In June 2024, we discovered a macOS version of the HZ Rat backdoor targeting users of the enterprise messenger DingTalk and the social network and messaging platform WeChat. The samples we found almost exactly replicate the functionality of the Windows version of the backdoor and differ only in the payload, which is received in the form of shell scripts from the attackers’ server. We noticed that some versions of the backdoor use local IP addresses to connect to C2, which led us to believe the threat may be targeted. This also points to an intention to exploit the backdoor for lateral movement through the victim’s network.

First detected by DCSO researchers in November 2022, HZ Rat initially targeted Windows systems and received commands in the form of PowerShell scripts.

Technical details

Despite not knowing the malware’s original distribution point, we managed to find an installation package for one of the backdoor samples. The file is named
OpenVPNConnect.pkg:

OpenVPNConnect.pkg on VirusTotal

It was uploaded to VirusTotal in July 2023 and, at the time of research, wasn’t detected by any vendor, like other backdoor samples. The installer takes the form of a wrapper for the legitimate “OpenVPN Connect” application, while the
MacOS package directory contains two files in addition to the original client: exe and init.

Structure of the malicious installation package

The system determines which file to run when the application is opened using the
Info.plist configuration file. The first one to be launched is the exe file – a shell script that runs the init file, then launches the OpenVPN application:

Contents of the “exe” file

The
init file is the actual backdoor. When launched, it establishes a connection to C2 based on the list of IP addresses specified in the backdoor itself. In most cases, the samples used port 8081 for connection. Additionally, we found backdoor samples using private IP addresses to connect to C2.

C2 IP addresses in the backdoor code

All communication with C2 is encrypted using XOR with the key 0x42. To initialize a session, the backdoor sends a random four-byte value, labeled
cookie in the code. Each message has the following structure:

1. Message code (1 byte);
2. Message length (4 bytes);
3. Message text, where the first 4 bytes contain the data size.

The executable file is written in C++ and contains debugging information, making it easy to identify:

Trojan class with malicious payload

The backdoor supports only four basic commands:

As part of our investigation, we obtained shell commands from the C2 server used to collect the following data about the victim:

• System Integrity Protection (SIP) status;
• System and device information, including:
  
  • Local IP address;
  • Information about Bluetooth devices;
  • Information about available Wi-Fi networks, available wireless network adapters and the network the device is connected to;
  • Hardware specifications;
  • Data storage information;

  
  

• List of applications;
• User information from WeChat;
• User and organization information from DingTalk;
• Username/website value pairs from Google Password Manager.

Getting data from WeChat

The malware attempts to obtain the victim’s WeChatID, email and phone number from WeChat. This data is stored in plain text in the
userinfo.data file.
As for DingTalk, attackers are interested in more detailed victim data:

• Name of the organization and department where the user works;
• Username;
• Corporate email address;
• Phone number.

The script tries to get this data from the
orgEmployeeModel file. If this file is missing, the malware searches for the user’s phone number and email in the sAlimailLoginEmail file. If it fails again, it attempts to find the user’s email in one of the DingTalk cache files named <date>.holmes.mapping. These files are also not encrypted and store data in plain text.

Getting data from DingTalk

Infrastructure

At the time of the study, four control servers were active and returning malicious commands. In some cases, as mentioned, among the specified IP addresses there were private ones as well. Such samples were likely used to control a victim’s device with a previously infected computer within their local network that was used as a proxy to redirect the connection to the C2 server. Typically, this helps to hide the presence of malware on the network, since only the device with the proxy will communicate with C2.

Some of the detected IP addresses have already been seen in malware attacks targeting Windows devices. Their appearance dates back to 2022, with one of the addresses showing up in HZ Rat attacks of that time.

Almost all of the C2 servers we found are sited in China. The exceptions are two addresses located in the US and the Netherlands.

We also found that the installation package mentioned above, according to VirusTotal, was previously downloaded from a domain belonging to MiHoYo, a Chinese video game developer:
hxxp://vpn.mihoyo[.]com/uploads/OpenVPNConnect.zip.
It is not yet known for sure how this file got to the legitimate domain and whether the company was hacked.

Conclusion

The macOS version of HZ Rat we found shows that the threat actors behind the previous attacks are still active. During the investigation, the malware was only collecting user data, but it could later be used to move laterally across the victim’s network, as suggested by the presence of private IP addresses in some samples. The collected data about victims’ companies and contact information could be used to spy on people of interest and lay the groundwork for future attacks. Also noteworthy is the fact that at the time of the study we had not encountered the use of two of the backdoor commands (write file to disk and send file to server), so the full scope of the attackers’ intentions remains unclear.

Indicators of compromise

MD5 file hashes
Backdoor
0c3201d0743c63075b18023bb8071e73 – Mach-O 64-bit x86_64 executable
6cc838049ece4fcb36386b7a3032171f – Mach-O 64-bit x86_64 executable
6d478c7f94d95981eb4b6508844050a6 – Mach-O 64-bit x86_64 executable
7a66cd84e2d007664a66679e86832202 – Mach-O 64-bit x86_64 executable
7ed3fc831922733d70fb08da7a244224 – Mach-O 64-bit x86_64 executable
9cdb61a758afd9a893add4cef5608914 – Mach-O 64-bit x86_64 executable
287ccbf005667b263e0e8a1ccfb8daec – Mach-O 64-bit x86_64 executable
7005c9c6e2502992017f1ffc8ef8a9b9 – Mach-O 64-bit x86_64 executable
7355e0790c111a59af377babedee9018 – Mach-O 64-bit x86_64 executable
a5af0471e31e5b11fd4d3671501dfc32 – Mach-O 64-bit x86_64 executable
da07b0608195a2d5481ad6de3cc6f195 – Mach-O 64-bit x86_64 executable
dd71b279a0bf618bbe9bb5d934ce9caa – Mach-O 64-bit x86_64 executable

