Introdotto dal GDPR, il responsabile della protezione dei dati (RPD, o meglio conosciuto anche come DPO, Data Protection Officer) riveste un ruolo chiave nella governance e nel monitoraggio dell’architettura organizzativa della privacy, nel rispetto dell'indipendenza operativa della sua figura professionale

L'articolo La nomina del DPO: competenze, indipendenza e incompatibilità proviene da Cyber Security 360.

Nell'ultimo trimestre, il Polo Strategico Nazionale (PSN) ha rilevato un'impennata di attacchi cyber rivolti alle pubbliche amministrazioni, sempre più presenti sul cloud. La situazione, invisibile al pubblico, viene gestita dal team di sicurezza del PSN, in particolare da Leonardo. Ecco come affronta la sfida, con quali tecnologie e finalità

L'articolo Attacchi cyber contro la Pa: come funziona la difesa del Polo Strategico Nazionale proviene da Cyber Security 360.

La rapida adozione dei servizi di intelligenza artificiale senza adeguate misure di sicurezza è intrinsecamente rischiosa e il caso del database di DeepSeek lasciato esposto online ci ricorda quanto elevati possono essere i rischi. Cerchiamo di capire cosa è successo

L'articolo Trovato un database di DeepSeek esposto online, senza protezioni: quali rischi proviene da Cyber Security 360.

Il Garante privacy ha inviato una richiesta di informazioni a DeepSeek che ora ha 20 giorni di tempo per chiarire numerosi aspetti legati al trattamento dei dati personali degli utenti, sui rischi e le implicazioni giuridiche per milioni di cittadini italiani

L'articolo DeepSeek a rischio blocco in Italia? Il Garante privacy chiede conto sul trattamento dei dati proviene da Cyber Security 360.

DeepSeek has captured the world’s attention this week, with an unexpected release of the more-open AI model from China, for a reported mere $5 million training cost. While there’s lots of buzz about DeepSeek, here we’re interested in security. And DeepSeek has made waves there, in the form of a ClickHouse database unintentionally opened to the world, discovered by the folks from Wiz research. That database contained chat history and log streams, and API keys and other secrets by extension.

Finding this database wasn’t exactly rocket science — it reminds me of my biggest bug bounty win, which was little more than running a traceroute and a port scan. In this case it was domain and sub domain mapping, and a port scan. The trick here was knowing to try this, and then understanding what the open ports represented. And the ClickHouse database was completely accessible, leaking all sorts of sensitive data.

AI Tarpit

Does it really grind your gears that big AI companies are training their models on your content? Is an AI crawler ignoring your robots.txt? You might need help from Nepenthes. Now before you get too excited, let’s be clear, that this is a malicious software project. It will take lots of CPU cycles, and it’s explicitly intended to waste the time of AI crawlers, while also feeding gibberish into their training models.

The project takes the form of a website that loads slowly, generates gibberish text from a Markov chain, and then generates a handful of unique links to other “pages” on the site. It forms the web equivalent of an infinite “maze of twisty little passages, all alike”.

While the project has been a success, confirmed by the amount of time various web crawlers have spent lost inside, AI companies are aware of this style of attack, and mitigations are coming.

Check out the demo, but don’t lose too much time in there.
arstechnica.com/tech-policy/20…

Is The QR Code Bue and Black?

Or is it White and Gold
This is a really interesting bit of research happening on a Mastodon thread. The initial hack was a trio of QR codes, pointing to three different news sites, interleaved beneath a lenticular lens. Depending on the angle from which it was viewed, this arrangement led to a different site. That provoked [Christian Walther] to question whether the lense was necessary, or if some old-school dithering could pull off the same trick. Turns out that it sure can. One image, two URL. We’d love to see this extended to QR codes that register differently under different lighting, or other fun tricks. Head over to Elliot’s coverage for more on this one.

SLAPing and FLOPing Apple

Apple’s A and M chips have a pair of recently discovered speculative execution flaws, FLOP and SLAP. That’s False Load Out Predictions and Speculation in Load Address Predictions . FLOP uses mispredicted memory contents to access data, and SLAP uses mispredicted memory addresses. The takeaway is that Javascript running on one page can leak bytes from another web page.

Both of these attacks have their own wrinkles and complexities. SLAP has only been demonstrated in Safari, and is triggered by training the address prediction on an address layout pattern that leads into memory outside the real buffer. By manipulating Safari into loading another page in the same process as the attacker page, this can be used to leak buffer data from that other page.

FLOP is much more powerful, and works in both Safari and Chrome, and is triggered by training the CPU that a given load instruction tends to return the same data each time. This can be used in Safari to pull off a type confusion speculation issue, leading to arbitrary data leakage from any memory address on the system. In Chrome the details are a bit different, but the result is still an arbitrary memory read primitive.

The worst case scenario is that a compromised site in one tab can pull data from the rest of the system. There’s an impressive demo where a compromised tab reads data from ProtonMail running in a different tab. Apple’s security team is aware of this work, and has stated that it does not consider these attacks to be immediately exploitable as real world attacks.

Bits and Bytes

WatchTowr is back with the details on another Fortigate vulnerability, and this time it’s a race condition in the jsconsole management interface, resulting in an authentication bypass, and jumping straicht to super_admin on the system.

Unicode continues causing security problems, to no great surprise. Windows has a “Best-Fit” character conversion facility, which attempts to convert Unicode characters to their nearest ASCII neighbors. That causes all sorts of problems, in the normal divergent-parser-behavior way. When a security check happens on the Unicode text, but the Best-Fit conversion happens before the text is actually used, the check is neatly bypassed by the text being Best-Fit into ASCII.

And finally, Google’s Project Zero has an in-depth treatment of COM object exploitation with IDispatch. COM objects can sometimes be accessed across security boundaries, and sometimes those remote objects can be used to execute code. This coverage dives into the details of how the IDispatch interface can be used to trigger this behavior. Nifty!

hackaday.com/2025/01/31/this-w…

Christian Walther

2025-01-22 22:46:53

Got me thinking… can it be done without the lens? This one seems to work!

La sicurezza informatica in ambito sanitario è tornata sotto i riflettori dopo la scoperta di una backdoor nei monitor per pazienti Contec CMS8000, ampiamente utilizzati negli ospedali e nelle cliniche di tutto il mondo. La vulnerabilità, identificata dal Cybersecurity and Infrastructure Security Agency (CISA), consente l’accesso remoto non autorizzato ai dispositivi, con la possibilità di manipolare i dati dei pazienti o interrompere il loro monitoraggio.

