Dalla fiducia alla sicurezza: come gestire il rischio di terze parti
@Informatica (Italy e non Italy 😁)
Il recente Cybersecurity Buyer Intelligence Survey di Cyber Risk Alliance (CRA), realizzato in collaborazione con AuditBoard, sottolinea come adottare le migliore strategie per questo tipo di rischio sia essenziale per garantire l'evoluzione delle operazioni IT
L'articolo Dalla fiducia alla
Regno Unito: la sottile differenza tra essere un'isola ed essere isolati.
@Privacy Pride
Il post completo di Christian Bernieri è sul suo blog: garantepiracy.it/blog/uk-fuck-…
COURTESY TRANSLATION: Dear Brit friends, your government is behaving like a git and is as dangerous as a toddler with nukes. Gli Stati Uniti d'America hanno un proprio ordinamento, una propria cultura, proprie logiche
Precision Reference Puts Interesting Part to Work
Interesting parts make for interesting projects, and this nifty precision voltage reference has some pretty cool parts, not to mention an interesting test jig.
The heart of [Gaurav Singh]’s voltage reference is an ADR1399, precision shunt reference from Analog Devices. The datasheet makes for pretty good reading and reveals that there’s a lot going on inside the TO-49 case, which looks unusually large thanks to a thick plastic coat. The insulation is needed for thermal stability for the heated Zener diode reference. The device also has a couple of op-amps built in, one that provides closed-loop voltage control and another that keeps the internal temperature at a toasty 95°C. The result is a reference that’s stable over a wide range of operating conditions.
[Gaurav]’s implementation maximizes this special part’s capabilities while making it convenient to use. The PCB has a precision linear regulator that accepts an input voltage from 16 V to 20 V, plus a boost converter that lets you power it from USB-C. The board itself is carefully designed to minimize thermal and mechanical stress, with the ADR1399 separated from the bulk of the board with wide slots. The first video below covers the design and construction of an earlier rev of the board.
One problem that [Gaurav] ran into with these boards was the need to age the reference with an extended period of operation. To aid in that, he built a modular test jig that completed PCBs can be snapped into for a few weeks of breaking in. The jigs attach to a PCB with pogo pins, which mate to test points and provide feedback on the aging process. See the second video for more details on that.
youtube.com/embed/Ty0r_sLv-CI?…
youtube.com/embed/RvmJLGUzDS0?…
Johan Trollmann
freezonemagazine.com/rubriche/…
“In realtà tutti mi chiamano Rukeli”; “Rukeli: che cavolo vuol dire? Che lingua è?”. “È romanì: l’antica lingua delle popolazioni Rom e Sinti”; “E perché ti piace l’idea di adottare un nome di battaglia romanì?”; “Semplice: perché io sono un Sinti”; “Non penso sia un buon affare allenarti, allora; un pugile Sinti ed un allenatore […]
L'articolo Johan Trollmann proviene da FREE ZONE MAGAZINE.
Guerra, estrattivismo e ricostruzione: Andrea Turco spiega che cosa intendeva Trump sull’Ucraina
#UkrainaRussiaWar
#guerra
#estrattivismo
#RicostruzioneUcraina
Se le guerre e i conflitti seguono la via delle terre rare
L’annuncio col quale il presidente USA Donald Trump ha confessato di mirare alle terre rare dell’Ucraina non lascia sorpresi. E la Cina non sta a guardareAndrea Turco (Economia Circolare)
T-Mobile svela la copertura satellitare via Starlink durante il Super Bowl: addio zone morte!
T-Mobile lancia ufficialmente la versione beta pubblica della copertura satellitare-cellulare tramite rete Starlink con uno spot durante il Super Bowl 2025. Negli States la copertura prevista è di più di 1 milione e trecento mila chilometri quadrati, aree non raggiunte da stazioni radio base cellulari terrestri.
youtube.com/embed/HLw6ZovMpLI?…
Inizialmente sarà disponibile esclusivamente il servizio di messaggistica tradizionale (SMS) usufruibile attraverso la maggior parte degli smartphone di recente commercializzazione, sia per i clienti T-Mobile, oltre che per gli clienti dei loro concorrenti nazionali, tra cui Verizon e AT&T. Per accedere al servizio sarà sufficiente registrarsi tramite portale dedicato. I servizio gratuito direct-to-cell sarà disponibile fino a Luglio.
Eliminare le zone morte con il direct-to-cell
T-Mobile e SpaceX annunciarono il servizio satellitare direct-to-cell due anni e mezzo fa, ma il servizio richiedeva che fossero operativi i satelliti di nuova generazione Starlink V2. Mentre continua il dispiegamento in orbita di questa tipologia di satelliti V2 iniziato nel Febbraio 2023, già ora centinaia di questi V2 sono perfettamente operativi.
Per T-Mobile la missione è porre fine alle zone morte, cioè quelle aree del territorio dove non è presente una copertura cellulare terrestre, zone dove molto spesso non ha alcun senso costruire un’infrastruttura data la bassissima o addirittura nulla presenza abituale di utenti, oppure zone dove l’opportuna copertura del segnale è limitata o resa difficile dall’orografia non favorevole.
twitter.com/elonmusk/status/16…
Il servizio in alpha-test ha già aiutato in situazioni d’emergenza
In via del tutto emergenziale, T-Mobile aveva già temporaneamente reso disponibile il servizio di messaggistica direct-to-cell in nelle aree di Los Angeles colpite dagli incendi e ancora prima nelle aree colpite dagli uragani Helene e Milton. In queste aree il servizio di comunicazione cellulare era irregolare sul territorio o totalmente assente a causa dello stato in cui versavano la rete elettrica e tutte le infrastrutture di telecomunicazioni (torri, apparati, collegamenti in fibra).
Ora solo SMS, in futuro dati e voce, ma dove e per chi?
T-Mobile comunica che nella fase beta sarà possibile inviare e ricevere messaggi di testo (SMS) attraverso il servizio direct-to-cell (via satellite), ma non è stata ancora comunicata la data esatta in cui si aggiungeranno le funzionalità di connettività dati e chiamata vocale tradizionale. In futuro T-Mobile potrebbe estendere la copertura di questi servizi satellitari attraverso partner di roaming globali e SpaceX per offrire copertura all’estero o in acque internazionali.
T-Mobile dichiara che la maggior parte degli smartphone degli ultimi quattro anni funzionerà con il servizio T-Mobile Starlink, ma ci tiene a precisare l’elenco dei dispositivi testati e sicuramente capaci di fruttare il servizio direct-to-cell, che sono prevalentemente Apple (iPhone 14 e successivi), Google, Motorola (post-2024) e Samsung (Galaxy post-2021).
Quanto costa
La beta è gratuita per tutti gli utenti statunitensi, invece a Luglio T-Mobile Starlink verrà lanciato ufficialmente, sarà gratuito con il piano più costoso di T-Mobile, mentre avrà un costo di $15/mese per gli altri piani.
Dopo Luglio, per i beta tester di T-Mobile è previsto uno sconto di 5$/mese, per i clienti di Verizon, AT&T e altri potranno continuare ad utilizzare oppure ottenere il servizio T-Mobile Starlink senza cambiare operatore per 20 $/mese.
Convenienza
Il prezzo del servizio aggiuntivo e facoltativo al piano tariffario può sembrare alto se confrontati già ai soli piani tariffari europei e soprattutto italiani, ma che se rapportato agli abbonamenti statunitensi (~50$/mese) e piani tariffari satellitari (~2$/min) può non impensierire più di tanto o addirittura convenire. Inoltre per determinati gruppi d’utenti questo servizio può diventare fondamentale se non essenziale, andando ad affiancare, se non a sostituire, altri sistemi di comunicazione locali più voluminosi, pesanti, costosi e meno diffusi con costi davvero “irrisori”.
