Ministero dell'Istruzione
📌 Torna Fiera Didacta Italia! La più importante fiera sull’innovazione della #scuola si svolge per la prima volta in Puglia, dal 16 al 18 ottobre, alla Fiera del Levante a Bari.Telegram
Deepfake e Telegram: I Bot che Spogliano le Donne Minacciano la Privacy
I bot del popolare messenger Telegram che creano immagini pornografiche basate su fotografie sono diventati un vero problema, nonostante i tentativi dei legislatori e delle società IT di combatterli.
L’esperto di deepfake Henry Eider nel 2020 ha scoperto uno dei primi robot in grado di “spogliare” immagini di donne utilizzando l’intelligenza artificiale. Secondo lui, all’epoca furono create più di 100.000 fotografie esplicite, comprese immagini di bambini. Questo caso è stato una pietra miliare significativa che ha dimostrato a cosa possono portare i deepfake.
Da allora, la tecnologia si è evoluta e ora su Telegram puoi trovare decine di bot che offrono di creare immagini di nudo o pornografiche in pochi clic. Un recente studio di WIRED ha identificato almeno 50 bot di questo tipo, alcuni dei quali particolarmente popolari, con oltre 400.000 utenti. Allo stesso tempo, in totale tutti questi bot contano circa 4 milioni di utenti attivi al mese.
Aider sottolinea che il numero di persone che utilizzano tali strumenti è aumentato notevolmente, soprattutto rispetto al 2020. Nota che tali tecnologie rappresentano una seria minaccia, soprattutto per le ragazze e le donne, e sono ancora facilmente accessibili tramite Telegram. I bot che violano la privacy sono spesso accompagnati da canali in cui gli utenti possono iscriversi agli aggiornamenti su nuove funzionalità e offerte.
Sebbene Telegram abbia rimosso 75 bot e canali correlati in seguito alle domande di WIRED, il problema non è scomparso. Nuovi bot continuano ad apparire nonostante i tentativi della piattaforma di combatterli. Secondo Elena Michael, direttrice della campagna #NotYourPorn, Telegram è difficile da monitorare e moderare, rendendo la piattaforma particolarmente pericolosa per le vittime della violenza deepfake.
In particolare, la maggior parte dei bot richiede agli utenti di acquistare token per creare immagini e le regole contro il caricamento di immagini senza consenso sono limitate. Inoltre, Telegram fornisce funzioni di ricerca che facilitano la ricerca e l’utilizzo di tali bot.
Mentre in diversi paesi vengono adottate misure legislative e le aziende IT aggiornano le proprie politiche, Telegram rimane una delle piattaforme chiave su cui continuano a diffondersi immagini deepfake.
L'articolo Deepfake e Telegram: I Bot che Spogliano le Donne Minacciano la Privacy proviene da il blog della sicurezza informatica.
L’AI per la difesa nazionale: alleata o cavallo di Troia? L’esperimento nel Regno Unito
Il Ministero della Difesa britannico affida all'intelligenza artificiale l'analisi dei dati per la sua revisione strategica. Una mossa innovativa che solleva interrogativi su sicurezza, affidabilità e il ruolo dell'intervento umano nelle decisioni militari del futuro
L'articolo L’AI per la difesa nazionale: alleata o cavallo di Troia? L’esperimento nel Regno Unito proviene da Cyber Security 360.
Scoperto un attacco quantistico alla crittografia tradizionale: quali implicazioni
Alcuni ricercatori cinesi avrebbero condotto con successo un attacco contro alcuni algoritmi crittografici usando un computer quantistico D-Wave. Una notizia che, se confermata, potrebbe rappresentare un campanello d'allarme per l'intero settore della cyber security. Ecco le implicazioni
L'articolo Scoperto un attacco quantistico alla crittografia tradizionale: quali implicazioni proviene da Cyber Security 360.
🇪🇺 Yet Another Owl 🎗️🕯️🕊️ reshared this.
TrickMo ruba i codici OTP e prende il controllo dei dispositivi Android: come difendersi
I ricercatori di Zimperium hanno pubblicato un’analisi dettagliata dei campioni più recenti della variante di TrickMo, il trojan bancario per Android che ora ha nuove funzionalità, metodi di attacco più efficaci e tecniche avanzate per evitare il rilevamento. Ecco tutti i dettagli e come difendersi
L'articolo TrickMo ruba i codici OTP e prende il controllo dei dispositivi Android: come difendersi proviene da Cyber Security 360.
Ruolo cruciale del C-Level: responsibility, accountability e liability secondo la NIS 2
La NIS 2 e il decreto di recepimento assegnano ai vertici aziendali una responsabilità generale nella gestione della sicurezza informatica, suddivisa in tre dimensioni fondamentali: responsibility, accountability e liability. Ecco come si articolano e quali sono le implicazioni per il Top Management
L'articolo Ruolo cruciale del C-Level: responsibility, accountability e liability secondo la NIS 2 proviene da Cyber Security 360.
Il phishing si nasconde nei commenti di GitHub per bypassare i filtri e-mail: come difendersi
È stata identificata una campagna di phishing in cui gli attaccanti sfruttano il sistema dei commenti di GitHub per distribuire malware in grado di bypassare i Secure Email Gateway utilizzati per filtrare le e-mail alla ricerca di contenuti dannosi. Ecco tutti i dettagli e i consigli per mitigare il rischio
L'articolo Il phishing si nasconde nei commenti di GitHub per bypassare i filtri e-mail: come difendersi proviene da Cyber Security 360.
