Di recente, il canale Telegram di SecActor ha rivelato una notizia di notevole importanza per la sicurezza informatica: una vulnerabilità critica di esecuzione di codice da remoto (RCE) che affligge il sistema operativo FreeBSD. Questa vulnerabilità, CVE-2024-41721, scoperta dal team di sicurezza di Synacktiv, riguarda il suo hypervisor bhyve e rappresenta una seria minaccia per la sicurezza delle macchine virtuali che operano su questo sistema.

Origine del problema e impatto sulla sicurezza

La vulnerabilità ha origine nell’emulazione del controller XHCI (eXtensible Host Controller Interface) del componente bhyve, il cui scopo è emulare l’hardware USB all’interno delle macchine virtuali. Il problema risiede nella mancata verifica dei limiti di memoria, che permette al codice di leggere al di fuori dell’area designata, causando potenzialmente un crash del processo hypervisor o, peggio, l’esecuzione di codice arbitrario sulla macchina host.

Questa vulnerabilità è particolarmente pericolosa perché consente a un eventuale malware, eseguito su una macchina virtuale ospite, di acquisire il controllo dell’intero sistema fisico. In questo contesto, il fatto che il processo bhyve sia eseguito con privilegi elevati (root) non fa che amplificare le conseguenze di un attacco riuscito.

Nonostante bhyve utilizzi una tecnologia di sandboxing (Capsicum) per ridurre le capacità dei processi e isolarli, il rischio di sfruttamento rimane presente, soprattutto nelle configurazioni che emulano dispositivi USB.

Un problema esteso a tutte le versioni di FreeBSD

Tutti i sistemi FreeBSD che utilizzano l’emulazione XHCI sono vulnerabili e, al momento della pubblicazione del bollettino, non esiste un workaround alternativo. L’unica soluzione per mitigare il rischio consiste nell’applicazione delle patch rilasciate il 19 settembre 2024, che correggono questa vulnerabilità.

L’importanza di aggiornare tempestivamente i sistemi e riavviare le macchine virtuali è cruciale per garantire che le correzioni abbiano effetto e per evitare che le vulnerabilità persistano nelle istanze in esecuzione.

La vulnerabilità CVE-2024-41721 colpisce uno dei componenti chiave di FreeBSD, l’hypervisor bhyve, il quale è ampiamente utilizzato per la virtualizzazione delle macchine. La criticità risiede nel codice USB, specificamente nell’emulazione XHCI, dove una mancanza di verifica dei limiti di memoria può permettere a un utente malintenzionato di leggere o scrivere fuori dai confini della memoria allocata, ottenendo il controllo del sistema host.

Ipervisori e sicurezza

Gli hypervisor, come bhyve, sono utilizzati per creare e gestire macchine virtuali (VM), e svolgono un ruolo cruciale nell’infrastruttura IT moderna, soprattutto in ambienti cloud e data center. La virtualizzazione permette a più sistemi operativi di girare simultaneamente su una singola macchina fisica, aumentando l’efficienza dell’uso delle risorse. Tuttavia, proprio a causa di questo modello condiviso, una vulnerabilità in un hypervisor può esporre l’intero sistema a rischi.

Il contesto della vulnerabilità

La vulnerabilità in questione è particolarmente insidiosa perché può essere sfruttata da un software dannoso eseguito in una macchina virtuale ospite, permettendo così l’esecuzione di codice arbitrario sull’host. Questo tipo di vulnerabilità rappresenta una minaccia per la separazione tra VM e host, uno dei principali vantaggi della virtualizzazione. In effetti, un attacco di questo genere compromette il modello di sicurezza dell’hypervisor.

Secondo il bollettino di sicurezza di FreeBSD, la vulnerabilità deriva da una cattiva gestione della memoria nell’emulazione del controller XHCI. Il controller XHCI è una parte del sistema utilizzata per gestire i dispositivi USB 3.0 e superiori, permettendo alle VM di interagire con dispositivi USB virtuali. La mancata verifica delle dimensioni dei dati che passano attraverso l’emulazione USB può portare a un’alterazione dei dati in memoria, consentendo a un attaccante di leggere o scrivere al di fuori delle aree di memoria consentite, violando l’integrità del sistema.

Exploit potenziale e scenari di attacco

Questa vulnerabilità è particolarmente critica perché bhyve opera con privilegi di root, aumentando il potenziale impatto di un exploit riuscito. Un attaccante che sfrutta questa vulnerabilità potrebbe provocare il crash dell’hypervisor o, peggio, eseguire codice malevolo con i privilegi più elevati disponibili. La possibilità di controllo remoto dell’host da parte di un attaccante su una VM vulnerabile rende questa vulnerabilità una delle minacce più gravi per gli ambienti FreeBSD.

Il fatto che bhyve operi in una sandbox tramite la tecnologia Capsicum mitiga solo parzialmente il rischio. Capsicum è un framework di sicurezza che limita i privilegi dei processi, ma non è sufficiente a eliminare del tutto la possibilità di attacchi sfruttando questa vulnerabilità. Inoltre, la vulnerabilità riguarda tutte le versioni supportate di FreeBSD che utilizzano bhyve con l’emulazione XHCI, rendendo necessario un aggiornamento immediato.

Impatto e mitigazione

L’unica soluzione per gli amministratori di sistema è aggiornare le loro installazioni di FreeBSD alla versione che include la patch rilasciata il 19 settembre 2024. Questo aggiornamento corregge la vulnerabilità risolvendo il problema della gestione errata della memoria. Inoltre, è fondamentale riavviare tutte le macchine virtuali che utilizzano dispositivi USB emulati per garantire che la correzione venga applicata correttamente.

In ambienti di produzione, dove l’uptime è critico, questo tipo di vulnerabilità rappresenta una seria minaccia. Un exploit di successo potrebbe causare danni significativi, incluse interruzioni del servizio, perdita di dati e accesso non autorizzato a informazioni sensibili. Il processo di patching richiede dunque un’attenta pianificazione per minimizzare l’impatto sulle operazioni quotidiane, ma è una misura imprescindibile per garantire la sicurezza dei sistemi.

Implicazioni più ampie nel contesto della sicurezza informatica

Questa vulnerabilità solleva diverse riflessioni. In primo luogo, evidenzia ancora una volta come le tecnologie di virtualizzazione, sempre più diffuse, siano divenute un bersaglio appetibile per i cybercriminali. Colpire un hypervisor significa potenzialmente avere accesso a più macchine virtuali e, di conseguenza, a una vasta gamma di dati e servizi.

In secondo luogo, la scoperta del bug di sicurezza da parte di Synacktiv, un’azienda francese nota per la sua esperienza nel campo delle vulnerabilità critiche, sottolinea l’importanza di una costante attività di auditing e testing sui software utilizzati, anche su sistemi apparentemente sicuri come FreeBSD.

Infine, questo caso specifico ci ricorda quanto sia pericoloso sottovalutare le vulnerabilità legate a componenti “periferici” come l’emulazione USB. Anche se a prima vista possono sembrare secondarie rispetto a falle più note e critiche, possono comunque essere sfruttate per ottenere un accesso non autorizzato ai sistemi principali.

Conclusione

La vulnerabilità RCE scoperta in FreeBSD è un chiaro segnale di allarme per amministratori di sistema e responsabili della sicurezza. In un panorama in cui le minacce continuano a evolversi e ad adattarsi, mantenere sistemi costantemente aggiornati e monitorati è fondamentale per prevenire attacchi potenzialmente devastanti. L’adozione di misure preventive, come la tempestiva applicazione delle patch e un attento controllo delle configurazioni di sistema, rimane l’unico modo efficace per mitigare il rischio di violazioni della sicurezza.

Inoltre, casi come questo ci ricordano l’importanza di una collaborazione costante tra aziende di sicurezza, sviluppatori di software e utenti, affinché le vulnerabilità siano identificate e risolte il più rapidamente possibile.

L'articolo FreeBSD soffre di una pericolosa RCE! Analisi e implicazioni proviene da il blog della sicurezza informatica.

Gli analisti di HP Wolf Security hanno esaminato i recenti attacchi contro gli utenti francesi e hanno scoperto che il malware AsyncRATè stato distribuito utilizzando un codice dannoso chiaramente creato con l’aiuto dell’intelligenza artificiale.

In precedenza, gli specialisti della sicurezza informatica avevano già avvertito che i criminali informatici possono utilizzare l’intelligenza artificiale generativa per creare e-mail di phishing convincenti, deepfake vocali e altre attività poco legali.xakep.ru/2024/01/11/fake-voice…

Inoltre, si è già arrivati ​​all’utilizzo dell’intelligenza artificiale per sviluppare malware. Così, nella primavera di quest’anno, i ricercatori della società Proofpoint hanno avvertito che per distribuire l’infostealer Rhadamanthys è stato utilizzato uno script PowerShell, probabilmente creato utilizzando LLM.

Un nuovo caso simile è stato registrato dagli specialisti di HP Wolf Security all’inizio di giugno.

Gli attacchi sono iniziati con normali e-mail di phishing contenenti l’esca sotto forma di fattura sotto forma di allegato HTML crittografato.

