Salta al contenuto principale


🎥 Da oggi al 6 novembre Palermo ospiterà le Giornate Nazionali del Cinema per la Scuola 2024! La manifestazione è promossa dal #MIM e dal Ministero della Cultura in collaborazione con l’Anec, nell’ambito delle attività previste dal Piano Nazionale Ci…
#MIM


Ritrovare 2 milioni di Dollari in Bitcoin! La storia dell’hacker Joe Grand e del portafoglio USB sbloccato


Nel 2022, Joe Grand, noto come “Kingpin“, ha ricevuto una richiesta di assistenza per recuperare il PIN dimenticato di un portafoglio USB Trezor. Grand, un esperto di hacking hardware con una lunga carriera iniziata a soli 10 anni, ha accettato la sfida. Utilizzando avanzate tecniche di analisi hardware, è riuscito a sbloccare il dispositivo e a recuperare l’accesso, restituendo al cliente criptovalute per un valore di 2 milioni di dollari.

Nel frattempo, un utente anonimo chiamato “Michael” stava cercando di recuperare l’accesso a un vecchio portafoglio software, in cui aveva immagazzinato 43,6 BTC (circa $5.600 all’epoca, ma di valore molto maggiore in seguito). Michael, all’epoca molto attento alla sicurezza, aveva generato una password tramite RoboForm e crittografato il file con TrueCrypt. Tuttavia, un anno dopo, scoprì che il file era corrotto e che la password non era più accessibile. Considerando tollerabile la perdita, Michael decise di lasciar perdere.

Con il vertiginoso aumento del valore del Bitcoin dieci anni dopo, Michael tentò nuovamente di recuperare il portafoglio, ma dopo diversi rifiuti da parte di esperti di crittoanalisi, si rivolse a Joe Grand. Sebbene inizialmente Grand avesse rifiutato la richiesta, accettò di analizzare il caso dopo ulteriori contatti. Collaborando con un collega tedesco, Bruno, i due iniziarono il reverse engineering di una vecchia versione di RoboForm del 2013. Scoprirono che il generatore di numeri pseudo-casuali del programma era vulnerabile, generando password basate sulla data e sull’ora.

youtube.com/embed/o5IySpAkThg?…

Purtroppo, Michael non ricordava la data precisa di creazione della password. Dopo aver consultato i registri del portafoglio, Grand e Bruno ipotizzarono che la password fosse stata generata intorno ad aprile 2013, ma i tentativi iniziali non diedero risultati. Durante una seconda analisi, Michael si ricordò di un’ulteriore password creata nello stesso periodo, il che offrì una nuova pista. Nel novembre successivo, i tre si incontrarono in Europa, e Grand e Bruno riuscirono finalmente a sbloccare il portafoglio.

Secondo Grand, la vulnerabilità era dovuta alle vecchie versioni di RoboForm; dal 2015 in poi, il software potrebbe aver modificato il suo generatore di numeri pseudo-casuali, rendendo impossibile sfruttare la stessa tecnica. La società sviluppatrice, Siber, non ha risposto alle richieste di chiarimenti sul cambio di specifiche e sulla possibilità di ricreare le password.
23917307
Dopo il successo, Grand e Bruno restituirono la password a Michael, che, una volta raggiunti i 62.000 $/BTC, vendette parte dei suoi bitcoin, mantenendone 30.

L'articolo Ritrovare 2 milioni di Dollari in Bitcoin! La storia dell’hacker Joe Grand e del portafoglio USB sbloccato proviene da il blog della sicurezza informatica.



Khamenei: «Risposta devastante a Israele». Timori a Baghdad


@Notizie dall'Italia e dal mondo
Il premier iracheno Al Soudani tenta di tenere il paese a distanza dallo scontro diretto con Tel Aviv, uno sforzo che difficilmente raggiungerà l'obiettivo
L'articolo Khamenei: «Risposta pagineesteri.it/2024/11/04/med…



Da Sigonella decolla il maxi-drone “Triton” di US Navy diretto in Medioriente


@Notizie dall'Italia e dal mondo
La Marina Militare degli Stati Uniti d’America invia nel Mediterraneo orientale uno dei maxi-droni Northrop Grumman MQ-4C “Triton” di stanza a Sigonella per svolgere missioni di intelligence e sorveglianza
L'articolo Da Sigonella decolla il maxi-drone



Oggi #4novembre si celebra il Giorno dell'Unità Nazionale e la Giornata delle Forze Armate, ricorrenza istituita per commemorare i soldati caduti durante la Prima Guerra Mondiale.


How to Shoot Actors with Arrows Sans CGI


Three 3D printed, spring loaded contraptions sit on a wooden shield. There are arrow shafts connected to the end and a piece of monofilament fishing line extending away from them and through a small eyelet at the edge of. the shield.

Today, movie effects are mostly done in CGI, especially if they’re of the death-defying type. [Tyler Bell] shows us how they shot actors with arrows before CGI.

Almost every medieval movie has someone getting shot with an arrow, but how do you do that non-destructively? [Bell] shows us two primary methods that were used, the pop up rig and steel pronged arrows. The pop up rig is a spring loaded device with one end of an arrow attached that pops up when a mechanism is triggered. [Bell] 3D printed his own version of the mechanism and shows us how it can be used to great effect on shots from the side or rear of the victim.

But what about straight on shots where the rig would be blatantly obvious? That’s when you get to actually shoot the actor (or their stunt double anyway). To do this safely, actors would wear wooden body armor under their costumes and arrows with two small prongs would be shot along a wire into the desired impact site. We appreciate [Bell] using a mannequin for testing before letting his brother shoot him with an arrow. That’s definitely the next level above a trust fall.

We even get a look at using air cannons to launch arrow storms at the end which is particularly epic. Looking for more movie magic? How about the effects from King Kong or Flight of the Navigator?

Thanks to [Xerxes3rd] on Discord for the tip!

youtube.com/embed/D3BxILDpT6k?…


hackaday.com/2024/11/04/how-to…



La Soluzione Anti-Ransomware Tutta Italiana: Alla Scoperta di Cubbit


Il ransomware rappresenta una minaccia globale crescente, causando danni significativi a infrastrutture critiche e perdite finanziarie ingenti. Recenti attacchi hanno colpito una grande compagnia assicurativa sanitaria negli Stati Uniti, paralizzando ospedali e farmacie, e il Porto di Nagoya in Giappone, evidenziando la vulnerabilità di servizi essenziali. Si stima che dal 2021 negli Stati Uniti siano stati identificati oltre 4.900 attacchi ransomware, con pagamenti di riscatto che superano i 3 miliardi di dollari.

Le criptovalute facilitano queste attività illecite, permettendo il trasferimento e il riciclaggio di fondi ottenuti illegalmente. Paesi come la Russia offrono rifugio ai cybercriminali e ostacolano l’estradizione, mentre la Corea del Nord utilizza il ransomware come fonte di finanziamento, eludendo le sanzioni internazionali e generando entrate stimate in oltre 3 miliardi di dollari.

Per affrontare efficacemente questa minaccia, è necessaria una forte azione di prevenzione. Le aziende devono adottare misure proattive di sicurezza informatica, come backup regolari, crittografia dei dati e autenticazione a più fattori. Inoltre, è cruciale che le aziende investano nella formazione del personale per riconoscere e rispondere efficacemente alle minacce informatiche. La consapevolezza dei dipendenti riguardo ai rischi del phishing e di altre tattiche utilizzate dai criminali informatici può ridurre significativamente le vulnerabilità interne. Implementare protocolli di sicurezza rigorosi e aggiornare regolarmente i sistemi operativi e i software può prevenire molte forme di attacco.

Le imprese dovrebbero anche stabilire piani di risposta agli incidenti, permettendo una reazione rapida in caso di violazione. Questo include l’identificazione tempestiva dell’attacco, l’isolamento dei sistemi compromessi e la comunicazione con le autorità competenti. Collaborare con altre organizzazioni e condividere informazioni sulle minacce emergenti può contribuire a creare un fronte comune contro i cybercriminali.

Cubbit: l’innovazione italiana che rivoluziona la sicurezza dei dati aziendali


Nel panorama sempre più complesso della sicurezza informatica, le aziende cercano soluzioni affidabili per proteggere i propri dati da minacce come il ransomware e altre forme di cyber-attacchi. Cubbit, un’azienda bolognese fondata nel 2016, si è affermata come una delle risposte più innovative ed efficaci a queste sfide, offrendo un servizio di cloud storage geo-distribuito che sta conquistando l’Europa.

Un’architettura rivoluzionaria per una sicurezza senza precedenti


A differenza dei tradizionali servizi cloud che concentrano i dati in pochi data center, Cubbit ha sviluppato un’architettura geo-distribuita unica nel suo genere. Questo significa che i dati non vengono mai memorizzati integralmente in un singolo luogo. Al contrario, ogni file viene crittografato, frammentato e replicato su una rete di nodi distribuiti su tutto il territorio nazionale.

Questo approccio offre diversi vantaggi significativi:

  • Massima sicurezza dei dati: anche se un cybercriminale riuscisse ad accedere a uno dei nodi, troverebbe solo frammenti criptati di dati, impossibili da decifrare senza le chiavi appropriate. Non esiste una corrispondenza diretta tra un singolo dato e un nodo specifico, rendendo praticamente impossibile il furto o la compromissione delle informazioni.
  • Resilienza straordinaria: la distribuzione geografica dei dati protegge le aziende non solo dagli attacchi informatici, ma anche da eventi fisici come incendi, alluvioni o altri disastri naturali. In caso di inattività di un nodo, il sistema ridistribuisce automaticamente i frammenti di dati agli altri nodi attivi, garantendo la continuità del servizio senza interruzioni.

Grazie a questa architettura, Cubbit raggiunge una durabilità dei dati fino a 15 9 (99,9999999999999%), superando di diecimila volte gli standard di settore che si attestano su 11 9. Questo livello di affidabilità assicura alle aziende che i propri dati siano protetti in modo eccellente contro qualsiasi tipo di perdita o danneggiamento.
23904754

Protezione avanzata contro il ransomware e conformità normativa


Nel contesto attuale, gli attacchi ransomware rappresentano una delle minacce più gravi per le aziende di tutte le dimensioni. Cubbit affronta questo problema integrando funzionalità avanzate come il versioning e l’object lock:

  • Versioning dei file: questa funzionalità permette di conservare più versioni di un singolo file. In caso di attacco ransomware, l’azienda può facilmente ripristinare una versione precedente non compromessa, evitando così di dover pagare riscatti o perdere dati critici.
  • Object Lock: consente di bloccare i file, impedendo qualsiasi modifica o cancellazione non autorizzata per un periodo definito dall’utente. Questo garantisce un ulteriore livello di protezione sia contro attacchi malevoli che contro errori umani.


23904756
Oltre alla sicurezza, Cubbit pone grande attenzione alla conformità normativa. Grazie alla tecnologia di geofencing, le aziende possono controllare esattamente dove i propri dati sono archiviati, assicurando che rimangano all’interno dei confini nazionali. Questo è fondamentale per rispettare regolamenti come GDPR, NIS2 e altre normative sulla protezione dei dati.

Cubbit ha ottenuto numerose certificazioni internazionali che attestano il suo impegno verso i più alti standard di sicurezza e qualità:

  • ISO 9001:2015 per la gestione della qualità.
  • ISO/IEC 27001:2013 per la sicurezza delle informazioni.
  • ISO/IEC 27017:2015 per la sicurezza nei servizi cloud.
  • ISO/IEC 27018:2019 per la protezione dei dati personali nel cloud.

Inoltre, ha ricevuto il Cybersecurity Made in Europe Label, riconoscimento che sottolinea l’eccellenza dell’azienda nel campo della cybersecurity a livello continentale. Audit periodici condotti da terze parti indipendenti assicurano il mantenimento costante di questi elevati standard.

Flessibilità e integrazione senza complicazioni


Una delle caratteristiche distintive di Cubbit è la sua facilità d’uso. La piattaforma è progettata per essere compatibile con qualsiasi client S3, il che significa che le aziende non devono affrontare curve di apprendimento ripide o modificare i propri flussi di lavoro esistenti. Questa compatibilità consente un’integrazione senza soluzione di continuità con le infrastrutture IT già in uso.

Le aziende possono sfruttare Cubbit per una varietà di esigenze operative:

  • Backup off-site automatizzati: proteggere i dati critici con copie di sicurezza esterne, garantendo il ripristino rapido in caso di necessità.
  • Collaborazione sicura: condividere informazioni su macchine virtuali o sistemi NAS on-premise in modo protetto, facilitando il lavoro in team anche da remoto.
  • Conservazione documentale a lungo termine: implementare strategie di archiviazione che rispettino le normative vigenti, assicurando l’accessibilità dei dati nel tempo.


Una scelta affidabile per aziende pubbliche e private


La reputazione di Cubbit è testimoniata dalla fiducia che oltre 350 organizzazioni in Europa hanno riposto nei suoi servizi. Tra queste, importanti enti come Leonardo, Granarolo, Amadori e il gigante della cybersecurity francese Exclusive Networks hanno scelto Cubbit per proteggere i propri dati sensibili.

La disponibilità sulla piattaforma MePA (Mercato Elettronico della Pubblica Amministrazione) e la qualifica ACN (Agenzia per la Cybersicurezza Nazionale, ex AgID) rendono inoltre Cubbit una soluzione ideale non solo per le aziende private ma anche per le istituzioni pubbliche che necessitano di elevati standard di sicurezza e conformità.

Perché scegliere Cubbit per la sicurezza dei tuoi dati


In un’epoca in cui le minacce informatiche sono in costante evoluzione, affidarsi a soluzioni innovative e robuste è fondamentale per la protezione del patrimonio digitale aziendale. Cubbit offre:

  • Sicurezza avanzata: grazie all’architettura geo-distribuita e alle funzionalità anti-ransomware, i tuoi dati sono protetti su più livelli.
  • Conformità garantita: strumenti come il geofencing assicurano il rispetto delle normative sulla protezione dei dati, sia a livello nazionale che europeo.
  • Flessibilità operativa: la compatibilità con i client S3 e l’assenza di necessità di apprendere nuovi software rendono l’adozione di Cubbit semplice e immediata.
  • Affidabilità certificata: le numerose certificazioni internazionali e gli audit di terze parti attestano l’impegno costante di Cubbit verso l’eccellenza.

