It was probably a reasonable assumption that the “Tiny” in our recently concluded Tiny Games Contest mostly referred to the physical footprint of the game. And indeed, that’s the way most of the entries broke, which resulted in some pretty amazing efforts. [Anders Nielsen], however, took the challenge another way and managed to stuff a seagull-centric side-scroller into just 500 bytes of code.

That’s not to say that the size of [Anders]’s game is physically huge either. Flappy Larus, as he calls his game, runs on his popular 65uino platform, a 6502 microcontroller in the familiar Arduino Uno form factor. So it’s pretty small to begin with, and doesn’t even need any additional components other than the tiny OLED screen which has become more or less standard for the 65uino at this point. The only real add-on is a piezo speaker module, which when hooked up to the I2C data line happens to make reasonable approximations of a squawking seagull, all without adding a single byte of code. Check out a little game play in the video below.

Flappy Larus may be pretty simplistic, but as we recall, the game it’s based on was similarly minimalist and still managed to get people hooked. The 2024 Tiny Games contest is closed now, but if you’ve got an idea for a tiny game, we’d still love to feature it. Hit the tip line and we’ll take a look!

youtube.com/embed/sEMyvBlTlcw?…

hackaday.com/2024/09/12/2024-t…

I sette pezzi del disco riflettono l'immagine sonora di un gruppo che ha raggiunto un livello compositivo molto alto, la perfetta fusione di luce e tenebre, di vita e morte, di cosmo e terra, contrari che si girano su loro stessi.

@Musica Agorà

iyezine.com/jordaan-season-of-…

Jordaan - Season of redemption

Jordaan - Season of redemption - Jordaan - Season of redemption: I sette pezzi del disco riflettono l'immagine sonora di un gruppo che ha raggiunto un livello compositivo molto alto. - Jordaan

^{Massimo Argo (In Your Eyes ezine)}

Gli analisti di Trend Micro hanno riferito della scoperta di un gruppo di hacker precedentemente sconosciuto chiamato Tidrone. Gli aggressori stanno prendendo di mira l’industria militare e satellitare di Taiwan, principalmente i produttori di droni.

Il gruppo, ritenuto legato alla Cina, mira principalmente allo spionaggio e si concentra quindi sulle catene industriali legate all’industria militare, dicono i ricercatori.

Non è ancora chiaro come esattamente Tidrone penetri nelle reti delle sue vittime, ovvero non è noto il vettore di accesso iniziale. Ma l’analisi ha mostrato che dopo la compromissione iniziale, gli hacker distribuiscono malware personalizzati CXCLNT e CLNTEND sui sistemi delle vittime, utilizzando strumenti desktop remoti come UltraVNC.

L’attacco successivo comprende altre tre fasi che mirano ad aumentare i privilegi aggirando il controllo dell’account utente (UAC), rubando le credenziali e aggirando la protezione disabilitando i prodotti antivirus installati sugli host.

I ricercatori hanno anche notato che molte delle vittime del gruppo di hacker condividono lo stesso software ERP (Enterprise Resource Planning), suggerendo che si tratti probabilmente di un attacco alla catena di fornitura.

Entrambe le backdoor sopra menzionate vengono lanciate tramite sideloading DLL tramite Microsoft Word e consentono agli aggressori di raccogliere un’ampia gamma di informazioni sensibili.

CXCLNT è dotato di funzionalità di base per caricare e scaricare file, funzioni per ripulire le tracce, raccogliere informazioni sulle vittime (elenchi di file, nomi di computer, ecc.), nonché caricare file PE e DLL per le fasi successive dell’attacco.

Individuato per la prima volta nell’aprile 2024, CLNTEND è un RATche supporta un’ampia gamma di protocolli di rete per la comunicazione, inclusi TCP, HTTP, HTTPS, TLS e SMB (porta 445).

Poco dopo Trend Micro, i ricercatori Acronis hanno pubblicato il proprio rapporto su questa attività dannosa. In questo caso, la campagna viene monitorata con il nome di Operazione WordDrone e i ricercatori scrivono che gli attacchi sono stati osservati tra aprile e luglio 2024.

Secondo Acronis, gli attacchi di questo gruppo sono caratterizzati dall’utilizzo della tecnica di attacco Blindside per eludere il rilevamento prima di implementare CLNTEND (noto anche come ClientEndPoint).

“A Taiwan ci sono circa una dozzina di aziende coinvolte nella produzione di droni, spesso per gli OEM, e anche di più se si considera la loro industria aerospaziale globale. Il Paese è sempre stato un alleato degli Stati Uniti e questo, combinato con la forte base tecnologica di Taiwan, lo rende un obiettivo importante per gli aggressori interessati allo spionaggio militare o agli attacchi alla catena di approvvigionamento”, ha affermato Acronis.

L'articolo Hacker Cinesi Attaccano l’Industria dei Droni di Taiwan: Spionaggio industriale via Supply-Chain proviene da il blog della sicurezza informatica.

Il trio di Düsseldorf (composto dal frontman e chitarrista Christian "Doctor" Koch, coadiuvato da Dario Treese al basso e tastiere e Frank Matenaar alla batteria) non lascia nulla al caso, curando ogni release con particolari artwork che si richiamano all'iconografia della cultura psichedelica/hippie e rievocano i manifesti-poster dei concerti acid/blues/psych/space rock dei Sixties (anche dando vita a festival pysch)....

@Musica Agorà

iyezine.com/vibravoid-we-canno…

VIBRAVOID - WE CANNOT AWAKE

VIBRAVOID - WE CANNOT AWAKE - Bene (si fa per dire) dopo questo pippone introduttivo, converrete sul fatto che in quel tipo di contesto "musicale", tossico per l'udito e nocivo per l'anima, sicuramente non ascolterete mai i Vibravoid, prolifica band …

^{Reverend Shit-Man (In Your Eyes ezine)}

Ventottesimo (!!!) album per gli OSEES, la creatura multiforme - con varie declinazioni nel moniker - guidata del prolifico talento di John Dwyer, da sempre anima del progetto e frontman polistrumentista dotato di una creatività artistica preossoché inesauribile.

@Musica Agorà

iyezine.com/osees-sorcs-80

OSEES - SORCS 80

OSEES - SORCS 80 - Ventottesimo (!!!) album per gli OSEES, la creatura multiforme - con varie declinazioni nel moniker - guidata del prolifico talento di John Dwyer, da sempre anima del progetto e frontman polistrumentista dotato di una creatività ar…

^{Reverend Shit-Man (In Your Eyes ezine)}

Gli Haji mi mandano il loro disco chiedendomi di essere estremamente sincero nel parlarne, la frase esatta è "di', se lo pensi, che è una cagata pazzesca".

@Musica Agorà

iyezine.com/haji-lexotan-sailo…

Haji - Lexotan Sailors 

Haji - Lexotan Sailors  - Quindi carissimi Haji il vostro disco non è affatto una cagata pazzesca, vi conosco e so quanto siate bravi e motivati, è anzi pregno di energia e di attitudine, distorsioni in libertà e drammaticità in abbondanza. - Haji

^{Il Santo (In Your Eyes ezine)}

A partire dal 1° ottobre 2024, WordPress introdurrà un nuovo requisito per gli account con accesso agli aggiornamenti di plugin e temi per abilitare l’autenticazione a due fattori (2FA). La mossa mira a migliorare la sicurezza e prevenire l’accesso non autorizzato.

Secondo WordPress, tali account hanno la capacità di apportare modifiche a plugin e temi utilizzati da milioni di siti in tutto il mondo, quindi proteggerli è una priorità per mantenere la sicurezza e la fiducia della comunità.

