In un mondo fortemente digitale, spesso tendiamo a ignorare le novità e i progressi introdotti da paesi come la Cina e la Russia, considerandoli come realtà lontane e ostili verso i nostri obiettivi tecnologici. Tuttavia, queste informazioni, se adeguatamente esplorate e analizzate, potrebbero offrirci spunti preziosi per migliorare le nostre tecnologie e strategie di sicurezza.

Chiudersi dietro barricate di nazionalismo e costruire muri digitali non solo limita la nostra crescita, ma indebolisce anche la nostra capacità di affrontare le sfide globali. Al contrario, la collaborazione e la condivisione delle conoscenze tra nazioni diverse ci permettono di diventare più forti, creando un ecosistema tecnologico più sicuro e resiliente per tutti.

Il 19 dicembre 2024, a Pechino, si è svolto il “Salone 2024 dell’Open Source e della Sicurezza del Software”, un evento di grande rilievo ospitato dalla China Academy of Information and Communications Technology (CAICT).

Il report Software Supply Chain Security Development Insight Report (2024)

Durante l’incontro, è stato ufficialmente presentato il “Software Supply Chain Security Development Insight Report (2024)“, un rapporto fondamentale che offre una visione approfondita sullo stato della sicurezza della catena di fornitura del software, una tematica sempre più cruciale per la sicurezza informatica globale. Questo rapporto evidenzia le definizioni, le sfide e le opportunità legate alla governance della sicurezza nella catena di fornitura, con un focus particolare sulle politiche e sugli standard in Cina.

La crescente attenzione alla sicurezza della catena di fornitura del software è il risultato di una consapevolezza globale sui rischi legati alle vulnerabilità nei software di terze parti. Questi rischi possono compromettere non solo la sicurezza delle applicazioni, ma anche l’integrità dell’intera infrastruttura IT di un’organizzazione. La governance della sicurezza della catena di fornitura, come sottolineato nel rapporto, è essenziale per promuovere uno sviluppo sano e sostenibile dell’industria del software, contribuendo a ridurre le minacce alla sicurezza e garantendo che i prodotti software siano sviluppati e gestiti in modo sicuro.

Il rapporto evidenzia l’importanza di una visione a 360 gradi nella gestione della sicurezza della catena di fornitura del software. A livello globale, sono emersi strumenti e tecnologie per migliorare la protezione delle catene di fornitura, ma è necessaria una coordinazione a livello nazionale e internazionale per ottenere risultati concreti. La collaborazione tra diversi attori della catena, tra cui sviluppatori, fornitori e utenti, è fondamentale per costruire un ecosistema di sicurezza robusto e resiliente.

Uno sguardo critico all’Open Source

Un altro aspetto fondamentale trattato nel rapporto riguarda l’adozione e l’implementazione di standard di sicurezza. In Cina, numerosi enti di standardizzazione hanno lavorato intensamente per sviluppare e promuovere norme che definiscano i requisiti di sicurezza per la catena di fornitura del software. Tra i principali risultati c’è la creazione degli standard GB/T43698-2024 e GB/T43848-2024, che stabiliscono requisiti di sicurezza per il software e metodi di valutazione della sicurezza del codice open source. Questi standard sono essenziali per uniformare e ottimizzare la gestione della sicurezza, facilitando l’adozione di buone pratiche da parte delle imprese.

Inoltre, il rapporto evidenzia come molte aziende cinesi stiano utilizzando la governance open source come punto di partenza per rafforzare la sicurezza della catena di fornitura. Questo approccio mira a migliorare la gestione dei fornitori e a costruire una distinta base del software, che costituisce un elemento cruciale per garantire la trasparenza e la sicurezza nelle fasi di sviluppo e distribuzione del software. Più di il 73% delle imprese cinesi ritiene che la governance open source sia un passo fondamentale per affrontare le vulnerabilità della catena di fornitura.