In collaborazione con i responsabili IT di oltre 200 aziende, Cubbit ha redatto la guida anti-ransomware 2024.

Scarica gratis la guida anti-ransomware 2024.

L'articolo La Soluzione Anti-Ransomware Tutta Italiana: Alla Scoperta di Cubbit proviene da il blog della sicurezza informatica.



La Cina Sviluppa Intelligenza Artificiale Militare partendo dai Modelli Llama 2 di Meta


Gli istituti di ricerca cinesi affiliati all’Esercito popolare di liberazione (PLA) hanno iniziato a utilizzare il modello Llama 2 di Meta per sviluppare il proprio strumento di intelligenza artificiale (AI) per applicazioni di difesa e polizia. La ricerca mostra che il modello Llama 2, originariamente disponibile di pubblico dominio, è diventato la base per la creazione di un’intelligenza artificiale militarizzata nota come ChatBIT.

A giugno, scienziati cinesi di tre diverse istituzioni, tra cui l’Accademia delle scienze militari del PLA, hanno pubblicato un articolo in cui descrivevano come avevano adattato il modello Llama per scopi di raccolta e analisi di intelligence. La loro versione è stata ottimizzata per il dialogo e per rispondere a domande volte a supportare le decisioni operative in ambito militare. Secondo lo studio, ChatBIT mostra livelli di prestazioni simili a ChatGPT-4 di OpenAI.

Gli sviluppatori del progetto sottolineano che ChatBIT contiene finora solo 100mila registrazioni di dialoghi militari, un numero relativamente piccolo rispetto ad altri modelli linguistici. Tuttavia, stanno pianificando un ulteriore sviluppo per utilizzare ChatBIT per la pianificazione strategica, la modellazione e il supporto decisionale del team.

Inoltre, la Cina utilizza attivamente l’intelligenza artificiale per scopi di sicurezza interna. Altri studi rilevano che il modello di Llama è già stato utilizzato per analizzare i dati relativi alle esigenze della polizia per migliorare il processo decisionale in materia di sicurezza pubblica. Ad aprile, la pubblicazione statale PLA Daily ha evidenziato come l’intelligenza artificiale potrebbe accelerare lo sviluppo delle armi, migliorare le simulazioni di combattimento e migliorare l’efficienza dell’addestramento militare.

Gli esperti occidentali sottolineano che l’uso delle tecnologie di intelligenza artificiale occidentali da parte di specialisti cinesi può contribuire a ridurre il divario tecnologico tra Cina e Stati Uniti. Ad esempio, la società cinese AVIC, affiliata al PLA, ha utilizzato Llama 2 per sviluppare strategie di contromisure elettroniche aviotrasportate.

Meta, a sua volta, ha una politica di libero accesso ai suoi modelli di intelligenza artificiale, ma impone alcune restrizioni, vietando l’uso di queste tecnologie per scopi militari, di intelligence o nucleari. Tuttavia, a causa della natura pubblica di questi modelli, l’applicazione delle condizioni d’uso rimane limitata.

L'articolo La Cina Sviluppa Intelligenza Artificiale Militare partendo dai Modelli Llama 2 di Meta proviene da il blog della sicurezza informatica.



Ma quali Hacker! Gli Attori dello Spygate Sono Veri Insider Threats


Quando si parla di cybercrime, la mente va subito alle cyber gang criminali che violano i sistemi dall’esterno. Premesso che il significato di “hacker” oggi lo abbiamo completamente ridefinito, una minaccia altrettanto pericolosa, proviene dall’interno delle organizzazioni: si tratta dei cosiddetti insider” o dipendenti infedeli.

Studi recenti e diversi casi di cronaca tutti italiani sottolineano come sia sempre più diffuso oggi un mercato nero disposto a pagare somme ingenti per ottenere dati sensibili di aziende e istituzioni direttamente dall’interno.

Gli insider, infatti, possiedono già le autorizzazioni necessarie, consentendo loro di accedere facilmente alle informazioni riservate, riducendo la necessità di complessi attacchi di hacking dall’esterno.

Casi di Insider Threat in Italia


In Italia, uno dei casi più eclatanti è stato quello riguardante la scoperta di una rete di spionaggio informatico che ha coinvolto vari individui e istituzioni, compromettendo circa 800 mila dossier e vedendo 51 indagati, tra cui persino funzionari pubblici e database istituzionali.

Un altro caso recente ha visto Carmelo Miano, accedere alla casella di posta di ben 46 magistrati, tra cui Nicola Grattieri, grazie al possesso delle loro credenziali. Sebbene in questo caso l’hacking è una parola più vicina ai fatti anche in questo fatto di cronaca il fenomeno dell’insider threat risulta importante.

Infatti entrambi gli episodi rivelano quanto oggi sia vulnerabile il sistema di sicurezza interno quando le credenziali vengono abusate o vendute.

Chi sono i dipendenti infedeli?


Per dipendenti infedeli si intendono coloro che, per motivi personali, economici o ideologici, utilizzano la propria posizione all’interno dell’organizzazione per accedere e divulgare informazioni riservate o sensibili. Questo fenomeno è noto come insider threat ed è considerato tra le minacce più difficili da gestire. I dipendenti infedeli possono vendere i dati a competitor o a cybercriminali, esponendo le aziende a gravi rischi legali e reputazionali.

Le aziende, quindi, devono adottare strategie per identificare e gestire questi rischi. Alcune pratiche comuni includono il monitoraggio delle attività, l’implementazione di strumenti per rilevare l’uso anomalo delle credenziali, e la sensibilizzazione dei dipendenti sulla protezione dei dati e sull’etica aziendale.

Inoltre, è fondamentale ricordare che i dipendenti sono una risorsa preziosa e, se dotati di accessi amministrativi a sistemi critici, non dovrebbero essere forniti da aziende terze o subappaltatori, ma dovrebbero far parte del personale interno dell’organizzazione.

Come limitare gli Insider threat


Gli insider threat rappresentano una delle sfide più insidiose per la sicurezza delle informazioni, poiché coinvolgono dipendenti o collaboratori che, a causa di malintesi, vendetta o semplicemente negligenza, possono compromettere la sicurezza dei dati aziendali. Tuttavia, le organizzazioni che operano in Europa devono affrontare anche sfide legate alla conformità con le normative sulla protezione dei dati, in particolare il Regolamento generale sulla protezione dei dati (GDPR).

Limitazioni al Monitoraggio nella Comunità Europea


In Europa, il monitoraggio delle attività dei dipendenti è soggetto a regolamenti rigorosi. Il GDPR stabilisce vari principi fondamentali:

  1. Principio di Trasparenza: Le organizzazioni devono informare i dipendenti riguardo alle pratiche di monitoraggio e giustificare la necessità di tali misure. Questo implica che i dipendenti debbano essere a conoscenza di quali dati vengono raccolti e come verranno utilizzati.
  2. Limitazione delle Finalità: I dati raccolti per il monitoraggio devono essere utilizzati esclusivamente per scopi specifici, legittimi e definiti. Non è consentito l’uso di dati per finalità diverse rispetto a quelle dichiarate.
  3. Proporzionalità e Necessità: Qualsiasi misura di monitoraggio deve essere proporzionata rispetto agli obiettivi da raggiungere. Ciò significa che il monitoraggio deve essere giustificato e non deve violare la privacy dei dipendenti più del necessario.
  4. Minimizzazione dei Dati: Le organizzazioni devono raccogliere solo i dati strettamente necessari per il monitoraggio, evitando la raccolta di informazioni superflue.
  5. Diritti degli Interessati: I dipendenti hanno diritti specifici riguardo ai propri dati personali, inclusi i diritti di accesso, rettifica e cancellazione. Le organizzazioni devono garantire che questi diritti siano rispettati.


Sistemi e Pratiche per Limitare gli Insider Threat


Nonostante le limitazioni legali, esistono diverse strategie che le organizzazioni possono implementare per limitare gli insider threat, garantendo al contempo la conformità alle normative europee.

  1. Data Loss Prevention (DLP): Implementare soluzioni DLP per monitorare e controllare l’accesso ai dati sensibili. Questi sistemi possono impedire la trasmissione non autorizzata di informazioni critiche, fornendo un ulteriore strato di sicurezza.
  2. Monitoraggio delle Attività: Utilizzare sistemi di logging e monitoring delle attività degli utenti. È essenziale che questi strumenti siano configurati per rispettare la privacy dei dipendenti e che vengano comunicati chiaramente agli utenti.
  3. Analisi del Comportamento degli Utenti (UBA): Implementare strumenti di analytics per analizzare il comportamento degli utenti e identificare attività anomale. Questi strumenti possono aiutare a rilevare comportamenti sospetti prima che si traducano in danni.
  4. Controllo degli Accessi Basato su Ruoli (RBAC): Implementare un sistema di accesso basato su ruoli che garantisca che i dipendenti abbiano accesso solo alle informazioni necessarie per le loro mansioni. Questo riduce il rischio di accessi non autorizzati ai dati sensibili.
  5. Implementazione della Multi-Factor Authentication (MFA): Integrare l’autenticazione a più fattori per aggiungere un ulteriore livello di sicurezza agli accessi ai sistemi critici. La MFA richiede agli utenti di fornire due o più forme di identificazione, riducendo significativamente il rischio di accessi non autorizzati anche in caso di compromissione delle credenziali. Questa misura non solo protegge i dati sensibili, ma promuove anche una cultura della sicurezza all’interno dell’organizzazione.
  6. Formazione e Sensibilizzazione: Offrire programmi di formazione regolari per educare i dipendenti sui rischi associati agli insider threat e sulle migliori pratiche di sicurezza. La consapevolezza dei dipendenti può ridurre il rischio di comportamenti involontari che potrebbero compromettere la sicurezza.
  7. Implementazione di una Politica di Sicurezza dei Dati: Stabilire politiche chiare riguardanti la gestione e la protezione dei dati, assicurando che i dipendenti comprendano le loro responsabilità e le conseguenze di violazioni.
  8. Procedure di Risposta agli Incidenti: Avere un piano di risposta agli incidenti che includa protocolli per affrontare potenziali insider threat. Questo piano dovrebbe prevedere procedure per l’identificazione, la segnalazione e la gestione degli incidenti.
  9. Audit e Valutazioni di Sicurezza: Condurre regolarmente controlli di sicurezza per garantire che le politiche e le pratiche siano efficaci e conformi alle normative.


Conclusione


Limitare gli insider threat in un contesto normativo come quello europeo richiede un approccio bilanciato che consideri sia la necessità di sicurezza che i diritti dei dipendenti. Implementando misure adeguate e pratiche di monitoraggio consapevoli, le organizzazioni possono proteggere le loro informazioni sensibili senza compromettere la privacy e i diritti dei lavoratori. La chiave è adottare un approccio proattivo e integrato alla sicurezza dei dati, che rispetti le normative vigenti e promuova una cultura della sicurezza all’interno dell’organizzazione.

L'articolo Ma quali Hacker! Gli Attori dello Spygate Sono Veri Insider Threats proviene da il blog della sicurezza informatica.



RHC Intervista a Herm1t! Come un Hacker ha Combattuto per la Libertà dell’Ucraina


Questa è la storia di Herm1t, fondatore di VX-Heaven, hacker attivo nella difesa dell’Ucraina dal 2014 e fondatore di RUH8 nell’autunno del 2015, raccontata per mezzo di un’intervista che ha voluto focalizzarsi sulla sua storia, sui suoi valori e sui suoi obiettivi, cercando di comprendere anche quali sono gli elementi più importanti che contraddistinguono la guerra informatica in atto tra Russia e Ucraina..

Tempo fa, nell’articolo/intervista a smelly di VX-Underground abbiamo esplorato un mondo sotterraneo che ha come obiettivo quello di portare alla luce più informazioni disponibili. Ciò grazie alla raccolta massiccia di samples, paper ed articoli con conseguente pubblicazione in una libreria centralizzata. Tutto ciò è stato possibile grazie al suo predecessore, ovvero VX-Heaven, nato alla fine degli anni ‘90, piattaforma fondata e gestita da hemr1t.

VX-Heaven è stato un primo spazio con libero accesso dedicato al mondo malware, che grazie ad un estensivo repository di malware, permetteva agli studiosi di approfondire e così difendersi dalle minacce esistenti. Tuttavia nel 2012 VX-Heaven ha subito uno shutdown e sequestro dei server da parte delle forze dell’ordine Ucraine, facendo nascere una vera e propria insurrezione tra i frequentatori del sito. Su facebook, ad esempio, è stata portata avanti una campagna di raccolta fondi per finanziare le spese legali di Herm1t. Tale campagna fu intitolata “Saving Private Herm1t e vi aderirono molti ricercatori di sicurezza a livello globale.

Secondo quanto ci racconta Herm1t, il destino di VX-Heaven non è stato guidato solamente da una paura ingiustificata riguardo il mondo malware ma bensì una conseguenza del suo rifiuto di collaborare con (l’allora nuova) autorità di counter intelligence ucraina denominata DKIB SBU. Nel 2013 VX-Heaven è riuscita a tornare online e il sito è rimasto attivo sino al 2018. Nel frattempo il 2014 è stato il contesto per un’altro evento pronto a segnare la carriera di Herm1t, la guerra in Donbass.

Per contrastare gli attacchi di origine russa, Herm1t è diventato attivo nella guerra informatica tra i due paesi e insieme ad altri componenti, in modo autonomo hanno deciso di aiutare il loro stato, l’Ucraina, eseguendo con successo attacchi di contrasto come la compromissione e il leak delle email di Aleksey Karyakin (capo del cosiddetto “consiglio popolare” della Repubblica Popolare di Luhansk). Dopo poco più di un anno di attività, nel 2015 Herm1t fonda il gruppo RUH8, per il quale si definì “segretario di stampa” (ogni membro aveva titoli del mondo corporate come satira a tale ambiente).

Nella primavera 2016 nasce l’Ukrainian Cyber Alliance (UCA) dove diversi gruppi tra cui Trinity, FlaconsFlame e, successivamente, RUH8 con l’unico obiettivo di contestare in maniera attiva le attività informatiche russe. La lista delle loro operazioni è facilmente reperibile nella loro pagina Wikipedia. Uno dei più recenti attacchi, 2023, ha avuto come obiettivo lo smantellamento totale del RaaS Trigona Ransomware. In questo caso UCA è riuscita a penetrare ed avere totale controllo sull’intera infrastruttura del RaaS e tramite un leak ha ottenuto indirizzi dei wallet, source code del malware, record dei database interni e molto altro.

