Have you ever heard of Fordite? It was a man-made agate-like stone that originated from the Ford auto factories in the 1920s. Multiple layers of paint would build up as cars were painted different colors, and when it was thick enough, workers would cut it, polish it, and use it in jewelry. [SheltonMaker] uses a similar technique to create artwork using a laser engraver and shares how it works by showing off a replica of [Van Gogh’s] “Starry Night.”
A piece of Fordite on a pendant
The technique does have some random variation, so the result isn’t a perfect copy but, hey, it is art, after all. While true Fordite has random color layers, this technique uses specific colors layered from the lightest to the darkest. Each layer of paint is applied to a canvas. Only after all the layers are in place does the canvas go under the laser.

The first few layers of paint are white and serve as a backer. Each subsequent layer is darker until the final black layer. The idea is that the laser will cut at different depths depending on the desired lightness. A program called ImagR prepared the image as a negative image. Adjustments to the brightness, contrast, and gamma will impact the final result.

Of course, getting the exact power settings is tricky. The best result was to start at a relatively low power and then make more passes at an even lower power until things looked right. In between, compressed air cleared the print, although you have to be careful not to move the piece, of course.

There are pictures of each pass, and the final product looks great. If art’s not your thing, you can also do chip logos. While the laser used in this project is a 40-watt unit, we’ve noted before that wattage isn’t everything. You could do this—probably slower—with a lower-powered engraver.

Fordite image By [Rhonda] CC BY-SA 2.0.

Il 9 agosto 2024, gli utenti russi hanno segnalato in massa problemi con Signal. Allo stesso tempo, alcuni hanno notato che Signal non funzionava neanche con l’uso di una VPN, e i problemi sono iniziati l’8 agosto.

I rappresentanti del Roskomnadzor (RKN) della Federazione Russa hanno riferito che l’agenzia ha un accesso limitato al sistema di messaggistica sicuro “a causa della violazione dei requisiti della legislazione russa”.

Roskomnadzor, ha successivamente confermato che il Messenger è stato effettivamente bloccato in Russia.

“L’accesso al messenger Signal è limitato a causa della violazione dei requisiti della legislazione russa, la cui attuazione è necessaria per impedire l’uso per scopi terroristici ed estremisti“, ha riferito il servizio stampa RKN.

Roskomnadzor non ha specificato quali requisiti legali siano stati violati.

L'articolo Muri Digitali: Signal fuori dalla Federazione Russa proviene da il blog della sicurezza informatica.

E’ una provocazione? Ovviamente.

Anche perché il pagamento del premio è direttamente proporzionale alla “insicurezza” aziendale che viene valutata durante la stipula. Oggi come oggi l’assicurazione cyber deve essere paragonata ad un rischio comune, come un incendio ad un capannone di produzione o ad un incidente sul lavoro.

La Casa Bianca sta sviluppando una nuova polizza assicurativa informatica volta a proteggere da incidenti informatici catastrofici. La nuova politica dovrebbe essere introdotta entro la fine dell’anno. Lo ha affermato il direttore nazionale della Cyber ​​Security Harry Coker alla conferenza Black Hat 2024 .therecord.media/white-house-cy…

L’obiettivo della nuova politica è gestire i rischi, non evitarli. Ciò è necessario per stabilizzare i mercati assicurativi e migliorare il livello di sicurezza informatica nel Paese. Il governo degli Stati Uniti vuole prepararsi in anticipo a possibili incidenti informatici, per non affrettarsi a sviluppare misure di emergenza quando il disastro si è già verificato. Tale preparazione dovrebbe migliorare la resilienza economica e la fiducia del mercato.

Una delle sfide principali rimane la mancanza di dati per la valutazione del rischio. Coker ha osservato che il lavoro è ora concentrato su questo problema.

Sebbene i dettagli della nuova polizza non siano stati ancora resi noti, i rappresentanti dell’ONCD hanno confermato che l’attuale mercato assicurativo non è sufficientemente preparato per incidenti informatici catastrofici. Le agenzie stanno prendendo in considerazione una serie di misure che potrebbero migliorare la sicurezza informatica della nazione e garantire la stabilità del mercato.

Il mercato delle assicurazioni informatiche è da tempo controverso. Gli esperti ritengono che i pagamenti assicurativi possano contribuire ad aumentare il numero di attacchi da estorsione. Alcuni hacker stabiliscono addirittura l’importo del riscatto in base alle polizze assicurative delle vittime.

Inoltre, è in corso un dibattito giuridico sul ruolo dell’assicurazione informatica in caso di attacchi da parte di uno stato-nazione.

L'articolo Ma se la Casa Bianca fa l’Assicurazione Cyber, a che serve un programma di Cybersecurity? proviene da il blog della sicurezza informatica.

A luglio è apparso nel cyberspazio un nuovo gruppo di ransomware, chiamato Mad Liberator, che utilizza il programma Anydesk e tecniche di ingegneria sociale per infiltrarsi nei sistemi aziendali, rubare dati e chiedere riscatti.

Gli esperti di Sophos hanno rivelato i metodi di attacco del gruppo utilizzando l’esempio di un incidente in fase di studio.

A differenza della maggior parte dei ransomware, Mad Liberator non crittografa i file, ma si concentra piuttosto sul furto di informazioni e sulle minacce di fuga di dati. Mad Liberator gestisce anche un sito web dove pubblica i dati rubati se il riscatto non è stato pagato.

Per penetrare nei sistemi, Mad Liberator utilizza Anydesk, che viene spesso utilizzato dalle aziende per gestire da remoto i computer. Le vittime, ignare del pericolo, accettano richieste di connessione, credendo che la richiesta provenga dal reparto IT dell’organizzazione. Dopo aver ottenuto l’accesso al dispositivo, gli aggressori avviano un falso processo di aggiornamento di Windows.

Mentre l’utente guarda il falso aggiornamento, gli hacker ottengono l’accesso allo spazio di archiviazione e ai file di OneDrive sul server aziendale. Utilizzando la funzione FileTransfer di Anydesk, gli aggressori scaricano dati riservati e utilizzano anche lo strumento Advanced IP Scanner per cercare di sondare altri dispositivi sulla rete. In questo caso il ransomware non ha trovato alcun sistema prezioso e si è limitato solo al computer principale. Una volta completato il furto, gli hacker lasciano una richiesta di riscatto sul dispositivo.

L’attacco è durato quasi 4 ore, al termine delle quali gli aggressori hanno completato il falso aggiornamento e disabilitato la sessione di Anydesk, restituendo il controllo del dispositivo alla vittima.

È interessante notare che il malware è stato lanciato manualmente, senza riavvio automatico. Ciò significa che il malware è rimasto inattivo sul sistema della vittima anche dopo la conclusione dell’attacco.

L'articolo Mad Liberator: La vulnerabilità sei solo tu! Anydesk e aggiornamento Windows per per un hack di successo proviene da il blog della sicurezza informatica.

