Negli ultimi giorni gli operatori dei nodi Tor hanno iniziato a ricevere in massa notifiche di abusi. Le notifiche si riferiscono a tentativi di accesso SSH falliti causati da presunti attacchi da parte dei loro host, indicando attacchi di forza bruta.

In genere, i nodi Tor inoltrano solo il traffico tra i nodi di origine e di destinazione della rete Tor e non dovrebbero avviare connessioni SSH per aprire host su Internet, soprattutto con attacchi di forza bruta.

Tuttavia, l’analisi di un ricercatore sotto lo pseudonimo “delroth” ha dimostrato che la maggior parte dei nodi Tor non genera traffico SSH.

Si scopre che gli aggressori stanno falsificando gli indirizzi IP dei nodi Tor, conducendo attacchi di forza bruta su larga scala su honeypot e reti con sistemi di rilevamento delle intrusioni che segnalano automaticamente attività sospette, con conseguenti false notifiche di abuso ai nodi Tor.

Di conseguenza, gli host che ricevono più tentativi di accesso falliti finiscono nelle liste nere, in quanto gli IP avranno una “cattiva reputazione”. Ciò porta molti provider a disabilitare tali host, a volte senza possibilità di riattivazione.

Gli attacchi hanno lo scopo di indebolire l’infrastruttura dei nodi Tor, creando un’ondata di denunce di abusi. Al momento, l’attività dannosa è moderata e gli aggressori rimangono sconosciuti.

Mentre gli operatori dei nodi Tor vengono incoraggiati a presentare ricorsi e a implementare nodi aggiuntivi per sostituire quelli persi, ai fornitori stessi viene chiesto di esaminare attentamente i reclami per evitare falsi divieti.

L'articolo Indebolire la Rete TOR. I Relay Bombardati da Richieste Malevole per metterli in Blacklist proviene da il blog della sicurezza informatica.

This year we challenged the Hackaday community to develop Shitty Simple Supercon Add-Ons (SAO) that did more than just blink a few LEDs. The SAO standard includes I2C data and a pair of GPIO pins, but historically, they’ve very rarely been used. We knew the talented folks in this community would be able to raise the bar, but as they have a tendency to do, they’ve exceeded all of our expectations.

As we announced live during the closing ceremony at the 2024 Hackaday Supercon, the following four SAOs will be put into production and distributed to all the attendees at Hackaday Europe in Spring of 2025.

Best Overall: SAO Multimeter

For the “Best Overall” category, we only intended to compare it with the other entries in the contest. But in the end, we think there’s a strong case to be made that [Thomas Flummer] has created the greatest SAO of all time. So far, anyway.

This add-on is a fully functional digital multimeter, with functions for measuring voltage, resistance, and continuity. The design is a pure work of art, with its structure combining stacked PCBs and 3D printed parts. There’s even tiny banana plugs to connect up properly scaled probes. Incredible.

In the documentation [Thomas] mentions there are additional functions he didn’t have time to include in the firmware, such as modes to analyze the I2C and GPIO signals being received. Now that it’s been selected for production, we’re hoping he’ll have the time to get the code finished up before its European debut.

Fun: Etch sAo Sketch

This SAO recreates the iconic art toy in a (hopefully) non-trademarked way, with a 1.5″ inch 128 x 128 grayscale OLED display and a pair of trimpots capped with 3D printed knobs. Drawing is fun enough, but the nostalgia really kicks in when you give it a good shake — the onboard LIS3DH 3-axis accelerometer picks up the motion and wipes the display just like the real thing.

Created by [Andy Geppert], this SAO isn’t just a pretty face. Flipping it over shows an exceptionally clever technique for connecting the display board to the main PCB. Tiny metal balls (or “alignment spheres” if you want to get fancy) mate up with the mounting holes on the OLED board and center it, and a touch of solder locks it all in place.

Fine Art: Bendy SAO

While this wacky, waving, inflatable, arm-flailing SAO might look like the sort of thing that would be outside of a used car dealership, but creator [debraansell] managed to shrink it down so the point that it’s reasonable to plug into your badge. More or less.

There are several fascinating tricks at work here, from lighting the PCB from the back using side-firing LEDs to the integrated slip rings. If this one didn’t look so good, it would have been a strong contender for the “Least Manufacturable” Honorable Mention.

Functional: Vectrex SAO

Creating a replica of the Vectrex at SAO scale would have been an impressive enough accomplishment, but [Brett Walach] took this one all the way and made it playable.

The display is a 7 x 10 Charlieplexed LED matrix, while the “joystick” is implemented with a 1-button capacitive touch sensor. A PIC16F886 microcontroller runs the simplified version of Scramble, and there’s even a speaker for era-appropriate audio.

But that’s not all! This SAO was also designed to be hacked — so not only is all the hardware and software open source, but there’re various jumpers to fiddle with various settings and an I2C control protocol that lets you command the action from the badge.

Honorable Mentions

As usual, this contest had several Honorable Mentions categories — while we would have loved to put all of these SAOs into production, there’s only so much we can do before now and Spring.

Best Communication:

Using I2C to get SAOs to talk to the badge (or each other) was a big part of this contest, but we were also on the lookout for entries which helped facilitate badge-to-badge communications.

The Badge Tag NFC SAO from [Thomas Flummer] is a perfect example of both — it uses the NXP NTAG I2C Plus to provide 2K of read-write storage that can be accessed either internally through the I2C bus by the badge, or externally by an NFC device such as a smartphone. Modeled after a traditional conference name tag, this SAO was designed to make it easier for sharing your contact info with others during a busy con.

Infrared Communication SAO by [Alec Probst] brings infrared communications to the party, while looking like a classic TV remote. Though the original idea was to get this working in conjunction with the badge to act as a sort of TV-B-Gone, it ended up being used as part of a laser tag game during Supercon.

The GAT Nametag SC8 from [true] tackles communication on a more human level by providing a digital name tag for your badge. This compact board’s secret trick is the ability to make sure your name is legible no matter what its orientation thanks to a LIS2DW12 accelerometer that can detect the SAO’s orientation relative to the ground. RGB LEDs catch the viewer’s eye, but it’s the incredible firmware with seemingly endless options for text styling and tweaks that really set this build apart.

Light Show:

There’s little question that Featuring You! from [Nanik Adnani] is a perfect entry for this category. Nominally, it’s a little arrow you can write your name on and use a name tag. But power it up and you can dazzle anyone standing too close with its array of marching white LEDs. In a particularly nice touch, the circuit is implemented with only discreet components — no microcontroller.

The reDOT_RGB from [Alex] is a tiny 5×7 RGB LED matrix with a minuscule ATtiny816 MCU around the back to control the show. At just 8 x 11 mm, it’s hard to overstate just how tiny this SAO is.

While on the subject of tiny boards, the
Persistence of Vision POV Display is another entry not much larger than the SAO connector itself. Using a row of five tiny white LEDs and a ADXL345 accelerometer, [Michael Yim] is able to write text in mid-air thanks to the gullibility of the human eye.

Least Manufacturable:

Simple Add-Ons are essentially an art form, so it’s not surprising to find that they don’t often lend themselves to mass production. Several of the entries this yeah would be a real challenge to make in large numbers, but the one that really keeps us up at night is the ultra tiny smart SAO from [Alex].

This board is designed to fit inside the space between four header pins. Thanks, but no thanks.

Raising the Bar

Our hope this year was to elevate the Simple Add-On from a decorative piece of flair to something functional, and potentially, even useful. The results were incredible, and while we can only pick four winners this time around, every entry helped push the state-of-the-art forward in its own way. It’s hard to imagine how the SAO envelope can be pushed any further, but we can’t wait to find out.

hackaday.com/2024/11/04/superc…

Gli sviluppatori KDE hanno iniziato a sviluppare una distribuzione KDE Linux indipendente, nome in codice “Project Banana”, che è stata una delle discussioni centrali alla recente conferenza Akademy 2024. Questa distribuzione viene creata come piattaforma universale adatta agli sviluppatori, agli utenti e agli OEM hardware di KDE. Le immagini di sistema, disponibili per l’avvio da unità USB, aiutano a monitorare i progressi dello sviluppo.

L’obiettivo principale del progetto è creare una distribuzione supportata dalla comunità, integrata con le tecnologie KDE e rivolta agli utenti e ai produttori di hardware. Le priorità di KDE Linux includono l’affidabilità del sistema, la sicurezza, l’uso di tecnologie moderne e un meccanismo semplificato di ripristino dagli errori. È anche facile passare da una versione all’altra del sistema.

KDE Linux sarà rilasciato in tre versioni:

1. Test: aggiornato quotidianamente e destinato a sviluppatori e tester.
2. Per appassionati: fornisce versioni stabili con aggiornamenti periodici e include versioni beta per hobbisti e utenti avanzati.
3. Stable è la versione più affidabile e riceve aggiornamenti ritardati per garantire la massima qualità.

L’ambiente di sistema in KDE Linux è una singola immagine, formata dal contenuto dei repository Arch Linux. Viene fornito disaggregato, è montato in sola lettura e supporta gli aggiornamenti atomici. Gli aggiornamenti utilizzano due partizioni: un nuovo aggiornamento viene scaricato su una partizione passiva, che diventa attiva dopo un riavvio, mentre la partizione attiva precedente entra in modalità passiva e attende l’aggiornamento successivo. L’installazione, il rollback degli aggiornamenti, il backup automatico e il passaggio da una versione all’altra vengono implementati utilizzando le istantanee del file system Btrfs.

Il sistema supporta build ripetibili, che consentono agli utenti di controllare il processo di creazione della distribuzione. Tutti i dati utente e di sistema soggetti a modifiche vengono archiviati in sezioni crittografate per una maggiore sicurezza. Systemd-boot viene utilizzato come bootloader e il protocollo Wayland viene utilizzato come ambiente grafico predefinito

L'articolo Project Banana: KDE Lancia la Sua Prima Distribuzione Linux Indipendente! proviene da il blog della sicurezza informatica.

If you’re into pushing tech boundaries from home, this one’s for you. Redditor [mi_kotalik] has crafted ‘Zero’, a custom pair of DIY augmented reality (AR) glasses using a Raspberry Pi Zero. Designed as an affordable, self-contained device for displaying simple AR functions, Zero allows him to experiment without breaking the bank. With features like video playback, Bluetooth audio, a teleprompter, and an image viewer, Zero is a testament to what can be done with determination and creativity on a budget. The original Reddit thread includes videos, a build log, and links to documentation on X, giving you an in-depth look into [mi_kotalik]’s journey. Take a sneak peek through the lens here.