“In questo caso, gli aggressori hanno inserito una chiave AES in JavaScript all’interno di un allegato. Ciò non accade molto spesso e questo è stato il motivo principale per cui abbiamo prestato attenzione a questa minaccia”, spiegano gli esperti e aggiungono che sono riusciti a bypassare la crittografia utilizzando la forza bruta regolare, poiché si sapeva che il file decrittografato doveva essere un archivio ZIP.

L’allegato decriptato conteneva VBScript, dall’esame del quale è emerso che “l’aggressore ha commentato e strutturato attentamente tutto il codice”, cosa che accade raramente se il codice è stato elaborato da una persona (gli aggressori di solito cercano di nascondere il funzionamento del loro malware). Lo scopo di VBScript era di rimanere attaccato alla macchina infetta, creando attività pianificate e nuove chiavi nel registro di Windows.

“Questi commenti descrivevano in dettaglio esattamente lo scopo del codice. Questo è ciò che di solito fanno i servizi di intelligenza artificiale generativa quando forniscono esempi di codice con spiegazioni”, scrivono gli esperti.

Inoltre, il lavoro dell’IA, secondo gli esperti, è stato indicato dalla struttura degli script, dai commenti su ogni riga, nonché dalla scelta del francese per i nomi delle funzioni e delle variabili.
Codice dannoso scritto dall’intelligenza artificiale
Di conseguenza, AsyncRAT è stato scaricato ed eseguito sul sistema della vittima. Si tratta di un malware gratuito e open source che consente di intercettare le sequenze di tasti, fornisce una connessione crittografata al computer della vittima e può anche scaricare payload aggiuntivi.

I ricercatori concludono che l’intelligenza artificiale generativa può aiutare i criminali poco qualificati a scrivere malware in pochi minuti e ad adattarlo per attaccare diverse piattaforme (Linux, macOS, Windows, ecc.). E anche se gli aggressori sofisticati non utilizzano l’intelligenza artificiale per lo sviluppo vero e proprio, possono utilizzarla per accelerare le cose.

L'articolo L’AI Scrive Codice con Stile! Commenti Eccezionali per il Malware AsyncRAT proviene da il blog della sicurezza informatica.

The Hungarian Presidency of the Council of the EU should delete any reference to consolidation in the telecommunications market in the next iteration of the draft Council conclusions which should be published on 9 October, four sources with insider knowledge told Euractiv.

euractiv.com/section/digital/n…

While analyzing attacks on Russian organizations, our team regularly encounters overlapping tactics, techniques, and procedures (TTPs) among different cybercrime groups, and sometimes even shared tools. We recently discovered one such overlap: similar tools and tactics between two hacktivist groups – BlackJack and Twelve, which likely belong to a single cluster of activity.

In this report, we will provide information about the current procedures, legitimate tools, and malware used by the BlackJack group, and demonstrate their similarity to artifacts found in Twelve’s attacks. We will also analyze another recently discovered activity that has much in common with the activity of the potential cluster.

Who are BlackJack?

BlackJack is a hacktivist group that emerged at the end of 2023, targeting companies based in Russia. In their Telegram channel, the group states that it aims to find vulnerabilities in the networks of Russian organizations and government institutions.

As of June 2024, BlackJack has publicly claimed responsibility for over a dozen attacks. Our telemetry also contains information on other unpublicized attacks, where indicators suggest BlackJack’s involvement.

The group only uses freely available and open-source software, such as the SSH client PuTTY or the wiper Shamoon, which has been available on GitHub for several years. This confirms that the group operates as hacktivists and lacks the resources typical of large APT groups.

Malware and legitimate tools in BlackJack attacks

Wiper – Shamoon

BlackJack uses a version of the Shamoon wiper written in Go in their attacks. Static analysis helped us extract the following characteristic strings:

Strings from the wiper

During our research, we found Shamoon samples in the following locations:
Sysvol\domain\scripts
\\[DOMAIN]\netlogon\
C:\ProgramData\

Ransomware – LockBit

In addition to the wiper, BlackJack also uses a leaked version of the LockBit ransomware to harm their victims.

Verdicts with which BlackJack’s version of LockBit was detected, source: Kaspersky Threat Intelligence Portal (TIP)

We found the ransomware in the same directories as the wiper:
Sysvol\domain\scripts
\\[DOMAIN]\netlogon\
C:\ProgramData\
The network directories for placing the malware were not chosen at random. This allows the attackers to spread their samples across the victim’s infrastructure and later place them in
C:\ProgramData\ for further execution in the system.
To launch LockBit, the attackers use scheduled tasks containing the following command line (the 32-character password may vary depending on the host or victim):
C:\ProgramData\bj.exe -pass aa83ec8e98326e234260ebb650d48f20
The ransom note only contains the name of the group:

Contents of the LockBit ransom note

This confirms that the group is not aiming for financial gain, but rather to cause damage to the compromised organization.

Ngrok

To maintain persistent access to compromised victim resources, the attackers use tunneling with the common ngrok utility. We found the utility and its configuration file in the following directories:

Here is a list of commands related to ngrok execution:

Radmin, AnyDesk, PuTTY

To ensure remote access to the system, BlackJack installs various remote access tools (RATs). Judging by the incidents we studied, the attackers initially attempted to use the Radmin utility, but all the external connections we observed were made through AnyDesk.

During the RAT installation, the attackers created the following services:

Additionally, the popular SSH client PuTTY was used to connect to certain hosts within the infrastructure.

Connection with the Twelve group

The malware and legitimate tools described above significantly overlap with the arsenal of the hacktivist group Twelve. This group also relies on publicly available software and does not use proprietary tools in its attacks.

Most of the connections and overlaps between the two groups were discovered through Kaspersky Security Network (KSN) telemetry and Kaspersky Threat Intelligence solutions. KSN telemetry is anonymized data from users of our products who have consented to share and process this information.

Malware sample similarities

Let’s first examine the similarities between the ransomware and wiper samples from the BlackJack and Twelve groups. Below is the information from the Kaspersky Threat Intelligence Portal (TIP) on the LockBit ransomware file discovered while investigating the BlackJack attacks:

BlackJack file information

The sample is named bj.exe, presumably an abbreviation for the BlackJack group. Among other things, the TIP page shows a list of similar files compiled using the Similarity technology, which identifies files with similar patterns. Although the sample used by the hacktivists was created with the leaked LockBit builder, Similarity first identifies the most closely related files. Note the first hash in the list: 39B91F5DFBBEC13A3EC7CCE670CF69AD.

List of similar files

Checking this hash on the Threat Intelligence Portal reveals that it was mentioned in our recent investigation into the Twelve group.

This suggests that the two groups use similar LockBit samples. Additionally, analysis of the configuration of the two samples (BlackJack and Twelve) showed that their exclusion lists (files, directories, and extensions to leave unencrypted) are identical.

Just like the BlackJack’s LockBit sample, the Twelve group’s ransomware also has a list of similar files.

List of similar files

Upon checking one of them (underlined in red on the screenshot), we found that the file was also named
bj.exe. This means that it is another instance of the BlackJack group’s ransomware, further indicating that the two groups use nearly identical LockBit samples.
Below is a list of paths where LockBit samples were found during the investigation of incidents related to the BlackJack and Twelve groups:

Summing up the ransomware analysis, we can draw the following conclusions:

• Both groups use similar LockBit ransomware samples;
• The paths where these samples were found are almost identical.

Let’s continue searching for further connections.

Wiper reuse

The study of wiper samples from incidents involving the BlackJack and Twelve groups also revealed similarities between them.

Both wipers overwrite the MBR record with almost identical placeholder strings:

MBR placeholder of the BlackJack wiper

MBR placeholder of the Twelve wiper

By analyzing the BlackJack wiper on the Threat Intelligence Portal, we found that in some cases it was extracted from the following archive:

Information about the archive containing the BlackJack wiper

Examining the archive, we found the Chaos ransomware – 646A228C774409C285C256A8FAA49BDE:

Ransomware file in the archive

Moreover, this file was mentioned in our report on the Twelve group. That is, malware from both groups is distributed in the same archive.

Checking the file names and paths, we discovered a familiar network directory
\sysvol\domain\script.

File names and paths

In addition, during our investigation of attacks carried out by the Twelve group, we also found the use of Shamoon-based wipers. Moreover, according to KSN data, a specific variant of Shamoon, which was involved in BlackJack group attacks, was also seen in some Twelve attacks.

Similar to the analysis of the LockBit ransomware, we decided to study the paths where the wipers were found in incidents related to the BlackJack and Twelve groups. As you can see from the table below, these paths are identical:

Summing up the analysis of the Shamoon wiper, we can confidently say that both groups use it or its components in their attacks and place them in identical directories. Moreover, the version of Shamoon that became available as a result of the leak was written in C#, whereas the variants of this wiper used in the BlackJack and Twelve attacks were rewritten in Go, further supporting the connection between these groups.

Familiar commands and utilities

In addition to the connections identified through analyzing the malware samples, we also discovered overlaps in the commands and tools used by both groups.