A feature of many modern network-connected entertainment devices is that they will play streamed music while on standby mode. This so-called “network standby”is very useful if you fancy some gentle music but don’t want the Christmas lights or the TV. It was a feature [Caramelfur] missed on their Sony AV receiver, something especially annoying because it’s present on the US-market equivalent of their European model. Some gentle hackery ensued, and now the rece3iver follows its American cousin.

A first examination of the firmware found the two downloads to be identical, so whatever differences had to be in some form of configuration. Investigating what it exposed to the network led to a web server with device configuration parameters. Some probing behind the scenes and a bit of lucky guesswork identified the endpoint to turn on network standby, and there it was, the same as the US market model. Should you need it, the tooling is in a GitHub repository.

This isn’t the first time we’ve seen identical hardware being shipped with different firmwares in Europe from that in the USA, perhaps our most egregious example was a Motorola phone with a much earlier Android version for Europeans. We don’t understand why manufacturers do it, in particular with such an innocuous feature as network standby. If you have a Sony receiver you can now fix it, but you shouldn’t have to.

RJ45, Devcore, CC0.

Recently Canada’s Canadarm2 caught its 50th spacecraft in the form of a Northrop Grumman Cygnus cargo vessel since 2009. Although perhaps not the most prominent part of the International Space Station (ISS), the Canadarm2 performs a range of very essential functions on the outside of the ISS, such as moving equipment around and supporting astronauts during EVAs.
Power and Data Grapple Fixture on the ISS (Credit: NASA)
Officially called the Space Station Remote Manipulator System (SSRMS), it is part of the three-part Mobile Servicing System (MSS) that allows for the Canadarm2 and the Dextre unit to scoot around the non-Russian part of the ISS, attach to Power Data Grapple Fixtures (PDGFs) on the ISS and manipulate anything that has a compatible Grapple Fixture on it.

Originally the MSS was not designed to catch spacecraft when it was installed in 2001 by Space Shuttle Endeavour during STS-100, but with the US moving away from the Space Shuttle to a range of unmanned supply craft which aren’t all capable of autonomous docking, this became a necessity, with the Japanese HTV (with grapple fixture) becoming the first craft to be caught this way in 2009. Since the Canadarm2 was originally designed to manipulate ISS modules this wasn’t such a major shift, and the MSS is soon planned to also started building new space stations when the first Axiom Orbital Segment is launched by 2026. This would become the Axiom Station.

With the Axiom Station planned to have its own Canadarm-like system, this will likely mean that Canadarm2 and the rest of the MSS will be decommissioned with the rest of the ISS by 2031.

Top image: Canadarm2 captures Cygnus OA-5 S.S. Alan Poindexter in late 2016 (Credit: NASA)

[Mellow_Labs] wanted an Everything Presence Lite kite but found it was always out of stock. Therefore, he decided to create his own. The kit uses a millimeter wave sensor as a super-sensitive motion tracker for up to three people. It can even read your heart rate remotely. You can see a video of the project below.

There are a few differences from the original kit. Both use the C4001 24 GHz human presence detection sensor. However, the homebrew version also includes a BME680 environmental sensor.

If you haven’t seen a millimeter wave sensor—often written mmwave—before, it is essentially a tiny radar that can measure movement, acceleration, and angles very accurately. They are available at different microwave wavelengths and have onboard processing to easily provide useful information for a processor like the one in this project. The processor on board is an ESP32, which works well with [Mellow_Labs’] home automation system.

A 3D-printed case rounds everything out. Circuit-wise, there isn’t much going on since everything is on a module PCB. You essentially just have to connect everything together.

These sensors can do a lot of things. For example, inspecting pipelines. Another common way to detect people is to use a specialized camera.

youtube.com/embed/P8RO9gjs_h4?…

We’ve all got our favorite hand tools, and while the selection criteria are usually pretty subjective, it usually boils down to a combination of looks and feel. In our opinion, the king of both these categories when it comes to screwdrivers is those clear, hard acetate plastic handles, which are a joy to use — at least until the plastic starts to degrade and exude a characteristically funky aroma.

But perhaps we can change that if these experiments on screwdriver “mange” hold up. That’s [357magdad]’s unappealing but accurate description of the chemical changes that eventually occur in the strong, hard, crystal-clear handles of your favorite screwdrivers. The polymer used for these handles is cellulose acetate butyrate, or CAB, which is mostly the same cellulose acetate that replaced the more explode-y cellulose nitrate in things like pool balls and movie film, except with some of the acetate groups replaced with a little butyric acid. The polymer is fine at first, but add a little UV light and over time the outer layer of CAB decomposes into a white flaky cellulose residue while the butyric acid volatilizes, creating the characteristic odor of vomitus. Lovely.

In the video below, [357magdad] takes a look at different concoctions that all allegedly cure the mange. TL, DW; it was a dunk in household ammonia that performed the best, well ahead of other common agents like vinegar and bleach. The ammonia — or more precisely, ammonium hydroxide — works very quickly on the cellulose residue, dissolving it readily and leaving the handle mange-free and looking nearly new after some light scrubbing. None of the other agents came close, although acetone did manage to clear up the mange a bit, at the cost of softening the underlying CAB in a process that’s probably similar to acetone smoothing ABS prints.

As for the funky smell, well, the results were less encouraging. Nothing really got rid of the pukey smell, even a roll in baking soda. We suspect there won’t be much for that, since humans can detect it down to 10 parts per million. Consider it the price to pay for a nice-looking screwdriver that feels so good in your hand.

youtube.com/embed/n_Q4zsE_bFA?…

If you’re thinking about building a single tiny game or even a platform, you might be tempted to use a single button for everything. Such is the case with [Alex]’s Salsa ONE minimalist game console, which is inspired by both the Arduboy and the ergonomics of the SanDisk Sansa music player.

With Salsa ONE, [Alex] aimed to make something that is both simple and challenging. The result is something that, awesomely enough, doesn’t need a PCB, and can be comfortably controlled with just one thumb. There isn’t much to this thing, which is essentially an RP2040, an OLED, a vibration motor, a buzzer, a button, and a CR2032 coin cell. [Alex] chose to program Salsa ONE in MicroPython. Be sure to check it out in action in the brief demo after the break.

Have you got an idea for a tiny game? Don’t hesitate to enter the 2024 Tiny Games Contest! You have until September 10th, so head on over to Hackaday.io and get started today.

youtube.com/embed/o96_ZfCg81I?…

You may have heard about a very large data breach, exposing the Social Security numbers of three billion individuals. Now hang on. Social Security numbers are a particularly American data point, and last time we checked there were quite a few Americans shy of even a half of a billion’s worth. As [Troy Hunt] points out, there are several things about this story that seem just a bit odd.

First up, the claim is that this is data grabbed from National Public Data, and there’s even a vague notice on their website about it. NPD is a legitimate business, grabbing data on as many people as possible, and providing services like background checks and credit checks. It’s not impossible that this company has records on virtually every citizen of the US, UK, and Canada. And while that’s far less than 2.9 billion people, it could feasibly add up to 2.9 billion records as was originally claimed.

