Le Password di 91 Parlamentari Italiani Finiscono nel Dark Web: Coinvolti Anche Siti di Incontri!
Nonostante il clamore suscitato dal furto delle email dello staff di Hillary Clinton nel 2016, che avrebbe dovuto rappresentare un monito, sembra che l’insegnamento non sia stato recepito. infatti usare l’email istituzionale per registrarsi a siti di incontri ancora imperversa nei parlamentari italiani.
Secondo un’indagine condotta dalla Fondazione Proton insieme a Constella Intelligence, le credenziali di accesso, incluse email ufficiali e password, di ben 91 parlamentari italiani sono ora disponibili nel dark web.
73 deputati e 18 senatori hanno utilizzato i propri indirizzi di posta elettronica istituzionali per iscriversi a una varietà di servizi online, tra cui siti di incontri, utilizzando gli account ufficiali della Camera dei Deputati e del Senato. Tuttavia, questi siti sono stati successivamente hackerati, e i dati raccolti dai cybercriminali sono stati esposti nel dark web.
Tra le piattaforme violate che hanno contribuito a questa fuga di dati ci sono nomi noti come LinkedIn, Adobe, Dropbox e Dailymotion, oltre a servizi di incontri come Badoo. Il risultato è preoccupante: 195 password, di cui 188 in chiaro, legate a parlamentari italiani, sono ora liberamente accessibili nel dark web. Inoltre, le email istituzionali di questi politici sono state ripetutamente divulgate, con 402 segnalazioni di esposizione dei dati.
Fondazione Proton, dopo aver identificato i politici coinvolti, ha tentato di contattarli per avvertirli della situazione e consigliarli di aggiornare le proprie password e le informazioni di accesso. Tuttavia, sorprendentemente, nessuno dei destinatari ha risposto all’appello, lasciando intatte le credenziali compromesse.
Il rischio di queste violazioni è tutt’altro che teorico. Gli esperti di sicurezza informatica avvertono che, qualora uno dei servizi compromessi contenesse anche informazioni di pagamento, le conseguenze potrebbero includere frodi finanziarie. Inoltre, il furto di identità è un’altra minaccia seria: con le credenziali rubate, un malintenzionato potrebbe facilmente impersonare un parlamentare e accedere a informazioni sensibili o persino utilizzarle per scopi illeciti.
In conclusione, l’uso inappropriato degli account istituzionali espone non solo i singoli parlamentari, ma anche le istituzioni che rappresentano, a rischi considerevoli. Una maggiore consapevolezza sulla sicurezza digitale e l’adozione di pratiche più sicure sono ormai indispensabili per proteggere i dati sensibili e mantenere l’integrità delle istituzioni.
L'articolo Le Password di 91 Parlamentari Italiani Finiscono nel Dark Web: Coinvolti Anche Siti di Incontri! proviene da il blog della sicurezza informatica.
Keeping Tabs on an Undergraduate Projects Lab’s Door Status
Over at the University of Wisconsin’s Undergraduate Projects Lab (UPL) there’s been a way to check whether this room is open for general use by CS undergraduates and others practically for most of the decades that it has existed. Most recently [Andrew Moses] gave improving on the then latest, machine vision-based iteration a shot. Starting off with a historical retrospective, the 1990s version saw a $15 camera combined with a Mac IIcx running a video grabber, an FTP server and an HP workstation that’d try to fetch the latest FTP image.
As the accuracy of this system means the difference between standing all forlorn in front of a closed UPL door and happily waddling into the room to work on some projects, it’s obvious that any new system had to be as robust as possible. The machine vision based version that got installed previously seemed fancy: it used a Logitech C920 webcam, a YOLOv7 MV model to count humanoids and a tie into Discord to report the results. The problem here was that this would sometimes count items like chairs as people, and there was the slight issue that people in the room didn’t equate an open door, as the room may be used for a meeting.
Thus the solution was changed to keeping track of whether the door was open, using a sensor on the two doors into the room. Sadly, the captive-portal-and-login-based WiFi made the straightforward approach with a reed sensor, a magnet and an ESP32 too much of a liability. Instead the sensor would have to communicate with a device in the room that’d be easier to be updated, ergo a Zigbee-using door sensor, Raspberry Pi with Zigbee dongle and Home Assistant (HA) was used.
One last wrinkle was the need to use a Cloudflare-based tunnel add-on to expose the HA API from the outside, but now at long last the UPL door status can be checked with absolute certainty that it is correct. Probably.
Featured image: The machine vision-based room occupancy system at UoW’s UPL. (Credit: UPL, University of Wisconsin)
SOMALIA. Luci e ombre della rinascita della terra del Punt
@Notizie dall'Italia e dal mondo
Restano enormi i problemi del Paese, a cominciare dalla stabilità interna e dalla minaccia di Al Shabaab. Senza dimenticare gli interessi di vari attori stranieri che la condizionano. Nonostante ciò la Somalia ha fatto importanti passi avanti. L'analisi di Maurizio Zullo
L'articolo SOMALIA.
Notizie dall'Italia e dal mondo reshared this.
Ndrangheta, amministrazione giudiziaria per una banca d'affari l La Notizia
"È stato accertato come diverse società indirettamente gestite da soggetti contigui ad esponenti della criminalità di matrice ‘ndranghetista, hanno beneficiato negli anni di finanziamenti erogati dal citato istituto di credito con assistenza di garanzie statali previste dal Fondo Centrale di Garanzia a favore delle Piccolo e medie imprese del Mediocredito Centrale."
Microsoft blocca l’aggiornamento Windows 11 24H2 su ASUS: un disastro evitato!
In un mondo sempre più connesso e dipendente dalla tecnologia, non c’è nulla di più frustrante che vedere il proprio dispositivo andare in crash senza preavviso. Ed è esattamente ciò che sta succedendo a molti utenti che hanno provato a installare l’aggiornamento Windows 11 24H2 sui loro laptop ASUS, modelli X415KA e X515KA. Questo non è solo un semplice malfunzionamento: si tratta di veri e propri crash che causano il temuto Blue Screen of Death (BSOD), bloccando i dispositivi in modo definitivo.
Microsoft ha prontamente bloccato l’aggiornamento su questi modelli, segnalando un grave problema di compatibilità hardware che sta portando questi sistemi a un collasso totale. Questa decisione non è stata presa alla leggera: è un tentativo disperato di salvare gli utenti da ore di frustrazione, tentativi falliti di ripristino e potenziali perdite di dati critici.
Il problema non si limita ai soli modelli ASUS, ma coinvolge anche altri dispositivi con driver simili o software specifici che, a causa di incompatibilità, causano il blocco del sistema. Tra i casi riportati, emergono problematiche con app di personalizzazione del wallpaper e altre utility integrate, che possono generare gravi malfunzionamenti. Non si tratta di semplici errori occasionali, ma di una vera e propria carrellata di errori critici, che possono compromettere gravemente il funzionamento dei dispositivi, rendendoli potenzialmente inutilizzabili. Per mitigare il danno, Microsoft ha dovuto adottare una misura estrema: un “safeguard hold”, un blocco preventivo che impedisce temporaneamente l’aggiornamento su dispositivi vulnerabili, per evitare che ulteriori utenti affrontino questi gravi problemi.
Ma perché siamo arrivati a questo punto? Un aggiornamento che avrebbe dovuto portare innovazione e miglioramenti, invece, si è trasformato in un vero incubo per molti utenti. Non è la prima volta che un aggiornamento di Microsoft crea problemi, ma mai così diffusi e devastanti. Gli utenti sono lasciati a chiedersi: vale davvero la pena aggiornare?