Oggi Hemr1t ci chiarisce che RUH8 ha a che fare “con un nemico esterno che vuole letteralmente invadere” il loro paese, “compiere un genocidio, attraverso esecuzioni extragiudiziali, torture e deportazioni forzate per schiacciare la volontà di libertà”. I componenti di RUH8 sono a tutti gli effetti “partigiani della guerra informatica”, tuttavia, “poiché guerra e politica sono inscindibilmente legate”, una delle loro azioni è diventata un classico esempio di hacktivismo: l’hanno chiamata “Fuck Responsible Disclosure”.

Ringraziamo Herm1t per il suo lavoro da pioniere della ricerca malware, i suoi valori e il tempo che ci ha dedicato per questa intervista.
23898790

Intervista – Lettera da Kyiv


RHC: Partiamo dalla tua storia personale: come ti sei avvicinato al mondo dei computer e dell’IT? Quale è stato il tuo primo computer e come è nata la tua curiosità per il mondo dell’information security?

Herm1t: Il modo in cui ho preso confidenza con i computer è abbastanza tipico dei bambini degli anni ’80. Mio padre mi ha parlato dei personal computer quando avevo cinque anni, ed erano molto diversi dai mainframe degli anni ’70 che aveva incontrato all’università. La sola idea che un programma potesse essere modificato, testato più e più volte, mi stupiva profondamente. Accidenti ai bambini. Sono tutti uguali.

L’unico problema era che questo accadeva nell’Unione Sovietica, dove i computer erano quasi inaccessibili. Ho dovuto cercare l’accesso ovunque potessi, e solo anni dopo ho avuto il mio primo computer, un clone sovietico dell’Apple II, Agat. E quando l’Unione Sovietica crollò e i miei genitori avviarono un’attività in proprio, nel 1994 mi procurai un potente (per l’epoca) 486DX2. L’accesso a Internet era proibitivamente costoso, quindi il mezzo di comunicazione principale era la rete FIDO e BBS, che per anni ha plasmato il carattere della scena hacker post-sovietica, focalizzata offline su reverse engineering e protezione del software crackling (dopotutto, non c’era un modo legale per acquistarlo anche se si avevano i soldi), progettazione demo e così via.

Da qualche parte a metà degli anni ’90, stavo leggendo una rivista elettronica dedicata alla scena demo e nella sezione “Lettere dai lettori” ho trovato un riferimento a un gruppo di scrittori di virus chiamato SGWW. Ho scaricato immediatamente tutti i numeri di Infected Voice che sono riuscito a trovare e mi sono iscritto ai newsgroup sui virus su FIDO. La scena dei virus era aggressiva e si posizionava come una controcultura, più simile a punk che a studenti modello. Ho scritto alcuni virus per MS-DOS, sperimentando tecniche diverse una alla volta, ma non ho partecipato molto alle discussioni. Invece, ho continuato a collezionare campioni di virus, riviste e articoli.

RHC: Smelly (VX Underground) ti ha menzionato come il creatore di VX Heaven: ci puoi raccontare quale era l’idea alla base in anni in cui non c’era ancora Google? A tutti gli effetti sei un pioniere! (A proposito complimenti per il tuo lavoro!)

Herm1t: Verso la fine degli anni ’90, ho iniziato a lavorare come amministratore di sistema per un provider, che mi ha dato accesso illimitato a Internet. Fu allora che decisi di organizzare la mia collezione come un sito web, ed è così che è nato VX Heaven.

Non avevo alcun interesse nell’hackerare le reti: quando hai accesso a decine, poi centinaia e infine migliaia di dispositivi, non c’è bisogno di cercare altro. Ma, naturalmente, c’erano incidenti di sicurezza e dovevo capire come funzionavano le diverse vulnerabilità e come prevenirle. Tutte le macchine sul nodo eseguivano Linux e FreeBSD, quindi ho iniziato a scrivere virus per le nuove piattaforme, trovando nuovi metodi di infezione e occasionalmente pubblicando i miei risultati. Questo è andato avanti per anni fino alla fine del 2011, quando il controspionaggio informatico dell’Ukrainian Security Service (SBU) è venuto a farci visita.

Ho provato a convincerli che il mio sito era una biblioteca, non un covo di criminali informatici, e hanno finto di credermi, suggerendomi persino di aiutarli a investigare su alcuni casi relativi ai carder. Ho analizzato diversi campioni e, poiché avevo ottenuto versioni di debug dei bot, ho trovato rapidamente l’infrastruttura di comando delle botnet.

A quel tempo, le autorità ucraine avevano chiuso la risorsa pirata Infostore e, poiché era il picco di Anonymous, il pubblico rispose con massicci attacchi DDoS sui siti web governativi. Anch’io partecipai, usando i grandi canali del provider (secondo quegli standard) e il giorno dopo, ufficiali familiari portarono screenshot dei grafici di carico del sito governativo, chiedendo consigli su come trovare gli organizzatori dell’attacco. Scrollai le spalle e dissi che non potevo aiutare. Apparentemente, questo li irritò e alla fine aprirono un procedimento penale contro di me per “diffusione di software dannoso”. Dovetti rivolgermi al pubblico e diversi scienziati che lavoravano nel campo si schierarono per me, mentre la comunità degli hacker raccolse fondi in modo che potessi pagare i servizi legali. La pubblicità, la perseveranza dell’avvocato e l’intervento di aziende influenti portarono alla chiusura silenziosa del caso, che non andò mai in tribunale. Dal momento che mi avevano portato via il mio giocattolo preferito, decisi di dedicarmi a qualcos’altro, sperimentando diversi metodi di hacking sui siti web dei paesi del terzo mondo, come la Russia. Poi un collega mi ha mostrato un annuncio della più grande banca del paese che stava lanciando un programma bug bounty. Dopo aver esaminato l’infrastruttura pubblica della banca, ho trovato un IDOR, che consentiva di scaricare le ricevute delle transazioni tramite una semplice enumerazione. La banca ha pagato la ricompensa massima. “Probabilmente solo fortuna”, ho pensato, ho riprovato e ho trovato un XSS riflesso proprio sulla pagina di accesso del sistema di online banking, che poteva essere utilizzato per intercettare la password di un utente e bypassare l’autenticazione a due fattori. La banca ha pagato di nuovo la ricompensa massima. Non era più solo questione di fortuna.
23898792
RHC: Ci puoi raccontare qualcosa sul tuo momento di transizione da VX Haven (Virus eXchange) a difensore dello spazio digitale ucriano, quale partigiano del tuo paese?

Herm1t: Mi annoiavo nella mia città natale di Donetsk e risposi a un’offerta da un perfetto sconosciuto, un certo Tim Karpinsky, su LinkedIn, di entrare a far parte di una piccola startup di sicurezza a Kiev (meglio scrivere Kyiv, non Kiev, perché gli ucraini potrebbero offendersi molto). Trasferirmi a Kiev è stata una delle migliori decisioni che abbia mai preso perché un anno dopo è avvenuta la Rivoluzione della Dignità e la Russia ha iniziato l’invasione dell’Ucraina.

Dopo essermi trasferito a Kiev, ho rilanciato VX Heaven, solo per principio. Questa volta, era ospitato su server a prova di proiettile, anche se l’SBU non ha smesso di cercare di reclutare me e i miei colleghi. Ma abbiamo ascoltato educatamente le loro offerte e altrettanto educatamente abbiamo suggerito loro di andare avanti. Cosa che hanno fatto per un po’.

Non posso parlare molto del mio lavoro in quel periodo: parte di esso è coperto da accordi di non divulgazione e parte è avvenuta in circostanze che non sono ancora pronto a discutere.

La scena era cambiata radicalmente e LovinGod, il leader di lunga data di SGWW, che aveva dato il via al mio viaggio iniziale nella sicurezza informatica, aveva persino definito il mio progetto una “bara portatile per la scena dei virus”. Non sono offeso, forse lo è. Ma migliaia di persone nel corso dei decenni hanno trovato l’idea dei virus contagiosa e penso che sia fondamentale preservare i risultati del loro lavoro. Sono felice che VX Underground continui a fare lo stesso, mantenendo continuità e memoria. Il regime di Yanukovych, completamente corrotto e infinitamente triste, ha generato apatia e il desiderio di stare il più lontano possibile da ciò che passava per “politica” in questo paese. Tutto è cambiato dopo la rivoluzione e l’inizio della guerra. È iniziata la formazione di una nazione ucraina politica, insieme alla necessità di difendere il paese dai russi, anche nel cyberspazio. Nel 2014, Kostiantyn Korsun dell’Ukrainian Information Security Group organizzò un incontro e tutti si presentarono, hacker, intelligence, controspionaggio, il servizio di comunicazione governativo e CERT, per discutere di cosa potevamo fare insieme per proteggere il nostro Paese. Mi ero sempre interessato al lato offensivo delle operazioni informatiche, così iniziammo gli attacchi informatici di ritorsione: hackerammo la Duma di Stato della Federazione Russa, entrammo nei siti web del governo regionale, pubblicando messaggi provocatori e passammo le informazioni hackerate ai nostri servizi di intelligence. Questa volta, avevamo un obiettivo comune.

Dopo gli accordi di Minsk, la guerra si trascinò e gli investigatori OSINT e gli hacker si organizzarono in gruppi e iniziarono a collaborare. Gran parte delle informazioni furono pubblicate su InformNapalm. Nella primavera del 2016, abbiamo hackerato il sito web del governo di Orenburg e pubblicato un messaggio in cui si affermava che “alla luce dei tragici eventi nella Repubblica del Kazakistan”, nella regione era stato dichiarato lo stato di emergenza e il governatore stava convocando una riunione antiterrorismo. Poche settimane dopo, si verificarono attacchi terroristici ad Aktobe e il governatore Berg dovette davvero convocare la riunione che avevamo “pianificato” per lui. Per usare efficacemente i media e l’hacking per influenzare gli eventi, è necessaria una profonda comprensione del contesto. Dopo di che, Karpinsky e io fummo invitati a unirci all’Ukrainian Cyber ​​Alliance e, poiché nessun altro rivendicava quel ruolo, scelsi la posizione di portavoce. Iniziai con un’intervista importante in cui spiegavo chi siamo, quali obiettivi ci eravamo prefissati e come intendevamo raggiungerli. Inizialmente scherzavo sulla mia “posizione” nel gruppo, poiché assomigliava molto alle strutture pseudo-aziendali parodistiche dei primi gruppi di hacker. Ma presto iniziò il lavoro serio. Iniziai a incontrare regolarmente i giornalisti, filmando storie per servizi giornalistici e documentari. Diventammo parte della resistenza nazionale contro l’aggressore e acquisimmo la nostra identità informativa e politica.

Oltre alle elevate motivazioni patriottiche, c’è un altro aspetto in questo tipo di hacking: puoi hackerare qualsiasi cosa desideri, non solo senza pressioni da parte dei servizi segreti, ma con la loro piena approvazione. E lo abbiamo fatto. Abbiamo hackerato l’e-mail del consigliere di Putin Surkov e, poiché l’hacking è avvenuto durante le elezioni statunitensi, ha ricevuto la massima copertura internazionale. Molti hanno persino pensato che si trattasse di un’azione di ritorsione da parte dell’intelligence americana in risposta all’interferenza elettorale. Abbiamo scoperto i nomi dell’esercito di occupazione russo, composto al 90% da mercenari russi, reclutati, armati e inviati dalla Russia per combattere sotto ufficiali russi in Ucraina. I cosiddetti “separatisti del Donbass” erano solo una bugia per nascondere l’evidente verità.

Tutte le nostre attività non sono hacktivism nel senso comune del termine, perché gli hacktivisti in genere mirano ad attirare l’attenzione su questioni interne al proprio paese (anche se le azioni principali si svolgono all’estero, come nel caso di Anonymous e della Primavera araba). Il loro obiettivo è cambiare l’opinione pubblica e, possibilmente, fare pressione sul governo affinché provochi cambiamenti interni. Abbiamo a che fare con un nemico esterno che vuole letteralmente invadere il nostro paese e compiere un genocidio, attraverso esecuzioni extragiudiziali, torture e deportazioni forzate per schiacciare la volontà di libertà. Questo non è hacktivism, non è hacking patriottico; eravamo letteralmente partigiani della guerra informatica. Tuttavia, poiché guerra e politica sono indissolubilmente legate, una delle nostre azioni è diventata un classico esempio di hacktivism. L’abbiamo chiamata “Fuck Responsible Disclosure”

RHC: Il cyberspazio è cambiato molto dall’inizio: quali sono, secondo te, gli elementi positivi e negativi oggi? Soprattutto, i vecchi ideali e idee (come apertura, trasparenza e accesso universale) sono morti, “silenziosi” o “silenziati” in un mondo sempre più complesso da sistemare? Inoltre, puoi darci una tua visione sulla protezione dello spazio informativo?

Herm1t: Due domande che di solito interessano gli hacker continuavano a tormentarmi: la censura su Internet e quanto bene la nostra infrastruttura è protetta dagli hacker nemici. Nel 2017, dopo il devastante attacco NotPetya dalla Russia, la leadership ucraina ha iniziato a pensare alla sicurezza informatica, ma a modo suo. Innanzitutto, con la scusa di “proteggere lo spazio informativo”, il governo ha voluto introdurre una censura di Internet modellata su quella russa, con un elenco di siti Web vietati. Il disegno di legge 6688 è stato presentato al parlamento, ma dopo aver mobilitato la società per protestare, è stato ritirato. Tuttavia, i blocchi sono stati comunque introdotti in seguito, non per legge ma con un decreto presidenziale. Allo stesso tempo, è stata adottata la “Cybersecurity Strategy” e i funzionari con cui abbiamo parlato hanno iniziato a dire: “Guarda, tutto sta cambiando, ora che abbiamo la strategia, la sicurezza migliorerà”. Come tutti sanno, agli hacker non importa un cazzo dei tuoi budget, strategie, conformità e altre scartoffie. La nostra prima “vittima” è stata CERT, che ha “perso” la password della sua e-mail proprio sul suo sito Web in un backup di uno degli script. Dopo di che, gli obiettivi vulnerabili si sono riversati come una valanga: siti web ministeriali, forniture di acqua ed elettricità, agenzie statali e persino centrali nucleari. Ma non abbiamo mai sfruttato appieno gli hack per restare nei limiti della legge, limitandoci a evidenziare vulnerabilità e potenziali conseguenze.

