Recently [Stefan] of CNC Kitchen took a gander at using his gaggle of 3D printers to try injection molding (IM). Although the IM process generally requires metal molds and specialized machinery, 3D printers can be used for low-volume IM runs which is enough for limited production runs and prototyping before committing to producing expensive IM molds. In the case of [Stefan], he followed Form Labs’ guidance to produce molds from glass-infused Rigid 10K resin (heat deflection temperature of 218 °C). These molds are very rigid, as the ceramic-like noise when [Stefan] taps two together attests to.
Injection molded bolt, with imperfections on the head. (Credit: Stefan, CNC Kitchen)
The actual injection process is where things get more hairy for [Stefan], as he attempts to push the clamped-shut mold against the nozzle of the FDM printer to inject the molten plastic, rather than using an IM press. With PLA at standard extrusion temperature the plastic barely gets into the mold before solidifying, however. Following this, higher temperatures, different materials (PETG, TPU) and high flow-rate extruders are attempted, with varying results.

Many of the struggles would seem to be due to poor mold design, rather than fundamental issues with using an FDM. The Form Labs document details some of the basics, such as opening up the injection gate (to decrease pressure inside the mold), adding air vents to improve flow and so on. Commentators to the video with professional experience point out many of these issues as well, along with the benefits of preheating the mold.

With the caveat that most of the challenge is in making a good mold, we’ve even injection molding done with nothing more exotic than a hot glue gun. If you’ve got a friend, or a long enough lever, you can even inject the plastic by hand.

youtube.com/embed/4xXs9go-Ieg?…

One of the joys of the UK’s Electromagnetic Field hacker camp lies in the junk table, where trash turns to treasure in the blink of an eye. This year I returned relatively unscathed from my few days rifling through the tables,but I did snag a few pieces. One of them is a wired telephone, which would be a fairly unremarkable find were it not for its flip-up LCD screen and QWERTY keyboard.

My prize is a 2002 Amstrad E-m@iler Plus, one of a series of internet-equipped telephones from the British budget electronics company. The device itself and the story behind it make for a fascinating tale of a dotcom-era Internet flop, and a piece of hardware that could almost tempt today’s hackers.

You’ve Heard Of The Dotcom Boom, But Have You Heard Of The Hardware?

In the late 1990s, everything was about the Internet, but seemingly few outside the kind of people who read Hackaday really understood what it was really about. I’ve written before on these page about how hype blinded the CD-ROM industry to the shortcomings of its technology, but while that had in reality only gripped the publishing business, the Internet hype which followed had everyone in its thrall. You’re probably familiar with the story of the dotcom boom and crash as startup companies raised millions on shaky foundations before folding when they couldn’t deliver, but in parallel with that there was also a parallel world for hardware. The future was going to be connected, but on what and whose hardware would that connection happen?
This was considered stylish back in 2002.
It was clear that bulky desktop PCs weren’t exactly convenient, and the mobile phone manufacturers wouldn’t figure out the potential of their nascent smartphones for another decade, so there was a brief period when a host of internet browsing appliances attempted to grab the market. These were usually either set-top boxes or all-in-one stripped-down PCs, and were often sold through consumer electronics outlets rather than computer stores. Among them were even a few unexpected outings for familiar operating systems, for example the BeOS-powered Sony eVilla with its portrait CRT, or the Bush set-top box which would become sought-after among Acorn Archimedes fans because it ran RiscOS.

Many large consumer electronics companies dipped their toe into this market, and in the UK it caught the attention of Sir Alan Sugar’s Amstrad. At the time they were a huge name in consumer electronics in these isles, having specialised in the flashy-but-budget end of the sector. Their existing computer business had equipped Brits with CP/M word processors and proprietary PC clones for years, and it’s fair to say that Sir Alan had a keen eye for what was likely to work with consumers. The E-m@iler was a standard wired phone with an internet appliance built-in, at first as the name suggests as an email terminal, and then with later models featuring a web browser, and later on a camera for video calling. It was for its time a very well-thought-out product that was perfect for older or less technically-inclined customers, and when it was launched in 2000 it caused quite a bit of excitement.

Such A Good Product, Shame About The Business Model

If the E-m@iler was a great piece of hardware for its time then, it had an Achilles’ heel in its business model. Sold at a loss, it relied on a subscription-based ISP with a premium-rate phone line and a per-email charge. It couldn’t be used with any ISP other than Amstrad’s Amserve, and thus although it won a small and loyal customer base, it hardly flew off the shelves. By the end they could be picked up in the UK supermarket Tesco for under £20, and despite those new models appearing, by 2010 they were gone. In a later interview Sir Alan revealed that the product did break even from the user base it had gathered, but was nowhere near a runaway success.

At the time I thought that the E-m@iler was a great idea well-executed far as the hardware went, even though its business model made no sense. A friend of mine’s elderly father had one, and it was easy for him to use it to keep in touch. Looking at mine in front of me today I still like it, but I want to know more. Time for a closer look.

Peering Inside, Is It Hackable?

The mainboard is dominated by the Connexant telephony chipset.
My device appears to be unused as it still has protective plastic over its handset, but sadly try as I might I couldn’t get it to power up. Cracking it open I find its motherboard, centred around a Sharp ARM processor and a Connexant phone line and modem chipset. On the back there are serial and USB sockets as well as the modem, and though it’s not populated there’s also space for a parallel printer port. Meanwhile on the sides of the unit are a smart media card slot, a smartcard slot driven by a daughter board, and what looks like another serial connection for Amstrad’s pocket databank range.

Digging around online for pages from two decades ago I find that the later version with the video camera had a TI OMAP main processor and ran MontaVista Linux under the hood, but sadly there’s much less info to be found for my second-generation one. A TV advert on YouTube reveals it running Microsoft Mobile Internet Explorer so it’s either Windows CE or something proprietary underneath all the Amserve interface, thus perhaps it’s not as hackable as I’d hoped. Still, it’s not without interesting possibilities, as that slide-out keyboard has a PS/2 interface.

Here in 2024 the idea of accessing the Internet through a wired phone seems laughable. Indeed the wired phone itself has become an endangered breed in many places. But a device like the E-m@ailer made sense two decades ago, for which I will give Sir Alan his due: I believe he was right. It’s sad then that it completely missed its opportunity in a rare case of Amstrad getting it so wrong on the subscription model. Now it’s little more than a paperweight, but I can’t help looking at it with speculative eyes. Should I put it back on the swap table at the next event I go to, or should I bring it back to life with a decent screen and a Raspberry Pi?

One of the great things about new tech tools is just having fun with them, like embracing your inner trickster god to mess with ‘Milton’, an AI trapped in an empty room.

