[Morley Kert] had a problem. He’s a big fan of the lovely Fortune Chair from Heller Furniture. Only, he didn’t want to pay $1,175 for a real one. The solution? He printed his own instead!

The basic concept is simple. Capture or recreate the geometry of the fancy expensive designer chair, and then print it out on a 3D printer. That would be easy, except for scale. Chairs have to be both big enough to seat humans, and strong enough to carry their weight. For the average 3D printer owner, meeting the big requirement is difficult, since most printers are quite small compared to chairs.

[Morley] gets around this in the typical fashion—he prints the chair in multiple segments. Indeed, we’ve seen [Morley] tackle a similar project before, too. Only, last time, he had the benefit of a print farm and some easily-accessible geometry for the target object. This time, he’s working very much more from scratch, and chose to print everything at home. That made things quite a bit harder.

Scaling up is never as easy at it seems at first!

youtube.com/embed/hw6cy0iAFCc?…

hackaday.com/2024/11/12/you-wo…

USB 2 is the USB we all know and love. But about ten years ago, USB got an upgrade: USB 3.0. And it’s a lot faster. It started off ten times the speed of USB 2, with 5 Gbps, and later got 20 Gbps and 40 Gbps revisions. How does that work, and how do you hack on it? Well, for a start, it’s very different from USB 2, and the hacking differs in many important ways.

In fact, USB 3 is an entirely separate interface from USB 2, and it does not depend on USB 2 in any way whatsoever – some people think that USB 3 negotiation happens through USB 2, but that’s a complete myth. USB 2 and USB 3 are electrically, physically, and logically distinct interfaces. Except for the fact that USB 3 is backwards compatible with USB 2, they are simply entirely different.

This also means that every USB-A port with USB 3 capabilities (typically blue, but not always) carries two interfaces; indeed, if you want, you can split a typical USB 3 port into a USB 3-only USB-A port and a USB 2-only USB-A port. USB 3-only ports are not legal per USB 3 standard, you’re expected to keep USB 2 there, but only for user convenience; you can split it with a hub and get, like, three extra USB 2 branches for your own use. Even if it’s forbidden, it works flawlessly – it’s what I’m currently using to connect my mouse to my laptop as I’m typing this!

Not to say that USB 3 is all easy to work with – there’s a fair bit of complexity.

For A More Civilized Age

USB 3 is fully differential, and full duplex. It’s still point-to-point, but unlike USB 2 with its pseudodifferential half-duplex transmitters, there are two differential pairs – one RX, one TX. It’s like UART: TX on one end connects to RX on the other end, RX connects to TX, so the two pairs have to be crossed over, typically, inside the cable – for instance, high-speed USB-C cables have the USB 3-intended pairs crossed-over by default! Oh, and you have to put series capacitors on each end, at each TX output.

By [Unconventional2], CC BY-SA 4.0In this way, USB 3 physical layer is just like PCIe; in fact, it can be done using basically the same hardware inside the chip! The routing requirements are tougher than USB 2, so you really want to make sure the tracks are impedance-matched, and use a four-layer PCB instead of a two-layer one. Wondering about routing USB 3? Refer to my guide on routing PCIe, keeping the above restrictions in mind. Here’s a bonus – unlike USB 2, you can flip the pair polarity for ease of routing!

Device detection isn’t done with resistors – instead, the USB 3 peripheral produces regular pulses on the TX pair, known as LPFS mode, and the peripheral on the other end listens to the RX pair for these pulses. That’s also how polarity flips get compensated for.

There are no resistors to add, though if you want to connect different USB 3 devices on your board, you might need to take care of some common mode level matching every now and then, like niconico shows us in detail in the extensive readme for their wonderful PCB housing a USB 2 – USB 3 transaction translator.

Just like PCIe, you’re not expected to handle USB 3 yourself. Unlike USB 2, you can’t quite hand-wire it either – there are products of Eastern manufacture that do, and the failures are quite prominent. If you are shopping for USB 3 hubs and find one with a captive cable, be careful – it might be wired in a lax way, neglecting USB 3 requirements, and you won’t be able to fix it without buying a new hub. Better stick to USB 3 hubs equipped with microUSB3 and USB-C ports!

If you want your links to work guaranteed, don’t hand-wire them, rather, use impedance-matched traces on your PCB as much as possible, PCB track quality really matters here, and could easily limit your speed; even big companies might screw it up!

For instance, [WifiCable] has tinkered on a laptop with USB 3 ports limited to 5 Gbps mode by a chipset setting, and once the setting was unlocked, the ports would negotiate 10 Gbps mode, but had constant stability issues. I’ve also seen Dell route a USB 3 link over an FPC, only to get stability issues with certain kinds of hubs.

The Three Versions

You might have heard of the USB 3 naming shenanigans, with like fifteen different names and logos used to refer to different USB3 versions – like USB 3.0 USB 3.1, USB 3.1 Gen 2, USB 3.2, and so on. I am pleased to inform you there are only three versions – the dozen different names and logos are duplicates of each other, a marketing strategy that confused people more than it helped, nothing more. If you want to learn more about how it came, you can read here, but let’s be fair, you likely don’t need to know that.

These are as big as they look, and haven’t really caught on. by [Anil Öztas], CC BY-SA 4.0 There are only three USB 3 versions as far as cold hard hacking is concerned – you can refer to them as 5 Gbps, 10 Gbps, and 20 Gbps. The 10G bps is just 5 Gbps but overclocked in a few different ways. The 20 Gbps version requires USB-C, and, to simplify it, is like two USB 3 links ganged together. You can’t just put two links together to get 20 Gbps mode, though – it does require a different USB 3 peripheral, and it doesn’t work like two USB3 links, even though it has backwards compatibility.

As for matters more physical, there’s four different connectors you will see USB 3 on – USB-A, USB-B, microUSB 3, and USB-C, each of them getting extra two pairs of pins, and, for the first three, an extra GND pin. This GND line helps provide a more stable ground reference, is perhaps not as much encumbered by the ground current, and with the GND pin placed between the two pairs, it helps prevent crosstalk. USB-A is used on hosts, USB-B and microUSB3 are mainstays on devices, and USB-C, in its universality, can be used everywhere.

remember, microUSB3 is backwards compatible with microUSB cables! By [William.wl.li], CC BY-SA 4.0On some devices of Eastern manufacture, in the dark days before USB-C, you might have seen USB-A used as a device port, and the devices would come bundled with the forbidden USB A-to-A cable. MicroUSB3 has the reputation for being finicky, and USB-B 3 is quite bulky, to the point where not all devices could even afford the added height. If you’re in a pinch and you need a USB 3 device port, you can still use USB-A – people will call it cursed, but you might as well wear this badge proudly.

Nowadays, if USB-C isn’t an option because you can’t be bothered to find a mux, a device with microUSB3 would be my second choice. The trick is to buy a few USB-C to microUSB3 cables on Aliexpress. I swear by them, and if you have some microUSB3 devices at home, you should grab two or three cables like that and never worry about microUSB3 again. Not that the forbidden A-A cable is hard to find nowadays, either!

Last thing to mention is, you might see USB 3 cables and sockets in an initially unexpected place – carrying a PCIe x1 link, again, in hardware of Eastern design. USB 3 cables are only used there for the extra lines: USB 2 pins carry REFCLK, and the two high-speed pairs carry, DRAIN typically carries GND, and the USB2 VBUS and GND tend to carry two PCIe link management signals.

This is an unspoken standard across Eastern vendors of many PCIe accessories – you might see slight pinout variations, but nothing too major. Honestly, I respect that a lot, I’ve recommended it to my hardware hacker friends as a way to expose PCIe, and it’s something that I believe is a decent option, especially given the abundance of hardware that uses USB 3 connectors for PCIe. Is it standards compliant? No. Could someone call it cursed? Yes. Is it a viable way to carry a PCIe x1 link? Also yes. Is it easy to implement? Yes, again. Is it cheap? Without a doubt. If you really need x4 and guaranteed high speeds, you might want to go for Oculink, but until then, the abusing USB 3 hardware will do just fine.

There’s more I could say about USB 3, but for now, I hope this is more than sufficient for you to wade through USB 3 waters, for whatever hacks and projects you might be exploring. Got questions, corrections, or advice? Ever make something cool with USB 3? Tell us all in the comments down below!

hackaday.com/2024/11/12/ubiqui…

L’Open Web Application Security Project (OWASP) è un’organizzazione senza scopo di lucro che sviluppa standard di sicurezza per le applicazioni e le API (Application Programming Interface). I suoi progetti, tra cui la “Top Ten”, sono utilizzati come riferimento per la sicurezza applicativa a livello mondiale.

La OWASP Top Ten più famosa e storicamente significativa è la lista dei 10 principali rischi di sicurezza per le applicazioni web. Lanciata nel 2003 e aggiornata periodicamente, è uno degli standard di riferimento più conosciuti nel campo della sicurezza informatica.

Oggi, con la diffusione dei modelli linguistici di grandi dimensioni (LLM, Large Language Models), OWASP ha introdottouna nuova lista Top Ten specifica per aiutare a identificare e mitigare i rischi di sicurezza unici di questi modelli. Gli LLM, come GPT, sono suscettibili a nuove vulnerabilità, che vanno dall’esfiltrazione di dati sensibili alla manipolazione delle risposte. Comprendere e mitigare tali rischi è fondamentale, soprattutto per applicazioni critiche e sensibili.

OWASP LLM Top Ten

Vediamo subito quali sono i rischi principali, sulla base della versione 1.1, la più recente di OWASP LLM Top Ten:

• Prompt Injection: input maligni progettati per indurre l’LLM a comportarsi in modi non previsti, con il rischio di esporre dati sensibili o attivare azioni non autorizzate.
• Insecure Output Handling: rischi derivanti dal fatto che l’output degli LLM non viene adeguatamente sanitizzato, causando potenziali problemi di sicurezza come attacchi XSS (cross-site scripting) o esecuzione remota di codice.
• Training Data Poisoning: avvelenamento dei dati usati per addestrare o affinare i modelli, con il rischio di compromettere la sicurezza, l’etica o le performance del modello stesso.
• Model Denial of Service: gli attaccanti causano operazioni che richiedono molte risorse sui modelli di linguaggio di grandi dimensioni, portando a una degradazione del servizio o a costi elevati.
• Supply Chain Vulnerabilities: rischi legati a componenti di terze parti, come plugin o modelli pre-addestrati, che potrebbero introdurre minacce o vulnerabilità esterne.
• Sensitive Information Disclosure: rischio che gli LLM rivelino accidentalmente informazioni riservate, come dati proprietari o personali, soprattutto se i prompt degli utenti vengono riutilizzati nei dati di addestramento.
• Insecure Plugin Design: vulnerabilità derivanti dall’uso di plugin che accettano input non validati, che potrebbero consentire attacchi di tipo prompt injection o l’esecuzione remota di codice.
• Excessive Agency: si può verificare quando gli LLM vengono dotati di troppo potere o autonomia, con conseguenti rischi per la sicurezza e il controllo.
• Overreliance: pericolo derivante dall’affidarsi ciecamente agli output degli LLM senza verificarne la validità, con il rischio di prendere decisioni errate basate su informazioni inaccurate o talvolta inventate.
• Model Theft: rischio che i modelli vengano rubati da parte di attaccanti che sfruttano vulnerabilità nell’infrastruttura che li ospita.

Come mitigare i rischi

Al di là della lista, ciò che serve è acquisire dimestichezza e conoscenza su questi rischi e gestirli, occorre dunque capire come possono essere mitigati.