Ogni nuovo “obiettivo” scatenava uno scandalo e i funzionari attraversavano tutte le fasi, dalla negazione all’accettazione. Come sempre e ovunque, dicevano: “Questi non sono i nostri sistemi, sono vecchi sistemi, ma presto ce ne saranno di nuovi. Sì, sono vulnerabili, ma non è trapelato nulla e non è successo nulla. Sì, sarebbe potuto succedere, ma stiamo già lavorando per risolvere il problema”. Quando i documenti dei candidati al servizio civile trapelarono, fu convocato il Consiglio per la sicurezza nazionale e il capo dell’agenzia fu licenziato. E naturalmente, umiliando pubblicamente funzionari di alto rango, ci siamo fatti molti nemici. Spesso, il proprietario di un sistema vulnerabile minacciava di sporgere denuncia alla polizia. Nel caso del governo di Kherson, Katya Handziuk (che in seguito fu brutalmente assassinata per la sua posizione civica) li convinse a non farlo. Energoatom cercò di sporgere denuncia all’SBU, ma poiché si trattava di una centrale nucleare, l’SBU li minacciò di nuovo con un’indagine penale per negligenza. Tragicamente, più o meno nello stesso periodo, un ingegnere della sicurezza nucleare della centrale nucleare di Zaporizhzhia si è suicidato. Abbiamo chiaramente infastidito qualcuno così tanto che nel 2018 la polizia informatica ha fatto irruzione in casa mia. Sono intervenuti i vertici politici e non sono mai state presentate accuse. Per evitare di dare una ragione alle forze dell’ordine, abbiamo dovuto chiudere il sito web VX Heaven.

Il mandato del presidente Poroshenko è terminato e Zelensky ha vinto le elezioni, causando una spaccatura nella Cyber ​​Alliance ucraina. I gruppi Falcons Flame e CyberHunta hanno annunciato che avrebbero cessato le operazioni e se ne sarebbero andati. Nel frattempo, le forze dell’ordine hanno fatto un altro tentativo di frenare gli attivisti ribelli.

Nell’autunno del 2019, uno sconosciuto burlone ha visualizzato il messaggio “Fuck you, Greta!” su uno schermo all’aeroporto di Odessa e l’SBU ha deciso che era opera nostra. Hanno intercettato i nostri telefoni e nel febbraio 2020 hanno condotto delle incursioni sui membri del gruppo. Indossavano così tante armature e trasportavano così tante armi che avrebbero potuto essere sufficienti per catturare terroristi altamente pericolosi. Invece di cercare umilmente protezione, abbiamo arruolato il supporto dei partiti di opposizione “Democratic Axe” e “European Solidarity”, tenendo prima la nostra conferenza stampa e poi un’altra proprio nella sede stampa parlamentare. Le proteste hanno avuto luogo proprio all’interno del tribunale. Non sono state presentate accuse, ma ci sono voluti anni perché gli avvocati ottenessero giustizia e solo poche settimane fa, un tribunale ha stabilito che non avevamo nulla a che fare con l’incidente all’aeroporto di Odessa.

Sebbene avessimo annunciato alla conferenza stampa che avremmo cessato la cooperazione con le autorità, la nostra comunicazione con alcune agenzie è continuata. Abbiamo mantenuto i contatti con l’intelligence, il Ministero della Difesa e il Servizio di comunicazioni speciali e protezione delle informazioni. Infatti, abbiamo persino firmato un accordo di cooperazione con quest’ultimo, poiché a quel tempo avevamo ufficialmente registrato la nostra organizzazione come ONG. Questa cooperazione includeva discussioni sulla sicurezza e sulle politiche per migliorare la sicurezza dei sistemi governativi. Tuttavia, nuove leggi, restrizioni normative, dispositivi di sicurezza miracolosi, multe, conferenze e tavole rotonde non aiutano realmente. Ciò che aiuta è essere preparati alla possibilità che il tuo sistema venga preso di mira e avere un piano per quando i computer si sono semplicemente spenti, in modo da poterli riaccendere.

Inoltre, l’Ucraina ha un panorama di minacce piuttosto specifico. Non c’è certamente carenza di criminalità informatica qui, ma la maggior parte degli hacker “russi” (tra virgolette perché molti di loro non sono effettivamente russi) seguono la regola di “non lavorare nella CSI” per evitare di scontrarsi con le forze dell’ordine locali. Sono spinti esclusivamente dal denaro e si tengono il più lontano possibile dalla politica perché danneggia gli affari. Nel frattempo, le agenzie di intelligence russe sono state estremamente attive dal 2014, non solo impegnandosi nello spionaggio ma anche cercando di causare il maggior danno possibile. L’inizio della guerra nel 2014 ha segnato una divisione all’interno della comunità blackhat post-sovietica, che continua ancora oggi. Tuttavia, l’avidità e le posizioni apolitiche rimangono invariate.

RHC: Puoi darci una tua visione di guerra ibrida e di come l’informatica giocherà un ruolo sempre più importante per i paesi in materia di difesa e offensiva?

Herm1t: Avete menzionato il termine “guerra ibrida”, che non mi piace tanto quanto il termine “hacktivisti”, perché semplicemente non riflette la realtà. Senza dubbio, la guerra che la Russia sta combattendo dal 2014 è molto lontana dalla teoria della guerra di Clausewitz, ma non c’è nulla di particolarmente nuovo nel combattere con mercenari o nell’eseguire sabotaggi (anche con il prefisso “cyber”). Questa guerra può essere “ibrida” per altri paesi, ma per l’Ucraina è solo una guerra.

E anche per la Russia, in generale, perché quando non sono riusciti a conquistare il paese con mezzi politico-militari, sono tornati alla forza bruta. Tuttavia, il ruolo della tecnologia continuerà solo a crescere. Basta guardare cosa sta succedendo in questo momento. Sempre più paesi stanno cercando di creare unità informatiche. Alcuni stanno lavorando su dottrine, strategie e tattiche, mentre altri, come Russia, Corea del Nord e Iran, stanno semplicemente sfruttando qualsiasi opportunità riescano a trovare. I loro attacchi sono opportunistici, spesso non coordinati con la leadership politica e negabili. Ma a volte hanno successo (almeno tecnicamente), anche se non riescono a raggiungere un obiettivo militare. Un buon esempio è l’attacco del 13-14 gennaio 2022, quando il GRU ha hackerato decine di istituzioni governative ucraine con l’obiettivo di intimidire l’élite politica e convincerla che la resistenza era inutile. Dopo quell’attacco, è diventato chiaro che il tempo stava per scadere. Poco prima dell’invasione, Tim e io stavamo preparando un hack che avrebbe potuto rappresentare l’apice della nostra carriera di hacker. Stavamo esaminando le proposte di modifica del codice penale ucraino in merito alla criminalità informatica. L’ironia della situazione non ci è sfuggita. “Chi l’avrebbe mai detto”, ha detto il mio collega, “che due hacker stavano modificando le modifiche alla legislazione nazionale!” “Aspetta e vedrai”, ho risposto, “e se quella legislazione diventasse russa?” La mattina del 24 febbraio, siamo stati svegliati da delle esplosioni. Dopo aver parlato con alcuni contatti militari e dell’intelligence, ci siamo trasferiti in una parte più sicura del paese: Leopoli.

Tutti i disaccordi precedenti sono stati immediatamente dimenticati. Persone che prima non volevano nemmeno parlare con noi hanno iniziato a offrire il loro aiuto. La polizia informatica ha restituito l’attrezzatura che aveva confiscato, un operatore di telefonia mobile ha aperto canali di comunicazione ad alta velocità illimitati e volontari hanno raccolto fondi e fornito l’attrezzatura necessaria. Come sempre in queste situazioni, non si raggiunge il livello delle proprie aspettative; si scende al livello del proprio addestramento.
23898794
RHC: UCA è riuscita a penetrare e wipare i server di Trigona Ransomware, potresti descriverci cosa avete trovato e come era organizzato questo gruppo ransomware? Come mai avete scelto di bersagliare questo gruppo specifico? Come si può quindi contrastare con successo un gruppo Ransomware?

Herm1t: I nostri primi hack non si sono discostati molto da ciò che ora consideriamo azioni “hacktiviste”: semplici deturpazioni e database trapelati. Ma non avevamo pianificato di fermarci e abbiamo agito metodicamente. Poi sono arrivati ​​gli exploit pubblici, la costruzione di infrastrutture, lo sviluppo dei nostri strumenti, la collaborazione con altri gruppi e l’esercito. L’esperienza arriva con il tempo. Ecco perché qualcosa come “Trigona” diventa un bersaglio incredibilmente facile. È stato un raid standard che utilizzava un exploit pubblico in Confluence.

Ma a differenza dei blackhat, che cercano immediatamente di monetizzare il loro bottino installando miner, ci siamo concentrati sull’estrazione di tutte le informazioni disponibili, sull’ottenimento di privilegi amministrativi, sull’espulsione di altri hacker e sull’istituzione della persistenza. Gli operatori di ransomware non avevano alcuna possibilità di trovare tutte le trappole che avevamo predisposto, proprio come i nostri altri obiettivi. Ad esempio, ci sono volute circa due ore a C.A.S. e a noi per distruggere l’infrastruttura di trasmissione pubblica nella Luhansk occupata (era la filiale di Luhansk, non VGTRK, ad essere stata hackerata da un altro gruppo). Un’ora per elevare i privilegi e trovare tutti i sottosistemi disponibili e un’altra ora per cancellare tutto. In questo momento, stiamo monitorando un gran numero di obiettivi contemporaneamente. Alcuni riescono a scappare, ma spesso riusciamo a recuperarli in seguito. In qualsiasi momento, abbiamo obiettivi da qualsiasi settore dell’economia o del governo russo. Se decidiamo che è il momento giusto, li distruggiamo. Quando un giornalista di RFERL mi ha chiesto di recente: “Chi sta vincendo la guerra informatica?“, ho risposto che non è una competizione. Ci scontriamo raramente con i nostri avversari, anche se a volte riusciamo a interrompere le loro operazioni. La portata dei nostri obiettivi continuerà a crescere, non tanto per le capacità tecniche, quanto per cose “noiose” come la struttura organizzativa, il reclutamento, la formazione, la condivisione di informazioni e così via.

RHC:Come hai scelto il tuo soprannome? E il motto di VX-Heaven “Virus don’t harm, Ignorance does” presente nella homepage?

Herm1t: I soprannomi “herm1t” e “Sean Townsend” sono stati scelti quasi a caso. Ho usato il primo su BBS a metà degli anni ’90 e quando ho iniziato a creare account utente al lavoro, l’amministratore senior ha usato lo stesso nome. Non ho avuto tempo di inventarmi qualcos’altro. Per quanto riguarda il secondo, avevo rubato documenti con quel nome per superare la verifica sui social media. Non è un nome raro, quindi non ho avuto la sensazione di causare alcun danno alla persona reale usandolo come nome di battaglia.

Il motto di VX Heaven afferma semplicemente che qualsiasi conoscenza tecnica è moralmente neutrale. Le stesse tecniche possono essere utilizzate dagli hacker che usano ransomware per trarne profitto, dai russi per la loro guerra di aggressione e da noi per causare loro danni tali da impedire loro di attaccare di nuovo chiunque.

RHC: Herm1t, grazie mille per il tuo tempo! Apprezziamo molto il suo contributo alla comunità. Ti auguriamo il meglio per te, il tuo gruppo e la pace per il tuo paese. Le tue parole sono preziose per gli hacker attuali e futuri.

L'articolo RHC Intervista a Herm1t! Come un Hacker ha Combattuto per la Libertà dell’Ucraina proviene da il blog della sicurezza informatica.



Building a Discrete 14-Bit String DAC


23897238
The discrete 14-bit DAC under test. (Credit: Sine Lab, YouTube)The discrete 14-bit DAC under test. (Credit: Sine Lab, YouTube)
How easy is it to build your own Digital to Analog Converter (DAC)? Although you can readily purchase a wide variety of DACs these days, building your own can be very instructive, as the [Sine Lab] on YouTube explores in a recent video with the construction of a discrete 14-bit DAC. First there are the different architectures you can pick for a DAC, which range from R-2R (resistor ladder) to delta-sigma versions, each having its own level of complexity and providing different response times, accuracy and other characteristics.

The architecture that the [Sine Lab] picked was a String DAC with interpolator. The String type DAC has the advantage of having inherently monotonic output voltage and better switching-induced glitch performance than the R-2R DAC. At its core it still uses resistors and switches (transistors), with the latter summing up the input digital value. This makes adding more bits to the DAC as easy as adding more of these same resistors and switches, the only question is how many. In the case of a String DAC that’d be 2N, which implies that you want to use multiple strings, as in the above graphic.

Scaling this up to 16-bit would thus entail 65,536 resistors/switches in the naive approach, or with 2 8-bit strings 513 switches, 512 resistors and 2 buffers. In the actual design in the video both MOSFETs and 74HCT4051 multiplexers were used, which also necessitated creating two buses per string to help with the input decoding. This is the part where things get serious in the video, but the reasoning for each change and addition is explained clearly as the full 6-bit DAC with interpolator is being designed and built.

One big issue with discrete DACs comes when you have to find matching MOSFETs and similar, which is where LSI DACs are generally significantly more precise. Even so, this discrete design came pretty close to a commercial offering, which is pretty impressive.

youtube.com/embed/rAyMr0CWQ3U?…


hackaday.com/2024/11/03/buildi…



GNSS Reception with Clone SDR Board


23888275

We love seeing the incredible work many RF enthusiasts manage to pull off — they make it look so easy! Though RF can be tricky, it’s not quite the voodoo black art that it’s often made out to be. Many radio protocols are relatively simple and with tools like gnuradio and PocketSDR you can quickly put together a small system to receive and decode just about anything.

[Jean-Michel] wanted to learn more about GNSS and USB communication. Whenever you start a project like this, it’s a good idea to take a look around at existing projects for designs or code you can reuse, and in this case, the main RF front-end board is taken from the PocketSDR project. This is then paired with a Cypress FX2 development board, and he re-wrote almost all of the PocketSDR code so that it would compile using sdcc instead of the proprietary Keil compiler. Testing involved slowly porting the code while learning about using Python 3 to receive data over USB, and using other equipment to simulate antenna diversity (using multiple antennas to increase the signal-to-noise ratio):
23888277Testing antenna diversity
The main board uses two MAX2771 GNSS front-ends, which filter and convert the received signals to either a digital output or optionally as I and Q outputs for conversion with discrete ADCs. This data is then read by the 8051 core on the FX2, and the data is sent over USB to maintain a fast and reliable stream. On the PC side, this can be decoded using the original PocketSDR software, or one can build a decoder using gnuradio.

