato dal team di S-RM ha evidenziato come questo gruppo abbia utilizzato una webcam non protetta per distribuire il proprio payload, eludendo le difese di un sistema EDR (Endpoint Detection and Response).
Catena di attacco

Il modus operandi iniziale

L’attacco ha avuto inizio con la compromissione della rete della vittima attraverso una soluzione di accesso remoto esposta a internet. Dopo l’accesso, Akira ha implementato AnyDesk.exe, uno strumento di gestione remota, per mantenere il controllo dell’ambiente e procedere con l’esfiltrazione dei dati.

Durante la fase avanzata dell’attacco, gli aggressori hanno utilizzato il protocollo RDP (Remote Desktop Protocol) per spostarsi lateralmente all’interno della rete. Hanno poi tentato di distribuire il ransomware su un server Windows inviando un file ZIP protetto da password contenente l’eseguibile dannoso. Tuttavia, l’EDR implementato dall’organizzazione ha rilevato e bloccato la minaccia prima che potesse essere eseguita.

Il pivot sulla webcam

Dopo aver realizzato che l’EDR ostacolava la diffusione del ransomware, gli attaccanti hanno modificato la loro strategia. Un’analisi della rete interna ha rivelato la presenza di dispositivi IoT vulnerabili, tra cui webcam e scanner biometrici. In particolare, una webcam risultava esposta con le seguenti criticità:

• Presenza di vulnerabilità critiche che consentivano l’accesso remoto e l’esecuzione di comandi.
• Sistema operativo basato su Linux, compatibile con la variante ransomware per Linux di Akira.
• Assenza di protezione da parte dell’EDR o di altri strumenti di sicurezza.

Gli attaccanti hanno quindi utilizzato la webcam compromessa come punto di ingresso per distribuire il ransomware sulla rete della vittima. Il traffico SMB (Server Message Block) generato dal dispositivo per trasmettere il payload è passato inosservato, permettendo ad Akira di cifrare con successo i file sui sistemi aziendali.

Lessons learned

L’incidente ha messo in evidenza tre aspetti cruciali della sicurezza informatica:

1. Priorità nelle patch: Le strategie di gestione delle patch spesso si concentrano sui sistemi critici per il business, tralasciando dispositivi IoT che possono diventare punti di ingresso per gli attaccanti.
2. Evoluzione degli attaccanti: Akira ha dimostrato una notevole capacità di adattamento, passando da implementazioni in Rust a versioni in C++ e supportando sia ambienti Windows che Linux.
3. Limitazioni dell’EDR: L’EDR è uno strumento essenziale, ma la sua efficacia dipende dalla copertura, dalla configurazione e dal monitoraggio continuo. Dispositivi IoT spesso non sono compatibili con EDR, rendendoli vulnerabili agli attacchi.

Contromisure di sicurezza

Per mitigare minacce simili, le organizzazioni dovrebbero adottare le seguenti misure:

• Segmentazione della rete: Gli IoT dovrebbero essere isolati dai server e dai sistemi critici, limitando la loro connettività a porte e indirizzi IP specifici.
• Audit della rete interna: Controlli regolari sui dispositivi connessi possono identificare vulnerabilità e dispositivi non autorizzati.
• Gestione delle patch e delle credenziali: Aggiornare regolarmente il firmware dei dispositivi e sostituire le password di default con credenziali robuste.
• Spegnere i dispositivi non in uso: Se un dispositivo IoT non è necessario, dovrebbe essere disattivato per ridurre la superficie d’attacco.

Conclusioni

Il caso Akira evidenzia come gli attori delle minacce siano in grado di aggirare le misure di sicurezza tradizionali sfruttando punti deboli spesso trascurati, come i dispositivi IoT. Un’adeguata strategia di sicurezza che includa segmentazione di rete, monitoraggio continuo e aggiornamenti costanti è essenziale per ridurre il rischio di attacchi di questo tipo.

L'articolo Akira ransomware: la nuova minaccia che usa le webcam come porte d’ingresso proviene da il blog della sicurezza informatica.