Below are the commands found in the BlackJack and Twelve group attacks.

Creating scheduled tasks:

Clearing event logs:

As you can see, apart from the names of the executable files, the commands are identical.

The list of publicly available utilities used by the groups also partially overlaps:

New activity

During our research, we also discovered another activity that closely resembles the ones described above. At this point, we cannot definitively determine which specific group is responsible for this activity; however, the malware samples and procedures clearly indicate that the source is the activity cluster under investigation.

The similarities we found are listed below:

1. The discovered wiper contains the characteristic strings we saw in the Twelve and BlackJack wipers and also creates a similar MBR record.
2. The wiper is spread through the sysvol network directory and saved using a scheduled task, which copies it to that same C:\ProgramData directory.
   reg:\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows
   NT\CurrentVersion\Schedule\TaskCache\Tasks\<GUID>:Actions","`powershell.exe` Copy-Item
   `\\[DOMAIN]\SYSVOL\[DOMAIN]\SCRIPTS\letsgo.exe` -Destination `C:\ProgramData`
3. As in the BlackJack and Twelve attacks, before wiping data with the wiper, the attackers launch the ransomware (enc.exe), which is also copied from the network folder to C:\ProgramData:
   reg:\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows
   NT\CurrentVersion\Schedule\TaskCache\Tasks\<GUID>:Actions","`powershell.exe` Copy-Item
   `\\[DOMAIN]\SYSVOL\[DOMAIN]\SCRIPTS\enc.exe` -Destination `C:\ProgramData`
4. As in Twelve group attacks, the execution of the wiper, as well as copying the wiper and ransomware from the network directory to the C:\ProgramData folder, are performed using scheduled tasks:

Also during the investigation of this activity, various artifacts and procedures were discovered that we had not seen in the BlackJack and Twelve attacks:

1. Using the PowerShell cmdlet Get-MpPreference to gather information about disabled Windows Defender features.
   powershell.exe` -ex bypass -c Get-MpPreference | fl disable*
2. Creating scheduled tasks:

   Task name	Command line	Description
   \run1	reg:\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\<GUID>:Actions","`cmd.exe` /c C:\ProgramData\letsgo.exe	Executing the wiper from the C:\ProgramData folder
   \def	reg:\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\<GUID>:Actions","`powershell.exe` -ex bypass -c Get-MpPreference | fl disable*	Collecting information about disabled Windows Defender features

3. Using WMIExec for lateral movement into the root directory.
   cmd.exe /Q /c cd \ 1> \\127.0.0.1\ADMIN$\__1710197641.3559299 2>&1

Victims

The mentioned malware samples, utilities, and command lines were found in the infrastructures of government, telecommunications, and industrial companies in Russia.

Attribution

Based on our research, we cannot be sure that the same actors are behind the activities of both groups. However, we suspect that the BlackJack and Twelve groups are part of a unified cluster of hacktivist activity aimed at organizations located in Russia.

Conclusion

In this study, we demonstrated that the BlackJack and Twelve groups have similar targets and use similar malware, distributing and executing it using the same methods. At the same time, they are not interested in financial gain but aim to inflict maximum damage on target organizations by encrypting, deleting, and stealing data and resources.

Indicators of compromise

Wiper – Shamoon

ED5815DDAD8188C198E0E52114173CB6 wip.exe/wiper.exe
5F88A76F52B470DC8E72BBA56F7D7BB2 letsgo.exe

Ransomware – LockBit

DA30F54A3A14AD17957C88BF638D3436 bj.exe
BF402251745DF3F065EBE2FFDEC9A777 bj.exe

File paths

Sysvol\domain\scripts\wip.exe
\\[DOMAIN]\netlogon\wip.exe
C:\ProgramData\wip.exe
Sysvol\domain\scripts\bj.exe
\\[DOMAIN]\netlogon\bj.exe
C:\ProgramData\bj.exe
C:\ProgramData\letsgo.exe
\\[DOMAIN]\SYSVOL\[DOMAIN]\SCRIPTS\letsgo.exe
C:\ProgramData\enc.exe
\\[DOMAIN]\SYSVOL\[DOMAIN]\SCRIPTS\enc.exe
C:\Users\[USER]\Downloads\ngrok-v3-stable-windows-amd64.zip
C:\Program Files\Windows Media Player\ngrok.exe
C:\Users\[USER]\AppData\Local\ngrok\ngrok.yml

Scheduled task names

\copy
\run1
\go2
\im
\def

securelist.com/blackjack-hackt…

Solo un’organizzazione su tre è in grado di gestire la sicurezza informatica 24 ore su 24. La maggior parte delle aziende, inoltre, non dispone di risorse sufficienti e del supporto dei vertici aziendali per poter intercettare e mitigare al meglio le minacce che colpiscono la propria infrastruttura. Il dato emerge da “Underfunded and unaccountable: How a lack of corporate leadership is hurting cybersecurity”, l’ultima ricerca Trend Micro, leader globale di cybersecurity.

Lo studio Trend Micro approfondisce l’attitudine dei responsabili alla gestione del rischio legato alle superfici di attacco, evidenziando le lacune che potrebbero compromettere gravemente la resilienza informatica delle organizzazioni.

Dalla ricerca emerge che:

• Solo il 36% del campione dispone di personale sufficiente per garantire la copertura della sicurezza informatica 24 ore su 24, 7 giorni su 7, tutto l’anno
• Solo il 35% utilizza tecniche di attack surface management per misurare il rischio della superficie di attacco
• Solo il 34% è conforme a quadri normativi comprovati, come ad esempio il NIST

L’incapacità, della maggior parte delle aziende, di soddisfare questi requisiti fondamentali di sicurezza, potrebbe essere correlata a una mancanza di leadership e responsabilità dei vertici dell’organizzazione. La metà (48%) degli intervistati ha, infatti, affermato che i responsabili aziendali non considerano la sicurezza informatica un loro compito. Alla domanda su chi abbia o dovrebbe avere la responsabilità di mitigare il rischio aziendale, le risposte hanno indicato una mancanza di chiarezza sulle linee guida. Il 31% ha però affermato che la responsabilità spetterebbe ai team IT.

La mancanza di una direzione certa sulla strategia di sicurezza informatica potrebbe essere il motivo per cui oltre la metà (54%) degli intervistati si è lamentata dell’atteggiamento della propria organizzazione nei confronti del rischio informatico, indicato come incoerente e variabile a seconda del periodo (54%).

La mancanza di una strategia chiara in ambito cyber può influenzare negativamente la capacità di un’organizzazione di prendere decisioni rapide e coerenti.

“È importante che i Chief Information Security Officer (CISO) comunichino i rischi informatici con chiarezza, utilizzando tutti gli strumenti a disposizione e coinvolgendo attivamente i Consigli di Amministrazione”, afferma Alessandro Fontana, Country Manager di Trend Micro Italia. “Per affrontare al meglio queste sfide, le aziende dovrebbero prendere in considerazione l’adozione di una soluzione integrata. Tale soluzione non solo deve proteggere l’intera superficie di attacco, ma anche permettere un monitoraggio dei rischi in tempo reale e una gestione automatizzata delle criticità. Questo approccio rafforza notevolmente la resilienza dell’organizzazione ed è inoltre cruciale che la piattaforma sia integrabile con soluzioni di terze parti, per garantire una protezione completa e una gestione più fluida della sicurezza”.

Lo studio ha infatti rivelato che in molte organizzazioni questo non avviene e circa il 96% degli intervistati nutre preoccupazioni circa la propria superficie di attacco. Il 36% vorrebbe trovare un modo per scoprire, valutare e mitigare le aree ad alto rischio, mentre il 19% non è in grado di lavorare su un’unica fonte di verità.

L'articolo Cybersecurity: solo un’organizzazione su tre è in grado di gestire la sicurezza informatica 24 ore su 24 proviene da il blog della sicurezza informatica.

Have you wanted to get into GPU programming with CUDA but found the usual textbooks and guides a bit too intense? Well, help is at hand in the form of a series of increasingly difficult programming ‘puzzles’ created by [Sasha Rush]. The first part of the simplification is to utilise the excellent NUMBA python JIT compiler to allow easy-to-understand code to be deployed as GPU machine code. Working on these puzzles is even easier if you use this linked Google Colab as your programming environment, launching you straight into a Jupyter notebook with the puzzles laid out. You can use your own GPU if you have one, but that’s not detailed.

The puzzles start, assuming you know nothing at all about GPU programming, which is totally the case for some of us! What’s really nice is the way the result of the program operation is displayed, showing graphically how data are read and written to the input and output arrays you’re working with. Each essential concept for CUDA programming is identified one at a time with a real programming example, making it a breeze to follow along. Just make sure you don’t watch the video below all the way through the first time, as in it [Sasha] explains all the solutions!