The result is a working GNSS decoder. If you would like to see more detail about the project, [Jean-Michel] put together a YouTube video talking about his work in cloning and porting the code, which you can see below:

youtube.com/embed/B5UcFnkbXIk?…


hackaday.com/2024/11/03/gnss-r…



Hackaday Links: November 3, 2024


Hackaday Links Column Banner

“It was the best of times, it was the blurst of times?” Perhaps not anymore, if this Ig Nobel-worthy analysis of the infinite monkey theorem is to be believed. For the uninitiated, the idea is that if you had an infinite number of monkeys randomly typing on an infinite number of keyboards, eventually the complete works of Shakespeare or some other famous writer would appear. It’s always been meant to be taken figuratively as a demonstration of the power of time and randomness, but some people just can’t leave well enough alone. The research, which we hope was undertaken with tongue firmly planted in cheek, reveals that it would take longer than the amount of time left before the heat death of the universe for either a single monkey or even all 200,000 chimpanzees in the world today to type the 884,647 words of Shakespeare’s complete works in the proper order.

We feel like they missed the point completely, since this is supposed to be about an infinite number of monkeys. But if they insist on sticking with real-world force monkey labor, what would really be interesting is an economic analysis of project. How much space would 200,000 chimps need? What would the energy requirements be in terms of food in and waste out? What about electricity so the monkeys can see what they’re doing? If we’re using typewriters, how much paper do we need, and how much land will be deforested for it? Seems like you’ll need replacement chimps as they age out, so how do you make sure the chimps “mix and mingle,” so to speak? And how do you account for maternity and presumably paternity leave? Also, who’s checking the output? Seems like we’d have to employ humans to do this, so what are the economic factors associated with that? Inquiring minds want to know.

Speaking of ridiculous calculations, when your company racks up a fine that only makes sense in exponential notation, you know we’ve reached new levels of stupidity. But here we are, as a Russian court has imposed a two-undecillion rouble fine on Google for blocking access to Russian state media channels. That’s 2×1036 roubles, or about 2×1033 US dollars at current exchange rates. If you’re British and think a billion is a million million, then undecillion means something different entirely, but we don’t have the energy to work that out right now. Regardless, it’s a lot, and given that the total GPD of the entire planet was estimated to be about 100×1012 dollars in 2022, Google better get busy raising the money. We’d prefer they don’t do it the totally-not-evil way they usually do, so it might be best to seek alternate methods. Maybe a bake sale?

A couple of weeks back we sang the praises of SpaceX after they managed to absolutely nail the landing of the Starship Heavy booster after its fifth test flight by managing to pluck it from the air while it floated back to the launch pad. But the amazing engineering success was very close to disaster according to Elon Musk himself, who discussed the details online. Apparently SpaceX engineers shared with him that they were scared about the “spin gas abort” configuration on Heavy prior to launch, and that they were one second away from aborting the “chopsticks” landing in favor of crashing the booster into the ground in front of the launch pad. They also expressed fears about spot welds on a chine on the booster, which actually did rip off during descent and could have fouled on the tower during the catch. But success is a hell of a deodorant, as they say, and it’s hard to argue with how good the landing looked despite the risks.

We saw a couple of interesting stories on humanoid robots this week, including one about a robot with a “human-like gait.” The bot is from China’s EnginAI Robotics and while its gait looks pretty good, there’s still a significant uncanny valley thing going on there, at least for us. And really, what’s the point? Especially when you look at something like this new Atlas demo, which really leans into its inhuman gait to get work done efficiently. You be the judge.

youtube.com/embed/F_7IPm7f1vI?…

And finally, we’ve always been amazed by Liberty ships, the class of rapidly produced cargo ships produced by the United States to support the British war effort during WWII. Simple in design though they were, the fact that US shipbuilders were able to ramp up production of these vessels to the point where they were building a ship every eight hours has always been fascinating to us. But it’s often true that speed kills, and this video shows the fatal flaw in Liberty ship design that led to the loss of some of the early ships in the class. The short video details the all-welded construction of the ships, a significant advancement at the time but which wasn’t the cause of the hull cracks that led to the loss of some ships. We won’t spoil the story, though. Enjoy.

23882002


hackaday.com/2024/11/03/hackad…




All You Need for Artificial Intelligence is a Commodore 64


23870868

Artificial intelligence has always been around us, with [Timothy J. O’Malley]’s 1985 book on AI projects for the Commodore 64 being one example of this. With AI defined as being the theory and development of systems that can perform tasks that normally requiring human intelligence (e.g. visual perception, speech recognition, decision-making), this book is a good introduction to the many ways that computer systems for decades now have been able to learn, make decisions and in general become more human-like. Even if there’s no electronic personality behind the actions.

In the book’s first chapter, [Timothy] isn’t afraid to toss in some opinions about the true nature of intelligence and thinking. Starting with the concept that intelligence is based around storing information and being able to derive meaning from connections between stored pieces of information, the idea of a basic AI as one would use in a game for the computer opponent arises. A number of ways of implementing such an AI is explored in the first and subsequent chapters, using Towers of Hanoi, chess, Nim and other games.

After this we look at natural language processing – referencing ELIZA as an example – followed by heuristics, pattern recognition and AI for robotics. Although much of this may seem outdated in this modern age of LLMs and neural networks, it’s important to realize that much of what we consider ‘bleeding edge’ today has its roots in AI research performed in the 1950s and 1960s. As [Timothy] rightfully states in the final chapter, there is no real limit to how far you can push this type of AI as long as you have more hardware and storage to throw at the problem. This is where we now got datacenters full of GPU-equipped systems churning through vector space calculations for the sake of today’s LLM & diffusion model take on ‘AI’.

Using a Commodore 64 to demonstrate the (lack of) validity of claims is not a new one, with recently a group of researchers using one of these breadbin marvels to run an Ising model with a tensor network and outperforming IBM’s quantum processor. As they say, just because it’s new and shiny doesn’t necessarily mean that it is actually better.


hackaday.com/2024/11/03/all-yo…

reshared this



Truffa LastPass: ecco come finti numeri di assistenza vi rubano i dati


LastPass ha avvertito di una campagna fraudolenta rivolta agli utenti dei gestori di password. Gli aggressori lasciano online false recensioni positive, in cui indicano un numero falso del servizio di supporto con cui avrebbero parlato. Le persone che chiamano questo numero vengono convinte a fornire l’accesso remoto ai propri computer.

Gli sviluppatori riferiscono che tra le recensioni dell’estensione LastPass per Chrome, hanno iniziato a imbattersi in messaggi degli aggressori. In tali recensioni, i truffatori attribuiscono all’estensione cinque stelle e lodano il supporto tecnico, indicando un numero di telefono falso (805-206-2892) a cui avrebbero chiamato.

In realtà, questo numero non ha nulla a che fare con il produttore.
23864801
Se chiami questo numero, il truffatore che risponde al telefono si presenterà come un dipendente dell’assistenza LastPass e chiederà all’utente di visitare il sito web dghelp[.]top, dove dovrà inserire un codice per scaricare un software speciale. Il sito scarica ConnectWise ScreenConnect, che fornisce agli aggressori l’accesso remoto completo al sistema della vittima.

Le persone che chiamano il numero di supporto falso vengono accolte da una persona che chiede con quale prodotto hanno problemi e pone anche una serie di domande di follow-up sul fatto che l’utente stia tentando di accedere a LastPass tramite un computer o dispositivo mobile, quale sistema operativo stanno utilizzando, ecc. ulteriormente”, spiegano i rappresentanti di LastPass. “La persona viene quindi reindirizzata al sito web dghelp[.]top mentre l’aggressore rimane in linea e convince la potenziale vittima a connettersi al sito e rivelare i propri dettagli.”


23864804
Mentre uno dei truffatori continua a bombardare il chiamante di domande, tenendolo in linea e distraendolo, un altro utente malintenzionato utilizza ScreenConnect in background e installa altri software sul sistema della vittima per accedere da remoto e rubare dati.

Come notato da Bleeping Computer, il client ScreenConnect stabilisce una connessione con i server degli attaccanti agli indirizzi molatorimax[.]icu e n9back366[.]stream. Entrambi questi siti erano precedentemente associati a un indirizzo IP ucraino, ma poi erano nascosti dietro Cloudflare.

La pubblicazione avverte che il numero 805-206-2892 è associato ad una campagna dannosa su larga scala. Questo telefono è anche mascherato da numero del servizio clienti per una varietà di altre società, tra cui Amazon, Adobe, Hulu, YouTube TV, Peakcock TV, Verizon, Netflix, Roku, PayPal, Squarespace, Grammarly, iCloud, Ticketmaster e Capital One.
23864806
Inoltre, questi numeri di telefono falsi possono essere pubblicati non solo nelle recensioni delle estensioni del browser, ma anche sui siti dove chiunque può creare i propri contenuti: ad esempio sui forum aziendali o su Reddit.

Alcuni di questi messaggi vengono cancellati quasi immediatamente, ma altri sono ancora disponibili e quasi ogni giorno ne compaiono di nuovi.

L'articolo Truffa LastPass: ecco come finti numeri di assistenza vi rubano i dati proviene da il blog della sicurezza informatica.



Polygons On a Lathe


Man holding brass bar stock with several polygons turned on end

Most professionals would put a polygon on the end of a turned part using a milling machine. But many a hobbyist doesn’t have a mill. And if the polygon needs to be accurately centered, remounting the stock costs accuracy.

[Mehamozg] demonstrates you can turn a polygon on a lathe.

Polygons on shaft ends are surprisingly common, whether you are replacing a lost chuck key, need an angular index, or need a dismountable drive. As the video shows, you can definitely make them on the lathe.

But how the heck does this work? It seems like magic.

Lets start by imagining we disengage and lock the rotating cutter in [Mehamozg]’s setup and run the lathe. If the tool is pointed directly at the center we are just turning normally. If we angle the tool either side of center we still get a cylinder, but the radius increases by the sin of the angle.

Now, if we take a piece of stock with a flat on it and plot radius versus angle we get a flat line with a sin curve dip in it. So if we use [Mehamozg]s setup and run the cutter and chuck at the same speed, the cutter angle and the stock angle increase at the same time, and we end up with a flat on the part. If the cutter is rotating an even multiple of the chuck speed, we get a polygon.

The rub in all this is the cutter angle.. At first we were convinced it was varying enormously. But the surface at the contact point is not perpendicular to the radius from center to contact. So it cancels out, we think. But our brains are a bit fried by this one. Opinions in the comments welcomed.

We like this hack. It’s for a commonly needed operation, and versatile enough to be worth fiddling with the inevitable pain of doing it the first time. For a much more specialized machining hack, check out this tool that works much the same in the other axis.


hackaday.com/2024/11/03/polygo…



Bloccati sta cippa, Elon


@Privacy Pride
Il post completo di Christian Bernieri è sul suo blog: garantepiracy.it/blog/blocati-…
https://x.com/xeng/status/1852934762144698736?s=46&t=h5DrgTbndHlziv2P4_H0NQ Oggi inizia l’attivazione dell’annunciata modifica alla funzione “blocca” di X. Per me è un grave errore che può avere conseguenze negative nella vita reale delle persone. Forse

Questa voce è stata modificata (8 mesi fa)

Privacy Pride reshared this.



Oscillator Needs Fine-Tuning


23841572

Since their invention more than a century ago, crystal oscillators have been foundational to electronic design. They allow for precise timekeeping for the clocks in computers as well as on our wrists, and can do it extremely accurately and inexpensively to boot. They aren’t without their downsides though; a quartz watch might lose or gain a few seconds a month due to variations in temperature and other non-ideal environmental situations, but for working in the world of high-frequency circuits this error is unacceptable. For that you might reach for something like an oven oscillator, a circuit with a temperature controlled chamber able to keep incredibly precise time.

[IMSAI Guy] found this 10 MHz oven oscillator on a site selling bulk electronics at bargain basement prices. But as is unsurprising for anyone who’s used a site like this to get cheap circuits, it didn’t quite hit its advertised frequency of 10.000000 MHz. The circuit design is capable of this amount of accuracy and precision, though, thanks to some cleverly-designed voltage dividers and filtering. One of those voltage dividers allows a potentiometer to control a very narrow range of output frequencies, and from the factory it was outputting between 9.999981 and 9.9999996 MHz. To get it to actually output a 10 MHz wave with eight significant digits of accuracy, a pull-up resistor on the voltage divider needed to be swapped out.

While this was a fairly simple fix, one might wonder how an off-the-shelf component like this would miss the mark in such an obvious way but still go into production. But that’s one of life’s great mysteries and also the fun of sourcing components like this. In this case, the oven oscillator was less than $10. But these circuits aren’t always as good of a deal as they seem.

youtube.com/embed/owS_Fgyy8Do?…


hackaday.com/2024/11/03/oscill…



Vendita di dati dell’Aeronautica Israeliana: un presunto leak mette a rischio informazioni sensibili


Recentemente, un attore di minacce cibernetiche, conosciuto come EagleStrike, ha pubblicato un annuncio su un forum nel dark web, dichiarando di essere in possesso di dati riservati riguardanti l’Aeronautica Israeliana (IAF). Secondo il post, questa raccolta di informazioni comprende dettagli critici sia per i piloti attivi che per quelli inattivi, oltre che per vari dipendenti dell’aeronautica.

Al momento, non possiamo confermare la veridicità della notizia, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo deve essere considerato come ‘fonte di intelligence’.

Dettagli del leak


L’attore di minaccia afferma che i dati raccolti contengono una varietà di informazioni personali e professionali, tra cui:

  • Gradi dei piloti e dei membri del personale
  • Posizioni occupate all’interno delle varie basi
  • Record di servizio, compreso il percorso professionale e le missioni svolte
  • Qualifiche e formazione ottenute durante la carriera.


23841551
Questa informazione dettagliata potrebbe rappresentare un rischio significativo per la sicurezza del personale coinvolto e per l’integrità operativa dell’aeronautica.

Attualmente, non siamo in grado di confermare con precisione l’accuratezza delle informazioni riportate, poiché non è stato rilasciato alcun comunicato stampa ufficiale sul sito web riguardante l’incidente.