Oltre alla 2FA obbligatoria, WordPress.org ha introdotto una nuova funzionalità: le password SVN. Si tratta di password separate per apportare modifiche al codice che consentono di separare l’accesso ai repository dalle credenziali utente di base. In sostanza, si tratta di un ulteriore livello di sicurezza che riduce il rischio di fuga della password principale e consente di revocare facilmente l’accesso a SVN senza modificare le proprie credenziali.

Limitazioni tecniche hanno impedito l’implementazione della 2FA per i repository dei codici esistenti, quindi si è deciso di utilizzare una combinazione di autenticazione a due fattori a livello di account, password SVN ad alta resistenza e altre misure di sicurezza, inclusa la conferma del rilascio.

Queste misure mirano a prevenire attacchi in cui gli aggressori possono accedere all’account di uno sviluppatore ed inserire codice dannoso in plugin e temi, che potrebbero portare ad attacchi alla catena di fornitura su larga scala.

Il rischio principale che può sorgere con l’introduzione dell’autenticazione obbligatoria a due fattori è il possibile disagio per gli sviluppatori. Alcuni utenti potrebbero avere difficoltà a configurare la 2FA, il che potrebbe rallentarli o fargli perdere temporaneamente l’accesso ai propri account. Inoltre, l’implementazione del nuovo sistema di password SVN richiede un adattamento, che potrebbe sollevare ulteriori domande per gli sviluppatori abituati ai metodi di autenticazione standard.

Tuttavia, a lungo termine, queste misure dovrebbero migliorare significativamente la sicurezza complessiva dell’ecosistema WordPress. Infatti, le conseguenze negative potrebbero essere legate solo a inconvenienti temporanei, mentre i benefici derivanti da una maggiore sicurezza degli account e dalla prevenzione di attacchi alla catena di fornitura di plugin e temi sono evidenti.

L’annuncio arriva tra i recenti avvertimenti di Sucuri sulla campagna malware ClearFake in corso che prende di mira i siti WordPress. Gli aggressori distribuiscono il famoso infostealer RedLine, costringendo gli utenti ad avviare manualmente PowerShell per “risolvere i problemi” con la visualizzazione della pagina. Inoltre, i criminali informatici utilizzano siti PrestaShop infetti per rubare i dati delle carte di credito nelle pagine di pagamento.

Come ha osservato Ben Martin, ricercatore di Sucuri, software obsoleti e password di amministratore deboli sono spesso bersagli di attacchi. Per ridurre i rischi, si consiglia di aggiornare regolarmente plugin e temi, utilizzare firewall per applicazioni Web (WAF), controllare gli account amministratore e monitorare le modifiche ai file del sito.

L'articolo Supply Chain al Centro per WordPress! Introdotta la 2FA per gli Sviluppatori dei Plugin proviene da il blog della sicurezza informatica.

I ricercatori di Sekoia hanno segnalato l’evoluzione della botnet Quad7, che ha iniziato ad attaccare nuovi dispositivi, tra cui i media server Axentra, i router wireless Ruckus e i dispositivi VPN Zyxel. Gli aggressori sfruttano attivamente le vulnerabilità nei dispositivi SOHO e VPN come TP-Link, Zyxel, Asus, D-Link e Netgear per hackerarli e aggiungerli alla rete botnet.

Secondo gli esperti, la botnet Quad7 viene utilizzata per effettuare attacchi di forza bruta distribuiti su account VPN, Telnet, SSH e Microsoft 365. Un recente rapporto Sekoia ha rivelato anche la presenza di nuovi server che gestiscono la botnet e nuovi bersagli tra i dispositivi di rete.

Gli operatori di botnet hanno identificato cinque gruppi separati di dispositivi (alogin, xlogin, axlogin, rlogin e zylogin), ciascuno dei quali attacca tipi specifici di apparecchiature. Ad esempio, alogin prende di mira i router Asus mentre rlogin attacca i dispositivi Ruckus Wireless. Mentre i gruppi alogin e xlogin colpivano migliaia di dispositivi, rlogin colpiva solo 213 dispositivi, risultando così più piccolo ma comunque pericoloso. Altri gruppi, come axlogin e zylogin, si concentrano su Axentra NAS e Zyxel VPN.

Una caratteristica distintiva di Quad7 è l’utilizzo di router TP-Link dirottati, che gli aggressori utilizzano per attaccare Microsoft 365. Questi dispositivi sono aperti all’amministrazione remota e alle connessioni proxy, il che facilita l’esecuzione degli attacchi.

I ricercatori hanno anche scoperto una nuova backdoor, chiamata UPDTAE a causa di un errore di battitura nel codice. Consente il controllo remoto dei dispositivi infetti tramite connessioni HTTP, offrendo agli aggressori il controllo completo sull’apparecchiatura.

Negli ultimi mesi, gli operatori Quad7 hanno migliorato le loro tattiche di gestione delle botnet, passando a metodi più segreti di trasmissione dei dati. Invece di utilizzare proxy SOCKS aperti, hanno iniziato a utilizzare il protocollo KCP, che fornisce comunicazioni più veloci su UDP, sebbene richieda una maggiore larghezza di banda. Il nuovo strumento FsyNet ti consente di nascondere il traffico e renderlo difficile da rilevare.

Gli esperti sottolineano che la botnet Quad7 si sta adattando attivamente alle nuove condizioni. Errori del passato, come codice scritto male e l’uso di proxy aperti, lo hanno reso vulnerabile al rilevamento. Tuttavia, gli operatori delle botnet stanno ora imparando dai propri errori, migliorando le tecniche di mimetizzazione ed evitando il rilevamento.

L'articolo L’Evoluzione della Botnet Quad7: Nuove Minacce per Router e Dispositivi VPN proviene da il blog della sicurezza informatica.

The e-paper “dashboard” is something we’ve seen plenty of times here at Hackaday. Use it to show your daily schedule, the news, weather, maybe the latest posts from your favorite hardware hacking website. Any information source that doesn’t need to be updated more than every hour or so is a perfect candidate. All you’ve got to do is write the necessary code to pull down said data and turn it into a visually attractive display.

Well, that last part isn’t always so easy. There are plenty of folks who have no problem cobbling together a Raspberry Pi and one of the commercially available e-paper modules, but writing the software to turn it into a useful information center is another story entirely. Luckily, Inkycal is here to help.

This open source project uses Python to pull information from a wide variety of sources and turns it into an e-paper friendly dashboard. It works with Waveshare displays ranging from 4.2 inches all the way up to the massive 12 inch tricolor panels. While it could theoretically be deployed on any operating system running a modern version of Python, it’s primarily developed to be run under Linux and on the Raspberry Pi. All of the versions of the Pi are supported, so no need to spring for the latest and greatest model. In fact, the notoriously pokey Raspberry Pi Zero is their recommended platform thanks to its low power consumption.

With Inkycal on the Pi — they even provide a pre-configured SD card image — and the e-paper display hooked up, all you need to do is pick which sources you want to use from the web-based configuration page. Look ma, no code!

Not feeling like putting the hardware together either? Well, we might wonder how you’ve found yourself on Hackaday if that’s the case. But if you really would rather buy then build, you can get a pre-built Inkcal display right now on Tindie.

hackaday.com/2024/09/12/inkyca…

Diventare un white hat hacker è il sogno di molti. Ma come superare un colloquio e dimostrare la propria professionalità? Ecco a voi 15 domande che ti aiuteranno a prepararti efficacemente per superare con successo un colloquio di assunzione per una posizione di penetration tester.

