La Digital Forensic, o informatica forense, è una disciplina che si occupa della raccolta, conservazione, analisi e presentazione di dati digitali in modo da essere utilizzati come prova in un contesto legale. Questo campo è diventato sempre più rilevante con la diffusione di tecnologie digitali in quasi tutti gli aspetti della vita quotidiana e l’aumento di crimini informatici, come frodi, attacchi hacker, e violazioni della privacy.

Definizione e Obiettivi della Digital Forensic

La Digital Forensic può essere definita come un insieme di tecniche e strumenti utilizzati per identificare, conservare, analizzare e documentare informazioni digitali per scopi investigativi e legali. L’obiettivo principale è quello di ottenere prove digitali che siano ammissibili in tribunale. Le prove devono essere raccolte in modo rigoroso per evitare qualsiasi tipo di alterazione, contaminazione o perdita di dati.

Catena di Conservazione dei Dati

Un concetto fondamentale nella Digital Forensic è la Catena di Conservazione dei Dati (o Chain of Custody). Questa catena rappresenta la documentazione continua e ininterrotta che descrive la gestione, la custodia, il controllo e l’analisi dei dati digitali dalla loro acquisizione fino alla loro presentazione in tribunale. Ogni passaggio deve essere registrato dettagliatamente, assicurando che i dati non siano stati alterati durante il processo. Il mantenimento di una catena di conservazione intatta è essenziale per garantire l’integrità delle prove e la loro ammissibilità legale.

Tipi di Analisi Forensi

La Digital Forensic comprende diverse tipologie di analisi, ciascuna focalizzata su differenti fonti e forme di dati digitali. Le principali analisi forensi sono:

1. Forensic su Computer: Questo tipo di analisi si concentra sull’estrazione e l’analisi di dati da computer e dispositivi di archiviazione, come hard disk, SSD, e chiavette USB. Le tecniche includono il recupero di file cancellati, la decrittazione di dati cifrati, e l’analisi di log di sistema.
2. Forensic su Reti: In questo ambito, l’analisi si concentra sui dati trasmessi attraverso reti informatiche, come pacchetti di dati, log di rete, e traffico internet. Questo tipo di analisi è spesso utilizzato per indagare su attacchi informatici e accessi non autorizzati.
3. Mobile Forensic: Si occupa dell’analisi di dispositivi mobili come smartphone e tablet. I dati estratti possono includere messaggi, contatti, registri delle chiamate, geolocalizzazioni e applicazioni installate. È particolarmente utile nelle indagini criminali e nelle controversie legali.
4. Forensic su Cloud: Questa analisi riguarda la raccolta e l’analisi di dati conservati su servizi cloud, che rappresentano una sfida particolare a causa della natura distribuita e della gestione remota dei dati.
5. Forensic su Social Media: Focalizzata sull’analisi dei contenuti e delle attività sui social media, questo tipo di indagine è utile per comprendere le comunicazioni e le interazioni digitali in ambito investigativo.

Importanza delle Analisi Forensi

Le analisi forensi digitali sono cruciali per diverse ragioni:

• Raccolta di Prove: Forniscono prove fondamentali per la risoluzione di casi legali, come frodi finanziarie, cyberstalking, e violazioni di dati.
• Prevenzione e Sicurezza: Contribuiscono a migliorare la sicurezza delle reti e dei sistemi informatici attraverso l’identificazione di vulnerabilità e la ricostruzione di attacchi.
• Integrità dei Dati: Garantiscono che le prove digitali rimangano intatte e non alterate, elemento essenziale per il loro utilizzo in tribunale.

Implicazioni Giuridiche

L’uso della Digital Forensic ha profonde implicazioni legali. Per prima cosa, le prove digitali devono essere raccolte seguendo rigide procedure per garantirne l’ammissione in tribunale. Questo include il rispetto della catena di conservazione e l’uso di tecniche di acquisizione di dati che siano accettate dalla comunità legale. Le normative sulla protezione dei dati, come il GDPR in Europa, aggiungono ulteriori strati di complessità, richiedendo che le indagini forensi rispettino la privacy e i diritti degli individui.

Inoltre, gli esperti di Digital Forensic possono essere chiamati a testimoniare come periti in tribunale, fornendo spiegazioni tecniche e interpretazioni dei dati digitali raccolti. La loro capacità di presentare i risultati in modo chiaro e comprensibile è fondamentale per l’efficacia delle indagini.

Conclusione

La Digital Forensic rappresenta un pilastro fondamentale nella lotta contro il crimine informatico e nella risoluzione di controversie legali che coinvolgono dati digitali. Attraverso tecniche avanzate e una rigorosa gestione delle prove, questa disciplina garantisce che le informazioni digitali possano essere utilizzate in modo efficace e legale per proteggere i diritti e la sicurezza degli individui e delle organizzazioni.

L'articolo Digital Forensic: La Scienza che Svela i Segreti Nascosti nei Dati proviene da il blog della sicurezza informatica.

The Macintosh Plus is not exactly known as particularly relevant in the worlds of chiptune or electronic music more broadly. That’s not to say it can’t do anything that sounds cool, however. As [Action Retro] demonstrates, it’s got some really impressive tricks up its sleeve if you know what you’re doing.

The video centers around “Music Mouse”, a piece of software created by Laurie Spiegel for the Macintosh Plus all the way back in 1986. Spiegel saw the Macintosh Plus as a potential instrument for musical expression, with the then-innovative mouse as the key human interface.

[Action Retro] shows off the software, which is able to create rather pleasing little melodies with little more than a swish and a swash across the mousepad. The software makes smart use of scales so you’re not forever dodging around dissonant notes, so it’s quite easy to play something beautiful. He then makes things more interesting by pairing the Macintosh Plus with his favorite guitar pedal—the Old Blood Noise Endeavors Sunlight. It’s a dynamic reverb that really opens up the sonic landscape when paired with the Mac Plus. If you’re looking for a weird avant-garde setup to take on stage at your next noise show, this has to be it.

We’re usually used to seeing Nintendo and Commodore products in the retro computer music space. The Mac makes a nice change. Video after the break.

youtube.com/embed/xxhRR17pqe4?…

Ride-hailing platform Uber has been fined 290 million euros in the Netherlands for sending the personal data of European taxi drivers to the United States in violation of EU rules, Dutch data protection watchdog DPA said on Monday (26 August).

euractiv.com/section/global-eu…

Here’s the thing about robots. It’s hard for them to figure out where to go or what they should be doing if they don’t know where they are. Giving them some method of localization is key to their usefulness in almost any task you can imagine. To that end, [Guy Elmakis], [Matan Coronel] and [David Zarrouk] have been working on methods for pairs of robots to help each other in this regard.

As per the research paper, the idea is to perform real-time 3D localization between two robots in a given location. The basic idea is that the robots take turns moving. While one robot moves, the other effectively acts as a landmark. The robots are equipped with inertial measurement units and cameras in a turret, which they use to track each other and their own movements. Each robot is equipped with a Raspberry Pi 4 for processing image data and computing positions, and the two robots communicate via Bluetooth to coordinate their efforts.

