Ogni mese diventa sempre più evidente: le password non funzionano più. Gli hacker hanno imparato a eludere anche la protezione a due fattori sfruttando sessioni rubate e milioni di dati compromessi. In questo contesto, sempre più aziende stanno passando a un sistema di accesso senza password, non solo per comodità, ma anche per sopravvivere nella nuova realtà.

Uno dei segnali più allarmanti è stata l‘apparizione di una macchina di hacking automatizzata Atlantis AIO. È in grado di lanciare attacchi a oltre 140 servizi online, dalla posta allo streaming fino alla consegna di cibo. Funziona così: milioni di login e password rubati vengono acquistati sul darknet, dopodiché la macchina inizia a testarli in massa in modalità automatica. Atlantis dispone di moduli appositamente studiati per servizi specifici, con la possibilità di aggirare i CAPTCHA, intercettare le caselle di posta e persino ripristinare automaticamente l’accesso. Tutto ciò rende il furto di account non solo possibile, ma anche più scalabile che mai.

Gli esperti di Abnormal Security lo dicono chiaramente: questi strumenti trasformano anche i più inesperti pirati informatici in una minaccia a livello aziendale. Sono particolarmente vulnerabili gli account che utilizzano le stesse password, combinazioni deboli o una protezione a due fattori obsoleta. Secondo un nuovo rapporto di HYPR, il 49% delle aziende ha già subito violazioni dovute a vulnerabilità nei sistemi di identità e il 47% degli attacchi informatici è direttamente correlato alla compromissione delle password.

Ma ci sono anche buone notizie. Sempre più aziende stanno passando a metodi di accesso senza password, tra cui le passkey (chiavi di accesso) secondo lo standard FIDO. Tali tecnologie sono già supportate sia da Microsoft che da Google. HYPR chiama questo fenomeno “Rinascimento dell’identità”, in cui la sicurezza non è determinata dalla complessità della password ma dalla sua generale resistenza agli attacchi informatici.

Microsoft ha annunciato il lancio di un nuovo metodo di accesso per oltre un miliardo di utenti. Entro la fine di aprile, la maggior parte degli utenti Windows, Xbox e Microsoft 365 riceverà un’interfaccia aggiornata che darà priorità alla passkey rispetto alla password. Inoltre, se crei un nuovo account, non dovrai più pensare a una password: ti basterà inserire il tuo indirizzo email e confermarlo con un codice. In futuro il sistema offrirà la possibilità di salvare la passkey come metodo di accesso principale.

Google, a sua volta, ha ampliato l’area geografica di distribuzione delle sue chiavi di sicurezza fisiche Titan: ora sono disponibili in 22 Paesi, tra cui Australia, Irlanda, Singapore e Paesi Bassi. Sebbene l’utilizzo di tali chiavi sia meno comodo di quello di un passkey, aumenta notevolmente il livello di protezione.

Il risultato è semplice. Mentre alcune aziende stanno aggiornando i propri sistemi di sicurezza, altre continuano a vivere nel passato, affidandosi a password e a forme deboli di protezione a due fattori. E sono proprio queste organizzazioni le prime a essere attaccate. Abbandonare le password non è più un’utopia, ma un passo necessario da compiere subito.

L'articolo Addio alle password! La rivoluzione della sicurezza informatica è già iniziata proviene da il blog della sicurezza informatica.

Il gruppo Hellcat si ritrova al centro delle indagini di KELA, che ha rivelato le vere identità di due personaggi chiave, “Rey” e “Pryx”.

Originariamente il gruppo era noto come ICA Group, ma verso la fine del 2024 operava con il nuovo marchio Hellcat, dimostrando un elevato livello di coordinamento e aggressività. Il gruppo ha acquisito notorietà per attacchi di alto profilo come Schneider Elettric, Telefonica e Orange Romania.

Rey ha iniziato la sua carriera con il nome di “Hikki-Chan” sul forum BreachForums, dove pubblicava presunte fughe di notizie esclusive, alcune delle quali si sono poi rivelate essere delle rivendite di vecchi dati. Nonostante la sua reputazione danneggiata, Rey continuò le sue attività sotto un nuovo soprannome e divenne l’amministratore di Hellcat.

Rey ha utilizzato attivamente Telegram e il social network X per pubblicare fughe di notizie e criticare gli operatori delle telecomunicazioni, nonché per distribuire messaggi e strumenti di attacco informatico. Affermava di essere specializzato in crittografia e iniziò la sua carriera di hacker deturpando i siti web. Tra i suoi metodi, spiccano in particolare le seguenti tattiche: sfruttare i dati jira per accedere alle informazioni aziendali.