Creating Zero wasn’t simple. From designing the frame in Tinkercad to experimenting with transparent PETG to print lenses (ultimately switching to resin-cast lenses), [mi_kotalik] faced plenty of challenges. By customizing SPI displays and optimizing them to 60 FPS, he achieved an impressive level of real-time responsiveness, allowing him to explore AR interactions like never before. While the Raspberry Pi Zero’s power is limited, [mi_kotalik] is already planning a V2 with a Compute Module 4 to enable 3D rendering, GPS, and spatial tracking.

Zero is an inspiring example for tinkerers hoping to make AR tech more accessible, especially after the fresh news of both Meta and Apple cancelling their attempts to venture in the world of AR. If you are into AR and eager to learn from an original project like this one, check out the full Reddit thread and explore Hackaday’s past coverage on augmented reality experiments.

youtube.com/embed/vitsinPbwHI?…

hackaday.com/2024/11/04/pi-zer…

Recentemente, sul noto forum del dark web “BreachForums” è apparso un annuncio preoccupante: una fuga di codice sorgente per l’app iOS di Cartier.

Gli attori di minacce, noti con i nickname “IntelBroker” e “EnergyWeaponUser”, sostengono di aver attaccato Cartier, brand di alta gamma fondato nel 1847 e famoso per i suoi gioielli, pietre preziose, orologi e accessori.

Al momento, non possiamo confermare la veridicità della notizia, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo deve essere considerato come ‘fonte di intelligence’.

Il Contesto delle Minacce: Chi è IntelBroker

IntelBroker è una figura di spicco nella comunità cybercriminale, con una reputazione consolidata come amministratore su BreachForums. In passato, ha già divulgato dati sensibili di grandi aziende. La sua ultima mossa, cioè la condivisione del codice sorgente di un’app iOS di Cartier, potrebbe compromettere la sicurezza dell’app e mettere a rischio la privacy degli utenti.

Questa divulgazione si inserisce in un panorama di minacce più ampio, mirato a colpire brand prestigiosi e ad aumentare il controllo su dati e applicazioni critiche.

Il Post di IntelBroker su BreachForums

IntelBroker ha pubblicato il post su BreachForums con il titolo “Cartier iOS Source Code, Leaked – Download!”. Con un tono apparentemente casuale, l’autore definisce la fuga di informazioni una “minor leak” (“fuga minore”), suggerendo che il furto potrebbe essere parte di una campagna più ampia che coinvolge altri brand. Su un altro post riporta:

“Ciao alla comunità di BreachForums
Oggi ho caricato una violazione che è stata condotta di recente sul BORN GROUP.
Violato da @IntelBroker e @UtenteArmaEnergia
Questa violazione riguarda Cartier, una popolare azienda di orologi.
Siamo riusciti a esfiltrare dati dal loro AWS S3 e ad abusare di LFI per ottenere l’accesso ad alcuni dati importanti.”

Questa comunicazione non solo diffonde il codice sorgente, ma dimostra anche le capacità del gruppo di hacker, rafforzando la loro reputazione nella community del dark web. Gli utenti della piattaforma hanno reagito con entusiasmo, esprimendo interesse per le potenziali vulnerabilità sfruttabili.

Il Ruolo dei Fornitori Terzi nelle Violazioni di Sicurezza

Molti attacchi recenti sfruttano vulnerabilità nei sistemi dei fornitori terzi. Gli attori di minaccia traggono vantaggio dalla mancanza di controlli di sicurezza stringenti presso queste aziende per infiltrarsi nelle reti di brand più grandi.

Nel caso di Cartier, questo evidenzia l’importanza di garantire che tutti i fornitori seguano rigorosi standard di sicurezza, soprattutto quando gestiscono applicazioni mobili con dati sensibili degli utenti. La gestione dei fornitori diventa quindi cruciale per evitare gravi violazioni.

Implicazioni per la Sicurezza delle App iOS

La compromissione del codice sorgente rappresenta una minaccia seria per la sicurezza delle app iOS. In mano a cybercriminali, il codice può essere analizzato per scoprire vulnerabilità che potrebbero essere sfruttate per attaccare i dispositivi degli utenti. Oltre a minare la fiducia degli utenti, questo tipo di attacco può avere conseguenze legali significative, in particolare se vengono compromessi dati personali. La sicurezza delle app è quindi essenziale per proteggere la reputazione aziendale e i dati degli utenti.

Brand di lusso come Cartier si basano su una solida percezione di qualità e fiducia. Una violazione di sicurezza come questa può danneggiare gravemente la reputazione del marchio, influenzando la percezione degli acquirenti e minacciando la loro fedeltà. Anche se le informazioni trapelate non includono dati sensibili dei clienti, il solo fatto che il codice sorgente sia stato compromesso solleva dubbi sulla gestione della sicurezza digitale del marchio.

Conclusioni

Questo caso rappresenta un esempio delle sfide di sicurezza che le aziende moderne devono affrontare. Nel settore del lusso, la fiducia dei consumatori è essenziale, e le aziende devono essere proattive per proteggere i propri asset digitali e i dati degli utenti. La gestione degli incidenti, insieme alla trasparenza, è fondamentale per mantenere la fiducia e la fedeltà della clientela.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo Presunta Compromissione di Cartier rivendicata da IntelBroker su Breach Forums proviene da il blog della sicurezza informatica.

A popular expression in the Linux forums nowadays is noting that someone “uses Arch btw”, signifying that they have the technical chops to install and use Arch Linux, a distribution designed to be cutting edge but that also has a reputation of being for advanced users only. Whether this meme was originally posted seriously or was started as a joke at the expense of some of the more socially unaware Linux users is up for debate. Either way, while it is true that Arch can be harder to install and configure than something like Debian or Fedora, thanks to excellent documentation and modern (but optional) install tools it’s no longer that much harder to run than either of these popular distributions.

For my money, the true mark of a Linux power user is the ability to install and configure Gentoo Linux and use it as a daily driver or as a way to breathe life into aging hardware. Gentoo requires much more configuration than any mainline distribution outside of things like Linux From Scratch, and has been my own technical white whale for nearly two decades now. I was finally able to harpoon this beast recently and hope that my story inspires some to try Gentoo while, at the same time, saving others the hassle.

A Long Process, in More Ways Than One

My first experience with Gentoo was in college at Clemson University in the late ’00s. The computing department there offered an official dual-boot image for any university-supported laptop at the time thanks to major effort from the Clemson Linux User Group, although the image contained the much-more-user-friendly Ubuntu alongside Windows. CLUG was largely responsible for helping me realize that I had options outside of Windows, and eventually I moved completely away from it and began using my own Linux-only installation. Being involved in a Linux community for the first time had me excited to learn about Linux beyond the confines of Ubuntu, though, and I quickly became the type of person featured in this relevant XKCD. So I fired up an old Pentium 4 Dell desktop that I had and attempted my first Gentoo installation.

For the uninitiated, the main thing that separates Gentoo from most other distributions is that it is source-based, meaning that users generally must compile the source code for all the software they want to use on their own machines rather than installing pre-compiled binaries from a repository. So, for a Gentoo installation, everything from the bootloader to the kernel to the desktop to the browser needs to be compiled when it is installed. This can take an extraordinary amount of time especially for underpowered machines, although its ability to customize compile options means that the ability to optimize software for specific computers will allow users to claim that time back when the software is actually used. At least, that’s the theory.

It didn’t work out too well for me and my Dell, though, largely because Dell of the era would put bottom-basement, obscure hardware in their budget computers which can make for a frustrating Linux experience even among the more user-friendly distributions due to a general lack of open-source drivers. I still hold a grudge against Dell for this practice in much the same way that I still refuse to use Nvidia graphics cards, but before I learned this lesson I spent weeks one summer in college with this Frankensteined computer, waiting for kernels and desktop environments to compile for days only to find out that there was something critical missing that broke my installations. I did get to a working desktop environment at one point, but made a mistake with it along the way and decided, based on my Debian experiences, that re-installing the operating system was the way to go rather than actually fixing the mistake I had made. I never got back to a working desktop after that and eventually gave up.

This experience didn’t drive me away from Gentoo completely, though. It was always at the back of my mind during any new Linux install I performed, especially if I was doing so on underpowered hardware that could have benefited from Gentoo’s customization. I would try it occasionally again and again only to give up for similar reasons, but finally decided I had gained enough knowledge from my decades as a Debian user to give it a proper go. A lot has changed in the intervening years; in the days of yore an aspiring Gentoo user had to truly start at the ground up, even going as far as needing to compile a compiler. These days only Gentoo developers take these fundamental steps, providing end users with a “Stage 3” tarball which contains the core needed to install the rest of Gentoo.

Bringing Out The Best of Old Hardware

And I do have a piece of aging hardware that could potentially benefit from a Gentoo installation. My mid-2012 Macbook Pro (actually featured in this article) is still a fairly capable machine, especially since I only really need a computer these days for light Internet browsing and writing riveting Hackaday articles. Apple long ago dropped support for this machine in macOS meaning that it’s no longer a good idea to run its native operating system. In my opinion, though, these older, pre-butterfly Macs are still excellent Linux machines aside from minor issues like finding the correct WiFi drivers. (It also can’t run libreboot, but it’s worth noting that some Macs even older than mine can.) With all of that in mind I got to work compiling my first Linux kernel in years, hoping to save my old Macbook from an e-waste pile.

There’s a lot expected of a new Gentoo user even with modern amenities like the stage 3 tarball (and even then, you have to pick a stage file from a list of around 50 options), and although the handbooks provided are fairly comprehensive they can be confusing or misleading in places. (It’s certainly recommended to read the whole installation guide first and even perform a trial installation in a virtual machine before trying it on real hardware.) In addition to compiling most software from source (although some popular packages like Firefox, LibreOffice, and even the kernel itself are available as precompiled binaries now), Gentoo requires the user to configure what are called USE flags for each package which specify that package’s compile options. A global USE flag file is also maintained to do things like build GNOME, Bluetooth, even 32-bit support into every package, while specific package USE flags are maintained in other separate files. For example, when compiling GIMP, users can choose which image formats they want their installation of GIMP to support. There’s a second layer of complexity here too as certain dependencies for packages can be “masked” or forbidden from being installed by default, so the user will also need to understand why certain things are masked and manually unmask them if the risk is deemed acceptable.

