Salta al contenuto principale


A Brief History of Cyrix, or How to Get Sued By Intel a Lot


24678789

In a new installment on computer history, [Bradford Morgan White] takes us through the sordid history of Cyrix, as this plucky little company created the best math co-processors (FasMath) and then a range of interesting x86-compatible CPUs that would give competing x86 CPUs a run for their money. Even though Cyrix played by the rules of licensing agreements, Intel would keep suing Cyrix repeatedly since the 1980s well into 1990s, for a total of seventeen times until Cyrix counter-sued for patent violations in May of 1997.

This case was settled between Cyrix and Intel, with a cross-licensing agreement established. Unfortunately these mounting legal costs and the stresses of keeping up with the competition (i.e. Intel) was proving too much and Cyrix was sold off to National Semiconductor, who wasn’t enthusiastic about competing with Intel. After this Cyrix got split up into Geode (sold to AMD) and Cyrix Technologies (sold to VIA). Interestingly, VIA’s x86 patent licenses and patents ended up being the foundation of Zhaoxin: a joint venture between VIA and Shanghai’s government which produces x86 CPUs for primarily the Chinese market.

We looked at the Cyrix Cx486DLC processor a while ago, and why their 386 upgrade options were perhaps not that great. Their later CPUs have however left a strong legacy that seems to endure in some way to this day.


hackaday.com/2024/11/12/a-brie…

Gazzetta del Cadavere reshared this.



AI Chatbot Added to Mushroom Foraging Facebook Group Immediately Gives Tips for Cooking Dangerous Mushroom#Meta #Facebook #AI


Retrotechtacular: Color TV


24671200

We have often wondered if people dreamed in black and white before the advent of photography. While color pictures eventually became the norm, black and white TV was common for many years. After all, a TV set was a big investment, so people didn’t run out and buy the latest TV every year. Even if you did buy a new or used TV, a black and white model was much less expensive and, for many years, some shows were in black and white anyway. RCA, of course, wanted you to buy a color set. [PeriscopeFilm] has a 1963 promotional film from RCA extolling the virtues of a color set. The video also shows something about how the sets were made, as you can see below.

We aren’t sure we’d have led with the idea that color could save your life in this context, but we have to salute the melodrama. There is a good bit of footage of picture tube manufacturing, although the technical detail is — understandably — aimed at the general public.

You do get a look at the shadow mask and piles of colored phosphor. The manufacturing process seems oddly manual, although there is some automation involved. If you ever wondered how each little dot of phosphor gets placed precisely, the film answers that question.

The spectrometers the operators use in the electron gun build lack computer interfaces, so they have many discrete controls. We wondered if a modern assembly line could have that open flame, too.

It is amazing to think how many of these tubes were built worldwide in, say, the 1970s. Our guess is there are very few CRTs made today, although surely someone somewhere is turning out a few for some reason. We wonder how today’s factory compares to the one in the film.

RCA was a pioneer in bringing color TV to the United States and the world. Who remembers degaussing a color TV?

youtube.com/embed/mDSxSSkPyXI?…

Featured image: “Tricolour television close up” by [Martin Howard].


hackaday.com/2024/11/12/retrot…

in reply to Cybersecurity & cyberwarfare

moreover, afaik there were little important differences between CRTs built for the northern emisphere and those for the southern emisphere (basically degaussing was inverse)


Simple bots, updates to Loops, and Flipboard takes over some automated RSS accounts.


Last Week in Fediverse – ep 92

Simple bots, updates to Loops, and Flipboard takes over some automated RSS accounts.

The News


The upcoming shutdown of the botsin.space server has lead to some renewed experimentation and development work around bots on the fediverse. Terence Eden has built a bot to be as simple as possible, needing only 2 files to run. This bot can be bridged to Bluesky as well.

Some more updates on Loops, with some crucial missing features now being added: tapping the Home button brings you to the top of the feed, a pull to refresh, and tabs for notification, search and explore. Loops is also taking a decidedly different approach from other fediverse platforms; while many fediverse platforms pride themselves on not having an algorithmic feed, developer Daniel Supernault is working on placing For You Page is becoming front-and-center for Loops. In turn this makes it difficult for new Loops servers to set up and compete, and Supernault is actively considering having the flagship loops.video server function as the centralised service for the For You algorithm.

Flipboard is taking over the accounts on the press.coop server. Press.coop was a fediverse server that mirrors the RSS feeds of news organisations, and republished them on an unofficial press.coop account. In the press release, press.coop owner Dick Hardt says that he noticed that now that Flipboard is part of the fediverse, these news organisations already have a more official presence on the fediverse via Flipboard. ActivityPub allows for an easy transfer here, if you followed a press.coop account you are now automatically following the corresponding Flipboard account instead.

The fediverse has tied up user names quite strictly to fediverse servers: your username handle contains the server name itself, following the convention of @username@serverdomain.tld. This means your account is tied up to the server and server domain, which does occasionally lead to issues with servers disappearing because the domain is not available anymore. This convention is not in fact mandated by ActivityPub, and the ‘WebFinger Split-Domain Canary‘ is a showcase that it is possible to have an account where the domain in the username is different from the server that the account is on. For developers interested in experimenting what is further possible in the fediverse this might be an interesting direction to look at.

Heise.de has consistently been sharing statistics on the sources of traffic to their news site, and for the last two weeks Mastodon has overtaken X in traffic, with Bluesky and Threads far behind.

The Links


That’s all for this week, thanks for reading!

#fediverse

fediversereport.com/last-week-…




Si espande la collaborazione sui carri armati. Per il gen. Serino è una buona notizia

@Notizie dall'Italia e dal mondo

L’annuncio della joint venture tra Leonardo e Rheinmetall inizia a dare i suoi primi frutti, fungendo da catalizzatore per altri esponenti dell’industria nazionale della Difesa. Iveco defence vehicles (Idv), divisione del Gruppo Iveco specializzata



Verso una nuova frontiera nella guerra spaziale? L’appello di Stone

@Notizie dall'Italia e dal mondo

“Come definito da Robert Leonhard nel suo libro ‘L’arte della manovra’, la ‘guerra di manovra’ è ‘il mezzo per sconfiggere… il nemico’. L’obiettivo è raggiungere la vittoria, non il mantenimento della competizione. Per ottenere questa vittoria è necessaria un’aggressività che,



You Wouldn’t Download a Chair…But You Could


24664992

[Morley Kert] had a problem. He’s a big fan of the lovely Fortune Chair from Heller Furniture. Only, he didn’t want to pay $1,175 for a real one. The solution? He printed his own instead!

The basic concept is simple. Capture or recreate the geometry of the fancy expensive designer chair, and then print it out on a 3D printer. That would be easy, except for scale. Chairs have to be both big enough to seat humans, and strong enough to carry their weight. For the average 3D printer owner, meeting the big requirement is difficult, since most printers are quite small compared to chairs.

[Morley] gets around this in the typical fashion—he prints the chair in multiple segments. Indeed, we’ve seen [Morley] tackle a similar project before, too. Only, last time, he had the benefit of a print farm and some easily-accessible geometry for the target object. This time, he’s working very much more from scratch, and chose to print everything at home. That made things quite a bit harder.

Scaling up is never as easy at it seems at first!

youtube.com/embed/hw6cy0iAFCc?…


hackaday.com/2024/11/12/you-wo…



SUDAN. ONU chiede un corridoio umanitario per la carestia causata dalla guerra


@Notizie dall'Italia e dal mondo
Il Consiglio di Sicurezza delle Nazioni Unite ha dato avvio al dibattito sulla proposta di risoluzione presentata dalla Gran Bretagna per fermare i combattimenti e portare soccorso alla popolazione stremata
L'articolo SUDAN. ONU chiede un corridoio



Il Gcap è fondamentale per l’Italia. Così Formentini commenta il via libera alla Camera

@Notizie dall'Italia e dal mondo

La Camera dei deputati ha approvato in via definitiva il disegno di legge per la ratifica e l’esecuzione della Convenzione sull’istituzione del GCAP (Global Combat Air Programme), firmata a Tokyo il 14 dicembre 2023. Con 215 voti favorevoli e 43 contrari (Movimento Cinque Stelle e



Dall’Ue 400 miliardi per finanziare la Difesa. Tutti i dettagli

@Notizie dall'Italia e dal mondo

L’Unione europea potrebbe realizzare il più grande investimento di sempre sulla Difesa, pari a quasi 400 miliardi di euro. Secondo un articolo del Financial Times, Brussels starebbe valutando di reindirizzare una parte consistente del bilancio comune, circa 392 miliardi di euro, verso il



Tra un mese devo fare un piccolo intervento che, per quanto veloce, richiederà l'anestesia totale.
Mi fa più paura questa che l'operazione in sé (è la prima volta). 🙄


Ubiquitous Successful Bus: Version 3


24656954

USB 2 is the USB we all know and love. But about ten years ago, USB got an upgrade: USB 3.0. And it’s a lot faster. It started off ten times the speed of USB 2, with 5 Gbps, and later got 20 Gbps and 40 Gbps revisions. How does that work, and how do you hack on it? Well, for a start, it’s very different from USB 2, and the hacking differs in many important ways.