Utilizzando i dati provenienti dall’archivio di KELA, è stato possibile stabilire che Rey è stato infettato due volte dagli infostealer Redline e Vidar all’inizio del 2024.

Uno dei computer infetti sembra essere stato condiviso con i membri della sua famiglia. Questo è ciò che ha portato a stabilire un collegamento con un giovane di nome Saif, originario di Amman, in Giordania, la cui identità potrebbe corrispondere a quella di Rey. In precedenza aveva utilizzato gli alias “ggyaf” e “o5tdev“, partecipando attivamente ai forum RaidForums e BreachForums e dichiarando inoltre di essere affiliato ad Anonymous Palestine.

Il secondo membro di Hellcat è Pryx, che ha iniziato le sue attività nell’estate del 2024. È passato rapidamente dalle fughe di notizie dalle istituzioni educative agli attacchi ai sistemi governativi nei paesi del Golfo e dei Caraibi e, in seguito, alle aziende private. Inoltre, Pryx ha sviluppato il proprio ransomware basato su AES256 e ha scritto guide per forum, tra cui XSS. Gestiva anche i siti web pryx.pw e pryx.cc.

Secondo KELA, Pryx parlava arabo ed era coinvolto nel carding dal 2018. Ha rilasciato dichiarazioni offensive e provocatorie, tra cui una minaccia di attaccare l’Università di Harvard. Uno degli sviluppi di Pryx è stato un server stealer che sfrutta i servizi Tor per accedere segretamente ai sistemi infetti. Questa tattica ha consentito all’aggressore di ridurre al minimo le tracce ed evitare di essere scoperto, trasmettendo i dati al proprio server senza connessioni in uscita attive.

L’analisi tecnica di uno degli strumenti malware Pryx ha portato al dominio pato.pw, precedentemente posizionato come risorsa per i ricercatori di sicurezza. Tuttavia, le somiglianze nei contenuti e nel codice hanno permesso di collegare direttamente il sito a Pryx. Il sito ospitava guide e istruzioni, i cui contenuti apparivano poi sui forum sotto il suo nickname. Sono stati trovati anche repository GitHub e indirizzi email che corrispondevano ai dati di Telegram e di altre fonti, indicando una persona di nome Adem, che vive negli Emirati Arabi Uniti.

Un’analisi più approfondita ha rivelato la connessione di Pryx con un altro pirata informatico — WeedSec. Tramite Telegram siamo riusciti a trovare account, corrispondenza con un altro amministratore di BlackForums e partite che utilizzavano gli stessi dati di accesso. È stato anche confermato che questa persona aveva utilizzato il nome Adem in altri contesti, rafforzando ulteriormente il collegamento tra Pryx e la persona reale.

Nonostante il loro progresso tecnologico e la loro aggressività, entrambi i membri di Hellcat alla fine sono rimasti vittime degli stessi infostealer su cui facevano affidamento per le loro attività di criminalità informatica. Ciò ha permesso ai ricercatori di stabilire connessioni chiave e forse avvicinarsi alla de-anonimizzazione di uno dei gruppi di hacker più importanti degli ultimi anni.

L'articolo Gli Hacker di Hellcat traditi dai Loro Stessi Infostealer proviene da il blog della sicurezza informatica.

Mozilla ha rilasciato aggiornamenti di sicurezza per correggere una vulnerabilità critica che ha interessato il browser Firefox su Windows. Questo intervento arriva pochi giorni dopo che Google ha risolto una falla simile su Chrome, precedentemente sfruttata attivamente come zero-day.

Un attacco riuscito potrebbe consentire a un processo figlio compromesso di ottenere privilegi elevati dal processo principale, determinando l’uscita dalla sandbox. La vulnerabilità, che ha interessato sia Firefox che Firefox ESR, è stata risolta con le versioni Firefox 136.0.4, Firefox ESR 115.21.1 e Firefox ESR 128.8.1.

Al momento, non ci sono evidenze di exploit attivi della CVE-2025-2857.

La vulnerabilità, identificata come CVE-2025-2857, è stata descritta come un errore nella gestione dei permessi, il quale potrebbe portare a una fuga dalla sandbox di sicurezza.