1. Cos’è il test di penetrazione e in cosa differisce dalla scansione delle vulnerabilità?

Il penetration test (pentest) è un tentativo ordinato, mirato e autorizzato di attaccare un’infrastruttura IT per testarne la sicurezza. Si differenzia dalla scansione delle vulnerabilità in quanto un pentest implica il tentativo attivo di sfruttare le vulnerabilità rilevate, mentre la scansione delle vulnerabilità è il processo automatizzato di scoperta delle stesse, solitamente per scopi di conformità normativa. Il penetration test permette di concatenare delle vulnerabilità per creare un “vettore di attacco” capace di compromettere un sistema dal punto di vista della Riservatezza, Integrità e Disponibilità (RID).

2. Qual è la differenza tra analisi del rischio e test di penetrazione?

L’analisi del rischio è il processo di identificazione delle potenziali minacce e vulnerabilità che influiscono sulla sicurezza di un sistema. Il penetration test è un tentativo reale ma controllato di sfruttare le vulnerabilità per testare la funzionalità delle attuali misure di sicurezza.

3. Descrivi le fasi di un penetration test

Le fasi di un pentest possono variare a seconda dell’azienda o del professionista che le esegue, ma generalmente seguono la seguente sequenza:

Preparazione al test : durante questa fase vengono discussi i dettagli e le aspettative del test. Questo processo può sembrare noioso, ma è molto importante per stabilire obiettivi chiari e regole di impegno tra committente e penetration tester. Vengono discussi i tempi del test, gli obiettivi e ciò che è accettabile svolgere all’interno del test.

Raccolta delle informazioni : questo è il momento in cui inizia il test vero e proprio. Generalmente si eseguono attività di Open Source Intelligence (OSINT), esaminando gli host, la rete e i servizi disponibili per analizzarli in modo passivo. In questa fase si cercano reti IP insolite, segreti sparsi in qualche repository aperto come su GitHub, attività dei dipendenti sui social network che possono rivelare informazioni sulle tecnologie dell’azienda. Si può abbinare alla fase di information gathering anche attività di Cyber Threat Intelligence mirate ad analizzare tracce del sistema all’interno delle underground, come ad esempio log provenienti da infostealer. Alla fine si crea una una mappa visiva della rete e si definisce una “Metodologia di assessment” che riporta come avverrà il test e cosa ci si aspetta dal test stesso.

Valutazione delle vulnerabilità : dopo aver raccolto le informazioni, si iniziano a valutare se esistono vulnerabilità che possono essere sfruttate. Si cercano vulnerabilità note in base alle versioni del software e del servizio e si isolano le CVE (vulnerabilità ed esposizioni comuni) verificando la presenza di exploit pubblici. Questa attività può essere svolta con scanner automatizzati ma anche attraverso una ricognizione manuale. È importante pianificare attentamente gli attacchi per ridurre al minimo il rischio di disservizio dei sistemi.

Sfruttamento delle vulnerabilità : in questa fase, si inizia ad effettuare attacchi attivi sulle vulnerabilità identificate sfruttando gli exploit rilevati. Se è richiesto il test sia da rete esterna che da quella interna, generalmente si inizia ad hackerare il sistema esterno vulnerabile per comprendere se si riesce ad utilizzare tali falle per accedere all’infrastruttura interna dell’azienda. Si può lavorare anche all’interno della rete del cliente, accedendo da remoto tramite VPN o macchina virtuale fornita per il test.

Post-sfruttamento : una volta entrato nel sistema, si iniziano a controllarne i privilegi. Ad esempio, se si tratta di un sistema Windows, si eseguono dei comandi per raccogliere informazioni, trovare file ed effettuare delle “privilege escalation”.

Movimenti laterale : utilizzando le informazioni raccolte, si prova a muoversi all’interno della rete, passando da un sistema all’altro. Ciò potrebbe includere l’utilizzo di credenziali rubate o l’elusione della sicurezza di altri sistemi interni.

Reportistica : una volta completati tutti i test, e compresi gli impatti che il sistema potrebbe avere a seguito di un attacco da parte di un malintenzionato, viene preparato un rapporto con una descrizione dettagliata delle vulnerabilità e proposte per eliminarle. Vengono quindi discussi i risultati con il cliente per garantire che comprenda tutte le minacce identificate e sappia come eliminarle.

4. Quali fattori rendono un sistema vulnerabile?

I sistemi possono essere vulnerabili per diversi motivi, solitamente legati alla gestione delle patch, alla gestione delle vulnerabilità e alla configurazione. Ecco alcuni esempi:

• Utilizzo di versioni obsolete di servizi o applicazioni con vulnerabilità note per le quali esistono già exploit pubblici.
• Configurazione errata dei servizi, come l’utilizzo di password standard o deboli, mancanza di diritti di accesso adeguati, mancanza di autenticazione.
• Applicazioni Web vulnerabili ad attacchi comuni come quelli descritti nella OWASP Top 10.
• Sistemi che fanno parte di domini Active Directory vulnerabili ad attacchi alle credenziali o ad altri attacchi mirati all’infrastruttura AD.

5. Come gestisci i dati sensibili che incontri durante i penetration test?

Ogni vulnerabilità scoperta nella rete di un cliente può tecnicamente essere considerata un’informazione sensibile. Il lavoro di pentester è aiutare i clienti a migliorare la loro sicurezza. Occorre essere responsabili lavorando con i dati dei clienti e documentare tutti i risultati. Ad esempio, se si sta conducendo un test per un’azienda sanitaria, l’obiettivo non è esaminare un database di informazioni mediche sensibili, ma trovare una vulnerabilità che possa essere sfruttata per accedere a tali dati. È importante documentare la vulnerabilità e valutarne l’impatto senza violare i diritti dei clienti. Se ci si imbatte in contenuti illegali, si interrompe immediatamente i test e si segnala il tutto al management. Successivamente i decide assieme come proseguire adeguatamente i lavori, eventualmente con il coinvolgimento dei legali.

6. Spiegare la differenza tra crittografia simmetrica e asimmetrica.

La crittografia simmetrica utilizza una singola chiave per crittografare e decrittografare i dati, mentre la crittografia asimmetrica utilizza una coppia di chiavi pubblica e privata. Il primo è più veloce e il secondo viene utilizzato per trasferire in modo sicuro chiavi e firme digitali. Nella crittografia asimmetrica, la chiave pubblica può essere distribuita a tutti per cifrare i dati mentre la chiave privata deve essere conservata gelosamente in quanto sarà quella che permetterà di decifrarli.

7. Come mantieni le tue conoscenze sulla sicurezza informatica?

Utilizzo sia metodi di apprendimento passivo (leggendo notizie su redhotcyber.com, iscrivendomi a blog e podcast) che attivi (praticando attività di Capture The Flag o svolgendo percorsi formativi tramite Hack The Box ed esperimenti nel mio laboratorio di casa).

8. Qual è la differenza tra Windows e Linux nelle attività di pentest?

I sistemi operativi Windows e Linux presentano i propri vantaggi e svantaggi nel contesto del test delle applicazioni web. Windows è considerato più amichevole per gli utenti inesperti, mentre Linux è più affidabile e sicuro. La maggior parte degli strumenti di test vengono eseguiti su Linux in quanto questo sistema operativo offre più opzioni di personalizzazione. Tuttavia, Windows è più comune negli ambienti aziendali, quindi i test su questa piattaforma possono simulare più da vicino le condizioni del mondo reale che incontrerai durante il test delle applicazioni aziendali. Preferisco combinare entrambi i sistemi, il che mi consente di sfruttare i vantaggi di ciascuno.