The story gets strange as we consider the bits of data that have been released publicly, like a pair of files shared with [Troy] that have names, birthdays, addresses, phone numbers, and social security numbers. Those had a total of 2.69 billion records, with an average of 3 records for each ID number. That math is still just a little weird, since the US has to date only generated 450 million SSNs and change.

So far all we have are partial datasets, and claims on the Internet. The story is that there’s a grand total of 4 TB of data once uncompressed. The rest of the details are unclear, and it’s likely to take some time for the rest of the story to come out.

Windows IPv6 RCE

Microsoft has patched a Remote Code Execution (RCE) in Windows 10, 11, and server systems. By all accounts, it’s a nasty one, but there’s a redeeming wrinkle to the story, that may also be bad news. It’s an IPv6 vulnerability. The actual details are scarce, for obvious reasons. By next week, I anticipate someone will have reverse engineered the patch enough to have some details on the flaw.

What we do know is that Microsoft scores this a 9.8 out of 10 for severity, and considers it a low complexity attack that is likely to be used in the wild. Trend Micro considers it a wormable flaw. The built-in Windows firewall doesn’t block it, because the vulnerability triggers before processing by the firewall. This leads to a theory that it’s another problem related to defragmenting incoming IPv6 packets, or a similar process.

The good news is that it requires actual IPv6 connectivity, which at least in my corner of the world is a rather rare thing. It’s hard to know definitively without more details, but it’s at least likely that a proper stateful firewall would block these unsolicited IPv6 packets from the wider Internet. There’s still a lot of room for trouble inside the network — where you probably have working IPv6 connectivity even without routable IPv6 from your ISP. In conclusion, get this one patched ASAP.

Considering its harm, I will not disclose more details in the short term.

— wei (@XiaoWei___) August 14, 2024

Don’t Roll Your Own Crypto!

There’s a rallying cry, aimed at anyone responsible for build secure systems: “Don’t roll your own crypto!” But why? Surely a secret algorithm that only you understand is more secure, right? No. Particularly not when tools like Ghidra that put firmware reverse engineering within grasp of every security researcher. Case in point, the Vstarcam CB73 security camera that [Brown Fine Security] took a look at.

The first clue that somethign was wrong was that packets were being repeated, byte-for-byte identically. As [Brown] points out, a good cryptography scheme has some sort of protection against replay attacks. This one had none at all. Another issue with this homebrew crypto scheme is that it only has 256 possible internal states, and once you know the trick the whole thing is trivially decryptable, no key required. This is why you don’t roll your own crypto.

Old School CSS Trick

This write-up from Adepts of 0xCC is a trip down memory lane, to a time when browsers let websites get away with way more, like detecting whether links had been visited by detecting the style that the browser used to display them. Browsers eventually locked down those sorts of tricks, but what’s old is new again, with just a bit of cleverness. In this case, generate a captcha, and set the page’s CSS to make the visited links blend in with the background. The user completes the captcha, and based on which characters were typed, you have some basic history information. Clever!

Ring -2

The classic x86 architecture has a four ring system, where userspace applications run in Ring 3 and the kernel runs in Ring 0. But the sneaky truth is that our X86 processors are actually emulating the x86 instruction set, Rings 1 and 2 are never used, and there’s a CPU management engine running all the way down at Ring -3. This suggests to the security minded, that it would be particularly bad for something malicious to run at one of those hidden ring levels. And that’s exactly what [jjensn] managed to pull off.

In this case it’s in the motherboard firmware, in the System Management Engine. A bit of vulnerable code in a couple places allows writing data into protected SMRAM memory, into Ring -2. A bit of clever work corrupts the SMRAM just enough to jump into shellcode without crashing the machine. And suddenly an attacker can own a machine on a level two layers below the OS.

Bits and Bytes

Careful with your artifacts. Apparently quite a few Github CI scripts take the easy wqy out, and just zip up the entire work directory as an artifact. That’s not great, as generally artifacts are accessible to anyone with a GitHub account, and the .git folder very likely has a Github token in it.

Speaking of GitHub, another Chrome type confusion vulnerability was written up there in detail. As objects in JavaScript are manipulated, the engine is continually updating the underlying data structures. Cloning objects can be particularly tricky, and changing the properties of an object after a shallow copy can result in memory corruption. Memory corruption, fake objects, and finally code execution outside the JavaScript sandbox.

In Windows, the mark of the Web is rather important for security, warning users when they’re about to access or execute something from the Internet. It’s also been broken in many interesting ways over the years. Most recently, Web-based Distruted Authoring and Versioning (WEBDAV) shares are used, as they can be accessed by either the browser, or the Windows File Explorer. The most recent fix here adds Mark of the Web to files copied from WEBDAV shares using Explorer. Sneaky.

The summer doldrums are here, but that doesn’t mean that Elliot and Dan couldn’t sift through the week’s hack and find the real gems. It was an audio-rich week, with a nifty microsynth, music bounced off the moon, and everything you always wanted to know about Raspberry Pi audio but were afraid to ask. We looked into the mysteries of waveguides and found a math-free way to understand how they work, and looked at the way Mecanum wheels work in the most soothing way possible. We also each locked in on more classic hacks, Elliot with a look at a buffer overflow in Tony Hawks Pro Skater and Dan with fault injection user a low-(ish) cost laser setup. From Proxxon upgrades to an RC submarine to Arya’s portable router build, we’ve got plenty of material for your late summer listening pleasure.

html5-player.libsyn.com/embed/…
Where to Follow Hackaday Podcast

Places to follow Hackaday podcasts:

• iTunes
• Spotify
• Stitcher
• RSS
• YouTube
• Check out our Libsyn landing page

Worried about attracting the Black Helicopters? Download the DRM-free MP3 and listen offline, just in case.

Episode 284 Show Notes:

News:

• Possible Discovery Of Liquid Water In Mars’ Mid-Crust By The Insight Lander
• Superdeep Borehole Samples Create Non-boring Music

What’s that Sound?

• Last week’s sound was the startup chime from an SGI Indigo. But nobody guessed it right!
• Computer and Console Boot Sounds Compilation : Various : Free Download, Borrow, and Streaming : Internet Archive
• Boot chime for an SGI O2 — Dan used to use an O2, but wouldn’t have gotten it either.