Confused about why you’d want to do this? Then perhaps check out our guide to CUDA first. We know what you’re thinking: how do we use non-nVIDIA hardware? Well, there’s SCALE for that! Finally, once you understand CUDA, why not have a play with WebGPU?

youtube.com/embed/K4T-YwsOxrM?…

hackaday.com/2024/09/25/learn-…

The AI Act addresses the risks associated with AI and positions Europe to play a leading role globally.

euractiv.com/section/digital/v…

Vi siete mai sentiti insicuri online? Non siete i soli. Anche gli esperti di cybersecurity si confrontano con questa domanda: ma come proteggere i nostri dati online? Bruce Schneier, uno dei massimi esperti al mondo di sicurezza digitale, ha spesso sottolineato la complessità della sicurezza informatica. In una delle sue numerose interviste ha specificato che gli viene frequentemente chiesto:

cit: “Spesso mi chiedono che cosa può fare l’uomo della strada per mettersi al riparo dai rischi di sicurezza informatica.”

Si potrebbe rispondere con un fatalistico:” Niente, siamo già tutti fregati”

L’ingresso dell’intelligenza artificiale sullo scenario tecnologico ha reso la sicurezza digitale ancora più complessa, aumentando le minacce informatiche come il phishing, i malware, le violazioni di dati su larga scala, deep-fake, disinformazione. Tuttavia, come ha sottolineato Schneier, per la tutela dei propri dati anche le misure più semplici possono fare la differenza. Il fattore umano può contribuire a prevenire e creare un ambiente online più sicuro.

Nell’attuale panorama tecnologico, la cybersecurity è indubbiamente uno degli argomenti più discussi. I media sono pieni di esperti che con il loro linguaggio tecnico, spesso lasciano anche l’utente più attento disorientato, convinto che proteggere i dati sia roba da esperti.

Ma la cybersecurity è materia riservata agli specialisti? Come ha sottolineato Schneier, anche l’utente comune può adottare semplici ma fondamentali precauzioni per migliorare significativamente la sicurezza online.

L’obiettivo di questo articolo è quello guidare l’utente meno esperto al complesso mondo della cybersecurity fornendo quelle informazioni necessarie per una maggiore consapevolezza senza addentrarsi in eccessivi tecnicismi. Scopriremo come semplici accorgimenti possono fare una grande differenza nella protezione della nostra privacy.

Cos’è Cybersecurity

Cos’è la Cybersecurity? Semplificando, possiamo considerarla l’insieme delle misure che adottiamo per proteggere i nostri dati e i nostri dispositivi da attacchi, occhi indiscreti o ficcanaso digitali (accessi non autorizzati)

I tre pilastri a sostegno della cybersecurity sono:

• Persone: Sono la prima linea di difesa, e le nostre azioni (o mancate azioni) fanno la differenza.
• Processi: Il modo in cui creiamo una password (è un processo), le procedure di backup, definiscono la nostra sicurezza.
• Tecnologie: Antivirus e firewall, sono gli strumenti che fanno da argine e ci proteggono dalle minacce più comuni.

Processo: un esempio di buona pratica in cybersecurity è la creazione di una password forte: scegliendo una combinazione unica di lettere, numeri e simboli, evitando l’uso di parole comuni o informazioni personali. Da evitare anche il riutilizzo delle password.

Ma la sicurezza online non si limita a questo. Le nostre scelte quotidiane, come cliccare su link sospetti, o la condivisione di informazioni sensibili sui social media, influenzano significativamente la nostra vulnerabilità agli attacchi informatici. La nostra sicurezza online. Oltre alle nostre azioni, le tecnologie di sicurezza come antivirus, firewall e software di backup costituiscono la prima linea di difesa proteggendo i nostri dati. È di fondamentale importanza mantenere questi strumenti aggiornati per garantire la massima protezione.

Tuttavia, anche servizi esterni, come e-mail e piattaforme cloud, possono rappresentare un rischio se non gestiti correttamente. Affidare i nostri dati a terzi, ci obbliga a scegliere provider affidabili. Per questo motivo è fondamentale adottare misure di sicurezza adeguate, sia a livello individuale (come l’utilizzo di password forti e l’autenticazione a due fattori) sia a livello organizzativo. la cybersecurity in quanto tale richiede una combinazione di: consapevolezza, attenzione e strumenti tecnologici.

Cybersecurity, principali di minacce informatiche

Nel mondo digitale sempre più connesso, le minacce informatiche rappresentano un pericolo costante per la nostra privacy e la sicurezza dei nostri dati. Il panorama delle minacce e in continua evoluzione, ma alcune tipologie sono particolarmente diffuse. Il termine Malware deriva dalle parole inglesi “malicius” (malevolo, cattivo) e software, e sta ad indicare un software creato per danneggiare un sistema informatico o violarne l’integrità. I tipi di malware più comuni sono: Virus, Worm, Trojan, Spyware, Adware, Ransomware, Rootkit, keylogger. Analizzeremo solo alcune di queste minacce.

• Phishing (Social Engineering: convincerci a fare qualcosa)
• Malware (Ransomware: prende il controllo del PC. Spyware: rubano dati)
• Attacchi basati sul web (sfruttano le vulnerabilità di siti ed app)
• attacchi SQL injection o XSS, sfruttano vulnerabilità nell’applicazione web ed errori di programmazione di pagine HTML (non tratteremo questa tipologia)

Il Phishing basato sull’ingegneria sociale (Social Engineering) inganna l’utente con tecniche di persuasione e psicologiche. Mira a ingannare gli utenti per indurli a rivelare informazioni sensibili, come password, numeri di carte di credito o codici di accesso. Gli attacchi di phishing possono avvenire tramite e-mail, SMS (smishing), social media e app di messaggistica. Un esempio tipico di Phishing è un’e-mail che imita una notifica della banca, chiedendo all’utente di aggiornare i propri dati personali.

Malware: è una delle possibili conseguenze di un attacco di phishing, persuasi tramite phishing, all’apertura di un file, un allegato tramite link, viene data via libera al malware che non necessariamente deve subito installarsi. Può rimanere inattivo e silenzioso, nascondendosi nel sistema, diventando difficilmente rilevabile.

Ransomware, esistono due famiglie: cryptor e blocker. I cryptor cifrano i dati rendendoli inaccessibili mentre i secondi bloccano l’accesso al dispositivo. L’hacker o l’organizzazione attaccante che posseggono la chiave per decrittare i dati posoono chiedere così un riscatto per il ripristino della macchina o dei dati in essa contenuti. Avendo un alto margine di profitto e una catena piuttosto semplice e molto efficiente di persone che devono essere coinvolte, sono molto diffusi.

Per spyware sì intende una forma di malware che non cifra i dati ma si nasconde nei dispositivi, monitora le attività svolte dall’utente e ruba informazioni sensibili registrando tutto quello che viene battuto sulla tastiera. Come le credenziali di posta elettronica alla quale accede per inviare messaggi contenenti altro malware.

Attacchi basati sul web, questo tipo di attacco sfrutta vulnerabilità dei siti web o delle applicazioni basati sul web. I siti web commerciali sono dei siti web dinamici, proprio la natura dinamica di questi siti, consente ad un malintenzionato di utilizzarlo, farlo funzionare, in maniera diversa da quella per cui era stato progettato. A queste tecniche appartengono le cosiddette vulnerabilità zero-click. Un tipo di attacco molto insidioso, infatti se con il phishing per installare un malware è necessario cliccare su di un link, con un attacco zero-click, il software malevolo può essere installato nel dispositivo o nel PC senza che la vittima faccia clic su alcun collegamento (Link)

Un’operazione da fare per proteggersi dai malware è quello di installare un antivirus e tenerlo necessariamente sempre aggiornato. Tenere aggiornati i sistemi operativi e fare attenzione a tutti quei dispositivi piccoli che possono collegarsi alla rete. Dispositivi IoT (Internet of Things), come smart TV, assistenti vocali e dispositivi indossabili, rappresentano un bersaglio sempre più ambito per gli hacker. Oggetti che, se non gestiti ma inseriti nella rete domestica, possono essere usati come sponda per accedere ai nostri dati.

Cybersecurity e minacce nel mondo digitale

Secondo il rapporto del Clusit, associazione italiana specializzata in cybersecurity, il numero di attacchi informatici è cresciuti del 79% tra il 2018 e il 2023. L’obiettivo principale di questi attacchi è l’estorsione, con oltre l’83% degli attacchi a livello globale mirati ad ottenere un riscatto in denaro. In Italia, sebbene la percentuale sia leggermente inferiore (64%), le aziende, soprattutto nei settori della sanità e dei servizi finanziari, sono particolarmente colpite dai ransomware. Non solo le aziende sono nel mirino: anche i singoli individui sono bersaglio di truffe online, ricatti e altre forme di cybercrime. Inoltre, le cronache recenti ci mostrano come anche le istituzioni pubbliche, i servizi di pubblica utilità siano vulnerabili. Un attacco a un’infrastruttura critica può avere conseguenze disastrose, non solo in termini economici, ma anche per la privacy, la sicurezza nazionale e la continuità dei servizi essenziali.

Per proteggersi da queste minacce, è fondamentale adottare misure di sicurezza adeguate, come effettuare regolarmente il backup dei dati, mantenere aggiornati i software e i sistemi operativi, diffidare delle e-mail sospette e formare il personale sulle migliori pratiche di sicurezza informatica.