In fact, USB 3 is an entirely separate interface from USB 2, and it does not depend on USB 2 in any way whatsoever – some people think that USB 3 negotiation happens through USB 2, but that’s a complete myth. USB 2 and USB 3 are electrically, physically, and logically distinct interfaces. Except for the fact that USB 3 is backwards compatible with USB 2, they are simply entirely different.

This also means that every USB-A port with USB 3 capabilities (typically blue, but not always) carries two interfaces; indeed, if you want, you can split a typical USB 3 port into a USB 3-only USB-A port and a USB 2-only USB-A port. USB 3-only ports are not legal per USB 3 standard, you’re expected to keep USB 2 there, but only for user convenience; you can split it with a hub and get, like, three extra USB 2 branches for your own use. Even if it’s forbidden, it works flawlessly – it’s what I’m currently using to connect my mouse to my laptop as I’m typing this!

Not to say that USB 3 is all easy to work with – there’s a fair bit of complexity.

For A More Civilized Age


USB 3 is fully differential, and full duplex. It’s still point-to-point, but unlike USB 2 with its pseudodifferential half-duplex transmitters, there are two differential pairs – one RX, one TX. It’s like UART: TX on one end connects to RX on the other end, RX connects to TX, so the two pairs have to be crossed over, typically, inside the cable – for instance, high-speed USB-C cables have the USB 3-intended pairs crossed-over by default! Oh, and you have to put series capacitors on each end, at each TX output.

24656956By [Unconventional2], CC BY-SA 4.0In this way, USB 3 physical layer is just like PCIe; in fact, it can be done using basically the same hardware inside the chip! The routing requirements are tougher than USB 2, so you really want to make sure the tracks are impedance-matched, and use a four-layer PCB instead of a two-layer one. Wondering about routing USB 3? Refer to my guide on routing PCIe, keeping the above restrictions in mind. Here’s a bonus – unlike USB 2, you can flip the pair polarity for ease of routing!

Device detection isn’t done with resistors – instead, the USB 3 peripheral produces regular pulses on the TX pair, known as LPFS mode, and the peripheral on the other end listens to the RX pair for these pulses. That’s also how polarity flips get compensated for.

There are no resistors to add, though if you want to connect different USB 3 devices on your board, you might need to take care of some common mode level matching every now and then, like niconico shows us in detail in the extensive readme for their wonderful PCB housing a USB 2 – USB 3 transaction translator.

Just like PCIe, you’re not expected to handle USB 3 yourself. Unlike USB 2, you can’t quite hand-wire it either – there are products of Eastern manufacture that do, and the failures are quite prominent. If you are shopping for USB 3 hubs and find one with a captive cable, be careful – it might be wired in a lax way, neglecting USB 3 requirements, and you won’t be able to fix it without buying a new hub. Better stick to USB 3 hubs equipped with microUSB3 and USB-C ports!

If you want your links to work guaranteed, don’t hand-wire them, rather, use impedance-matched traces on your PCB as much as possible, PCB track quality really matters here, and could easily limit your speed; even big companies might screw it up!

For instance, [WifiCable] has tinkered on a laptop with USB 3 ports limited to 5 Gbps mode by a chipset setting, and once the setting was unlocked, the ports would negotiate 10 Gbps mode, but had constant stability issues. I’ve also seen Dell route a USB 3 link over an FPC, only to get stability issues with certain kinds of hubs.

The Three Versions


You might have heard of the USB 3 naming shenanigans, with like fifteen different names and logos used to refer to different USB3 versions – like USB 3.0 USB 3.1, USB 3.1 Gen 2, USB 3.2, and so on. I am pleased to inform you there are only three versions – the dozen different names and logos are duplicates of each other, a marketing strategy that confused people more than it helped, nothing more. If you want to learn more about how it came, you can read here, but let’s be fair, you likely don’t need to know that.

24656958These are as big as they look, and haven’t really caught on. by [Anil Öztas], CC BY-SA 4.0 There are only three USB 3 versions as far as cold hard hacking is concerned – you can refer to them as 5 Gbps, 10 Gbps, and 20 Gbps. The 10G bps is just 5 Gbps but overclocked in a few different ways. The 20 Gbps version requires USB-C, and, to simplify it, is like two USB 3 links ganged together. You can’t just put two links together to get 20 Gbps mode, though – it does require a different USB 3 peripheral, and it doesn’t work like two USB3 links, even though it has backwards compatibility.

As for matters more physical, there’s four different connectors you will see USB 3 on – USB-A, USB-B, microUSB 3, and USB-C, each of them getting extra two pairs of pins, and, for the first three, an extra GND pin. This GND line helps provide a more stable ground reference, is perhaps not as much encumbered by the ground current, and with the GND pin placed between the two pairs, it helps prevent crosstalk. USB-A is used on hosts, USB-B and microUSB3 are mainstays on devices, and USB-C, in its universality, can be used everywhere.

24656960remember, microUSB3 is backwards compatible with microUSB cables! By [William.wl.li], CC BY-SA 4.0On some devices of Eastern manufacture, in the dark days before USB-C, you might have seen USB-A used as a device port, and the devices would come bundled with the forbidden USB A-to-A cable. MicroUSB3 has the reputation for being finicky, and USB-B 3 is quite bulky, to the point where not all devices could even afford the added height. If you’re in a pinch and you need a USB 3 device port, you can still use USB-A – people will call it cursed, but you might as well wear this badge proudly.

Nowadays, if USB-C isn’t an option because you can’t be bothered to find a mux, a device with microUSB3 would be my second choice. The trick is to buy a few USB-C to microUSB3 cables on Aliexpress. I swear by them, and if you have some microUSB3 devices at home, you should grab two or three cables like that and never worry about microUSB3 again. Not that the forbidden A-A cable is hard to find nowadays, either!

Last thing to mention is, you might see USB 3 cables and sockets in an initially unexpected place – carrying a PCIe x1 link, again, in hardware of Eastern design. USB 3 cables are only used there for the extra lines: USB 2 pins carry REFCLK, and the two high-speed pairs carry, DRAIN typically carries GND, and the USB2 VBUS and GND tend to carry two PCIe link management signals.

This is an unspoken standard across Eastern vendors of many PCIe accessories – you might see slight pinout variations, but nothing too major. Honestly, I respect that a lot, I’ve recommended it to my hardware hacker friends as a way to expose PCIe, and it’s something that I believe is a decent option, especially given the abundance of hardware that uses USB 3 connectors for PCIe. Is it standards compliant? No. Could someone call it cursed? Yes. Is it a viable way to carry a PCIe x1 link? Also yes. Is it easy to implement? Yes, again. Is it cheap? Without a doubt. If you really need x4 and guaranteed high speeds, you might want to go for Oculink, but until then, the abusing USB 3 hardware will do just fine.

There’s more I could say about USB 3, but for now, I hope this is more than sufficient for you to wade through USB 3 waters, for whatever hacks and projects you might be exploring. Got questions, corrections, or advice? Ever make something cool with USB 3? Tell us all in the comments down below!


hackaday.com/2024/11/12/ubiqui…



Annunci: Meta vuole essere "meno illegale", ma molto più fastidioso...
Nella battaglia sull'uso illegale dei dati personali per la pubblicità, Meta ha annunciato un'altra variazione: Questa volta Meta proverà annunci "meno personalizzati", che potrebbero infastidire gli utenti e indurli ad acconsentire.
mr12 November 2024
Pay or okay, with hundred Euros bill in the background


noyb.eu/it/ads-meta-wants-be-l…



Annunci: Meta è orgoglioso di essere "meno illegale", ma presto più fastidioso
Nella battaglia sull'uso illegale dei dati personali per la pubblicità, Meta ha annunciato un'altra variazione: Questa volta Meta proverà annunci "meno personalizzati", che potrebbero infastidire gli utenti e indurli ad acconsentire.
mr12 November 2024
Pay or okay, with hundred Euros bill in the background


noyb.eu/it/ads-meta-proud-be-l…



The Secret Service has used a technology called Locate X which uses location data harvested from ordinary apps installed on phones. Because users agreed to an opaque terms of service page, the Secret Service believes it doesn't need a warrant.

The Secret Service has used a technology called Locate X which uses location data harvested from ordinary apps installed on phones. Because users agreed to an opaque terms of service page, the Secret Service believes it doesnx27;t need a warrant.#FOIA #Privacy



OWASP LLM Top Ten: La Nuova Frontiera della Sicurezza per i Large Language Model!


L’Open Web Application Security Project (OWASP) è un’organizzazione senza scopo di lucro che sviluppa standard di sicurezza per le applicazioni e le API (Application Programming Interface). I suoi progetti, tra cui la “Top Ten”, sono utilizzati come riferimento per la sicurezza applicativa a livello mondiale.

La OWASP Top Ten più famosa e storicamente significativa è la lista dei 10 principali rischi di sicurezza per le applicazioni web. Lanciata nel 2003 e aggiornata periodicamente, è uno degli standard di riferimento più conosciuti nel campo della sicurezza informatica.

