La backdoor Vo1d infetta 1,3 milioni di set-top box Android in 197 paesi
Gli specialisti Doctor Web riferiscono che una nuova backdoor ha infettato quasi 1.300.000 set-top box TV basati su Android in 197 paesi del mondo. Questo malware è in grado di scaricare e installare segretamente software di terze parti.
La geografia della distribuzione del malware copre quasi 200 paesi. I paesi più compromessi sono stati individuati in Brasile, Marocco, Pakistan, Arabia Saudita, Russia, Argentina, Ecuador, Tunisia, Malesia, Algeria e Indonesia.
I ricercatori scrivono che questa campagna è stata scoperta nell’agosto di quest’anno, quando diversi utenti hanno contattato Doctor Web. Le soluzioni antivirus dell’azienda hanno rilevato modifiche nell’area dei file di sistema sui propri dispositivi. Ciò è accaduto con i seguenti modelli di console:
In tutti i casi, i segni di infezione erano simili. Pertanto, su uno dei set-top box interessati, gli oggetti install-recovery.sh e daemonsu sono stati modificati. Inoltre, nel file system sono comparsi quattro nuovi file:
- /system/xbin/vo1d
- /system/xbin/wd
- /sistema/bin/debuggerd
- /sistema/bin/debuggerd_real
I file vo1d e wd sono componenti del malware identificato, che l’azienda traccia come Android.Vo1d.
“Gli autori del Trojan probabilmente hanno cercato di camuffare uno dei suoi componenti come programma di sistema /system/bin/vold, chiamandolo con il nome simile “vo1d” (sostituendo la lettera minuscola “l” con il numero “1”). Il malware ha preso il nome da questo file. Inoltre, questa ortografia è in consonanza con la parola “void” (inglese “vuoto”)”, scrivono i ricercatori.
Il file install-recovery.sh è uno script presente sulla maggior parte dei dispositivi Android. Si avvia all’avvio del sistema operativo e contiene dati per l’esecuzione automatica degli elementi in esso specificati. Se un malware dispone dell’accesso root e della capacità di scrivere nella directory di sistema /system, può prendere piede sul dispositivo infetto aggiungendosi a questo script (o creandolo se non è presente nel sistema). Vo1d ha specificato l’avvio automatico del componente wd al suo interno.
Il file daemonsu è presente anche su molti dispositivi Android rootati. Viene avviato dal sistema all’avvio ed è responsabile della concessione dei privilegi di root all’utente. Il malware si è registrato anche in questo file, impostando anche l’avvio automatico del modulo wd.
Il file debuggerd è un demone comunemente utilizzato per generare rapporti sugli errori. Ma quando il set-top box è stato infettato, questo file è stato sostituito con uno script che avviava il componente wd.
Va notato che la funzionalità principale di Vo1d è nascosta nei suoi componenti vo1d ( Android.Vo1d.1 ) e wd ( Android.Vo1d.3 ), che lavorano insieme. Pertanto, il modulo Android.Vo1d.1 è responsabile dell’avvio di Android.Vo1d.3 e ne controlla l’attività, riavviando il processo se necessario.
Inoltre, su comando del server di controllo, può scaricare ed eseguire file eseguibili. A sua volta, il modulo Android.Vo1d.3 si installa sul dispositivo e avvia un demone crittografato nel suo body ( Android.Vo1d.5 ), che è anche in grado di scaricare e avviare file eseguibili. Inoltre, monitora la presenza di file APK delle applicazioni in determinate directory e li installa.
Gli esperti suggeriscono che gli aggressori potrebbero aver preso di mira i set-top box, perché tali dispositivi spesso funzionano con versioni obsolete di Android, a cui non sono state riparate le vulnerabilità e per le quali non sono più disponibili aggiornamenti.
Attualmente la fonte dell’infezione dei set-top box con la backdoor Vo1d rimane sconosciuta. Si ritiene che un possibile vettore potrebbe essere un attacco da parte di un malware che sfrutta le vulnerabilità del sistema operativo per ottenere i diritti di root. Un’altra teoria afferma che il problema potrebbe essere dovuto all’uso di versioni firmware non ufficiali con accesso root.
L'articolo La backdoor Vo1d infetta 1,3 milioni di set-top box Android in 197 paesi proviene da il blog della sicurezza informatica.
A Big Pharma non interessa il vaiolo delle scimmie: scarsi profitti
@Notizie dall'Italia e dal mondo
L'Africa Centre for Disease Control stima che siano necessarie 10 milioni di dosi in tutto il continente, e che la quota maggiore ricadrà sulla Repubblica Democratica del Congo. Tuttavia, gli esperti affermano che la carenza globale di vaccini contro l'MPox potrebbe rallentare
Notizie dall'Italia e dal mondo reshared this.
Come le tue app trasformano il telefono in una Spia: scopri i rischi nascosti
Cybernews ha effettuato una analisi sui rischi per gli utenti Android associati a permessi eccessivi nelle applicazioni più diffuse. Secondo gli esperti, molti programmi richiedono un accesso molto maggiore di quello necessario per il loro funzionamento, il che aumenta la probabilità di fuga di dati personali.
Da un’analisi di 50 app popolari su Google Play è emerso che, in media, un’app richiede 11 autorizzazioni pericolose. Tale accesso include il rilevamento della posizione, l’uso di una fotocamera, un microfono e l’accesso ai file dell’utente. Il leader nel numero di permessi è stato il servizio indiano MyJio, che richiede 29 accessi, inclusa la determinazione della posizione, l’accesso alla fotocamera, al microfono, al calendario e ai file.
Valutazione delle applicazioni in base al numero di autorizzazioni richieste
WhatsApp richiede 26 autorizzazioni, classificandosi al secondo posto nell’elenco. TrueCaller, utilizzato per identificare i numeri e bloccare le chiamate spam, richiede 24 accessi pericolosi. Anche Facebook e Instagram richiedono un numero significativo di autorizzazioni: rispettivamente 22 e 19.
I ricercatori sottolineano che anche piccole autorizzazioni, come l’invio di notifiche, possono essere sfruttate dagli aggressori. Nel 2023, il senatore statunitense Ron Wyden ha avvertito che le notifiche potrebbero essere utilizzate per la sorveglianza mentre i dati passano attraverso servizi intermedi come Firebase Cloud Messaging di Google. Ciò crea ulteriori rischi per la privacy.
Uno degli accessi richiesti più frequentemente è l’autorizzazione a scrivere e leggere dati da una memoria esterna. Ciò potrebbe consentire a un’app di accedere a file personali come foto o documenti archiviati sul dispositivo. Come notano gli esperti, tale accesso è spesso necessario per scaricare file multimediali o salvare i risultati di un’applicazione. Tuttavia, se utilizzate in modo errato, tali autorizzazioni possono portare alla perdita di dati.
Altre richieste di app popolari includono l’accesso alla fotocamera e la registrazione audio. 33 delle 50 app studiate richiedono tali autorizzazioni. Le funzionalità possono essere utilizzate per condividere foto e messaggi vocali, ma comportano anche il rischio di abusi da parte di inserzionisti o malintenzionati.
Da uno studio sui permessi è emerso che la maggior parte delle applicazioni appartenenti alla categoria comunicazione e social networking richiedono il maggior numero di accessi. Il numero medio di permessi per le app di comunicazione è stato di 19, e per i social network – 17. Tuttavia, alcune app, come WhatsApp e Messenger, richiedono l’accesso al controllo delle chiamate, allo stato del telefono e alla posizione precisa, sebbene queste funzioni non siano sempre ovvie per gli utenti e non sono sempre direttamente correlate alle funzionalità di base dell’applicazione.
Autorizzazioni pericolose richieste dalle app nelle categorie Comunicazioni (a sinistra) e Social Network (a destra).
I ricercatori consigliano agli utenti di prestare particolare attenzione alle autorizzazioni concesse alle app.
Ad esempio, dovresti fare attenzione anche ai giochi che richiedono solo pochi accessi. Mentre programmi come Among Us non richiedono una singola autorizzazione pericolosa, altri come Mobile Legends o PubG Mobile richiedono più di 10 accessi, inclusi l’accesso alla fotocamera, all’audio e alla posizione.
Allo stesso tempo, gli esperti di Cybernews sottolineano che anche se un’applicazione richiede un numero minimo di autorizzazioni, ciò non garantisce la sicurezza. L’applicazione può essere eseguita in background, accedere alla rete e ad altri dati senza avvisare l’utente. Gli esperti raccomandano di controllare regolarmente le impostazioni del dispositivo e di rimuovere le applicazioni non necessarie per ridurre al minimo il rischio di fuga di dati personali.Gli esperti di cybernews hanno precedentemente condotto uno studio da cui è emerso che l’iPhone continua a scambiare attivamente dati con server esterni, anche quando rimane a lungo in modalità inattiva.
L’esperimento ha utilizzato un iPhone SE ripristinato alle impostazioni di fabbrica con installate 100 delle app più popolari dell’App Store tedesco. Ogni connessione in uscita verso server esterni veniva monitorata tramite il servizio NextDNS. I ricercatori di cybernews hanno già condotto un esperimento simile con uno smartphone Android, tanto più interessante sarà confrontare i dati ottenuti.
L'articolo Come le tue app trasformano il telefono in una Spia: scopri i rischi nascosti proviene da il blog della sicurezza informatica.
Joe Vinegar reshared this.
Clima, diritti, pace: i temi di un altro anno di azionariato critico per Fondazione Finanza Etica
@Notizie dall'Italia e dal mondo
Il nuovo articolo di @valori@poliversity.it
12 aziende e altrettante assemblee, 298 domande, 49 voti: sono i numeri dell’azionariato critico di Fondazione Finanza Etica nel 2024
L'articolo Clima, diritti, pace: i temi di un altro anno di azionariato critico per Fondazione Finanza Etica
Notizie dall'Italia e dal mondo reshared this.
Telegram sotto Accusa dal NY Times! Una Piattaforma Globale per Crimini e Contenuti Estremisti
Il New York Times ha pubblicato i risultati dell’indagine dal titolo “Come Telegram è diventato un parco giochi per criminali, estremisti e terroristi” descrivendo Telegram come “un canale globale per attività criminali, contenuti tossici, disinformazione, violenza sessuale e razzismo”. Durante lo studio durato quattro mesi, i giornalisti hanno analizzato più di 3,2 milioni di messaggi provenienti da 16mila canali di messaggistica, rivelando una diffusa attività illegale ed estremista sulla piattaforma.