Malicious installation package
8d33f667ca135a88f5bf77a0fab209d4 – Apple software package

C2 IP addresses
111.21.246[.]147
123.232.31[.]206
120.53.133[.]226
218.193.83[.]70
29.40.48[.]21
47.100.65[.]182
58.49.21[.]113
113.125.92[.]32
218.65.110[.]180
20.60.250[.]230

securelist.com/hz-rat-attacks-…

The United States and a few other countries have an astounding array of homeowners’ associations (HOAs), local organizations that exert an inordinate influence on what homeowners can and can’t do with their properties, with enforcement mechanisms up to foreclosure. In the worst cases they can get fussy about things like the shade of brown a homeowner can paint their mailbox post, so you can imagine the problems they’d have with things like ham radio antennas. [Bob] aka [KD4BMG] has been working on tuning up his rain gutters to use as “stealth” antennas to avoid any conflicts with his HOA.

With the right antenna tuner, essentially any piece of metal can be connected to a radio and used as an antenna. There are a few things that improve that antenna’s performance, though. [Bob] already has an inconspicuous coax connector mounted on the outside of his house with an antenna tuner that normally runs his end-fed sloper antenna, which also looks like it includes a fairly robust ground wire running around his home. All of this is coincidentally located right beside a metal downspout, so all this took to start making contacts was to run a short wire from the tuner to the gutter system.

With the tuner doing a bit of work, [Bob] was able to make plenty of contacts from 10 to 80 meters, with most of the contacts in the 20 – 30 meter bands. Although the FCC in the US technically forbids HOAs from restricting reasonable antennas, if you’d rather not get on the bad side of your least favorite neighbors there are a few other projects from [Bob] to hide your gear.

youtube.com/embed/IjWJ_byOD0A?…

hackaday.com/2024/08/27/hidden…

3D scanning is important because the ability to digitize awkward or troublesome shapes from the real world can really hit the spot. One can reconstruct objects by drawing them up in CAD, but when there isn’t a right angle or a flat plane in sight, calipers and an eyeball just doesn’t cut it.

Scanning an object can create a digital copy, aid in reverse engineering, or help ensure a custom fit to something. The catch is making sure that scanning fits one’s needs, and isn’t more work than it’s worth.

I’ve previously written about what to expect from 3D scanning and how to work with it. Some things have changed and others have not, but 3D scanning’s possibilities remain only as good as the quality and ease of the scans themselves. Let’s see what’s new in this area.

All-in-One Handheld Scanning

MIRACO all-in-one 3D scanner by Revopoint uses a quad-camera IR structured light sensor to create 1:1 scale scans.
3D scanner manufacturer Revopoint offered to provide me with a test unit of a relatively new scanner, which I accepted since it offered a good way to see what has changed in this area.

The MIRACO is a self-contained handheld 3D scanner that, unlike most other hobby and prosumer options, has no need to be tethered to a computer. The computer is essentially embedded with the scanner as a single unit with a touchscreen. Scans can be previewed and processed right on the device.

Being completely un-tethered is useful in more ways than one. Most tethered scanners require bringing the object to the scanner, but a completely self-contained unit like the MIRACO makes it easier to bring the scanner to the subject. Scanning becomes more convenient and flexible, and because it processes scans on-board, one can review and adjust or re-scan right on the spot. This is more than just convenience. Taking good 3D scans is a skill, and rapid feedback makes practice and experimentation more accessible.

Features

The MIRACO resembles a chunky digital camera with an array of sensors at the front and a large touchscreen on the back. As a nice touch, the screen can be flipped out to let the scanner be used in “selfie” mode.
The structured light pattern as seen in IR, projected from the front of the device.
At its core, the MIRACO is a quad-camera IR structured light sensor. A pattern of infrared light is projected, and based on how this known pattern is observed by cameras to land on an object, the object’s topology can be inferred and eventually turned into a 3D model.

This method is sensitive to both exposure and focal distance, but the MIRACO tries to cover these bases by offering near and far focal modes (for small and large objects, respectively) as well as a live preview from which the user can judge scan conditions on the fly. Since the human eye cannot see IR, and most of us lack an intuitive sense of how IR interacts with different materials, this last feature is especially handy.

It’s worth mentioning that the models generated by the MIRACO’s scans are 1:1 with real-world dimensions. Having 3D models scaled to match the object they came from is stupendously useful when it comes to anything related to objects fitting into or around other objects.

Limitations

3D scanning is in general still not a foolproof, point-and-shoot process. As with photography, there is both a skill and an art to getting the best results. An operator has to do their part to give the sensor a good view of everything it needs.

Conditions Have to be Right

• One needs to scan in an environment that is conducive to good results. Some materials and objects scan easier than others.
• The scanner is particularly picky about focal length and exposure settings, and can be sensitive to IR interference and reflections. In terms of scanning with the MIRACO, this means the projected IR should be bright enough to illuminate the object fully while not being so bright that it washes out important features.
• IR isn’t visible, so this isn’t easy to grasp intuitively. Happily, there’s a live display on the screen for both exposure and focus distance. This guides a user to stay within the sweet spots when scanning. Better results come easily with a bit of experience.

Scans Are Only as Good as the Weakest Link

• The scanner only models what it can see. The holes in this 1-2-3 block for example are incomplete.
  There is a long chain of processes to go from raw sensor data to finished 3D model, and plenty of opportunity for scans to end up less than ideal along the way.
• 3D scanners like to boast about scan quality with numbers like “0.02 mm accuracy”, but keep in mind that such numbers are best cases from the raw sensor itself.
• When it comes right down to it, a generated model can only be as good as the underlying point cloud. The point cloud is only as good as the sensor data, and the quality of the sensor data is limited by the object and its environment.
• Also, a scanner can only scan what it can see. If an internal void or channel isn’t visible from the scanner’s perspective, it won’t be captured in a scan.