It’s an interesting technique that could have some real applications in swarm robotics, and in operations in areas where satellite navigation and other typical localization techniques are not practical. If you’re looking for more information, you can find the paper here. We’ve seen some other neat localization techniques for small robots before, too. Video after the break.

youtube.com/embed/GDQG5ltDAM0?…

3D printing is all well and good for making low numbers of units, so long as they’re small enough to print in a reasonable time, but what if you want to go really big? Does a 35-hour print time sound like a fun time? Would it even make it that long? [Nathan] from Nathan Build Robots didn’t fancy the wait, so they embarked on a project to build a huge parallel 3D printer with four independent print heads. Well, kind of.
Checkout this cool multi-material print with this weird shimmering effect
The premise seems obvious at first glance: More print heads mean more plastic is laid down per unit of time. As long as you can maximise the nozzle diameter and machine speed, it should theoretically be possible to speed things up massively. But it doesn’t work like that. The custom machine they constructed utilises a polar coordinate system, with a rotating bed (the ‘theta’ axis) and four radial axis gantries arranged at 90 degrees to each other. Each gantry has its own independent extruder, so multilateral printing is also an upfront option. [Nathan] laments that the problem with constructing such a beast is not so much the mechanical aspects but the limitations in the current firmwares out in the wild. There are also more complex considerations at the slicing level, so getting the machine to operate as desired is quite a large programming task! Right now, this means that each radial axis must operate in lock-step, meaning objects to be printed must be rotationally symmetric of order four. Another option is to print four copies of a much smaller object in parallel, which has its use cases, but that’s not their end goal. [Nathan] says he was going for a record-breaking 20kg print. However, multiple issues with alignment over height and bed adhesion, not to mention keeping the extruders fed with fresh filament, scuppered this first attempt.

There are some large hurdles regarding alignment. The four corner verticals can be out of alignment with each other in all sorts of ways, causing the radial axis to shift as the Z axis moves. We suspect that’s just one glaring problem, and other more subtle issues are waiting in the wings to cause problems in the future, but we’ll keep an eye on this and see where it goes!

We covered a few projects turning up the 3D printing knobs lately. Here’s a big printer, for big prints. Our thoughts about speed printing and, lastly, a fascinating machine mod that optimises colour swapping by having automated hot end swapping.

youtube.com/embed/9OBDJbKhOGo?…

Printed circuit boards are typically only something you’d find in a digital watch. However, as [IndoorGeek] demonstrates, you can put them to wonderful use in a classical analog watch, too. They can make the perfect watch dial!

Here’s the thing. A printed circuit board is fundamentally some fiberglass coated in soldermask, some copper, maybe a layer of gold plating, and with some silk screen on top of that. As we’ve seen a million times, it’s possible to do all kinds of artistic things with PCBs; a watch dial seems almost obvious in retrospect!

[IndoorGeek] steps through using Altium Designer and AutoCAD to layout the watch face. The guide also covers the assembly of the watch face into an actual wrist watch, including the delicate placement of the movement and hands. They note that there are also opportunities to go further—such as introducing LEDs into the watch face given that it is a PCB, after all!

It’s a creative way to make a hardy and accurate watch face, and we’re surprised we haven’t seen more of this sort of thing before. That’s not to say we haven’t seen other kinds of watch hacks, though; for those, there have been many. Video after the break.

youtube.com/embed/PL8o77ZE43k?…

[Stoppi] has taken on a fascinating project involving the interference of thin layers, a phenomenon often observed in everyday life but rarely explored in such depth. This project delves into the principles of interference, particularly focusing on how light waves interact with very thin films, like those seen in soap bubbles or oil slicks. The post is in German, but you can easily translate it using online tools.

Interference occurs when waves overlap, either reinforcing each other (constructive interference) or canceling each other out (destructive interference). In this project, [Stoppi] specifically examines how light behaves when passing through thin layers of air trapped between semi-transparent mirrors. When light waves reflect off these mirrors, the difference in path length leads to interference patterns that depend on the layer’s thickness and the wavelength of the light.

To visualize this, [Stoppi] used an interferometer made from semi-transparent mirrors and illuminated it with a bulb to ensure a continuous spectrum of light. By analyzing the transmitted light spectrum with a homemade spectrometer, he observed clear peaks corresponding to specific wavelengths that could pass through the interferometer. These experimental results align well with theoretical predictions, confirming the effectiveness of the setup.

If you like pretty patterns, soap bubbles are definitely good for several experiments. Don’t forget: pictures or it didn’t happen.

youtube.com/embed/30xnIkABF4o?…

Le autorità francesi hanno mosso gravi accuse contro Pavel Durov, fondatore e capo di Telegram.

Queste accuse sono il risultato di un’indagine avviata l’8 luglio 2024 dall’unità criminalità informatica della Procura di Parigi.

Tra le accuse avanzate:

1. Gestione di una piattaforma online per transazioni illegali da parte di un gruppo criminale organizzato.
2. Rifiuto di fornire, su richiesta delle autorità autorizzate, informazioni o documenti necessari per effettuare intercettazioni lecite.
3. Complicità nel possesso di immagini pornografiche che coinvolgono minorenni.
4. Complicità nella distribuzione, offerta o messa a disposizione di immagini pornografiche di minori.
5. Assistenza nell’acquisizione, trasporto, stoccaggio, offerta o trasferimento di farmaci.
6. Facilitare l’offerta, il trasferimento o la fornitura senza basi legali di strumenti, programmi o dati destinati a interferire con il funzionamento di un sistema di trattamento automatizzato dei dati.
7. Complicità in una frode commessa da un gruppo organizzato.
8. Associazione a delinquere finalizzata a commettere un delitto o un reato minore punibile con cinque anni di reclusione.
9. Riciclaggio di denaro da parte della criminalità organizzata.
10. Fornire servizi di crittografia per garantire la riservatezza senza una dichiarazione corrispondente.
11. Fornitura di un cripto-equipaggiamento che non svolge esclusivamente funzioni di autenticazione o controllo di integrità, senza preventiva applicazione.
12. Importazione di un dispositivo crittografico che non svolge esclusivamente funzioni di autenticazione o controllo di integrità senza preventiva dichiarazione.

Secondo la procura di Parigi, Telegram non garantisce il livello adeguato di moderazione e non adotta misure per reprimere il traffico di droga e la distribuzione di contenuti che coinvolgono bambini sulla piattaforma.

Durov è anche accusato di essersi rifiutato di fornire alle autorità i dati richiesti o i documenti necessari per condurre e utilizzare le intercettazioni autorizzate dalla legge.

Questa posizione è dovuta ai frequenti rifiuti di Telegram di collaborare con le autorità di vari paesi, incluso il rifiuto di trasferire informazioni sugli autori di reato.

È stato riferito che Durov potrebbe rimanere in custodia fino al 28 agosto, a causa delle peculiarità della procedura applicata ai reati legati alla criminalità organizzata.

L’incidente ha attirato l’attenzione delle autorità francesi ai massimi livelli. Il presidente francese Emmanuel Macron ha commentato la situazione, confutando qualsiasi suggerimento secondo cui l’arresto di Durov fosse legato a pressioni politiche o ad eventuali decisioni politiche.

La natura degli eventi che circondano Telegram mette in discussione l’universalità della sua politica sulla privacy. Rimangono aperte le domande su come il messenger risponderà alle richieste delle forze dell’ordine di diversi paesi con diversi sistemi giuridici. Queste accuse sollevano seri interrogativi sul futuro di Telegram, sulle sue politiche sulla privacy e sulla sua capacità di rispettare le leggi di vari paesi.

L'articolo Le 12 accuse mosse delle autorità Francesi contro Pavel Durov che aprono importanti riflessioni proviene da il blog della sicurezza informatica.

If there’s a constant in the world of electronics, it’s change. Advancements and breakthroughs mean that what was once state-of-the-art all too soon finds itself collecting dust. But there are exceptions. Perhaps because they’re so much more visible to us than other types of components, many styles of displays have managed to carve out their own niche and stick around. Even for the display types that we no longer see used in consumer hardware, their unique aesthetic qualities often live on in media, art, and design.

This year, to coincide with Hackaday Supercon, the folks at Supplyframe’s DesignLab want to pay tribute to display technology past and present with a special exhibit — and they need your help to make it possible. If you have a display you’d like to show off, fill out this form and tell them what you’ve got. Just be sure to do it by September 16th.

For the larger specimens, it would be ideal if you’re somewhat local to Southern California, but otherwise, they’re looking for submissions from all over the world. The exhibit will open on the first day of Supercon and run throughout November.