Le conseguenze di questi crash non sono da sottovalutare. Per chi usa il PC per lavoro, studio o comunicazione, la perdita dell’accesso al proprio dispositivo è un colpo devastante. E il gigante della tecnologia di Redmond, nonostante le promesse di risoluzione, non ha ancora dettagliato un piano preciso per il rilascio della correzione.
In attesa di una soluzione definitiva, il messaggio è inequivocabile: non aggiornate! Se possedete uno dei modelli ASUS colpiti, evitare l’aggiornamento è cruciale. E se avete già aggiornato, il consiglio è uno solo: ripristinate immediatamente la versione precedente di Windows 11. La situazione va ben oltre un semplice problema tecnico su pochi dispositivi, si tratta di un vero e proprio segnale d’allarme per tutti.
Questa vicenda ci ricorda che, per quanto le nuove versioni del software possano promettere innovazioni e miglioramenti, la stabilità e la sicurezza del sistema devono sempre venire prima di ogni aggiornamento.
L'articolo Microsoft blocca l’aggiornamento Windows 11 24H2 su ASUS: un disastro evitato! proviene da il blog della sicurezza informatica.
Fortinet Emette un Bollettino per un Bug Critico da 9.8 su FortiManager sotto sfruttamento Attivo
Recentemente, Fortinet ha divulgato una vulnerabilità critica, identificata come CVE-2024-47575, che colpisce i sistemi FortiManager.
Si tratta di una vulnerabilità di missing authentication per funzioni critiche [CWE-306] nel demone fgfmd di FortiManager, che potrebbe consentire a un aggressore remoto non autenticato di eseguire codice o comandi arbitrari tramite richieste appositamente predisposte.
Con un punteggio CVSS pari a 9.8, questa falla rappresenta una minaccia significativa per le organizzazioni che utilizzano questi sistemi.
Tale vulnerabilità da quanto emerso dal bollettino di Fortinet, sembrerebbe sia stata sfruttata attivamente dagli attori malevoli. Nel bollettino di Fortinet sono presenti anche specifici indicatori di compromissione IoC.
Fortinet ha rilasciato aggiornamenti di sicurezza per mitigare questa vulnerabilità. Gli utenti sono fortemente incoraggiati a passare alle versioni aggiornate di FortiManager per ridurre il rischio di sfruttamento. Gli aggiornamenti sono fondamentali non solo per correggere le vulnerabilità conosciute, ma anche per garantire una protezione continua contro future minacce.
In aggiunta agli aggiornamenti, Fortinet raccomanda di monitorare attentamente i log di sistema visto che tale falla risulta sotto sfruttamento attivo. Un’analisi attenta può aiutare a rilevare attività sospette che potrebbero indicare un tentativo di sfruttamento della vulnerabilità.
È fondamentale che le aziende comprendano l’importanza di mantenere aggiornati i propri sistemi e di adottare misure proattive per prevenire attacchi informatici. La gestione delle vulnerabilità deve essere parte integrante della strategia di sicurezza informatica di ogni organizzazione, considerando il panorama delle minacce in continua evoluzione.
Infine, Fortinet ha creato una pagina dedicata alla vulnerabilità, dove gli utenti possono trovare ulteriori dettagli e risorse utili. Per maggiori informazioni, puoi visitare il sito di FortiGuard qui.
L'articolo Fortinet Emette un Bollettino per un Bug Critico da 9.8 su FortiManager sotto sfruttamento Attivo proviene da il blog della sicurezza informatica.
3D Printed Tires, by the Numbers
What does it take to make decent tires for your projects? According to this 3D printed tire torture test, it’s actually pretty easy — it’s more a question of how well they work when you’re done.
For the test, [Excessive Overkill] made four different sets of shoes for his RC test vehicle. First up was a plain PLA wheel with a knobby tread, followed by an exact copy printed in ABS which he intended to coat with Flex Seal — yes, that Flex Seal. The idea here was to see how well the spray-on rubber compound would improve the performance of the wheel; ABS was used in the hopes that the Flex Seal solvents would partially dissolve the plastic and form a better bond. The next test subjects were a PLA wheel with a separately printed TPU tire, and a urethane tire molded directly to a PLA rim. That last one required a pretty complicated five-piece mold and some specialized urethane resin, but the results looked fantastic.
Non-destructive tests on the tires included an assessment of static friction by measuring the torque needed to start the tire rolling against a rough surface, plus a dynamic friction test using the same setup but measuring torque against increasing motor speed. [Overkill] threw in a destructive test, too, with the test specimens grinding against a concrete block at a constant speed to see how long the tire lasted. Finally, there was a road test, with a full set of each tire mounted to an RC car and subjected to timed laps along a course with mixed surfaces.
Results were mixed, and we won’t spoil the surprise, but suffice it to say that molding your own tires might not be worth the effort, and that Flex Seal is as disappointing as any other infomercial product. We’ve seen other printed tires before, but hats off to [Excessive Overkill] for diving into the data.
youtube.com/embed/A5z4tklTvMQ?…
Fortinet Emette un Bollettino per un Bug Critico da 9.8 su FortiOS e FortiProxy sotto sfruttamento Attivo
Recentemente, Fortinet ha divulgato una vulnerabilità critica, identificata come CVE-2023-29163, che colpisce i suoi sistemi operativi FortiOS e FortiProxy.
Si tratta di una vulnerabilità di missing authentication per funzioni critiche [CWE-306] nel demone fgfmd di FortiManager, che potrebbe consentire a un aggressore remoto non autenticato di eseguire codice o comandi arbitrari tramite richieste appositamente predisposte.
Con un punteggio CVSS pari a 9.8, questa falla rappresenta una minaccia significativa per le organizzazioni che utilizzano questi sistemi.
La vulnerabilità è stata scoperta durante le analisi di sicurezza condotte dal team FortiGuard Labs. Tale vulnerabilità da quanto emerso dal bollettino di Fortinet, sembrerebbe sia stata sfruttata attivamente dagli attori malevoli. Nel bollettino di Fortinet sono presenti anche specifici indicatori di compromissione IoC.
Fortinet ha rilasciato aggiornamenti di sicurezza per mitigare questa vulnerabilità. Gli utenti sono fortemente incoraggiati a passare alle versioni patchate di FortiOS (7.2.5, 7.0.12 e altre) per ridurre il rischio di sfruttamento. Gli aggiornamenti sono fondamentali non solo per correggere le vulnerabilità conosciute, ma anche per garantire una protezione continua contro future minacce.
In aggiunta agli aggiornamenti, Fortinet raccomanda di monitorare attentamente i log di sistema visto che tale falla risulta sotto sfruttamento attivo. Un’analisi attenta può aiutare a rilevare attività sospette che potrebbero indicare un tentativo di sfruttamento della vulnerabilità.
È fondamentale che le aziende comprendano l’importanza di mantenere aggiornati i propri sistemi e di adottare misure proattive per prevenire attacchi informatici. La gestione delle vulnerabilità deve essere parte integrante della strategia di sicurezza informatica di ogni organizzazione, considerando il panorama delle minacce in continua evoluzione.
Infine, Fortinet ha creato una pagina dedicata alla vulnerabilità, dove gli utenti possono trovare ulteriori dettagli e risorse utili. Per maggiori informazioni, puoi visitare il sito di FortiGuard qui.
L'articolo Fortinet Emette un Bollettino per un Bug Critico da 9.8 su FortiOS e FortiProxy sotto sfruttamento Attivo proviene da il blog della sicurezza informatica.
Continua l’Emergenza al Sito Web delle Emergenze Europeo 112.gov.it!
Da quasi 24 ore, il sito ufficiale 112.gov.it, dedicato al numero unico di emergenza europeo, è inaccessibile. La causa è legata a un problema con un certificato SSL scaduto, un aspetto che mette in evidenza come anche i sistemi critici possano essere vulnerabili a errori di gestione tecnica.
