È in corso una campagna di smishing che, mediante falsi SMS che sembrano provenire dal servizio PosteInfo, ruba credenziali d’accesso ai servizi bancari e dati delle carte di pagamento. Ecco come riconoscere la truffa e i consigli per difendersi

L'articolo Smishing a tema Poste Italiane: i dettagli e come difendersi proviene da Cyber Security 360.

DeepSeek è partito dalla Cina con il botto su tutti gli store, open source e candidato a sbaragliare la concorrenza. Si sta sempre meglio configurando come arma a doppio taglio: da un lato estremamente innovativo e dall'altro pericolosamente non controllato, soprattutto in ambito di utilizzo malevolo

L'articolo DeepSeek, serve cautela: ci sono pericoli per la sicurezza proviene da Cyber Security 360.

Da fonti autotervoli emerge che DeepSeek raccoglie un'ampia gamma di dati personali dei propri utenti: messaggi e contenuti delle interazioni con il chatbot, informazioni sui dispositivi utilizzati e così via. Ecco i dubbi e le preoccupazioni che questo nuovo modello di AI reca per la privacy degli utenti e non solo

L'articolo DeepSeek: i timori per la privacy e la cyber security proviene da Cyber Security 360.

Il World Economic Forum, in collaborazione con Global Cyber ​​Security Capacity Centre dell'Università di Oxford, ha esplorato le soluzioni di AI, per orientare strategie e decisioni, nella consapevolezza della gestione dei rischi informatici correlati alla nuova tecnologia. Ecco l'approccio "shift left, expand right & repeat"

L'articolo Bilanciare i rischi di security beneficiando di tecnologie di AI: fra opportunità e rischi proviene da Cyber Security 360.

L’analisi del requisito 7.4 della ISO 27001 evidenzia come la comunicazione sia ben più dell’uso di un semplice canale di trasmissione di dati, andando a impattare su aspetti pratici come la comunicazione verbale, la corretta diffusione delle politiche di sicurezza, il ruolo dell’audit, le implicazioni normative e l’importanza della formazione

L'articolo Comunicare per proteggere: strategie e strumenti per implementare i requisiti ISO 27001 proviene da Cyber Security 360.

Questo non vuole essere né un addio né un necrologio. Vorrei scrivere solamente cosa ha rappresentato per me Roberto Tutti Pazzi" Saccone, e far capire a chi non lo ha conosciuto l'importanza della sua figura a Savona e in Italia.

iyezine.com/roberto-tutti-pazz…

Roberto "Tutti Pazzi" Saccone

Roberto "Tutti Pazzi" Saccone - Questo non vuole essere né un addio né un necrologio. Vorrei scrivere solamente cosa ha rappresentato per me Roberto Tutti Pazzi" Saccone, e far capire a chi non lo ha conosciuto l'importanza della sua figura a Savona …

^{Simone Benerecetti (In Your Eyes ezine)}

Meta limita i post su Linux sulla piattaforma Facebook. L’amministrazione del social network ha iniziato a bloccare i post contenenti menzioni di vari argomenti relativi al sistema operativo, nonché siti e gruppi su questo argomento.

Il blocco è stato segnalato per primo dal portale DistroWatch, una grande risorsa informativa dedicata a notizie e recensioni di sistemi operativi open source. Secondo gli editori della risorsa, il sistema di moderazione di Facebook riconosce Linux come software dannoso e i gruppi ad esso associati sono etichettati come una “minaccia alla sicurezza informatica”.

Il blocco dei contenuti è iniziato il 19 gennaio 2024. Gli utenti segnalano non solo l’impossibilità di pubblicare collegamenti a DistroWatch, ma anche che gli account personali vengono bloccati dopo aver pubblicato post che menzionano Linux.

I rappresentanti di DistroWatch hanno provato a contestare la decisione di blocco, ma i moderatori di Facebook hanno confermato che gli argomenti relativi a Linux rimarranno nel filtro della sicurezza informatica. A seguito di un ricorso, anche l’account del dipendente DistroWatch è stato sospeso.

La situazione sembra particolarmente paradossale, dato che una parte significativa dell’infrastruttura di Facebook funziona su Linux. Inoltre, Meta pubblica regolarmente offerte di lavoro per sviluppatori specializzati in questo sistema operativo.

L'articolo Facebook blocca Linux? Post censurati e account sospesi! proviene da il blog della sicurezza informatica.

In the mid 1980s, there was a rash of 16-bit computers entering the market. One of them stood head and shoulders above the rest: Commodore’s Amiga 1000. It had everything that could reasonably be stuffed into a machine of the period, and multimedia capabilities the rest wouldn’t catch up on for years. [Celso Martinho] has managed to secure one of those first machines, and has shared his tale of bringing it back to life.

The post is as much a love letter to the Amiga and review of A1000 peripherals as it is a restoration, which makes it a good read for retrocomputing enthusiasts. He recapped it and it wouldn’t boot, the solution of which turned out to be a reminder for the rest of us.

The machine had a RAM upgrade in the form of a daughterboard under the processor, its pins had weakened the leaves of the processor socket so it wouldn’t make contact. So don’t forget to replace sockets as well as capacitors.

The resulting machine is much faster thanks to a modern upgrade with a much quicker processor, memory, and an SD card for storage. He goes into some of the other upgrades available today, all of which would have had early-1990s-us salivating. It’s fair to say that in 2025 an A1000 is more 40-year-old curio than useful modern computer, but we can’t fail to admit to a bit of envy. The Amiga holds a special affection, here.

hackaday.com/2025/01/30/lesson…

GDPR Day, Media Partner di Red Hot Cyber, avvia la 15ª edizione della Conferenza Nazionale per i professionisti della privacy, della cybersecurity e della data protection. Si terrà il 28 e 29 Ottobre 2025. L’evento si svolgerà al Grand Tour Italia di Bologna.