L'articolo T-Mobile svela la copertura satellitare via Starlink durante il Super Bowl: addio zone morte! proviene da il blog della sicurezza informatica.
La mia intervista a Fabrizio Emigli
E stasera Luigi e i "Giovani del Folkstudio" saranno a Roma all'Asino che vola per "Noi non ci sanremo", evento alternativo al festivalone.
giovanidelfolkstudio.org/inter…
Intervista a Fabrizio Emigli - Giovani del folkstudio
Fabrizio Emigli intervistato da Max Giuliani per i Giovani Del Folkstudio: dal Folkstudio di Cesaroni a oggini4ai (Giovani del folkstudio)
Scoperta una falla nel Kernel Linux dopo 7 anni: ecco cosa rischi!
I ricercatori di sicurezza informatica hanno scoperto una vulnerabilità critica nel sottosistema TCP del kernel Linux, identificata come CVE-2024-36904. Questa falla, introdotta sette anni fa, consente agli aggressori di sfruttare una race-condition, portando potenzialmente all’esecuzione di codice remoto (RCE).
La vulnerabilità deriva da una condizione di competizione nella funzione inet_twsk_hashdance(), in cui un’inizializzazione non corretta del contatore di riferimento crea opportunità di corruzione della memoria. La vulnerabilità si verifica quando il contatore di riferimento di un socket TCP time-wait viene inizializzato dopo essere stato aggiunto a una tabella hash e aver rilasciato il suo blocco.
Se un’altra operazione accede al socket prima dell’inizializzazione, incontra un contatore di riferimento azzerato. Ciò attiva gli avvisi dei meccanismi di protezione del contatore di riferimento del kernel e può portare a un vero e proprio scenario di utilizzo dopo la liberazione in condizioni specifiche. Tali scenari potrebbero consentire agli aggressori di eseguire codice arbitrario all’interno del kernel, compromettendo l’integrità del sistema.
Sebbene il kernel Linux includa misure di sicurezza per rilevare anomalie nel contatore di riferimento, questo difetto aggira tali protezioni in determinate sequenze di esecuzione. La vulnerabilità interessa diverse distribuzioni Linux, tra cui i derivati di Red Hat Enterprise Linux e Fedora. I test sui kernel più recenti, come la versione 6.8, hanno confermato che il problema persiste in vari ambienti.
La falla è stata scoperta durante una ricerca di routine sulle vulnerabilità condotta da Allele Security utilizzando strumenti come il fuzzer Syzkaller. Inizialmente scambiato per un problema relativo al protocollo KCM, analisi più approfondite hanno rivelato che si trattava di un bug specifico del sottosistema TCP. La vulnerabilità è stata segnalata e corretta a maggio 2024. Tuttavia, molte distribuzioni non avevano integrato la correzione nelle loro ultime release al momento della scoperta.
La patch risolve il problema garantendo una corretta sincronizzazione durante l’inizializzazione del contatore di riferimento, prevenendo condizioni di competizione che potrebbero portare a scenari di utilizzo dopo la liberazione.
L'articolo Scoperta una falla nel Kernel Linux dopo 7 anni: ecco cosa rischi! proviene da il blog della sicurezza informatica.
$800 per compromettere un contractor nucleare UK? Gli IaB alzano la posta in gioco!
Nelle ultime ore un’escalation di post nella sezione “Access Market” del famoso forum nel DarkWeb. In vendita accessi ad una azienda di software italiana “Italian B2B Enterprise Software Solutions”, ad una delle più antiche università europee “One of Europe’s most oldest Universities”, a diverse municipalità degli stati uniti e molto altro.
L’hacker, che opera sotto lo pseudonimo di MYAKO, nelle ultime ore sta postando decine di accessi a enti governativi americani, ad aziende, a istituti pubblici e privati. I prezzi (tutti non negoziabili) variano da qualche centinaio di dollari a diverse migliaia. Le tipologie di accessi in vendita sono le più varie. Si possono comprare accessi ai firewall con privilegi di root, accessi ai sistemi di management ecc.
MYAKO vende anche “know how”. Nel suo post del 4 febbraio con oggetto “Intermediate Cyber Operations Guide” dove puoi “scoprire come navigare nel complesso panorama dello sfruttamento dei sistemi, della persistenza e del pivoting dal punto di vista di qualcuno che ha costantemente dimostrato la fragilità anche delle infrastrutture più ‘sicure’.” Per 500 dollari un pacchetto completo di: how-to, tool, repository, guide step-by-step. Il tutto scritto in linguaggio chiaro e conciso per appiattire la curva di apprendimento.
MYAKO si definisce un “operatore” autonomo, non sponsorizzato da qualche nazione. Si promuove facendo riferimento a diverse pubblicazioni che “parlano” di lui. Un’interessante intervista che ha rilasciato a Osint10x mette in luce il modo in cui opera, le tecniche, le procedure (TTPs). Osint10x lo identifica anche come admin di HellCat Group. Nell’intervista lui si dice interessato solo ai soldi.
ThreatMon lo identifica come “An Emerging Threat Actor with Advanced Capabilities” che utilizza tecniche di OSINT per identificare target di alto valore. Un suo biglietto da visita: il 13 dicembre 2024 ha messo in vendita per 2000 dollari l’accesso ad un firewall di una divisione dell’FBI, accesso venduto il 14 dicembre 2024.
Altro target italiano un ente di istruzione privato italiano. Sempre in vendita accesso root al firewall.
Per concludere è importante capire che ruolo giocano gli IAB (Initial Access Broker) nel panorama dell’underground, aprendo le porte a gruppi hacker che poi sfruttano questi accessi per portare a segno attacchi più importanti e potenzialmente devastanti.
L'articolo $800 per compromettere un contractor nucleare UK? Gli IaB alzano la posta in gioco! proviene da il blog della sicurezza informatica.
Zero-day su iOS: scoperto un exploit avanzato, Apple rilascia un fix immediato!
Spesso parliamo degli spyware come Paragon, Pegasus e Karma. Ma alla fine , cosa consente a questi spyware di infettare i device e quindi fornire accesso e il controllo completo ad eventuale aggressore? Gli exploit Remote Code Execution (RCE) 0click 0day.
Ma anche quelli locali non sono da meno, e consentono a soluzioni analoghe di indagini forensi di poter accedere al dispositivo senza conoscere pin o password di accesso.
Infatti Apple ha rilasciato iOS 18.3.1 e iPadOS 18.3.1, risolvendo una vulnerabilità zero-day sfruttata in attacchi mirati estremamente sofisticati, sfruttando la disattivazione della modalità con restrizioni USB. L’aggiornamento è disponibile per vari dispositivi, tra cui iPhone XS e modelli successivi, nonché vari modelli di iPad Pro, iPad Air, iPad e iPad mini.
La modalità USB con restrizioni di Apple è una funzionalità di sicurezza che impedisce l’accesso non autorizzato ai dati su un dispositivo iOS. Impedisce agli accessori USB di connettersi a un dispositivo bloccato dopo un certo periodo di tempo.
L’aggiornamento risolve un problema nel framework di accessibilità che potrebbe consentire a un aggressore fisico di disattivare la modalità con restrizioni USB su un dispositivo bloccato. “Un attacco fisico potrebbe disattivare la modalità USB con restrizioni su un dispositivo bloccato. Apple è a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato sfruttato in un attacco estremamente sofisticato contro individui specifici presi di mira”. Apple ha affermato nelle note di rilascio .