9. Quali tre strumenti utilizzi per svolgere pentest di Active Directory e perché?

I miei 3 strumenti principali per testare Active Directory sono:

BloodHound : questo è un potente strumento per visualizzare le relazioni tra oggetti Active Directory come domini, trust, policy e autorizzazioni. Aiuta a identificare visivamente i possibili vettori di attacco.

PowerShell : questo è uno strumento integrato in Windows che può essere utilizzato per eseguire comandi relativi ad AD. Se si riesce ad accedere a un account amministratore utilizzando PowerShell, è possibile usarlo per ottenere l’accesso remoto al controller di dominio.

PowerView.ps1 : fa parte del progetto PowerSploit e fornisce una varietà di funzionalità per la raccolta di dati sugli oggetti AD, la ricerca di risorse di rete e il furto di ticket TGS per eseguire un attacco Kerberoasting.

10. Quali vulnerabilità potrebbe avere lo scambio di chiavi Diffie-Hellman?

Lo scambio di chiavi Diffie-Hellman (DH) può essere vulnerabile a diversi tipi di attacchi se non configurato correttamente. Tra i più comuni ci sono:

Attacco Man-in-the-middle (MitM) : se le parti non si autenticano a vicenda, un utente malintenzionato può inserirsi tra di loro e acquisire la capacità di decrittografare e modificare i dati.

Attacco Logjam : questo attacco utilizza parametri chiave deboli per forzare un downgrade della sicurezza della sessione.

Attacchi di forza bruta e canali laterali : se i parametri chiave sono deboli, sono possibili tentativi di forza bruta o attacchi che utilizzano dati di terze parti (ad esempio, il tempo di esecuzione dell’operazione).

11. Cos’è l’SQL injection basata sull’operatore UNION?

L’SQL injection basata su UNION è un tipo di SQL injection in cui un utente malintenzionato utilizza l’operatore UNION per combinare i risultati di più query, ottenendo così l’accesso a dati che non avrebbero dovuto essere esposti. Ad esempio, un utente malintenzionato potrebbe aggiungere una query UNION SELECT alla query originale per ottenere l’accesso a un’altra tabella di database che non faceva originariamente parte della query.

12. Che cos’è l’escalation dei privilegi e come affrontarla?

L’escalation dei privilegi è il processo che consente di ottenere l’accesso non autorizzato alle risorse di sistema con diritti più elevati. Una volta che un utente malintenzionato ottiene l’accesso a un sistema, inizia a cercare le vulnerabilità che gli consentiranno di aumentare i privilegi al livello di amministratore o ottenere l’accesso a dati sensibili. Ad esempio, se un sistema utilizza un componente software obsoleto, un utente malintenzionato potrebbe tentare di sfruttarlo per aumentare i diritti di accesso.

13. Qual è la vulnerabilità XXE?

XXE (XML External Entity) è una vulnerabilità che si verifica quando il server elabora input XML non sicuri. Un utente malintenzionato potrebbe inserire entità esterne nell’input XML che verrebbe elaborato dal server, il che potrebbe comportare la divulgazione di informazioni sensibili, l’esecuzione di codice arbitrario o l’invio di richieste dannose a risorse esterne per conto del server.

14. Cos’è l’intercettazione dei pacchetti di rete?

Lo sniffing dei pacchetti di rete è il processo di acquisizione dei dati trasmessi su una rete. Viene utilizzato per diagnosticare, monitorare e analizzare il traffico e può anche essere utilizzato per identificare vulnerabilità e ottenere informazioni sensibili.

15. Come spieghi la vulnerabilità XSS a qualcuno senza conoscenze tecniche?

XSS è una vulnerabilità in cui un utente malintenzionato può inserire codice dannoso in un sito Web. Questo codice verrà eseguito nel browser dell’utente, il che può portare al furto di dati, al dirottamento della sessione o alla modifica delle impostazioni dell’utente a sua insaputa.

Il ruolo di un hacker white hat richiede un costante sviluppo personale e un adattamento al panorama delle minacce informatiche in rapida evoluzione.

Un colloquio di successo dipende non solo dalle competenze tecniche, ma anche dalla capacità del candidato di dimostrare passione per l’apprendimento di nuove tecnologie, volontà di risolvere problemi complessi e capacità di lavorare in gruppo.

L'articolo Le 15 Risposte che ti faranno Assumere ad un Colloquio Tecnico per un Ruolo da Pen Tester proviene da il blog della sicurezza informatica.

Google ha sostenuto l’implementazione di Rust nel firmware di basso livello, promuovendo la traduzione del codice legacy come mezzo per combattere i bug che minacciano la sicurezza dell’accesso alla memoria.

In un nuovo post sul blog, il team di Android sostiene che il passaggio da C o C++ a Rust nel firmware esistente fornirà garanzie di sicurezza della memoria a livelli inferiori al sistema operativo che non dispone di standard di sicurezza.

Secondo gli esperti, la perdita di produttività in questo caso è trascurabile, anche la dimensione dei codici Rust è comparabile, l’importante è sostituire i codici base per gradi, iniziando con quelli nuovi e più critici. Il processo non richiederà molti sforzi e nel tempo il numero di vulnerabilità di accesso alla memoria sarà significativamente ridotto.

Riscrivere gradualmente il codice delle librerie utilizzando la logica Shim

Per facilitare la transizione, è possibile ad esempio, creare un sottile strato Rust, il preloader Shim , che copierà l’API C ed esporterà per la base di codice esistente. “Shim funge da wrapper attorno all’API della libreria Rust, collegando l’API C esistente e l’API Rust”, spiegano gli esperti. “Questo è quello che si fa di solito, riscrivendo le librerie o sostituendole con un’alternativa a Rust.”

Secondo Google, fino a poco tempo fa, i bug di sicurezza nella memoria erano la principale fonte di vulnerabilità in Chrome e Android. Grazie all’implementazione di linguaggi di programmazione in grado di liberare i prodotti da questa piaga, tra il 2019 e il 2022 il numero annuo di tali errori nel sistema operativo mobile è stato ridotto da 223 a 85.

L’anno scorso, Microsoft ha avviato il processo di migrazione del kernel di Windows su Rust.

La versione 11 della build del sistema operativo, rilasciata a maggio 2023, conteneva driver in questo linguaggio. Allo stesso tempo, si è saputo dei piani del colosso tecnologico per aumentare in modo simile la sicurezza del processore Pluton, che non ha ancora trovato un utilizzo diffuso.

Rust la chiave dei bug di memoria

Il linguaggio di programmazione Rust è stato progettato per risolvere problemi legati alla sicurezza della memoria e alla gestione concorrente dei dati, affrontando alcune delle vulnerabilità più comuni presenti in linguaggi come C e C++. Ecco i principali tipi di bug che Rust risolve:

1. Bug di gestione della memoria (Memory Safety Issues)

• Dereferenziazione di puntatori nulli (Null Pointer Dereference): In linguaggi come C e C++, è comune che i puntatori nulli causino crash del programma o comportamenti imprevisti. Rust previene questo problema usando il tipo Option, che fornisce un modo sicuro di gestire valori che potrebbero essere nulli.
• Use-After-Free: Questo bug si verifica quando un programma tenta di accedere a un’area di memoria che è già stata liberata. In Rust, grazie al sistema di proprietà (ownership) e al concetto di borrow checker, non è possibile accedere alla memoria dopo che è stata rilasciata.
• Double Free: In C o C++, liberare la stessa area di memoria due volte può causare instabilità o vulnerabilità. Rust gestisce la liberazione della memoria in modo automatico e sicuro attraverso la sua gestione di ownership, prevenendo il rischio di liberazioni multiple della stessa risorsa.