Non si può invocare il legittimo interesse per scopi commerciali: quali impatti
La Corte di Giustizia dell’Unione Europea ha stabilito in una recente sentenza, nella causa C-621/22, che il titolare del trattamento non più invocare il legittimo interesse quale base giuridica prevista dal GDPR, per perseguire un interesse commerciale. Vediamo meglio
L'articolo Non si può invocare il legittimo interesse per scopi commerciali: quali impatti proviene da Cyber Security 360.
Tra IA e dominio degli algoritmi, come cambia il ruolo delle Autorità: sfide e opportunità
Il G7 Privacy ha fatto il punto su problematiche e sfide poste in relazione al tema dell’uso sicuro e corretto dei dati personali, nonché degli strumenti di IA, sempre più pervasivi della nostra quotidianità. Per questo è necessario assicurare il corretto uso di tali tecnologie per garantire che siano al servizio dell’uomo e non viceversa
L'articolo Tra IA e dominio degli algoritmi, come cambia il ruolo delle Autorità: sfide e opportunità proviene da Cyber Security 360.
Conformità alla NIS 2 e a DORA: aziende e CISO sono pronti? Indicazioni operative
Prepararsi a NIS 2 e DORA non è una gara a chi riesce a farla franca, ma un’opportunità da cui è possibile trarre un vantaggio competitivo. Ecco una breve analisi delle azioni che le aziende devono adottare per conformarsi
L'articolo Conformità alla NIS 2 e a DORA: aziende e CISO sono pronti? Indicazioni operative proviene da Cyber Security 360.
Arduboy Cassette Award Explores New Features
When [Press Play on Tape] entered their game Prince of Arabia into the Arduboy FX Game Jam, we bet they had no idea that they’d be taking home a prize quite like this — designed by Arduboy creator [Kevin Bates], this gorgeous new variant of the handheld system brings some exciting new capabilities to the platform. Plus, it looks awesome.
The system, which is made up of a stacked pair of PCBs, has been designed to resemble an audio cassette. Thanks to the full-color silkscreen service offered by PCBway, it certainly looks the part. But it’s also a fully functional Arduboy, which means it has access to all the games already written for the 8-bit system.
For one thing, the system features six capacitive touch pads for the directional and action buttons. This capability has been implemented by pairing each pad with its own dedicated touch IC, which means existing software doesn’t have to be modified to take advantage of them. It’s also got a 64 MB flash chip, which makes the 16 MB used in the Arduboy FX look like…well, a cassette tape. Under the hood there’s also some new RGB LEDs, an IR transmitter, and a real-time clock. In a particularly clever move, Kevin has taken over a few pins of the USB-C connector and tied it to the chip’s I2C lines, which lets a standard USB-C cable link two of the handhelds together.
The finished product looks and works great, which has [Kevin] considering doing a small run of them so folks other than the FX Game Jam winners can get in on the action.
youtube.com/embed/OjD2vlgbmYI?…
SSO e MFA Non Bastano: La Verità Dietro la Sicurezza delle Tue Identità Digitali
Nel panorama digitale odierno, l’identità è il vero confine di sicurezza. Con l’adozione crescente di servizi Cloud e dispositivi mobili, le organizzazioni stanno investendo in tecnologie come il Single Sign-On (SSO) e l’autenticazione multi-fattore (MFA) per garantire la sicurezza degli accessi. Ma c’è un errore pericoloso: la fiducia cieca in queste soluzioni, che non offre una protezione adeguata contro sofisticati attacchi basati sull’identità come il phishing, il credential stuffing, o gli attacchi brute-force.
SSO e vulnerabilità: una falsa sicurezza
Secondo un’analisi di Push Security su 300.000 account, ben il 99% degli account rimane vulnerabile a attacchi di phishing, nonostante l’implementazione di SSO o MFA. Sorprendentemente, il 61% degli account si affida esclusivamente al SSO per l’autenticazione, ma questo non è sufficiente a proteggere le identità degli utenti.
Sebbene il SSO semplifichi l’esperienza utente, offrendo un accesso centralizzato, spesso manca il livello di sicurezza aggiuntivo rappresentato da MFA efficace. Ancor peggio, la ricerca mostra che il 29% degli account usa solo password, senza nemmeno MFA attivo, mentre solo l’1% usa una MFA resistente al phishing.
L’illusione del MFA e l’inefficacia della “Phishable MFA”
La maggior parte delle organizzazioni ritiene che l’uso di MFA risolva il problema, ma Push Security avverte che gran parte di queste implementazioni è vulnerabile. La cosiddetta “Phishable MFA” è soggetta a bypass e tecniche avanzate di phishing, come attacchi di tipo man-in-the-middle o l’esaurimento dell’utente con richieste MFA ripetute (MFA fatigue).
Esaminando la tabella sottostante, puoi identificare quali elementi di MFA possono proteggere i tuoi sistemi e quali, invece, potrebbero esporli a rischi. Ad esempio qualsiasi informazione archiviata esternamente (come le password) o in transito (come i messaggi di testo) è vulnerabile. Al contrario, le chiavi crittografiche e i dati biometrici, che non lasciano mai il dispositivo o il corpo, sono sicuri.
Tuttavia, anche con il SSO, ci sono troppi punti deboli che gli attaccanti possono sfruttare, come l’uso di password deboli o riutilizzate. Infatti, il 17% degli account legati agli identity provider non ha MFA attivo, lasciando l’intera organizzazione vulnerabile.
L’effetto “Ghost Login”: più vie di accesso, più rischi
Uno dei problemi più gravi è quello degli account che utilizzano sia il SSO che le password tradizionali, creando una sovrapposizione di metodi di accesso, conosciuta come “Ghost Login”. Anche quando il SSO è implementato, questi account sono a rischio di attacchi se l’aggressore riesce a forzare una delle password associate, usando tecniche come il brute-force o il credential stuffing. E se una password viene compromessa, l’intero sistema può essere violato.