It is not hard to get useful results with a little practice, but no one will be pointing a box and pressing a button to effortlessly receive perfect scans down to the last fraction of a millimeter anytime soon. Have realistic expectations about what is achievable.

Basic Workflow of a 3D Scan

Here is the basic process for scanning an object with the MIRACO that should give a good idea of what is involved.

Job Setup and Scan

A highly reflective object like a polished 1-2-3 block is best treated with a matte finish before scanning. Here I used AESUB Blue vanishing scanning spray, which evaporates in about an hour.
A scan begins by configuring the scanner via touchscreen with some basics like choosing Near or Far mode, object type, and whether to track features or markers. Because the scanner only sees a portion of the object at a time, the software stitches together many images from different angles to build the point cloud that is the foundation for everything else. Alignment of these partial scans is done on the fly either by tracking features (unique shapes on the object) or markers (reflective dots that can be applied as stickers, or printed on a mat.)

If an object is excessively glossy or reflective or otherwise difficult for the scanner to see properly, treat it with a surface coating for better results. One option is dusting it with talcum powder, another is a purpose-made 3D scanning spray like AESUB offers.

With object and scanner ready, The MIRACO is pointed like a camera and moved around the object (or the object spun on a turntable) while trying to stay an optimum distance away for best results. The screen gives feedback on this process, including a live display as the device stitches scans together.

Processing Results

Results can be viewed on the device, and generally speaking, if the scan quality is good then the automatic one-click model processing will easily generate a reasonable 3D model. If there’s a problem, one can continue scanning or try again.

Scans can be exported in a variety of formats via USB or over Wi-Fi. If Revopoint’s Revo Scan software is installed, additional editing and processing options are available such as merging multiple separate scans of an object or fine-tuning processing steps.

Using The Resulting Model

The resulting 3D model (a mesh output like .STL, .3MF, or .OBJ) may require additional processing or editing depending on what one wishes to do with it. A mesh editing program like Blender is full-featured, but Microsoft’s 3D Builder is pretty handy for many common tasks when it comes to editing and handling meshes. Most slicer software for 3D printers can handle basic things as well.

Example Scans and Projects

Here are a few scans and prints I did to illustrate the sort of results you should expect with a tool like this. Each of these highlights an important aspect of scanning from the context of part design and 3D printing. The MIRACO is also capable of scanning large objects, though I focus on smaller ones here.

Scanning a Part, Designing a Socket for that Part

This first example demonstrates scanning an object (in this case, a fan) in order to design a socket in another piece that will fit it perfectly.

To do this, I scanned the fan (including attached cable) then manually traced its vertical footprint in CAD. This created a sort of cutout object I could use to make a socket. Objects with more complex shapes can be cut into slices, and each slice traced individually.

I’d like to point out that because the scan is being used as a reference for a CAD sketch, imperfect or otherwise incomplete scans can still be perfectly serviceable as long as the right parts of the object are intact.

Scanning a Hole and Printing a Plug

This is a great way to show the different possibilities and features in action, such as the fact that scans are 1:1 with their real-world subject.

I roughly chopped a hole out of a chunk of packing foam, scanned the hole, then 3D printed a model of the hole to use as a plug. It fits perfectly, and its shape even accurately captured small details I hadn’t noticed.

Custom Ergonomic Grip

3D scanning is a great way to capture objects with complex shapes that cannot be modeled by calipers and squinted eyeballs alone. Wearables and handhelds are one example, and here I demonstrate creating a custom, ergonomic grip.

I use modeling clay to create a custom hand grip, then scan the result. The scan is easily edited in terms of separating into halves, making a central hole for mounting, and 3D printing the result.

Note that I scanned this object in color (which the MIRACO is capable of) but the color scan serves no real function here other than being more visual.

Remaining Challenges

So what’s not new in 3D scanning? The tools and software are certainly better and easier to use, but some things remain challenging.

Some Objects Scan Better Than Others

Scanning is still fussy about how a subject is framed and shot, as well as how reflective it is or isn’t. Taking these into account is part of getting good results.

3D Scanners Output Meshes, Not CAD Models

I’ve explained before how meshes are fundamentally different from what one is usually working with in a CAD program when designing physical parts. “Widen this hole by 0.5 mm” or “increase this angle by 5 degrees” simply aren’t the kind of edits one easily does with a mesh.

Converting a Mesh to a CAD Format Remains Imperfect

Turning an .stl into an .stp (for example) still doesn’t have great options. Tools exist, but the good ones are mostly the domain of non-free CAD suites; the kind with hefty price tags on annual licenses.

The good news is that meshes not only 3D print just fine, they also work easily with basic Boolean operations (merge, subtract, intersect) and can be used as references when modeling a part. Having a scan that is scaled 1:1 to real-world dimensions is a big help.

What’s Your Experience?

3D scanning is still a process that depends on and benefits greatly from a skilled operator, but it’s getting easier to use and easier to experiment with.

Photogrammetry is still an accessible way to do 3D scanning that requires no special hardware, but it lacks immediate feedback, and the resulting 3D model will not be a 1:1 match to real-world dimensions.

Have you found 3D scanning useful for something? What was the best part? The worst? We’d love to hear about it, so share your experience in the comments.

When we think of programmable hardware, we think of FPGAs. But they’re not the only option. [Oliver Schmidt] has been exploring how the Raspberry Pi Pico can serve in such a role for the classic Apple II. The talk was presented at the KansasFest event this year, and it’s well worth diving into!

[Oliver] has developed A2Pico. It’s a series of Apple II peripheral cards that are based around the Raspberry Pi Pico, as you might have guessed. [Oliver] has been working in the area since 2021 with one [Glenn Jones], with the duo experimenting with connecting the versatile microcontroller directly to the slot bus of the Apple II. [Ralle Palaveev] then chimed in, developing the A2Pico hardware with solely through-hole components for ease of assembly.