One thing that Gentoo has pioneered in recent years is the use of what it calls distribution kernels. These are kernel configurations with sane defaults, meaning that that they’ll probably work for most users on most systems on the first try. From there, users can begin tweaking the kernel for their use case once they have a working installation, but they don’t have to do that leg work during the installation process anymore. Of course, in true Gentoo fashion, you can still go through the process of configuring the kernel manually during the install if you choose to.

Aside from compiling a kernel, Gentoo also requires the user to make other fundamental choices about their installation during the install process that most other major distributions don’t. Perhaps the biggest one is that the user has to choose an init system, the backbone of the operating system’s startup and service management systems. Generally most distributions decide for you, with most larger distributions like Debian, Fedora, and Arch going with systemd by default. Like anything in the Linux world, systemd is controversial for some, so there are alternatives with OpenRC being the one with the most acceptance in the Gentoo world. I started out with OpenRC in my installations but found a few pieces of software that I use regularly don’t play well with it, so I started my build over and now use systemd. The user also can select between a number of different bootloaders, and I chose the tried-and-true Grub seeing no compelling reason to change at the moment.

In addition, there’s no default desktop environment, so you’ll also need to choose between GNOME, KDE, XFCE, any other desktop environment, or among countless window managers. The choice to use X or Wayland is up to you as well. For what it’s worth, I can at least report that GNOME takes about three times as long to compile as the kernel itself does, so keep that in mind if you’re traveling this path after me.

It’s also possible you’ll need to install a number of drivers for hardware, some of which might be non-free and difficult to install in Gentoo while they might be included by default in distributions like Ubuntu. And, like everything else, they’ll need to be compiled and configured on your machine as well. For me specifically, Gentoo was missing the software to control the fans on my MacBook Pro, but this was pretty easy to install once I found it. There’s an additional headache here as well with the Broadcom Wi-Fi cards found in older Macs, which are notoriously difficult pieces of hardware to work with in the Linux world. I was eventually able to get Wi-Fi working on my MacBook Pro, but I also have an 11″ MacBook Air from the same era that has a marginally different wireless chipset that I still haven’t been able to get to work in Gentoo, giving me flashbacks to my experience with my old Dell circa 2007.

This level of granularity when building software and an overall installation is what gives Gentoo the possibility for highly optimized installations, as every package can be configured for the user’s exact use case for every package down to the kernel itself. It’s also a rolling release model similar to Arch, so in general the newest versions of software will be available for it as soon as possible while a Debian user might have to wait a year or two for the next stable release.

A Few Drawbacks

It’s not all upside, though. For those without a lot of Gentoo experience (including myself) it’s possible to do something like spend a day and a half compiling a kernel or desktop environment only to find out a critical feature wasn’t built, and then have to spend another day and a half compiling it again with the correct USE flags. Or to use the wrong stage file on the first try, or realize OpenRC won’t work as an init system for a specific use case, or having Grub inscrutably be unable to find the installation. Also, don’t expect Gentoo to be faster out-of-the-box than Debian or Fedora without a customization effort, either; for me Gentoo was actually slower than Debian in my benchmarks without a few kernel and package re-compiles. With enough persistence and research, though, it’s possible to squeeze every bit of processing power out of a computer this way.

Personally, I’m not sure I’m willing to go through the amount of effort to migrate my workstations (and especially my servers) to Gentoo because of how much extra configuration is required for often marginal performance gains thanks to the power and performance capabilities of modern hardware. Debian Stable will likely remain my workhorse for the time being for those machines, and I wouldn’t recommend anyone install Gentoo who doesn’t want to get into the weeds with their OS. But as a Linux hobbyist there’s a lot to be said for using other distributions that are a little more difficult to use than Debian or even Arch, although I’d certainly recommend using a tool like Clonezilla to make backups of your installation from time to time so if you do make the same mistakes I made in college you can more easily restore your system. For me, though, I still plan to keep Gentoo on my MacBook Pro since it’s the machine that I tinker with the most in the same way that a classic car enthusiast wants to keep their vehicle on the road and running as well as it did when it was new. It also lets me end forum posts with a sardonic “I use Gentoo, btw” to flex on the Arch users, which might be the most important thing of all.

hackaday.com/2024/11/04/i-inst…

Negli ultimi giorni, due nuovi post su un noto forum del dark web hanno sollevato preoccupazioni significative in materia di sicurezza e protezione dei dati.

Due utenti, identificati come “ASD3312” e “rufusdomando”, hanno pubblicato informazioni sensibili relative a utenti italiani di investimenti azionari e a pazienti dell’Hospital Italiano di Argentina, esponendo dati personali di migliaia di individui.

Primo Caso: Esposizione di Dati di Investitori Italiani

Nel primo post, l’utente “ASD3312” ha condiviso informazioni dettagliate su oltre 5.600 utenti italiani interessati agli investimenti azionari. I dati esposti includono nomi, numeri di telefono, indirizzi email, residenze e altri dettagli personali. Questo tipo di informazione è estremamente sensibile, poiché potrebbe essere utilizzata per operazioni di phishing mirato o altre truffe di ingegneria sociale, mettendo a rischio la privacy e la sicurezza finanziaria di migliaia di individui. La presenza di dati come indirizzi fisici e numeri di cellulare aumenta il rischio di contatti indesiderati o di attacchi personalizzati, potenzialmente con lo scopo di rubare informazioni bancarie o per svolgere attività fraudolente.

Secondo Caso: Violazione dei Dati Sanitari dell’Hospital Italiano in Argentina

Il secondo post, condiviso dall’utente “rufusdomando”, risulta particolarmente inquietante per la sua portata. Si tratta di un data breach che coinvolge oltre 1,1 milioni di pazienti dell’Hospital Italiano di Argentina. I dati trapelati comprendono informazioni mediche dettagliate, fotografie e documentazione personale. Tra le informazioni esposte vi sono dati come nome, cognome, numero di documento, genere, indirizzo, email e dettagli sanitari specifici, quali diagnosi e trattamenti.

Questo tipo di dati non solo viola la privacy degli individui, ma potrebbe anche causare gravi conseguenze a livello personale e professionale. I dati sanitari sono tra i più preziosi per i cybercriminali, che possono venderli a prezzi elevati sul mercato nero o utilizzarli per attività di ricatto. Inoltre, la divulgazione di informazioni mediche sensibili può comportare stigmatizzazione sociale e discriminazione per i pazienti coinvolti.

Implicazioni di Sicurezza e Considerazioni Finali

Questi due episodi mettono in luce le preoccupanti vulnerabilità dei sistemi di gestione dei dati, sia in ambito finanziario sia sanitario. La presenza di informazioni così dettagliate su un forum del dark web dimostra come l’accesso ai dati personali possa avere implicazioni devastanti per gli individui, soprattutto quando tali dati vengono raccolti e conservati senza adeguate misure di sicurezza.

Inoltre, l’esposizione di dati sanitari così estesi in Argentina potrebbe sollevare questioni legali e danni reputazionali per l’Hospital Italiano, mentre il caso degli investitori italiani evidenzia i rischi per le persone coinvolte nel settore finanziario. Questo tipo di data breach mostra come la protezione dei dati personali sia una sfida globale che richiede risposte e soluzioni immediate, sia in termini di tecnologia sia di legislazione.

La condivisione pubblica di informazioni sensibili su forum del dark web rimane una minaccia concreta e costante. La sensibilizzazione e la consapevolezza sono essenziali per aiutare gli utenti a proteggere meglio i loro dati personali e comprendere i rischi associati alla violazione della privacy.

L'articolo Violazione Dati Personali: Investitori Italiani e Pazienti di un ospedale Italiano Esposti sul Dark Web! proviene da il blog della sicurezza informatica.

Each year millions of old smartphones are either tossed as e-waste or are condemned to lie unloved in dusty drawers, despite the hardware in them usually being still perfectly fine. Reusing these little computers for another purpose once the phone’s manufacturer drops support is made hard by a range of hardware and software (driver) issues. One possible way to do so is suggested by [Doctor Volt] in a video where a Samsung Galaxy S4 is combined with a USB-connected FT232R board to add external GPIO.

The idea is pretty simple: the serial adapter is recognized by the existing Android OS and within the standard Android development environment this module can be used. Within this demonstrator it’s merely used to blink some LEDs and react to inputs, but it shows how to reuse one of these phones in a non-destructive manner. Even better is that the phone’s existing sensors and cameras can still be used as normal in this way, too, which opens a whole range of (cheap) DIY projects that can be programmed either in Java/Kotlin or in C or C++ via the Native Development Kit.

The only wrinkle is that while the phone is connected like this, charging is not possible. For the S4 it’s easy to solve as it has a removable battery, so an external power input was wired in with a dummy battery-sized bit of perfboard. With modern phones without removable batteries simultaneous USB/audio dongle and charging usage via the USB-C connector is claimed to be possible, but this is something to check beforehand.

youtube.com/embed/iobvVl8jZ5o?…

hackaday.com/2024/11/04/reusin…

Nel 2022, Joe Grand, noto come “Kingpin“, ha ricevuto una richiesta di assistenza per recuperare il PIN dimenticato di un portafoglio USB Trezor. Grand, un esperto di hacking hardware con una lunga carriera iniziata a soli 10 anni, ha accettato la sfida. Utilizzando avanzate tecniche di analisi hardware, è riuscito a sbloccare il dispositivo e a recuperare l’accesso, restituendo al cliente criptovalute per un valore di 2 milioni di dollari.

Nel frattempo, un utente anonimo chiamato “Michael” stava cercando di recuperare l’accesso a un vecchio portafoglio software, in cui aveva immagazzinato 43,6 BTC (circa $5.600 all’epoca, ma di valore molto maggiore in seguito). Michael, all’epoca molto attento alla sicurezza, aveva generato una password tramite RoboForm e crittografato il file con TrueCrypt. Tuttavia, un anno dopo, scoprì che il file era corrotto e che la password non era più accessibile. Considerando tollerabile la perdita, Michael decise di lasciar perdere.

