During the first week of October, Kaspersky took part in the 34th Virus Bulletin International Conference, one of the longest-running cybersecurity events. There, our researchers delivered multiple presentations, and one of our talks focused on newly observed activities by the Careto threat actor, which is also known as “The Mask”. You can watch the recording of this presentation here:

youtube.com/embed/d3DSPtOZEck?…

The Mask APT is a legendary threat actor that has been performing highly sophisticated attacks since at least 2007. Their targets are usually high-profile organizations, such as governments, diplomatic entities and research institutions. To infect them, The Mask uses complex implants, often delivered through zero-day exploits. The last time we published our findings about The Mask was in early 2014, and since then, we have been unable to discover any further traces of this actor.

The Mask’s new unusual attacks

However, our newest research into two notable targeted attack clusters made it possible to identify several recent cyberattacks that have been, with medium to high confidence, conducted by The Mask. Specifically, we observed one of these attacks targeting an organization in Latin America in 2022. While we do not have any traces allowing us to tell how this organization became compromised, we have established that over the course of the infection, attackers gained access to its MDaemon email server. They further leveraged this server to maintain persistence inside the compromised organization with the help of a unique method involving an MDaemon webmail component called WorldClient.

Authentication panel of the WorldClient component

Implanting the MDaemon server

The persistence method used by the threat actor was based on WorldClient allowing loading of extensions that handle custom HTTP requests from clients to the email server. These extensions can be configured through the C:\MDaemon\WorldClient\WorldClient.ini file, which has the format demonstrated in the screenshot below:

Sample of the WorldClient.ini file containing plugin entries

As can be observed from the screenshot above, the information about each extension includes a relative URL controlled by the extension (specified in the CgiBase parameter), as well as the path to the extension DLL (in the parameter CgiFile).

To use WorldClient’s extension feature for obtaining persistence, the threat actor compiled their own extension and configured it by adding malicious entries for the CgiBase6 and CgiFile6 parameters, underlined in red in the screenshot. As such, the actor was able to interact with the malicious extension by making HTTP requests to the URL https://<webmail server domain name>/WorldClient/mailbox.

Spreading the FakeHMP implant inside the network

The malicious extension installed by attackers implemented a set of commands associated with reconnaissance, performing file system interactions and executing additional payloads. We observed attackers using these commands to gather information about the infected organization and then spread to other computers inside its network. While investigating the infection that occurred in Latin America in 2022, we established that the attackers used the following files to conduct lateral movement:

• sys, a legitimate driver of the HitmanPro Alert software
• dll, a malicious DLL with the payload to be delivered
• ~dfae01202c5f0dba42.cmd, a malicious .bat file
• Tpm-HASCertRetr.xml, a malicious XML file containing a scheduled task description

To spread to other machines, attackers uploaded these four files and then created scheduled tasks with the help of the Tpm-HASCertRetr.xml description file. When started, these scheduled tasks executed commands specified in the ~dfae01202c5f0dba42.cmd file, which in turn installed the hmpalert.sys driver and configured it to load on startup.

One of the functions of the hmpalert.sys driver is to load HitmanPro’s DLL, placed at C:\Windows\System32\hmpalert.dll, into running processes. However, as this driver does not verify the legitimacy of the DLLs it loads, attackers were able to place their payload DLLs at this path and thus inject them into various privileged processes, such as winlogon.exe and dwm.exe, on system startup.

What was also notable is that we observed attackers using the hmpalert.sys driver to infect a machine of an unidentified individual or organization in early 2024. However, unlike in 2022, the adversary did not use scheduled tasks to do that. Instead, they leveraged a technique involving Google Updater, described here.

The payload contained in the malicious hmpalert.dll library turned out to be a previously unknown implant that we dubbed FakeHMP. Its capabilities included retrieving files from the filesystem, logging keystrokes, taking screenshots and deploying further payloads to infected machines. Apart from this implant, we also observed attackers deploying a microphone recorder and a file stealer to compromised computers.

Same organization, hacked by the Mask in 2019

Having examined available information about the organization compromised in 2022, we found that it was also compromised with an advanced attack in 2019. That earlier attack involved the use of two malicious frameworks which we dubbed “Careto2” and “Goreto”. As for Careto2, we observed the threat actor deploying the following three files to install it:

• Framework loader (placed at %appdata%\Media Center Programs\cversions.2.db);
• Framework installer (named ~dfae01202c5f0dba42.cmd);
• Auxiliary registry file (placed at %temp%\values.reg).

We further found that, just like in the 2022 infection case, attackers used a scheduled task to launch a .cmd file, which in turn configured the framework to persist on the compromised device. The persistence method observed was COM hijacking via the {603d3801-bd81-11d0-a3a5-00c04fd706ec} CLSID.

Regarding the framework itself, it was designed to read plugins stored in its virtual file system, located in the file %appdata%\Media Center Programs\C_12058.NLS. The name of each plugin in this filesystem turned out to be a four-byte value, such as “38568efd”. We have been able to ascertain that these four-byte values were DJB2 hashes of DLL names. This made it possible to brute-force these plugin names, some of which are provided in the table below:

Regarding the other framework, Goreto, it is a toolset coded in Golang that periodically connects to a Google Drive storage to retrieve commands. The list of supported commands is as follows:

Apart from the command execution engine, Goreto implements a keylogger and a screenshot taker.

Attribution

As mentioned above, we attribute the previously described attacks to The Mask with medium to high confidence. One of the first attribution clues that caught our attention was several file names used by the malware since 2019, alarmingly similar to the ones used by The Mask more than 10 years ago:

The brute-forced DLL names of Careto2 plugins also turned out to resemble the names of plugins used by The Mask in 2007–2013:

Finally, the campaigns conducted in 2007–2013 and 2019 have multiple overlaps in terms of TTPs, for instance the use of virtual file systems for storing plugins and leveraging of COM hijacking for persistence.

Regarding the attacks observed in 2022 and 2024, we have also attributed these to The Mask, mainly for the following reasons:

• The organization in Latin America, infected in 2022, was the one compromised by Careto2 in 2019, and by historical The Mask implants in 2007-2013
• In both 2019 and 2022 cases, the same unique file name was used to deploy implants to infected machines: ~dfae01202c5f0dba42.cmd;
• The attacks from 2019 and 2022–2024 overlap in terms of TTPs, as the malware deployed in these attacks uses cloud storages for exfiltration and propagates across system processes.

Conclusion

Ten years after we last saw Careto cyberattacks, this actor is still as powerful as before. That is because Careto is capable of inventing extraordinary infection techniques, such as persistence through the MDaemon email server or implant loading though the HitmanPro Alert driver, as well as developing complex multi-component malware. While we cannot estimate how long it will take for the community to discover the next attacks by this actor, we are confident that their next campaign will be as sophisticated as the previous ones.

If you want more technical information about Careto, please feel free to also read the research paperon this actor, published in Proceedings of the 34th Virus Bulletin International Conference.

securelist.com/careto-is-back/…

[Happy Little Diodes] built a Pi Pico logic analyzer designed by [El Dr. Gusman] using the original design. But he recently had a chance to test the newest version of the design, which is a big upgrade. You can see his take on the new design in the video below.

The original design could sample 24 channels at 100 MHz and required two different PCBs. The new version uses a single board and can operate up to 400 MHz. There’s also a provision for chaining multiple boards together to get more channels.

You can set the level shifters to use 5V, 3.3V, or an external voltage. Since [Happy] is working on a ZX Spectrum, the 5V conversion is a necessity.

One thing that a cheap logic analyzer lets you do is dedicate it to a particular purpose. In fact, by the end of the video, we see a dedicated connector to make it easier to attach the board to a ZX Spectrum.

The code is on GitHub, although it warns you there that you that version 6 — the one seen in the video — isn’t stable, so you might have to wait to make one on your own. The software looks impressive and there may be some effort to integrate with Sigrok.

If you missed our coverage of the earlier version, you can still catch up. Dead set on Sigrok support? [Pico-Coder] can help you out.

youtube.com/embed/VjSF2LWJVVU?…

hackaday.com/2024/12/12/pico-l…

Il gruppo di attivisti filorussi NoName057(16) sta conducendo una serie di attacchi DDoS mirati contro numerose istituzioni e aziende italiane, con l’intento di destabilizzare e paralizzare l’infrastruttura digitale del Paese. Questi attacchi, che fanno parte di una campagna più ampia di cyberattacchi contro i Paesi che sostengono l’Ucraina, mirano a danneggiare la reputazione e le capacità operative delle entità coinvolte, sfruttando tecniche sofisticate per compromettere la sicurezza e l’affidabilità delle reti italiane.

Motivazione

Secondo quanto riferito dal gruppo di hacker sul suo canale Telegram, NoName057(16) ha dichiarato l’intenzione di “celebrare” la nomina di Giorgia Meloni, indicata da Politico come il politico più influente d’Europa, con una serie di attacchi DDoS mirati contro l’infrastruttura internet italiana, accusandola di essere un’alleata dell’Ucraina e del presidente Zelensky.

Il tool usato per condurre gli attacchi: DDoSia

NoName057(16) è un gruppo hacktivista pro-Russia attivo dal 2022, noto per condurre attacchi DDoS contro istituzioni governative, aziende e infrastrutture critiche nei Paesi che sostengono l’Ucraina. Utilizzano il loro canale Telegram per rivendicare attacchi, coordinare operazioni e mobilitare la loro comunità di sostenitori. Il gruppo si distingue per l’uso del tool DDosia, un software progettato per eseguire attacchi distribuiti con efficacia crescente, e per l’adozione di tecniche avanzate per eludere le difese informatiche.

Funzionamento tecnico del tool

1. Architettura e linguaggio:
   
   • Originariamente sviluppato in Python, il tool è stato successivamente riscritto in linguaggio Go per migliorare l’efficienza e la sicurezza.
   • Utilizza il protocollo HTTP per comunicare con i server Command & Control (C2), che forniscono istruzioni e obiettivi.