Milton is trapped in a room is a pixel-art game with a simple premise: use a basic paint interface to add objects to the room, then watch and listen to Milton respond to them. That’s it? That’s it. The code is available on the GitHub repository, but there’s also a link to play it live without any kind of signup or anything. Give it a try if you have a few spare minutes.

Under the hood, the basic loop is to let the user add something to the room, send the picture of the room (with its new contents) off for image recognition, then get Milton’s reaction to it. Milton is equal parts annoyed and jumpy, and his speech and reactions reflect this.

The game is a bit of a concept demo for Open Souls whose “thing” is providing AIs with far more personality and relatable behaviors than one typically expects from large language models. Maybe this is just what’s needed for AI opponents in things like the putting game of Connect Fore! to level up their trash talking.

5 Giugno 2024 – KillSec, un noto gruppo di hacktivisti, ha annunciato sul loro canale Telegram il lancio della loro ultima offerta: KillSec RaaS (Ransomware-as-a-Service). Questa nuova piattaforma promette di migliorare le capacità dei cybercriminali in erba fornendo strumenti avanzati e funzionalità user-friendly.

Post dal canale telegram di Killsec

Locker Avanzato in C++

Una delle caratteristiche principali di KillSec RaaS è il suo locker avanzato, scritto in C++. Questo linguaggio di programmazione è noto per la sua efficienza e prestazioni, rendendo il locker sia potente che veloce. Il locker è progettato per crittografare i file sulla macchina della vittima, rendendoli inaccessibili senza una chiave di decrittazione, che viene fornita solo dopo il pagamento di un riscatto.

Pannello User-Friendly tramite Tor

Il servizio include un pannello user-friendly accessibile tramite la rete Tor. Tor è ampiamente utilizzato per mantenere l’anonimato su internet, rendendolo una scelta adatta per attività cybercriminali. Il pannello offre varie funzionalità tra cui:

• Statistiche: Gli utenti possono monitorare le prestazioni delle loro campagne ransomware, incluso il numero di infezioni e i pagamenti dei riscatti ricevuti.
• Chat: Una funzione di chat integrata permette agli utenti di comunicare con il team di supporto di KillSec o potenzialmente con altri cybercriminali che utilizzano il servizio.
• Builder: Il pannello include uno strumento di builder che semplifica la creazione e il deployment del ransomware. Gli utenti possono personalizzare il ransomware con diverse opzioni e configurazioni.

Funzionalità in Arrivo

KillSec ha anche annunciato diverse funzionalità in arrivo che saranno integrate nel pannello, migliorandone ulteriormente le capacità:

• Stresser: Uno strumento progettato per lanciare attacchi di denial-of-service distribuito (DDoS).
• Chiamate Telefoniche: Funzionalità che abilitano chiamate telefoniche automatizzate alle vittime, potenzialmente per aumentare la pressione per il pagamento dei riscatti.
• Advanced Stealer: Uno strumento avanzato per rubare informazioni sensibili come password, dettagli delle carte di credito e altri dati personali.

Prezzo

Il prezzo per accedere a KillSec RaaS è fissato a $250. Questa tariffa concede agli utenti l’accesso al locker avanzato, al pannello user-friendly e a tutte le funzionalità attuali e future man mano che vengono rilasciate.

Informazioni su KillSec

KillSec è un gruppo di hacktivisti attivo dal 2021, allineato con il movimento Anonymous. Il gruppo si è fatto conoscere per vari attacchi di defacement di siti web, furto di dati e richieste di riscatto. Tra le loro attività recenti, KillSec ha rivendicato la violazione dei siti web della polizia del traffico di Delhi e del Kerala, offrendo di modificare lo stato delle multe non pagate in cambio di informazioni personali​​​​​​​​​​.

KillSec utilizza tattiche come lo sfruttamento di vulnerabilità dei siti web, il furto di credenziali e l’uso di dati rubati per estorsioni. Le loro motivazioni sono spesso miste tra l’ideologia e l’opportunismo finanziario, dimostrando un’evoluzione delle minacce cyber attuali da parte di collettivi hacktivisti.

Implicazioni per la Cybersecurity

Il lancio di KillSec RaaS rappresenta un significativo sviluppo nel panorama del cybercrimine. Le piattaforme di Ransomware-as-a-Service abbassano la barriera all’ingresso per i cybercriminali, permettendo anche a coloro con limitate competenze tecniche di lanciare attacchi ransomware sofisticati. Questa democratizzazione degli strumenti del cybercrimine porterà probabilmente a un aumento degli incidenti ransomware a livello globale.

Le organizzazioni sono consigliate di rafforzare le loro difese di cybersecurity per mitigare il rischio di attacchi ransomware. Misure chiave includono backup regolari dei dati, formazione dei dipendenti su phishing e ingegneria sociale, e l’implementazione di soluzioni di protezione degli endpoint robuste.

Conclusione

La nuova piattaforma RaaS di KillSec è una testimonianza dell’evoluzione delle minacce cyber. Con l’accessibilità di questi strumenti in aumento, l’importanza di misure proattive di cybersecurity non può essere sottovalutata. Rimanere informati sugli ultimi sviluppi nel cybercrimine e aggiornare continuamente i protocolli di sicurezza sarà cruciale nella lotta contro il ransomware e altre minacce cyber.

L'articolo KillSec Annuncia la Nuova Piattaforma Ransomware-as-a-Service (RaaS) proviene da il blog della sicurezza informatica.

June 25, 2024 – KillSec, a well-known hacktivist group, has announced the launch of their latest offering on their Telegram channel: KillSec RaaS (Ransomware-as-a-Service). This new platform promises to enhance the capabilities of aspiring cybercriminals by providing advanced tools and user-friendly features.

Post from KillSec’s Telegram Channel

Advanced Locker in C++

One of the main features of KillSec RaaS is its advanced locker, written in C++. This programming language is known for its efficiency and performance, making the locker both powerful and fast. The locker is designed to encrypt files on the victim’s machine, rendering them inaccessible without a decryption key, which is provided only after a ransom is paid.

User-Friendly Panel via Tor

The service includes a user-friendly panel accessible through the Tor network. Tor is widely used to maintain anonymity on the internet, making it a suitable choice for cybercriminal activities. The panel offers various features including:

• Statistics: Users can monitor the performance of their ransomware campaigns, including the number of infections and ransom payments received.
• Chat: An integrated chat function allows users to communicate with KillSec’s support team or potentially with other cybercriminals using the service.
• Builder: The panel includes a builder tool that simplifies the creation and deployment of ransomware. Users can customize the ransomware with various options and configurations.

