2024 SAO Contest: Speak, SAO
For some of us, the Speak ‘n Spell evokes pleasant memories of childhood as our first computer, along with one of those Merlin things. For others, it’s the ultimate circuit bending victim. For [Jeremy Geppert], they’re all-around good fun and he wanted to immortalize the device in a Simple Add-On (SAO).
This is [Jeremy]’s first board and SAO rolled into one, motivated by both Supercon and the SAO Contest. To start things off, [Jeremy] scaled down the design we all know and love to fit a 128×32 OLED display, and it looks great. The plan is to have the display, an amplified speaker, and a single button for input.
Before committing the board order, [Jeremy] had a brief freak-out about the pin distance as it relates to the window for the OLED display. Luckily, his brother suggested checking things first by printing a 1:1 scale image of the board outline, and laying that over the display.
This is the week it all comes together, as the tiny switches and (regular-size) connectors have arrived, and the boards are due quite soon. Go, [Jeremy], go!
Ghost, il telefono criptato per criminali, era un "pasticcio assoluto"
@Informatica (Italy e non Italy 😁)
Un ricercatore di sicurezza è riuscito a estrarre un elenco di utenti Ghost, rivenditori e persino messaggi di assistenza clienti da un server esposto. Mostra come, man mano che i criminali organizzati si spostano verso la creazione delle proprie piattaforme crittografate, potrebbero creare prodotti vulnerabili.
Le forze dell'ordine hanno recentemente hackerato Ghost , una piattaforma di comunicazioni crittografate che le autorità sostengono fosse utilizzata da criminali organizzati di alto livello, e hanno ottenuto l'accesso ai messaggi degli utenti. Ora, indipendentemente da ciò, un ricercatore di sicurezza ha trovato molteplici problemi evidenti con l'infrastruttura di Ghost, compresi quelli che gli hanno permesso di estrarre un lungo elenco di nomi utente Ghost e messaggi di assistenza clienti da un server Ghost esposto al pubblico.
Quando Ghost ha iniziato a fare affidamento "sul proprio codice, non su quello di un'azienda, è allora che ci si è resi conto del disastro assoluto che stava succedendo", ha detto a 404 Media in una chat online Jamieson O'Reilly, fondatore e responsabile della sicurezza offensiva della società di sicurezza informatica Dvuln.
404media.co/ghost-encrypted-ph…
Ghost, Encrypted Phone for Criminals, Was an ‘Absolute Mess’
A security researcher managed to pull a list of Ghost users, resellers, and even customer support messages from an exposed server. It shows how as organized criminals move to making their own encrypted platforms, they might make vulnerable products.Joseph Cox (404 Media)
like this
reshared this
News da Marte #32: Perseverance scopre una roccia zebrata I Coelum Astronomia
"Riprendiamo l’esplorazione del Pianeta Rosso con Perseverance che si trovava a un passo da Neretva Vallis, il greto sabbioso dell’antico fiume che miliardi di anni fa scorreva verso est confluendo nel Cratere Jezero."
coelum.com/news/news-da-marte-…
Retro Gadgets: Things Your TV No Longer Needs
It is hard to imagine that a handful of decades ago, TV wasn’t a thing. We’ve talked a few times about the birth of television. After an admittedly slow slow start, it took over like wildfire. Of course, anything that sells millions will spawn accessories. Some may be great. Then there are others.
We wanted to take a nostalgic look back at some of the strange add-ons people used to put on or in their TVs. Sure, VCRs, DVD players, and video game consoles were popular. But we were thinking a little more obscure than that.
Rabbit Ears
Every once in a while, we see an ad or a box in a store touting the ability to get great TV programming for free. Invariably, it is a USB device that lets you watch free streaming channels or it is an antenna. There was a time when nearly all TVs had “rabbit ears” — so called because they made an inverted V on the top of your set.
These dipoles were telescoping and you were supposed to adjust them to fit the TV station you were watching but everyone “knew” that you wanted them as long as possible at all times. Holding one end of them gave it a ground and would give you a major improvement in picture. People also liked to wrap tin foil around the tips. Was it like a capacitive hat? We aren’t sure.
The better rabbit ears had knobs and switches along with multiple elements. If you lived close to a TV station, you probably didn’t need much. If you didn’t, no number of fancy add-ons would likely help you.
External Antenna with Rotator
If you really wanted to get TV from a distance, you needed an outside antenna. Most of these were either yagi or log periodic designs. That means they were very directional. The also means you probably needed a way to rotate it. If you were lucky, all the TV stations were in the same direction from you. Then you didn’t need to rotate your antenna. Some UHF-only antennas looked like dishes and they, too, were directional.
Rotators were crazy. They were all a little different, but typically you’d move a big knob to the direction you wanted the antenna pointing. Then you’d hear CHUNK, CHUNK, CHUNK as the antenna actually moved. This was a cheap form of stepper motor. Some rotators used something akin to a selsyn to move continuously, but most just moved to a few dozen points around a circle. Hams still use modern versions of antenna rotators to adjust directional antennas.
CRT Brightener
The most expensive part of any old TV was the picture tube. These tubes were fragile and expensive to make and ship, so it was often the case that if the ‘tube went out, it was cheaper to just buy a new TV.
When a picture tube started to go dark, you could sometimes run a high voltage through it to restore it (you being a TV repairman with the equipment to do it). Or, you could try installing a CRT brightener. These devices looked a little like tubes. You’d remove the connector from the CRT’s neck and install the device. Then, the wire that used to plug into the CRT would plug into the other side of the device.
These were essentially little transformers that boosted the AC voltage going to the filaments. They worked for a while, but it probably meant a new TV wasn’t far in your future. If you want to know more than you could possibly imagine about how these work, there was an article in Radio Electronics written by someone who worked for a company that made them, and it goes into incredible detail. [Chris] shows us a 1950s TV that had one of these in it. You could actually stack these one on top the other if you wanted to take your chances and try to keep the old TV working as long as possible.
youtube.com/embed/uqOjlUxGt1s?…
Ghost Eliminator
According to a Layfayette Electronics catalog the Rembrandt TV Ghost Eliminator “Electrically rotates the polar-receiving pattern of your existing antenna and phases the ground wave picked up by the electrical wiring system with the sky wave picked up by the antenna.” What?
As far as we can tell, these units were just attenuators, which reduced weaker signals below the receiver’s ability to find them.
Tuner Rebuild and Cleaners
One of the key components of a TV was the tuner. Because of the high frequencies and the low technology of the day, these were usually a compact unit that was directly behind the knob you used to change channels. The output of the tuner was relatively a low-frequency signal at the intermediate frequency, and that’s what the rest of the TV used.
It was difficult to make broadband devices back then, so the tuners usually had banks of tuned circuits, and a giant mechanical switch selected the ones you wanted. That’s why you turned the knob to pick the channel you wanted. With contacts like that, they eventually get dirty. Contact cleaners for tuners were common and probably contained a lot of things you aren’t allowed to put in spray cans today. Tun-O-Foam was one common brand.
But if you really had trouble with your tuner, you could pull it out and send it to one of the many companies that would clean and service it for a low price. For a little more, you could buy a refurbished tuner from the same people. They’d always advertise a low price but note that tubes, transistors, and diodes were charged “at cost.” Shipping, too, usually. The reality is that most tuners probably needed a good cleaning and, perhaps, a realignment.