   
   

2. Esecuzione e comunicazione con i server C2:
   
   • All’avvio, DDoSia effettua una richiesta di autenticazione POST al server C2 con un payload cifrato in AES-GCM.
   • Dopo l’autenticazione, il server fornisce un identificativo temporale (epoch) e l’elenco dei target da attaccare, anch’esso cifrato.
   • Le richieste includono parametri specifici, come:
     
     • “U”: un hash fornito tramite il bot Telegram del gruppo.
     • “C”: un GUID del dispositivo che esegue il tool.
     • “K”: un valore codificato in base32 per accedere alla lista dei target.

     
     

   • I target sono distribuiti in un file JSON cifrato che viene decifrato localmente per l’attacco.

   
   

3. Cifratura e sicurezza:
   
   • Il toolkit utilizza algoritmi avanzati come AES-GCM per cifrare sia le comunicazioni che i dati trasmessi.
   • La chiave di cifratura è generata dinamicamente utilizzando informazioni del sistema, come il GUID del dispositivo e il Process ID (PID).
   • L’uso di header e valori dinamici, come User-Agent casuali, rende più difficile il rilevamento da parte delle difese di rete.

   
   

4. Aggiornamenti e miglioramenti:
   
   • Nel 2023, sono stati introdotti nuovi meccanismi di autenticazione e ulteriori livelli di cifratura per nascondere meglio i target e complicare l’analisi tecnica.
   • Le risposte del server includono dati strutturati in modo da eludere i controlli statici, con variazioni regolari per evitare il blocco delle infrastrutture C2.

   
   

Conclusioni

Gli attacchi DDoS orchestrati dal gruppo hacktivista NoName057(16) rappresentano una minaccia concreta e persistente per le infrastrutture critiche e aziendali italiane. Motivati da ragioni ideologiche e politiche, i membri del gruppo sfruttano strumenti tecnicamente avanzati, come il toolkit DDoSia, per condurre operazioni di cyberwarfare contro i Paesi percepiti come ostili alla Russia.

La capacità del gruppo di adattare le proprie tecniche, migliorare la sicurezza delle comunicazioni e mobilitare una comunità di sostenitori attraverso i social media lo rende un avversario particolarmente complesso da contrastare. Gli attacchi contro l’Italia evidenziano non solo una strategia ben coordinata, ma anche l’intento di colpire simbolicamente e strategicamente un Paese considerato influente a livello europeo.

Per fronteggiare questa minaccia, è essenziale che le istituzioni e le aziende italiane rafforzino le proprie difese informatiche, investano in tecnologie di monitoraggio avanzate e promuovano una maggiore collaborazione tra pubblico e privato. Solo attraverso un approccio proattivo e condiviso sarà possibile mitigare gli impatti di questa campagna di attacchi e proteggere le infrastrutture strategiche nazionali.

L'articolo Italia Sotto Attacco: Guardia di Finanza, Porto di Taranto e altre istituzioni nella mira di NoName057(16) proviene da il blog della sicurezza informatica.

Il mondo della sicurezza informatica è in continua evoluzione, con nuove minacce che emergono regolarmente. Una delle più recenti è il ransomware Termite, analizzato dettagliatamente in un articolo di Cyble.

Questo malware ha attirato l’attenzione per la sua sofisticazione e per gli attacchi mirati a specifici settori industriali. Inoltre, l’immagine associata all’articolo offre una panoramica visiva delle tecniche e delle correlazioni tra diverse minacce ransomware.

Caratteristiche del Ransomware Termite

Termite è un ransomware che si distingue per l’uso di tecniche avanzate e per la scelta mirata delle sue vittime. Secondo l’analisi di Cyble, Termite adotta le seguenti strategie:

• Accesso Iniziale: Utilizza credenziali valide per infiltrarsi nei sistemi target, spesso ottenute tramite phishing o altre forme di ingegneria sociale.
• Esecuzione: Una volta ottenuto l’accesso, esegue comandi malevoli per stabilire il controllo sul sistema compromesso.
• Persistenza: Implementa meccanismi per mantenere l’accesso anche dopo eventuali riavvii o tentativi di rimozione.
• Evasione delle Difese: Utilizza tecniche per eludere i sistemi di sicurezza, come la disabilitazione di software antivirus o l’offuscamento del codice.
• Cifratura dei Dati: Cripta i file dell’utente, rendendoli inaccessibili e richiedendo un riscatto per la decrittazione.

Queste tattiche rendono Termite una minaccia particolarmente insidiosa, capace di causare danni significativi alle organizzazioni colpite.

Analisi dell’Immagine

L’immagine associata all’articolo di Cyble offre una rappresentazione schematica delle tecniche utilizzate da Termite e delle sue correlazioni con altri ransomware. Ecco una descrizione dettagliata degli elementi principali:

1. Entità Chiave:
   
   • Termite: Posizionato al centro dello schema, indica il focus dell’analisi.
   • Altri Ransomware: Entità come Vasa Locker, Babuk e Babyk sono collegate a Termite, suggerendo somiglianze nelle tecniche utilizzate.

   
   

2. Tecniche MITRE ATT&CK:
   
   • Le linee che collegano Termite e gli altri ransomware a specifiche tecniche rappresentano le metodologie adottate durante gli attacchi.
   • Ad esempio, la tecnica T1486 (Data Encrypted for Impact) è comune tra questi ransomware, indicando l’uso della cifratura dei dati per estorcere denaro.

   
   

3. Settori Presi di Mira:
   
   • Il settore Technology è evidenziato come uno dei principali bersagli, mostrando la predilezione di questi ransomware per le aziende tecnologiche.

   
   

4. Correlazioni:
   
   • Le connessioni tra le entità e le tecniche suggeriscono una possibile condivisione di strumenti o metodologie tra diversi gruppi di attacco.

   
   

Questa rappresentazione visiva aiuta a comprendere la complessità delle operazioni di Termite e le sue interazioni con altre minacce simili.

Implicazioni per la Sicurezza Informatica

L’emergere di ransomware come Termite ha diverse implicazioni per la sicurezza informatica:

• Aumento della Complessità degli Attacchi: L’uso di tecniche avanzate richiede alle organizzazioni di adottare misure di sicurezza più sofisticate.
• Necessità di Monitoraggio Continuo: Implementare sistemi di monitoraggio in tempo reale è fondamentale per rilevare e rispondere rapidamente alle minacce.
• Collaborazione tra Attori Malevoli: Le somiglianze tra diverse famiglie di ransomware suggeriscono una possibile collaborazione o condivisione di risorse tra cybercriminali.
• Settori a Rischio: Il settore tecnologico è particolarmente vulnerabile, rendendo essenziale l’adozione di misure di protezione specifiche.

Per affrontare efficacemente queste sfide, le organizzazioni devono investire in formazione, tecnologie di sicurezza avanzate e strategie di risposta agli incidenti.

Conclusione

Il ransomware Termite rappresenta una minaccia significativa nel panorama della sicurezza informatica. La sua capacità di utilizzare tecniche avanzate e di colpire settori specifici sottolinea l’importanza di una difesa proattiva e informata. Comprendere le sue modalità operative e le sue correlazioni con altre minacce è essenziale per sviluppare strategie efficaci di prevenzione e risposta.

L'articolo Termite Ransomware : Analisi sulla Minaccia e le Sue Implicazioni proviene da il blog della sicurezza informatica.

Dopo che il terzo corso si è concluso ad Ottobre scorso e i partecipanti iniziano ad entrare sempre più all’interno della CTI Attraverso il gruppo DarkLab, il team di Formazione di Red Hot Cyber avvia il nuovo corso di formazione professionale in “Live Class” di livello intermedio sulla cyber threat intelligence. Il corso consentirà, dopo aver sostenuto con successo l’esame finale, di conseguire la certificazione Cyber Threat Intelligence Professional, rilasciata da Red Hot Cyber anche se il corso non sarà fine a se stesso.

Conoscere l’underground per imparare a proteggerti meglio

Sei pronto per un viaggio nel lato oscuro di Internet ed accedere al Dark Web? Sei pronto a comprendere come criminali informatici collaborano e utilizzano le risorse informatiche?

Se la risposta è sì, allora il nostro nuovo corso di Cyber Threat Intelligence (CTI) potrebbe essere esattamente ciò di cui hai bisogno.
Contattaci tramite WhatsApp al 379 163 8765 per maggiori informazioni o per bloccare il tuo posto, oppure scrivici a: academy@redhotcyber.com. Ricorda che il corso è a numero chiuso e i posti sono limitati.
Condotta dal professor Pietro Melillo, PhD presso l’Università del Sannio e docente presso l’Università IUSI, questa esperienza formativa rivoluzionaria promette di fornire agli studenti gli strumenti e la conoscenza necessari per navigare in sicurezza le profondità del web sotterraneo.
Immagine della consegna del certificato CTIP ad un partecipante del primo corso di formazione sulla Cyber Threat Intelligence di Red Hot Cyber
Il Professore Melillo è un esperto riconosciuto nel campo della sicurezza informatica, con anni di esperienza nella ricerca e nell’insegnamento. Ha condotto ricerche innovative nel campo della minaccia informatica e ha una vasta conoscenza dei meccanismi che regolano il Dark Web.

“La threat intelligence, o CTI, consiste in dati contenenti informazioni dettagliate sulle minacce alla sicurezza informatica che prendono di mira un’organizzazione”, spiega il Professore Melillo. “Il corso fornirà sia ai neofiti che ai professionisti del settore le competenze tecnico-operative e strategiche necessarie per affrontare le nuove sfide professionali sollevate dalla cybersecurity.”
Contattaci tramite WhatsApp al 379 163 8765 per maggiori informazioni o per bloccare il tuo posto, oppure scrivici a: academy@redhotcyber.com. Ricorda che il corso è a numero chiuso e i posti sono limitati.