Ancora più inquietante è il fatto che l’IP a cui questi dispositivi si connettono è situato in Cina, sollevando sospetti su possibili attacchi mirati o attività di spionaggio.

Un Accesso Nascosto ai Dispositivi Medici

La backdoor è stata individuata in due modelli del Contec CMS8000, rivelando credenziali di accesso hardcoded (incorporate nel codice) che permettono agli attaccanti di ottenere privilegi elevati sui dispositivi. Questo significa che un hacker potrebbe non solo alterare i dati sui parametri vitali dei pazienti, ma anche spegnere il monitor, creando scenari potenzialmente letali. CISA ha classificato la vulnerabilità con un punteggio CVSS critico, suggerendo un rischio elevato per le infrastrutture sanitarie.

Uno degli aspetti più controversi di questa scoperta è il fatto che i dispositivi compromessi tentano di connettersi a un indirizzo IP situato in Cina, sollevando domande sul possibile coinvolgimento di attori statali o gruppi cybercriminali affiliati. Sebbene non vi siano prove definitive che dimostrino un intento malevolo da parte del produttore Contec, la connessione a un server esterno non documentato rappresenta una violazione delle best practice di cybersecurity. I dispositivi medici non dovrebbero trasmettere dati sensibili al di fuori delle reti ospedaliere senza adeguate misure di sicurezza.

Implicazioni per la Sanità e la Sicurezza Nazionale

Questa scoperta mette in evidenza un problema più ampio: la crescente dipendenza da tecnologie di produzione straniera nel settore sanitario senza adeguati controlli di sicurezza. Se un attaccante riuscisse a sfruttare questa backdoor su larga scala, potrebbe causare il malfunzionamento di dispositivi salvavita, alterare dati medici critici o interrompere le operazioni ospedaliere. Le infrastrutture sanitarie sono obiettivi altamente sensibili per attacchi informatici, con impatti diretti sulla vita dei pazienti.

CISA ha rilasciato delle linee guida di mitigazione, consigliando alle strutture sanitarie di:

• Isolare i dispositivi vulnerabili su reti separate per impedire l’accesso non autorizzato.
• Aggiornare il firmware (se e quando il produttore rilascerà una patch).
• Monitorare il traffico di rete per identificare connessioni sospette verso IP esterni.
• Sostituire i dispositivi a rischio, se le misure di sicurezza non possono essere garantite.

Il Terrore della Backdoor e il Suo Utilizzo nei Dispositivi

Le backdoor con credenziali hardcoded sono state spesso rilevate nei dispositivi, introdotte dai fornitori stessi per consentire interventi di manutenzione su richiesta specifica. In particolare, quando il firmware non è offuscato, queste credenziali possono essere facilmente individuate e isolate, il che le rende un metodo pratico, seppur datato, per la gestione remota di determinati prodotti.

Il mondo della cybersecurity è ossessionato dalla minaccia delle backdoor, ma è importante distinguere tra una backdoor utilizzata per scopi di assistenza tecnica e una progettata per attività ostili. Se implementata correttamente, una backdoor introdotta per fini ostili e realmente malevola è estremamente difficile da rilevare e sfugge anche alle analisi più approfondite.

Tuttavia, nel contesto geopolitico attuale, ogni scoperta di una backdoor diventa immediatamente strumento di propaganda. Gli attori globali sfruttano queste vulnerabilità per costruire una narrazione che demonizza il “nemico” di turno, presentando ogni falla come una prova di intenti malevoli. Questo tipo di storytelling è particolarmente efficace per manipolare l’opinione pubblica, soprattutto nei paesi che non hanno ancora preso una posizione netta nello scacchiere internazionale.

L’obiettivo è chiaro: influenzare governi e opinioni pubbliche, spingendoli a diffidare di determinate nazioni e favorendo così la diffusione di tecnologie sviluppate da attori “alleati”. Questo approccio crea un clima di sospetto costante, in cui ogni nuova scoperta viene utilizzata come arma per rafforzare posizioni politiche ed economiche.

Il dibattito sulle backdoor è spinoso. Dunque, è spesso più politico che tecnico. La presenza di credenziali hardcoded in un dispositivo non implica necessariamente un’intenzione ostile, ma diventa un’arma retorica potente in mano ai vari attori globali. In un mondo sempre più dipendente dalla tecnologia, la narrativa sulla cybersecurity è ormai un elemento chiave nelle strategie di influenza internazionale.

L'articolo Backdoor o Strumento di Propaganda? Credenziali Hardcoded Rilevate dal CISA su Apparati medici proviene da il blog della sicurezza informatica.

If you compare a modern PCB with a typical 1980s PCB, you might notice — like [lcamtuf] did — that newer boards tend to have large areas of copper known as pours instead of empty space between traces. If you’ve ever wondered why this is, [lcamtuf] explains.

The answer isn’t as simple as you might think. In some cases, it is just because the designer is either copying the style of a different board or the design software makes it easy to do. However, the reason it caught on in the first place is a combination of high-speed circuitry and FCC RF emissions standards. But why do pours help with unintentional emissions and high-speed signals?

The answer lies in the inductance the pours add to the boards. Of course, there’s no free lunch. Adding inductance in this way also increases capacitance, which can be a bad thing.

The truth is, most of the boards we deal with would be fine with or without the pours. That’s a good thing, too, because the post illustrates how some common things can significantly reduce the effectiveness of the copper pours.

When we don’t send our boards out, we are usually more interested in removing copper. You also have to be careful when you want your PCB to radiate.

hackaday.com/2025/01/31/a-hist…

Windows group policies are a powerful management tool that allows administrators to define and control user and computer settings within a domain environment in a centralized manner. While group policies offer functionality and utility, they are unfortunately a prime target for attackers. In particular, attackers are increasingly using group policies to distribute malware, execute hidden scripts and deploy ransomware.

These attacks can range from simple configuration changes that could result in data breaches to more complex scenarios where attackers gain complete control over the corporate network. To ensure the security of your IT infrastructure, it is crucial to understand the vulnerabilities in group policies and the tactics used by attackers. This story examines how cybercriminals exploit group policies as an attack vector, what risks attacks like these pose, and what measures can be taken to protect against potential threats.

Group Policy Object

A Group Policy Object (GPO) includes two key components: a Group Policy Container (GPC) and a Group Policy Template (GPT). A GPC is an Active Directory container that holds information about the GPO version, its status and so on.

Example of Group Policy Container contents

A GPT is a collection of files and folders kept on the SYSVOL system volume of every domain controller within a domain. These files hold a variety of settings, scripts and presets for users and workstations.

Group Policy Templates on SYSVOL

The path to each template is specified in the attribute of the group policy container named gPCFileSysPath.