2. Race conditions e problemi di concorrenza (Concurrency Bugs)

• Data Race: Una data race si verifica quando due thread accedono contemporaneamente alla stessa memoria, con almeno uno che esegue un’operazione di scrittura, senza la necessaria sincronizzazione. Rust usa tipi come Mutex e RwLock, e il borrow checker assicura che le risorse condivise siano accessibili in modo sicuro, prevenendo le data race a compile-time.
• Thread Safety: Rust applica rigorose regole di concorrenza e sincronizzazione attraverso il sistema di tipi, assicurandosi che le risorse condivise tra thread siano sicure da usare.

3. Buffer overflow

• Questo è uno dei bug di sicurezza più comuni in linguaggi come C e C++, dove l’accesso a buffer di memoria oltre i limiti definiti può causare comportamenti imprevisti o vulnerabilità di sicurezza. Rust impedisce questo bug grazie al suo controllo rigoroso dei limiti degli array e delle slice, rendendo impossibile l’accesso fuori dai limiti a meno che non sia esplicitamente consentito.

4. Dangling Pointers

• Un dangling pointer è un puntatore che fa riferimento a una locazione di memoria che non è più valida. In Rust, il sistema di ownership impedisce la creazione di puntatori invalidi o di riferimenti a memoria liberata, eliminando i dangling pointers.

5. Memory Leaks

• Anche se Rust non garantisce di prevenire ogni perdita di memoria (poiché può esserci memoria ciclicamente referenziata che non viene rilasciata), è molto più difficile incorrere in memory leaks rispetto a linguaggi come C/C++. La gestione della memoria basata su ownership e il sistema di borrowing fanno sì che le risorse vengano rilasciate automaticamente quando non sono più utilizzate.

6. Errori di tipo (Type Safety Issues)

• Rust è un linguaggio fortemente tipizzato, e molte operazioni che in altri linguaggi potrebbero fallire a runtime vengono bloccate a compile-time. Questo impedisce errori legati al tipo di dati, come assegnare valori a variabili di tipo incompatibile o effettuare operazioni non valide tra tipi diversi.

7. Stack Overflow per ricorsione non controllata

• Rust include l’uso di tail-call optimizations per ridurre il rischio di overflow dello stack nelle funzioni ricorsive. Anche se non previene completamente il problema, il suo sistema di tipi e la gestione delle risorse rendono più facile evitare errori di questo tipo.

L'articolo Rust contro i bug di Memoria del Firmare. Riscrivere in logica Shim le librerie è la chiave proviene da il blog della sicurezza informatica.

Il Decreto Legislativo di attuazione della direttiva (UE) 2022/2555, noto anche come NIS2, segna un importante passo avanti nella gestione della sicurezza informatica in Italia e nell’Unione Europea. Con la finalità di rafforzare la protezione delle infrastrutture critiche e migliorare la resilienza delle aziende contro le crescenti minacce informatiche, questo decreto introduce nuovi obblighi per i soggetti considerati essenziali e importanti.

Struttura del Decreto

Il decreto si articola in 6 Capi e 44 articoli, e sostituisce il precedente Decreto Legislativo n. 65 del 2018, che implementava la prima direttiva NIS (Network and Information Systems) del 2016. Le nuove disposizioni mirano a rafforzare il livello di sicurezza delle reti e dei sistemi informativi, soprattutto per quanto riguarda i soggetti considerati essenziali e importanti. Tra questi figurano fornitori di servizi di cloud computing, data center, piattaforme di social network, motori di ricerca online e mercati digitali.

Obblighi per i Soggetti Essenziali e Importanti

Un elemento cruciale del decreto è l’obbligo, per gli organi di amministrazione e direttivi delle aziende considerate essenziali e importanti, di approvare e sovrintendere all’implementazione delle misure di gestione dei rischi per la sicurezza informatica. Questi organi sono inoltre responsabili delle violazioni del decreto e devono assicurarsi che i dipendenti ricevano una formazione continua in materia di sicurezza informatica (Articolo 23).

L’articolo 24 specifica le misure di gestione dei rischi, che devono includere l’uso di tecnologie sicure e aggiornate, la protezione contro accessi non autorizzati, e la gestione e registrazione degli incidenti di sicurezza. Inoltre, si pone particolare attenzione alla continuità operativa e alla rapidità di ripristino delle attività in caso di incidenti.

Notifica di Incidenti Significativi e Quasi-Incidenti

Il decreto impone l’obbligo di notifica tempestiva degli incidenti significativi entro 24 ore dalla loro rilevazione, con una relazione dettagliata da fornire entro 72 ore. Questi incidenti devono essere accompagnati da informazioni riguardanti il loro impatto e le misure di mitigazione adottate. Inoltre, il decreto introduce l’obbligo di notificare anche i “quasi-incidenti”, ovvero quegli eventi che potrebbero avere un impatto significativo ma che non hanno ancora causato danni rilevanti (Articolo 25 e 26).

Tempistica e Fase di Prima Applicazione

La fase di prima applicazione del decreto prevede una serie di scadenze ben definite. In particolare, i fornitori di servizi di dominio, cloud, data center e altre categorie devono registrarsi sulla piattaforma digitale predisposta entro il 17 gennaio 2025. Gli obblighi previsti dagli articoli 23, 24 e 29 dovranno essere rispettati entro diciotto mesi dalla ricezione della comunicazione da parte delle autorità competenti. La registrazione iniziale e gli aggiornamenti annuali dei dati saranno cruciali per garantire il monitoraggio continuo da parte delle autorità.

Implicazioni e Importanza

Il recepimento di questa direttiva in Italia rappresenta un ulteriore passo avanti verso la protezione delle infrastrutture critiche e delle informazioni sensibili contro minacce informatiche in costante evoluzione. L’Agenzia per la Cybersicurezza Nazionale (ACN) è confermata come l’autorità competente per l’attuazione delle disposizioni del decreto, rafforzando così il quadro normativo italiano in materia di cybersecurity.

Attività e Scadenze per le Aziende

Le aziende rientranti nel campo di applicazione della direttiva dovranno affrontare una serie di obblighi e scadenze. Di seguito sono riportate le principali attività richieste:

1. Dal 18 ottobre 2024
   
   • l’Agenzia per la Cybersicurezza Nazionale dovrà mettere a disposizione un portale per le iscrizioni, le aziende che ritengo far parte dei soggetti che rientrano nella direttiva potranno e dovranno iscriversi.

   
   

2. Ogni anno dal 1 gennaio al 28 febbraio
   
   • Le aziende devono registrarsi o aggiornare la propria registrazione sulla piattaforma digitale, fornendo informazioni quali ragione sociale, recapiti, punto di contatto e settore di appartenenza.

   
   

3. Entro il 31 marzo di ogni anno
   
   • L’Agenzia per la Cybersicurezza Nazionale (ACN) redige l’elenco aggiornato dei soggetti registrati e comunica ai partecipanti la loro inclusione o permanenza nell’elenco, oppure la loro eventuale rimozione.

   
   

4. Dal 15 aprile al 31 maggio di ogni anno
   
   • Le aziende che hanno ricevuto una notifica dall’ACN devono fornire informazioni aggiornate sui propri indirizzi IP pubblici, i nomi a dominio utilizzati e i responsabili della sicurezza.

   
   

5. Dal 1 maggio al 30 giugno di ogni anno
   
   • Le aziende devono comunicare e aggiornare le informazioni relative alle attività e ai servizi forniti, includendo dettagli necessari per l’assegnazione di una categoria di rilevanza.