Ma che cos’è la Cyber Threat Intelligence?

La Cyber Threat Intelligence (CTI), è un campo della sicurezza informatica che si occupa di raccogliere, analizzare e interpretare informazioni relative alle minacce informatiche. Queste informazioni possono riguardare attacchi informatici in corso, potenziali vulnerabilità nei sistemi informatici, gruppi hacker, metodi di attacco e altro ancora.
Immagine della consegna del certificato CTIP da parte del Professor Pietro Melillo ad un partecipante del primo corso di formazione sulla Cyber Threat Intelligence di Red Hot Cyber
L’obiettivo principale della CTI è quello di fornire alle organizzazioni e agli individui le informazioni necessarie per comprendere le minacce alla sicurezza informatica che potrebbero mettere a rischio i loro dati, le loro reti o i loro sistemi informatici. Utilizzando queste informazioni, le organizzazioni possono prendere decisioni informate sulla protezione dei loro asset digitali e implementare strategie di difesa più efficaci.
Contattaci tramite WhatsApp al 379 163 8765 per maggiori informazioni o per bloccare il tuo posto, oppure scrivici a: academy@redhotcyber.com. Ricorda che il corso è a numero chiuso e i posti sono limitati.
La CTI può includere sia fonti di informazioni pubbliche (OSINT), come report di sicurezza, articoli di ricerca e notizie, sia fonti di informazioni non pubbliche (CLOSINT), come dati raccolti da sensori di sicurezza, analisi di malware e rapporti di intelligence condivisi tra organizzazioni.

In sintesi, la Cyber Threat Intelligence è uno strumento fondamentale nella lotta contro le minacce informatiche, fornendo una panoramica approfondita e strategica delle attività e delle intenzioni degli attaccanti, e consentendo alle organizzazioni di prepararsi meglio e rispondere in modo più efficace alle minacce alla sicurezza informatica.

Come si articolerà il corso in Live Class

Il corso si articolerà in diverse fasi cruciali:

• Dark web e reti protette
  
  • Cos’è il dark web
  • Storia del dak web
  • Come accedere al dark web in modo sicuro
  • Le risorse undeground

  
  

• Le minacce cyber
  
  • I threat actors
  • I forum underground
  • Le botnet e gli infostealer
  • Gli 0day e il mercato degli exploit
  • I broker di accesso
  • Il lato oscuro di Telegram
  • Il MaaS (Malware as a service)
  • Il Threat Hunting
  • Gli indicatori di compromissione (IoC)
  • Accesso alle risorse underground

  
  

• La cyber threat intelligence
  
  • La Cyber Threta Intelligence
  • Benefici per le organizzazioni
  • Fonti OSINT, HUMINT, TECHINT, CLOSINT
  • Traffic Light Protocol (TLP)
  • Strumenti di raccolta

  
  

• Il fenomeno del ransomware
  
  • Le cyber gang ransomware
  • La piramide del RaaS (Ransomware as a service)
  • I data leak site (DLS o siti della vergogna)
  • I ransomware monitor
  • Fonti open source
  • Accesso ai data leak site

  
  

• Strumenti di raccolta dati ed analisi
  
  • Tool open source, a pagamento e risorse online freeware
  • Tecniche di monitoraggio e rilevamento
  • Metodologie di analisi
  • Strumenti e tecniche di analisi
  • Esercitazioni pratiche

  
  

Contattaci tramite WhatsApp al 379 163 8765 per maggiori informazioni o per bloccare il tuo posto, oppure scrivici a: academy@redhotcyber.com. Ricorda che il corso è a numero chiuso e i posti sono limitati.
Per partecipare al corso sono necessarie delle nozioni di base sulla navigazione internet e sulla sicurezza informatica. Le lezioni saranno in modalità live-webinar dove gli alunni potranno interagire con i professori online. Le lezioni sono a numero chiuso, per poter seguire al meglio ogni singola persona dal docente che sarà a vostra disposizione per eventuali dettagli o chiarimenti relativamente alle lezioni svolte.

Di seguito le date per la quarta edizione del corso:

• Domenica 9 Febbraio dalle 16 alle 19
• Domenica 16 Febbraio dalle 16 alle 19
• Domenica 23 Febbraio dalle 16 alle 19
• Domenica 2 Marzo dalle 16 alle 19
• Domenica 9 Marzo dalle 16 alle 19

Il professor Melillo consegna gli attestati di Certificazione CTIP ai partecipanti del corso.
Al termine del corso verrà rilasciato da Red Hot Cyber una certificazione di partecipazione al corso a seguito del completamento dei test che ne attestano il raggiungimento delle competenze acquisite. Per chi fornirà il consenso, il numero del certificato corrispondente e il nome, verranno pubblicati all’interno della pagina delle certificazioni.

Differenza tra corsi in Live-Class e in E-Learning

I corsi in live class rappresentano un’esperienza formativa interattiva e dinamica, ideale per chi desidera un confronto diretto con il docente e una partecipazione attiva. Gli studenti seguono le lezioni online in tempo reale e possono fare domande, ricevere chiarimenti immediati e approfondire argomenti complessi attraverso il dialogo. Nei corsi di livello intermedio, come quello sulla Cyber Threat Intelligence (CTI), questa modalità permette di affrontare temi avanzati con il supporto continuo del professore, disponibile anche durante la settimana per risolvere dubbi e fornire ulteriore assistenza.

I corsi in e-learning, invece, offrono la massima flessibilità e autonomia, rendendoli particolarmente adatti per chi si approccia per la prima volta a un argomento o ha bisogno di gestire i propri tempi di studio. Con lezioni registrate disponibili in qualsiasi momento, gli studenti possono costruire il proprio percorso di apprendimento senza vincoli di orario. Per i corsi di livello base sulla CTI, questa modalità permette di avvicinarsi ai fondamenti della materia. Anche se l’interazione con il docente non avviene in tempo reale, gli studenti possono inviare domande via email e ricevere risposte per chiarire eventuali incertezze.

Ad oggi puoi acquistare con uno sconto del 20% fino a Dicembre 2024 il corso “Dark Web e Cyber threat Intelligence” in versione E-Learning utilizzando questo link sulla nostra piattaforma di Academy.

Ma dopo il corso arriva il bello …

Il corso “Dark Web & Cyber Threat Intelligence” progettato da Red Hot Cyber offre un’esperienza pratica che continua anche dopo la conclusione del percorso formativo. I partecipanti che lo desiderano avranno l’opportunità di entrare a far parte del collettivo “DarkLab”, dove, sotto la guida di esperti, potranno contribuire alla redazione di report e articoli, interviste ai threat actors e approfondimenti legati alla cyber threat intelligence.

Questo percorso didattico è unico nel suo genere: Red Hot Cyber offre infatti un accesso esclusivo ad analisi e report di cyber threat intelligence, pubblicati regolarmente sul blog. I partecipanti avranno la possibilità di esplorare le realtà dell’underground digitale, con la possibilità di condurre analisi specifiche e mirate, un’opportunità che non troverete altrove.

Ulteriori informazioni utili:

• Pagina del corso “Darkweb e Cyber Threat Intelligence”: redhotcyber.com/academy/corso-…
• Pagina delle certificazioni (solo per chi fornisce il consenso alla pubblicazione del nome): redhotcyber.com/academy/certif…
• Conferimento alla Red Hot Cyber Conference dei certificati CTIP (minuto 2:18): youtube.com/watch?v=p71gQYUnv7…
• Alcuni post su Linkedin che riportano informazioni sul corso, da parte dei precedenti partecipanti al corso e alla certificazione CTIP.
• Il Gruppo Dark Lab https://www.redhotcyber.com/post/nasce-dark-lab-il-team-di-cyber-threat-intelligence-della-community-di-red-hot-cyber/

Contattaci tramite WhatsApp al 379 163 8765 per maggiori informazioni o per bloccare il tuo posto, oppure scrivici a: academy@redhotcyber.com. Ricorda che il corso è a numero chiuso e i posti sono limitati.
L'articolo Al Via la Quarta Edizione in Live Class del Corso Darkweb & Cyber Threat Intelligence in partenza a Febbraio proviene da il blog della sicurezza informatica.

London, Ontario college student [Victoria Korhonen] has captured the attention of tech enthusiasts and miniaturization lovers with her creation of what might be the world’s smallest arcade machine. Standing just 64 mm tall, 26 mm wide, and 30 mm deep, this machine is a scaled-down marvel playing the classic Atari game PONG. While the record isn’t yet official—it takes about three months for Guinness to certify—it’s clear [Korhonen]’s creation embodies ingenuity and dedication.

[Korhonen], an electromechanical engineering student, took six months to design and build this micro arcade. Inspired by records within reach, she aimed to outdo the previous tiniest arcade machine by shaving off just a few millimeters During the project she faced repeated failures, but viewed each iteration as a step towards success. Her miniature machine isn’t just a gimmick; it’s fully functional, with every component—from paddle mechanics to coding—developed from scratch.

[Korhonen] is already eyeing new projects, including creating the smallest humanoid robot. She also plans to integrate her electromechanical expertise into her family’s escape room business. Her journey aligns with other hobbyist projects pushing the limits of miniaturization, such as this credit card-sized Tetris clone or [Aliaksei Zholner]’s paper micro engines.

hackaday.com/2024/12/11/tiny-p…

Dopo che il terzo corso si è concluso ad Ottobre scorso e i partecipanti iniziano ad entrare sempre più all’interno della CTI Attraverso il gruppo DarkLab, il team di Formazione di Red Hot Cyber avvia il nuovo corso di formazione professionale in “Live Class” di livello intermedio sulla cyber threat intelligence. Il corso consentirà, dopo aver sostenuto con successo l’esame finale, di conseguire la certificazione Cyber Threat Intelligence Professional, rilasciata da Red Hot Cyber anche se il corso non sarà fine a se stesso.