A number of cards have been developed based on A2Pico, including a storage device, a Z80 CP/M card, and a specialized card to play Bad Apple on the IIGS. It’s all thanks to the versatility of the programmable I/O (PIO) peripheral inside the Raspberry Pi Pico. This device enables the Pico to be reprogrammed to handle all sorts of complicated tasks at great speed. This is particularly useful when using it to bit-bang a protocol or talk with another machine, and it serves perfectly well in this role. Basically, by reprogramming the Pico and its PIO, the A2Pico design can become any one of a number of different add-on cards.

It’s well worth diving into this stuff if you’ve ever contemplated building your own peripheral cards for 8-bit and 16-bit machines. We’ve seen some other great add-on cards for vintage machines before, too.

youtube.com/embed/onLL5Mmh90s?…

hackaday.com/2024/08/27/using-…

Un nuovo studio ha scoperto che l’uso eccessivo di smartphone, computer e TV da giovani può ridurre le possibilità di vivere fino a 60 anni.

Gli scienziati hanno seguito la salute di oltre 4.000 giovani per 30 anni e hanno scoperto che coloro che trascorrevano molto tempo davanti agli schermi quando avevano vent’anni avevano un rischio significativamente più elevato di malattie cardiache, inclusi infarto e ictus.

Si rileva inoltre che un tempo prolungato davanti allo schermo può diminuire attività importanti come il sonno e l’esercizio fisico, che sono particolarmente importanti per prevenire le malattie cardiovascolari.

Lo studio si basa sui dati longitudinali del programma CARDIA (Coronary Artery Risk and Development in Young Adults), che monitora i rischi di malattie cardiovascolari in migliaia di adulti nel corso di decenni. In particolare, è stato riscontrato che un’ora in più trascorsa davanti alla televisione all’età di 23 anni aumenta la probabilità di sviluppare malattie cardiovascolari del 26%, e aumenta anche il rischio di infarti e ictus del 16%.

Inoltre, i pericoli legati al tempo trascorso davanti allo schermo non si limitano solo ai giovani. L’analisi ha rilevato che ogni ora in più trascorsa quotidianamente davanti alla televisione nella mezza età aumenta il rischio di malattia coronarica del 55%, di ictus del 58% e il rischio complessivo di malattie cardiovascolari del 32%.

Gli autori dello studio sottolineano che le abitudini davanti allo schermo sviluppate in gioventù possono determinare lo stile di vita futuro.

L'articolo Vuoi Vivere più di 60 Anni? Diminuisci l’uso di smartphone, TV e PC proviene da il blog della sicurezza informatica.

Yaroslav Yurchyshyn, liberal Ukrainian MP welcomed Pavel Durov's detention as it disrupts the communication networks of the Russian leadership, and wishes that the Telegram CEO will "provide information about the terrorist activities of the Russian authorities," in Ukraine.

euractiv.com/section/platforms…

L’America ha realizzato uno strumento di intelligenza artificiale capace di prevedere gli attacchi da parte dei Talebani. L’esperimento “Raven Sentry” ha riscosso un grande successo nel campo dell’OSINT, open source intelligence. Ecco come funziona e le sue peculiarità

L'articolo Raven Sentry, così gli USA hanno sfruttato l’AI per predire gli attacchi talebani proviene da Cyber Security 360.

Per trasformare la mentalità aziendale e creare una cultura di consapevolezza e responsabilità condivisa, può essere utile introdurre la "giornata della cyber sicurezza" finalizzata a sensibilizzare, educare e coinvolgere tutti i dipendenti su questo tema fondamentale. Ecco come

L'articolo La giornata della cyber sicurezza, per rafforzare consapevolezza e protezione proviene da Cyber Security 360.

I cosiddetti browser enterprise sono strumenti di nuova generazione che vanno ben oltre la semplice navigazione web offrendo un livello di sicurezza, produttività e personalizzazione specifico per l’ambiente lavorativo. Ecco un’utile guida per scegliere la versione più adatta alle esigenze aziendali

L'articolo I browser enterprise per proteggere il nostro lavoro: quali sono e vantaggi offerti proviene da Cyber Security 360.

Sviluppare algoritmi crittografici in grado di resistere alla computazione quantistica è prioritario per garantire comunicazioni digitali sicure negli anni 2030. In questo scenario, il NIST ha formalizzato i primi tre standard di crittografia post-quantistica. Facciamo il punto, tra tecnologie e nuove sigle

L'articolo Crittografia post quantistica: i nuovi standard NIST e la Quantum-Key Distribution (QKD) proviene da Cyber Security 360.

E' una buona notizia che le Nazioni Unite l’8 agosto 2024 hanno definitivamente approvato la bozza del Trattato globale sulla criminalità informatica. Vediamo perché e i contenuti

L'articolo Trattato globale Onu sulla criminalità informatica: perché è importante proviene da Cyber Security 360.

Il mondo del lavoro è percorso da dinamiche evolutive continue sotto la spinta dell’innovazione tecnologica e dell’intelligenza artificiale, che può avere influenze non solo sui processi di lavoro ma anche sugli stessi lavoratori. Per questo sarebbe utile la figura di un rappresentante dei lavoratori per la privacy. Ecco le motivazioni

L'articolo Rappresentante dei lavoratori per la privacy: un ruolo di tutela dei dati dall’IA proviene da Cyber Security 360.

L’Uptime Institute ha pubblicato l’Annual Outage analysis 2024 che analizza i dati sulle tendenze delle interruzioni dell'IT e dei data center in termini di cause, costi e conseguenze

L'articolo Quando l’IT va in tilt: come, perché e con quali costi aziendali proviene da Cyber Security 360.

