Everyone likes something cheap, and when that cheap thing is a router that’s supported by OpenWRT, it sounds like a win. [Hennung Paul] ordered a Wavlink WL-WN586X3 for the princely sum of 39 Euros, but was disappointed to find his device a rev. 2 board rather than the rev.1 board supported by the Linux distribution. Toss it on the failed projects pile and move on? Not at all, he hacked together a working OpenWRT for the device.

It’s fair to say that a majority of Hackaday readers will have familiarity with Linux, but that’s something which runs on a sliding scale from “Uses Ubuntu a bit” all the way to “Is at one with the kernel”. We’d rate ourselves somewhere around halfway along that scale in terms of having an in-depth knowledge of userland and a working knowledge of some of the internals which make the operating system tick even if we’re apprehensive about tinkering at that level. [Henning] has no such limitations, and proceeds to take the manufacturer’s distribution, itself a heavily modified OpenWRT, and make it his own. Booting over tFTP we’re used to, and we’re particularly impressed to see him using a Raspberry Pi as a surrogate host for the desoldered Flash chip over SPI.

It’s a long path he takes to get the thing working and we’re not sure we could follow it all, but we hope that the result will be a new device added to OpenWRT’s already extensive support list. It’s sometimes a shock to find this distro is now over two decades old.

hackaday.com/2024/12/26/openwr…

Sono state scoperte più di una dozzina di vulnerabilità, comprese quelle critiche, in due plugin WordPress necessari per il tema premium WPLMS, che conta oltre 28.000 vendite.

I bug consentono a un utente malintenzionato remoto non autenticato di caricare file arbitrari sul server, eseguire codice arbitrario, aumentare i privilegi al livello di amministratore ed eseguire iniezioni SQL.

WPLMS è un sistema LMS WordPress utilizzato principalmente da istituti scolastici, società di formazione e così via. Il tema offre anche l’integrazione di WooCommerce per la vendita di corsi.

In totale, gli esperti di Patchstack hanno scoperto 18 problemi nei plugin WPLMS e VibeBP e in un recente rapporto hanno evidenziato i 10 più pericolosi.

Le seguenti vulnerabilità interessano WPLMS:

• CVE-2024-56046 (punteggio CVSS 10): consente agli aggressori di caricare file dannosi senza autenticazione, portando potenzialmente all’esecuzione di codice in modalità remota (RCE);
• CVE-2024-56050 (punteggio CVSS 9,9): gli utenti autenticati con privilegi di abbonato possono caricare file ignorando le restrizioni.
• CVE-2024-56052 (punteggio CVSS 9.9): simile alla vulnerabilità precedente, ma può essere sfruttata anche dagli utenti con il ruolo studente;
• CVE-2024-56043 (punteggio CVSS 9,8): gli aggressori possono accedere senza autenticazione in qualsiasi ruolo, incluso quello di amministratore;
• CVE-2024-56048 (punteggio CVSS 8,8): gli utenti con privilegi limitati possono aumentare i propri privilegi a privilegi più elevati sfruttando i problemi di convalida del ruolo;
• CVE-2024-56042 (punteggio CVSS 9,3): gli aggressori possono utilizzare query SQL dannose per estrarre dati sensibili e compromettere il database;
• CVE-2024-56047 (punteggio CVSS 8.5): gli utenti con privilegi limitati possono eseguire query SQL, compromettendo potenzialmente l’integrità o la riservatezza dei dati.

I seguenti problemi rappresentano una minaccia per VibeBP:

• CVE-2024-56040 (punteggio CVSS 9,8): gli aggressori possono accedere come utenti privilegiati senza autenticazione;
• CVE-2024-56039 (punteggio CVSS 9,3): gli utenti non autenticati possono eseguire SQL injection sfruttando la sanificazione impropria dei dati in entrata.
• CVE-2024-56041 (punteggio CVSS 8.5): gli utenti autenticati con privilegi minimi possono eseguire SQL injection per compromettere ed estrarre informazioni da un database.

Si consiglia ora agli utenti WPLMS di eseguire l’aggiornamento alla versione 1.9.9.5.3 e VibeBP alla versione 1.9.9.7.7 o successiva il prima possibile.

Nel loro rapporto gli esperti sottolineano di aver scoperto le vulnerabilità già nella primavera di quest’anno e di averne informate il 31 marzo la società Vibe Themese dietro allo sviluppo di WPLMS. Tuttavia, il rilascio delle correzioni ha richiesto molto tempo, poiché da aprile a novembre il produttore ha testato diverse patch fino a quando tutti i bug non sono stati risolti.

L'articolo 18 Vulnerabilità critiche scoperte in WPLMS e VibeBP: un rischio per oltre 28.000 siti WordPress! proviene da il blog della sicurezza informatica.

l cittadino ucraino Mark Sokolovsky è stato condannato da un tribunale americano a cinque anni di prigione per aver partecipato a un’operazione di criminalità informatica legata al malware Raccoon Stealer.