Cybersecurity, come proteggersi

Per proteggersi dalle minacce informatiche, è fondamentale prestare attenzione sia al fattore umano che a quello tecnologico.

Fattore Umano: diffidare dalle offerte di vincite facili o da allegati sospetti. Non sempre si mettono in palio costosi smartphone. Evitare di scaricare file da fonti non affidabili e fare attenzione alle penne USB che potrebbero contenere malware. Esistono dispositivi di protezione che rendono le pen-drive a sola lettura, impedendo modifiche accidentali o malevole ai dati. Le reti Wi-Fi pubbliche sono spesso insicure, quindi evita di effettuare operazioni sensibili come l’home banking o lo shopping online.

Proteggi la tua connessione con una VPN (serve a cifrare il traffico) e limita al minimo la condivisione di informazioni personali online. Per i social network, preferire piattaforme che consentono al proprio account di mascherare il proprio numero telefonico. Meglio sarebbe non fornirlo, per limitare ancora di più la tracciabilità. Non condividere informazioni personali online, poiché potrebbero essere utilizzate per scopi fraudolenti. Con l’avvento dell’AI generativa, da poche immagini è possibile generare interi video. Infine, utilizzo dell’autenticazione a più fattori.

Fattore tecnologico: Utilizza password forti e uniche per ogni account e considera l’utilizzo di un password manager per generarne e memorizzarne in sicurezza. Mantieni aggiornati tutti i tuoi dispositivi e software, evitando di installare applicazioni da fonti non ufficiali. Non rootare o jailbreakare il tuo smartphone, poiché queste operazioni compromettono la sicurezza del dispositivo e lo rendono più vulnerabile agli attacchi.

Cybersecurity un osservazione Finale

L’utente ha sempre meno controllo sui dati e questo è un problema sempre più pressante nel mondo digitale. Per arginare questo rischio, è fondamentale rivolgersi a fornitori di servizi digitali in grado di offrire garanzie concrete sulla sicurezza dei dati. Una certificazione ISO 27001 rappresenta un punto di riferimento importante in questo senso.

L’ISO 27001 è una norma internazionale che stabilisce i requisiti per un sistema di gestione della sicurezza delle informazioni (SGSI). Un’azienda certificata ISO 27001 ha implementato una serie di controlli e misure rigorose per proteggere i dati dei suoi clienti, garantendo un impegno concreto nei confronti della sicurezza informatica.

L'articolo Siamo tutti fregati? La dura verità sulla sicurezza online spiegata da Bruce Schneier proviene da il blog della sicurezza informatica.

Un recente post apparso su un forum underground in lingua russa, mette in vendita account VPN di utenti italiani per soli 350 dollari.

Questo tipo di offerta, include l’accesso a VPN aziendali e utenti di dominio, rappresenta una minaccia significativa per l’integrità delle infrastrutture IT aziendali. Analizziamo l’evento e facciamo consapevolezza sui rischi legati alla vendita di credenziali e accessi nelle darknet.

Cosa è emerso dal post

Nel post, pubblicato da un utente con il nickname “Fuckyy”, vengono messe in vendita credenziali VPN (con specifica menzione del protocollo Cisco SSL VPN – cscoe) e account aziendali relativi a un’azienda di servizi italiani con 91 dipendenti.

Il venditore specifica l’offerta di 20kk (presumibilmente 20.000 record o credenziali), proponendo il tutto per 350$ e garantendo l’affidabilità del servizio solo a chi si dimostri di fiducia tramite un deposito o reputazione pregressa. Il numero di credenziali rispetto ad una azienda di 91 dipendenti sembra spropositato, pertanto si potrebbe immaginare che le informazioni in esso contenute siano maggiori rispetto a quanto riportato dal criminale informatico, oppure l’azienda si occupa proprio di vendita delle VPN.

Perché queste vendite sono un pericolo?

La disponibilità di VPN e account aziendali in vendita nei mercati underground rappresenta una grave minaccia. Accedere a una VPN aziendale senza autorizzazione non solo permette agli attaccanti di muoversi lateralmente all’interno di una rete, ma consente loro di farlo camuffando la loro presenza dietro legittimi credenziali aziendali. Questo porta a vari rischi:

1. Furto di Dati Sensibili: Una volta ottenuto l’accesso alla rete aziendale, gli attaccanti possono sottrarre dati critici come informazioni sui clienti, dati finanziari o progetti riservati.
2. Attacchi mirati e persistenti: L’accesso alla VPN permette di condurre attacchi più sofisticati e mirati. Gli hacker possono mantenere un accesso persistente alla rete, osservando movimenti e raccogliendo dati nel tempo.
3. Ransomware: Con l’accesso a una rete aziendale, i cybercriminali possono installare ransomware che paralizza l’attività dell’azienda. A quel punto, possono chiedere riscatti milionari per sbloccare i sistemi o ripristinare i dati crittografati.
4. Compromissione della reputazione: Se i dati aziendali vengono compromessi, le aziende colpite potrebbero subire gravi danni reputazionali. Questo può avere conseguenze disastrose sia a livello finanziario che legale.

L’aumento delle vendite di VPN e credenziali aziendali nelle underground

La vendita di accessi VPN aziendali è diventata sempre più comune negli ultimi anni, complice la crescente digitalizzazione e l’aumento del lavoro da remoto. Le aziende si affidano massicciamente a VPN e infrastrutture remote, ma spesso non adottano misure di sicurezza sufficienti. Le VPN, se non configurate o gestite correttamente, possono diventare l’anello debole della catena di sicurezza.

Una cattiva gestione delle credenziali, come l’uso di password deboli o la mancata implementazione di autenticazione a due fattori, può permettere agli hacker di accedere facilmente a questi sistemi. E una volta ottenuto l’accesso, lo stesso può essere venduto o condiviso nei forum del dark web, come quello mostrato nell’immagine. Inoltre la minaccia degli infostealer è sempre in agguato e moltissimi market underground vendono proprio le VPN come vettori iniziali di compromissione aziendale.

Come difendersi?

Per prevenire l’accesso non autorizzato attraverso VPN e credenziali compromesse, è essenziale che le aziende adottino una serie di misure di sicurezza:

1. Autenticazione a più fattori (MFA): Questo è un passaggio essenziale per garantire che anche se le credenziali vengono compromesse, gli hacker non possano accedere senza il secondo fattore di autenticazione.
2. Monitoraggio continuo: Implementare soluzioni di monitoraggio della rete che siano in grado di rilevare attività sospette o non autorizzate.
3. Controllo e rotazione delle credenziali: Le credenziali dovrebbero essere aggiornate regolarmente, e gli account inutilizzati o inattivi dovrebbero essere disabilitati.
4. Formazione del personale: I dipendenti dovrebbero essere istruiti riguardo le minacce informatiche e sull’importanza della sicurezza delle credenziali.
5. Penetration testing: Le aziende dovrebbero regolarmente eseguire test di penetrazione per verificare la robustezza delle proprie difese e l’eventuale esistenza di vulnerabilità.

Conclusione

La vendita di accessi VPN e credenziali aziendali in mercati underground come quello descritto evidenzia la vulnerabilità delle infrastrutture aziendali, in particolare in un contesto in cui il lavoro da remoto e l’uso di VPN sono sempre più diffusi. Le aziende devono adottare misure proattive per prevenire questi rischi e garantire la protezione delle loro reti. Solo un approccio olistico alla sicurezza informatica, che comprende tecnologie avanzate, monitoraggio costante e formazione, può mitigare il rischio di cadere vittime di simili attacchi.

L'articolo Accesso a 20.000 VPN Italiane a 350 Dollari in Vendita nelle underground! Le VPN sono una cosa seria proviene da il blog della sicurezza informatica.

The EU's largest telecom operators are taking up sustainability as part of their call for more investments in their industry, according to a policy agenda published by lobby Connect Europe.

euractiv.com/section/digital/n…

Microsoft ha annunciato ufficialmente che Windows Server Update Services (WSUS) è ​​ora in stato di deprecato, ma prevede di preservare le attuali funzionalità e continuare a pubblicare gli aggiornamenti tramite il canale.

D’altronde, la notizia non dovrebbe sorprendere, Microsoft aveva fatto indicato per la prima volta WSUS come una delle “funzionalità rimosse o non più sviluppate a partire da Windows Server 2025” già nell’agosto scorso.

Panoramica su Windows Server Update Services (WSUS)

Windows Server Update Services è stato introdotto nel 2005 come servizio di aggiornamento software, WSUS permette agli amministratori IT di gestire e distribuire gli aggiornamenti per i prodotti Microsoft su vaste reti aziendali che richiedono aggiornamenti sempre coerenti e controllati per un gran numero di dispositivi Windows. Il servizio, agisce come tramite e offre un controllo centralizzato degli aggiornamenti piuttosto che farli scaricare individualmente da ogni dispositivo dai server Microsoft.