Contents of the gPCFileSysPath attribute

Next, gPCMachineExtensionNames and gPCUserExtensionNames are important attributes in each policy. Each of these attributes contains a GUID for Client Side Extensions (CSE) that will be distributed to user and/or computer settings. Extensions themselves are most often implemented using libraries that contain a set of functions necessary for applying extension settings to users or computers. So, the GUID provides information about which exact library needs to be loaded. A list of all CSE GUIDs can be found in the following registry key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\

Contents of one of the GUIDs in GPExtensions

To determine which policies a client will apply, it makes an LDAP query to the domain controller, which returns a set of policies for a specific user and/or computer. This set is called SOM (Scope of Management). A key attribute of a SOM is gpLink, which connects organizational units (OUs) to the GPOs that apply to them.

Policy application process

How attackers exploit group policies

In this story, we will not delve into the specifics of how attackers gain access to Group Policies. We will only note that to modify policies, attackers need only have WriteProperty permissions on the gPCFileSysPath attribute within the GPO. This has been described in more detail in SpecterOps’ study, An ACE Up The Sleeve: Designing Active Directory DACL Backdoors. Let’s focus on examples of how attackers specifically use these very policies for their own purposes.

The most common policy abuse tactic used by malicious actors is to deploy ransomware across multiple hosts. Our Global Emergency Response Team (GERT) regularly encounters its consequences in their work. However, group policies can also be used to covertly gain a foothold in a domain, where attackers can do virtually anything they want:

• Create new local users/administrators;
• Create malicious scheduler tasks;
• Create various services;
• Run tasks on behalf of the system and/or user;
• Change the registry configuration and much more.

Modifying the gPCMachineExtensionNames and gPCUserExtensionNames attributes

There are several tools designed to compromise GPOs. While they are all functionally similar, we will focus on the most popular one (after the built-in Windows MMC tool) SharpGPOAbuse. This utility provides a step-by-step guide to modifying Group Policy Objects (GPOs), making it convenient for analyzing the specific changes involved. As an example, let’s create a user-defined scheduler task that will run under the account labdomain.local\admin.

Adding a scheduled task to launch cmd.exe on behalf of a specific user

As seen in the screenshot above, during GPO modification, a new task is first added to the GPT on SYSVOL as an XML file. After that, the versionNumber attribute is changed, and the version number in the GPT.ini file is increased. This is necessary so that when checking for GPO updates, the client can detect that there is a newer version than the one in the cache and download the modified policy. Such changes can be tracked using event 5136, which is generated whenever an AD object is modified.

Event 5136, which reflects a change in GPO attributes

As we were creating a custom policy, we modified the gPCUserExtensionNames attribute, which now includes the following CSE GUID values:

• {00000000-0000-0000-0000-000000000000} — Core GPO Engine;
• {CAB54552-DEEA-4691-817E-ED4A4D1AFC72} — Preference Tool CSE GUID Scheduled Tasks;
• {AADCED64-746C-4633-A97C-D61349046527} — Preference CSE GUID Scheduled Tasks.

After the policy is applied, a scheduled task will start:

Scheduled task start events

Each function within the SharpGPOAbuse tool (such as creating scheduled tasks, adding users, granting privileges and so on) has a unique set of CSEs that will be recorded in the user or computer attributes.

CSE toolkit for adding a local administrator, new privileges and an autostart script in the SharpGPOAbuse code

These CSEs can serve as the basis for developing rules for detecting similar policies:
title: Adding new privilege via GPO
description: Detects events of adding specific attributes for
gPCMachineExtensionNames
tags:
- attack.privilege_escalation
- attack.defense_evasion
- attack.t1484
- attack.t1484.001
logsource:
product: windows
service: security
detection:
selectionEvent:
EventID: 5136
OperationType: 'Value Added'
AttributeLDAPDisplayName: 'gPCMachineExtensionNames'
selectionAttribute:
AttributeValue|all:
- '{827D319E-6EAC-11D2-A4EA-00C04F79F83A}'
- '{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}'
condition: selectionEvent and selectionAttribute
falsepositives:
- Legitimate execution by system administrators.
level: medium

Detecting the addition of new privileges through GPOs
title: Adding startup/logon script via GPO
description: Detects events of adding specific attributes for
gPCMachineExtensionNames or gPCUserExtensionNames
tags:
- attack.privilege_escalation
- attack.defense_evasion
- attack.persistence
- attack.t1484
- attack.t1484.001
- attack.t1547
logsource:
product: windows
service: security
detection:
selectionEvent:
EventID: 5136
OperationType: 'Value Added'
AttributeLDAPDisplayName:
- 'gPCMachineExtensionNames'
- 'gPCUserExtensionNames'
selectionAttribute:
AttributeValue|all:
- '{42B5FAAE-6536-11D2-AE5A-0000F87571E3}'
- '{40B6664F-4972-11D1-A7CA-0000F87571E3}'
condition: selectionEvent and selectionAttribute
falsepositives:
- Legitimate activity by system administrators.
level: medium
Detecting the addition of new autorun scripts through GPOs
title: Adding sheduled task via gpo
description: Detects events of adding specific attributes for
gPCMachineExtensionNames or gPCUserExtensionNames
tags:
- attack.privilege_escalation
- attack.defense_evasion
- attack.persistence
- attack.t1484
- attack.t1484.001
- attack.t1053
- attack.t1053.005
logsource:
product: windows
service: security
detection:
selectionEvent:
EventID: 5136
OperationType: 'Value Added'
AttributeLDAPDisplayName:
- 'gPCMachineExtensionNames'
- 'gPCUserExtensionNames'
selectionAttribute:
AttributeValue|all:
- '{AADCED64-746C-4633-A97C-D61349046527}'
- '{CAB54552-DEEA-4691-817E-ED4A4D1AFC72}'
condition: selectionEvent and selectionAttribute
falsepositives:
- Legitimate activity by system administrators.
level: medium
Detecting the addition of a new scheduler task using GPOs

Modifying the gPCFileSysPath attribute

In some scenarios, the adversary can modify the GPC but cannot access the directory where the GPTs are located. This is because different methods are used to manage different GPO entities: A GPC is stored in the LDAP directories of Active Directory, while a GPT is stored in a system folder on the domain controller: SYSVOL. Consequently, a user may have permissions to modify the GPC LDAP container, but not have permissions to modify or add files in SYSVOL. In this case, when attempting to modify the policy, the user will see the following error:

Permissions mismatch between LDAP and SMB

An attacker without SYSVOL access can modify the GPC attribute gPCFileSysPath, specifying a path to a network resource they control. As a result, all clients subject to the policy will retrieve templates from this resource. Let’s consider this scenario using the example of a GPOddity attack. The tool spins up its own SMB server, where it creates malicious policies, then changes the path to the GPT, and after applying the modified policies, restores them to their original state from its backup.