Secondo la pubblicazione, Telegram offre strumenti che consentono a criminali e truffatori di organizzare le proprie attività su larga scala e di eludere l’attenzione delle autorità. Nonostante l’evidente prosperità delle attività illegali, l’amministrazione della piattaforma non ha intrapreso azioni sufficienti per sopprimerle. Gli esperti del New York Times hanno identificato 1.500 canali associati alla propaganda della supremazia bianca, che uniscono quasi un milione di utenti in tutto il mondo.
Decine di canali pubblicizzavano anche armi e alcuni mostravano attività legate al commercio internazionale. 22 canali con più di 70mila abbonati pubblicizzavano sostanze illegali con consegna in più di 20 paesi.
Il vice commissario per l’intelligence e l’antiterrorismo del Dipartimento di polizia di New York, Rebecca Weiner, ha affermato che “Telegram è diventato il luogo di ritrovo più popolare per gli autori malintenzionati”. Secondo lei, se qualcuno sta pianificando un crimine, molto probabilmente sceglierà questa piattaforma per le sue azioni.
Telegram, come riportato dal New York Times, non presta sufficiente attenzione alle richieste delle forze dell’ordine. Secondo ex dipendenti dell’azienda, la casella di posta per tali richieste viene controllata raramente, il che complica notevolmente le indagini. Allo stesso tempo, altri grandi social network, come YouTube e TikTok, hanno interi dipartimenti dedicati all’elaborazione di tali richieste e migliaia di moderatori che monitorano contenuti potenzialmente pericolosi.
In effetti, solo Apple e Google, che possono rimuovere Telegram dai propri app store, sono stati in grado di spingere con successo la piattaforma per rimuovere e limitare la diffusione di contenuti dannosi, dicono analisti, funzionari governativi e dirigenti tecnologici. A volte i governi si sono rivolti ai giganti della tecnologia per chiedere aiuto per costringere Telegram ad agire.
Dopo che il New York Times ha inviato a Telegram un elenco di domande, Pavel Durov, fondatore e amministratore delegato dell’azienda, ha rilasciato i suoi primi commenti. Ha affermato che l’idea di Telegram come “una sorta di paradiso anarchico” non è vera, sottolineando che l’azienda rimuove ogni giorno milioni di post e canali dannosi. Secondo Durov, l’enorme volume di contenuti vietati si spiega con il fatto che la piattaforma sta attraversando “fatiche crescenti”. Ha notato che si è assunto personalmente il compito di migliorare significativamente il sistema di moderazione e di combattere le attività illegali sulla piattaforma.
In una dichiarazione al New York Times, Telegram ha sottolineato che il 99,999% degli utenti della piattaforma sono cittadini rispettosi della legge e, sebbene ci sia ancora del lavoro da fare, la società sta attivamente migliorando le sue funzionalità e i meccanismi di moderazione per controllare più efficacemente i contenuti.
Gli esperti ritengono che uno dei motivi principali per cui Telegram attira gli estremisti e i criminali siano le sue caratteristiche uniche. A differenza dei concorrenti come WhatsApp, che limitano la dimensione dei gruppi e l’accesso ai canali pubblici, Telegram permette di creare canali e supergruppi da 200mila utenti, attirando sia utenti legali che coloro che cercano una piattaforma per attività illegali.
L'articolo Telegram sotto Accusa dal NY Times! Una Piattaforma Globale per Crimini e Contenuti Estremisti proviene da il blog della sicurezza informatica.
IntelBroker Rivendica l’Accesso al Database di We One: a Eischio 13.000 Utenti
Ancora una volta il Threat Actor IntelBroker, avrebbe fatto trapelare presumibilmente una nuova violazione ai danni di un’azienda di servizi e soluzioni innovative.
Da quanto riportato nel post, IntelBroker fa sapere che nel settembre 2024, We One, ha subito una violazione dei dati che ha interessato un loro database.
Al momento, non possiamo confermare la veridicità della notizia, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo deve essere considerato come ‘fonte di intelligence’.
Dettagli della violazione
Secondo quanto appreso, IntelBroker in collaborazione con il Threat Actor EnergyWeaponUser, avrebbe fatto trapelare su BreachForums, il database di un sito web di corsi appartenente all’azienda We One. Nel post, IntelBroker fa sapere di aver messo a disposizione degli utenti il database del sito weoneskills.com pronto per essere scaricato e consultato. La violazione avrebbe presumibilmente messo a rischio le informazioni personali di circa 13.000 utenti.
Dati compromessi:
_id, organisation_id, user_id, extra_data, created_date, extra_data.Employee Number, extra_data.Employee Name in Arabic, extra_data.Business Unit, extra_data.BU Code, extra_data.Department, extra_data.Cost Center Name, extra_data.CC Code, extra_data.Nationality, extra_data.Gender, extra_data.Date of Birth, extra_data.Joining Date, extra_data.Grade, extra_data.Job, extra_data.Person Type, extra_data.Supervisor Emp No, extra_data.Supervisor Name, extra_data.Supervisor Position, extra_data.Supervisor BU Name, extra_data.Supervisor Cost Center, extra_data.Supervisor CC Code, extra_data.Emirates ID No, extra_data.test, extra_data.Test_01, extra_data.etcg, extra_data.TEST_02, extra_data.fcv,
Conclusioni
La divulgazione di informazioni personali comporta rischi significativi. I dati condivisi dai due attori delle minacce includono informazioni personali che possono essere utilizzate per effettuare furti d’identità e altre forme di criminalità informatica
La presunta violazione dei dati rappresenta perciò un rischio elevato per gli utenti interessati. Gli utenti sono quindi invitati a tenere d’occhio qualsiasi attività sospetta.
Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.
RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzareredhotcyber.com/whistleblowerla mail crittografata del whistleblower.
L'articolo IntelBroker Rivendica l’Accesso al Database di We One: a Eischio 13.000 Utenti proviene da il blog della sicurezza informatica.
There’s Already A Nixie Addon For The 2024 Supercon Badge
Nixie tubes are cool, and hackers like them. Perhaps for those reasons more than any other, [Kevin Santo Cappuccio] has developed a very particular Simple Add-On for the 2024 Hackaday Supercon badge.Rad, no?
The build began with a Burroughs 122P224 Nixie tube, and a HV8200 power supply. The latter component is key—it’s capable of turning voltages as low as 3 V into the 180V needed to power a Nixie. Then, an 18-position selector switch was pulled out of a resistance substitution box, and [Kevin] whipped up a basic DIY slip ring using some raw copper clad board.
Smoosh it all together, and what do you get? It’s a Nixie tube you can spin to change the number it displays. Useful? Hardly, unless you want to display varying glowing numbers to people at unreadable angles. Neat? Very. Just don’t touch any of the pins carrying 180 V, that’ll sting. Still, [Kevin] told us it’s pretty tucked away. “I’m totally comfortable touching it, but also would get sued into oblivion selling these on Amazon,” he says.
As [Kevin] notes in his post, the 2024 badge is all about the add-ons— and there’s actually a contest! We suspect [Kevin] will have a strong chance of taking out the Least Manufacturable title.
If you need more information about the Simple Add-On (SAO) interface, [Brian Benchoff] posted the V1.69bis standard on these very pages back in 2019. Apparently the S used to stand for something else. Video after the break.
youtube.com/embed/gS8xnwAx_z0?…
noyb WIN: Il "patteggiamento" della DPA belga si è trasformato in vere e proprie ordinanze legali sui cookie banner ingannevoli
Abbiamo vinto una causa contro la società belga di notizie Mediahuis. Quattro importanti siti web di notizie devono adattare i loro banner cookie, attualmente ingannevoli
mickey12 September 2024
Back Up Your Data On Paper With Lots Of QR Codes
QR codes are used just about everywhere now, for checking into venues, ordering food, or just plain old advertising. But what about data storage? It’s hardly efficient, but if you want to store your files in a ridiculous paper format—there’s a way to do that, too!
QR-Backup was developed by [za3k], and is currently available as a command-line Linux tool only. It takes a file or files, and turns them into a “paper backup”—a black-and white PDF file full of QR codes that’s ready to print. That’s legitimately the whole deal—you run the code, generate the PDF, then print the file. That piece of paper is now your backup. Naturally, qr-backup works in reverse, too. You can use a scanner or webcam to recover your files from the printed page.
Currently, it achieves a storage density of 3KB/page, and [za3k] says backups of text in the single-digit megabyte range are “practical.” You can alternatively print smaller, denser codes for up to 130 KB/page.
Is it something you’ll ever likely need? No. Is it super neat and kind of funny? Yes, very much so.
We’ve seen some other neat uses for QR codes before, too—like this printer that turns digital menus into paper ones. If you’ve got your own nifty uses for these attractive squares, let us know!
2024 Tiny Games Contest: Spectacular Sub-Surface Simon
When you work with tiny things on the regular, they start to seem normal-sized to your hands and eyes. Then, if you work with even smaller packages, stuff like 0603 might as well be through-hole components.
[alnwlsn] is no stranger to the small, having worked almost exclusively with surface mount components for a few years now. Even so, they’ve built up an admirable stock of DIP chips, including the ATtiny84 DIP-14 that their incredible Simon game is built into.
How in the world did [alnwlsn] accomplish this? As you’ll see in the video after the break, the answer lies in milling, but with the motors disconnected and manually turning the knobs.
Soldering didn’t require anything special, just the usual suspects like a fine-tipped iron, an X-acto knife, some tweezers, and a few other things like a hot air gun for soldering fine wires to the leadframe. Oh, and of course, really steady hands, and lots of patience.
The 2024 Tiny Games Contest officially closed on Tuesday, September 10th. We’ll have the results out as soon as possible. Best of luck to all who entered!
youtube.com/embed/IygBZo0NMQE?…
Digital Bumper Sticker Tells Everyone What You’re Listening To
Bumper stickers are usually political, crude, or otherwise inflammatory. Rather a more fun example is this digital creation from [Guy Dupont], who made a bumper sticker that broadcasts what he’s listening to on the stereo.
[Guy] found a nice wide 11-inch bar LCD that was the right aspect ratio to suit the “bumper sticker” aesthetic. It had an HDMI interface, so he decided to drive it with a Raspbery Pi Zero 2W. Power for the system was derived from 12-volt lines going to his vehicle’s rear view camera. For an enclosure, he simply stuck the Pi and a buck converter on the back of the display and heat shrinked the whole thing. He also threw some magnets in there to stick it to the car.
How does the screen know what song to display? Well, [Guy] already has his Spotify listens scrobbling to Last.fm. Thus, he just made a script that scrapes his Last.fm page, which runs on a Particle Boron microcontroller, which has a cellular connection of its own. The Boron gets the song data, and spits it over to the Pi via Bluetooth. Then the Pi generates an image for the display.