Come ogni anno, per celebrare l’annuncio, il GDPR Day offre un’opportunità unica: i primi 20 biglietti sono disponibili con uno sconto del 70%. Si tratta del prezzo più basso in assoluto, totalmente sottocosto per l’organizzazione. Successivamente, lo sconto diminuirà progressivamente. Sono disponibili tre tipologie di biglietto, Standard, Business e Premium, per poter scegliere il tipo di partecipazione più adatto alle proprie esigenze.

“Da sempre premiamo chi sceglie di partecipare fin da subito – Federico Lagni, Direttore del GDPR Day – Lo sconto del 70% è il nostro modo di garantire un accesso agevolato alla Conferenza per chi non vuole perdere questa occasione di formazione e networking.”

Una full immersion nella grande sfera della Data Protection

“La scorsa edizione è stata straordinaria, sia per la qualità degli interventi che per la partecipazione attiva della nostra Community. A chi non ha partecipato, consigliamo di vedere il video in modo da conoscere l’atmosfera che si crea all’evento. – commenta Giovanna Annunziata, Event Manager della Conferenza. – Il nostro obiettivo è costante: migliorare e offrire contenuti formativi di livello, accompagnati da momenti di networking pensati per creare connessioni proficue.”

Come ogni edizione, la Conferenza sarà articolata in due momenti principali:

Il 28 Ottobre: Cena di Networking, un’opportunità esclusiva riservata ai partecipanti con biglietti Premium, che potranno incontrare gli Speaker, gli Ospiti Istituzionali, le aziende Sponsor, e il team organizzativo in un contesto informale e stimolante. Piccola novità di quest’anno sarà l’aggiunta di un’ora di puro confronto tematico sulle tante sfide della Data Protection.

Il 29 Ottobre: giornata dedicata alla conferenza, con sessioni formative, approfondimenti e dibattiti sui temi più attuali del settore. Un mix perfetto tra formazione e networking.

Una conferenza dedicata ai protagonisti del settore

La Conferenza GDPR Day si rivolge a una platea qualificata, composta da DPO, Privacy Officer, Avvocati, Security Manager, IT Manager e altri professionisti della cosiddetta filiera della protezione dei dati.

E’ riconosciuta come un’occasione unica per aggiornarsi su normative, tecnologie e best practice, grazie alla partecipazione di Speaker autorevoli e al Patrocinio di associazioni attive nel settore, tra cui: Privacy Academy, AIGA (Ass. Italiana Giovani Avvocati) Sezione di Bologna, AIPSA (Ass. Italiana Professionisti Security Aziendale), Anipa (Ass. Nazionale Informatici Pubblici e Aziendali), ANGIF (Ass. Nazionale Giuristi, informatici e Forensi), ClubTi Milano, ONIF (Osservatorio Nazionale per l’Informatica Forense), Stati Generali dell’Innovazione e molte altre in fase di conferma.

IusLaw Web Radio è Main Media Partner, mentre sono Media Partner testate specializzate come Red Hot Cyber, Report Difesa, Risk & Compliance, Zeroventiquattro e AreaNetworking.it.

L'articolo Torna il GDPR Day: Il più Grande Evento sulla Data Protection in Italia! proviene da il blog della sicurezza informatica.

Introduction

Since mid-2024, we’ve observed a malicious Android campaign leveraging wedding invitations as a lure to social-engineer victims into installing a malicious Android app (APK), which we have named “Tria Stealer” after unique strings found in campaign samples. The primary targets of the campaign are users in Malaysia and Brunei, with Malaysia being the most affected country.

Our investigation suggests that this campaign is likely operated by an Indonesian-speaking threat actor, as we found artifacts written in the Indonesian language, namely several unique strings embedded in the malware and the naming pattern of the Telegram bots that are used for hosting C2 servers.

Our findings, in a nutshell, are as follows:

• Tria Stealer collects victims’ SMS data, tracks call logs, messages (for example, from WhatsApp and WhatsApp Business), and email data (for example, Gmail and Outlook mailboxes).
• Tria Stealer exfiltrates the data by sending it to various Telegram bots using the Telegram API for communication.
• The threat actor then exploits this data to hijack personal messaging accounts, impersonate account owners to request money transfers from the victims’ contacts, and compromise accounts with other services.

Kaspersky products detect this threat as
HEUR:Trojan-Spy.AndroidOS.Agent.*.

Technical details

Background

We detected several APK samples tagged as
Trojan-Spy.AndroidOS.Agent and originating from Malaysia and Brunei in our Kaspersky Security Network (KSN) telemetry and on third-party multi-antivirus platforms.
Further investigation revealed multiple posts by Malaysian Android users on social media platforms like X and Facebook discussing a scam campaign involving malicious APKs and WhatsApp hijacking. Our analysis indicates that this campaign has been ongoing since March 2024, with the threat actor consistently using a wedding invitation theme to lure victims into installing the malicious app. We discovered two versions of malicious APKs, with the first one initially detected in March 2024, and the second one in August of the same year. The newer sample was slightly upgraded with additional functionality and adjusted wording in messages that were sent to Telegram bots.

We named this malware “Tria Stealer” after the username found in all APK samples in the message that is sent to the C2 server during the initial execution of the malware, which states, “Having any issues? Contact me at ‘https://t[.]me/Mr_tria'”. This suggests that “Mr Tria” may be the support contact or the individual in charge of the campaign.