Example of using GPOddity

The technique of modifying the gPCFileSysPath attribute was highlighted back in 2020 in a blog post by researcher Mark Gamache, who was working at Microsoft at the time. However, the company believes that the ability to store GPTs outside of the SYSVOL system folder is a feature rather than a bug. At the same time, Microsoft does not recommend storing GPTs on third-party resources, as this can break certain Windows mechanisms.

The possibility of storing policy data on third-party resources as mentioned in Microsoft documentation

To detect this technique, we can once again utilize event 5136, where we will monitor the modification of the attribute we are interested in.

Example of changing the gPCFileSysPath attribute in the Windows event log

It’s possible to automatically detect an event 5136, related to changes in gPCFileSysPath, in logs by using the following rule:
title: Setting the gPCFileSysPath attribute
description: Detects changing the gPCFileSysPath attribute.
tags:
- attack.privilege_escalation
- attack.defence_evasion
- attack.t1484
- attack.t1484.001
logsource:
product: windows
service: security
detection:
selection:
EventID: 5136
AttributeLDAPDisplayName: 'gPCFileSysPath'
OperationType: 'Value Added'
filter:
AttributeValue|re: '(?i)\\\\(?<domain>[\w.-]+)\\sysvol\\\k<domain>\\'
condition: selection and not filter
falsepositives:
- Unlikely
level: high
To eliminate the risk of false positives, we added to exceptions events that are generated when creating a new GPO where the attribute specifies the normal path to the GPT:
\\<domain>\SysVol\<domain>\Policies\<GPO GUID>

Changing the gPCFileSysPath attribute when creating a new GPO

How we search for “bad” policies in Compromise Assessment projects

One of the items on the checklist for each of our Compromise Assessment projects is searching for compromise via group policies, as attackers often rely on this method both to distribute malicious software, scripts, vulnerable settings and so on, and to secretly gain a foothold in the domain. We use the Group3r tool to analyze a large volume of policies. It helps us quickly find all policies and run them through our detection rules to identify suspicious ones, as well as find various vulnerabilities that an attacker could exploit.

Example of a suspicious policy

Example of a vulnerable policy

Since Group3r only searches for policies located on the SYSVOL domain volume, it is important to determine which of them have the gPCFileSysPath attribute changed. To do this, you can use the following script:
$GPOs = Get-GPO -All
$domain = (Get-ADDomain).DNSRoot
$correctPathPattern = "\\$domain\SysVol\$domain\Policies\"
$correctPathPatternLower = $correctPathPattern.ToLower()
$incorrectGPOs = @()
foreach ($gpo in $GPOs) {
$ldapPath = "LDAP://" + $gpo.Path
[ADSI]$GPC = $ldapPath
$gpcFileSysPath = $GPC.Properties["gPCFileSysPath"].Value
$gpcFileSysPathLower = $gpcFileSysPath.ToLower()
if (-not $gpcFileSysPathLower.StartsWith($correctPathPatternLower)) {
$result = [PSCustomObject]@{
GPOName = $gpo.DisplayName
GPOId = $gpo.Id
GPFileSysPath = $gpcFileSysPath
}
$incorrectGPOs += $result
}
}
if ($incorrectGPOs.Count -gt 0) {
$incorrectGPOs | Format-Table -AutoSize
} else {
Write-Host "gPCFileSysPath is correct"
}

Example of the script’s operation

In addition to Group3r, SharpHound is an excellent tool for finding various GPO configuration errors. It allows you to find potential GPO attack vectors.

An example of a misconfiguration that grants write permissions for policies to users who do not need them

How we monitor group policies in MDR

Organizations often fail to log many events on hosts. To ensure security and proactive monitoring of group policies in our MDR service, we have developed several improvements to our telemetry. Firstly, since Windows advanced auditing is disabled on some hosts, we try to use ETW providers (Event Tracing for Windows) wherever possible to replace the events needed to understand what happened in the system. Where ETW alone is not enough, we improve our technology and expand telemetry coverage. For instance, to detach from event 5136, monitoring of which requires configuring Directory Service Changes audit, our SOC R&D team developed the GCNet tool based on Microsoft’s PoC for monitoring directory service changes. The tool connects to the LDAP database where we specify a search for a particular distinguishedName attribute value (in our case, CN=Policies) and subscribe to any changes to it. If we receive a notification about a policy change, we request detailed information about the corresponding GPO, including GPC and GPT data.

Example of an event with GPO output

Detected events are run through our detection rules, allowing us to identify various malicious policies. One of the important attributes of a policy is GPLink options and policy flags. Policies flagged as Enforced take precedence over other policies and will be applied before them, and they cannot be overwritten by another policy. Additionally, GPOs have several flags that, when known, can help us determine whether a policy is enabled or not. The combination of all attributes provides us with additional information about how much time we have to respond to an incident before the next group policy is applied, and where and how it is applied, significantly broadening the investigation scope. By default, policies are updated every 90 minutes +/– 30 minutes on client machines and every 5 minutes on the domain controller.

Conclusion

Group policies (GPOs) are a versatile tool that, in the hands of malicious actors, can pose a serious threat to a corporate network. Their compromise allows attackers to perform covert actions, modify configurations and spread malware to multiple hosts simultaneously. For this reason, group policies must be closely monitored and constantly secured. Tracking changes in group policies and responding to detected threats is part of our Managed Detection and Response (MDR) service.

securelist.com/group-policies-…

Nel 2024, secondo un rapporto StormWall fornito da Forbes , la Russia si è classificata all’ottavo posto tra i paesi più suscettibili agli attacchi DDoS. La percentuale di attacchi contro il Paese è stata pari al 7,3% del numero totale di attacchi a livello mondiale, lo stesso dell’anno scorso. Tuttavia, nel 2023, la Russia era al settimo posto nella classifica.

I primi tre paesi più attaccati sono rimasti invariati: Stati Uniti, Cina e India. La Russia ha preceduto anche Gran Bretagna, Germania, Francia ed Emirati Arabi Uniti.

Il 2024 ha visto un’impennata degli attacchi, in crescita del 45% su base annua, e un raddoppio della potenza degli attacchi al livello applicativo (L7) che miravano a vulnerabilità critiche ed errori di elaborazione dei dati. Gli esperti attribuiscono questo ai gravi eventi geopolitici e all’aumento della concorrenza sul mercato globale nella seconda metà dell’anno.