Upcoming Features KillSec has also announced several upcoming features that will be integrated into the panel, further enhancing its capabilities:

• Stresser: A tool designed to launch distributed denial-of-service (DDoS) attacks.
• Phone Calls: Features enabling automated phone calls to victims, potentially to increase pressure for ransom payment.
• Advanced Stealer: An advanced tool for stealing sensitive information such as passwords, credit card details, and other personal data.

Pricing The price to access KillSec RaaS is set at $250. This fee grants users access to the advanced locker, the user-friendly panel, and all current and future features as they are released.

About KillSec

KillSec is a hacktivist group active since 2021, aligned with the Anonymous movement. The group has gained notoriety for various website defacements, data thefts, and ransom demands. Among their recent activities, KillSec has claimed responsibility for breaching the websites of the Delhi and Kerala traffic police, offering to modify the status of unpaid fines in exchange for personal information.

KillSec employs tactics such as exploiting website vulnerabilities, credential theft, and using stolen data for extortion. Their motivations are often a mix of ideology and financial opportunism, demonstrating an evolution of current cyber threats from hacktivist collectives.

Implications for Cybersecurity

The launch of KillSec RaaS represents a significant development in the cybercrime landscape. Ransomware-as-a-Service platforms lower the barrier to entry for cybercriminals, allowing even those with limited technical skills to launch sophisticated ransomware attacks. This democratization of cybercrime tools will likely lead to an increase in global ransomware incidents.

Organizations are advised to strengthen their cybersecurity defenses to mitigate the risk of ransomware attacks. Key measures include regular data backups, employee training on phishing and social engineering, and the implementation of robust endpoint protection solutions.

Conclusion KillSec’s new RaaS platform is a testament to the evolution of cyber threats. As the accessibility of these tools increases, the importance of proactive cybersecurity measures cannot be overstated. Staying informed about the latest developments in cybercrime and continually updating security protocols will be crucial in the fight against ransomware and other cyber threats.

L'articolo KillSec Announces New Ransomware-as-a-Service (RaaS) Platform proviene da il blog della sicurezza informatica.

Il 24 giugno 2024, Wordfence ha rivelato un attacco alla supply chain sui plugin di WordPress, che ha portato alla compromissione di cinque plugin con codice malevolo. I plugin interessati sono (con relative versioni):

1. Social Warfare (versioni 4.4.6.4 a 4.4.7.1)
2. Blaze Widget (versioni 2.2.5 a 2.5.2)
3. Wrapper Link Element (versioni 1.0.2 a 1.0.3)
4. Contact Form 7 Multi-Step Addon (versioni 1.0.4 a 1.0.5)
5. Simply Show Hooks (versione 1.2.1)

Il codice malevolo mirava a creare un nuovo utente amministratore e a iniettare spam SEO nei footer dei siti. Le versioni compromesse non sono più elencate nel repository di WordPress.

Dettagli dell’Attacco

L’attacco è stato rilevato da Wordfence analizzando il plugin Social Warfare, dopo un post sul forum del team di revisione dei plugin di WordPress. Ulteriori indagini hanno rivelato che altri quattro plugin erano stati compromessi in modo simile. Il malware tentava di creare un account amministratore non autorizzato e inviare le credenziali a un server controllato dagli attaccanti. Inoltre, aggiungeva spam SEO tramite JavaScript malevolo.

Risposta e Raccomandazioni

Wordfence ha consigliato agli utenti di:

• Verificare gli Indicatori di Compromissione: Inclusi account amministrativi non autorizzati e connessioni all’indirizzo IP 94[.]156[.]79[.]8[.]
• Rimuovere i Plugin Compromessi: Fino a quando non viene confermata una versione sicura, gli utenti dovrebbero rimuovere i plugin interessati.
• Eseguire una Verifica Completa della Sicurezza: Utilizzando strumenti come lo scanner di vulnerabilità di Wordfence o il CLI.

Per i passaggi dettagliati su come mettere in sicurezza i siti compromessi, Wordfence ha fornito una guida dettagliata sul loro sito web.

Conclusione

Questo attacco sottolinea l’importanza di una vigilanza costante e di una risposta tempestiva agli avvisi di sicurezza. Gli utenti sono incoraggiati a rimanere aggiornati sulla sicurezza dei plugin e ad adottare le migliori pratiche per la gestione dei siti WordPress per mitigare tali rischi.

Per maggiori dettagli, visitare il sito con il post originale di Wordfence.

L'articolo WordPress: rilevati 5 plugin che contengono malware sono in circolazione proviene da il blog della sicurezza informatica.

If you don’t happen to have a traditional stone-floored domed clay oven on hand, it can be surprisingly challenging to make a pizza that’s truly excellent. Your domestic oven does a reasonable job, but doesn’t really get hot enough. Even a specialist pizza oven such as [Yvo de Haas]’ Ooni doesn’t quite do the best possible, so he’s upgraded it with the SpinMeister — a system for precise timing of the heat, and controlled rotation of the cooking stone for an even result.

The spinning part is handled by a stepper motor, driving a hex shaft attached to the bottom of the stone through a chuck. The rotating bearing itself is from an aftermarket stone rotator kit. The controller meanwhile is a smart 3D printed unit with a vacuum-fluorescent display module, powered from an Arduino Nano. There’s a motor controller to handle driving the stepper, and an MP3 module for audible warning. It’s all powered from a USB-C powerbank, for true portability. He’s produced a video showing it cooking a rather tasty-looking flatbread, which we’ve placed below. Now for some unaccountable reason, we want pizza.

If you recognize [Yvo]’s name, then perhaps it’s because he’s appeared on these pages a few times. Whether it’s a tentacle robot or something genuinely different in 3D printing, his work never ceases to be interesting.

youtube.com/embed/tqMtIWjaeWg?…

Small and medium-sized businesses (SMBs) are increasingly targeted by cybercriminals. Despite adopting digital technology for remote work, production, and sales, SMBs often lack robust cybersecurity measures.

SMBs face significant cybersecurity challenges due to limited resources and expertise. The cost of data breaches can cripple operations, making preventive measures essential. This is a growing tendency that continues to pose a challenge for businesses. For example, the UK’s National Cyber Security Centre reports that around 50% of SMBs in the UK are likely to experience a cybersecurity breach annually. Addressing cybersecurity requires a multifaceted approach, combining technological solutions with fostering a security-aware culture within the organization.

A rising tide of cyberthreats

Kaspersky presents the findings of its 2024 threat analysis for the SMB space, including real-world examples of attacks.

