Salta al contenuto principale


Intervista a Luca Cadonici: l’informatica forense verso un approccio proattivo contro la criminalità informatica


L’informatica forense oggi non è solo un’arma per combattere il crimine ma una disciplina scientifica che oggi “non si limita più all’analisi reattiva post-incidente ma si è evoluta verso un approccio proattivo, mirato alla prevenzione e all’intelligence sulle minacce”. Nello specifico la Mobile Forensics, comunemente utilizzata per recuperare prove in relazione a un’indagine criminale, e strumento importante per le forze dell’ordine, si applica oggi a qualsiasi tipologia di reato, grazie anche al fatto che le tecnologie digitali occupano un ruolo sempre più importante nelle nostre vite. Le investigazioni della Mobile Forensics variano dai reati tradizionali “nei quali l’aspetto informatico è una prosecuzione del reato stesso” a “truffe, cyberstalking, sextortion, ma anche omicidi, traffico di droga, furti e violenza sessuale”. Tuttavia gli investigatori non si limitano ad estrarre e analizzare i dati, ma molti di loro sono costantemente impegnati ad individuare nuove vulnerabilità – stimolo per i produttori a rafforzare la sicurezza – e a sviluppare soluzioni efficaci per acquisire i dati. Tra loro Luca Cadonici, che per le sue investigazioni ha sviluppato soluzioni specifiche per rispondere ad esigenze particolari.

Dal suo lavoro è nato, tra le altre cose, uno script Python presentato al SANS DFIR Summit & Training 2023, progettato per recuperare informazioni su chat cancellate da WhatsApp su dispositivi iOS.

Noi lo abbiamo intervistato e tra le tante domande abbiamo analizzato lo stato della Digital e Mobile Forensics, tra crittografia, casi studio, mobile forensics avanzata, abbiamo parlato di criptofonini, dei casi Encrochat e Cellebrite, dell’estrazione di dati Mobile da Cloud, di intelligenza artificiale e automazione, che offrono “un supporto decisivo nei casi che richiedono la gestione di enormi quantità di dati, come nelle indagini su larga scala che coinvolgono aziende o multinazionali”. Infine abbiamo chiesto a Luca come mettere in sicurezza i nostri smartphone e ci ha dato ottimi consigli.

Luca Cadonici, Membro ONIF – Osservatorio Nazionale per l’Informatica Forense, è un Consulente Informatico Forense con oltre dieci anni di esperienza in supporto alle Forze dell’Ordine e all’Autorità Giudiziaria italiana a cui affianca un’intensa attività di formazione in Italia e all’estero. Docente di Mobile Forensics presso l’Università di Perugia e l’ISF Corporate College in Italia, ricopre il ruolo di Programme Leader del Master in Cyber Security, Digital Forensics e Crime Analysis presso l’European Forensic Institute (Malta).

Nel 2024, è Senior Non-Key Expert internazionale per la raccolta e gestione delle prove digitali presso lo Special Investigation Service (SIS) a Tbilisi, nell’ambito del progetto dell’Unione Europea “Support to External Security Sector Oversight in Georgia.” Collabora con il magazine L’Europeista, dove si occupa di Cyber Security e normativa di settore.

Luca Cadonici: l’evoluzione della Mobile Forensics tra sfide e strategie investigative sempre più avanzate


Luca Cadonici Mobile Forenics intervistaLuca Cadonici

1 – O: Ciao Luca e grazie per il tempo che vorrai dedicare a questa intervista. Innanzitutto vorrei che tu raccontassi quale è il ruolo di un informatico forense e l’importanza di questa figura nella lotta al crimine e soprattutto perché debba poggiare su solidi metodi scientifici.


LUCA: Ciao Olivia, grazie a te per l’invito e per l’opportunità di parlare di un tema che mi sta molto a cuore. È davvero un piacere!

Il Codice di Procedura Penale italiano consente già da tempo la possibilità di nominare ausiliari esperti nei vari campi del sapere per soddisfare le esigenze della giustizia, ben prima che l’informatica assumesse il ruolo centrale che ha oggi. Negli ultimi anni, abbiamo assistito sia a un incremento del crimine informatico, mano a mano che il business si trasferiva dal fisico al virtuale, sia a un aumento nell’uso dei mezzi digitali, al punto che ormai ogni individuo ha diversi dispositivi associati, non solo un computer, ma anche uno smartphone o più dispositivi mobili.

Questa diffusione pervasiva ha generato una maggiore domanda di consulenti esperti che, nel rispetto delle normative, siano in grado di acquisire e preservare le prove digitali. Qui si inserisce la figura del Consulente Informatico Forense, ovvero un esperto che opera secondo le disposizioni del Codice di Procedura Penale e che assiste la Polizia e l’Autorità Giudiziaria, soprattutto nella delicata fase delle indagini preliminari.

L’importanza di questa figura è in continua crescita, così come le competenze richieste, motivo per cui oggi assistiamo a una specializzazione sempre più raffinata, con suddivisioni interne come Digital Forensics, Multimedia Forensics, Network Forensics, Computer Forensics e Mobile Forensics. Quest’ultima disciplina, in particolare, è una delle più richieste in ambito giudiziario in Italia, dato il ruolo privilegiato dello smartphone nella vita personale e comunicativa di ogni individuo.

Parallelamente, anche la criminalità organizzata si è evoluta, spesso a una velocità maggiore rispetto allo Stato, iniziando, ad esempio, a utilizzare VoIP per le comunicazioni meno intercettabili mentre si discuteva ancora di eliminare il fax. Negli ultimi anni, per fortuna, si è cercato di colmare questo divario, investendo nella formazione e nell’equipaggiamento tecnologico delle Forze dell’Ordine, ma il lavoro è ancora in corso.

Un libro che descrive molto bene questa dicotomia è Il grifone del Procuratore Antimafia Nicola Gratteri e di Nicola Nicaso. Il grifone, figura mitologica con la doppia natura di animale antico e maestoso, rappresenta bene la natura delle associazioni mafiose: antiche nei riti e moderne nella tecnologia. È una lettura che consiglio vivamente a chiunque sia interessato al tema.

2 – O: Ripetibilità e irripetibilità: ci può illustrare diversi scenari in cui è possibile raccogliere prove digitali da dispositivi mobili, mantenendo intatto il loro valore legale?


LUCA: Sulla ripetibilità e irripetibilità degli accertamenti sui dispositivi mobili – regolati rispettivamente dagli articoli 359 e 360 del Codice di Procedura Penale – si discute ancora molto in Italia. Osservo una carenza di linee guida univoche e definitive su questa questione, motivo per cui, a mio avviso, sarebbe auspicabile l’intervento di una commissione di giuristi supportati da tecnici per tracciare una linea chiara su cosa si intenda per irripetibilità nell’accesso ai dispositivi mobili. A differenza dei più tradizionali PC, infatti, questi dispositivi subiscono inevitabilmente delle modifiche, anche minime, durante l’analisi, dovute alla necessità di accenderli per procedere all’acquisizione forense.

Aspetti giuridici a parte, è importante considerare che i dispositivi mobili sono generalmente dotati di misure di sicurezza avanzate e risultano particolarmente sensibili a livello di protezione. Sono progettati con sistemi come la cifratura completa dei dati, l’isolamento delle applicazioni e controlli sulle app in esecuzione, includendo spesso meccanismi che limitano o impediscono l’accesso diretto ai dati, una caratteristica meno comune nei computer tradizionali.

Non sono progettati per essere acquisiti, anzi, attraverso cifratura e controlli sulle app in esecuzione, fanno di tutto per impedire agli strumenti forensi di ottenere privilegi di sistema e acquisire una copia dei dati. Il rischio di brick (blocco totale del dispositivo) o di malfunzionamenti è sempre presente e deve essere valutato con attenzione. È quindi essenziale adottare procedure e strumenti forensi che riducano al minimo tale rischio.

Detto ciò, va tenuto presente che, diversamente dai PC o dai supporti di memoria esterni, la quantità di dati acquisibili dai dispositivi mobili varia in funzione di numerosi fattori, tra cui la capacità di sblocco dello strumento di acquisizione, le patch di sicurezza presenti sul dispositivo, la versione del sistema operativo, la marca e il modello, oltre alla data di produzione del dispositivo.

3- O: Crittografia: da un lato si evidenzia come venga usata per diffondere materiale pedopornografico (CSAM), per le operazioni criminali, dall’altro invece come protegga le comunicazioni private, le operazioni finanziarie o la raccolta delle informazioni e la protezione delle fonti dei giornalisti. Per bypassare il problema in Europa si è pensato ad operazioni pre-crimine (‘upload-moderation’ o ‘scansione lato client’): tuttavia in una lettera aperta il CEO di Signal Meredith Whittaker, ha evidenziato come la scansione lato client sarebbe pericolosa e ha minacciato di ritirare la sua app dal Regno Unito se l’Online Safety Act avesse vietato la crittografia.

L’uso diffuso della crittografia su dispositivi mobili ha creato sfide significative per le indagini forensi: ci puoi parlare delle attuali sfide alla luce soprattutto della cifratura della messaggistica dei social network e dove si rende necessaria la disponibilità di questi dati per le forze dell’ordine?


LUCA: L’uso diffuso della crittografia su dispositivi mobili ha posto sfide significative alle indagini forensi, soprattutto con la crescente adozione della crittografia end-to-end nei servizi di messaggistica dei social network. Si tratta di una questione delicata, che richiede un equilibrio tra il diritto alla privacy individuale e la necessità di accesso ai dati per le forze dell’ordine a fini investigativi. Questo equilibrio dovrebbe essere affrontato a livello politico, con una collaborazione continua tra i fornitori di servizi, le forze dell’ordine e gli esperti forensi.

Nell’ultimo anno ci sono stati alcuni eventi emblematici in tal senso: alla fine del 2023, Meta ha reso obbligatoria la crittografia end-to-end per tutte le chat di Messenger, seguendo il modello di WhatsApp. Ad aprile 2024, Europol e i capi delle forze di polizia delle nazioni dell’Unione Europea hanno lanciato una “call-to-action” rivolta all’Unione Europea per sollecitare un intervento su queste problematiche. A ciò si è aggiunto il caso di Pavel Durov, CEO di Telegram, arrestato e poi costretto a cedere sui dati da fornire in caso di richiesta da parte delle Autorità Giudiziarie nazionali.

Ritengo che l’adozione della crittografia end-to-end continuerà a diffondersi, non solo per questioni di sicurezza, ma anche per sollevare i fornitori come Meta dall’onere di rispondere alle richieste di accesso alle comunicazioni da parte delle autorità giudiziarie di tutto il mondo. A Durov è infatti stato contestato di non aver fornito alle autorità i dati dei gruppi e dei canali Telegram che, al pari delle chat ordinarie (cloud chat) del dispositivo, utilizzano il protocollo di cifratura MTProto (non end-to-end e sviluppato appositamente da Telegram) mentre la cifrature end-to-end è supportata solo per le “chat segrete.”

Due questioni principali emergono: la crittografia delle memorie fisiche dei dispositivi e la crittografia end-to-end delle comunicazioni. Il primo tema è stato oggetto di discussione accesa nel caso Apple vs FBI dopo la strage di San Bernardino, quando Apple rifiutò di sbloccare un iPhone 5c e di inserire una backdoor nei suoi dispositivi. Il secondo riguarda la crittografia end-to-end, che impedisce, ufficialmente, ai fornitori di accedere ai contenuti poiché non possiedono le chiavi private, che risiedono esclusivamente sui dispositivi stessi.

Questa sfida, complessa e articolata, per chi opera nel campo della Digital Forensics deve essere vista come uno stimolo verso un continuo miglioramento. Misure di sicurezza avanzate non proteggono solo i criminali, ma sono essenziali per tutelare i cittadini da attività criminali, difendendo i dati personali da possibili abusi.

C’è poi una questione politica importante: viviamo in una parte del mondo democratica e siamo fortunati. In altri contesti, la crittografia delle comunicazioni e dei dispositivi, così come l’uso delle VPN, rappresenta uno strumento essenziale di protezione per chi non gode delle nostre stesse libertà. È fondamentale, quindi, che queste misure di sicurezza siano garantite.

4 – O: Sempre social network: una ricerca ha evidenziato come una notevole quantità di dati proveniente da app di social network (tra cui Instagram) è stata estratta con successo dalla memoria interna dello smartphone esaminato nel rispetto degli standard NIST con strumenti come Magnet AXIOM, XRY e Autopsy. Estrarre ed identificare informazioni utili può essere però complesso per identificare informazioni rilevanti e concentrarsi su ciò che conta davvero.

Puoi spiegare quali sono gli elementi rilevanti ai fini di un’indagine?


LUCA: Dipende molto dal tipo di indagine. Le analisi su PC o server sono spesso orientate a crimini informatici veri e propri, come esfiltrazione di dati, ransomware, o compromissione dei sistemi. In questi casi, la conoscenza approfondita dei meccanismi del sistema operativo, come ShellBags, il Registro di Windows, le proprietà del file system NTFS, e gli equivalenti per altri sistemi come Linux e macOS, è fondamentale.

Nel caso dei dispositivi mobili, invece, le indagini riguardano perlopiù reati tradizionali, nei quali il dispositivo può aver avuto un ruolo o contenere tracce utili. Le conversazioni su app di messaggistica, come WhatsApp, e i file multimediali, in particolare quelli presenti nella galleria del dispositivo, sono tra i dati più richiesti. Per reati legati, ad esempio, al traffico di droga, spesso le applicazioni di messaggistica ritenute “più sicure,” come Signal, Session, WickrMe o Telegram, rivestono un ruolo centrale.

Ci sono, tuttavia, casi particolari in cui è necessario stabilire l’utilizzo del dispositivo in un momento preciso, come in indagini per omicidio, suicidio, morte per overdose o omicidio stradale. In altri casi, potrebbe essere fondamentale verificare l’attivazione della fotocamera in un determinato momento, è indispensabile un’analisi approfondita e dettagliata, che comporta l’interrogazione manuale di file di log e database interni, utilizzando termini di ricerca specifici e query mirate.

5 – O: In un’indagine quale scenario occupano immagini, video e registrazioni vocali, quali relazioni si possono ottenere ai fini di un’indagine – ovvero la collezione di prove da un network di individui – e come viene determinata la loro autenticità e integrità in ambito forense?


LUCA: La determinazione dell’autenticità e dell’integrità di immagini, video e registrazioni vocali è una delle sfide più delicate in ambito forense. L’autenticità dipende in primo luogo dalle modalità con cui i dati sono acquisiti. È fondamentale che l’acquisizione venga eseguita da uno specialista in forense digitale, utilizzando strumenti e procedure che garantiscano la raccolta dei dati in modo immodificato, senza alterazioni o contaminazioni. La validazione dell’integrità dei dati acquisiti si effettua tramite il calcolo di valori di hash (come MD5, SHA1, SHA256), che permettono di “cristallizzare” i dati nella loro forma originale e di confrontarli in seguito per verificarne eventuali modifiche.

Tuttavia, con l’emergere di tecnologie come i Deep Fake, che permettono la manipolazione di immagini, video e audio in modo estremamente convincente, l’autenticità di questi materiali è diventata ancora più difficile da garantire. La comunità forense e quella degli sviluppatori stanno lavorando per sviluppare soluzioni in grado di rilevare e verificare la genuinità di foto, video e registrazioni, identificando eventuali manipolazioni. Nonostante queste difficoltà, l’acquisizione forense di un dispositivo, che include anche i metadati associati, fornisce un contesto che aiuta a stabilire la veridicità del dato e a correlare i contenuti con il momento e il luogo in cui sono stati creati, dando così un contributo importante per fare chiarezza in fase investigativa.

6 – O: A quali casi – e settori – si applica la mobile forensics e se vuoi ci potresti raccontare un caso studio che ti ha portato alla scoperta di altri metodi da applicare nelle tue indagini?