Oh, and there’s also a neat Easter Egg. In honor of brat summer, the background changes to #8ACE00 green if the system detects you’re listening to Charli XCX. Neat.
It’s a neat build with a lot of moving parts. We’re surprised we haven’t seen anything like this before though, it’s really rather fun. Also, how’s about that taste of the old Internet—when was the last time you heard somebody mention scrobbling? Gosh, we’re getting old.
We’ve featured some of [Guy’s] works before, too, like the amusing Mailblocks project. Video after the break.
youtube.com/embed/mWRPRW6pHIY?…
How Photomultipliers Detect Single Photons
If you need to measure the presence of photons down to a very small number of them, you are looking at the use of a photomultiplier, as explained in a recent video by [Huygens Optics] on YouTube. The only way to realistically measure at such a sensitivity level is to amplify them with a photomultiplier tube (PMT). Although solid-state alternatives exist, this is still a field where vacuum tube-based technology is highly relevant.
Despite being called ‘photomultipliers’, these PMTs actually amplify an incoming current (electron) in a series of dynode stages, to create an output current that is actually easy to quantify for measurement equipment. They find uses in everything from Raman spectroscopy to medical diagnostics and night vision sensors.
The specific PMT that [Huygens Optics] uses in the video is the Hamamatsu R928. This has a spectral response from 185 nm to 900 nm. The electrode mesh is where photons enter the tube, triggering the photo cathode which then ejects electrons. These initial electrons are then captured and amplified by each dynode stage, until the anode grid captures most of the electrons. The R928 has a gain of 1.0 x 107 (10 million) at -1 kV supply voltage, so each dynode multiplies the amount of electrons by six, with a response time of 22 ns.
PMTs are unsurprisingly not cheap, but [Huygens Optics] was lucky to find surplus R928s on Marktplaats (Dutch online marketplace) for €100 including a cover, optics and a PCB with the socket, high-voltage supply (Hamamatsu C4900) and so on. Without documentation the trick was to reverse-engineer the PCB’s connections to be able to use it. In the video the components and their function are all briefly covered, as well as the use of opamps like the AD817 to handle the output signal of the R928. Afterwards the operation of the PMT is demonstrated, which makes clear just how sensitive the PMT is as it requires an extremely dark space to not get swamped with photons.
An interesting part about the demonstration is that it also shows the presence of thermionic emissions: anode dark current in the datasheet. This phenomenon is countered by cooling the PMT to prevent these emissions if it is an issue. In an upcoming video the R928 will be used for more in-depth experiments, to show much more of what these devices are capable of.
Thanks to [cliff claven] for the tip.
youtube.com/embed/5V8VCFkAd0A?…
Crimini di guerra in Afghanistan, l’Australia ritira le medaglie concesse ad alcuni ufficiali
@Notizie dall'Italia e dal mondo
L'Australia ha deciso di ritirare le medaglie al valore concesse ad alcuni ufficiali dopo la denuncia dei crimini di guerra compiuti in Afghanistan da alcuni militari
L'articolo Crimini di guerra in Afghanistan, l’Australia ritira le medaglie concesse ad alcuni ufficiali
Notizie dall'Italia e dal mondo reshared this.
Building A Subwoofer Box Out Of Decking Material
When you go to build a subwoofer box, wood is the most common choice. When it came to his project, though, [Startup Chuck] decided to go a different route entirely. Rather than the usual plywood or MDF, he decided to try Trex decking instead. Why? He had some lying around, and he suspected it might just sound good.
If you’re unfamiliar with it, Trex decking is a composite material made of recycled materials like reclaimed wood and plastic film. The best part, though? Trex decking is twice as dense as MDF. That makes it good for speaker box use because it flexes less and thus absorbs less energy from the subwoofer. [Chuck] walks us through cutting out the parts for the box and the subsequent assembly. Ultimately, it’s not dissimilar from building a speaker box out of wood; the material is simply not that different—just denser.
[Chuck] also puts his new sub through some quick little tests, demonstrating that minimal vibration is passed through to the enclosure itself. He reports that the final build has a “nice, deep sound.” Meanwhile, if you don’t like working with your hands, you could always 3D-print your speaker enclosures instead. Video after the break.
youtube.com/embed/yaxXvMkDEYY?…
EU think tank challenges Draghi, Letta recommendations for telecoms sector
The Centre on Regulation in Europe (CERRE) has challenged the recommendations of Enrico Letta and Mario Draghi for the EU telecoms industry, in a report released on Thursday (12 September).
Dallo schermo al libro, in tutt’Europa si discute su come limitare l’uso degli smartphone
@Politica interna, europea e internazionale
Alzate di spalle, lievi sarcasmi e una valanga di insulti fomentata sui social da alcuni blogger dei videogiochi. Quando, nel giugno del 2021, presentammo la relazione conclusiva dell’indagine conoscitiva che promossi in
Politica interna, europea e internazionale reshared this.
Sanità: 65 Milioni di Dollari è il Risarcimento per la Divulgazione dei Dati Sanitari dei Pazienti
Una delle più grandi organizzazioni sanitarie della Pennsylvania, Lehigh Valley Health Network (LVHN), ha accettato di pagare 65 milioni di dollari per risolvere una causa collettiva intentata dai pazienti dopo che le loro informazioni personali erano trapelate in un attacco ransomware. I dati trapelati includevano non solo informazioni personali come nomi, indirizzi e numeri di previdenza sociale, ma anche cartelle cliniche e fotografie, comprese immagini di nudo, di pazienti che erano state parzialmente pubblicate online.
L’intrusione nei sistemi informatici di LVHN è stata scoperta il 6 febbraio 2023. L’attacco è stato attribuito al gruppo di hacker ALPHV, noto anche come BlackCat. I criminali hanno rubato gigabyte di dati a 134mila pazienti e dipendenti e hanno chiesto un riscatto, minacciando altrimenti di rendere pubbliche le informazioni rubate.
Secondo la causa depositata nel marzo 2023, l’organizzazione medica ha scattato sistematicamente fotografie di nudo di pazienti sottoposti a cure contro il cancro, a volte a loro insaputa. Dopo che LVHN si è rifiutata di pagare il riscatto, i criminali informatici hanno messo in atto la loro minaccia e hanno iniziato a pubblicare i dati rubati, comprese le foto con informazioni personali.
La rete medica ha annunciato pubblicamente l’hacking il 20 febbraio, sostenendo che la sua portata era limitata. Tuttavia, il 4 marzo, il gruppo ALPHV ha pubblicato un avvertimento sul suo sito web secondo cui avrebbe rilasciato le immagini rubate se non fosse stato pagato un riscatto. Nonostante il rifiuto di LVHN, il 10 marzo i criminali hanno pubblicato altri 132 GB di dati e hanno promesso di continuare a divulgarli ogni settimana.
Una delle querelanti, che ha ricevuto notizia che le sue fotografie di nudo erano di pubblico dominio, ha affermato di non avere idea di essere stata fotografata durante il trattamento per un cancro al seno, tanto meno che le immagini fossero archiviate sui server di una rete medica. Inoltre, è rimasta indignata dalla reazione del rappresentante di LVHN, che l’ha informata della fuga di notizie con un sorriso, offrendole due anni di monitoraggio gratuito della storia creditizia come risarcimento.
Gli avvocati dei querelanti sostengono che LVHN ha violato i suoi obblighi di proteggere la riservatezza dei dati dei pazienti, il che costituisce anche una violazione dell’American Health Insurance Portability and Accountability Act (HIPAA). Tuttavia, la rete medica non ha ammesso la propria colpevolezza, nonostante abbia accettato di pagare un risarcimento.
Lo studio legale Saltz Mongeluzzi Bendesky afferma che l’accordo è il più grande del suo genere in un caso di violazione dei dati correlato al ransomware. I pazienti i cui dati sono stati pubblicati online riceveranno un risarcimento suddiviso in quattro categorie. Il pagamento più piccolo è di 50 dollari per coloro le cui cartelle cliniche sono state compromesse. Il compenso maggiore, compreso tra 70 e 80mila dollari, lo riceveranno coloro le cui foto di nudo sono state trovate online.
La Lehigh Valley Health Network è stata già bersaglio di attacchi informatici in passato. Nel luglio 2022 l’organizzazione è stata vittima di un incidente simile, a seguito del quale sono stati compromessi i dati di quasi 76mila pazienti. Nonostante ciò, non sono state adottate le misure necessarie per evitare il ripetersi degli attacchi, il che solleva dubbi sulla preparazione della rete medica a contrastare le minacce informatiche.
L'articolo Sanità: 65 Milioni di Dollari è il Risarcimento per la Divulgazione dei Dati Sanitari dei Pazienti proviene da il blog della sicurezza informatica.
Review: iFixit’s FixHub May Be The Last Soldering Iron You Ever Buy
Like many people who solder regularly, I decided years ago to upgrade from a basic iron and invest in a soldering station. My RadioShack digital station has served me well for the better part of 20 years. It heats up fast, tips are readily available, and it’s a breeze to dial in whatever temperature I need. It’s older than both of my children, has moved with me to three different homes, and has outlived two cars and one marriage (so far, anyway).When I got this, Hackaday still used B&W pictures.
As such, when the new breed of “smart” USB-C soldering irons started hitting the scene, I didn’t find them terribly compelling. Oh sure, I bought a Pinecil. But that’s because I’m an unrepentant open source zealot and love the idea that there’s a soldering iron running a community developed firmware. In practice though, I only used the thing a few times, and even then it was because I needed something portable. Using it at home on the workbench? It just never felt up to the task of daily use.
So when iFixit got in contact a couple weeks back and said they had a prototype USB-C soldering iron they wanted me to take a look at, I was skeptical to say the least. But then I started reading over the documentation they sent over, and couldn’t deny that they had some interesting ideas. For one, it was something of a hybrid iron. It was portable when you needed it to be, yet offered the flexibility and power of a station when you were at the bench.
Even better, they were planning on putting their money where their mouth is. The hardware was designed with repairability in mind at every step. Not only was it modular and easy to open up, but the company would be providing full schematics, teardown guides, and spare parts.
Alright, fine. Now you’ve got my attention.
Best of Both Worlds
Before we get too much farther, I should clarify that the FixHub is technically two separate devices. Officially iFixit calls the combo a “Portable Soldering System” in their documentation, which is made up of the Smart Soldering Iron and the Portable Power Station. While they are designed to work best when combined, both are fully capable of working independently of each other.