Conclusioni
La sicurezza delle identità è cruciale per difendere le organizzazioni da minacce sempre più sofisticate. Investire in tecnologie come il SSO e MFA è solo l’inizio.
È necessario implementare soluzioni MFA veramente resistenti al phishing, eliminare le password deboli e riutilizzate, e monitorare costantemente gli accessi per prevenire compromissioni. Le organizzazioni devono smettere di considerare queste tecnologie come soluzioni definitive e iniziare a trattarle come parte di una strategia di sicurezza multilivello.
L'articolo SSO e MFA Non Bastano: La Verità Dietro la Sicurezza delle Tue Identità Digitali proviene da il blog della sicurezza informatica.
Ministero dell'Istruzione
Oggi #16ottobre è la Giornata Mondiale dell'Alimentazione. L’iniziativa, istituita dalla FAO nel 1979, ha l’obiettivo di sensibilizzare l’opinione pubblica sui problemi legati alla fame e alla malnutrizione e di promuovere la sicurezza alimentare bas…Telegram
Violazione dati, bastano le scuse per risarcire il danno privacy: ecco in quali casi
La Corte di Giustizia dell’Unione Europea interpreta, con una recente sentenza, il “risarcimento dei danni” in materia di protezione dei dati, giungendo alla conclusione che è sufficiente una presentazione di scuse scritte e pubbliche, purché tali da compensare integralmente il danno subito dall'interessato
L'articolo Violazione dati, bastano le scuse per risarcire il danno privacy: ecco in quali casi proviene da Cyber Security 360.
Mamba 2FA, così rubano gli account Microsoft 365: come difendersi
Mamba è un nuovo servizio venduto nei forum underground che consente di bypassare l’autenticazione a due fattori per l’accesso ad account aziendali come Microsoft 365, offrendo così la possibilità di accedere ai conti aziendali anche senza possedere le credenziali secondarie. Ecco tutti i dettagli
L'articolo Mamba 2FA, così rubano gli account Microsoft 365: come difendersi proviene da Cyber Security 360.
GoldenJackal: chi è e come opera il gruppo APT che ha spiato anche l’Europa
Attivo almeno dal 2019, il gruppo APT GoldenJackal è specializzato in attacchi di cyber spionaggio mirati e sofisticati. Tra le vittime, enti governativi e diplomatici di Europa, Medio Oriente e Asia meridionale. Ecco le sue tecniche di attacco e gli obiettivi
L'articolo GoldenJackal: chi è e come opera il gruppo APT che ha spiato anche l’Europa proviene da Cyber Security 360.
Data breach e attacco DDoS a Internet Archive: cosa fare per mettere al sicuro i propri dati
Tre attacchi, quasi simultanei, contro Internet Archive, la no-profit che si occupa di archiviare "la storia" di Internet. Con un timing che parte dalla fine di settembre fino al 9 ottobre, si sono registrati un breach di dati, un attacco DDoS e un defacement
L'articolo Data breach e attacco DDoS a Internet Archive: cosa fare per mettere al sicuro i propri dati proviene da Cyber Security 360.
NIS 2: la gestione del rischio di terze parti e il ruolo delle aziende come fornitori
L’affidamento di attività e processi aziendali a fornitori esterni è una strategia sempre più diffusa tra le imprese per accedere a competenze specialistiche e migliorare la propria efficienza operativa. Tuttavia, una dipendenza crescente da soggetti terzi può introdurre rischi significativi da gestire alla luce di obblighi e responsabilità introdotte dalla NIS 2
L'articolo NIS 2: la gestione del rischio di terze parti e il ruolo delle aziende come fornitori proviene da Cyber Security 360.
La minaccia cyber è globale: serve una risposta collettiva, ma c’è il vuoto di PMI
Al Cybertech Europe 2024 di Roma si è incontrata la cyber nazionale per fare il punto della situazione su una minaccia sempre più globale. Ma all’appello mancava l’ospite principale: un’assenza, quella delle PMI, che obbliga tutti a una profonda riflessione sui modi con cui si parla di cyber security
L'articolo La minaccia cyber è globale: serve una risposta collettiva, ma c’è il vuoto di PMI proviene da Cyber Security 360.
Legittimo interesse, l’EDPB chiarisce i confini di applicabilità e la centralità dell’accountability
Le linee guida sul legittimo interesse, appena pubblicate dall’EDPB e ora in consultazione pubblica fino al 20 novembre, offrono una visione integrata e articolata che ne chiarisce i confini di applicabilità, definendo i criteri per un bilanciamento adeguato tra le necessità del titolare e la tutela degli individui. I punti cardine
L'articolo Legittimo interesse, l’EDPB chiarisce i confini di applicabilità e la centralità dell’accountability proviene da Cyber Security 360.
Privacy in Croce Rossa: esempio per l’applicazione della data protection a un comitato locale
Ecco una guida pratica sulle modalità applicative della disciplina in materia di protezione dei dati personali negli enti del terzo settore, con un focus specifico sull’efficace implementazione di un sistema di gestione privacy nel contesto di Comitato locale di Croce Rossa Italiana
L'articolo Privacy in Croce Rossa: esempio per l’applicazione della data protection a un comitato locale proviene da Cyber Security 360.