Conoscere l’underground per imparare a proteggerti meglio

Sei pronto per un viaggio nel lato oscuro di Internet ed accedere al Dark Web? Sei pronto a comprendere come criminali informatici collaborano e utilizzano le risorse informatiche?

Se la risposta è sì, allora il nostro nuovo corso di Cyber Threat Intelligence (CTI) potrebbe essere esattamente ciò di cui hai bisogno.
Contattaci tramite WhatsApp al 379 163 8765 per maggiori informazioni o per bloccare il tuo posto, oppure scrivici a: academy@redhotcyber.com. Ricorda che il corso è a numero chiuso e i posti sono limitati.
Condotta dal professor Pietro Melillo, PhD presso l’Università del Sannio e docente presso l’Università IUSI, questa esperienza formativa rivoluzionaria promette di fornire agli studenti gli strumenti e la conoscenza necessari per navigare in sicurezza le profondità del web sotterraneo.
Immagine della consegna del certificato CTIP ad un partecipante del primo corso di formazione sulla Cyber Threat Intelligence di Red Hot Cyber
Il Professore Melillo è un esperto riconosciuto nel campo della sicurezza informatica, con anni di esperienza nella ricerca e nell’insegnamento. Ha condotto ricerche innovative nel campo della minaccia informatica e ha una vasta conoscenza dei meccanismi che regolano il Dark Web.

“La threat intelligence, o CTI, consiste in dati contenenti informazioni dettagliate sulle minacce alla sicurezza informatica che prendono di mira un’organizzazione”, spiega il Professore Melillo. “Il corso fornirà sia ai neofiti che ai professionisti del settore le competenze tecnico-operative e strategiche necessarie per affrontare le nuove sfide professionali sollevate dalla cybersecurity.”
Contattaci tramite WhatsApp al 379 163 8765 per maggiori informazioni o per bloccare il tuo posto, oppure scrivici a: academy@redhotcyber.com. Ricorda che il corso è a numero chiuso e i posti sono limitati.

Ma che cos’è la Cyber Threat Intelligence?

La Cyber Threat Intelligence (CTI), è un campo della sicurezza informatica che si occupa di raccogliere, analizzare e interpretare informazioni relative alle minacce informatiche. Queste informazioni possono riguardare attacchi informatici in corso, potenziali vulnerabilità nei sistemi informatici, gruppi hacker, metodi di attacco e altro ancora.
Immagine della consegna del certificato CTIP da parte del Professor Pietro Melillo ad un partecipante del primo corso di formazione sulla Cyber Threat Intelligence di Red Hot Cyber
L’obiettivo principale della CTI è quello di fornire alle organizzazioni e agli individui le informazioni necessarie per comprendere le minacce alla sicurezza informatica che potrebbero mettere a rischio i loro dati, le loro reti o i loro sistemi informatici. Utilizzando queste informazioni, le organizzazioni possono prendere decisioni informate sulla protezione dei loro asset digitali e implementare strategie di difesa più efficaci.
Contattaci tramite WhatsApp al 379 163 8765 per maggiori informazioni o per bloccare il tuo posto, oppure scrivici a: academy@redhotcyber.com. Ricorda che il corso è a numero chiuso e i posti sono limitati.
La CTI può includere sia fonti di informazioni pubbliche (OSINT), come report di sicurezza, articoli di ricerca e notizie, sia fonti di informazioni non pubbliche (CLOSINT), come dati raccolti da sensori di sicurezza, analisi di malware e rapporti di intelligence condivisi tra organizzazioni.

In sintesi, la Cyber Threat Intelligence è uno strumento fondamentale nella lotta contro le minacce informatiche, fornendo una panoramica approfondita e strategica delle attività e delle intenzioni degli attaccanti, e consentendo alle organizzazioni di prepararsi meglio e rispondere in modo più efficace alle minacce alla sicurezza informatica.

Come si articolerà il corso in Live Class

Il corso si articolerà in diverse fasi cruciali:

• Dark web e reti protette
  
  • Cos’è il dark web
  • Storia del dak web
  • Come accedere al dark web in modo sicuro
  • Le risorse undeground

  
  

• Le minacce cyber
  
  • I threat actors
  • I forum underground
  • Le botnet e gli infostealer
  • Gli 0day e il mercato degli exploit
  • I broker di accesso
  • Il lato oscuro di Telegram
  • Il MaaS (Malware as a service)
  • Il Threat Hunting
  • Gli indicatori di compromissione (IoC)
  • Accesso alle risorse underground

  
  

• La cyber threat intelligence
  
  • La Cyber Threta Intelligence
  • Benefici per le organizzazioni
  • Fonti OSINT, HUMINT, TECHINT, CLOSINT
  • Traffic Light Protocol (TLP)
  • Strumenti di raccolta

  
  

• Il fenomeno del ransomware
  
  • Le cyber gang ransomware
  • La piramide del RaaS (Ransomware as a service)
  • I data leak site (DLS o siti della vergogna)
  • I ransomware monitor
  • Fonti open source
  • Accesso ai data leak site

  
  

• Strumenti di raccolta dati ed analisi
  
  • Tool open source, a pagamento e risorse online freeware
  • Tecniche di monitoraggio e rilevamento
  • Metodologie di analisi
  • Strumenti e tecniche di analisi
  • Esercitazioni pratiche

  
  

Contattaci tramite WhatsApp al 379 163 8765 per maggiori informazioni o per bloccare il tuo posto, oppure scrivici a: academy@redhotcyber.com. Ricorda che il corso è a numero chiuso e i posti sono limitati.
Per partecipare al corso sono necessarie delle nozioni di base sulla navigazione internet e sulla sicurezza informatica. Le lezioni saranno in modalità live-webinar dove gli alunni potranno interagire con i professori online. Le lezioni sono a numero chiuso, per poter seguire al meglio ogni singola persona dal docente che sarà a vostra disposizione per eventuali dettagli o chiarimenti relativamente alle lezioni svolte.

Di seguito le date per la quarta edizione del corso:

• Domenica 9 Febbraio dalle 16 alle 19
• Domenica 16 Febbraio dalle 16 alle 19
• Domenica 23 Febbraio dalle 16 alle 19
• Domenica 2 Marzo dalle 16 alle 19
• Domenica 9 Marzo dalle 16 alle 19

Il professor Melillo consegna gli attestati di Certificazione CTIP ai partecipanti del corso.
Al termine del corso verrà rilasciato da Red Hot Cyber una certificazione di partecipazione al corso a seguito del completamento dei test che ne attestano il raggiungimento delle competenze acquisite. Per chi fornirà il consenso, il numero del certificato corrispondente e il nome, verranno pubblicati all’interno della pagina delle certificazioni.

Differenza tra corsi in Live-Class e in E-Learning

I corsi in live class rappresentano un’esperienza formativa interattiva e dinamica, ideale per chi desidera un confronto diretto con il docente e una partecipazione attiva. Gli studenti seguono le lezioni online in tempo reale e possono fare domande, ricevere chiarimenti immediati e approfondire argomenti complessi attraverso il dialogo. Nei corsi di livello intermedio, come quello sulla Cyber Threat Intelligence (CTI), questa modalità permette di affrontare temi avanzati con il supporto continuo del professore, disponibile anche durante la settimana per risolvere dubbi e fornire ulteriore assistenza.

I corsi in e-learning, invece, offrono la massima flessibilità e autonomia, rendendoli particolarmente adatti per chi si approccia per la prima volta a un argomento o ha bisogno di gestire i propri tempi di studio. Con lezioni registrate disponibili in qualsiasi momento, gli studenti possono costruire il proprio percorso di apprendimento senza vincoli di orario. Per i corsi di livello base sulla CTI, questa modalità permette di avvicinarsi ai fondamenti della materia. Anche se l’interazione con il docente non avviene in tempo reale, gli studenti possono inviare domande via email e ricevere risposte per chiarire eventuali incertezze.

Ad oggi puoi acquistare con uno sconto del 20% fino a Dicembre 2024 il corso “Dark Web e Cyber threat Intelligence” in versione E-Learning utilizzando questo link sulla nostra piattaforma di Academy.

Ma dopo il corso arriva il bello …

Il corso “Dark Web & Cyber Threat Intelligence” progettato da Red Hot Cyber offre un’esperienza pratica che continua anche dopo la conclusione del percorso formativo. I partecipanti che lo desiderano avranno l’opportunità di entrare a far parte del collettivo “DarkLab”, dove, sotto la guida di esperti, potranno contribuire alla redazione di report e articoli, interviste ai threat actors e approfondimenti legati alla cyber threat intelligence.

Questo percorso didattico è unico nel suo genere: Red Hot Cyber offre infatti un accesso esclusivo ad analisi e report di cyber threat intelligence, pubblicati regolarmente sul blog. I partecipanti avranno la possibilità di esplorare le realtà dell’underground digitale, con la possibilità di condurre analisi specifiche e mirate, un’opportunità che non troverete altrove.

Ulteriori informazioni utili:

• Pagina del corso “Darkweb e Cyber Threat Intelligence”: redhotcyber.com/academy/corso-…
• Pagina delle certificazioni (solo per chi fornisce il consenso alla pubblicazione del nome): redhotcyber.com/academy/certif…
• Conferimento alla Red Hot Cyber Conference dei certificati CTIP (minuto 2:18): youtube.com/watch?v=p71gQYUnv7…
• Alcuni post su Linkedin che riportano informazioni sul corso, da parte dei precedenti partecipanti al corso e alla certificazione CTIP.
• Il Gruppo Dark Lab https://www.redhotcyber.com/post/nasce-dark-lab-il-team-di-cyber-threat-intelligence-della-community-di-red-hot-cyber/

Contattaci tramite WhatsApp al 379 163 8765 per maggiori informazioni o per bloccare il tuo posto, oppure scrivici a: academy@redhotcyber.com. Ricorda che il corso è a numero chiuso e i posti sono limitati.
L'articolo Al Via la Quarta Edizione in Live Class del Corso Darkweb & Cyber Threat Intelligence in partenza a Gennaio proviene da il blog della sicurezza informatica.