Un ulteriore punto trattato nel rapporto riguarda la gestione della sicurezza tra le parti della domanda e dell’offerta. La governance della sicurezza della catena di fornitura non riguarda solo i fornitori, ma coinvolge anche gli utenti finali del software. Le organizzazioni che acquistano software da terzi devono adottare pratiche rigorose per garantire che il software sia sicuro prima di essere integrato nei loro sistemi. Questo processo include la valutazione della sicurezza del software e la gestione dell’approvvigionamento per evitare l’introduzione di vulnerabilità.

Infine, il rapporto si conclude con una riflessione sulle prospettive future della sicurezza nella catena di fornitura del software. Sebbene ci sia stata una crescita significativa nella consapevolezza dei rischi e nell’adozione di misure di sicurezza, il panorama delle minacce è in continua evoluzione. Le organizzazioni devono essere pronte ad adattarsi rapidamente a nuove vulnerabilità e a rafforzare continuamente le proprie difese. Il rafforzamento della governance della sicurezza della catena di fornitura rimane un elemento centrale per proteggere le infrastrutture digitali globali.

L'articolo Supply Chain e Software Open Source: Le Nuove Linee Guida Della Cina per il 2024 proviene da il blog della sicurezza informatica.

[Corelatus] said recently that “someone” asked them to identify the phone signals in the 1982 film The Wall, based on the Pink Floyd song of the same name. We suspect that, like us, that someone might have been more just the hacker part of the brain asserting itself. Regardless, the detective work is fascinating, and you can learn a lot of gory details about phone network in-band signaling from the post.

The analysis is a bit more difficult because of the year the film was made. At that time, different countries used slightly different tone signaling standards. So after generating a spectrogram, the job was to match the tones with known standards to see which one best fit the data.

The signal was not common DTMF, as you might have guessed. Instead, it was a standard known as SS5. In addition to the tones being correct, the audio clip seemed to obey the SS5 protocol. SS5 was the technology attacked by the infamous blue box back when hacking often meant phone phreaking.

The same phone call appears on the album, and others have analyzed it with some even deeper detective work. For example, the call was made in 1979 from a recording studio by [James Guthrie], who called his own phone in the UK, where his next-door neighbor had instructions to hang up on the operator repeatedly.

If you want to see and hear the entire clip (which has several phone-related audio bits in it), watch the video below. The sequence of SS5 tones occurs at 3:13.

Usually, when we hear tones in music, we think of Morse code. As for phone phreaking, we hear it’s moved to street kiosks.

hackaday.com/2024/12/24/callin…

Nel mondo della cybersecurity, parliamo spesso di hacking e di pensiero laterale, due elementi che condividono una matrice comune: la creatività. Non si tratta solo di individuare vulnerabilità tecniche, ma di sviluppare un approccio innovativo e imprevedibile per risolvere problemi complessi. Comprendere come la mente umana genera idee può essere la chiave per costruire difese più solide contro le minacce in continua evoluzione.

I criminal hacker utilizzano il pensiero laterale ogni giorno per scovare scappatoie nei sistemi, sfruttare debolezze umane attraverso l’ingegneria sociale e sviluppare tecniche di attacco sempre più sofisticate. Di fronte a questo livello di ingegno malevolo, gli esperti di sicurezza non possono permettersi di pensare in modo lineare: devono rispondere con la stessa dose di creatività, trasformando ogni sfida in un’opportunità per anticipare le mosse degli avversari.

La creatività, dunque, non è solo una competenza desiderabile, ma un’arma indispensabile per affrontare il panorama digitale odierno. È il ponte che collega intuizione e strategia, permettendo ai professionisti della sicurezza di progettare difese innovative, migliorare la formazione dei team e affrontare i rischi con soluzioni fuori dagli schemi.