Ricordiamo che il 112 o centododici, è ufficialmente il numero unico di emergenza europeo (NUE), è il numero telefonico per contattare i servizi di emergenza all’interno dell’Unione europea, attivo (almeno parzialmente) in tutti gli Stati dell’UE.
Questo caso ricorda episodi analoghi, come il recente blocco del servizio di emergenza 112 in Italia, anch’esso dovuto a certificati non aggiornati, come riportato in un articolo di Red Hot Cyber.
Attualmente, il sito 112.gov.it risulta ancora non disponibile, ma il certificato presentato è cambiato nelle ultime ore.
Nonostante la data di emissione rimanga la stessa, lunedì 23 ottobre 2023 alle 10:05:05, il thumbprint del certificato è diverso. Questo nuovo certificato non è stato emesso dalla Certificate Authority R3 di Let’s Encrypt, ma risulta essere un certificato self-signed, ovvero firmato localmente e non da un’autorità di certificazione pubblica.
Il precedente certificato emesso dalla R3può essere visionato qui: crt.sh/?id=10870364701.
Un altro dettaglio interessante riguarda il campo CN (Common Name) del nuovo certificato, che potrebbe rivelare il serial number di un apparato di rete Fortigate, identificato come FG1K2DT918801630.
È possibile che, nel tentativo di ripristinare l’operatività del sito, sia stato caricato un certificato self signed in attesa del rilascio dell’originale da R3, esponendo involontariamente queste informazioni. Sebbene non sembri costituire una vulnerabilità di sicurezza significativa, resta comunque un’informazione potenzialmente sensibile, indice di una gestione non ottimale del ripristino.
Gestione dei certificati web: l’importanza di un approccio rigoroso
La gestione dei certificati SSL/TLS è un aspetto cruciale per la sicurezza e l’affidabilità di un sito web, soprattutto per piattaforme critiche come 112.gov.it, che gestiscono servizi essenziali come il numero unico di emergenza. Un certificato scaduto può portare a interruzioni dei servizi e compromettere la fiducia degli utenti, oltre a esporre il sistema a potenziali attacchi.
Per evitare episodi come quello che ha coinvolto il sito del 112, è fondamentale adottare un approccio rigoroso alla gestione dei certificati. Ecco alcune best practices per garantire una corretta gestione dei certificati web:
- Monitoraggio automatico della scadenza dei certificati: Utilizzare strumenti che monitorano costantemente i certificati e inviano notifiche automatiche prima della loro scadenza. In questo modo, si può intervenire per tempo senza rischio di downtime imprevisti.
- Automatizzazione del rinnovo: Integrare soluzioni che supportano il rinnovo automatico dei certificati. Questo processo riduce al minimo l’intervento umano e il rischio di errori, garantendo che i certificati siano sempre aggiornati.
- Verifica rigorosa dei certificati utilizzati: Assicurarsi che i certificati installati siano quelli corretti e validi. L’uso accidentale di certificati self-signed o errati può esporre informazioni sensibili e compromettere la sicurezza del sistema.
- Documentazione e audit periodici: Tenere una documentazione aggiornata di tutti i certificati in uso, comprese le date di scadenza e le CA di emissione, e condurre audit regolari per verificare che tutto sia conforme agli standard di sicurezza.
- Implementazione di certificati con chiavi robuste: Utilizzare certificati che seguono le ultime raccomandazioni di sicurezza, come chiavi crittografiche con lunghezza sufficiente (ad esempio RSA a 2048 bit o superiore) e algoritmi di hashing sicuri come SHA-256.
- Certificati wildcard o SAN (Subject Alternative Name): Per semplificare la gestione di più domini o sottodomini, l’uso di certificati wildcard o SAN può ridurre il numero di certificati da gestire, mantenendo un alto livello di sicurezza.
Adottando queste pratiche, è possibile evitare interruzioni prolungate dei servizi web e garantire un livello adeguato di sicurezza per i siti critici.
L'articolo Continua l’Emergenza al Sito Web delle Emergenze Europeo 112.gov.it! proviene da il blog della sicurezza informatica.
Guerre di Rete - Sistemi Giustizia, abbiamo un problema
@Informatica (Italy e non Italy 😁)
Poi la scomoda verità su Anonymous Sudan. Le operazioni di influenza via ChatGPT. Piracy Shield. E la nostra live martedì sera.
#GuerreDiRete è la newsletter curata da @Carola Frediani
guerredirete.substack.com/p/gu…
reshared this
13.000 Vittime Del Trojan TrickMo: ll Trojan Bancario che Ruba PIN e le Credenziali
Gli analisti di Zimperium hanno scoperto 40 nuove versioni del trojan bancario Android TrickMo. Queste varianti sono associate a 16 dropper, 22 diverse infrastrutture di gestione e presentano nuove funzionalità progettate per rubare i codici PIN agli utenti.
Ricordiamo che il malware TrickMo è stato documentato per la prima volta dagli specialisti IBM X-Force nel 2020, ma poi si è ipotizzato che fosse stato utilizzato negli attacchi contro gli utenti Android almeno dal settembre 2019.
Le caratteristiche principali delle nuove versioni di TrickMo sono: intercettazione di password monouso (OTP), registrazione dello schermo, furto di dati, controllo remoto di un dispositivo infetto e molto altro. Il malware tenta di utilizzare il servizio di accessibilità per concedersi ulteriori autorizzazioni e fare clic automaticamente su vari elementi sullo schermo secondo necessità.
Poiché TrickMo è ancora un trojan bancario, utilizza overlay di phishing per imitare le schermate di accesso di varie applicazioni bancarie e finanziarie per rubare le credenziali delle vittime, consentendo così ai suoi operatori di effettuare transazioni non autorizzate.
Va notato che gli overlay TrickMo coprono non solo le applicazioni bancarie, ma anche VPN, piattaforme di streaming, e-commerce, trading, social network, reclutamento e piattaforme aziendali.
Sempre tra gli overlay gli analisti di Zimperium hanno scoperto una schermata di sblocco che imita quella di un dispositivo Android. È progettato per rubare il PIN o la sequenza di un utente.
“Non si tratta di altro che una pagina HTML ospitata su un sito web esterno e visualizzata a schermo intero sul dispositivo, facendolo sembrare uno schermo reale. Quando l’utente inserisce il codice PIN o la sequenza per sbloccare, la pagina trasmette i dati intercettati agli aggressori, nonché un identificatore univoco del dispositivo (ID Android), utilizzando uno script PHP”, scrivono i ricercatori.
Gli analisti hanno spiegato che il furto dei codici PIN consente agli hacker di sbloccare i dispositivi delle vittime quando gli utenti non possono vederli (ad esempio di notte) e commettere attività fraudolente.
I ricercatori hanno scoperto che l’infrastruttura di controllo di TrickMo non era adeguatamente protetta. Grazie a ciò è stato possibile stabilire che almeno 13.000 persone sono già diventate vittime di malware, la maggior parte delle quali vive in Canada, Emirati Arabi Uniti, Turchia e Germania. Va notato che il numero totale delle vittime di TrickMo è probabilmente molto più elevato.
“La nostra analisi ha mostrato che il file dell’elenco degli indirizzi IP viene aggiornato ogni volta che il malware riesce a rubare le credenziali”, ha affermato Zimperium. “Abbiamo trovato milioni di voci in questi file, indicando un gran numero di dispositivi compromessi e una quantità significativa di dati sensibili a cui hanno avuto accesso gli aggressori.”