Basi Militari Coinvolte


Il presunto leak riguarderebbe dati provenienti da diverse basi aeree israeliane, tra cui:

  • Haifa Airbase
  • Hatzor Airbase (wing4)
  • Ovda Airbase
  • Nevatim Airbase
  • Ramat David Airbase
  • Ramón Airbase
  • Tel Nof Airbase
  • Sdot Micha Airbase
  • Unità Speciali dell’Aeronautica

La menzione delle basi sopra indicate suggerisce che i dati possano includere dettagli operativi significativi, dato che molte di queste basi ospitano personale specializzato e risorse militari avanzate.

Implicazioni e Considerazioni di Sicurezza


La vendita di tali informazioni può rappresentare una minaccia non solo per l’Aeronautica Israeliana ma anche per la sicurezza nazionale di Israele. Qualora i dati fossero effettivamente autentici, potrebbero essere utilizzati per operazioni di spionaggio, sorveglianza mirata o persino per coordinare attacchi informatici. Le informazioni sui gradi, le posizioni e i dettagli di addestramento possono fornire agli avversari un quadro completo delle capacità e della struttura dell’IAF.

Contesto del Venditore e Motivi


L’attore di minacce, sotto il nome di HunterKiller Teams, ha accompagnato il post con slogan a favore della causa palestinese, suggerendo un possibile movente ideologico dietro questa presunta vendita di dati. Tuttavia, in contesti di cybercrime, moventi politici e interessi economici spesso si intrecciano, rendendo difficile determinare se lo scopo primario sia la diffusione ideologica o il profitto economico.

Conclusione


Questa situazione mette in evidenza la crescente vulnerabilità delle infrastrutture militari e delle informazioni riservate in un’era di minacce cibernetiche avanzate. La presunta vendita dei dati dell’Aeronautica Israeliana è un altro esempio dell’importanza della cybersecurity per proteggere le informazioni sensibili delle forze armate e delle istituzioni statali.

Israele e altre nazioni devono considerare misure rafforzate di protezione e controllo delle informazioni per contrastare tali minacce, che continuano a evolversi e a diventare sempre più sofisticate.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo Vendita di dati dell’Aeronautica Israeliana: un presunto leak mette a rischio informazioni sensibili proviene da il blog della sicurezza informatica.

Gazzetta del Cadavere reshared this.



Una RCE su Microsoft SharePoint consente agli Aggressori di Violare le Reti


Una Remote Code Execution (RCE) in Microsoft SharePoint, segnalata di recente e identificata come CVE-2024-38094, è stata sfruttata per ottenere l’accesso iniziale alle reti aziendali.

Il CVE-2024-38094 è una falla RCE di gravità elevata (punteggio CVSS v3.1: 7,2) che colpisce Microsoft SharePoint. Si tratta di una piattaforma basata sul Web ampiamente utilizzata che funge da strumento di collaborazione, gestione dei documenti e intranet e che può integrarsi perfettamente con le app di Microsoft 365.

Microsoft ha risolto la vulnerabilità il 9 luglio 2024, come parte del pacchetto Patch Tuesday di luglio. La scorsa settimana, il CISA ha aggiunto il CVE-2024-38094 al catalogo delle vulnerabilità note sfruttate, ma non ha condiviso il modo con cui la falla è stata sfruttata negli attacchi attivi.

Intanto un nuovo rapporto di Rapid7 di questa settimana ha fatto luce sul modo in cui gli aggressori sfruttano la falla di SharePoint, affermando che è stata utilizzata in una violazione di rete su cui erano stati incaricati di indagare.

La nostra indagine ha scoperto un aggressore che ha avuto accesso a un server senza autorizzazione e si è spostato lateralmente attraverso la rete, compromettendo l’intero dominio“, si legge nel rapporto correlato.L’aggressore è rimasto inosservato per due settimane. Rapid7 ha determinato che il vettore di accesso iniziale era lo sfruttamento di una vulnerabilità, CVE 2024-38094, all’interno del server SharePoint on-premise.”

Rapid7 segnala che gli aggressori hanno utilizzato il CVE-2024-38094 per ottenere accesso non autorizzato a un server SharePoint vulnerabile e impiantare una webshell.

L’indagine ha mostrato che il server è stato sfruttato utilizzando un exploit proof-of-concept realizzato per SharePoint divulgato pubblicamente .

Sfruttando l’accesso iniziale, l’aggressore ha compromesso un account di servizio Microsoft Exchange con privilegi di amministratore di dominio, ottenendo un accesso elevato.
23839313schema di attacco (Fonte rapid7)
Nello specifico, l’aggressore ha utilizzato uno script batch (‘hrword install.bat‘) per installare Huorong Antivirus sul sistema, configurare un servizio personali.zzato (‘sysdiag’), eseguire un driver (‘sysdiag_win10.sys’) ed eseguire ‘HRSword.exe’ utilizzando uno script VBS.

Allontanandosi dall’evento specifico per osservare l’attività circostante, i ricercatori hanno ottenuto un quadro chiaro dell’obiettivo prefissato dall’attaccante. Poco prima di installare Horoung AV, l’attaccante ha utilizzato Python per installare Impacket da GitHub e poi ha tentato di eseguirlo. Impacket è una raccolta di script Python open source per interagire con protocolli di rete, in genere utilizzati per facilitare il movimento laterale e altri obiettivi post-sfruttamento. Gli strumenti di sicurezza del sistema hanno bloccato l’esecuzione di Impacket, che ha portato al download tramite browser e all’installazione di questo prodotto AV per aggirare le difese.

Come in molte indagini di risposta agli incidenti, gli indizi identificati non sono sempre cronologici, quindi è necessario costruire una cronologia per comprendere la narrazione.

Dobbiamo cercare di scoprire in che modo l’aggressore ha compromesso il sistema o ha avuto accesso all’ambiente in primo luogo. In questa specifica indagine, l’aggressore ha avuto un tempo di permanenza di due settimane.

L'articolo Una RCE su Microsoft SharePoint consente agli Aggressori di Violare le Reti proviene da il blog della sicurezza informatica.



M.2 Makes An Unusual Microcontroller Form Factor


23831647

When we think of an m.2 slot in our laptop or similar, it’s usually in the context of its PCI connectivity for high-speed applications such as solid state disks. It’s a connector that offers much more than that interface though, making it suitable for some unexpected add-ons. As an example [MagicWolfi] has produced an m.2 card which contains the equivalent of a Raspberry Pi Pico.

The board itself has the familiar m.2 edge connector at the bottom, and the RP2040 GPIO lines as postage-stamp indentations round the edges. On the m.2 front is uses the USB interface as well as a UART and the I2C lines, as well as some of the interfaces we’re less familiar with such as ALERT, WAKE, DISABLE1/2, LED 1/2, and VENDOR_DEFINED.

On one level this provides a handy internal microcontroller card with which you can do all the things you’d expect from a Pi Pico, but on another it provides the fascinating possibility of the Pico performing a watchdog or other function for the host device. We would be genuinely interested to hear more about the use of the m.2 slot in this way.

If you’d like to know more about m.2, we’ve taken a look at it in more depth.


hackaday.com/2024/11/03/m-2-ma…




CrossBarking: Come trasformare Opera Browser in una Spia perfetta!


È stata scoperta una vulnerabilità nel browser Opera che consentiva alle estensioni dannose di ottenere un accesso non autorizzato alle API private. La vulnerabilità, chiamata CrossBarking, potrebbe consentire agli aggressori di acquisire screenshot, modificare le impostazioni del browser e assumere il controllo degli account utente, ha riferito Guardio Labs.

Guardio Labs ha dimostrato il problema pubblicando un’estensione apparentemente innocua sul Chrome Web Store. Una volta installata nel browser Opera, questa estensione ha sfruttato la vulnerabilità, trasformando l’attacco in un attacco cross-browser. Questo caso evidenzia il conflitto tra comodità e sicurezza e mostra anche come le minacce moderne possano utilizzare metodi nascosti, ha affermato Nati Tal, capo di Guardio Labs.

La vulnerabilità è stata risolta da Opera il 24 settembre 2024 dopo che gli sviluppatori sono stati informati della minaccia. Tuttavia, questa non è la prima volta che vengono scoperte vulnerabilità in questo browser. Così, all’inizio dell’anno, è stato individuato un altro problema legato alla funzione My Flow, che permetteva di eseguire file sul sistema operativo.

Il metodo di attacco principale si basa sul fatto che alcuni sottodomini di Opera hanno accesso privilegiato alle API private integrate nel browser. Questi sottodomini, come Opera Wallet e Pinboard, vengono utilizzati anche per lo sviluppo interno. Guardio Labs ha scoperto che gli script di contenuto nelle estensioni del browser possono iniettare JavaScript dannoso in sottodomini con autorizzazioni eccessive e quindi ottenere l’accesso alle API.

Questo accesso consente agli aggressori di acquisire screenshot, estrarre cookie di sessione per assumere il controllo degli account e persino modificare le impostazioni DNS del browser, reindirizzando gli utenti a server DNS controllati. Ciò apre la porta ad attacchi man-in-the-middle, in cui le vittime possono essere reindirizzate a siti bancari e social media falsi.

L’estensione può essere caricata in una qualsiasi delle directory dei componenti aggiuntivi, incluso il Chrome Web Store, e, con l’autorizzazione per eseguire JavaScript, lanciare un attacco su determinati domini con accesso all’API. Guardio Labs sottolinea l’importanza della cautela durante l’installazione delle estensioni, soprattutto perché gli store ufficiali spesso diventano una piattaforma per malware.

Guardio Labs ha inoltre osservato che la potenza delle estensioni del browser può essere pericolosa e che sono necessari controlli più severi per proteggere gli utenti. Per fare ciò, si propone non solo di rafforzare il processo di verifica, ma anche di richiedere una reale identificazione degli sviluppatori per impedire la registrazione di account utilizzando e-mail gratuite e carte prepagate.

L'articolo CrossBarking: Come trasformare Opera Browser in una Spia perfetta! proviene da il blog della sicurezza informatica.



Il ruolo della Difesa in un mondo in crisi. Il gen. Arpino spiega il significato del 4 novembre

@Notizie dall'Italia e dal mondo

[quote]Anche quest’anno, sebbene con il fiato corto dopo aver inseguito con fatica il rapido complicarsi degli eventi internazionali, ci siamo arrivati. Il 4 novembre non è una data come le altre, anche se nello scorrere della vita ogni giorno può avere un’importanza diversa. La data “4



Beth Deck is a Framework-Powered Gaming Handheld


A white handheld with a centered screen and Xbox-style controllers flanking an 8" screen. Speaker grilles are visible below the controllers in the face of the device.

DIY gaming handhelds have long been the purview of the advanced hacker, with custom enclosures and fiddly soldering making it a project not for the feint of heart. [Beth Le] now brings us a custom handheld for the beginner that can be assembled in 15 minutes and doesn’t require any soldering.

These Three 3D printed panels sit on a black surface. The white back has cooling holes in it (top), a green center plate holds a Framework laptop battery (middle), and the front frame holds the speakers, controllers, and screen (bottom)claims might seem suspicious at first, but the fact that the build is powered by a Framework mainboard makes the dream seem attainable. Using an 8″ touchscreen and a rehoused mobile device controller, the 3D printed enclosure turns the PCB and battery into an interesting alternative to a Steam Deck.

[Beth] recommends waiting for the forthcoming revision 2 to make your own as she is working on refining the model. She also suggests printing in PC or PETG since PLA is too brittle and ABS warping can be an issue for tolerances with the pogo pins. In any case, this is definitely a project to keep your eye on if you enjoy gaming on the go.

As you know, we love Framework around here and the Cambrian Explosion of high-powered custom builds it’s enabled. This isn’t the first time we’ve seen a Framework-Powered handheld either. If you’re looking for a different form factor, we’ve also seen portable all-in-ones, keyboard PCs, and slabtops too.


hackaday.com/2024/11/03/beth-d…



Viminale, Acn e non solo: chi controlla i controllori delle banche dati?


@Informatica (Italy e non Italy 😁)
Dati rubati dalle banche dati: altro che hacker dalle capacità sbalorditive e tecnologie sofisticate, sarebbero piuttosto di dipendenti infedeli della Pa ad aver passato info e dati a spioni privati. E chi dovrebbe controllare la legittimità degli accessi non ha



Uno Sviluppatore perde 723.000 dollari per un attacco alla supply-chain di NPM


La popolare libreria JavaScript e pacchetto npm Lottie Player è stata oggetto di un attacco alla catena di fornitura: gli aggressori hanno rilasciato tre nuove versioni del componente in poche ore. Di conseguenza, gli utenti che scaricano la libreria potrebbero correre un serio pericolo, poiché le nuove versioni contenevano codice dannoso destinato ai portafogli di criptovaluta. A seguito dell’attacco di phishing, almeno un utente ha perso circa 10 BTC (circa 723.000 dollari).

Nuove versioni del pacchetto chiamato @lottiefiles/lottie-player (2.0.5, 2.0.6 e 2.0.7) sono state pubblicate su npmjs.com, il più grande registro JavaScript. Prima di questo, il pacchetto era rimasto invariato da marzo 2024, quando è stata rilasciata la versione stabile 2.0.4. Tuttavia, le versioni aggiornate hanno portato inaspettatamente codice dannoso che spingeva gli utenti a connettere i propri portafogli di criptovaluta, come MetaMask, Exodus e Coinbase, tramite pop-up. Le versioni legittime del pacchetto non contenevano tali funzioni, il che consentiva di identificare rapidamente modifiche dannose.

Una minaccia particolare è rappresentata dalla distribuzione automatica di codice dannoso attraverso le reti di distribuzione dei contenuti (CDN). Gli utenti che accedevano ai siti Web utilizzando Lottie Player si sono trovati di fronte a improvvisi pop-up che chiedevano loro di connettere i portafogli di criptovaluta al sito. Queste finestre assomigliavano alle interfacce ufficiali dei popolari servizi di crittografia, ma erano configurate in modo tale da impossessarsi delle risorse finanziarie degli utenti. Gli aggiornamenti dannosi includevano interfacce false basate sugli SDK ufficiali del portafoglio crittografico, che creavano un’ulteriore illusione di sicurezza.