Con il vertiginoso aumento del valore del Bitcoin dieci anni dopo, Michael tentò nuovamente di recuperare il portafoglio, ma dopo diversi rifiuti da parte di esperti di crittoanalisi, si rivolse a Joe Grand. Sebbene inizialmente Grand avesse rifiutato la richiesta, accettò di analizzare il caso dopo ulteriori contatti. Collaborando con un collega tedesco, Bruno, i due iniziarono il reverse engineering di una vecchia versione di RoboForm del 2013. Scoprirono che il generatore di numeri pseudo-casuali del programma era vulnerabile, generando password basate sulla data e sull’ora.

youtube.com/embed/o5IySpAkThg?…

Purtroppo, Michael non ricordava la data precisa di creazione della password. Dopo aver consultato i registri del portafoglio, Grand e Bruno ipotizzarono che la password fosse stata generata intorno ad aprile 2013, ma i tentativi iniziali non diedero risultati. Durante una seconda analisi, Michael si ricordò di un’ulteriore password creata nello stesso periodo, il che offrì una nuova pista. Nel novembre successivo, i tre si incontrarono in Europa, e Grand e Bruno riuscirono finalmente a sbloccare il portafoglio.

Secondo Grand, la vulnerabilità era dovuta alle vecchie versioni di RoboForm; dal 2015 in poi, il software potrebbe aver modificato il suo generatore di numeri pseudo-casuali, rendendo impossibile sfruttare la stessa tecnica. La società sviluppatrice, Siber, non ha risposto alle richieste di chiarimenti sul cambio di specifiche e sulla possibilità di ricreare le password.

Dopo il successo, Grand e Bruno restituirono la password a Michael, che, una volta raggiunti i 62.000 $/BTC, vendette parte dei suoi bitcoin, mantenendone 30.

L'articolo Ritrovare 2 milioni di Dollari in Bitcoin! La storia dell’hacker Joe Grand e del portafoglio USB sbloccato proviene da il blog della sicurezza informatica.

Today, movie effects are mostly done in CGI, especially if they’re of the death-defying type. [Tyler Bell] shows us how they shot actors with arrows before CGI.

Almost every medieval movie has someone getting shot with an arrow, but how do you do that non-destructively? [Bell] shows us two primary methods that were used, the pop up rig and steel pronged arrows. The pop up rig is a spring loaded device with one end of an arrow attached that pops up when a mechanism is triggered. [Bell] 3D printed his own version of the mechanism and shows us how it can be used to great effect on shots from the side or rear of the victim.

But what about straight on shots where the rig would be blatantly obvious? That’s when you get to actually shoot the actor (or their stunt double anyway). To do this safely, actors would wear wooden body armor under their costumes and arrows with two small prongs would be shot along a wire into the desired impact site. We appreciate [Bell] using a mannequin for testing before letting his brother shoot him with an arrow. That’s definitely the next level above a trust fall.

We even get a look at using air cannons to launch arrow storms at the end which is particularly epic. Looking for more movie magic? How about the effects from King Kong or Flight of the Navigator?

Thanks to [Xerxes3rd] on Discord for the tip!

youtube.com/embed/D3BxILDpT6k?…

hackaday.com/2024/11/04/how-to…

Il ransomware rappresenta una minaccia globale crescente, causando danni significativi a infrastrutture critiche e perdite finanziarie ingenti. Recenti attacchi hanno colpito una grande compagnia assicurativa sanitaria negli Stati Uniti, paralizzando ospedali e farmacie, e il Porto di Nagoya in Giappone, evidenziando la vulnerabilità di servizi essenziali. Si stima che dal 2021 negli Stati Uniti siano stati identificati oltre 4.900 attacchi ransomware, con pagamenti di riscatto che superano i 3 miliardi di dollari.

Le criptovalute facilitano queste attività illecite, permettendo il trasferimento e il riciclaggio di fondi ottenuti illegalmente. Paesi come la Russia offrono rifugio ai cybercriminali e ostacolano l’estradizione, mentre la Corea del Nord utilizza il ransomware come fonte di finanziamento, eludendo le sanzioni internazionali e generando entrate stimate in oltre 3 miliardi di dollari.

Per affrontare efficacemente questa minaccia, è necessaria una forte azione di prevenzione. Le aziende devono adottare misure proattive di sicurezza informatica, come backup regolari, crittografia dei dati e autenticazione a più fattori. Inoltre, è cruciale che le aziende investano nella formazione del personale per riconoscere e rispondere efficacemente alle minacce informatiche. La consapevolezza dei dipendenti riguardo ai rischi del phishing e di altre tattiche utilizzate dai criminali informatici può ridurre significativamente le vulnerabilità interne. Implementare protocolli di sicurezza rigorosi e aggiornare regolarmente i sistemi operativi e i software può prevenire molte forme di attacco.

Le imprese dovrebbero anche stabilire piani di risposta agli incidenti, permettendo una reazione rapida in caso di violazione. Questo include l’identificazione tempestiva dell’attacco, l’isolamento dei sistemi compromessi e la comunicazione con le autorità competenti. Collaborare con altre organizzazioni e condividere informazioni sulle minacce emergenti può contribuire a creare un fronte comune contro i cybercriminali.

Cubbit: l’innovazione italiana che rivoluziona la sicurezza dei dati aziendali

Nel panorama sempre più complesso della sicurezza informatica, le aziende cercano soluzioni affidabili per proteggere i propri dati da minacce come il ransomware e altre forme di cyber-attacchi. Cubbit, un’azienda bolognese fondata nel 2016, si è affermata come una delle risposte più innovative ed efficaci a queste sfide, offrendo un servizio di cloud storage geo-distribuito che sta conquistando l’Europa.

Un’architettura rivoluzionaria per una sicurezza senza precedenti

A differenza dei tradizionali servizi cloud che concentrano i dati in pochi data center, Cubbit ha sviluppato un’architettura geo-distribuita unica nel suo genere. Questo significa che i dati non vengono mai memorizzati integralmente in un singolo luogo. Al contrario, ogni file viene crittografato, frammentato e replicato su una rete di nodi distribuiti su tutto il territorio nazionale.

Questo approccio offre diversi vantaggi significativi:

• Massima sicurezza dei dati: anche se un cybercriminale riuscisse ad accedere a uno dei nodi, troverebbe solo frammenti criptati di dati, impossibili da decifrare senza le chiavi appropriate. Non esiste una corrispondenza diretta tra un singolo dato e un nodo specifico, rendendo praticamente impossibile il furto o la compromissione delle informazioni.
• Resilienza straordinaria: la distribuzione geografica dei dati protegge le aziende non solo dagli attacchi informatici, ma anche da eventi fisici come incendi, alluvioni o altri disastri naturali. In caso di inattività di un nodo, il sistema ridistribuisce automaticamente i frammenti di dati agli altri nodi attivi, garantendo la continuità del servizio senza interruzioni.

Grazie a questa architettura, Cubbit raggiunge una durabilità dei dati fino a 15 9 (99,9999999999999%), superando di diecimila volte gli standard di settore che si attestano su 11 9. Questo livello di affidabilità assicura alle aziende che i propri dati siano protetti in modo eccellente contro qualsiasi tipo di perdita o danneggiamento.

Protezione avanzata contro il ransomware e conformità normativa

Nel contesto attuale, gli attacchi ransomware rappresentano una delle minacce più gravi per le aziende di tutte le dimensioni. Cubbit affronta questo problema integrando funzionalità avanzate come il versioning e l’object lock:

• Versioning dei file: questa funzionalità permette di conservare più versioni di un singolo file. In caso di attacco ransomware, l’azienda può facilmente ripristinare una versione precedente non compromessa, evitando così di dover pagare riscatti o perdere dati critici.
• Object Lock: consente di bloccare i file, impedendo qualsiasi modifica o cancellazione non autorizzata per un periodo definito dall’utente. Questo garantisce un ulteriore livello di protezione sia contro attacchi malevoli che contro errori umani.

Oltre alla sicurezza, Cubbit pone grande attenzione alla conformità normativa. Grazie alla tecnologia di geofencing, le aziende possono controllare esattamente dove i propri dati sono archiviati, assicurando che rimangano all’interno dei confini nazionali. Questo è fondamentale per rispettare regolamenti come GDPR, NIS2 e altre normative sulla protezione dei dati.

Cubbit ha ottenuto numerose certificazioni internazionali che attestano il suo impegno verso i più alti standard di sicurezza e qualità:

• ISO 9001:2015 per la gestione della qualità.
• ISO/IEC 27001:2013 per la sicurezza delle informazioni.
• ISO/IEC 27017:2015 per la sicurezza nei servizi cloud.
• ISO/IEC 27018:2019 per la protezione dei dati personali nel cloud.

Inoltre, ha ricevuto il Cybersecurity Made in Europe Label, riconoscimento che sottolinea l’eccellenza dell’azienda nel campo della cybersecurity a livello continentale. Audit periodici condotti da terze parti indipendenti assicurano il mantenimento costante di questi elevati standard.

Flessibilità e integrazione senza complicazioni

Una delle caratteristiche distintive di Cubbit è la sua facilità d’uso. La piattaforma è progettata per essere compatibile con qualsiasi client S3, il che significa che le aziende non devono affrontare curve di apprendimento ripide o modificare i propri flussi di lavoro esistenti. Questa compatibilità consente un’integrazione senza soluzione di continuità con le infrastrutture IT già in uso.

Le aziende possono sfruttare Cubbit per una varietà di esigenze operative:

• Backup off-site automatizzati: proteggere i dati critici con copie di sicurezza esterne, garantendo il ripristino rapido in caso di necessità.
• Collaborazione sicura: condividere informazioni su macchine virtuali o sistemi NAS on-premise in modo protetto, facilitando il lavoro in team anche da remoto.
• Conservazione documentale a lungo termine: implementare strategie di archiviazione che rispettino le normative vigenti, assicurando l’accessibilità dei dati nel tempo.

Una scelta affidabile per aziende pubbliche e private

La reputazione di Cubbit è testimoniata dalla fiducia che oltre 350 organizzazioni in Europa hanno riposto nei suoi servizi. Tra queste, importanti enti come Leonardo, Granarolo, Amadori e il gigante della cybersecurity francese Exclusive Networks hanno scelto Cubbit per proteggere i propri dati sensibili.

La disponibilità sulla piattaforma MePA (Mercato Elettronico della Pubblica Amministrazione) e la qualifica ACN (Agenzia per la Cybersicurezza Nazionale, ex AgID) rendono inoltre Cubbit una soluzione ideale non solo per le aziende private ma anche per le istituzioni pubbliche che necessitano di elevati standard di sicurezza e conformità.