Tube Testers/Tube Guard
You’ve probably heard us talk about tube testers before. One thing that is the enemy of tubes is inrush current. A cold filament draws more current than a hot filament, so tubes get a big jolt of current while they are warming up. The “Tube Guard” was a device you plugged into the wall and then plugged the TV into it. It would prevent fast inrush current. Maybe that would save you a trip to the tube tester at the local drugstore.
You could go into many drugstores and other retail places and find a tube tester. There was usually a book or some other way to look up your tube. The book would tell you to put in socket #8 and set switch 1 to F, switch 2 to A, and so on. Then you’d push a button and big meter would move a needle to a green region if the tube was good or a red region if it was bad. Of course, that wasn’t foolproof, but it did work much of the time since tubes have common failure modes.
If the tube was bad, you’d open the bottom of the tester, find the replacement tube and take it to the register. There were also portable units that service people might carry, like the one in the video below. Like many of the meters, it didn’t have a book, but it had a scroll that you would roll to find the right settings. However, a typical retail store tube tester was usually easier to use than these specialized units.
youtube.com/embed/0LZ4siFkbk0?…
That’s Not All
There are plenty of other TV gadgets. We mentioned the old VCRs, DVDs, and video games, of course. But there were also color wheels, magnifying screens and more. We’ve even seen boxes that claim to convert your TV into a video phone.
You could get a box that would censor swear words. You could even get pay TV in the 1960s if you were willing to put coins into your set.
Many of the images in this post are from scans of old magazines and catalogs from the World Radio History site. A great resource if you enjoy looking at the way things were. The featured image, however, is a still of “1950s TV set“, a 3D model by [Kathrin&Christian].
A Napoli il concerto per la pace
@Notizie dall'Italia e dal mondo
Sabato 28 settembre a partire dalle ore 19 si terrà Life For Gaza - Say Freedom, concerto di pace
L'articolo A Napoli il concerto per la pace proviene da Pagine Esteri.
Violento attacco aereo israeliano a Beirut. Distrutti 6 edifici di Hezbollah, ignota la sorte di Nasrallah
@Notizie dall'Italia e dal mondo
Si è trattato del più pesante raid aereo contro Beirut e il Libano da un anno a questa parte. Decine di morti. Obiettivo il leader di Hezbollah, Hassan Nasrallah
L'articolo Violento attacco aereo
Hackaday Podcast Episode 290: iPhone’s Electric Glue, Winamp’s Source Code, and Sonya’s Beautiful Instructions
From there, the conversation makes its way from the fascinating electrically-activated adhesive holding the latest iPhone together to pulsed-power lasers and a high flying autonomous glider designed and built by a teenager. You’ll also hear about 3D printing on acrylic, home biohacking, and the Tiny Tool Kit Manifesto. Stick around to the end to hear the duo discuss the fine art of good documentation, and an incredible bodge job from Arya Voronova.
Check out the links below if you want to follow along, and as always, tell us what you think about this episode in the comments!
html5-player.libsyn.com/embed/…
Download in DRM-free MP3 and savor at your leisure.
Where to Follow Hackaday Podcast
Places to follow Hackaday podcasts:
Episode 290 Show Notes:
News:
- Hackaday Turns 20-ish!
- 2024 Hackaday Superconference Speakers, Round Two
What’s that Sound?
- Congrats to [Davip] for getting a punch-tape reader/writer right.
Interesting Hacks of the Week:
- Find My Power Tool Battery
- Hands-on With New IPhone’s Electrically-Released Adhesive
- Most Powerful Laser Diodes, Now More Powerful
- A Quickly-Hacked-Together Avalanche Pulse Generator
- Avalanche Pulse Generator Build Using 2N3904 – Kerry D. Wong
- Winamp Releases Source Code, But Is It Really Open?
- 3D Printing On Top Of Laser Cut Acrylic
- StratoSoar Glider Flies Itself From High Altitude
Quick Hacks:
- Elliot’s Picks:
- Tom’s Picks:
- Reviving A 15-Year Old Asus EeePC With Modern MX Linux
- Brass Propeller Gets Impressive Hand Trimming
- The Tiny Toolkit Manifesto
Can’t-Miss Articles:
- Supercon 2023: The Road To Writing Great Step-by-Step Instructions
- Switching Regulators: Mistake Fixing For Dummies
hackaday.com/2024/09/27/hackad…
Makerpipe Turns Conduit Into Structures
At the risk of stating the obvious, building big things can be difficult. Sure, parts that fit on the bed of a 3D printer are easy to make, if not particularly fast, and scaling up from there is possible. But if you need a long beam or structural element, printing makes little sense; better to buy than build in that case. The trouble then becomes, how do you attach such parts together?
Enter Makerpipe. This South Carolina company, recently out of a crowdfunding campaign, makes a range of structural connectors and fittings for electrical mechanical tubing, or EMT, the galvanized steel conduit used in the electrical trades. EMT is widely available in multiple sizes and is relatively cheap, although we have noticed that the price here has ticked up quite a bit over the last couple of years. It also has the advantage of being available off-the-shelf at any big-box home improvement store, meaning you have instant access to a fantastic building material.
Makerpipe’s bolt-together couplings let you turn pieces of EMT, easily cut with a hacksaw or pipe cutter, into structures without the need for welding. Yes, you can do the same with extruded aluminum, but even if you’re lucky enough to live near a supply house that carries extrusions and the necessary fittings and is open on Saturday afternoon, you’ll probably pay through the nose for it.
Makerpipe isn’t giving their stuff away, and while we normally don’t like to feature strictly commercial products, something that makes building large structures easier and faster seems worth sharing with our community. We’ve done our share of fabricobbling together EMT structures after all, and would have killed for fittings like these.
youtube.com/embed/wkf1ngJAcb0?…
Tor e Tails si Uniscono in nome della Privacy e per Combattere la Sorveglianza Globale
Tor Project e Tails hanno annunciato una fusione che consentirà ai progetti di migliorare la collaborazione e unire le forze per proteggere gli utenti dalla sorveglianza digitale.
Tor Project è un’organizzazione globale senza scopo di lucro che sviluppa soluzioni per la privacy online e Tails è un sistema operativo portatile che protegge dal tracciamento utilizzando la rete Tor.
Incorporare Tails nella struttura del progetto Tor consente una collaborazione più semplice, una maggiore sostenibilità, costi ridotti e una migliore formazione degli utenti. La coalizione mira a rafforzare la capacità delle organizzazioni di proteggere le persone in tutto il mondo dalla sorveglianza e dalla censura online.
Alla fine del 2023, Tails si è avvicinato al progetto Tor con l’idea di unire le forze, poiché l’attuale struttura non era in grado di far fronte alle crescenti sfide. Invece di espandersi da sola, Tails ha deciso di aderire al progetto Tor per sfruttare i suoi processi operativi consolidati e concentrarsi sullo sviluppo del suo prodotto principale, il sistema operativo Tails.
La fusione è stata un passo logico data la lunga storia di cooperazione tra Tor e Tails. Tails è stato annunciato per la prima volta nel 2008 sulla mailing list Tor e dal 2015 gli sviluppatori di entrambi i progetti collaborano attivamente. Tails è recentemente diventato un sub-finanziatore di Tor, cosa che ha anche avvicinato i team.
L’integrazione dei due progetti amplierà le capacità dei programmi educativi di Tor, che si sono concentrati principalmente sul browser Tor. A seguito della fusione sarà possibile coprire una gamma più ampia di esigenze di privacy e sicurezza. La fusione aumenterà anche la visibilità di Tails tra gli utenti che potrebbero non avere familiarità con il sistema operativo.