Una delle tendenze principali è stata l’aumento di cinque volte del numero di dispositivi nelle botnet utilizzati dagli aggressori per lanciare attacchi. Il numero medio di tali dispositivi in ​​Russia è aumentato da 7.000 nel 2023 a 35.000 nel 2024. È stato notato che la botnet più grande era composta da oltre 100.000 dispositivi, la maggior parte dei quali erano router Asus. Gli analisti sottolineano che il numero crescente di dispositivi nelle botnet aumenta la minaccia, poiché le reti su larga scala possono lanciare attacchi potenti con conseguenze devastanti per le aziende.

Un’altra caratteristica degna di nota è stata il forte aumento degli attacchi con bombardamenti a tappeto, aumentati del 268% rispetto al 2023. Questi attacchi mirano a disabilitare in modo massiccio l’infrastruttura, colpendo contemporaneamente centinaia o migliaia di indirizzi IP delle vittime. È aumentato anche il numero di attacchi DoS multivettore mirati a diversi livelli di rete ed elementi infrastrutturali: il loro numero è aumentato del 32% rispetto al 2023.

In Russia, l’obiettivo principale degli attacchi DDoS nel 2024 è stato il settore delle telecomunicazioni, che ha rappresentato il 31% degli attacchi. Per fare un confronto, nel 2023 questa cifra era del 14%. L’efficacia degli attacchi alle telecomunicazioni ha raggiunto il 57%, il che significa che più della metà degli attacchi hanno avuto successo.

Altri settori interessati includono il settore pubblico (17%) e il commercio al dettaglio (14%).

L'articolo Bombe Digitali: Crescono del 45% gli attacchi DDoS globali nel 2024 proviene da il blog della sicurezza informatica.

L’era della tecnologia continua a cambiare il processo educativo nelle scuole, ponendo gli insegnanti di fronte a nuove sfide. Mentre in passato agli studenti era vietato l’uso di calcolatrici ed enciclopedie su CD-ROM, oggi esplorano attivamente strumenti di intelligenza artificiale come ChatGPT. Secondo un nuovo studio del Pew Research Center, la percentuale di adolescenti che utilizzano ChatGPT per completare i compiti scolastici è aumentata dal 13% al 26% in un anno.

I giovani sono ansiosi di alleggerire la routine scolastica, ma i dati mostrano che l’approccio all’uso dell’intelligenza artificiale è piuttosto selettivo. Ad esempio, il 54% degli adolescenti ritiene accettabile utilizzare ChatGPT per apprendere nuovi argomenti. Ma questa cifra scende drasticamente quando si tratta di risolvere problemi di matematica (29%) o scrivere saggi (18%).

ChatGPT non è l’unico strumento a disposizione degli studenti. Uno studio del Digital Education Council pubblicato ad agosto afferma che il livello globale di adozione dell’intelligenza artificiale tra gli studenti raggiunge l’86%. Oltre a ChatGPT, tra gli adolescenti stanno diventando popolari piattaforme come Gemini, Claude e Microsoft Copilot.

Alcune scuole stanno già sperimentando l’integrazione dell’intelligenza artificiale nell’insegnamento. Ad esempio, l’Arizona State University (ASU) sta collaborando con OpenAI e il David Game College con sede a Londra ha lanciato un corso tenuto in parte da AI come parte del suo programma Sabrewing.

Tuttavia, l’uso diffuso dell’intelligenza artificiale solleva preoccupazioni.

Gli scienziati temono che gli studenti possano diventare eccessivamente dipendenti dalla tecnologia, il che ostacolerà lo sviluppo del pensiero critico. D’altra parte, l’intelligenza artificiale può essere un potente strumento per personalizzare l’esperienza di apprendimento se utilizzata con saggezza.

È quasi impossibile limitare completamente l’uso dell’intelligenza artificiale nelle scuole, ma sviluppare un approccio equilibrato può essere una soluzione efficace.

L'articolo Al al Posto Del Cervello. L’86% degli Studenti La Usa Regolarmente Per i Compiti proviene da il blog della sicurezza informatica.

In mezzo agli scatoloni, ma non si può chiuder il mese senza parlare dei babau che all'improvviso sono arrivati a disturbare i sonni dei vincitori... Oggi parliamo del Babau In Chief, Trump.

spreaker.com/episode/dk-9x16-a…

For those times when you could really use a quick 3D model, this metric screw generator will do the trick for screws between M2 and M16 with matching nuts and washers. Fastener hardware is pretty accessible, but one never knows when a 3D printed piece will hit the spot. One might even be surprised what can be usefully printed on a decent 3D printer at something like 0.08 mm layer height.

Behind the scenes, [Jason]’s tool is an OpenSCAD script with a very slick web-based interface that allows easy customization of just about any element one might need to adjust, including fine-tuning the thread sizing. We’re fans of OpenSCAD here and appreciate what’s going on behind the scenes, but one doesn’t need to know anything about it to use the online tool.

Generated models can be downloaded as .3mf or .stl, but if you really need a CAD model you’re probably best off looking up a part and downloading the matching 3D model from a supplier like McMaster-Carr.

Prefer to just use the OpenSCAD script yourself, instead of the web interface? Select “Download STL/CAD Files” from the dropdown of the project page to download ScrewGenerator.scad for local use, and you’re off to the races.

hackaday.com/2025/01/31/handy-…

Broadcom ha recentemente rilasciato aggiornamenti di sicurezza per correggere cinque vulnerabilità in VMware Aria Operations e Aria Operations for Logs, evidenziando il rischio di sfruttamento da parte di attaccanti per ottenere accessi elevati o esfiltrare informazioni sensibili.

Panoramica sulle vulnerabilità

Le falle, che impattano le versioni 8.x del software, sono le seguenti:

• CVE-2025-22218 (CVSS 8.5): Un attore malevolo con permessi View Only Admin potrebbe leggere le credenziali di un prodotto VMware integrato con VMware Aria Operations for Logs.
• CVE-2025-22219 (CVSS 6.8): Un utente con privilegi non amministrativi potrebbe iniettare uno script malevolo, eseguendo operazioni arbitrarie come amministratore tramite un attacco XSS (Cross-Site Scripting) memorizzato.
• CVE-2025-22220 (CVSS 4.3): Un utente con privilegi limitati e accesso di rete all’API di Aria Operations for Logs potrebbe eseguire operazioni con privilegi amministrativi.
• CVE-2025-22221 (CVSS 5.2): Un amministratore di VMware Aria Operations for Logs potrebbe iniettare uno script malevolo, che verrebbe eseguito nel browser della vittima durante un’azione di eliminazione nella configurazione dell’agente.
• CVE-2025-22222 (CVSS 7.7): Un utente non amministrativo potrebbe sfruttare questa vulnerabilità per recuperare credenziali di un plugin in uscita, se in possesso di un ID valido del servizio.