Sistemi XDR (eXtended Detection and Response): a cosa servono, come funzionano, i più efficaci
I sistemi XDR (eXtended Detection and Response) sono soluzioni di sicurezza integrate per il controllo non solo degli endpoint, ma anche dei gateway di posta elettronica, dei servizi cloud e degli accessi. Ecco di cosa si tratta, come funzionano, quali sono i migliori approcci di configurazione e le soluzioni da adottare in azienda
L'articolo Sistemi XDR (eXtended Detection and Response): a cosa servono, come funzionano, i più efficaci proviene da Cyber Security 360.
Il malware Lua colpisce i gamer con falsi cheat per giochi: come proteggersi
Un nuovo malware, scritto in linguaggio Lua, sta prendendo di mira i gamer nascondendosi dentro falsi cheat e riuscendo a eludere i software antivirus e gli strumenti di sicurezza. Ecco i dettagli tecnici per riconoscerlo e le misure di sicurezza da adottare per difendersi
L'articolo Il malware Lua colpisce i gamer con falsi cheat per giochi: come proteggersi proviene da Cyber Security 360.
@ new version 0.1.0-beta09 available!
Changelog:
- enhancement: opening reply from conversation to avoid "double back" issue
- enhancement: use more visible reblog icon
- enhancement: add top bar button to dismiss all notifications
- enhancement: migrate inbox to markers API
- enhancement: improve vertical spacing for content footer and composer header
- fix: view post as replies and forum mode on Mastodon instances.
#friendica #friendicadev #fediverseapp #androiddev #mobileapp #kotlin #multiplatform #kmp #compose #opensource #livefasteattrash
reshared this
Vulnerabilità 0-Day su IntelX: Un’opportunità per hacker e governi?
Recentemente un criminale informatico su un forum underground ha messo in vendita una vulnerabilità 0-day che coinvolge IntelX, un potente motore di ricerca utilizzato da investigatori, giornalisti e professionisti della sicurezza per recuperare informazioni da fonti pubbliche e private su internet.
L’utente con il nome “kittykitten”, offre la vulnerabilità in cambio di un pagamento, indicando Telegram come metodo di contatto per ulteriori dettagli e prove.
IntelX è noto per la sua capacità di accedere a informazioni difficilmente reperibili, come documenti eliminati o nascosti, archivi di dati, metadati e fonti web deep e dark.
È uno strumento particolarmente utile per investigazioni digitali, ma anche estremamente delicato, dato che la compromissione del sistema potrebbe esporre dati sensibili o favorire accessi non autorizzati a informazioni private.
Al momento, non possiamo confermare la veridicità della notizia, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo deve essere considerato come ‘fonte di intelligence’.
Dettagli
L’offerta della vulnerabilità è stata pubblicata il 7 ottobre 2024, alle 02:40 AM, con il titolo “IntelX 0Day Vulnerability”. Il venditore afferma di essere in possesso di una vulnerabilità che coinvolge IntelX e invita potenziali acquirenti a contattarlo tramite Telegram per ulteriori dettagli. Non vengono condivise ulteriori informazioni specifiche sulla vulnerabilità direttamente nel post, il che è comune in questi casi per evitare che altri possano sfruttare la vulnerabilità senza acquistarla.
Nel post si leggono anche riferimenti a parole chiave come “intelx vulnerability 0day russia usa brazil brasil saudi arabia arab india”, suggerendo che il venditore potrebbe voler attirare l’attenzione di un pubblico internazionale, incluso quello di stati o gruppi cybercriminali in diverse parti del mondo. Questi attori potrebbero essere interessati a ottenere accesso a informazioni riservate per fini di spionaggio o altre attività cibernetiche.
Il venditore offre ulteriori prove della vulnerabilità via Telegram, un’app spesso utilizzata per comunicazioni private e sicure, rendendo difficile rintracciare l’identità o il luogo dell’offerente.
Conclusioni
L’offerta di una vulnerabilità 0-day relativa a IntelX in un forum underground evidenzia la fragilità anche delle piattaforme più sofisticate e importanti. Il fatto che l’offerta sia stata rivolta a un pubblico globale, con menzioni specifiche a Paesi come Russia, USA, Brasile e Arabia Saudita, lascia intendere che questo tipo di vulnerabilità potrebbe finire nelle mani di gruppi di spionaggio o altre organizzazioni malintenzionate.
La vendita di questa vulnerabilità su IntelX rappresenta solo uno dei tanti episodi che mostrano quanto sia importante non abbassare la guardia nel campo della sicurezza digitale.
Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.
RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.
L'articolo Vulnerabilità 0-Day su IntelX: Un’opportunità per hacker e governi? proviene da il blog della sicurezza informatica.
Gazzetta del Cadavere reshared this.
Addio ai Protocolli Obsoleti: Microsoft Depreca PPTP e L2TP
Microsoft ha ufficialmente annunciato la deprecazione dei protocolli PPTP (Point-to-Point Tunneling Protocol) e L2TP (Layer 2 Tunneling Protocol) dalle future versioni di Windows Server.
E’ evidente che l’azienda sta aumentando i suoi sforzi per rimuovere dal sistema operativo le tecnologie che considera obsolete.
Dopo il recente annuncio della deprecazione del servizio WSUS, (leggi l’articolo completo) la stessa identica sorte spetterebbe ai protoccoli PPTP e L2TP, da tempo noti per essere non sicuri e soggetti a vulnerabilità.
Panoramica
Con la rapida evoluzione delle minacce informatiche, i protoccoli PPTP e L2TP non sono più considerati abbastanza robusti da soddisfare gli standard di sicurezza moderni per effettuare collegamenti VPN, venendo classificati finalmente da Microsoft come protocolli obsoleti.
PPTP è risaputo da molti anni che è enormemente insicuro essendo vulnerabile agli attacchi Brute Force. Utilizzare questo protocollo VPN oggi è tremendamente rischioso per un’azienda.