Oggi, con la diffusione dei modelli linguistici di grandi dimensioni (LLM, Large Language Models), OWASP ha introdottouna nuova lista Top Ten specifica per aiutare a identificare e mitigare i rischi di sicurezza unici di questi modelli. Gli LLM, come GPT, sono suscettibili a nuove vulnerabilità, che vanno dall’esfiltrazione di dati sensibili alla manipolazione delle risposte. Comprendere e mitigare tali rischi è fondamentale, soprattutto per applicazioni critiche e sensibili.

OWASP LLM Top Ten


Vediamo subito quali sono i rischi principali, sulla base della versione 1.1, la più recente di OWASP LLM Top Ten:

  • Prompt Injection: input maligni progettati per indurre l’LLM a comportarsi in modi non previsti, con il rischio di esporre dati sensibili o attivare azioni non autorizzate.
  • Insecure Output Handling: rischi derivanti dal fatto che l’output degli LLM non viene adeguatamente sanitizzato, causando potenziali problemi di sicurezza come attacchi XSS (cross-site scripting) o esecuzione remota di codice.
  • Training Data Poisoning: avvelenamento dei dati usati per addestrare o affinare i modelli, con il rischio di compromettere la sicurezza, l’etica o le performance del modello stesso.
  • Model Denial of Service: gli attaccanti causano operazioni che richiedono molte risorse sui modelli di linguaggio di grandi dimensioni, portando a una degradazione del servizio o a costi elevati.
  • Supply Chain Vulnerabilities: rischi legati a componenti di terze parti, come plugin o modelli pre-addestrati, che potrebbero introdurre minacce o vulnerabilità esterne.
  • Sensitive Information Disclosure: rischio che gli LLM rivelino accidentalmente informazioni riservate, come dati proprietari o personali, soprattutto se i prompt degli utenti vengono riutilizzati nei dati di addestramento.
  • Insecure Plugin Design: vulnerabilità derivanti dall’uso di plugin che accettano input non validati, che potrebbero consentire attacchi di tipo prompt injection o l’esecuzione remota di codice.
  • Excessive Agency: si può verificare quando gli LLM vengono dotati di troppo potere o autonomia, con conseguenti rischi per la sicurezza e il controllo.
  • Overreliance: pericolo derivante dall’affidarsi ciecamente agli output degli LLM senza verificarne la validità, con il rischio di prendere decisioni errate basate su informazioni inaccurate o talvolta inventate.
  • Model Theft: rischio che i modelli vengano rubati da parte di attaccanti che sfruttano vulnerabilità nell’infrastruttura che li ospita.


Come mitigare i rischi


Al di là della lista, ciò che serve è acquisire dimestichezza e conoscenza su questi rischi e gestirli, occorre dunque capire come possono essere mitigati.

Per ognuno dei dieci rischi elencati nella Top Ten esistono metodi più o meno efficaci per la mitigazione. Se pensiamo alla prompt injection, il rischio numero uno nella top ten LLM, la metodologia di mitigazione più efficace consiste nell’implementare filtri di input avanzati per rilevare e bloccare potenziali attacchi.

Per mitigare i rischi legati alla gestione insicura dell’output (Insecure Output Handling), è fondamentale applicare alcune pratiche di sicurezza. In primis, l’output generato deve essere sanitizzato per evitare che contenga codice dannoso, come quello usato negli attacchi XSS. Inoltre, l’adozione di filtri linguistici è cruciale per bloccare contenuti inappropriati o dannosi, regolando i termini o le frasi che possono essere generati. Un’altra misura importante è l’uso di una struttura di risposta predeterminata, che garantisce che l’output segua un formato sicuro e controllato, riducendo il rischio di generare risposte non sicure. Infine, è essenziale implementare monitoraggio e logging delle risposte prodotte dal modello, per rilevare attività sospette e prevenire attacchi futuri.

Per contrastare il rischio di avvelenamento dei dati di addestramento (Training Data Poisoning), è essenziale adottare misure di protezione rigorose. Una pratica fondamentale è la verifica dei dati, assicurando che provengano da fonti affidabili e non siano stati manipolati, tramite tecniche di autenticazione. Inoltre, il monitoraggio della qualità dei dati è cruciale per individuare e rimuovere dati anomali o dannosi, mantenendo l’integrità del modello. È importante anche applicare tecniche di differenziazione dei dati, come la privacy differenziale, per proteggere le informazioni sensibili durante l’addestramento. Infine, è essenziale controllare le dipendenze esterne, garantendo che le fonti di dati, inclusi i modelli pre-addestrati, siano sicure e prive di vulnerabilità.

Tra le raccomandazioni generali, valide dunque per tutti, si ricorda che è bene realizzare audit regolari del modello, controlli di accesso e valutazioni di vulnerabilità.

La sicurezza degli LLM richiede il coinvolgimento di ingegneri, sviluppatori e team di sicurezza per affrontare in modo olistico i rischi.

Progetti e iniziative europee


In ambito europeo si sta cercando di gestire meglio questi nuovi rischi. Il progetto KINAITICS è un’iniziativa finanziata dall’Unione Europea che si concentra sull’analisi e la gestione delle minacce cyber-cinetiche, in particolare quelle che coinvolgono sistemi cyber-fisici e intelligenza artificiale.

Questo progetto, lanciato nell’ottobre 2022, riunisce partner da cinque Paesi europei tra cui l’Italia, include istituzioni come il Commissariat à l’Énergie Atomique (CEA) che agisce da coordinatore del progetto, oltre a diversi partner privati, per migliorare la sicurezza dei sistemi interconnessi che impiegano AI per il controllo e l’elaborazione dati.

KINAITICS si distingue per il suo approccio innovativo nello sviluppo di una matrice di minacce specifica, adattata a mitigare i rischi derivanti dall’integrazione dell’intelligenza artificiale in contesti industriali e cyber-fisici. Il progetto mira a prevenire attacchi sofisticati, come quelli basati sui digital twin di una fabbrica, che consentono a un attaccante di identificare punti vulnerabili nei cicli di produzione e introdurre misure di disturbo per sabotare i sistemi di controllo.

Un digital twin è una replica virtuale di un sistema fisico, e se compromesso, può portare a guasti nei cicli produttivi reali, manipolando i dati che alimentano i modelli. Questi attacchi dimostrano quanto sia cruciale proteggere i modelli AI avanzati, che, se vulnerabili, possono compromettere l’intero sistema cyber-fisico.

KINAITICS sviluppa tecnologie e metodologie per rilevare e difendersi da tali attacchi, creando una matrice di minacce mirata a rafforzare la sicurezza nei settori industriali. L’obiettivo complessivo è creare difese più resilienti attraverso strumenti e metodologie avanzate, integrando standard legali ed etici per garantire un uso sicuro dell’AI in vari settori industriali.

Conclusione


La sicurezza dei modelli di intelligenza artificiale, in particolare quelli linguistici avanzati, è un ambito in continua evoluzione, con rischi specifici come gli attacchi attraverso i digital twins che possono compromettere interi sistemi cyber-fisici. L’integrazione crescente dell’AI in contesti industriali e quotidiani richiede soluzioni proattive per proteggere le infrastrutture e garantire un uso sicuro delle tecnologie. L’OWASP LLM Top Ten offre una guida per identificare e mitigare i principali rischi, ma è essenziale una gestione continua e approfondita.

Poiché le minacce evolvono rapidamente, la sicurezza degli LLM non può essere considerata un compito da eseguire una sola volta, ma deve essere un processo continuo. L’adozione di misure di protezione specifiche è essenziale, ma la gestione delle vulnerabilità richiede una vigilanza costante e l’implementazione di aggiornamenti regolari, audit di sicurezza e valutazioni dei rischi. Un approccio olistico alla sicurezza, che coinvolga ingegneri, sviluppatori e team di sicurezza in un ciclo continuo di monitoraggio e miglioramento, è cruciale per prevenire nuove vulnerabilità e garantire che le tecnologie emergenti siano sempre protette da potenziali attacchi. Solo così si potrà garantire l’integrità dei modelli e proteggere le applicazioni sensibili da rischi imprevisti.

Progetti come KINAITICS, con il loro approccio innovativo alla protezione contro le minacce cyber-cinetiche, rappresentano un passo cruciale nel rafforzamento della sicurezza, mirando a prevenire attacchi sofisticati e a sviluppare difese resilienti. La sensibilizzazione dei professionisti della sicurezza è fondamentale per ridurre le vulnerabilità e assicurare che queste tecnologie avanzate siano utilizzate in modo sicuro e responsabile.

L'articolo OWASP LLM Top Ten: La Nuova Frontiera della Sicurezza per i Large Language Model! proviene da il blog della sicurezza informatica.



Chi è Salvatore Luongo nuovo Comandante generale dei Carabinieri

@Notizie dall'Italia e dal mondo

Su proposta del ministro della Difesa, Guido Crosetto, il Consiglio dei ministri ha nominato il generale Salvatore Luongo, 62 anni, (a destra nella foto) prossimo comandante generale dell’Arma dei Carabinieri. Per lui si tratta di una promozione, considerato che dal 1° giugno scorso è vicecomandante generale.