Smart Soldering Iron
The star of the show is, of course, the Smart Soldering Iron. It’s a 100 watt iron that comes up to operating temperature in under five seconds and can work with any suitably beefy USB-C Power Delivery source. The size and general proportions of the iron are very close to the Pinecil V2, though the grip is larger and considerably more comfortable to hold. The biggest difference between the two however is the absence of a display or configuration buttons. According to iFixit, most users don’t change their settings enough to justify putting the interface on the iron itself. That doesn’t mean you can’t tweak the iron’s settings when used in this stand-alone configuration, but we’ll get back to that in a minute.
The only control on the iron is a slide switch on the tail end that cuts power to the heating element. I like this arrangement a lot more than the software solution used on irons like the Pinecil. The click of the switch just feels more reliable than having to hold down a button and hoping the iron’s firmware understands that I want to turn the thing off and not adjust some setting. Of course, this is still a “smart” iron, so naturally there’s also support for accelerometer based idle and sleep modes that you can enable.
While there’s no display, the illuminated ring behind the grip does provide a visual indicator of what the iron is doing: solid blue means it has power but the heating element is off, a pulsing blue indicates the iron is heating, and orange means it has reached the desired temperature. If you flick the heater switch off, the ring pulses purple until it cools back off and returns to blue. It’s a simple and effective system, but the visual distinction between the blue and purple isn’t great. Would love to see the ability to customize these colors in a future firmware update.
hackaday.com/wp-content/upload…
The iron has a couple of clever portability features for those who often find themselves hacking on the go. The magnetic cap can be placed over the tip even when it’s hot, which means you don’t need to wait for the iron to cool down before you pack it away in your bag. The included USB-C cable also comes with a locking collar that mates with the groves in the tail of the iron — this keeps the cable from pulling out if you’ve got yourself contorted into some weird angle, but doesn’t prevent you from using your own cable should you want.
As for the tip, it can be easily removed without tools and uses a 3.5 mm TRS plug like the Miniware TS80, although I don’t have a TS80 handy to test if the tips are actually compatible. For their part, iFixit says they plan on offering an array of styles and sizes of tips in addition to the 1.5 mm bevel that the Smart Soldering Iron ships with.
Portable Power Station
While it’s not required to use the Smart Soldering Iron, for the best experience, you’ll want to spring for the Portable Power Station. It’s essentially a 5,200 mAh battery bank capable of powering devices at 100 W, with a single USB-C port on the back for charging and two on the front for whatever devices you want to plug into it.
The trick is, once the Station detects you’ve plugged a Smart Soldering Iron into it, you’re given the ability to configure it via the OLED screen and rotary encoder on the front of the device. There’s even support for connecting a pair of Smart Soldering Irons to the Station, each with its own independent configuration. Though in that case, both would have to share the total 100 W output.
hackaday.com/wp-content/upload…
Assuming a single Smart Soldering Iron, iFixit says you should expect to get up to eight hours of runtime from the Portable Power Station. Of course there are a lot of variables involved, so your mileage may vary. If you’re spending most of your time at the bench, you can keep the rear USB-C port connected to a Power Delivery charger and use it more or less like a traditional station.
The Internet of Irons
Plugging the Smart Soldering Iron into the Power Station is the most obvious way of tweaking its various settings, but as I mentioned earlier, it’s not the only way.
Maybe you don’t want to buy the Station, or you left it at home. In either event, you can simply plug the iron into your computer and configure it via WebSerial.
You’ll need a browser based on Chrome to pull this trick off, as Mozilla has decided (at least, for now) to not include the capability in Firefox. In testing, it worked perfectly on both my Linux desktop and Chromebook.
Unfortunately, plugging the iron into your phone won’t work, as the mobile version of Chrome does not currently support WebSerial. But given the vertical layout of the interface and the big touch-friendly buttons, I can only assume that iFixit is either banking on this changing soon or has a workaround in mind. Being able to plug the iron into your phone for a quick settings tweak would be incredibly handy, so hopefully it will happen one way or another.
The WebSerial interface not only gives you access to all the same settings as plugging the iron into the Power Station does, but it also serves as the mechanism for updating the firmware on the iron.
Incidentally, the Power Station has it’s own nearly identical WebSerial interface. Primarily this would be used for upgrading the firmware, but it’s not hard to imagine that some users would prefer being able to change their settings on the big screen rather than having to squint at an OLED not much larger than their thumbnail.
Solder At Your Command
But wait! I hear those gears turning in your head. If the Smart Soldering Iron into the Power Station both feature WebSerial interfaces that let you play around with their settings, does that mean they might also offer a traditional serial interface for you to poke around in?
Hell yeah they do!
There was no mention of this terminal interface in any of the documentation I received from iFixit, but thanks to the built-in help function and tab completion, I was able to make my way around the various tools and functions. I never knew how badly I yearned to adjust the temperature on my soldering station from the command line before this moment. There’s clearly a lot of potential here, and I’m really looking forward to seeing what the community can come up given this level of control.
A Look Under the Hood
iFixit offered to give me a peek at the in-development repair guides for the Smart Soldering Iron and the Power Station, but I passed. For one thing, there’s no doubt in my mind that the finished product is going to be phenomenally detailed. Just look at any of their in-house guides, and you’ll know what to expect. But more to the point, I wanted to see how hard it would be to take the two devices apart without any guidance.
I’m happy to report that the iron and its base station are some of the most easily dissembled devices I’ve ever come across. No glue, weird tape, or hidden fasteners. No little plastic tabs that break if you look at them the wrong way. Just two pieces of hardware that were designed and assembled in a logical enough way that you only need to look at them to understand how it all goes together.
Of course, this should come as no surprise. Imagine the mud that would have been slung had iFixit had dropped the ball here. You can’t very well campaign for repairability if you don’t hold your own products to the same standards you do for everyone else. Presumably they designed the Smart Soldering Iron and the Power Station to hit a perfect ten by their published standards, and from what I’ve seen, they nailed it.
I also got a look at the schematics, exploded diagrams, and parts list for both products. Like the repair guides, these won’t be made public until the hardware ships in October. But don’t worry, this isn’t some crowdsource bait-and-switch. They’ve got the goods, and it’s all very impressive.
Now to be clear, we’re not talking open source hardware here. Don’t expect to pull Gerbers from a GitHub repo so you can crank out your own Power Station. But the documentation they’re providing is remarkable for a consumer device. The schematics especially — they’re filled with all sorts of notes in the margins from the engineers which were fascinating to go through.
Investing in the Future
If I’ve not made it abundantly clear so far, iFixit really blew me away with the Portable Soldering System. I knew they would put a solid effort into the product from their reputation alone, but even still, I wasn’t expecting the hardware and software to be this polished. iFixit didn’t just raise the bar, they sent it into orbit.
But all this comes at a price. Literally. The Smart Soldering Iron alone will set you back $79.95, and if you want to get the Power Station along with it, the combo comes in at $249.95. You could get a nice soldering station from Weller or Hakko for half the price. Then again, it’s hard to compare what iFixit is offering here to anything else on the market.
In the end, this is one of those times when you’ve got to decide what’s really important to you. If you just want a quality soldering station, there are cheaper options that will meet all of your needs and then some. But if you want to support a company that’s working to change the status quo, sometimes you’ve got to reach a little deeper into those pockets.
i Nano Robot in futuro potranno Salvarci dagli Ictus
Un team di scienziati dell’Università Jiao Tong di Edimburgo e Shanghai ha sviluppato minuscoli robot, i nanobot, in grado di combattere gli aneurismi cerebrali dall’interno. La tecnologia aiuterà a salvare migliaia di vite ogni anno.
Le emorragie cerebrali, spesso causate dalla rottura di un aneurisma (un rigonfiamento pieno di sangue in un’arteria del cervello), uccidono ogni anno circa 500.000 persone in tutto il mondo. Il nuovo metodo consente di controllare l’emorragia interna in modo mirato e minimamente invasivo.
I nanobot colpiscono per le loro dimensioni: il loro diametro è di soli 300 nanometri, ovvero circa 20 volte più piccolo di un globulo rosso umano. Questi minuscoli dispositivi sono magnetici e progettati per fornire farmaci per la coagulazione del sangue direttamente nell’area dell’aneurisma.
Ogni nanobot è racchiuso in un guscio protettivo che si dissolve ad una certa temperatura, consentendo il rilascio controllato dei farmaci. Questa caratteristica garantisce l’accuratezza e la sicurezza del trattamento, prevenendo la diffusione dei farmaci in aree indesiderate del corpo.
I ricercatori hanno testato con successo i nanobot su modelli di laboratorio e su un piccolo gruppo di conigli. Centinaia di miliardi di nanobot sono stati iniettati nelle arterie, che sono state poi controllate a distanza utilizzando magneti e imaging medico.
Il dottor Qi Zhou, uno dei leader dello studio, ha dichiarato: “I nanorobot aprono nuovi orizzonti nella medicina. Hanno il potenziale per consentirci di eseguire interventi chirurgici con meno rischi rispetto ai metodi tradizionali e di somministrare farmaci con precisione millimetrica alle parti del corpo difficili da raggiungere”.
Una volta che i nanobot hanno raggiunto il loro obiettivo, i ricercatori hanno utilizzato fonti magnetiche esterne per raggrupparli e riscaldarli alla loro temperatura di “fusione”. Questo ha consentito ai nanorobot di rilasciare una proteina naturale che favorisce la coagulazione del sangue. Ha bloccato l’aneurisma, arrestando l’emorragia nel cervello.
Lo studio, pubblicato sulla rivista peer-reviewed Small, dimostra l’enorme potenziale delle nanotecnologie in medicina. Gli scienziati ritengono che il loro sviluppo ci avvicini a un futuro in cui i nanobot potranno svolgere compiti complessi all’interno del corpo umano, come la somministrazione mirata di farmaci e la riparazione di organi, in modo minimamente invasivo.
L'articolo i Nano Robot in futuro potranno Salvarci dagli Ictus proviene da il blog della sicurezza informatica.
Sviluppo linguistico dei bimbi minore se troppo davanti a video
ANSA – ROMA, 12 SET – Se mamma e papà usano molto gli schermi tra SMARTPHONE e computer anche i figli li usano altrettanto e il maggior tempo trascorso davanti a un video potrebbe portare a minori capacità linguistiche per il bambino. Lo rivela uno studio condotto da Tiia Tulviste
Rachele Mussolini lascia Fdi e approda in Forza Italia: “La mia sensibilità è più moderata e centrista”
@Politica interna, europea e internazionale
Rachele Mussolini lascia Fdi e approda in Forza Italia Rachele Mussolini, figlia di Romano e nipote di Benito, lascia Fratelli d’Italia e approda in Forza Italia: la notizia, anticipata da La Repubblica, è stata confermata dalla stessa Mussolini. Consigliera
Politica interna, europea e internazionale reshared this.