La vulnerabilità è identificata con l’identificatore CVE-2025-24200 ed è stata segnalata da Bill Marczak del Citizen Lab presso la Munk School dell’Università di Toronto. Apple mantiene la sua politica di trattenere i dettagli sulle vulnerabilità di sicurezza fino al completamento delle indagini e alla disponibilità di patch per proteggere gli utenti. L’azienda sottolinea la sua dedizione alla sicurezza degli utenti affrontando prontamente tali problemi e fornendo aggiornamenti regolari.
Questa vulnerabilità rappresentava un rischio serio, in quanto poteva essere sfruttata in attacchi altamente sofisticati mirati a individui specifici. Apple ha riconosciuto segnalazioni di questo problema utilizzato in scenari del mondo reale. Il difetto è stato identificato come un problema di autorizzazione, che Apple ha risolto migliorando la gestione dello stato all’interno del sistema.
L'articolo Zero-day su iOS: scoperto un exploit avanzato, Apple rilascia un fix immediato! proviene da il blog della sicurezza informatica.
Vulnerabilità critiche in Zimbra: SQL Injection, Stored XSS e SSRF mettono a rischio i dati aziendali
Nuovo allarme sicurezza per gli utenti di Zimbra Collaboration: il popolare software di comunicazione e collaborazione è stato colpito da gravi vulnerabilità che mettono a rischio la riservatezza delle informazioni aziendali. Il team di Zimbra ha rilasciato aggiornamenti urgenti per correggere queste falle critiche, ma il pericolo rimane elevato per chi non aggiorna tempestivamente.
CVE-2025-25064: SQL Injection
La vulnerabilità più critica, identificata come CVE-2025-25064, ha un punteggio CVSS di 9.8 su 10, un valore che lascia pochi dubbi sulla sua pericolosità. Il problema risiede in un difetto di validazione dei parametri nel servizio ZimbraSync Service SOAP endpoint, consentendo a un attaccante autenticato di iniettare query SQL arbitrarie. Questo potrebbe tradursi in accesso non autorizzato ai metadati delle email, compromettendo la sicurezza delle comunicazioni aziendali.
Stored XSS nel Web Client classico di Zimbra
Un’altra grave vulnerabilità riguarda il Web Client classico di Zimbra, afflitto da un bug di Stored Cross-Site Scripting (XSS). Sebbene non abbia ancora ricevuto un identificativo CVE, questa falla permette agli attaccanti di iniettare codice malevolo persistente all’interno dell’interfaccia utente, con il rischio di rubare credenziali e sessioni di autenticazione. Fortunatamente, la patch è già disponibile nelle versioni 9.0.0 Patch 44, 10.0.13 e 10.1.5.
CVE-2025-25065: SSRF e accesso non autorizzato alla rete interna
Infine, Zimbra ha corretto anche CVE-2025-25065, una vulnerabilità di Server-Side Request Forgery (SSRF) con punteggio CVSS di 5.3. Questo difetto, presente nel modulo di parsing degli RSS feed, potrebbe consentire a un attaccante di manipolare richieste HTTP per accedere a risorse interne della rete aziendale, potenzialmente aprendo la porta ad attacchi più avanzati.
Come proteggersi?
Zimbra ha rilasciato aggiornamenti critici per mitigare queste vulnerabilità, disponibili nelle seguenti versioni:
- CVE-2025-25064: corretta in Zimbra 10.0.12 e 10.1.4
- Stored XSS: risolto in Zimbra 9.0.0 Patch 44, 10.0.13 e 10.1.5
- CVE-2025-25065: mitigato in Zimbra 9.0.0 Patch 43, 10.0.12 e 10.1.4
Conclusione
Chi utilizza Zimbra deve aggiornare immediatamente i propri sistemi per evitare possibili compromissioni. Il rischio di sfruttamento è concreto e potrebbe avere impatti devastanti sulle aziende che utilizzano questo software per la gestione delle proprie comunicazioni. La tempestività nell’applicazione degli aggiornamenti di sicurezza è essenziale per ridurre al minimo il rischio di attacchi informatici.
L'articolo Vulnerabilità critiche in Zimbra: SQL Injection, Stored XSS e SSRF mettono a rischio i dati aziendali proviene da il blog della sicurezza informatica.
USA e Sorveglianza Globale : Alla Scoperta Della Sezione 702 del Foreign Intelligence Surveillance Act
La privacy negli Stati Uniti è un tema di dibattito costante, soprattutto nell’era digitale. La Corte Suprema ha avuto un ruolo centrale nell’interpretazione del Quarto Emendamento, che protegge i cittadini da perquisizioni e sequestri irragionevoli.
Tuttavia, con l’avanzare della tecnologia, la sorveglianza di massa si è evoluta, sollevando interrogativi sul bilanciamento tra sicurezza nazionale e diritti individuali. In questo contesto, il Foreign Intelligence Surveillance Act (FISA) e, in particolare, la sua Sezione 702, introdotta con il FISA Amendments Act del 2008, sono strumenti legislativi controversi che influenzano la privacy negli USA e nelle sue zone di influenza.
Ma cosa vuol dire tutto questo per i cittadini americani e per gli europei che utilizzano sistemi e software di aziende statunitensi?
Il Quarto Emendamento: Origini e Sfide nell’Era Digitale
Il Quarto Emendamento della Costituzione degli Stati Uniti stabilisce che:
“Il diritto dei cittadini di godere della sicurezza personale, della loro casa, delle loro carte e dei loro beni, nei confronti di perquisizioni e sequestri ingiustificati non potrà essere violato; e non si emetteranno mandati giudiziari se non su fondati motivi sostenuti da giuramento o da dichiarazione solenne e con descrizione precisa del luogo da perquisire e delle persone da arrestare o delle cose da sequestrare.“
Storicamente, la Corte Suprema ha interpretato il Quarto Emendamento in base alle esigenze del tempo. Con l’avvento di Internet e delle telecomunicazioni digitali, la sfida è definire se e come la raccolta di dati elettronici rientri nelle protezioni costituzionali.
Il Foreign Intelligence Surveillance Act (FISA) e la Sezione 702
Il Foreign Intelligence Surveillance Act (FISA) è stato introdotto nel 1978 per regolamentare la sorveglianza sulle attività di spionaggio e terrorismo straniero. Questo atto ha istituito la Foreign Intelligence Surveillance Court (FISC), un tribunale segreto che approva richieste di sorveglianza per motivi di sicurezza nazionale. Il FISA è stato più volte aggiornato, in particolare dopo l’11 settembre 2001, per adeguarsi alle nuove minacce globali e all’espansione delle tecnologie di sorveglianza.
La Sezione 702 del FISA Amendments Act del 2008 è un’importante autorità di raccolta di intelligence che consente alla Intelligence Community (IC) di raccogliere, analizzare e condividere informazioni di intelligence su minacce alla sicurezza nazionale. La Sezione 702 autorizza la raccolta mirata di informazioni su soggetti stranieri, esclusivamente non cittadini statunitensi, ritenuti essere al di fuori del territorio degli Stati Uniti.
Criteri e Restrizioni della Sorveglianza
La Sezione 702 del FISA stabilisce criteri stringenti per determinare chi può essere soggetto a sorveglianza, garantendo al contempo la protezione della privacy dei cittadini statunitensi e di chiunque si trovi nel Paese. La normativa consente il monitoraggio esclusivamente di individui non statunitensi situati all’estero, ritenuti coinvolti in attività rilevanti per la sicurezza nazionale. Questo include soggetti che potrebbero possedere, ricevere o trasmettere informazioni sensibili relative a terrorismo, spionaggio o proliferazione di armi di distruzione di massa. L’obiettivo è prevenire potenziali minacce globali attraverso un’attività di intelligence mirata.