Creatività: il ponte tra mente e rete

La psicologia ha da sempre cercato di svelare i misteri della creatività, proponendo diverse teorie e modelli. Tra le più influenti troviamo:

• Il pensiero divergente: a differenza del pensiero convergente, che mira a trovare una sola soluzione corretta, il pensiero divergente esplora molteplici possibilità, generando idee originali e innovative.
• L’illuminazione o insight: è quel momento di improvvisa comprensione che spesso accompagna la risoluzione di un problema o la creazione di un’idea originale. È quel “click” mentale che ci fa esclamare “Eureka!” e ci permette di vedere una situazione sotto una nuova luce.
• Il modello di Graham Wallas: descrive il processo creativo ed è caratterizzato da 4 fasi: preparazione,incubazione, illuminazione e verifica. Tale modello ci ricorda che che la creatività non è un dono riservato a pochi eletti, ma un processo che può essere coltivato e sviluppato. Comprendendo le diverse fasi possiamo migliorare le nostre capacità di risolvere problemi, generare nuove idee e affrontare le sfide della vita con maggiore originalità.

Cosa hanno in comune la psicologia e la cybersecurity ?

• Il pensiero divergente: sia gli psicologi che studiano la creatività, sia gli esperti di cybersecurity, si interessano al pensiero divergente, ovvero la capacità di generare molteplici idee e soluzioni innovative. Gli attaccanti malevoli ed i professionisti della sicurezza utilizzano il pensiero laterale per affrontare problemi da prospettive inusuali.
• La curiosità: la spinta a esplorare nuove strade e a mettere in discussione le assunzioni preesistenti è fondamentale in entrambi i casi.
• La capacità di risolvere problemi: la capacità di analizzare una situazione complessa, identificare i punti deboli e trovare soluzioni efficaci è un’abilità chiave.
• L’intuizione: l’intuito, quel “click” mentale che porta a una soluzione improvvisa, è un elemento chiave sia nella scoperta psicologica che nella scoperta di vulnerabilità informatiche.
• L’adattamento: sia la mente umana che i sistemi informatici devono adattarsi continuamente a nuovi stimoli e minacce. La creatività è essenziale per sviluppare nuove strategie e difese.

Cosa le differenzia?

• Scopi: la creatività in psicologia è spesso orientata alla comprensione dell’individuo, alla risoluzione di problemi personali e alla promozione del benessere. Nella cybersecurity, invece, la creatività è focalizzata sulla protezione dei sistemi informatici, sulla prevenzione delle minacce, sullo sviluppo di soluzioni innovative e personalizzate. La creatività permette di superare i limiti delle soluzioni precostituite e di trovare approcci originali ai problemi. Nella cybersecurity la creatività è fondamentale per la progettazione di nuovi strumenti e tecniche di sicurezza informatica. Che si tratti di sviluppare algoritmi di crittografia più robusti, di creare sistemi di rilevamento delle intrusioni più sofisticati o di progettare interfacce utente più intuitive, la capacità di pensare fuori dagli schemi è essenziale.
• Strumenti: gli psicologi utilizzano strumenti come test psicologici, interviste e osservazioni per studiare la creatività. Gli esperti di cybersecurity, invece, utilizzano ad esempio strumenti tecnici come software di hacking etici, analisi del traffico di rete, intelligenza artificiale etc.
• Conseguenze: le conseguenze della creatività possono essere molto diverse. In psicologia, la creatività può portare a una maggiore consapevolezza di sé, a relazioni più soddisfacenti e a una vita più ricca. Nella cybersecurity, invece, la creatività può portare alla scoperta di nuove vulnerabilità, alla creazione di attacchi più sofisticati,alla progettazione di difese più robuste o di soluzioni più innovative e performanti.

Esempi concreti

• Psicologia: uno psicologo può utilizzare la creatività per sviluppare nuove terapie o per comprendere meglio i meccanismi alla base di disturbi mentali.
• Cybersecurity: un esperto di cybersecurity può utilizzare la creatività per progettare nuovi protocolli di sicurezza, individuare vulnerabilità in sistemi complessi o creare simulazioni di attacchi per testare le difese.