Maria Rosaria Boccia torna a parlare e cita Arianna Meloni: “La mia nomina è stata stracciata dopo il dialogo con lei?”
@Politica interna, europea e internazionale
Maria Rosaria Boccia torna a parlare e cita Arianna Meloni Dopo l’intervista saltata a È sempre Cartabianca, durante la quale, secondo quanto riferito da Bianca Berlinguer avrebbe voluto dire che la sua nomina era stata bloccata da Arianna
𝔻𝕚𝕖𝕘𝕠 🦝🧑🏻💻🍕 likes this.
Politica interna, europea e internazionale reshared this.
2024 Tiny Games Contest: A Flappy Seagull Game With Sound in Only 500 Bytes
It was probably a reasonable assumption that the “Tiny” in our recently concluded Tiny Games Contest mostly referred to the physical footprint of the game. And indeed, that’s the way most of the entries broke, which resulted in some pretty amazing efforts. [Anders Nielsen], however, took the challenge another way and managed to stuff a seagull-centric side-scroller into just 500 bytes of code.
That’s not to say that the size of [Anders]’s game is physically huge either. Flappy Larus, as he calls his game, runs on his popular 65uino platform, a 6502 microcontroller in the familiar Arduino Uno form factor. So it’s pretty small to begin with, and doesn’t even need any additional components other than the tiny OLED screen which has become more or less standard for the 65uino at this point. The only real add-on is a piezo speaker module, which when hooked up to the I2C data line happens to make reasonable approximations of a squawking seagull, all without adding a single byte of code. Check out a little game play in the video below.
Flappy Larus may be pretty simplistic, but as we recall, the game it’s based on was similarly minimalist and still managed to get people hooked. The 2024 Tiny Games contest is closed now, but if you’ve got an idea for a tiny game, we’d still love to feature it. Hit the tip line and we’ll take a look!
youtube.com/embed/sEMyvBlTlcw?…
Un volo di prova di un minuto potrebbe avviare una rivoluzione nella logistica aerea
[quote]Un test di volo della durata di un minuto, basato su un concetto di propulsione sviluppato oltre mezzo secolo fa, potrebbe portare a una svolta nel campo della logistica aerea. Martedì scorso, la Piasecki Aircraft Corporation ha annunciato il successo di una
Recensione: Jordaan - Season of redemption
I sette pezzi del disco riflettono l'immagine sonora di un gruppo che ha raggiunto un livello compositivo molto alto, la perfetta fusione di luce e tenebre, di vita e morte, di cosmo e terra, contrari che si girano su loro stessi.
iyezine.com/jordaan-season-of-…
Jordaan - Season of redemption
Jordaan - Season of redemption - Jordaan - Season of redemption: I sette pezzi del disco riflettono l'immagine sonora di un gruppo che ha raggiunto un livello compositivo molto alto. - JordaanMassimo Argo (In Your Eyes ezine)
Musica Agorà reshared this.
Hacker Cinesi Attaccano l’Industria dei Droni di Taiwan: Spionaggio industriale via Supply-Chain
Gli analisti di Trend Micro hanno riferito della scoperta di un gruppo di hacker precedentemente sconosciuto chiamato Tidrone. Gli aggressori stanno prendendo di mira l’industria militare e satellitare di Taiwan, principalmente i produttori di droni.
Il gruppo, ritenuto legato alla Cina, mira principalmente allo spionaggio e si concentra quindi sulle catene industriali legate all’industria militare, dicono i ricercatori.
Non è ancora chiaro come esattamente Tidrone penetri nelle reti delle sue vittime, ovvero non è noto il vettore di accesso iniziale. Ma l’analisi ha mostrato che dopo la compromissione iniziale, gli hacker distribuiscono malware personalizzati CXCLNT e CLNTEND sui sistemi delle vittime, utilizzando strumenti desktop remoti come UltraVNC.
L’attacco successivo comprende altre tre fasi che mirano ad aumentare i privilegi aggirando il controllo dell’account utente (UAC), rubando le credenziali e aggirando la protezione disabilitando i prodotti antivirus installati sugli host.
I ricercatori hanno anche notato che molte delle vittime del gruppo di hacker condividono lo stesso software ERP (Enterprise Resource Planning), suggerendo che si tratti probabilmente di un attacco alla catena di fornitura.
Entrambe le backdoor sopra menzionate vengono lanciate tramite sideloading DLL tramite Microsoft Word e consentono agli aggressori di raccogliere un’ampia gamma di informazioni sensibili.
CXCLNT è dotato di funzionalità di base per caricare e scaricare file, funzioni per ripulire le tracce, raccogliere informazioni sulle vittime (elenchi di file, nomi di computer, ecc.), nonché caricare file PE e DLL per le fasi successive dell’attacco.
Individuato per la prima volta nell’aprile 2024, CLNTEND è un RATche supporta un’ampia gamma di protocolli di rete per la comunicazione, inclusi TCP, HTTP, HTTPS, TLS e SMB (porta 445).
Poco dopo Trend Micro, i ricercatori Acronis hanno pubblicato il proprio rapporto su questa attività dannosa. In questo caso, la campagna viene monitorata con il nome di Operazione WordDrone e i ricercatori scrivono che gli attacchi sono stati osservati tra aprile e luglio 2024.
Secondo Acronis, gli attacchi di questo gruppo sono caratterizzati dall’utilizzo della tecnica di attacco Blindside per eludere il rilevamento prima di implementare CLNTEND (noto anche come ClientEndPoint).
“A Taiwan ci sono circa una dozzina di aziende coinvolte nella produzione di droni, spesso per gli OEM, e anche di più se si considera la loro industria aerospaziale globale. Il Paese è sempre stato un alleato degli Stati Uniti e questo, combinato con la forte base tecnologica di Taiwan, lo rende un obiettivo importante per gli aggressori interessati allo spionaggio militare o agli attacchi alla catena di approvvigionamento”, ha affermato Acronis.
L'articolo Hacker Cinesi Attaccano l’Industria dei Droni di Taiwan: Spionaggio industriale via Supply-Chain proviene da il blog della sicurezza informatica.
o forse è il periodo di quiescenza estivo, che ancora non finisce
Poliversity - Università ricerca e giornalismo reshared this.
VIBRAVOID - WE CANNOT AWAKE
Il trio di Düsseldorf (composto dal frontman e chitarrista Christian "Doctor" Koch, coadiuvato da Dario Treese al basso e tastiere e Frank Matenaar alla batteria) non lascia nulla al caso, curando ogni release con particolari artwork che si richiamano all'iconografia della cultura psichedelica/hippie e rievocano i manifesti-poster dei concerti acid/blues/psych/space rock dei Sixties (anche dando vita a festival pysch)....
iyezine.com/vibravoid-we-canno…
VIBRAVOID - WE CANNOT AWAKE
VIBRAVOID - WE CANNOT AWAKE - Bene (si fa per dire) dopo questo pippone introduttivo, converrete sul fatto che in quel tipo di contesto "musicale", tossico per l'udito e nocivo per l'anima, sicuramente non ascolterete mai i Vibravoid, prolifica band …Reverend Shit-Man (In Your Eyes ezine)
Musica Agorà reshared this.
OSEES - SORCS 80
Ventottesimo (!!!) album per gli OSEES, la creatura multiforme - con varie declinazioni nel moniker - guidata del prolifico talento di John Dwyer, da sempre anima del progetto e frontman polistrumentista dotato di una creatività artistica preossoché inesauribile.
OSEES - SORCS 80
OSEES - SORCS 80 - Ventottesimo (!!!) album per gli OSEES, la creatura multiforme - con varie declinazioni nel moniker - guidata del prolifico talento di John Dwyer, da sempre anima del progetto e frontman polistrumentista dotato di una creatività ar…Reverend Shit-Man (In Your Eyes ezine)
reshared this
Haji - Lexotan Sailors
Gli Haji mi mandano il loro disco chiedendomi di essere estremamente sincero nel parlarne, la frase esatta è "di', se lo pensi, che è una cagata pazzesca".
iyezine.com/haji-lexotan-sailo…
Haji - Lexotan Sailors
Haji - Lexotan Sailors - Quindi carissimi Haji il vostro disco non è affatto una cagata pazzesca, vi conosco e so quanto siate bravi e motivati, è anzi pregno di energia e di attitudine, distorsioni in libertà e drammaticità in abbondanza. - HajiIl Santo (In Your Eyes ezine)
Musica Agorà reshared this.
Supply Chain al Centro per WordPress! Introdotta la 2FA per gli Sviluppatori dei Plugin
A partire dal 1° ottobre 2024, WordPress introdurrà un nuovo requisito per gli account con accesso agli aggiornamenti di plugin e temi per abilitare l’autenticazione a due fattori (2FA). La mossa mira a migliorare la sicurezza e prevenire l’accesso non autorizzato.
Secondo WordPress, tali account hanno la capacità di apportare modifiche a plugin e temi utilizzati da milioni di siti in tutto il mondo, quindi proteggerli è una priorità per mantenere la sicurezza e la fiducia della comunità.
Oltre alla 2FA obbligatoria, WordPress.org ha introdotto una nuova funzionalità: le password SVN. Si tratta di password separate per apportare modifiche al codice che consentono di separare l’accesso ai repository dalle credenziali utente di base. In sostanza, si tratta di un ulteriore livello di sicurezza che riduce il rischio di fuga della password principale e consente di revocare facilmente l’accesso a SVN senza modificare le proprie credenziali.
Limitazioni tecniche hanno impedito l’implementazione della 2FA per i repository dei codici esistenti, quindi si è deciso di utilizzare una combinazione di autenticazione a due fattori a livello di account, password SVN ad alta resistenza e altre misure di sicurezza, inclusa la conferma del rilascio.
Queste misure mirano a prevenire attacchi in cui gli aggressori possono accedere all’account di uno sviluppatore ed inserire codice dannoso in plugin e temi, che potrebbero portare ad attacchi alla catena di fornitura su larga scala.
Il rischio principale che può sorgere con l’introduzione dell’autenticazione obbligatoria a due fattori è il possibile disagio per gli sviluppatori. Alcuni utenti potrebbero avere difficoltà a configurare la 2FA, il che potrebbe rallentarli o fargli perdere temporaneamente l’accesso ai propri account. Inoltre, l’implementazione del nuovo sistema di password SVN richiede un adattamento, che potrebbe sollevare ulteriori domande per gli sviluppatori abituati ai metodi di autenticazione standard.