Interesting Hacks of the Week:

• Kickflips And Buffer Slips: An Exploit In Tony Hawk’s Pro Skater
• Building AI Models To Diagnose HVAC Issues
• Inside The Mecanum Wheel
• Laser Fault Injection On The Cheap
  
  • Low-Cost Nanopositioning Hack Chat

  
  

• Tulip Is A Micropython Synth Workstation, In An ESP32
  
  • GitHub – shorepine/amy: AMY – the Additive Music synthesizer librarY
  • Generative Music Created In Minimalistic Javascript Code
  • Sonic Pi – The Live Coding Music Synth for Everyone

  
  

• The Waveguide Explanation You Wish You’d Had At School
  
  • Coax Stub Filters Demystified

  
  

Quick Hacks:

• Elliot’s Picks
  
  • Cheap DIY Button Pad Uses Neat Punchcard Trick
  • RC Submarine Build Starts With Plenty Of Research
  • Moonbounce Music

  
  

• Dan’s Picks:
  
  • Proxxon CNC Conversion Makes A Small Mill A Bit Bigger
  • Magnesium And Copper Makes An Emergency Flashlight
  • A Tiny Knob Keeps You In Control
    
    • For the curious

    
    

  
  

Can’t-Miss Articles:

• Audio On Pi: Here Are Your Options
• Portable Router Build: Picking Your CPU
  
  • Fail Of The Week: This Flash Drive Will NOT Self-Destruct In Five Seconds

  
  

Everyone likes a good lunar landing simulator, and [Dominic Doty] wrote a fun take on the idea: your goal is to write an autopilot controller to manage the landing. Try it out!
Virtual landers are far cheaper than real ones, thank goodness.
[Dominic] was inspired in part by this simple rocket landing game which is very much an exercise in reflex and intuition, not to mention being much faster-paced than the classic 1979 video game (which you can also play in your browser here.)

[Dominic]’s version has a similar classic look to the original, but embraces a more thoughtful approach. In it, one uses plain JavaScript to try to minimize the lander’s angle, velocity, and angular velocity in order to land safely on the generated terrain.

Want to see if you have the right stuff? Here’s a direct link to Lunar Pilot. Don’t get discouraged if you don’t succeed right away, though. Moon landings have had plenty of failures, and are actually very hard.

Some old computer languages are destined to never die. They do, however, evolve. For example, Fortran, among the oldest of computer languages, still has adherents, not to mention a ton of legacy code to maintain. But it doesn’t force you to pretend you are using punched cards anymore. In the 1970s, if you wanted to crunch numbers, Fortran was a good choice. But there was another very peculiar language: APL. Turns out, APL is alive and well and has a thriving community that still uses it.

APL has a lot going for it if you are crunching serious numbers. The main data type is a multidimensional array. In fact, you could argue that a lot of “modern” ideas like a REPL, list types, and even functional programming entered the mainstream through APL. But it did have one strange thing that made it difficult to use and learn.

[Kenneth E. Iverson] was at Harvard in 1957 and started working out a mathematical notation for dealing with arrays. By 1960, he’d moved to IBM and a few years later wrote a book entitled “A Programming Language.” That’s where the name comes from — it is actually an acronym for the book’s title. Being a mathematician, [Iverson] used symbols instead of words. For example, to create an array with the numbers 1 to 5 in it and then print it, you’d write:
⎕←⍳5
Since modern APL has a REPL (read-eval-print loop), you could remove the box and the arrow today.

What Key Was That?

Wait. Where are all those keys on your keyboard? Ah, you’ve discovered the one strange thing. In 1963, CRTs were not very common. While punched cards were king, IBM also had a number of Selectric terminals. These were essentially computer-controlled typewriters that had type balls instead of bars that were easy to replace.

With the right type ball, you could have 26 upper-case letters, 10 digits, a few control characters, and then a large number of “weird” characters. But it is actually worse than that. The available symbols were still not numerous enough for APL’s appetite. So some symbols required you to type part of the symbol, press backspace, then type more of the symbols, sometimes repeating the process several times. On a printing terminal, that works fine. For the CRTs that would soon take over, this was tough to do.

For example, a comment (like a REM in Basic or a // in C++) is represented by a thumbnail (⍝). In other words, this would be an APL comment:
⍝ This is a comment
To make that character, you’d type the “arch” part, backspace, then the “dot” part. Not very speedy. Not very practical on old CRT terminals, either.

The characters aren’t the only strange thing. For example, APL evaluates math right to left.

That is, 3×2+5 is 21 because the 2+5 happens first. You just have to get used to that.

A Solution

Of course, modern screens can handle this easily and most people use an APL keyboard mapping that looks like your normal keyboard, but inserts special symbols when you use the right Alt key (with or without the shift modifier). This allows the keyboard to directly enter every possible symbol.

Of course, your keyboard’s keycaps probably don’t have those symbols etched in, so you’ll probably want a cheat sheet. You can buy APL keycaps or even entire keyboards if you really get into it.

What’s GNU With You?

While there have been many versions of APL over the years, GNU APL is certainly the easiest to setup, at least for Linux. According to the website, the project has more than 100,000 lines of C++ code! It also has many modern things like XML parsers.
A US APL keyboard layout
The real trick is making your keyboard work with the stranger characters. If you are just playing around, you can consider doing nothing. You can see the keyboard layout by issuing the ]KEYBD command at the APL prompt. That will give you something like the adjacent keyboard layout image.

From that image, you can copy and paste odd characters. That’s a pain, though. I had good luck with this command line:
setxkbmap -layout us,apl -variant ,dyalog -option grp:switch
With this setup, I can use the right alt key to get most APL characters. I never figured out how to get the shifted alternate characters, though. If you want to try harder, or if you use a different environment than I do, you might read the APL Wiki.

An Example

Rather than do a full tutorial, here’s my usual binary search high low game. The computer asks you to think of a number, and then it guesses it. Not the best use of APL’s advanced math capabilities, but it will give you an idea of what it can do.

Here’s a survival guide. The upside-down triangle is the start or end of a function. You already know the thumbnail is a comment. A left-pointing arrow is an assignment statement. A right-pointing arrow is a goto (this was created in the 1960s; modern APL has better control structures, but they can vary between implementations). Square boxes are for I/O, and the diamond separates multiple statements on a single line.

∇ BinarySearchGame
⍝ Initialize variables
lower ← 1
upper ← 1024
turns ← 0
cheating ← 0

⍝ Start the game
'Think of a number between 1 and 1024.' ⋄ ⎕ ← ''

Loop:
turns ← turns + 1
guess ← ⌊(lower + upper) ÷ 2 ⍝ Make a guess using binary search

⍞ ← 'Is your number ', ⍕ guess, '? (h for high, l for low, c for correct): '
response ← ⍞

→ (response = 'c')/Finish ⍝ Jump to Finish if correct
→ (response = 'h')/TooHigh ⍝ Jump to TooHigh if too high
→ (response = 'l')/TooLow ⍝ Jump to TooLow if too low
→ InvalidInput ⍝ Invalid input

TooHigh:
upper ← guess - 1
→ (lower > upper)/CheatingDetected ⍝ Detect cheating
→ Loop

TooLow:
lower ← guess + 1
→ (lower > upper)/CheatingDetected ⍝ Detect cheating
→ Loop

InvalidInput:
⍞ ← 'Invalid input. Please enter "h", "l", or "c".' ⋄ ⎕ ← ''
turns ← turns - 1 ⍝ Invalid input doesn't count as a turn
→ Loop

CheatingDetected:
⍞ ← 'Hmm... Something doesn''t add up. Did you make a mistake?' ⋄ ⎕ ← ''
cheating ← 1
→ Finish

Finish:
→ (cheating = 0)/Continue ⍝ If no cheating, continue
→ EndGame

Continue:
⍞ ← 'Great! The number is ', ⍕ guess, '. It took ', ⍕ turns, ' turns to guess it.' ⋄ ⎕ ← ''

EndGame:
⍞ ← 'Would you like to play again? (y/n): '
restart ← ⍞
→ (restart = 'y')/Restart ⍝ Restart the game if 'y'
→ Exit ⍝ Exit the game otherwise

Restart:
BinarySearchGame ⍝ Restart the game

Exit:
⍞ ← 'Thank you for playing!' ⋄ ⎕ ← '' ⍝ Exit message
∇

What’s Next?