Per ognuno dei dieci rischi elencati nella Top Ten esistono metodi più o meno efficaci per la mitigazione. Se pensiamo alla prompt injection, il rischio numero uno nella top ten LLM, la metodologia di mitigazione più efficace consiste nell’implementare filtri di input avanzati per rilevare e bloccare potenziali attacchi.

Per mitigare i rischi legati alla gestione insicura dell’output (Insecure Output Handling), è fondamentale applicare alcune pratiche di sicurezza. In primis, l’output generato deve essere sanitizzato per evitare che contenga codice dannoso, come quello usato negli attacchi XSS. Inoltre, l’adozione di filtri linguistici è cruciale per bloccare contenuti inappropriati o dannosi, regolando i termini o le frasi che possono essere generati. Un’altra misura importante è l’uso di una struttura di risposta predeterminata, che garantisce che l’output segua un formato sicuro e controllato, riducendo il rischio di generare risposte non sicure. Infine, è essenziale implementare monitoraggio e logging delle risposte prodotte dal modello, per rilevare attività sospette e prevenire attacchi futuri.

Per contrastare il rischio di avvelenamento dei dati di addestramento (Training Data Poisoning), è essenziale adottare misure di protezione rigorose. Una pratica fondamentale è la verifica dei dati, assicurando che provengano da fonti affidabili e non siano stati manipolati, tramite tecniche di autenticazione. Inoltre, il monitoraggio della qualità dei dati è cruciale per individuare e rimuovere dati anomali o dannosi, mantenendo l’integrità del modello. È importante anche applicare tecniche di differenziazione dei dati, come la privacy differenziale, per proteggere le informazioni sensibili durante l’addestramento. Infine, è essenziale controllare le dipendenze esterne, garantendo che le fonti di dati, inclusi i modelli pre-addestrati, siano sicure e prive di vulnerabilità.

Tra le raccomandazioni generali, valide dunque per tutti, si ricorda che è bene realizzare audit regolari del modello, controlli di accesso e valutazioni di vulnerabilità.

La sicurezza degli LLM richiede il coinvolgimento di ingegneri, sviluppatori e team di sicurezza per affrontare in modo olistico i rischi.

Progetti e iniziative europee

In ambito europeo si sta cercando di gestire meglio questi nuovi rischi. Il progetto KINAITICS è un’iniziativa finanziata dall’Unione Europea che si concentra sull’analisi e la gestione delle minacce cyber-cinetiche, in particolare quelle che coinvolgono sistemi cyber-fisici e intelligenza artificiale.

Questo progetto, lanciato nell’ottobre 2022, riunisce partner da cinque Paesi europei tra cui l’Italia, include istituzioni come il Commissariat à l’Énergie Atomique (CEA) che agisce da coordinatore del progetto, oltre a diversi partner privati, per migliorare la sicurezza dei sistemi interconnessi che impiegano AI per il controllo e l’elaborazione dati.

KINAITICS si distingue per il suo approccio innovativo nello sviluppo di una matrice di minacce specifica, adattata a mitigare i rischi derivanti dall’integrazione dell’intelligenza artificiale in contesti industriali e cyber-fisici. Il progetto mira a prevenire attacchi sofisticati, come quelli basati sui digital twin di una fabbrica, che consentono a un attaccante di identificare punti vulnerabili nei cicli di produzione e introdurre misure di disturbo per sabotare i sistemi di controllo.

Un digital twin è una replica virtuale di un sistema fisico, e se compromesso, può portare a guasti nei cicli produttivi reali, manipolando i dati che alimentano i modelli. Questi attacchi dimostrano quanto sia cruciale proteggere i modelli AI avanzati, che, se vulnerabili, possono compromettere l’intero sistema cyber-fisico.

KINAITICS sviluppa tecnologie e metodologie per rilevare e difendersi da tali attacchi, creando una matrice di minacce mirata a rafforzare la sicurezza nei settori industriali. L’obiettivo complessivo è creare difese più resilienti attraverso strumenti e metodologie avanzate, integrando standard legali ed etici per garantire un uso sicuro dell’AI in vari settori industriali.

Conclusione

La sicurezza dei modelli di intelligenza artificiale, in particolare quelli linguistici avanzati, è un ambito in continua evoluzione, con rischi specifici come gli attacchi attraverso i digital twins che possono compromettere interi sistemi cyber-fisici. L’integrazione crescente dell’AI in contesti industriali e quotidiani richiede soluzioni proattive per proteggere le infrastrutture e garantire un uso sicuro delle tecnologie. L’OWASP LLM Top Ten offre una guida per identificare e mitigare i principali rischi, ma è essenziale una gestione continua e approfondita.

Poiché le minacce evolvono rapidamente, la sicurezza degli LLM non può essere considerata un compito da eseguire una sola volta, ma deve essere un processo continuo. L’adozione di misure di protezione specifiche è essenziale, ma la gestione delle vulnerabilità richiede una vigilanza costante e l’implementazione di aggiornamenti regolari, audit di sicurezza e valutazioni dei rischi. Un approccio olistico alla sicurezza, che coinvolga ingegneri, sviluppatori e team di sicurezza in un ciclo continuo di monitoraggio e miglioramento, è cruciale per prevenire nuove vulnerabilità e garantire che le tecnologie emergenti siano sempre protette da potenziali attacchi. Solo così si potrà garantire l’integrità dei modelli e proteggere le applicazioni sensibili da rischi imprevisti.

Progetti come KINAITICS, con il loro approccio innovativo alla protezione contro le minacce cyber-cinetiche, rappresentano un passo cruciale nel rafforzamento della sicurezza, mirando a prevenire attacchi sofisticati e a sviluppare difese resilienti. La sensibilizzazione dei professionisti della sicurezza è fondamentale per ridurre le vulnerabilità e assicurare che queste tecnologie avanzate siano utilizzate in modo sicuro e responsabile.

L'articolo OWASP LLM Top Ten: La Nuova Frontiera della Sicurezza per i Large Language Model! proviene da il blog della sicurezza informatica.

On November 5th, the United States launched an LGM-30G Minuteman III ICBM from Vandenberg Space Force Base in California. Roughly 30 minutes later the three warheads onboard struck their targets 4,200 miles (6,759 km) away at the Reagan Test Site in the Marshall Islands. What is remarkable about this test is not that one of these ICBMs was fired — as this is regularly done to test the readiness of the US’ ICBMs — but rather that it carried three warheads instead of a single one.

Originally the Minuteman III ICBMs were equipped with three warheads, but in 2014 this was reduced to just one as a result of arms control limits agreed upon with Russia. This New Start Treaty expires in 2026 and the plan is to put three warheads back in the 400 operational Minuteman III ICBMs in the US’ arsenal. To this end a validation test had to be performed, yet a 2023 launch failed. So far it appears that this new launch has succeeded.

Although the three warheads in this November 5 launch were not nuclear warheads but rather Joint Test Assemblies, one of them contained more than just instrumentation to provide flight telemetry. In order to test the delivery vehicle more fully a so-called ‘high-fidelity’ JTA was also used which is assembled much like a real warhead, including explosives. The only difference being that no nuclear material is present, just surrogate materials to create a similar balance as the full warhead.

Assuming the many gigabytes of test data checks out these Minuteman III ICBMs should be ready to serve well into the 2030s at which point the much-delayed LGM-35 Sentinel should take over.

hackaday.com/2024/11/12/minute…

Le organizzazioni di tutto il mondo devono stare in allerta: è in corso uno sfruttamento attivo di una vulnerabilità critica nel software Veeam Backup & Replication per distribuire una nuova variante di ransomware, chiamata “Frag”. Questo nuovo attacco dimostra ancora una volta come i criminali informatici stiano diventando sempre più abili nel prendere di mira i sistemi di backup, vitali per il recupero dei dati e la continuità operativa.

La vulnerabilità

Identificata come CVE-2024-40711, la vulnerabilità consente l’esecuzione di codice remoto senza autenticazione. Con un punteggio di gravità impressionante di 9.8 su 10 nella scala CVSS, il rischio di compromissione è elevato, tanto da fare di Veeam un obiettivo altamente appetibile per i cybercriminali. Il bug affligge Veeam Backup & Replication versione 12.1.2.172 e le versioni precedenti. Nonostante Veeam abbia rilasciato delle patch correttive già da settembre 2024, numerose organizzazioni non le hanno ancora applicate.

La minaccia è stata collegata a un gruppo noto come STAC 5881, una “unità d’azione” che ha già sfruttato VPN compromesse per ottenere un accesso iniziale ai network target. Una volta penetrati, i malintenzionati fanno leva sulla vulnerabilità di Veeam per creare account amministrativi non autorizzati e proseguire con le loro operazioni malevole. STAC 5881, che in passato ha distribuito varianti di ransomware come Akira e Fog, ha ora sfoderato Frag, una versione mai vista prima, capace di colpire rapidamente e con precisione chirurgica.

Il ransomware Frag viene eseguito da riga di comando e permette agli attaccanti di specificare la percentuale di crittografia dei file. Una volta colpiti, i file assumono l’estensione “.frag”, segnando visibilmente i danni inflitti. Con l’analisi dei Sophos X-Ops, è stato possibile individuare similitudini tra Frag e le varianti precedenti, suggerendo che potrebbe trattarsi di un “nuovo attore” che adotta tattiche già consolidate. Ancora una volta, il modus operandi ruota attorno alla massimizzazione dei danni alle infrastrutture di backup, al fine di costringere le vittime a pagare il riscatto.

Perché i backup sono sotto attacco?

I backup sono una risorsa critica: permettono alle organizzazioni di ripristinare i dati senza soccombere alle richieste dei cybercriminali. Tuttavia, se questi sistemi vengono compromessi, le possibilità di recupero crollano drasticamente, aumentando la pressione sul pagamento del riscatto. Gli attacchi mirati a backup e sistemi di ripristino, come dimostrato da Frag, si stanno trasformando in una tattica prediletta dagli attori malevoli, che colpiscono il punto nevralgico della resilienza aziendale.

Consigli per difendersi

1. Applicare subito le patch per le versioni vulnerabili di Veeam Backup & Replication.
2. Isolare i server di backup da Internet, dove possibile, per ridurre l’esposizione a potenziali attacchi.
3. Implementare l’autenticazione multi-fattore per accedere ai sistemi di gestione dei backup, aumentando così le barriere di sicurezza.
4. Attivare un monitoraggio continuo per rilevare attività sospette o comportamenti anomali, fondamentali per intercettare i segnali di un potenziale attacco.

Conclusioni

Con varianti come Frag e gruppi come STAC 5881 in circolazione, le organizzazioni devono reagire con rapidità e rigore. I criminali informatici si evolvono senza tregua, pronti a colpire infrastrutture critiche e, in questo caso, i sistemi di backup su cui molte aziende fanno affidamento per sopravvivere. Il messaggio è chiaro: non possiamo permetterci di abbassare la guardia. Una patch trascurata o una protezione obsoleta possono significare il crollo dei sistemi, la perdita di dati critici e, inevitabilmente, gravi danni reputazionali e finanziari.

Per gli amministratori IT, è tempo di agire, aggiornare e proteggere – e farlo subito!

L'articolo Attacco in Corso: Frag Ransomware Sfrutta la Vulnerabilità di Veeam per Colpire i Backup proviene da il blog della sicurezza informatica.

According to [MTSI], if you used a Z80 chip back in the 1980s, it almost certainly passed through the sole Fairchild Sentry 610 system that gave it the seal of approval.