Via libera al risarcimento per un gruppo di migranti a cui, dal 16 al 25 agosto del 2018, fu impedito di sbarcare al porto di Catania dalla nave Diciotti della guardia costiera che li aveva soccorsi in mare al largo di Lampedusa. È stato deciso dalle sezioni unite della Cassazione che, condannando il governo, ha rinviato il procedimento a un giudice per stabilire la quantificazione del danno.

Dice Meloni, "Così non si avvicinano i cittadini alle Istituzioni".

Questo varrà forse per i suoi elettori, a me sentenze del genere mi avvicinano eccome, mi ricordano che la legge è uguale per tutti e che neanche un Ministro dell'Interno infoiato contro i migranti può fare quello che gli pare.

#immigrazione #portichiusi

agi.it/cronaca/news/2025-03-07…

Mi chiedo cosa propongano all'atto pratico le persone che chiedono una "pace" indiscriminata, niente riarmo, "stop alla guerra".

In concreto cosa dovremmo fare? Aprire i confini e dire "prego!" ?

Il mondo buono, il mondo in cui si parla e le difficoltà si appianano diplomaticamente, lasciatevelo dire, NON ESISTE!

The fine researchers at Google have released the juicy details on EntrySign, the AMD Zen microcode issue we first covered about a month ago. And to give away the punchline: cryptography is hard. It’s hard in lots of ways, but the AMD problem here is all about keeping track of the guarantees provided by cryptographic primitives.

The vulnerability is in the verification of microcode updates for AMD’s Zen processor family. To understand microcode, you have to understand that X86-64 processors are actually built out of proprietary Reduced Instruction Set Computer (RISC) cores, that then emulate the more complex X86-64 complex instruction set computer (CISC) cores. Microcode is the firmware that controls that emulation step. For the security guarantees of modern computing, it’s rather important that CPUs only run signed microcode from the CPUs vendor. AMD has a pretty straightforward system to sign and then verify microcode patches.

Each patch includes a 2048-bit RSA public key and signature, verifying that the microcode was actually signed by the holder of the corresponding private key. The CPU hashes that public key, and compares it to a 128-bit value that was burned into the CPU at manufacture time. The intent is that if the hash matches, the public key must be the same. The problem was the hashing algorithm used for this step.

For this scheme to work, it would need a collision resistant cryptographic hashing function. The security of the scheme relies on the idea that it’s effectively impossible to find another public key that results in the same hash output. Finding a collision on that output value completely breaks the scheme.

AMD chose the AES Cipher Message Authentication Code (AES-CMAC) hash algorithm. AES-CMAC takes a message and key, and generates a Message Authentication Code (MAC). That MAC can then be used to verify that the message has not been tampered with. It can be thought of as a keyed hash with conditional collision resistance. But most importantly, if the secret key is known, none of those guarantees are valid. If the key is known, AES-CMAC fails to provide effective collision resistance in its output. And of course, the specific AES-CMAC key used in AMD Zen processors could be extracted, and turned out to be a NIST example key. To be clear, there is nothing wrong with AES-CMAC itself, it’s just the wrong algorithm for this use.

There’s one more clever trick that was needed to pull this together. The AES-CMAC collision only generates a public RSA key. How would an attacker take this arbitrary public key and produce the private key needed to sign these microcode updates? Isn’t one of the primary guarantees of RSA itself, that the private key can’t be derived from the public key? Only if the keypair is actually based on large prime numbers. After generating a few of these candidate public keys, one was discovered that was relatively easy to factor, as it was the product of more than just two primes. AMD’s fix replaces this hashing function with an appropriate cryptographic hash, preventing any microcode tampering.

Telegram and EvilLoader

The Telegram app has a weird problem deciding what to do with a .htm file sent as a video using the telegram API. Telegram tries to treat it as a video, and offers to open an external program to play the video. Because it’s actually HTML content, the “video” is opened in the browser, potentially running malicious JavaScript in that context.

This can be further used to trick an unsuspecting user into downloading a fake video player APK, to try to play this video, potentially leading to device compromise. This vulnerability is still unpatched as of time of writing, but has been widely known in the expected places. It may not be a 0-click RCE, but this one still has the potential for misuse.