Don’t worry. They’re only looking to raid your parts bin temporarily. Any hardware sent in to be part of the exhibit will be considered on loan, and they’ll make sure it gets back to where it belongs by January 31st, 2025. The goal is to show the displays on and operational, so in most cases, that’s going to mean sending over a complete device. But if it’s possible to isolate the display itself and still demonstrate what it would look like in operation, sending along just the bare display is an option.

Of course, there are examples where the display itself is so fundamental as to be inseparable; what would the Sharp EL-8 have been without that gorgeous vacuum fluorescent display (VFD)? In that case, please don’t tear apart some classic device on our account. Just explain what the device is, and the DesignLab will see if they can make the appropriate accommodations.

Looking for some inspiration? Here’s just a few of the different display types the DesignLab is looking for, in no particular order:

• Nixie Tubes
• Vacuum Fluorescent Displays (VFDs)
• Plasma Displays
• Color/B&W Cathode-Ray Tubes (CRTs)
• Round Displays
• Numitrons
• Dekatrons
• Color/Grayscale ePaper/eInk
• Alphanumeric Segmented LEDs
• Non-English Segmented LEDs
• Flip-Disc/Flip-Dot
• Refreshable Braille Displays
• Volumetric Displays
• Displays with Unusual Fonts

Keep in mind that the display doesn’t need to be commercially produced either. If you’ve built a custom display that uses any of these core technologies (such as a homebrew segmented LED display), we’d love to see it.

Spread the Word!

If you’re reading Hackaday, there’s an excellent chance you’ve got some cool hardware buried in your closet or stuffed in a drawer somewhere that’s been waiting for a moment like this to shine again. But even if you don’t, we bet you know somebody who does, so please share the submission form with any individuals or groups you think might be interested.

With the community’s help, this exhibit promises to be a fascinating addition to Hackaday Supercon.

L’hacker dell’USDoD ha rivelato la sua identità e ha affermato di essere Luan G., 33 anni, dello stato di Minas Gerais in Brasile. USDoD (EquationCorp) è noto per aver divulgato dati pubblici nazionali (NPD) e pubblicato online oltre 3,2 miliardi di numeri di previdenza sociale.

Durante un’intervista con Hackread, l’hacker ha confermato che la sua identità è stata rivelata da CrowdStrike. Ricordiamo che a luglio l’USDoD ha annunciato il furto di un elenco interno completo di minacce dal database CrowdStrike. Meno di un mese dopo, CrowdStrike è riuscito a rilevare l’identità dell’hacker.

USDoD dichiara che è arrivato il momento di porre fine al cybercrime

L’USDoD è stato coinvolto anche nell’hacking della piattaforma di sicurezza InfraGard dell’FBI, che ha esposto le informazioni personali di 87.000 utenti. Inoltre, l’hacker è stato coinvolto in altre importanti fughe di dati e incidenti.

Lo stesso USDoD ha dichiarato la sua intenzione di cambiare vita e porre fine alla criminalità informatica per “fare qualcosa di positivo per il Brasile”. L’hacker ha ammesso che era giunto il momento di assumersi la responsabilità delle sue azioni: “Congratulazioni a CrowdStrike per avermi smascherato, anche se Intel421 Plus e diverse altre società lo avevano già fatto prima dell’hacking di InfraGard. Voglio ringraziarti, è ora di ammettere che ho perso ed è ora di abbandonare il gioco. Sì, è Luan che parla. Non scapperò, sono in Brasile, nella stessa città dove sono nato. Sono una risorsa preziosa e forse presto ne parlerò con i responsabili, ma tutti sapranno che dietro lo pseudonimo USDoD si nasconde una persona comune. Non posso vivere una doppia vita, ed è ora di assumermi la responsabilità delle mie azioni, non importa quanto caro possa costarmi.”

Gli esperti del settore hanno espresso dubbi sulla sincerità delle intenzioni dell’hacker di porre fine alle attività criminali. Secondo gli esperti, se un hacker volesse davvero iniziare una nuova vita, potrebbe costituirsi presso l’ambasciata più vicina, stringere un accordo redditizio con il sistema giudiziario e pochi anni dopo diventare uno specialista rispettato della sicurezza informatica. Si suggerisce inoltre che l’intervista possa far parte di una strategia di disinformazione volta a distogliere l’attenzione dai recenti attacchi.

CrowdStrike ha descritto il proprio lavoro in un rapporto ottenuto da TecMundo da una fonte anonima. Gli specialisti avevano a loro disposizione documenti fiscali, indirizzi email, domini registrati, indirizzi IP, account di social media, numero di telefono e informazioni sulla città di residenza di Luan. Tuttavia, non vengono divulgati dati più precisi per evitare la completa fuga dell’identità del criminale.

Chi è Luan B.G.

Luan B.G. ha una lunga storia nel campo dell’hacktivismo, iniziata nel 2017, e successivamente le sue attività sono passate alla fase più seria del crimine informatico. Gli investigatori sono riusciti a identificare Luan grazie all’utilizzo dello stesso indirizzo email per registrarsi su diversi forum e social network, cosa che ha permesso di tracciare le sue attività dal 2017 al 2022.

Lo stesso indirizzo è stato utilizzato per creare account su GitHub e registrare domini associati a progetti di armi informatiche. Sulla base dei dati raccolti sono stati rinvenuti altri profili sui social network.

Il profilo sui social media di Luan

È interessante notare che Luan B.G. non ha nascosto la sua identità e ha persino rilasciato un’intervista nel 2023, in cui ha affermato di avere la doppia cittadinanza: brasiliana e portoghese, e ha anche menzionato che viveva in Spagna. Tuttavia, Luan in seguito affermò che tutte le informazioni disponibili al pubblico sulla sua identità erano informazioni errate.

Inoltre, una fuga di notizie su BreachForums nel luglio 2024, quando gli indirizzi IP degli utenti furono esposti, contribuì a rivelare che Luan stava utilizzando IPv4 dinamico e diversi IPv6 appartenenti a un provider Internet brasiliano a Minas Gerais.

Tutti i dati raccolti sono stati ora trasferiti alle autorità competenti. CrowdStrike continua a monitorare l’attività dell’USDoD mentre il gruppo continua a dedicarsi allo spionaggio informatico e al ricatto offrendo in vendita dati rubati.

Ma potrebbe essere una mossa astuta dell’hacker criminale

Secondo gli esperti, la pubblicazione di informazioni sull’identità di Luan difficilmente influenzerà le sue attività a breve termine, poiché probabilmente negherà il suo coinvolgimento o dirà di aver deliberatamente ingannato i ricercatori. I ricercatori sottolineano che il desiderio di Luan di essere riconosciuto nelle comunità degli hacktivisti e del crimine informatico probabilmente significa che non ha intenzione di interrompere presto le sue attività.

La divulgazione dell’identità dell’hacker dell’USDoD come cittadino brasiliano ha implicazioni significative dato il suo coinvolgimento in violazioni di dati di alto profilo. Secondo il trattato di estradizione tra Stati Uniti e Brasile, le autorità americane possono richiedere la sua estradizione per far fronte alle accuse di crimini informatici. Tuttavia, il Brasile spesso non estrada i suoi cittadini, il che potrebbe complicare gli sforzi per consegnare l’hacker alla giustizia negli Stati Uniti. Se l’estradizione venisse negata, l’hacker potrebbe comunque essere punito secondo le leggi brasiliane sulla criminalità informatica.

La determinazione di Luan G. nel voler cambiare la sua vita e dare un contributo positivo al Brasile potrebbe anche influenzare l’approccio delle autorità al suo caso, magari concentrandosi sulla riabilitazione piuttosto che sulla dura punizione.

L'articolo CrowdStrike smaschera USDoD! L’hacker Criminale che colpì la piattaforma InfraGard dell’FBI proviene da il blog della sicurezza informatica.