   
   

Conclusione

Il Decreto Legislativo di attuazione della direttiva (UE) 2022/2555 rappresenta un tassello fondamentale per la creazione di un ambiente digitale più sicuro e resiliente. Le aziende dovranno adeguarsi a una serie di nuovi obblighi che includono la gestione dei rischi informatici, la notifica tempestiva di incidenti e l’aggiornamento periodico delle informazioni sulla sicurezza. L’implementazione di queste misure non solo contribuirà a rafforzare la sicurezza delle infrastrutture critiche, ma promuoverà anche una maggiore fiducia nel mercato digitale europeo. Le scadenze previste richiedono un’attenta pianificazione e collaborazione tra aziende e autorità competenti, al fine di garantire un’efficace protezione contro le minacce informatiche emergenti​

L'articolo NIS2: il Decreto Legislativo di Attuazione della Direttiva (UE) 2022/2555 in ambito Italia proviene da il blog della sicurezza informatica.

European consumer groups on Thursday (12 September) accused the world's biggest video game companies of "purposefully tricking" consumers, including children, to push them to spend more.

euractiv.com/section/digital/n…

They don’t call slot machines one-armed bandits for nothing. And although it’s getting harder and harder to find slot machines with actual pull-able handles instead of just big buttons, you can easily simulate the handle at home with the right kind of limit switch, as [Andrew Smith] did with their micro slot machine.

This baby slot machine is built around the Adafruit 5×5 NeoPixel grid, which is an add-on for the QT Py. As you’ll see in the brief demo video after the break, the switch actuates on release, which starts the lights a-spinning. [Andrew] says the constraints of the SAMD21-powered QT Py made this a particularly fun challenge.

Whereas most physical slot machines have different reel sequences, this build uses just one. [Andrew] declared hex values to ID each color, and then created the reel manually with different color frequencies. When the lever is released, the columns are animated and slowly to come to rest at a random offset. You can check out the code on GitHub.

youtube.com/embed/NdhRO1JrY0I?…

hackaday.com/2024/09/11/2024-t…

EU antitrust chief Margrethe Vestager is concluding her mandate at the European Commission with two major victories as the top EU court ruled against Apple’s Irish tax arrangements and Google’s anti-competitive practices.

euractiv.com/section/digital/p…

One major flaw of designing societies around cars is the sheer amount of signage that drivers are expected to recognize, read, and react to. It’s a highly complex system that requires constant vigilance to a relatively boring task with high stakes, which is not something humans are particularly well adapted for. Modern GPS equipment can solve a few of these attention problems, with some able to at least show the current speed limit and perhaps an ongoing information feed of the current driving conditions., Trains, on the other hand, solved a lot of these problems long ago. [Philo] and [Tris], two train aficionados, were recently able to get an old speed indicator from a train and get it working in a similar way in their own car.

The speed indicator itself came from a train on the Red Line of the T, Boston’s subway system run by the Massachusetts Bay Transportation Authority (MBTA). Trains have a few unique ways of making sure they go the correct speed for whatever track they’re on as well as avoid colliding with other trains, and this speed indicator is part of that system. [Philo] and [Tris] found out through some reverse engineering that most of the parts were off-the-shelf components, and were able to repair a few things as well as eventually power everything up. With the help of an Arduino, an I/O expander, and some transistors to handle the 28V requirement for the speed indicator, the pair set off in their car to do some real-world testing.

This did take a few tries to get right, as there were some issues with the power supply as well as some bugs to work out in order to interface with the vehicle’s OBD-II port. They also tried to use GPS for approximating speed as well, and after a few runs around Boston they were successful in getting this speed indicator working as a speedometer for their car. It’s an impressive bit of reverse engineering as well as interfacing newer technology with old. For some other bits of train technology reproduced in the modern world you might also want to look at this recreation of a train whistle.

youtube.com/embed/KPlC6PoRjn8?…

hackaday.com/2024/09/11/train-…

A few years back NVIDIA created a dedicated cryptocurrency mining GPU, the CMP 170HX. This was a heavily restricted version of its flagship A100 datacenter accelerator, using the same GA100 chip. It was intended for accelerating Ethash, the Etherium proof-of-work algorithm, and nothing else. [niconiconi] bought one to use for accelerating PCB electromagnetic simulations and put a lot of effort into repairing the card, converting it to water-cooling, and figuring out how best to use this nobbled GPU.

Typically, the GA100 silicon sits in the center of the mighty A100 GPU card and would be found in a server rack, cooled by forced air. This was not an option at home, so an off-the-shelf water-cooling block was wedged in. During this process, [niconconi] found that the board wouldn’t power on, so they went on a deep dive into the power supply tree with the help of a leaked A100 schematic. The repair and modifications can be found in the appendix, right down to the end of the article. It is a long read to get there.

This Nvidia GA100 GPU is severely crippled on this board
NVIDIA has a history of deliberately restricting silicon in consumers’ hands to justify the hefty price tags of its offerings to big businesses, and this board is no different. The plan was to restrict the peak performance of the board to only applications with the same compute requirements as Ethash, specifically memory-intensive algorithms. The FP64 performance was severely limited, but instructions were not removed. This meant the code would run really badly, considering what the GPU is capable of.

The memory was limited to 8 GB, despite some A100 cards hosting a whopping 80 GB. The strategy was to use fuses to limit the crucial instructions, particularly the FP32 FMA and MAD instructions, which are used for multiply-add operations and are crucial for general computing applications. Finally, the PCIe bus was nobbled to run only as a Gen 1 interface with a single lane. They reduced the lane count by removing the coupling capacitors on the PCB, which meant they could just be added later, but it’s still only a slow interface.

[niconconi] went into great detail benchmarking the instruction types, keeping their EM simulation application in mind. After a few tweaks to make it work, they determined it was a good purchase. This article is worth reading for all those hardcore GPU nerds!

If you need a primer on GPU mining, we’ve got you covered. Once you’ve understood proof-of-work crypto, perhaps take a look at Chia?

Thanks to [gnif] for the tip!

hackaday.com/2024/09/11/hackin…

On Monday a new version of the globally unprecedented EU bill aimed at searching all private messages and chats for suspicious content (so-called chat control or child sexual abuse regulation) was circulated and leaked by POLITICO soon after. According to the latest proposal providers would be free whether or not to use ‘artificial intelligence’ to classify unknown images and text chats as ‘suspicious’. However they would be obliged to search all chats for known illegal content and report them, even at the cost of breaking secure end-to-end messenger encryption. The EU governments are to position themselves on the proposal by 23 September, and the EU interior ministers are to endorse it on 10 October. Messenger providers Signal and Threema have already announced that they will never agree to incorporate such surveillance routines into their apps and would rather shut down operations in the EU.

‘Instead of empowering teens to protect themselves from sextorsion and exploitation by making chat services safer, victims of abuse are betrayed by an unrealistic bill that is doomed in court, according to the EU Council’s own legal assessment,’ criticises Patrick Breyer, former Pirate Party Member of the European Parliament and co-negotiator of the European Parliament’s critical position on the proposal. ‘Flooding our police with largely irrelevant tips on old, long known material will fail to save victims from ongoing abuse, and will actually reduce law enforcement capacities for going after predators. Europeans need to understand that they will be cut off from using commonplace secure messengers if this bill is implemented – that means losing touch with your friends and colleagues around the world. Do you really want Europe to become the world leader in bugging our smartphones and mandating untargeted blanket surveillance of the chats of millions of law-abiding Europeans?’