LUCA: La Mobile Forensics si applica trasversalmente a qualsiasi tipologia di reato, poiché oggi qualsiasi settore criminale può includere l’uso di dispositivi mobili. Tuttavia, nella maggior parte dei casi, si tratta di reati “tradizionali,” nei quali l’aspetto informatico è una prosecuzione del reato stesso: truffe, cyberstalking, sextortion, ma anche omicidi, traffico di droga, furti e violenza sessuale.

In alcune indagini, ho sviluppato soluzioni specifiche per rispondere a esigenze particolari. Ad esempio, in un caso di presunta violenza sessuale, si doveva dimostrare che un video era stato registrato con la fotocamera a un orario specifico della notte e poi cancellato. Ho creato una query SQLite personalizzata per analizzare un database specifico di iOS che evidenziava l’attivazione della fotocamera nel periodo di interesse, fornendo una prova concreta della possibile creazione di un video nel periodo di interesse.

In un altro caso legato al traffico di droga, ho esplorato i database iOS e scoperto dove iCloud registra tracce di messaggi WhatsApp contenenti file multimediali destinati alla cancellazione. Da questa scoperta è nato uno script Python che ho poi presentato al SANS DFIR Summit & Training 2023, progettato per recuperare informazioni su chat cancellate da WhatsApp su dispositivi iOS.

7 – O: Torniamo alla crittografia e nello specifico al caso Encrochat, società che forniva telefoni cellulari modificati e criptati che venivano spesso utilizzati dai criminali e ritenuti inattaccabili: tuttavia o una talpa o la polizia francese che sarebbe stata in grado di installare un software Trojan sui dispositivi terminali tramite un aggiornamento simulato e hanno reso possibile leggere i messaggi di chat di migliaia di utenti in tempo reale. In alcuni casi questi criptofonini – protetti dagli attacchi Man In The Middle – avrebbero come caratteristica essenziale una funzione wiping e un’infrastruttura server collocata in paesi “offshore”, come ad esempio la Costarica.

I criptofonini possono essere “violati”? E quali informazioni utili si riescono ad ottenere nel caso?


LUCA: I criptofonini possono essere violati solo con estrema difficoltà, e solitamente non nei tempi utili per le indagini, a meno che non si riesca ad ottenere la password di accesso. Per esperienza personale, questi dispositivi, che possono essere basati su Android, iOS o sistemi più sicuri come GrapheneOS, sono piuttosto comuni nell’ambito dei corrieri della droga. GrapheneOS, in particolare, è un sistema operativo open-source basato su Android, progettato specificamente per garantire elevati livelli di sicurezza e privacy. Offre funzioni avanzate di protezione e controllo, che rendono il dispositivo estremamente resistente a tentativi di accesso non autorizzati.

È sempre più comune trovare tra i corrieri, ovvero persone che non sono criminali professionisti ma vengono pagate per trasportare droga, un doppio set di smartphone: quello personale e un secondo dispositivo con misure di sicurezza avanzate, detto criptofonino, che può avere sia protezioni software che hardware.

Questi dispositivi sono particolarmente difficili da sbloccare, anche con l’uso degli strumenti più avanzati disponibili. Se, tuttavia, si riesce ad ottenere la password, è fondamentale mettere subito il dispositivo in modalità offline, isolandolo dalle connessioni cellulare e Internet, e filmare il più rapidamente possibile i contenuti. Questa procedura è indispensabile, poiché spesso ci si trova di fronte a dispositivi modificati per cancellare automaticamente i dati in caso di tentativi di connessione USB non autorizzati o dopo un determinato intervallo di tempo. Lo stesso vale per i messaggi contenuti, che, a seconda dell’applicazione utilizzata, possono essere programmati per l’eliminazione automatica dopo un periodo prestabilito.

8 – O: Mobile e Cloud: quali sono le opportunità di estrarre informazioni utili, di tracciare gli eventi – e la loro cronologia – e preservare quindi le prove contro i crimini attraverso cloud? Ci sono difficoltà a rintracciare dove si trovano fisicamente i dati utili e quale è l’impatto sul carico di lavoro?


LUCA: Considero il cloud un’estensione naturale della Mobile Forensics, poiché il cloud – in particolare per iOS – rappresenta un ecosistema in cui il dispositivo mobile è strettamente integrato insieme agli account e ai dati associati. Quando il dispositivo è sbloccato, è relativamente semplice ottenere i dati cloud correlati, utilizzando le giuste soluzioni software.

La collaborazione dei vari provider, tuttavia, varia notevolmente. Dipende sia dalle politiche del provider – con esempi come Telegram, che fino al 2024 ha mantenuto una linea di rigida riservatezza – sia dal tipo di cifratura implementato. Se viene utilizzata la crittografia end-to-end, il provider non è tecnicamente in grado di fornire i dati, poiché, almeno ufficialmente, non dispone delle chiavi di decrittazione.

Ogni fornitore di servizi dispone comunque di un portale dedicato a cui le forze dell’ordine possono accedere per richiedere informazioni, insieme a una lista di dati “comunicabili” che variano a seconda del provider. Un aspetto interessante è la possibilità, introdotta dal GDPR, di richiedere un backup dei propri dati personali, che può essere utilizzato in ambito forense senza dover accedere al portale delle forze dell’ordine. Un esempio è Google Takeout, che consente di ottenere informazioni sulle connessioni o sulla propria geolocalizzazione in un dato momento.

L’accesso al cloud offre quindi l’opportunità di estrarre informazioni utili e ricostruire cronologie di eventi con maggiore precisione, ma presenta anche delle difficoltà. La localizzazione fisica dei dati non è sempre chiara, poiché i server possono essere distribuiti in diverse giurisdizioni, il che complica i tempi e le modalità di accesso. Inoltre, il processo può aumentare significativamente il carico di lavoro, richiedendo verifiche incrociate e analisi approfondite per garantire che i dati raccolti siano utilizzabili e validi ai fini dell’indagine.

9 – O: Il leak Cellebrite (2023) e del suo concorrente svedese MSAB, sembra abbia evidenziato che l’accesso a diversi tipi di smartphone bloccati – nello specifico alcuni modelli di iPhone sul mercato dall’aprile del 2024 – fosse ancora ‘In Research”. Tuttavia l’accesso alle informazioni di qualsiasi dispositivo è solo questione di tempo, perché se i criminali sfruttano l’ubiquità dei dispositivi mobile, dall’altra gli investigatori forensi ricercano, identificano e sviluppano nuove opportunità per tecnologie sempre più efficienti.

Quali sono le possibilità di acquisizione di dati dai dispositivi bloccati e come lavora la Mobile Forensics in materia di ricerca e sviluppo?


LUCA: Le possibilità di acquisire dati da dispositivi bloccati dipendono da numerosi fattori, come la marca, il modello, le patch di sicurezza, la versione del sistema operativo e i componenti hardware. In particolare, per Android, il tipo di chipset può influenzare drasticamente le opzioni di sblocco, poiché diversi chip richiedono approcci specifici.

Le aziende che operano nella Mobile Forensics, non solo quelle da citate ma anche Compelson per restare in Europa, si avvalgono di robusti team di ricerca e sviluppo formati da esperti e sviluppatori. Questi team sono costantemente impegnati a individuare nuove vulnerabilità nei dispositivi mobili e a sviluppare soluzioni efficaci per l’acquisizione dei dati. Questa continua ricerca di soluzioni per lo sblocco, da un lato, apre nuove possibilità di acquisizione in ambito forense e, dall’altro, rappresenta uno stimolo per i produttori a rafforzare continuamente le misure di sicurezza. In questo modo, l’evoluzione della Mobile Forensics contribuisce anche a migliorare complessivamente il livello di protezione dei dispositivi mobili, elevando gli standard di sicurezza a vantaggio di tutti gli utenti.

10 – O: Mobile Forensics avanzata: per affrontare le varie sfide in campo – tecniche, legali e etiche – sono necessarie sempre più capacità e risorse tecniche avanzate, per rilevare, decodificare, decifrare e interpretare correttamente le prove recuperate dai dispositivi mobili.

Puoi raccontarci da tecnico lo stato attuale della mobile forensics, quali sono le sfide più complesse e significative, le tecniche avanzate per affrontarle e puoi anticipare anche qualcosa sul futuro e le direzioni fondamentali della ricerca?


LUCA: Le problematiche principali riguardano tre aree chiave: la possibilità di sbloccare i dispositivi, l’acquisizione completa dei contenuti (cosiddetta acquisizione fisica o Full File System), e la capacità di analizzare il numero crescente di applicazioni. La qualità della reportistica è un’altra area di grande interesse, poiché rappresenta il modo in cui i dati raccolti vengono interpretati e presentati per essere utilizzati in ambito investigativo.

L’introduzione dell’Intelligenza Artificiale è una delle direzioni più interessanti. Nell’ambito della Mobile Forensics, l’IA è già utilizzata per l’analisi e il riconoscimento automatico di foto e video associati a contenuti CSAM, armi e violenza. Recentemente, è stato introdotto anche il riconoscimento vocale per la trascrizione di file audio, una funzione che consente di risparmiare tempo prezioso e di rendere le indagini più efficienti.

Inoltre, si prevede che gli sviluppatori si concentreranno sempre più sulle possibilità di acquisizione da cloud, che rappresenta ormai un’estensione fondamentale della Mobile Forensics, e sui dispositivi meno comuni rispetto ai classici smartphone e tablet, come gli smartwatch. Gli smartwatch, in particolare, stanno già dimostrando la loro utilità, poiché permettono di acquisire parametri vitali e di ricostruire dettagli essenziali, come l’ora del decesso o segni di un malessere improvviso. Con il diffondersi di dispositivi connessi, dai dispositivi IoT agli indossabili, questa tendenza continuerà a crescere, espandendo le aree di analisi forense digitale.

11 – O: Gli strumenti di intelligenza artificiale che analizzano enormi set di dati e l’automazione possono aiutare gli analisti forensi ad accelerare le indagini e migliorare la qualità dei dati prodotti?


LUCA: Assolutamente sì. L’uso dell’intelligenza artificiale e dell’automazione offre un supporto decisivo agli analisti forensi, soprattutto nei casi che richiedono la gestione di enormi quantità di dati, come nelle indagini su larga scala che coinvolgono aziende o multinazionali.

Nella Mobile Forensics, l’IA è da anni impiegata per il riconoscimento di elementi specifici all’interno di file multimediali. Tra le sue applicazioni principali troviamo il riconoscimento facciale, che consente di filtrare rapidamente grandi quantità di immagini per identificare soggetti con caratteristiche specifiche (come sesso, presenza di occhiali, etnia, e altre caratteristiche distintive). Questa tecnologia facilita enormemente l’analisi, permettendo agli investigatori di focalizzarsi sugli elementi più rilevanti per l’indagine e riducendo il tempo necessario per esaminare manualmente il materiale visivo.

12 – O: La disciplina della scienza forense digitale è diventata più dinamica diventando predittiva, ovvero passando dall’analisi reattiva post-incidente alla prevenzione proattiva dei crimini e all’intelligence strategica sulle minacce. Come commenti questa dichiarazione?


LUCA: Qui si sconfina un po’ dalla Mobile e si entra nella Cyber Threat Intelligence. La dichiarazione è assolutamente corretta e riflette una tendenza fondamentale nella scienza forense digitale, che non si limita più all’analisi reattiva post-incidente ma si è evoluta verso un approccio proattivo, mirato alla prevenzione e all’intelligence sulle minacce. Questo cambiamento rappresenta una naturale evoluzione della disciplina, soprattutto in relazione alla Cyber Threat Intelligence, che è una delle aree più avanzate e dinamiche nella sicurezza informatica.

13 – O: Te lo devo chiedere: come hai sviluppato interesse per l’informatica forense, quando è nato esattamente e per quale motivo e quanti dispositivi hai aperto e studiato per migliorare le tue capacità?


LUCA: Mi è sempre piaciuta l’idea di mettere le mie competenze e qualità al servizio della comunità, in particolare a supporto delle forze dell’ordine. Dopo l’università, ho seguito un corso europeo in sicurezza delle reti, e da lì è iniziato il mio percorso in questo settore.

14 – O: Che cosa significa per te la parola hacker?


LUCA: “Pioniere” nel suo significato originario. Dal mondo hacker è nato tutto quello che oggi definiamo Sicurezza Informatica. Anche se i primi hacker che ho conosciuto sono, per chi se li ricorda, quelli del mitico X-Files.

15 – O: Quanto è importante per comprendere tendenze e minacce emergenti nello spazio mobile, aver conoscenza delle parti hardware e software dei dispositivi?


LUCA: Nella Mobile Forensics, l’aggiornamento costante è essenziale: basta un aggiornamento del sistema operativo, una modifica a un’app, l’introduzione di una patch di sicurezza o un aggiornamento dei software di acquisizione per modificare radicalmente le possibilità di acquisizione e analisi. Per questo è fondamentale rimanere informati tramite un proprio network di colleghi, seguendo blog specializzati, LinkedIn, newsletter e partecipando a webinar dei produttori.

16 – O: Una domanda che si fanno tutti – ma proprio anche i tecnici più esperti – è:” il mio cellulare è spiato o hackerato?” Pui dare alcune risposte per aiutare ad indentificare il problema o consigli per proteggere i dati sui dispositivi?


LUCA: Il problema esiste, ma nella mia esperienza personale, nella maggior parte dei casi si tratta di suggestione. A meno che non si sia un target di alto profilo (come un politico o un dirigente aziendale), è molto raro che qualcuno sia disposto a investire in un software di spionaggio remoto, data la complessità e il costo di tali operazioni. È più probabile, invece, che un convivente o qualcuno con accesso fisico al dispositivo possa disattivare le opzioni di sicurezza e installare app spia sul telefono.

In caso di sospetti, è consigliabile confrontarsi con un esperto, il quale potrebbe suggerire un’analisi approfondita del dispositivo. Tuttavia, questa procedura può essere costosa e talvolta più dispendiosa del valore del telefono stesso; in questi casi, potrebbe convenire semplicemente formattare il dispositivo. Un’altra considerazione importante è distinguere tra il rischio di spionaggio attraverso il dispositivo stesso, che è in genere ben protetto, e quello tramite i propri account. Gli account come iCloud, Google o Facebook possono fornire molte informazioni a un attaccante se compromessi. Anche l’analisi dei social media (commenti, post, foto e storie) può rivelare molti più dettagli sensibili di quanto si possa normalmente immaginare. Attraverso queste informazioni, un potenziale attaccante può tracciare abitudini, contatti, luoghi frequentati e persino momenti privati, creando un profilo dettagliato della persona.

I consigli pratici per proteggere i propri dati sono essenzialmente comuni a tutta la sicurezza informatica e includono:

  • Usare un gestore di password per generare e memorizzare password uniche e complesse per ogni account.
  • Attivare, ove possibile, l’autenticazione a due fattori (2FA) per aggiungere un ulteriore livello di sicurezza.
  • Evitare il segno di sblocco sullo smartphone e preferire PIN complessi o password, prestando attenzione al shoulder surfing, ovvero il rischio che qualcuno possa osservare le credenziali di sblocco.
  • Evitare di scrivere le password su supporti non sicuri e mantenerle lontane da luoghi facilmente accessibili.
  • Controllare regolarmente le impostazioni di privacy sui social media e limitare le informazioni personali visibili pubblicamente.
  • Aggiornare costantemente software e applicazioni per beneficiare delle ultime patch di sicurezza e correzioni di vulnerabilità.

Adottare queste pratiche riduce il rischio di accessi non autorizzati e protegge efficacemente i propri dati sia su dispositivi mobili che su account online.

L'articolo Intervista a Luca Cadonici: l’informatica forense verso un approccio proattivo contro la criminalità informatica proviene da il blog della sicurezza informatica.

razzospaziale reshared this.