To get information on the threats facing the SMB sector, Kaspersky analysts cross-referenced selected applications used in the SMB space against Kaspersky Security Network (KSN) telemetry to determine the prevalence of malicious files and unwanted software targeting these programs, as well as the number of users attacked by these files. KSN is a system for processing anonymized cyberthreat-related data shared voluntarily by opted-in Kaspersky users. We included the following programs in our research:

• Microsoft Excel;
• Microsoft Outlook;
• Microsoft PowerPoint;
• Salesforce;
• Microsoft Word;
• Microsoft Teams;
• QuickBooks;
• Microsoft Exchange;
• Skype for business;
• ClickUp;
• Hootsuite;
• ZenDesk.

Percentage of unique files with names that mimic the top 9 legitimate applications, 2023 and 2024 (download)

Percentage of unique users targeted through the top 9 investigated applications, January 1 – April 30, 2024 (download)

As the graphs above show, for the period from January 1, 2024 to April 30, 2024, the total number of users who encountered malware and unwanted software hiding in or mimicking investigated software products for SMBs was 2,402, with 4,110 unique files distributed under the guise of SMB-related software. It shows an 8% increase as compared to the 2023 findings, which points at an ongoing rise of attacker activity.

The most notable development of unique files with names that mimic legitimate software used to deliver an attack saw Microsoft Excel move up the threat list from fourth to first place between 2023 and 2024. Microsoft Excel has been leveraged by cybercriminals for many years.

Top threat types that affected the SMB sector, 2023 vs 2024 (download)

The data finds that the overall number of infections in the SMB sector from January 1, 2024 to April 30, 2024, rose to 138,046 against 131,219 in the same period in 2023 – an increase of over 5%.

Trojan attacks remain the most common cyberthreat, which indicates that attackers continue to target SMBs and favor malware over unwanted software. Trojans are particularly dangerous because they mimic legitimate software, which makes them harder to detect and prevent. Their versatility and ability to bypass traditional security measures make them a prevalent and effective tool for cyberattackers. However, the biggest change year-on-year stems from DangerousObject attacks. This is malicious software detected by Kaspersky Cloud Technologies. DangerousObject-class verdicts are a collective of various previously undetected samples. The broad and unspecific nature of this category underscores the complexity and evolving nature of cyberthreats, making it a significant concern for cybersecurity efforts.

Phishing

Employee negligence remains a significant vulnerability for SMBs. Human error, often stemming from a lack of cybersecurity awareness, can lead to severe security breaches. Falling for phishing schemes can have catastrophic consequences for businesses.

Phishing attacks are distributed via various channels, including spoofed emails and social media, to fool users into divulging login details or other sensitive data. Attacks like these can be targeted at SMBs, which poses a threat for growing loyalty and securing infrastructures. Our research provides a deeper look at the current climate with a breakdown of examples.

Phishing websites can imitate popular services, corporate portals, online banking platforms, etc. Targets are encouraged to sign in, whereby they inadvertently divulge usernames and passwords to the cybercriminals, or trigger other automated cyberattacks. Or both.

Below is a spoofed site that replicates the login page of a legitimate delivery service that employees use on a regular basis. Harvesting login credentials enables cybercriminals to redirect orders and/or immediately cancel services, and have money refunded and redirected to a new account. A scheme like this can easily go unnoticed over a long period of time without appropriate enterprise cybersecurity mechanisms in place.

In the following example, attackers have spoofed the customer login page of a company that specializes in small business insurance. Armed with this information, the cybercriminals gained access to clients’ accounts, leading to further infiltration and potential theft of sensitive enterprise data.

In recent years, we’ve been observing a trend of spreading web pages that mimic the most commonly used Microsoft services (Microsoft 365, Outlook, OneDrive, etc.). This tendency, aimed at business users, arises from the widely popular business approach of using a software package for all business purposes, which makes its users more dependent on particular applications and services and thus more susceptible to this attack vector.

Email

Email remains one of the most widely used channels for phishing. In the example below, attackers passed themselves off as representatives of a legal entity that needs to sign an agreement with the target organization. The attackers generally use email addresses that are very similar to those used by legitimate companies. Here they used a phishing form that mimics a common enterprise service template.

Social media

Cybercriminals can hack or spoof a business’s social media accounts. Doing this enables them to post harmful content, spread false information, and carry out phishing schemes, damaging the business’s reputation and trustworthiness.

A hack like this can result in a loss of followers and customers, which in turn harms sales and revenue. Furthermore, the attackers could use the compromised account to deceive customers into giving away sensitive information, further eroding trust and potentially exposing the business to legal issues.

Imitating and abusing large social media platforms can not only disrupt business operations and cause financial losses, but also result in data leaks and major security breaches. In some cases, attackers use legitimate Facebook infrastructure to compromise corporate social media accounts. We have also found numerous cases of attackers mimicking genuine social media login pages. The following example is related to TikTok Shop, an e-commerce feature of TikTok allowing businesses to sell their products.

Spam

We have discovered multiple cases of SMB-oriented spam. Spammers target organizations with what seems like an appealing credit deal or a large one-off discount. The scope of available services is usually typical for SMB needs — tailored branding solutions, advertising products, financial support — although generally such companies are considered unreliable. In the example below, spammers offered a client database for research and marketing purposes.

Best practices for asset protection

By investing in end-to-end cybersecurity solutions and promoting vigilance, SMBs can mitigate risks and ensure business continuity. It is no less vital that SMBs educate employees about cyberthreats in addition to implementing robust security measures, such as spam filters, email authentication protocols, and strict verification procedures for financial transactions and sensitive information sharing.

Essential steps toward cyber resilience include recognizing the importance of comprehensive security protocols and periodical updates. Regular security awareness trainings, strong password policies, and multifactor authentication can also help mitigate the risks associated with phishing and scam threats.

Cyberprotection action plan for SMBs

1. Establish a policy governing access to corporate resources, including email accounts, shared folders, and online documents. Maintain strict control over the number of users who can access critical corporate data, ensure this access list is up to date and revoke permissions when an employee leaves the company. Use cloud access security broker software to manage and monitor employee activities within cloud services and enforce security policies.
2. Back up essential data regularly so that corporate information stays safe and can be recovered in case of emergency.
3. Offer transparent guidelines for using external services and resources. Design clear procedures of approval with IT and other responsible roles for specific tasks, such as new software adoption. Include basic cybersecurity rules in succinct staff policies, paying extra attention to safe account and password management, email security, and web browsing. Implement a comprehensive training program to equip employees with the necessary knowledge and practical skills.
4. Deploy specialized cybersecurity solutions that provide visibility over cloud services, such as Kaspersky Next.

securelist.com/smb-threat-repo…

Le principali etichette discografiche tra cui Sony, Warner Brothers e Universal hanno intentato causa contro due startup di intelligenza artificiale, Uncharted Labs e Suno. Il motivo è il presunto utilizzo di musica protetta da copyright per addestrare modelli di intelligenza artificiale senza la dovuta autorizzazione.