Overview of the Tria Stealer campaign

According to our observations, the threat actor uses stolen messages and emails to obtain security codes for hijacking their victims’ WhatsApp and Telegram accounts which will be used for distributing the malicious APK to the victims’ contacts. Not only that, but our researchers also have observed that the threat actor takes advantage of the hijacked WhatsApp and Telegram accounts to impersonate their owners, asking the targets’ contacts to transfer money to the actor’s bank accounts.

Besides WhatsApp and Telegram accounts, the threat actor was also able to take over and sign in to the victims’ accounts with other services by requesting transaction authorization codes (TACs) and one-time passwords (OTPs) for the relevant platforms, and then accessing the security codes in the text messages which they intercepted.

Delivery method

The threat actor distributes the APK via personal and group chats in Telegram and WhatsApp, using messages that invite recipients to a wedding and require them to install the APK to view an invitation card.

Delivery through a compromised WhatsApp account (on the left) and through a compromised Telegram account (on the right)

First-time execution

When the malicious Android app is installed, it checks whether it is being opened for the first time via the
IntroActivity function, which is triggered only during the initial app launch. The app also retrieves the Boolean value associated with the key firstStart in the SharedPreferences object. If this key does not exist, the default value true is returned, meaning it’s the first time the app has been opened.
In that case, the malware requests the
android.permission.RECEIVE_SMS permission to gain access to read newly received SMS messages. The app mimics a system settings app with a gear icon to trick the victim into thinking that the request and the app itself are legitimate.
Once the user grants the required permission, they are presented with a custom dialog prompting them to enter their phone number.

Custom dialog box prompts for a phone number (new version on the left, earlier version on the right)

After the victim enters their phone number and clicks “Next”, this number along with the device’s brand and model is collected and assembled into a string to be later sent to a C2. A message with Mr. Tria’s contact is also added to this string.

Building the required strings before sending them to the bot

The malware then communicates with the
SendMessage Telegram API to send the collected information to one of the threat actor’s Telegram bots, as shown below.

Sending messages to the bot

In most cases we’ve seen in this campaign, the attackers used a different Telegram bot for each sample, although we managed to find a few that shared the same Telegram bot.

Meanwhile, the app updates its SharedPreferences object to record the fact that it has been opened before, preventing it from starting with the
IntroActivity function again on subsequent launches.

Main activity

After completing the initial execution flow, or whenever the app is opened again, the main activity of Tria Stealer is invoked using an intent.

During this process, the app requests all permissions declared in its manifest:

1. android.permission.READ_SMS;
2. android.permission.RECEIVE_SMS;
3. android.permission.INTERNET;
4. android.permission.ACCESS_NETWORK_STATE;
5. android.permission.READ_PHONE_STATE;
6. android.permission.READ_CALL_LOG;
7. android.permission.SYSTEM_ALERT_WINDOW;
8. android.permission.WAKE_LOCK;
9. android.permission.RECEIVE_BOOT_COMPLETED;
10. android.permission.FOREGROUND_SERVICE.

These permissions allow the malware to access messaging and calls data and collect other information, such as the network state.

In newer variants, an additional permission,
android.permission.BIND_NOTIFICATION_LISTENER_SERVICE, is declared in the manifest. This permission is utilized to intercept messages and emails via notifications.
The app then sends a message to the Telegram bot, indicating that the malicious app has been opened by the victim, thus notifying the attackers.

Building strings indicating the malicious app is opened

Moreover, in this main activity, the app runs a background service designed to open the built-in system settings app using an intent. This occurs when the victim opens the app, convincing the victim that they are accessing the legitimate system settings.

SMS and call monitor

In all samples and variants of Tria Stealer, the malicious APK utilizes the
BroadcastReceiver function to monitor new incoming messages and call activities through two components named SMSMonitor and CallMonitor. SMSMonitor captures SMS information, including the message content, sender’s phone number, and SIM slot details. CallMonitor tracks incoming call activities and, like SMSMonitor, extracts such details as the caller’s phone number and SIM slot (for dual SIM devices). The malware also collects additional details, including the current battery level of the victim’s phone, which is possible to do via either of these components.
Then the sample processes all collected data and combines it into a single message to send to the Telegram bot.

Building strings for retrieving SMS content

The threat actor uses this activity mostly to take over WhatsApp, Telegram or other accounts by reading SMS messages containing OTP/TAC codes.

App messages and mail stealer

In the newer variant of Tria Stealer, we discovered that the threat actor had developed an additional feature to steal personal messages and emails from the packages related to a number of apps, including the following:

The threat actor steals messages by intercepting notifications from these apps. The
onNotificationPosted function in a custom class named AppNotificationListener is triggered whenever a new notification is posted by one of the targeted apps.

onNotificationPosted function

Once a notification is received, the malware retrieves the app name that matches the
packageName property of the notification. If the app is not recognized, it is labeled as “Unknown App”. Then the malware proceeds to extract the notification content and combines it with the app and contact names, device information (brand and model), and the target phone number into a formatted string. Once generated, this string is sent as a message to the Telegram bot.

Building a message to be sent to the bot

As suggested by our observations, the threat actor creates and uses separate Telegram bots for handling different types of stolen data. One bot is used for collecting texts from messaging apps and emails, while another handles SMS data. As a result, newer variants of the malware include two Telegram bot token IDs.