L2TP non fornisce alcuna crittografia a meno che non sia abbinato a un altro protocollo, come IPSec. Ad ogni modo, se L2TP/IPSec non fosse configurato correttamente, può introdurre debolezze che lo rendono suscettibile ad attacchi.
Per questi motivi, Microsoft, ora consiglia agli utenti di passare ai due restanti protocolli VPN, ovvero SSTP (Secure Socket Tunneling Protocol) e IKEv2 (Internet Key Exchange versione 2), che offrono entrambi prestazioni e sicurezza migliori.
Nonostante l’azienda abbia rilasciato l’annuncio recentemente, i protocolli saranno comunque inclusi in Windows Server 2025. È importante ricordare che la deprecazione non significa la rimozione immediata. “Le funzionalità deprecate continuano a funzionare e sono completamente supportate fino a quando non vengono ufficialmente rimosse”, ha dichiarato Microsoft.
Conclusione
Deprecare PPTP e L2TP è un passaggio necessario per mantenere i più elevati standard di sicurezza. Gli amministratori IT che ancora utilizzano questi protocolli, dovrebbero iniziare a lavorare su un piano di modernizzazione e transizione verso protocolli più sicuri al fine di migliorare la sicurezza e le prestazioni delle connessioni VPN.
L'articolo Addio ai Protocolli Obsoleti: Microsoft Depreca PPTP e L2TP proviene da il blog della sicurezza informatica.
Un bug vecchio di 8 anni è stato risolto nel plugin Jetpack per WordPress
Gli sviluppatori del plugin Jetpack per WordPress hanno rilasciato un aggiornamento di sicurezza per risolvere una vulnerabilità critica che consentiva agli utenti autorizzati di accedere ai moduli inviati da altri visitatori del sito.
Jetpack, di proprietà di Automattic, fornisce un set completo di strumenti per migliorare la sicurezza e le prestazioni del sito. Secondo il sito web del plugin, viene utilizzato su 27 milioni di siti WordPress.
La vulnerabilità è stata scoperta nella funzionalità dei moduli di contatto di Jetpack durante un controllo di sicurezza interno. Esiste dalla versione 3.9.9, rilasciata nel 2016. Il problema ha consentito agli utenti non autorizzati di visualizzare i dati inviati dai visitatori tramite i moduli sul sito.
Il portavoce di Jetpack Jeremy Herve ha osservato che gli sviluppatori hanno lavorato a stretto contatto con il team di sicurezza di WordPress.org per aggiornare automaticamente il plugin a una versione sicura su tutti i siti installati.
La vulnerabilità è stata risolta nella versione 101 di Jetpack, a partire dalla 13.9.1 e terminando con la 3.9.10. Un elenco completo delle versioni interessate è stato pubblicato sul sito Web dello sviluppatore.
Sebbene al momento non vi siano informazioni che la vulnerabilità sia stata sfruttata dagli aggressori, il rischio di uno sfruttamento diventa concreto dopo la divulgazione pubblica delle informazioni.
L'articolo Un bug vecchio di 8 anni è stato risolto nel plugin Jetpack per WordPress proviene da il blog della sicurezza informatica.
𝔻𝕚𝕖𝕘𝕠 🦝🧑🏻💻🍕 likes this.
like this
reshared this
Ciao.
An Arduino Triggers a Flash With Sound
To capture an instant on film or sensor with a camera, you usually need a fast shutter. But alternately a flash can be triggered with the scene in the dark and the shutter wide open. It’s this latter technique which PetaPixel are looking at courtesy of the high-speed class at Rochester Institute of Technology. They’re using a cheap sound sensor module and an Arduino to catch instantaneous photographs, with students caught in the act of popping balloons.
The goal here was to keep things as simple as possible. All you’ll need in addition to the Arduino (or really, any modern microcontroller) is the sound sensor — which are often sold as “microphone shields.” To trigger the flash while still providing electrical isolation is a reed relay. The write-up notes that higher performance systems would be better off with an optoisolator, but this provides a low-cost alternative to get started with.
We rather like the technique, and perhaps it’s a thing to try at a future hacker camp. Unsurprisingly it’s not the first flash trigger for water balloons we’ve seen.
Today I realized how similar RFL and RFL look at the surface: bottom navigation with identical sections, navigation drawer, a timeline in the home screen, each post with header, content, media, actions.
They look like an elder and a younger brother. But there are some differences too:
- RFL uses SQLDelight for persistence, whereas RFF uses Room multiplatform;
- RFL uses Voyager's Bottom sheet navigator, RFF plain Material3 ModalBottomSheets;
- RFL uses coil2 for image rendering on Android and Kamel on iOS, RFF uses coil3 for both platforms;
- RFL makes heavy usage of the slide-to-reveal pattern for like/dislike actions, RFF doesn't and do not allow dislike (even if on Friendica it could be technically done);
- RFL has many customization options (zombie mode, different post layouts, many more languages etc.), RFF tries to have "sane defaults" and has a more minimalistic approach;
- RFL has a "sidebar" on the right side which RFF does not have (again, minimalism);
- RFL does not use a third party crash reporting and feedback system, RFF uses Sentry;
- RFL has Android-only tests even for common code using MockK, RFF has common tests using Mokkery.
Have you tried both apps? Is there any feature of one app that you would like to be ported on the other one?
#fediverseapp #mobileapp #mobiledev #androiddev #kotlin #multiplatform #compose #opensource
Tech Cyborg reshared this.