More Info on The Heist

Last week we told you about the biggest heist in history, with Bybit getting hacked for cryptocurrency worth $1.5 billion. We know a bit more now, as the Bybit CEO has published the preliminary security report. The short story is that the North Korean Lazarus Group compromised a Safe{Wallet} developer workstation and gained access to an AWS or CloudFront API key. This was used to serve malicious JavaScript to Bybit, and that JavaScript disguised a malicious transaction, leading to the loss.

In retrospect there’s a glaring security problem with the Safe{Wallet} system that Bybit used: The reliance on JavaScript served from an outside server. It should take more than simple access to an AWS account to pull off a $1.5 billion heist.

Hyperjack

What happens when a process in a Virtual Machine (VM) can escape the virtual environment and take over the hypervisor? Nothing good. It’s known as hyperjacking, and VMware has a trio of vulnerabilities that makes it possible, across every version of ESXi, Workstation, Fusion, and Telco platforms — everything containing the ESX hypervisor.

And VMware says the vulnerabilities are being used in-the-wild. Patches are available, and this seems like a definite hair on fire scenario for anyone that may have untrusted tenants on VMware powered VMs.

Bits and Bytes

Have you ever wondered if a Stingray was operating in your area? That’s the cell tower simulator used to capture and analyze cell traffic, potentially breaking cell phone call encryption. EFF has released Rayhunter, and open source tool that captures cellular traffic and tries to detect Stingray-style traffic manipulation. The best part is that it runs on the Orbic RC400L mobile hotspot, a $20 piece of hardware.

How long does it take for your infrastructure to be probed after accidentally posting an AWS key online? As little as 10 hours, according to tests done by Clutch Security. Some forums are a bit friendlier, with Reddit users pointing out the leaked key and the post eventually getting deleted for the same reason.

And finally we have the four horsemen of WordPress Backdoors. About a thousand WordPress sites were infected with a JavaScript file, and this campaign spared no expense with adding backdoors to the sites. The infection added a malicious plugin, code into wp-config.php, new SSH keys, and what looks like a reverse shell. Somebody really wants to maintain access to those WordPress sites.

hackaday.com/2025/03/07/this-w…

Ieri sera lui mi dice: "Non capisco perché devo avere queste raccolte organizzate in automatico e non posso banalmente avere una cartella con le foto e una con i video."

E io: "Vedi, per quanto, dopo 20 anni, il tuo utilizzo del computer continui ad essere basico, la logica ti dice che dovresti avere delle cartelle organizzate come vuoi tu. Ma Mr. Google, per farti sentire servito e riverito, decide di pulirti il sedere ogni volta che ne hai bisogno... Solo che non te lo pulisce come vuoi tu, e inoltre, racconta a tutti quante volte vai al cesso!"

Da "Colonne", la newsletter del Post su Milano.

Dall'inizio di marzo le persone trans e non binarie la cui identità di genere non è ancora stata riconosciuta dallo stato possono fare richiesta per far scrivere il nome che hanno scelto (e non quello registrato all'anagrafe) sulla tessera dell'abbonamento ai mezzi pubblici Atm.

atm.it/it/ViaggiaConNoi/Abbona…

Nessuno si aspetta l’Inquisizione spagnola, dicevano i Monty Python. Nessuno si aspetta di dover organizzare una Resistenza contro lo strapotere di uno stato federale in pochi giorni.
Lo hanno fatto i parchi, con un account Alt, alternativo.
“Our parks are in chaos” scrivono il 15 febbraio. “Never thought we’d be rooting for the IRS, but here we are” scrivono ieri. Nel mezzo, una lunga serie di informazioni, di proteste e di incoraggiamenti, tra messaggi in codice e il continuo ricordare che molto avviene dietro le quinte, che non è vero che sono / siamo tutti paralizzati a guardare un colpo di stato in televisione.
Quello che sta facendo chi è dietro questi account (presenti anche su Bluesky, se vuoi evitare Meta) è incredibile. È incredibile e dimostra quello che ho sempre pensato: che quando dietro a un account c’è una vera presenza, non un segnaposto, cioè qualcuno che c’è, che sente, che tocca (e che pensa), quando ci sono delle persone con le loro passioni, quelle persone possono fare molto di più di invitarti a visitare un parco o a rispettarne le regole....
...Siamo nelle mani dei ranger, che si autodichiarano “The official "Resistance" team of U.S. National Park Service. Our mission is to stand up for the National Park Service to help protect and preserve the environment for present and future generations.” This is the way.
(cit. dalla newsletter Koselig)
Seguiteli, fategli sapere che non sono soli :
FB facebook.com/AltUSNationalPark…
Bsky bsky.app/profile/altnps.bsky.s…

E' in gioco il futuro. Qualcuno fermi il Troll Arancione.