La più grande azienda energetica della Romania, Electrica Group, è stata vittima di un attacco informatico. Secondo gli esperti di sicurezza informatica, dietro questo incidente c’è il gruppo di estorsione Lynx.

Il Gruppo Electrica serve attualmente più di 3,8 milioni di utenti in tutto il paese, fornendo servizi di fornitura di energia elettrica e manutenzione della rete, nonché distribuendo elettricità ai consumatori in tutta la Transilvania e la Muntenia.

All’inizio di questa settimana, Electrica Group ha dichiarato agli investitori che la società stava collaborando con le forze dell’ordine e gli esperti di sicurezza informatica per indagare su un “attacco informatico in corso”.

“Vogliamo sottolineare che i sistemi critici non sono stati interessati e che eventuali interruzioni che si verificano nell’interazione con i nostri consumatori sono il risultato delle misure di protezione adottate per garantire la sicurezza dell’infrastruttura interna”, ha affermato il capo di Electrica. “Queste misure sono temporanee e mirano a garantire la sicurezza dell’intero sistema.”

Sebbene la società non abbia rivelato i dettagli e la natura dell’attacco, il Ministero dell’Energia del Paese ha riferito che il Gruppo Electrica è stato vittima di un ransomware. Si sottolinea che l’incidente non ha interessato i sistemi SCADA utilizzati per la gestione e il monitoraggio della rete di distribuzione.

Ora la Direzione nazionale rumena per la sicurezza informatica (DNSC), anch’essa coinvolta nelle indagini sull’attacco, ha riferito che il ransomware Lynx è responsabile di questo hack. Gli esperti hanno allegato al loro messaggio uno script YARA, progettato per aiutare a rilevare segnali di possibile compromissione nelle reti di altre aziende.

“Secondo le informazioni disponibili, i sistemi energetici critici non sono stati interessati e funzionano normalmente, ma l’indagine è in corso. In caso di infezione da ransomware, sconsigliamo vivamente di pagare il riscatto richiesto dagli aggressori”, ha affermato DNSC in una nota.

Il ransomware Lynx è attivo almeno dal luglio 2024 e il “sito di fuga” del gruppo ha già pubblicato informazioni di oltre 78 vittime.

Secondo i ricercatori del Center for Internet Security (CIS), l’elenco delle vittime di Lynx comprende diverse aziende statunitensi e più di 20 organizzazioni operanti nei settori dell’energia, del petrolio e del gas che sono state attaccate tra luglio 2024 e novembre 2024.

Gli esperti ritengono che il ransomware Lynx possa essere basato sul codice sorgente del malware INC Ransom, che è stato messo in vendita sui forum di hacker per 300.000 dollari. Tuttavia, Lynx potrebbe anche rivelarsi un rebranding di INC Ransom, poiché gli aggressori spesso cambiano identità per non attirare indebita attenzione da parte delle forze dell’ordine.

L'articolo Energia in Ostaggio: Il Gruppo Electrica Colpito dal Ransomware Lynx proviene da il blog della sicurezza informatica.

Hobbyist 3D printers have traditionally run the open source Merlin firmware, but as printers are being pushed to the limits, more capable firmware Klipper are being developed. This is why the aptly named ‘Danger-Klipper’ fork of the Klipper firmware comes with the motto ‘I should be able to light my printer on fire’. Because the goal of Danger-Klipper wasn’t literally to light printers on fire (barring unfortunate accidents), the project has now been renamed to Kalico by the developers, after the pirate Calico Jack to maintain the nautical theming.
The Kalico project logo.
Not only does the project get a new name, but also a cute new pirate-themed calico cat logo. Beyond these changes not much else is different, though the documentation is obviously now also at a new domain. As a Klipper fork just about any printer that can run Klipper should be able to run Kalico, though the focus is on Raspberry Pi 2, 3 or 4. The FAQ has some more details on what Kalico can run on. Obviously, Kalico makes for a great option if you are building your own customized 3D printer (or similar), and will support the typical web UIs like Fluidd, OctoPrint, etc.

For some of the differences between Klipper and Kalico, the ‘Danger Features’ section of the documentation provides an impression. Suffice it to say that Kalico is not the kind of firmware to hold your hand or provide guiderails, making it an option for advanced users for whom breaking things while pushing boundaries is just part of the hobby.

Thanks to [Vinny] for the tip.

hackaday.com/2024/12/11/danger…

For better or worse, a lot of human technology is confined to fewer dimensions than the three we can theoretically move about in. Cars and trains only travel two dimensionally with limited exceptions, maps and books generally don’t take advantage of a third dimension, and most computer displays and even the chips that make them work are largely two-dimensional in nature. Most styles of cooking can only apply heat in a single dimension as well, but [Dane Kouttron] wanted to make sure the meat his cookouts took advantage of a truly three-dimensional cooking style by adding a gyroscopic mechanism to the spit.

The first thing that needed to be built were a series of concentric rings for each of the three axes of rotation. Metal tubes were shaped with a pipe bender and then welded into their final forms, with an annealing step to flatten the loops. From there, the rings are attached to each other with a series of offset bearings. The outer tube is mounted above the fire and a single motor spins this tube. Since no piece of meat is perfectly symmetrical (and could be offset on the interior ring a bit even if it were) enough chaos is introduced to the system that the meat is free to rotate in any direction, change direction at any time, and overall get cooked in a more uniform way than a traditional single-dimensional rotating spit.

As a proof of concept [Dane] hosted a cookout and made “gyro” sandwiches (even though the machine may technically be more akin to a gimbal), complete with small Greek flag decorative garnishes. It seems to have been a tremendous success as well. There are a few other novel ways we’ve seen of cooking food over the years, including projects that cook with plasma and much more widely available methods that cook food efficiently using magnets, of a sort.

hackaday.com/2024/12/11/chaoti…

The cable car system of San Francisco is the last manually operated cable car system in the world, with three of the original twenty-three lines still operating today. With these systems being installed between 1873 and 1890, they were due major maintenance and upgrades by the time the 1980s and with it their 100th year of operation rolled around. This rebuilding and upgrading process was recorded in a documentary by a local SF television station, which makes for some fascinating viewing.
San Francisco cable car making its way through traffic. Early 20th century.
While the cars themselves were fairly straight-forward to restore, and the original grips that’d latch onto the cable didn’t need any changes. But there were upgrades to the lubrication used (originally pine tar), and the powerhouse (the ‘barn’) was completely gutted and rebuilt.

As opposed to a funicular system where the cars are permanently attached to the cable, a cable car system features a constantly moving cable that the cars can grip onto at will, with most of the wear and tear on the grip dies. Despite researchers at San Francisco State University (SFSU) investigating alternatives, the original metal grip dies were left in place, despite their 4-day replacement schedule.

Ultimately, the rails and related guides were all ripped out and replaced with new ones, with the rails thermite-welded in place, and the cars largely rebuilt from scratch. Although new technologies were used where available, the goal was to keep the look as close as possible to what it looked at the dawn of the 20th century. While more expensive than demolishing and scrapping the original buildings and rolling stock, this helped to keep the look that has made it a historical symbol when the upgraded system rolled back into action on June 21, 1984.

Decades later, this rebuilt cable car system is still running as smoothly as ever, thanks to these efforts. Although SF’s cable car system is reportedly mostly used by tourists, the technology has seen somewhat of a resurgence. Amidst a number of funicular systems, a true new cable car system can be found in the form of e.g. the MiniMetro system which fills the automated people mover niche.

youtube.com/embed/56QWZwLMCsA?…

Thanks to [JRD] for the tip.

hackaday.com/2024/12/11/retrot…

This week, Jonathan Bennett, Simon Phipps, and Aaron Newcomb chat about retrocomputing, Open Source AI, and … politics? How did that combination of topics come about? Watch to find out!

youtube.com/embed/RDRR4ti-zdQ?…

Did you know you can watch the live recording of the show Right on our YouTube Channel? Have someone you’d like us to interview? Let us know, or contact the guest and have them contact us! Take a look at the schedule here.

play.libsyn.com/embed/episode/…

Direct Download in DRM-free MP3.

If you’d rather read along, here’s the transcript for this week’s episode.

Places to follow the FLOSS Weekly Podcast:

• Spotify
• RSS

Theme music: “Newer Wave” Kevin MacLeod (incompetech.com)

Licensed under Creative Commons: By Attribution 4.0 License

hackaday.com/2024/12/11/floss-…

l’Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro degli Stati Uniti D’America sta sanzionando la società di sicurezza informatica Sichuan Silence Information Technology Company, Limited (Sichuan Silence) e uno dei suoi dipendenti, Guan Tianfeng (Guan), entrambi con sede nella Repubblica Popolare Cinese (RPC), per il loro ruolo nella compromissione di decine di migliaia di firewall Sophos in tutto il mondo nell’aprile 2020. Molte delle vittime erano società di infrastrutture critiche statunitensi.

Gli autori di attacchi informatici malintenzionati, compresi quelli che operano in Cina, continuano a rappresentare una delle minacce più grandi e persistenti per la sicurezza nazionale degli Stati Uniti, come evidenziato nella Valutazione annuale delle minacce del 2024 pubblicata dall’Office of the Director of National Intelligence.

“L’azione di oggi sottolinea il nostro impegno a denunciare queste attività informatiche dannose, molte delle quali rappresentano un rischio significativo per le nostre comunità e i nostri cittadini, e a ritenere responsabili gli autori dei loro piani”, ha affermato il sottosegretario facente funzione del Tesoro per il terrorismo e l’intelligence finanziaria Bradley T. Smith. “Il Tesoro, come parte dell’approccio coordinato del governo degli Stati Uniti per affrontare le minacce informatiche, continuerà a sfruttare i nostri strumenti per interrompere i tentativi degli autori di attacchi informatici dannosi di minare la nostra infrastruttura critica”.