The arrest of Telegram CEO Pavel Durov in Paris has nothing to do with restricting free speech, French President Emmanuel Macron said.

euractiv.com/section/platforms…

JUST SEND NOW THIS MESSAGE TO THE FACEBOOK PAGE facebook.com/facebook :

"STOP BANNING AND SHADOWBANNING POSTS AND NEWS ABOUT PALESTINE AND THE ONGOING GENOCIDE!"

--------------------------------------
#facebook #genocide #Gaza #Palestine #izrahell #massacre #warcrimes
mastodon.uno/@differx/11302882…
ko-fi.com/post/stop-banning-th…

Have you built yourself a macro pad yet? They’re all sorts of programmable fun, whether you game, stream, or just plain work, and there are tons of ideas out there.

Image by [CiferTech] via Hackaday.IOBut if you don’t want to re-invent the wheel, [CiferTech]’s MicroClick (or MacroClick — the jury is still out) might be just what you need to get started straight down the keyboard rabbit hole.

This baby runs on an ATmega32U4, which known for its Human Interface Device (HID) capabilities. [CiferTech] went with my own personal favorite, blue switches, but of course, the choice is yours.

There are not one but two linear potentiometers for volume, and these are integrated with WS2812 LEDs to show where you are, loudness-wise. For everything else, there’s an SSD1306 OLED display.

But that’s not all — there’s a secondary microcontroller, an ESP8266-07 module that in the current build serves as a packet monitor. There’s also a rotary encoder for navigating menus and such. Make it yours, and show us!

Presenting the Wedgetyl, and Lessons Learned

Believe it or not, the Wedgetyl is [burbilog]’s first build. If you can’t tell the lineage from the name or the photo, this is a dactyl manuform-like design with super wedgy bases and RP2040s for the brains, and Gateron clear switches.

Image by [burbilog] via redditAs this was a first build, there were plenty of lessons learned along the way, and that’s what the bulk of this post is about. While I won’t list all thirteen, here are some of the highlights including the revelation that finding the exact right location for the thumb cluster is the most difficult task of a project like this.

As far as building it goes, the hardest part might be the soldering/wiring, unless you use something like the Amoeba single-switch PCBs which allow for hot swapping. At first, the Wedgetyl had Cherry MX reds, but now it has those Gateron clears.

There are other gems in the post, like all wiring guides on the Internet are crap and TRRS connectors are stupid. While I’d love to see [burbilog] create the ideal wiring guide for at least this keyboard, I totally understand if that’s never going to happen. And apparently they fried some pins on the RP2040 trying to use a TRRS. There are a ton of options out there, and it seems [burbilog] already found one in the form of the 4-pin M8 connector. Great build, [burbilog], and I can’t wait to see your second one.

The Centerfold: Crowkb, Minus a Few Keys

Image by [CrackerRobot] via redditThis lovely little lavender number is the crowkb_38, which is a few keys removed from [CrackerRobot]’s original 46-key crowkb. That slammin’ desk mat is from One of Zero, and the key caps are MBKs. See those pinky keys on the sides there? [CrackerRobot] has them set up as Esc and Enter. What would you use them for?

Do you rock a sweet set of peripherals on a screamin’ desk pad? Send me a picture along with your handle and all the gory details, and you could be featured here!

Historical Clackers: the Corona 3 Folding Typewriter

Image via Antikey Chop
While folding keyboards are quite cool, they are really nothing new. (Are you surprised?) If you were a soldier or a journalist during WWI, or happened to be named Hemingway, chances are good that you would have used a Corona 3 folding typewriter. Huff Post called it the first laptop.

Few typewriters ever reach icon status, and the Corona 3 is one of them. This extremely popular typewriter was made between 1912 and 1941. The platen and carriage fold down over the keyboard, which makes it compact and more portable.

Each of the 28 regular keys has three characters on the type bar, so between lower case, upper case, and all the third functions, you have quite a full keyboard thanks to the layers you get with FIG and CAP. You can see some rather nice pictures here.

The Corona 3 was so successful that the Standard Typewriter company changed its name to the Corona Typewriting Company in 1914. The company merged with L.C. Smith & Brothers Typewriting to become Smith-Corona, and eventually Smith Corona Marchant (SCM) in 1958. After a couple of bankruptcies, the company settled on selling thermal paper.

ICYMI: Keyboard for Ants Gets RGB

Image by [juskim] via YouTubeAughhhh, it’s so tiny! You know I can’t resist things that are either way smaller or way larger than life, and my only regret is that I didn’t see this tiny backlit keyboard before [Lewin] did. Hey, at least I can write about it here.

This actually isn’t [juskim]’s first tiny keyboard, but as you’ll see in the video, it’s much smaller than the previous attempt. Even though it’s tiny, this 60% design is really inclusive, sporting a number row, a function row, and even +/-/= and square brackets.

You can see that it’s small, but if you want to make a maquette to really fathom the size of this thing, it measures 66 mm x 21 mm. Smaller than a Blackberry keyboard. And yes, you can actually type on it, because it’s a real, working keyboard with an ATmega32U4 brain and tiny 3D printed key caps. [juskim] managed to bang out 14 words per minute on it, which is pretty good considering the size.

Got a hot tip that has like, anything to do with keyboards? Help me out by sending in a link or two. Don’t want all the Hackaday scribes to see it? Feel free to email me directly.

Il Consiglio Nazionale delle Ricerche (CNR) è l’ente pubblico di ricerca più importante in Italia, un pilastro della scienza e della tecnologia che supporta la crescita e l’innovazione del paese. Il CNR si occupa di condurre ricerche avanzate in molteplici campi, dalla biomedicina all’intelligenza artificiale, e collabora con istituti e università a livello globale.

Il 25 agosto 2024, questa istituzione è stata vittima di una presunta compromissione della sicurezza informatica. Un criminale informatico, noto come “SilkFin”, ha pubblicato su BreachForums un dump di un database del CNR, esponendo informazioni sensibili legate a progetti di ricerca, sessioni utente e altre attività interne.

Questo atto ha sollevato preoccupazioni significative per la sicurezza della ricerca e delle operazioni del CNR.

Dinamiche della Compromissione

Il presunto attacco informatico è stato reso noto tramite un post su BreachForums, un forum di hacking dove vengono scambiati e venduti dati rubati, vulnerabilità e strumenti per attacchi informatici. “SilkFin“, l’utente che ha caricato i dati, ha annunciato la pubblicazione gratuita del dump del database, affermando che il file conteneva informazioni rilevanti del CNR.

Questo tipo di attacco, qualora confermato, indica una compromissione significativa dei sistemi del CNR, probabilmente attraverso una vulnerabilità non risolta o tramite l’uso di credenziali compromesse.

Al momento, non possiamo confermare la veridicità della notizia, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo deve essere considerato come ‘fonte di intelligence’.

Il Consiglio Nazionale delle Ricerche è il principale istituto pubblico di ricerca in Italia, con una lunga storia di eccellenza scientifica. Fondato nel 1923, il CNR ha sede a Roma e si articola in una vasta rete di istituti e centri di ricerca distribuiti su tutto il territorio nazionale. Il CNR è attivo in tutti i principali settori della scienza e della tecnologia, con particolare attenzione allo sviluppo di nuove tecnologie, alla ricerca applicata e alla collaborazione internazionale. Ogni anno, gestisce un vasto numero di progetti di ricerca, molti dei quali sono finanziati da enti governativi e organizzazioni internazionali.
Piattaforma di File Sharing dove i criminali mettono a disposizione un file con estensione SQL di 5,1 MB

Informazioni sul Criminale

“SilkFin” è un nickname noto nel panorama degli hacker underground, riconosciuto per la sua attività su vari forum dove vengono condivisi dati trafugati da enti governativi e privati. Nonostante la sua reputazione, è raro che rilasci dati gratuitamente, il che potrebbe suggerire una motivazione ideologica o un tentativo di ottenere fama all’interno della comunità di hacking.

La scelta di rendere il file accessibile gratuitamente potrebbe essere stata fatta per massimizzare il danno, esponendo il CNR a ulteriori attacchi da parte di altri criminali informatici.