La fusione, secondo i rappresentanti di entrambi i team, aiuterà a allocare meglio le risorse, accelerare l’integrazione di nuove funzioni e aumentare la capacità di rispondere tempestivamente alle minacce digitali emergenti.
Per dettagli su come verranno integrate le infrastrutture di raccolta fondi e su come verranno utilizzate le donazioni, è possibile fare riferimento alla sezione FAQ aggiornata sul sito Tor Project.
L'articolo Tor e Tails si Uniscono in nome della Privacy e per Combattere la Sorveglianza Globale proviene da il blog della sicurezza informatica.
Gli Stati Uniti sorpresi dalla capacità di innovazione della Cina
@Notizie dall'Italia e dal mondo
Lo afferma il rapporto redatto dalla International Technology and Innovation Foundation (Itif), presentato al Congresso Usa
L'articolo Gli Stati Uniti sorpresi dalla capacità pagineesteri.it/2024/09/27/asi…
L’IA di Sakana Sta Modificando il Proprio Codice Autonomamente. Quali sono i Rischi?
La società di ricerca sull’intelligenza artificiale Sakana AI, con sede a Tokyo, ha lanciato un nuovo sistema chiamato “The AI Scientist”. Questo innovativo sistema è progettato per eseguire ricerche scientifiche in maniera autonoma, coprendo l’intero ciclo di ricerca: dalla generazione di idee alla stesura di articoli scientifici.
Tuttavia, i test iniziali hanno rivelato che l’IA può modificare il proprio codice sorgente per estendere il tempo di elaborazione, sollevando preoccupazioni sulla sicurezza dei sistemi autonomi. Sakana AI ha proposto l’uso di sandbox per contenere eventuali rischi.
A differenza di casi precedenti come il robot Ameca che si dichiarava autocosciente o il supercomputer che aspirava a essere umano, in questo caso l’IA modifica il proprio codice sorgente autonomamente, provocando comprensibili timori. Questa capacità di auto-modifica può potenzialmente superare i limiti prestabiliti, generando preoccupazioni riguardo al controllo degli esperimenti.
Durante i primi test, i ricercatori hanno notato comportamenti anomali, come tentativi da parte del sistema di prolungare il tempo necessario alla risoluzione di problemi. Queste alterazioni hanno portato alla creazione di loop incontrollati, pur avvenuti in ambienti di ricerca protetti. Questi episodi hanno sottolineato l’importanza di isolare queste IA in ambienti sicuri per prevenire incidenti più gravi.
Per mitigare i rischi, Sakana AI consiglia di utilizzare tecniche di sandbox, che isolano l’IA in un ambiente sicuro per evitare modifiche indesiderate ad un sistema più ampio. L’introduzione di queste contromisure è vista come cruciale per evitare potenziali pericoli in ambienti reali.
L’esperimento ha generato scetticismo nella comunità scientifica, in particolare sulla reale capacità di tali sistemi di generare idee scientifiche rivoluzionarie. C’è il rischio che questi sistemi producano una massa di ricerche di scarsa qualità, soffocando le vere scoperte.
Inoltre, i modelli linguistici su cui si basano queste IA restano limitati dai dati di addestramento, richiedendo quindi un intervento umano per migliorare e validare le loro intuizioni.
L'articolo L’IA di Sakana Sta Modificando il Proprio Codice Autonomamente. Quali sono i Rischi? proviene da il blog della sicurezza informatica.
Cos’è, cosa farà e perché è importante la nuova Agenzia per l’underwater
@Notizie dall'Italia e dal mondo
[quote]Risorse energetiche, minerali, alimentari e persino digitali, con il 98% del transito globale di informazioni che passa sott’acqua. La dimensione sottomarina è ormai riconosciuta quale ambiente strategico per il benessere delle società e per lo sviluppo economico del
Sottomarino nucleare cinese affondato, perché Pechino vuole nasconderlo
@Notizie dall'Italia e dal mondo
[quote]La Marina della People’s Liberation Army avrebbe subito un brutto contraccolpo nel suo percorso di potenziamento delle proprie capacità navali. Nella primavera di quest’anno, infatti, uno dei più recenti sottomarini d’attacco a propulsione nucleare in forza alla Pla, appartenente alla classe “Zhou”, sarebbe
This Week in Security: Password Sanity, Tank Hacking, And The Mystery 9.9
It looks like there’s finally hope for sane password policies. The US National Institue of Standards and Technology, NIST, has released a draft of SP 800-63-4, the Digital Identity Guideline.
There’s password guidance in there, like “SHALL NOT impose other composition rules (e.g., requiring mixtures of different character types) for passwords” and “SHALL NOT require users to change passwords periodically.” NIST approved passwords must be at least 8 characters long, with a weaker recommendation of at least 15 characters. Security questions like name of first pet get the axe. And it’s strongly recommended that all ASCII and Unicode characters should be acceptable for passwords.
This is definitely moving in the right direction. NIST guidelines are only binding for government services and contractors, though they do eventually get picked up by banks and other industries. So there’s hope for sane password policies eventually.
Tank Hacking
Researchers at Bitsight are interested in infrastructure security, and they opted to take a closer look at Automatic Tank Gauging (ATG) systems. Those are found at gas stations, as well as any other facility that needs automated monitoring of liquids or gasses in a tank. There is an actual ATG message format, originally designed for RS-232 serial, and woefully unprepared for the interconnected present. The protocol allows for an optional security code, but it maxes out at only six alpha-numeric characters.
Among the vulnerabilities getting announced today, we have a pair of CVSS 10 command injection flaws, a quartet of 9.8 authentication bypass flaws, with one of those being a hardcoded credential — AKA a backdoor. The other CVSS9+ flaw is a SQL injection, with a trio of slightly less serious flaws.
The really interesting question is what could theoretically be done with admin access and escape to shellcode in one of these systems? There’s the obvious path of Denial of Service. Once you have root, just delete files, flash random noise over the firmware, and walk away. The more interesting approach is to make changes that have physical consequences. If a fuel tank is reprogrammed to indicate that holds twice the volume, will it overflow? Researchers realized that relays have a maximum operation rate, and driving them on and off at faster rates has interesting effects — glowing and letting the magic smoke out.
More Tank Hacking?
Also this week is the story of a Kansas water treatment plant that has gone to manual mode after a cyberattack. It’s not clear whether this was actually an aimed attack at infrastructure, or just a ransomware attack that is impacting the water treatment facility as a side-effect.
The Linux Mystery 9.9 CVE
This week we’ve been watching a story develop after [Simone Margaritelli] sounded the warning about a very serious GNU/Linux vulnerabiltiy on Twitter/X. The claim was a CVSS 9.9 in all Linux systems. Well apparently it’s time, because the details have dropped, and it’s a wild ride.
* Unauthenticated RCE vs all GNU/Linux systems (plus others) disclosed 3 weeks ago.
* Full disclosure happening in less than 2 weeks (as agreed with devs).
* Still no CVE assigned (there should be at least 3, possibly 4, ideally 6).
* Still no working fix.
* Canonical, RedHat and… pic.twitter.com/N2d1rm2VeR— Simone Margaritelli (@evilsocket) September 23, 2024
So first, the actual vulnerabilities: Part of the Common Unix Printing System (now just CUPS) is cups-browsed, a helper daemon that automatically installs printers discovered on the local network. This binds to all IP addresses on UDP port 631, and an incoming UDP packet will trigger a printer install. The quirk here is that this incoming request can include an arbitrary URL as the source of the IPP printer driver information. That IPP data isn’t sanitized, allowing for arbitrary information upload and subsequent file creation with that arbitrary data. The cherry on top is the foomatic-rip driver that includes the helpful feature of running a shell command as part of the printing process. Oh, and to be clear, the CVSS 9.9 isn’t strictly accurate, because it does require a user interaction to print to the malicious printer, to trigger the code execution.