Tuttavia, a lungo termine, queste misure dovrebbero migliorare significativamente la sicurezza complessiva dell’ecosistema WordPress. Infatti, le conseguenze negative potrebbero essere legate solo a inconvenienti temporanei, mentre i benefici derivanti da una maggiore sicurezza degli account e dalla prevenzione di attacchi alla catena di fornitura di plugin e temi sono evidenti.
L’annuncio arriva tra i recenti avvertimenti di Sucuri sulla campagna malware ClearFake in corso che prende di mira i siti WordPress. Gli aggressori distribuiscono il famoso infostealer RedLine, costringendo gli utenti ad avviare manualmente PowerShell per “risolvere i problemi” con la visualizzazione della pagina. Inoltre, i criminali informatici utilizzano siti PrestaShop infetti per rubare i dati delle carte di credito nelle pagine di pagamento.
Come ha osservato Ben Martin, ricercatore di Sucuri, software obsoleti e password di amministratore deboli sono spesso bersagli di attacchi. Per ridurre i rischi, si consiglia di aggiornare regolarmente plugin e temi, utilizzare firewall per applicazioni Web (WAF), controllare gli account amministratore e monitorare le modifiche ai file del sito.
L'articolo Supply Chain al Centro per WordPress! Introdotta la 2FA per gli Sviluppatori dei Plugin proviene da il blog della sicurezza informatica.
L’Evoluzione della Botnet Quad7: Nuove Minacce per Router e Dispositivi VPN
I ricercatori di Sekoia hanno segnalato l’evoluzione della botnet Quad7, che ha iniziato ad attaccare nuovi dispositivi, tra cui i media server Axentra, i router wireless Ruckus e i dispositivi VPN Zyxel. Gli aggressori sfruttano attivamente le vulnerabilità nei dispositivi SOHO e VPN come TP-Link, Zyxel, Asus, D-Link e Netgear per hackerarli e aggiungerli alla rete botnet.
Secondo gli esperti, la botnet Quad7 viene utilizzata per effettuare attacchi di forza bruta distribuiti su account VPN, Telnet, SSH e Microsoft 365. Un recente rapporto Sekoia ha rivelato anche la presenza di nuovi server che gestiscono la botnet e nuovi bersagli tra i dispositivi di rete.
Gli operatori di botnet hanno identificato cinque gruppi separati di dispositivi (alogin, xlogin, axlogin, rlogin e zylogin), ciascuno dei quali attacca tipi specifici di apparecchiature. Ad esempio, alogin prende di mira i router Asus mentre rlogin attacca i dispositivi Ruckus Wireless. Mentre i gruppi alogin e xlogin colpivano migliaia di dispositivi, rlogin colpiva solo 213 dispositivi, risultando così più piccolo ma comunque pericoloso. Altri gruppi, come axlogin e zylogin, si concentrano su Axentra NAS e Zyxel VPN.
Una caratteristica distintiva di Quad7 è l’utilizzo di router TP-Link dirottati, che gli aggressori utilizzano per attaccare Microsoft 365. Questi dispositivi sono aperti all’amministrazione remota e alle connessioni proxy, il che facilita l’esecuzione degli attacchi.
I ricercatori hanno anche scoperto una nuova backdoor, chiamata UPDTAE a causa di un errore di battitura nel codice. Consente il controllo remoto dei dispositivi infetti tramite connessioni HTTP, offrendo agli aggressori il controllo completo sull’apparecchiatura.
Negli ultimi mesi, gli operatori Quad7 hanno migliorato le loro tattiche di gestione delle botnet, passando a metodi più segreti di trasmissione dei dati. Invece di utilizzare proxy SOCKS aperti, hanno iniziato a utilizzare il protocollo KCP, che fornisce comunicazioni più veloci su UDP, sebbene richieda una maggiore larghezza di banda. Il nuovo strumento FsyNet ti consente di nascondere il traffico e renderlo difficile da rilevare.
Gli esperti sottolineano che la botnet Quad7 si sta adattando attivamente alle nuove condizioni. Errori del passato, come codice scritto male e l’uso di proxy aperti, lo hanno reso vulnerabile al rilevamento. Tuttavia, gli operatori delle botnet stanno ora imparando dai propri errori, migliorando le tecniche di mimetizzazione ed evitando il rilevamento.
L'articolo L’Evoluzione della Botnet Quad7: Nuove Minacce per Router e Dispositivi VPN proviene da il blog della sicurezza informatica.
Presentazione del libro “Iran a mani nude” di Mariano Giustino
[quote]Storie di donne coraggiose contro ayatollah e pasdaran di Mariano Giustino INTRODUCE Andrea Cangini, Segretario generale Fondazione Luigi Einaudi OLTRE ALL’AUTORE INTERVERRANNO Masih Alinejad, attivista per i diritti umani, giornalista e scrittrice Flavia Fratello, giornalista La7 Fariborz Kamkari,
Inkycal Makes Short Work of e-Paper Dashboards
The e-paper “dashboard” is something we’ve seen plenty of times here at Hackaday. Use it to show your daily schedule, the news, weather, maybe the latest posts from your favorite hardware hacking website. Any information source that doesn’t need to be updated more than every hour or so is a perfect candidate. All you’ve got to do is write the necessary code to pull down said data and turn it into a visually attractive display.
Well, that last part isn’t always so easy. There are plenty of folks who have no problem cobbling together a Raspberry Pi and one of the commercially available e-paper modules, but writing the software to turn it into a useful information center is another story entirely. Luckily, Inkycal is here to help.
This open source project uses Python to pull information from a wide variety of sources and turns it into an e-paper friendly dashboard. It works with Waveshare displays ranging from 4.2 inches all the way up to the massive 12 inch tricolor panels. While it could theoretically be deployed on any operating system running a modern version of Python, it’s primarily developed to be run under Linux and on the Raspberry Pi. All of the versions of the Pi are supported, so no need to spring for the latest and greatest model. In fact, the notoriously pokey Raspberry Pi Zero is their recommended platform thanks to its low power consumption.
With Inkycal on the Pi — they even provide a pre-configured SD card image — and the e-paper display hooked up, all you need to do is pick which sources you want to use from the web-based configuration page. Look ma, no code!
Not feeling like putting the hardware together either? Well, we might wonder how you’ve found yourself on Hackaday if that’s the case. But if you really would rather buy then build, you can get a pre-built Inkcal display right now on Tindie.
📌 L’Associazione Nazionale Insegnanti Scienze Naturali (ANISN), organizza la quindicesima edizione dei Giochi delle Scienze Sperimentali per gli studenti delle classi terze della Scuola Secondaria di Primo Grado.
Ministero dell'Istruzione
#NotiziePerLaScuola 📌 L’Associazione Nazionale Insegnanti Scienze Naturali (ANISN), organizza la quindicesima edizione dei Giochi delle Scienze Sperimentali per gli studenti delle classi terze della Scuola Secondaria di Primo Grado.Telegram
Le 15 Risposte che ti faranno Assumere ad un Colloquio Tecnico per un Ruolo da Pen Tester
Diventare un white hat hacker è il sogno di molti. Ma come superare un colloquio e dimostrare la propria professionalità? Ecco a voi 15 domande che ti aiuteranno a prepararti efficacemente per superare con successo un colloquio di assunzione per una posizione di penetration tester.
1. Cos’è il test di penetrazione e in cosa differisce dalla scansione delle vulnerabilità?
Il penetration test (pentest) è un tentativo ordinato, mirato e autorizzato di attaccare un’infrastruttura IT per testarne la sicurezza. Si differenzia dalla scansione delle vulnerabilità in quanto un pentest implica il tentativo attivo di sfruttare le vulnerabilità rilevate, mentre la scansione delle vulnerabilità è il processo automatizzato di scoperta delle stesse, solitamente per scopi di conformità normativa. Il penetration test permette di concatenare delle vulnerabilità per creare un “vettore di attacco” capace di compromettere un sistema dal punto di vista della Riservatezza, Integrità e Disponibilità (RID).
2. Qual è la differenza tra analisi del rischio e test di penetrazione?
L’analisi del rischio è il processo di identificazione delle potenziali minacce e vulnerabilità che influiscono sulla sicurezza di un sistema. Il penetration test è un tentativo reale ma controllato di sfruttare le vulnerabilità per testare la funzionalità delle attuali misure di sicurezza.
3. Descrivi le fasi di un penetration test
Le fasi di un pentest possono variare a seconda dell’azienda o del professionista che le esegue, ma generalmente seguono la seguente sequenza:Preparazione al test : durante questa fase vengono discussi i dettagli e le aspettative del test. Questo processo può sembrare noioso, ma è molto importante per stabilire obiettivi chiari e regole di impegno tra committente e penetration tester. Vengono discussi i tempi del test, gli obiettivi e ciò che è accettabile svolgere all’interno del test.
Raccolta delle informazioni : questo è il momento in cui inizia il test vero e proprio. Generalmente si eseguono attività di Open Source Intelligence (OSINT), esaminando gli host, la rete e i servizi disponibili per analizzarli in modo passivo. In questa fase si cercano reti IP insolite, segreti sparsi in qualche repository aperto come su GitHub, attività dei dipendenti sui social network che possono rivelare informazioni sulle tecnologie dell’azienda. Si può abbinare alla fase di information gathering anche attività di Cyber Threat Intelligence mirate ad analizzare tracce del sistema all’interno delle underground, come ad esempio log provenienti da infostealer. Alla fine si crea una una mappa visiva della rete e si definisce una “Metodologia di assessment” che riporta come avverrà il test e cosa ci si aspetta dal test stesso.
Valutazione delle vulnerabilità : dopo aver raccolto le informazioni, si iniziano a valutare se esistono vulnerabilità che possono essere sfruttate. Si cercano vulnerabilità note in base alle versioni del software e del servizio e si isolano le CVE (vulnerabilità ed esposizioni comuni) verificando la presenza di exploit pubblici. Questa attività può essere svolta con scanner automatizzati ma anche attraverso una ricognizione manuale. È importante pianificare attentamente gli attacchi per ridurre al minimo il rischio di disservizio dei sistemi.
Sfruttamento delle vulnerabilità : in questa fase, si inizia ad effettuare attacchi attivi sulle vulnerabilità identificate sfruttando gli exploit rilevati. Se è richiesto il test sia da rete esterna che da quella interna, generalmente si inizia ad hackerare il sistema esterno vulnerabile per comprendere se si riesce ad utilizzare tali falle per accedere all’infrastruttura interna dell’azienda. Si può lavorare anche all’interno della rete del cliente, accedendo da remoto tramite VPN o macchina virtuale fornita per il test.