Attualmente, TrickMo viene distribuito tramite truffe di phishing, quindi gli esperti consigliano di evitare di scaricare file APK da URL ricevuti tramite SMS o messaggi di messaggistica istantanea da sconosciuti.
L'articolo 13.000 Vittime Del Trojan TrickMo: ll Trojan Bancario che Ruba PIN e le Credenziali proviene da il blog della sicurezza informatica.
Le App Più Popolari contengono le Credenziali di accesso in chiaro dei servizi Cloud!
Molte popolari app iOS e Android contengono credenziali hardcoded e non crittografate per i servizi cloud, inclusi Amazon Web Services (AWS) e Microsoft Azure Blob Storage, avverte Symantec. Di conseguenza, i dati utente e il codice sorgente sono vulnerabili a potenziali aggressori.
I ricercatori spiegano che la fuga di tali chiavi potrebbe fornire agli aggressori l’accesso non autorizzato allo spazio di archiviazione e ai database contenenti dati sensibili e costituisce generalmente una grave violazione della sicurezza. Si noti che le chiavi generalmente finiscono nelle basi di codice dell’applicazione a causa di errori, negligenza e cattive pratiche degli sviluppatori.
“Questa è una situazione pericolosa perché chiunque abbia accesso al codice binario o sorgente delle applicazioni sarà in grado di estrarre queste credenziali e usarle per manipolare o rubare dati, portando a gravi violazioni della sicurezza“, affermano gli esperti.
Gli esperti hanno trovato credenziali dei servizi cloud nelle seguenti applicazioni nel Google Play Store:
- Pic Stitch (oltre 5 milioni di download) – Credenziali Amazon hardcoded;
- Meru Cabs (oltre 5 milioni di download) – Credenziali Amazon hardcoded;
- ReSound Tinnitus Relief (oltre 500.000 download) – Credenziali di archiviazione BLOB di Microsoft Azure codificate;
- Saludsa (oltre 100.000 download): credenziali di archiviazione BLOB di Microsoft Azure hardcoded;
- Chola Ms Break In (oltre 100.000 download) – Credenziali hardcoded di Microsoft Azure Blob Storage;
- EatSleepRIDE GPS per moto (oltre 100.000 download) – credenziali Twilio hardcoded;
- Beltone Tinnitus Calmer (oltre 100.000 download) – Credenziali di archiviazione BLOB di Microsoft Azure hardcoded.
Il codice Pic Stitch
Un problema simile è stato riscontrato in una serie di applicazioni popolari nell’Apple App Store:
- Crumbl (oltre 3,9 milioni di download): credenziali Amazon hardcoded;
- Eureka: guadagna denaro con i sondaggi (oltre 402.100 download) – credenziali Amazon codificate;
- Videoshop – Editor video (oltre 357.900 download) – Credenziali Amazon hardcoded;
- Solitaire Clash: vinci denaro reale (oltre 244.800 download) – Credenziali Amazon hardcoded;
- Zap Surveys – Guadagna denaro facile (oltre 235.000 download) – Credenziali Amazon hardcoded.
Vale la pena notare che l’App Store non elenca il numero di download, ma il numero di download solitamente supera il numero di valutazioni elencate.
I ricercatori spiegano che l’installazione di tali applicazioni, ovviamente, non compromette automaticamente il dispositivo, ma esiste il rischio che gli hacker si impossessino dei dati sensibili degli utenti se gli sviluppatori delle applicazioni non agiscono e risolvono il problema.
Allo stesso tempo, non è la prima volta che gli specialisti Symantec mettono in guardia da questo pericolo. Quindi, nel 2022, i ricercatori hanno scritto di aver scoperto più di 1.800 applicazioni per iOS e Android, il cui codice conteneva le credenziali AWS. Inoltre nel 77% dei casi si trattava di token di accesso validi.
L'articolo Le App Più Popolari contengono le Credenziali di accesso in chiaro dei servizi Cloud! proviene da il blog della sicurezza informatica.
Seven New Street Fighter 2 Arcade Rom Hacks
[Sebastian Mihai] is a prolific programmer and hacker with a particular focus on retrocomputing and period games, and this latest hack, adding new gameplay elements to Capcom’s Street Fighter II – Champion Edition, is another great one. [Sebastian] was careful to resist changing the game physics, as that’s part of what makes this game ‘feel’ the way it does, but added some fun extra elements, such as the ability to catch birds, lob barrels at the other player, and dodge fire. The title screen was updated for each of the different versions, so there is no doubt about which was being played. This work was based on their previous hacks to Knights of the Round. Since both games shared the same Capcom CPS-1 hardware, the existing 68000 toolchain could be reused, reducing the overhead for this new series of hacks.Binary modification program flow
Obviously, without access to the game’s source code, the hacks (all seven of them!) were made by binary modification, first learning about how the original program stores aspects of the game and hacking in a little hand-grafted assembly here and there to sneak in the extra elements without interfering too much with the original code operation. [Sebastian] stripped out some title screen effects to speed boot time and removed some in-game graphics, such as the score and the ‘insert coin’ images, to free up some graphical tiles to reuse for the new elements. [Sebastian] first needed to understand the game code, which meant disassembly and hand annotation of the entire binary, which was done using the MAME debugger. As the linked article demonstrates, saying this is a big task is somewhat of an understatement.
A simple approach was taken to the mods consisting of three types of binary patches. The first, or ‘short circuit’, are simple NOPs inserted to disable subroutine calls or RTS to force an early return in a subroutine. The second type is a blob of code residing in some unused ROM space and storing state in a spare section of RAM. This is where the main parts of the new code reside. Finally, hooks are injected into the code at key locations, which jump into the binary blob where modified behaviour is required. This can do any needed initialisation before returning to the main game logic. Making significant changes to the game would be very hard without any spare space in the system, but we guess you could do it by stripping out other game elements, but [Sebastian] didn’t need to go there. If you’re into retro gaming and particularly modding, then going deeper into [Sebastian]’s homepage will reveal an astonishing number of projects and hacks.
Sometimes, our fond memories of games of old are skewed a little over the years, and the gameplay wasn’t that great in reality. So, what can we do? How about a little Redux, Zelda II style? If you’re really down the rabbit hole of retro hardware, then dealing with all those pesky EPROM chips is getting more difficult these days. To help with that, here’s a modern take on the necessary hardware.
youtube.com/embed/in9bT4JC7k4?…
Ecco un'idea, Pinterest: Chiedete il consenso agli utenti prima di tracciarli!
noyb ha presentato un reclamo contro Pinterest all'autorità francese per la protezione dei dati (CNIL)
mickey22 October 2024
Privacity reshared this.
Singapore’s 4300 km Undersea Transmission Line With Australia Clears Regulatory Hurdle
The proposed AAPowerLink transmission line between Darwin (Australia) and Singapore. (Credit: Sun Cable)
Recently Singapore’s Energy Market Authority (EMA) granted Sun Cable conditional approval for its transmission line with Australia. Singapore has been faced for years now with the dilemma that its population’s energy needs keep increasing year-over-year, while it has very little space to build out its energy-producing infrastructure, least of all renewables with their massive footprints. This has left Singapore virtually completely dependent on natural gas-burning thermal plants.
With no nearby countries to obtain excess power from as is common in e.g. the EU’s integrated energy market, an idea was floated in 2020 by Australian company Sun Cable for the project, called the Australia-Asia Power Link (AAPL). This would entail two transmission lines:
- the 800 km long DarwinLink to a yet-to-be-built multi-GW, 12,400 hectares solar farm in the Barkly Region of the Northern Territory. This link would be rated for 4 GW of transmission capacity.
- the 4300 km long SingaporeLink HVDC line from Darwin to Singapore, rated for 2 GW (1.75 GW after losses).