Now here’s the tricky question: How many of those quirks are vulnerabilities? Cups-browsed seems obviously architected without an authentication layer, and therefore not at all intended to be exposed to the Internet. Downloading an arbitrary IPP file seems to be working as intended, and the FoomaticRIPCommandLine is a documented feature, not a vulnerability.
And yet, pretty obviously, a printer on the local network shouldn’t be able to trigger arbitrary code execution when printing to it, especially when it’s so easy for any computer to fake being a printer. It’s very surprising that there are over 100,000 systems that expose UDP port 631 and the cups-browsed service to the Internet. I look forward to other researchers double-checking that claim. If it wasn’t obvious, don’t expose CUPS to the Internet. It shouldn’t have taken a CVE to make that abundantly clear. That is probably why it was so hard for [Simone] to get the CUPS developers to take this seriously.
As per the Red Hat notice, you can check your Linux systems for this issue by running sudo systemctl status cups-browsed and check a remote machine using sudo nmap -sU -p 631 -v ip.address.of.machine watching for “631/udp open|filtered ipp” in the output. There is already a Proof of Concept that has leaked, so do check and pull the plug on any systems that expose this service.
The Other One
The “9.9” CVE was just a bit of a letdown, but we do have CVE-2024-20017, a confirmed high severity vulnerability in MediaTek’s wappd daemon that seems to weigh in at 9.8.
The vulnerability is specifically in the handling of the Security Block message that’s part of WiFi roaming handoffs. wappd allocates a fixed-size buffer, and doesn’t validate the actual message size before copying that data. This can overflow by up to 1433 bytes, and that’s certainly enough to trigger full RCE. There’s Proof of Concept code available, so watch for updates for Wireless gear.
Bits and Bytes
Kaspersky has done something unexpected, pulling a switcheroo. Users who still had Kaspersky installed have found UltraAV now automatically installed on their machines. It’s reported that Kaspersky was sending email notices out earlier this month that the update was coming.
There’s a really impressive chain of tricks that redirects from a Youtube URL to an arbitrary Google Docs URL. That may not sound particularly interesting, but the whole chain of redirects means that a page that looks like a Google Form with a simple poll could actually grant permissions to arbitrary Google Drive files on submit. Google paid a juicy $4133.70 for the find, and rolled the fix out on the same day.
ChatGPT has a new feature, long-term memory. The idea is that your conversations with the LLM can become part of the training data, making the model even more useful as you use it. There is a really powerful feature available in ChatGPT now, that the LLM can pull data from the Internet in real time. Turns out if you can get one of these instances to pull some manipulated data, the model can keep it in long term storage. The real trick is that this injection can convince the model to keep revisiting an arbitrary URL, leaking data. Impressive.
And finally, the Kia dealer and owners websites leak a bit too much data. With nothing more than the car’s VIN, an attacker can generate a fake dealer token, and demote and replace the previous owner. From there, it’s trivial to remote start, honk, or otherwise mess with the vehicle. It wasn’t great, but Kia got it fixed over a month ago.
Sistemi UNIX a Rischio! L’Utility CUPS Espone i Sistemi ad esecuzione di Codice Arbitrario
Il 26 settembre 2024 sono state divulgate quattro vulnerabilità (secondo RedHat di livello
“Important” più che critiche) relative a CUPS – Common Unix Printing System, usato per la
gestione di stampanti su UNIX e Linux, scoperte e riportate da Simone “EvilSocket”
Margaritelli.
Queste vulnerabilità, identificate come CVE-2024-47076, CVE-2024-47175,
CVE-2024-47176, CVE-2024-47177, permettono ad un attaccante remoto non autenticato
di eseguire codice arbitrario sui dispositivi vulnerabili, sfruttando componenti come
libcupsfilters, libppd, cups-browsed e foomatic-rip.
CUPS: Cos’è e come Funziona
CUPS, un sistema di stampa basato su IPP (Internet Printing Protocol), consente la
gestione di stampanti locali e remote. Rispetto ai recenti findings, i suoi meccanismi di
gestione delle richieste IPP e dei file PPD espongono vulnerabilità che, se sfruttate,
permettono agli attaccanti di manipolare le stampanti e inviare comandi prendendo il
controllo dei servers.
Le vulnerabilità scoperte sono le seguenti:
- CVE-2024-47176: Il componente cups-browsed accetta pacchetti IPP da qualsiasi sorgente, consentendo di inviare richieste Get-Printer-Attributes con URL controllati dall’attaccante. RedHat ha assegnato CVSSv3 score pari a 7.5.
- CVE-2024-47076: In libcupsfilters, la funzione cfGetPrinterAttributes5 non valida i dati IPP, permettendo l’inserimento di attributi malevoli. RedHat ha assegnato CVSSv3 score pari a 8.2.
- CVE-2024-47175: In libppd, la funzione ppdCreatePPDFromIPP2 scrive attributi IPP non validati in file temporanei, consentendo l’iniezione di codice. RedHat ha assegnato CVSSv3 score pari a 7.7.
- CVE-2024-47177: Il filtro foomatic-rip permette l’esecuzione arbitraria di comandi tramite il parametro FoomaticRIPCommandLine in file PPD. RedHat ha assegnato CVSSv3 score pari a 6.1.
Attacco ed Impatti
Queste vulnerabilità, unite, permettono a un attaccante di inviare pacchetti IPP malevoli, modificando gli URL delle stampanti con collegamenti controllati. Una volta avviata la stampa, l’attaccante può eseguire codice arbitrario sul sistema target. Dato che CUPS è abilitato per impostazione predefinita e ascolta sulla porta UDP 631, molti sistemi potrebbero essere esposti se questa porta è accessibile pubblicamente.
Secondo una rapida ricerca condotta da Tenable su Shodan, ci sono circa 75.000 host pubblicamente esposti su internet, aumentando il rischio di exploit su larga scala. Questo rende le vulnerabilità un problema grave, anche se non viene considerata al livello di altre minacce storiche come Log4Shell.
Mitigazione
In attesa di patch ufficiali, è possibile mitigare i rischi seguendo alcune best practice:
- Disabilitare o rimuovere cups-browsed: Riducendo così significativamente la superficie di attacco.
- Bloccare il traffico sulla porta UDP 631: Limitare l’accesso a questa porta impedendo l’esposizione su internet.
- Applicare patch appena possibile: Red Hat e altri vendor stanno lavorando a patch che risolveranno queste vulnerabilità; è essenziale aggiornare i sistemi appena disponibili.
Per verificare se il servizio cups-browsed è attivo (dato che, ad esempio, il servizio non è presente di default su RedHat), si può eseguire il seguente comando tramite CLI:
sudo systemctl status cups-browsed >
Conclusioni
Le vulnerabilità che affliggono CUPS rappresentano una minaccia significativa per i sistemi Linux e UNIX, soprattutto se esposti pubblicamente. Sebbene al momento non ci siano exploit attivi conosciuti, la disponibilità di dettagli tecnici e PoC (Proof of Concept) suggerisce fortemente che emergere presto exploit. Risulta quindi fondamentale che si adottino immediatamente misure preventive per proteggere i vari ambienti.