If you want to get an idea of how APL’s special handling of data make some programs easier, the APL Wiki has a good page for that. If you don’t want to install anything, you can run APL in your browser (although it is the Dyalog version, a very common choice for modern APL).

If you don’t want to read the documentation, check out [phoebe’s] video below. We always wanted the IBM computer that had the big switch to go from Basic to APL.

youtube.com/embed/UltnvW83_CQ?…

APL Keyboard image via Reddit

Come spesso riportiamo, il cybercrime non si ferma mai, soprattutto quando le difese delle aziende sono al minimo come il periodo delle ferie estive.

Ieri, in pieno ferragosto, la cyber gang Ciphbit rivendica un attacco informatico che ha coinvolto la FD-SRL, un’azienda dinamica e innovativa specializzata in soluzioni avanzate per diversi settori industriali.

L’attacco è stato rivendicato all’interno del Data Leak Site (DLS) di Ciphbit, che ha dichiarato di aver compromesso i sistemi della FD-SRL, minacciando di pubblicare i dati sottratti entro 3-4 giorni.

Al momento, non possiamo confermare la veridicità della notizia, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo deve essere considerato come ‘fonte di intelligence‘.

Chi è FD-SRL?

FD-SRL è un’azienda italiana specializzata in opere pubbliche, con particolare attenzione alla costruzione di strade e ferrovie.

Grazie all’impiego di tecnologie avanzate e di una forza lavoro qualificata, l’azienda è in grado di offrire soluzioni efficienti, affidabili e sostenibili ai propri clienti, guadagnandosi così una reputazione di partner fidato nel suo settore.

Conclusione

L’attacco rappresenta una seria minaccia per FD-SRL, che ora si trova di fronte alla possibilità di vedere esposti dati sensibili relativi ai propri progetti e clienti. L’attacco è stato annunciato dalla piattaforma web Ransomfeed.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo Ransomware di Ferragosto! Ciphbit rivendica un attacco informatico all’italiana FD-SRL proviene da il blog della sicurezza informatica.

The European Commission sent a request for information to Meta under the Digital Services Act (DSA) on Friday (16 August), seeking details on compliance with data access and election monitoring requirements.

euractiv.com/section/platforms…

Il gruppo RansomHub ha iniziato a utilizzare un nuovo software dannoso che disabilita le soluzioni EDR sui dispositivi per aggirare i meccanismi di sicurezza e ottenere il pieno controllo del sistema. Lo strumento, chiamato EDRKillShifter, è stato scoperto da Sophos dopo un attacco fallito nel maggio 2024.

EDRKillShifter è un malware che consente di condurre un attacco Bring Your Own Vulnerable Driver ( BYOVD ), utilizzando un driver legittimo ma vulnerabile per aumentare i privilegi, disabilitare i controlli di sicurezza e ottenere il controllo completo del sistema.

Sophos ha scoperto 2 diversi campioni EDRKillShifter, entrambi i quali utilizzano exploit PoC disponibili pubblicamente da GitHub. Uno degli esempi sfrutta il driver vulnerabile RentDrv2 e l’altro sfrutta il driver ThreatFireMonitor, che è un componente di un pacchetto di monitoraggio del sistema obsoleto.

EDRKillShifter è anche in grado di caricare driver diversi a seconda delle esigenze degli aggressori.
Catena di attacco EDRKillShifter
Il processo di esecuzione di EDRKillShifter è composto da tre passaggi. Innanzitutto, l’aggressore esegue un file binario con una password per decrittografare ed eseguire la risorsa BIN incorporata in memoria. Il codice quindi decomprime ed esegue il payload finale, che carica il driver vulnerabile per aumentare i privilegi ed uccidere i processi attivi dei sistemi EDR.

Il malware crea un nuovo servizio per il driver, lo avvia e carica il driver, quindi entra in un ciclo infinito, controllando continuamente i processi in esecuzione e terminandoli se i nomi dei processi corrispondono all’elenco crittografato di obiettivi.

Sophos consiglia di abilitare la protezione anti-manomissione nei prodotti per la sicurezza degli endpoint, di mantenere la separazione tra diritti utente e amministrativi per impedire agli aggressori di scaricare driver vulnerabili e di aggiornare regolarmente i sistemi, dato che Microsoft revoca regolarmente i certificati per i driver firmati che sono stati utilizzati in attacchi precedenti.

L'articolo Con EDRKillShifter vengono eluse le difese EDR da RansomHub per introdurre il ransomware proviene da il blog della sicurezza informatica.

When thinking of the first PCs, most of us might imagine something like the Apple I or the TRS-80. But even before that, there were a set of computers that often had no keyboard, or recognizable display beyond a few blinking lights. [Artem Kalinchuk] is attempting to recreate one of these very early digital computers, the Kenbak-1, using as many period-correct parts as possible.

Considered by many to be the world’s first personal computer, the Kenbak-1 was an 8-bit machine with 256 bytes of memory, using TTL integrated circuits for the logic as there was no commercially available microprocessor available at the time it was designed. For [Artem]’s build, most of these parts can still be sourced including the 7400-series chips and carbon resistors although the shift registers were a bit of a challenge to find. A custom PCB was built to replicate the original, and with all the parts in order it’s ready to be assembled and put into a case which was built using the drawings for the original unit.

Although [Artem] plans to build a period-correct linear power supply for this computer, right now he’s using a modern switching power supply for testing. The only other major components that are different are the status lamps, in this case switched to LEDs because he wasn’t able to source incandescent bulbs that drew low enough current, and the switches which he’s replaced with MX-style keys. We’ll stay tuned as he builds and tests this over the course of several videos, but in the meantime if you’re curious how this early computer actually worked we featured an emulator for it a while back.

youtube.com/embed/ffsnZ321Xv4?…

Negli ultimi giorni, è stata rilevata una nuova campagna di malware mirata specificamente agli utenti italiani, lo riporta il CERT-AgID.

Questa minaccia si presenta sotto forma di un trojan, Quasar RAT, che viene distribuito attraverso email ingannevoli con oggetto “Pagamenti Fattura“. Il nome Quasar RAT potrebbe non essere noto a molti, ma la sua potenza distruttiva è preoccupante, soprattutto perché consente agli attaccanti di prendere il controllo remoto dei dispositivi infetti.