Back in 2023 Sun Cable went into voluntary administration after the two billionaires providing venture capital for Sun Cable had disagreements about the company’s ‘funding and direction’. It’s unknown in how far these issues are resolved, even as Singapore’s EMA seems to have given conditional approval to the SingaporeLink transmission line. This comes against the background of Singapore having signed a 30-year nuclear power deal with the US and is exploring the eventual deployment of nuclear power as well as the importing of large quantities of ammonia and (green) hydrogen.
The current planning for the whole Sun Cable project is set for completion by 2035, with construction yet to begin on all three components. There are still many uncertainties to be resolved, as the 1.75 GW that would be provided 24/7 to Singapore would have to be backed up by significant grid-level storage on both sides, which is not an easy problem to solve.
If completed, it would be the world’s longest electricity transmission line, providing enough power for ~9% of Singapore’s 2024 energy needs, and likely far below that by 2035. Naturally, all of these projections are eerily reminiscent of the EU’s continuously revived plans to import solar power and hydrogen from Africa.
Featured image: Senoko natural gas and oil-fired power station, Singapore in 2007. (Credit: Terence Ong)
Signal Processing Shenanigans: The Createc SC 01 Pocket Oscilloscope
If you’re passionate about signal processing and retro tech, you’ll want to check out the Createc SC 01, a quirky handheld oscilloscope that recently caught the eye of [Thomas Scherrer] from OZ2CPU Teardown. This device, cheekily dubbed a “signal computer,” promises to be both intriguing and, perhaps, frustrating. You can view [Thomas]’ original teardown video here.
This device is packed with buttons and a surprisingly retro aesthetic that can make even the most seasoned hacker feel nostalgic. With a sample rate of 20 MHz and a bandwidth of up to 10 MHz, it’s a digital oscilloscope with a twist. Users may find its setup challenging, thanks to a somewhat convoluted manual that boasts numerous errors. However, beneath the confusion lies the potential for creative exploration: this signal computer can analyse analog signals, perform calculations, and even store data.
Despite its quirks, the SC 01 is sure the experience. Imagine troubleshooting a circuit while grappling with its unpredictable user interface—an adventure in itself for those who like a techy challenge.
The Createc SC 01 is not just another tool; it’s an invitation to embrace the imperfections of vintage tech. If you enjoy the hands-on learning process and don’t shy away from a few hiccups, this device might be something you’ll enjoy. Hackaday featured an article on similar devices last year. Check out the full teardown video to see this fancy but quirky pocket oscilloscope in action.
youtube.com/embed/e7dJ74M055w?…
Meta lancia iniziativa di riconoscimento facciale per combattere le truffe online con celebrità
@Informatica (Italy e non Italy 😁)
Meta ha annunciato una nuova iniziativa per combattere le truffe online che sfruttano l’immagine di celebrità, utilizzando la tecnologia di riconoscimento facciale. Questa strategia mira a proteggere gli utenti da frodi
Informatica (Italy e non Italy 😁) reshared this.
A 3D Printed, Open Source Lathe?
[Chris Borge] has spent the last few years creating some interesting 3D printed tools and recently has updated their 3D printable lathe design to make a few improvements. The idea was to 3D print the outer casing of the lathe in two parts, adding structural parts where needed to bolt on motors and tool holders, and then fill the whole thing with concrete for strength and rigidity.Only a few parts to print
The printed base is initially held together with two lengths of studding, and a pile of bolts are passed through from below, mating with t-nuts on the top. 2020 extrusion is used for the motor mount. The headstock is held on with four thread rods inserted into coupling nuts in the base. The headstock unit is assembled separately, but similarly; 3D printed outer shell and long lengths of studding and bolts to hold it together. Decent-sized tapered roller bearings make an appearance, as some areas of a machine tool really cannot be skrimped. [Chris] explains that the headstock is separate because this part is most likely to fail, so it is removable, allowing it to be replaced.
Yes, that’s right. We’re filling it with lovely runny concrete.
Not a bad job on aluminium for a DIY lathe!
Once together, the whole assembly is filled with runny concrete and set aside to cure. Before fully curing, the top surfaces are scraped flat to remove excess concrete so the top covers will fit. A belt-driven motor is fitted, with associated control electronics, and then it’s time to talk tooling. The first tool shown is a simple T-shaped rest, used with a hand tool known as a ‘graver.’ This is more likely to be used on a wood lathe, but we reckon you could about get away with it if you’re really careful with aluminium or perhaps brass. An adjustable rest was made using a few simple pieces (in steel!) and held in a short length of 2020 extrusion in a manner that makes it adjustable, albeit not shown in this video. Finally, a reasonable torture test is demonstrated, comprising a rough-cut aluminium disk screwed to a threaded carrier. This was tidied up to make it nice and round and clean up its surfaces. The lathe survived, only melting the 3D printed motor pulley, which, as they say, should not have been a 3D printed part when metal parts are so easy to acquire! If you want to build one for yourself, then everything you need is here, but like with projects of this type, more development is still needed to overcome a few shortcomings. Check out [Chris]’s channel for many more interesting ideas!
We’ve seen a few of [Chris]’s other 3D-printed tools, like this neat fractal vice for odd-shaped objects. We like tiny tool hacks; after all, when you’re making small things, you don’t need full-sized tools.
youtube.com/embed/6Js8erWbsDQ?…
Thanks to [CJay] for the tip!
Nota MIM
La legge di bilancio, stanziate risorse ad hoc per la #scuola.
Qui tutti i dettagli ▶️ miur.gov.it/web/guest/-/legge-…
Ministero dell'Istruzione
Nota MIM La legge di bilancio, stanziate risorse ad hoc per la #scuola. Qui tutti i dettagli ▶️ https://www.miur.gov.it/web/guest/-/legge-di-bilancio-risorse-per-la-scuola #leggedibilancioTelegram
AI Mortale! Un Ragazzo di 14 anni si Toglie la vita dopo mesi di dialogo con un Chatbot
Character.AI è stato oggetto di un procedimento legale dopo il suicidio di un adolescente di 14 anni della Florida (USA), la cui madre sostiene che fosse ossessionato da un chatbot sulla piattaforma.
Mesi passati ad interagire con un Chatbot
Secondo il New York Times, un ragazzo delle medie di Orlando ha passato mesi interagendo con chatbot sull’app Character.AI.
Il giovane si è particolarmente affezionato al bot “Dany” (ispirato a Daenerys Targaryen), con cui manteneva conversazioni continue, tanto da isolarsi progressivamente dalla vita reale. Preoccupati dal suo comportamento, i genitori lo hanno portato in terapia, dove è emerso che soffriva di un disturbo d’ansia.
In una delle sue interazioni, l’adolescente ha confidato al bot di avere pensieri suicidi e, poco prima di togliersi la vita, ha inviato un messaggio a “Dany” in cui esprimeva il suo amore per lei e il desiderio di “tornare a casa”.
Il 28 febbraio 2024, il ragazzo si è suicidato utilizzando una pistola.
In risposta all’accaduto, Character.AI ha annunciato oggi il rilascio di nuove funzionalità di sicurezza. Queste includeranno strumenti di “rilevamento, risposta e intervento potenziati” per le conversazioni che violano i termini di servizio, oltre a notifiche per gli utenti che trascorrono più di un’ora in una chat.
Un gruppo di legali sta preparando una causa contro la società, ritenendo che l’incidente avrebbe potuto essere evitato con misure di sicurezza più rigorose.
Secondo il New York Times, l’industria delle applicazioni basate sull’intelligenza artificiale sta crescendo rapidamente, ma l’impatto di queste tecnologie sulla salute mentale rimane in gran parte inesplorato.