Perché scegliere Cubbit per la sicurezza dei tuoi dati

In un’epoca in cui le minacce informatiche sono in costante evoluzione, affidarsi a soluzioni innovative e robuste è fondamentale per la protezione del patrimonio digitale aziendale. Cubbit offre:

• Sicurezza avanzata: grazie all’architettura geo-distribuita e alle funzionalità anti-ransomware, i tuoi dati sono protetti su più livelli.
• Conformità garantita: strumenti come il geofencing assicurano il rispetto delle normative sulla protezione dei dati, sia a livello nazionale che europeo.
• Flessibilità operativa: la compatibilità con i client S3 e l’assenza di necessità di apprendere nuovi software rendono l’adozione di Cubbit semplice e immediata.
• Affidabilità certificata: le numerose certificazioni internazionali e gli audit di terze parti attestano l’impegno costante di Cubbit verso l’eccellenza.

In collaborazione con i responsabili IT di oltre 200 aziende, Cubbit ha redatto la guida anti-ransomware 2024.

Scarica gratis la guida anti-ransomware 2024.

L'articolo La Soluzione Anti-Ransomware Tutta Italiana: Alla Scoperta di Cubbit proviene da il blog della sicurezza informatica.

Gli istituti di ricerca cinesi affiliati all’Esercito popolare di liberazione (PLA) hanno iniziato a utilizzare il modello Llama 2 di Meta per sviluppare il proprio strumento di intelligenza artificiale (AI) per applicazioni di difesa e polizia. La ricerca mostra che il modello Llama 2, originariamente disponibile di pubblico dominio, è diventato la base per la creazione di un’intelligenza artificiale militarizzata nota come ChatBIT.

A giugno, scienziati cinesi di tre diverse istituzioni, tra cui l’Accademia delle scienze militari del PLA, hanno pubblicato un articolo in cui descrivevano come avevano adattato il modello Llama per scopi di raccolta e analisi di intelligence. La loro versione è stata ottimizzata per il dialogo e per rispondere a domande volte a supportare le decisioni operative in ambito militare. Secondo lo studio, ChatBIT mostra livelli di prestazioni simili a ChatGPT-4 di OpenAI.

Gli sviluppatori del progetto sottolineano che ChatBIT contiene finora solo 100mila registrazioni di dialoghi militari, un numero relativamente piccolo rispetto ad altri modelli linguistici. Tuttavia, stanno pianificando un ulteriore sviluppo per utilizzare ChatBIT per la pianificazione strategica, la modellazione e il supporto decisionale del team.

Inoltre, la Cina utilizza attivamente l’intelligenza artificiale per scopi di sicurezza interna. Altri studi rilevano che il modello di Llama è già stato utilizzato per analizzare i dati relativi alle esigenze della polizia per migliorare il processo decisionale in materia di sicurezza pubblica. Ad aprile, la pubblicazione statale PLA Daily ha evidenziato come l’intelligenza artificiale potrebbe accelerare lo sviluppo delle armi, migliorare le simulazioni di combattimento e migliorare l’efficienza dell’addestramento militare.

Gli esperti occidentali sottolineano che l’uso delle tecnologie di intelligenza artificiale occidentali da parte di specialisti cinesi può contribuire a ridurre il divario tecnologico tra Cina e Stati Uniti. Ad esempio, la società cinese AVIC, affiliata al PLA, ha utilizzato Llama 2 per sviluppare strategie di contromisure elettroniche aviotrasportate.

Meta, a sua volta, ha una politica di libero accesso ai suoi modelli di intelligenza artificiale, ma impone alcune restrizioni, vietando l’uso di queste tecnologie per scopi militari, di intelligence o nucleari. Tuttavia, a causa della natura pubblica di questi modelli, l’applicazione delle condizioni d’uso rimane limitata.

L'articolo La Cina Sviluppa Intelligenza Artificiale Militare partendo dai Modelli Llama 2 di Meta proviene da il blog della sicurezza informatica.

Quando si parla di cybercrime, la mente va subito alle cyber gang criminali che violano i sistemi dall’esterno. Premesso che il significato di “hacker” oggi lo abbiamo completamente ridefinito, una minaccia altrettanto pericolosa, proviene dall’interno delle organizzazioni: si tratta dei cosiddetti “insider” o dipendenti infedeli.

Studi recenti e diversi casi di cronaca tutti italiani sottolineano come sia sempre più diffuso oggi un mercato nero disposto a pagare somme ingenti per ottenere dati sensibili di aziende e istituzioni direttamente dall’interno.

Gli insider, infatti, possiedono già le autorizzazioni necessarie, consentendo loro di accedere facilmente alle informazioni riservate, riducendo la necessità di complessi attacchi di hacking dall’esterno.

Casi di Insider Threat in Italia

In Italia, uno dei casi più eclatanti è stato quello riguardante la scoperta di una rete di spionaggio informatico che ha coinvolto vari individui e istituzioni, compromettendo circa 800 mila dossier e vedendo 51 indagati, tra cui persino funzionari pubblici e database istituzionali.

Un altro caso recente ha visto Carmelo Miano, accedere alla casella di posta di ben 46 magistrati, tra cui Nicola Grattieri, grazie al possesso delle loro credenziali. Sebbene in questo caso l’hacking è una parola più vicina ai fatti anche in questo fatto di cronaca il fenomeno dell’insider threat risulta importante.

Infatti entrambi gli episodi rivelano quanto oggi sia vulnerabile il sistema di sicurezza interno quando le credenziali vengono abusate o vendute.

Chi sono i dipendenti infedeli?

Per dipendenti infedeli si intendono coloro che, per motivi personali, economici o ideologici, utilizzano la propria posizione all’interno dell’organizzazione per accedere e divulgare informazioni riservate o sensibili. Questo fenomeno è noto come insider threat ed è considerato tra le minacce più difficili da gestire. I dipendenti infedeli possono vendere i dati a competitor o a cybercriminali, esponendo le aziende a gravi rischi legali e reputazionali.

Le aziende, quindi, devono adottare strategie per identificare e gestire questi rischi. Alcune pratiche comuni includono il monitoraggio delle attività, l’implementazione di strumenti per rilevare l’uso anomalo delle credenziali, e la sensibilizzazione dei dipendenti sulla protezione dei dati e sull’etica aziendale.

Inoltre, è fondamentale ricordare che i dipendenti sono una risorsa preziosa e, se dotati di accessi amministrativi a sistemi critici, non dovrebbero essere forniti da aziende terze o subappaltatori, ma dovrebbero far parte del personale interno dell’organizzazione.

Come limitare gli Insider threat

Gli insider threat rappresentano una delle sfide più insidiose per la sicurezza delle informazioni, poiché coinvolgono dipendenti o collaboratori che, a causa di malintesi, vendetta o semplicemente negligenza, possono compromettere la sicurezza dei dati aziendali. Tuttavia, le organizzazioni che operano in Europa devono affrontare anche sfide legate alla conformità con le normative sulla protezione dei dati, in particolare il Regolamento generale sulla protezione dei dati (GDPR).

Limitazioni al Monitoraggio nella Comunità Europea

In Europa, il monitoraggio delle attività dei dipendenti è soggetto a regolamenti rigorosi. Il GDPR stabilisce vari principi fondamentali:

1. Principio di Trasparenza: Le organizzazioni devono informare i dipendenti riguardo alle pratiche di monitoraggio e giustificare la necessità di tali misure. Questo implica che i dipendenti debbano essere a conoscenza di quali dati vengono raccolti e come verranno utilizzati.
2. Limitazione delle Finalità: I dati raccolti per il monitoraggio devono essere utilizzati esclusivamente per scopi specifici, legittimi e definiti. Non è consentito l’uso di dati per finalità diverse rispetto a quelle dichiarate.
3. Proporzionalità e Necessità: Qualsiasi misura di monitoraggio deve essere proporzionata rispetto agli obiettivi da raggiungere. Ciò significa che il monitoraggio deve essere giustificato e non deve violare la privacy dei dipendenti più del necessario.
4. Minimizzazione dei Dati: Le organizzazioni devono raccogliere solo i dati strettamente necessari per il monitoraggio, evitando la raccolta di informazioni superflue.
5. Diritti degli Interessati: I dipendenti hanno diritti specifici riguardo ai propri dati personali, inclusi i diritti di accesso, rettifica e cancellazione. Le organizzazioni devono garantire che questi diritti siano rispettati.

Sistemi e Pratiche per Limitare gli Insider Threat

Nonostante le limitazioni legali, esistono diverse strategie che le organizzazioni possono implementare per limitare gli insider threat, garantendo al contempo la conformità alle normative europee.

1. Data Loss Prevention (DLP): Implementare soluzioni DLP per monitorare e controllare l’accesso ai dati sensibili. Questi sistemi possono impedire la trasmissione non autorizzata di informazioni critiche, fornendo un ulteriore strato di sicurezza.
2. Monitoraggio delle Attività: Utilizzare sistemi di logging e monitoring delle attività degli utenti. È essenziale che questi strumenti siano configurati per rispettare la privacy dei dipendenti e che vengano comunicati chiaramente agli utenti.
3. Analisi del Comportamento degli Utenti (UBA): Implementare strumenti di analytics per analizzare il comportamento degli utenti e identificare attività anomale. Questi strumenti possono aiutare a rilevare comportamenti sospetti prima che si traducano in danni.
4. Controllo degli Accessi Basato su Ruoli (RBAC): Implementare un sistema di accesso basato su ruoli che garantisca che i dipendenti abbiano accesso solo alle informazioni necessarie per le loro mansioni. Questo riduce il rischio di accessi non autorizzati ai dati sensibili.
5. Implementazione della Multi-Factor Authentication (MFA): Integrare l’autenticazione a più fattori per aggiungere un ulteriore livello di sicurezza agli accessi ai sistemi critici. La MFA richiede agli utenti di fornire due o più forme di identificazione, riducendo significativamente il rischio di accessi non autorizzati anche in caso di compromissione delle credenziali. Questa misura non solo protegge i dati sensibili, ma promuove anche una cultura della sicurezza all’interno dell’organizzazione.
6. Formazione e Sensibilizzazione: Offrire programmi di formazione regolari per educare i dipendenti sui rischi associati agli insider threat e sulle migliori pratiche di sicurezza. La consapevolezza dei dipendenti può ridurre il rischio di comportamenti involontari che potrebbero compromettere la sicurezza.
7. Implementazione di una Politica di Sicurezza dei Dati: Stabilire politiche chiare riguardanti la gestione e la protezione dei dati, assicurando che i dipendenti comprendano le loro responsabilità e le conseguenze di violazioni.
8. Procedure di Risposta agli Incidenti: Avere un piano di risposta agli incidenti che includa protocolli per affrontare potenziali insider threat. Questo piano dovrebbe prevedere procedure per l’identificazione, la segnalazione e la gestione degli incidenti.
9. Audit e Valutazioni di Sicurezza: Condurre regolarmente controlli di sicurezza per garantire che le politiche e le pratiche siano efficaci e conformi alle normative.