La condanna in solido per Bper e Tim, colpevoli di non aver bloccato una serie di bonifici truffa ai danni di due aziende, riporta al centro del dibattito il “dovere di protezione” tra tutela dei dati personali e buone pratiche di sicurezza delle informazioni. Facciamo chiarezza

L'articolo SIM Swap e truffe bancarie: cosa impariamo dalla condanna a Bper e Tim proviene da Cyber Security 360.

Una corretta contrattualistica rappresenta, per gli attori nel mondo dei servizi di sicurezza informatica, che si tratti di freelance, startup o imprese strutturate, un pilastro imprescindibile per garantire una collaborazione trasparente, sicura e priva di fraintendimenti tra le parti

L'articolo Contratti per freelance e società cyber: regole di collaborazione trasparente con i clienti proviene da Cyber Security 360.

Bper e Tim dovranno risarcire in solido due aziende milanesi a cui sono stati sottratti 163 mila euro. I criminal hacker, in genere, riservano un posto speciale al mondo della finanza e questo episodio insegna che la cautela non è mai abbastanza

L'articolo Truffa bancaria, Bper e Tim chiamate a risarcire: quali considerazioni proviene da Cyber Security 360.

A common design language for watches has evolved ever since they first started popping up in the 1500s. Whether worn on the wrist or in a pocket, watches are relatively slim front to back, with the display mounted on the face. That’s understandable given the imperatives of human anatomy. Still, it’s not the only way to arrange things, as this very cool LED matrix watch with an edge-mounted display demonstrates.

True, the unique form factor of this watch wasn’t really the point of the whole project. Rather, [Vitali]’s design was driven by a couple of things. First off were the extremely cool Hewlett Packard HDSP-2000 displays, with four 5×5 LED matrices shining through the clear cover of a DIP-12 package. Also visible through the cover are the shift registers that drive the matrices, complete with gold bonding wires.

The main attraction for [Vitali], though, was the challenge of working within the limits of the ATtiny85 he chose to run the watch. The MCU’s limited IO made hardware multiplexing necessary, no mean feat given the limited resources and real estate available. He still managed to pack everything in, with the unique edge-mount display coming from the LEDs bridging the space between the two main PCBs. Everything fits into a nice wood veneer case, although we think it looks just fine without it. [Vitali] puts it through its paces in the short video below.

Hats off to [Vitali] for a great-looking project that pushed his limits. We just love these displays, too; of course, it’s not the first time we’ve seen them put to similar use.

hackaday.com/wp-content/upload…

Secondo Qrator Labs, nel secondo trimestre del 2024, gli attacchi DDoS non hanno portato innovazioni significative nelle modalità o nei volumi di traffico, creando l’impressione di un periodo relativamente tranquillo. Nonostante questo periodo di calma, tuttavia, si sono registrati diversi incidenti significativi, soprattutto nei settori delle scommesse e della tecnologia finanziaria.

Gli attacchi TCP Flood continuano a occupare una posizione di primo piano nel panorama delle minacce DDoS, confermando il trend degli ultimi tre anni. Nel 2024, nel secondo trimestre, la quota di tali attacchi ammontava al 48,91% di tutti quelli registrati ai livelli L3-L4. Anche gli attacchi multi-vettore, che combinano diversi metodi di influenza, rimangono una minaccia significativa, rappresentando il 17,76% di tutti gli attacchi in questo periodo. Nonostante il leggero calo rispetto al primo trimestre, questa cifra è ancora significativamente superiore a quella del 2023. Tali attacchi sono più difficili da neutralizzare, soprattutto nel caso di infrastrutture non sufficientemente protette o parzialmente protette. Ciò consente agli aggressori di raggiungere i propri obiettivi.

Il secondo trimestre del 2024 ha visto una significativa riduzione della durata media degli attacchi. Dopo i numeri elevati del primo trimestre, la durata media degli attacchi è scesa a 40 minuti. Ciò indica una riduzione del tempo di esposizione ai bersagli, probabilmente a causa di cambiamenti nelle tattiche dell’attaccante o di migliori difese.

Uno degli eventi più brillanti del secondo trimestre è stato un potente attacco DDoS ai bookmaker. L’intensità di questo attacco ha raggiunto i 450,52 Gbit/s, il livello più alto del periodo. Questo attacco è coinciso con il Campionato Europeo di calcio, che molto probabilmente ha causato un aumento del numero di attacchi al settore delle scommesse. Probabilmente gli aggressori stavano cercando di approfittare del crescente interesse per le scommesse in questo momento per causare il massimo danno.

I settori della tecnologia finanziaria, dell’e-commerce e delle telecomunicazioni sono stati i più vulnerabili agli attacchi DDoS nel secondo trimestre del 2024. Il fintech ha rappresentato il 25,35% di tutti gli attacchi, diventando così il settore più attaccato. Al secondo posto si colloca l’e-commerce con una quota del 17,01%, al terzo posto si collocano l’informatica e le telecomunicazioni con il 13,89%. L’attenzione degli aggressori è stata particolarmente rivolta ai bookmaker, che a causa dei summenzionati Campionati europei di calcio sono stati gli attacchi più gravi.

Nel secondo trimestre del 2024 è stata scoperta anche la più grande botnet, composta da 60.500 dispositivi. Questo numero è superiore a quello del trimestre precedente e evidenzia la crescente minaccia rappresentata dalle botnet. Questa botnet è stata utilizzata durante un attacco al settore bancario, il che conferma la serietà e l’attenzione delle azioni degli aggressori. I dispositivi che facevano parte della botnet sono stati rilevati in otto paesi, tra cui Regno Unito, Stati Uniti, Romania, Polonia, Austria, Brasile, Canada e Francia.