I giudici bloccano il trasferimento dei migranti in Albania: cosa succede adesso


@Politica interna, europea e internazionale
I giudici bloccano il trasferimento dei migranti in Albania: cosa succede adesso Ieri, lunedì 11 novembre, il Tribunale di Roma non ha convalidato il trattenimento in Albania di sette migranti egiziani e bengalesi che erano stati intercettati nei giorni precedenti dalla



Minuteman ICBM Launch Tests Triple Warheads


24643195

On November 5th, the United States launched an LGM-30G Minuteman III ICBM from Vandenberg Space Force Base in California. Roughly 30 minutes later the three warheads onboard struck their targets 4,200 miles (6,759 km) away at the Reagan Test Site in the Marshall Islands. What is remarkable about this test is not that one of these ICBMs was fired — as this is regularly done to test the readiness of the US’ ICBMs — but rather that it carried three warheads instead of a single one.

Originally the Minuteman III ICBMs were equipped with three warheads, but in 2014 this was reduced to just one as a result of arms control limits agreed upon with Russia. This New Start Treaty expires in 2026 and the plan is to put three warheads back in the 400 operational Minuteman III ICBMs in the US’ arsenal. To this end a validation test had to be performed, yet a 2023 launch failed. So far it appears that this new launch has succeeded.

Although the three warheads in this November 5 launch were not nuclear warheads but rather Joint Test Assemblies, one of them contained more than just instrumentation to provide flight telemetry. In order to test the delivery vehicle more fully a so-called ‘high-fidelity’ JTA was also used which is assembled much like a real warhead, including explosives. The only difference being that no nuclear material is present, just surrogate materials to create a similar balance as the full warhead.

Assuming the many gigabytes of test data checks out these Minuteman III ICBMs should be ready to serve well into the 2030s at which point the much-delayed LGM-35 Sentinel should take over.


hackaday.com/2024/11/12/minute…



Attacco in Corso: Frag Ransomware Sfrutta la Vulnerabilità di Veeam per Colpire i Backup


Le organizzazioni di tutto il mondo devono stare in allerta: è in corso uno sfruttamento attivo di una vulnerabilità critica nel software Veeam Backup & Replication per distribuire una nuova variante di ransomware, chiamata “Frag”. Questo nuovo attacco dimostra ancora una volta come i criminali informatici stiano diventando sempre più abili nel prendere di mira i sistemi di backup, vitali per il recupero dei dati e la continuità operativa.

La vulnerabilità


Identificata come CVE-2024-40711, la vulnerabilità consente l’esecuzione di codice remoto senza autenticazione. Con un punteggio di gravità impressionante di 9.8 su 10 nella scala CVSS, il rischio di compromissione è elevato, tanto da fare di Veeam un obiettivo altamente appetibile per i cybercriminali. Il bug affligge Veeam Backup & Replication versione 12.1.2.172 e le versioni precedenti. Nonostante Veeam abbia rilasciato delle patch correttive già da settembre 2024, numerose organizzazioni non le hanno ancora applicate.

La minaccia è stata collegata a un gruppo noto come STAC 5881, una “unità d’azione” che ha già sfruttato VPN compromesse per ottenere un accesso iniziale ai network target. Una volta penetrati, i malintenzionati fanno leva sulla vulnerabilità di Veeam per creare account amministrativi non autorizzati e proseguire con le loro operazioni malevole. STAC 5881, che in passato ha distribuito varianti di ransomware come Akira e Fog, ha ora sfoderato Frag, una versione mai vista prima, capace di colpire rapidamente e con precisione chirurgica.

Il ransomware Frag viene eseguito da riga di comando e permette agli attaccanti di specificare la percentuale di crittografia dei file. Una volta colpiti, i file assumono l’estensione “.frag”, segnando visibilmente i danni inflitti. Con l’analisi dei Sophos X-Ops, è stato possibile individuare similitudini tra Frag e le varianti precedenti, suggerendo che potrebbe trattarsi di un “nuovo attore” che adotta tattiche già consolidate. Ancora una volta, il modus operandi ruota attorno alla massimizzazione dei danni alle infrastrutture di backup, al fine di costringere le vittime a pagare il riscatto.

Perché i backup sono sotto attacco?


I backup sono una risorsa critica: permettono alle organizzazioni di ripristinare i dati senza soccombere alle richieste dei cybercriminali. Tuttavia, se questi sistemi vengono compromessi, le possibilità di recupero crollano drasticamente, aumentando la pressione sul pagamento del riscatto. Gli attacchi mirati a backup e sistemi di ripristino, come dimostrato da Frag, si stanno trasformando in una tattica prediletta dagli attori malevoli, che colpiscono il punto nevralgico della resilienza aziendale.

Consigli per difendersi


  1. Applicare subito le patch per le versioni vulnerabili di Veeam Backup & Replication.
  2. Isolare i server di backup da Internet, dove possibile, per ridurre l’esposizione a potenziali attacchi.
  3. Implementare l’autenticazione multi-fattore per accedere ai sistemi di gestione dei backup, aumentando così le barriere di sicurezza.
  4. Attivare un monitoraggio continuo per rilevare attività sospette o comportamenti anomali, fondamentali per intercettare i segnali di un potenziale attacco.


Conclusioni


Con varianti come Frag e gruppi come STAC 5881 in circolazione, le organizzazioni devono reagire con rapidità e rigore. I criminali informatici si evolvono senza tregua, pronti a colpire infrastrutture critiche e, in questo caso, i sistemi di backup su cui molte aziende fanno affidamento per sopravvivere. Il messaggio è chiaro: non possiamo permetterci di abbassare la guardia. Una patch trascurata o una protezione obsoleta possono significare il crollo dei sistemi, la perdita di dati critici e, inevitabilmente, gravi danni reputazionali e finanziari.

Per gli amministratori IT, è tempo di agire, aggiornare e proteggere – e farlo subito!

L'articolo Attacco in Corso: Frag Ransomware Sfrutta la Vulnerabilità di Veeam per Colpire i Backup proviene da il blog della sicurezza informatica.



USA. Trump si circonda di razzisti e suprematisti


@Notizie dall'Italia e dal mondo
Le nomine confermate e i nomi che circolano da più voci compongono un quadro di estremismo e intransigenza: sostegno incondizionato a Israele in tutti i consessi nazionali e internazionali, politiche di deportazione e repressione contro i migranti, scontro con l'Iran, opposizione a Cina, Cuba e alle esperienze



Stati Uniti. Le deputate filo-palestinesi Tlaib e Omar rielette nonostante il disastro dei Democratici


@Notizie dall'Italia e dal mondo
Hanno ottenuto oltre il 70% dei voti nei loro distretti in Michigan e nel Minnesota. Annunciano che saranno tenaci oppositrici di Donald Trump che nel 2019 arrivò a minacciarle
L'articolo Stati Uniti. Le



Caso migranti in Albania, Elon Musk attacca i giudici italiani: “Devono andarsene”


@Politica interna, europea e internazionale
“Questi giudici devono andarsene”. Così Elon Musk commenta su X la notizia della mancata convalida da parte del Tribunale di Roma del trattenimento di sette migranti trasferiti dalle autorità italiane nei centri temporanei italiani su territorio albanese.

in reply to Elezioni e Politica 2025

Non ha abbastanza opinioni ~~del cazzo~~ da enunciare su ció che succede nel suo paese(grazie a lui) per preoccuparsi delle questioni italiane?


#Scuola, il Ministro Giuseppe Valditara ha firmato oggi il decreto che stanzia 12,8 milioni di euro a favore delle scuole con classi in cui la presenza di studenti stranieri che entrano per la prima volta nel sistema scolastico italiano supera il 20%…


Z80 Testing the 80s Way


24630369

According to [MTSI], if you used a Z80 chip back in the 1980s, it almost certainly passed through the sole Fairchild Sentry 610 system that gave it the seal of approval.

The Sentry was big iron for its day. The CPU was a 24-bit device and ran at a blistering 250 kHz. Along with a tape drive and a specialized test bed, it could test Z80s, F8s, and other Mostek products of the day. There was a disk drive, too. The 26-inch platters stored under 10 kilobytes. Despite the relatively low speed of the CPU, the Sentry could test devices running up to 10 MHz, which was plenty for the CPUs it was testing. The actual test interface ran at 11 MHz and used an exotic divider to generate slower frequencies.

According to the post, an informal count of the number of chips in the device came up with around 60,000. That, as you might expect, took a huge power supply, too.

From some 1975 corporate literature:

“Optimized for engineering, sophisticated production needs, QA and test center operations, the Sentry 610 is the most versatile analytical tester available for engineering and production. It can perform the widest range of tests for the broadest range of components. At user option, the Sentry 610 can perform high-speed MaS/LSI, PCB, and bipolar tests simultaneously. It offers complete testing at the wafer level and through automatic handlers at full-rated device speeds up to 10 MHz. The wide choice of peripherals gives the Sentry 610 system massive data handling capacity to manipulate, analyze, compute and generate reports on test procedures in analyzing MaS/LSI.”