Contenuto del DataLeak

Il file scaricabile dal DataLeak, reso pubblico dal criminale informatico “SilkFin”, è un dump SQL che contiene una copia completa del database esfiltrato dal sistema del CNR. Questo tipo di file, in formato .sql, rappresenta una snapshot dettagliata dell’intero database al momento della compromissione. In esso sono memorizzate le strutture delle tabelle, i dati degli utenti, le informazioni sulle sessioni attive, le chiavi primarie e relazionali, nonché tutte le informazioni archiviate nelle varie tabelle del database.

Nel caso specifico, il database esfiltrato includeva dettagli sensibili relativi ai progetti di ricerca in corso, alle sessioni degli utenti interni, e altre informazioni cruciali per il funzionamento dell’ente. Questi dati, se analizzati e sfruttati da altri attori malevoli, potrebbero portare a ulteriori violazioni, esponendo il CNR a rischi considerevoli in termini di sicurezza informatica e protezione della proprietà intellettuale.

Dall’analisi del file SQL associato al leak, sono emersi i seguenti dettagli:

Tipo di Database

Il database esfiltrato è gestito da un server [b]MariaDB[/b], una variante popolare di MySQL, versione 5.5.60. Questo tipo di database è comunemente utilizzato per gestire dati strutturati in applicazioni web e sistemi gestionali.

Il database è denominato [b]archmotro2[/b], suggerendo che potrebbe essere legato a un sistema di archiviazione o gestione di informazioni, forse relativo a progetti di ricerca o attività amministrative all’interno del CNR.

Contenuti del Database e impatti potenziali

Il database contiene dati sensibili relativi a:

• Progetti di Ricerca: Informazioni su progetti di ricerca, inclusi titoli, nomi di ricercatori coinvolti, date di inizio e fine, e numeri di bando associati. Questi dati, se utilizzati impropriamente, potrebbero portare a furti di proprietà intellettuale e compromissione di collaborazioni scientifiche.
• Sessioni Utente: Dettagli sulle sessioni attive, con indirizzi IP, agenti utente, e altre informazioni che potrebbero essere utilizzate per attacchi di tipo “man-in-the-middle” o per tentativi di accesso non autorizzato ai sistemi del CNR.

Questi dati, estratti dal database archmotro2, forniscono una visione interna delle operazioni e delle attività del CNR, rendendo evidente la portata della compromissione e i potenziali rischi associati alla divulgazione di tali informazioni.

La compromissione del database potrebbe avere diversi impatti negativi a breve e lungo termine:

1. Perdita di Fiducia: La fiducia tra il CNR e i suoi partner internazionali potrebbe essere seriamente compromessa, mettendo a rischio future collaborazioni e finanziamenti.
2. Furto di Proprietà Intellettuale: L’accesso ai dettagli dei progetti di ricerca potrebbe portare a un furto di idee e tecnologie, mettendo a rischio il vantaggio competitivo del CNR e dell’Italia nel campo della ricerca scientifica.
3. Rischi di Sicurezza Nazionale: Alcuni progetti potrebbero essere legati a settori strategici, come la difesa o la tecnologia avanzata, e la loro compromissione potrebbe avere implicazioni per la sicurezza nazionale.
4. Attacchi Futuri: I dati esposti potrebbero essere utilizzati per ulteriori attacchi mirati, come spear-phishing, manipolazione delle sessioni, o accessi non autorizzati ai sistemi del CNR.

Conclusioni

L’incidente, qualora confermato dal Consiglio Nazionale delle Ricerche, evidenzia la necessità urgente di rafforzare le misure di sicurezza informatica nei settori critici della ricerca e dell’innovazione. La gravità della violazione non risiede solo nei dati immediatamente esposti, ma anche nei potenziali danni a lungo termine che potrebbero derivare dalla compromissione della fiducia e dalla perdita di proprietà intellettuale.

Questo incidente serve come monito per tutte le istituzioni di ricerca: la sicurezza dei dati non è solo una questione tecnica, ma un elemento cruciale per la salvaguardia della competitività e della sicurezza nazionale.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo Il Consiglio Nazionale delle Ricerche (CNR) finisce su Breach Forums. Esposto un file .SQL proviene da il blog della sicurezza informatica.

The Dutch Data Protection Authority (DPA) fined Uber for transferring European taxi drivers' personal data to the US without proper protection for over two years, violating the EU's General Data Protection Regulation (GDPR), the authority announced on Monday (26 August).

euractiv.com/section/data-priv…

Frustrated by his Aldi multimeter’s backlight turning off after just 15 seconds, [Steg Steg] took matters into his own hands. His solution? He added a manual toggle switch to control the backlight, allowing it to stay on as long as needed. He began by disassembling the multimeter—removing the outer bumper and a few screws—to access the backlight, labeled “BL.” He identified the voltage regulator outputting 2.8V, desoldered the red wire, and extended it to install the switch.

On his first try, he successfully drilled a spot for the SPST switch. To fit the switch into the multimeter’s rubber bumper, he used a circular punch, although his second hole wasn’t as clean as the first. Despite this minor setback, the modification worked perfectly, giving him complete control over his multimeter’s backlight without the original 15-second timeout.

This project follows a tradition of inventive multimeter hacks. Other enthusiasts have made similar upgrades. An older hack involves adding an external display to a multimeter. More recently, we wrote about upgrading your probes. Notably, adding Bluetooth for data communication showed how diverse and creative these modifications can be.

A pochi mesi dal suo 40esimo compleanno, l’uomo un tempo soprannominato lo “Zuckerberg russo”, in onore del fondatore di Facebook Mark Zuckerberg, si trova ora agli arresti in Francia dopo essere stato trattenuto in un aeroporto di Parigi questo fine settimana.

Nella notte tra il 24 e il 25 agosto, i media hanno iniziato a scrivere della detenzione del fondatore di Telegram Pavel Durov. È successo all’aeroporto Le Bourget di Parigi poco dopo l’atterraggio del suo aereo privato.

Un Innovatore misterioso e imprevedibile

Originario di San Pietroburgo, è divenuto famoso in Russia quando aveva vent’anni, dopo aver fondato il social network VKontakte (VK), in modo da soddisfare le esigenze degli utenti di lingua russa superando Facebook in tutta l’ex Unione Sovietica. Il social Network attirò moltissimi utenti nonostante il suo fondatore rimanesse una figura oscura.

E’ sempre stata una persona imprevedibile. Nel 2012 Durov lanciò banconote di grosso taglio sui passanti dalla sede centrale di VK, in cima a una libreria storica sulla Prospettiva Nevskij di San Pietroburgo.

Dopo essere entrato in conflitto con il Cremlino per essersi rifiutato di consegnare i dati personali degli utenti ai servizi di sicurezza russi (FSB), nel 2014 vendette la sua quota nella società e lasciò definitivamente la Russia.

Vendette quindi VKontakte e fondò un nuovo servizio di messaggistica chiamato Telegram, che ha rapidamente guadagnato popolarità ma si è rivelato controverso, con i critici che hanno condannato una presunta mancanza di controllo sui contenuti estremi.

Durov rimase sempre una figura mutevole e a tratti misteriosa, rilasciando raramente interviste e limitandosi a dichiarazioni a volte enigmatiche su Telegram. Si è fatto promotore della riservatezza su Internet e della crittografia nella messaggistica. Ha sviluppato Telegram insieme al fratello Nikolai viaggiando da un paese all’altro lanciandolo come servizio nel 2013.

Si è quindi stabilito a Dubai negli Emirati Arabi e ha ottenuto la cittadinanza dell’arcipelago caraibico di Saint Kitts e Nevis, poi, nell’agosto 2021, ha ottenuto la nazionalità francese dopo una procedura discreta sulla quale Parigi rimane molto discreta.