Come risulta dagli atti del caso, Sokolovsky, noto anche con gli pseudonimi di Photix e black21jack77777, insieme ai suoi complici, ha affittato malware ad altri criminali informatici secondo il modello “Malware as a Service” (MaaS). L’affitto era di 75 dollari a settimana o 200 dollari al mese.

Raccoon Stealer è stato utilizzato per rubare dati sensibili da dispositivi infetti. Il programma ha rubato credenziali, portafogli di criptovaluta, dati di carte di credito, e-mail e altre informazioni da decine di applicazioni.

Nel marzo 2022, Sokolovsky è stato arrestato nei Paesi Bassi. Nello stesso periodo, l’FBI, insieme alle forze dell’ordine nei Paesi Bassi e in Italia, ha smantellato l’infrastruttura di Raccoon Stealer, cessandone temporaneamente le operazioni.

In seguito all’arresto dello sviluppatore, il gruppo criminale Raccoon Stealer ha annunciato la sospensione del suo lavoro, citando, in particolare, la morte di uno degli sviluppatori chiave durante gli eventi in Ucraina. Tuttavia, il malware ha ripreso più volte la sua attività, aggiungendo nuove funzionalità per rubare dati.

A febbraio 2024, Sokolovsky è stato estradato negli Stati Uniti, dove è stato accusato di frode, riciclaggio di denaro e furto d’identità. In precedenza aveva ammesso la sua colpevolezza e aveva accettato di pagare un risarcimento per un importo di almeno 910.844 dollari.

Secondo l’FBI, il malware collegato a Sokolovsky ha compromesso più di 52 milioni di account che sono stati utilizzati per ulteriori frodi, furti di identità e attacchi ransomware.

Dopo aver disattivato l’infrastruttura Raccoon Stealer nel 2022, l’FBI ha creato un sito Web in cui gli utenti potevano verificare se le loro informazioni erano state rubate da questo malware.

La storia di Raccoon Stealer dimostra come il crimine informatico possa lasciare una scia di distruzione diffusa non solo nello spazio digitale, ma anche nella vita delle persone reali. La condanna di Mark Sokolovsky non segna solo la fine delle sue attività di criminalità informatica, ma anche un segnale che la cooperazione internazionale nella lotta contro le minacce informatiche sta diventando sempre più efficace.

Tuttavia, la recrudescenza del malware dimostra che tali minacce non stanno scomparendo, ma stanno solo cambiando, richiedendo al mondo di essere ancora più vigili.

L'articolo Raccoon Stealer: La Fine di un’Operazione Criminale Digitale? proviene da il blog della sicurezza informatica.

In this era of cheap turn-key machines, the idea of actually building your own desktop 3D printer might seem odd to some. But if you’re looking for a challenge, and want to end up with a printer that legitimately sets itself apart from what they’re stocking on Amazon these days, then take a look at the Lemontron.

We’ve been keeping tabs on the development of this open source 3D printer for some time now, and just before Christmas, the files finally were released for anyone who wants to try putting one together themselves. There’s currently no formal kit available, but once you’ve printed out all the parts, there’s a very nice Bill of Materials you can find on the website which will tell you everything you need to complete the assembly — and critically — where you can get it.

The hotend and heated bed come from KB-3D, while the bulk of the rest of the components are sourced from AliExpress with a bit of DigiKey sprinkled in. There’s also a custom PCB you’ll want to pick up from your favorite board house. All told, building the Lemontron should cost you somewhat north of $400 USD. Of course, that assumes your time is free. But since you’re reading this on Hackaday, that probably a safe bet.

You can check out the video below for an expedited look at assembling the printer. It’s not a step-by-step guide exactly, but it should give you a good idea of what to expect before you commit to building the thing. It also provides a look at the design philosiphy behind the Lemontron, which largely eschews custom components and relies on off-the-shelf bits to tie all the printed parts together.

If you’re wondering were these upside-down 3D printers came from, the Lemontron is ultimately evolved from the Positron that we first covered back in 2021.

youtube.com/embed/n6l3GvkE4QU?…

hackaday.com/2024/12/26/open-s…

Il negozio online ufficiale dell’Agenzia spaziale europea (ESA) è stato violato. Nel sito è stato inserito del codice JavaScript, creando una falsa pagina di pagamento dell’ordine tramite Stripe.

Secondo i ricercatori di Sansec, lo script dannoso è apparso sul sito all’inizio di questa settimana. Raccoglieva le informazioni sui clienti, compresi i dettagli della carta di pagamento, forniti dagli utenti nella fase finale dell’acquisto.