These days, you are as likely to stick test hardware on the IC as have a big machine on the outside. And even then, you probably wouldn’t have something this elaborate. But in its day, this was high-tech for sure.

The Z80 sure has had a long lifespan. It shouldn’t surprise you that Z80s need to be tested, just like everything else.


hackaday.com/2024/11/12/z80-te…



Violazione di Amazon e Attacchi alla Supply Chain. I Rischi Potenziali per oltre 1000 aziende


Come abbiamo visto recentemente, un attacco informatico ha coinvolto Amazon, confermato dal portavoce dell’azienda Adam Montgomery.

Un utente sotto lo pseudonimo di “Nam3L3ss” avrebbe sfruttato una vulnerabilità critica in MOVEit, un software di trasferimento file, esponendo potenzialmente i dati di dipendenti di aziende di primo piano come Amazon, McDonald’s, HSBC e oltre un migliaio di altre. Il risultato? Presumibilmente, una delle fughe di informazioni aziendali più devastanti dell’ultimo anno, con settori chiave come finanza, sanità, tecnologia e retail colpiti profondamente.
24630299Post su BreachForums relativo alla rivendicazione del threat actors Nam3L3ss dei dati di McDonalds dell11 ottobre 2024

Cos’è un attacco alla Supply chain


In questo periodo storico, molto spesso stiamo assistendo a continue perdite “collaterali” dovute a problemi nella supply-chain. Si tratta di esfiltrazioni che non avvengono direttamente dalle infrastrutture IT delle aziende, ma da aziende di terze parti che collaborano con l’azienda.

Tutto questo ci porta all’attenzione che i fornitori possono essere oggi il “tallone di Achille” della cybersecurity. Sia nella produzione che nella sicurezza informatica aziendale, oggi occorre prestarne la massima attenzione su questo genere di attacchi. Gli attacchi supply chain possono avvenire in variegate forme: vulnerabilità sui sistemi, malware, impiegati infedeli. Possono portare anche a problemi del fermo delle linee produttive causando danni in cascata con ricadute devastanti.

Le attività di controllo pertanto si estendono non solo alle infrastruttura IT dell’azienda, ma anche alle infrastrutture IT di partner e fornitori. Occorre quindi prevedere nei contratti delle apposite clausole contrattuali che regolamentino la sicurezza informatica. Ne consegue che oggi più che mai occorre investire sull’approfondire tutto questo. Il problema è che sui giornali generalmente ci va il brand dell’azienda cliente (come in questo caso Amazon), e non sempre il fornitore.
24630301Post su BreachForums relativo alla rivendicazione del threat actors Nam3L3ss dei dati di British Telecom dell11 ottobre 2024

La vulnerabilità Sfruttata: Una Breccia Fatale


La vulnerabilità, come precedentemente riportato, è stata scoperta a metà del 2023 e avrebbe aperto un varco pericoloso in MOVEit, consentendo agli hacker di aggirare i sistemi di autenticazione per accedere a dati sensibili. I cybercriminali hanno sfruttato rapidamente la falla, innescando una serie di violazioni che avrebbero portato a un’esfiltrazione massiccia di informazioni riservate di dipendenti e clienti in tutto il mondo.

Le informazioni per azienda, datate maggio 2023, mettono in luce la vastità dell’incidente e i pericoli legati alla mancata applicazione tempestiva delle patch di sicurezza. Di seguito, un elenco delle aziende presumibilmente colpite e il numero di record trafugati:

  • Amazon — 2,861,111 record
  • MetLife — 585,130 record
  • Cardinal Health — 407,437 record
  • HSBC — 280,693 record
  • Fidelity (fmr.com) — 124,464 record
  • U.S. Bank — 114,076 record
  • HP — 104,119 record
  • Canada Post — 69,860 record
  • Delta Airlines — 57,317 record
  • Applied Materials (AMAT) — 53,170 record
  • Leidos — 52,610 record
  • Charles Schwab — 49,356 record
  • 3M — 48,630 record
  • Lenovo — 45,522 record
  • Bristol Myers Squibb — 37,497 record
  • Omnicom Group — 37,320 record
  • TIAA — 23,857 record
  • UBS — 20,462 record
  • Westinghouse — 18,193 record
  • Urban Outfitters (URBN) — 17,553 record
  • Rush University — 15,853 record
  • British Telecom (BT) — 15,347 record
  • Firmenich — 13,248 record
  • City National Bank (CNB) — 9,358 record
  • McDonald’s — 3,295 record


Dati Dettagliati e Conseguenze di Sicurezza


Le informazioni esposte includerebbero dettagli precisi per ciascuna azienda. I record di Amazon, ad esempio, potrebbero contenere campi come: last_name, first_name, display_name, cost_center_code, cost_center_name, phone, email, e title.

Analogamente, i dati di HSBC includerebbero informazioni come user_id, first_name, last_name, email_address, employee_status, company_code, city e state. Questi dettagli, se confermati, rappresenterebbero un serio rischio, offrendo ai cybercriminali un punto di partenza per sofisticati attacchi di social engineering.

L’Incredibile Fuga di Dati Aziendali Rivelata da Nam3L3ss


Dietro questa fuga di dati vi sarebbe Nam3L3ss, che avrebbe pubblicato i file su un noto forum di cybercrime. In un messaggio, l’hacker ha esortato le aziende a “fare attenzione” alla portata di questi leak, sottolineando il livello di dettaglio dei dati, inclusi codici dei centri di costo e, in alcuni casi, l’intera struttura organizzativa. Ecco un esempio del messaggio pubblicato da Nam3L3ss:
24630303
“Ragazzi, FATE ATTENZIONE, queste sono directory dei dipendenti aziendali, alcuni siti includono la struttura organizzativa e altri file.”

Il messaggio dell’hacker sembra voler lanciare un avvertimento alle aziende sui rischi e le debolezze nei loro sistemi, ma al contempo espone i dati per agevolare potenziali attori malevoli interessati a sfruttarli.

Rischi e Conseguenze Potenziali


La presunta violazione solleva serie preoccupazioni per le aziende e per i dipendenti i cui dati sono stati compromessi. Ecco i principali rischi:

  1. Attacchi di Phishing e Social Engineering: Con dettagli come contatti, nomi e strutture organizzative, i criminali informatici possono creare email di phishing estremamente credibili, che possono aggirare i controlli di sicurezza.
  2. Spionaggio Aziendale: La visibilità sulle strutture gerarchiche e sui dettagli dei dipendenti offre un vantaggio competitivo per lo spionaggio aziendale, consentendo a concorrenti o attori malintenzionati di ottenere informazioni sulle operazioni interne.
  3. Danno Reputazionale: Aziende di alto profilo come Amazon, HSBC e MetLife sono particolarmente vulnerabili al danno reputazionale, con clienti sempre più preoccupati per la sicurezza dei dati.
  4. Furti e Frodi Finanziarie: I dati del settore finanziario, come quelli di Cardinal Health e UBS, sono particolarmente attrattivi per i crimini finanziari, poiché le informazioni dei dipendenti e i canali di comunicazione possono agevolare schemi di frode sofisticati.


Passi di Mitigazione e Migliori Pratiche di Sicurezza


Questo presunto incidente è un richiamo per tutte le aziende che utilizzano MOVEit o software simili. Ecco alcune azioni preventive: Ecco alcune azioni chiave per prevenire violazioni simili:

  • Applicare Immediatamente le Patch di Sicurezza: MOVEit ha rilasciato patch per risolvere la CVE-2023–34362. È cruciale che le organizzazioni le applichino senza indugi.
  • Condurre un Audit di Sicurezza Completo: Le aziende colpite o che utilizzano MOVEit dovrebbero condurre un audit di sicurezza per identificare eventuali vulnerabilità che potrebbero portare a ulteriori esposizioni.
  • Sensibilizzazione e Formazione dei Dipendenti: I dipendenti rappresentano la prima linea di difesa contro gli attacchi di social engineering. Le aziende devono intensificare la formazione su come riconoscere il phishing, gestire i dati in sicurezza e comunicare in modo protetto.
  • Limitare l’Accesso e Implementare la Segmentazione dei Dati: Limitando l’accesso ai dati in base ai ruoli e implementando una robusta segmentazione dei dati, le organizzazioni possono ridurre la quantità di informazioni sensibili accessibili in caso di accesso non autorizzato.


Conclusione


La presunta violazione legata alla vulnerabilità MOVEit dimostra ancora una volta che nessuna azienda, anche la più potente e strutturata, è immune dagli attacchi informatici. I dati di milioni di dipendenti, tra cui nomi noti come Amazon, HSBC e McDonald’s, sono stati presumibilmente esposti, mettendo a rischio informazioni preziose per cybercriminali pronti a sfruttarle. Questa fuga di informazioni è un campanello d’allarme forte e chiaro: la sicurezza informatica non può essere un ripensamento, ma deve essere al centro delle strategie aziendali.

Non è più solo una questione di prevenire accessi indesiderati: la posta in gioco è la fiducia dei clienti, la reputazione costruita in anni di lavoro e la sicurezza delle persone che, ogni giorno, rendono queste aziende grandi. Senza un’azione decisa e una vigilanza costante, incidenti come questo continueranno a minare la stabilità del mondo digitale, trasformando ogni vulnerabilità non risolta in un potenziale disastro.