Post-sfruttamento : una volta entrato nel sistema, si iniziano a controllarne i privilegi. Ad esempio, se si tratta di un sistema Windows, si eseguono dei comandi per raccogliere informazioni, trovare file ed effettuare delle “privilege escalation”.
Movimenti laterale : utilizzando le informazioni raccolte, si prova a muoversi all’interno della rete, passando da un sistema all’altro. Ciò potrebbe includere l’utilizzo di credenziali rubate o l’elusione della sicurezza di altri sistemi interni.
Reportistica : una volta completati tutti i test, e compresi gli impatti che il sistema potrebbe avere a seguito di un attacco da parte di un malintenzionato, viene preparato un rapporto con una descrizione dettagliata delle vulnerabilità e proposte per eliminarle. Vengono quindi discussi i risultati con il cliente per garantire che comprenda tutte le minacce identificate e sappia come eliminarle.
4. Quali fattori rendono un sistema vulnerabile?
I sistemi possono essere vulnerabili per diversi motivi, solitamente legati alla gestione delle patch, alla gestione delle vulnerabilità e alla configurazione. Ecco alcuni esempi:
- Utilizzo di versioni obsolete di servizi o applicazioni con vulnerabilità note per le quali esistono già exploit pubblici.
- Configurazione errata dei servizi, come l’utilizzo di password standard o deboli, mancanza di diritti di accesso adeguati, mancanza di autenticazione.
- Applicazioni Web vulnerabili ad attacchi comuni come quelli descritti nella OWASP Top 10.
- Sistemi che fanno parte di domini Active Directory vulnerabili ad attacchi alle credenziali o ad altri attacchi mirati all’infrastruttura AD.
5. Come gestisci i dati sensibili che incontri durante i penetration test?
Ogni vulnerabilità scoperta nella rete di un cliente può tecnicamente essere considerata un’informazione sensibile. Il lavoro di pentester è aiutare i clienti a migliorare la loro sicurezza. Occorre essere responsabili lavorando con i dati dei clienti e documentare tutti i risultati. Ad esempio, se si sta conducendo un test per un’azienda sanitaria, l’obiettivo non è esaminare un database di informazioni mediche sensibili, ma trovare una vulnerabilità che possa essere sfruttata per accedere a tali dati. È importante documentare la vulnerabilità e valutarne l’impatto senza violare i diritti dei clienti. Se ci si imbatte in contenuti illegali, si interrompe immediatamente i test e si segnala il tutto al management. Successivamente i decide assieme come proseguire adeguatamente i lavori, eventualmente con il coinvolgimento dei legali.
6. Spiegare la differenza tra crittografia simmetrica e asimmetrica.
La crittografia simmetrica utilizza una singola chiave per crittografare e decrittografare i dati, mentre la crittografia asimmetrica utilizza una coppia di chiavi pubblica e privata. Il primo è più veloce e il secondo viene utilizzato per trasferire in modo sicuro chiavi e firme digitali. Nella crittografia asimmetrica, la chiave pubblica può essere distribuita a tutti per cifrare i dati mentre la chiave privata deve essere conservata gelosamente in quanto sarà quella che permetterà di decifrarli.
7. Come mantieni le tue conoscenze sulla sicurezza informatica?
Utilizzo sia metodi di apprendimento passivo (leggendo notizie su redhotcyber.com, iscrivendomi a blog e podcast) che attivi (praticando attività di Capture The Flag o svolgendo percorsi formativi tramite Hack The Box ed esperimenti nel mio laboratorio di casa).
8. Qual è la differenza tra Windows e Linux nelle attività di pentest?
I sistemi operativi Windows e Linux presentano i propri vantaggi e svantaggi nel contesto del test delle applicazioni web. Windows è considerato più amichevole per gli utenti inesperti, mentre Linux è più affidabile e sicuro. La maggior parte degli strumenti di test vengono eseguiti su Linux in quanto questo sistema operativo offre più opzioni di personalizzazione. Tuttavia, Windows è più comune negli ambienti aziendali, quindi i test su questa piattaforma possono simulare più da vicino le condizioni del mondo reale che incontrerai durante il test delle applicazioni aziendali. Preferisco combinare entrambi i sistemi, il che mi consente di sfruttare i vantaggi di ciascuno.
9. Quali tre strumenti utilizzi per svolgere pentest di Active Directory e perché?
I miei 3 strumenti principali per testare Active Directory sono:BloodHound : questo è un potente strumento per visualizzare le relazioni tra oggetti Active Directory come domini, trust, policy e autorizzazioni. Aiuta a identificare visivamente i possibili vettori di attacco.
PowerShell : questo è uno strumento integrato in Windows che può essere utilizzato per eseguire comandi relativi ad AD. Se si riesce ad accedere a un account amministratore utilizzando PowerShell, è possibile usarlo per ottenere l’accesso remoto al controller di dominio.
PowerView.ps1 : fa parte del progetto PowerSploit e fornisce una varietà di funzionalità per la raccolta di dati sugli oggetti AD, la ricerca di risorse di rete e il furto di ticket TGS per eseguire un attacco Kerberoasting.
10. Quali vulnerabilità potrebbe avere lo scambio di chiavi Diffie-Hellman?
Lo scambio di chiavi Diffie-Hellman (DH) può essere vulnerabile a diversi tipi di attacchi se non configurato correttamente. Tra i più comuni ci sono:Attacco Man-in-the-middle (MitM) : se le parti non si autenticano a vicenda, un utente malintenzionato può inserirsi tra di loro e acquisire la capacità di decrittografare e modificare i dati.
Attacco Logjam : questo attacco utilizza parametri chiave deboli per forzare un downgrade della sicurezza della sessione.
Attacchi di forza bruta e canali laterali : se i parametri chiave sono deboli, sono possibili tentativi di forza bruta o attacchi che utilizzano dati di terze parti (ad esempio, il tempo di esecuzione dell’operazione).
11. Cos’è l’SQL injection basata sull’operatore UNION?
L’SQL injection basata su UNION è un tipo di SQL injection in cui un utente malintenzionato utilizza l’operatore UNION per combinare i risultati di più query, ottenendo così l’accesso a dati che non avrebbero dovuto essere esposti. Ad esempio, un utente malintenzionato potrebbe aggiungere una query UNION SELECT alla query originale per ottenere l’accesso a un’altra tabella di database che non faceva originariamente parte della query.
12. Che cos’è l’escalation dei privilegi e come affrontarla?
L’escalation dei privilegi è il processo che consente di ottenere l’accesso non autorizzato alle risorse di sistema con diritti più elevati. Una volta che un utente malintenzionato ottiene l’accesso a un sistema, inizia a cercare le vulnerabilità che gli consentiranno di aumentare i privilegi al livello di amministratore o ottenere l’accesso a dati sensibili. Ad esempio, se un sistema utilizza un componente software obsoleto, un utente malintenzionato potrebbe tentare di sfruttarlo per aumentare i diritti di accesso.
13. Qual è la vulnerabilità XXE?
XXE (XML External Entity) è una vulnerabilità che si verifica quando il server elabora input XML non sicuri. Un utente malintenzionato potrebbe inserire entità esterne nell’input XML che verrebbe elaborato dal server, il che potrebbe comportare la divulgazione di informazioni sensibili, l’esecuzione di codice arbitrario o l’invio di richieste dannose a risorse esterne per conto del server.
14. Cos’è l’intercettazione dei pacchetti di rete?
Lo sniffing dei pacchetti di rete è il processo di acquisizione dei dati trasmessi su una rete. Viene utilizzato per diagnosticare, monitorare e analizzare il traffico e può anche essere utilizzato per identificare vulnerabilità e ottenere informazioni sensibili.
15. Come spieghi la vulnerabilità XSS a qualcuno senza conoscenze tecniche?
XSS è una vulnerabilità in cui un utente malintenzionato può inserire codice dannoso in un sito Web. Questo codice verrà eseguito nel browser dell’utente, il che può portare al furto di dati, al dirottamento della sessione o alla modifica delle impostazioni dell’utente a sua insaputa.
Il ruolo di un hacker white hat richiede un costante sviluppo personale e un adattamento al panorama delle minacce informatiche in rapida evoluzione.
Un colloquio di successo dipende non solo dalle competenze tecniche, ma anche dalla capacità del candidato di dimostrare passione per l’apprendimento di nuove tecnologie, volontà di risolvere problemi complessi e capacità di lavorare in gruppo.
L'articolo Le 15 Risposte che ti faranno Assumere ad un Colloquio Tecnico per un Ruolo da Pen Tester proviene da il blog della sicurezza informatica.
Rust contro i bug di Memoria del Firmare. Riscrivere in logica Shim le librerie è la chiave
Google ha sostenuto l’implementazione di Rust nel firmware di basso livello, promuovendo la traduzione del codice legacy come mezzo per combattere i bug che minacciano la sicurezza dell’accesso alla memoria.
In un nuovo post sul blog, il team di Android sostiene che il passaggio da C o C++ a Rust nel firmware esistente fornirà garanzie di sicurezza della memoria a livelli inferiori al sistema operativo che non dispone di standard di sicurezza.
Secondo gli esperti, la perdita di produttività in questo caso è trascurabile, anche la dimensione dei codici Rust è comparabile, l’importante è sostituire i codici base per gradi, iniziando con quelli nuovi e più critici. Il processo non richiederà molti sforzi e nel tempo il numero di vulnerabilità di accesso alla memoria sarà significativamente ridotto.
Riscrivere gradualmente il codice delle librerie utilizzando la logica Shim
Per facilitare la transizione, è possibile ad esempio, creare un sottile strato Rust, il preloader Shim , che copierà l’API C ed esporterà per la base di codice esistente. “Shim funge da wrapper attorno all’API della libreria Rust, collegando l’API C esistente e l’API Rust”, spiegano gli esperti. “Questo è quello che si fa di solito, riscrivendo le librerie o sostituendole con un’alternativa a Rust.”
Secondo Google, fino a poco tempo fa, i bug di sicurezza nella memoria erano la principale fonte di vulnerabilità in Chrome e Android. Grazie all’implementazione di linguaggi di programmazione in grado di liberare i prodotti da questa piaga, tra il 2019 e il 2022 il numero annuo di tali errori nel sistema operativo mobile è stato ridotto da 223 a 85.
L’anno scorso, Microsoft ha avviato il processo di migrazione del kernel di Windows su Rust.