The Sentry was big iron for its day. The CPU was a 24-bit device and ran at a blistering 250 kHz. Along with a tape drive and a specialized test bed, it could test Z80s, F8s, and other Mostek products of the day. There was a disk drive, too. The 26-inch platters stored under 10 kilobytes. Despite the relatively low speed of the CPU, the Sentry could test devices running up to 10 MHz, which was plenty for the CPUs it was testing. The actual test interface ran at 11 MHz and used an exotic divider to generate slower frequencies.

According to the post, an informal count of the number of chips in the device came up with around 60,000. That, as you might expect, took a huge power supply, too.

From some 1975 corporate literature:

“Optimized for engineering, sophisticated production needs, QA and test center operations, the Sentry 610 is the most versatile analytical tester available for engineering and production. It can perform the widest range of tests for the broadest range of components. At user option, the Sentry 610 can perform high-speed MaS/LSI, PCB, and bipolar tests simultaneously. It offers complete testing at the wafer level and through automatic handlers at full-rated device speeds up to 10 MHz. The wide choice of peripherals gives the Sentry 610 system massive data handling capacity to manipulate, analyze, compute and generate reports on test procedures in analyzing MaS/LSI.”

These days, you are as likely to stick test hardware on the IC as have a big machine on the outside. And even then, you probably wouldn’t have something this elaborate. But in its day, this was high-tech for sure.

The Z80 sure has had a long lifespan. It shouldn’t surprise you that Z80s need to be tested, just like everything else.

hackaday.com/2024/11/12/z80-te…

Come abbiamo visto recentemente, un attacco informatico ha coinvolto Amazon, confermato dal portavoce dell’azienda Adam Montgomery.

Un utente sotto lo pseudonimo di “Nam3L3ss” avrebbe sfruttato una vulnerabilità critica in MOVEit, un software di trasferimento file, esponendo potenzialmente i dati di dipendenti di aziende di primo piano come Amazon, McDonald’s, HSBC e oltre un migliaio di altre. Il risultato? Presumibilmente, una delle fughe di informazioni aziendali più devastanti dell’ultimo anno, con settori chiave come finanza, sanità, tecnologia e retail colpiti profondamente.
Post su BreachForums relativo alla rivendicazione del threat actors Nam3L3ss dei dati di McDonalds dell11 ottobre 2024

Cos’è un attacco alla Supply chain

In questo periodo storico, molto spesso stiamo assistendo a continue perdite “collaterali” dovute a problemi nella supply-chain. Si tratta di esfiltrazioni che non avvengono direttamente dalle infrastrutture IT delle aziende, ma da aziende di terze parti che collaborano con l’azienda.

Tutto questo ci porta all’attenzione che i fornitori possono essere oggi il “tallone di Achille” della cybersecurity. Sia nella produzione che nella sicurezza informatica aziendale, oggi occorre prestarne la massima attenzione su questo genere di attacchi. Gli attacchi supply chain possono avvenire in variegate forme: vulnerabilità sui sistemi, malware, impiegati infedeli. Possono portare anche a problemi del fermo delle linee produttive causando danni in cascata con ricadute devastanti.

Le attività di controllo pertanto si estendono non solo alle infrastruttura IT dell’azienda, ma anche alle infrastrutture IT di partner e fornitori. Occorre quindi prevedere nei contratti delle apposite clausole contrattuali che regolamentino la sicurezza informatica. Ne consegue che oggi più che mai occorre investire sull’approfondire tutto questo. Il problema è che sui giornali generalmente ci va il brand dell’azienda cliente (come in questo caso Amazon), e non sempre il fornitore.
Post su BreachForums relativo alla rivendicazione del threat actors Nam3L3ss dei dati di British Telecom dell11 ottobre 2024

La vulnerabilità Sfruttata: Una Breccia Fatale

La vulnerabilità, come precedentemente riportato, è stata scoperta a metà del 2023 e avrebbe aperto un varco pericoloso in MOVEit, consentendo agli hacker di aggirare i sistemi di autenticazione per accedere a dati sensibili. I cybercriminali hanno sfruttato rapidamente la falla, innescando una serie di violazioni che avrebbero portato a un’esfiltrazione massiccia di informazioni riservate di dipendenti e clienti in tutto il mondo.

Le informazioni per azienda, datate maggio 2023, mettono in luce la vastità dell’incidente e i pericoli legati alla mancata applicazione tempestiva delle patch di sicurezza. Di seguito, un elenco delle aziende presumibilmente colpite e il numero di record trafugati:

• Amazon — 2,861,111 record
• MetLife — 585,130 record
• Cardinal Health — 407,437 record
• HSBC — 280,693 record
• Fidelity (fmr.com) — 124,464 record
• U.S. Bank — 114,076 record
• HP — 104,119 record
• Canada Post — 69,860 record
• Delta Airlines — 57,317 record
• Applied Materials (AMAT) — 53,170 record
• Leidos — 52,610 record
• Charles Schwab — 49,356 record
• 3M — 48,630 record
• Lenovo — 45,522 record
• Bristol Myers Squibb — 37,497 record
• Omnicom Group — 37,320 record
• TIAA — 23,857 record
• UBS — 20,462 record
• Westinghouse — 18,193 record
• Urban Outfitters (URBN) — 17,553 record
• Rush University — 15,853 record
• British Telecom (BT) — 15,347 record
• Firmenich — 13,248 record
• City National Bank (CNB) — 9,358 record
• McDonald’s — 3,295 record

Dati Dettagliati e Conseguenze di Sicurezza

Le informazioni esposte includerebbero dettagli precisi per ciascuna azienda. I record di Amazon, ad esempio, potrebbero contenere campi come: last_name, first_name, display_name, cost_center_code, cost_center_name, phone, email, e title.

Analogamente, i dati di HSBC includerebbero informazioni come user_id, first_name, last_name, email_address, employee_status, company_code, city e state. Questi dettagli, se confermati, rappresenterebbero un serio rischio, offrendo ai cybercriminali un punto di partenza per sofisticati attacchi di social engineering.

L’Incredibile Fuga di Dati Aziendali Rivelata da Nam3L3ss

Dietro questa fuga di dati vi sarebbe Nam3L3ss, che avrebbe pubblicato i file su un noto forum di cybercrime. In un messaggio, l’hacker ha esortato le aziende a “fare attenzione” alla portata di questi leak, sottolineando il livello di dettaglio dei dati, inclusi codici dei centri di costo e, in alcuni casi, l’intera struttura organizzativa. Ecco un esempio del messaggio pubblicato da Nam3L3ss:

“Ragazzi, FATE ATTENZIONE, queste sono directory dei dipendenti aziendali, alcuni siti includono la struttura organizzativa e altri file.”

Il messaggio dell’hacker sembra voler lanciare un avvertimento alle aziende sui rischi e le debolezze nei loro sistemi, ma al contempo espone i dati per agevolare potenziali attori malevoli interessati a sfruttarli.

Rischi e Conseguenze Potenziali

La presunta violazione solleva serie preoccupazioni per le aziende e per i dipendenti i cui dati sono stati compromessi. Ecco i principali rischi:

1. Attacchi di Phishing e Social Engineering: Con dettagli come contatti, nomi e strutture organizzative, i criminali informatici possono creare email di phishing estremamente credibili, che possono aggirare i controlli di sicurezza.
2. Spionaggio Aziendale: La visibilità sulle strutture gerarchiche e sui dettagli dei dipendenti offre un vantaggio competitivo per lo spionaggio aziendale, consentendo a concorrenti o attori malintenzionati di ottenere informazioni sulle operazioni interne.
3. Danno Reputazionale: Aziende di alto profilo come Amazon, HSBC e MetLife sono particolarmente vulnerabili al danno reputazionale, con clienti sempre più preoccupati per la sicurezza dei dati.
4. Furti e Frodi Finanziarie: I dati del settore finanziario, come quelli di Cardinal Health e UBS, sono particolarmente attrattivi per i crimini finanziari, poiché le informazioni dei dipendenti e i canali di comunicazione possono agevolare schemi di frode sofisticati.

Passi di Mitigazione e Migliori Pratiche di Sicurezza

Questo presunto incidente è un richiamo per tutte le aziende che utilizzano MOVEit o software simili. Ecco alcune azioni preventive: Ecco alcune azioni chiave per prevenire violazioni simili:

• Applicare Immediatamente le Patch di Sicurezza: MOVEit ha rilasciato patch per risolvere la CVE-2023–34362. È cruciale che le organizzazioni le applichino senza indugi.
• Condurre un Audit di Sicurezza Completo: Le aziende colpite o che utilizzano MOVEit dovrebbero condurre un audit di sicurezza per identificare eventuali vulnerabilità che potrebbero portare a ulteriori esposizioni.
• Sensibilizzazione e Formazione dei Dipendenti: I dipendenti rappresentano la prima linea di difesa contro gli attacchi di social engineering. Le aziende devono intensificare la formazione su come riconoscere il phishing, gestire i dati in sicurezza e comunicare in modo protetto.
• Limitare l’Accesso e Implementare la Segmentazione dei Dati: Limitando l’accesso ai dati in base ai ruoli e implementando una robusta segmentazione dei dati, le organizzazioni possono ridurre la quantità di informazioni sensibili accessibili in caso di accesso non autorizzato.

Conclusione

La presunta violazione legata alla vulnerabilità MOVEit dimostra ancora una volta che nessuna azienda, anche la più potente e strutturata, è immune dagli attacchi informatici. I dati di milioni di dipendenti, tra cui nomi noti come Amazon, HSBC e McDonald’s, sono stati presumibilmente esposti, mettendo a rischio informazioni preziose per cybercriminali pronti a sfruttarle. Questa fuga di informazioni è un campanello d’allarme forte e chiaro: la sicurezza informatica non può essere un ripensamento, ma deve essere al centro delle strategie aziendali.

Non è più solo una questione di prevenire accessi indesiderati: la posta in gioco è la fiducia dei clienti, la reputazione costruita in anni di lavoro e la sicurezza delle persone che, ogni giorno, rendono queste aziende grandi. Senza un’azione decisa e una vigilanza costante, incidenti come questo continueranno a minare la stabilità del mondo digitale, trasformando ogni vulnerabilità non risolta in un potenziale disastro.

L'articolo Violazione di Amazon e Attacchi alla Supply Chain. I Rischi Potenziali per oltre 1000 aziende proviene da il blog della sicurezza informatica.

Possiamo dire che “anche i grandi piangono”, e sicuramente questo incidente di Amazon ci deve far comprendere quanto oggi le aziende di terze parti possono essere il “tallone di achille” di una postura cyber corretta all’interno delle mura della propria azienda.

La recente fuga di dati dei dipendenti divulgata attraverso un post su Breach Forums da un threat actors del colosso dell’e-commerce Amazon ha sollevato importanti preoccupazioni sulla sicurezza delle informazioni all’interno delle grandi aziende e sull’impatto dei fornitori terzi nelle loro vulnerabilità.

Secondo quanto riportato, oltre 2,8 milioni di record contenenti dati dei dipendenti Amazon sono stati esposti nelle underground. L’attore della minaccia, conosciuto come “Nam3L3ss“, ha condiviso i dettagli dei dati sottratti, che includono indirizzi e-mail aziendali, numeri di telefono fissi e altre informazioni legate al lavoro. Questo attacco evidenzia la fragilità delle catene di approvvigionamento digitali, dove un singolo punto di accesso compromesso può mettere a rischio una quantità considerevole di dati sensibili.