Queste vulnerabilità colpiscono VMware Aria Operations e VMware Aria Operations for Logs, entrambi componenti critici della piattaforma VMware Cloud Foundation. Di conseguenza, le versioni 4.x e 5.x della piattaforma risultano anch’esse vulnerabili.

Le criticità individuate dal team di sicurezza Michelin CERT insieme a Abicom, mettono in evidenza ancora una volta quanto sia cruciale monitorare e proteggere le infrastrutture IT aziendali. La stessa squadra di ricercatori aveva già identificato due altre falle simili (CVE-2024-38832 e CVE-2024-38833) a fine novembre 2024.

Va notato che, sebbene Broadcom non abbia segnalato exploit attivi, l’eventuale abuso di queste falle richiede accesso autorizzato ai sistemi vulnerabili. Ciò significa che, se sfruttate, è probabile che l’attacco avvenga tramite account compromessi.

VMware già nel mirino di attori statali e cybercriminali

Non sarebbe la prima volta che VMware finisce nel mirino di attaccanti avanzati. In passato, gruppi APT (Advanced Persistent Threat) legati a stati-nazione hanno sfruttato vulnerabilità critiche nei prodotti VMware per muoversi lateralmente all’interno delle reti aziendali compromesse.

Ad esempio, attacchi legati al gruppo UNC3886, noto per colpire infrastrutture di virtualizzazione, hanno dimostrato come le falle in VMware possano essere sfruttate per ottenere persistenza e accesso privilegiato. Anche gruppi come APT29 (Cozy Bear) e APT41 hanno mostrato un particolare interesse per le piattaforme di virtualizzazione. La possibilità di ottenere credenziali amministrative tramite queste vulnerabilità rende gli ambienti VMware un bersaglio privilegiato.

Patch disponibili, ma il pericolo rimane

Broadcom ha rilasciato le correzioni con VMware Aria Operations e Aria Operations for Logs versione 8.18.3. Per gli utenti di VMware Cloud Foundation, è possibile seguire l’articolo KB92148 per applicare i fix necessari.

L’advisory arriva pochi giorni dopo un altro allarme lanciato da Broadcom riguardo una falla ad alta gravità in VMware Avi Load Balancer (CVE-2025-22217, CVSS 8.6), che potrebbe consentire a un attaccante di ottenere accesso al database.

Conclusione

La gestione delle vulnerabilità in ambienti virtualizzati è una sfida continua, e il caso di VMware Aria Operations ne è un esempio concreto. Sebbene Broadcom abbia rilasciato tempestivamente le patch, il rischio non può essere sottovalutato, soprattutto considerando l’interesse costante di gruppi APT e cybercriminali nei confronti delle piattaforme VMware.

La presenza di vulnerabilità che consentono l’accesso a credenziali sensibili e l’esecuzione di codice malevolo all’interno delle infrastrutture IT evidenzia ancora una volta l’importanza di un approccio proattivo alla sicurezza. Applicare gli aggiornamenti di sicurezza è fondamentale, ma da solo non basta: è necessario rafforzare i controlli sugli account con privilegi elevati, monitorare le attività sospette e implementare strategie di difesa in profondità per mitigare i rischi legati all’esposizione di dati sensibili.

Le organizzazioni che utilizzano VMware Aria Operations e Aria Operations for Logs dovrebbero valutare con attenzione la propria postura di sicurezza, adottando misure preventive come l’uso di autenticazione multifattore (MFA), il monitoraggio continuo dei log e la segmentazione della rete per limitare eventuali movimenti laterali degli attaccanti. Solo con un’azione tempestiva e una strategia di sicurezza ben definita è possibile ridurre il rischio di compromissioni e proteggere le infrastrutture critiche dagli attacchi sempre più sofisticati.

L'articolo Allarme VMware Aria: gravi vulnerabilità a rischio di esposizione di credenziali e privilegi amministrativi! proviene da il blog della sicurezza informatica.

Gli esperti di sicurezza informatica hanno scoperto un nuovo exploit che sfrutta il protocollo RDP (Remote Desktop Protocol). Questa vulnerabilità consente agli aggressori di ottenere un controllo non autorizzato sui sistemi Windows e di dirottare l’attività del browser, rappresentando una minaccia significativa per la sicurezza dei dati individuali e aziendali.

RDPuzzle: Analisi della vulnerabilità sfruttata

L’exploit nasce dalla gestione e dall’archiviazione improprie dei file di cache bitmap RDP, progettati per migliorare le prestazioni durante le sessioni desktop remote. Questi file memorizzano frammenti di attività sullo schermo, come elementi grafici e dati dello schermo, sul computer locale del client.

Sebbene pensata per l’ottimizzazione delle prestazioni, questa funzionalità è stata ora sfruttata da malintenzionati per ottenere informazioni sulle sessioni attive di Windows e sulle attività di navigazione web.

Analizzando i file di cache bitmap memorizzati sulla macchina che ha avviato l’attacco, gli aggressori possono ricostruire parti della schermata della sessione remota.
La memorizzazione nella cache persistente dei bitmap è abilitata per impostazione predefinita in mstsc.exe (credit insinuator)
La memorizzazione nella cache persistente delle immagini bitmap è abilitata per impostazione predefinita in mstsc.exe Ciò include la registrazione di applicazioni aperte, comandi eseguiti, sessioni private del browser e attività sensibili dell’utente, come l’accesso alle pagine di login o il download di file.

Con strumenti aggiuntivi, come BMC-Tools (sviluppato dall’agenzia francese per la sicurezza informatica ANSSI) e RdpCacheStitcher, gli aggressori possono ricomporre i frammenti grafici e ricavarne informazioni fruibili. I ricercatori che hanno esplorato questo exploit lo hanno paragonato a un “guardare virtualmente alle spalle” dell’utente bersaglio. In un esempio reale, gli aggressori hanno ricostruito con successo i frame di sessione RDP per visualizzare:

• Comandi del terminale eseguiti dall’utente, come certutil.exe, utilizzati per scaricare script dannosi.
• Sessioni private del browser, comprese pagine di accesso e credenziali sensibili.
• Attività del file system, come la copia di file come “svchost.exe” nelle directory locali.

Questo livello di informazioni non solo compromette la privacy degli utenti, ma fornisce anche agli aggressori informazioni dettagliate per aumentare i propri privilegi e rafforzare la propria posizione nelle reti compromesse.