Concludendo
L’incidente con Character.AI solleva importanti questioni etiche riguardo alla responsabilità delle aziende che sviluppano intelligenze artificiali. Queste tecnologie, che interagiscono direttamente con persone vulnerabili, devono essere progettate con strumenti di monitoraggio avanzati per prevenire rischi psicologici. Serve una maggiore trasparenza sulle capacità e i limiti dei chatbot per garantire che gli utenti comprendano che stanno interagendo con sistemi automatizzati e non con esseri umani.
La regolamentazione dell’intelligenza artificiale è una priorità urgente. Attualmente, le leggi non tengono il passo con l’innovazione tecnologica, lasciando le persone esposte a potenziali danni psicologici. È essenziale che i governi collaborino con esperti del settore per creare normative che proteggano gli utenti, con particolare attenzione a chi è più vulnerabile, come adolescenti e persone con disturbi mentali.
Infine, l’impatto dell’AI sulla salute mentale richiede studi più approfonditi per capire come queste tecnologie influenzino il benessere delle persone. Le aziende devono lavorare con psicologi ed esperti per progettare sistemi che supportino la salute mentale piuttosto che metterla a rischio, promuovendo al contempo una maggiore consapevolezza pubblica sull’uso sicuro dell’intelligenza artificiale.
L'articolo AI Mortale! Un Ragazzo di 14 anni si Toglie la vita dopo mesi di dialogo con un Chatbot proviene da il blog della sicurezza informatica.
FLOSS Weekly Episode 806: Manyfold — The Dopamine of Open Source
This week Jonathan Bennett and David Ruggles chat with James Smith about Manyfold, the self-hosted 3D print digital asset manager that’s on the Fediverse! Does it do live renders? Does it slice? Listen to find out!
youtube.com/embed/lePFVuZvY08?…
Did you know you can watch the live recording of the show Right on our YouTube Channel? Have someone you’d like us to interview? Let us know, or contact the guest and have them contact us! Take a look at the schedule here.
play.libsyn.com/embed/episode/…
Direct Download in DRM-free MP3.
If you’d rather read along, here’s the transcript for this week’s episode.
Places to follow the FLOSS Weekly Podcast:
hackaday.com/2024/10/23/floss-…
il problema non sono i bambini, ma i genitori di bambini, che hanno abdicato ormai al loro ruolo e sono solo "degli amici". come sul mare.... dove ti riempiono di rena e ti corrono a 4cm
era il commento a un link che parla di un albergo per soli adulti. dove c'è silenzio e pace.
ovviamente cancellato da facebook.
Silent Antenna Tuning
If you want to deliver the maximum power to a load — say from a transmitter to an antenna — then both the source and the load need to have the same impedance. In much of the radio communication world, that impedance happens to be 50Ω. But in the real world, your antenna may not give you quite the match you hoped for. For that reason, many hams use antenna tuners. This is especially important for modern radios that tend to fold their power output back if the mismatch is too great to protect their circuitry from high voltage spikes. But a tuner has to be adjusted, and often, you have to put a signal out over the air to make the adjustments to match your antenna to your transmitter.
There are several common designs of antenna tuners, but they all rely on some set of adjustable capacitors and inductors. The operator keys the transmitter and adjusts the knobs looking for a dip in the SWR reading. Once you know the settings for a particular frequency, you can probably just dial it back in later, but if you change frequency by too much or your antenna changes, you may have to retune.
It is polite to turn down the power as much as possible, but to make the measurements, you have to send some signal out the antenna. Or do you?
Several methods have been used in the past to adjust antennas, ranging from grid dip meters to antenna analyzers. Of course, these instruments also send a signal to the antenna, but usually, they are tiny signals, unlike the main transmitter, which may have trouble going below a watt or even five watts.
New Gear
However, a recent piece of gear can make this task almost trivial: the vector network analyzer (VNA). Ok, so the VNA isn’t really that new, but until recently, they were quite expensive and unusual. Now, you can pick one up for nearly nothing in the form of the NanoVNA.
The VNA is, of course, a little transmitter that typically has a wide range coupled with a power detector. The transmitter can sweep a band, and the device can determine how much power goes forward and backward into the device under test. That allows it to calculate the SWR easily, among other parameters.
In Practice
This sounds good, but how does it work? Well, to find out, I took a long wire connected to an MFJ Versa Tuner II and fed the NanoVNA’s TX port to the tuner. With the tuner in bypass, the screen looked like the first image. It actually had a pretty low SWR near 14 MHz, but everywhere else was not going to work very well at all.The antenna happened to have a natural dip on 20 meters. The range of measurement is 1 to 30 MHz.
The next step was to switch the tuner into the circuit. Ideally, you could infinitely vary the inductor and both capacitors, but making roller inductors is a cost, so many tuners — including this one — have switches that select taps on the inductor, meaning you can only change it in fixed steps. That isn’t usually a problem, though, because you can adjust the capacitors to make up for it.
Since you aren’t transmitting, there’s no rush, and you can easily switch things around and turn knobs until you can find a null. If you were using the actual transmitter, you’d want to avoid switching the inductor “hot” because the switch contacts won’t appreciate any high-power RF.The tuner created a few dips, one on the 40 meter band
I centered the frequency range around 7 MHz and found the lowest setting I could on the tuner. Then, I zoomed back out to the entire HF band. Not bad.
I went through and found null spots for all the ham bands. It was also possible to measure the SWR for bands I can’t transmit on (for example, 15 MHz, to listen to WWV).
Once I had jotted down all the settings, it was time to reconnect the transmitter. Well, technically, a transceiver — in this case, an Icom IC-7300. Even without transmitting, having the knobs adjusted correctly definitely helped with receiving, often strikingly so.
But Did It Really Work?
My first attempt was to use the frequency exactly where I had tuned before switching in the transmitter. As you’d expect, the transmitter saw a low SWR and had no issues, but changing frequencies was a little different.
The knobs on the tuner are not especially precise. Some high-end devices have multi-turn knobs with counters to help you get exactly back to some setting, but this tuner has no such thing. So when the dot on the knob is on, say, “2,” it is hard to know for sure if it is exactly where you had it last time it was in the same position.A quick CQ on 15 meters with questionable propagation conditions
However, you can get close. Changing frequencies and tuner settings would sometimes give me a great SWR, but sometimes it was a little high (never any more than, maybe, 1.5:1). A minor tweak of the two capacitors on the tuner would resolve it quite easily.
A quick CQ on 15 meters resulted in the map you can see from the reverse beacon network. The furthest away I was heard was a bit more than 1,800 miles away. Not bad for a fairly short wire hung over a tree. Subsequent testing on several bands resulted in many contacts across four continents in a few hours.
Takeaway
Do you need to use a VNA to tune? No, but it sure is handy. Sure, it generates a tiny signal, but nothing like your transmitter. I like tuning very quietly and precisely without risking the expensive final amplifiers in my station. A good tuner can load up almost anything, and while you won’t get the performance you would get out of a proper antenna, you can still get on the air and have a lot of fun.
Of course, the VNA can do other things too. It can characterize components and modules like filters. You can even use them as time domain reflectometers to troubleshoot cables. It is worth noting that while I took pictures of the VNA so you could see what it would look like, it is actually better to use one of several programs on your PC that can create graphs and data that would be easy to work with. For example, I often use this one.
Want more things to do with your VNA? You can even map antenna patterns with one.
Il Lato Oscuro delle Gare di Hacking in Cina! 540 CTF all’anno, Gare o Autentico Spionaggio?