Il colosso dell’e-commerce Amazon ha confermato che alcuni dati dei suoi dipendenti sono stati compromessi a causa di una violazione della sicurezza che ha coinvolto un fornitore di terze parti. Secondo Amazon, la violazione ha interessato le informazioni di contatto relative al lavoro, tra cui indirizzi e-mail dei dipendenti, numeri di telefono fissi e sedi degli edifici.

Il post su Breach Forums

Il numero esatto dei dipendenti interessati dall’ultima violazione della sicurezza non è stato reso noto da Amazon, anche se da quanto riportato sul post su Breach Forums si parla di 2.861.111 record di dati appartenenti ad Amazon.

Il record riportato sul post dal criminale informatico è il seguente:

• emplid – ID del dipendente
• last_name – Cognome
• first_name – Nome
• display_name – Nome visualizzato
• empname_lastfirst – Nome completo (Cognome e Nome)
• cost_center_code – Codice del centro di costo
• cost_center_name – Nome del centro di costo
• phone – Numero di telefono
• email – Indirizzo email
• title – Titolo lavorativo
• job_code – Codice del lavoro
• job_description – Descrizione del lavoro
• building_code – Codice dell’edificio
• building_descr – Descrizione dell’edificio
• room_id – ID della stanza
• city – Città
• state – Stato
• country_location – Paese di ubicazione
• Status – Stato (assunto, attivo, ecc.)
• empl_hire_date – Data di assunzione
• jobcode_level – Livello del codice lavoro
• job_family – Famiglia di lavoro
• default_domain – Dominio predefinito
• default_domainuser – Utente di dominio predefinito
• user_id – ID utente
• az_virtual_off – Ufficio virtuale
• location – Ubicazione
• location_link – Collegamento alla posizione
• supervisor_id – ID del supervisore
• supervisor_name – Nome del supervisore
• gref_orggroup_id – ID del gruppo organizzativo GREF
• manager_id – ID del manager
• manager_name – Nome del manager
• reg_temp_az_safety_czar – Responsabile sicurezza temporaneo per AZ
• empl_rcd – Record del dipendente
• az_group_code – Codice del gruppo AZ
• az_company_descr – Descrizione della compagnia AZ
• per_org_az_empl_class_descr – Descrizione della classe del dipendente nell’organizzazione AZ
• export_userlogin – Login dell’utente per esportazione

Per ora, l’attore della minaccia noto come “Nam3L3ss” ha rivendicato la responsabilità della fuga di dati di Amazon su Breach Forums, un popolare forum di hacking. Nam3L3ss non è un nuovo arrivato nella comunità globale della criminalità informatica ed è noto per l’estrazione di dati dalle organizzazioni tramite incidenti ransomware o accesso non autorizzato a database esposti.

A complicare ulteriormente la situazione, Nam3L3ss ha dichiarato che i dati trapelati rappresentano solo una frazione delle informazioni raccolte e che è riuscito a estrarre interi database da fonti esposte.

Il bug CVE-2023-34362 sfruttato nell’attacco

L’incidente sembra essere collegato alla vulnerabilità MOVEit Transfer (CVE-2023-34362), un difetto critico nel software di trasferimento file di Progress Software, sfruttato per la prima volta nel maggio 2023. Questa falla ha consentito ai cybercriminali di eseguire attacchi alla supply chain che hanno colpito oltre 1.000 organizzazioni a livello globale, tra cui Amazon. La gang ransomware Clop è stata tra i primi gruppi a sfruttare questa vulnerabilità, e le sue attività mirate continuano a colpire aziende e istituzioni pubbliche. L’attacco mette in luce come le vulnerabilità nei servizi di terzi possano compromettere seriamente anche i sistemi delle aziende più protette, che si affidano a fornitori esterni per esigenze operative specifiche.

Nel 2023, l’expploit collegato al difetto di MOVEit, ha consentito agli autori della minaccia di aggirare i protocolli di autenticazione di bypass tramite un difetto di iniezione SQL, potenzialmente concedendo un accesso non autorizzato ai database MOVEit Transfer. MOVEit Transfer è ampiamente utilizzato da agenzie governative e aziende private in tutto il mondo.

Questa fuga di dati apre la strada a potenziali attacchi di phishing e altre minacce cyber, mettendo a rischio la sicurezza di milioni di dipendenti. L’incidente rappresenta un avvertimento per tutte le aziende che devono garantire non solo la protezione dei loro sistemi interni, ma anche un rigoroso monitoraggio e controllo delle pratiche di sicurezza dei loro partner e fornitori.

La risposta di Amazon

“I sistemi di Amazon e AWS rimangono sicuri e non abbiamo riscontrato alcun evento di sicurezza. Siamo stati informati di un evento di sicurezza presso uno dei nostri fornitori di gestione immobiliare che ha avuto un impatto su diversi dei suoi clienti, tra cui Amazon. Le uniche informazioni di Amazon coinvolte erano le informazioni di contatto di lavoro dei dipendenti, ad esempio indirizzi e-mail di lavoro, numeri di telefono fisso e ubicazioni degli edifici”, ha commentato sulla questione Adam Montgomery, portavoce dell’azienda.

Nessun dato personale sensibile, come numeri di previdenza sociale o informazioni finanziarie, è stato esposto nell’ultima violazione della sicurezza, poiché le informazioni non sono mai state accessibili al fornitore terzo.

L'articolo Fuga di dati Amazon: oltre 2,8 milioni di record dei dipendenti su BreachForums! proviene da il blog della sicurezza informatica.

Il Dipartimento di Giustizia degli Stati Uniti ha avviato due procedimenti penali contro gli autori di immagini pornografiche infantili generate tramite tecnologia deepfake. L’agenzia ha annunciato un ampliamento della responsabilità per produttori e distributori di tali contenuti.

James Silver, capo della divisione Cybercrime e violazione della proprietà intellettuale del Dipartimento, ha dichiarato a Reuters che i procedimenti non si limiteranno ai due casi attuali. Silver ha espresso profonda preoccupazione per la crescente normalizzazione dell’uso dell’intelligenza artificiale generativa nella creazione di contenuti pornografici, inclusi quelli che coinvolgono minori, e ha sottolineato l’intento di combattere questo fenomeno.

Tuttavia, il primo caso non ha alleviato le preoccupazioni della comunità giuridica riguardo alla possibilità che le condanne possano essere impugnate.

Inoltre, i tribunali non sono ancora pronti a esaminare casi in cui gli imputati utilizzano intelligenza artificiale. In almeno due situazioni, i distributori di tali immagini hanno evitato responsabilità legali o hanno ricevuto accuse significativamente più leggere, sostenendo che le immagini non rappresentassero persone specifiche.

Le forze dell’ordine e le organizzazioni per la protezione dei diritti dei bambini temono che la diffusione di materiali generati dall’intelligenza artificiale possa fungere da maschera per reati di violenza contro minori reali. Il Centro Nazionale per i Bambini Scomparsi e Sfruttati ha registrato una media di circa 450 segnalazioni relative a immagini generate dall’IA coinvolgenti bambini, mentre il numero totale di richieste ricevute supera i 3 milioni, come riportato dal consulente legale Iyota Souras.

Rebecca Portnoff, vicepresidente dell’organizzazione per i diritti umani Thorn, ha avvertito che il problema non può essere considerato esclusivamente come una questione futura, altrimenti rischia di sfuggire al controllo. È fondamentale intervenire su più fronti, influenzando sia gli sviluppatori di sistemi di generazione di immagini sia il sistema delle forze dell’ordine per affrontare questa crescente minaccia.

L'articolo Le Autorità Americane Colpiscono i Produttori di Contenuti Illeciti sui Bambini creati con le AI proviene da il blog della sicurezza informatica.

Sound Voltex is a music game from Konami; in fact, it’s a whole series of arcade games! [Luke] is a big fan, so decided to build a hardware handheld to play the Unnamed Sound Voltex Clone. No—Voltex is not a typo, that’s the name.

If you’re unfamiliar, the Unnamed SDVX Clone is basically a community-built game that’s inspired by the original Konami titles. [Luke] decided to build a handheld console for playing the game, which is more akin to the arcade experience versus playing it on a desktop computer.

[Luke’s] build relies on a Raspberry Pi 4B, which donates its considerable processing power and buckets of RAM to the project. The Pi was installed into a 3D-printed case with a battery pack, touchscreen, and speakers, along with multiple arcade buttons and rotary encoders for controlling the game. Booting the Pi and clicking the icon on the desktop starts up the Unnamed Sound Voltex Clone. The game itself will be fairly familiar to any rhythm game player, though it’s a tough more sophisticated than Audiosurf. [Luke] demonstrates the gameplay on YouTube, and the finished project looks great.

We always love seeing handheld hacks, from PlayStations that never were to retro DIY creations. Video after the break.

youtube.com/embed/jj9lAWhPuek?…

hackaday.com/2024/11/11/a-hand…

I ricercatori hanno scoperto che più di 60.000 NAS D-Link che hanno terminato il supporto sono suscettibili al command injection. Sebbene esista già un exploit disponibile pubblicamente per questo problema, gli sviluppatori D-Link non hanno intenzione di rilasciare patch.

La vulnerabilità critica è il CVE-2024-10914 (punteggio CVSS 9.2) ed è associata al comando cgi_user_add in cui il parametro name non è adeguatamente ripulito. Di conseguenza, un utente malintenzionato non autorizzato potrebbe sfruttare il problema per inserire comandi shell arbitrari inviando ai dispositivi richieste HTTP GET appositamente predisposte.

L’errore riguarda diversi modelli NAS D-Link:

• DNS-320 versione 1.00;
• DNS-320LW versione 1.01.0914.2012;
• DNS-325 versioni 1.01 e 1.02;
• DNS-340L versione 1.08.

Il ricercatore di sicurezza Netsecfish che ha scoperto questa vulnerabilità scrive che per sfruttarla è necessario “inviare una richiesta HTTP GET modificata al dispositivo NAS con un input dannoso nel parametro name. Questa richiesta curl genera un URL che esegue il comando cgi_user_add con il parametro name, che include il comando shell incorporato”, spiega lo specialista.

Secondo Netsecfish, la piattaforma FOFA ha identificato 61.147 hit e 41.097 indirizzi IP univoci associati ai dispositivi D-Link vulnerabili a CVE-2024-10914.

I rappresentanti di D-Link hanno già pubblicato un bollettino di sicurezza dedicato a CVE-2024-10914, in cui hanno confermato la presenza del problema. Tuttavia, non è necessario attendere le patch, poiché il supporto per i dispositivi vulnerabili è già stato interrotto e il produttore consiglia ai proprietari di NAS semplicemente di smettere di utilizzare prodotti vulnerabili o almeno di isolarli da Internet.

Vale la pena notare che nella primavera di quest’anno D-Link non ha risolto le vulnerabilità CVE-2024-3272 e CVE-2024-3273, che interessavano più di 90.000 NAS obsoleti. Poi i dispositivi hanno iniziato ad essere attaccati già pochi giorni dopo la divulgazione delle informazioni sul bug.

L'articolo 90.000 NAS D-Link a rischio! Scoperta una nuova Vulnerabilità che non verrà Aggiornata proviene da il blog della sicurezza informatica.

Il 22 ottobre 2024, Microsoft ha rilasciato l’ultimo aggiornamento non di sicurezza per Windows 11 versione 23H2, sotto la patch KB5044380 (builds 22621.4391 e 22631.4391). L’aggiornamento era stato accolto con entusiasmo, portando miglioramenti come la riduzione del consumo della batteria, una rimappatura chiave di Copilot, nuove opzioni di notifica e altri affinamenti. Tuttavia, questa gioia è stata presto spenta da un problema critico che ha colpito OpenSSH, un componente essenziale per chi utilizza connessioni SSH, soprattutto nel mondo aziendale e IoT.