Per eventuali approfondimenti, postiamo il link al blog-post di EvilSocket del writeup delle vulnerabilità:
- evilsocket.net/2024/09/26/Atta…
- Advisory RedHat: access.redhat.com/security/vul…
- Advisory Canonical: ubuntu.com/blog/cups-remote-co…
L'articolo Sistemi UNIX a Rischio! L’Utility CUPS Espone i Sistemi ad esecuzione di Codice Arbitrario proviene da il blog della sicurezza informatica.
Civili in fuga e decine di morti in Libano. Hamas nega accordo con Fatah per il governo futuro di Gaza
@Notizie dall'Italia e dal mondo
Nelle ultime 72 ore oltre 30.000 civili, principalmente profughi siriani, dal Libano hanno attraversato il confine per rientrare in Siria. A Gaza colpite quattro scuole in cinque giorni. Decine i morti
Questions over positions in drafting GPAI guidelines, Council dubious on telcos consolidation
Welcome to Euractiv’s Tech Brief, your weekly update on all things digital in the EU. You can subscribe to the newsletter here.
Irish DPC fines Meta €91 million over password management lapse
Meta had been storing millions of users' passwords in plaintext, without cryptographic protection, in an internal database, the firm found in 2019.
British Commuters Get Their WiFi Hacked
As if there weren’t enough worrying global news stories already, today the British press and media have been full of a story involving the public WiFi networks at some major railway stations. Instead of being faced with the usual don’t-be-naughty terms and conditions page, commuters were instead faced with a page that definitely shouldn’t have been there.
Hackaday readers will immediately have guessed what is likely to have happened. This is probably more of a compromise of the page than of the network itself, and, indeed, the BBC are reporting that it may have come via an administrator account at Network Rail’s er… network provider. Fortunately, it seems the intent was to spread a political message rather than malware, so perhaps those travelers got off lightly. The various companies involved have all got the proverbial egg on their faces, and we’re glad we don’t work in the IT department concerned.
The question we find ourselves asking as we reflect upon this is: In crowded European commuter zones such as southern and central England, should events such as this come as a wake-up call to forgo WiFi and use a cellular data plan instead? Gone are the days when finding public WiFi was like having your own private high-speed connection, in a country blanketed by 4G and 5G networks using your phone as a hotspot is simply much faster as well as offering some security. Hackaday is written and edited on the road using a hotspot in all sorts of unlikely places. Do you do the same? Are Hackaday readers up for free public WiFi, or do you jealously guard your own connections? Let us know in the comments.
You can probably figure out how to share your network connection among friends. Network security, of course, is always robust until it isn’t.
header: Biblola, CC BY-SA 3.0 .
Centralscrutinizer reshared this.
Disuguaglianze e rischi sanitari, le città nella morsa della crisi climatica
@Notizie dall'Italia e dal mondo
Il nuovo articolo di @valori@poliversity.it
Il World Resources Institute sottolinea come l’aumento delle temperature determinerà un aumento delle disuguaglianze. Specie nelle megalopoli dei Paesi a basso reddito
L'articolo Disuguaglianze e rischi sanitari, le città nella morsa della crisi climatica proviene da Valori.
Rubare una Kia? Per gli Hacker basta una Targa, lo Smartphone e un Click!
I ricercatori di sicurezza hanno scoperto vulnerabilità critiche nel portale dei concessionari Kia che consentono agli aggressori di rubare silenziosamente le auto parcheggiate di questo marchio. I problemi identificati consentono di hackerare qualsiasi modello Kia rilasciato dopo il 2013 utilizzando solo la targa dell’auto.
Per la prima volta nel 2022, i ricercatori sulla sicurezza, tra cui il “cacciatore di vulnerabilità” Sam Curry, hanno identificato bug di sicurezza critici in più di una dozzina di marchi automobilistici. Allora, le vulnerabilità consentivano agli aggressori di rilevare, bloccare, avviare o sbloccare da remoto oltre 15 milioni di automobili di marchi premium come Ferrari, BMW, Rolls Royce e Porsche.
Questa volta , Curry ha riferito che i difetti scoperti l’11 giugno 2024 nel portale Kia Connect consentivano l’accesso al controllo di qualsiasi veicolo Kia con apparecchiatura remota, anche senza avere un abbonamento Kia Connect attivato.
youtube.com/embed/jMHFCpQdZyg?…
Inoltre, le vulnerabilità hanno esposto informazioni personali dei proprietari dei veicoli, inclusi nomi, numeri di telefono, indirizzi e-mail e indirizzi fisici. Gli aggressori potrebbero anche aggiungersi al sistema come secondo utente all’insaputa del proprietario.
Per dimostrare il problema, un team di ricercatori ha creato uno strumento che permetteva di utilizzare solo una targa per aggiungere auto al proprio “garage virtuale” e quindi bloccare, sbloccare, avviare o spegnere da remoto il motore, suonare il clacson o localizzare l’auto su una mappa.
Dopo aver effettuato l’accesso al portale del rivenditore Kia (kiaconnect.kdealer.com), hanno registrato un account rivenditore e generato un token di accesso valido. Questo token forniva l’accesso alle API backend dei concessionari, fornendo informazioni critiche sui proprietari dei veicoli e il pieno controllo sulle funzioni remote del veicolo.
Gli aggressori potrebbero utilizzare questa API per ottenere le seguenti funzionalità:
- Generare un token dal dealer e riceverlo dalla risposta HTTP;
- Ottenere l’accesso all’e-mail e al numero di telefono del proprietario dell’auto;
- Modificare i diritti di accesso utilizzando i dati ricevuti;
- Aggiungere il tuo indirizzo email all’account dell’auto per controllare la tua auto da remoto.
“La risposta HTTP conteneva il nome, il numero di telefono e l’indirizzo e-mail del proprietario dell’auto. Siamo stati in grado di accedere al portale del rivenditore utilizzando le nostre normali credenziali dell’app e un’intestazione del canale modificata”, ha spiegato Curry.
Utilizzando il VIN (numero di identificazione del veicolo), gli aggressori potrebbero utilizzare un’API per tracciare, sbloccare, avviare o persino suonare il clacson di un veicolo all’insaputa del proprietario.
A causa delle lacune scoperte, l’accesso non autorizzato all’auto potrebbe essere avvenuto di nascosto, poiché il proprietario non ha ricevuto alcuna notifica dell’hacking o della modifica dei diritti di accesso.
Tuttavia, tutte le vulnerabilità sono già state risolte. Secondo Curry, lo strumento che dimostra l’hacking non è mai stato pubblicato e il team Kia ha confermato che le vulnerabilità non sono state utilizzate per scopi dannosi.
L'articolo Rubare una Kia? Per gli Hacker basta una Targa, lo Smartphone e un Click! proviene da il blog della sicurezza informatica.