Le gare di hacking “Capture the Flag” (CTF), che si tengono durante le conferenze sulla sicurezza informatica, hanno generalmente due scopi: permettere ai partecipanti di affinare le loro competenze e offrire ai datori di lavoro l’opportunità di scoprire nuovi talenti. Tuttavia, una competizione in Cina sembra aver portato questi eventi a un livello più controverso, con sospetti di utilizzo per operazioni di spionaggio.
Due ricercatori occidentali hanno studiato la “Zhujian Cup”, una competizione di hacking organizzata dalla Northwest University of Technology, e hanno notato particolari condizioni insolite che suggeriscono un possibile utilizzo dei partecipanti per attacchi su obiettivi reali.
A differenza delle tradizionali CTF che avvengono in ambienti simulati, questa competizione potrebbe essersi svolta su una rete reale.
Ai partecipanti è stato richiesto di firmare accordi di riservatezza che proibivano loro di discutere il lavoro svolto durante il concorso o di condividere informazioni sulle vulnerabilità scoperte. Inoltre, dovevano eliminare ogni traccia dei loro interventi sui sistemi attaccati, inclusi backdoor e dati acquisiti, una pratica inconsueta per i CTF.
L’università organizzatrice, nota per collaborare con il governo cinese e l’esercito, non ha risposto alle richieste di chiarimenti. Questo, insieme alle clausole di responsabilità legale per i partecipanti, ha sollevato ulteriori dubbi sui reali obiettivi della competizione.
I ricercatori Dakota Carey ed Eugenio Benincasa, che hanno presentato il loro rapporto alla conferenza LABScon, ritengono che ci sia un’alta probabilità che gli studenti abbiano partecipato a un attacco reale, anche se non ci sono prove concrete. Il contesto temporale del concorso, svolto durante le festività, potrebbe aver facilitato l’attacco approfittando della ridotta vigilanza delle reti di sicurezza.
La Cina, dal 2015, ha intensificato gli sforzi per formare specialisti in sicurezza informatica, utilizzando i CTF come strumento per migliorare le capacità offensive e difensive. Con oltre 540 competizioni organizzate dal 2014, ha creato uno degli ecosistemi di hacking più potenti al mondo.
I partecipanti di spicco vengono inseriti in un database nazionale, e i ricercatori sottolineano come la partecipazione a queste competizioni sia fortemente regolamentata, con la necessità di ottenere permessi governativi per partecipare a eventi all’estero.
L'articolo Il Lato Oscuro delle Gare di Hacking in Cina! 540 CTF all’anno, Gare o Autentico Spionaggio? proviene da il blog della sicurezza informatica.
facebook ha subito eliminato la pubblicazione di questo link
facta.news/articoli/le-pagine-…
Le pagine religiose su Facebook sono piene di “sbobba artificiale”
Ovvero: cosa succede se l’intelligenza artificiale si mette a fare catechismoAlexios Mantzarlis (Facta)
Guerra in Ucraina. Cosa ci fanno le truppe di Pyongyang in Russia?
@Notizie dall'Italia e dal mondo
[quote]Un russo e un nordcoreano vanno in Ucraina, mentre un europeo e un americano si chiedono se sia il caso di fare lo stesso. Benché suoni come una barzelletta, il rischio di un allargamento del conflitto in Ucraina continua a rappresentare una possibilità concreta. Durante una conferenza stampa al
Notizie dall'Italia e dal mondo reshared this.
Classic Heathkit OL-1 Scope Gets Some TLC
These days, not only are oscilloscopes very common, but even a cheap instrument today would have been the envy of the world’s greatest labs not that long ago. But back in the day, the home experimenter basically had two choices: buy a surplus scope that a big company was getting rid of or build a Heathkit. [Radiotvphononut] bought an old Heathkit OL-1 scope at an estate sale and set about putting it back in service.
If you are used to a modern scope, you’ll be amazed at how simple a scope like this can be. A handful of tubes and a CRT is the bulk of it. Of course, the OL-1 is an analog scope with a 400 kHz bandwidth. It did, however, have two channels, which was a rarity at the time.
The OL-1 was sold for a few years up to 1956 and cost about $30 as a kit. There was a version with a larger screen (five whole inches) that cost an extra $40, so you can bet there were more OL-1s sold since $40 was a big ask in 1956. While they don’t seem like much today, you were probably the envy of the ham club in 1956 when you lugged this in for show and tell.
This is a long video, but it pays off at the end. Overall, this was a more capable scope than the $66 scope from 10 years earlier we looked at. Did you ever wonder how people visualized signals before the CRT? Funny, we did too.
youtube.com/embed/pg3CfM-5Vx8?…
L’emendamento della Lega: “Le norme italiane prevalgano rispetto a quelle europee”
@Politica interna, europea e internazionale
“Le norme italiane prevalgano rispetto a quelle europee”. Lo prevede un emendamento presentato dalla Lega al disegno di legge costituzionale sulla separazione delle carriere dei magistrati. A confermarlo all’Ansa è il deputato Igor Iezzi, capogruppo della Lega
Politica interna, europea e internazionale reshared this.
like this
reshared this
Will .IO Domain Names Survive A Geopolitical Rearrangement?
The Domain Name System (DNS) is a major functional component of the modern Internet. We rely on it for just about everything! It’s responsible for translating human-friendly domain names into numerical IP addresses that get traffic where it needs to go. At the heart of the system are the top-level domains (TLDs)—these sit atop the whole domain name hierarchy.
You might think these TLDs are largely immutable—rock solid objects that seldom change. That’s mostly true, but the problem is that these TLDs are sometimes linked to real-world concepts that are changeable. Like the political status of various countries! Then, things get altogether more complex. The .io top level domain is the latest example of that.
A Brief History
ICANN is the organization in charge of TLDs.
Before we get into the current drama, we should explain some background around top level domains. Basically, as the Internet started to grow out of its early nascent form, there was a need to implement a proper structured naming system for online entities. In the mid-1980s, the Internet Assigned Numbers Authority (IANA) introduced a set of original top level domains to categorize domain names. These were divided into two main types—generic top-level domains, and country code top-level domains. The generic TLDs are the ones we all know and love—.com, .org, .net, .edu, .gov, and .mil. The country codes, though, were more complex.
Initially, the country codes were based around the ISO 3166-1 alpha-2 standard—two letter codes to represent all necessary countries. These were, by and large, straightforward—the United Kingdom got .uk, Germany got .de, the United States got .us, and Japan got .jp.
Eventually, management of TLDs was passed from IANA to a new organization called ICANN—Internet Corporation for Assigned Names and Numbers. Over time, ICANN has seen fit to add more TLDs to the official list. That’s why today, you can register a domain with a .biz, .info, or .name registration. Or .horse, .Dad, .Foo, or so many others besides. Wikipedia maintains an interactive decoding table that covers the full ISO 3166-1 alpha-2 code space, as used to designate ccTLDs. Credit: Wikipedia
What’s With .io?
The official logo of the .io ccTLD. The Internet Computer Bureau Ltd. is the registry organization in charge of it.
Over the past 20 years or so, the .io domain has become particularly popular with the tech set—the initialism recalls the idea of input/output. Thus, you have websites like Github.io or Hackaday.io using a country-code TLD for vanity purposes. It’s pretty popular in the tech world.
This was never supposed to be the case, however. The domain was originally designated for the British Indian Ocean Territory, all the way back in 1997. This is a small overseas territory of the United Kingdom, which occupies a collection of islands of the Chagos Archipelago. Total landmass of the territory is just 60 square kilometers. The largest island is Diego Garcia, which plays host to a military facility belonging to the UK and the United States. Prior to their removal by British authorities in 1968, the island played host to a population of locals known as Chagossians.The flag of the British Indian Ocean Territory. Not even kidding.