Assessing Developer Productivity When Using AI Coding Assistants
We have all seen the advertisements and glossy flyers for coding assistants like GitHub Copilot, which promised to use ‘AI’ to make you write code and complete programming tasks faster than ever, yet how much of that has worked out since Copilot’s introduction in 2021? According to a recent report by code analysis firm Uplevel there are no significant benefits, while GitHub Copilot also introduced 41% more bugs. Commentary from development teams suggests that while the coding assistant makes for faster writing of code, debugging or maintaining the code is often not realistic.
None of this should be a surprise, of course, as this mirrors what we already found when covering this topic back in 2021. With GitHub Copilot and kin being effectively Large Language Models (LLMs) that are trained on codebases, they are best considered to be massive autocomplete systems targeting code. Much like with autocomplete on e.g. a smartphone, the experience is often jarring and full of errors. Perhaps the most fair assessment of GitHub Copilot is that it can be helpful when writing repetitive, braindead code that requires very little understanding of the code to get right, while it’s bound to helpfully carry in a bundle of sticks and a dead rodent like an overly enthusiastic dog when all you wanted was for it to grab that spanner.
Until Copilot and kin develop actual intelligence, it would seem that software developer jobs are still perfectly safe from being taken over by our robotic overlords.
lantidiplomatico.it/dettnews-c…
Ma Gianluca reshared this.
Solve: An ESP32-Based Equation Solving Calculator
We’re suckers for good-looking old-school calculators, so this interesting numerical equation-solving calculator by [Peter Balch] caught our attention. Based around the ESP32-WROOM-32 module and an LCD, the build is quite straightforward from an electronics point of view, with the main work being on the software side of things.
A custom keyboard was constructed on Veroboard using a handful of tactile switches arranged in a charlieplexing array to minimize the number of IO pins consumed. For the display, an off-the-shelf 240×320 ILI9341-based module hooked up by SPI was used. A single lithium cell was used for the power supply, connected to a USB
charger module, but you could just as easily substitute a 3 x AA battery box. The case was designed in DesignSpark mechanical and 3D printed. It’s unclear what keyboard version they settled on; there are options for one with keycaps and one without. Regardless, a 3D-printed frame sits atop the keyboard circuit, with the graphics printed on photo paper and a protective coversheet on top.
The most interesting part of this project is the software and [Peter]’s extensive explanation of the pros and cons of the various numerical-solving algorithms. “Solve,” as they call the project, uses five methods to solve single-variable equations and Newton-Raphson for simultaneous equations. The exact method depends on the types of functions used in the equations and whether they are continuous.
Additionally, the calculator software supports looping constructs, allowing the generation of results tables and multivariable graph plotting. All in all, it could be a helpful desktop addition for someone needing a dedicated solver. Check out the project GitHub page for more details of the construction and software and to start building your own.
The subject of calculators is very personal, especially for engineers and scientists. Here’s our word on maybe the last physical scientific calculator. Of course, we’ve covered so many DIY calculator builds that we’ve lost count. Here’s a great example. Finally, who needs electronics when you can do it mechanically? Batteries not included.
Alla scoperta dei Bot! Da Googlebot alle Botnet Dannose, Ecco Cosa Devi Sapere
I bot sono applicazioni software progettate per eseguire automaticamente attività su Internet. Queste attività sono generalmente semplici e possono essere completate a una velocità maggiore di quella che un essere umano può fare online. I bot possono eseguire un’ampia gamma di attività, dall’indicizzazione di pagine Web per i motori di ricerca all’invio di spam o all’hacking di siti Web.
Alcuni bot sono legittimi, come Googlebot, che esegue la scansione di Internet e crea un indice per il motore di ricerca di Google. Esistono però anche bot dannosi che cercano le vulnerabilità dei siti web e sferrano attacchi.
Cos’è una botnet
Un caso d’uso comune per i bot sono le botnet. Una botnet è una rete di dispositivi infetti controllati tramite un sistema centrale di comando e controllo. Una volta che il dispositivo è stato infettato, inizia a eseguire i comandi impartiti dal “bot master”, ovvero chi controlla la botnet.
Le botnet vengono spesso utilizzate per sferrare attacchi DDoS (distributed denial of service), in cui un gran numero di dispositivi infetti inviano contemporaneamente richieste a un server, sovraccaricandolo e bloccandolo. Inoltre, le botnet possono essere utilizzate per lo spamming, l’hacking degli account e altre attività dannose.
Tipi di bot
Esistono molti tipi di bot su Internet, sia utili che dannosi. Vediamo le tipologie più comuni:
- Bot spider: noti anche come web spider o crawler, questi bot eseguono la scansione delle pagine Web per indicizzarne il contenuto per i motori di ricerca. I robot di ricerca caricano HTML, CSS, JavaScript e altre risorse per analizzare il contenuto del sito.
- Bot scraper: i robot scraper raccolgono dati dai siti Web, archiviandoli per un uso successivo. Possono copiare l’intero contenuto della pagina, nonché singoli elementi, come i prezzi dei prodotti o le informazioni di contatto.
- Bot spam: i bot spam raccolgono indirizzi email per inviare spam. Tali bot possono trovare indirizzi e-mail su siti Web, social network e altre risorse.
- Bot dei social media: questi bot operano sui social network creando automaticamente post, apprezzando, commentando o seguendo altri utenti. I social bot vengono utilizzati per promuovere idee, manipolare l’opinione pubblica e creare account falsi.
- Download bot: i bot di download scaricano automaticamente programmi o applicazioni. Possono essere utilizzati per aumentare artificialmente le statistiche di download delle app negli app store.