The breach includes the employees’ name, work contact information, and what location they work at.#News
#News


Retrogadgets: Oscilloscope Cameras


24578984

Today, if you want to get a picture from your oscilloscope — maybe to send to a collaborator or to stick in a document or blog post — it is super easy. You can push an image to a USB stick or sometimes even just use the scope’s PC or web interface to save the picture directly to your computer. Of course, if it is on the computer, you could use normal screen capture software. But that hasn’t always been the case. Back in the days when scopes were heavy and expensive, if you wanted to capture an image from the tube, you took a picture. While you might be able to hold up your camera to the screen, they made specific cameras just for this purpose.

Of course, these cameras took film. For example, the Contax GCCM in the video below was made for 35mm film. It wasn’t just for documentation, either. You didn’t have storage scopes, so if you wanted to make precise measurements of something that didn’t recur often enough to give you a stable trace, one way to measure it was to grab a photo.

youtube.com/embed/FLXtALvByeE?…

Shake It


The problem with that is that you have to develop the roll of film before you get your results. That’s why most of us used Polaroid scope cameras like the Tektronix ones you can see in this vintage Tektronix brochure on the Vintagetek website.

A typical camera was made to fit around your scope’s CRT and had a “hood.” It locked onto the screen and ended in a standard camera. Often, there was an eyepiece or some other arrangement that let you see the screen. Some of them swung clear when you weren’t using them and some you simply had to pull off the scope’s screen. There were also adapters for normal cameras like the one in the video below.

youtube.com/embed/RrFQAfAwKfg?…

While you could get backs that took ordinary film, most people used Polaroid backs that took a single piece of Polaroid film — at least, once Polaroid film existed. Once you took the shot, you had to use a smelly squeegee that came with the film to fix the image. Microscope cameras often used this same sort of film.

Lots of Vendors


Of course, Tektronix didn’t have the market cornered. You usually had a camera that matched your scope, like the HP camera in the video below. If you were really decked out, you also had a cart that you could wheel your heavy scope around to where you wanted to use it.

youtube.com/embed/e22KAE9bVew?…

No one uses these today, right? Um, maybe that’s not accurate. If you think CRT oscilloscopes are retro, you haven’t seen these. When we took a lot of scope pictures, we were always glad for that Polaroid film.


hackaday.com/2024/11/11/retrog…



Gli Hacker possono prendere il controllo delle Mazda: ecco come!


Le vulnerabilità senza patch nel sistema di infotainment dei veicoli Mazda consentono agli aggressori di eseguire codice arbitrario con diritti di root, hanno riferito gli esperti della Trend Micro Zero Day Initiative (ZDI) .

Alcuni bug ti consentono di ottenere un accesso illimitato ai sistemi dell’auto, il che potrebbe potenzialmente comprometterne il funzionamento e la sicurezza. I ricercatori hanno scoperto delle vulnerabilità nella Mazda Connectivity Master Unit prodotta da Visteon, che è dotata di software sviluppato da Johnson Controls. Nella loro ricerca, gli esperti hanno studiato l’ultima versione del firmware (74.00.324A).
24578957
Sebbene la versione 74.00.324A non contenga ufficialmente vulnerabilità, esiste un’ampia comunità di modder che migliorano la funzionalità del sistema in vari modi. E molte di queste modifiche si basano sullo sfruttamento delle vulnerabilità.

I bug scoperti da ZDI vanno dalle iniezioni SQL e iniezioni di comandi al codice non firmato:

  • CVE-2024-8355 – L’iniezione SQL in DeviceManager consente la manipolazione del database, la creazione arbitraria di file e l’esecuzione di codice inserendo input dannosi quando viene collegato un dispositivo Apple contraffatto;
  • CVE-2024-8359 L’inserimento di comandi in REFLASH_DDU_FindFile consente l’esecuzione di comandi arbitrari nel sistema di infotainment inserendo comandi nei percorsi dei file di input;
  • CVE-2024-8360 – L’inserimento di comandi in REFLASH_DDU_ExtractFile consente inoltre l’esecuzione di comandi arbitrari tramite percorsi di file;
  • CVE-2024-8358 – Un’altra iniezione di comando, questa volta in UPDATES_ExtractFile, consente l’esecuzione del comando mediante inserimento nei percorsi di file utilizzati nel processo di aggiornamento;
  • CVE-2024-8357 – La mancanza di root-of-trust nel SoC dell’app e di controlli di sicurezza durante il processo di avvio consente agli aggressori di mantenere il controllo del sistema di infotainment dopo l’attacco iniziale.
  • CVE-2024-8356 – Il codice non firmato nell’MCU VIP consente di caricare firmware di terze parti e assumere il controllo di vari sottosistemi del veicolo.

È noto che i bug colpiscono le auto Mazda 3 prodotte dal 2014 al 2021, così come altri modelli del produttore. Come notato da Dmitry Yanushkevich, ricercatore senior sulle vulnerabilità presso ZDI, lo sfruttamento dei problemi elencati richiede l’accesso fisico al sistema di infotainment del veicolo. Pertanto, un utente malintenzionato può connettersi a un’auto utilizzando uno speciale dispositivo USB ed eseguire un attacco in pochi minuti.

Il ricercatore scrive che spesso non è così difficile ottenere l’accesso fisico non autorizzato a un’auto: ciò può accadere in un parcheggio, durante il servizio in una stazione di servizio o in una concessionaria. Di conseguenza, l’hacking del sistema di infotainment di un’auto utilizzando i bug elencati può portare alla manipolazione del database, alla divulgazione di informazioni, alla creazione di file arbitrari, all’inserimento di comandi arbitrari, alla completa compromissione del sistema, al radicamento di un utente malintenzionato nel sistema ed all’esecuzione di codice arbitrario prima di caricare il sistema operativo.

Si sottolinea separatamente che lo sfruttamento di CVE-2024-8356 consente l’installazione di una versione dannosa del firmware, che fornisce a un potenziale utente malintenzionato l’accesso diretto ai bus CAN e aiuta ad accedere alle unità di controllo del motore, dei freni, della trasmissione, e così via.

“In generale, ciò consente a un utente malintenzionato di passare da un’applicazione SoC compromessa che esegue Linux a un MCU VIP installando una versione appositamente preparata del firmware e successivamente ottenendo l’accesso diretto ai bus CAN collegati”, spiega ZDI. I ricercatori scrivono inoltre che un attacco mirato può portare alla compromissione dei dispositivi collegati, alla negazione del servizio, al fallimento completo e persino all’estorsione.

Attualmente, nessuna delle vulnerabilità è stata risolta e i rappresentanti Mazda non hanno ancora commentato la pubblicazione degli specialisti ZDI.

L'articolo Gli Hacker possono prendere il controllo delle Mazda: ecco come! proviene da il blog della sicurezza informatica.



Dove nascono i fast radio burst l MEDIA INAF

"Attualmente i fast radio burst, o Frb, confermati sono centinaia e gli scienziati hanno raccolto prove sempre più evidenti di ciò che li innesca: stelle di neutroni altamente magnetizzate, note come magnetar. Una prova fondamentale è arrivata quando una magnetar è esplosa nella nostra galassia e diversi osservatori, tra cui il progetto Stare2 (Survey for Transient Astronomical Radio Emission 2) del Caltech, hanno ripreso il fenomeno in tempo reale."

media.inaf.it/2024/11/11/origi…



Cosa ci dice il nuovo bombardiere stealth sulla strategia nucleare di Pechino

@Notizie dall'Italia e dal mondo

L’edizione 2024 dell’airshow di Zhuhai, una delle più importanti esposizioni della Difesa cinese, ha portato con sé più di una sorpresa. Oltre alla presentazione del nuovo caccia stealth multiruolo di quinta generazione, il J-35, l’esposizione ha visto anche la proiezione di un rendering



un tempo quando qualcuno rispondeva a qualcun altro riportava quello che aveva capito e lo commentava. anche perché puoi aver scritto più di una cosa. ma questo presuppone che chi ti risponde ti avesse ascoltato, prima. adesso dici 2 cose e la risposta è generica e neppure si capisce a quale delle N cose che hai detto si riferisce. ammesso che si riferisca a quello che hai scritto. veramente viene da dubitare di far parte della stessa specie di scimmie che ha conquistato il mondo e costruito tecnologie incredibili. stiamo perdendo collettivamente la testa.


Videonics: The Dawn of Home Video Editing, Revisited


The 1987 Videonics Editing System

Here’s a slice of history that will make any retro-tech fan grin: before TikTok and iMovie, there was a beast called the Videonics DirectED Plus. This early attempt at democratizing video editing saved enthusiasts from six-figure pro setups—but only barely. Popular Science recently brought this retro marvel back to life in a video made using the very system that inspired it. Picture it: 1987, VHS at its peak, where editing your kid’s jazz recital video required not just love but the patience of a saint, eight VCRs, three Videonics units, two camcorders, and enough remotes to operate a space shuttle.

The Videonics DirectED Plus held promise with a twist. It offered a way to bypass monstrous editing rigs, yet mastering its panel of buttons felt like deciphering hieroglyphs. The ‘Getting Started’ tape was the analog era’s lifeline, often missing and leaving owners hunting through second-hand stores, forgotten basements, and enthusiast forums. Fast forward to today, and recreating this rig isn’t just retro fever—it’s a scavenger hunt.

The 1987 Videonics Editing SystemOnce assembled, the system resembled a spaghetti junction of cables and clunky commands. One wrong button press could erase precious minutes of hard-won footage. Still, the determination of DIY pioneers drove the machine’s success, setting the stage for the plug-and-play ease we now take for granted.

These adventures into retro tech remind us of the grit behind today’s seamless content creation. Curious for more? Watch the full journey by Popular Science here.

youtube.com/embed/4MVEqA6jz1s?…


hackaday.com/2024/11/11/videon…



Il Giappone presenta un sistema laser semovente per rivoluzionare la difesa aerea

@Notizie dall'Italia e dal mondo

Se una volta le armi laser erano qualcosa da relegare alla fantascienza, oggi il loro avvento è pressoché certo. La proliferazione di sistemi d’attacco aerei come droni e munizioni circuitanti ha spinto le principali Forze armate mondiali a interrogarsi su come adeguare la



Perché serve una riserva specializzata per le nuove tecnologie militari

@Notizie dall'Italia e dal mondo

Nella sua audizione sul Documento Programmatico Pluriennale 2024-2026 della Difesa, il ministro Guido Crosetto ha parlato della necessità di costituire una “riserva specializzata”, che sia in grado di garantire alle Forze Armate uno sviluppo capacitivo ed operativo nel campo delle nuove



Cybersecurity, come applicare un framework zero trust anche nei sistemi pubblici?


@Informatica (Italy e non Italy 😁)
Il modello di sicurezza Zero Trust rappresenta una nuova visione della protezione informatica, sempre più diffusa nelle aziende e negli enti pubblici. Si basa su un concetto radicalmente diverso dalla classica sicurezza perimetrale: invece di separare



Altro che Trump, sono anni che il Washington Post si è piagato alla logica commerciale dei social

@Politica interna, europea e internazionale

Più che le sorti della democrazia americana, l’attuale crisi del Washington Post può, forse, essere utile per meglio inquadrare la parabola dell’editoria tradizionale. Di quella americana come di quella europea, e



Keebin’ with Kristina: the One With All the Espionage


Illustrated Kristina with an IBM Model M keyboard floating between her hands.

[Ziddy Makes] describes this cute little guy as a biblically-accurate keyboard. For the unfamiliar, that’s a reference to biblically-accurate angels, which have wings (and sometimes eyes) all over the place. They’re usually pretty scary to behold. Don’t say I didn’t warn you.

A cube keyboard with adorably vibrant pastel keycaps.Image by [Ziddy Makes] via GitHubBut this? This is the opposite of scary. Sure, there are keys everywhere. But it’s just so darn adorable. You know what? It’s those keycaps.

This 16-key macro cube uses a Pro Micro and a system of PH2 5p ribbon cables to connect the four four-key sisterboards to the main board. A 3D-printed base holds all the boards in place. Out of all the switches in the world, [Ziddy] chose Otemu Blues. Clack!

Although it may take some getting used to, this seems like it would be a fun way to input macros. I can see the case for putting some rubber feet on the bottom, otherwise it might scoot around on the desk. That might be cute, but only the first couple of times, you know?

Lexicon Has A Handy Words Layer


[Ewen] wrote in to tell me about Lexicon, a keyboard he designed while reading Marcin Wichary’s most excellent Shift Happens. One idea spawned by the book was a keyboard aimed at writing prose faster and more easily. The result is an input device that marries a stenography-light concept with the BASIC shortcut-having ZX Spectrum.

The key is in those three Space bars. They each produce Space when pressed briefly, but when long-pressed bring up a different layer — Symbols, Function, and Words. “Symbols” refers to the various awesome Unicode symbols that come out of that layer, including neat typographical marks. “Function” comprises the Function keys plus extras.

The Lexicon keyboard, a sort of steno-light affair that types whole words via a Words layer.Image by [Ewen] via GitHubThanks to the special Words layer, the user can quickly input common words such as ‘and’, ‘said’, and ‘she’. So how in the world would the user remember how to do all of that? Well, it’s actually pretty easy. There is one word per key, and they are married up alphabetically. So ‘a’ is for ‘and’, ‘s’ is for ‘said’ and ‘x’ is for ‘she’. Each number key gets you that word spelled out — 1 delivers ‘one’ and 2 gives you ‘two’, and so on.

But [Ewen] didn’t stop there. There’s a whole subset of words that are accessible by combining the Words key with two alpha keys, such as ‘SM’ for ‘some’. Users can easily combine shortcuts to produce longer words, like ‘SM1’ for ‘someone’.

Under the hood of this 65% keyboard, you’ll find an RP2040 running the QMK firmware. Although the Lexicon is not open-source, there’s nothing stopping you from taking this idea and running with it in another language. If you want to get a hold of one, check out [Ewen]’s Etsy for kits and completed boards.

The Centerfold: Keep On Truckin’


24563809Image by [FarmersOnlyJim] via redditMan, this setup is fire! Don’t recognize the color scheme? It’s those hues from the Toyota Racing Development (TRD) days of the 1980s. The keyboard is a Keychron K8 Pro, and [FarmersOnlyJim] custom-dyed those MOA-profile keycaps. The neat part is that [Jim] offers their dye process right there in the comments. Come for the color scheme, and stay for the bunny tax in the gallery.

Do you rock a sweet set of peripherals on a screamin’ desk pad? Send me a picture along with your handle and all the gory details, and you could be featured here!

Historical Clackers: Espionage Via IBM Selectric II


So your girl caught this video by [Retro Tech or Die] and then picked up a Selectric II a few days later for about $5 with the coupon savings. It’s all gummed up inside, and I’ll have to address that on my own as my local shop no longer deals with Selectrics.
A lovely blue Selectric II.Image via YouTube
Anyway, back to the video. We’ve covered this topic before, but it’s been a long time, and this is a nice refresher. The Selectric was a revolutionary typing machine, and the correcting Selectric II a little bit more so. Because of this, government and other offices purchased them in large quantities.

At the height of US-Russian tensions, the Soviets saw an opportunity for espionage in these electromechanical marvels and planted bugs in the Selectric IIs inside the United States embassy in Moscow. It’s surprisingly easy to get inside a Selectric II, and it only took the spies about 30 minutes to open and bug each machine.

Selectric IIs were in use at the embassy from 1982 until 1984 when the bugs were discovered. For more than a year, the Soviets were able to read documents of all sensitivity levels even before officials had laid eyes on them. A tiny sensing device picked up the keystrokes and transmitted them to antennas hidden in the walls. These signals were relayed to a nearby listening station and decoded using probability tables.
The underside of a Selectric II's guts, plus a decoded bit of transmission.Image via YouTube
These bugs were so small that they could only be detected by x-rays. Housed inside a metal bar of the typewriter, they used magnet meters to detect the disturbances as letters were typed. The transmitted signals were disguised inside television broadcast frequencies.