Durov non è timido neanche nel postare messaggi sul suo canale Telegram, sostenendo di condurre una vita solitaria, astenendosi da carne, alcol e persino caffè.

L’Arresto in Francia

Secondo il canale televisivo francese TF1, il motivo della detenzione è legato ai messaggi crittografati di Telegram e al rifiuto di Durov di collaborare con le forze di sicurezza francesi.

Gli investigatori francesi ritengono che la mancanza di un’adeguata moderazione sulla piattaforma contribuisca al fiorire del traffico di droga e dei crimini contro i bambini, e porti anche alla nascita di vari schemi di riciclaggio di denaro, frode e altri reati. Vogliono, infatti, riconoscere l’imprenditore come complice di tutto questo.

Durov rischia fino a 20 anni di carcere in Francia. Potrebbe essere accusato di crimini particolarmente gravi, compreso il terrorismo. Intanto il Cremlino ha dichiarato “Non sappiamo ancora di cosa sia accusato esattamente Durov. Non abbiamo ancora ricevuto alcuna dichiarazione ufficiale in merito e prima di dire qualsiasi cosa dovremmo aspettare che la situazione venga chiarita. Con cosa esattamente stanno cercando di incriminare Durov? Senza sapere, sarebbe probabilmente sbagliato rilasciare dichiarazioni”, ha detto il portavoce del Cremlino Dmitry Peskov in una conferenza stampa oggi.

L’ex presidente russo Dmitry Medvedev ha scritto di aver avvisato Durov molto tempo fa che il suo rifiuto di collaborare con le forze dell’ordine nella lotta ai crimini gravi avrebbe portato a “seri problemi in qualsiasi paese”.

È stato riferito che l’ordine di detenzione di Durov era valido solo in Francia. Allo stesso tempo, Pavel Durov ha la cittadinanza francese, quindi non può chiedere asilo in questo paese. Ha anche la cittadinanza della Russia, degli Emirati Arabi Uniti e dello stato di Saint Kitts e Nevis (isole dei Caraibi).

In precedenza, Durov evitava di visitare i paesi europei. Non si sa perché un aereo privato sia atterrato in un aeroporto francese il 24 agosto. È possibile che la sosta non sia stata pianificata per un guasto tecnico o per mancanza di carburante.

Telegram ha rilasciato domenica una dichiarazione in cui ha rispettato “le leggi dell’UE, incluso il Digital Services Act” e ha affermato che la sua moderazione era “nel rispetto degli standard del settore e in costante miglioramento. Il CEO di Telegram, Pavel Durov, non ha nulla da nascondere e viaggia spesso in Europa”, ha affermato, aggiungendo che è “assurdo affermare che una piattaforma o il suo proprietario siano responsabili dell’abuso di tale piattaforma”.

“Basta con l’impunità di Telegram”, ha affermato uno degli investigatori, aggiungendo di essere rimasti sorpresi dal fatto che Durov sia andato a Parigi sapendo di essere un ricercato.

In precedenza si è saputo che Pavel Durov occupava il 279esimo posto tra le persone più ricche del mondo. Il fondatore di Telegram si trova quasi al centro della lista. In totale, nella classifica sono stati inclusi 26 miliardari russi.

L'articolo Arresto di Pavel Durov. Cosa sappiamo e cosa rischia il cretore di VKontakte e Telegram proviene da il blog della sicurezza informatica.

La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha aggiunto una nuova vulnerabilità che colpisce la piattaforma Versa Director al suo catalogo di vulnerabilità sfruttabili note (KEV). La decisione si basa su dati confermati sull’uso attivo di questa vulnerabilità da parte degli aggressori.

Si tratta di una vulnerabilità di media gravità registrata con il codice CVE-2024-39717 con un punteggio CVSS di 6,6. Il problema risiede nella funzione di caricamento file nell’interfaccia Change Favicon, che consente a un utente malintenzionato di caricare un file dannoso mascherato da un’immagine PNG innocua.

Versa Director è una piattaforma software progettata per gestire l’infrastruttura di rete per le organizzazioni che utilizzano soluzioni Versa Networks. Fornisce un’interfaccia centralizzata per l’implementazione, la configurazione e il monitoraggio di un’ampia gamma di funzionalità di rete, tra cui la rete definita dal software (SD-WAN), la sicurezza e l’ottimizzazione delle applicazioni.

Per sfruttare con successo CVE-2024-39717, un utente malintenzionato ha bisogno che un utente con i diritti appropriati (Provider-Data-Center-Admin o Provider-Data-Center-System-Admin) si autentichi e acceda con successo al sistema.

Sebbene le circostanze esatte relative allo sfruttamento di CVE-2024-39717 rimangano poco chiare, il National Vulnerability Database (NVD) degli Stati Uniti riporta che Versa Networks ha confermato un caso in cui un client è stato attaccato. Va notato che il client non ha implementato le raccomandazioni di configurazione del firewall emesse nel 2015 e nel 2017, che consentivano all’aggressore di sfruttare la vulnerabilità senza utilizzare un’interfaccia grafica.

Tutte le agenzie federali esecutive degli Stati Uniti ( FCEB ) sono tenute ad adottare misure per proteggersi da questa vulnerabilità installando le patch del fornitore entro il 13 settembre 2024.

Questa notizia arriva nel contesto della recente aggiunta di CISA al catalogo KEV di altre vulnerabilità identificate nel 2021 e nel 2022. Tra cui, ad esempio:

• CVE-2021-33044 e CVE-2021-33045 (punteggio CVSS 9.8) – vulnerabilità di bypass dell’autenticazione nelle telecamere IP Dahua;
• CVE-2024-28987 (punteggio CVSS 9.1) – Vulnerabilità delle credenziali hardcoded dell’help desk Web.
• CVE-2024-23897 (CVSS Score 9.8) è una vulnerabilità di path traversal nella CLI Jenkins che può portare all’esecuzione di codice arbitrario.

La sicurezza informatica è un processo continuo che richiede una vigilanza costante e sistemi aggiornati. Anche piccole omissioni nelle impostazioni o ignorare le raccomandazioni dei produttori possono portare a gravi conseguenze.

È importante ricordare che gli aggressori sono costantemente alla ricerca di nuovi modi per aggirare la protezione e solo un approccio globale alla sicurezza, compresi aggiornamenti regolari, monitoraggio delle minacce e formazione del personale, possono garantire una protezione affidabile dei sistemi informativi.

L'articolo Come una semplice PNG può compromettere il tuo sistema. Il CISA Avverte proviene da il blog della sicurezza informatica.

Oggi parliamo di Wifi, comodissimo per non dover avere cavi in giro… ma parlando di sicurezza, queste reti possono essere penetrate?

In questo articolo andremo alla scoperta di come è possibile compromettere due tipologie di reti Wifi, una WEP e una WPA2 per ottenere la password di accesso. In seguito vedremo come sfruttare l’accesso alla rete ottenuto per attaccare i dispositivi collegati e infine alcuni consigli su come proteggersi da questi rischi.

L’articolo che segue è realizzato esclusivamente a scopo didattico e divulgativo. Le tecniche e i metodi descritti sono presentati con l’intento di fornire una comprensione approfondita delle vulnerabilità presenti nelle reti WiFi, allo scopo di migliorare le proprie competenze in ambito di sicurezza informatica. È fondamentale sottolineare che l’uso improprio delle informazioni contenute in questo articolo è severamente vietato e contrario ai principi etici. L’obiettivo principale è quello di sensibilizzare i lettori sui potenziali rischi legati alla sicurezza delle reti wireless e offrire le conoscenze necessarie per proteggere efficacemente i propri dispositivi e dati. La sicurezza è una responsabilità di tutti, e la comprensione delle minacce è il primo passo per difendersi.

AIRMON-NG

Per fare questo utilizzeremo il tool Airmon-ng incluso in kali linux.