D’altra parte, la legge vieta categoricamente la sorveglianza di cittadini statunitensi, indipendentemente dalla loro posizione geografica, così come di qualsiasi persona fisicamente presente negli Stati Uniti. Inoltre, è proibito il cosiddetto “reverse targeting”, ovvero l’uso della sorveglianza di un soggetto straniero con l’intento di raccogliere informazioni su un cittadino statunitense o su una persona che si trovi nel territorio americano. Questo principio è essenziale per garantire che le attività di intelligence non violino le protezioni costituzionali previste dal Quarto Emendamento.
Critiche e Controversie
Nonostante la sua utilità nella lotta al terrorismo e nella protezione della sicurezza nazionale, questa disposizione legislativa ha sollevato non poche critiche per le sue implicazioni sulla privacy e i diritti civili.
Uno dei principali problemi riguarda la possibilità che, nel corso delle attività di sorveglianza, vengano raccolti incidentalmente dati di cittadini statunitensi. Sebbene la legge preveda procedure di minimizzazione per limitare l’uso improprio di tali informazioni, gruppi per i diritti civili denunciano che le forze dell’ordine potrebbero accedervi senza un mandato, aggirando così le garanzie previste dal Quarto Emendamento. Inoltre, la mancanza di trasparenza nelle decisioni della FISC e l’assenza di un controllo pubblico diretto alimentano timori su un potenziale abuso del potere di sorveglianza.
Alcuni critici sostengono che l’uso delle informazioni raccolte potrebbe andare oltre il contrasto al terrorismo e alla sicurezza nazionale, entrando in ambiti come le indagini penali interne senza le dovute garanzie procedurali. Queste preoccupazioni hanno acceso un intenso dibattito sulla necessità di riformare la normativa introducendo controlli più stringenti e maggiore supervisione.
Le Critiche delle Big Tech e la Battaglia di Ron Wyden sulla Sorveglianza USA
Negli anni, la Sezione 702 del FISA ha ricevuto critiche non solo da gruppi per i diritti civili, ma anche da colossi della tecnologia. Nel 2017, aziende come Google, Microsoft, Facebook ed Amazon hanno inviato una lettera al Congresso chiedendo una riforma della normativa per garantire maggiore trasparenza e protezione della privacy.
Nella lettera, le aziende hanno evidenziato cinque aspetti chiave da migliorare:
- Cessazione della raccolta “about”: Si chiedeva di codificare la fine della raccolta di comunicazioni che menzionano soggetti sorvegliati, ma che non sono direttamente a loro collegate.
- Supervisione giudiziaria: Le Big Tech volevano introdurre un controllo legale per l’accesso alle comunicazioni dei cittadini statunitensi, affinché l’agenzia governativa ottenesse un mandato prima di esaminare tali dati.
- Ridefinizione delle informazioni di intelligence: Una richiesta importante riguardava la limitazione della raccolta di dati su individui non statunitensi che non sono sospettati di alcun crimine.
- Maggiore trasparenza: Le aziende chiedevano il diritto di pubblicare informazioni più dettagliate sul numero e la natura delle richieste di sorveglianza ricevute.
- Chiarezza sulle ricerche nei database: È stato sollecitato un maggiore controllo su come i dati dei cittadini americani raccolti incidentalmente vengono conservati e utilizzati.
Anche dal lato politico ci sono state critiche forti contro la Sezione 702, in particolare dal senatore Ron Wyden, da sempre un sostenitore delle libertà civili. Wyden ha più volte denunciato gli abusi della sorveglianza senza mandato, evidenziando come il rinnovo della Sezione 702 avvenga ogni volta senza un dibattito pubblico adeguato.
Dopo l’ennesima proroga della legge, il senatore ha dichiarato:
“Il Senato ha atteso fino all’ultimo minuto per approvare in tutta fretta il rinnovo della sorveglianza senza mandato, nel cuore della notte. Ma non mi arrenderò. Il popolo americano sa che la riforma è possibile e che non è necessario sacrificare la libertà per avere sicurezza.”
Wyden ha inoltre sottolineato che, nonostante le promesse di riforma, emergono continuamente nuovi casi di abusi e violazioni, alimentando la sfiducia nei confronti del programma di sorveglianza.
Nonostante le pressioni delle Big Tech e del senatore Wyden per un maggiore equilibrio tra sicurezza e tutela della privacy, le loro richieste non hanno portato alle riforme auspicate, e la normativa è stata rinnovata più volte senza cambiamenti sostanziali.
Il Futuro della Privacy negli USA
Nel corso degli anni, diversi gruppi per i diritti civili hanno contestato la costituzionalità di questa normativa sulla sorveglianza. La Corte Suprema, pur non avendo ancora emesso una decisione definitiva in merito, ha progressivamente riconosciuto l’importanza di adattare il Quarto Emendamento al contesto digitale, come dimostrato nei casi Carpenter v. United States (2018) e Riley v. California (2014).
Il dibattito sulla privacy negli Stati Uniti continua a evolversi di pari passo con i progressi tecnologici e le nuove sfide legate alla sicurezza nazionale. Da un lato, le istituzioni governative sostengono che strumenti di sorveglianza avanzati siano essenziali per contrastare minacce globali sempre più sofisticate; dall’altro, attivisti e giuristi avvertono che un’espansione incontrollata della raccolta di dati potrebbe compromettere le libertà civili e creare un pericoloso precedente per il futuro. In un’epoca in cui le informazioni digitali sono al centro della vita quotidiana, il bilanciamento tra privacy e sicurezza si conferma una delle questioni più complesse del nostro tempo. Il ruolo della Corte Suprema e del legislatore sarà cruciale per definire fino a che punto il governo possa spingersi nella sorveglianza senza violare i principi costituzionali, e se le protezioni attuali siano sufficienti a garantire i diritti fondamentali dei cittadini.
L'articolo USA e Sorveglianza Globale : Alla Scoperta Della Sezione 702 del Foreign Intelligence Surveillance Act proviene da il blog della sicurezza informatica.
Make a Secret File Stash In The Slack Space
Disk space is allocated in clusters of a certain size. When a file is written to disk and the file size is smaller than the cluster(s) allocated for it, there is an unused portion of varying size between the end of the file’s data and the end of the allocated clusters. This unused space is the slack space, it’s perfectly normal, and [Zachary Parish] had an idea to write a tool to hide data in it.
[Zachary]’s tool is in Python and can map available slack space and perform read and write operations on it, treating the disparate locations as a single unified whole in which to store arbitrary files. A little tar and gzip even helps makes things more efficient in the process.
There’s a whole demo implemented on Linux using a usb drive with some decoy files to maximize the slack space, and you can watch it in action in the video embedded below. It’s certainly more practical than hiding data in a podcast!
Note that this is just a demo of the concept. The approach does have potential for handling secret data, but [Zachary] points out that there are — from a serious data forensics point of view– a number of shortcomings in its current form. For example, the way the tool currently structures and handles data makes it quite obvious that something is going on in the slack space.
[Zachary] created this a few years ago and has some ideas about how to address those shortcomings and evolve the tool, so if you have ideas of your own or just want to try it out, the slack_hider GitHub repository is where you want to go.
youtube.com/embed/ooYwYke9UFk?…
Joe Vinegar reshared this.