Le cause legali sono state intentate a New York e nel Massachusetts sotto il coordinamento della Recording Industry Association of America (RIAA). Uncharted Labs, fondato da ex dipendenti di Google DeepMind, sta sviluppando la piattaforma Udio, mentre Suno sta collaborando con Microsoft per integrare funzionalità di creazione musicale in Copilot.

La lamentela principale è che entrambe le società hanno utilizzato musica protetta per addestrare le proprie reti neurali senza ottenere le autorizzazioni necessarie. Le etichette discografiche affermano di avere le prove, poiché i modelli di intelligenza artificiale producono brani molto simili alle opere originali.

A peggiorare le cose, entrambe le società fanno pagare agli utenti la generazione di musica in base a query di testo. Le etichette musicali citano esempi di query che spingono l’intelligenza artificiale a creare musica quasi identica a canzoni famose come “Johnny B. Goode”, “American Idiot” e “Rock Around the Clock”.

Le etichette discografiche chiedono la violazione del copyright, la chiusura dei servizi di intelligenza artificiale, il pagamento delle spese legali e una multa di 150.000 dollari per ogni opera violata. Il numero esatto di violazioni è difficile da determinare a causa della mancanza di documentazione sui materiali di formazione, quindi la causa non contiene un importo totale di danni.

Sulla base dei documenti allegati alla denuncia di Suno esaminati da The Register, anche l’importo minimo potrebbe essere piuttosto elevato, poiché la causa nomina una dozzina di canzoni che si dice siano state riprodotte da Udio per un costo di 1,8 milioni di dollari. Tuttavia, la sezione Controversial Sound Recordings elenca 662 tracce diverse e, a 150.000 dollari ciascuna, varrebbero esattamente 99,3 milioni di dollari. Tali sanzioni finanziarie possono compromettere seriamente le attività delle startup IA, inclusa la cessazione del loro lavoro.

Nel tentativo di difendere la propria posizione, Uncharted e Suno hanno commesso un grave errore. Inizialmente, erano vaghi riguardo alle fonti dati utilizzate per addestrare i loro modelli di intelligenza artificiale, definendole “disponibili al pubblico”. Ciò ha sollevato sospetti tra le etichette musicali, poiché se il materiale fosse veramente di pubblico dominio, le startup potrebbero dichiararlo direttamente.

La situazione si aggravò quando Uncharted e Suno invocarono il principio del “fair use” durante un incontro con i rappresentanti dell’industria musicale. Questo termine legale consente un uso limitato di opere protette da copyright in casi speciali, come critiche o parodie. Tuttavia, il riferimento al “fair use” potrebbe essere interpretato come un riconoscimento indiretto del fatto che le aziende hanno utilizzato opere protette per addestrare la propria intelligenza artificiale.

La soluzione migliore per Uncharted e Suno potrebbe essere quella di raggiungere un accordo transattivo con le case discografiche. OpenAI ha già intrapreso un percorso simile, risolvendo la controversia con News Corp. Probabilmente, i principali attori dell’industria musicale erano inizialmente desiderosi di negoziare e le cause legali sono diventate uno strumento per portare tutte le parti al tavolo delle trattative.

I rappresentanti di Suno hanno affermato che la loro tecnologia non è destinata ad essere copiata, ma crea “opere completamente nuove”. Secondo loro, la società non consente agli utenti di indicare i nomi di artisti specifici nelle richieste, il che esclude la copia intenzionale. Suno ha anche espresso rammarico per il fatto che il caso sia finito in tribunale.

La società è fiduciosa che il contenzioso avrebbe potuto essere evitato se le etichette discografiche fossero state disposte a impegnarsi nel dialogo. La direzione afferma di aver tentato di spiegare la sua tecnologia alle etichette discografiche, ma invece di avere una “discussione in buona fede” ha ricevuto minacce legali.

L'articolo E’ Guerra Artificiale! SONY, Warner Brothers e Universal intentano una causa per Copyright proviene da il blog della sicurezza informatica.

On the face of it, harnessing wind power to heat your house seems easy. In fact some of you might be doing it already, assuming you’ve got a wind farm somewhere on your local grid and you have an electric heat pump or — shudder — resistive heaters. But what if you want to skip the middleman and draw heat directly from the wind? In that case, wind-powered induction heating might be just what you need.

Granted, [Tim] from the Way Out West Blog is a long way from heating his home with a windmill. Last we checked, he didn’t even have a windmill built yet; this project is still very much in the experimental phase. But it pays to think ahead, and with goals of simplicity and affordability in mind, [Tim] built a prototype mechanical induction heater. His design is conceptually similar to an induction cooktop, where alternating magnetic fields create eddy currents that heat metal cookware. But rather than using alternating currents through large inductors, [Tim] put 40 neodymium magnets with alternating polarity around the circumference of a large MDF disk. When driven by a drill press via some of the sketchiest pullies we’ve seen, the magnets create a rapidly flipping magnetic field. To test this setup, [Tim] used a scrap of copper pipe with a bit of water inside. Holding it over the magnets as they whiz by rapidly heats the water; when driven at 1,000 rpm, the water boiled in about 90 seconds. Check it out in the video below.

It’s a proof of concept only, of course, but this experiment shows that a spinning disc of magnets can create heat directly. Optimizing this should prove interesting. One thing we’d suggest is switching from a disc to a cylinder with magnets placed in a Halbach array to direct as much of the magnetic field into the interior as possible, with coils of copper tubing placed there.

youtube.com/embed/mEo0l5mDbOE?…

Londra, 25 giugno 2024 – Julian Assange, il fondatore di WikiLeaks, è stato liberato ieri dal carcere di massima sicurezza di Belmarsh, dopo aver trascorso 1901 giorni in detenzione. La notizia è stata comunicata dall’organizzazione WikiLeaks attraverso il social media X, confermando che Assange ha accettato un accordo con la giustizia americana per dichiararsi colpevole di un reato minore legato alla pubblicazione di documenti top secret, evitando così l’estradizione e permettendogli di tornare in Australia.

La liberazione di Assange è stata resa possibile grazie a una decisione dell’Alta Corte di Londra che ha concesso la libertà su cauzione. Nel pomeriggio di ieri, Assange è stato rilasciato presso l’aeroporto di Stansted, da dove ha preso un volo lasciando definitivamente il Regno Unito.

“Questo è il risultato di una campagna globale che ha coinvolto organizzatori di base, attivisti per la libertà di stampa, legislatori e leader di tutto lo spettro politico, fino alle Nazioni Unite”, ha dichiarato WikiLeaks su X.