L'articolo Attacchi DDoS Q2 2024: Calma Apparente, Ma Minacce Sempre Più Complesse proviene da il blog della sicurezza informatica.

Nell’articolo “Perché un Large Language Model (LLM) non è un Database?”, abbiamo esplorato la natura di questa tecnologia, chiarendo come dovrebbe essere utilizzata e, soprattutto, quali sono i suoi limiti. Tra questi, il più significativo è la limitazione della conoscenza del modello a un determinato periodo di tempo, definito dai dati di addestramento (Cutoff Knowledge). Questo comporta il rischio di ricevere risposte obsolete o, in alcuni casi, apparentemente coerenti ma fattualmente errate (le cosiddette allucinazioni).

Una tecnica emergente che consente di superare questi limiti è la Retrieval-Augmented Generation (RAG). La RAG rappresenta un avanzamento significativo nel campo del Natural Language Processing (NLP), combinando le capacità di generazione di linguaggio naturale con quelle di recupero di informazioni. Questa tecnica è particolarmente rilevante in applicazioni che richiedono una comprensione profonda e contestuale del linguaggio e la distribuzione di informazioni affidabili. La RAG si distingue per la sua capacità di migliorare la generazione di testi, incorporando informazioni aggiornate e pertinenti direttamente da database o altre fonti di dati esterne.

A che cosa serve

Nei sistemi di generazione del testo basati su LLM, uno dei principali limiti è la dipendenza esclusiva dal modello generativo, che è vincolato alla conoscenza acquisita durante l’addestramento. Immaginiamo che una grande testata giornalistica voglia mettere a disposizione dei propri lettori un chatbot che fornisce informazioni sugli ultimi eventi relativi, per esempio, alla guerra in Ucraina. Per poter abilitare un LLM a rispondere su fatti di attualità è necessario permettergli di accedere a tali informazioni.

Solitamente le opzioni disponibili sono:

1. nuovo training completo del modello su una massa consistente di dati aggiornati.
2. un fine-tuning del modello utilizzando i dati di interesse.
3. inserire i nuovi dati nel prompt che inviamo al modello.

Le opzioni 1 e 2 sono da scartare in quanto le informazioni che deve fornire il chatbot cambiano ogni giorno. Inoltre, sono operazioni altamente costose e complesse ed è bene sottolineare che training e fine-tuning sono tecniche di addestramento mirate a migliorare la performance del modello nella comprensione e generazione del testo. L’accrescimento della base di conoscenza del modello è solo un effetto collaterale.

Invece, l’opzione 3 potrebbe risolvere il nostro problema, ma dobbiamo considerare il limite superiore della lunghezza della finestra di contesto del modello (in poche parole la lunghezza massima del testo che possiamo fornire in input al modello). Infatti, dovremmo sottomettere al Large Language Model un prompt di lunghezza crescente nel tempo che potrebbe eccedere la lunghezza massima accettata dal modello che abbiamo scelto di utilizzare. Per non parlare poi dei costi di elaborazione di input testuali molto lunghi che, se proiettati su tutti i lettori, diverrebbero altamente significativi.

Come funziona

La metodologia RAG affronta questo problema in modo intelligente integrando un sistema di recupero delle informazioni che fornisce al modello generativo dati aggiornati e rilevanti, limitando così i costi e la lunghezza dell’input testuale inviato.

In pratica, quando un sistema RAG riceve una richiesta dall’utente (user query), il primo passo consiste nel recuperare documenti pertinenti da un database su cui sono stati indicizzati i testi d’interesse; successivamente, questi documenti recuperati (solitamente sono pochi chunk di testo) vengono utilizzati come input per generare una risposta. Questo approccio migliora significativamente l’accuratezza, la pertinenza e la varietà delle risposte, poiché il modello non è più limitato alla conoscenza statica acquisita durante l’addestramento, ma può attingere a informazioni aggiornate e contestualizzate.

Per poter utilizzare un sistema RAG il primo passo è quello di indicizzare i documenti d’interesse in un database vettoriale. Nello specifico, il processo è il seguente:

1. Ogni documento viene suddiviso in piccole porzioni di testo (chunk) preservando il più possibile la semantica del contenuto.
2. Per ogni chunk di testo si genera il relativo vettore di embedding tramite l’applicazione di un apposito modello (BERT, GPT, T5, ecc).
3. Sono memorizzati nel database, per ogni chunk di testo, il contenuto testuale e la sua rappresentazione vettoriale.

La RAG, a questo punto, combina due componenti principali: un sistema di recupero (retriever) e un modello di generazione (generator).

1. Retriever: Supponendo di aver indicizzato i dati d’interesse in un database vettoriale come descritto sopra, il primo step è il recupero delle informazioni. Data una user query, questa viene trasformata nella sua rappresentazione vettoriale tramite l’uso dello stesso modello di embedding utilizzato per indicizzare la nuova base di conoscenza del database. Il retriever cerca i dati più pertinenti alla user query mediante l’utilizzo della ricerca vettoriale, ovvero ricerca tutti quei chunk di testo che massimizzano la similarità del coseno rispetto alla user query.
2. Generator: Una volta recuperati i documenti pertinenti, il modello di generazione entra in gioco. Questo componente prende la query originale e i documenti recuperati come input e genera una risposta che combina le informazioni provenienti sia dalla conoscenza pre-addestrata del modello che dai documenti recuperati. Un aspetto cruciale della RAG è che i documenti recuperati non vengono semplicemente “incollati” nella risposta; piuttosto, vengono utilizzati come contesto per guidare la generazione della risposta, arricchendola con dettagli specifici e accurati.