Oggi, il Dipartimento di Giustizia (DOJ) ha desecretato un atto di accusa contro Guan per la stessa attività. Inoltre, il Dipartimento di Stato degli Stati Uniti ha annunciato un’offerta di ricompensa Rewards for Justice fino a10 milioni di dollari per informazioni su Sichuan Silence o Guan.

Compromissione del firewall di aprile 2020

Guan Tianfeng ha scoperto un exploit zero-day in un prodotto firewall. Tra il 22 e il 25 aprile 2020, Guan Tianfeng ha utilizzato questo exploit zero-day per distribuire malware a circa 81.000 firewall di proprietà di migliaia di aziende in tutto il mondo. Lo scopo dell’exploit era quello di utilizzare i firewall compromessi per rubare dati, inclusi nomi utente e password. Tuttavia, Guan ha anche tentato di infettare i sistemi delle vittime con la variante del ransomware Ragnarok. Questo ransomware disabilita il software antivirus e crittografa i computer sulla rete di una vittima se tenta di porre rimedio alla compromissione.

Oltre 23.000 dei firewall compromessi si trovavano negli Stati Uniti. Di questi firewall, 36 proteggevano i sistemi delle aziende di infrastrutture critiche statunitensi. Se una di queste vittime non avesse patchato i propri sistemi per mitigare l’exploit, o le misure di sicurezza informatica non avessero identificato e rimediato rapidamente all’intrusione, il potenziale impatto dell’attacco ransomware Ragnarok avrebbe potuto causare gravi lesioni o la perdita di vite umane.

Una vittima era una società energetica statunitense che era attivamente coinvolta in operazioni di perforazione al momento della compromissione. Se questa compromissione non fosse stata rilevata e l’attacco ransomware non fosse stato sventato, avrebbe potuto causare il malfunzionamento delle piattaforme petrolifere, causando potenzialmente una significativa perdita di vite umane.

Guan Tianfeng e il silenzio del Sichuan

Guan è un cittadino cinese ed era un ricercatore di sicurezza presso Sichuan Silence al momento della compromissione. Guan ha gareggiato per conto di Sichuan Silence in tornei di sicurezza informatica e ha pubblicato exploit zero-day scoperti di recente su forum di vulnerabilità ed exploit, anche sotto il suo soprannome GbigMao. Guan è stato responsabile della compromissione del firewall di aprile 2020.

Sichuan Silence è un appaltatore governativo per la sicurezza informatica con sede a Chengdu, i cui clienti principali sono i servizi di intelligence della RPC. Sichuan Silence fornisce a questi clienti prodotti e servizi di sfruttamento della rete informatica, monitoraggio delle e-mail, cracking delle password con forza bruta e operazioni di manipolazione del pubblico. Inoltre, Sichuan Silence fornisce a questi clienti apparecchiature progettate per sondare e sfruttare i router di rete target. Un dispositivo di pre-posizionamento utilizzato da Guan nella compromissione del firewall di aprile 2020 era in realtà di proprietà del suo datore di lavoro, Sichuan Silence.

L’OFAC ha designato Sichuan Silence e Guan ai sensi dell’Ordine esecutivo (EO) 13694, modificato dall’EO 13757, per essere responsabili o complici, o per aver preso parte, direttamente o indirettamente, ad attività informatiche provenienti da, o dirette da, persone situate, in tutto o in parte sostanziale, al di fuori degli Stati Uniti, che hanno ragionevolmente probabilità di causare, o di aver contribuito materialmente a, una minaccia significativa alla sicurezza nazionale, alla politica estera, alla salute economica o alla stabilità finanziaria degli Stati Uniti e che hanno lo scopo o l’effetto di danneggiare, o altrimenti compromettere significativamente la fornitura di servizi da parte di, un computer o una rete di computer che supportano una o più entità in un settore di infrastrutture critiche.

L'articolo 10 Milioni di Dollari per Chi Trova Guan! Il Ricercatore Cinese che Colpì 81.000 Firewall proviene da il blog della sicurezza informatica.

agenparl.eu/2024/12/11/millepr…

(AGENPARL) – mer 11 dicembre 2024 MILLEPROROGHE, COLUCCI (M5S): SU AUTONOMIA E LEP GOVERNO PERSEVERA E VA CONTRO CONSULTA
ROMA, 11 dic. – “Nel testo bollinato del decreto Milleproroghe all’articolo 16 il governo trasferisce presso il dipartimento per gli Affari regionali e le Autonomie, quindi al ministro Calderoli, l’attività istruttoria per la determinazione dei livelli essenziali delle prestazioni (LEP) e dei relativi costi e fabbisogni standard, fino al 31 dicembre 2025. Quindi, il Governo persevera nell’errore di avocare a sè la determinazione dei Lep, calpestando il Parlamento e soprattutto la Corte Costituzionale che, nella recente sentenza sulla legge per l’Autonomia Differenziata, ha bocciato questa possibilità. Vorremmo anche capire cosa significa che l’attività istruttoria è trasferita “presso” e non “al” dipartimento, il Comitato per la determinazione dei LEP, presieduto dal prof. Cassese, è stato licenziato o semplicemente trasferito presso il Ministero? Sarebbe doveroso il suo scioglimento, a seguito della sentenza della Corte Costituzionale che ha bocciato la legge Calderoli e le collegate norme contenute nella legge di Bilancio 2023. In ogni caso questa contenuta nel dl Milleproroghe è un’operazione a dir poco spregiudicata, tenuto conto che la legge Calderoli è stata bocciata dalla Corte in tutti i suoi pilastri portanti, e lo è ancor di più se si considera che l’attività istruttoria si riferisce alla determinazione delle sole materie Lep e non anche, come pure ha stabilito la Corte, delle materie non Lep nelle parti in cui incidano su diritti sociali e civili. E’ proprio il caso di dire che non c’è peggior sordo di chi non vuol sentire. Al governo e alla maggioranza lo hanno ricordato tantissimi cittadini che hanno firmato per cancellare l’Autonomia, poi la Consulta con la sentenza che smantella la legge Calderoli. Se vogliono perseverare, prenderanno altre batoste e purtroppo a pagare saranno i cittadini che assistono a questo scempio istituzionale che può avere drammatiche ricadute sulla loro vita quotidiana”.
Lo afferma il capigruppo M5S nella commissioni Affari Costituzionali della Camera Alfonso Colucci.
—————–
Ufficio Stampa Parlamento
Movimento 5 Stelle

MILLEPROROGHE, COLUCCI (M5S): SU AUTONOMIA E LEP GOVERNO PERSEVERA E VA CONTRO CONSULTA

(AGENPARL) - Roma, 11 Dicembre 2024(AGENPARL) – mer 11 dicembre 2024 MILLEPROROGHE, COLUCCI (M5S): SU AUTONOMIA E LEP GOVERNO PERSEVERA E VA CONTRO CONSULTA ROMA, 11 dic.

^Agenparl

Have you ever considered running your ham radio remotely? It has been feasible for years but not always easy. Recently, I realized that most of the pieces you need to get on the air remotely are commonplace, so I decided to take the plunge. I won’t give step-by-step instructions because your radio, computer setup, and goals are probably different from mine. But I will give you a general outline of what you can do.

I’m fortunate enough to have a sizeable freestanding shop in my backyard. When I had it built, I thought it was huge. Now, not so much. The little space is crammed with test equipment, soldering gear, laser cutters, drill presses, and 3D printers. I’ve been a ham for decades, but I didn’t have room for the radios, nor did I have an antenna up. But a few months ago, I made space, set some radios up, strung out a piece of wire, and got back on the air. I had so much fun I decided it was time to buy a new radio. But I didn’t want to have to go out to the shop (or the lab, as I like to call it) just to relax with some radio time.

Good News!

The good news is that this makes life easier for going remote. The lab has a good network connection back to the house and I don’t have to worry about my radio being open to the public Internet. I also don’t have to worry about the transmitter going rogue since, if it does, I can simply walk out the back door and turn it off.

On the other hand, you could probably operate the station from anywhere in the world you have a network connection. You can VPN back into the local network. I have the transmitter on a switch so Alexa or Google can turn it on and off. The radio and all the software have safeguards such as maximum transmit time timeouts and a feature to shut down transmitting if it loses a network connection. So, if you are brave enough and your local laws permit it, you could probably operate from anywhere.

One Way

Nowadays, having a computer connected to your radio is almost a requirement. Even my old radio could take commands over an RS232 port. The new rig, an Icom IC-7300, has a USB port, and it looks like both a serial port and a sound card.

That last bit is especially handy since you used to have to figure out how to cable between the rig and the computer’s sound card. Now the rig is the computer’s sound card — or, at least, one of them.

Why?

If you are a ham, you can probably skip ahead, but if you aren’t, you might wonder why you need a computer. Of course, some of it is just handy. You can keep your log and look up propagation or callsigns. But you don’t have to be connected to a radio to do that. It just makes it easier.

There are two reasons having the computer connected to the radio really pays off. First, you can send and receive digital signals using a sound card.

Digital signals include text like RTTY or PSK31 where you type messages to each other, pictures in the form of SSTV, or computer-to-computer modes like FT8. Some people experiment with digital voice modes. There are many other options.

The other thing a computer can do is control your radio. Sure, you can use the knobs and buttons, but a computer can control it, which, for remote access, is essential. It can also help when you want a program to, for example, look up a station you’ve heard, find its location, calculate the direction that station is relative to you, and move your antenna to point in that direction.

How?

The simplest way to create a remote station is just to use a remote desktop program to log into the computer at your station. For digital modes, that may even be the best way, but it means all the software runs on the station computer (which could be a Raspberry Pi, for example). It also means that the audio you want to hear or send has to traverse over the remote desktop software, and most of them will prioritize screen traffic over audio. Plus if either computer has an unusually large or small screen, it isn’t always a good experience.