La campagna per la liberazione di Assange ha visto la partecipazione di un vasto numero di sostenitori che hanno spinto per il suo rilascio e per la protezione della libertà di stampa.

Dopo lunghe trattative con il Dipartimento della giustizia degli Stati Uniti, è stato trovato un accordo preliminare che ha permesso di risolvere la situazione legale di Assange. L’accordo, ancora da formalizzare completamente, prevede che Assange si dichiari colpevole di un reato minore, evitandogli così una condanna che poteva arrivare fino a 175 anni di carcere.

La detenzione di Assange è stata segnata da condizioni estremamente dure. Ha trascorso più di cinque anni in una cella di 2×3 metri, in isolamento per 23 ore al giorno. La sua salute e il benessere psicologico sono stati al centro delle preoccupazioni dei suoi sostenitori e di varie organizzazioni internazionali.

WikiLeaks ha sottolineato come Assange presto si riunirà alla moglie Stella e ai loro figli. “Dopo più di cinque anni, finalmente potrà riabbracciare la sua famiglia, che ha conosciuto il padre solo dietro le sbarre”, ha aggiunto l’organizzazione.

La liberazione di Julian Assange segna un capitolo importante nella lunga battaglia legale e politica che lo ha visto protagonista. La sua vicenda ha sollevato dibattiti globali sulla libertà di stampa, la trasparenza governativa e i diritti umani, questioni che continueranno a essere discusse nei prossimi anni.

Assange è stato al centro di una controversia internazionale sin dalla fondazione di WikiLeaks nel 2006. L’organizzazione ha pubblicato una serie di documenti riservati che hanno messo in imbarazzo vari governi e istituzioni. Tra le rivelazioni più esplosive si ricordano i diari di guerra dell’Afghanistan e dell’Iraq, e i cablogrammi diplomatici statunitensi, che hanno esposto la politica estera americana e provocato reazioni in tutto il mondo.

La figura di Assange ha polarizzato l’opinione pubblica. I suoi sostenitori lo vedono come un eroe della libertà di informazione e un difensore della trasparenza, mentre i suoi detrattori lo accusano di aver messo a rischio vite umane e la sicurezza nazionale. La sua prolungata detenzione a Belmarsh ha attirato critiche da parte di gruppi per i diritti umani, che hanno denunciato le condizioni carcerarie come disumane.

L’accordo con la giustizia americana rappresenta un compromesso controverso, ma necessario per Assange e i suoi sostenitori. Molti vedono questa soluzione come un passo verso la chiusura di una saga giudiziaria che ha avuto un impatto significativo sul giornalismo investigativo e sulla protezione delle fonti.

Il ritorno di Assange in Australia segna l’inizio di un nuovo capitolo della sua vita. Rimane da vedere quale sarà il suo ruolo futuro in WikiLeaks e se continuerà a essere una voce influente nel panorama della libertà di stampa. Una cosa è certa: la sua storia ha già lasciato un segno indelebile nella storia moderna della libertà di informazione.

L'articolo Julian Assange: La Libertà Riconquistata Dopo Cinque Anni di Detenzione proviene da il blog della sicurezza informatica.

Nel giugno 2024, Stockmann Group, meglio conosciuto come Lindex Group, ha subito una significativa violazione dei dati. L’incidente è avvenuto quando il Gitlab interno dell’azienda è stato compromesso a causa di una cattiva gestione delle credenziali da parte degli sviluppatori, i quali le avevano memorizzate nel loro spazio di lavoro Jira.

I dati compromessi includono il codice sorgente di vari progetti dell’azienda, esponendo potenzialmente informazioni sensibili e proprietà intellettuale.

IntelBroker Rivendica la Responsabilità

La presunta violazione è stata rivendicata da un gruppo noto come IntelBroker. Questo gruppo ha dichiarato di aver effettuato attacchi simili contro altre grandi aziende tecnologiche, tra cui Apple, AMD e T-Mobile. Sebbene queste affermazioni non siano state confermate in modo indipendente, il nome di IntelBroker è associato a diversi attacchi cibernetici di alto profilo nel passato recente.

Il post di IntelBroker è apparso su un noto forum del dark web, BreachForums, il 23 giugno 2024. Nel post, il gruppo ha annunciato la diffusione del codice sorgente del Lindex Group, mettendo a disposizione dei membri del forum i dettagli dell’attacco e i file compromessi. Nella stessa pubblicazione, IntelBroker ha ringraziato i membri del forum per il loro interesse e ha offerto la possibilità di scaricare il codice sorgente compromesso.

Implicazioni per la Sicurezza

Questa violazione evidenzia l’importanza critica della gestione sicura delle credenziali e delle pratiche di sicurezza informatica robusta. La memorizzazione di credenziali in spazi di lavoro condivisi, come Jira, rappresenta un rischio significativo che può essere facilmente sfruttato da attori malintenzionati.

Risposta di Lindex Group

Al momento non ci sono dichiarazioni ufficiali da parte del Lindex Group riguardo all’incidente. L’azienda è attualmente impegnata a rispondere all’attacco e a collaborare con le autorità competenti per indagare sull’accaduto e prevenire futuri attacchi.

Conclusioni

L’incidente che ha colpito il Lindex Group serve come monito per tutte le aziende sull’importanza della sicurezza informatica e della gestione sicura delle credenziali. Mentre il mondo diventa sempre più digitale, le minacce informatiche continuano a evolversi, rendendo essenziale per le organizzazioni adottare misure proattive per proteggere i propri dati.

Il Lindex Group, come molte altre aziende prima di esso, sta affrontando una sfida significativa, ma una risposta rapida e il miglioramento delle misure di sicurezza rappresentano un passo nella giusta direzione per proteggere i loro sistemi e le loro informazioni sensibili in futuro.

L'articolo IntelBroker rivendica un attacco alla Lindex Group: Compromesso il Codice Sorgente proviene da il blog della sicurezza informatica.

Il Broken Access Control è la principale vulnerabilità nella sicurezza delle applicazioni web secondo l’OWASP Top 10 del 2021. Questa vulnerabilità si verifica quando le restrizioni su quali utenti possono vedere o usare le risorse non sono correttamente applicate, rendendo possibile a malintenzionati accedere, modificare, o distruggere dati a cui non dovrebbero avere accesso. Questo tipo di controllo è fondamentale per garantire che solo utenti autorizzati possano accedere a determinate funzioni o dati sensibili.

Un esempio comune di Broken Access Control è la manipolazione di metadati come un JSON Web Token (JWT) o i cookie per elevare i privilegi dell’utente. Queste manipolazioni possono consentire l’accesso non autorizzato a dati o funzionalità critiche. Configurazioni scorrette di CORS possono permettere accessi API da origini non autorizzate, esponendo ulteriormente le applicazioni a rischi di sicurezza.