Because of the way the Selectric II is designed internally, the Soviets were only able to get the alphanumeric characters. They could not capture Shift, Space, Backspace, or Tab. Furthermore, they were compressing six bits of information down to four, which made probability tables pretty much the only option.

It’s a fascinating story for sure. And I’ll let you know how it works out with my Selectric II.

ICYMI: This Lovely Wooden Keyboard

A person examines an exquisite wooden keyboard.Image via YouTube
It’s not often that we describe things as stunning, especially keyboards, which tend to be plastic-based rectangular life forms. But then there’s this wooden keyboard from Hacoa via [ProcessX].

Watch as the beautiful wood is routed out, and stay for the delicate and tedious process that produces each finished keycap.

I must admit that I was a little disappointed (or maybe caught off-guard) to see the lovely wooden keycaps being overlaid on plastic ones, but as one commenter pointed out, the stresses of wood grain running through an MX-style keycap stem would be pretty high.

Speaking of the keycaps, they are finished off with laser-engraved legends which will surely never wear out, but are bound to get, let’s say, seasoned over time. As much as I’d like to know how it feels to type on a wooden keyboard, this kind of project seems incredibly far out of reach. But we’ve certainly seen wooden keyboards before. Yes we have. Even macro pads.


Got a hot tip that has like, anything to do with keyboards? Help me out by sending in a link or two. Don’t want all the Hackaday scribes to see it? Feel free to email me directly.


hackaday.com/2024/11/11/keebin…



Rilasciato Hashr 2.0.1: Il Tool Gratuito del CERT-AGID per Proteggere i Sistemi della PA


Il CERT-AGID ha recentemente rilasciato una nuova versione del tool hashr (v.2.0.1) come software libero e a codice aperto sotto licenza EUPL. Questo strumento, scaricabile gratuitamente dall’apposita pagina, è progettato per la ricerca di file malevoli all’interno di un filesystem confrontando i valori hash dei file riscontrati con una lista di impronte hash già note.

Hashr può essere utilizzato con proprie liste di ricerca oppure, per le Pubbliche Amministrazione accreditate al feed IoC del CERT-AGID, con gli hash derivati dalle campagne malevole registrate che hanno un impatto sul territorio italiano.
24563777
Tutte le Pubbliche Amministrazioni possono accreditarsi al feed IoC del CERT-AGID per avere accesso a un flusso in tempo reale di Indicatori di Compromissione (IoC), che elenca e condivide dati su campagne malware e phishing rilevate nelle attività quotidiane di monitoraggio e prevenzione, come ad esempio gli indirizzi IP utilizzati per attività fraudolente, URL di siti malevoli, hash di file dannosi e altre informazioni. Tale servizio, offerto gratuitamente, è rivolto esclusivamente alle Pubbliche Amministrazioni.
24563779
In sinergia con il Feed IoC, hashr consente di ricercare file con hash correlati a campagne malevole note o APT analizzati dal CERT-AGID, permettendo di identificare rapidamente i file compromessi. L’uso di hashr risulta particolarmente utile per indagini di sicurezza informatica, analisi forense e verifica dell’integrità dei file su filesystem di grandi dimensioni.

L’utilizzo combinato di hashr e del feed IoC aumenta significativamente la capacità di prevenire ed individuare minacce informatiche, incrementando la sicurezza complessiva delle infrastrutture digitali.

Questi due strumenti forniti da AGID costituiscono un’opportunità per le amministrazioni per migliorare la sicurezza dei propri sistemi IT, per adeguarsi, al contempo, alle indicazioni del Piano Triennale per l’Informatica 2024-2026 e per rafforzare la resilienza digitale complessiva della Pubblica Amministrazione.

Link utili:


L'articolo Rilasciato Hashr 2.0.1: Il Tool Gratuito del CERT-AGID per Proteggere i Sistemi della PA proviene da il blog della sicurezza informatica.



📚 Nel centenario della nascita del maestro Alberto Manzi, la Biblioteca del #MIM espone una selezione di note e decreti ministeriali che documentano la collaborazione tra il Ministero e la RAI, che portò la didattica sul piccolo schermo.
#MIM



Il 55% non dorme, il 39% si aspetta un infarto: questo è il prezzo della sicurezza informatica


Secondo un nuovo rapporto dell’Institute for Information Security (CIISec) 2023-24, i professionisti della sicurezza informatica nel Regno Unito guadagnano stipendi significativamente più alti rispetto alla media nazionale ma devono affrontare seri problemi di burnout.

Sulla base di un sondaggio condotto su 311 professionisti, lo stipendio medio nel settore della sicurezza informatica ha raggiunto 87.204 sterline, più del doppio dello stipendio medio del Regno Unito di 34.900 sterline (44.000 dollari). Dalla pubblicazione del primo rapporto CIISec nel 2016-2017, gli stipendi sono aumentati del 29%, da £ 62.144 ($ 78.400) ai livelli attuali. Tenendo conto dell’inflazione, la crescita reale è stata del 7%.

Dinamiche positive si registrano in tutti i segmenti industriali, con circa il 18% dei professionisti che ora guadagna più di £ 150.000 ($ 189.000) all’anno, rispetto ad appena il 7% nel 2016.

Tuttavia, gli alti salari sono accompagnati da gravi rischi professionali. Secondo il sondaggio, il 55% degli intervistati soffre di insonnia a causa dello stress lavorativo e il 39% teme un infarto. Uno specialista su cinque (21%) è considerato oberato di lavoro.

La situazione è aggravata dalla mancanza di personale qualificato. La maggior parte degli intervistati (72%) ha indicato il personale come la principale sfida operativa, mentre i processi e la tecnologia rappresentano una preoccupazione rispettivamente solo per il 17% e l’11%.

La mancanza di diversità nel settore aggrava la carenza di talenti: solo il 19% degli specialisti entra nella professione senza un’istruzione superiore e la percentuale di donne è solo del 10%. In particolare, solo il 41% dei dipendenti prevede di rimanere nella posizione attuale nei prossimi due anni.

Amanda Finch, CEO di CIISec, sottolinea che molte delle sfide del settore, incluso il panorama delle minacce in continua evoluzione, vanno oltre il controllo delle aziende. Tuttavia, le questioni legate al reclutamento e al mantenimento del personale possono essere risolte a livello del datore di lavoro.

Il rapporto presta particolare attenzione all’intelligenza artificiale (AI). Le opinioni sono divise: l’89% ritiene che la tecnologia avvantaggerà gli aggressori e il 71% vede un impatto positivo sui difensori della rete. Quando si pianifica l’uso dell’intelligenza artificiale nel lavoro (85% degli intervistati), è stata identificata una tendenza allarmante: il 44% delle organizzazioni non è consapevole dei rischi associati e non dispone di politiche per l’uso sicuro della tecnologia.

Secondo gli esperti, il settore della sicurezza informatica ha urgentemente bisogno di aumentare la conoscenza delle minacce associate all’intelligenza artificiale, in particolare all’intelligenza artificiale generativa, mentre la tecnologia è nelle sue prime fasi di sviluppo. Particolare attenzione dovrebbe essere prestata alla formazione dei professionisti emergenti che dovranno resistere agli attacchi dell’intelligenza artificiale per i decenni a venire.

L'articolo Il 55% non dorme, il 39% si aspetta un infarto: questo è il prezzo della sicurezza informatica proviene da il blog della sicurezza informatica.



La Russa: “Dopo la vittoria di Trump voglio vedere Taylor Swift cantare in prima linea con Hamas” | VIDEO


@Politica interna, europea e internazionale
La Russa commenta la vittoria di Donald Trump e attacca Taylor Swift Ignazio La Russa ha commentato la vittoria di Donald Trump alle elezioni presidenziali Usa esprimendo forti critiche nei confronti dello star system americano e in particolar modo



The Constant Monitoring and Work That Goes into JWST’s Optics


24552322

The James Webb Space Telescope’s array of eighteen hexagonal mirrors went through an intricate (and lengthy) alignment and calibration process before it could begin its mission — but the process is far from being a one-and-done. Keeping the telescope aligned and performing optimally requires constant work from its own team dedicated to the purpose.

Alignment of the optical elements in JWST are so fine, and the tool is so sensitive, that even small temperature variations have an effect on results. For about twenty minutes every other day, the monitoring program uses a set of lenses that intentionally de-focus images of stars by a known amount. These distortions contain measurable features that the team uses to build a profile of changes over time. Each of the mirror segments is also checked by being imaged selfie-style every three months.

This work and maintenance plan pays off. The team has made over 25 corrections since its mission began, and JWST’s optics continue to exceed specifications. The increased performance has direct payoffs in that better data can be gathered from faint celestial objects.

JWST was fantastically ambitious and is extremely successful, and as a science instrument it is jam-packed with amazing bits, not least of which are the actuators responsible for adjusting the mirrors.


hackaday.com/2024/11/11/the-co…



PODCAST. Israele rafforza l’occupazione di Gaza, ma in Libano Hezbollah è una spina nel fianco


@Notizie dall'Italia e dal mondo
L'esercito israeliano allarga e costruisce postazioni sui corridoi Netzarim e Filadelfia segnalando di voler restare nella Striscia, soggetta sempre a pesanti raid aerei che provocano decine di morti e feriti. In Libano



#NotiziePerLaScuola
È disponibile il nuovo numero della newsletter del Ministero dell’Istruzione e del Merito.


Il mio canto libero, l’eredità di Luigi Einaudi

@Politica interna, europea e internazionale

La Città metropolitana di Palermo in collaborazione con Popsophia e Fondazione Luigi Einaudi presenta lo spettacolo di filosofia e musica “Il mio canto libero, l’eredità di Luigi Einaudi”. 19 novembre 2024, ore 10:00 Teatro Politeama Garibaldi – Via Filippo Turati 2, Palermo Media partner: Giornale di Sicilia



Ymir: new stealthy ransomware in the wild


24542242

Introduction


In a recent incident response case, we discovered a new and notable ransomware family in active use by the attackers, which we named “Ymir”. The artifact has interesting features for evading detection, including a large set of operations performed in memory with the help of the
malloc, memmove and memcmp function calls.
In the case we analyzed, the attacker was able to gain access to the system via PowerShell remote control commands. After that, they installed multiple tools for malicious actions, such as Process Hacker and Advanced IP Scanner. Eventually, after reducing system security, the adversary ran Ymir to achieve their goals.

In this post, we provide a detailed analysis of the Ymir ransomware, as well the tactics, techniques and procedures (TTPs) employed by the attackers.

Analysis

Static analysis


Our analysis began with a basic inspection of the artifact. We started by analyzing its properties, such as the file type, and relevant strings and capabilities, as shown in the table and images below.

HashValue
MD512acbb05741a218a1c83eaa1cfc2401f
SHA-13648359ebae8ce7cacae1e631103659f5a8c630e
SHA-256cb88edd192d49db12f444f764c3bdc287703666167a4ca8d533d51f86ba428d8

File type identification
File type identification

Although the binary does not raise suspicions of being packed, as its entropy is not high enough, the presence of API calls to functions like
malloc, memmove and memcmp indicates that it can allocate memory to insert malicious code.
Calls for memory operation functions
Calls for memory operation functions

The binary also suspiciously imports functions, such as
CryptAcquireContextA, CryptReleaseContext, CryptGenRandom, TerminateProcess and WinExec, from operating system libraries. These API calls are typically found in various ransomware samples.
Suspicious malware imports
Suspicious malware imports

Even though most of the sample information is unpacked in memory during runtime, we were able to find some useful indicators in the binary strings, including the ransom note filename and contents in a PDF file, encryption extension, PowerShell commands, and some hashes used by the encryption algorithms, as shown in the following images.

PDF contents
PDF contents

PowerShell auto-delete command and encryption hashes
PowerShell auto-delete command and encryption hashes

The attacker used the MinGW compiler, a native Windows port of the GNU Compiler Collection (GCC).

Compiler string
Compiler string

The following table shows other useful string indicators we found in the course of our analysis.

TypeValueDescription
String (command)powershell -w h -c Start-Sleep -Seconds 5; Remove-Item -Force -PathAuto-delete command execution via PowerShell.
String (URL)hxxps://github[.]com/qTox/qTox/releases/download/v1.17.6/setup-qtox-x86_64-release.exePresent in the PDF, software (qTox client) for contacting the attackers.
String6C5oy2dVr6Encryption extension.
String (filename)INCIDENT_REPORT.pdfRansom note PDF filename. PDFs are placed in various directories.
String (date)D:20240831154833-06’00’PDF creation date metadata.
Stringx64dbgDebugger name.

One interesting fact is that the PDF creation date was August 31, 2024, which matches the binary compilation timestamp (2024-08-31), as shown in the image below.

Malware compilation timestamp
Malware compilation timestamp

Static analysis also shows that the PDF used as the ransom note is present in the
.data section of the binary. The information hardcoded in this kind of file is very useful for creating detection rules and indicators of compromise.
PDF file containing a ransom note
PDF file containing a ransom note

After reaching the main function, the malware executes another function with calls to other functions to get system information. To streamline our analysis, we renamed this function to
Get_System_Information:
Malware entry point
Malware entry point

Get_System_information function and its sub-functions
Get_System_information function and its sub-functions

The artifact gathers system information by using the API calls listed below.

  • GetSystemTimeAsFileTime: retrieves the current system date and time.
  • GetCurrentProcessId: gets the current process identifier (PID).
  • GetCurrentThreadId: retrieves the identifier of the calling thread.
  • GetTickCount: gets the amount of time that the system has been running for in milliseconds. This is used for detecting that the artifact is being debugged.
  • QueryPerformanceCounter: retrieves the current value of the performance counter, which can be used for time-interval measurements.

System information gathering
System information gathering

The malware also contains some execution restrictions which are activated when certain parameters are set. For example, the
--path parameter disables self-delete, allowing the attacker to reuse the binary for other directories.
The artifact is not deleted when running with the --path parameter
The artifact is not deleted when running with the –path parameter

While reverse-engineering the sample, we found that it borrowed code from functions related to CryptoPP, an open-source cryptographic library written in C++.

CryptoPP functions
CryptoPP functions

The malware also has a hardcoded list of file name extensions to exclude from encryption.

File name extensions to ignore
File name extensions to ignore

Dynamic analysis


While running the ransomware, we spotted hundreds of calls to the
memmove function. After analyzing the data, we found that it loaded small pieces of instructions into memory for performing malicious functions. The following image shows a fragment of the malware loading environment variables after calling memmove.
Environment variables loaded into memory
Environment variables loaded into memory

The malware constantly uses the
memmove function while enumerating subdirectories and files inside the affected system, so they can be encrypted later.
Directory enumeration
Directory enumeration

It also uses
memmove to load strings that contain locations in the victim’s filesystem and are used for comparing with common directory names during runtime.
Strings loaded via memmove
Strings loaded via memmove

The sample uses the
RtlCopyMemory function from the ntdll.dll library to load additional libraries, such as CRYPTSP.dll, rsaenh.dll, bcrypt.dll and kernelbase.dll.
Runtime loading of DLLs
Runtime loading of DLLs

The artifact uses the stream cipher ChaCha20 algorithm to encrypt files, appending the extension
.6C5oy2dVr6 to each encrypted file.
ChaCha20 encryption
ChaCha20 encryption

Additionally, it copies the PDF contents from the
.data section and uses the _write and _fsopen functions to generate a ransom note in PDF format within every directory in the affected system.
Ransom note write operation
Ransom note write operation

The ransom note informs the victim about what happened to the affected system and instructs them to contact the attackers for a deal. Although the note mentions that the attackers have stolen the data from the affected machine, the malware does not have any network capabilities for data exfiltration. This leads us to believe that the adversaries would steal data with other means once they obtained access to the computer, such as through HTTP, FTP or cloud storage uploads.

Ransom note fragment
Ransom note fragment

We spotted one odd string, a comment written in the Lingala language. This language is used in the Democratic Republic of the Congo, Republic of the Congo, Angola and the Central African Republic.