Dal sito Fedi.Tips ho ripreso e tradotto questa guida su come rendere accessibili i post su #Mastodon: fedi.tips/how-do-i-make-posts-…

Fedi.Tips

L'articolo è distribuito con licenza Creative Commons BY-SA 4.0

Un grosso grazie all'autore 😀

Le persone non vedenti e ipovedenti di Mastodon e del #Fediverso spesso usano speciali applicazioni audio chiamate “screen reader” che leggono il testo ad alta voce, in modo da poter capire cosa c'è sullo schermo.

I ciechi e i sordociechi usano spesso display braille che convertono il testo del computer in uno schermo braille .

Le persone sorde non hanno bisogno di lettori di schermo o di braille, ma hanno bisogno di descrizioni testuali di qualsiasi contenuto audio pubblicato, sia esso un file audio o un video contenente audio.

È molto importante considerare l'accessibilità quando si scrivono i post, in modo che le persone cieche, sorde e sordocieche possano accedere completamente ai contenuti. Ci sono molte cose semplici da fare che fanno una grande differenza!

Come aggiungere descrizioni testuali (“alt text”) ai post con immagini, video e audio

1. Creare un nuovo post
2. Allegare un'immagine, un video o un audio
3. Quando l'immagine o il video o l'audio vengono visualizzati nella casella di modifica del post, da qualche parte nell'immagine o nel video stesso ci sarà un link con la dicitura “Alt” o “Descrizione” o “Descrivi la foto” o qualcosa di simile, spesso in un angolo. Fate clic su questo link.
4. Scrivete una descrizione testuale dell'immagine o del video o dell'audio. Non è necessario descrivere ogni dettaglio, basta scrivere ciò che si vuole far notare. Se pubblicate video con audio, ricordate di descrivere sia il video che l'audio.
5. Una volta terminata la descrizione, in alcune interfacce o app potrebbe essere necessario fare clic su “Applica” o “Fatto” per tornare a scrivere il post. Tuttavia, alcune app consentono di cliccare sul post per tornare a scriverlo. Qualunque sia l'applicazione o l'interfaccia utilizzata, fate così 🙂
6. Finite di scrivere il post e pubblicatelo

So che sembra una cosa lunga, ma ci si abitua molto rapidamente. Diventa una seconda natura e fa sì che i vostri post raggiungano un pubblico molto più vasto!

Perché i post con le descrizioni dei contenuti multimediali hanno un pubblico molto più vasto?

L'accessibilità è molto importante su Mastodon e sul resto del Fediverso. Molte persone non condividono i post con contenuti multimediali senza descrizione.

Se si pubblicano media senza descrizioni, si rende molto più difficile per le persone scoprire o condividere il post.

Quanto devono essere dettagliate le descrizioni del testo alt?

È una questione di contesto, ma la regola generale è quella di scrivere solo ciò che è importante notare in un'immagine, un video o un audio. Non deve essere tutto, ma solo ciò che è rilevante.

Se state parlando con qualcuno al telefono o scrivendo a qualcuno in una lettera e dovete descrivere a parole il vostro post con contenuti multimediali, quale livello di dettaglio usereste?

C'è un post con dei media senza descrizione, ma nel post c'è scritto #Alt4Me. Che cosa significa?

Se siete “normodotati” e vedete l'hashtag #Alt4Me sotto un post con dei contenuti multimediali, significa che una persona disabile sta chiedendo a qualcuno di scrivere una descrizione dell’elemento multimediale perché non è in grado di farlo. Rispondete al post con il tag #Alt4You e una descrizione.

Inoltre, se siete persone “normodotate” e vedete un contenuto multimediale degno di nota che non ha una descrizione e nessuno l'ha ancora richiesta, potete essere proattivi e rispondere con una descrizione usando il tag #Alt4You.