L’attacco è stato reso possibile grazie alla compromissione del token di accesso di uno degli sviluppatori, che disponeva dei diritti necessari per pubblicare nuove versioni. LottieFiles ha prontamente rimosso le versioni infette 2.0.5–2.0.7 e rilasciato un aggiornamento sicuro 2.0.8, che replica esattamente la funzionalità della versione stabile 2.0.4. Per quegli utenti che non possono aggiornare immediatamente, si consiglia di tornare temporaneamente alla versione stabile precedente e anche di avvisare gli utenti finali sui rischi derivanti dalla connessione dei portafogli crittografici a risorse esterne.

Danni finanziari su larga scala dovuti ad un attacco di questo tipo sono stati registrati grazie alla piattaforma anti-phishing Scam Sniffer, che ha confermato la perdita di almeno un utente per un importo di 10 BTC (circa 723.000 dollari). Sebbene non sia ancora noto il numero esatto degli utenti colpiti, l’attacco ha rappresentato una seria lezione per sviluppatori e utenti, dimostrando quanto siano importanti le precauzioni quando si lavora con codice open source.

Gli esperti di sicurezza consigliano agli sviluppatori che utilizzano librerie di CDN di terze parti di utilizzare il blocco della versione per evitare di ricevere automaticamente aggiornamenti dannosi. Si suggerisce inoltre di utilizzare una rigorosa Content Security Policy (CSP), che riduce il rischio di introdurre codice di terze parti nel sito.

L’evento ha ricordato l’importanza della gestione della catena di fornitura e del monitoraggio della sicurezza delle librerie in uso. Nell’ambiente odierno, tali attacchi al codice open source stanno diventando sempre più sofisticati e gli aggressori possono utilizzare interfacce false e metodi sofisticati per iniettare codice dannoso.

L'articolo Uno Sviluppatore perde 723.000 dollari per un attacco alla supply-chain di NPM proviene da il blog della sicurezza informatica.



Gli Hacker si danno alla distribuzione Elettrica. Costo Basso Anche Senza Black Friday!


In India, nella città di Jabalpur, si è scoperto un nuovo tipo di hackeraggio: quello dell’elettricità. Il Dipartimento dell’Elettricità ha svelato un elaborato schema di frode in cui i contatori elettrici venivano manomessi per consumare elettricità senza che venisse registrata correttamente.

Durante un raid nella zona di Ghamapur, i funzionari del Dipartimento dell’Elettricità hanno scoperto la frode condotta da Kailash Kori, un ex dipendente del settore, il quale utilizzava tecniche illegali per alterare i contatori elettrici.
23810113Stock contatori elettrici recuperati (Fonte ETV Bharat)
Kailash Kori aveva sviluppato un metodo che consentiva di installare uno “shunt” nei contatori, manipolando i valori registrati dal dispositivo. Questo permetteva ai suoi clienti di continuare a utilizzare l’elettricità mentre il contatore mostrava valori molto bassi, evitando così costi elevati per il consumo reale. Il raid condotto dai funzionari, guidati dall’ingegnere esecutivo Sanjay Arora, ha portato al ritrovamento di 17 vecchi contatori presso la residenza di Kori, il quale è riuscito a fuggire prima dell’arrivo della polizia.

Le indagini hanno rivelato che Kori operava una vera e propria “industria artigianale” da casa sua, manomettendo i contatori elettrici con l’obiettivo di ridurre artificialmente il consumo registrato. Questo tipo di truffa ha causato ingenti danni economici al Dipartimento dell’Elettricità di Jabalpur, e il numero esatto dei contatori manomessi non è ancora stato confermato.

La polizia e il Dipartimento dell’Elettricità hanno avviato una serie di indagini approfondite per scoprire l’entità del danno e quantificare le perdite subite. Un procedimento penale è stato già pianificato contro Kailash Kori, il quale, a causa di precedenti difficoltà lavorative, aveva creato un metodo per truffare l’intero sistema elettrico della città.

Il caso ha sollevato serie preoccupazioni sulla sicurezza e l’integrità dei sistemi di misurazione dell’energia in India. Le autorità stanno ora valutando ulteriori misure di sicurezza per prevenire futuri tentativi di manomissione e frode nel settore elettrico, soprattutto in vista di periodi di alta domanda come le festività di Diwali.

L'articolo Gli Hacker si danno alla distribuzione Elettrica. Costo Basso Anche Senza Black Friday! proviene da il blog della sicurezza informatica.



Transforming Pawn Changes the Game


White pieces on a teal and white chess board. The line of pawns shows three segmented queens in the foreground, one piece being pressed by a man's hand from above in a state between queen and pawn, and the remainder of the pawns in the background in the pawn state.

3D printing has allowed the hobbyist to turn out all sorts of interesting chess sets with either intricate details or things that are too specialized to warrant a full scale injection molded production run. Now, the magic of 3D printing has allowed [Works By Design] to change the game by making pawns that can automatically transform themselves into queens.

Inspired by a CGI transforming chess piece designed by [Polyfjord], [Works By Design] wanted to make a pawn that could transform itself exist in the real world. What started as a chonky setup with multiple springs and a manually-actuated mechanism eventually was whittled down to a single spring, some pins, and four magnets as vitamins for the 3D printed piece.

We always love getting a peek into the trial-and-error process of a project, especially for something with such a slick-looking final product. Paired with a special chess board with steel in the ends, the magnets in the base activate the transformation sequence when they reach the opposite end.

After you print your own, how about playing chess against the printer? We’d love to see a version machined from metal too.

Thanks to [DjBiohazard] on Discord for the tip!

youtube.com/embed/CSOnnle3zbA?…


hackaday.com/2024/11/02/transf…



Measuring Temperature Without a Thermometer


23797605

If you need to measure the temperature of something, chances are good that you could think up half a dozen ways to do it, pretty much all of which would involve some kind of thermometer, thermistor, thermocouple, or other thermo-adjacent device. But what if you need to measure something really hot, hot enough to destroy your instrument? How would you get the job done then?

Should you find yourself in this improbable situation, relax — [Anthony Francis-Jones] has you covered with this calorimetric method for measuring high temperatures. The principle is simple; rather than directly measuring the temperature of the flame, use it to heat up something of known mass and composition and then dunk that object in some water. If you know the amount of water and its temperature before and after, you can figure out how much energy was in the object. From that, you can work backward and calculate the temperature the object must have been at to have that amount of energy.

For the demonstration in the video below, [F-J] dangled a steel ball from a chain into a Bunsen burner flame and dunked it into 150 ml of room-temperature water. After a nice long toasting, the ball went into the drink, raising the temperature by 27 degrees. Knowing the specific heat capacity of water and steel and the mass of each, he worked the numbers and came up with an estimate of about 600°C for the flame. That’s off by a wide margin; typical estimates for a natural gas-powered burner are in the 1,500°C range.

We suspect the main source of error here is not letting the ball and flame come into equilibrium, but no matter — this is mainly intended as a demonstration of calorimetry. It might remind you of bomb calorimetry experiments in high school physics lab, which can also be used to explore human digestive efficiency, if you’re into that sort of thing.

youtube.com/embed/JWXzLOUMFzw?…


hackaday.com/2024/11/02/measur…



The Phantom PSP: Crafting The Handheld Sony Never Sold


Custom built Playstation handheld

In the world of retro gaming, some legends never die – especially the ‘phantom’ PSP, Sony’s mythical handheld that never saw the light of day. While that elusive device remains a dream, hacker and gaming wizard [Kyle Brinkerhoff] built his own – and Macho Nacho made a video about it. His creation, which also goes by the name ‘Playstation Zero’, isn’t just another handheld emulator; it’s a powerful, custom-built system that revives the classics and plays them on a portable device that feels like the future.

Driven by a hunger for the ultimate gaming experience, [Kyle] set out to blend modern tech with retro gaming magic. He started with the Raspberry Pi, loading it up with emulation software for all the iconic systems—from NES and SNES to the Sega Genesis and Game Boy. But [Kyle] didn’t just slap on an off-the-shelf emulator; he dived into the code himself, optimizing and tweaking for lightning-fast responsiveness, so each game plays like it’s running on the original hardware. That’s hacking in true form: pushing the limits of software and hardware until they work exactly the way you want them to. Best of all: he published it all open source for others to use.

23790380In the spirit of the Geneboy—a handheld Sega Genesis built by [Downing] and featured on Hackaday back in 2012—[Kyle]’s device pairs handheld emulation with the consoles all nineties kids wanted for Christmas. To capture the tactile thrill of vintage gaming, [Kyle] went a step further by designing and 3D-printing a custom controller layout that mimics the feel of the original systems. If watching someone neatly soldering a pcb sounds relaxing to you, don’t skip the middle part of his video. Although this little beast is packed with all bells and whistles you’d expect to see on a Raspberry Pi, it does lack one serious thing: battery life. But, [Kyle] is open about that, and hopes to improve on that in a future version.

If you want to see the full build, check out the video below. Or, immediately dive into [Kyle]’s Github, order the cute Takara shell, and get started!

youtube.com/embed/PxQ2tC1WZbw?…


hackaday.com/2024/11/02/the-ph…



Genesi


Genesi: « In quel giorno il Signore concluse questa alleanza con Abram: alla tua discendenza io do questo paese dal fiume d'Egitto al grande fiume, il fiume Eufrate; il paese dove abitano i Keniti, i Kenizziti, i Kadmoniti, gli Hittiti, i Perizziti, i Refaim, gli Amorrei, i Cananei, i Gergesei, gli Evei e i Gebusei».

Gli ha promesso una terra come Totò promise la Fontana di Trevi al turista e questi ancora oggi pretendono di far valere 'sto contratto...



Postel multata dal Garante: 900.000 euro per gravi violazioni sui dati personali


In un’era in cui la protezione dei dati è una questione di primaria importanza, anche grandi realtà come Postel, parte del Gruppo Poste Italiane, non sono esenti da errori. Recentemente, il Garante per la protezione dei dati personali ha imposto a Postel S.p.A. una sanzione di 900.000 euro per una grave violazione dei dati personali, conseguente a un attacco ransomwarerivendicato dal gruppo di cybercriminali Medusa.

Questo attacco ha causato l’esfiltrazione di file contenenti i dati di circa 25.000 utenti, successivamente pubblicati nel Dark Web, mettendo seriamente a rischio la privacy e la sicurezza di migliaia di persone.

Di seguito un estratto dal sito del Garante
In data 17 agosto 2023, Postel S.p.A. (di seguito, la Società) ha notificato al Garante, ai sensi dell’art. 33 del Regolamento, una violazione dei dati personali, più volte integrata dalla stessa fino all’invio della versione definitiva il 4 ottobre 2023.

Con la predetta segnalazione, la Società ha comunicato di avere subito “un attacco informatico di tipo ransomware oggetto di successiva rivendicazione da parte della cybergang denominata Medusa. Tale attacco ha comportato il blocco di alcuni server e di alcune postazioni di lavoro [della Società], con conseguente attivazione delle procedure di recovery/restore”.

In particolare, l’attacco ha comportato l’esfiltrazione (e la successiva pubblicazione nel dark web) di file contenenti dati personali afferenti ai lavoratori dell’azienda (inclusi lavoratori cessati), ai congiunti dei lavoratori, ai titolari di cariche societarie (membri del consiglio di amministrazione, del collegio sindacale e dell’organismo di vigilanza), a candidati a posizioni lavorative, nonché a esponenti delle imprese intrattenenti rapporti commerciali con la Società.

Per alcuni file presenti nelle cartelle di rete, la Società non è stata in grado di provvedere al ripristino e, di conseguenza, limitatamente a tali dati si è verificata anche la perdita di disponibilità.

Sulla base di quanto dichiarato dalla Società nella notifica al Garante, la violazione ha riguardato, nel complesso, circa 25.000 interessati e le categorie di dati personali oggetto di violazione sono state molteplici: dati anagrafici; dati di contatto; dati di accesso e di identificazione; dati di pagamento; dati relativi a condanne penali e ai reati; dati relativi a documenti di identificazione/riconoscimento; dati che rivelano l’appartenenza sindacale; dati relativi alla salute.

In data 13 ottobre 2023, considerata l’assenza, all’interno della notifica definitiva inviata dalla Società, di elementi ritenuti necessari per l’esercizio, da parte dell’Autorità, dei compiti e dei poteri previsti dal Regolamento, sono state richieste informazioni alla Società in merito, in particolare, alle vulnerabilità utilizzate per portare a compimento l’attacco subito e alle informazioni fornite, in qualità di responsabile del trattamento, ad altri titolari i cui dati erano stati coinvolti nella violazione.
La multa di 900.000 euro non è solo una punizione, ma un chiaro segnale a tutte le aziende: la sicurezza dei dati personali è un obbligo. Il Garante ha voluto sottolineare che la conformità al GDPR non è un dettaglio trascurabile, ma un requisito fondamentale. Chi non prende sul serio la protezione dei dati rischia non solo sanzioni economiche, ma anche danni reputazionali difficili da recuperare.

Una lezione per tutte le aziende


Questo episodio deve servire da monito per tutte le imprese: la sicurezza non può essere sottovalutata. In un contesto in cui gli attacchi informatici e le violazioni dei dati sono sempre più frequenti, è indispensabile adottare misure di protezione avanzate. Le aziende devono essere proattive nella protezione dei dati personali, non solo per rispettare le normative, ma per salvaguardare la fiducia dei propri clienti.

Il caso Postel dimostra quanto possano essere gravi le conseguenze di una gestione inadeguata della sicurezza informatica. Le sanzioni economiche sono solo una parte del problema: il vero rischio è la perdita di fiducia da parte dei clienti e del mercato.

In un’epoca dove la sicurezza è al centro del dibattito, le aziende devono trattare la protezione dei dati personali come una priorità assoluta. Non si tratta solo di evitare multe, ma di garantire che il rapporto con i clienti rimanga solido e trasparente.

Fonte: Garante per la protezione dei dati personali, comunicato ufficiale sulla sanzione a Postel S.p.A., disponibile sul sito ufficiale del Garante

L'articolo Postel multata dal Garante: 900.000 euro per gravi violazioni sui dati personali proviene da il blog della sicurezza informatica.



3D Printed Hardware Sorter Keeps It Simple


23779448

If you’re like us, you’ve got at least one bin dedicated to keeping the random hardware you just can’t bear to part with. In our case it’s mostly populated with the nuts and bolts left over after finishing up a car repair, but however it gets filled, it’s a mess. The degree to which you can tolerate this mess will vary, but for [EmGi], even a moderately untidy pile of bolts was enough to spur this entirely 3D-printed mechanical bolt sorter.