Per prevenire il Broken Access Control, è essenziale adottare strategie di mitigazione come il principio del deny by default, che nega l’accesso a tutto se non specificamente consentito. È anche importante disabilitare la lista delle directory del server web e assicurarsi che i file metadati e di backup non siano presenti nelle root del web. Monitorare e limitare i fallimenti nei controlli di accesso può aiutare a minimizzare il danno causato dagli attacchi automatizzati.

In poche parole:

• Il Broken Access Control è la principale vulnerabilità nella sicurezza delle applicazioni web.
• Manipolazioni di JWT e configurazioni scorrette di CORS sono esempi comuni di abuso.
• Strategie di mitigazione includono deny by default e monitoraggio dei controlli di accesso.

Comprensione del Broken Access Control

Definizione e Significato

Il Broken Access Control si verifica quando un’applicazione non gestisce correttamente le autorizzazioni degli utenti. Ciò può permettere a utenti non autorizzati di accedere a funzionalità o dati riservati. Questo sbaglio può verificarsi in diversi modi, tra cui la manipolazione dei metadati come JSON Web Token (JWT), la modifica degli URL, e l’uso improprio delle configurazioni CORS.

Ad esempio, un utente malevolo potrebbe manipolare un cookie o un campo nascosto per elevare i suoi privilegi. Le applicazioni devono implementare controlli di accesso rigorosi per prevenire tale abuso.

Rilevazione e Identificazione di Vulnerabilità

Rilevare le vulnerabilità di broken access control richiede un’analisi approfondita. Gli strumenti di test automatizzati possono essere utili, ma verifiche manuali da parte di esperti di sicurezza sono spesso necessarie. Controllare le autorizzazioni dopo l’autenticazione è cruciale per garantire che solo gli utenti autorizzati possano accedere a certe funzioni.

Analisti della sicurezza cercano segnali di manipolazione dei parametri, modifiche degli URL, e accessi non autorizzati tramite richieste API. Questi test devono coprire tutti i metodi HTTP, inclusi POST, PUT e DELETE, per identificare correttamente i potenziali punti deboli.

Esempi Comuni

Un esempio comune di broken access control è il bypass dei controlli di accesso tramite manipolazione dell’URL. Un utente potrebbe cambiare l’ID in un URL per accedere a informazioni che non dovrebbe vedere. In siti mal configurati, la mancata verifica sui permessi degli utenti permette a chiunque di modificare o eliminare dati sensibili.

Un’altra pratica pericolosa è la configurazione errata di CORS, che permette accessi API da origini non autorizzate. Questo scenario può esporre dati critici a terzi non attendibili. Implementare politiche di sicurezza robuste è essenziale per proteggere le applicazioni contro tali minacce.

Nel complesso, prevenire il broken access control richiede una combinazione di controlli di sicurezza stretti e una verifica continua delle autorizzazioni utente.

Impatto ed abuso del controll degli accessi

Conseguenze di Accesso Non Autorizzato

L’accesso non autorizzato a informazioni sensibili può causare furto di dati. Quando gli attaccanti ottengono dati personali o aziendali, possono utilizzarli per scopi malevoli, come il furto di identità o il ricatto.

Perdita di fiducia è un’altra conseguenza. Se i clienti scoprono che i loro dati non sono sicuri, possono decidere di non utilizzare più il servizio. Questo può portare a una perdita significativa per l’azienda.

La compromissione della sicurezza delle applicazioni può anche portare a ulteriori exploit da altri attaccanti, aumentando il rischio complessivo per l’organizzazione.

Metodi di Sfruttamento

Gli attaccanti utilizzano vari metodi per abusare del controllo di accesso. Un metodo comune è modificare l’URL o i parametri per bypassare i controlli di accesso. Questo può essere realizzato facilmente attraverso la manipolazione diretta dell’URL nel browser.

Un altro metodo è l’uso di strumenti di attacco API. Gli attaccanti possono inviare richieste con metodi HTTP come POST, PUT e DELETE senza le corrette verifiche di autorizzazione. Questo permette loro di eseguire azioni privilegiate senza autorizzazione.

Modifiche allo stato dell’applicazione sono utilizzate per aggirare i controlli di accesso interni, permettendo agli attaccanti di ottenere accesso non autorizzato.

Casi noti

Uno studio di caso noto è l’attacco a un’applicazione bancaria che ha condotto a una violazione dei dati. Gli attaccanti sono stati in grado di modificare i parametri dell’URL, accedendo ai conti bancari di altri utenti e trasferendo denaro senza autorizzazione.

Un’altra situazione riguarda un’applicazione di e-commerce. Gli attaccanti hanno usato strumenti di attacco API per modificare ordini e prezzi, causando perdite finanziarie all’azienda.

Un esempio comune è anche l’accesso non autorizzato a sistemi aziendali interni, dove gli attaccanti compromettono le credenziali e accedono a documenti riservati, mettendo a rischio la sicurezza dell’intera organizzazione.

Strategie di Mitigazione e Principi Fondamentali

Per affrontare il problema del Broken Access Control, è essenziale implementare strategie di mitigazione efficaci che comprendano i principi di sicurezza del controllo di accesso, le migliori pratiche di sviluppo e implementazione, e l’uso di strumenti e tecniche di test.

Principi di Sicurezza del Controllo di Accesso

Nel controllo di accesso, il principio del minimum privilege richiede che gli utenti abbiano solo i permessi necessari per svolgere le loro attività. Questo riduce i rischi se vengono compromessi.

La politica deny by default implica che gli accessi siano vietati, a meno che non siano esplicitamente consentiti. Ogni accesso deve essere verificato e approvato.

Le liste di controllo degli accessi (ACL) e i modelli di controllo di accesso come il Role-Based Access Control (RBAC), sono utili per segmentare i permessi in modo accurato e gestibile, garantendo che solo utenti specifici possano accedere a risorse particolari.

Esempio pratico di Broken Access Control

Immaginiamo di avere una piccola applicazione web dove ci sono due pagine principali: una pagina utente normale e una pagina di amministrazione. La pagina di amministrazione dovrebbe essere accessibile solo agli amministratori, ma a causa di un errore di controllo degli accessi, qualsiasi utente autenticato può accedervi.