Come rilevare i bot su un sito web
Per identificare i bot su un sito web, puoi utilizzare diversi indicatori nell’analisi web:
- Aumenti del traffico, soprattutto durante le ore non lavorative.
- Frequenza di rimbalzo alta o bassa (i bot possono visitare una pagina e andarsene).
- Sorgenti di traffico insolite (ad esempio, un grande volume di traffico diretto da nuovi indirizzi IP).
- Prestazioni del server ridotte.
- Attività insolita da indirizzi IP sconosciuti o regioni in cui non hai client.
Come fermare i bot
Per proteggersi dai bot è possibile utilizzare le seguenti misure di base:
- Configura un file robots.txt per controllare l’accesso dei bot al tuo sito (efficace solo contro bot legittimi).
- Aggiungi CAPTCHA ai moduli di registrazione, commento o download.
- Imposta avvisi utilizzando JavaScript per monitorare attività sospette.
Come i bot aggirano il rilevamento
La tecnologia dei bot si è evoluta nel tempo. I bot erano semplici script che inviavano richieste a un sito Web per recuperare dati o eseguire azioni. Questi script non accettavano cookie né eseguivano JavaScript, rendendoli facilmente rilevabili.
Nel corso del tempo, i bot sono diventati più sofisticati, accettando cookie ed eseguendo JavaScript, ma erano ancora relativamente facili da monitorare a causa della loro minore interazione con gli elementi dinamici delle pagine web rispetto agli esseri umani.
La fase successiva nello sviluppo dei bot è l’uso di browser headless, come PhantomJS, che sono in grado di elaborare completamente il contenuto del sito. Sebbene tali browser siano più difficili da rilevare, non sono comunque in grado di eseguire tutte le azioni eseguite dagli utenti reali.
Il tipo più avanzato di bot si basa sul browser Chrome ed è praticamente indistinguibile dagli utenti reali. Questi robot imitano persino l’attività umana, come fare clic sugli elementi di una pagina.
Metodi avanzati di protezione contro i bot
Con l’evoluzione dei bot, si sono evoluti anche i metodi per rilevarli e bloccarli. Esistono tre approcci principali per rilevare e mitigare l’attività dei bot dannosi:
- Approccio statico: analizza le richieste e le intestazioni associate ai bot e bloccale in base alle caratteristiche identificate.
- Approccio basato sulla verifica: verifica la capacità di ciascun visitatore di utilizzare cookie, JavaScript e CAPTCHA per determinare se si tratta di un bot.
- Approccio comportamentale: studiare il comportamento dei visitatori e confrontarlo con le norme per identificare le deviazioni caratteristiche dei bot.
Questi metodi possono essere utilizzati da soli o in combinazione per fornire una protezione bot più efficace. Inoltre, servizi specializzati di gestione dei bot possono monitorare e bloccare attività dannose.
L'articolo Alla scoperta dei Bot! Da Googlebot alle Botnet Dannose, Ecco Cosa Devi Sapere proviene da il blog della sicurezza informatica.
A Phone? A Ham Radio? Relax! It’s Both!
A lot of hams like to carry a VHF radio. Of course, nearly everyone wants to carry a phone. Now, thanks to the kv4p HT, you don’t have to carry both. The open-source device connects to your Android smartphone and turns it into a radio transceiver. You can build it yourself for about $35. Check out the video below.
The device uses an ESP32 and only transmits one watt, but it has lots of features like APRS and scanning.
The brain is an ESP-WROOM-32. There’s also a ham radio “module” that is easily imported. The rest is fit, finish, and software. The PCB is fairly simple and inexpensive. A 3D-printed case completes things.
There is a new version of the PCB that hasn’t been tested as of this post, but the older version (1.5) seems to work ok, too, if you don’t want to risk trying the 1.6 version and you don’t want to wait.
We always marvel at how many building blocks you can get now. Grab a computer and a radio, and use your phone for power and a user interface. This would have been an enormous project to complete not long ago and now it is an hour’s time and $35. You’ll probably spend as much time ordering parts as building.
If your phone mostly trades cat memes, it fits right in with old ham tech. Just watch the antenna.
youtube.com/embed/9eXHgktFD-U?…
Your Battery Holder Is Also Your Power Switch With ToggleSlot
We really like PCB-level hacks, especially ones that show ingenuity in solving a real problem while being super cheap to implement. Hackaday.IO user [Steph] wanted a cheap way to switch a wearable on and off without having to keep popping out the battery, so they came up with a tweaked battery footprint, which is also a simple slide switch.
Most people making badges and wearables will follow the same well-trodden path of just yanking out the cell or placing some cheap switch down and swallowing the additional cost. For [Steph], the solution was obvious. By taking a standard surface-mount CR2032 button cell holder footprint, extending its courtyard vertically, and moving the negative pad up a smidge, the battery can be simply slid up to engage the pad and slid down to disengage and shut off the juice. The spring section of the positive terminal keeps enough pressure on the battery to prevent it from sliding out, but if you are worried, you can always add a dummy pad at the bottom, as well as a little solder bump to add a bit more security.
Now, why didn’t we think of this before? The KiCad footprint file can be downloaded from the project GitHub page, imported into your project and used straight away.
Many of our gadgets are powered by CR2032 cells—so many so that eliminating the need for them leads to interesting projects, like this sweet USB-powered CR2032 eliminator. But how far can you push the humble cell? Well, we held a contest a few years ago to find out!