E se sto pubblicando solo del testo? Devo comunque tenere conto dei problemi di accessibilità?

Sì! Anche se state scrivendo un post di solo testo senza contenuti multimediali, dovete comunque fare una serie di cose per rendere il vostro testo accessibile alle persone non vedenti che utilizzano screen reader:

• Quando pubblicate gli hashtag, usate il CamelCase (dove ogni parola inizia con una lettera maiuscola), ad esempio #DogsOfMastodon invece di #dogsofmastodon. Le lettere maiuscole consentono alle applicazioni di lettura dello schermo di separare correttamente le parole e di leggere l'hashtag ad alta voce. Questo rende il tag più facile da leggere anche per le persone vedenti!
• Non scrivete un “testo sarcastico” in cui prendete in giro qualcuno mettendo lettere maiuscole a caso. Le lettere maiuscole casuali all'interno delle parole impediscono il corretto funzionamento di uno screen reader, che legge tali parole come espressioni disarticolate prive di senso.
• Non utilizzate lunghe stringhe di emoji, poiché queste suonano molto fastidiose quando vengono lette ad alta voce dagli screen reader. L'uso di emoji non è un problema, sono solo i gruppi enormi di emoji raggruppati insieme a causare problemi. Cercate di non superare uno o due emoji per gruppo, se possibile.
• Non utilizzare caratteri volutamente oscuri per il nome utente, che possono sembrare incomprensibili quando vengono letti da uno screen reader (fare clic qui per un esempio ). I caratteri standard funzionano con gli screen reader, quelli oscuri di solito no.

Come faccio a ricordarmi di aggiungere le descrizioni ai miei post multimediali?

Esiste un servizio di prohttps://fedi.tips/how-do-i-remember-to-add-text-descriptions-on-mastodon-and-the-fediverse/memoria automatico chiamato PleaseCaption che vi ricorderà via DM se dimenticate di aggiungere una descrizione con testo alt.

Cosa succede se dimentico di aggiungere una descrizione?

Potete modificare i vostri post per aggiungere le descrizioni in seguito.

Devo criticare le persone che non hanno aggiunto il testo alt?

È importante aggiungere descrizioni ai media in modo che siano accessibili, ma è anche importante non criticare chi non è in grado di farlo a causa della propria disabilità. Se qualcuno ha scritto #Alt4Me accanto ai media, significa che non può aggiungere descrizioni da solo. Non criticateli o commentate la mancanza di descrizioni, ma aiutateli rispondendo con un post #Alt4You che includa la vostra descrizione del media.

Se non c'è un tag #Alt4Me sul media non descritto, vale comunque la pena di essere educati, perché nessuno vuole che si creino cattivi sentimenti intorno al tema delle descrizioni. Si consiglia di rispondere semplicemente con una descrizione e con il tag #Alt4You; se sono abili, si spera che recepiscano il messaggio che le descrizioni sono preferibili.

Come posso inserire le descrizioni dei media nel mio post senza superare il limite di caratteri?

Finché la descrizione viene aggiunta nella sezione Alt Text dell'immagine, non viene conteggiata nel limite di caratteri del post principale. C'è un limite ampio per le descrizioni (1500 caratteri su Mastodon), quindi non si dovrebbe esaurire lo spazio a disposizione.

Scusate, sono un programmatore e vorrei farvi notare che CamelCase è in realtà PascalCase.

Per maggiori informazioni su questo problema terminologico, consultare la guida agli hashtag.
#accessibilità #Mastodon #Fediverse #AltText
@Informa Pirata

Andre Louis

2023-04-28 16:48:33

This is an utterly ridiculous name for a #ScreenReader user to have to hear. This is someone’s youtube name I came across in the comment section of a video, and I think the best way to show you how annoying it is to listen to, is to show you an audio recording of what my phone does, when it comes across it. Standard letters really do suffice, people. It is not necessary for all this. Even with my phone set to the normal speed at which I listen to speech, it takes an age to get through this, not to mention that youtube actually repeats names twice before reading out the comment.
It's just trying to say 'Sinister Potato.'
ˢᶦⁿᶦˢᵗᵉʳ ᴾᵒᵗᵃᵗᵒ