Account takeover

The threat actor’s main goal is to get full access to victims’ WhatsApp and Telegram accounts. Once compromised, these accounts are used for two main purposes:

1. Distributing the malicious APK to the targets’ contacts through group chats and direct messages, thereby expanding the pool of victims.
2. Impersonating the account owners to request money transfers from their contacts to the threat actor’s bank account.

Furthermore, we assume that by intercepting SMS messages, the threat actor was also able to sign in to various platforms using the victims’ accounts to inflict further damage.

The stolen information also could be exploited for other malicious activities, such as accessing online banking accounts, resetting passwords for specific platforms, or compromising services that rely on instant message or email authentication.

Attribution

We assume with high confidence that the threat actor is Indonesian-speaking, because some strings included in the messages sent to the Telegram bot are written in Indonesian, for example: “APLIKASI DI BUKA LAGI” (translated as “APPLICATION REOPENED”).

Victimology

In this campaign, we did not observe any specific targeting of individual users. However, the threat actor focuses on individuals in Malaysia and Brunei. We saw a spike in the number of detects in mid-2024, but Tria Stealer continues to be detected in January 2025.

Different campaign from UdangaSteal

In 2023 and early 2024, our researchers observed a very similar campaign under the detection name
HEUR:Trojan-Banker.AndroidOS.UdangaSteal, primarily targeting victims in Indonesia, Malaysia and India to steal SMS data and exfiltrate it to Telegram bots hosted as a C2. In this campaign, the threat actor heavily targeted Indonesian and Indian victims and utilized various lure themes, including the following:

• wedding invitations;
• parcel delivery;
• credit card transactions;
• government job offers;
• religious events;
• annual tax charges;
• customer support;
• electricity bills;
• government initiatives for farmers;
• vehicle registration system for Indian users.

However, we are not attributing the current Tria Stealer campaign to the same threat actor associated with UdangaSteal, as the APK code between the two malware campaigns looks different, the Telegram bot naming patterns are also different, and the victimology varies compared to this UdangaSteal malware campaign. Moreover, in the Tria Stealer campaign, the threat actor upgraded their malware to not only steal SMS messages but also to target personal communications, including data from WhatsApp and email apps. This contrasts with the UdangaSteal malware, where the threat actor consistently used the same tactics from its rise in 2023 till late 2024 without any changes.

Conclusion

The Tria Stealer campaign remains active, targeting more victims in Malaysia and Brunei. The attackers employ phishing techniques to spread the APK, allowing them to spy on victims’ personal messages and emails. According to our observations, the threat actor uses the stolen data to obtain security codes for hijacking victims’ WhatsApp and Telegram accounts which will be used for distributing the malicious APK to the targets’ contacts. Accessing security codes also could enable the attackers to take over and log in to victims’ other online accounts to extend the scope of their malicious activities.

We assess with medium confidence that the threat actor will likely continue targeting users in Malaysia and Brunei in the near future, aiming to hijack new WhatsApp and Telegram accounts and take over accounts with other services to pursue malicious activities. To protect against such threats, we strongly advise against installing apps from untrusted sources and recommend using reliable security solutions for mobile devices.

Indicator of Compromises

Tria Stealer

File hashes

Telegram bots

UdangaSteal

File hashes

daa30cd6699c187bb891448b89be1340
162ed054914a8c71ad02126693c40997
9698fa3e7e64272ff79c057e3b8be5d8
9a0147d4c9d6ed3be82825ce35fdb4ee
e4da1332303b93f11d40787f7a79b917
4ff2572a40300c0cce4327ec34259902

securelist.com/tria-stealer-co…

VFDs — vacuum fluorescent displays — have a distinctive look, and [Anthony Francis-Jones] is generally fascinated with retro displays. So, it makes sense that he’d build a VFD project as an excuse to explain how they work. You can see the video below.

VFDs are almost miniature CRTs. They are very flexible in what they display and can even use color in a limited way. The project [Anthony] uses as an example is an indicator to show the video number he’s currently making.

The glass display is evacuated and, like a tube, has a getter to consume the last of the gas. There’s a filament that emits electrons, a grid to control their flow, and anodes coated with a fluorescent material. Unlike a regular tube, the filaments have to operate cool so they don’t glow under operation.

When the grid is positive, and the anode is also positive, that anode will glow. The anodes can be arranged in any pattern, although these are made as seven-segment displays. The filament on the tubes in this project runs on 1.5V, and the anodes need about 25V.

The project itself is fairly simple. Of course, you need a way to control the 25V anode and grid voltages, but that’s easy enough to do. It is possible to make VFDs in unusual character shapes. They work well as light sources for projection displays, too.

youtube.com/embed/FH6LzV8FaEw?…

hackaday.com/2025/01/29/inside…

DeepSeek, recentemente salita alla ribalta per il suo modello di ragionamento avanzato DeepSeek-R1, è stata elogiata per la sua efficienza e il rapporto costo-efficacia, posizionandosi come un competitor diretto di OpenAI.

Tuttavia, questa esposizione mette in luce le criticità nella protezione dei dati in un settore in rapida espansione, dove la sicurezza sembra non sempre tenere il passo con l’innovazione.

I ricercatori di Wiz Research hanno rilevato una grave vulnerabilità di sicurezza ha colpito DeepSeek, una delle startup cinesi più promettenti nel campo dell’intelligenza artificiale, esponendo un database ClickHouse accessibile pubblicamente.

Il database conteneva oltre un milione di righe di log sensibili, tra cui registri di chat, chiavi API, dettagli di backend e metadati operativi, sollevando serie preoccupazioni sulle pratiche di sicurezza delle aziende AI emergenti.