Comment in Lingala found during malware execution
Comment in Lingala found during malware execution

Another interesting fact is that the sample searches for PowerShell in each subdirectory as it repeatedly calls the
RtlCopyMemory function. Once PowerShell is located, the malware uses it for deleting itself. In our investigation, we copied powershell.exe into our Desktop folder, so it was used for deleting the sample.
PowerShell binary search
PowerShell binary search

The following diagram shows a summary of the sample’s execution. Note that the only child process created was
powershell.exe — the malware creates a PowerShell instance even if it finds one in the system. Subsequently, PowerShell calls conhost.exe, which is used for running services in the background.
Malicious processes
Malicious processes

Process tree
Process tree

The malware calls PowerShell with the cmdlet
Start-Sleep to wait 5 seconds, and finally, uses the Remove-Item command to delete itself from the machine, as shown in the image below.
PowerShell command execution
PowerShell command execution

YARA rule


Based on our analysis of the sample, we developed the following YARA rule for detecting the threat in real time. The rule considers the file type, relevant strings and library function imports.
import "pe"

rule Ymir
{
meta:
author = "Kaspersky - GERT"
description = "Yara rule for detecting the Ymir ransomware."
target_entity = "file"

strings:
$s1 = "powershell -w h -c Start-Sleep -Seconds 5; Remove-Item -Force -Path"
wide ascii nocase
$s2 = "setup-qtox-x86_64-release.exe" wide ascii nocase
$s3 = "6C5oy2dVr6" wide ascii nocase
$s4 = "INCIDENT_REPORT.pdf" wide ascii nocase
$s5 = "D:20240831154833-06" wide ascii nocase
$s6 = "ChaCha" wide ascii nocase
$s7 = "x64dbg" wide ascii nocase
condition:
(3 of ($s*)) and pe.imports("msvcrt.dll", "memmove")
}

Telemetry


Using the above rule, we were able to query threat intelligence portals and find a similar sample originating from Pakistan. We believe that the attacker used a VPN network or Tor to hide their IP. The artifact we discovered looks like a test binary sent by the attacker to check if it would be detected by security vendors. The sample receives a
--path parameter from the command line, which specifies the directory to be encrypted. However, it neither encrypts the files nor generates a ransom note.
Execution of the test sample
Execution of the test sample

What caught our attention was that this test version of the executable, similarly to the full-featured sample, did not delete itself when executed with the
--path parameter, which made sense, since the adversary might want to select certain directories during the attack.
By comparing the two detections, we concluded that the final sample with the fully enabled encryption features, unlike the test variant, had extended functionality implemented in additional strings. These included the extension appended to the name of the encrypted files (
.6C5oy2dVr6) and the information present in the PDF file generated as a ransom note.
YARA matches comparison
YARA matches comparison

At the time of our research, 12 security vendors including Kaspersky detected the threat.

24542245

The ransomware incident


In addition to analyzing the malware, we managed to investigate an incident in Colombia where the Ymir sample was obtained. Our forensic analysis revealed that crucial evidence had been lost through the attacker’s efforts to cover their tracks. We at Kaspersky GERT were able to identify that two days before the ransomware deployment, a new RustyStealer threat was detected on multiple systems, allowing the attackers to control the machines, send commands, and gather information from compromised infrastructure. Malicious activity was detected on a domain controller shortly after, including compromised access on behalf of legitimate users, including one with high privileges. The initial RustyStealer sample was a PE file compiled with Rust and deployed to Windows\Temp under the name
AudioDriver2.0.exe.

FilenameAudioDriver2.0.exe
Size3334144 bytes (3.2 MB)
MD55ee1befc69d120976a60a97d3254e9eb
SHA-1e6c4d3e360a705e272ae0b505e58e3d928fb1387

This sample, named Trojan.Win32.Sheller.ey by Kaspersky, has the ability of gathering information about the file system. This sample has obfuscated content for obstructing analysis and includes shared modules indicating that the artifact can invoke functions from APIs, such as native Windows DLLs.

This sample also connects to the C2 server 74.50.84[.]181 on port 443, detected by Kaspersky as a host for malicious files since August 2024.

C2 server
C2 server

The attackers compromised the domain controller and used it to continue infiltrating systems in the targeted infrastructure. They abused compromised credentials gathered by the stealer to hop between systems using WinRM and PowerShell remote control capabilities, and then executed a set of two scripts that were confirmed to be a part of the proxy malware threat SystemBC.

Filename1.ps11.ps1
Size16239 bytes (15 KiB)4209 bytes (4 KiB)
MD55384d704fadf229d08eab696404cbba639df773139f505657d11749804953be5
Path%windir%\temp\HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Both scripts use PowerShell to establish a covert channel to the IP address 94.158.244[.]69 on port 443. Based on the strings from the scripts we were able to obtain, we implemented Yara rules for identifying other samples and C2 servers configured with the same codification and spotted in the wild.

SHA256First seenFirst reported fromC2 serverVerdict
8287d54c83db03b8adcdf1409f5d1c9abb1693ac
8d000b5ae75b3a296cb3061c
2024-09-16 03:24:06 UTCAustralia94.158.244[.]69
51ffc0b7358b7611492ef458fdf9b97f121e49e70f
86a6b53b93ed923b707a03
2024-08-18 18:59:01 UTCUkraine85.239.61[.]60UDS:Trojan.PowerShell.
Dnoper.posh
b087e1309f3eab6302d7503079af1ad6af06d70a9
32f7a6ae1421b942048e28a
2024-08-17 02:43:55 UTCUkraine85.239.61[.]60Trojan.MSIL.Dnoper.sb

One of these scripts was spotted in multiple systems, collected as a script block for PowerShell that included a different approach and a different C2 system (5.255.117[.]134 on port 80). It was probably used to exfiltrate information from the infrastructure according to the following hardcoded functions and their instructions.

  • GetServerByFilename,
  • SendFile,
  • SearchRoot.

GetServerByFilename function
GetServerByFilename function

The script establishes communication with the C2 server and sends information, including a specific key that allows the attacker to identify the affected company.

The URI includes a unique key for each victim
The URI includes a unique key for each victim

Information that will be sent to C2 server
Information that will be sent to C2 server

The
SearchRoot function contains a loop that searches for all files that are included in the requested folder and checks for a specific filter: the malware only uploads files with a size greater than 40 KB that were created after a specified date.
Search function
Search function

File search procedure
File search procedure

The script is Base64 encoded and passed to the following command for execution.
$selfpath\powershell.exe -Version 5.1 -s -NoLogo -NoProfile -EncodedCommand <B64CMD>
According to our GERT analysis, at the time of the research, there was a service configured at this IP address (5.255.117[.]134) for uploading files that were collected with the SystemBC scripts.

Active webservice
Active webservice

At the same time, multiple creations and executions of the well-known programs Advanced IP Scanner and Process Hacker were alerted on several systems.

  • advanced_ip_scanner.exe;
  • processhacker-2.39-setup.exe.

Finally, two days after the initial RustyStealer intrusion, attackers deployed the Ymir ransomware by executing remote connections and uploading the payload. Some traces of the execution were detected, in particular those associated with the PowerShell self-destruct script. Also, a part of the ransom note was configured in the registry key field
legalnoticecaption, located in HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, which invites the user to look for additional details in the ransom note, named “INCIDENT_REPORT.pdf”:
Part of the ransom note from the registry
Part of the ransom note from the registry

Conclusion


A link between malware stealer botnets acting as access brokers and the ransomware execution is evident. The Ymir development represents a threat to all types of companies and confirms the existence of emerging groups that can impact business and organizations with a configurable, robust and well-developed malware. We have seen initial access brokers invade an organization and ensure persistence. Ymir was deployed to the targeted system shortly after. This new ransomware family was configured in a secure scheme, making it impossible to decrypt the files from the targeted system. The group behind this threat has not presented a dedicated leak site or any additional information yet, but we will continue monitoring their activity. Alerts were triggered two days prior to the ransomware incident, and the lack of action on the critical system warnings allowed the attackers to launch the ransomware. This highlights the need for improved response strategies beyond relying solely on endpoint protection platforms (EPP).

Kaspersky products detect this new threat as Trojan-Ransom.Win64.Ymir.gen.

Tactics, techniques and procedures


Below are the Ymir TTPs identified from our malware analysis.

TacticTechniqueID
DiscoveryFile and Directory DiscoveryT1083
DiscoverySystem Information DiscoveryT1082
ExecutionCommand and Scripting Interpreter: PowerShellT1059.001
ImpactData Encrypted for ImpactT1486
Defense evasionVirtualization/Sandbox Evasion: Time Based EvasionT1497.003
Defense evasionIndicator Removal: File DeletionT1070.004

RustyStealer TTPs:

TacticTechniqueID
DiscoveryFile and Directory DiscoveryT1083
DiscoveryProcess DiscoveryT1057
ExecutionShared ModulesT1129
Defense evasionObfuscated Files or InformationT1027

Indicators of Compromise


File Hashes
3648359ebae8ce7cacae1e631103659f5a8c630e
fe6de75d6042de714c28c0a3c0816b37e0fa4bb3
f954d1b1d13a5e4f62f108c9965707a2aa2a3c89 (INCIDENT_REPORT.pdf)
5ee1befc69d120976a60a97d3254e9eb
5384d704fadf229d08eab696404cbba6
39df773139f505657d11749804953be5
8287d54c83db03b8adcdf1409f5d1c9abb1693ac8d000b5ae75b3a296cb3061c
51ffc0b7358b7611492ef458fdf9b97f121e49e70f86a6b53b93ed923b707a03
b087e1309f3eab6302d7503079af1ad6af06d70a932f7a6ae1421b942048e28a

IPs
74.50.84[.]181:443
94.158.244[.]69:443
5.255.117[.]134:80
85.239.61[.]60


securelist.com/new-ymir-ransom…



900 Cyber-Attacchi in Brianza nel 2024: Le Aziende Italiane Sono Pronte a Difendersi?


Nel corso dei primi sei mesi dell’anno, si sono registrati oltre 900 attacchi informatici, con quasi 24mila dispositivi connessi esposti a potenziali minacce, riporta il quotidiano ilgiorno. Le aziende della Brianza, nonostante i progressi compiuti nella transizione digitale, si trovano particolarmente vulnerabili di fronte a questi attacchi. L’inizio del 2024 si è rivelato difficile per quanto riguarda la sicurezza dei dati e dei sistemi aziendali, con attacchi persistenti che mettono a rischio informazioni sensibili e l’operatività delle imprese.

Nel primo trimestre, le aziende brianzole hanno subito ben 467 attacchi, seguiti da 466 incursioni nel secondo trimestre, in un susseguirsi di violazioni informatiche che sfruttano, tra le altre cose, password deboli e sistemi non aggiornati. Questi attacchi, spesso motivati da intenti di cybercrime, includono il furto di dati sensibili, il danneggiamento dei sistemi e richieste di riscatto per ripristinare l’accesso ai dati. Tra i settori più colpiti, spicca quello finanziario, dove i pirati informatici mirano non solo a dati personali ma anche a fondi economici, sfruttando lacune nella sicurezza per estorcere denaro o rubare informazioni.

Un fattore di rischio predominante, come evidenziato nel rapporto di Assolombarda, sono le vulnerabilità umane. Sebbene le aziende investano sempre più in tecnologie avanzate per difendersi, l’elemento umano rimane il punto debole su cui si concentrano le tecniche di social engineering. Questa tecnica di attacco sfrutta la psicologia delle vittime, inducendole con inganno a compiere azioni pericolose come cliccare su link sospetti o fornire credenziali sensibili. Questo apre la porta a ulteriori infiltrazioni, poiché gli attacchi che richiedono esclusivamente abilità tecnologiche sono meno frequenti rispetto a quelli basati su inganno e manipolazione psicologica.

Alvise Biffi, vicepresidente di Assolombarda e esperto nel settore, ha sottolineato come le estorsioni rappresentino l’obiettivo primario in circa l’80% degli attacchi. La Brianza, con il suo elevato numero di aziende rispetto alla popolazione, è particolarmente esposta a queste minacce. Gli attacchi non solo compromettono i dati sensibili aziendali, ma portano anche a richieste di riscatto, in cui i criminali minacciano di divulgare informazioni riservate se non viene pagata una somma. Questi dati vengono spesso rivenduti nei mercati underground, dove anche una semplice carta di credito con codici può valere decine di dollari, rendendo il business del furto di dati estremamente redditizio.

Per proteggersi, le aziende possono implementare due misure di base: mantenere aggiornati i sistemi software con le ultime patch di sicurezza e adottare l’autenticazione a più fattori. Questo sistema, che richiede la verifica di almeno due prove di identità prima di concedere l’accesso, potrebbe prevenire fino al 90% delle minacce informatiche. Secondo Biffi, l’adozione di password forti e un aggiornamento regolare delle credenziali è essenziale per costruire una difesa efficace contro gli attacchi. Purtroppo, molte aziende trascurano queste pratiche di base, esponendosi così a rischi evitabili.

L'articolo 900 Cyber-Attacchi in Brianza nel 2024: Le Aziende Italiane Sono Pronte a Difendersi? proviene da il blog della sicurezza informatica.



#NoiSiamoLeScuole questa settimana è dedicato a due scuole di Portici, in provincia di Napoli: l’IIS “Francesco Saverio Nitti” che, con i fondi del #PNRR “Scuola 4.


AMERICA LATINA. Da un summit all’altro sotto l’ombra di Trump


@Notizie dall'Italia e dal mondo
Dalle elezioni USA uscirà rafforzata quell’internazionale di estrema destra che Trump ha fatto nascere in Spagna nel 2020, che ha messo nel mirino il socialismo in tutte le sue forme e le organizzazioni di sinistra dell'intera America Latina
L'articolo AMERICA LATINA. Da un summit



A caccia di spie: il report “Pacific Rim” traccia un quadro dei cyber criminali con base in Cina


11 novembre 2024 – Sophos, leader mondiale e innovatore nelle soluzioni di sicurezza avanzate per neutralizzare i cyberattacchi, ha pubblicato “Pacific Rim”, un report che descrive le attività di difesa e controffensiva svolte negli ultimi cinque anni contro diversi attori statali situati in Cina dediti all’attacco di dispositivi perimetrali come i sistemi Sophos Firewall. Gli autori degli attacchi si sono avvalsi di una serie di campagne basate su exploit inediti e malware personalizzato per distribuire tool con cui effettuare azioni di sorveglianza, sabotaggio e cyberspionaggio, sfruttando anche una serie di TTP (tattiche, tool e procedure) sovrapposte a quelle di noti gruppi statali cinesi come Volt Typhoon, APT31 e APT41. Gli obiettivi di tali campagne sono state infrastrutture critiche ed entità governative di piccole e grandi dimensioni dislocate principalmente nella parte meridionale e nel Sud-Est dell’Asia: operatori di energia nucleare, l’aeroporto di una capitale nazionale, un ospedale militare, apparati di sicurezza statali e ministeri centrali.

L’ecosistema degli attori cinesi nell’Operazione Pacific Rim


Nel corso dell’operazione Pacific Rim, Sophos X-Ops, l’unità di Sophos specializzata nella cybersicurezza e nella threat intelligence, si è attivata per neutralizzare le mosse di questi avversari facendo continuamente evolvere le misure di difesa e controffensiva. Dopo che Sophos ha risposto con successo agli attacchi iniziali, gli avversari hanno reagito coinvolgendo risorse maggiormente esperte. Sophos ha successivamente scoperto un vasto ecosistema di attori coinvolti.