The territory has been the subject of some controversy, often concerning the Chagossians and their wish to return to the land. More recently, the Mauritian government has made demands for the British government to relinquish the islands. The East African nation considers that the islands should have been handed back when Mauritius gained independence in 1968.
Recent negotiations have brought the matter to a head. On October 3, the British and Mauritius governments came to an agreement that the UK would cede sovereignty over the islands, and that they would hence become part of Mauritius. The British Indian Ocean Territory would functionally cease to exist, though the UK would maintain a 99-year lease over Diego Garcia and continue to maintain the military facility there.
The key problem? With the British Indian Ocean Territory no longer in existence, it would thus no longer be eligible for a country-code TLD. According to IANA, ccTLDs are based on the ISO 3166-1 standard. When a country ceases to exist, it is removed from the standard, and thus, the ccTLD is supposed to be retired in turn. IANA states protocol is to notify the manager of the ccTLD and remove it after five years by default. Managers can ask for an extension, limited to another five years for a total of ten years maximum. Alternatively, a ccTLD manager may allow the domain to be retired early at their own discretion.
However, as per The Register, the situation is more complex. The outlet spoke to ICANN, which is the organization actually in charge of declaring valid TLDs. A spokesperson provided the following comment:
ICANN relies on the ISO 3166-1 standard to make determinations on what is an eligible country-code top-level domain. Currently, the standard lists the British Indian Ocean Territory as ‘IO’. Assuming the standard changes to reflect this recent development, there are multiple potential outcomes depending on the nature of the change.One such change may involve ensuring there is an operational nexus with Mauritius to meet certain policy requirements. Should ‘IO’ no longer be retained as a coding for this territory, it would trigger a 5-year retirement process described at [the IANA website], during which time registrants may need to migrate to a successor code or an alternate location.
We cannot comment on what the ISO 3166 Maintenance Agency may or may not do in response to this development. It is worth noting that the ISO 3166-1 standard is not just used for domain names, but many other applications. The need to modify or retain the ‘IO’ encoding may be informed by needs associated with those other purposes, such as for Customs, passports, and banking applications.
The Chagos Archipelago is, genuinely, a long way from everywhere. Credit: TUBS, CC BY-SA 3.0
Basically, ICANN passed the buck, putting the problem at the feet of the International Standards Organization which maintains ISO 3166-1. If the ISO standard maintains the IO designation for some reason, it appears that ICANN would probably follow suit. If ISO drops it for some reason, it could be retired as a ccTLD.
The Register notes that the .io record in ISO 3166-1 has not changed since a minor update in 2018. Any modification by ISO would be unlikely before the treaty between the UK and Mauritius is ratified in 2025. At that point, the five year clock could start ticking.
However, history is a great educator in this regard. There’s another grand example of a country that functionally ceased to exist. In 1991, the Soviet Union was no longer a going concern. And yet, the .su designation remains “exceptionally reserved” in the ISO 3166-1 standard at the request of the Foundation for Internet Development. However, the entry notes it was “removed from ISO 3166-1 in 1992” when the USSR broke up into its constituent states. Those states were all given their own country codes, except for Ukraine and Belarus, which had already entered ISO 3166 before this point..su domains are still very much a going concern, 33 years after the fall of the Soviet Union.
But can you still get a .su domain? Well, sure! Netim.com will happily register one for you. A number of websites still use the TLD, like this one, and it has reportedly become a popular TLD for cybercriminal activity. The current registry is the Russian Institute for Public Networks, and .su domains persist despite efforts by ICANN to end its use in 2007.
Given .io is so incredibly popular, it’s unlikely to disappear just because of some geopolitical changes. Even if it were to be designated for retirement, it would probably stick around for another five to ten years based on existing regulations. More likely, though, special effort will be made to officially reserve .io for continued use. Heck, even if ISO drops it, it could become a regular general TLD instead. If .pizza can be a domain, surely .io can be as well.
Long story short? There are questions around the future of .io, but nothing’s been decided yet. Expect vested interests to make sure it sticks around for the foreseeable future.
Massa non-massa – Giovanni Malagodi
@Politica interna, europea e internazionale
Massa non-massa è il manifesto dei liberali italiani scritto nel 1962 dal loro riconosciuto leader: Giovanni Malagodi . Il libro non era più in circolazione. La Fondazione Luigi Einaudi ha deciso di rieditarlo in questa elegante pubblicazione arricchita dalla presentazione del nostro Presidente Giuseppe Benedetto e dalla prefazione del
Politica interna, europea e internazionale reshared this.
Sulla sesta generazione, Parigi e Berlino tengono il piede in due staffe
@Notizie dall'Italia e dal mondo
[quote]Che i programmi congiunti franco-tedeschi non abbiano vita facile non è una novità. Il binomio che nei decenni ha visto Francia e Germania tentare di sviluppare piattaforme comuni ha sempre risentito dello stesso problema: ottimale sulla carta e disfunzionale nella pratica. Il valzer tra Parigi
Notizie dall'Italia e dal mondo reshared this.
Ministero della Cultura, si dimette il capo di gabinetto Francesco Spano: c’entra la nuova inchiesta di Report?
@Politica interna, europea e internazionale
Francesco Spano, capo di gabinetto del ministro della Cultura Alessandro Giuli, si è dimesso. L’annuncio è arrivato nel primo pomeriggio di oggi, mercoledì 23 ottobre. Tra i motivi alla base del passo indietro ci sarebbe il
Politica interna, europea e internazionale reshared this.
Down per il 112, il Numero Unico Europeo per le Emergenze. Si tratta di un certificato scaduto
Un disservizio al sito 112.gov.itha bloccato l’accesso degli utenti, mostrando vari avvisi di sicurezza. Inizialmente, i browser avvertono che “la connessione non è privata”, segnalando rischi per i dati sensibili.
Successivamente, viene riportato un certificato SSL del sito è scaduto, impedendo una connessione sicura. Questo errore è dovuto alla mancata validità del certificato SSL, scaduto, mettendo in evidenza una falla nella sicurezza e richiedendo un’urgente risoluzione.
Per ripristinare il servizio, è necessario rinnovare il certificato SSL e installarne uno di nuova validità. Questo garantirà nuovamente la sicurezza della connessione, eliminando gli avvisi di pericolo dai browser.
Il 112 è il numero unico di emergenza europeo, attivo in molti paesi per contattare le forze dell’ordine, i vigili del fuoco o i soccorsi medici. Funziona 24/7 per gestire situazioni critiche come incidenti o calamità naturali, facilitando un intervento rapido ovunque.
L’inaccessibilità di un sito come 112.gov.it può ritardare l’informazione e il supporto emergenziale, rendendo fondamentale risolvere il disservizio in tempi rapidi per non compromettere l’efficienza del sistema di emergenza.
L'articolo Down per il 112, il Numero Unico Europeo per le Emergenze. Si tratta di un certificato scaduto proviene da il blog della sicurezza informatica.
Marco
in reply to Cybersecurity & cyberwarfare • • •rag. Gustavino Bevilacqua
in reply to Marco • • •@Batarea
Il fatto è che con 300 ore di manodopera, circa un mese e mezzo di lavoro, ne compro uno¹ già perfettamente calibrato, che ha solo la spina da infilare, e se qualcosa non va mi basta fare un salto a Olgiate Olona (più comodo che Shenzen) per farmelo mettere a posto, possibilmente in garanzia.
E sono certo di risparmiare tante bestemmie!
Però il progetto è carino 😍
¹ #NotSponsored damatomacchine.com/it/torni-pe…
Tornio per Metalli Newton 25 Plus 2 DRO - Damatomacchine
DamatomacchineCybersecurity & cyberwarfare likes this.
reshared this
Oblomov e Cybersecurity & cyberwarfare reshared this.