BREAKING: Internal #DeepSeek database publicly exposed 🚨

Wiz Research has discovered "DeepLeak" – a publicly accessible ClickHouse database belonging to DeepSeek, exposing highly sensitive information, including secret keys, plain-text chat messages, backend details, and logs. pic.twitter.com/C7HZTKNO3p
— Wiz (@wiz_io) January 29, 2025

Il database, ospitato su oauth2callback.deepseek.com:9000e dev.deepseek.com:9000, consentiva un accesso illimitato, consentendo agli utenti non autorizzati di eseguire query SQL e di visualizzare dati interni sensibili.

I ricercatori hanno utilizzato tecniche di ricognizione standard per mappare la superficie di attacco esterna di DeepSeek, identificando inizialmente circa 30 sottodomini. Mentre la maggior parte dei sottodomini sembravano essere host di routine di interfacce di chatbot, pagine di stato e documentazione, ulteriori indagini hanno rivelato due porte aperte (8123 e 9000) che conducevano al database ClickHouse nei seguenti host.

• oauth2callback.deepseek.com:81…
• dev.deepseek.com:8123
• oauth2callback.deepseek.com:90…
• dev.deepseek.com:9000

ClickHouse è un database open source ampiamente utilizzato, progettato per elaborare grandi set di dati in tempo reale. La sua interfaccia HTTP ha consentito ai ricercatori l’accesso ed eseguire comandi SQL, rivelando l’elenco completo delle tabelle archiviate nel database.

Tra questi, la log_streamtabella si distingueva perché conteneva dati altamente sensibili, tra cui registri di conversazioni in chiaro, segreti API e dettagli sui servizi back-end.

La mancanza di autenticazione sul database non solo consentiva l’accesso ai dati sensibili, ma forniva anche il pieno controllo sul database stesso. Wiz Research ha prontamente informato DeepSeek, che ha rapidamente messo in sicurezza il database esposto e ha affrontato il problema. L’azienda non ha ancora rilasciato un commento ufficiale sull’incidente.

Questo incidente mette in luce i rischi concreti legati alla rapida adozione dell’intelligenza artificiale, spesso trascurati a favore di minacce più futuristiche come la manipolazione dei modelli o gli attacchi avversari. La violazione di DeepSeek dimostra che le falle nella sicurezza delle infrastrutture rappresentano una minaccia immediata e tangibile.

“Mentre le organizzazioni corrono per adottare l’intelligenza artificiale, i framework di sicurezza progettati per salvaguardare i dati sensibili vengono spesso trascurati”, ha affermato un portavoce di Wiz Research. “Questo incidente funge da campanello d’allarme per l’intero settore”.

L’esposizione accidentale di dati sensibili non è solo un problema per la singola azienda coinvolta, ma ha implicazioni più ampie sulla fiducia nell’intero ecosistema AI. Senza misure di sicurezza robuste, il rischio di compromettere informazioni proprietarie e dati degli utenti rimane elevato.

Man mano che le tecnologie AI si integrano nei settori più critici dell’economia, le startup e le aziende consolidate devono dare priorità alla sicurezza fin dalla progettazione delle loro infrastrutture. Questo caso non è solo un avvertimento per DeepSeek, ma un segnale per l’intera industria: innovare senza sicurezza significa esporsi a vulnerabilità potenzialmente devastanti.

L'articolo DeepSeek è stata Hackerata! Esposta una grave falla di sicurezza nel database dell’AI proviene da il blog della sicurezza informatica.

I ricercatori di sicurezza di watchTowr Labs hanno rilasciato all’interno del loro canale telegram un Proof Of Concept per lo sfruttamento della vulnerabilità CVE-2024-55591 classificata “Critical” con uno score di 9.6.

Questa vulnerabilità di tipo Authentication Bypass, sfruttabile su FortiOS e FortiProxy non aggiornati, consente ad un attaccante di guadagnare privilegi di super-admin tramite richieste al modulo websocket Node.js.

La CVE è riconosciuta da Fortinet sul proprio sito Product Security Incident Response Team (PSIRT) dove potete trovare gli IOC (indicatori di compromissione), i metodi di mitigazione e la tabella delle versioni di FortiOS e FortiProxy vulnerabili.

I ricercatori di watchTowr hanno condotto un’analisi dettagliata della vulnerabilità e come riportato sul loro blog di sicurezza, hanno dimostrato la fattibilità tecnica di poter guadagnare i privilegi di super-admin su un dispositivo vulnerabile; ha supporto di quanto analizzato hanno pubblicato su GitHUB uno POC scritto in Python per sfruttare la vulnerabilità.

Sempre sul repository GitHUB di watchTowrLABS i ricercatori mettono a disposizione uno script Python per la verifica se un Fortigate o un FortiProxy siano vulnerabili alla CVE-2024-55591.

Le raccomandazioni del produttore ma in generale le best practies sono sempre le stesse: disabilitare l’accesso pubblico all’interfaccia amministrativa del firewall, limitarne l’accesso con ACL o filtro su IP sorgenti, monitorare gli avvisi di sicurezza e applicare le patch e gli aggiornamenti.

ArticWolfLabs già a dicembre 2024 aveva osservato attività sospette sui firewall Fortinet esposti su internet dove i therad actors riuscivano ad avere accesso alle interfacce di management e modificare le configurazione dei firewall. Il 14 gennaio 2025 Fortinet conferma la vulnerabilità.

L’entità del problema non è da sottovalutare al 20 Gennaio 2025 Shadowserver Fondation rileva che nel mondo ci sono circa 50.000 esposti e vulnerabili.