Come Funziona l’Attacco?

Gli attaccanti inviano email fraudolente progettate per sembrare comunicazioni legittime riguardanti il pagamento di una fattura. All’interno di queste email, le vittime sono invitate a scaricare una fattura tramite un pulsante denominato “Scarica Fattura“. Tuttavia, invece di una semplice fattura PDF, il pulsante scarica un file eseguibile malevolo.Una volta aperto, il file infetta il sistema con Quasar RAT, un trojan che offre agli attaccanti un accesso remoto completo al dispositivo della vittima.

Questo consente agli hacker di eseguire comandi, rubare informazioni sensibili, e potenzialmente installare ulteriori malware.

Indicatori di Compromissione e Difesa

Le autorità italiane hanno agito rapidamente per diffondere informazioni sui dettagli tecnici del malware e sugli indicatori di compromissione (IoC). Questi indicatori sono stati condivisi con le organizzazioni accreditate al flusso #IoC del CERT-AGID, nel tentativo di limitare il più possibile i danni causati da questa minaccia.

{
"43588b0a-8803-47a9-95c2-a6d299ba77a0": {
"event_id": 16660,
"created_at": "2024-08-16T08:39:41.362917+00:00",
"updated_at": "2024-08-16T09:34:21.837593+00:00",
"name": "Campagna Quasar RAT italiana",
"description": "",
"subject": "Fw: Informazioni sulle entrate governative. - ( 2607579 )",
"tlp": "0",
"campaign_type": "malware",
"method": "attached",
"country": "italy",
"file_type": [
"zip"
],
"theme": "Pagamenti",
"malware": "Quasar",
"phishing": null,
"via": "email",
"tag": [],
"ioc_list": {
"md5": [
"0a57d370bb7a6bb0947789eaa997c9fb",
"8bc7c91b4b84a5672cc0b5303ac55f86",
"767f07f21c427466321971cdb6f3dc87"
],
"sha1": [
"d5daee9a52a5eee6a65f18d2c7a859e680c4071c",
"29e4552e7764f1021fc4ad0a0574356ef2d1fe24",
"7c3caa9fb80c71e76c7a18f21b0f1409aac7cd6e"
],
"sha256": [
"91a94ca01e17f6fcf6348047dddf5fdd263392d958768ff2f4b1231f3d60b7cf",
"998e3fbc3d984eca67c8c8e237476cbebd128bb0b438a32412bcee37da73b969",
"06b820e333d4893dee60b61c149d7a3a2e22134e3c42317e189a446e551f14ac"
],
"imphash": [],
"domain": [
"notificacao.noticiasnovidads.xyz",
"italy-845d4-default-rtdb.asia-southeast1.firebasedatabase.app"
],
"url": [
"http://64.23.164.170/shollrussia.png",
"http://64.23.164.170/",
"https://notificacao.noticiasnovidads.xyz/clientes/"
],
"ipv4": [
"64.23.164.170"
],
"email":
[] },
"email_victim": [],
"ioca_version": "1.0",
"organization": "cert-agid"
}
}

Gli utenti sono invitati a scaricare il documento contenente questi indicatori per verificare la presenza del malware sui propri sistemi. Il file con i dettagli tecnici è disponibile sul sito ufficiale del CERT-AGID al seguente link: .

Come Proteggersi?

Per proteggersi da questa e altre minacce simili, è essenziale seguire alcune buone pratiche:

• Diffidare delle email sospette:
• Non aprire allegati o cliccare su link in email che non ti aspettavi di ricevere.
• Mantenere aggiornato il software di sicurezza:
• Assicurati di avere un antivirus aggiornato e attivo
• Eseguire regolari scansioni di sicurezza:
• Controllare periodicamente il tuo sistema per individuare eventuali minacce.

L'articolo Campagna Massiva di Malware in Italia: Quasar RAT Minaccia gli Utenti Italiani proviene da il blog della sicurezza informatica.

The adopted text of the UN Cybercrime Convention is a win for digital authoritarianism, which European and like-minded countries must fight, writes Tobias B. Bacherle.

euractiv.com/section/law-enfor…

[saurabhchalke] recently released whisper.unity, a Unity package that implements whisper locally on the Meta Quest 3 VR headset, bringing nearly real-time transcription of natural speech to the device in an easy-to-use way.

Whisper is a robust and free open source neural network capable of quickly recognizing and transcribing multilingual natural speech with nearly-human level accuracy, and this package implements it entirely on-device, meaning it runs locally and doesn’t interact with any remote service.
Meta Quest 3
It used to be that voice input for projects was a tricky business with iffy results and a strong reliance on speaker training and wake-words, but that’s no longer the case. Reliable and nearly real-time speech recognition is something that’s easily within the average hacker’s reach nowadays.

We covered Whisper getting a plain C/C++ implementation which opened the door to running on a variety of platforms and devices. [Macoron] turned whisper.cpp into a Unity binding which served as inspiration for this project, in which [saurabhchalke] turned it into a Quest 3 package. So if you are doing any VR projects in Unity and want reliable speech input with a side order of easy translation, it’s never been simpler.

Negli ultimi anni, con l’avvento di tecnologie avanzate come i Large Language Models (LLM), tra cui spiccano strumenti come ChatGPT, si è diffusa una certa confusione riguardo alla loro natura e alle loro funzionalità.

In particolare, molte persone tendono a considerare un LLM come un database molto evoluto, aspettandosi che fornisca informazioni accurate e aggiornate su richiesta, come farebbe un motore di ricerca o un archivio di dati strutturati. Tuttavia, è fondamentale chiarire che un LLM non è un database, né è progettato per fungere da tale.

Come fa un Large Language Model a generare il testo?

Un Large Language Model, come suggerisce il nome, è un modello addestrato su enormi quantità di testo per imparare le regolarità e le strutture linguistiche presenti nel linguaggio naturale. Quando interagiamo con un LLM, esso non “ricerca” informazioni in un archivio strutturato, ma genera risposte basandosi su un processo di previsione delle parole (più tecnicamente token). Questo processo si basa sull’addestramento del modello con grandi quantità di dati testuali, che gli consentono di “imparare” le probabilità di sequenze di parole.

Ad esempio, se chiediamo a un LLM “Chi è Sandro Pertini?”, il modello non cerca una biografia memorizzata su un server. Piuttosto, utilizza la sua comprensione delle relazioni tra le parole per generare una risposta che appare coerente e informativa, basandosi sulle probabilità che ha appreso durante l’addestramento. Il modello tenta di prevedere la sequenza di parole più probabili, dato l’input fornito. Ciò significa che il modello può produrre risposte convincenti, ma non garantisce che queste siano accurate o aggiornate, portando in alcuni casi a vere e proprie allucinazioni.