Conclusione

Limitare gli insider threat in un contesto normativo come quello europeo richiede un approccio bilanciato che consideri sia la necessità di sicurezza che i diritti dei dipendenti. Implementando misure adeguate e pratiche di monitoraggio consapevoli, le organizzazioni possono proteggere le loro informazioni sensibili senza compromettere la privacy e i diritti dei lavoratori. La chiave è adottare un approccio proattivo e integrato alla sicurezza dei dati, che rispetti le normative vigenti e promuova una cultura della sicurezza all’interno dell’organizzazione.

L'articolo Ma quali Hacker! Gli Attori dello Spygate Sono Veri Insider Threats proviene da il blog della sicurezza informatica.

Questa è la storia di Herm1t, fondatore di VX-Heaven, hacker attivo nella difesa dell’Ucraina dal 2014 e fondatore di RUH8 nell’autunno del 2015, raccontata per mezzo di un’intervista che ha voluto focalizzarsi sulla sua storia, sui suoi valori e sui suoi obiettivi, cercando di comprendere anche quali sono gli elementi più importanti che contraddistinguono la guerra informatica in atto tra Russia e Ucraina..

Tempo fa, nell’articolo/intervista a smelly di VX-Underground abbiamo esplorato un mondo sotterraneo che ha come obiettivo quello di portare alla luce più informazioni disponibili. Ciò grazie alla raccolta massiccia di samples, paper ed articoli con conseguente pubblicazione in una libreria centralizzata. Tutto ciò è stato possibile grazie al suo predecessore, ovvero VX-Heaven, nato alla fine degli anni ‘90, piattaforma fondata e gestita da hemr1t.

VX-Heaven è stato un primo spazio con libero accesso dedicato al mondo malware, che grazie ad un estensivo repository di malware, permetteva agli studiosi di approfondire e così difendersi dalle minacce esistenti. Tuttavia nel 2012 VX-Heaven ha subito uno shutdown e sequestro dei server da parte delle forze dell’ordine Ucraine, facendo nascere una vera e propria insurrezione tra i frequentatori del sito. Su facebook, ad esempio, è stata portata avanti una campagna di raccolta fondi per finanziare le spese legali di Herm1t. Tale campagna fu intitolata “Saving Private Herm1t” e vi aderirono molti ricercatori di sicurezza a livello globale.

Secondo quanto ci racconta Herm1t, il destino di VX-Heaven non è stato guidato solamente da una paura ingiustificata riguardo il mondo malware ma bensì una conseguenza del suo rifiuto di collaborare con (l’allora nuova) autorità di counter intelligence ucraina denominata DKIB SBU. Nel 2013 VX-Heaven è riuscita a tornare online e il sito è rimasto attivo sino al 2018. Nel frattempo il 2014 è stato il contesto per un’altro evento pronto a segnare la carriera di Herm1t, la guerra in Donbass.

Per contrastare gli attacchi di origine russa, Herm1t è diventato attivo nella guerra informatica tra i due paesi e insieme ad altri componenti, in modo autonomo hanno deciso di aiutare il loro stato, l’Ucraina, eseguendo con successo attacchi di contrasto come la compromissione e il leak delle email di Aleksey Karyakin (capo del cosiddetto “consiglio popolare” della Repubblica Popolare di Luhansk). Dopo poco più di un anno di attività, nel 2015 Herm1t fonda il gruppo RUH8, per il quale si definì “segretario di stampa” (ogni membro aveva titoli del mondo corporate come satira a tale ambiente).

Nella primavera 2016 nasce l’Ukrainian Cyber Alliance (UCA) dove diversi gruppi tra cui Trinity, FlaconsFlame e, successivamente, RUH8 con l’unico obiettivo di contestare in maniera attiva le attività informatiche russe. La lista delle loro operazioni è facilmente reperibile nella loro pagina Wikipedia. Uno dei più recenti attacchi, 2023, ha avuto come obiettivo lo smantellamento totale del RaaS Trigona Ransomware. In questo caso UCA è riuscita a penetrare ed avere totale controllo sull’intera infrastruttura del RaaS e tramite un leak ha ottenuto indirizzi dei wallet, source code del malware, record dei database interni e molto altro.

Oggi Hemr1t ci chiarisce che RUH8 ha a che fare “con un nemico esterno che vuole letteralmente invadere” il loro paese, “compiere un genocidio, attraverso esecuzioni extragiudiziali, torture e deportazioni forzate per schiacciare la volontà di libertà”. I componenti di RUH8 sono a tutti gli effetti “partigiani della guerra informatica”, tuttavia, “poiché guerra e politica sono inscindibilmente legate”, una delle loro azioni è diventata un classico esempio di hacktivismo: l’hanno chiamata “Fuck Responsible Disclosure”.

Ringraziamo Herm1t per il suo lavoro da pioniere della ricerca malware, i suoi valori e il tempo che ci ha dedicato per questa intervista.

Intervista – Lettera da Kyiv

RHC: Partiamo dalla tua storia personale: come ti sei avvicinato al mondo dei computer e dell’IT? Quale è stato il tuo primo computer e come è nata la tua curiosità per il mondo dell’information security?

Herm1t: Il modo in cui ho preso confidenza con i computer è abbastanza tipico dei bambini degli anni ’80. Mio padre mi ha parlato dei personal computer quando avevo cinque anni, ed erano molto diversi dai mainframe degli anni ’70 che aveva incontrato all’università. La sola idea che un programma potesse essere modificato, testato più e più volte, mi stupiva profondamente. Accidenti ai bambini. Sono tutti uguali.

L’unico problema era che questo accadeva nell’Unione Sovietica, dove i computer erano quasi inaccessibili. Ho dovuto cercare l’accesso ovunque potessi, e solo anni dopo ho avuto il mio primo computer, un clone sovietico dell’Apple II, Agat. E quando l’Unione Sovietica crollò e i miei genitori avviarono un’attività in proprio, nel 1994 mi procurai un potente (per l’epoca) 486DX2. L’accesso a Internet era proibitivamente costoso, quindi il mezzo di comunicazione principale era la rete FIDO e BBS, che per anni ha plasmato il carattere della scena hacker post-sovietica, focalizzata offline su reverse engineering e protezione del software crackling (dopotutto, non c’era un modo legale per acquistarlo anche se si avevano i soldi), progettazione demo e così via.

Da qualche parte a metà degli anni ’90, stavo leggendo una rivista elettronica dedicata alla scena demo e nella sezione “Lettere dai lettori” ho trovato un riferimento a un gruppo di scrittori di virus chiamato SGWW. Ho scaricato immediatamente tutti i numeri di Infected Voice che sono riuscito a trovare e mi sono iscritto ai newsgroup sui virus su FIDO. La scena dei virus era aggressiva e si posizionava come una controcultura, più simile a punk che a studenti modello. Ho scritto alcuni virus per MS-DOS, sperimentando tecniche diverse una alla volta, ma non ho partecipato molto alle discussioni. Invece, ho continuato a collezionare campioni di virus, riviste e articoli.

RHC: Smelly (VX Underground) ti ha menzionato come il creatore di VX Heaven: ci puoi raccontare quale era l’idea alla base in anni in cui non c’era ancora Google? A tutti gli effetti sei un pioniere! (A proposito complimenti per il tuo lavoro!)

Herm1t: Verso la fine degli anni ’90, ho iniziato a lavorare come amministratore di sistema per un provider, che mi ha dato accesso illimitato a Internet. Fu allora che decisi di organizzare la mia collezione come un sito web, ed è così che è nato VX Heaven.

Non avevo alcun interesse nell’hackerare le reti: quando hai accesso a decine, poi centinaia e infine migliaia di dispositivi, non c’è bisogno di cercare altro. Ma, naturalmente, c’erano incidenti di sicurezza e dovevo capire come funzionavano le diverse vulnerabilità e come prevenirle. Tutte le macchine sul nodo eseguivano Linux e FreeBSD, quindi ho iniziato a scrivere virus per le nuove piattaforme, trovando nuovi metodi di infezione e occasionalmente pubblicando i miei risultati. Questo è andato avanti per anni fino alla fine del 2011, quando il controspionaggio informatico dell’Ukrainian Security Service (SBU) è venuto a farci visita.

Ho provato a convincerli che il mio sito era una biblioteca, non un covo di criminali informatici, e hanno finto di credermi, suggerendomi persino di aiutarli a investigare su alcuni casi relativi ai carder. Ho analizzato diversi campioni e, poiché avevo ottenuto versioni di debug dei bot, ho trovato rapidamente l’infrastruttura di comando delle botnet.

A quel tempo, le autorità ucraine avevano chiuso la risorsa pirata Infostore e, poiché era il picco di Anonymous, il pubblico rispose con massicci attacchi DDoS sui siti web governativi. Anch’io partecipai, usando i grandi canali del provider (secondo quegli standard) e il giorno dopo, ufficiali familiari portarono screenshot dei grafici di carico del sito governativo, chiedendo consigli su come trovare gli organizzatori dell’attacco. Scrollai le spalle e dissi che non potevo aiutare. Apparentemente, questo li irritò e alla fine aprirono un procedimento penale contro di me per “diffusione di software dannoso”. Dovetti rivolgermi al pubblico e diversi scienziati che lavoravano nel campo si schierarono per me, mentre la comunità degli hacker raccolse fondi in modo che potessi pagare i servizi legali. La pubblicità, la perseveranza dell’avvocato e l’intervento di aziende influenti portarono alla chiusura silenziosa del caso, che non andò mai in tribunale. Dal momento che mi avevano portato via il mio giocattolo preferito, decisi di dedicarmi a qualcos’altro, sperimentando diversi metodi di hacking sui siti web dei paesi del terzo mondo, come la Russia. Poi un collega mi ha mostrato un annuncio della più grande banca del paese che stava lanciando un programma bug bounty. Dopo aver esaminato l’infrastruttura pubblica della banca, ho trovato un IDOR, che consentiva di scaricare le ricevute delle transazioni tramite una semplice enumerazione. La banca ha pagato la ricompensa massima. “Probabilmente solo fortuna”, ho pensato, ho riprovato e ho trovato un XSS riflesso proprio sulla pagina di accesso del sistema di online banking, che poteva essere utilizzato per intercettare la password di un utente e bypassare l’autenticazione a due fattori. La banca ha pagato di nuovo la ricompensa massima. Non era più solo questione di fortuna.