Airmon-ng è uno strumento essenziale nella suite Aircrack-ng, utilizzato principalmente per abilitare la modalità monitor sul tuo adattatore wireless. La modalità monitor consente al tuo adattatore wireless di ascoltare tutto il traffico WiFi, anche al di fuori della rete a cui appartiene il tuo dispositivo. Ciò è fondamentale per catturare pacchetti, analizzare il traffico di rete e iniettare pacchetti nella rete di destinazione quando necessario. Si usa airmon-ng all’inizio di qualsiasi processo di auditing o penetration testing di reti wireless.

Aircrack-ng è composto da diversi strumenti come airodump-ng, aireplay-ng e aircrack-ng stesso:

• airmon-ng: serve per commutare l’adattatore wireless in modalità monitor
• airodump-ng: una volta individuata la rete WIFI serve a catturare dei pacchetti trasmessi
• aireplay-ng: per la generazione di traffico e iniettarlo
• aircrack-ng: per recuperare la chiave WEP

MONITOR E MANAGED MODE

Prima di iniziare dobbiamo capire la differenza tra Managed e Monitor mode.

In questo test abbiamo utilizzato questo adattatore dell’ALFA compatibile con Kali Linux.

amazon.it/ALFA-Network-Adattat…

Molto importante è impostare la compatibilità usb 3 per farlo funzionare correttamente, questo è un esempio usando VMware.

In seguito dai menu dobbiamo collegare il dispositivo usb che avrà rilevato alla macchina virtuale. Ora se viene correttamente visto, possiamo procedere…

La modalità Managed Mode l’adattatore WiFi è impostato per ricevere solo pacchetti diretti al nostro indirizzo MAC specifico. Immagina di ricevere solo lettere consegnate a casa tua. Questa è la configurazione impostata di ogni singolo dispositivo wifi per collegarsi alla rete wifi,

La modalità Monitor Mode il dispositivo sarà in grado di ricevere tutti i pacchetti che si trovano nel raggio d’azione dell’adattatore WiFi, anche se non sono indirizzati all’indirizzo MAC della tua macchina. Immagina di essere nella sala di ricezione e smistamento postale e di guardare tutte le buste che arrivano.

Quindi quello che ci servirà adesso per leggere tutto il traffico circolante è mettere il nostro adattatore in Monitor Mode.

Per prima cosa identifichiamo il nome dell’interfaccia del adattare wireless (ad esempio, wlan0) utilizzando il ifconfig o iwconfig.

Una volta ottenuto il nome dell’interfaccia, è necessario abilitare la modalità monitor con il comando airmon-ng start seguito dal nome dell’interfaccia.

sudo airmon-ng start wlan0

Sempre con iwconfig possiamo vedere lo stato della scheda, noteremo anche che il nome dell’interfaccia è cambiato in wlan0mon.

CRACCHIAMO UNA RETE WEP

L’attacco al protocollo WEP sfrutta le vulnerabilità del protocollo Wired Equivalent Privacy.

Il protocollo WEP è stato uno dei primi metodi di crittografia utilizzati per proteggere le reti wireless.

Nel corso degli anni sono stati sviluppati diversi metodi per caricare la crittografia WEP a causa delle sue deboli chiavi di crittografia, qui sotto vedremo il più semplice ma faremo un accenno ad altri metodi che possiamo sfruttare.

Per decifrare la chiave WEP, dobbiamo raccogliere molti vettori di inizializzazione (IV). Anche se il normale traffico di rete in genere non genera questi IV molto rapidamente, proviamo a raccogliere IV sufficienti per decifrare la chiave WEP, semplicemente ascoltando il traffico di rete scambiato dai device collegati.

In seguito vedremo altre tecniche per generare il traffico sufficiente a velocizzare il cracking senza aver bisogno di client collegati, come ad esempio il KORECK ChopChop.

Anche se l’attacco è abbastanza procedurale, lascio una referenza per chi volesse capire più in dettaglio come funziona la crittografia WEP e perché è vulnerabile da questo tipo di attacchi.

cybr.com/certifications-archiv…

1) ANALIZZIAMO LE RETI DISPONIBILI

Per iniziare verifichiamo le reti disponibili utilizzando il comando:

sudo airodump-ng wlan0mon

wlan0mon è il nome della rete in monitor mode vista prima.

In questa schermata possiamo vedere

• BSSID: mostra l’indirizzo MAC degli AP rilevati.
• PWR: mostra il livello di potenza del segnale indica anche la distanza del dispositivo di destinazione dalla nostra antenna Wi-Fi. Valori più alti indicano un segnale migliore.
• CH: Numero di canale su cui sono in esecuzione gli AP di destinazione.
• ENC CIPHER AUTH: I metodi di crittografia utilizzati dagli AP di destinazione.
• ESSID: Viene visualizzato il nome del punto di accesso WIFI.
• STATION: Indirizzo MAC dei client connessi a varie stazioni AP. Indirizzo MAC di vari dispositivi client connessi agli AP su ciascun BSSID.

2) CATTURIAMO IL TRAFFICO DI UNA RETE

Dopo aver individuato la rete WEP da attaccare ricaviamo BSSID (30:B5:C2:47:B7:5B) e canale (2) della rete (evidenziati nell’immagine precedente)

In seguito catturiamo tutto il traffico da questo BSSID e scriviamolo in un file cap

Utilizziamo il comando:

sudo airodump-ng -c 2 –bssid 30:B5:C2:47:B7:5B –write crackwep wlan0mon

Questo comando scriverà in un file tutto il traffico rilevato in un file che si chiamerà crackwep-XX.cap presente sulla root directory da dove abbiamo lanciato il comando incluso il numero incrementale a seconda dei tentativi di acquisizione che abbiamo fatto.

In questa schermata possiamo vedere i MAC address di dispositivi collegati (STATION) e notiamo che sono presenti dei dispositivi che stanno facendo traffico. Quindi possiamo continuare con l’attacco.

3) ANALIZZIAMO GLI IVs E REPERIAMO LA CHIAVE

Ora continuando a catturare il traffico, con un altro comando andiamo alla ricerca della chiave sul traffico catturato.

Utilizziamo il comando:

aircrack-ng crackwep-01.cap

Possiamo vedere che il campo #data in airodump-ng (visto prima) e Got in aircrack-ng aumenteranno man mano che i device collegati generano traffico.

Aircrack-ng avrà bisogno di un pò di tempo per catturare pacchetti a sufficienza per poter ricavare la chiave dagli IVs trovati, il tempo sarà inferiore più ci sa il traffico catturato.

Con un chiave da 64 bit ci vorranno circa 15k IVs mentre di più con chiavi più lunghe ci vorrà del tempo in più.

Dopo aver aspettato il tempo necessario, aircrack recupererà correttamente la password (12345)

APPROFONDIMENTO

Ci sono altre tecniche per recuperare la chiave WEP che non analizzeremo nel dettaglio ma nella referenza di airmon-ng è spiegato molto bene.

HIRTE (aircrack-ng.org/doku.php?id=hi…)

L’attacco Hirte è un attacco client che può usare qualsiasi pacchetto IP o ARP, generando un falso AP per raccogliere questi pacchetti dagli altri client che si collegheranno.

ARP replay attack (aircrack-ng.org/doku.php?id=ar…):

Il aircrack cercherà di catturare un pacchetto ARP e per poi ri-trasmetterlo all’access point. Questo, a sua volta, fa sì che l’access point ripeta il pacchetto ARP con un nuovo IV.

Aircrack poi ri-trasmette lo stesso pacchetto ARP più e più volte.

Tuttavia, ogni pacchetto ARP ripetuto dall’access point ha un nuovo IV. Sono tutti questi nuovi IV che consentono di determinare la chiave WEP come visto prima.

KORECK ChopChop (aircrack-ng.org/doku.php?id=ko…)

Dopo un fake login (aireplay-ng –fakeauth) viene eseguita la forgiatura e iniezione di pacchetti per poi recuperare i IVs e infine individuare la chiave.