Per capire meglio come un LLM riesce a generare testo, immaginiamo di chiedere al modello di completare la frase: “Il gatto salta sul”.

1. Input: “Il gatto salta sul”
   Il modello riceve questa sequenza di parole come input e, basandosi sull’addestramento ricevuto, prevede quale parola sia più probabile che segua. Considerando le parole “gatto” e “salta”, il modello potrebbe riconoscere che l’azione di saltare è spesso seguita da un complemento che indica una superficie.
2. Prima Predizione: La parola successiva potrebbe essere quindi “tavolo”, “letto”, “sedia”, ecc. Supponiamo che il modello scelga “tavolo” come la parola con la probabilità più alta.
   Output parziale: “Il gatto salta sul tavolo”
3. Seconda Predizione: Ora che il modello ha aggiunto “tavolo”, analizza di nuovo l’intera sequenza e prevede che la parola successiva potrebbe essere una parola come “per”, “dove”, “e”, ecc. Supponiamo scelga “e”.
   Output parziale: “Il gatto salta sul tavolo e”
4. Terza Predizione: A questo punto, il modello potrebbe prevedere che la sequenza è seguita da un’altra azione correlata. Potrebbe quindi generare parole come “si sdraia”, “miagola”, “scappa”, ecc. Supponiamo che preveda “si sdraia”.
5. Output finale: “Il gatto salta sul tavolo e si sdraia”

In questo esempio, il modello ha generato ogni parola successiva basandosi su ciò che ritiene più probabile, data la sequenza precedente ed il contesto appreso durante l’addestramento. Questo processo di predizione continua fino a quando il modello decide che la frase è completa o fino a un determinato limite di lunghezza della sequenza.

Inoltre, come si evince dall’esempio, la generazione di testo da parte di un LLM non avviene attraverso una ricerca attiva di informazioni su cosa fanno i gatti o su quale sia il comportamento più comune. Invece, il modello sceglie le parole successive in base alla probabilità determinata dai dati su cui è stato addestrato. La scelta di “tavolo” come parola successiva più probabile potrebbe essere stata veicolata dai numerosi esempi visti nell’addestramento in cui i gatti saltano su tavoli o altre superfici simili. Questa scelta non è basata su una comprensione concettuale del comportamento dei gatti, ma su un calcolo probabilistico che riflette i pattern linguistici presenti nei dati su cui il modello è stato addestrato.

Questo sottolinea la differenza fondamentale tra un LLM e un database: il modello non “sa” nulla in senso tradizionale, ma genera risposte basandosi su ciò che è più probabile che segua un dato input, secondo i dati testuali che ha elaborato durante l’addestramento.

Cos’è il Cutoff Knowledge?

Un concetto chiave per comprendere le limitazioni di un LLM è quello del Cutoff Knowledge. Questo termine si riferisce al punto temporale fino al quale il modello è stato addestrato. Per esempio, se un LLM è stato addestrato su testi fino al 2021, non avrà conoscenza degli eventi o delle scoperte avvenute dopo quella data. Ciò evidenzia ulteriormente perché un LLM non può essere considerato un database: i database sono progettati per contenere informazioni aggiornate e possono essere costantemente alimentati con nuovi dati, mentre un LLM ha una base di conoscenza statica limitata al periodo di addestramento.

Questo taglio temporale implica che un LLM potrebbe fornire informazioni obsolete o inaccurate se interrogato su argomenti successivi alla data di cutoff. Mentre un database può essere aggiornato con nuovi dati, l’aggiornamento di un LLM richiede un nuovo ciclo di addestramento su dati più recenti, il che è un processo molto più complesso e costoso.

Conclusioni

In sintesi, un Large Language Model non è un database e non dovrebbe essere trattato come tale. Mentre entrambi gli strumenti possono essere utilizzati per rispondere a domande, lo fanno in modi completamente diversi. Un database recupera e restituisce dati puntuali, mentre un LLM genera testo basato su un’ampia comprensione del linguaggio naturale. Questo significa che, sebbene un LLM possa sembrare una fonte di informazioni, è importante usarlo con la consapevolezza delle sue limitazioni, specialmente quando si tratta di ottenere dati precisi e aggiornati.

L'articolo Perché un Large Language Model (LLM) non è un Database? proviene da il blog della sicurezza informatica.

Le interviste recentemente rilasciate con importanti autori di doxing fanno luce sul lato finanziario della pratica e rivelano come i loro metodi di estorsione siano diventati sempre più brutali.

Il termine “doxing” viene utilizzato per descrivere situazioni in cui qualcuno rivela deliberatamente la vera identità di una persona pubblicando documenti e dati sensibili. Questa pratica è diffusa, esiste da molti anni e viene spesso utilizzata dai criminali informatici a scopo di lucro.

La portata del mercato del doxing è sbalorditiva. La piattaforma leader per la condivisione di tali informazioni, Doxbin, conta circa 300.000 utenti registrati e più di 165.000 pubblicazioni.

La popolarità di Doxbin rende questa pratica particolarmente redditizia. Se stessimo parlando di un sito sotterraneo poco conosciuto e che nessuno visita, alla gente non importerebbe molto che i suoi dati fossero pubblicati lì.

Secondo gli ex membri di Doxbin, il sito ha generato annualmente ricavi a sei cifre grazie ai riacquisti. Questa informazione è stata fornita da un criminale informatico noto come Ego, ex membro del gruppo ViLE, i cui membri si sono recentemente dichiarati colpevoli di aver violato il portale della Drug Enforcement Administration statunitense per raccogliere dati su persone di interesse.

Ego e un amministratore Doxbin di nome “Reiko” sono stati intervistati l’anno scorso da Jacob Larsen, ricercatore di minacce e specialista presso CyberCX. Larsen ha reso pubblico il loro dialogo per la prima volta questa settimana come parte della sua presentazione al Black Hat 2024 .

Dopo l’intervista entrambi gli interlocutori sono scomparsi dalla rete. Ego è scomparso ad agosto 2023, poco dopo l’arresto di due membri di ViLE. Reiko non si vedeva da maggio, in seguito al presunto rapimento del proprietario di Doxbin, detto “Operator“.

Larsen ha osservato che mentre Reiko ha rimosso gran parte della sua presenza online, il sito del suo gruppo di doxer, Valhal.la, è ancora operativo. La recente comparsa di nuovi membri sul sito indica che Reiko continua le sue attività in questo settore.

Per Ego, il doxing era solo un reddito secondario. Secondo lui, poco prima del colloquio, ha completato la sua formazione come ingegnere di rete. In una conversazione con Larsen, Ego ha condiviso: “Sono piuttosto giovane e non ho mai lavorato dalle 9 alle 5. Onestamente non credo che cambierà nulla. Mi sono concentrato sullo studio del networking e recentemente mi sono laureato come ingegnere di rete. Allo stesso tempo, ho ricevuto molti altri certificati. Nell’ultimo anno di studio questa attività è stata la mia principale fonte di reddito”.