Sansec ha informato i funzionari dell’ESA che il negozio era compromesso e poteva rappresentare una minaccia per i dipendenti dell’agenzia perché era integrato con i sistemi ESA. Il negozio attraverso il quale viene venduta la merce dell’ESA non è attualmente disponibile e si dice che sia “temporaneamente uscito dall’orbita” per aggiornamenti.

I ricercatori hanno notato che il dominio attraverso il quale sono trapelate le informazioni aveva lo stesso nome del negozio legittimo, ma si trovava in una zona di dominio diversa.

Pertanto, il negozio ufficiale dell’ESA si trova su esaspaceshop.com e gli hacker hanno utilizzato lo stesso nome nella zona .pics (esaspaceshop[.]pics).

Lo script degli aggressori conteneva codice HTML offuscato proveniente dall’SDK di Stripe, che caricava una pagina di pagamento falsa quando i clienti tentavano di completare un acquisto. Allo stesso tempo, la pagina falsa non sembrava affatto sospetta.

Come notato da Bleeping Computer, i rappresentanti dell’ESA hanno affermato che il negozio non è ospitato sull’infrastruttura dell’organizzazione, l’ESA non gestisce i dati in esso contenuti e non possiede la risorsa.

L'articolo ESA Space Shop “fuori orbita”: attacco hacker compromette i pagamenti online proviene da il blog della sicurezza informatica.

Da quando una persona ha usato per errore il mio indirizzo @gmail per iscriversi a #Duolingo, ricevo decine di email che dovrebbero essere "motivanti" per non mollare il corso di lingue e riprendere le lezioni. Evidentemente Duolingo permette di usare il servizio senza prima validare l'indirizzo email, che è già un problema non da poco.

Ancora peggio, non riesco a spegnere queste email automatizzate perché quando clicco su "Unsubscribe" mi porta su una finestra dove vengo informato che non esiste un account legato al mio indirizzo email.

Ma il capolavoro è accaduto oggi, Natale 2024: ho ricevuto l'ennesima email motivazionale da Duolingo con
Oggetto: Duo sa leggere tra le righe
Testo: I promemoria insistenti di Duo non sembrano funzionare. Non te ne invierà più... per ora.

Infastidito, provo nuovamente a cliccare su Unsubscribe, dove scopro che il tono passivo/aggressivo era una precisa scelta di #marketing. Mah!

Carissimi iscritti,

prima di passare ai due contenuti informativi CHE VI CONSIGLIAMO DI LEGGERE CON MOLTA ATTENZIONE, vorremmo approfittare del nostro canale di comunicazione per augurare a tutti voi buone feste, in particolare vi auguriamo di trascorrere un Natale rilassante e riflessivo in attesa di un 2025 ricco di soddisfazioni personali e soprattutto ricco di relazioni interpersonali!

Per quello che ci compete, noi amministratori siamo molto contenti: Poliverso è infatti diventata stabilmente l'istanza Friendica con il maggior numero di utenti attivi e noi cercheremo di fare il possibile per rendere vivibile e soddisfacente questo angolo di web e vi chiediamo di diffondere tra i vostri parenti, amici, scopamici (beh, perché no...), ammiratori e conoscenti la notizia dell'esistenza dei nostri tre progetti, tutti integrati grazie al Fediverso:

1) Poliverso.org, per chi vuole vivere il web sociale al massimo delle potenzialità
2) Poliversity.it, per chi ama Mastodon, ma non vuole rinunciare alla possibilità di scrivere post lunghi e formattati
3) Feddit.it, per chi al social network preferisce i contenuti tematici

E se volete farci un regalo per Natale o per la Befana, potete sempre dare un'occhiata alla nostra pagina di supporto su Liberapay it.liberapay.com/poliverso/ o alla pagina dei menu di Ko-Fi ko-fi.com/poliverso

Veniamo quindi alle informazioni:

Formattazione post con titolo leggibili da Mastodon

Come saprete, con Friendica possiamo scegliere di scrivere post con il titolo (come su WordPress) e post senza titolo (come su Mastodon). Uno dei problemi più fastidiosi per chi desidera scrivere post con il titolo è il fatto che gli utenti Mastodon leggeranno il vostro post come se fosse costituito dal solo titolo e, due a capi più in basso, dal link al post originale: questo non è di certo il modo miglior per rendere leggibili e interessanti i vostri post!
Con le ultime release di Friendica abbiamo però la possibilità di modificar un'impostazione per rendere perfettamente leggibili anche i post con il titolo. Ecco come fare:

A) dal proprio account bisogna andare alla pagina delle impostazioni e, da lì, alla voce "Social Network" al link poliverso.org/settings/connect…
B) Selezionando la prima sezione "Impostazione media sociali" e scorrendo in basso si può trovare la voce "Article Mode", con un menu a cascata
C) Delle tre voci disponibili bisogna scegliere "Embed the title in the body"

Ecco, ora i nostri post saranno completamente leggibili da Mastodon!