Riferimenti:

• WATCHTOWRLABS: labs.watchtowr.com/get-fortire…
• ARTICWOLFLABS: arcticwolf.com/resources/blog/…
• FORTINET PSIRT: fortiguard.com/psirt/FG-IR-24-…
• GITHUB POC: github.com/watchtowrlabs/forti…
• GITHUB DETECTION TOOL: github.com/watchtowrlabs/forti…

L'articolo Vulnerabilità Critica su FortiOS e FortiProxy: Rilasciate PoC di sfruttamento proviene da il blog della sicurezza informatica.

L’FBI ha sequestrato tre dei principali forum di hacking e criminalità informatica: Nulled.to, Cracked.to e Cracked.io, nell’ambito di un’operazione mirata ai facilitatori del cybercrime. Oltre a questi, le autorità hanno rimosso altri tre domini — StarkRDP.io, Sellix.io e MySellix.io — reindirizzando i loro record DNS ai server dell’FBI.

Ota tali siti un banner con la dicitura: “Questo sito web è stato sequestrato”. Gli avvisi fanno riferimento a un’operazione denominata “Operation Talent”, un’iniziativa internazionale delle forze dell’ordine guidata dall’FBI e supportata da Europol, la Polizia Postale Italiana, la Polizia Federale Australiana e l’Ufficio Federale di Polizia Criminale tedesco.

L’operazione, avviata il 29 gennaio 2025, ha portato al sequestro di diversi domini noti per ospitare attività illecite, tra cui la distribuzione di software craccato, credenziali rubate e strumenti di hacking.

StarkRDP.io, ad esempio, offriva servizi di hosting virtuale per server Windows e Linux, ma veniva anche sfruttato da cybercriminali per ospitare truffe e attacchi informatici.

Gli amministratori di Cracked.to hanno confermato il sequestro tramite il loro canale Telegram, descrivendo l’evento come “un giorno davvero triste per la nostra comunità”.

Nel loro messaggio, hanno dichiarato di essere in attesa di documentazione ufficiale da parte del data center e del registrar del dominio, suggerendo che potrebbero tentare di riemergere su un nuovo dominio.

Al momento, non è chiaro se siano stati effettuati arresti. Tuttavia, il fatto che gli amministratori di Cracked.to risultino ancora attivi indica la possibilità che il forum possa riapparire sotto un’altra identità.

Né l’FBI né altre agenzie statunitensi hanno ancora rilasciato un comunicato ufficiale in merito ai sequestri.

L'articolo L’FBI Demolisce il Cybercrime: Sequestrati Cracked.io, Nulled.to e altri ancora! proviene da il blog della sicurezza informatica.

Guanella Impedance Transformer. (Credit: FesZ Electronics)
Even before entering the mystical realms of UHF design, radio frequency (RF) circuits come with a whole range of fun design aspects as well. A case in point can be found in transmission line transformers, which are commonly used in RF power amplifiers, with the Guanella transformer (balun) being one example. Allowing balanced and unbalanced (hence ‘balun’) systems to interface without issues, they’re both very simple and very complex. This type of transformer and its various uses is explained in a video by [FesZ Electronics], and also the subject of an article by [Dr. Steve Arar] as part of a larger series, the latter of which is recommended to start with you’re not familiar with RF circuitry.

Transmission line transformers are similar to regular transformers, except that the former relies on transmission line action to transfer energy rather than magnetic flux and provides no DC isolation. The Guanella balun transformer was originally described by Gustav Guanella in 1944. Beyond the 1:1 balun other configurations are also possible, which [Dr. Arar] describes in a follow-up article, and which are also covered in the [FesZ] video, alongside the explanation of another use of Guanella transformers: as an impedance transformer. This shows just how flexible transformers are once you can wrap your mind around the theory.

We have previously covered RF amplifier builds as well as some rather interesting balun hacks.

Heading image: The Guanella 1:1 balun. (Credit: Steve Arar)

youtube.com/embed/QAYaetJ1dvM?…

hackaday.com/2025/01/29/using-…

Bene, oggi sono riuscito a completare il profilo e a mettere i tag (public keywords).

Non ho capito a cosa servano le "private keywords" che si trovano in "Settings -> Profile -> Miscellaneous", metto un'immagine per far capire meglio di cosa parli.

Let’s face it—seeing a good tool go to waste is heartbreaking. So when his cordless drill’s motor gave up after some unfortunate exposure to the elements, [Chaz] wasn’t about to bin it. Instead, he embarked on a brave journey to breathe new life into the machine by swapping its dying brushed motor for a sleek brushless upgrade.

Things got real as [Chaz] dismantled the drill, comparing its guts to a salvaged portable bandsaw motor. What looked like an easy swap soon became a true hacker’s challenge: incompatible gear systems, dodgy windings, and warped laminations. Not discouraged by that, he dreamed up a hybrid solution: 3D-printing a custom adapter to make the brushless motor fit snugly into the existing housing.

The trickiest part was designing a speed control mechanism for the brushless motor—an impressively solved puzzle. After some serious elbow grease and ingenuity, the franken-drill emerged better than ever. We’ve seen some brushless hacks before, and this is worth adding to the list. A great tool hack and successful way to save an old beloved drill. Go ahead and check out the video below!

youtube.com/embed/7lnhADnFRoQ?…

hackaday.com/2025/01/29/going-…

Watch here!

by Jeff Feuerzeig

Filmmaker Jeff Feuerzeig chronicles the life of a manic-depressive musician and artist, using a blend of home movies, Johnston's own audiotapes, vintage performances and current footage. Johnston has recorded more than 10 full-length albums and amassed a prolific portfolio of sketches, and has among his supporters Matt Groening, David Bowie, Sonic Youth, Beck, and Tom Waits.