Cos’è successo esattamente?

L’aggiornamento ha introdotto un bug che blocca il servizio OpenSSH, impedendo le connessioni SSH. Gli utenti affetti da questo problema si trovano davanti a un servizio che non si avvia, senza alcun log dettagliato e con la necessità di interventi manuali per eseguire il processo sshd.exe. Microsoft stessa ha confermato la gravità del problema, sottolineando che coinvolge non solo le aziende ma anche gli utenti domestici, dell’istruzione e IoT.

L’azienda ha rassicurato che il numero di dispositivi impattati è “limitato”, ma questa rassicurazione suona vaga e poco consolatoria, specie per chi si trova bloccato senza la possibilità di accedere ai propri server o dispositivi in rete. È evidente che anche un solo dispositivo affetto può diventare un problema enorme se usato in ambiti critici.

La soluzione temporanea

Per fortuna, esiste un workaround che consente agli utenti di riottenere temporaneamente il controllo. Microsoft suggerisce di modificare i permessi nelle directory coinvolte, eseguendo questo comando PowerShell con privilegi elevati:

$directoryPath = “C:\ProgramData\ssh” $acl = Get-Acl -Path $directoryPath $sddlString = “O:BAD:PAI(A;OICI;FA;;;SY)(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;AU)” $securityDescriptor = New-Object System.Security.AccessControl.RawSecurityDescriptor $sddlString $acl.SetSecurityDescriptorSddlForm($securityDescriptor.GetSddlForm(“All”)) Set-Acl -Path $directoryPath -AclObject $acl

Inoltre, raccomanda di ripetere l’operazione per il percorso C:\ProgramData\ssh\logs.

E cosa succede agli altri utenti di Windows 11?

Anche la versione 24H2 di Windows 11 non è immune da problemi. Se da una parte sfugge al bug di OpenSSH, dall’altra è afflitta da una lista di malfunzionamenti. Tra questi, il Task Manager che non mostra correttamente il numero di applicazioni e processi in esecuzione, nonché problemi con la nuova tastiera a controller, il cui rilascio è stato sospeso a causa di errori sconosciuti.

Conclusione

In attesa della soluzione definitiva, Microsoft, sta lavorando per risolvere il problema e promette che una patch arriverà con un futuro aggiornamento di Windows. Fino a quel momento, però, il rischio di disconnessioni e di instabilità resta alto.

L'articolo Windows 11 KB5044380: OpenSSH in Tilt! Connessioni SSH Bloccate e Utenti in Panico proviene da il blog della sicurezza informatica.

Space and mystery always spark our curiosity, so when we stumbled upon the story of Skynet-1A, Britain’s first communication satellite from 1969, we knew it was worth exploring. The BBC recently highlighted its unexpected movement across the sky – you can check out their full coverage here. The idea that this half-century-old hunk of metal mysteriously shifted orbits leaves us with more questions than answers. Who moved Skynet-1A, and why?

Launched just months after the Apollo 11 Moon landing, Skynet-1A stood as a symbol of Cold War innovation, initially placed above East Africa to support British military communications. But unlike the silent drift of inactive satellites heading naturally eastward, Skynet-1A defied orbital norms, popping up halfway across the globe above the Americas. This wasn’t mere chance; someone or something had made it fire its thrusters, likely in the mid-1970s.

Experts like Dr. Stuart Eves and UCL’s Rachel Hill suggest the possibility of control being temporarily transferred to the US, particularly during maintenance periods at the UK’s RAF Oakhanger. Still, the specifics remain buried in lost records and decades-old international collaborations. Skynet-1A’s journey serves as a stark reminder of the persistent challenges in space and the gaps in our historical data.

Looking for more space oddities? Hackaday has some interesting articles on space debris. You can read the original BBC article here.

hackaday.com/2024/11/11/britai…

Battling weeds can be expensive, labor intensive and use large amounts of chemicals. To help make this easier [NathanBuilds] has developed V2 of his open-source drone weed spraying system, complete with automated battery swaps, herbicide refills, and an AI vision system for weed identification.

The drone has a 3D printed frame, doubling as a chemical reservoir. V1 used a off-the-shelf frame, with separate tank. Surprisingly, it doesn’t look like [Nathan] had issues with leaks between the layer lines. For autonomous missions, it uses ArduPilot running on a PixHawk, coupled with RTK GPS for cm-level accuracy and a LiDAR altimeter. [Nathan] demonstrated the system in a field where he is trying to eradicate invasive blackberry bushes while minimizing the effect on the native prairie grass. He uses a custom image classification model running on a Raspberry Pi Zero, which only switches on the sprayers when it sees blackberry bushes in the frame. The Raspberry Pi Global Shutter camera is used to get blur-free images.

At just 305×305 mm (1×1 ft), the drone has limited herbicide capacity, and we expect the flights to be fairly short. For the automated pit stops, the drone lands on a 6×8 ft pad, where a motorized capture system pulls the drone into the reload bay. Here a linear actuator pushes a new battery into the side of the drone while pushing the spend battery one out the other side. The battery unit is a normal LiPo battery in 3D-printed frame. The terminal are connected to copper wire and tape contacts on the outside the battery unit, which connect to matching contacts in the drone and charging receptacles. This means the battery can easily short if it touches a metal surface, but a minor redesign could solve this quickly. There are revolving receptacles on either side of the reload bay, which immediately start charging the battery when ejected from the drone.

Developing a fully integrated system like this is no small task, and it shows a lot of potential. It might look a little rough around the edges, but [Nathan] has released all the design files and detailed video tutorials for all the subsystems, so it’s ready for refinement.

youtube.com/embed/fywiyoCudQE?…

hackaday.com/2024/11/11/automa…

Nerf blasters are fun and all, but flinging foam can get old. Picking it up again, even moreso. This blaster from [Concept Crafted Creations] gets around that annoying problem by shooting ice instead.

The concept was to build a better water gun with longer range—and what better way to do that than by shooting ice instead? The blaster relies on a PVC air tank for propulsion—one of the most controversial design choices you can make if you read the comments around here. It’s charged by a small air compressor, and dumping the air is handled by a solenoid valve. So far, so simple.

What makes this blaster special is where it gets its ammunition from. The blaster uses a custom CNC-machined block from PCBway to act as a freeze chamber. Water enters an aluminum block, and is cooled by thermoelectric elements. Once the projectile has frozen inside the chamber, it’s stuck in place, so the chamber is then heated by a small heating element. This melts the projectile just enough to allow it to be fired.

It’s a complicated but ingenious way of building an ice blaster. It does pack some real punch, too. It shoots the ice projectiles hard enough to shatter wine glasses. That’s enough to tell us you don’t want to be aiming this thing at your pals in a friendly match of Capture the Flag. Stick to paintballs, perhaps. Video after the break.

youtube.com/embed/2Nbe8wkpjIM?…

hackaday.com/2024/11/11/thermo…

Sometimes, it’s nice to know how windy it is outside. Knowing the direction of the wind can be a plus, too. To that end, [Sebastian Sokołowski] built himself an unusual anemometer—a wind gauge—to feed into his smart home system.

[Sebastian’s] build is able to tell both wind speed and direction—and with no moving parts! Sort of, anyway. That makes the design altogether different from the usual cup type anemometers with wind vanes that you might be used to seeing on home weather stations. [Sebastian] wanted to go a different route—he wanted a sensor that wouldn’t be so subject to physical wear over time.

The build relies on strain gauges. Basically, [Sebastian] 3D printed a sail-like structure that will flex under the influence of the wind. With multiple strain gauges mounted on the structure, it’s possible to determine the strength of the wind making it flex and in what direction. [Sebastian] explains how this is achieved, particularly involving the way the device compensates for typical expansion and contraction due to temperature changes.

It’s a really unique way to measure wind speed and direction; we’d love to learn more about how it performs in terms of precision, accuracy, and longevity—particularly with regards to regular mechanical and ultrasonic designs. We’ll be keeping a close eye on [Sebastian’s] work going forward. Video after the break.

youtube.com/embed/VRTdikyyJBE?…

hackaday.com/2024/11/11/making…

L’informatica forense oggi non è solo un’arma per combattere il crimine ma una disciplina scientifica che oggi “non si limita più all’analisi reattiva post-incidente ma si è evoluta verso un approccio proattivo, mirato alla prevenzione e all’intelligence sulle minacce”. Nello specifico la Mobile Forensics, comunemente utilizzata per recuperare prove in relazione a un’indagine criminale, e strumento importante per le forze dell’ordine, si applica oggi a qualsiasi tipologia di reato, grazie anche al fatto che le tecnologie digitali occupano un ruolo sempre più importante nelle nostre vite. Le investigazioni della Mobile Forensics variano dai reati tradizionali “nei quali l’aspetto informatico è una prosecuzione del reato stesso” a “truffe, cyberstalking, sextortion, ma anche omicidi, traffico di droga, furti e violenza sessuale”. Tuttavia gli investigatori non si limitano ad estrarre e analizzare i dati, ma molti di loro sono costantemente impegnati ad individuare nuove vulnerabilità – stimolo per i produttori a rafforzare la sicurezza – e a sviluppare soluzioni efficaci per acquisire i dati. Tra loro Luca Cadonici, che per le sue investigazioni ha sviluppato soluzioni specifiche per rispondere ad esigenze particolari.

Dal suo lavoro è nato, tra le altre cose, uno script Python presentato al SANS DFIR Summit & Training 2023, progettato per recuperare informazioni su chat cancellate da WhatsApp su dispositivi iOS.

Noi lo abbiamo intervistato e tra le tante domande abbiamo analizzato lo stato della Digital e Mobile Forensics, tra crittografia, casi studio, mobile forensics avanzata, abbiamo parlato di criptofonini, dei casi Encrochat e Cellebrite, dell’estrazione di dati Mobile da Cloud, di intelligenza artificiale e automazione, che offrono “un supporto decisivo nei casi che richiedono la gestione di enormi quantità di dati, come nelle indagini su larga scala che coinvolgono aziende o multinazionali”. Infine abbiamo chiesto a Luca come mettere in sicurezza i nostri smartphone e ci ha dato ottimi consigli.

Luca Cadonici, Membro ONIF – Osservatorio Nazionale per l’Informatica Forense, è un Consulente Informatico Forense con oltre dieci anni di esperienza in supporto alle Forze dell’Ordine e all’Autorità Giudiziaria italiana a cui affianca un’intensa attività di formazione in Italia e all’estero. Docente di Mobile Forensics presso l’Università di Perugia e l’ISF Corporate College in Italia, ricopre il ruolo di Programme Leader del Master in Cyber Security, Digital Forensics e Crime Analysis presso l’European Forensic Institute (Malta).

Nel 2024, è Senior Non-Key Expert internazionale per la raccolta e gestione delle prove digitali presso lo Special Investigation Service (SIS) a Tbilisi, nell’ambito del progetto dell’Unione Europea “Support to External Security Sector Oversight in Georgia.” Collabora con il magazine L’Europeista, dove si occupa di Cyber Security e normativa di settore.

Luca Cadonici: l’evoluzione della Mobile Forensics tra sfide e strategie investigative sempre più avanzate

Luca Cadonici

1 – O: Ciao Luca e grazie per il tempo che vorrai dedicare a questa intervista. Innanzitutto vorrei che tu raccontassi quale è il ruolo di un informatico forense e l’importanza di questa figura nella lotta al crimine e soprattutto perché debba poggiare su solidi metodi scientifici.