"Noi non ci Sanremo" stasera all'Asino che vola"
Un'alternativa live alla prima serata del Festival di Sanremo? "NOI NON CI SANREMO", a Roma, domani presso lo storico club L'ASINO CHE VOLA, a cura di LUIGI "GRECHI" DE GREGORI | MEI - Meeting Degli Indipendenti
LUIGI “GRECHI” DE GREGORI Organizza e presenta la 3A edizione di NOI NON CI SANREMO con l’associazione culturale “GIOVANI DEL FOLKSTUDIO” DOMANI ALLE 21.00 PRESSO LO STORICO CLUB L’ASINO CHE VOLA di ROMA L’appuntamento...meiweb (MEI - Meeting Degli Indipendenti)
Nice PDF, But Can It Run Linux? Yikes!
The days that PDFs were the granny-proof Swiss Army knives of document sharing are definitely over, according to [vk6]. He has managed to pull off the ultimate mind-bender: running Linux inside a PDF file. Yep, you read that right. A full Linux distro chugging along in a virtual machine all encapsulated within a document. Just when you thought running DOOM was the epitome of it. You can even try it out in your own browser, right here. Mind-boggling, or downright Pandora’s box?
Let’s unpack how this black magic works. The humble PDF file format supports JavaScript – with a limited standard library, mind you. By leveraging this, [vk6] managed to compile a RISC-V emulator (TinyEMU) into JavaScript using an old version of Emscripten targeting asm.js instead of WebAssembly. The emulator, embedded within the PDF, interfaces with virtual input through a keyboard and text box.
The graphical output is ingeniously rendered as ASCII characters – each line displayed in a separate text field. It’s a wild solution but works astonishingly well for something so unconventional.
Security-wise, this definitely raises eyebrows. PDFs have long been vectors for malware, but this pushes things further: PDFs with computational power. We know not to trust Word documents, whether they just capable of running Doom, or trash your entire system in a blink. This PDF anomaly unfolds a complete, powerful operating system in front of your very eyes. Should we think lightly, and hope it’ll lead to smarter, more interactive PDFs – or will it bring us innocent looking files weaponized for chaos?
Curious minds, go take a look for yourself. The project’s code is available on GitHub.
youtube.com/embed/cWnN-FA3zRM?…
A Orson
Foreste inesplorate.
Radure dimenticate.
Occhi che mi guardano,
Cuccioli divertiti.
Fra i rami, i raggi del sole
Disegnano figure che non comprendo
E adesso capisco che mi sono perso
Qui, dove vivi.
Cuccioli che giocano
S'inseguono senza un perché.
È tutto così strano,
Così diverso dalla mia città.
Sui marciapiedi, nelle strade
Dove tu sei passato
Aghi di pino, foglie morte
Mi hanno detto che l'intero tuo mondo
Era qui.
E adesso corri, giochi anche tu.
Gridi forte: «Viva la libertà!!!».
Sorridi a una nuvola sola nel cielo.
E giochi.
E corri.
Lontano dalla mia città.
Blinds Automated With Offline Voice Recognition
Blinds are great for keeping light out or letting light in on demand, but few of us appreciate having to walk over and wind them open and shut on the regular. [DIY Builder] resented this very task, so set about creating an automated system to do the job for him.
The blinds in question use a ball chain to open and close, which made them relatively easy to interface with mechanically. [DIY Builder] set up a NEMA 17 stepper motor with an appropriate 3D-printed gear to interface with the chain, allowing it to move the blinds accurately. The motor is controlled via an Arduino Nano and an A4988 stepper motor driver.
However, that only covered the mechanical side of things. [DIY Builder] wanted to take the build a step further by making the blinds voice activated. To achieve this, the Arduino Nano was kitted out with a DFRobot Gravity voice recognition module. It’s a super simple way to do voice recognition—it’s an entirely offline solution with no cloud computing or internet connection required. You just set it up to respond to simple commands and it does the rest.
The result is a voice activated blind that works reliably whether your internet is up or not. We’ve seen some other great projects in this space, too. Video after the break.
youtube.com/embed/xdABENCrh98?…
Federpetroli chiarisce gli interessi in gioco nel caso AlMasri
Federpetroli chiarisce gli interessi in gioco nel caso Almasri
Che fosse il petrolio uno dei fattori determinanti del rilascio del Generale Almasri era un segreto di Pulcinella. Ma stamattina troviamo un comunicatoRedazione Italia (Pressenza)
Upgrading RAM on a Honda Infotainment System
Car infotainment systems somehow have become a staple in today’s automobiles, yet when it comes down to it they have all the elegance of a locked-down Android tablet. In the case of the Honda infotainment system that [dosdude1] got from a friend’s 2016/2017-era Honda Accord, it pretty much is just that. Powered by a dual-core Cortex-A15 SoC, it features a blazin’ 1 GB of RAM, 2 GB of storage and runs Android 4.2.2. It’s also well-known for crashing a lot, which is speculated to be caused by Out-of-RAM events, which is what the RAM upgrade is supposed to test.
After tearing down the unit and extracting the main board with the (Renesas) SoC and RAM, the SoC was identified as being an automotive part dating back to 2012. The 1 GB of RAM was split across two Micron-branded packages, leaving one of the memory channels on the SoC unused and not broken out. This left removing the original RAM chips to check what options the existing pads provided, specifically potential support for twin-die chips, but also address line 15 (A15). Unfortunately only the A15 line turned out to be connected.
This left double capacity (1 GB) chips as the sole option, meaning a total of 2 GB of RAM. After installation the infotainment system booted up, but only showed 1 GB installed. Cue hunting down the right RAM config bootstrap resistor, updating the boot flags and updating the firmware to work around the LINEOWarp hibernation image that retained the 1 GB configuration. Ultimately the upgrade seems to work, but until the unit is reinstalled in the car and tested it’s hard to say whether it fixes the stability issues.
Thanks to [Dylan] for the tip.
youtube.com/embed/9N1_8vz6R78?…
DeepSeek Nel Mirino! L’app iOS trasmette i dati ai backend senza crittografia!
I ricercatori di NowSecure hanno avviato un audit di sicurezza sull’app mobile DeepSeek per iOS e hanno scoperto gravi problemi. Il principale è che l’applicazione trasmette dati sensibili senza alcuna crittografia, esponendoli al rischio di intercettazione e manipolazione. Gli esperti sottolineano inoltre che l’applicazione non rispetta le norme di sicurezza e raccoglie una grande quantità di dati sugli utenti e sui loro dispositivi.
“DeepSeek per iOS trasmette alcuni dati di accesso tramite Internet senza crittografia”, hanno scritto gli analisti. – Ciò espone tutti i dati presenti nel traffico Internet ad attacchi sia passivi che attivi. DeepSeek per iOS disattiva a livello globale App Transport Security (ATS), una funzionalità di sicurezza a livello di piattaforma iOS che impedisce l’invio di dati sensibili tramite canali non crittografati. Poiché questa protezione è disattivata, l’app può trasmettere (e lo fa) dati non crittografati su Internet.”
Il rapporto di NowSecure elenca anche una serie di debolezze nell’implementazione della crittografia dei dati degli utenti. Tra questi rientra l’uso dell’algoritmo non sicuro 3DES; chiavi simmetriche che sono le stesse per tutti gli utenti iOS e sono codificate e memorizzate sul dispositivo; riutilizzo dei vettori di inizializzazione.
Inoltre, è stato rivelato che i dati venivano trasmessi a server gestiti dalla piattaforma di cloud computing e archiviazione dati Volcano Engine, di proprietà della società cinese ByteDance, proprietaria anche di TikTok.