“In seguito alla recente violazione della sandbox di Chrome (CVE-2025-2783), diversi sviluppatori di Firefox hanno individuato un problema analogo nel nostro sistema di comunicazione inter-processo (IPC)”, ha dichiarato Mozilla in un comunicato.

Anche il team del progetto Tor ha rilasciato un aggiornamento di sicurezza per Tor Browser (versione 14.0.8) per proteggere gli utenti Windows dalla stessa falla.

Nel frattempo, Google ha distribuito la versione 134.0.6998.177/.178 di Chrome per correggere CVE-2025-2783, che è stata sfruttata in attacchi mirati contro media, istituzioni accademiche e enti governativi in Russia.

la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha aggiunto la falla al suo catalogo delle vulnerabilità note sfruttate (KEV), richiedendo alle agenzie federali di applicare le misure di mitigazione necessarie entro il 17 aprile 2025.

L'articolo Nuova minaccia su Firefox e Chrome: scoperta un’altra falla critica, aggiornate subito! proviene da il blog della sicurezza informatica.

Il gruppo informatico cinese UNC3886 ha hackerato i vecchi router MX di Juniper Networks utilizzando backdoor nascoste. Secondo i dati Mandiant, gli aggressori utilizzano backdoor attive e passive, disabilitano la registrazione e mantengono l’accesso alle reti delle vittime.

UNC3886 è noto dal 2022 e attacca i dispositivi di rete e la virtualizzazione, prendendo di mira aziende di difesa, tecnologia e telecomunicazioni negli Stati Uniti e in Asia. I dispositivi sul perimetro della rete solitamente non vengono monitorati, il che consente agli hacker di agire inosservati.

Gli ultimi attacchi utilizzano backdoor basate su Tiny SHell. Consentono di caricare e scaricare file, intercettare pacchetti, infiltrarsi nei processi di Junos OS ed eseguire comandi. Gli hacker criminali quindi aggirano la sicurezza di Junos OS Verified Exec utilizzando credenziali rubate per iniettare codice nei processi di sistema.

L’obiettivo principale degli attacchi è disattivare la registrazione prima di connettere l’operatore e ripristinarla una volta completato il lavoro.

Oltre alle backdoor, UNC3886 utilizza i rootkit Reptile e Medusa, le utilità PITHOOK (per rubare le credenziali SSH) e GHOSTTOWN (per rimuovere le tracce degli attacchi).

Gli esperti consigliano di aggiornare Juniper MX alle versioni più recenti e di utilizzare Juniper Malware Removal Tool (JMRT). È inoltre importante rafforzare il monitoraggio dell’attività di rete e utilizzare strumenti di rilevamento delle anomalie per prevenire attacchi simili in futuro.

L'articolo Hacker cinesi violano router Juniper MX con backdoor invisibili: allarme cybersecurity! proviene da il blog della sicurezza informatica.

How do you get images downlinked from 30 km up? Hams might guess SSTV — slow scan TV — and that’s the approach [desafloinventor] took. If you haven’t seen it before (no pun intended), SSTV is a way to send images over radio at a low frame rate. Usually, you get about 30 seconds to 2 minutes per frame.

The setup uses regular, cheap walkie-talkies for the radio portion on a band that doesn’t require a license. The ESP32-CAM provides the processing and image acquisition. Normally, you don’t think of these radios as having a lot of range, but if the transmitter is high, the range will be very good. The project steals the board out of the radio to save weight. You only fly the PC board, not the entire radio.

If you are familiar with SSTV, the ESP-32 code encodes the image using Martin 1. This color format was developed by a ham named [Martin] (G3OQD). A 320×256 image takes nearly two minutes to send. The balloon system sends every 10 minutes, so that’s not a problem.

Of course, this technique will work anywhere you want to send images over a communication medium. Hams use these SSTV formats even on noisy shortwave frequencies, so the protocols are robust.

Hams used SSTV to trade memes way before the Internet. Need to receive SSTV? No problem.

hackaday.com/2025/03/28/pictur…

[ombates] shares a step-by-step method for making a conductive bio-string from scratch, no fancy equipment required. She demonstrates using it to create a decorative top with touch-sensitive parts, controlling animations on an RGB LED pendant. To top it off, it’s even biodegradable!

The string is an alginate-based bioplastic that can be made at home and is shaped in a way that it can be woven or knitted. Alginate comes primarily from seaweed, and it gels in the presence of calcium ions. [ombates] relies on this to make a goopy mixture that, once extruded into a calcium chloride bath, forms a thin rubbery length that can be dried into the strings you see here. By adding carbon to the mixture, the resulting string is darkened in color and also conductive.