Le implicazioni

Comprendere i meccanismi cognitivi alla base della creatività, in ambito cybersecurity, può portare a sviluppare:

• Strumenti di difesa più efficaci: anticipando le mosse degli attaccanti malevoli e progettando sistemi di sicurezza più resilienti.
• Programmi di formazione più efficaci: sviluppando programmi di formazione che stimolino il pensiero critico e la capacità di risolvere problemi nei professionisti della sicurezza.
• Una maggiore consapevolezza dei rischi: comunicando in modo efficace i rischi informatici e promuovendo comportamenti più sicuri.

Il futuro è nelle mani della creatività

La creatività è una forza potente che unisce mondi apparentemente distanti. La creatività, come un filo invisibile, connette la psicologia e la cybersecurity. Entrambe le discipline, pur operando in ambiti diversi, condividono la necessità di pensare fuori dagli schemi per affrontare problemi complessi. Stimolando la creatività, possiamo non solo sviluppare nuove terapie psicologiche o proteggere i sistemi informatici in modo più efficace, ma anche costruire un futuro più sicuro e sostenibile per tutti.

In un mondo sempre più complesso e interconnesso, la capacità di pensare in modo originale e di trovare soluzioni innovative è più importante che mai. Oggi, più che mai, abbiamo bisogno di persone creative che sappiano sfruttare al meglio gli strumenti a loro disposizione per risolvere i problemi più urgenti del nostro tempo.

Incoraggiando la creatività, stiamo investendo nel futuro dell’umanità e costruendo un mondo migliore per le generazioni a venire.

La creatività è il carburante che alimenta il progresso e il motore che spinge l’umanità verso un futuro più luminoso.

Perché stimolare la creatività è così importante?

Stimolare la creatività in azienda, ad esempio, non è solo un modo per migliorare l’innovazione, ma anche per aumentare la soddisfazione dei dipendenti e rafforzare il senso di appartenenza all’azienda.

Quando le persone si sentono coinvolte in un processo creativo e vedono le proprie idee trasformarsi in realtà, sperimentano un forte senso di soddisfazione e realizzazione personale. Questo aumenta la motivazione e il coinvolgimento nel lavoro, riducendo il turnover e migliorando il clima aziendale.

• Rafforzamento del senso di appartenenza: coinvolgere i dipendenti in attività creative li fa sentire parte integrante dell’azienda e li rende più consapevoli del loro contributo al successo dell’organizzazione. Questo senso di appartenenza aumenta la lealtà e la fidelizzazione dei dipendenti.
• Risoluzione dei problemi: la creatività permette di affrontare i problemi da nuove prospettive, identificando soluzioni innovative e originali. Questo è particolarmente utile in contesti complessi e dinamici, dove le soluzioni tradizionali potrebbero non essere più efficaci.
• Differenziazione competitiva: le aziende che investono nella creatività si distinguono dai concorrenti, offrendo prodotti e servizi unici e innovativi. Questo permette di acquisire una maggiore quota di mercato e di fidelizzare i clienti.

Stimolare la creatività in azienda non è solo un “nice to have” ma un “must have” per le organizzazioni che vogliono rimanere competitive e attrarre i migliori talenti.

In conclusione

Stimolare la creatività non è solo un esercizio di stile, ma un investimento strategico con un ritorno misurabile. Dalle neuroscienze sappiamo che la creatività è un processo cognitivo complesso, ma anche profondamente umano.

Quando un’organizzazione crea un ambiente che nutre la curiosità, la sperimentazione e il pensiero divergente, sta investendo nel suo capitale intellettuale più prezioso: le persone!

E i risultati sono tangibili: maggiore innovazione, migliore problem solving, aumento della produttività e, soprattutto, un senso di appartenenza e di soddisfazione che va ben oltre i numeri.

La creatività non è solo un motore economico, ma un catalizzatore di crescita personale e collettiva.

È il carburante che alimenta il futuro delle organizzazioni e delle persone che ne fanno parte.

La creatività è l’arma segreta che ci permette di anticipare le mosse avversarie, di ideare nuove difese e di trasformare le minacce in opportunità.

In questo gioco, la mente umana è il nostro campo di battaglia più importante.