I ricercatori hanno avvertito che, sebbene alcuni di questi dati fossero correttamente crittografati tramite TLS, una volta decrittografati sui server controllati da ByteDance, le informazioni sarebbero potute essere abbinate ad altri dati degli utenti raccolti altrove. Ciò potrebbe in ultima analisi portare all’identificazione di individui specifici e al potenziale monitoraggio delle richieste.
Sebbene la verifica di NowSecure non sia ancora stata completata, i ricercatori si sono subito affrettati ad avvertire che l’app DeepSeek per iOS “non è progettata o preparata per fornire una protezione di base per i tuoi dati e la tua identità”.
Secondo loro, DeepSeek per iOS non rispetta nemmeno le regole di sicurezza fondamentali, deliberatamente o accidentalmente. Allo stesso tempo, gli esperti hanno ritenuto l’app DeepSeek per Android ancora più problematica e hanno consigliato di rimuoverla.
Va notato che la scorsa settimana l’Associated Press ha riferito che il sito web DeepSeek è stato creato per trasmettere i dati degli utenti all’infrastruttura di China Mobile, una società di telecomunicazioni statale cinese a cui è vietato operare negli Stati Uniti.
Ad oggi, diversi paesi, tra cui Australia, Paesi Bassi e Corea del Sud, nonché numerose agenzie governative in India e negli Stati Uniti, hanno vietato l’uso di DeepSeek sui dispositivi governativi per motivi di sicurezza nazionale.
L'articolo DeepSeek Nel Mirino! L’app iOS trasmette i dati ai backend senza crittografia! proviene da il blog della sicurezza informatica.
𝔻𝕚𝕖𝕘𝕠 🦝🧑🏻💻🍕 likes this.
Make Custom Shirts With a 3D Print, Just Add Bleach
Bleach is a handy way to mark fabrics, and it turns out that combining bleach with a 3D-printed design is an awfully quick-working and effective way to stamp a design onto a shirt.
While conceptually simple, the details make the difference. Spraying bleach onto the stamp surface helps get even coverage, and having the stamp facing “up” and lowering the shirt onto the stamp helps prevent bleach from running where it shouldn’t. Prompt application of hot air with a heat gun (followed by neutralizing or flushing any remaining bleach by rinsing in plenty of cold water) helps keep the edges of the design clean and sharp.
We wondered if combining techniques with some of the tips on how to 3D print ink stamps would yield even better results. For instance, we notice the PLA stamp (used to make the design in the images here) produces sharp lines with a slightly “eroded” look overall. This is very much like the result of inking with a stamp printed in PLA. With a stamp printed in flex filament, inking gives much more even results, and we suspect the same might be true for bleach.
Of course, don’t forget that it’s possible to 3D print directly onto fabric if you want your designs to be a little more controlled (and possibly in multiple colors). Or, try silkscreening. Who knew there were so many options for putting designs onto shirts? If you try it out and learn anything, let us know by sending in a tip!
youtube.com/embed/LBNN1thLB3E?…
Arla Fearn — Overmono | Last.fm
Watch the video for Arla Fearn from Overmono's Good Lies for free, and see the artwork, lyrics and similar artists.Last.fm
like this
Un aiuto profetico
freezonemagazine.com/rubriche/…
A Sheffield, nella contea del South Yorkshire, dove sono ancora evidenti i danni prodotti dalla guerra e i generi alimentari per la popolazione vengono razionati, i ragazzi che non frequentano la scuola passano le giornate in strada e imparano dal branco le regole della vita. Tra questi c’è anche John Cocker che in seguito cambierà […]
L'articolo Un aiuto profetico proviene da FREE ZONE MAGAZINE.
Informazioni sul conflitto in Palestina
Se a qualcuno interessasse avere informazioni su cosa succede laggiù io da mesi sono iscritto a questa newsletter di Haaretz e penso sia un'ottima fonte di informazioni.
haaretz.com/newsletter/single?…
Ovviamente è in inglese.
Massimo Max Giuliani likes this.
Keebin’ with Kristina: the One with the SEGA Pico Keyboard
It’s been a minute since I featured a tiny keyboard, and that’s okay. But if you want to get your feet wet in the DIY keyboarding community, making a little macro pad like [Arnov Sharma]’s Paste Pal is a great place to start.
Right now, [Arnov] has the Paste Pal set up to do Copy, Paste, Enter, Scroll Up, and Scroll Down, but changing the assignments is as easy as updating a few lines of code.
Paste Pal Mk. II is at heart a Seeed Xiao SAMD21, which in this case is programmed in Arduino. If you want to make things easier on yourself, you could program it in CircuitPython instead, although [Arnov] includes the Arduino code in his excellent build guide.
A Good Soldier, Indeed
RIP to [Pure-Bullfrog-2569]’s 7-year-old masterpiece of a hand-wired build, which recently gave its last keystroke.
At the urging of many redditors, it appears that [Pure-Bullfrog-2569] will set the keyboard aside for a later date, rather than just throwing or parting it out, or hanging it on the wall.
The controller itself is dead, which was a fake Teensy anyway, so maybe they’ll solder in an RP2040 or something and bring it back to life. Apparently it sounded pretty cool to type on. I bet it did!
The Centerfold: Screens, Screens Everywhere
Do you rock a sweet set of peripherals on a screamin’ desk pad? Send me a picture along with your handle and all the gory details, and you could be featured here!
Historical Clackers: the SEGA Pico Keyboard
I know, I know; this looks like my typical centerfold choice. But hear me out. So I was trying to get ChatGPT to trawl GitHub for new-ish hardware keyboard projects on my behalf, and it came back with this intriguing picture of a SEGA keyboard. There was also a Hello Kitty variant!
Now of course the actual link it listed goes to a DIY keyboard with a Raspberry Pi Pico inside, which is a nice build, by the way. You should check it out.
But anyway, back to this Japanese Fisher Price situation. It is apparently an accessory for the SEGA Pico system, which was a lot like a LeapPad, and used the same processor as the SEGA Mega Drive. It did sell in North America and Europe, but only for an unsuccessful four years before being discontinued. Apparently it has a regular PS/2 connector (Indonesian, translated) and works just fine as a computer input.
I don’t know what kind of switches this thing has, but I would love to find out. It looks fun to type on, at least. And I don’t just mean because of the colors. Those keycaps remind me of that 80s square gum with the goo inside. Freshen Up.
Finally, a Keyboard for Writers
So this floaty mechanical keyboard is the latest offering from Astrohaus, who rose to fame with their AlphaSmart NEO-like device called the Freewrite, which apparently I disliked enough to never even cover. Why bother with that when you have OG NEOs lying around? Also, those Freewrite things are pricey for what they are, and I’ve seen plenty of writer decks on Hackaday to believe that I could build my own if I wanted.
Much like the Freewrite, the Wordrunner is aimed squarely at writers. And how do we feel about it? Well, as much as I love my Kinesis Advantage, it sure doesn’t have an electromechanical word counter or a sprint timer built into it like this one does.
It looks white, but the body is all metal and feels great according to Tom’s Hardware. All Wordrunners will ship with Kailh box browns and are not hot-swappable. Well, I suppose these are for writers and not necessarily keyboard enthusiasts. Perhaps the most interesting bit is that the F keys are replaced by common writerly actions, and there are a couple of programmable macro keys on top of those.
If there’s one thing writers love, it’s watching that word count go up. I can imagine how awesome it would be to watch it spin the faster you type, although that might trigger an urge to write nonsense. But sometimes great things come from such brainstorms.