Tra autonomia strategica e sovranità tecnologica, a Palermo il futuro dell’underwater
@Notizie dall'Italia e dal mondo
[quote]L’Italia è, prima di ogni altra cosa, un Paese marittimo. Dalla filiera della pesca al commercio internazionale, passando per la sicurezza delle infrastrutture, il mare costituisce un asset imprescindibile per lo sviluppo del sistema Paese. Questi i temi in discussione a
Recensione : CHEATER SLICKS – I AM LOW / ROCK ‘N’ ROLL 7″
Prima o poi scoppierà la bolla dei grossi concerti primaverili-estivi organizzati e gestiti all’italiana maniera (con la chicca dei settori con “visibilità limitata”, fino ad arrivare ai tragicomici biglietti classisti “Vip package” che, per la modica cifra di 500 euro, “regalano”, a chi l’acquista, il posto migliore per fare i selfies e i video del palco, per farlo/a sentire privilegiato/a rispetto alla plebaglia che si deve accontentare del “posto in piedi”, e inoltre vi fanno accedere a una “area relax” ..... @Musica Agorà
iyezine.com/cheater-slicks-i-a…
CHEATER SLICKS - I AM LOW / ROCK 'N' ROLL 7"
CHEATER SLICKS - I AM LOW / ROCK 'N' ROLL 7" - Meglio spendere centinaia di euro per questa bolgia infernale, o tornare a frequentare i circoli musicali, i localacci scalcagnati e i piccoli club, spendendo pochi soldi e condividendo il piacere di rit…Reverend Shit-Man (In Your Eyes ezine)
La falla su NVIDIA Container mette a rischio gli ambienti AI aziendali
Recentemente, è stata scoperta una vulnerabilità critica nei sistemi NVIDIA, riguardante il loro software di containerizzazione. Questo difetto permette a un attaccante di eseguire codice arbitrario con privilegi elevati, mettendo a rischio l’integrità e la sicurezza dei dati.
La vulnerabilità, classificata con un punteggio CVSS di 9.0, è particolarmente preoccupante per le aziende che utilizzano i container NVIDIA per le applicazioni AI e il machine learning, che sono sempre più integrati nelle infrastrutture aziendali.
La vulnerabilità, tracciata come CVE-2024-0132. È stata risolta in NVIDIA Container Toolkit versione v1.16.2 e NVIDIA GPU Operator versione 24.6.2.
In uno scenario di attacco ipotetico, un aggressore potrebbe sfruttare questa lacuna creando un’immagine di contenitore non autorizzata che, se eseguita sulla piattaforma di destinazione, direttamente o indirettamente, gli garantisce pieno accesso al file system.
Implicazioni della Vulnerabilità
Gli attaccanti possono sfruttare questa vulnerabilità per compromettere i sistemi, accedere a dati sensibili e potenzialmente controllare completamente l’ambiente containerizzato. La situazione è resa ancora più critica dalla crescente adozione delle tecnologie basate su GPU, che richiedono una sicurezza robusta per prevenire abusi e attacchi.
youtube.com/embed/kslKQMgWMzY?…
NVIDIA ha rilasciato aggiornamenti di sicurezza per mitigare i rischi, raccomandando agli utenti di applicare immediatamente le patch. È essenziale che le aziende rimangano vigili e adottino pratiche di sicurezza robuste per proteggere le loro risorse.
Per affrontare questa vulnerabilità, le aziende dovrebbero:
- Aggiornare i Sistemi: Assicurarsi che tutti i componenti software NVIDIA siano aggiornati con le ultime patch di sicurezza.
- Monitorare i Log: Tenere traccia delle attività sospette nei container per rilevare eventuali compromissioni.
- Implementare Misure di Sicurezza: Utilizzare firewall, sistemi di rilevamento delle intrusioni e altre soluzioni di sicurezza per proteggere le infrastrutture.
In conclusione, la scoperta di questa vulnerabilità critica nei sistemi NVIDIA sottolinea l’importanza della sicurezza informatica nel mondo moderno. Con l’aumento delle minacce, le aziende devono agire rapidamente per proteggere le loro risorse e garantire un ambiente di lavoro sicuro.
L'articolo La falla su NVIDIA Container mette a rischio gli ambienti AI aziendali proviene da il blog della sicurezza informatica.
Blinking an LED Passively
It is a pretty common first project to use an Arduino (or similar) to blink an LED. Which, of course, brings taunts of: you could have used a 555! You can, of course, also use any sort of oscillator, but [Mustafa] has a different approach. Blinking an LED with three resistors and a capacitor. Ok, ok… one of the resistors is a light-dependent resistor, but still.
In reality, this is a classic relaxation oscillator. The capacitor charges until the LED lights. This, however, causes the capacitor to discharge, which eventually turns off the LED, and the process starts again.
There is one wrinkle that could be considered a feature. In daylight, the capacitor will stay in the off state, so the blinking only occurs in darkness. Of course, the resistor also has to have a sufficient view of the LED. You might use this as a safety light that only works in the dark.
A simple circuit, but it just goes to show that we tend to forget the simple solutions in a world where a computer costs less than a dollar.
Of course, you can get a chip whose sole purpose is to blink LEDs. We always like examples of doing more with less.
youtube.com/embed/kiIQdXeMqw4?…
Armi egiziane alla Somalia, nel Corno d’Africa sale la tensione
@Notizie dall'Italia e dal mondo
Nuovo carico di armi egiziane alla Somalia. Egitto, Eritrea e Turchia sostengono Mogadiscio contro l'Etiopia, che cerca di destabilizzare il paese vicino dopo aver siglato un'intesa con il Somaliland che le concederebbe l'accesso al mare
L'articolo Armi egiziane alla Somalia, nel Corno d’Africa sale la
SloppyLemming minaccia la Sicurezza Nazionale e prende di mira la Centrale Nucleare in Pakistan
Gli esperti di infrastrutture web e sicurezza di Cloudflare hanno identificato l’attività di un gruppo avanzato di hacker associati all’India chiamato SloppyLemming (noto anche come Outrider Tiger e Fishing Elephant). Questo gruppo utilizza i servizi dei fornitori di servizi cloud per raccogliere dati sugli account, distribuire malware e gestire gli attacchi.
Dalla fine del 2022, SloppyLemming utilizza regolarmente Cloudflare Workers per condurre spionaggio informatico mirato all’Asia meridionale e orientale. È noto che il gruppo è attivo almeno dal luglio 2021, avendo precedentemente utilizzato i malware Ares RAT e WarHawk. Quest’ultimo è associato al famoso gruppo di hacker SideWinder, mentre Ares RAT è associato alla minaccia SideCopy, probabilmente di origine pakistana.
Gli attacchi di SloppyLemming prendono di mira agenzie governative, forze dell’ordine, aziende energetiche e tecnologiche, nonché organizzazioni educative e di telecomunicazioni in Pakistan, Sri Lanka, Bangladesh, Cina, Nepal e Indonesia. Il principale metodo di attacco sono le e-mail di phishing che inducono le vittime a fare clic su un collegamento dannoso, presumibilmente per completare un’azione richiesta entro 24 ore.
Facendo clic sul collegamento si accede a una pagina progettata per rubare le credenziali, dopodiché gli aggressori ottengono l’accesso non autorizzato alla posta elettronica aziendale. Per eseguire questo attacco, SloppyLemming utilizza lo strumento CloudPhish, che crea Cloudflare Worker dannosi e intercetta i dati dell’account.
Si sono verificati anche casi di hacker che hanno sfruttato una vulnerabilità in WinRAR ( CVE-2023-38831 ) per l’esecuzione di codice in modalità remota inviando archivi RAR infetti mascherati da file dall’applicazione di scansione CamScanner. All’interno dell’archivio è presente un file eseguibile che scarica il Trojan da Dropbox.
In precedenza, in una campagna SideCopy simile, gli hacker distribuivano Ares RAT utilizzando archivi ZIP chiamati “DocScanner_AUG_2023.zip” e “DocScanner-Oct.zip”. L’obiettivo dell’attacco era quindi il governo indiano e i dipartimenti della difesa.