There’s no details on what the actual resistance of a segment of this string can be expected to measure, but while it might not be suitable to use as wiring it is certainly conductive enough to act as a touch sensor in a manner similar to the banana synthesizer. It would similarly be compatible with a Makey Makey (the original and incredibly popular hardware board for turning household objects into touch sensors.)

What you see here is [ombates]’ wearable demonstration, using the white (non-conductive) string interwoven with dark (conductive) portions connected to an Adafruit Circuit Playground board mounted as an LED pendant, with the conductive parts used as touch sensors.

Alginate is sometimes used to make dental molds and while alginate molds lose their dimensional accuracy as they dry out, for this string that’s not really a concern. If you give it a try, visit our tip line to let us know how it turned out!

hackaday.com/2025/03/28/make-d…

Back in the early 1900s, before calculators lived in our pockets, crunching numbers was painstaking work. Adding machines existed, but they weren’t exactly convenient nor cheap. Enter Vilin Vinson and his Maximal Multi-Divi, a massive multiplication and division table that turned math into an industrialized process. Originally published in Sweden in the 1910’s, and refined over decades, his book was more than a reference. It was a modular calculating instrument, optimized for speed and efficiency. In this video, [Chris Staeker] tells all about this fascinating relic.

What makes the Multi-Divi special isn’t just its sheer size – handling up to 9995 × 995 multiplications – but its clever design. Vinson formatted the book like a machine, with modular sections that could be swapped out for different models. If you needed an expanded range, you could just swap in an extra 200 pages. To sell it internationally, just replace the insert – no translation needed. The book itself contains zero words, only numbers. Even the marketing pushed this as a serious calculating device, rather than just another dusty math bible.

While pinwheel machines and comptometers were available at the time, they required training and upkeep. The Multi-Divi, in contrast, required zero learning curve – just look up the numbers for instant result. And it wasn’t just multiplication: the book also handled division in reverse, plus compound interest, square roots, and even amortizations. Vinson effectively created a pre-digital computing tool, a kind of pocket calculator on steroids (if pockets were the size of briefcases).

Of course, no self-respecting hacker would take claims of ‘the greatest invention ever’ at face value. Vinson’s marketing, while grandiose, wasn’t entirely wrong – the Multi-Divi outpaced mechanical calculators in speed tests. And if you’re feeling adventurous, [Chris Staeker] has scanned the entire book, so you can try it yourself. Take a look at the full video here and see how it stacks up against your favorite retro calculators!

youtube.com/embed/56AA1yxFoQs?…

hackaday.com/2025/03/28/math-o…

The sun is our planet’s source of natural illumination, and though we’ve mastered making artificial light sources, it remains extremely difficult to copy our nearby star. As if matching the intensity wasn’t enough, its spectral quality, collimation, and atmospheric scattering make it an special challenge. [Victor Poughon] has given it a go though, using a bank of LEDs and an interesting lens system.

We’re used to lenses being something that can be bought off-the-shelf, but this design eschews that convenience by having the lenses manufactured and polished as an array, by JLC. The scattering is taken care of by a sheet of inkjet printer film, and the LEDs are mounted on a set of custom PCBs.

The result is certainly a very bright light, and one whose collimation delivers a sun-like effect of coming from a great distance. It may not be as bright as the real thing, but it’s certainly something close. If you’d like something to compare it to, it’s not the first such light we’ve featured.

hackaday.com/2025/03/28/an-art…

When we think of 8-bit computers, it’s natural to start with home computers. That’s where they live on in the collective memory. But a Z80, a 6502, or similar was more likely to be found unseen in a piece of industrial machinery, doing the job for which we’d today reach for a microcontroller. Sometimes these two worlds intersected, and thus we come to the EuroBEEB, a derivative of Acorn’s BBC Micro on a Eurocard. [Steve Crozier] has performed extensive research into this system and even produced a recreated PCB, providing a fascinating window into embedded computing in the early 1980s.

The EuroBEEB was the work of Control Universal, a Cambridge-based company specialising in embedded computers. They produced systems based upon 6502 and 6809 processors, and joining their product line to the then-burgeoning BBC Micro ecosystem would have been an obvious step. The machine itself is a Eurocard with a simple 6502 system shipped with ACORN BBC Basic on ROM, and could be seen as a cut-down BBC Micro with plenty of digital I/O, accesible through a serial port. It didn’t stop there though, as not only could it export its graphics to a “real” BBC Micro, it had a range of expansion Eurocards that could carry the missing hardware such as analogue input, Teletext, or high-res graphics.