Of course I don’t love that the Wordrunner is a standard TKL rectangle, but you gotta start somewhere, I suppose. Maybe they’ll make an ergonomic one someday. Like the other products under the Astrohaus/Freewrite umbrella, this one will launch on Kickstarter. Who knows how much it will be, probably at least $200, but you can reserve one for a refundable $1 ahead of time.
Got a hot tip that has like, anything to do with keyboards? Help me out by sending in a link or two. Don’t want all the Hackaday scribes to see it? Feel free to email me directly.
Microsoft lancia l’allarme: chiavi ASP.NET pubbliche usate per iniettare malware
Gli esperti Microsoft hanno lanciato l’allarme : gli attacchi di iniezione di codice ViewState hanno previsto che gli aggressori creeranno malware utilizzando chiavi ASP.NET statiche trovate su Internet.
Secondo Microsoft Threat Intelligence, alcuni sviluppatori utilizzano le chiavi ASP.NET validationKey e decryptionKey (destinate a proteggere ViewState da manomissioni e divulgazioni) nel proprio codice, reperibile nella documentazione del codice o in repository di terze parti.
Gli aggressori utilizzano anche chiavi macchina accessibili al pubblico nei loro attacchi per creare ViewState dannosi (utilizzati nei moduli Web ASP.NET per gestire lo stato e salvare le pagine) aggiungendovi falsi codici di autenticazione dei messaggi).
Gli esperti spiegano che quando si carica ViewState inviato tramite richieste POST, il runtime ASP.NET sul server di destinazione decifra e convalida i dati ViewState dannosi utilizzando le chiavi corrette, quindi li carica nella memoria del processo worker e li esegue. Ciò consente agli aggressori di eseguire codice da remoto sui server web IIS presi di mira, consentendo loro di distribuire payload aggiuntivi.
Ad esempio, in un incidente verificatosi nel dicembre 2024, un aggressore sconosciuto ha utilizzato una chiave macchina disponibile al pubblico per distribuire un framework di post-sfruttamento di Godzilla su un server web di destinazione, consentendo l’esecuzione di comandi dannosi e l’iniezione di shellcode.
“Microsoft ha identificato più di 3.000 chiavi ASP.NET esposte pubblicamente che potrebbero essere utilizzate in tali attacchi”, ha affermato l’azienda. — In precedenza, gli attacchi di iniezione ViewState utilizzavano solitamente chiavi compromesse o rubate, spesso vendute sui forum del darknet. “Ma le chiavi disponibili al pubblico possono rappresentare un rischio ancora maggiore perché sono disponibili in più repository e possono essere aggiunte al codice di sviluppo senza modifiche.”
Per proteggersi da tali attacchi, Microsoft consiglia agli sviluppatori di generare chiavi macchina in modo sicuro, di non utilizzare chiavi predefinite o chiavi trovate su Internet, di crittografare gli elementi machineKey e connectionStrings per bloccare l’accesso ai segreti in chiaro, di eseguire l’aggiornamento ad ASP.NET 4.8 per utilizzare l’interfaccia AMSI (Antimalware Scan Interface) e di rafforzare i server Windows.
Inoltre, Microsoft ha descritto in dettaglio i passaggi per rimuovere o sostituire le chiavi ASP.NET nel file di configurazione web.config utilizzando PowerShell o la console di gestione IIS. L’azienda ha inoltre rimosso le chiavi di esempio dalla propria documentazione pubblica per impedire a chiunque di utilizzarle.
L'articolo Microsoft lancia l’allarme: chiavi ASP.NET pubbliche usate per iniettare malware proviene da il blog della sicurezza informatica.
Gazzetta del Cadavere reshared this.
I Servizi Segreti e il mistero dell’auto di Giambruno, Meloni è stata sentita dal procuratore Lo Voi
@Politica interna, europea e internazionale
La scorsa estate la presidente del Consiglio Giorgia Meloni è stata ascoltata dal procuratore capo di Roma Francesco Lo Voi come persona informata sui fatti nell’ambito dell’inchiesta aperta dai magistrati capitolini sul caso dei due
8Base smantellato! Le forze dell’ordine chiudono il sito dei leak del gruppo ransomware
In un’operazione congiunta internazionale, le forze dell’ordine hanno recentemente smantellato il Data Leak Site (DLS) del gruppo ransomware 8Base, noto per aver colpito numerose aziende a livello globale. Questo sito fungeva da piattaforma per la pubblicazione di dati sensibili sottratti alle vittime che si rifiutavano di pagare il riscatto, esercitando così ulteriore pressione su di esse.
Attivo dal marzo 2022, 8Base ha guadagnato notorietà per la sua strategia di combinare la crittografia dei dati e la divulgazione pubblica delle informazioni rubate per costringere le vittime al pagamento. Nonostante l’intensa attività registrata, l’identità dei membri e le metodologie operative del gruppo sono rimaste a lungo nell’ombra.
Un aspetto peculiare di 8Base è la loro auto-definizione come “semplici pentester”, offrendo alle aziende violate una sorta di audit di sicurezza non richiesto. In un’intervista rilasciata a Red Hot Cyber, il gruppo ha dichiarato: “Vediamo falle nella sicurezza delle reti aziendali e le usiamo”. Questo approccio, sebbene criminale, evidenzia le gravi lacune nella sicurezza informatica di molte organizzazioni.
In Italia, 8Base ha preso di mira diverse organizzazioni, evidenziando la vulnerabilità delle infrastrutture informatiche nazionali. Questi incidenti sottolineano la necessità di rafforzare le misure di sicurezza informatica nel paese.
Il successo dell’operazione delle forze dell’ordine rappresenta un duro colpo per 8Base e per le attività illecite legate al ransomware. Tuttavia, gli esperti avvertono che la chiusura del DLS potrebbe non segnare la fine delle operazioni del gruppo, che potrebbe tentare di ristabilire la propria presenza online o evolvere le proprie tattiche per eludere le future indagini.
Questo evento sottolinea l’importanza di una cooperazione internazionale nella lotta contro il cybercrimine e la necessità per le aziende di adottare misure proattive di sicurezza informatica. Investire in sistemi di difesa avanzati, formazione del personale e monitoraggio continuo delle reti è fondamentale per prevenire attacchi futuri e proteggere dati sensibili da potenziali minacce.
L'articolo 8Base smantellato! Le forze dell’ordine chiudono il sito dei leak del gruppo ransomware proviene da il blog della sicurezza informatica.
Cosa sta succedendo tra le Big Tech e l’industria della Difesa Usa
@Notizie dall'Italia e dal mondo
L’industria della Difesa statunitense potrebbe essere a un punto di svolta. Con il processo di riarmo globale attualmente in corso, non è una sorpresa che i contractor della Difesa Usa — tra le società a più alta capitalizzazione del mondo — stiano vedendo una crescita positiva delle loro azioni. Tuttavia, è la
Truffa del falso Crosetto: cosa sappiamo dei deepfake vocali e come difendersi
@Informatica (Italy e non Italy 😁)
Una certosina organizzazione e strumenti di intelligenza artificiale, hanno messo in difficoltà diversi noti imprenditori italiani in una truffa telematica. Non ci sono strumenti infallibili che ci possono difendere ma il fattore umano in questi casi
Caso Lo Voi, la Procura di Perugia apre un’inchiesta dopo l’esposto dei Servizi Segreti
@Politica interna, europea e internazionale
La Procura di Perugia ha aperto un’inchiesta sui fatti contenuti nell’esposto presentato dai Servizi Segreti contro il procuratore capo di Roma Francesco Lo Voi per presunta rivelazione di notizie riservate. Lo ha reso noto nel pomeriggio di lunedì 10 febbraio lo
Tiny Mouse Ring Uses Prox Sensors
A traditional computer mouse typically fits in the palm of your hand. However, with modern technology, there’s no need for mice to be so large, as demonstrated by [juskim]’s neat little mouse ring. Check it out in the video below.