While I’ve played with that, I elected to go a different way. I wanted the radio and computer to be more or less a terminal and run the software to do things on my computer back in the office or my laptop.

To do this, you need two things: a way to control the radio and a way to send and receive audio as though you were on the station PC.

Control

Rig control is the trickiest part because it depends on what radio you have. Many radio manufacturers supply their own software, but often community offerings are better. In my case, I used the wfview software which works will with Icom radios. However, there are many other options for both Icom and other radios.

I picked it because it knows how to speak remotely to another instance of itself and can expose a standard “hamlib” interface that many pieces of ham software use to control radios.
The basic setup for FT8

FT-8 and Audio

The audio setup is a bit trickier. If all you want to do is listen and talk, then wfview does fine all by itself. However, my goal was to be able to install software for FT8, PSK31, RTTY, and even digital voice. In this case, I’m using JTDX for FT8.

JTDX can control a radio over a hamlib network connection. That isn’t turned on in wfview by default, but it is easy to turn on and assign a port number. In theory, you could do this on the remote copy of wfview or the local copy, but I chose to do it on the local copy. That means JTDX talks to the radio on the local 127.0.0.1 IP address.

For the audio, I needed a way to pipe audio from the fake sound card provided by wfview to the input of JTDX. Luckily, I just wrote a Linux Fu post about that very topic. If you don’t mind rebuilding everything, you can make a single audio loopback, but I made two: one for the radio input and one for the radio output.
The PipeWire configuration for FT8
By using two that I create on system startup (for example, in the /etc/rc.local file or using systemd), the programs always have a “device” that they can connect to. Just don’t forget the loopback have to run under your user ID, not root. If you rely on plain PipeWire or PulseAudio to make the connections, you will have to rebuild the connections each time.

Note that radio-in and radio-out are always available (assuming you created them). So when the programs start up, they can find the pipe even if the other side of the pipe doesn’t exist yet. That makes it easy to keep everything connected. Instead of branching the radio output to the speakers, the monitor output of the pipe does the job.

Creating these loopback devices is simple:
pw-loopback -n radio-in -m '[FL FR]' --capture-props='media.class=Audio/Sink' --playback-props='media.class=Audio/Source'
pw-loopback -n radio-out -m '[FL FR]' --capture-props='media.class=Audio/Sink' --playback-props='media.class=Audio/Source'
If you want to know more, check out my earlier post on PipeWire.

If you use Windows, there are ways to do it there, too (including if you are running Linux on one side and Windows on the other). The wfview audio configuration page has some details. While they suggest VBAN for Windows, you can use it with Linux, too, although even if you have a mixed setup, you can always use the native Linux facilities.

On the Air

Does it work? It sure does, as you can see in the accompanying screenshot. The latency of the audio over the network is usually under 200 milliseconds, so that’s workable, although if you have a lot of delay, it might present a problem. I tried a VPN connection from a remote location, but I still had less than 400 milliseconds. For some reason, over a long period of time, the latency creeps up even on a local network, but restarting wfview seems to fix it.
Operating FT8 remotely
Since you won’t have my exact setup, I won’t go through the configuration, but clearly you’ll have to work out the connections for audio to each program. You may also experiment with different codecs — it will depend on your software.

Setting up a remote station isn’t nearly as hard as it used to be. Modern radios are easy to control over a network — some even have network jacks. Your home network is probably up to the task of shipping audio around, and there are solutions for piping audio between programs for Linux, Windows, or even both.

Keep in mind that while I did this with FT8, it works with voice or just about any other digital mode. You can even do CW, but — as far as I know — wfview won’t let you use a key. You’ll have to type your Morse code in. If you need a primer on FT8, we got you. If you prefer your remote control in the browser, this might help you.

hackaday.com/2024/12/11/its-re…

At the time of its construction in the 1950s, the Dwingeloo Radio Observatory was the largest rotatable telescope in the world with a dish diameter of 25 meters. It was quickly overtaken in the rankings but was used by astronomers for decades until it slowly fell into disuse in the early 2000s. After a restoration project the telescope is now a national heritage site in the Netherlands where it is also available for use by radio amateurs. Recently this group was able to receive signals from Voyager 1.

Famously, Voyager 1 is the furthest manmade object from Earth, having been launched on a trajectory out of the solar system in 1977. As a result of distance and age, the signals it sends out are incredibly faint. The team first had to mount a new antenna to the dish, which was not originally designed for signals in this frequency which added to the challenge. They then needed to use orbital predictions of the spacecraft in order to target the telescope and also make the correct adjustments to the received signal given that there is significant Doppler shift now as well. But with that all out of the way, the team was successfully able to receive the Voyager 1 signal on this telescope.

Only a few telescopes in the world have ever been able to accomplish this feat, making it all the more impressive. Normally Voyager 1 is received using the Deep Space Network, a fleet of much larger dishes stationed around the world and designed for these frequencies. But this team is used to taking on unique challenges. They also decoded the first ham radio station on the moon and made a radar image of the moon using LoRa.

Dwingeloo telescope receives signals from Voyager 1

camras.nl/en/blog/2024/dwingel…

hackaday.com/2024/12/11/amateu…

Il team Knownsec 404 ha identificato una vasta rete del provider di hosting ELITETEAM, che fornisce infrastrutture ai criminali informatici. Questi servizi consentono agli aggressori di eludere i controlli legali e supportano il funzionamento di malware, siti fraudolenti, e-mail di spam e altre attività illegali. Gli esperti sottolineano che questo genere di hosting rappresentano una seria minaccia per la sicurezza informatica globale, poiché operano in condizioni di debole regolamentazione legislativa e sono altamente resistenti alle misure legali.

Secondo il rapporto, ELITETEAM è stata registrata alle Seychelles nel novembre 2020 con il nome “1337TEAM LIMITED”. Il provider possiede il sistema autonomo AS51381 e fornisce servizi relativi all’hosting di siti di phishing, malware, server di comando e controllo botnet e infrastrutture per frodi in criptovaluta. La particolarità di tali fornitori è la selezione deliberata di giurisdizioni con una regolamentazione legislativa debole.

Secondo il Phishing Network Study 2021 di Interisle, solo un segmento della rete ELITETEAM con 256 indirizzi IP si è classificato all’ottavo posto nel mondo per attività dannose. Sulla piattaforma VirusTotal tutti i 256 indirizzi IP della rete ELITETEAM sono stati contrassegnati come dannosi, il che conferma il loro utilizzo attivo negli attacchi informatici. Sulla piattaforma ThreatFox, diversi indirizzi IP nel 2024 sono stati contrassegnati con indicatori di compromissione (IOC) per malware come Amadey e RedLine, indicandone l’utilizzo in attacchi di phishing e distribuzione di malware.

Gli specialisti di Cloudflare hanno scoperto che gli indirizzi IP di ELITETEAM vengono utilizzati attivamente per hackerare i siti WordPress. Gli attacchi prendono di mira le pagine di login e le interfacce XML-RPC, dove gli aggressori tentano di sfruttare le vulnerabilità per ottenere l’accesso ai sistemi.

Trend Micro ha collegato l’infrastruttura ELITETEAM alla distribuzione dei ransomware Quakbot ed Emotet. Solo nel primo trimestre del 2023 sono stati registrati 200mila casi di traffico malevolo associato all’infrastruttura ELITETEAM; 140mila di loro sono registrati alle Seychelles. Questi programmi venivano utilizzati per crittografare i dati sulle reti aziendali a scopo di estorsione.

L’infrastruttura di ELITETEAM è stata utilizzata anche per supportare le truffe di criptovaluta sul mercato ombra di Hydra, consentendo transazioni illegali e riciclaggio di denaro. Queste azioni hanno attirato l’attenzione dell’Interpol, che ha inviato diverse richieste per indagare sulle attività dell’azienda.

L’analisi dei dati sul segmento di rete 185.215.113.0/24 attraverso la piattaforma ZoomEye ne ha rivelato le caratteristiche principali: porte aperte per l’accesso remoto (22/3389), servizi web (80/443), spam (25/465/587) e Server C2 (7766). Dieci indirizzi IP di questo segmento hanno porte di posta aperte, il che potrebbe indicare che vengono utilizzati per inviare spam.

La ricerca ha permesso di collegare la sottorete 185.208.158.0/24 al segmento principale di ELITETEAM. Dei 256 indirizzi presenti su questa sottorete, 95 sono contrassegnati come dannosi. Entrambe le reti sono registrate alle Seychelles e sono tecnicamente connesse tramite certificati SSL comuni. Otto indirizzi IP di entrambe le reti hanno utilizzato identiche impronte SSL tra settembre e novembre 2024, indicando il controllo da parte di un singolo gruppo di hacker.

Un’analisi dettagliata ha rivelato cinque indirizzi IP sospetti: 185.208.158.114, 185.208.158.115, 77.91.68.21, 147.45.47.102 e 109.107.182.45. Questi indirizzi vengono assegnati a causa delle caratteristiche uniche dei certificati SSL e del contenuto HTTP. Ad esempio, l’impronta digitale del certificato SSL C416E381FAF98A7E6D5B5EC34F1774B728924BD8 è stata trovata sia sulla sottorete 185.208.158.0/24 che sulla rete principale ELITETEAM.

Gli esperti osservano che le attività di tali hosting provider creano condizioni favorevoli per i criminali informatici. Dal 2015 il gruppo APT28 ha effettuato più di 80 attacchi utilizzando hosting bulletproof per phishing, furto di dati e spionaggio. L’ubicazione delle infrastrutture in paesi con una regolamentazione permissiva consente agli aggressori di eludere i procedimenti giudiziari e continuare le operazioni a lungo termine.

L'articolo ELITETEAM: Il Service Provider che i Criminal Hacker Recensiscono con 5 Stelle! proviene da il blog della sicurezza informatica.