[Stephen] recently wrote in to share his experiments with using the LimeSDR mini to conduct a bit of piracy on the airwaves, and though we can’t immediately think of a legitimate application for spamming the full FM broadcast band simultaneously, we can’t help but be fascinated by the technique. Called the Taylorator, as it was originally intended to carpet bomb the dial with the collected works of Taylor Swift on every channel, the code makes for some interesting reading if you’re interested in the transmission-side of software defined radio (SDR).

The write-up talks about the logistics of FM modulation, and how quickly the computational demands stack up when you’re trying to push out 100 different audio streams at once. It takes a desktop-class CPU to pull it off in real-time, and eats up nearly 4 GB of RAM.

You could use this project to play a different episode of the Hackaday Podcast on every FM channel at once, but we wouldn’t recommend it. As [Stephen] touches on at the end of the post, this is almost certainly illegal no matter where you happen to live. That said, if you keep the power low enough so as not to broadcast anything beyond your home lab, it’s unlikely anyone will ever find out.

peertube.scd31.com/videos/embe…

hackaday.com/2025/01/29/taylor…

This week, Jonathan Bennett, Doc Searls, and Jeff Massie talk about Deepseek, technical solutions to Terms of Service abuse, and more!

youtube.com/embed/p0qZD52pcv8?…

Did you know you can watch the live recording of the show right on our YouTube Channel? Have someone you’d like us to interview? Let us know, or contact the guest and have them contact us! Take a look at the schedule here.

play.libsyn.com/embed/episode/…

Direct Download in DRM-free MP3.

If you’d rather read along, here’s the transcript for this week’s episode.

Places to follow the FLOSS Weekly Podcast:

• Spotify
• RSS

Theme music: “Newer Wave” Kevin MacLeod (incompetech.com)

Licensed under Creative Commons: By Attribution 4.0 License

hackaday.com/2025/01/29/floss-…

Bambu Labs have been in the news lately. Not because of the machines themselves, but because they are proposing a firmware change that many in our community find restricts their freedom to use their own devices.

What can be done? [Joshua Wise] gave a standout talk on the Design Lab stage at the 2024 Hackaday Superconference where he told the tale of his custom firmware for the Bambu X1 Carbon. He wasn’t alone here; the X1 Plus tale involves a community of hackers working on opening up the printer, but it’s also a tale that hasn’t ended yet. Bambu is striking back.

youtube.com/embed/K4pZ93Ag4UM?…

Classics of Getting Root

But first, the hacks. It took three and a half attacks to get the job done. The Bambu looks like a Linux machine, and it does everything over HTTPS, so that’s a difficult path. But the Bambu slicer software speaks to the printer over a custom API, and since the slicer can print, it must be able to send files to the printer.

Another hacker named [Doridian] had started working on getting in between the slicer and the printer, and the attack starts as every attack does – typing some keywords from the API into the Internet and finding the “confidential” documentation. Since you can download files using this API, you can start to get some binary files off the system. Bambu patched this one. [Doridian] then tried symlinks on an SD card, which worked for a little while, but Bambu patched this one too. Finally, they tried the old Johnny Droptables trick with a filename of a 3D model. This was also quickly patched.

Then [Joshua] got a message on Superbowl Sunday from a total stranger, [Balosh], who claimed he had a bootrom vulnerability that completely hosed the device because it’s baked into the firmware, and that’s an uncloseable door. [Fabian Masterbroek] wrote a kexec loadable module that lets you boot a second kernel from a running one, but it was written for the wrong platform. [Joshua] wrote the platform driver stuff to enable the swapover, shut everything down, and then reboot into a custom kernel.

What To Do When You Get In?

So [Joshua] was in. Now what to do? What features would you add to your own custom Bambu X1 Carbon firmware? Since it’s a Linux device, you might want a modern kernel, with better WiFi support and USB Ethernet. Maybe some security? An improved filesystem?

Here is a reverse-engineering nugget: The original UI is written in QML, which [Joshua] claims is horrible. He then uses Unicorn Engine, which is a patched QEMU that lets him know where all the function calls go, and shows him the way to, for instance, turn on and off the backlight. Now he could write his own system.

Winning the Battle, Not Yet the War

Word of the hacks got out on the Internets and [Joshua] got in touch with folks at Bambu Labs. They worked to a compromise that allowed Bambu to save face – they would allow people to upload their own firmware to the printers: a great victory for hackers that lets us FTP into the devices and print our own files without going through the cloud. All’s well that ends well?

The talk ends with foreshadowing: a cautionary note from back in November 2024. [Joshua] calls it “unusual” that Bambu would simply say “OK, run your own code”. Vendors gotta be vendors, and he predicts that the cat and mouse games will continue. How right he was! But it looks like the game is, for now at least, back in the mouse’s corner.

hackaday.com/2025/01/29/superc…

Though it is many decades since paper tape was commonly used as a data input or storage medium, it still holds a fascination for many who work with computers. Over the years we’ve featured more than one paper tape related project, and the latest to come out way is [ColemanJW2]’s 8-bit ASCII paper tape generator.

It’s natural to expect when talking about a paper tape generator that a machine of some type will emerge, probably with a large reel of tape, a whirring mechanical punch, and a big box of paper confetti. This one however is different, because it exists in software and produces an SVG file to cut the tape with a laser cutter. Common workshop equipment in 2025, but the stuff of science fiction when paper tape was current.