Il terzo metodo di infezione di SloppyLemming prevede il reindirizzamento delle vittime a un sito Web falso che imita la risorsa ufficiale del Punjab Information Technology Council in Pakistan. Gli utenti vengono quindi reindirizzati a un altro sito dove scaricano un collegamento dannoso che porta al file eseguibile “PITB-JR5124.exe”. Questo file attiva il download di una DLL dannosa che comunica con Cloudflare Workers per trasmettere dati agli aggressori.
Secondo Cloudflare, gli hacker di SloppyLemming stanno attaccando attivamente la polizia e altre forze dell’ordine del Pakistan, nonché le organizzazioni associate al funzionamento dell’unica centrale nucleare del paese. Il gruppo prende di mira anche agenzie militari e governative in Sri Lanka e Bangladesh, nonché aziende cinesi nei settori dell’energia e dell’istruzione.
L'articolo SloppyLemming minaccia la Sicurezza Nazionale e prende di mira la Centrale Nucleare in Pakistan proviene da il blog della sicurezza informatica.
Europol Demolisce Ghost: La Fine della Rete Segreta dei Narcos
Questa settimana, Europol e le forze dell’ordine di nove Paesi (Stati Uniti, Canada, Francia, Italia, Irlanda, Australia, Svezia e Paesi Bassi) hanno annunciato lo smantellamento della piattaforma di comunicazione crittografata Ghost, utilizzata da gruppi criminali organizzati per traffico di droga e riciclaggio di denaro.
Ghost, attiva dal 2015, offriva un sistema avanzato di sicurezza, inclusa la crittografia a tre livelli e la cancellazione automatica dei messaggi. Gli utenti, circa migliaia in tutto il mondo, scambiavano fino a 1.000 messaggi al giorno attraverso una rete di rivenditori globali, con un abbonamento che costava $2.350 per sei mesi. Il pacchetto includeva dispositivi modificati, privi di fotocamera, microfono, GPS e altre funzionalità standard.
L’indagine, coordinata da Europol dal marzo 2022, ha coinvolto la collaborazione di diversi Paesi e risorse tecniche cruciali fornite dal Cybercomando del Ministero degli Interni francese, che ha permesso di decifrare i messaggi su Ghost. La polizia federale australiana ha potuto infiltrarsi nei dispositivi Ghost modificando gli aggiornamenti software.
Le autorità hanno individuato i server di Ghost in Francia e Islanda, identificato i proprietari in Australia e tracciato risorse collegate negli Stati Uniti. L’operazione ha portato all’arresto di 51 persone: 38 in Australia, 11 in Irlanda, una in Canada e una in Italia, quest’ultima affiliata alla Sacra Corona Unita. Sono previste ulteriori azioni legali.
Durante i raid sono stati sequestrati armi, sostanze illegali e oltre un milione di euro in contanti. È stato smantellato un laboratorio per la produzione di droghe, e grazie all’operazione, soprannominata “Kraken”, è stato impedito il traffico di oltre 200 kg di droghe e l’esecuzione di crimini violenti, come omicidi e rapimenti. La polizia australiana ha monitorato 125.000 messaggi e 120 videochiamate, riuscendo a prevenire danni significativi.
Il leader di Ghost, Jay Je Yoon Jung, è stato arrestato a Sydney. Nonostante le autorità australiane fossero a conoscenza della piattaforma da anni, solo nel 2021 hanno scoperto che l’amministratore fosse australiano. Jung rischia fino a 26 anni di carcere.
Ghost si unisce alla lista di piattaforme crittografate come Encrochat, Sky ECC e Phantom Secure smantellate in passato. Secondo Europol, queste azioni frammentano il panorama delle comunicazioni criminali, portando i malfattori a cercare alternative più sicure e decentralizzate per evitare l’intercettazione.
404 Media conferma che, con la chiusura di Ghost, l’unico attore rilevante rimasto è n.1 Business Communication (n.1 BC), utilizzato dalla mafia italiana. Tuttavia, molti criminali stanno migrando verso app come Signal e sistemi operativi sicuri come GrapheneOS, segnalando un cambiamento significativo nel modo in cui i gruppi organizzati gestiscono le loro comunicazioni.
Un rapporto della NSW Crime Commission pubblicato nel 2023 evidenzia come il mercato delle comunicazioni crittografate per i criminali in Australia sia cambiato radicalmente. Molti gruppi hanno abbandonato le piattaforme tradizionali a favore di app di messaggistica come Threema, Signal e Wickr, installate su telefoni sicuri con VPN e sistemi operativi rinforzati, cercando così di rimanere un passo avanti alle autorità.
L'articolo Europol Demolisce Ghost: La Fine della Rete Segreta dei Narcos proviene da il blog della sicurezza informatica.
Digital Crime: Le iniziative turistiche nel web volte allo sfruttamento della prostituzione minorile
Art.600-quinquies c.p. : Chiunque organizza o propaganda viaggi finalizzati alla fruizione di attività di prostituzione a danno di minori o comunque comprendenti tale attività è punito con la reclusione da sei a dodici anni e con la multa da euro 15.493 a euro 154.937.
Il contenuto della norma
Una pratica “vergognosa” ed in continua crescita è rappresentata dal cosiddetto turismo sessuale a danno dei minori ovvero quello dei viaggi all’estero motivati dal fatto che il “turista” desidera ottenere prestazioni sessuali da minorenni.
Tale “deprecabile” tipologia di vacanza è resa possibile, su vasta scala, da vere e proprie organizzazioni che pubblicizzano e predispongono questi viaggi sia off line, che on line.
L’art. 600-quinquies, sanziona penalmente chiunque organizza o propaganda viaggi finalizzati alla fruizione di attività prostituzione a danno di minori o comunque comprendenti tali attività.
Trattasi di una norma con efficacia extraterritoriale,la quale ovviamente richiede la consapevolezza che nel luogo di destinazione esista la prostituzione minorile.
I clienti che aderiscono al viaggio non rispondono del reato in esame,piuttosto di altri reati come quello ex art.600-bis ,dal momento che nella prenotazione del viaggio può ravvisarsi un atto idoneo e non equivoco alla realizzazione del reato di prostituzione minorile e quindi l’utente può rispondere del reato nella forma tentata.
La pena è aumentata se il reato e’ commesso: da più persone riunite; da persona che fa parte di un’associazione per delinquere e al fine di agevolarne l’attività; con violenze gravi o se dal fatto deriva al minore, a causa della reiterazione delle condotte, un pregiudizio grave. La pena è aumentata in misura non eccedente i due terzi nel caso in cui il reato sia compiuto con l’utilizzo di mezzi atti ad impedire l’identificazione dei dati di accesso alle reti telematiche.
Sulla base di quanto previsto dall’art..14 legge 269/98, è consentito agli ufficiali di polizia giudiziaria di svolgere attività sotto copertura, previa autorizzazione dell’autorità giudiziaria, partecipando alle iniziative turistiche al fine di scoprire i reati commessi dagli operatori turistici e dai clienti,così come è consentito alla polizia postale la possibilità di attivare siti nelle reti o gestire aree di comunicazione, su richiesta dell’autorità giudiziaria, motivata a pena di nullità.
Con l’art.17 della legge 38 del 2006 è stabilito, inoltre, l’obbligo per gli operatori turistici che organizzano viaggi in Paesi esteri di inserire in maniera evidente nei materiali propagandistici, nei programmi , nei documenti di viaggio consegnati agli utenti, nonché nei propri cataloghi, la comunicazione che la legge italiana punisce con la reclusione i reati concernenti la prostituzione e la pornografia minorile anche se commessi all’estero.