In the world of transportation, some technologies may seem to make everything else appear obsolete, whether it concerns airplanes, magnetic levitation or propelling vehicles and craft over a cushion of air. This too seemed to be the case with hovercraft when they exploded onto the scene in the 1950s and 1960s, seemingly providing the ideal solution for both commercial and military applications. Freed from the hindrances of needing a solid surface to travel upon, or a deep enough body of water to rest in, hovercraft gave all the impressions of combining the advantages of aircraft, ships and wheeled vehicles.

Yet even though for decades massive passenger and car-carrying hovercraft roared across busy waterways like the Channel between England & mainland Europe, they would quietly vanish again, along with their main competition in the form of super fast passenger catamarans. Along the English Channel the construction of the Channel Tunnel was a major factor here, along with economical considerations that meant a return to conventional ferries. Yet even though one might think that the age of hovercraft has ended before it ever truly began, the truth may be that hovercraft merely had to find its right niches after a boisterous youth.

An example of this can be found in a recent BBC article, which covers the British Griffon Hoverwork company, which notes more interest in new hovercraft than ever, as well as the continued military interest, and from rescue workers.

Why Hovercraft Were Terrible

Although we often think of hovercraft as something like something modern, they have been something that people have been tinkering around with for hundreds of years, much like airplanes, maglev and so on. These were all rather small-scale, however, and it took until the 20th century for some of the fundamentals got worked out. The addition of the flexible skirt to contain the air in a so-called momentum curtain to raise the hovercraft further off the ground and add robustness when traveling over less gentle terrain proved fundamental, and within a few decades passenger behemoths were making their way across the English Channel, gently carried on cushions of air:

youtube.com/embed/Y8I3aK5A13U?…

Yet not all was well. As can be ascertained by the above video, the noise levels were very high, and so was the fuel usage for these large hovercraft. The skirts ended up wearing down much faster than expected, resulting in a need for daily maintenance and replacement of skirt sections. By the 1990s catamaran ferries offered a similar experience as the clunky SR-N4s, while requiring much less maintenance. When the Channel Tunnel opened in 1994, the writing was on the wall for Britain’s passenger hovercraft.
Aérotrain I-80 upon delivery in 1969 (Source: Archives Association des Amis de Jean Bertin, Wikimedia)
Years before, the high fuel usage and a range of other issues had already ended the dream of hovertrains. These would have done much the same as maglev trains, only without the expensive tracks. Unfortunately these hovertrains uncovered another issue with the air cushion concept. Especially at higher velocities the loss of air from this cushion would increase significantly, while using the environmental air to keep the cushion on pressure becomes harder, not unlike with the air intakes of airplanes.

Ultimately these issues caught up, with the hovertrain’s swansong occurring in the 1970s with the Aérotrain I-80 and UTACV already. The world’s largest commercial hovercraft – the SR.N4 – made its final trip in 2000 when its operator coasted on for a few more years with its catamaran ferries before closing up shop. These days the only way you can see these artefacts from the Age of Hover is in museums, with the GH-2007 Princess Anne SR.N4 as the last remaining example of its kind at the Hovercraft Museum in Lee-on-the-Solent in Hampshire.

Recently the Tim Traveller YouTube channel went over to this museum to have a gander:

youtube.com/embed/x5jmrW1HvMQ?…

Why Hovercraft Are Great

Baien at the Port of Oita, 2023 (Credit: Pinkaba, Wikimedia, CC BY-SA 4.0)
So with that said, obviously hovercraft and its kin were all investigated, prodded & poked and found to be clearly wanting by the 1990s, before the whole idea was binned as clearly daft and bereft of reason. While this might be true for massive passenger hovercraft and hovertrains, the reality for other niches is far less bleak. Especially with the shift from the old-school, inefficient engines to modern-day engines, and more of a need for smaller craft.

Currently passenger hovercraft services are quite limited, with the Japanese city of Oita having a hovercraft service between the city center and the airport. Here hovercraft make sense as they are over twice as fast on the 33 kilometer route as the bus service. These hovercraft are built by British hovercraft company Griffon Hoverwork Ltd., as currently the only company building such craft in the world. Similarly, the Isle of Wight’s Hovertravel is a hovercraft passenger service between the island and the mainland, with two Griffon 12000TD hovercraft providing the fastest possible way for people (including many tourists) to travel. Hovertravel’s services are also chartered on occasion with events.

For these tourism-oriented applications the benefits of hovercraft are clear: they are the fastest way to travel especially across water (74 km/h for the 12000TD) and are rather flexible so that they can be used ad-hoc with events that do not have more than a patch of concrete or grass bordering the water. Noise levels with modern engines and with smaller craft are also significantly more manageable.

As addressed in the earlier referenced BBC article, there are three other niches where hovercraft have found a warm home. These include hobbyists who enjoy racing with small hovercraft, as well as rescuers who benefit from having a way to reach people no matter whether they’re stuck on a frozen pond, in a muddy area, in the middle of a swamp or somewhere else that’s hostile to any wheeled or tracked vehicle, never mind rescuers trying to reach someone by foot. Here the property of a hovercraft of not caring much about what exactly its air cushion is pushing against is incomparable and saves many lives.

To Land Where Nobody Has Landed Before

LCAC-55, a Navy Landing Craft Air Cushion (LCAC), maneuvers to enter the well deck of the amphibious assault ship USS Kearsarge (LHD-3). (Credit: US Navy)
Naturally, the other niche where a hovercraft’s disregard for things like mud, wet sand and rocks is useful is when you are a (military) force trying to carry lots of people, gear and heavy equipment onshore, without such minor details like finding a friendly harbor getting in the way. Although the US Navy and Army had tried to use hovercraft in a more direct role before, such as the unsuccessful SR.N5-derived PACV in Vietnam, their best role was found to be as landing craft: the Landing Craft Air Cushion, or LCAC.

A total of 97 have been built of these LCACs since their introduction in 1986 and they see continuous use as transport of cargo and personnel from ship to shore, across beaches and so on. Due to increasing (weight) demands they are now slated to be replaced by the Ship-to-Shore Connector (SSC). These are very similar to the LCACs, but offer more capacity (~20 ton more), while offering improvements to the engines, the skirt design and a two-person cockpit with fly-by-wire joystick controls.

Similarly, the Chinese Navy (PLAN) also has an LCAC in service (the Jinsha II-class type 726), and both Russia and Hellenic Navy operate formerly Soviet Zubr-class LCACs, which is the largest currently active hovercraft. A few more Zubrs were constructed by Ukraine for both Greece and China, with the latter also building them under license as the Type 958 LCAC.

Happy Niche

Because physics and economics are relentless, hovercraft, maglev and catamarans never made us bid farewell to wheels, tracks, hulls and simple train tracks, but each of these have found their own happy niches to live in. Meanwhile economics change and so does our understanding of materials, propulsion methods and other factors that are relevant to these technologies as they compete with transportation methods that have been a part of human history for much longer already.

For now at least hovercraft seem to have found a couple of niches where their properties provide benefits that are unmatched, whether it’s in simply being the fastest way to move over water, mud and concrete all in one trip, or for the most fun to be had while racing over such a track, or for providing life-saving aid, or to carry heavy loads from ship-to-shore when said shore is muddy marshes, a beach or similar.

Even if we will never see the likes of the Princess Anne again crossing the Channel, the hovercraft is definitely here to stay.

Featured image: Photo of the Solent Flyer hovercraft operated by Hovertravel approaching Ryde (Credit: Geni, Wikimedia)

hackaday.com/2024/12/11/the-ho…

È stata rilevata una vulnerabilità nel plug-in WPForms WordPress, un pluginutilizzato da oltre 6 milioni di siti, che consente agli utenti di emettere rimborsi arbitrari tramite Stripe o annullare abbonamenti.

WPForms è un generatore di moduli per WordPress che ti consente di creare moduli di contatto, iscrizione e pagamento e supporta anche Stripe, PayPal, Square e altri sistemi di pagamento.

Il problema viene monitorato sotto il CVE-2024-11205 e non è considerato critico in quanto richiede l’autenticazione per essere sfruttato. Tuttavia, dato che un utente necessita di autorizzazioni a livello di abbonato e che i sistemi di registrazione sono disponibili sui siti vulnerabili per altri bug noti, il problema potrebbe rappresentare una seria minaccia.

La vulnerabilità è stata scoperta dal ricercatore indipendente sulla sicurezza informatica vullu164, che ha ricevuto 2.376 dollari per la sua scoperta come parte del programma Wordfence bug boony.

Il problema è dovuto all’uso errato della funzione wpforms_is_admin_ajax() per determinare se una richiesta AJAX proviene da un amministratore. In effetti, il bug consente a qualsiasi utente autenticato (anche a livello di abbonato) di utilizzare funzioni come ajax_single_payment_refund(), che esegue un rimborso in Stripe, e ajax_single_payment_cancel(), che annulla un abbonamento.

La vulnerabilità colpisce le versioni di WPForms dalla 1.8.4 alla 1.9.2.1 e il mese scorso gli sviluppatori del plugin, Awesome Motive, hanno rilasciato una patch come parte della versione 1.9.2.2.

Secondo le statistiche di wordpress.org, su circa la metà di tutti i siti che utilizzano WPForms, il plugin non è stato aggiornato a una versione sicura (e nemmeno all’attuale ramo 1.9.x), ovvero il numero di risorse vulnerabili è almeno 3 milioni.

Gli specialisti di Wordfence sottolineano di non aver ancora rilevato lo sfruttamento attivo di CVE-2024-11205, ma raccomandano vivamente agli amministratori di aggiornare il plugin alla versione 1.9.2.2 il prima possibile o di disabilitarlo temporaneamente.

L'articolo Allerta WordPress: Vulnerabilità critica in WPForms mette a rischio 3 milioni di siti! proviene da il blog della sicurezza informatica.