Un tipico esempio di prompt da inviare al modello generativo che comprende sia la user query che i documenti più pertinenti è:
Genera una risposta alla seguente richiesta utente
USER_QUERY
utilizzando i seguenti documenti come knowledge base
RETRIEVED_DOCUMENTS

Conclusioni

L’approccio RAG offre numerosi vantaggi rispetto ai modelli generativi tradizionali. Oltre a fornire risposte più accurate e aggiornate, la tecnologia RAG permette un adattamento a nuovi domini di conoscenza con maggiore rapidità, riducendo la necessità di un costante riaddestramento del modello generativo. Tuttavia, è importante notare che l’efficacia della RAG dipende dalla qualità e dalla pertinenza delle informazioni disponibili nel sistema di recupero. Inoltre, la complessità computazionale di questo approccio può essere maggiore rispetto ai modelli generativi puri, richiedendo risorse più significative in termini di calcolo e memoria.

L'articolo Cos’è la Retrieval Augmented Generation proviene da il blog della sicurezza informatica.

L’arresto di Pavel Durov, il fondatore del servizio di messaggistica Telegram , in Francia nell’agosto 2024 è diventato un catalizzatore per una discussione globale sul ruolo delle aziende tecnologiche nel mondo moderno.

Questo evento ha messo in luce una serie di problemi fondamentali che riguardano non solo il settore IT, ma anche le basi dell’interazione tra Stati, imprese e cittadini nell’era digitale.

Stati vs Piattaforme Globali

La storia del confronto di Durov con vari stati è iniziata molto prima del suo arresto in Francia. Nel 2018, il suo rifiuto di fornire all’FSB russo le chiavi di crittografia di Telegram ha segnato l’inizio di un lungo conflitto tra piattaforme IT globali e governi nazionali. Questo conflitto va ben oltre una semplice disputa tecnologica, toccando questioni di sovranità nazionale nello spazio digitale.

Telegram, posizionandosi come difensore della privacy degli utenti, ha in realtà sfidato la tradizionale comprensione dei confini e delle giurisdizioni statali. In un mondo in cui l’informazione è diventata una risorsa chiave, il controllo sui canali della sua distribuzione è diventato uno strumento fondamentale della politica governativa. Tuttavia, le aziende IT globali che operano al di fuori dei confini geografici tradizionali hanno creato una nuova realtà in cui i governi nazionali spesso si trovano impotenti.

L’arresto di Durov può essere visto come un tentativo da parte degli stati di riprendere il controllo sullo spazio digitale. Tuttavia, la mossa dimostra anche i limiti dei metodi tradizionali di pressione sulle aziende tecnologiche in un mondo globalizzato.

Il Diritto Alla Privacy nell’era digitale

Al centro del conflitto tra Durov e le agenzie governative c’è la questione fondamentale del diritto alla privacy nell’era digitale. Telegram, con la sua enfasi sulla crittografia e sulla protezione dei dati degli utenti, è diventato un simbolo della lotta per le libertà digitali.

Questa lotta assume un significato particolare nel contesto del crescente autoritarismo e della maggiore sorveglianza da parte del governo in molti paesi del mondo. Per milioni di utenti, soprattutto in regioni con libertà di parola limitata, i messenger altamente sicuri sono diventati non solo un mezzo di comunicazione, ma anche uno strumento per preservare la libertà personale e politica.

Tuttavia, il desiderio di privacy assoluta deve far fronte a vere e proprie sfide in termini di sicurezza. Gli Stati sostengono la necessità di accedere alle comunicazioni crittografate nella lotta al terrorismo, alla criminalità organizzata e alla protezione dei minori. Ciò crea un difficile dilemma etico: come bilanciare il diritto alla privacy con la garanzia della sicurezza pubblica?

Quali sono le responsabilità delle Big Tech nell’era dei Messenger?

Il caso Durov solleva anche interrogativi sui limiti della responsabilità delle piattaforme tecnologiche per le azioni dei loro utenti. Tradizionalmente, le aziende IT si sono posizionate come intermediari neutrali che forniscono infrastrutture per lo scambio di informazioni. Tuttavia, con la crescente influenza dei social network e della messaggistica istantanea sui processi sociali, questa posizione sta diventando sempre meno stabile.

Le accuse contro Telegram di facilitare attività illegali pongono una domanda difficile per l’industria: in che misura le piattaforme dovrebbero monitorare i contenuti e le interazioni degli utenti? Un controllo eccessivo può portare alla censura e alla violazione dei diritti degli utenti, mentre la sua assenza crea rischi per la sicurezza pubblica.

Questa questione è particolarmente rilevante alla luce della crescente influenza dei social media sui processi politici, della diffusione della disinformazione e della radicalizzazione di alcuni gruppi della popolazione. Le aziende tecnologiche si trovano nella difficile posizione di dover bilanciare le richieste del governo, le aspettative degli utenti e i propri principi etici.

Il futuro delle Comunicazioni Digitali è in Pericolo

L’arresto di Durov e le continue pressioni su Telegram potrebbero avere conseguenze di vasta portata per il futuro delle comunicazioni digitali. Questo caso potrebbe costituire un precedente che determinerà l’interazione tra aziende tecnologiche e Stati negli anni a venire.

I possibili scenari per lo sviluppo della situazione includono:

1. Rafforzare la regolamentazione governativa del settore IT, che potrebbe portare alla frammentazione di Internet e alla creazione di “Muri digitali” nazionali.
2. Lo sviluppo di nuove soluzioni tecnologiche che complicano ulteriormente il controllo sulle comunicazioni digitali, ad esempio le reti decentralizzate basate su blockchain.
3. Formazione di nuovi accordi e standard internazionali che regolano le attività delle piattaforme IT globali e la protezione dei diritti degli utenti.

Il caso di Pavel Durov va ben oltre il destino di una persona o addirittura di un’azienda. Simboleggia le sfide chiave che la società deve affrontare nell’era della globalizzazione digitale: come trovare un equilibrio tra sicurezza nazionale e libertà personale, tra progresso tecnologico e standard etici, tra integrazione globale e sovranità degli Stati.