L'articolo Creatività e Pensiero Laterale nella Cybersecurity: L’Arma Segreta per Difendere il Futuro Digitale proviene da il blog della sicurezza informatica.

Attorno alle feste natalizie si sono accumulate usanze e tradizioni per oltre due millenni, alcune delle quali risalgono al periodo precedente alla festa cristiana vera e propria. Dallo scambio di regali alla sontuosa tavola imbandita per la cena di Natale, questo articolo di Mark Cartwright, tradotto da Federica Lomoro, traccia la storia dei festeggiamenti dall’antica Roma fino all’epoca vittoriana, quando la nostra versione moderna della festa si affermò, sia nelle usanze che nelle fonti letterarie.
👇
worldhistory.org/trans/it/2-18…

#natale2024
@Storia

Il Natale attraverso i secoli

Attorno alle feste natalizie si sono accumulate usanze e tradizioni per oltre due millenni, alcune delle quali risalgono al periodo precedente alla festa cristiana vera e propria. Dallo scambio di regali...

^{Mark Cartwright (https://www.worldhistory.org#organization)}

Un nuovo e preoccupante attacco informatico ha presumibilmente compromesso i dati personali di quasi 25.000 delegati delle Nazioni Unite, suscitando grande allarme sulla sicurezza delle informazioni sensibili a livello globale. La violazione dei dati è stata rivendicata dal famoso Threat Actor conosciuto con il nome di natohub, che ha rilasciato tre database distinti contenenti dettagli personali di numerosi delegati ONU.

Al momento, non possiamo confermare la veridicità della notizia, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo deve essere considerato come ‘fonte di intelligence’.

Dettagli della violazione

In un post su un noto forum del DarkWeb, natohub ha presumibilmente annunciato la pubblicazione di dati appartenenti a 24.529 delegati. Ogni database sembrerebbe contenere una diversa porzione di dati sensibili, che potrebbero riguardare membri di varie organizzazioni internazionali.

Il primo database presumibilmente include 11.000 delegati, con informazioni come nomi, cognomi, indirizzi email, ID, telefono e stato di attività.

Il secondo database, con dati di 9.734 delegati, sembra comprendere dettagli ancora più sensibili, come titoli, unità organizzative, numeri di telefono e indirizzi email.

Il terzo database, che riguarda 3.795 utenti, presumibilmente contiene informazioni come nomi, cognomi, affiliazioni, email, ID e altri dati sensibili.

Natohub, che è stato collegato a violazioni simili in passato, ha presumibilmente violato la sicurezza di importanti entità internazionali come la NATO e le Nazioni Unite. Tuttavia, la connessione tra l’autore dell’attacco e i precedenti incidenti rimane ancora da confermare, il che rende difficile valutare l’esatta portata della minaccia.

Le implicazioni di questa violazione

Se i dati fossero effettivamente autentici, la fuga di queste informazioni sarebbe devastante non solo per gli individui direttamente coinvolti, ma anche per l’integrità delle organizzazioni che rappresentano. L’esposizione di 25.000 delegati delle Nazioni Unite sarebbe l’ennesimo segnale di un fenomeno che sta presumibilmente erodendo la fiducia nelle istituzioni globali, mettendo a rischio informazioni sensibili di inestimabile valore.

Tuttavia, poiché l’autenticità di questi dati non è stata completamente verificata, è difficile valutare le reali implicazioni per le vittime coinvolte. Se confermato, l’uso di tali dati potrebbecondurre a crimini come il furto di identità, il ricatto o il sabotaggio informatico, ma al momento non ci sono prove concrete che indichino un abuso diretto.

La crescente minaccia

La domanda sorge spontanea: quale sarà la risposta della comunità internazionale in materia di cybersecurity? Sebbene l’attacco sembri essere stato orchestrato da un Cybercriminale sofisticato come natohub, la sua identità e le sue motivazioni rimangono presumibilmente oscure. Questo solleva interrogativi cruciali riguardo alla vulnerabilità dei sistemi internazionali e alla possibilità che altre organizzazioni possano essere vulnerabili allo stesso tipo di attacco.