Breyer describes the ‘concession’ to restrict chat monitoring to supposedly ‘known’ illegal content as window-dressing: ‘Regardless of the objective – imagine the postal service simply opened and snooped through every letter without suspicion. It’s inconceivable. Besides, it is precisely the current bulk screening for supposedly known content by Big Tech that exposes thousands of entirely legal private chats, overburdens law enforcement and mass criminalises minors.’

Breyer is calling on EU citizens to contact their governments and representatives now: ‘In June, under massive public pressure, there was a fragile blocking minority to save our digital privacy of correspondence and secure encryption. But now, with no spotlight on government dealings, minimal concessions could tip the scales. We have two weeks to make our governments reject chat control and call for a new, truly effective and rights-respecting approach to keeping our children safer online.’

Further information: chatcontrol.wtf/en/feed

patrick-breyer.de/en/new-eu-pu…

IBM got their PCs and PS/2 computers into schools in the 1980s and 1990s. We fondly remember educational games like Super Solvers: Treasure Mountain. However, IBM had been trying to get into the educational market long before the PC. In 1969, the IBM Schools Computer System Unit was developed. Though it never reached commercial release, ten were made, and they were deployed to pilot schools. One remained in use for almost a decade! And now, there’s a new one — well, a replica of IBM’s experimental school computer by [Menadue], at least. You can check it out in the video below.

The internals were based somewhat on the IBM System/360’s technology. Interestingly, it used a touch-sensitive keypad instead of a traditional keyboard. From what we’ve read, it seems this system had a lot of firsts: the first system to use a domestic TV as an output device, the first system to use a cassette deck as a storage medium, and the first purpose-built educational computer. It was developed at IBM Hursley in the UK and used magnetic core memory. It used BCD for numerical display instead of hexadecimal or octal, with floating point numbers as a basic type. It also used 32-bit registers, though they stored BCD digits and not binary. In short, this thing was way ahead of its time.

[Menadue] saw the machine at the IBM Hursley museum and liked it so much that he proceeded to build a prototype machine based partially on a document shown at the museum that showed the instructions. Further research revealed a complete document explaining the instruction set. The initial prototype was made on a small PCB with a Raspberry Pi Pico W, an OLED display, and key switches, which proved that he understood the system enough to replicate it.
An inside view
After that prototype, work began on the replica. It’s a half-scale model, but it does use a touch keyboard like the original. The attention to detail is nice, with the colours of the case matching and even a small IBM logo replica on the front! It’s made from a metal chassis, with the keyboard surround being plastic (as on the original) so as not to interfere with the touch keyboard. It’s programmed using the same set of instructions as the original — a combination of low-level commands, similar to assembly for microprocessors, but with an extra set of slightly higher-level instructions that IBM called Extra Codes. For a more in-depth explanation, check out the video going over the original system and the prototype replica!

youtube.com/embed/5U0TUGt13F4?…

Photos courtesy of IBM Hursley Museum

hackaday.com/2024/09/11/ibms-1…

Il riciclaggio di denaro consente ai criminali di mascherare i proventi illeciti. L'Unione Europea ha adottato un pacchetto ambizioso per combattere il riciclaggio e il finanziamento del terrorismo. Nuove normative armonizzano le procedure e chiudono le lacune esistenti, mentre l'UE affronta le sfide del digital banking e delle criptovalute per migliorare la sicurezza finanziaria.
Livello internazionale
A livello internazionale, fondamentale è il ruolo di guida assunto dal Gruppo di Azione Finanziaria Internazionale (GAFI o Financial Action Task Force - FATF), organismo che definisce e promuove standard per la lotta al riciclaggio e al finanziamento del terrorismo, analizza le tecniche e l'evoluzione di questi fenomeni, valuta e monitora i sistemi nazionali, contribuendo così in misura determinante al coordinamento tra gli Stati. Del GAFI fanno parte 37 Paesi membri e 2 organizzazioni regionali - che rappresentano i più importanti centri finanziari a livello mondiale - e, come osservatori, rilevanti organismi finanziari internazionali e del settore. L'organismo ha predisposto un set di standard, le cc.dd. 40 Raccomandazioni, adottate nel febbraio 2012 e costantemente aggiornate.
Ricordiamo che le principali convenzioni internazionali che affrontano il riciclaggio di denaro includono:
• Convenzione delle Nazioni Unite contro il Traffico Illecito di Droghe e Sostanze Psicotrope (1988), che ha introdotto misure per la cooperazione internazionale nelle indagini.
• Convenzione del Consiglio d'Europa sul Riciclaggio, Ricerca e Confisca dei Proventi da Crimine (1990), che ha stabilito una definizione comune di riciclaggio di denaro.
• Convenzione delle Nazioni Unite contro la Criminalità Organizzata Transnazionale (2000), nota come Convenzione di Palermo, che affronta il riciclaggio e la confisca dei proventi da crimine.
• Convenzione delle Nazioni Unite contro la Corruzione (2003), che include misure per combattere il riciclaggio di denaro legato alla corruzione.

Ambito Unione Europea

L'UE ha adottato un pacchetto ambizioso di misure anti-riciclaggio che include la creazione dell'Autorità per il Riciclaggio di Denaro e il Finanziamento del Terrorismo (AMLA) per centralizzare la supervisione. Sono state implementate direttive anti-riciclaggio, con revisioni nel tempo nel 2001, 2005, 2015 e 2018, per affrontare nuove minacce e armonizzare le procedure tra gli Stati membri. Inoltre, il Regolamento (UE) 2024/1624, previsto per il 2027, stabilirà requisiti specifici per i fornitori di servizi di criptovalute e migliorerà la cooperazione transfrontaliera. Dal 2018, la legislazione dell'UE in materia di riciclaggio di denaro si è evoluta attraverso l'adozione di un pacchetto di misure legislative per affrontare le lacune identificate nel regime anti-riciclaggio. Nel 2020, la Commissione Europea ha presentato un piano d'azione e ha proposto il Regolamento (UE) 2024/1624, noto come "single rulebook", che stabilisce requisiti armonizzati per i fornitori di servizi di criptovalute. Inoltre, la 6ª Direttiva Anti-riciclaggio (Direttiva (UE) 2024/1640) ha ampliato la definizione di reato di riciclaggio e ha introdotto misure di due diligence più rigorose per le transazioni.