Dopo aver pubblicato nel 2020 i dettagli relativi alle campagne associate all’operazione, come Cloud Snooper e Asnarök, Sophos ha deciso di condividere un’analisi complessiva per promuovere la consapevolezza della persistenza degli attori statali cinesi e della loro determinazione a compromettere dispositivi perimetrali privi di patch e giunti al termine della loro vita utile, spesso sfruttando exploit zero-day appositamente creati. Sophos invita tutti ad applicare urgentemente le patch disponibili per neutralizzare le vulnerabilità rilevate in qualunque dispositivo collegato a Internet e migrare i dispositivi non più supportati sostituendoli con modelli attuali. Sophos aggiorna regolarmente i propri prodotti supportati in base a nuove minacce e indicatori di compromissione (IoC) per proteggere la clientela. I clienti delle soluzioni Sophos Firewall sono protetti per mezzo di hotfix veloci abilitate per default.

“La realtà è che i dispositivi installati all’edge sono diventati bersagli altamente attraenti per i gruppi statali cinesi come Volt Typhoon e altri impegnati a creare i cosiddetti ORB (Operational Relay Box) allo scopo di offuscare e sostenere le loro attività, per esempio colpendo direttamente un obiettivo per spiarlo o sfruttandone indirettamente eventuali punti deboli per sferrare attacchi successivi – e trasformarlo così in un danno collaterale. Viene colpito anche chi non è considerato un obiettivo. I dispositivi di rete progettati per le aziende sono bersagli naturali di queste attività, dal momento che sono sistemi potenti, sempre attivi e costantemente connessi”, ha dichiarato Ross McKerchar, CISO di Sophos. “Quando un gruppo che cerca di formare una rete globale di ORB colpisce i nostri dispositivi, noi rispondiamo applicando le stesse tecniche di rilevamento e risposta che utilizziamo per difendere i nostri endpoint e dispositivi di rete corporate. In questo modo abbiamo neutralizzato diverse campagne e ottenuto un prezioso patrimonio informativo di threat intelligence che abbiamo successivamente applicato per proteggere i nostri clienti dagli attacchi, sia quelli generici e indiscriminati che quelli più strettamente mirati”.

Punti salienti dell’Operazione


  • Il 4 dicembre 2018, un computer con bassi privilegi d’accesso collegato a un display ha avviato una scansione della rete Sophos – apparentemente per conto proprio – dalla sede indiana di Cyberoam, una società acquisita da Sophos nel 2014. Su quel computer, che conteneva un nuovo tipo di backdoor e un rootkit complesso denominato “Cloud Snooper”, Sophos ha scoperto la presenza di un payload che si poneva silenziosamente all’ascolto di un particolare tipo di traffico Internet in ingresso.
  • Nell’aprile 2020, dopo che diverse aziende avevano segnalato un’interfaccia utente che puntava a un dominio contenente la parola “Sophos” nel proprio nome, Sophos ha collaborato con le autorità europee per rintracciare e confiscare il server usato per distribuire payload malevoli nella campagna che Sophos ha successivamente ribattezzato Asnarök. Sophos ha neutralizzato Asnarök, le cui origini sono state attribuite alla Cina, acquisendo il canale di comando e controllo (C2) del malware. L’iniziativa ha permesso a Sophos di bloccare anche un’ondata di attacchi botnet che era stata pianificata per un momento successivo.
  • Dopo Asnarök, Sophos ha potenziato le proprie operazioni di intelligence varando un ulteriore programma di tracking degli autori degli attacchi basato sull’identificazione e neutralizzazione degli avversari intenzionati a colpire i dispositivi Sophos installati negli ambienti della clientela; il programma è stato realizzato con una combinazione di intelligence open source, funzioni di web analytics, monitoraggio della telemetria e codice kernel mirato impiantato nei dispositivi presi di mira dagli autori degli attacchi.
  • Gli autori degli attacchi hanno dimostrato un crescente livello di persistenza adeguando le loro tattiche e ricorrendo a malware sempre più furtivo. Tuttavia, grazie al proprio programma di tracking degli autori degli attacchi e a ulteriori capacità di raccolta di dati telemetrici, Sophos ha potuto neutralizzare diversi attacchi e ottenere una copia di un bootkit UEFI e di exploit personalizzati prima che potessero essere dispiegati su vasta scala.
  • Pochi mesi dopo Sophos ha fatto risalire alcuni attacchi a un avversario che aveva dimostrato di avere collegamenti con la Cina e con il Double Helix Research Institute della Sichuan Silence Information Technology nella regione cinese del Chengdu.
  • Nel marzo del 2022 un ricercatore anonimo aveva segnalato a Sophos una vulnerabilità RCE (Remote Code Execution) zero-day, designata CVE-2022-1040, nel quadro del programma di bug bounty della società. Ulteriori analisi hanno rivelato che questa CVE era già utilizzata sul campo da diverse campagne di attacchi – operazioni che avevano un impatto sui clienti e che Sophos ha potuto neutralizzare. Dopo vari approfondimenti, Sophos ritiene che la persona che aveva segnalato l’exploit potrebbe aver avuto dei collegamenti con gli avversari. Si è trattato della seconda volta che Sophos ha ricevuto una segnalazione con un tempismo sospetto prima che un exploit venisse utilizzato nella pratica.

Recenti avvisi emessi dalla CISA hanno reso evidente come i gruppi statali cinesi siano diventati una minaccia costante per le infrastrutture critiche delle altre nazioni”, ha continuato McKerchar. “Quel che tendiamo a dimenticare è che le piccole e medie aziende, quelle che costituiscono il grosso della supply chain delle infrastrutture critiche, rappresentano dei bersagli perché rappresentano spesso l’anello debole della catena. Sfortunatamente queste realtà dispongono spesso di minori risorse per difendersi da minacce tanto sofisticate. A complicare oltre le cose c’è poi la tendenza degli autori degli attacchi a conquistarsi una testa di ponte nei sistemi colpiti e trincerarvisi dentro rendendo ardua la loro espulsione. Il modus operandi degli avversari cinesi è quello di creare persistenza a lungo termine con attacchi offuscati in maniera complessa. Non si fermeranno finché non saranno neutralizzati del tutto”.

Cosa dicono gli esperti


“Attraverso il JCDC, la CISA ottiene e condivide l’intelligence sulle sfide della cybersicurezza, comprese le tattiche e le tecniche usate dai cybercriminali sponsorizzati dalla Repubblica Popolare Cinese (PRC). La competenza di partner come Sophos e i report come Pacific Rim offrono alla comunità globale dei ricercatori una serie di informazioni sull’evoluzione dei comportamenti della PRC. Insieme possiamo aiutare i cyberdifensori a capire la scala e la diffusione degli attacchi sferrati contro i dispositivi situati all’edge di rete e implementare le strategie di mitigazione necessarie”, ha commentato Jeff Greene, Executive Assistant Director for cybersecurity della CISA. “La CISA continua a evidenziare come intere classi di vulnerabilità come le SQL injection e le violazioni alla sicurezza della memoria vengano sfruttate in massa. Invitiamo i produttori software a consultare le nostre risorse Secure by Design e, come ha fatto Sophos in questo caso, metterne in pratica i principi. Chiediamo a tutti a impegnarsi nella stessa direzione e usare i nostri bollettini di allerta per eliminare intere classi di difetti”.

“Molti produttori di cybersicurezza conducono ricerche sugli avversari, ma pochi sono in grado di farlo con successo contro gruppi statali per un periodo di tempo così lungo”, ha osservato Eric Parizo, Managing Principal Analyst del cybersecurity research group di Omdia. “Sophos ha sfruttato al meglio un’opportunità davvero unica e dovrebbe essere elogiata per aver fornito dati di ricerca e informazioni tattiche che aiuteranno a difendere meglio i suoi clienti nel tempo”.

“Uno dei compiti di NCSC-NL è quello di condividere informazioni e connettere organizzazioni. Agevolare la comunicazione e la cooperazione tra organizzazioni nazionali e internazionali è di grande importanza per migliorare la cyber-resilienza. Siamo felici di aver potuto contribuire a questa investigazione con Sophos”, ha aggiunto Hielke Bontius, Head of Operations di NCSC-NL.

Qualche consiglio utile


Tutti dovrebbero ricordarsi che i dispositivi connessi a Internet sono i primi bersagli per i gruppi statali, in particolare quando tali dispositivi si trovano installati in un’infrastruttura critica. Sophos invita a intraprendere i seguenti passaggi per rafforzare la postura di sicurezza:

  • Minimizzare i servizi e i dispositivi connessi a Internet quando possibile
  • Prioritizzare urgentemente il patching dei dispositivi connessi a Internet e tenerli monitorati
  • Abilitare il ricevimento e l’applicazione automatica di hotfix sui dispositivi presenti all’edge di rete
  • Collaborare con forze dell’ordine, partner pubblici-privati e organismi governativi per condividere e gestire gli IoC
  • Creare un piano d’azione dedicato ai dispositivi alla fine della loro vita utile presenti nella propria organizzazione

“Abbiamo bisogno di collaborazione tra il settore pubblico e quello privato, le forze dell’ordine, gli enti governativi e l’industria della sicurezza per condividere quel che sappiamo a proposito di operazioni come queste. Colpire i dispositivi edge posti a protezione delle reti è una tattica astuta. Aziende, partner di canale e MSP (Managed Service Provider) devono capire che questi dispositivi rappresentano bersagli primari per gli autori degli attacchi e dovrebbero quindi accertarsi di proteggerli adeguatamente applicando le patch necessarie appena vengono rilasciate. Sappiamo infatti che gli autori degli attacchi ricercano attivamente i dispositivi arrivati a fine della loro vita utile. Anche i vendor giocano un ruolo importante: essi devono infatti aiutare i clienti supportando hotfix affidabili e collaudate, semplificando il passaggio dalle piattaforme obsolete, rifattorizzando o rimuovendo sistematicamente il codice legacy che può contenere vulnerabilità latenti, migliorando continuamente i progetti secure by default così da togliere la necessità di rafforzare la protezione dalle spalle dei clienti, e monitorando l’integrità dei dispositivi installati”, ha concluso McKerchar.

L'articolo A caccia di spie: il report “Pacific Rim” traccia un quadro dei cyber criminali con base in Cina proviene da il blog della sicurezza informatica.



Why the Saturn V Used Kerosene for its Hydraulics Fluid


24535510

We usually think of a hydraulic system as fully self-contained, with a hydraulic pump, tubing, and actuators filled with a working fluid. This of course adds a lot of weight and complexity that can be undesirable in certain projects, with the Saturn V Moon rocket demonstrating a solution to this which is still being used to this day. In a blast-from-the-past, a December 1963 article originally published in Hydraulics & Pneumatics details the kerosene-based hydraulics (fueldraulics) system for the S-1C stage’s gimbal system that controlled the four outer engines.

Rather than a high-pressure, MIL-H-5606 hydraulic oil-based closed loop as in the Saturn I, this takes kerosene from the high-pressure side of the F1 rocket engine’s turbopump and uses it in a single-pass system. This cuts out a separate hydraulic pump, a hydraulic reservoir, which was mostly beneficial in terms of reducing points of failure (and leaks), ergo increasing reliability. Such was the theory at the time at least, and due to issues with RP-1 kerosene’s relatively low flash point and differences in lubricity properties, ultimately RJ-1, RP-1 and MIL-H-5606 were used during checkout leading up to the launch.

In hindsight we know that this fueldraulic system worked as intended with all Saturn V launches, and today it’s still used across a range of aircraft in mostly jet engines and actuators elsewhere of the Boeing 777 as well as the F-35. In the case of the latter it only made the news when there was an issue that grounded these jets due to badly crimped lines. Since fueldraulics tends to be lower pressure, this might be considered a benefit in such cases too, as anyone who has ever experienced a hydraulic line failure can attest to.

Featured image: Gimbal systems proposed for the F-1, oxygen-kerosene engine with a fueldraulic system. (Source: Hydraulics & Pneumatics, 1963)


hackaday.com/2024/11/11/why-th…



Operazione Synergia II: Interpol smantella una rete globale di 1000 server dannosi. 41 Arresti


L’Interpol ha annunciato che nell’ambito dell’operazione Synergia II sono state arrestate 41 persone e disattivati ​​1.037 server e infrastrutture dannose associati a 22.000 indirizzi IP. Si dice che le persone arrestate siano collegate a una serie di crimini, dal ransomware al phishing al furto di dati.

Secondo l’Interpol, l’operazione ha avuto luogo da aprile ad agosto 2024 e ha interessato paesi in Europa, Africa e nella regione Asia-Pacifico. Gli arresti e le chiusure dei server sono stati effettuati sulla base delle informazioni fornite da società di sicurezza informatica come Group-IB, Kaspersky Lab, Trend Micro e Team Cymru, che hanno contribuito a identificare più di 30.000 indirizzi IP sospetti.

Di conseguenza, il 76% di questi IP sono stati disattivati, 59 server sono stati sequestrati e 43 dispositivi elettronici sono stati confiscati e saranno ora esaminati per ulteriori prove.

Ad Hong Kong, la polizia ha chiuso più di 1.037 server associati a servizi dannosi. In Mongolia sono state effettuate più di 20 perquisizioni, è stato sequestrato un server e identificate 93 persone legate alla criminalità informatica.

A Macao, le forze dell’ordine hanno sequestrato 291 server. Le autorità del Madagascar hanno riferito di aver identificato 11 persone associate ai server dannosi e di aver sequestrato 11 dispositivi elettronici per ulteriori indagini. La polizia estone ha sequestrato più di 80 GB di dati e ha aiutato gli specialisti dell’Interpol ad analizzare le informazioni relative al phishing e al malware bancario.

È stato inoltre riferito che, oltre agli arresti sopra menzionati, le autorità stanno indagando su altre 65 persone sospettate di coinvolgimento in attività illegali.

È interessante notare che, secondo le forze dell’ordine, l’intelligenza artificiale generativa viene sempre più utilizzata dagli aggressori per migliorare le operazioni di phishing, e gli infostealer stanno diventando sempre più forieri di attacchi di estorsione, il cui numero è aumentato del 70% lo scorso anno.

Di conseguenza, i rappresentanti dell’Interpol concludono che phishing, ransomware e furto di informazioni sono attualmente tra le minacce informatiche più gravi e l’operazione Synergia II è una risposta all’aumento del loro numero.

Ricordiamo che all’inizio del 2024 l’Interpol ha pubblicato i risultati della prima operazione Synergia, effettuata da settembre a novembre 2023. Ha annunciato l’arresto di 31 sospetti e la chiusura di 1.300 server di controllo utilizzati per effettuare attacchi di phishing e distribuire malware, compresi ransomware.

L'articolo Operazione Synergia II: Interpol smantella una rete globale di 1000 server dannosi. 41 Arresti proviene da il blog della sicurezza informatica.



Tra Cybercrime e Passamontagna: il rapimento del CEO di WonderFi


Nel centro di Toronto, i criminali hanno rapito il capo della società finanziaria WonderFi, Dean Skurka . Secondo la polizia l’incidente è avvenuto mercoledì intorno alle 18.

Gli aggressori hanno caricato con la forza Skurka in macchina e hanno chiesto un riscatto di un milione di dollari. Dopo il trasferimento elettronico di denaro, i criminali hanno rilasciato il capo di WonderFi. La polizia ha poi trovato Skurka illeso nel Centennial Park di Etobicoke.

Il giorno dopo l’incidente, il capo di WonderFi ha confermato l’incidente via e-mail, assicurando che era al sicuro. La società ha inoltre rilasciato una dichiarazione ufficiale, sottolineando che i fondi e i dati dei clienti non sono stati interessati. La polizia continua a indagare sulle circostanze del delitto.

Secondo Jameson Lopp, co-fondatore e responsabile della sicurezza di Casa, specializzata nella protezione degli utenti di criptovalute, il caso di Skurka è stato il 171esimo incidente segnalato che coinvolge l’uso della violenza fisica per rubare bitcoin. Lo specialista rileva una relazione diretta tra il numero di tali crimini e il tasso di cambio della criptovaluta.