LUCA: Ciao Olivia, grazie a te per l’invito e per l’opportunità di parlare di un tema che mi sta molto a cuore. È davvero un piacere!

Il Codice di Procedura Penale italiano consente già da tempo la possibilità di nominare ausiliari esperti nei vari campi del sapere per soddisfare le esigenze della giustizia, ben prima che l’informatica assumesse il ruolo centrale che ha oggi. Negli ultimi anni, abbiamo assistito sia a un incremento del crimine informatico, mano a mano che il business si trasferiva dal fisico al virtuale, sia a un aumento nell’uso dei mezzi digitali, al punto che ormai ogni individuo ha diversi dispositivi associati, non solo un computer, ma anche uno smartphone o più dispositivi mobili.

Questa diffusione pervasiva ha generato una maggiore domanda di consulenti esperti che, nel rispetto delle normative, siano in grado di acquisire e preservare le prove digitali. Qui si inserisce la figura del Consulente Informatico Forense, ovvero un esperto che opera secondo le disposizioni del Codice di Procedura Penale e che assiste la Polizia e l’Autorità Giudiziaria, soprattutto nella delicata fase delle indagini preliminari.

L’importanza di questa figura è in continua crescita, così come le competenze richieste, motivo per cui oggi assistiamo a una specializzazione sempre più raffinata, con suddivisioni interne come Digital Forensics, Multimedia Forensics, Network Forensics, Computer Forensics e Mobile Forensics. Quest’ultima disciplina, in particolare, è una delle più richieste in ambito giudiziario in Italia, dato il ruolo privilegiato dello smartphone nella vita personale e comunicativa di ogni individuo.

Parallelamente, anche la criminalità organizzata si è evoluta, spesso a una velocità maggiore rispetto allo Stato, iniziando, ad esempio, a utilizzare VoIP per le comunicazioni meno intercettabili mentre si discuteva ancora di eliminare il fax. Negli ultimi anni, per fortuna, si è cercato di colmare questo divario, investendo nella formazione e nell’equipaggiamento tecnologico delle Forze dell’Ordine, ma il lavoro è ancora in corso.

Un libro che descrive molto bene questa dicotomia è Il grifone del Procuratore Antimafia Nicola Gratteri e di Nicola Nicaso. Il grifone, figura mitologica con la doppia natura di animale antico e maestoso, rappresenta bene la natura delle associazioni mafiose: antiche nei riti e moderne nella tecnologia. È una lettura che consiglio vivamente a chiunque sia interessato al tema.

2 – O: Ripetibilità e irripetibilità: ci può illustrare diversi scenari in cui è possibile raccogliere prove digitali da dispositivi mobili, mantenendo intatto il loro valore legale?

LUCA: Sulla ripetibilità e irripetibilità degli accertamenti sui dispositivi mobili – regolati rispettivamente dagli articoli 359 e 360 del Codice di Procedura Penale – si discute ancora molto in Italia. Osservo una carenza di linee guida univoche e definitive su questa questione, motivo per cui, a mio avviso, sarebbe auspicabile l’intervento di una commissione di giuristi supportati da tecnici per tracciare una linea chiara su cosa si intenda per irripetibilità nell’accesso ai dispositivi mobili. A differenza dei più tradizionali PC, infatti, questi dispositivi subiscono inevitabilmente delle modifiche, anche minime, durante l’analisi, dovute alla necessità di accenderli per procedere all’acquisizione forense.

Aspetti giuridici a parte, è importante considerare che i dispositivi mobili sono generalmente dotati di misure di sicurezza avanzate e risultano particolarmente sensibili a livello di protezione. Sono progettati con sistemi come la cifratura completa dei dati, l’isolamento delle applicazioni e controlli sulle app in esecuzione, includendo spesso meccanismi che limitano o impediscono l’accesso diretto ai dati, una caratteristica meno comune nei computer tradizionali.

Non sono progettati per essere acquisiti, anzi, attraverso cifratura e controlli sulle app in esecuzione, fanno di tutto per impedire agli strumenti forensi di ottenere privilegi di sistema e acquisire una copia dei dati. Il rischio di brick (blocco totale del dispositivo) o di malfunzionamenti è sempre presente e deve essere valutato con attenzione. È quindi essenziale adottare procedure e strumenti forensi che riducano al minimo tale rischio.

Detto ciò, va tenuto presente che, diversamente dai PC o dai supporti di memoria esterni, la quantità di dati acquisibili dai dispositivi mobili varia in funzione di numerosi fattori, tra cui la capacità di sblocco dello strumento di acquisizione, le patch di sicurezza presenti sul dispositivo, la versione del sistema operativo, la marca e il modello, oltre alla data di produzione del dispositivo.

3- O: Crittografia: da un lato si evidenzia come venga usata per diffondere materiale pedopornografico (CSAM), per le operazioni criminali, dall’altro invece come protegga le comunicazioni private, le operazioni finanziarie o la raccolta delle informazioni e la protezione delle fonti dei giornalisti. Per bypassare il problema in Europa si è pensato ad operazioni pre-crimine (‘upload-moderation’ o ‘scansione lato client’): tuttavia in una lettera aperta il CEO di Signal Meredith Whittaker, ha evidenziato come la scansione lato client sarebbe pericolosa e ha minacciato di ritirare la sua app dal Regno Unito se l’Online Safety Act avesse vietato la crittografia.

L’uso diffuso della crittografia su dispositivi mobili ha creato sfide significative per le indagini forensi: ci puoi parlare delle attuali sfide alla luce soprattutto della cifratura della messaggistica dei social network e dove si rende necessaria la disponibilità di questi dati per le forze dell’ordine?

LUCA: L’uso diffuso della crittografia su dispositivi mobili ha posto sfide significative alle indagini forensi, soprattutto con la crescente adozione della crittografia end-to-end nei servizi di messaggistica dei social network. Si tratta di una questione delicata, che richiede un equilibrio tra il diritto alla privacy individuale e la necessità di accesso ai dati per le forze dell’ordine a fini investigativi. Questo equilibrio dovrebbe essere affrontato a livello politico, con una collaborazione continua tra i fornitori di servizi, le forze dell’ordine e gli esperti forensi.

Nell’ultimo anno ci sono stati alcuni eventi emblematici in tal senso: alla fine del 2023, Meta ha reso obbligatoria la crittografia end-to-end per tutte le chat di Messenger, seguendo il modello di WhatsApp. Ad aprile 2024, Europol e i capi delle forze di polizia delle nazioni dell’Unione Europea hanno lanciato una “call-to-action” rivolta all’Unione Europea per sollecitare un intervento su queste problematiche. A ciò si è aggiunto il caso di Pavel Durov, CEO di Telegram, arrestato e poi costretto a cedere sui dati da fornire in caso di richiesta da parte delle Autorità Giudiziarie nazionali.

Ritengo che l’adozione della crittografia end-to-end continuerà a diffondersi, non solo per questioni di sicurezza, ma anche per sollevare i fornitori come Meta dall’onere di rispondere alle richieste di accesso alle comunicazioni da parte delle autorità giudiziarie di tutto il mondo. A Durov è infatti stato contestato di non aver fornito alle autorità i dati dei gruppi e dei canali Telegram che, al pari delle chat ordinarie (cloud chat) del dispositivo, utilizzano il protocollo di cifratura MTProto (non end-to-end e sviluppato appositamente da Telegram) mentre la cifrature end-to-end è supportata solo per le “chat segrete.”

Due questioni principali emergono: la crittografia delle memorie fisiche dei dispositivi e la crittografia end-to-end delle comunicazioni. Il primo tema è stato oggetto di discussione accesa nel caso Apple vs FBI dopo la strage di San Bernardino, quando Apple rifiutò di sbloccare un iPhone 5c e di inserire una backdoor nei suoi dispositivi. Il secondo riguarda la crittografia end-to-end, che impedisce, ufficialmente, ai fornitori di accedere ai contenuti poiché non possiedono le chiavi private, che risiedono esclusivamente sui dispositivi stessi.

Questa sfida, complessa e articolata, per chi opera nel campo della Digital Forensics deve essere vista come uno stimolo verso un continuo miglioramento. Misure di sicurezza avanzate non proteggono solo i criminali, ma sono essenziali per tutelare i cittadini da attività criminali, difendendo i dati personali da possibili abusi.

C’è poi una questione politica importante: viviamo in una parte del mondo democratica e siamo fortunati. In altri contesti, la crittografia delle comunicazioni e dei dispositivi, così come l’uso delle VPN, rappresenta uno strumento essenziale di protezione per chi non gode delle nostre stesse libertà. È fondamentale, quindi, che queste misure di sicurezza siano garantite.

4 – O: Sempre social network: una ricerca ha evidenziato come una notevole quantità di dati proveniente da app di social network (tra cui Instagram) è stata estratta con successo dalla memoria interna dello smartphone esaminato nel rispetto degli standard NIST con strumenti come Magnet AXIOM, XRY e Autopsy. Estrarre ed identificare informazioni utili può essere però complesso per identificare informazioni rilevanti e concentrarsi su ciò che conta davvero.

Puoi spiegare quali sono gli elementi rilevanti ai fini di un’indagine?

LUCA: Dipende molto dal tipo di indagine. Le analisi su PC o server sono spesso orientate a crimini informatici veri e propri, come esfiltrazione di dati, ransomware, o compromissione dei sistemi. In questi casi, la conoscenza approfondita dei meccanismi del sistema operativo, come ShellBags, il Registro di Windows, le proprietà del file system NTFS, e gli equivalenti per altri sistemi come Linux e macOS, è fondamentale.

Nel caso dei dispositivi mobili, invece, le indagini riguardano perlopiù reati tradizionali, nei quali il dispositivo può aver avuto un ruolo o contenere tracce utili. Le conversazioni su app di messaggistica, come WhatsApp, e i file multimediali, in particolare quelli presenti nella galleria del dispositivo, sono tra i dati più richiesti. Per reati legati, ad esempio, al traffico di droga, spesso le applicazioni di messaggistica ritenute “più sicure,” come Signal, Session, WickrMe o Telegram, rivestono un ruolo centrale.

Ci sono, tuttavia, casi particolari in cui è necessario stabilire l’utilizzo del dispositivo in un momento preciso, come in indagini per omicidio, suicidio, morte per overdose o omicidio stradale. In altri casi, potrebbe essere fondamentale verificare l’attivazione della fotocamera in un determinato momento, è indispensabile un’analisi approfondita e dettagliata, che comporta l’interrogazione manuale di file di log e database interni, utilizzando termini di ricerca specifici e query mirate.

5 – O: In un’indagine quale scenario occupano immagini, video e registrazioni vocali, quali relazioni si possono ottenere ai fini di un’indagine – ovvero la collezione di prove da un network di individui – e come viene determinata la loro autenticità e integrità in ambito forense?

LUCA: La determinazione dell’autenticità e dell’integrità di immagini, video e registrazioni vocali è una delle sfide più delicate in ambito forense. L’autenticità dipende in primo luogo dalle modalità con cui i dati sono acquisiti. È fondamentale che l’acquisizione venga eseguita da uno specialista in forense digitale, utilizzando strumenti e procedure che garantiscano la raccolta dei dati in modo immodificato, senza alterazioni o contaminazioni. La validazione dell’integrità dei dati acquisiti si effettua tramite il calcolo di valori di hash (come MD5, SHA1, SHA256), che permettono di “cristallizzare” i dati nella loro forma originale e di confrontarli in seguito per verificarne eventuali modifiche.