Uno sguardo alla finanza digitale
La digitalizzazione sta trasformando la finanza. Ciò può portare a nuovi prodotti, servizi, applicazioni e modelli aziendali innovativi. La finanza digitale ha un ruolo chiave da svolgere nel dare forma a un'economia più competitiva, sostenibile e resiliente, nonché a una società più inclusiva, moderna e prospera. Una cripto-attività è una rappresentazione digitale di valore o di un diritto che può essere trasferito o archiviato elettronicamente utilizzando la tecnologia di contabilità distribuita o una tecnologia simile. Le cripto-attività sono un'innovazione digitale che può semplificare i processi di raccolta di capitali, migliorare la concorrenza e creare un modo innovativo e inclusivo di finanziamento per consumatori e PMI. Le cripto-attività possono anche essere utilizzate come mezzo di pagamento e possono presentare opportunità in termini di pagamenti più economici, rapidi ed efficienti, in particolare su base transfrontaliera, limitando gli intermediari. In conformità con la strategia di finanza digitale del 2020, l'UE ha adottato un quadro legislativo completo che regola l'emissione di cripto-attività nonché i servizi forniti in relazione alle cripto-attività. Il Regolamento sui mercati delle cripto-attività (MiCA) copre le cripto-attività e i servizi e le attività correlate che non sono coperti da altri atti legislativi dell'Unione sui servizi finanziari. La lotta alla criminalità finanziaria, che comprende la lotta al riciclaggio di denaro e al finanziamento del terrorismo (AML/CFT), è fondamentale per la stabilità e la sicurezza finanziaria in Europa e per l'integrità dei mercati finanziari.
L’ AMLA e le FIU nazionali
È stata istituita l'Autorità per il Riciclaggio di Denaro e il Finanziamento del Terrorismo (AMLA, Authority for Anti-Money Laundering and Countering the Financing of Terrorism) a Francoforte, un'agenzia decentrata che coordinerà le autorità nazionali per garantire l'applicazione corretta e coerente delle norme dell'UE. L'obiettivo sarà quello di trasformare la vigilanza antiriciclaggio e di contrasto al finanziamento del terrorismo (AML/CFT) nell'UE e migliorare la cooperazione tra le unità di intelligence finanziaria (financial intelligence units, FIUs).
Le Unità di Intelligence Finanziaria (FIUs) sono autorità nazionali che ricevono segnalazioni di attività sospette da settori soggetti a obblighi di AML/CFT, come banche e istituzioni finanziarie. Analizzano le informazioni finanziarie per valutare i sospetti e fungono da intermediari tra le forze dell'ordine e i settori di reporting. Inoltre, cooperano a livello internazionale per condividere intelligence finanziaria e supportare la lotta contro il riciclaggio di denaro e il finanziamento del terrorismo. In Italia, la disciplina antiriciclaggio è contenuta nel decreto legislativo n. 231/2007 (nel tempo modificato, anche per riflettere l'evoluzione della normativa europea). Con lo stesso decreto legislativo, sono stati attributi alla Banca d'Italia compiti di regolamentazione e di vigilanza sugli intermediari per finalità antiriciclaggio e di contrasto al finanziamento del terrorismo ed è stata istituita l'Unità di Informazione Finanziaria (UIF, Financial Intelligence Unit, FIU ), che opera in condizioni di autonomia e indipendenza all'interno della Banca d'Italia.
Il ruolo del Fondo Monetario Internazionale
Il Fondo Monetario Internazionale (IMF) contribuisce alla lotta contro il riciclaggio di denaro attraverso la fornitura di consulenze politiche, assistenza e sviluppo delle capacità per i suoi 190 paesi membri. Ha oltre due decenni di esperienza nella creazione di programmi anti-riciclaggio e, nel 2023, ha condotto una revisione delle sue iniziative in questo ambito. Inoltre, l'IMF promuove la stabilità finanziaria internazionale, incoraggiando l'adozione di politiche e normative efficaci contro il riciclaggio di denaro e il finanziamento del terrorismo.

#UE #riciclaggio #anti-riciclaggio #FIU #AMLA

This week Jonathan Bennett and Aaron Newcomb chat with Andreas Kling about Ladybird, the new browser in development from the ground up. It was started as part of SerenityOS, and has since taken on a life of its own. How much of the web works on it? How many people are working on the project? And where’s the download button? Listen to find out!

• awesomekling.com/
• ladybird.org/
• ladybird.org/posts/fork/
• ladybird.org/posts/announcemen…
• ladybird.org/posts/why-ladybir…

youtube.com/embed/ea086YeIrPA?…

Did you know you can watch the live recording of the show Right on our YouTube Channel? Have someone you’d like us to interview? Let us know, or contact the guest and have them contact us! Take a look at the schedule here.

play.libsyn.com/embed/episode/…

Direct Download in DRM-free MP3.

If you’d rather read along, here’s the transcript for this week’s episode.

Places to follow the FLOSS Weekly Podcast:

• Spotify
• RSS

hackaday.com/2024/09/11/floss-…

"se non si è ancora effettuato il check-in, è ammesso il cambio data e ora fino alle 23:59 del giorno precedente la data del viaggio, salvo diverse disposizioni regionali;

se non si è ancora effettuato il check-in, è ammesso il cambio ora fino alle 23:59 del giorno del viaggio, salvo diverse disposizioni regionali;"

da lefrecce.it/Channels.Website.W…
…confesso che ci ho messo unpo' a trovare la differenza

Oscilloscopes are one of our favorite tools for electronics development. They make the hidden dances of electrons visually obvious to us, and give us a clear understanding of what’s actually going on in a circuit.

The question few of us ever ask is, how do they work? Most specifically—how do you design a circuit that’s intended to measure another circuit? Aleksa Bjelogrlic has pondered that very idea, and came down to explain it all to us at the 2023 Hackaday Supercon.

All Up Front

youtube.com/embed/6kINL2e2XGs?…
Aleksa’s scope design had humble beginnings.
Aleksa has spent five years designing an open-source oscilloscope known as the ThunderScope. He wanted an oscilloscope that could measure a circuit while streaming out samples at speed to a computer, so he decided to build his own. His idea was to put the analog part of a high-speed scope in a box, while offloading the digital processing to an attached computer. This would allow the software side of things to be regularly updated to stay with the times. It would be easy to add new triggers or protocol decoders to the setup without having to mess with the hardware.

His early experiments saw him streaming samples from a test scope he built, but it wasn’t perfect. He used USB 3 Gen 1, but it was only giving him 350 MB/s transfer rates. He needed closer to 1 GB/sec to properly stream samples of high-speed signals. He also had issues with his front-end design, with poor frequency response. He soon switched over to PCI-Express for higher transfer rates, and built a new scope with a better front-end. This was the first revision of ThunderScope. Later revisions improved the front end further, tackled clock-generator issues, and generally refined the design into something more functional and useful.
The front end has been one of the main areas of improvement and revision as Aleksa has worked on the ThunderScope.
The development process is mere context, though. The real purpose of Aleksa’s talk was to dive into the nitty gritty of oscilloscope front-end designs. While his scope has had four major revisions, the front end has had over a dozen updates. The front end’s job is to take an analog signal, and finesse it into something that the scope’s analog-to-digital converter can actually handle. It’s job is, in part, to act as an electrical interface to allow the scope to measure all kinds of different signals. Aleksa explains that it can allow you to view AC signals superimposed on large DC voltages, or measure large signals beyond the voltage range of the scope’s ADC. It can also help scale signals that might otherwise be out of range for the ADC itself.

Aleksa explains input impedance, capacitance of the front end, and why you have to compensate a probe to suit your individual scope. He also covers the eternal challenge facing the designer—minimizing noise while maximising bandwidth, while also maintaining a flat response from DC all the way up to high frequency signals. And of course, you need to be able to measure and quantify how your front end is performing, so Aleksa dips into the basics in that regard.

AC and DC coupling is also covered. This is critical for when you want to look at an AC waveform without all that annoying DC bias in the way. Naturally, this is achieved with an in-line capacitor, which blocks DC while allowing the AC component to pass. Then there’s the helpful discussion about how resistors come with stray capacitance and inductance “for free”—and capacitors in turn come with resistance and inductance, too. When you’re chasing around weird dips in your response curve, you’ve got to be across these things.
That’s a horrifying response curve, but Aleksa was eventually able to track down the culprit and eliminate the dip.
If you’ve ever considered creating your own oscilloscope from scratch, Aleksa’s talk is a great primer. It’s really useful stuff. After all, getting the front end right is as important as getting the right tires on your car. If it’s not up to the task, all your measurements will be suspect from the drop. It’s a deep and rich topic, and one that you could spend years studying in detail. Indeed, Aleksa has, and his work on the ThunderScope is the ultimate proof of that.

hackaday.com/2024/09/11/superc…