Mentre le nuove funzionalità e lo sviluppo di WSUS cesseranno, Microsoft ha affermato che prevede di continuare a supportare le funzionalità e gli aggiornamenti esistenti del servizio, che saranno comunque distribuiti, anche dopo la deprecazione. “In particolare, ciò significa che non stiamo più investendo in nuove funzionalità, né stiamo accettando nuove richieste di funzionalità per WSUS. Tuttavia, stiamo preservando le funzionalità correnti e continueremo a pubblicare aggiornamenti tramite il canale WSUS. Supporteremo anche qualsiasi contenuto già pubblicato tramite il canale WSUS.” afferma in una nota Nir Froimovici Commercial Servicing and Intelligence di Microsoft.

La modifica riguarderà tutti gli ambienti aziendali che si affidano alla gestione e distribuzione degli aggiornamenti ai dispositivi tramite WSUS, e non avrà ovviamente alcun impatto sugli utenti privati.

Dopo la deprecazione di WSUS, il ruolo resterà disponibile in Windows Server 2025, ma Microsoft consiglia fortemente alle aziende di passare a soluzioni Cloud per gli aggiornamenti client e server, come ad esempio Windows Autopatch, Microsoft Intune e Azure Update Manager.

Conclusione

Questa decisione da parte di Microsoft, segna un cambiamento significativo nel panorama della gestione dei dispositivi all’interno delle organizzazioni. Rappresenta inoltre, un’importante opportunità per aziende di modernizzare la propria infrastruttura e migliorarne l’efficacia operativa. Gli amministratori IT sono chiamati a intraprendere soluzioni moderne e alternative sempre più basate su Cloud, mantenendo alti gli standard di sicurezza e riducendo al minimo le interruzioni dei flussi di lavoro esistenti.

L'articolo È Ufficiale! Microsoft Depreca WSUS: Il Futuro degli Aggiornamenti Cambia! proviene da il blog della sicurezza informatica.

The International Space Station (ISS) might not be breaking news, but this February, National Geographic released a documentary that dives into the station’s intricate engineering. It’s a solid reminder of what human ingenuity can achieve when you put a team of engineers, scientists, and astronauts together. While the ISS is no longer a new toy in space, for hackers and tinkerers, it’s still one of the coolest and most ambitious projects ever. And if you’re like us—always looking for fresh inspiration—you’ll want to check this one out.

The ISS is a masterpiece, built piece by piece in space, because why make things easy? With 16 pressurized modules, it’s got everything needed to keep humans alive and working in one of the harshest environments imaginable. Add in the $150 billion price tag (yes, billion), and it’s officially the most expensive thing humans have ever built. What makes it especially interesting to us hackers is its life support systems—recycling water, generating oxygen, and running on solar power. That’s the kind of closed-loop system we love to experiment with down here on Earth. Imagine the implications for long-term sustainability!

But it’s not just a survival bunker in space. It’s also a global science lab. The ISS gives researchers the chance to run experiments that could never happen under Earth’s gravity—everything from technology advancements to health experiments. Plus, it’s our testing ground for future missions to Mars. If you’re fascinated by the idea of hacking complex systems, or just appreciate a good build, the ISS is a dream project.

Catch the documentary and dive into the world of space-grade hacking. The ISS may be orbiting out of sight, but for those of us looking to push the boundaries of what’s possible, it’s still full of inspiration.

youtube.com/embed/Ei-TcECJVXU?…

hackaday.com/2024/09/24/a-spac…

The modern web has become difficult to navigate without ad blocking software. Ford now has a patent that would bring the ads we hate to your vehicle’s infotainment system. [via PCMag]

Ford has already replied to criticism with the usual corporate spiel of patents not necessarily being the direction the company will go with future products, but it’s hard to imagine that other automakers aren’t planning similar systems since they’re already charging extra for heated seats, EV range, and performance. Bringing ads to the captive audience of your personal vehicle and targeting them based on listening to the occupants’ conversations would be a new low. Maybe you’ll be able to pay an extra $100/month for the “ad-free experience.”

Instead of taking advantage of the EV transition to make better, simpler cars, automakers are using their highly-computerized nature to extract more from you and provide less when you drive off the lot. Enshittification has come for the automobile. Perhaps auto executives should read A Few Reasonable Rules for the Responsible Use of New Technology?

The first step of blocking these ads will likely be jailbraking the infotainment system. If that wasn’t enough, locking features behind a paywall has come for wheelchairs too.

hackaday.com/2024/09/24/will-y…

The 1990s seem to have reached that point at which they are once more considered cool, and ephemera of the decade has become sought-after. One of the unlikely software hits from the period was Winamp, the MP3 player of choice in an era when time spent on dodgy file sharing sites or peer to peer sharing would snag you almost any music you wanted. Decades later its interface is still widely copied, but now you can try the original again as its source code has been made available. It’s not what we’d call open source though, even though they seem to be making an effort to imply as much with phrases such as “opening up its source code“.

If you’d like to have a go with it you can snag a copy from this GitHub repository, and you’ll need a particular version of Visual Studio 2019 to build it. Any celebrations will be muted though by paragraph five of the Winamp Collaborative License, which prohibits distribution of modified versions or forks, and stipulates that only the official maintainers can distribute it. This doesn’t sound like open source to us, indeed it seems they’re just looking for community maintenance for free, which probably isn’t too surprising from a brand which went all-out to join the NFT bandwagon a couple of years ago.

So have a look for nostalgia’s sake if you want, but we’d suggest going for something more community driven if you want to do anything with it.

Header: Christiaan Colen, CC BY-SA 2.0.

hackaday.com/2024/09/24/winamp…

Developing your own film is an unabashedly analog process, which is one of the reasons people still gravitate towards it. After spending all day pushing buttons and looking at digital displays, spending some quiet time in the dark with pieces of paper and chemicals can be a way to decompress. But that doesn’t mean there isn’t room for a bit of modern digital convenience.

Specifically, [John Jones] wanted a timer that offered more features than his old school analog model, so he decided to build one himself. He took the long away around to make sure the end result would be a tool he could rely on, which meant getting a custom PCB made, 3D printing a case to fit in with his existing workspace, and designing a control panel that he could operate in the dark.

The PCB plays host to an ESP32 development board and an I/O expander that connects up to the array of LEDs, switches, and buttons on the front panel. The bottom-half of of the 3D printed enclosure is pretty simple, but the control panel is quite a piece of work.

Borrowing a trick from the flight sim community, [John] switched over to a clear filament after laying down the first few layers of the panel. This essentially created an integrated light diffuser, and with the addition of a few red LEDs, he had very slick backlit labels on his panel with relatively minimal effort.

We’ve covered custom darkroom tools in the past, from this relatively simple enlarger to an automated system that will develop the film for you.

youtube.com/embed/a5j6p5AFZho?…

hackaday.com/2024/09/24/esp32-…

[Julius Curt] needed to mark acrylic panels with a bit more clarity than the usual way of rastering the surface, so they attempted to 3D print directly to an acrylic sheet, which worked perfectly. The obvious way to do this was to bond the acrylic sheet to the bed with glue temporarily, but another way was tried, and it’s much less messy and precarious.
The bond between a 3D print and acrylic is very strong
The first step was to create a 3D model which combined a constraining ‘fence’ to contain the acrylic panel with the required artwork floating above. It was easy enough to run the print long enough to build the fence, then pause the print mid-way to add the pristine panel and restart after a quick re-prime and wipe.

There were a few simple takeaways from the video below. First, to ensure sufficient tolerance between the fence and the panel, consider the layer width (plus associated tolerance when printed) and the laser kerf of your machines to ensure a not-too-sloppy fit. Secondly, that hot nozzle won’t do the acrylic surface any favours during travel moves, so enabling Z-hopping is essential!

Another use for this simple technique is to fully incorporate an acrylic sheet within a print by pausing at an appropriate height again, dropping the panel in, and continuing the print. A degree of overlap will lock the panel tight, with the plastic bonding very firmly to the acrylic, as [Julius] demonstrates in the video.

It’s always a delight to see how techniques can combine to create the desired effects. Here’s how to use a color laser printer and toner transfer paper to apply designs to a 3D printing front panel. Whilst we’re thinking about the multitude of uses for hacking with acrylic, what about not doing that and using corrugated plastic instead?

youtube.com/embed/I9eQ80Dysds?…

hackaday.com/2024/09/24/3d-pri…

Ikea is known as a purveyor of build-it-yourself flatpack furniture. Lego is known as a purveyor of build-it-yourself toys. Both are known for their instructions. The latter’s are considered incredibly clear and useful, while the former’s are often derided as arcane and confusing—though the major difference between the two is color printing.

These two companies are great examples of why instructions are important. Indeed, Sonya Vasquez has learned this lesson well, and came down to Supercon 2023 to tell us all about it. Prepare to learn all about how to write great step-by-step instructions that enable greatness and never frustrate the end user.