Come funziona l’Exploit

L’exploit è particolarmente pericoloso per le organizzazioni. Gli amministratori che utilizzano RDP per gestire più macchine creano un’ampia rete di connessioni sensibili, tutte vulnerabili se un aggressore ottiene l’accesso alla macchina che le ha avviate.
Frame di sessione RDP parzialmente ricostruito in RdpCacheStitcher (credit insinuator)
In un caso, gli aggressori hanno utilizzato questo exploit per colpire i fornitori di servizi che gestivano da remoto i sistemi dei clienti, diffondendo malware ed esfiltrando credenziali sensibili. Sebbene anche gli utenti comuni siano a rischio, l’impatto maggiore si riscontra negli ambienti aziendali in cui RDP è essenziale per le operazioni IT.

I malintenzionati possono utilizzare i dati ricostruiti per condurre attacchi di phishing, diffondere ransomware o semplicemente monitorare attività sensibili senza renderle tracciabili. Per mitigare i rischi posti da questo exploit, gli esperti di sicurezza informatica raccomandano le seguenti misure:

1. Disattiva la memorizzazione nella cache persistente dei bitmap: i client RDP (come mstsc.exe) consentono agli utenti di disattivare la memorizzazione nella cache delle immagini bitmap, riducendo al minimo l’esposizione dei dati della sessione.
2. Rafforzare la sicurezza della rete: utilizzare reti private virtuali (VPN) e firewall robusti per proteggere le connessioni RDP da minacce esterne.
3. Monitoraggio delle sessioni RDP: registrare e monitorare le sessioni RDP per rilevare attività sospette, tra cui connessioni in uscita o spostamenti di file imprevisti.
4. Limita i privilegi: implementa il principio del privilegio minimo per limitare l’utilizzo non necessario di RDP.
5. Applica aggiornamenti: aggiorna regolarmente i sistemi Windows e le patch di sicurezza per impedire lo sfruttamento delle vulnerabilità note.

Poiché le organizzazioni si stanno sempre più orientando verso modelli di lavoro da remoto e ibridi, la protezione delle connessioni RDP deve rimanere una priorità assoluta. Gli esperti avvertono che la mancata risoluzione tempestiva di queste vulnerabilità potrebbe esacerbare i danni derivanti da futuri attacchi informatici.

L'articolo RDPuzzle: così i cybercriminali possono ricostruire la tua attività sul PC proviene da il blog della sicurezza informatica.

If you’re looking to add a pop of glowing whimsy to your workspace, check out this vibrant jiggly desk toy by [thzinc], who couldn’t resist the allure of Adafruit’s NOODS LED strands. [thzinc]’s fascination with both glowing LEDs and levitating tensegrity designs led to an innovative attempt to defy gravity once again.

The construction’s genius is all about the balance of tension across the flexible LED strands, with three red ‘arms’ and a blue ‘hanger’ arm supporting the central hub. [thzinc]’s early designs faced print failures, but by cleverly reorienting print angles and refining channel designs, he achieved a modular, sturdy structure. Assembly involved careful soldering, tension adjustments, and even a bit of temporary tape magic to perfect the wobbling equilibrium.

But, the result is one to applaud. A delightful, wobbly desk toy with a kind of a Jell-O vibe that dances to your desk’s vibrations while glowing like a mini neon sign. We’ve covered tensegrity constructions in the past, so with a little digging through our archives you’ll be able to find some unique variations to build your own. Be sure to read [thzinc]’s build story before you start. Feel free to combine the best out there, and see what you can bring to the table!

media.hachyderm.io/media_attac…

hackaday.com/2025/01/30/the-je…

As the most important muscle in our body, any issues with our heart are considered critical and reason for replacement with a donor heart. Unfortunately donor hearts are rather rare, making alternatives absolutely necessary, or at the very least a way to coax the old heart along for longer. A new method here seems to be literally patching up a patient’s heart with healthy heart tissue, per the first human study results by [Ahmad-Fawad Jebran] et al. as published in Nature (as well as a partially paywalled accompanying article).

Currently, simple artificial hearts are a popular bridging method, which provide a patient with effectively a supporting pump. This new method is more refined, in that it uses induced pluripotent stem cells (iPS) from an existing hiPSC cell line (TC1133) which are then coaxed into forming cardiomyocytes and stromal cells, effectively engineered heart muscle (EHM). After first testing this procedure on rhesus macaque monkeys, a human trial was started involving a 46-year old woman with heart failure after a heart attack a few years prior.

During an operation in 2021, 10 patches of EHMs containing about 400 million cells each were grafted onto the failing heart. When this patient received a donor heart three months later, the removed old heart was examined and the newly grafted sections found to be healthy, including the development of blood vessels.

Although currently purely intended to be a way to keep people alive until they can get a donor heart, this research opens the tantalizing possibility of repairing a patient’s heart using their own cells, which would be significantly easier than growing (or bioprinting) an entire heart from scratch, while providing the benefit of such tissue patches grown from one’s own iPS cells not evoking an immune response and thus mitigating the need for life-long immune system suppressant drugs.

Featured image: Explanted heart obtained 3 months after EHM implantation, showing the healthy grafts. (Credit: Jebran et al., 2025, Nature)

hackaday.com/2025/01/30/patchi…

[Zen Garden Oasis] wanted to heat and light a space using a candle. But candles aren’t always convenient since they burn down and, eventually, you must replace them. So he built copper candles using a common copper pipe and an old glass jar. Of course, the candle still takes fuel that you have to replace, but the candle itself doesn’t burn down.

The basic idea is that the copper tube holds a high-temperature carbon wick that stays saturated with fuel. The fuel burns, but the wick material doesn’t. The copper part is actually concentric with a 3/4-inch pipe mostly enclosing a 1/2-inch pipe.

The inner pipe extends further, and there are several holes in each pipe for fuel and air flow. The extended part of the pipe will be the candle’s flame. The wick wraps the entire inner pipe, stopping when it emerges from the outer pipe.

The fuel is alcohol, just like the old burner in your childhood chemistry set. The flame isn’t very visible, but a little salt in the fuel can help make the burn more orange.

Of course, this is a flame, so you need ventilation. You’ll also want to take care to make sure the candle—or anything burning—doesn’t tip over or set something else on fire. These candles will store just fine, and they can even burn common rubbing alcohol, so they could be useful in an emergency to generate heat and light with no electricity. Even a small candle can generate heat around 300F. Bigger candles make more heat, and the video shows ways to capture the heat to make it more useful.