Tuttavia, con l’emergere di tecnologie come i Deep Fake, che permettono la manipolazione di immagini, video e audio in modo estremamente convincente, l’autenticità di questi materiali è diventata ancora più difficile da garantire. La comunità forense e quella degli sviluppatori stanno lavorando per sviluppare soluzioni in grado di rilevare e verificare la genuinità di foto, video e registrazioni, identificando eventuali manipolazioni. Nonostante queste difficoltà, l’acquisizione forense di un dispositivo, che include anche i metadati associati, fornisce un contesto che aiuta a stabilire la veridicità del dato e a correlare i contenuti con il momento e il luogo in cui sono stati creati, dando così un contributo importante per fare chiarezza in fase investigativa.

6 – O: A quali casi – e settori – si applica la mobile forensics e se vuoi ci potresti raccontare un caso studio che ti ha portato alla scoperta di altri metodi da applicare nelle tue indagini?

LUCA: La Mobile Forensics si applica trasversalmente a qualsiasi tipologia di reato, poiché oggi qualsiasi settore criminale può includere l’uso di dispositivi mobili. Tuttavia, nella maggior parte dei casi, si tratta di reati “tradizionali,” nei quali l’aspetto informatico è una prosecuzione del reato stesso: truffe, cyberstalking, sextortion, ma anche omicidi, traffico di droga, furti e violenza sessuale.

In alcune indagini, ho sviluppato soluzioni specifiche per rispondere a esigenze particolari. Ad esempio, in un caso di presunta violenza sessuale, si doveva dimostrare che un video era stato registrato con la fotocamera a un orario specifico della notte e poi cancellato. Ho creato una query SQLite personalizzata per analizzare un database specifico di iOS che evidenziava l’attivazione della fotocamera nel periodo di interesse, fornendo una prova concreta della possibile creazione di un video nel periodo di interesse.

In un altro caso legato al traffico di droga, ho esplorato i database iOS e scoperto dove iCloud registra tracce di messaggi WhatsApp contenenti file multimediali destinati alla cancellazione. Da questa scoperta è nato uno script Python che ho poi presentato al SANS DFIR Summit & Training 2023, progettato per recuperare informazioni su chat cancellate da WhatsApp su dispositivi iOS.

7 – O: Torniamo alla crittografia e nello specifico al caso Encrochat, società che forniva telefoni cellulari modificati e criptati che venivano spesso utilizzati dai criminali e ritenuti inattaccabili: tuttavia o una talpa o la polizia francese che sarebbe stata in grado di installare un software Trojan sui dispositivi terminali tramite un aggiornamento simulato e hanno reso possibile leggere i messaggi di chat di migliaia di utenti in tempo reale. In alcuni casi questi criptofonini – protetti dagli attacchi Man In The Middle – avrebbero come caratteristica essenziale una funzione wiping e un’infrastruttura server collocata in paesi “offshore”, come ad esempio la Costarica.

I criptofonini possono essere “violati”? E quali informazioni utili si riescono ad ottenere nel caso?

LUCA: I criptofonini possono essere violati solo con estrema difficoltà, e solitamente non nei tempi utili per le indagini, a meno che non si riesca ad ottenere la password di accesso. Per esperienza personale, questi dispositivi, che possono essere basati su Android, iOS o sistemi più sicuri come GrapheneOS, sono piuttosto comuni nell’ambito dei corrieri della droga. GrapheneOS, in particolare, è un sistema operativo open-source basato su Android, progettato specificamente per garantire elevati livelli di sicurezza e privacy. Offre funzioni avanzate di protezione e controllo, che rendono il dispositivo estremamente resistente a tentativi di accesso non autorizzati.

È sempre più comune trovare tra i corrieri, ovvero persone che non sono criminali professionisti ma vengono pagate per trasportare droga, un doppio set di smartphone: quello personale e un secondo dispositivo con misure di sicurezza avanzate, detto criptofonino, che può avere sia protezioni software che hardware.

Questi dispositivi sono particolarmente difficili da sbloccare, anche con l’uso degli strumenti più avanzati disponibili. Se, tuttavia, si riesce ad ottenere la password, è fondamentale mettere subito il dispositivo in modalità offline, isolandolo dalle connessioni cellulare e Internet, e filmare il più rapidamente possibile i contenuti. Questa procedura è indispensabile, poiché spesso ci si trova di fronte a dispositivi modificati per cancellare automaticamente i dati in caso di tentativi di connessione USB non autorizzati o dopo un determinato intervallo di tempo. Lo stesso vale per i messaggi contenuti, che, a seconda dell’applicazione utilizzata, possono essere programmati per l’eliminazione automatica dopo un periodo prestabilito.

8 – O: Mobile e Cloud: quali sono le opportunità di estrarre informazioni utili, di tracciare gli eventi – e la loro cronologia – e preservare quindi le prove contro i crimini attraverso cloud? Ci sono difficoltà a rintracciare dove si trovano fisicamente i dati utili e quale è l’impatto sul carico di lavoro?

LUCA: Considero il cloud un’estensione naturale della Mobile Forensics, poiché il cloud – in particolare per iOS – rappresenta un ecosistema in cui il dispositivo mobile è strettamente integrato insieme agli account e ai dati associati. Quando il dispositivo è sbloccato, è relativamente semplice ottenere i dati cloud correlati, utilizzando le giuste soluzioni software.

La collaborazione dei vari provider, tuttavia, varia notevolmente. Dipende sia dalle politiche del provider – con esempi come Telegram, che fino al 2024 ha mantenuto una linea di rigida riservatezza – sia dal tipo di cifratura implementato. Se viene utilizzata la crittografia end-to-end, il provider non è tecnicamente in grado di fornire i dati, poiché, almeno ufficialmente, non dispone delle chiavi di decrittazione.

Ogni fornitore di servizi dispone comunque di un portale dedicato a cui le forze dell’ordine possono accedere per richiedere informazioni, insieme a una lista di dati “comunicabili” che variano a seconda del provider. Un aspetto interessante è la possibilità, introdotta dal GDPR, di richiedere un backup dei propri dati personali, che può essere utilizzato in ambito forense senza dover accedere al portale delle forze dell’ordine. Un esempio è Google Takeout, che consente di ottenere informazioni sulle connessioni o sulla propria geolocalizzazione in un dato momento.

L’accesso al cloud offre quindi l’opportunità di estrarre informazioni utili e ricostruire cronologie di eventi con maggiore precisione, ma presenta anche delle difficoltà. La localizzazione fisica dei dati non è sempre chiara, poiché i server possono essere distribuiti in diverse giurisdizioni, il che complica i tempi e le modalità di accesso. Inoltre, il processo può aumentare significativamente il carico di lavoro, richiedendo verifiche incrociate e analisi approfondite per garantire che i dati raccolti siano utilizzabili e validi ai fini dell’indagine.

9 – O: Il leak Cellebrite (2023) e del suo concorrente svedese MSAB, sembra abbia evidenziato che l’accesso a diversi tipi di smartphone bloccati – nello specifico alcuni modelli di iPhone sul mercato dall’aprile del 2024 – fosse ancora ‘In Research”. Tuttavia l’accesso alle informazioni di qualsiasi dispositivo è solo questione di tempo, perché se i criminali sfruttano l’ubiquità dei dispositivi mobile, dall’altra gli investigatori forensi ricercano, identificano e sviluppano nuove opportunità per tecnologie sempre più efficienti.

Quali sono le possibilità di acquisizione di dati dai dispositivi bloccati e come lavora la Mobile Forensics in materia di ricerca e sviluppo?

LUCA: Le possibilità di acquisire dati da dispositivi bloccati dipendono da numerosi fattori, come la marca, il modello, le patch di sicurezza, la versione del sistema operativo e i componenti hardware. In particolare, per Android, il tipo di chipset può influenzare drasticamente le opzioni di sblocco, poiché diversi chip richiedono approcci specifici.

Le aziende che operano nella Mobile Forensics, non solo quelle da citate ma anche Compelson per restare in Europa, si avvalgono di robusti team di ricerca e sviluppo formati da esperti e sviluppatori. Questi team sono costantemente impegnati a individuare nuove vulnerabilità nei dispositivi mobili e a sviluppare soluzioni efficaci per l’acquisizione dei dati. Questa continua ricerca di soluzioni per lo sblocco, da un lato, apre nuove possibilità di acquisizione in ambito forense e, dall’altro, rappresenta uno stimolo per i produttori a rafforzare continuamente le misure di sicurezza. In questo modo, l’evoluzione della Mobile Forensics contribuisce anche a migliorare complessivamente il livello di protezione dei dispositivi mobili, elevando gli standard di sicurezza a vantaggio di tutti gli utenti.

10 – O: Mobile Forensics avanzata: per affrontare le varie sfide in campo – tecniche, legali e etiche – sono necessarie sempre più capacità e risorse tecniche avanzate, per rilevare, decodificare, decifrare e interpretare correttamente le prove recuperate dai dispositivi mobili.

Puoi raccontarci da tecnico lo stato attuale della mobile forensics, quali sono le sfide più complesse e significative, le tecniche avanzate per affrontarle e puoi anticipare anche qualcosa sul futuro e le direzioni fondamentali della ricerca?

LUCA: Le problematiche principali riguardano tre aree chiave: la possibilità di sbloccare i dispositivi, l’acquisizione completa dei contenuti (cosiddetta acquisizione fisica o Full File System), e la capacità di analizzare il numero crescente di applicazioni. La qualità della reportistica è un’altra area di grande interesse, poiché rappresenta il modo in cui i dati raccolti vengono interpretati e presentati per essere utilizzati in ambito investigativo.

L’introduzione dell’Intelligenza Artificiale è una delle direzioni più interessanti. Nell’ambito della Mobile Forensics, l’IA è già utilizzata per l’analisi e il riconoscimento automatico di foto e video associati a contenuti CSAM, armi e violenza. Recentemente, è stato introdotto anche il riconoscimento vocale per la trascrizione di file audio, una funzione che consente di risparmiare tempo prezioso e di rendere le indagini più efficienti.

Inoltre, si prevede che gli sviluppatori si concentreranno sempre più sulle possibilità di acquisizione da cloud, che rappresenta ormai un’estensione fondamentale della Mobile Forensics, e sui dispositivi meno comuni rispetto ai classici smartphone e tablet, come gli smartwatch. Gli smartwatch, in particolare, stanno già dimostrando la loro utilità, poiché permettono di acquisire parametri vitali e di ricostruire dettagli essenziali, come l’ora del decesso o segni di un malessere improvviso. Con il diffondersi di dispositivi connessi, dai dispositivi IoT agli indossabili, questa tendenza continuerà a crescere, espandendo le aree di analisi forense digitale.

11 – O: Gli strumenti di intelligenza artificiale che analizzano enormi set di dati e l’automazione possono aiutare gli analisti forensi ad accelerare le indagini e migliorare la qualità dei dati prodotti?

LUCA: Assolutamente sì. L’uso dell’intelligenza artificiale e dell’automazione offre un supporto decisivo agli analisti forensi, soprattutto nei casi che richiedono la gestione di enormi quantità di dati, come nelle indagini su larga scala che coinvolgono aziende o multinazionali.

Nella Mobile Forensics, l’IA è da anni impiegata per il riconoscimento di elementi specifici all’interno di file multimediali. Tra le sue applicazioni principali troviamo il riconoscimento facciale, che consente di filtrare rapidamente grandi quantità di immagini per identificare soggetti con caratteristiche specifiche (come sesso, presenza di occhiali, etnia, e altre caratteristiche distintive). Questa tecnologia facilita enormemente l’analisi, permettendo agli investigatori di focalizzarsi sugli elementi più rilevanti per l’indagine e riducendo il tempo necessario per esaminare manualmente il materiale visivo.