È interessante notare che il giorno del rapimento il prezzo del Bitcoin ha raggiunto il massimo storico, superando i 75.000 dollari. Secondo Lopp, le criptovalute stanno diventando un obiettivo attraente per i criminali grazie alla facilità di trasporto e di controllo dei beni rispetto alle tradizionali rapine in banca.

Lo specialista sottolinea la vulnerabilità dei detentori di criptovaluta, anche tra i multimilionari del primo periodo di sviluppo delle risorse digitali. Molti non prestano sufficiente attenzione alla sicurezza fisica e alla tutela della privacy. Sebbene la maggior parte delle vittime di tali crimini siano cittadini comuni, i personaggi pubblici del settore delle criptovalute spesso sottovalutano i rischi e trascurano le necessarie misure di sicurezza.

Il rapimento dell’amministratore delegato di WonderFi è coinciso con la pubblicazione del rapporto trimestrale della società, che mostrava una crescita del 153% rispetto allo stesso periodo del 2023.

L'articolo Tra Cybercrime e Passamontagna: il rapimento del CEO di WonderFi proviene da il blog della sicurezza informatica.



Il linguaggio Oscuro dello CSAM: Alla scoperta Dei Mostri del Child Sexual Abuse Material


Sulle pagine di Red Hot Cyber (RHC) affrontiamo spesso il tema del CSAM (Child Sexual Abuse Material), un acronimo che identifica il materiale di abuso sessuale sui minori. Questa piaga, che rappresenta una delle forme più gravi e abominevoli di crimine online, sta assumendo proporzioni allarmanti. Gli abusi sui bambini sono qualcosa che va fermato, ed è essenziale che tutta la società prenda consapevolezza della serietà del problema.

Il lavoro delle forze dell’ordine è fondamentale nella lotta contro il CSAM. Tuttavia, l’impatto psicologico di questo tipo di indagini è devastante. Analizzare costantemente contenuti di abuso è un compito difficile e doloroso: alcuni investigatori non riescono a sostenere la pressione e richiedono il supporto di psicologi specializzati per poter continuare. Nonostante questo, qualcuno deve necessariamente svolgere questo lavoro per proteggere i più vulnerabili e contrastare queste reti criminali.

In questo articolo esploreremo come si muovono i pedofili online, le strategie che utilizzano per diffondere materiale illecito e i codici nascosti che usano per mascherare le loro attività. Analizzeremo anche come le forze dell’ordine e le organizzazioni specializzate lavorano per decifrare questi segnali e fermare la diffusione del CSAM. È un argomento delicato, ma essenziale per comprendere le dinamiche di un fenomeno che deve essere assolutamente debellato.

Origini e evoluzione del linguaggio criptico nella pedofilia online


Con l’intensificarsi dei controlli digitali e il perfezionamento della moderazione online, i pedofili hanno raffinato il loro linguaggio per eludere la censura e il monitoraggio. Nei primi anni di internet, i termini usati erano spesso diretti e generalmente ignorati dalle piattaforme. Tuttavia, con l’aumento della sorveglianza da parte delle forze dell’ordine, questi termini si sono evoluti in codici sempre più criptici, parte di una strategia sofisticata e adattabile mirata a evitare l’individuazione.

Piattaforme come Usenet, forum anonimi e gruppi su IRC hanno rappresentato i primi punti di ritrovo, ma con l’arrivo di strumenti come TOR e l’espansione della darknet, il linguaggio criptico ha trovato un terreno ancora più fertile. La nascita del dark web e la sua successiva espansione ha dato modo ai pedofili di organizzarsi su forum protetti, dove si sono sviluppati codici complessi e specifici per sfuggire ai controlli. In risposta alla pressione delle autorità, il linguaggio si è arricchito di termini sempre più complessi, trasformandosi in un sistema di comunicazione “camaleontico”: ogni simbolo, ogni lettera, ogni abbreviazione ha un significato preciso, noto solo a chi è parte di questo mondo criptico.

Codici e abbreviazioni: un vocabolario oscuro


Il linguaggio oscuro dei pedofili online è composto da abbreviazioni e codici che nascondono riferimenti inquietanti. Tra i principali termini troviamo:

  • cp: child pornography, codice usato per indicare pornografia infantile.
  • loli: termine derivato dal romanzo *lolita* di nabokov, usato per contenuti che raffigurano bambine.
  • map: minor-attracted person, utilizzato per normalizzare inclinazioni illegali verso minori.
  • nomap: sigla per “non-offending minor attracted person”, riferito a chi afferma di non agire illegalmente ma possiede queste inclinazioni.
  • ap: abused picture, riferito a immagini di abuso.
  • tta: toddler-to-adult, indica contenuti che coinvolgono bambini molto piccoli.
  • aam: adult-attracted minor, rappresenta un adolescente attratto da adulti.
  • k9: indica abusi con animali, usato nei contesti estremi.
  • mlp: my little pony, il titolo di un popolare cartone animato per bambini usato per riferirsi all’età della vittima in modo allusivo.

Questi termini sono spesso accompagnati da frasi o contesti che ne rendono difficile l’interpretazione per chi non fa parte del gruppo. La complessità di questo vocabolario aumenta costantemente, estendendosi anche a simboli e frasi apparentemente innocue che rendono più arduo il rilevamento.

Simboli, emoji e icone: comunicazione invisibile


Oltre alle abbreviazioni, l’uso di emoji e simboli è un’altra tecnica di mascheramento. Alcuni esempi comuni includono:

  • 🍭 (lecca-lecca) o 🧸 (orsacchiotto): utilizzati per riferirsi a bambini in modo criptico.
  • 👧 o 🧒: emoji rappresentanti bambini, spesso accompagnate da frasi “innocenti”.
  • 🍫 (cioccolata): indica bambini di colore.
  • 🌸 (fiore) o 🍀 (trifoglio): simboli per bambine, che rappresentano purezza o innocenza.
  • 🌈 (arcobaleno): talvolta usato in combinazione con altre emoji per alludere ai minori, con l’intento di mantenere un messaggio criptico.
  • 🏖️ (spiaggia): allude alla vulnerabilità o all’idea di “scoperta” riferita ad abusi.

L’evoluzione costante di questi simboli rende il monitoraggio complicato: ogni volta che un simbolo viene identificato, ne vengono adottati altri, rendendo necessaria la continua evoluzione dei software di controllo.

Codici criptici e nascondigli strategici: come e dove vengono inseriti i link a contenuti illeciti


Uno degli espedienti più insidiosi utilizzati dai pedofili online consiste nel camuffare link a materiale illegale sotto descrizioni apparentemente innocue su piattaforme come YouTube, Instagram e X. Questi spazi pubblici diventano il punto di partenza per un viaggio clandestino verso canali privati, dove la supervisione è meno stringente.

Nelle descrizioni di video, post e commenti sui social, compaiono parole apparentemente innocue come “cheese pizza,” “codice postale,” e “caldito de pollo.” Tuttavia, per chi è inserito in questi circuiti il significato è tutt’altro che casuale: le iniziali “cp” non sono scelte a caso, ma richiamano chiaramente child pornography (pornografia infantile). Termini così selezionati costruiscono un linguaggio in codice, un segnale discreto ma efficace per chi è alla ricerca di contenuti illeciti.

A seguire, spesso, si trovano inviti a canali riservati su piattaforme esterne, dove i livelli di controllo sono più blandi, e il materiale proibito può circolare con minori rischi di censura. L’uso di tali abbreviazioni è intenzionale, un espediente studiato per sfuggire ai radar della moderazione, rendendo i contenuti inaccessibili ai non addetti, ma perfettamente riconoscibili per chi li cerca.
24527004 24527006
Ma non basta. Per eludere i sistemi di rilevamento automatici, questi individui fanno ricorso anche a simboli, spazi e caratteri speciali, rendendo il messaggio ancora più oscuro e aumentando la complessità del lavoro di identificazione per le autorità e i sistemi di monitoraggio.

Tecnologie di mascheramento: Darknet, Steganografia e Crittografia


Per eludere la sorveglianza e proteggere l’anonimato, i pedofili ricorrono a una serie di tecniche sofisticate di mascheramento e crittografia, che rendono estremamente complessa l’individuazione dei loro traffici illeciti:

Darknet e VPN: sfruttando reti come TOR e connessioni VPN, questi individui riescono a navigare senza lasciare tracce identificabili. La combinazione di TOR, che cifra e instrada il traffico su più nodi, e le VPN, che nascondono l’indirizzo IP, crea uno strato di anonimato quasi impenetrabile.

Steganografia: grazie alla steganografia, i file illeciti possono essere nascosti all’interno di contenuti apparentemente innocui, come immagini o documenti PDF. Questa tecnica permette di occultare immagini e video illegali in un formato che non solleva sospetti, complicando il compito dei software di analisi automatica e delle autorità.

Criptovalute: per i pagamenti, l’uso di criptovalute come Bitcoin o Monero facilita transazioni anonime e difficili da tracciare. Le blockchain garantiscono una protezione dai tracciamenti convenzionali e favoriscono la segretezza dei flussi finanziari, rendendo complesso il collegamento tra i fondi e gli individui coinvolti.

La risposta delle forze dell’ordine e delle piattaforme digitali e il ruolo del NCMEC


La lotta contro la pedofilia online è complessa e richiede una collaborazione internazionale. Europol e Interpol lavorano con le polizie nazionali e le piattaforme digitali per combattere questo crimine. Ad esempio, il software PhotoDNA di Microsoft viene utilizzato per identificare immagini di abusi in tempo reale. Tuttavia, permangono delle limitazioni, specialmente con la crittografia end-to-end delle piattaforme di messaggistica.

In Italia, le normative hanno adottato misure precise per sostenere le forze dell’ordine nella lotta alla pedopornografia, autorizzando le attività sotto copertura per infiltrarsi nelle reti di sfruttamento sessuale e pedopornografico. Questa disposizione consente agli agenti di operare anonimamente all’interno di gruppi e piattaforme digitali, raccogliendo prove fondamentali per identificare e arrestare i responsabili di tali crimini. Un esempio recente è l’Operazione “La Croix”, nella quale le forze dell’ordine italiane hanno condotto perquisizioni e arresti infiltrandosi in canali Telegram utilizzati per lo scambio di materiale illecito.
24527008
Un ulteriore strumento nella lotta alla pedopornografia online è l’implementazione di una blacklist di siti web contenenti materiale illecito. Questa lista è gestita dal Centro Nazionale per il Contrasto della Pedopornografia Online (CNCPO) della Polizia Postale e delle Comunicazioni. Secondo il rapporto annuale del 2023, la Polizia Postale ha analizzato 28.355 siti web, inserendone quasi 2.800 nella blacklist per impedire l’accesso a contenuti illeciti. I fornitori di servizi Internet (ISP) italiani utilizzano questa blacklist per bloccare l’accesso ai siti segnalati, proteggendo così gli utenti da contenuti illegali e contribuendo alla lotta contro la diffusione di materiale pedopornografico online.

A livello internazionale, un contributo fondamentale in questa battaglia viene dal National Center for Missing & Exploited Children (NCMEC), un’organizzazione statunitense che supporta le forze dell’ordine a livello globale nell’identificazione e protezione dei minori vittime di sfruttamento sessuale. Grazie a strumenti avanzati e collaborazioni con grandi aziende tecnologiche come Facebook e Google, il NCMEC raccoglie e analizza segnalazioni di materiale pedopornografico, trasmettendo le informazioni alle autorità competenti per l’indagine.

Uno dei principali strumenti del NCMEC è CyberTipline, una piattaforma che consente a cittadini, fornitori di servizi internet e aziende di segnalare contenuti sospetti. Le segnalazioni vengono esaminate e, se confermate, inviate alle forze dell’ordine per le azioni necessarie. In collaborazione con software di analisi delle immagini come PhotoDNA, il NCMEC aiuta a identificare contenuti illeciti e individua i responsabili, rendendo la lotta contro la pedofilia online più efficace a livello internazionale.

Questa combinazione di sforzi, tra autorità italiane e organizzazioni internazionali, rappresenta una linea di difesa essenziale nella lotta alla pedopornografia online. Tuttavia, le sfide rimangono elevate, e la necessità di adeguare continuamente le tecnologie di monitoraggio e di intervento è fondamentale per affrontare una criminalità sempre più sofisticata.

Conclusione


La consapevolezza è uno strumento imprescindibile nella lotta contro la pedofilia online. Genitori, educatori e cittadini devono imparare a riconoscere segnali sospetti nelle attività digitali dei minori e segnalare immediatamente alle autorità i casi a rischio.

Diffondere numeri d’emergenza e contatti di supporto contribuisce a costruire una rete di protezione indispensabile. Nonostante la sfida sia complessa e lontana dalla risoluzione, le tecnologie avanzate, come il machine learning e l’intelligenza artificiale, offrono nuove prospettive e strumenti potenti. Solo attraverso una responsabilità condivisa e una costante vigilanza è possibile costruire un ambiente digitale sicuro, dove i minori siano realmente protetti.

L'articolo Il linguaggio Oscuro dello CSAM: Alla scoperta Dei Mostri del Child Sexual Abuse Material proviene da il blog della sicurezza informatica.



Cheap Sensor Changes Personality


24525025

If you want to add humidity and temperature sensors to your home automation sensor, you can — like [Maker’s Fun Duck] did — buy some generic ones for about a buck. For a dollar, you get a little square LCD with sensors and a button. You even get the battery. Can you reprogram the firmware to bend it to your will? As [Duck] shows in the video, you can.

The device advertises some custom BLE services, but [Duck] didn’t want to use the vendor’s phone app, so he cracked the case open. Inside was a microcontroller with Bluetooth, an LCD driver, a sensor IC, and very little else.

The processor is an ARM Cortex M0, a PHY6222 with very low power consumption. The LCD is a very cheap panel with no drivers onboard. All the drive electronics are on the PCB. The sensor is a CHT8305C which uses I2C.

Luckily, the PHY6222 has a publically available SDK with English documentation. The PCB has two sets of UART pads and it is possible to flash the chip via one of the UARTs.

Eventually, [Duck] put a custom firmware on the box, but we were intrigued by the idea that for a buck you could get a little low-power ARM module with an LCD and a sensor. It seems like you could do more with this, although we are sure the LCD is not very general purpose, surely this little box could act as a panel meter, a countdown timer, or lots of other things with some custom firmware.

These are, of course, knock offs of the slightly more expensive Xiaomi sensors, and those are flashable, too. We aren’t sure how accurate either sensor is, but humidity measurement is a complex topic.

youtube.com/embed/AD2KduDTjf8?…


hackaday.com/2024/11/10/cheap-…



AGI sotto Trump & Musk: Rivoluzione o Apocalisse dell’Intelligenza Artificiale?


Donald Trump è emerso come il vincitore delle elezioni presidenziali del 2024 e, nel mondo dell’intelligenza artificiale, questo ha suscitato emozioni contrastanti, dall’eccitazione all’ansia. La prospettiva dell’intelligenza generale artificiale (AGI) sembra a molti una possibilità concreta durante il secondo mandato di Trump, innescando il dibattito sulle possibili implicazioni.

Anche se Trump stesso ha descritto in modo controverso l’“intelligenza artificiale super-duper ” come “allarmante e spaventosa” in un podcast durante l’estate, è probabile che le sue politiche siano molto più permissive in termini di regolamentazione. Con l’influenza del suo compagno di corsa J.D. Vance e dell’investitore Elon Musk, l’adozione dell’intelligenza generale artificiale (AGI) potrebbe essere all’orizzonte.

Per molti osservatori, la possibilità di creare un’AGI con una supervisione minima sembra rischiosa. Steven Heidel, un dipendente di OpenAI, ha osservato in modo criptico che “Trump diventerà presidente dell’AGI”, indicando preoccupazioni sul futuro della tecnologia sotto la sua guida.