There are a number of useful comments about drilling a cleaner hole in the jar lid and better replacements for the JB Weld seal. We’d have suggested furnace cement, which is easy to find and cheap.

youtube.com/embed/7LV5wY-iM34?…

hackaday.com/2025/01/30/copper…

Dopo aver inviato una richiesta ufficiale alle società cinesi Hangzhou DeepSeek Artificial Intelligence e Beijing DeepSeek Artificial Intelligence, il Garante per la protezione dei dati personali ha emesso un ulteriore comunicato in cui blocca con effetto immediato il trattamento dei dati degli utenti italiani da parte del chatbot DeepSeek.

Il provvedimento arriva dopo che le risposte fornite dalle società sono state ritenute del tutto insufficienti. Le aziende avevano dichiarato di non operare in Italia e di non essere soggette alla normativa europea, una posizione che il Garante ha contestato con fermezza, avviando un’istruttoria per verificare eventuali violazioni della normativa sulla protezione dei dati.

DeepSeek: l’AI cinese sotto osservazione

DeepSeek è un software di intelligenza artificiale relazionale, progettato per comprendere ed elaborare il linguaggio umano. Lanciato di recente a livello globale, ha registrato milioni di download in pochi giorni, attirando rapidamente l’attenzione delle autorità di regolamentazione.

In una precedente richiesta di informazioni, il Garante aveva chiesto a DeepSeek dettagli su:

• Quali dati personali vengono raccolti e da quali fonti;
• La base giuridica del trattamento e le finalità d’uso dei dati;
• La localizzazione dei server, con particolare attenzione a un eventuale trasferimento di dati verso la Cina;
• Le metodologie di addestramento del modello AI, inclusa la raccolta di informazioni tramite web scraping, e come gli utenti (registrati e non) venissero informati su tali pratiche.

Tuttavia, la risposta delle aziende cinesi è stata ritenuta inadeguata e non conforme alle richieste dell’Autorità.

La decisione del Garante

A tutela della privacy degli utenti italiani, il Garante ha disposto la limitazione immediata del trattamento dei dati da parte di DeepSeek, bloccando di fatto l’operatività del chatbot in Italia. Contestualmente, è stata aperta un’istruttoria per approfondire le eventuali violazioni della normativa europea sulla protezione dei dati personali.

Questa vicenda segna un nuovo capitolo nella crescente attenzione delle autorità europee nei confronti delle AI di origine straniera, soprattutto in relazione al trattamento dei dati personali e alla trasparenza degli algoritmi di addestramento.

L’episodio DeepSeek ricorda il caso di ChatGPT, che nel 2023 era stato temporaneamente bloccato in Italia per presunte violazioni della privacy, salvo poi essere riammesso dopo l’adozione di misure correttive. Le big tech dell’AI dovranno ora confrontarsi con normative sempre più stringenti, per garantire la protezione dei dati degli utenti europei.

Abbiamo chiesto a DeepSeek cosa ne pensa relativamente al comunicato del garante e l’AI ha riportato quanto segue:

L'articolo Il Garante Blocca DeepSeek in Italia: La Delucidazione è Stata “Del Tutto Insufficiente” proviene da il blog della sicurezza informatica.

Testing every kind of glue with PETG, including wood glue. (Credit: Cosel, YouTube)
PETG is a pretty great material to print 3D models with, but one issue with it is that gluing it can be a bit of a pain. In a recent video by [Cosel] (German language, with English auto-dub) he notes that he found that with many adhesives the adhesion between PETG parts would tend to fail over time, so he set out to do a large test with just about any adhesive he could get his hands on. This included everything from epoxy to wood glue and various adhesives for plastics

For the test, two flat surfaces were printed in PETG for each test, glued together and allowed to fully dry over multiple days. After about a week each sample was put into a rig that tried to pull the two surfaces apart while measuring the force required to do so.

With e.g. two-part epoxy and super glue the parts would break rather than the glue layer, while with others the glue layer would give way first. All of these results are noted in the above graphic that has the force listed in Newton. The special notes and symbols stand for strong smell (‘Geruch’), the PETG itself breaking (‘Substrat gebrochen’) and high variability (‘hohe Streuung’) between the multiple samples tested per adhesive.

Interesting is that multiple superglues (‘Sekundenkleber’) show different results, while MMA (Methyl Methacrylate) and similar score the highest. The Bostik P580 is a polyurethane construction adhesive, usually used for gluing just about anything to anything in interior and exterior applications, so perhaps its high score isn’t so surprising. Trailing at the end are the wood glue in last place, with the UHU general adhesive also scoring rather poorly.

Clearly there are many options for gluing PETG parts, but some are definitely more sturdy than others.

Thanks to [Risu no Kairu] for the tip.

youtube.com/embed/tyo8vLorpZo?…

hackaday.com/2025/01/30/compar…

Although much diminished now, the public switched telephone network was one of the largest machines ever constructed. To make good on its promise of instant communication across town or around the world, the network had to reach into every home and business, snake along poles to thousands of central offices, and hum through the ether on microwave links. In its heyday it was almost unfathomably complex, with calls potentially passing through thousands of electronic components, any of which failing could present anything from a minor annoyance to a matter of life or death.

The brief but very interesting film below deals with “The Tyranny of Large Numbers.” Produced sometime in the 1960s by Western Electric, the manufacturing arm of the Bell System, it takes a detailed look at the problems caused by scaling up systems. As an example, it focuses on the humble carbon film resistor, a component used by the millions in various pieces of telco gear. Getting the manufacturing of these simple but critical components right apparently took a lot of effort. Initially made by hand, a tedious and error-prone process briefly covered in the film, Western Electric looked for ways to scale up production significantly while simultaneously increasing quality.

While the equipment used by the Western engineers to automate the production of resistors, especially the Librascope LGP-30 computer that’s running the show, may look quaint, there’s a lot about the process that’s still used to this day. Vibratory bowl feeders for the ceramic cores, carbon deposition by hot methane, and an early version of a SCARA arm to sputter gold terminals on the core could all be used to produce precision resistors today. Even cutting the helical groove to trim the resistance is similar, although today it’s done with a laser instead of a grinding wheel. There are differences, of course; we doubt current resistor manufacturers look for leaks in the outer coating by submerging them in water and watching for bubbles, but that’s how they did it in the 60s.

The productivity results were impressive. Just replacing the silver paint used for terminal cups with sputtered gold terminals cut 16 hours of curing time out of the process. The overall throughput increased to 1,200 pieces per hour, an impressive number for such high-reliability precision components, some of which we’d wager were still in service well into the early 2000s. Most of them are likely long gone, but the shadows cast by these automated manufacturing processes stretch into our time, and probably far beyond.

youtube.com/embed/4qlcBWkSHjk?…

hackaday.com/2025/01/30/retrot…