The reverse-engineered PCB comes from analysis of surviving schematics, and included a couple of gate array logic chips to replace address decoding ROMs in the original. If it seems overkill for anyone used to a modern microcontroller, it’s worth remembering that by the standards of the time this was a pretty simple system. Meanwhile if you only fancy trying BBC BASIC, there’s no need to find original hardware.

hackaday.com/2025/03/28/take-a…

Lo studio legale californiano Greenberg Glusker ha raggiunto attraverso un tribunale arbitrale la possibilità di recuperare 33 milioni di dollari da T-Mobile. La causa denuncia gravi violazioni della sicurezza che hanno portato al successo di un attacco di scambio di SIM (SIM Swap).

L’incidente è avvenuto il 21 febbraio 2020, quando un dipendente della T-Mobile ha trasferito il numero di telefono del cliente Joseph “Josh” Jones su una scheda SIM controllata da un aggressore. L’attacco ha portato al furto di oltre 1.500 Bitcoin e di circa 60.000 Bitcoin Cash, per un valore di 38 milioni di dollari al momento del furto.

L’account T-Mobile di Jones era dotato di misure di sicurezza avanzate, tra cui un PIN di otto cifre che avrebbe dovuto impedire qualsiasi modifica. Ciò ha portato la vittima a credere che gli aggressori avessero utilizzato vulnerabilità nei sistemi dell’operatore di telefonia mobile per ottenere il controllo sul suo account.

La petizione di Greenberg Glusker, depositata presso il tribunale di Los Angeles, rivela che un’indagine delle forze dell’ordine ha accertato il coinvolgimento nell’attacco informatico di un adolescente di 17 anni a cui è stata diagnosticata l’ADHD. Secondo le informazioni disponibili, era associato agli hacker Nima Fazeli e Joseph O’Connor, coinvolti nell’hacking di decine di account Twitter nello stesso 2020.

Il caso T-Mobile è stato tenuto segreto dall’autunno del 2023. Lo studio legale ha affermato che l’operatore di telefonia mobile stava cercando di mantenere riservati i dettagli delle sue falle di sicurezza.

Paul Blechner di Greenberg Glusker ha sottolineato che il problema dello scambio di SIM è rimasto una vulnerabilità irrisolta per molti anni. Ha affermato che gli operatori, tra cui T-Mobile, erano a conoscenza del problema ma non hanno preso sufficienti precauzioni per proteggere i propri clienti.

Gli attacchi di scambio di SIM rappresentano una seria minaccia perché i numeri di telefono vengono spesso utilizzati per l’autenticazione a due fattori in vari servizi online. Una volta che gli aggressori prendono il controllo del numero, possono modificare i dettagli di accesso e assumere il controllo degli account degli utenti.

Uno dei casi più noti dell’uso di questa tecnica divenne importante negli hack di Twitter del 2020. Gli hacker hanno attaccato 130 account e ne sono stati catturati 45, tra cui quelli di personaggi famosi: Bill Gates, Jeff Bezos, Joe Biden, Elon Musk e Mike Bloomberg.

L'articolo T-Mobile Condannata: 33 Milioni di dollari per un SIM Swap da Record proviene da il blog della sicurezza informatica.

It might not be Pi Day anymore, but Elliot and Dan got together for the approximately 100*Pi-th episode of the Podcast to run through the week’s coolest hacks. Ultrasound seemed to be one of the themes, with a deep dive into finding bugs with sonar as well as using sound to cut the cheese — and cakes and pies, too.

The aesthetics of PCBs were much on our minds, too, from full-color graphics on demand to glow-in-the-dark silkscreens. Is automation really needed to embed fiber optics in concrete? Absolutely! How do you put plasma in a bottle? Apparently, with kombucha, Nichrome, and silicone. If you need to manage your M:TG cards, scribble on the walls, or build a mechanical chase light, we’ve got the details. And what exactly is a supercomputer? We can’t define it, but we know one when we see it.

html5-player.libsyn.com/embed/…
Where to Follow Hackaday Podcast

Places to follow Hackaday podcasts:

• iTunes
• Spotify
• Stitcher
• RSS
• YouTube
• Check out our Libsyn landing page

Download the zero-calorie MP3.

Episode 314 Show Notes:

News:

• No news is good news!

What’s that Sound?