The software is a Python script, which has a friendly GUI. It applies 8-bit ASCII to the tape, and supports control codes and ANSI escape sequences. There’s a very short demonstration video of a tape being cut, which we’ve placed below the break.

If you make any tapes this way, see if you can find a paper tape event badge to read them.

youtube.com/embed/EPgzjeAySPs?…

hackaday.com/2025/01/29/paper-…

Sabato 1 febbraio, alla biblioteca interculturale BiblioBaobab di Bellinzona (Svizzera), riprende la #bibliotecaumana mana #HumanLibrary sul tema "migrazione", in piccolo ovviamente.

Io (Daniela) e altre due persone saremo dei #libriviventi e racconteremo, a chi vorrà ascoltare, la nostra esperienza diretta di migrazione.

Ecco la locandina ufficiale:

e il link al sito della Cooperativa che organizza l'evento (le date purtroppo non sono aggiornate) https://www.cooperativabaobab.ch/Biblioteca-umana-58eb4a00

Recentemente, numerosi utenti di televisori Samsung hanno segnalato un problema curioso ma persistente: i telecomandi vocali, che normalmente riconoscono comandi in diverse lingue, hanno improvvisamente cominciato a rispondere in russo invece che in inglese.

Questo fenomeno (portato all’attenzione di RHC da Alessia Valentini che lo sta riscontrando sul suo Smart TV) è stato riportato da utenti in tutto il mondo, creando confusione e frustrazione. Nonostante abbiano tentato di modificare le impostazioni della lingua attraverso i menu della TV e riavviare i dispositivi, il problema sembra persistere. Molti si chiedono se possa trattarsi di un malfunzionamento software o, più teoricamente, di un attacco informatico mirato.

Il problema sembra aver colpito una vasta gamma di modelli Samsung, con utenti che riportano che il telecomando, che prima capiva perfettamente l’inglese, ora non riesce a comprendere nulla tranne il russo. Alcuni utenti hanno riscontrato che, sebbene la lingua impostata nella TV sia ancora l’inglese, il dispositivo interpreta i comandi vocali come se fossero in russo, visualizzando risposte in questa lingua sullo schermo. La frustrazione è palpabile, con molte persone che lamentano la difficoltà di utilizzare il telecomando per funzioni basilari come cambiare canale o impostare un timer.

Le reazioni online sono state rapide e diffusive, con molte persone che condividono le loro esperienze, creando una sorta di comunità virtuale di utenti Samsung colpiti dal problema.

Nonostante diversi tentativi di risoluzione, come il ripristino delle impostazioni di fabbrica o l’aggiornamento del firmware, molti si chiedono se Samsung sia a conoscenza della questione e se ci siano soluzioni in vista. Alcuni utenti sospettano addirittura che possa trattarsi di un problema causato da un aggiornamento software errato, mentre altri avanzano ipotesi più drastiche, come un possibile hack del sistema. In ogni caso, il problema sembra essere molto più diffuso di quanto si pensasse inizialmente e sta generando preoccupazione tra gli utenti.

Alcuni utenti hanno riportato che, improvvisamente, il loro telecomando con microfono non risponde più. In particolare, la funzionalità di controllo vocale, che consente agli utenti di interagire con il televisore tramite comandi vocali, sembra essere completamente disabilitata. Quando il problema si verifica, nemmeno un reset completo del dispositivo riesce a ripristinare la funzionalità del telecomando. Il problema, infatti, persiste anche dopo aver ripristinato le impostazioni di fabbrica del televisore, suggerendo che non si tratti di un errore del singolo dispositivo, ma di un malfunzionamento più ampio che potrebbe interessare una serie di dispositivi.

Potenziali Cause

Una delle ipotesi più inquietanti che circolano è che questo malfunzionamento potrebbe essere il risultato di un attacco alla supply chain. In pratica, un aggiornamento di qualche libreria potrebbe aver influito su una serie di dispositivi, compresi quelli già distribuiti sul mercato. Le supply chain tecnologiche sono sempre più vulnerabili a questo tipo di minacce, che mirano a manipolare, alterare o danneggiare i componenti hardware e software dei prodotti, senza che l’utente finale ne sia immediatamente consapevole.

In questo caso, il fatto che il problema si verifichi su una serie di dispositivi che risalgono a diversi anni fa potrebbe suggerire che il malfunzionamento non sia legato a un difetto di fabbricazione, ma a un’influenza esterna che ha alterato il comportamento del software o dell’hardware del televisore.

L’assenza di risposte ai tentativi di ripristino dei dati di fabbrica potrebbe indicare che un componente fondamentale per il funzionamento del telecomando è stato compromesso a livello di sistema, probabilmente da un attacco mirato.

Conclusioni

Il caso dei telecomandi con microfono che smettono di funzionare sui televisori Samsung potrebbe essere più complesso di quanto sembri inizialmente. Sebbene un errore software o un guasto hardware siano le spiegazioni più comuni, l’ipotesi di un attacco alla supply chain non può essere esclusa, specialmente in un’epoca in cui le vulnerabilità a livello di approvvigionamento e distribuzione sono in aumento.

Gli utenti che riscontrano il problema dovrebbero continuare a monitorare gli aggiornamenti e, se necessario, contattare il supporto per un’indagine più approfondita.

Al momento, Samsung non ha fornito una spiegazione ufficiale riguardo al problema e non ha ancora reso disponibile una modalità di ripristino per risolvere il malfunzionamento del telecomando vocale.

L'articolo Il Televisore Samsung Parla in Russo! Bug, Supply Chain Attack o vuole farti imparare una lingua? proviene da il blog della sicurezza informatica.