RHC: Ci puoi raccontare qualcosa sul tuo momento di transizione da VX Haven (Virus eXchange) a difensore dello spazio digitale ucriano, quale partigiano del tuo paese?

Herm1t: Mi annoiavo nella mia città natale di Donetsk e risposi a un’offerta da un perfetto sconosciuto, un certo Tim Karpinsky, su LinkedIn, di entrare a far parte di una piccola startup di sicurezza a Kiev (meglio scrivere Kyiv, non Kiev, perché gli ucraini potrebbero offendersi molto). Trasferirmi a Kiev è stata una delle migliori decisioni che abbia mai preso perché un anno dopo è avvenuta la Rivoluzione della Dignità e la Russia ha iniziato l’invasione dell’Ucraina.

Dopo essermi trasferito a Kiev, ho rilanciato VX Heaven, solo per principio. Questa volta, era ospitato su server a prova di proiettile, anche se l’SBU non ha smesso di cercare di reclutare me e i miei colleghi. Ma abbiamo ascoltato educatamente le loro offerte e altrettanto educatamente abbiamo suggerito loro di andare avanti. Cosa che hanno fatto per un po’.

Non posso parlare molto del mio lavoro in quel periodo: parte di esso è coperto da accordi di non divulgazione e parte è avvenuta in circostanze che non sono ancora pronto a discutere.

La scena era cambiata radicalmente e LovinGod, il leader di lunga data di SGWW, che aveva dato il via al mio viaggio iniziale nella sicurezza informatica, aveva persino definito il mio progetto una “bara portatile per la scena dei virus”. Non sono offeso, forse lo è. Ma migliaia di persone nel corso dei decenni hanno trovato l’idea dei virus contagiosa e penso che sia fondamentale preservare i risultati del loro lavoro. Sono felice che VX Underground continui a fare lo stesso, mantenendo continuità e memoria. Il regime di Yanukovych, completamente corrotto e infinitamente triste, ha generato apatia e il desiderio di stare il più lontano possibile da ciò che passava per “politica” in questo paese. Tutto è cambiato dopo la rivoluzione e l’inizio della guerra. È iniziata la formazione di una nazione ucraina politica, insieme alla necessità di difendere il paese dai russi, anche nel cyberspazio. Nel 2014, Kostiantyn Korsun dell’Ukrainian Information Security Group organizzò un incontro e tutti si presentarono, hacker, intelligence, controspionaggio, il servizio di comunicazione governativo e CERT, per discutere di cosa potevamo fare insieme per proteggere il nostro Paese. Mi ero sempre interessato al lato offensivo delle operazioni informatiche, così iniziammo gli attacchi informatici di ritorsione: hackerammo la Duma di Stato della Federazione Russa, entrammo nei siti web del governo regionale, pubblicando messaggi provocatori e passammo le informazioni hackerate ai nostri servizi di intelligence. Questa volta, avevamo un obiettivo comune.

Dopo gli accordi di Minsk, la guerra si trascinò e gli investigatori OSINT e gli hacker si organizzarono in gruppi e iniziarono a collaborare. Gran parte delle informazioni furono pubblicate su InformNapalm. Nella primavera del 2016, abbiamo hackerato il sito web del governo di Orenburg e pubblicato un messaggio in cui si affermava che “alla luce dei tragici eventi nella Repubblica del Kazakistan”, nella regione era stato dichiarato lo stato di emergenza e il governatore stava convocando una riunione antiterrorismo. Poche settimane dopo, si verificarono attacchi terroristici ad Aktobe e il governatore Berg dovette davvero convocare la riunione che avevamo “pianificato” per lui. Per usare efficacemente i media e l’hacking per influenzare gli eventi, è necessaria una profonda comprensione del contesto. Dopo di che, Karpinsky e io fummo invitati a unirci all’Ukrainian Cyber ​​Alliance e, poiché nessun altro rivendicava quel ruolo, scelsi la posizione di portavoce. Iniziai con un’intervista importante in cui spiegavo chi siamo, quali obiettivi ci eravamo prefissati e come intendevamo raggiungerli. Inizialmente scherzavo sulla mia “posizione” nel gruppo, poiché assomigliava molto alle strutture pseudo-aziendali parodistiche dei primi gruppi di hacker. Ma presto iniziò il lavoro serio. Iniziai a incontrare regolarmente i giornalisti, filmando storie per servizi giornalistici e documentari. Diventammo parte della resistenza nazionale contro l’aggressore e acquisimmo la nostra identità informativa e politica.

Oltre alle elevate motivazioni patriottiche, c’è un altro aspetto in questo tipo di hacking: puoi hackerare qualsiasi cosa desideri, non solo senza pressioni da parte dei servizi segreti, ma con la loro piena approvazione. E lo abbiamo fatto. Abbiamo hackerato l’e-mail del consigliere di Putin Surkov e, poiché l’hacking è avvenuto durante le elezioni statunitensi, ha ricevuto la massima copertura internazionale. Molti hanno persino pensato che si trattasse di un’azione di ritorsione da parte dell’intelligence americana in risposta all’interferenza elettorale. Abbiamo scoperto i nomi dell’esercito di occupazione russo, composto al 90% da mercenari russi, reclutati, armati e inviati dalla Russia per combattere sotto ufficiali russi in Ucraina. I cosiddetti “separatisti del Donbass” erano solo una bugia per nascondere l’evidente verità.

Tutte le nostre attività non sono hacktivism nel senso comune del termine, perché gli hacktivisti in genere mirano ad attirare l’attenzione su questioni interne al proprio paese (anche se le azioni principali si svolgono all’estero, come nel caso di Anonymous e della Primavera araba). Il loro obiettivo è cambiare l’opinione pubblica e, possibilmente, fare pressione sul governo affinché provochi cambiamenti interni. Abbiamo a che fare con un nemico esterno che vuole letteralmente invadere il nostro paese e compiere un genocidio, attraverso esecuzioni extragiudiziali, torture e deportazioni forzate per schiacciare la volontà di libertà. Questo non è hacktivism, non è hacking patriottico; eravamo letteralmente partigiani della guerra informatica. Tuttavia, poiché guerra e politica sono indissolubilmente legate, una delle nostre azioni è diventata un classico esempio di hacktivism. L’abbiamo chiamata “Fuck Responsible Disclosure”

RHC: Il cyberspazio è cambiato molto dall’inizio: quali sono, secondo te, gli elementi positivi e negativi oggi? Soprattutto, i vecchi ideali e idee (come apertura, trasparenza e accesso universale) sono morti, “silenziosi” o “silenziati” in un mondo sempre più complesso da sistemare? Inoltre, puoi darci una tua visione sulla protezione dello spazio informativo?

Herm1t: Due domande che di solito interessano gli hacker continuavano a tormentarmi: la censura su Internet e quanto bene la nostra infrastruttura è protetta dagli hacker nemici. Nel 2017, dopo il devastante attacco NotPetya dalla Russia, la leadership ucraina ha iniziato a pensare alla sicurezza informatica, ma a modo suo. Innanzitutto, con la scusa di “proteggere lo spazio informativo”, il governo ha voluto introdurre una censura di Internet modellata su quella russa, con un elenco di siti Web vietati. Il disegno di legge 6688 è stato presentato al parlamento, ma dopo aver mobilitato la società per protestare, è stato ritirato. Tuttavia, i blocchi sono stati comunque introdotti in seguito, non per legge ma con un decreto presidenziale. Allo stesso tempo, è stata adottata la “Cybersecurity Strategy” e i funzionari con cui abbiamo parlato hanno iniziato a dire: “Guarda, tutto sta cambiando, ora che abbiamo la strategia, la sicurezza migliorerà”. Come tutti sanno, agli hacker non importa un cazzo dei tuoi budget, strategie, conformità e altre scartoffie. La nostra prima “vittima” è stata CERT, che ha “perso” la password della sua e-mail proprio sul suo sito Web in un backup di uno degli script. Dopo di che, gli obiettivi vulnerabili si sono riversati come una valanga: siti web ministeriali, forniture di acqua ed elettricità, agenzie statali e persino centrali nucleari. Ma non abbiamo mai sfruttato appieno gli hack per restare nei limiti della legge, limitandoci a evidenziare vulnerabilità e potenziali conseguenze.

Ogni nuovo “obiettivo” scatenava uno scandalo e i funzionari attraversavano tutte le fasi, dalla negazione all’accettazione. Come sempre e ovunque, dicevano: “Questi non sono i nostri sistemi, sono vecchi sistemi, ma presto ce ne saranno di nuovi. Sì, sono vulnerabili, ma non è trapelato nulla e non è successo nulla. Sì, sarebbe potuto succedere, ma stiamo già lavorando per risolvere il problema”. Quando i documenti dei candidati al servizio civile trapelarono, fu convocato il Consiglio per la sicurezza nazionale e il capo dell’agenzia fu licenziato. E naturalmente, umiliando pubblicamente funzionari di alto rango, ci siamo fatti molti nemici. Spesso, il proprietario di un sistema vulnerabile minacciava di sporgere denuncia alla polizia. Nel caso del governo di Kherson, Katya Handziuk (che in seguito fu brutalmente assassinata per la sua posizione civica) li convinse a non farlo. Energoatom cercò di sporgere denuncia all’SBU, ma poiché si trattava di una centrale nucleare, l’SBU li minacciò di nuovo con un’indagine penale per negligenza. Tragicamente, più o meno nello stesso periodo, un ingegnere della sicurezza nucleare della centrale nucleare di Zaporizhzhia si è suicidato. Abbiamo chiaramente infastidito qualcuno così tanto che nel 2018 la polizia informatica ha fatto irruzione in casa mia. Sono intervenuti i vertici politici e non sono mai state presentate accuse. Per evitare di dare una ragione alle forze dell’ordine, abbiamo dovuto chiudere il sito web VX Heaven.