• Congrats to [IrishBoss] for guessing the angle grinder. And from Dan Maloney: “It was the ear protection, I swear!”

Interesting Hacks of the Week:

• 2024 Hackaday Supercon Talk: Killing Mosquitoes With Freaking Drones, And Sonar
• “Unnecessary” Automation Of A DIY Star Lamp Build
  
  • Relevant xkcd

  
  

• Supercon 2024: A New World Of Full-Color PCBs
  
  • Successful Experiments In Multicolor Circuit Boards
  • The Way Of The PCB Artist: How To Make Truly Beautiful Circuit Boards

  
  

• Integrated BMS Makes Battery Packs Easy
  
  • Massive 20-oz. Copper PCB Enables Electric Racing

  
  

• Mural: The Plotter That Draws On Walls
  
  • Jürg Lehni & Uli Franke
  • Pen Plotter Is About As Simple As It Can Get
  • Stringent, the $15 Wall Plotter – Hackster.io
  • Cable Bots, Arise! Domination Of The Universe Is At Hand
  • [Homo Faciens] Builds A Winchbot

  
  

• Cheap Endoscopic Camera Helps Automate Pressure Advance Calibration

Quick Hacks:

• Elliot’s Picks
  
  • Chase Light SAO Shouldn’t Have Used A 555, And Didn’t
  • Turning A Kombucha Bottle Into A Plasma Tube
  • LED Filaments Become Attractive Time Piece
  • Glow In The Dark PCBs Are Pretty Cool

  
  

• Dan’s Picks:
  
  • Aluminum Business Cards Make Viable PCB Stencils
    
    • CNC Router And Fiber Laser Bring The Best Of Both Worlds To PCB Prototyping

    
    

  • Booting A Desktop PDP-11
  • 3D-Printed Scanner Automates Deck Management For Trading Card Gamers

  
  

Can’t-Miss Articles:

• So What Is A Supercomputer Anyway?
• High Frequency Food: Better Cutting With Ultrasonics
  
  • Fail Of The Week: The Little Ultrasonic Knife That Couldn’t
  • Waterjet-Cut Precision Pastry

  
  

hackaday.com/2025/03/28/hackad…

It doesn’t matter if its a Vespa or a Peterbilt truck — if you ignore the maintenance needs of your vehicle, you do so at your own peril. But it can be difficult enough to keep track of basic oil changes, to say nothing of keeping records on what parts were changed when. Instead of cramming more receipts into your glove box, maybe give LubeLogger a try.

This free and open source software tool is designed to make it easy for individuals to keep track of both the routine maintenance needs of their vehicles, as well as keep track of any previous or upcoming repairs and upgrades. Released under the MIT license, LubeLogger is primarily distributed as a Docker image that makes it easy to self-host the tool should you wish to keep your data safe at home rather than on somebody’s server out in the Wild West of the modern Internet.

In perhaps the most basic example, LubeLogger allows the user to add their vehicle to a virtual garage and set up routine maintenance tasks (such as oil changes), and fire off reminders when tasks are due. But it can also do things like track your vehicle’s mileage and fuel efficiency over time, and break down its operating costs.

LubeLogger has been around for a little over a year now, and it seeing active development, with the last release dropping just a few weeks back. While not everyone is going to need such a powerful tool, we’re glad to see there’s a self-hosted open source option out there for those that do.

Thanks to [STR-Alorman] for the tip.

hackaday.com/2025/03/28/keep-t…

In risposta all’aumento degli attacchi alle piattaforme di istruzione digitale, le autorità francesi hanno lanciato una campagna nazionale per sensibilizzare gli studenti sui rischi del phishing. L’operazione CACTUS, condotta nel marzo 2025, ha rappresentato un passo importante nello sviluppo dell’alfabetizzazione digitale tra i giovani.

Negli ultimi mesi, le scuole sono diventate sempre più spesso bersaglio di attacchi informatici contro gli spazi di apprendimento digitale. Gli attacchi tramite queste piattaforme creano ulteriore pressione sugli studenti e hanno già portato alla sospensione temporanea nel 2024 di molti istituti. I più vulnerabili sono gli adolescenti di età compresa tra 11 e 18 anni.

Dal 19 al 21 marzo, 2,5 milioni di bambini in età scolare hanno ricevuto un messaggio tramite ENT con un link che offriva “giochi hackerati e trucchi gratuiti”. L’obiettivo era testare le reazioni degli adolescenti a una potenziale minaccia in condizioni simili a quelle reali. Circa 210.000 studenti, ovvero circa uno su 12, hanno cliccato sul collegamento e sono stati reindirizzati a una pagina con un video che spiegava i pericoli del phishing.