This, Then This, Then This

Before we discuss the talk, it’s important we acknowledge something. The audio on Sonya’s talk is completely absent until about seven minutes in. Perhaps we should have put better instructions on the streaming computer’s mixing desk or something. In any case, it doesn’t harm much—when the audio comes in, Sonya is already telling us about one of her early builds.

youtube.com/embed/Heiqos0lqI0?…

The talk starts by looking at a fun little project—Sonya’s GameCube-Bot. It’s a simple robot chassis that fits into the plastic case of a Nintendo GameCube, allowing it to be driven around on the floor like an RC car. The result was both remarkably cute and nicely maneuverable. Initial reactions were positive, and that got Sonya thinking. “How do I share this with people?” she says. The answer? A more accessible build method, and of course—instructions!
Early on, Sonya used photographs for her assembly diagrams. However, she’s since found that producing instructions with CAD drawings can be more effective.
GameCube-Bot 2 was designed to rely on laser-cut plastic parts instead of expensive machined aluminium parts. “I can just put the design files on the internet, but actually, I think I need some sort of instructions,” said Sonya. Thus, she laid out the bill of materials, parts, and processes required to build one, and threw it all on Instructables.

“I learned a lot from this process,” she says. “I realized this is actually a lot of work.” The project taught Sonya multiple valuable lessons. She notes the value of quality photographs for illustrating a build process like this, which presents challenges around getting the right lighting, angles, and focus. That can be particularly difficult for complex mechanisms, especially where gravity might make it hard to keep parts in place. Then, if your design changes, you have to go back and do all the work again!

Sonya’s next big project was The Tentacle, which you might remember from her articles published here back in 2016! The animatronic appendage was designed in CAD, relying on a combination of off-the-shelf and laser-cut parts. Again, once the design was complete, she had to contemplate how to share this design with others. Once again, she didn’t just supply the design files themselves, but the build instructions too! Since it was all designed in CAD, she was able to reuse these models to create diagrams and animated GIFs for visual aids. This was, in many ways, easier than just relying on photographs alone. She later refined her instructions for a workshop at the Hackaday Supercon, teaching many people how to bring their own creepy tentacles to life.
Breaking up instructions can make things much clearer, particularly when it comes to order of assembly.
The skills learned on these projects have served Sonya well in her later career. She next walks us through the Jubilee multi-capable CNC platform, which she developed at grad school. Along the way, we learn more great techniques for creating clear instructions, such as that color is always helpful, and that community feedback is very valuable. In fact, the size of the community for any given project is generally larger the better the instructions are. The less guesses and leaps of logic required by the end user, the broader your user base can be.
One can draw some similarities between Sonya’s instructional diagrams and those used by Lego. They show the progression of installation clearly with easily-read graphical representations.
Ultimately, we’re taught that good instructions are about removing the need for thinking on the builder’s part. The person crafting proper instructions decides what the builder does and the order they should do it in. Good instructions are about allowing someone to reliably replicate a project. It’s also worth noting that build instructions don’t need to teach the builder about the design of the project—they should focus on its assembly.

On the practical side, Sonya notes that using your CAD software to manage your parts lists and BOM can be a big time saver—allowing for automatic updates of your instructions as your design changes. There’s also great value in creating 1:1-sized reference sheets that allow your builders to quickly identify parts unambiguously. Using subassemblies to break things down into more manageable chunks can also ease the burden on the builder.
These wiring diagrams aren’t just beautiful, they’re unambiguous and super useful, too.
Meanwhile, color diagrams can be a big boon, too—and Sonya explains the value of using real colors or false colors in different contexts where necessary. You might also want to explore using safe and inclusive color palettes that minimize issues for those with varying types of color-blindness using tools like Viz-Palette. Sonya also shares valuable insights into making wiring diagrams that are accurate and easy to read.

If you’ve ever worked on a project that you want other people to build, you could certainly learn a trick or two from this talk. Being able to craft quality instructions is a boon to your own work, and a blessing for anyone that tries to replicate it. Better documentation helps everyone, after all, and this talk is a great resource for anyone trying do produce just that.

hackaday.com/2024/09/24/superc…

Many hobbies seem to have a subset of participants who just can’t leave well enough alone. Think about hot rodders, who squeeze every bit of power out of engines they can, or PC overclockers, who often go to ridiculous ends to milk the maximum performance from a CPU. And so it goes in the world of lasers, where this avalanche driver module turns Nichia laser diodes into fire-breathing beasts.

OK, that last bit might be a little overstated, but there’s no denying the coolness of what laser jock [Les Wright] has accomplished here. In his endless quest for more optical power, [Les] happened upon a paper describing a simple driver circuit that can dump massive amounts of current into a laser diode to produce far more optical power than they’re designed for. [Les] ran with what few details the paper had and came up with a modified avalanche driver circuit, with a few niceties for easier testing, like accommodation for different avalanche transistors and a way to test laser diodes in addition to the Nichia. He also included an onboard current sensing network, making it easy to hook up a high-speed oscilloscope to monitor the performance of the driver.

For testing, [Les] used a high-voltage supply homebrewed from a Nixie inverter module along with a function generator to provide the pulses. The driver was able to push 80 amps into a Nichia NUBM47 diode for just a few nanoseconds, and when all the numbers were plugged in, the setup produced about 67 watts of optical power. Not one to let such power go to waste, [Les] followed up with some cool experiments in laser range finding and dye laser pumping, which you can check out in the video below. And check out our back catalog of [Les]’ many laser projects, from a sketchy tattoo-removal laser teardown to his acousto-optical filter experiments.

youtube.com/embed/3-htF8Jrixo?…

hackaday.com/2024/09/24/most-p…

Our workshop ticket sales go live today at 8 AM PDT! If you’re coming to Supercon, and you’re interested, go get your workshop ticket before they all sell out!

There will be a change to this year’s workshop ticket limits. We heard our community’s feedback, and in the spirit of giving as many people as possible the opportunity to enjoy a workshop, we are limiting sign up to one workshop per attendee. If there are extra tickets by October 18th, we will allow folks to sign up for additional workshops.

If you register for more than one workshop we will refund you the ticket for the others based on the timestamp that you registered for each ticket (leaving only the ticket for the first workshop you registered for). We hope everyone understands our goal is to allow more people to experience a Supercon workshop due to limited space.

And of course, you can’t join in the workshops at Supercon without coming to Supercon. So get your tickets now if you haven’t already.

Stay tuned tomorrow for more speaker announcements!

Adam McCombs and Isabel Burgos
Hands on with an Electron Microscope

Price: $40.00

This workshop will teach you how to become an electron microscope knob turner, starting with basic principles and which fields you are actually manipulating in the column. We will also cover sample preparation and considerations, so bring something you want to examine!

Anool Mahidharia
Blinky Con Badge requires no soldering!

Price: $15.00

Conference badges have become incredibly complex over the years. This workshop will turn the clock back to a simpler time by showcasing a design that can be assembled quickly with simple components and zero soldering.

Jazmin Hernandez
It Matter(s)! Learn to use the Arduino Matter

Price: $10.00

This workshop will teach attendees how to use the Arduino Nano Matter in conjunction with the IoT cloud. It will also cover the basics of Matter protocol and how to connect devices. Beginners are welcome, there’s no prior experience required!

Matt Venn
Tiny Tapeout

Price: $60.00

In this workshop, you will get the opportunity to design and manufacture your own design on an ASIC! You will learn the basics of digital logic, how semiconductors are designed and made, how to use an online digital design tool to build and simulate a simple design, and how to create the GDS files for manufacture on the open-source Sky130 PDK. Participants will have the option to submit their designs to be manufactured on the next shuttle as part of the Tiny Tapeout project.

Shawn Hymel
Introduction to Zephyr: Demystifying Device Drivers

Price: $20.00

This workshop is designed for embedded engineers who are new to the Zephyr OS and are interested in exploring how it can be used for building next-generation embedded applications. Participants will gain hands-on experience with Zephyr OS, including initial setup, toggling pins with existing libraries, and creating custom device drivers. (Shawn’s workshop is sponsored by DigiKey.)

Paul Beech
Mini Robot Jam. Build Hard. Drive Hard.

Price: $20.00

Participants will be given a neat kit of tiny robot parts, and a garage of materials and sensors to build their sweetest ride. Learn how to make the RP2350 at its heart rock ‘n’ roll in MicroPython. Participants will pit their robot against obstacles to see how well their code works in real life. (Paul’s workshop is sponsored by DigiKey.)

hackaday.com/2024/09/24/2024-h…

Il 22 settembre 2024, nell’ambiente underground di Telegram, è stato diffuso un messaggio riguardante l’inizio di un’operazione cyber contro i Paesi baltici. L’operazione mira a colpire le infrastrutture critiche di Lettonia, Estonia, Lituania e di altri Paesi non specificati. Il messaggio è apparso all’interno di un gruppo chiamato “UserSec“, con lo scopo di avvisare tutti i membri e prepararli per l’avvio degli attacchi, previsto tra il 22 e il 23 settembre.

Poche ore dopo la prima comunicazione, UserSec ha rivendicato un attacco contro la flotta navale lettone, colpendo in particolare il portale dell’Amministrazione Marittima Lettone e il sito del Grande Porto di Riga. Secondo i report diffusi da UserSec, basati su verifiche condotte con il servizio Check-Host in quel momento, entrambi i siti risultavano non raggiungibili. Nel messaggio di rivendicazione, viene menzionata una collaborazione con Cyber Army, un altro gruppo di hacktivisti filo-russi, che sembra aver partecipato all’operazione avviata il 22 settembre.