Se non si riuscirà a trovare un accordo e un bilanciamento tra privacy e libertà, il rischio è di vedere emergere nuove frontiere invalicabili che potrebbero mettere a rischio l’intero pianeta. Oggi, i muri non si costruiscono più con mattoni e calcestruzzo, ma con miliardi e miliardi di bit, creando divisioni digitali che potrebbero isolare nazioni, comunità e individui in modi prima impensabili. L’esito di questo confronto potrebbe determinare non solo il futuro delle comunicazioni digitali, ma anche la natura delle relazioni tra cittadini, aziende e Stati nel 21° secolo.

L'articolo L’Arresto di Pavel Durov e i Muri Digitali. Il bilanciamento tra Governi e Big Tech è cosa da fare proviene da il blog della sicurezza informatica.

La Digital Forensic, o informatica forense, è una disciplina che si occupa della raccolta, conservazione, analisi e presentazione di dati digitali in modo da essere utilizzati come prova in un contesto legale. Questo campo è diventato sempre più rilevante con la diffusione di tecnologie digitali in quasi tutti gli aspetti della vita quotidiana e l’aumento di crimini informatici, come frodi, attacchi hacker, e violazioni della privacy.

Definizione e Obiettivi della Digital Forensic

La Digital Forensic può essere definita come un insieme di tecniche e strumenti utilizzati per identificare, conservare, analizzare e documentare informazioni digitali per scopi investigativi e legali. L’obiettivo principale è quello di ottenere prove digitali che siano ammissibili in tribunale. Le prove devono essere raccolte in modo rigoroso per evitare qualsiasi tipo di alterazione, contaminazione o perdita di dati.

Catena di Conservazione dei Dati

Un concetto fondamentale nella Digital Forensic è la Catena di Conservazione dei Dati (o Chain of Custody). Questa catena rappresenta la documentazione continua e ininterrotta che descrive la gestione, la custodia, il controllo e l’analisi dei dati digitali dalla loro acquisizione fino alla loro presentazione in tribunale. Ogni passaggio deve essere registrato dettagliatamente, assicurando che i dati non siano stati alterati durante il processo. Il mantenimento di una catena di conservazione intatta è essenziale per garantire l’integrità delle prove e la loro ammissibilità legale.

Tipi di Analisi Forensi

La Digital Forensic comprende diverse tipologie di analisi, ciascuna focalizzata su differenti fonti e forme di dati digitali. Le principali analisi forensi sono:

1. Forensic su Computer: Questo tipo di analisi si concentra sull’estrazione e l’analisi di dati da computer e dispositivi di archiviazione, come hard disk, SSD, e chiavette USB. Le tecniche includono il recupero di file cancellati, la decrittazione di dati cifrati, e l’analisi di log di sistema.
2. Forensic su Reti: In questo ambito, l’analisi si concentra sui dati trasmessi attraverso reti informatiche, come pacchetti di dati, log di rete, e traffico internet. Questo tipo di analisi è spesso utilizzato per indagare su attacchi informatici e accessi non autorizzati.
3. Mobile Forensic: Si occupa dell’analisi di dispositivi mobili come smartphone e tablet. I dati estratti possono includere messaggi, contatti, registri delle chiamate, geolocalizzazioni e applicazioni installate. È particolarmente utile nelle indagini criminali e nelle controversie legali.
4. Forensic su Cloud: Questa analisi riguarda la raccolta e l’analisi di dati conservati su servizi cloud, che rappresentano una sfida particolare a causa della natura distribuita e della gestione remota dei dati.
5. Forensic su Social Media: Focalizzata sull’analisi dei contenuti e delle attività sui social media, questo tipo di indagine è utile per comprendere le comunicazioni e le interazioni digitali in ambito investigativo.

Importanza delle Analisi Forensi

Le analisi forensi digitali sono cruciali per diverse ragioni:

• Raccolta di Prove: Forniscono prove fondamentali per la risoluzione di casi legali, come frodi finanziarie, cyberstalking, e violazioni di dati.
• Prevenzione e Sicurezza: Contribuiscono a migliorare la sicurezza delle reti e dei sistemi informatici attraverso l’identificazione di vulnerabilità e la ricostruzione di attacchi.
• Integrità dei Dati: Garantiscono che le prove digitali rimangano intatte e non alterate, elemento essenziale per il loro utilizzo in tribunale.

Implicazioni Giuridiche

L’uso della Digital Forensic ha profonde implicazioni legali. Per prima cosa, le prove digitali devono essere raccolte seguendo rigide procedure per garantirne l’ammissione in tribunale. Questo include il rispetto della catena di conservazione e l’uso di tecniche di acquisizione di dati che siano accettate dalla comunità legale. Le normative sulla protezione dei dati, come il GDPR in Europa, aggiungono ulteriori strati di complessità, richiedendo che le indagini forensi rispettino la privacy e i diritti degli individui.

Inoltre, gli esperti di Digital Forensic possono essere chiamati a testimoniare come periti in tribunale, fornendo spiegazioni tecniche e interpretazioni dei dati digitali raccolti. La loro capacità di presentare i risultati in modo chiaro e comprensibile è fondamentale per l’efficacia delle indagini.

Conclusione

La Digital Forensic rappresenta un pilastro fondamentale nella lotta contro il crimine informatico e nella risoluzione di controversie legali che coinvolgono dati digitali. Attraverso tecniche avanzate e una rigorosa gestione delle prove, questa disciplina garantisce che le informazioni digitali possano essere utilizzate in modo efficace e legale per proteggere i diritti e la sicurezza degli individui e delle organizzazioni.

L'articolo Digital Forensic: La Scienza che Svela i Segreti Nascosti nei Dati proviene da il blog della sicurezza informatica.