L’obiettivo principale della campagna era quello di trasmettere agli studenti l’importanza di prestare attenzione su Internet e di metterli in guardia sulle possibili conseguenze legali della criminalità informatica.

Dopo il completamento della fase principale, le autorità intendono proseguire l’istruzione nelle scuole. L’iniziativa prevede sessioni di formazione faccia a faccia con esperti invitati per approfondire la comprensione delle minacce digitali. Inoltre, è stato sviluppato un set di allenamento e dei materiali creati congiuntamente da tutti i partecipanti al progetto. Questi materiali forniscono indicazioni e strumenti per aiutare gli insegnanti a continuare il loro lavoro volto a migliorare l’alfabetizzazione digitale tra i giovani.

Ricordiamo che la Francia si sta preparando a varare leggi che potrebbero cambiare radicalmente i principi della sicurezza online, obbligando i fornitori di servizi di comunicazione a installare backdoor nei servizi di messaggistica crittografata e limitando l’accesso alle risorse Internet tramite VPN. L’iniziativa ha suscitato aspre critiche da parte di Tuta (ex Tutanota) e della VPN Trust Initiative (VTI).

La Francia non è l’unico Paese in cui il controllo sui dati Internet sta aumentando. Nel Regno Unito, il governo ha recentemente richiesto da Apple di fornire l’accesso ai backup crittografati di iCloud. In Svezia è in preparazione un disegno di legge che obbligherà i messaggeri Signal e WhatsApp creare backdoor tecniche per fornire l’accesso ai messaggi crittografati.

L'articolo Arriva la “Cyber Vaccinazione” in Francia. Gli studenti hackerati per educarli alla Cybersecurity proviene da il blog della sicurezza informatica.

This week, researchers from Wiz Research released a series of vulnerabilities in the Kubernetes Ingress NGINX Controller that, when chained together, allow an unauthorized attacker to completely take over the cluster. This attack chain is known as IngressNightmare, and it affected over 6500+ Kubernetes installs on the public Internet.

The background here is that web applications running on Kubernetes need some way for outside traffic to actually get routed into the cluster. One of the popular solutions for this is the Ingress NGINX Controller. When running properly, it takes incoming web requests and routes them to the correct place in the Kubernetes pod.

When a new configuration is requested by the Kubernetes API server, the Ingress Controller takes the Kubernetes Ingress objects, which is a standard way to define Kubernetes endpoints, and converts it to an NGINX config. Part of this process is the admission controller, which runs nginx -t on that NGINX config, to test it before actually deploying.

As you might have gathered, there are problems. The first is that the admission controller is just a web endpoint without authentication. It’s usually available from anywhere inside the Kubernetes cluster, and in the worst case scenario, is accessible directly from the open Internet. That’s already not great, but the Ingress Controller also had multiple vulnerabilities allowing raw NGINX config statements to be passed through into the config to be tested.

And then there’s nginx -t itself. The man page states, “Nginx checks the configuration for correct syntax, and then tries to open files referred in the configuration.” It’s the opening of files that gets us, as those files can include shared libraries. The ssl_engine fits the bill, as this config line can specify the library to use.

That’s not terribly useful in itself. However, NGINX saves memory by buffering large requests into temporary files. Through some trickery, including using the /proc/ ProcFS pseudo file system to actually access that temporary file, arbitrary files can be smuggled into the system using HTTP requests, and then loaded as shared libraries. Put malicious code in the _init() function, and it gets executed at library load time: easy remote code execution.

This issue was privately disclosed to Kubernetes, and fixed in Ingress NGINX Controller version 1.12.1 and 1.11.5, released in February. It’s not good in any Kubernetes install that uses the Ingress NGINX Controller, and disastrously bad if the admission controller is exposed to the public Internet.

Next.js

Another project, Next.js, has a middleware component that serves a similar function as an ingress controller. The Nixt.js middleware can do path rewriting, redirects, and authentication. It has an interesting behavior, in that it adds the x-middleware-subrequest HTTP header to recursive requests, to track when it’s talking to itself. And the thing about those headers is that they’re just some extra text in the request. And that’s the vulnerability: spoof a valid x-middleware-subrequest and the Next.js middleware layer just passes the request without any processing.