Traduzione del messaggio:
“Insieme al Cyber ​​Army popolare, abbiamo lanciato un attacco al settore della flotta lettone.
Il portale web dell'Amministrazione marittima lettone è stato disabilitato così come il sito web di uno dei porti marittimi più grandi del paese.
lja.lv/ (Amministrazione marittima della Lettonia)
check-host.net/check-report/1e…
rop.lv/ ( Grande porto lettone)
check-host.net/check-report/1e…
L’ultima rivendicazione di attacco, datata 22 settembre, vede UserSec dichiarare di aver ottenuto l’accesso a numerose telecamere di sicurezza in Lettonia. A supporto di questa affermazione, il gruppo ha pubblicato alcuni screenshot, con l’intento di rafforzare la propria credibilità

Traduzione del messaggio:
“Mentre i siti esplorano la cultura russa, abbiamo avuto accesso a diverse telecamere interessanti in tutta la Lettonia. Per tradizione, ti inviamo screenshot dai sistemi di videosorveglianza! Più risorse - più telecamere! Gloria alla Russia!”

Analisi del gruppo UserSec e Cyber Army

Il gruppo UserSec è un collettivo hacktivista filo-russo che, pur non avendo grande visibilità mediatica, fa parte di una rete di gruppi simili che collaborano per attaccare Paesi considerati nemici, poiché non sono pro-Russia o non ne sostengono le iniziative. Il gruppo è attivo su Telegram dal 6 marzo 2024 e ha visto un significativo aumento di iscritti, superando i 10.000 membri intorno al 7 settembre 2024.

Le attività di UserSec, come quelle di molti gruppi hacktivisti, sono varie e comprendono ricerche OSINT, la condivisione di informazioni personali (doxing), attacchi informatici come hacking e attacchi DDoS contro obiettivi scelti. Inoltre, il gruppo offre corsi e attività di reclutamento per espandere le proprie fila e intensificare le azioni a favore delle loro cause.

UserSec è strutturato in modo da avere un canale dedicato per ogni tipo di comunicazione. È presente anche un forum su Telegram, utilizzato per discutere vari argomenti di interesse per la community.

Il gruppo CyberArmy, che attualmente sembra collaborare con UserSec, è un collettivo hacktivista filo-russo con oltre 60.000 iscritti e risulta attivo da circa il 1º aprile 2022. Come altri gruppi simili, CyberArmy si dedica a diverse attività di hacktivismo, ma il suo focus principale è costituito dagli attacchi DDoS contro obiettivi selezionati, che variano a seconda del contesto e del periodo.

Il gruppo ha anche pubblicato una guida-manifesto che descrive la sua struttura, le aree tematiche trattate e fornisce istruzioni dettagliate su come partecipare agli attacchi DDoS. Per facilitare queste operazioni, CyberArmy è ben organizzato e mette a disposizione uno script compatibile con le piattaforme Windows, Linux e Android, oltre a una pagina HTML scaricabile tramite un messaggio su Telegram utile per effettuare attacchi tramite l’utilizzo del browser web.

Conclusioni

RHC ha spesso trattato delle attività svolte da diversi gruppi hacktivisti, sottolineando che gli obiettivi e le motivazioni degli hacker possono essere molteplici, e non necessariamente di natura economica.

Per quanto riguarda l’operazione contro i Paesi baltici, non è ancora chiaro quanto potrà durare o fino a che punto potrà spingersi. Dall’analisi di questi gruppi, possiamo affermare che operazioni di questo tipo possono durare molto e non avere effetti immediati, poiché gli hacktivisti sono in continua espansione e spesso operano su più fronti contemporaneamente. Inoltre, la crescente collaborazione tra diversi gruppi aumenta la complessità delle operazioni, con attacchi che possono provenire da vari team e impiegare metodi di attacco differenti. Proprio per questo motivo, l’attività di monitoraggio nel territorio underground del web è fondamentale, poiché consente di prevenire minacce e attuare misure di sicurezza proattive.

L'articolo È Cyberattacco Contro i Paesi Baltici! La Flotta Lettone nel Mirino, tra UserSec e Cyber Army proviene da il blog della sicurezza informatica.

Alcuni gruppi di criminali, da giorni stanno portando avanti una campagna di attacchi informatici con obiettivo le organizzazioni in Austria. Sembrerebbe che gli attacchi siano spinti da ragioni politiche e minaccerebbero siti governativi, aereoporti e la Borsa di Vienna.

Motivazione

Sembrerebbe che i gruppi criminali NoName057 e OverFlame, abbiamo eseguito una serie di attacchi di tipo DDoS contro obiettivi austriaci. Gli attacchi sono presumibilmente collegati al conflitto Russo-Ucraino.

Secondo un messaggio su Telegram di NoName057(16), la motivazione è da collegare alle prossime elezioni austriache: “Il 29 settembre, i cittadini austriaci eleggeranno i membri del 28° Consiglio nazionale, la camera bassa del parlamento del paese. Secondo i sondaggi, si prevede che il Partito della libertà d’Austria (FPÖ) di estrema destra sia in testa con il 27 percento dei voti e formi la fazione più numerosa in parlamento. Al secondo posto, si prevede che il Partito socialdemocratico d’Austria (SPÖ) all’opposizione arrivi con il 23% dei consensi degli elettori. Al terzo posto si prevede che ci sarà il Partito popolare austriaco (ÖVP) con il 22% dei consensi, che fa parte dell’attuale coalizione di governo. Abbiamo deciso di visitare di nuovo l’Austria per verificare la sicurezza informatica in vista delle prossime elezioni. A quanto pare, nulla è cambiato dalla nostra ultima visita.”

Gruppi criminali

NoName057 è il nome di un gruppo di criminali informatici filorusso ed è noto per i suoi attacchi informatici ai siti web ucraini, americani ed europei di agenzie governative, media e aziende private. Il gruppo prende di mira paesi che considera “nemici della Russia”, in special modo l’Ucraina e gli stati che ne supportano la difesa contro l’invasione russa, tra cui Estonia, Lettonia, Lituania, Polonia, Slovacchia, Norvegia, Finlandia, Italia, Regno Unito e Stati Uniti. In Italia, in particolare, il gruppo si è reso responsabile di attacchi contro siti istutuzionali e aziende nel febbraio e marzo 2023 e in occasione della visita del presidente ucraino Zelens’kyj a Roma nel maggio 2023

Effettua prevalentemente attacchi dimostrativi di tipo DDoS, che poi rivendicano con messaggi sul loro canale Telegram. Il gruppo ha creato una piattaforma apposita, chiamata DDosia, che consente a chiunque di condurre attacchi DDoS contro gli obiettivi scelti dal gruppo russo in cambio di ricompense in denaro.

OverFlame è un gruppo di hacktivisti noto per aver preso di mira istituzioni governative e aziende, in particolare in Europa e Nord America. Il gruppo è specializzato in attacchi DDoS e deturpazioni di siti web, spesso motivati ​​da sentimenti antigovernativi e anti-aziendali. OverFlame opera attraverso forum nel Dark Web e piattaforme di messaggistica crittografate, dove coordina i suoi attacchi e recluta nuovi membri. È comune vedere attori delle minacce con idee simili stringere alleanze ad hoc e collaborare a campagne per aumentare il loro impatto.

Che cos’è un attacco Distributed Denial of Service

Un attacco DDoS (Distributed Denial of Service) è un tipo di attacco informatico in cui vengono inviate una grande quantità di richieste a un server o a un sito web da molte macchine diverse contemporaneamente, al fine di sovraccaricare le risorse del server e renderlo inaccessibile ai suoi utenti legittimi.

Queste richieste possono essere inviate da un grande numero di dispositivi infetti da malware e controllati da un’organizzazione criminale, da una rete di computer compromessi chiamata botnet, o da altre fonti di traffico non legittime. L’obiettivo di un attacco DDoS è spesso quello di interrompere le attività online di un’organizzazione o di un’azienda, o di costringerla a pagare un riscatto per ripristinare l’accesso ai propri servizi online.

Gli attacchi DDoS possono causare danni significativi alle attività online di un’organizzazione, inclusi tempi di inattività prolungati, perdita di dati e danni reputazionali. Per proteggersi da questi attacchi, le organizzazioni possono adottare misure di sicurezza come la limitazione del traffico di rete proveniente da fonti sospette, l’utilizzo di servizi di protezione contro gli attacchi DDoS o la progettazione di sistemi resistenti agli attacchi DDoS.

Occorre precisare che gli attacchi di tipo DDoS, seppur provocano un disservizio temporaneo ai sistemi, non hanno impatti sulla Riservatezza e Integrità dei dati, ma solo sulla loro disponibilità. pertanto una volta concluso l’attacco DDoS, il sito riprende a funzionare esattamente come prima.

L'articolo Hacktivisti Filorussi prendono di mira le organizzazioni Austriache con attacchi DDoS proviene da il blog della sicurezza informatica.