Su Reddit l’opinione è stata polarizzata, con alcuni utenti che credono che un simile salto tecnologico nelle mani di un politico con una conoscenza limitata dell’intelligenza artificiale potrebbe portare a conseguenze imprevedibili. “C’è una possibilità diversa da zero che l’AGI appaia durante il secondo mandato di Trump”, ha scritto un utente su r/Singularity prima che Kamala Harris ammettesse la sconfitta. Ha aggiunto che questa combinazione di circostanze è come una “apocalisse al neon”.

Ci sono anche preoccupazioni tra i commentatori riguardo al ruolo di figure come Elon Musk e Robert Kennedy Jr. se l’AGI verrà raggiunta sotto Trump. Un utente ha scritto che in tali condizioni “preferirebbe un AGI non controllato” piuttosto che uno controllato.

Ancora più preoccupante è il fatto che Vance si sia trovato a breve distanza dalla presidenza, sostenuto dall’influente ideologo Peter Thiel, che ha recentemente espresso preoccupazione per il fatto che la regolamentazione governativa dell’IA rappresenti una minaccia maggiore dell’intelligenza artificiale stessa.

È particolarmente degno di nota il fatto che Trump abbia già annunciato la sua intenzione di revocare le restrizioni sull’intelligenza artificiale introdotte dall’amministrazione Joe Biden. La mossa aggiunge credibilità ai timori che la tecnologia possa andare fuori controllo sotto la sua presidenza.

Naturalmente, la possibilità che l’AGI appaia nei prossimi quattro anni rimane controversa: anche lo stesso Thiel ritiene che la tecnologia diventerà “eccessivamente dominante” solo tra pochi decenni. Tuttavia, se l’AGI diventasse realtà, un secondo mandato di Trump potrebbe cambiare il futuro dell’intelligenza artificiale, rendendola più vicina a una distopia che a un’utopia, come ha notato un utente Reddit in un post successivamente cancellato.

L'articolo AGI sotto Trump & Musk: Rivoluzione o Apocalisse dell’Intelligenza Artificiale? proviene da il blog della sicurezza informatica.



Esplosione di Phishing nel 2024: +48% di Attacchi contro i Grandi Marchi Finanziari


Nella prima metà del 2024 gli specialisti FACCT hanno registrato un notevole aumento delle risorse di phishing che utilizzando i marchi di note organizzazioni finanziarie. Un 48,3% rispetto allo stesso periodo dell’anno scorso. Gli analisti attribuiscono questa tendenza allo sviluppo di programmi di affiliazione fraudolenti, all’automazione generale delle attività criminali e all’uso dell’intelligenza artificiale.

I phisher colpiscono soprattutto il settore finanziario e l’e-commerce. E i ricercatori notano che, a giudicare dalle statistiche di uno dei programmi di affiliazione fraudolenti, quasi l’80% di tutte le risorse false create sfrutta i marchi di aziende note. Di conseguenza, il numero medio di tali minacce per marchio di aziende clienti FACCT è aumentato da 495 a 734.

In media, ogni giorno, gli aggressori creano quattro risorse di phishing per ciascun marchio. Di questi, il 94% ha lo scopo di rubare i dati delle carte bancarie, il resto ha lo scopo di rubare le credenziali dal conto di un cliente.

Il numero truffe per rubare pagamenti utilizzando marchi noti nel settore finanziario è aumentato del 29,4%. La stragrande maggioranza (70%) delle risorse create si trova su siti Web, il 13% sono account, canali e bot di messaggistica istantanea, l’11% sono gruppi e account sui social network, il 4% sono applicazioni mobili e un altro 2% sono offerte su annunci. siti.

Il settore dell’e-commerce si trova ad affrontare una situazione simile. Il numero di risorse di phishing che utilizzano i marchi delle aziende di e-commerce è aumentato del 33,7% rispetto allo scorso anno.

Come accennato in precedenza, gli esperti attribuiscono l’aumento del numero di minacce allo sviluppo di programmi di affiliazione e di grandi schemi fraudolenti costituiti da centinaia e, in alcuni casi, migliaia di partecipanti.

Oltre a creare siti Web che imitano marchi reali, per attirare il pubblico verso tali risorse, gli aggressori creano account falsi sui social network e sulla messaggistica istantanea e li riempiono di pubblicazioni false.

Gli esperti riassumono: i partecipanti a progetti criminali non necessitano più di conoscenze tecniche specifiche. Tutti i servizi necessari possono essere ottenuti in modalità “one window” tramite programmi di affiliazione o tramite bot specializzati in Telegram.

“La maggiore disponibilità di tecnologie fraudolente non influisce solo sul numero di risorse create, ma anche sull’espansione della portata dei marchi sfruttati dagli aggressori”, spiega Stanislav Goncharov, capo del dipartimento di protezione dai rischi digitali presso Digital Risk Protection presso FACCT. “La continua automazione del phishing e degli schemi fraudolenti, unita all’uso dell’intelligenza artificiale, consente agli aggressori di aumentare il numero di attacchi che lanciano”.

L'articolo Esplosione di Phishing nel 2024: +48% di Attacchi contro i Grandi Marchi Finanziari proviene da il blog della sicurezza informatica.




Welcome to SubTropolis: the Limestone Mine Turned Climate-Controlled Business Complex


24519794

After extracting all the useful stuff from a mine, you are often left with a lot of empty subterranean space without a clear purpose. This was the case with the Bethany Falls limestone mine, near Kansas City, Missouri, which left a sprawling series of caverns supported by 16′ (4.9 meter) diameter pillars courtesy of the used mining method. As detailed by [Benjamin Hunting] in a recent article on the Hagerty site, this made it a fascinating place for a business complex development now called SubTropolis that among other things is used for car storage by Ford and long-term stamp storage by the US Post Office. (Check out their cool period photos!)

The reason for this is the extremely stable climate within these man-made caverns, with relative humidity hovering around a comfortable 40% and temperatures stable year-round at about 21 °C (70 °F), making it ideal for storing anything that doesn’t like being placed outdoors, while saving a lot on airconditioning costs. With Ford one of the biggest companies in SubTropolis, this means that many companies providing customization services for vehicles have also moved operations inside the complex.

With the only negative being a lack of daylight, it seems like the perfect place for many businesses and (evil) lairs, assuming electrical power and constant air circulation are provided.

Featured image: “Subtropolis” by [ErgoSum88]


hackaday.com/2024/11/10/welcom…



Hackaday Links: November 11, 2024


Hackaday Links Column Banner

Fair warning, while the first item this week has no obvious connection to hacking, when 43 Rhesus monkeys escape from a lab, it’s just something that needs to be discussed. The tiny primates broke free from Alpha Genesis, a primate research facility in South Carolina. The monkey jailbreak seems to have occurred sometime on Wednesday, shortly after which the sheriff of Beaufort County was notified to be on the lookout for the tribe. Luckily, none of the animals has been used in any kind of infectious disease research, so this likely won’t be the origin story for anything apocalyptic. At least some of the animals were quickly located, doing their monkey thing in the woods and getting to swing from real trees for probably the first time in their lives. Alpha Genesis employees are trying to lure the monkeys back to captivity with food, but we suspect they’re too smart for that. They’ll probably come back on their own recognizance or when they get bored and realize that the real world isn’t all they thought it would be. When it’s all done we’d love to hear details about the breakout; was it something the monkeys got together and planned, or did one of the humans mess up?

With apologies in advance for the pun, there’s been a lot of buzz lately about tech billionaires falling over themselves to be the first to add “nuclear power mogul” to their CVs with reactor-powered AI data centers. In the early lead was Meta’s Mark Zuckerberg, but it looks like he might have reached an unexpected hurdle in the form of a rare species of bee in residence near the site where he was planning to build the data center. The original article is aggressively paywalled and we haven’t been able to find out exactly what species of bee bested Zuck or what the specific concerns are, although we suspect that it’s disruption of habitat due to construction activities for the data center itself rather than anything related to the nuclear power aspect, since the deal was with an operator of an existing power plant. But fear not — Microsoft, Google, and Amazon are all waiting in the wings with their own nuclear ambitions, so carbon-free AI searches thanks to controlled nuclear fusion will surely soon be a thing.

Although the bees may have thwarted Zuck, not so the Seven Seas, as news leaks indicate that Meta is in the process of building a globe-spanning underseas fiber optic cable. The cable is said to go from coast to coast in the USA the long way, starting in South Carolina across the Atlantic to a landing in Portugal, down the coast of Africa and around the Cape, up to India before heading through to Australia and back across the Pacific to California. The cable is said to carry 16 pairs of fibers and could provide Meta with 320 Tbps of data capacity. That’s a lot of memes.

While you’ve probably never heard of Elwood Edwards, who passed away this week at the age of 74, you’ve certainly heard his voice. Mr. Edwards was the announcer who recorded the famous “You’ve got mail!” email alert for AOL, along with other audio blurbs for the once-ubiquitous ISP. He worked in broadcasting, both AM radio and television, and voiced commercials and announcements before being recommended for the email gig by his wife, who worked at the company that would eventually become AOL, Quantum Computer Services. He got $200 for the session, which he recorded on a cassette tape in his living room, and which would be heard 35 million times a day at AOL’s peak. Not too shabby.

And finally, as proof that we’re living in the weirdest possible timeline comes the story of The Baguette Bandits. It seems that a hacker group — the other kind — broke into French company Schneider Electric and stole 40 GB of data, issuing a $125,000 ransom demand payable in baguettes. The hackers apparently penetrated Schneider via the company’s Jira system and claimed to have specific data on internal projects and issues along with 400,000 lines of user data, which they threatened to release unless they got the baked goods. They did stipulate that they’d halve the ransom amount if Schneider would publically acknowledge the breach. We’re not sure if they want half the number of baguettes or if they want the same number of loaves all cut in half, but either way, it’s a lot of bread. More puns are possible, but we think we’ll leave them all on the table. Seems the yeast we can do.


hackaday.com/2024/11/10/hackad…



Minaccia per sistemi Mac travestita da false notizie di criptovalute


@Informatica (Italy e non Italy 😁)
Un nuovo gruppo di cybercriminali, noto come “BlueNoroff”, ha sviluppato tecniche avanzate per attaccare computer Mac utilizzando falsi articoli di notizie su criptovalute. Attraverso file apparentemente innocui, come documenti PDF o Word, BlueNoroff sfrutta vulnerabilità



Un Attacco Informatico Colpisce il Trasporto dei prigionieri nel Regno Unito


Questa settimana si è verificato un grave attacco informatico nel Regno Unito, che ha compromesso la sicurezza e le operazioni di una serie di importanti aziende, tra cui servizi di scorta di prigionieri e operatori logistici. L’attacco, che ha colpito il partner tecnologico Microlise, ha reso difficile la gestione e il tracciamento dei veicoli.

Microlise, è una società di soluzioni per la gestione della flotta con sede nel Regno Unito, ha subito un grave incidente informatico che ha interrotto una parte significativa dei suoi servizi. Ciò ha portato a disagi per molti dei principali clienti dell’azienda, inclusi importanti partner come il servizio di consegna DHL UK e la catena di vendita al dettaglio Nisa. Tuttavia, l’impatto maggiore si è avuto su Serco, che trasporta i prigionieri sotto contratto al Ministero della Giustizia del Regno Unito.

Serco ha avviato il contratto di sei anni da 200 milioni di sterline nel maggio di quest’anno. Secondo i termini dell’accordo, la società si impegna ad accompagnare mensilmente circa 25mila detenuti e a gestire alcuni istituti penitenziari.

Tuttavia, un problema tecnico nel sistema Microlise ha comportato la disattivazione dei dispositivi di localizzazione e dei pulsanti antipanico nei veicoli Serco. Di conseguenza, gli autisti sono rimasti senza protezione poiché i sistemi di localizzazione dei prigionieri non hanno funzionato per diversi giorni. Solo tre giorni dopo gli autisti sono stati informati dei problemi di sicurezza, hanno detto le fonti.

A seguito dell’incidente, la direzione della Serco è stata costretta ad attuare misure di sicurezza temporanee. Agli autisti venivano fornite mappe cartacee e istruzioni per comunicare con le basi carcerarie ogni mezz’ora. Ai dipendenti è stato inoltre consigliato di tenere i telefoni cellulari completamente carichi per le emergenze, hanno riferito fonti. L’interruzione della navigazione e di altre funzioni ha reso le missioni più difficili e ha messo a repentaglio la sicurezza del personale.

La situazione relativa all’attacco informatico Microlise illustra i rischi delle minacce informatiche nelle catene di approvvigionamento che possono causare impatti significativi nel mondo fisico. Come ha osservato Kevin Robertson, responsabile delle operazioni di Acumen Cyber, l’attacco a Microlise dimostra come l’impatto inconscio degli attacchi informatici possa portare a difficoltà nella vita reale. Lui ha sottolineato che nel caso della Serco, la mancanza di capacità di tracciare dove si trovano i prigionieri rappresenta un potenziale pericolo per il pubblico.

Microlise ha confermato ufficialmente l’incidente e ha affermato che, dopo la scoperta dell’accesso non autorizzato, ha adottato misure per eliminare la minaccia e ripristinare i servizi. Durante l’indagine è emerso che alcuni dati dei dipendenti erano stati compromessi, ma i sistemi dei clienti non erano trapelati. La società ha inoltre precisato che prevede di ripristinare le funzioni di base della piattaforma entro la fine della settimana.

L'articolo Un Attacco Informatico Colpisce il Trasporto dei prigionieri nel Regno Unito proviene da il blog della sicurezza informatica.

Gazzetta del Cadavere reshared this.



Spyware cinese nei telefoni americani: il caso Salt Typhoon sconvolge la sicurezza nazionale


Una grave violazione dei dati negli Stati Uniti legata alle spie informatiche cinesi continua a guadagnare slancio, evidenziando gravi problemi nella sfera del controspionaggio del paese.

All’inizio di ottobre sono state pubblicate per la prima volta segnalazioni di attacchi informatici ai danni delle infrastrutture dei principali operatori di telecomunicazioni come Verizon, AT&T e Lumen Technologies, nonché di alcuni operatori di paesi alleati. Questi attacchi sono stati collegati al gruppo cinese di spionaggio informatico Salt Typhoon, identificato da Microsoft.

Secondo fonti vicine all’indagine, gli hacker sono riusciti a intercettare conversazioni telefoniche e messaggi di testo, anche di alti funzionari responsabili della sicurezza nazionale e della politica americana.

Gli Stati Uniti hanno confermato gli attacchi. Il Federal Bureau of Investigation e la Cybersecurity and Infrastructure Protection Agency hanno affermato che stanno indagando e lavorando per ridurre la minaccia rappresentata dall’accesso non autorizzato alle infrastrutture di telecomunicazioni statunitensi.

L’8 ottobre, la Casa Bianca ha formato una squadra per coordinare la risposta all’attacco, basandosi su una direttiva firmata da Barack Obama nel 2016. Questo è il quarto gruppo creato per risolvere incidenti critici di sicurezza informatica. In precedenza, gruppi simili venivano creati per rispondere agli attacchi contro Microsoft Exchange e SolarWinds.

Anche il Cybersecurity Council, istituito da Joe Biden nel 2021, esaminerà l’incidente. Questo organismo è stato creato in modo simile al National Transportation Safety Board e il suo compito è indagare su attacchi informatici significativi.

Microsoft utilizza nomi in codice per gruppi di hacker cinesi tra cui Salt Typhoon, Volt Typhoon e Flax Typhoon. Questi gruppi prendono di mira le infrastrutture critiche americane e dei loro alleati per poterle destabilizzare in caso di conflitto.

L’intelligence americana rileva che la Cina rappresenta la minaccia informatica più attiva e persistente per gli Stati Uniti, cercando di esercitare la massima influenza possibile sulle infrastrutture critiche e sulle decisioni strategiche del paese.

L'articolo Spyware cinese nei telefoni americani: il caso Salt Typhoon sconvolge la sicurezza nazionale proviene da il blog della sicurezza informatica.

Gazzetta del Cadavere reshared this.