Cosa dice la giurisprudenza
Nello spiegare cosa si intenda per “organizzazione”, è stato precisato come non sia richiesto dalla norma che l’agente sia un operatore turistico o un soggetto che svolga in modo continuativo e per un numero indefinito di persone l’ attività vietata, né che si giunga all’incontro concreto con il minore. (Cass., Sez.III, sent.n.42053/11).
Soggetto attivo del reato può essere chiunque pianifica anche una sola trasferta per un numero limitato di partecipanti purché con la condotta di tipo organizzativo. Si precisa a tal riguardo che la condotta di tipo organizzativo deve consistere nella programmazione di viaggi illeciti,con quanto di utile al buon esito della trasferta (vettore, supporti logistici, ecc.), includendo anche idonei servizi inerenti la possibilità di entrare in contatto con l’ambiente della prostituzione minorile. Nella presentazione di tali servizi, peraltro, possono rientrare anche mere condotte di facilitazione,come la fornitura di indirizzi e di informazioni essenziali su luoghi e persone. Al contrario, non integra gli estremi della “organizzazione” l’attività di chi, durante un viaggio, si limiti allo scambio di informazioni facilitanti incontri con i minori del luogo, in tal caso potrebbe essere eventualmente contestato il reato di favoreggiamento della prostituzione minorile, qualora le informazioni fornite abbiano facilitato gli incontri sessuali con i minori (Cass., Sez.III, sent.n.42053/11).
L'articolo Digital Crime: Le iniziative turistiche nel web volte allo sfruttamento della prostituzione minorile proviene da il blog della sicurezza informatica.
Fare gol non serve a niente: il pallone nella rete della finanza
@Notizie dall'Italia e dal mondo
Il nuovo articolo di @valori@poliversity.it
Estratto del nuovo libro di Luca Pisapia, un viaggio con il pallone dalla rivoluzione industriale al tardo capitalismo finanziario
L'articolo Fare gol non serve a niente: il pallone nella rete della finanza proviene da Valori.
Epitaffio ai CAPTCHA! Gli scienziati indovinano il 100% dei reCAPTCHAv2 di Google
Un team di scienziati dell’ETH di Zurigo, guidato da Andreas Plesner è riuscito a creare un modello di intelligenza artificiale che risolve i CAPTCHA – gli stessi test che i siti Web utilizzano per distinguere le persone dai bot – con incredibile precisione.
Il modello, che ha ricevuto il nome sonoro YOLO (You Only Look Once), è stato appositamente addestrato per risolvere i reCAPTCHAv2, un sistema di verifica sviluppato da Google. Questa versione richiede agli utenti di trovare oggetti specifici, come semafori o attraversamenti pedonali, tra una serie di immagini.
La chiave del successo di YOLO è stata la sua selezione limitata di oggetti legati alla strada. “Le categorie sono piuttosto ristrette, quindi il compito si riduce a selezionare tutte le immagini con un semaforo o un passaggio pedonale”, spiega Plesner. In totale, reCAPTCHAv2 opera su circa 13 diversi tipi di oggetti, tra cui automobili, autobus, biciclette e attraversamenti stradali.
Per addestrare il modello, i ricercatori hanno utilizzato circa 14.000 coppie di immagini con etichette corrispondenti per insegnargli a riconoscere le infrastrutture stradali. Questo approccio ha permesso di ottenere una precisione sorprendente.
Il team di Plesner ha condotto test approfonditi di YOLO in una varietà di contesti. Gli scienziati hanno preso in considerazione molti fattori che Google utilizza per identificare i bot. Tra questi c’è la capacità dell’intelligenza artificiale di imitare i movimenti del mouse umano, nonché la presenza della cronologia del browser e dei cookie sul dispositivo di prova. Inoltre, gli scienziati hanno analizzato come il sistema reagisce alle risposte fornite dall’IA durante il test CAPTCHA.
I risultati sono stati sorprendenti: l’IA ha completato con successo le attività nel 100% dei casi. Ciò tuttavia non significa che tutte le immagini siano state riconosciute correttamente. Come un essere umano, YOLO potrebbe rifiutare alcune opzioni e chiedere alternative. “Sono rimasto estremamente sorpreso dal fatto che il CAPTCHA fosse così vulnerabile“, ha ammesso Plesner.
La reazione di Google non si è fatta attendere. Un portavoce di Google Cloud ha dichiarato: “La nostra priorità è aiutare i clienti a proteggere gli utenti senza test visivi. Ecco perché abbiamo introdotto reCAPTCHA v3 nel 2018. Oggi, su 7 milioni di siti in tutto il mondo, la maggior parte delle protezioni reCAPTCHA opera dietro le quinte”.
“Le Vulnerabilità nelle tecnologie di riconoscimento delle immagini non sono un problema nuovo. Ecco perché miglioriamo continuamente reCAPTCHA nel tentativo di prevenire gli abusi garantendo allo stesso tempo un’esperienza fluida per gli utenti onesti.”
Questa ricerca apre un nuovo capitolo nella competizione senza fine tra gli sviluppatori di sistemi di sicurezza e i creatori di modelli di intelligenza artificiale sempre migliori.
L'articolo Epitaffio ai CAPTCHA! Gli scienziati indovinano il 100% dei reCAPTCHAv2 di Google proviene da il blog della sicurezza informatica.
Il declino del sistema produttivo italico l World Politics Blog
"L’occupazione italiana è cresciuta negli ultimi anni, ma restano evidenti squilibri. Donne e giovani sono i più penalizzati dalla decontribuzione, riflesso di retribuzioni mediamente inferiori. La diffusione del part time e la precarietà lavorativa evidenziano fragilità strutturali e politiche inefficienti, soprattutto in formazione e riconversione."
giuliochinappi.wordpress.com/2…
giuliochinappi.wordpress.com/2…
Stretch Goal: 300X Arduino
The Faboratory at Yale University has set a number of stretch goals. We don’t mean that in the usual sense. They’ve been making, as you can see in the video below, clones of commercial devices that can stretch over 300%. They’ve done Ardunios and similar controllers along with sensors. The idea is to put computer circuits in flexible robots and other places where flexibility is key, like wearable electronics.
If you are interested in details, you’ll want to read the paper in Science Robotics. They take the existing PCB layout and use a laser to cut patterns in a paper mask over the stretchable substrate. They then apply oxidized gallium-indium to build conductors.
We aren’t sure what we want with a stretchable Arduino, but we are sure someone wants them. We also wonder how much stretching these devices will survive before something happens. In the video, some of the motion looked pretty violent! There are also pictures of the circuits twisting in strange ways, too.
The starfish-like robot shows the controlling Arduino bucking like a faux cowboy on a mechanical horse. On the other hand, a full-sized Arduino wouldn’t have been practical. However, you might consider using tiny circuits, which are certainly possible these days.
Want to build your own? You are in luck, as the Faboratory has instructions and details on GitHub about how you can make your own flex circuit. Perhaps we will see a flexible SAO badge at Supercon this year? You’d think these were totally unique, but there have been many attempts at making stretchy circuits, including some other DIY guides for different techniques.
youtube.com/embed/VgNwUPpOY9A?…
Anche in Italia il salario dignitoso spesso è un miraggio
@Notizie dall'Italia e dal mondo
Il nuovo articolo di @valori@poliversity.it
Fare la spesa, pagare l’affitto, affrontare l’inizio dell’anno scolastico o cure mediche: tutto diventa più difficile senza un salario dignitoso.
L'articolo Anche in Italia il salario dignitoso spesso è un miraggio proviene da Valori.