La velocità e la complessità con cui questi attacchi vengono realizzati richiedono una risposta tempestiva e coordinata. Tuttavia, le azioni delle singole nazioni e delle istituzioni internazionali sono insufficienti senza un cambiamento radicale a livello di sicurezza aziendale.

È fondamentale che le organizzazioni adottino misure di protezione avanzate, tra cui:

1. Autenticazione forte (MFA) per prevenire accessi non autorizzati.
2. Crittografia dei dati sensibili per garantire che anche in caso di furto, i dati siano inutilizzabili.
3. Monitoraggio proattivo e continuo per individuare minacce prima che diventino dannose.
4. Formazione continua del personale per riconoscere le minacce emergenti e le tecniche utilizzate dai Threat Actor

Conclusione

Le organizzazioni internazionali non possono più permettersi di operare con politiche di sicurezza datate. La crescente sofisticazione dei Cybercriminali, come presumibilmente dimostrato dal caso di natohub, richiede una risposta rapida e ben coordinata a livello globale. Le istituzioni devono collaborare per migliorare la condivisione delle informazioni relative alle minacce, sviluppare tecnologie di difesa innovative e adottare standard di sicurezza internazionali che proteggano i dati sensibili.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo Natohub rivendica attacco all’ONU. 25.000 delegati delle Nazioni Unite presumibilmente compromessi proviene da il blog della sicurezza informatica.

Game Boys have a link cable that lets two of them play together. You know, to battle with a friend’s Pokemon and stuff like that. But who says that it should be limited to transmitting only what Big N wants you to?

[Chromalock] wrote a custom GB program that takes in data over the link cable, and displays it on the screen as video, as fast as it can be sent. Add in a microcontroller, a level shifter, and software on the big computer side, and you can hook up your Game Boy Color as a normal video device and send it anything you want, from a webcam to any program that outputs video.

Well, almost. The biggest limitation is the data link cable, of course. On the older Game Boys, the link cable is apparently only good for 8 kHz, while the Color models can pull a not-quite-blistering 512 kHz. Still, that’s enough for 60 fps in a low-res black and white mode, or a slow, screen-tearing high-res color experience. You pick your poison.

There are gotchas that have to do with the way the GB displays palettes that get left as “to-do” on the software side. There is room for improvement in hardware too. (GB Link looks like SPI to us, and we’d bet you can push the speeds even higher with clever GB-side code.) In short, this is an awesome demo that just invites further hacking.

If you want to know more about the Game Boy to get started, and maybe even if you don’t, you absolutely must watch The Ultimate Game Boy Talk. Trust us on this one.

youtube.com/embed/yPI6gURLLUs?…

hackaday.com/2024/12/23/watch-…

Ultimamente, per via di varie vicissitudini personali e per fare acquisti, ho riaperto il mio oramai defunto profilo Facebook. Chi mi segue da tempo sa benissimo quanto io sia critico dei social media tradizionali e delle loro meccaniche tossiche che ci inducono a diventarne dipendenti e ad odiarci a vicenda. Tuttavia, devo riconoscere che il formato di Facebook, per quanto riguarda la costruzione di reti sociali e il community building, rimanga comunque una delle migliori che abbia mai visto. il social è intuitivo e semplice da usare, ricco di funzionalità interessanti e relativamente personalizzabile nel feed.

Secondo me, come comunità FLOSS e da promotori del Fediverso, dovremmo cominciare a riconoscere ciò che c'è di buono nei social media tradizionali da un punto di vista puramente funzionale

Continuerò a preferire infinitamente di più il Fediverso in ogni sua sfaccettatura, ma potremmo dare uno sguardo per cercare di comprendere cosa porti le persone a snobbarci e per generare più attrattiva verso la nostra causa

L'ufficiale dell'esercito francese Alfred Dreyfus viene condannato all'ergastolo per tradimento, sulla base di prove fragili e fondato sospetto di antisemitismo, scatenando così una controversia che dividerà la Francia per 12 anni.

@Storia
#otd