The elements of this machine bear a strong resemblance to a lot of the sorting mechanisms we’ve seen used on automated manufacturing and assembly lines. The process starts with a hopper full of M3 cap head bolts of varying lengths, which are collated by a pair of elevating platforms. These line up the bolts and lift them onto a slotted feed ramp, which lets them dangle by their heads and pushes them into a fixture that moves them through a 90° arc and presents them to a long sorting ramp. The ramp has a series of increasingly longer slots; bolts roll right over the slots until they find the right slot, where they fall into a bin below. Nuts can also feed through the process and get sorted into their own bin.

What we like about [EmGi]’s design is its simplicity. There are no motors, bearings, springs, or other hardware — except for the hardware you’re sorting, of course. The entire machine is manually powered, so you can just grab a handful of hardware and start sorting. True, it can only sort M3 cap head bolts, but we suspect the design could be modified easily for other sizes and styles of fasteners. Check it out in action in the video below.

Just because it’s simple doesn’t mean we don’t like more complicated hardware sorters, like the ones [Christopher Helmke] builds.

youtube.com/embed/hfy3Dl0R-lA?…

Thanks to [john] for the tip.


hackaday.com/2024/11/02/3d-pri…



Supercon 2024: Streaming Live


23771383

The 2024 Hackaday Supercon is on in Pasadena, but if you couldn’t make it to sunny California this year, don’t worry. We’ve got a live stream of the main stage talks, and all of the second track talks are being recorded and will be put up on the YouTube channel after the con.

If you’re watching from home and want to join the conversation, today might be a good time to join the official Hackaday Discord server.

youtube.com/embed/V57f5YltIwk?…


hackaday.com/2024/11/02/superc…



Don’t Forget Your Curve Tracer


23769697

As cheap microcontrollers have given us an impressive range of test equipment trinkets to play with, it’s easy to forget some of the old standabys. A curve tracer for example, the relatively simple circuit allowing the plotting of electronic component response curves on an oscilloscope. Lest we forget this useful device, here’s [Gary LaRocco] with a video describing one that’s so easy to build, anyone could do it.

It’s a simple enough premise, a low AC voltage comes from a mains transformer and is dropped down to the device under test through a resistor. The X and Y inputs of the ‘scope are configured to show the current and the voltage respectively, and the result is a perfect plot of the device’s IV curve. The best part is that it’s designed for in-circuit measurement, allowing it to be used for fault-finding. There’s a demonstration at the end with a variety of different parts, lest we needed any reminder as to how useful these devices can be.

The cost of one of these circuits is minimal, given that the transformer is likely to come from an old piece of consumer electronics. It’s not the first simple curve tracer we’ve seen, but we hope it will give you ideas. The video is below the break.

youtube.com/embed/SORi-WNxjaI?…


hackaday.com/2024/11/02/dont-f…



The Tsushin Booster – A PC Engine Modem Add-on With a Twist


23764228

Sometimes, hardware projects get cancelled before they have a chance to make an impact, often due to politics or poor economic judgment. The Tsushin Booster for the PC Engine is one such project, possibly the victim of vicious commercial games between the leading Japanese console manufacturers at the tail end of the 1980s. It seems like a rather unlikely product: a modem attachment for a games console with an added 32 KB of battery-backed SRAM. In addition to the bolt-on unit, a dedicated software suite was provided on an EPROM-based23764230 removable cartridge, complete with a BASIC interpreter and a collection of graphical editor tools for game creation.

Internally, the Tsushin booster holds no surprises, with the expected POTS interfacing components tied to an OKI M6826L modem chip, the SRAM device, and what looks like a custom ASIC for the bus interfacing.

It was, however, very slow, topping out at only 1200 Baud, which, even for the period, coupled with pay-by-minute telephone charges, would be a hard sell. The provided software was clearly intended to inspire would-be games programmers, with a complete-looking BASIC dialect, a comms program, a basic sprite editor with support for animation and 23764232even a map editor. We think inputting BASIC code via a gamepad would get old fast, but it would work a little better for graphical editing.

PC Engine hacks are thin pickings around these parts, but to understand a little more about the ‘console wars’ of the early 1990s, look no further than this in-depth architectural study. If you’d like to get into the modem scene but lack original hardware, your needs could be satisfied with openmodem. Of course, once you’ve got the hardware sorted, you need some to connect to. How about creating your very own dial-up ISP?


hackaday.com/2024/11/02/the-ts…



Colpo al Cuore del Cybercrimine! Chiusa Dstat.cc, L’HUB Globale Per Gli Attacchi DDoS


Le forze dell’ordine hanno condotto un’operazione per eliminare la piattaforma Dstat.cc, utilizzata per coordinare gli attacchi DDoS. Nell’ambito dell’operazione internazionale “PowerOFF” sono stati arrestati due sospettati che gestivano questa piattaforma, che fungeva da servizio di verifica DDoS per diversi tipi di attacchi.

Dstat.cc non forniva direttamente servizi DDoS, ma fungeva da piattaforma in cui gli aggressori condividevano informazioni sull’efficacia dei loro attacchi. Attraverso il canale Telegram della piattaforma, che contava 6.600 membri, i criminali informatici discutevano degli ultimi attacchi e offrivano i loro servizi. Questo canale è ora bloccato e i messaggi sono eliminati.

L’operazione è stata avviata dall’Ufficio centrale per la criminalità informatica della procura di Francoforte e supportata dalla polizia federale e statale tedesca. Gli arrestati erano uomini di età compresa tra 19 e 28 anni, sospettati di gestire il mercato di droghe sintetiche Flight RCS, che è di pubblico dominio.

Secondo l’Ufficio penale federale tedesco, piattaforme come Dstat.cc, che offrono i cosiddetti servizi “stress”, vengono utilizzate attivamente dagli hacktivisti, tra cui Killnet e Passion, per attaccare infrastrutture critiche in Europa e negli Stati Uniti, compresi ospedali e strutture sanitarie.

Gli “Stressor” sono servizi online progettati per eseguire stress testing di siti Web o sistemi di rete simulando grandi volumi di traffico. Inizialmente, tali strumenti erano stati sviluppati per scopi legali, per verificare come un sistema potesse sopportare carichi elevati. Tuttavia, i fattori di stress vengono spesso utilizzati dagli aggressori per eseguire attacchi DDoS (Distributed Denial of Service), sovraccaricando il server o la rete della risorsa bersaglio con un numero enorme di richieste, il che porta alla temporanea indisponibilità del servizio.

Nell’ambito dell’operazione PowerOFF, sono state effettuate perquisizioni e sequestri in sette siti in Germania, Francia, Grecia, Islanda e Stati Uniti. I sospettati arrestati saranno processati ai sensi dell’articolo 127 del codice penale tedesco, che prevede una pena fino a dieci anni di reclusione.

Questa non è la prima volta che Operation PowerOFF interrompe le attività dei servizi DDoS. In precedenza, le piattaforme DigitalStress nel Regno Unito e molti altri “stresser” in Polonia erano state bloccate. Negli ultimi due anni, gli attacchi DDoS hanno guadagnato popolarità tra gli attivisti che cercano di utilizzare gli attacchi informatici per pressioni politiche o ricatti.

È interessante notare che molti utenti che forniscono risorse per gli attacchi non si rendono conto dell’illegalità di tali azioni. Ad esempio, la polizia dei Paesi Bassi ha recentemente emesso avvisi agli utenti di uno dei loro servizi precedentemente chiusi, avvertendoli delle conseguenze del proseguimento di tali attività.

L'articolo Colpo al Cuore del Cybercrimine! Chiusa Dstat.cc, L’HUB Globale Per Gli Attacchi DDoS proviene da il blog della sicurezza informatica.



Zone grigie: come un cavo O.MG può trasformarsi in uno strumento spia camuffandosi in caricabatteria


La sicurezza è un’illusione? Ryan Montgomery, ethical hacker e fondatore di Pentester.com e noto per la sua lotta contro i predatori online e lo sfruttamento minorile, motra come un cavo O.MG – simile ad un normale caricabatterie – può dare a chiunque l’accesso completo ai nostri dispositivi in modalità wireless. Ma Il concetto di cavi di attacco dannosi non è così nuovo.

cavo omg ryan montgomeryFonte immagine: Ryan M. Montgomery X

Nello specifico il cavo O.MG è uno strumento utilizzato per il pentesting, ma il pericolo del suo uso improprio dovrebbe dare seri input alla sicurezza informatica e sollevare questioni etiche, poichè nella mani sbagliate si può trasformare in un’arma informatica. Un caricabatterie dall’aspetto innocente, così, può essere la fonte di molteplici capacità di attacco verso un “target prezioso” che non se lo aspetta, soprattutto se esposto in posti pubblici come alberghi, aeroporti, centri congressi e via dicendo. Nessuno normalmente infatti pensa che dietro ad un normale caricabatterie potrebbe nascondersi un pericolosa minaccia.

Progettato esternamente come un normale cavo di ricarica per smartphone, il cavo O.MG all’apparenza assomiglia ad un semplice cavo USB. Tuttavia sotto la sua innocente apparenza si trova un piccolo e potente chip, in grado di iniettare comandi nel dispositivo host a cui è collegato e che può essere controllato a distanza. Non si tratta quindi di un semplice cavo USB, ma di un sistema di HID (Human Interface Device), che permette l’accesso “al computer della vittima senza essere davvero lì”.

Dentro il cavo – con una lunghezza media tra 1 e 2 metri – si trova un chip Wi-Fi, un mini computer che emula una tastiera e che può digitare 860 caratteri per secondo – l’essere umano ne digita circa 300 al minuto – consentendo di registrare segretamente le sequenze di tasti, garantendo un accesso silenzioso alle informazioni riservate ed esponendo così password, dati personali e altri dati privati. Non solo.

In un’intervista video su Shawn Ryan Show PodcastHack ANY Cell Phone – Hacker Shows How Easy It Is To Hack Your Cell Phone”, Ryan Montgomery ne illustra i potenziali utilizzi pericolosi, che possono arrivare anche a minare la sicurezza dei dati sensibili. Necessario, sarebbe utilizzare un USB Data Blocker, per bloccare i pin dei dati, impedendo il flusso di informazioni non autorizzato. Compatibile con vari dispositivi, tra cui Windows, macOS, iPhone e Android, ha capacità che vanno ben oltre la semplice registrazione delle sequenze di tasti, tra cui un attacco Keystroke Injection, inviando comandi dannosi alla macchina di destinazione. Le possibilità di attacco sono molteplici, come l’avvio di software, il download di malware o il furto di dati sensibili come le password di Chrome. Da keylogger furtivo, O-MG PUò registrare ogni tasto premuto – fino a 650.000 voci memorizzate nella sua memoria integrata, tra cui password, dati bancari e persino le bozze di tweet, assicura Montgomery.

Una volta comprato il cavo è necessario clonare il repository Git ufficiale per ottenere l’ultimo firmware e caricarlo e come analizzato da NGSecurity può essere configurato in modalità client, fornendo le credenziali per una rete Wi-Fi esistente e si può infine attivare anche un meccanismo di autodistruzione per cancellare tutti i dati.

Gli hacker sono sempre impegnati a scoprire nuove exploit: già però nel 2019, il ricercatore di sicurezza Mike Grover, aveva evidenziato la questione spiegando come il cavo (kit Offensive MG), quando è collegato, può essere utilizzato per sfruttare da remoto qualsiasi computer a cui è collegato. “Dopo il payload iniziale, non c’è nulla di visibile sullo schermo, e tuttavia l’aggressore può controllare il computer da remoto o esplorare il file system”. Grover aveva avverito: “i “cavi di ricarica” ​​USB-C e Lightning di OMG sono indistinguibili dagli originali”: non bisognerebbe di seguito mai utilizzare cavi o dispositivi di cui non si sa nulla su nessuna delle sue tecnologie, soprattutto unità USB non autorizzate in circolazione da anni e i malintenzionati hanno scoperto negli anni nuovi modi per usare le porte USB pubbliche, per introdurre malware e software di monitoraggio nei dispositivi.

Se gli autori delle minacce “hanno la capacità di installare malware sui cavi di ricarica USB”, ha affermato Moore, “possono quindi compromettere i dispositivi elettronici e i loro dati durante la ricarica”.

Il ‘papà’ di O.MG, l’unità Cottonmouth-I utilizzato dall’NSA


cottonmouth i nsa

Ora sul mercato europeo a 240 euro circa – grazie a sviluppatori indipendenti – in origine fu progettato per consentire ai Red Team di emulare scenari di attacco verso gli avversari. In origine il suo costo raggiungeva un prezzo che sia aggirava sui 20.000 dollari ad unità (Cottonmouth-I, NSA) e che forniva un bridge wireless in una rete target con la capacità di caricare software exploit sui PC target.

cavo omgFonte immagine: OMG Cable, LAB401

Tra le specifiche di Cottonmouth-I riportate da Schneier on Security:

  • il collegamento RF consentirà l’infiltrazione e l’esfiltrazione di comandi e dati.
  • CM-I comunicherà anche con il software Data Network Technologies (DNT) (STRAITBIZARRE) tramite un canale nascosto implementato su USB, utilizzando questo canale di comunicazione per passare comandi e dati tra impianti hardware e software.
  • CM-I sarà un impianto conforme a GENIE basato su CHIMNEYPOOL.
  • CM-I nasconde componenti digitali (TRINITY), hub USB 1.1 FS, switch e ricetrasmettitore RF HOWLERMONKEY (HM) all’interno del connettore del cavo USB Series-A.
  • MOCCASIN è la versione collegata in modo permanente a una tastiera USB. Un’altra versione può essere realizzata con un connettore USB non modificato all’altra estremità.
  • CM-I ha la capacità di comunicare con altri dispositivi CM tramite il collegamento RF utilizzando un protocollo over-the-air chiamato SPECULATION.

cottonmouth iFonte immagine: Schneir on Security

Questo poi ci porterebbe poi al gruppo Tailored Access Operations (TAO) della NSA, al servizio di intelligence, noto con il nome in codice FOXACID, al leak su un catalogo non più presente in rete e alla capacità di monitorare un bersaglio attraverso un cavo o un router monitorato, determinando a quale sito Web la persona bersaglio stava tentando di accedere.

L'articolo Zone grigie: come un cavo O.MG può trasformarsi in uno strumento spia camuffandosi in caricabatteria proviene da il blog della sicurezza informatica.