L'articolo Violazione di Amazon e Attacchi alla Supply Chain. I Rischi Potenziali per oltre 1000 aziende proviene da il blog della sicurezza informatica.




Come creare cultura cyber e resilienza nelle persone e nelle istituzioni?


@Informatica (Italy e non Italy 😁)
La resilienza e la cultura organizzativa sono fondamentali per il successo di qualsiasi ente pubblico, in particolare quando si tratta di gestire eventi critici e garantire la continuità dei servizi essenziali ai cittadini. In un contesto caratterizzato da cambiamenti




Fuga di dati Amazon: oltre 2,8 milioni di record dei dipendenti su BreachForums!


Possiamo dire che “anche i grandi piangono”, e sicuramente questo incidente di Amazon ci deve far comprendere quanto oggi le aziende di terze parti possono essere il “tallone di achille” di una postura cyber corretta all’interno delle mura della propria azienda.

La recente fuga di dati dei dipendenti divulgata attraverso un post su Breach Forums da un threat actors del colosso dell’e-commerce Amazon ha sollevato importanti preoccupazioni sulla sicurezza delle informazioni all’interno delle grandi aziende e sull’impatto dei fornitori terzi nelle loro vulnerabilità.

Secondo quanto riportato, oltre 2,8 milioni di record contenenti dati dei dipendenti Amazon sono stati esposti nelle underground. L’attore della minaccia, conosciuto come “Nam3L3ss“, ha condiviso i dettagli dei dati sottratti, che includono indirizzi e-mail aziendali, numeri di telefono fissi e altre informazioni legate al lavoro. Questo attacco evidenzia la fragilità delle catene di approvvigionamento digitali, dove un singolo punto di accesso compromesso può mettere a rischio una quantità considerevole di dati sensibili.

Il colosso dell’e-commerce Amazon ha confermato che alcuni dati dei suoi dipendenti sono stati compromessi a causa di una violazione della sicurezza che ha coinvolto un fornitore di terze parti. Secondo Amazon, la violazione ha interessato le informazioni di contatto relative al lavoro, tra cui indirizzi e-mail dei dipendenti, numeri di telefono fissi e sedi degli edifici.

Il post su Breach Forums


Il numero esatto dei dipendenti interessati dall’ultima violazione della sicurezza non è stato reso noto da Amazon, anche se da quanto riportato sul post su Breach Forums si parla di 2.861.111 record di dati appartenenti ad Amazon.
24623440
Il record riportato sul post dal criminale informatico è il seguente:

  • emplid – ID del dipendente
  • last_name – Cognome
  • first_name – Nome
  • display_name – Nome visualizzato
  • empname_lastfirst – Nome completo (Cognome e Nome)
  • cost_center_code – Codice del centro di costo
  • cost_center_name – Nome del centro di costo
  • phone – Numero di telefono
  • email – Indirizzo email
  • title – Titolo lavorativo
  • job_code – Codice del lavoro
  • job_description – Descrizione del lavoro
  • building_code – Codice dell’edificio
  • building_descr – Descrizione dell’edificio
  • room_id – ID della stanza
  • city – Città
  • state – Stato
  • country_location – Paese di ubicazione
  • Status – Stato (assunto, attivo, ecc.)
  • empl_hire_date – Data di assunzione
  • jobcode_level – Livello del codice lavoro
  • job_family – Famiglia di lavoro
  • default_domain – Dominio predefinito
  • default_domainuser – Utente di dominio predefinito
  • user_id – ID utente
  • az_virtual_off – Ufficio virtuale
  • location – Ubicazione
  • location_link – Collegamento alla posizione
  • supervisor_id – ID del supervisore
  • supervisor_name – Nome del supervisore
  • gref_orggroup_id – ID del gruppo organizzativo GREF
  • manager_id – ID del manager
  • manager_name – Nome del manager
  • reg_temp_az_safety_czar – Responsabile sicurezza temporaneo per AZ
  • empl_rcd – Record del dipendente
  • az_group_code – Codice del gruppo AZ
  • az_company_descr – Descrizione della compagnia AZ
  • per_org_az_empl_class_descr – Descrizione della classe del dipendente nell’organizzazione AZ
  • export_userlogin – Login dell’utente per esportazione

Per ora, l’attore della minaccia noto come “Nam3L3ss” ha rivendicato la responsabilità della fuga di dati di Amazon su Breach Forums, un popolare forum di hacking. Nam3L3ss non è un nuovo arrivato nella comunità globale della criminalità informatica ed è noto per l’estrazione di dati dalle organizzazioni tramite incidenti ransomware o accesso non autorizzato a database esposti.

A complicare ulteriormente la situazione, Nam3L3ss ha dichiarato che i dati trapelati rappresentano solo una frazione delle informazioni raccolte e che è riuscito a estrarre interi database da fonti esposte.

Il bug CVE-2023-34362 sfruttato nell’attacco


L’incidente sembra essere collegato alla vulnerabilità MOVEit Transfer (CVE-2023-34362), un difetto critico nel software di trasferimento file di Progress Software, sfruttato per la prima volta nel maggio 2023. Questa falla ha consentito ai cybercriminali di eseguire attacchi alla supply chain che hanno colpito oltre 1.000 organizzazioni a livello globale, tra cui Amazon. La gang ransomware Clop è stata tra i primi gruppi a sfruttare questa vulnerabilità, e le sue attività mirate continuano a colpire aziende e istituzioni pubbliche. L’attacco mette in luce come le vulnerabilità nei servizi di terzi possano compromettere seriamente anche i sistemi delle aziende più protette, che si affidano a fornitori esterni per esigenze operative specifiche.

Nel 2023, l’expploit collegato al difetto di MOVEit, ha consentito agli autori della minaccia di aggirare i protocolli di autenticazione di bypass tramite un difetto di iniezione SQL, potenzialmente concedendo un accesso non autorizzato ai database MOVEit Transfer. MOVEit Transfer è ampiamente utilizzato da agenzie governative e aziende private in tutto il mondo.

Questa fuga di dati apre la strada a potenziali attacchi di phishing e altre minacce cyber, mettendo a rischio la sicurezza di milioni di dipendenti. L’incidente rappresenta un avvertimento per tutte le aziende che devono garantire non solo la protezione dei loro sistemi interni, ma anche un rigoroso monitoraggio e controllo delle pratiche di sicurezza dei loro partner e fornitori.

La risposta di Amazon


“I sistemi di Amazon e AWS rimangono sicuri e non abbiamo riscontrato alcun evento di sicurezza. Siamo stati informati di un evento di sicurezza presso uno dei nostri fornitori di gestione immobiliare che ha avuto un impatto su diversi dei suoi clienti, tra cui Amazon. Le uniche informazioni di Amazon coinvolte erano le informazioni di contatto di lavoro dei dipendenti, ad esempio indirizzi e-mail di lavoro, numeri di telefono fisso e ubicazioni degli edifici”, ha commentato sulla questione Adam Montgomery, portavoce dell’azienda.

Nessun dato personale sensibile, come numeri di previdenza sociale o informazioni finanziarie, è stato esposto nell’ultima violazione della sicurezza, poiché le informazioni non sono mai state accessibili al fornitore terzo.

L'articolo Fuga di dati Amazon: oltre 2,8 milioni di record dei dipendenti su BreachForums! proviene da il blog della sicurezza informatica.



Le Autorità Americane Colpiscono i Produttori di Contenuti Illeciti sui Bambini creati con le AI


Il Dipartimento di Giustizia degli Stati Uniti ha avviato due procedimenti penali contro gli autori di immagini pornografiche infantili generate tramite tecnologia deepfake. L’agenzia ha annunciato un ampliamento della responsabilità per produttori e distributori di tali contenuti.

James Silver, capo della divisione Cybercrime e violazione della proprietà intellettuale del Dipartimento, ha dichiarato a Reuters che i procedimenti non si limiteranno ai due casi attuali. Silver ha espresso profonda preoccupazione per la crescente normalizzazione dell’uso dell’intelligenza artificiale generativa nella creazione di contenuti pornografici, inclusi quelli che coinvolgono minori, e ha sottolineato l’intento di combattere questo fenomeno.

Tuttavia, il primo caso non ha alleviato le preoccupazioni della comunità giuridica riguardo alla possibilità che le condanne possano essere impugnate.

Inoltre, i tribunali non sono ancora pronti a esaminare casi in cui gli imputati utilizzano intelligenza artificiale. In almeno due situazioni, i distributori di tali immagini hanno evitato responsabilità legali o hanno ricevuto accuse significativamente più leggere, sostenendo che le immagini non rappresentassero persone specifiche.

Le forze dell’ordine e le organizzazioni per la protezione dei diritti dei bambini temono che la diffusione di materiali generati dall’intelligenza artificiale possa fungere da maschera per reati di violenza contro minori reali. Il Centro Nazionale per i Bambini Scomparsi e Sfruttati ha registrato una media di circa 450 segnalazioni relative a immagini generate dall’IA coinvolgenti bambini, mentre il numero totale di richieste ricevute supera i 3 milioni, come riportato dal consulente legale Iyota Souras.