Esempio di codice

1. Applicazione Web con Flask (Python)

pythonCopy codefrom flask import Flask, request, redirect, url_for, render_template, session

app = Flask(__name__)
app.secret_key = 'supersecretkey'

# Simuliamo un database di utenti
users = {
'admin': {'password': 'adminpass', 'role': 'admin'},
'user1': {'password': 'user1pass', 'role': 'user'}
}

@app.route('/')
def home():
if 'username' in session:
return f"Ciao {session['username']}!Vai alla pagina di amministrazioneLogout"
return "Ciao! Login"

@app.route('/login', methods=['GET', 'POST'])
def login():
if request.method == 'POST':
username = request.form['username']
password = request.form['password']
if username in users and users[username]['password'] == password:
session['username'] = username
session['role'] = users[username]['role']
return redirect(url_for('home'))
return 'Credenziali non valide'
return render_template('login.html')

@app.route('/admin')
def admin():
# Problema di Broken Access Control: non controlliamo se l'utente è un admin
if 'username' in session:
return f"Pagina di Amministrazione - Solo per admin.Ciao {session['username']}!Logout"
return redirect(url_for('login'))

@app.route('/logout')
def logout():
session.pop('username', None)
session.pop('role', None)
return redirect(url_for('home'))

if __name__ == '__main__':
app.run(debug=True)

1. Pagina di login (login.html)

htmlCopy code

Login

Username:

Password:

Descrizione del problema

Il problema qui è che chiunque si logga può accedere alla pagina /admin, anche se non è un amministratore. Non c’è nessun controllo per verificare se l’utente ha il ruolo di admin.

Come risolvere il problema

Per risolvere il problema di Broken Access Control, dobbiamo aggiungere un controllo nella funzione [b]admin[/b] per assicurarci che solo gli amministratori possano accedere a quella pagina:
pythonCopy code@app.route('/admin')
def admin():
if 'username' in session and session.get('role') == 'admin':
return f"Pagina di Amministrazione - Solo per admin.Ciao {session['username']}!Logout"
return redirect(url_for('login'))

Dettagli tecnici

1. Controllo della sessione: La funzione admin verifica se c’è una sessione attiva controllando 'username' in session.
2. Verifica del ruolo: La funzione aggiunge una condizione per verificare se il ruolo dell’utente (session.get('role')) è 'admin'. Solo se entrambe le condizioni sono vere, l’utente può accedere alla pagina di amministrazione.

Questa modifica garantisce che solo gli utenti con il ruolo di amministratore possano accedere alla pagina di amministrazione, risolvendo così il problema di Broken Access Control.

Migliori Pratiche di Sviluppo e Implementazione

Durante lo sviluppo, è essenziale riutilizzare i meccanismi di controllo di accesso standardizzati in tutta l’applicazione, invece di crearli separatamente per ogni funzionalità. Questo riduce la possibilità di errori.

Implementare modelli di controllo che rafforzano la proprietà dei record, assicurando che solo i proprietari possano eseguire azioni complesse sui propri dati. Inserire session handling efficace, invalidando sessioni al logout.

Il rate limiting sugli accessi ai controlli API è un’altra strategia per limitare i danni causati da attacchi automatizzati, come menzionato su OWASP.

Strumenti e Tecniche di Test

Il codice deve essere sottoposto a revisione frequente per rilevare eventuali vulnerabilità nel controllo di accesso. Il OWASP Testing Guide fornisce linee guida dettagliate su come condurre questi test.

Usare strumenti di test automatici aiuta a identificare punti deboli e garantisce che i controlli di accesso siano correttamente implementati. Per esempio, strumenti come Burp Suite e OWASP ZAP sono molto apprezzati per testare le vulnerabilità di sicurezza.

P

Codice di esempio di Broken Access Control

Immagina di avere una piccola applicazione web dove ci sono due pagine principali: una pagina utente normale e una pagina di amministrazione. La pagina di amministrazione dovrebbe essere accessibile solo agli amministratori, ma a causa di un errore di controllo degli accessi, qualsiasi utente autenticato può accedervi.

Esempio di codice

1. Applicazione Web con Flask (Python)

pythonCopy codefrom flask import Flask, request, redirect, url_for, render_template, session

app = Flask(__name__)
app.secret_key = 'supersecretkey'

# Simuliamo un database di utenti
users = {
'admin': {'password': 'adminpass', 'role': 'admin'},
'user1': {'password': 'user1pass', 'role': 'user'}
}

@app.route('/')
def home():
if 'username' in session:
return f"Ciao {session['username']}!Vai alla pagina di amministrazioneLogout"
return "Ciao! Login"

@app.route('/login', methods=['GET', 'POST'])
def login():
if request.method == 'POST':
username = request.form['username']
password = request.form['password']
if username in users and users[username]['password'] == password:
session['username'] = username
session['role'] = users[username]['role']
return redirect(url_for('home'))
return 'Credenziali non valide'
return render_template('login.html')

@app.route('/admin')
def admin():
# Problema di Broken Access Control: non controlliamo se l'utente è un admin
if 'username' in session:
return f"Pagina di Amministrazione - Solo per admin.Ciao {session['username']}!Logout"
return redirect(url_for('login'))

@app.route('/logout')
def logout():
session.pop('username', None)
session.pop('role', None)
return redirect(url_for('home'))

if __name__ == '__main__':
app.run(debug=True)

1. Pagina di login (login.html)

htmlCopy code

Login

Username:

Password:

Descrizione del problema

Il problema qui è che chiunque si logga può accedere alla pagina /admin, anche se non è un amministratore. Non c’è nessun controllo per verificare se l’utente ha il ruolo di admin.

Come risolvere il problema

Per risolvere il problema di Broken Access Control, dobbiamo aggiungere un controllo nella funzione admin per assicurarci che solo gli amministratori possano accedere a quella pagina:
pythonCopy code@app.route('/admin')
def admin():
if 'username' in session and session.get('role') == 'admin':
return f"Pagina di Amministrazione - Solo per admin.Ciao {session['username']}!Logout"
return redirect(url_for('login'))

Dettagli tecnici

1. Controllo della sessione: La funzione admin verifica se c’è una sessione attiva controllando 'username' in session.
2. Verifica del ruolo: La funzione aggiunge una condizione per verificare se il ruolo dell’utente (session.get('role')) è 'admin'. Solo se entrambe le condizioni sono vere, l’utente può accedere alla pagina di amministrazione.

Questa modifica garantisce che solo gli utenti con il ruolo di amministratore possano accedere alla pagina di amministrazione, risolvendo così il problema di Broken Access Control.

Penetratio tests periodici sono cruciali per simulare attacchi reali e vedere come il sistema resiste agli stessi. Questi test devono essere eseguiti da esperti per massimizzare la loro efficacia.

L'articolo A01 OWASP Broken Access Control: Sicurezza e Gestione degli Accessi proviene da il blog della sicurezza informatica.