La versione 11 della build del sistema operativo, rilasciata a maggio 2023, conteneva driver in questo linguaggio. Allo stesso tempo, si è saputo dei piani del colosso tecnologico per aumentare in modo simile la sicurezza del processore Pluton, che non ha ancora trovato un utilizzo diffuso.
Rust la chiave dei bug di memoria
Il linguaggio di programmazione Rust è stato progettato per risolvere problemi legati alla sicurezza della memoria e alla gestione concorrente dei dati, affrontando alcune delle vulnerabilità più comuni presenti in linguaggi come C e C++. Ecco i principali tipi di bug che Rust risolve:
1. Bug di gestione della memoria (Memory Safety Issues)
- Dereferenziazione di puntatori nulli (Null Pointer Dereference): In linguaggi come C e C++, è comune che i puntatori nulli causino crash del programma o comportamenti imprevisti. Rust previene questo problema usando il tipo Option, che fornisce un modo sicuro di gestire valori che potrebbero essere nulli.
- Use-After-Free: Questo bug si verifica quando un programma tenta di accedere a un’area di memoria che è già stata liberata. In Rust, grazie al sistema di proprietà (ownership) e al concetto di borrow checker, non è possibile accedere alla memoria dopo che è stata rilasciata.
- Double Free: In C o C++, liberare la stessa area di memoria due volte può causare instabilità o vulnerabilità. Rust gestisce la liberazione della memoria in modo automatico e sicuro attraverso la sua gestione di ownership, prevenendo il rischio di liberazioni multiple della stessa risorsa.
2. Race conditions e problemi di concorrenza (Concurrency Bugs)
- Data Race: Una data race si verifica quando due thread accedono contemporaneamente alla stessa memoria, con almeno uno che esegue un’operazione di scrittura, senza la necessaria sincronizzazione. Rust usa tipi come Mutex e RwLock, e il borrow checker assicura che le risorse condivise siano accessibili in modo sicuro, prevenendo le data race a compile-time.
- Thread Safety: Rust applica rigorose regole di concorrenza e sincronizzazione attraverso il sistema di tipi, assicurandosi che le risorse condivise tra thread siano sicure da usare.
3. Buffer overflow
- Questo è uno dei bug di sicurezza più comuni in linguaggi come C e C++, dove l’accesso a buffer di memoria oltre i limiti definiti può causare comportamenti imprevisti o vulnerabilità di sicurezza. Rust impedisce questo bug grazie al suo controllo rigoroso dei limiti degli array e delle slice, rendendo impossibile l’accesso fuori dai limiti a meno che non sia esplicitamente consentito.
4. Dangling Pointers
- Un dangling pointer è un puntatore che fa riferimento a una locazione di memoria che non è più valida. In Rust, il sistema di ownership impedisce la creazione di puntatori invalidi o di riferimenti a memoria liberata, eliminando i dangling pointers.
5. Memory Leaks
- Anche se Rust non garantisce di prevenire ogni perdita di memoria (poiché può esserci memoria ciclicamente referenziata che non viene rilasciata), è molto più difficile incorrere in memory leaks rispetto a linguaggi come C/C++. La gestione della memoria basata su ownership e il sistema di borrowing fanno sì che le risorse vengano rilasciate automaticamente quando non sono più utilizzate.
6. Errori di tipo (Type Safety Issues)
- Rust è un linguaggio fortemente tipizzato, e molte operazioni che in altri linguaggi potrebbero fallire a runtime vengono bloccate a compile-time. Questo impedisce errori legati al tipo di dati, come assegnare valori a variabili di tipo incompatibile o effettuare operazioni non valide tra tipi diversi.
7. Stack Overflow per ricorsione non controllata
- Rust include l’uso di tail-call optimizations per ridurre il rischio di overflow dello stack nelle funzioni ricorsive. Anche se non previene completamente il problema, il suo sistema di tipi e la gestione delle risorse rendono più facile evitare errori di questo tipo.
L'articolo Rust contro i bug di Memoria del Firmare. Riscrivere in logica Shim le librerie è la chiave proviene da il blog della sicurezza informatica.
NIS2: il Decreto Legislativo di Attuazione della Direttiva (UE) 2022/2555 in ambito Italia
Il Decreto Legislativo di attuazione della direttiva (UE) 2022/2555, noto anche come NIS2, segna un importante passo avanti nella gestione della sicurezza informatica in Italia e nell’Unione Europea. Con la finalità di rafforzare la protezione delle infrastrutture critiche e migliorare la resilienza delle aziende contro le crescenti minacce informatiche, questo decreto introduce nuovi obblighi per i soggetti considerati essenziali e importanti.
Struttura del Decreto
Il decreto si articola in 6 Capi e 44 articoli, e sostituisce il precedente Decreto Legislativo n. 65 del 2018, che implementava la prima direttiva NIS (Network and Information Systems) del 2016. Le nuove disposizioni mirano a rafforzare il livello di sicurezza delle reti e dei sistemi informativi, soprattutto per quanto riguarda i soggetti considerati essenziali e importanti. Tra questi figurano fornitori di servizi di cloud computing, data center, piattaforme di social network, motori di ricerca online e mercati digitali.
Obblighi per i Soggetti Essenziali e Importanti
Un elemento cruciale del decreto è l’obbligo, per gli organi di amministrazione e direttivi delle aziende considerate essenziali e importanti, di approvare e sovrintendere all’implementazione delle misure di gestione dei rischi per la sicurezza informatica. Questi organi sono inoltre responsabili delle violazioni del decreto e devono assicurarsi che i dipendenti ricevano una formazione continua in materia di sicurezza informatica (Articolo 23).
L’articolo 24 specifica le misure di gestione dei rischi, che devono includere l’uso di tecnologie sicure e aggiornate, la protezione contro accessi non autorizzati, e la gestione e registrazione degli incidenti di sicurezza. Inoltre, si pone particolare attenzione alla continuità operativa e alla rapidità di ripristino delle attività in caso di incidenti.
Notifica di Incidenti Significativi e Quasi-Incidenti
Il decreto impone l’obbligo di notifica tempestiva degli incidenti significativi entro 24 ore dalla loro rilevazione, con una relazione dettagliata da fornire entro 72 ore. Questi incidenti devono essere accompagnati da informazioni riguardanti il loro impatto e le misure di mitigazione adottate. Inoltre, il decreto introduce l’obbligo di notificare anche i “quasi-incidenti”, ovvero quegli eventi che potrebbero avere un impatto significativo ma che non hanno ancora causato danni rilevanti (Articolo 25 e 26).
Tempistica e Fase di Prima Applicazione
La fase di prima applicazione del decreto prevede una serie di scadenze ben definite. In particolare, i fornitori di servizi di dominio, cloud, data center e altre categorie devono registrarsi sulla piattaforma digitale predisposta entro il 17 gennaio 2025. Gli obblighi previsti dagli articoli 23, 24 e 29 dovranno essere rispettati entro diciotto mesi dalla ricezione della comunicazione da parte delle autorità competenti. La registrazione iniziale e gli aggiornamenti annuali dei dati saranno cruciali per garantire il monitoraggio continuo da parte delle autorità.
Implicazioni e Importanza
Il recepimento di questa direttiva in Italia rappresenta un ulteriore passo avanti verso la protezione delle infrastrutture critiche e delle informazioni sensibili contro minacce informatiche in costante evoluzione. L’Agenzia per la Cybersicurezza Nazionale (ACN) è confermata come l’autorità competente per l’attuazione delle disposizioni del decreto, rafforzando così il quadro normativo italiano in materia di cybersecurity.
Attività e Scadenze per le Aziende
Le aziende rientranti nel campo di applicazione della direttiva dovranno affrontare una serie di obblighi e scadenze. Di seguito sono riportate le principali attività richieste:
- Dal 18 ottobre 2024
- l’Agenzia per la Cybersicurezza Nazionale dovrà mettere a disposizione un portale per le iscrizioni, le aziende che ritengo far parte dei soggetti che rientrano nella direttiva potranno e dovranno iscriversi.
- Ogni anno dal 1 gennaio al 28 febbraio
- Le aziende devono registrarsi o aggiornare la propria registrazione sulla piattaforma digitale, fornendo informazioni quali ragione sociale, recapiti, punto di contatto e settore di appartenenza.
- Entro il 31 marzo di ogni anno
- L’Agenzia per la Cybersicurezza Nazionale (ACN) redige l’elenco aggiornato dei soggetti registrati e comunica ai partecipanti la loro inclusione o permanenza nell’elenco, oppure la loro eventuale rimozione.
- Dal 15 aprile al 31 maggio di ogni anno
- Le aziende che hanno ricevuto una notifica dall’ACN devono fornire informazioni aggiornate sui propri indirizzi IP pubblici, i nomi a dominio utilizzati e i responsabili della sicurezza.
- Dal 1 maggio al 30 giugno di ogni anno
- Le aziende devono comunicare e aggiornare le informazioni relative alle attività e ai servizi forniti, includendo dettagli necessari per l’assegnazione di una categoria di rilevanza.
Conclusione
Il Decreto Legislativo di attuazione della direttiva (UE) 2022/2555 rappresenta un tassello fondamentale per la creazione di un ambiente digitale più sicuro e resiliente. Le aziende dovranno adeguarsi a una serie di nuovi obblighi che includono la gestione dei rischi informatici, la notifica tempestiva di incidenti e l’aggiornamento periodico delle informazioni sulla sicurezza. L’implementazione di queste misure non solo contribuirà a rafforzare la sicurezza delle infrastrutture critiche, ma promuoverà anche una maggiore fiducia nel mercato digitale europeo. Le scadenze previste richiedono un’attenta pianificazione e collaborazione tra aziende e autorità competenti, al fine di garantire un’efficace protezione contro le minacce informatiche emergenti
L'articolo NIS2: il Decreto Legislativo di Attuazione della Direttiva (UE) 2022/2555 in ambito Italia proviene da il blog della sicurezza informatica.
Vittoria per la giustizia fiscale. La Ue «piega» Apple sulle tasse non pagate
@Notizie dall'Italia e dal mondo
Il nuovo articolo di @valori@poliversity.it
I “tax ruling” erano aiuti di Stato: Apple deve pagare 13 miliardi di euro all'Irlanda. Una vittoria storica per la giustizia fiscale
L'articolo Vittoria per la giustizia fiscale. La Ue «piega» Apple sulle tasse non pagate proviene da valori.it/ue-piega-apple-tasse…
Notizie dall'Italia e dal mondo reshared this.
EU consumer groups slam ‘manipulative’ video game spending tactics
European consumer groups on Thursday (12 September) accused the world's biggest video game companies of "purposefully tricking" consumers, including children, to push them to spend more.