Rebecca Portnoff, vicepresidente dell’organizzazione per i diritti umani Thorn, ha avvertito che il problema non può essere considerato esclusivamente come una questione futura, altrimenti rischia di sfuggire al controllo. È fondamentale intervenire su più fronti, influenzando sia gli sviluppatori di sistemi di generazione di immagini sia il sistema delle forze dell’ordine per affrontare questa crescente minaccia.

L'articolo Le Autorità Americane Colpiscono i Produttori di Contenuti Illeciti sui Bambini creati con le AI proviene da il blog della sicurezza informatica.



A Handheld Replica Sound Voltex Game


24619558

Sound Voltex is a music game from Konami; in fact, it’s a whole series of arcade games! [Luke] is a big fan, so decided to build a hardware handheld to play the Unnamed Sound Voltex Clone. No—Voltex is not a typo, that’s the name.

If you’re unfamiliar, the Unnamed SDVX Clone is basically a community-built game that’s inspired by the original Konami titles. [Luke] decided to build a handheld console for playing the game, which is more akin to the arcade experience versus playing it on a desktop computer.

[Luke’s] build relies on a Raspberry Pi 4B, which donates its considerable processing power and buckets of RAM to the project. The Pi was installed into a 3D-printed case with a battery pack, touchscreen, and speakers, along with multiple arcade buttons and rotary encoders for controlling the game. Booting the Pi and clicking the icon on the desktop starts up the Unnamed Sound Voltex Clone. The game itself will be fairly familiar to any rhythm game player, though it’s a tough more sophisticated than Audiosurf. [Luke] demonstrates the gameplay on YouTube, and the finished project looks great.

We always love seeing handheld hacks, from PlayStations that never were to retro DIY creations. Video after the break.

youtube.com/embed/jj9lAWhPuek?…


hackaday.com/2024/11/11/a-hand…



90.000 NAS D-Link a rischio! Scoperta una nuova Vulnerabilità che non verrà Aggiornata


I ricercatori hanno scoperto che più di 60.000 NAS D-Link che hanno terminato il supporto sono suscettibili al command injection. Sebbene esista già un exploit disponibile pubblicamente per questo problema, gli sviluppatori D-Link non hanno intenzione di rilasciare patch.

La vulnerabilità critica è il CVE-2024-10914 (punteggio CVSS 9.2) ed è associata al comando cgi_user_add in cui il parametro name non è adeguatamente ripulito. Di conseguenza, un utente malintenzionato non autorizzato potrebbe sfruttare il problema per inserire comandi shell arbitrari inviando ai dispositivi richieste HTTP GET appositamente predisposte.

L’errore riguarda diversi modelli NAS D-Link:

  • DNS-320 versione 1.00;
  • DNS-320LW versione 1.01.0914.2012;
  • DNS-325 versioni 1.01 e 1.02;
  • DNS-340L versione 1.08.

Il ricercatore di sicurezza Netsecfish che ha scoperto questa vulnerabilità scrive che per sfruttarla è necessario “inviare una richiesta HTTP GET modificata al dispositivo NAS con un input dannoso nel parametro name. Questa richiesta curl genera un URL che esegue il comando cgi_user_add con il parametro name, che include il comando shell incorporato”, spiega lo specialista.

Secondo Netsecfish, la piattaforma FOFA ha identificato 61.147 hit e 41.097 indirizzi IP univoci associati ai dispositivi D-Link vulnerabili a CVE-2024-10914.
24619556
I rappresentanti di D-Link hanno già pubblicato un bollettino di sicurezza dedicato a CVE-2024-10914, in cui hanno confermato la presenza del problema. Tuttavia, non è necessario attendere le patch, poiché il supporto per i dispositivi vulnerabili è già stato interrotto e il produttore consiglia ai proprietari di NAS semplicemente di smettere di utilizzare prodotti vulnerabili o almeno di isolarli da Internet.

Vale la pena notare che nella primavera di quest’anno D-Link non ha risolto le vulnerabilità CVE-2024-3272 e CVE-2024-3273, che interessavano più di 90.000 NAS obsoleti. Poi i dispositivi hanno iniziato ad essere attaccati già pochi giorni dopo la divulgazione delle informazioni sul bug.

L'articolo 90.000 NAS D-Link a rischio! Scoperta una nuova Vulnerabilità che non verrà Aggiornata proviene da il blog della sicurezza informatica.



Windows 11 KB5044380: OpenSSH in Tilt! Connessioni SSH Bloccate e Utenti in Panico


Il 22 ottobre 2024, Microsoft ha rilasciato l’ultimo aggiornamento non di sicurezza per Windows 11 versione 23H2, sotto la patch KB5044380 (builds 22621.4391 e 22631.4391). L’aggiornamento era stato accolto con entusiasmo, portando miglioramenti come la riduzione del consumo della batteria, una rimappatura chiave di Copilot, nuove opzioni di notifica e altri affinamenti. Tuttavia, questa gioia è stata presto spenta da un problema critico che ha colpito OpenSSH, un componente essenziale per chi utilizza connessioni SSH, soprattutto nel mondo aziendale e IoT.

Cos’è successo esattamente?


L’aggiornamento ha introdotto un bug che blocca il servizio OpenSSH, impedendo le connessioni SSH. Gli utenti affetti da questo problema si trovano davanti a un servizio che non si avvia, senza alcun log dettagliato e con la necessità di interventi manuali per eseguire il processo sshd.exe. Microsoft stessa ha confermato la gravità del problema, sottolineando che coinvolge non solo le aziende ma anche gli utenti domestici, dell’istruzione e IoT.

L’azienda ha rassicurato che il numero di dispositivi impattati è “limitato”, ma questa rassicurazione suona vaga e poco consolatoria, specie per chi si trova bloccato senza la possibilità di accedere ai propri server o dispositivi in rete. È evidente che anche un solo dispositivo affetto può diventare un problema enorme se usato in ambiti critici.

La soluzione temporanea


Per fortuna, esiste un workaround che consente agli utenti di riottenere temporaneamente il controllo. Microsoft suggerisce di modificare i permessi nelle directory coinvolte, eseguendo questo comando PowerShell con privilegi elevati:

$directoryPath = “C:\ProgramData\ssh” $acl = Get-Acl -Path $directoryPath $sddlString = “O:BAD:PAI(A;OICI;FA;;;SY)(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;AU)” $securityDescriptor = New-Object System.Security.AccessControl.RawSecurityDescriptor $sddlString $acl.SetSecurityDescriptorSddlForm($securityDescriptor.GetSddlForm(“All”)) Set-Acl -Path $directoryPath -AclObject $acl

Inoltre, raccomanda di ripetere l’operazione per il percorso C:\ProgramData\ssh\logs.

E cosa succede agli altri utenti di Windows 11?


Anche la versione 24H2 di Windows 11 non è immune da problemi. Se da una parte sfugge al bug di OpenSSH, dall’altra è afflitta da una lista di malfunzionamenti. Tra questi, il Task Manager che non mostra correttamente il numero di applicazioni e processi in esecuzione, nonché problemi con la nuova tastiera a controller, il cui rilascio è stato sospeso a causa di errori sconosciuti.

Conclusione


In attesa della soluzione definitiva, Microsoft, sta lavorando per risolvere il problema e promette che una patch arriverà con un futuro aggiornamento di Windows. Fino a quel momento, però, il rischio di disconnessioni e di instabilità resta alto.

L'articolo Windows 11 KB5044380: OpenSSH in Tilt! Connessioni SSH Bloccate e Utenti in Panico proviene da il blog della sicurezza informatica.



Britain’s Oldest Satellite on the Move: a Space Curiosity


Photo manipulation of Skynet-1A hovering a planet

Space and mystery always spark our curiosity, so when we stumbled upon the story of Skynet-1A, Britain’s first communication satellite from 1969, we knew it was worth exploring. The BBC recently highlighted its unexpected movement across the sky – you can check out their full coverage here. The idea that this half-century-old hunk of metal mysteriously shifted orbits leaves us with more questions than answers. Who moved Skynet-1A, and why?

Launched just months after the Apollo 11 Moon landing, Skynet-1A stood as a symbol of Cold War innovation, initially placed above East Africa to support British military communications. But unlike the silent drift of inactive satellites heading naturally eastward, Skynet-1A defied orbital norms, popping up halfway across the globe above the Americas. This wasn’t mere chance; someone or something had made it fire its thrusters, likely in the mid-1970s.

Experts like Dr. Stuart Eves and UCL’s Rachel Hill suggest the possibility of control being temporarily transferred to the US, particularly during maintenance periods at the UK’s RAF Oakhanger. Still, the specifics remain buried in lost records and decades-old international collaborations. Skynet-1A’s journey serves as a stark reminder of the persistent challenges in space and the gaps in our historical data.