A differenza di altre forme di criminalità informatica più redditizie, le motivazioni dei doxer tendono ad essere ambigue. Mentre Ego è chiaramente guidato dal guadagno finanziario, Reiko prende di mira individui specifici, come i molestatori di bambini. Tuttavia, gli incentivi finanziari svolgono senza dubbio un ruolo nelle sue attività.

I criminali informatici spesso cercano di mascherare le loro intenzioni egoistiche con motivazioni politiche o sete di giustizia. Apparentemente, la stessa situazione si osserva nel caso del doxing. Almeno questa è l’opinione di Larson.

Sebbene il doxing non sia illegale nella maggior parte dei paesi, i metodi utilizzati per ottenere informazioni spesso violano la legge. Ego ha ammesso di aver utilizzato trojan RAT, tecniche di ingegneria sociale e richieste false per ottenere dati di emergenza dalle forze dell’ordine.

Di particolare preoccupazione è la crescente tendenza a ricorrere alla violenza fisica per intimidire le vittime e indurle a pagare i riscatti. Ego ha descritto casi in cui alcune persone che avevano dati divulgati sono state attaccate: hanno sparato alle loro case e hanno lanciato bombe molotov attraverso le finestre. Ha anche menzionato casi di tortura e omicidio per impossessarsi dei beni di criptovaluta di altre persone.

Larsen ha osservato che molti “paste” (si chiamano le pubblicazioni su Doxbin) contengono messaggi che incoraggiano la vittima a suicidarsi o incitano la comunità dei doxer ad infliggere ulteriori danni. Questi post non vengono moderati dagli amministratori del sito.

Il ricercatore ha anche scoperto che i servizi che creano danni fisici stanno diventando sempre più diffusi tra i idoxer.

Al termine del suo discorso, Larson ha sottolineato che è necessario modificare le leggi per proteggere le vittime delle piattaforme di doxing e influenzare efficacemente i criminali coinvolti in tali programmi. Ha inoltre formulato raccomandazioni per proteggersi dal doxing, compreso l’utilizzo di indirizzi e-mail e password univoci per tutti gli account, l’utilizzo di una VPN e il divieto di pubblicare online il nome completo o le foto di amici e familiari.

L'articolo Terrore su Ordinazione. Il Doxing: tra violenza fisica e guadagni a sei zeri proviene da il blog della sicurezza informatica.

Samsung sta lanciando un nuovo programma bug bounty per i suoi dispositivi mobili. La ricompensa per la scoperta di vulnerabilità critiche può raggiungere 1.000.000 di dollari.

Il nuovo programma si chiama Important Scenario Vulnerability Program (ISVP) e prende di mira le vulnerabilità associate all’esecuzione di codice arbitrario, allo sblocco del dispositivo, al furto di dati, all’installazione arbitraria di applicazioni e all’elusione della sicurezza del dispositivo.

I premi più alti vengono offerti ai ricercatori che troveranno i seguenti bug:

• Knox Vault è l’ambiente isolato e sicuro di Samsung per l’archiviazione di informazioni biometriche sensibili e chiavi crittografiche sui dispositivi mobili. L’azienda è disposta a pagare 300.000 dollari per un exploit funzionante per l’esecuzione locale di codice arbitrario sui dispositivi Samsung e fino a 1.000.000 di dollari per l’esecuzione remota di codice arbitrario.
• TEEGRIS OS è il sistema operativo Trusted Execution Environment (TEE) di Samsung, che fornisce un ambiente sicuro e isolato per l’esecuzione di codice critico e l’elaborazione di dati critici, inclusi pagamenti e autenticazione. La ricompensa per l’esecuzione locale di codice arbitrario nel sistema operativo TEEGRIS è di 200.000 dollari, mentre per l’esecuzione remota di codice arbitrario arriva fino a 400.000.
• Rich OS è il sistema operativo principale sui dispositivi Samsung. Gli esperti possono guadagnare 150.000 dollari per l’esecuzione di codice locale e fino a 300.000 dollari per RCE.

Per lo sblocco del dispositivo in combinazione con l’estrazione completa dei dati dell’utente, viene offerta una ricompensa di $ 400.000 (o la metà se le condizioni vengono soddisfatte dopo il primo sblocco del dispositivo).

Un’altra grossa ricompensa ammonta a 100.000 dollari per l’installazione remota di un’applicazione arbitraria da un negozio di applicazioni non ufficiale o dal server di un utente malintenzionato. Se l’applicazione è stata installata dal Galaxy Store, la ricompensa sarà di 60.000 dollari.

Per qualificarsi per i premi, i ricercatori devono accompagnare i loro rapporti con exploit funzionanti, che devono funzionare senza privilegi aggiuntivi sui dispositivi di punta dell’azienda (come Galaxy S e Z) con tutti gli aggiornamenti installati.

Per ottenere la massima ricompensa, l’exploit deve essere stabile e zero-click, ovvero non deve richiedere l’interazione dell’utente.

L'articolo Fino ad un Milione di Dollari in ricompense! Il nuovo Bug Bounty di Samsung proviene da il blog della sicurezza informatica.

In a recent video, [Joel] of 3D Printing Nerd interviews a researcher at University of California, Berkeley about their work with glass 3D printing technology. A resin is impregnated with tiny glass nanoparticles and produces green parts. An oven burns away the resin and then another heating step produces the actual silica glass part. You can see a video about the process below.

As you might expect with glass, the temperatures are toasty. The first burn is at 1100 C and the fusing burn is at 1300 C. The nanoparticles are about 40 nanometers across. The resulting parts are tiny with very small feature sizes. The technology to do this has been around for a few years, and the University continues researching this form of computed axial lithograph (CAL) 3D printing. These parts are so small that it uses an adaptation called microCAL that produces much smaller parts at high precision. However, the equipment available today won’t produce very large objects. The video talks about the uses for some of these small glass items.

We wonder how much the firings in the ovens change the tiny tolerances. They obviously work, so either they account for that or it doesn’t shrink much.

If you want your own 3D printed glass, a laser system might be more practical. If you just want transparent plastic, your FDM printer can do that. Really.

youtube.com/embed/pkBP_eO-Pug?…

When we think of fishing rods, the image brought to mind is one of a tweed-clad fisherman in his waders in a wild salmon stream, his line whipping about as it guides the fly over the surface of the water. Angling is a pursuit with a heritage, and having a lengthy rod seems an essential for its enjoyment. But perhaps your tackle needn’t be such an important factor, and in that spirit here’s [3dcreation] with a tiny but fully functional 3D printed fishing rod.

If you’ve ever seen a fisherman working through a hole in the ice, you may have some idea of the type of rod in question, it’s a stubby affair half handle and half rod, with a rudimentary reel in the middle. In the pictures it’s loaded up with line, weight ready to go, so we can see how it’s supposed to work. We’re not anglers here though, so the question of whether it would indeed work is one for your imagination.

Perhaps surprisingly, few anglers find their way onto these pages. One of the few that has, used a drone.