12 – O: La disciplina della scienza forense digitale è diventata più dinamica diventando predittiva, ovvero passando dall’analisi reattiva post-incidente alla prevenzione proattiva dei crimini e all’intelligence strategica sulle minacce. Come commenti questa dichiarazione?

LUCA: Qui si sconfina un po’ dalla Mobile e si entra nella Cyber Threat Intelligence. La dichiarazione è assolutamente corretta e riflette una tendenza fondamentale nella scienza forense digitale, che non si limita più all’analisi reattiva post-incidente ma si è evoluta verso un approccio proattivo, mirato alla prevenzione e all’intelligence sulle minacce. Questo cambiamento rappresenta una naturale evoluzione della disciplina, soprattutto in relazione alla Cyber Threat Intelligence, che è una delle aree più avanzate e dinamiche nella sicurezza informatica.

13 – O: Te lo devo chiedere: come hai sviluppato interesse per l’informatica forense, quando è nato esattamente e per quale motivo e quanti dispositivi hai aperto e studiato per migliorare le tue capacità?

LUCA: Mi è sempre piaciuta l’idea di mettere le mie competenze e qualità al servizio della comunità, in particolare a supporto delle forze dell’ordine. Dopo l’università, ho seguito un corso europeo in sicurezza delle reti, e da lì è iniziato il mio percorso in questo settore.

14 – O: Che cosa significa per te la parola hacker?

LUCA: “Pioniere” nel suo significato originario. Dal mondo hacker è nato tutto quello che oggi definiamo Sicurezza Informatica. Anche se i primi hacker che ho conosciuto sono, per chi se li ricorda, quelli del mitico X-Files.

15 – O: Quanto è importante per comprendere tendenze e minacce emergenti nello spazio mobile, aver conoscenza delle parti hardware e software dei dispositivi?

LUCA: Nella Mobile Forensics, l’aggiornamento costante è essenziale: basta un aggiornamento del sistema operativo, una modifica a un’app, l’introduzione di una patch di sicurezza o un aggiornamento dei software di acquisizione per modificare radicalmente le possibilità di acquisizione e analisi. Per questo è fondamentale rimanere informati tramite un proprio network di colleghi, seguendo blog specializzati, LinkedIn, newsletter e partecipando a webinar dei produttori.

16 – O: Una domanda che si fanno tutti – ma proprio anche i tecnici più esperti – è:” il mio cellulare è spiato o hackerato?” Pui dare alcune risposte per aiutare ad indentificare il problema o consigli per proteggere i dati sui dispositivi?

LUCA: Il problema esiste, ma nella mia esperienza personale, nella maggior parte dei casi si tratta di suggestione. A meno che non si sia un target di alto profilo (come un politico o un dirigente aziendale), è molto raro che qualcuno sia disposto a investire in un software di spionaggio remoto, data la complessità e il costo di tali operazioni. È più probabile, invece, che un convivente o qualcuno con accesso fisico al dispositivo possa disattivare le opzioni di sicurezza e installare app spia sul telefono.

In caso di sospetti, è consigliabile confrontarsi con un esperto, il quale potrebbe suggerire un’analisi approfondita del dispositivo. Tuttavia, questa procedura può essere costosa e talvolta più dispendiosa del valore del telefono stesso; in questi casi, potrebbe convenire semplicemente formattare il dispositivo. Un’altra considerazione importante è distinguere tra il rischio di spionaggio attraverso il dispositivo stesso, che è in genere ben protetto, e quello tramite i propri account. Gli account come iCloud, Google o Facebook possono fornire molte informazioni a un attaccante se compromessi. Anche l’analisi dei social media (commenti, post, foto e storie) può rivelare molti più dettagli sensibili di quanto si possa normalmente immaginare. Attraverso queste informazioni, un potenziale attaccante può tracciare abitudini, contatti, luoghi frequentati e persino momenti privati, creando un profilo dettagliato della persona.

I consigli pratici per proteggere i propri dati sono essenzialmente comuni a tutta la sicurezza informatica e includono:

• Usare un gestore di password per generare e memorizzare password uniche e complesse per ogni account.
• Attivare, ove possibile, l’autenticazione a due fattori (2FA) per aggiungere un ulteriore livello di sicurezza.
• Evitare il segno di sblocco sullo smartphone e preferire PIN complessi o password, prestando attenzione al shoulder surfing, ovvero il rischio che qualcuno possa osservare le credenziali di sblocco.
• Evitare di scrivere le password su supporti non sicuri e mantenerle lontane da luoghi facilmente accessibili.
• Controllare regolarmente le impostazioni di privacy sui social media e limitare le informazioni personali visibili pubblicamente.
• Aggiornare costantemente software e applicazioni per beneficiare delle ultime patch di sicurezza e correzioni di vulnerabilità.

Adottare queste pratiche riduce il rischio di accessi non autorizzati e protegge efficacemente i propri dati sia su dispositivi mobili che su account online.

L'articolo Intervista a Luca Cadonici: l’informatica forense verso un approccio proattivo contro la criminalità informatica proviene da il blog della sicurezza informatica.

Today, if you want to get a picture from your oscilloscope — maybe to send to a collaborator or to stick in a document or blog post — it is super easy. You can push an image to a USB stick or sometimes even just use the scope’s PC or web interface to save the picture directly to your computer. Of course, if it is on the computer, you could use normal screen capture software. But that hasn’t always been the case. Back in the days when scopes were heavy and expensive, if you wanted to capture an image from the tube, you took a picture. While you might be able to hold up your camera to the screen, they made specific cameras just for this purpose.

Of course, these cameras took film. For example, the Contax GCCM in the video below was made for 35mm film. It wasn’t just for documentation, either. You didn’t have storage scopes, so if you wanted to make precise measurements of something that didn’t recur often enough to give you a stable trace, one way to measure it was to grab a photo.

youtube.com/embed/FLXtALvByeE?…

Shake It

The problem with that is that you have to develop the roll of film before you get your results. That’s why most of us used Polaroid scope cameras like the Tektronix ones you can see in this vintage Tektronix brochure on the Vintagetek website.

A typical camera was made to fit around your scope’s CRT and had a “hood.” It locked onto the screen and ended in a standard camera. Often, there was an eyepiece or some other arrangement that let you see the screen. Some of them swung clear when you weren’t using them and some you simply had to pull off the scope’s screen. There were also adapters for normal cameras like the one in the video below.

youtube.com/embed/RrFQAfAwKfg?…

While you could get backs that took ordinary film, most people used Polaroid backs that took a single piece of Polaroid film — at least, once Polaroid film existed. Once you took the shot, you had to use a smelly squeegee that came with the film to fix the image. Microscope cameras often used this same sort of film.

Lots of Vendors

Of course, Tektronix didn’t have the market cornered. You usually had a camera that matched your scope, like the HP camera in the video below. If you were really decked out, you also had a cart that you could wheel your heavy scope around to where you wanted to use it.

youtube.com/embed/e22KAE9bVew?…

No one uses these today, right? Um, maybe that’s not accurate. If you think CRT oscilloscopes are retro, you haven’t seen these. When we took a lot of scope pictures, we were always glad for that Polaroid film.

hackaday.com/2024/11/11/retrog…

Le vulnerabilità senza patch nel sistema di infotainment dei veicoli Mazda consentono agli aggressori di eseguire codice arbitrario con diritti di root, hanno riferito gli esperti della Trend Micro Zero Day Initiative (ZDI) .

Alcuni bug ti consentono di ottenere un accesso illimitato ai sistemi dell’auto, il che potrebbe potenzialmente comprometterne il funzionamento e la sicurezza. I ricercatori hanno scoperto delle vulnerabilità nella Mazda Connectivity Master Unit prodotta da Visteon, che è dotata di software sviluppato da Johnson Controls. Nella loro ricerca, gli esperti hanno studiato l’ultima versione del firmware (74.00.324A).

Sebbene la versione 74.00.324A non contenga ufficialmente vulnerabilità, esiste un’ampia comunità di modder che migliorano la funzionalità del sistema in vari modi. E molte di queste modifiche si basano sullo sfruttamento delle vulnerabilità.

I bug scoperti da ZDI vanno dalle iniezioni SQL e iniezioni di comandi al codice non firmato:

• CVE-2024-8355 – L’iniezione SQL in DeviceManager consente la manipolazione del database, la creazione arbitraria di file e l’esecuzione di codice inserendo input dannosi quando viene collegato un dispositivo Apple contraffatto;
• CVE-2024-8359 L’inserimento di comandi in REFLASH_DDU_FindFile consente l’esecuzione di comandi arbitrari nel sistema di infotainment inserendo comandi nei percorsi dei file di input;
• CVE-2024-8360 – L’inserimento di comandi in REFLASH_DDU_ExtractFile consente inoltre l’esecuzione di comandi arbitrari tramite percorsi di file;
• CVE-2024-8358 – Un’altra iniezione di comando, questa volta in UPDATES_ExtractFile, consente l’esecuzione del comando mediante inserimento nei percorsi di file utilizzati nel processo di aggiornamento;
• CVE-2024-8357 – La mancanza di root-of-trust nel SoC dell’app e di controlli di sicurezza durante il processo di avvio consente agli aggressori di mantenere il controllo del sistema di infotainment dopo l’attacco iniziale.
• CVE-2024-8356 – Il codice non firmato nell’MCU VIP consente di caricare firmware di terze parti e assumere il controllo di vari sottosistemi del veicolo.

È noto che i bug colpiscono le auto Mazda 3 prodotte dal 2014 al 2021, così come altri modelli del produttore. Come notato da Dmitry Yanushkevich, ricercatore senior sulle vulnerabilità presso ZDI, lo sfruttamento dei problemi elencati richiede l’accesso fisico al sistema di infotainment del veicolo. Pertanto, un utente malintenzionato può connettersi a un’auto utilizzando uno speciale dispositivo USB ed eseguire un attacco in pochi minuti.

Il ricercatore scrive che spesso non è così difficile ottenere l’accesso fisico non autorizzato a un’auto: ciò può accadere in un parcheggio, durante il servizio in una stazione di servizio o in una concessionaria. Di conseguenza, l’hacking del sistema di infotainment di un’auto utilizzando i bug elencati può portare alla manipolazione del database, alla divulgazione di informazioni, alla creazione di file arbitrari, all’inserimento di comandi arbitrari, alla completa compromissione del sistema, al radicamento di un utente malintenzionato nel sistema ed all’esecuzione di codice arbitrario prima di caricare il sistema operativo.

Si sottolinea separatamente che lo sfruttamento di CVE-2024-8356 consente l’installazione di una versione dannosa del firmware, che fornisce a un potenziale utente malintenzionato l’accesso diretto ai bus CAN e aiuta ad accedere alle unità di controllo del motore, dei freni, della trasmissione, e così via.

“In generale, ciò consente a un utente malintenzionato di passare da un’applicazione SoC compromessa che esegue Linux a un MCU VIP installando una versione appositamente preparata del firmware e successivamente ottenendo l’accesso diretto ai bus CAN collegati”, spiega ZDI. I ricercatori scrivono inoltre che un attacco mirato può portare alla compromissione dei dispositivi collegati, alla negazione del servizio, al fallimento completo e persino all’estorsione.

Attualmente, nessuna delle vulnerabilità è stata risolta e i rappresentanti Mazda non hanno ancora commentato la pubblicazione degli specialisti ZDI.

L'articolo Gli Hacker possono prendere il controllo delle Mazda: ecco come! proviene da il blog della sicurezza informatica.