The only hard part is to figure out what a valid header is. And that’s changed throughout the last few versions of Next.js. The latest iteration of this technique is to use x-middleware-subrequest: middleware:middleware:middleware:middleware:middleware or a minor variant, to trigger the middleware’s infinite recursion detection, and pass right through. In some use cases that’s no problem, but if the middleware is also doing user authentication, that’s a big problem. The issue can be mitigated by blocking x-middleware-subrequest requests from outside sources, and the 14.x and 15.x releases have been updated with fixes.

Linux’ No-op Security Function

The linux kernel uses various hardening techniques to make exploitation of bugs difficult. One technique is CONFIG_RANDOM_KMALLOC_CACHES, which makes multiple copies of memory allocation caches, and then randomizes which copy is actually used, to make memory corruption exploitation harder. Google researchers found a flaw in nftables, and wrote up the exploit, which includes the observation that this mitigation is completely non-functional when used from kvmalloc_node.

This happens as a result of how that randomization process is done. The function that calculates which of the copies to actually call actually uses its own return address as the seed value for the random value. That makes sense in some cases, but the calling function is an “exported symbol”, which among other things, means the return value is always the same, rendering the hardening attempt completely ineffective. Whoops. This was fixed in the Linux 6.15 merge window, and will be backported to the stable kernels series.

Your DNA In Bankruptcy

I’ve always had conflicting feelings about the 23andMe service. On one hand, there is some appeal to those of us that may not have much insight to our own genetic heritage, to finally get some insight into that aspect of our own history. On the other hand, that means willingly giving DNA to a for-profit company, and just trusting them to act responsibly with it. That concern has been brought into sharp focus this week, as 23andMe has filed for Chapter 11 bankruptcy. This raises a thorny question, of what happens to that DNA data as the company is sold?

The answer seems to be that the data will be sold as well, leading to calls for 23andMe customers to log in and request their data be deleted. Chapter 11 bankruptcy does not prevent them from engaging in business activities, and laws like the GDPR continue to apply, so those requests should be honored. Regardless, it’s a stark reminder to be careful what data you’re willing to entrust to what business, especially something as personal as DNA. It’s unclear what the final fallout is going to be from the company going bankrupt, but it’s sure to be interesting.

Appsmith and a Series of Footguns

Rhino Security did a review of the Appsmith platform, and found a series of CVEs. On the less severe side, that includes a error handling problem that allows an unauthorized user to restart the system, and an easily brute-forced unique ID that allows read-only users to send arbitrary SQL queries to databases in their workspace. The more serious problem is a pseudo-unauthenticated RCE that is in some ways more of a default-enabled footgun than a vulnerability.

On a default Appsmith install, the default postgres database allows local connections to any user, on any database. Appsmith applications use that local socket connection. Also in the default configuration, Appsmith will allow new users to sign up and create new applications without needing permission. And because that new user created their own application on the server, the user has permissions to set up database access. And from there postgres will happily let the user run a FROM PROGRAM query that runs arbitrary bash code.

Bits and Bytes

There’s been a rumor for about a week that Oracle Cloud suffered a data breach, that Oracle has so far denied. It’s beginning to look like the breach is a real one, with Bleeping Computer confirming that the data samples are legitimate.

Google’s Project Zero has a blast from the past, with a full analysis of the BLASTPASS exploit. This was a 2003 NSO Group exploit used against iMessage on iOS devices, and allowed for zero-click exploitation. It’s a Huffman tree decompression vulnerability, where attempting to decompress the tree overwrites memory and triggers code execution. Complicated, but impressive work.

Resecurity researchers cracked the infrastructure of the BlackLock ransomware group via a vulnerability in the group’s Data Leak Site. Among the treasures from this action, we have the server’s history logs, email addresses, some passwords, and IP address records. While no arrests have been reported in connection with this action, it’s an impressive hack. Here’s hoping it leads to some justice for ransomware crooks.

And finally, Troy Hunt, master of pwned passwords, has finally been stung by a phishing attack. And had a bit of a meta-moment when receiving an automated notice from his own haveibeenpwned.com service. All that was lost was the contents of Troy’s Mailchimp mailing list, so if your email address was on that list, it’s available in one more breach on the Internet. It could have been worse, but it’s a reminder that it can happen to even the best of us. Be kind.

This is too many levels of meta for my head to grasp pic.twitter.com/Pr0iFQGNlh

— Troy Hunt (@troyhunt) March 25, 2025

hackaday.com/2025/03/28/this-w…