Looking for more space oddities? Hackaday has some interesting articles on space debris. You can read the original BBC article here.


hackaday.com/2024/11/11/britai…



Automated Weed Spraying Drone Needs No Human Intervention


24604179

Battling weeds can be expensive, labor intensive and use large amounts of chemicals. To help make this easier [NathanBuilds] has developed V2 of his open-source drone weed spraying system, complete with automated battery swaps, herbicide refills, and an AI vision system for weed identification.

The drone has a 3D printed frame, doubling as a chemical reservoir. V1 used a off-the-shelf frame, with separate tank. Surprisingly, it doesn’t look like [Nathan] had issues with leaks between the layer lines. For autonomous missions, it uses ArduPilot running on a PixHawk, coupled with RTK GPS for cm-level accuracy and a LiDAR altimeter. [Nathan] demonstrated the system in a field where he is trying to eradicate invasive blackberry bushes while minimizing the effect on the native prairie grass. He uses a custom image classification model running on a Raspberry Pi Zero, which only switches on the sprayers when it sees blackberry bushes in the frame. The Raspberry Pi Global Shutter camera is used to get blur-free images.

At just 305×305 mm (1×1 ft), the drone has limited herbicide capacity, and we expect the flights to be fairly short. For the automated pit stops, the drone lands on a 6×8 ft pad, where a motorized capture system pulls the drone into the reload bay. Here a linear actuator pushes a new battery into the side of the drone while pushing the spend battery one out the other side. The battery unit is a normal LiPo battery in 3D-printed frame. The terminal are connected to copper wire and tape contacts on the outside the battery unit, which connect to matching contacts in the drone and charging receptacles. This means the battery can easily short if it touches a metal surface, but a minor redesign could solve this quickly. There are revolving receptacles on either side of the reload bay, which immediately start charging the battery when ejected from the drone.

Developing a fully integrated system like this is no small task, and it shows a lot of potential. It might look a little rough around the edges, but [Nathan] has released all the design files and detailed video tutorials for all the subsystems, so it’s ready for refinement.

youtube.com/embed/fywiyoCudQE?…


hackaday.com/2024/11/11/automa…



@RaccoonForFriendica new version 0.1.0-beta21 available for testing!

Changelog:
🦝 add option to load media only when connected over a WiFi network;
🦝 add option to open web pages in internal viewer;
🦝 default visibility for replies and warning if higher visibility than original post;
🦝 prevent changing visibility in post edits;
🦝 make plain text mode the default choice for composition;
🦝 remove "other" section in login;
🦝 improved video player;
🦝 render custom emojis inside poll options;
🦝 layout fixes: chat title, user items in inbox, loading indicators in buttons;
🦝 fix occasional crash in profile screen;
🦝 add more unit tests;
🦝 several dependency updates.

If things go well, this may be the final round of tests before the first stable release. The last bit will probably be making crash reports opt-out by default.

I'm also very pleased to inform you that the app has been accepted by IzzyOnDroid, so installing it is a lot easier if you use it or have its source added to your FDroid app.

In the meantime #livefasteattrash!

#friendica #friendicadev #androidapp #androiddev #fediverseapp #raccoonforfriendica #kotlin #multiplatform #kmp #compose #cmp #opensource #procyonproject

in reply to 𝔻𝕚𝕖𝕘𝕠 🦝🧑🏻‍💻🍕

@𝔇𝔦𝔢𝔤𝔬 🦝🧑🏻‍💻🍕

Ciao ti do il mio input iniziale: al prinicipio ero un po' confuso... Lo stream di default segue più lo stile Mastodon che quello di Friendica, ma dopo un paio di cambi sono riuscito a farlo più simile a come io uso la WebUI, sebbene sono rimasto col dubbio se il tab "subscription" mostra anche le ricerche salvate.

Un'opzione che ho visto che non è ancora presente è quello di lasciare la barra dei comandi fissa, spero puoi mettere questa richiesta nel tuo todo-list.

in reply to 🧊 freezr 🥶

@ l'opzione principale per rendere la timeline più "usabile" è abilitare l'opzione "Escludi risposte dalla timeline".

Quello che si vede nel feed "Iscrizioni" è il risultato di una chiamata GET v1/timelines/home che fa parte delle API Mastodon esposte dai server Friendica e che, da quel ho capito, include anche i post contenenti gli hashtag seguiti (in gergo Friendica le "ricerche salvate").

Cosa intendi con "tenere fissa la barra dei comandi"? La barra di navigazione inferiore (Timeline, Esplora, Inbox, Profilo) che sparisce quando scorri? Se sì, è certamente fattibile tenerla fissa, posso aggiungere un'opzione nella schermata delle impostazioni, avevo fatto la stessa identica cosa nel client per Lemmy ma pensavo non interessasse a nessuno questa funzione.

RaccoonForFriendica reshared this.

in reply to 𝔻𝕚𝕖𝕘𝕠 🦝🧑🏻‍💻🍕

@𝔇𝔦𝔢𝔤𝔬 🦝🧑🏻‍💻🍕

...da quel hi capito, include anche i post contenenti gli hashtag seguiti (in gergo Friendica le "ricerche salvate").

Mitico! 🤩

La barra di navigazione inferiore

Si quella, non mi veniva il nome in italiano... 😅
A me la barra che appare e scompare fa venire il mal di testa... 😵‍💫
Apprezzerei se potessi tenerla fissa! 🙏

Grazie! 🙏

in reply to 🧊 freezr 🥶

@❄️ freezr ❄️ scusami, una domanda: tengo fisse la barra superiore e quella inferiore, ma il "floating action button" (ovvero il pallozzo colorato che permette di creare un post, aggiungere un elemento o rispondere) in basso a destra? blocco anche lui?

ps. Termine tecnico "pallozzo".

RaccoonForFriendica reshared this.

in reply to 𝔻𝕚𝕖𝕘𝕠 🦝🧑🏻‍💻🍕

@𝔇𝔦𝔢𝔤𝔬 🦝🧑🏻‍💻🍕

Se proprio vuoi essere un figo puoi mettere una opzione per fissarla in alto e in basso... 😏

Personalmente odio il "pallozzo" e lo preferirei integrato nella barra di navigazione come nell'immagine postata.

Io sono un grande sostenitore di Diaspora, non so se hai mai usato il wrapper per Android chiamato Dandelior, potrebbe essere fonte d'inspirazione: sopratutto per come gestisce le risposte.

Ad esempio io ho una vera e propria intolleranza al "farting mode" stile Mastodon, dove le risposte sono totalmente sconnesse al loro "post" di appartenenza... 👎

Grazie! 🙏



Thermoelectric Blaster Flings Ice Projectiles


24591617

Nerf blasters are fun and all, but flinging foam can get old. Picking it up again, even moreso. This blaster from [Concept Crafted Creations] gets around that annoying problem by shooting ice instead.

The concept was to build a better water gun with longer range—and what better way to do that than by shooting ice instead? The blaster relies on a PVC air tank for propulsion—one of the most controversial design choices you can make if you read the comments around here. It’s charged by a small air compressor, and dumping the air is handled by a solenoid valve. So far, so simple.

What makes this blaster special is where it gets its ammunition from. The blaster uses a custom CNC-machined block from PCBway to act as a freeze chamber. Water enters an aluminum block, and is cooled by thermoelectric elements. Once the projectile has frozen inside the chamber, it’s stuck in place, so the chamber is then heated by a small heating element. This melts the projectile just enough to allow it to be fired.

It’s a complicated but ingenious way of building an ice blaster. It does pack some real punch, too. It shoots the ice projectiles hard enough to shatter wine glasses. That’s enough to tell us you don’t want to be aiming this thing at your pals in a friendly match of Capture the Flag. Stick to paintballs, perhaps. Video after the break.

youtube.com/embed/2Nbe8wkpjIM?…


hackaday.com/2024/11/11/thermo…



The indictment also charges a second hacker that 404 Media previously reported as being linked to the AT&T breach.#News #Hacking


Making a Unique Type Of Wind Gauge For Home Assistant Use


24586086

Sometimes, it’s nice to know how windy it is outside. Knowing the direction of the wind can be a plus, too. To that end, [Sebastian Sokołowski] built himself an unusual anemometer—a wind gauge—to feed into his smart home system.

[Sebastian’s] build is able to tell both wind speed and direction—and with no moving parts! Sort of, anyway. That makes the design altogether different from the usual cup type anemometers with wind vanes that you might be used to seeing on home weather stations. [Sebastian] wanted to go a different route—he wanted a sensor that wouldn’t be so subject to physical wear over time.

The build relies on strain gauges. Basically, [Sebastian] 3D printed a sail-like structure that will flex under the influence of the wind. With multiple strain gauges mounted on the structure, it’s possible to determine the strength of the wind making it flex and in what direction. [Sebastian] explains how this is achieved, particularly involving the way the device compensates for typical expansion and contraction due to temperature changes.

It’s a really unique way to measure wind speed and direction; we’d love to learn more about how it performs in terms of precision, accuracy, and longevity—particularly with regards to regular mechanical and ultrasonic designs. We’ll be keeping a close eye on [Sebastian’s] work going forward. Video after the break.

youtube.com/embed/VRTdikyyJBE?…


hackaday.com/2024/11/11/making…