Le novità di Raccoon For Friendica

Raccoon for Friendica sta migliorando a vista d'occhio. Dalle anteprime dei video, al miglioramento della composizione dei messaggi con immagini, fino ad alcuni aggiornamenti alla stessa architettura dell'app, la maturazione di Raccoon for Friendica è quasi conclusa.
Ci sono ancora alcuni aspetti che verranno risolti nella release di fine anno, come la modifica dei messaggi pubblicati, o novità molto interessanti dal punto di vista della visualizzazione, ma oggi Raccoon copre tutte le esigenze dell'utente Friendica, escluse le impostazioni avanzate dell'account che è opportuno gestire sempre dal browser.
Raccoon for Friendica può essere utilizzata anche dagli utenti Mastodon; anzi, al momento è l'unica app per Mastodon che consenta agli utenti di navigare facilmente tra i gruppi Activitypub (comunità Lemmy, gruppi Friendica, gruppi gup.pe o magazine Mbin), che sono oggettivamente difficili da apprezzare per gli utenti Mastodon, qualsiasi sia l'app che utilizzano.
Infine Raccoon for Friendica è l'unica app che consenta agli utenti Mastodon Glitch-soc (come Poliversity.it) di scrivere messaggi formattati sfruttando una barra di formattazione molto intuitiva!

Come installare Raccoon for Friendica?

Se avete F-droid, potete farlo direttamente da lì

Se volete scaricare proprio l'ultima versione, potete cercare il file .apk a questo link

Se invece volete complimentarvi con lo sviluppatore, potete trovarlo qui:

Una nuova istanza italiana Lemmy

Chiaramente feddit.it è la più bellissima meravigliosissima istanza Lemmy del mondo, ma da questa settimana non sarà più l'unica a parlare Italiano. Nasce infatti l'istanza diggita, un progetto per portare su Lemmy la comunità di diggita, uno dei più longevi aggregatori di notizie e commenti

Qui l'elenco delle comunità diggita attive finora

================

E con queste tre notizie abbiamo finito l'ultimo bollettino dell'anno.

Ancora tanti auguri di Buon Natale e a presto!

Gli amministratori

diggita - istanza lemmy

2024-12-19 12:11:32

Diggita è una nuova istanza italiana del #fediverso! 🥳

Il lavoro di lancio è terminato, è ora possibile iscriversi: diggita.com oppure seguire i gruppi tematici dal proprio account #mastodon:

▶️ @spettacoli

▶️ @internet

▶️ @fediverso

▶️ @tecnologia

▶️ @linux

▶️ @cultura

▶️ @salute

▶️ @diggita@diggita.com

▶️ @economia

▶️ @attualita

▶️ @societa

▶️ @video

▶️ @computer

▶️ @sport

▶️ @opensource

▶️ @astronomia

▶️ @sicurezza

▶️ @scienze

▶️ @ambiente

▶️ @calcio

▶️ @giochi

▶️ @foto

▶️ @formula1

Prima dell'inizio delle ostilità culinarie della vigilia. Ecco, se c'è un momento giusto per un tè verde, è questo.
Aromatizzato alle rose, tè verde alle rose, oggi berrò questo, ma ne approfitto per spiegare due o tre cosette banali e semplici;
1) La quantità di tè è di un cucchiaino RASO per ogni tazza, Raso e scarso...
2) La temperatura dell'acqua è FONDAMENTALE, per i tè verdi deve compresa tra 60° e 80°, cioè la temperatura limite è quando cominciano a salire le prime bollicini piccole piccole.
3) Versate l'acqua sulle foglioline, lasciando la teiera, o il recipiente che avrete scelto i usare, aperto, assolutamente senza coperchio. I tè verdi non si devono cuocere, altrimenti perderanno quel meraviglioso sapore fresco!

Enjoy! ;)

#te #cha #teverde #teallerose

Attorno alle feste natalizie si sono accumulate usanze e tradizioni per oltre due millenni, alcune delle quali risalgono al periodo precedente alla festa cristiana vera e propria. Dallo scambio di regali alla sontuosa tavola imbandita per la cena di Natale, questo articolo di Mark Cartwright, tradotto da Federica Lomoro, traccia la storia dei festeggiamenti dall’antica Roma fino all’epoca vittoriana, quando la nostra versione moderna della festa si affermò, sia nelle usanze che nelle fonti letterarie.
👇
worldhistory.org/trans/it/2-18…

#natale2024
@Storia

Il Natale attraverso i secoli

Attorno alle feste natalizie si sono accumulate usanze e tradizioni per oltre due millenni, alcune delle quali risalgono al periodo precedente alla festa cristiana vera e propria. Dallo scambio di regali...

^{Mark Cartwright (https://www.worldhistory.org#organization)}