Attacco KORECK come ARP replay attack non necessitano la presenza di altri client collegati all’APP che facciamo traffico.

ATTACCO A UNA RETE WPA/WPA2

Ora vedremo come craccare una password WPA/WPA2, il processo è relativamente semplice, ma rispetto al WEP dovremmo tentare di craccare hash di autenticazione ottenuto, questo vuol dire che se la password è complessa e non presente nei principali dizionari, come rockyou sarà molto difficile ottenere la chiave.

Ora l’obiettivo è catturare handshake di autenticazione (4-way handshake) una volta che i client collegati proveranno a collegarsi al AP.

1) INDIVIDUIAMO LA RETE DA ATTACCARE

sudo airodump-ng wlan0mon

Ricaviamo quindi da qui il BSSID (30:B5:C2:47:B7:5B) del punto di accesso e il canale CH. Verifichiamo inoltre che sia una rete WPA.

Inoltre ricaviamo il MAC address di un client collegato (00:13:D3:7D:9E:9F).

2) CATTURA DEL HANDSHAKE

Ora avviamo airodump-ng per catturare handshake, molto importante per tentare di ricavare la chiave.

sudo airodump-ng -c 2 –bssid 30:B5:C2:47:B7:5B –write handshake wlan0mon

3) FORZARIAMO LA DISCONNESSIONE DI UN CLIENT

Allo stesso tempo che stiamo in attesa del handshake con il comando precedente, forziamo 10 volte la disconnessione di un client collegato all’AP tramite il comando:

sudo aireplay-ng –deauth 10 -a 30:B5:C2:47:B7:5B -c 00:13:D3:7D:9E:9F wlan0mon

Una volta che si connetterà, airmoin-ng cercherà di catturare handshake scambiato tra AP e il client vittima.

4) CONVERTIAMO IL CAP nel formato HASHCAT

Essendo airdodump genera un CAP file contenente handshake catturati è necessario convertirlo in un formato compatibile con hashcat, strumento che useremo poi per craccare hash.

Lo possiamo fare velocemente a questo link online hashcat.net/cap2hashcat/

Se volete un pò di privacy, potete farlo anche con il suo tool offline.

Una volta caricato avviamo un esito positivo: abbiamo estratto handshake.

5) CRACCHIAMO HANDSHAKE

Ora non ci resta altro che tentare di craccare handshake. In questa fase possiamo usare bruteforcing (magari con una lista creata con crunch), usare delle rainbow table oppure un dizionario.

In questo caso usiamo il classico dizionario rockyou tramite hashcat, famoso tool per craccare hash di vario tipo.

Quindi eseguiamo il comando:

hashcat -m 22000 400453_1723133379.hc22000 /usr/share/wordlists/rockyou.txt

-m indica il mode per decifrare hash WPA, successivamente abbiamo indicato il file convertito e il dizionario.

hashcat.net/wiki/doku.php?id=c…

A questo punto non ci resta che aspettare e sperare di trovare la chiave.

E adesso?

Bè ottenuta la chiave potremmo intrufolarsi all’interno della rete e inizierò la nostra ricognizione, come il classico nmap.

Possiamo utilizzare però qualche tool interessante come eseguire del poisoning LLMNR nella speranza che qualche endpoint si colleghi a un percorso di rete scoprendo l’hash di autenticazione.

Per prima cosa mettiamo il nostro adattatore Wifi in managed mode, e colleghiamoci alla rete wifi.

Avviamo il comando responder, indicando l’interfaccia di rete corretta.

Quindi aspettare che un client della rete cerchi di accedere a una directory di rete e recuperare hash NTLM o NTLMv2.

In alternativa sui sistemi più recenti ci aspetteremo un V2, potremmo utilizzare sempre questo tool per come replay SMB, sempre che il protocollo SMB non sia firmato.

MITM

Infine potremmo eseguire Mitm tramite ARP poisoning e sniffare il traffico con WireShark alla ricerca di informazioni interessanti non crittografate.

Un attacco man-in-the-middle (MITM) è un attacco informatico in cui un autore della minaccia si mette in mezzo tra due parti, in genere un utente e un’applicazione, per intercettare le loro comunicazioni e gli scambi di dati e utilizzarli per scopi dannosi, come acquisti non autorizzati o hacking.

quindi attiviamo la modalità IP FORWARD

echo 1 > /proc/sys/net/ipv4/ip_forward

recuperiamo IP della vittima (192.168.1.100) e il gateway della rete wifi (192.168.1.1)

Quindi eseguiamo assieme i comandi:

sudo arp arpspoof -i wlan0 192.168.1.1 192.168.1.100

e

sudo arp arpspoof -i wlan0 192.168.1.100 192.168.1.1

Ora per magia aprendo wireshark vedremo che il traffico scambiato tra vittima e gateway passa per la nostra interfaccia di rete.

Potremmo spiare e sniffare alla ricerca di traffico interessante non crittografato.

MITMf

Un altro tool interessante è il framework MITMf, che permette vari tipi di attività, come ARP poisoning e LLMNR spoofing visti prima integrato in Kali Linux.

Otteniamo lo stesso risultato di prima con il comando:

sudo python mitmf.py -i wlan0 –spoof –apr 192.168.0.108 –gateway 192.168.0.1

E sempre aprendo wireshark come visto nel esempio precedente potremmo catturare i pacchetti scambiati tra il gateway e il dispositivo attaccato.

Una completa documentazione è presente qui:

charlesreid1.com/wiki/MITMf

CONCLUSIONI

Questi test ci hanno fatto capire come tecnologie datate o password deboli ci possono mettere in pericolo:

Per cui alcuni consigli pratici:

• Evitare di utilizzare e collegarsi a tecnologie wifi datate e insicure come reti con crittografia WEP che permette di ricavare la chiave in chiaro molto rapidamente.
• Utilizzare password WiFi non comuni e abbastanza complesse. Non serve impostare una password come !2(d#sjfu456% molto difficile da inserire e ricordare. Per esempio una password mnemonica OggièUnaBellaGiornata! è sufficiente sicura e non comune per proteggere le nostre reti wifi.
• Cambiare il ssid e la password di default della rete predefinita dei router/AP. Per esempio alcuni tp-link di default utilizzano una password numerica di 8 cifre numeriche e il modello identificabile facilmente dal nome del SSID.
• Anche se non lo abbiamo trattato negli esempi, il WPS è attaccabile e poco sicuro. Anche se è comodo non usatelo e disattivarlo il prima possibile!
• In ambito aziendale è preferibile utilizzare protezione WPA-ENTERPRISE in cui per esempio i dispositivi windows accederanno automaticamente con le credenziali di dominio. La configurazione è più complicata, sarà necessario un server NPS e radius, ma così si eviterebbe di usare chiavi univoche condivise.
• Mantenere aggiornati i dispositivi, router AP wifi.
• In reti pubbliche una VPN diminuisce la probabilità che attacchi MITM possano leggere parte dei dati scambiati.
• Valutare se necessario eseguire delle restrizioni via MAC address su quali possono collegarsi al punto di accesso wifi, così da evitare dispositivi non autorizzati.
• Utilizzare software di discovery continua nella rete che avvisi di nuovi device collegati.

Infine considerare gli avvisi che i dispositivi ci potrebbero dare.

Windows ci avrebbe avvertiti che la rete WEP non era affidabile e di stare possibilmente alla larga. La rete la potremmo anche conoscere e magari anche nostra, ma come dimostrato dagli esempi precedenti potrebbero esserci ospiti inattesi in ascolto.

L'articolo Sicurezza WiFi: Come Penetrare e Proteggere le Reti WEP e WPA2 proviene da il blog della sicurezza informatica.

La Matrix Cup, concorso di hacking, ben rappresenta l'interazione tra le grandi aziende tecnologiche e il Governo cinese.

The post Piccoli hacker crescono. La Cina e il concorso per i nuovi pirati informatici appeared first on InsideOver.