Il mandato del presidente Poroshenko è terminato e Zelensky ha vinto le elezioni, causando una spaccatura nella Cyber ​​Alliance ucraina. I gruppi Falcons Flame e CyberHunta hanno annunciato che avrebbero cessato le operazioni e se ne sarebbero andati. Nel frattempo, le forze dell’ordine hanno fatto un altro tentativo di frenare gli attivisti ribelli.

Nell’autunno del 2019, uno sconosciuto burlone ha visualizzato il messaggio “Fuck you, Greta!” su uno schermo all’aeroporto di Odessa e l’SBU ha deciso che era opera nostra. Hanno intercettato i nostri telefoni e nel febbraio 2020 hanno condotto delle incursioni sui membri del gruppo. Indossavano così tante armature e trasportavano così tante armi che avrebbero potuto essere sufficienti per catturare terroristi altamente pericolosi. Invece di cercare umilmente protezione, abbiamo arruolato il supporto dei partiti di opposizione “Democratic Axe” e “European Solidarity”, tenendo prima la nostra conferenza stampa e poi un’altra proprio nella sede stampa parlamentare. Le proteste hanno avuto luogo proprio all’interno del tribunale. Non sono state presentate accuse, ma ci sono voluti anni perché gli avvocati ottenessero giustizia e solo poche settimane fa, un tribunale ha stabilito che non avevamo nulla a che fare con l’incidente all’aeroporto di Odessa.

Sebbene avessimo annunciato alla conferenza stampa che avremmo cessato la cooperazione con le autorità, la nostra comunicazione con alcune agenzie è continuata. Abbiamo mantenuto i contatti con l’intelligence, il Ministero della Difesa e il Servizio di comunicazioni speciali e protezione delle informazioni. Infatti, abbiamo persino firmato un accordo di cooperazione con quest’ultimo, poiché a quel tempo avevamo ufficialmente registrato la nostra organizzazione come ONG. Questa cooperazione includeva discussioni sulla sicurezza e sulle politiche per migliorare la sicurezza dei sistemi governativi. Tuttavia, nuove leggi, restrizioni normative, dispositivi di sicurezza miracolosi, multe, conferenze e tavole rotonde non aiutano realmente. Ciò che aiuta è essere preparati alla possibilità che il tuo sistema venga preso di mira e avere un piano per quando i computer si sono semplicemente spenti, in modo da poterli riaccendere.

Inoltre, l’Ucraina ha un panorama di minacce piuttosto specifico. Non c’è certamente carenza di criminalità informatica qui, ma la maggior parte degli hacker “russi” (tra virgolette perché molti di loro non sono effettivamente russi) seguono la regola di “non lavorare nella CSI” per evitare di scontrarsi con le forze dell’ordine locali. Sono spinti esclusivamente dal denaro e si tengono il più lontano possibile dalla politica perché danneggia gli affari. Nel frattempo, le agenzie di intelligence russe sono state estremamente attive dal 2014, non solo impegnandosi nello spionaggio ma anche cercando di causare il maggior danno possibile. L’inizio della guerra nel 2014 ha segnato una divisione all’interno della comunità blackhat post-sovietica, che continua ancora oggi. Tuttavia, l’avidità e le posizioni apolitiche rimangono invariate.

RHC: Puoi darci una tua visione di guerra ibrida e di come l’informatica giocherà un ruolo sempre più importante per i paesi in materia di difesa e offensiva?

Herm1t: Avete menzionato il termine “guerra ibrida”, che non mi piace tanto quanto il termine “hacktivisti”, perché semplicemente non riflette la realtà. Senza dubbio, la guerra che la Russia sta combattendo dal 2014 è molto lontana dalla teoria della guerra di Clausewitz, ma non c’è nulla di particolarmente nuovo nel combattere con mercenari o nell’eseguire sabotaggi (anche con il prefisso “cyber”). Questa guerra può essere “ibrida” per altri paesi, ma per l’Ucraina è solo una guerra.

E anche per la Russia, in generale, perché quando non sono riusciti a conquistare il paese con mezzi politico-militari, sono tornati alla forza bruta. Tuttavia, il ruolo della tecnologia continuerà solo a crescere. Basta guardare cosa sta succedendo in questo momento. Sempre più paesi stanno cercando di creare unità informatiche. Alcuni stanno lavorando su dottrine, strategie e tattiche, mentre altri, come Russia, Corea del Nord e Iran, stanno semplicemente sfruttando qualsiasi opportunità riescano a trovare. I loro attacchi sono opportunistici, spesso non coordinati con la leadership politica e negabili. Ma a volte hanno successo (almeno tecnicamente), anche se non riescono a raggiungere un obiettivo militare. Un buon esempio è l’attacco del 13-14 gennaio 2022, quando il GRU ha hackerato decine di istituzioni governative ucraine con l’obiettivo di intimidire l’élite politica e convincerla che la resistenza era inutile. Dopo quell’attacco, è diventato chiaro che il tempo stava per scadere. Poco prima dell’invasione, Tim e io stavamo preparando un hack che avrebbe potuto rappresentare l’apice della nostra carriera di hacker. Stavamo esaminando le proposte di modifica del codice penale ucraino in merito alla criminalità informatica. L’ironia della situazione non ci è sfuggita. “Chi l’avrebbe mai detto”, ha detto il mio collega, “che due hacker stavano modificando le modifiche alla legislazione nazionale!” “Aspetta e vedrai”, ho risposto, “e se quella legislazione diventasse russa?” La mattina del 24 febbraio, siamo stati svegliati da delle esplosioni. Dopo aver parlato con alcuni contatti militari e dell’intelligence, ci siamo trasferiti in una parte più sicura del paese: Leopoli.

Tutti i disaccordi precedenti sono stati immediatamente dimenticati. Persone che prima non volevano nemmeno parlare con noi hanno iniziato a offrire il loro aiuto. La polizia informatica ha restituito l’attrezzatura che aveva confiscato, un operatore di telefonia mobile ha aperto canali di comunicazione ad alta velocità illimitati e volontari hanno raccolto fondi e fornito l’attrezzatura necessaria. Come sempre in queste situazioni, non si raggiunge il livello delle proprie aspettative; si scende al livello del proprio addestramento.

RHC: UCA è riuscita a penetrare e wipare i server di Trigona Ransomware, potresti descriverci cosa avete trovato e come era organizzato questo gruppo ransomware? Come mai avete scelto di bersagliare questo gruppo specifico? Come si può quindi contrastare con successo un gruppo Ransomware?

Herm1t: I nostri primi hack non si sono discostati molto da ciò che ora consideriamo azioni “hacktiviste”: semplici deturpazioni e database trapelati. Ma non avevamo pianificato di fermarci e abbiamo agito metodicamente. Poi sono arrivati ​​gli exploit pubblici, la costruzione di infrastrutture, lo sviluppo dei nostri strumenti, la collaborazione con altri gruppi e l’esercito. L’esperienza arriva con il tempo. Ecco perché qualcosa come “Trigona” diventa un bersaglio incredibilmente facile. È stato un raid standard che utilizzava un exploit pubblico in Confluence.

Ma a differenza dei blackhat, che cercano immediatamente di monetizzare il loro bottino installando miner, ci siamo concentrati sull’estrazione di tutte le informazioni disponibili, sull’ottenimento di privilegi amministrativi, sull’espulsione di altri hacker e sull’istituzione della persistenza. Gli operatori di ransomware non avevano alcuna possibilità di trovare tutte le trappole che avevamo predisposto, proprio come i nostri altri obiettivi. Ad esempio, ci sono volute circa due ore a C.A.S. e a noi per distruggere l’infrastruttura di trasmissione pubblica nella Luhansk occupata (era la filiale di Luhansk, non VGTRK, ad essere stata hackerata da un altro gruppo). Un’ora per elevare i privilegi e trovare tutti i sottosistemi disponibili e un’altra ora per cancellare tutto. In questo momento, stiamo monitorando un gran numero di obiettivi contemporaneamente. Alcuni riescono a scappare, ma spesso riusciamo a recuperarli in seguito. In qualsiasi momento, abbiamo obiettivi da qualsiasi settore dell’economia o del governo russo. Se decidiamo che è il momento giusto, li distruggiamo. Quando un giornalista di RFERL mi ha chiesto di recente: “Chi sta vincendo la guerra informatica?“, ho risposto che non è una competizione. Ci scontriamo raramente con i nostri avversari, anche se a volte riusciamo a interrompere le loro operazioni. La portata dei nostri obiettivi continuerà a crescere, non tanto per le capacità tecniche, quanto per cose “noiose” come la struttura organizzativa, il reclutamento, la formazione, la condivisione di informazioni e così via.

RHC:Come hai scelto il tuo soprannome? E il motto di VX-Heaven “Virus don’t harm, Ignorance does” presente nella homepage?

Herm1t: I soprannomi “herm1t” e “Sean Townsend” sono stati scelti quasi a caso. Ho usato il primo su BBS a metà degli anni ’90 e quando ho iniziato a creare account utente al lavoro, l’amministratore senior ha usato lo stesso nome. Non ho avuto tempo di inventarmi qualcos’altro. Per quanto riguarda il secondo, avevo rubato documenti con quel nome per superare la verifica sui social media. Non è un nome raro, quindi non ho avuto la sensazione di causare alcun danno alla persona reale usandolo come nome di battaglia.

Il motto di VX Heaven afferma semplicemente che qualsiasi conoscenza tecnica è moralmente neutrale. Le stesse tecniche possono essere utilizzate dagli hacker che usano ransomware per trarne profitto, dai russi per la loro guerra di aggressione e da noi per causare loro danni tali da impedire loro di attaccare di nuovo chiunque.

RHC: Herm1t, grazie mille per il tuo tempo! Apprezziamo molto il suo contributo alla comunità. Ti auguriamo il meglio per te, il tuo gruppo e la pace per il tuo paese. Le tue parole sono preziose per gli hacker attuali e futuri.

L'articolo RHC Intervista a Herm1t! Come un Hacker ha Combattuto per la Libertà dell’Ucraina proviene da il blog della sicurezza informatica.