The concept is simple—it’s a tiny mouse that sits neatly on the end of one of your fingers. You then get the slightly surreal experience of pointing on your computer just by moving a single finger instead of your whole hand.
The project uses a typical optical mouse sensor for movement, as you might expect. However, there are no conventional switches for the left and right mouse buttons. Instead, [juskim] realized a more compact design was possible by using proximity sensors instead. The sensors detect the presence of his fingers on either side of the ring mouse. When one of the fingers is lifted, the absence of the finger triggers a mouse click, either left or right, depending on the finger.
The build started with junk box parts, but hooking up an Arduino Pro Micro dev board and other modules proved too cumbersome to use effectively. Instead, the build relies on an ATTO board, a tiny PCB featuring the same ATmega32U4 microcontroller. Similarly, the build relies on tiny proximity sensors from STM to fit in the “ring” form factor. It’s all wrapped up in a 3D-printed enclosure that fits snugly on the user’s finger.
We’ve seen some other neat mouse rings before, too. Or, if you want something really different, grab some keychains and make a 6DOF mouse.
youtube.com/embed/vcZNPGWGGOU?…
Cpi: “Caso Almasri all’esame della Camera preliminare. Nessuna indagine contro funzionari italiani”
@Politica interna, europea e internazionale
La mancata consegna alla Corte penale internazionale (Cpi) da parte dell’Italia del generale libico Najeem Osama Almasri Habish, arrestato il 19 gennaio a Torino su mandato dell’Aja, rilasciato due giorni dopo e rimandato in Libia
How Magnetic Fonts Twisted Up Numbers And Saved Banking Forever
If you’ve ever looked at the bottom of a bank check, you probably glanced over some strangely formed numbers? If you’re a fan of science fiction or retro computers, you’ve probably spotted the same figures on any number of books from the 1980s. They’re mostly readable, but they’re chunky and thin in places you don’t expect.
Those oddball numerals didn’t come from just anywhere—they were a very carefully crafted invention to speed processing in the banking system. These special fonts were created to be readable both by humans and machines—us with our eyes, and the computers with magnetic sensors. Let’s explore the enigmatic characters built for Magnetic Ink Character Recognition (MICR).
Machines Will Do The Work
These days, much of the money in the world is sent and received via digital transfers. Once upon a time, though, paper was king when it came to moving money. The almighty check was how you got money out of one account and into another one.
Sadly, as populations grew and economic activity skyrocketed, the status quo couldn’t hold. By the mid-1940s, the problem was already apparent, with the Federal Reserve dealing with 2 billion checks a year in 1946. While mechanical adding machines and various other techniques helped, fundamentally, bankers and clerks were processing millions of checks daily, all by hand.
The financial world needed a way to speed handling of checks as much as possible. The solution was to enable machines to read as much of the information on a check as possible, so they could handle the basic sorting and processing steps at speed. This would eliminate much of the manual reading and handling by humans, and greatly improve throughput.
The problem was that in the middle of the 20th century, technologies like optical character recognition, or even digital cameras, were decades away. Instead, the key innovation that saved banking was MICR—short for Magnetic Ink Character Recognition. It involved printing certain characters on checks with an iron oxide-based ink. The combination of the ink’s magnetic content and the unique shape of each number meant machines could read the checks easily and unambiguously—even in the case they were physically damaged. Meanwhile, the MICR characters were also designed to remain human readable, so they could be readily understood by the humans using them, too. This was an important backup in the event a check failed machine reading for whatever reason.
With MICR, checks could be pre-printed with a bank’s routing number and the customer account to draw from, leaving just the payment amount to be read from the check user’s handwriting. Alternatively, even the amount could be printed in MICR characters if the check was fully machine-issued, speeding processing further. With the aid of magnetic ink, processing speeds went up prodigiously. In 1950, mechanical aids had allowed one clerk to process 1,300 checks in an hour. Fast forward to the magnetic ink era just a few years later, and clerks were able to handle 33,000 checks or more in the same amount of time.
As is so often the way, the world did not agree on one standard for MICR purposes. Developments across the banking world occurred during the 1950s, with two major magnetic fonts being developed in parallel.
If you’re based in the United States, Canada, the UK, Australia, or much of the rest of the English-speaking world, you’re probably most familiar with a font called E-13B. This is the one with the gloopy letters and the worst ‘1’ numeral ever committed to print. It was developed by General Electric and the Stanford Research Institute. Its designation was entirely pragmatic—E denoted that it was the fifth font considered, and B denoted the second revision. 13 referred to the fact it was designed for use on an 0013-inch grid.
The font was designed to create a unique magnetic signal pattern when each numeral or symbol was scanned by a magnetic reader. The shapes were specifically engineered to avoid any possible confusion – that’s why the 0 has those straight sides, and the 8 is so hefty at the bottom, for example. Each number generates a waveform that’s distinct from the others, making it easy to process the signal and read the check accurately. E-13B wasn’t perfect, with 2s and 5s putting out rather similar signals in some cases that could cause confusion, but it proved itself more than reliable enough to do the job.
The standard was trialled in 1956 and was adopted by the American Bankers Association by 1958. By 1963, the American National Standards Institute (ANSI) designated that E-13B would be the standard, and by 1967, the Federal Reserve mandated the use of magnetic ink on checks. E-13B went on to become a graphical motif commonly associated with computers and modernity, with artists commonly creating lookalike characters for the whole Latin alphabet. However, the official E-13B standard only ever had 14 characters—numerals 0 to 9, plus four additional control characters for check processing—”transit,” “on-us,” “amount,” and “dash.”
At roughly the same time, French computer company Groupe Bull was working on its own standard. In 1957, it developed the CMC-7 font, which used an entirely different approach to E-13B. Rather than relying on the varying the intensity of magnetism by the amount of ink in a character, CMC-7 instead relied on characters made up of vertical bars. The spacing between the bars could be read by machine to determine the numerals. The design gave CMC-7 characters more of a barcode-like appearance. Notably, CMC-7 also featured a full alphanumerical character set—41 glyphs, including A-Z, 0-9, and five control characters.
Thanks to the geopolitics of the mid-20th century, each MICR standard ended up with its own stomping ground. While E-13B dominated in the Anglophone world, CMC-7 ended up being used in France, Spain, and much of Europe and South America. At heart, both standards did the same thing—they enabled machines to read most of the data on a check with a minimum of fuss.
Banks might feel mostly digital these days, but MICR fonts are still an important standard in the financial world. If you’re issuing checks, you might end up running into some problems if you’re not printing them with the appropriate MICR font and magnetic ink. For most of us, checks are a simple tool of the past, but it turns out a great deal of engineering went into perfecting them before the computer came along.
Domani #11febbraio è la Giornata mondiale per la sicurezza in Rete.
L’ obiettivo della giornata è far riflettere le ragazze e i ragazzi non solo sull’uso consapevole della Rete, ma anche sul ruolo attivo e responsabile di c…
Ministero dell'Istruzione
📣 -1 al #SaferInternetDay! Domani #11febbraio è la Giornata mondiale per la sicurezza in Rete. L’ obiettivo della giornata è far riflettere le ragazze e i ragazzi non solo sull’uso consapevole della Rete, ma anche sul ruolo attivo e responsabile di c…Telegram
Peppem reshared this.
Luca🇮🇹🚜🏎️✈️
in reply to David 🔻 • •Buongiorno e benvenuto
David 🔻 likes this.