Lanciata la sonda Europa Clipper verso Giove l Astronomia.com
"Scopo della missione è studiare da vicino la luna ghiacciata Europa per testare le sue possibilità di ospitare la vita, ma non di verificarne l’esistenza : in particolare dovrà confermare l’esistenza e la composizione di acqua al di sotto dello strato superficiale di ghiaccio nonché studiare dal punto di vista geologico la superficie e le sue caratteristiche superficiali."
astronomia.com/2024/10/15/lanc…
Nasce l’intergruppo parlamentare in difesa della scrittura a mano e della lettura su carta
@Politica interna, europea e internazionale
“Scrivere a mano in corsivo e leggere su carta sono abitudini imprescindibili perché stimolano e sviluppano l’emisfero sinistro del cervello, quello che presiede al pensiero logico-lineare. Perdere queste abitudini
Politica interna, europea e internazionale reshared this.
‼️La nostra cara Stefania Maurizi non poteva lasciare #IlPotereSegreto senza l'happy end e senza spiegarvi perché vogliono ANCORA distruggere Julian #Assange e #WikiLeaks. O pensavate che fosse finita?
il 25 ottobre in libreria.
FREE ASSANGE Italia
‼️La nostra cara Stefania Maurizi non poteva lasciare #IlPotereSegreto senza l'happy end e senza spiegarvi perché vogliono ANCORA distruggere Julian #Assange e #WikiLeaks. O pensavate che fosse finita? il 25 ottobre in libreria.Telegram
Monique Jolie reshared this.
Experimenting with MicroPython on the Bus Pirate 5
I recently got one of the new RP2040-based Bus Pirate 5 (BP5), a multi-purpose interface debugging and testing tool. Scanning the various such tools in my toolbox already: an Analog Discovery 2, a new Glasgow Interface Explorer, and a couple of pyboards, I realized they all had a Python or Micropython user interface. A few people on the BP5 forums had tossed around the idea of MicroPython, and it just so happened that I was experimenting with building beta versions of MicroPython for a RP2350 board at the time. Naturally, I started wondering, “just how hard can it be to get MicroPython running on the BP5?”
The Lazy Approach
Rather than duplicating the BP5 firmware functionality, I decided to ignore it completely and go with existing MicroPython capabilities. I planned to just make a simple set of board definition files — perhaps Board Support Package (BSP) is a better term? I’ve done this a dozen times before for development and custom boards. Then write a collection of MicroPython modules to conform to the unique aspects in the BP5 hardware. As user [torwag] over on the BusPirate forums said back in March:
Micropython comes already with some modules and enough functions to get some stuff out-of-the-box working. E.g. the infamous version of “hello world” for microcontrollers aka led-blinking.
The Tailoring
The main interfaces to the BP5’s RP2040 MCU were apparently done with the Pico reference design in mind. That is why you can just load and run the latest RP2 MicroPython build without defining a custom board ( note that this only worked with the current v1.24, and failed when I tried to load v1.23 using Thonny, something I did not investigate further ). But there are some things that can be done to tweak the build, so I did go ahead and make set of custom board definition files for the BP5.
First I tried to tell MicroPython about the larger QSPI flash. This is a standard thing in configuring MicroPython, but I found an issue with the RP2. The Pico C SDK has a 2 GiB hard-coded flash limit in a linker script. One can fix this by hand editing and rebuilding the SDK, something I decided to leave for later. So I did all my testing using just 2 GiB of the flash.
Several of the constomizations that I would normally make, like the serial interface pins assignments, were not necessary. The customization I did make was for help files. Since the intended application of this project is a manual debugging, I wanted the modules and funtions to have help text. By default, MicroPython builds on the RP2 do not enable __doc__ strings, but they can be reenabled with a compiler directive. Unfortunately, while the __doc__ strings are now retained, the build-in help() function doesn’t print them like CPython. The workaround is to add a help() funtion to each class. So instead of help(adc) you’t type add.help().
Finally, I wanted to add a board top-level help screen, appending to the existing RP2 port help screen. That turned out to be much harder to do, and in the end, I just gave up doing that in the BP5 board definition folder. Instead, I kludged a couple of files in the RP2 port directory — ugly, but this is just an experiment after all.
The Interfaces
These are the basic interfaces of the BP5 hardware, and all of them are arleady or easily supported in MicroPython.
- Eight Buffered IO pins
- Programmable Power Supply
- NAND flash 1Gbit
- IPS LCD screen, 320 x 240 pixels
- 18 RGB LEDs
- Push button
Going for some instant gratification, I decided to drive the chain of LEDs around the perimeter of the unit first. The RP2 port of MicroPython already has a Neopixel class. Once I sorted out the chained shift register I/O expansion circuitry, I was running MicroPython and blinking LEDs in no time. The eight main buffered I/O signals posed a bit more challenge, because there are bidirectional logic level translators on each pin. After writing a BP5 I/O pin wrapper class around the regular MP Pin class to handle that aspect of the hardware, I realized that wasn’t quite enough.
But the digital I/O signals on the BP5 aren’t useful until you also control the adjustable voltage reference rail. That led to the Power supply class next, which in turn led to the Analog to Digital class to handle ADC operations. To do this, you need to control the analog MUX. And you need to drive the 74HC595 output expander shift register to select the desired analog MUX channel. No more instant gratification.
The shift register was pretty easy, as I have done this before. The only thing I noted was that there is no feedback, so you can’t read the current state. This requires instead that you keep a shadow register of the current output expander state.
[Ian], the father of the BP5 and indeed all Bus Pirates to date, did a great job in the documentation of explaining all these hardware sections of the design. The resulting power supply circuit is quite flexible. In brief, voltage and current control are done using PWM outputs, and actual voltage and current are sensed using the RP2040’s internal ADCs via the MUX. In addition, a programmable current limit threshold triggers a power supply shutdown, which can be overridden or reset as desired.
The Display
The BP5 uses a two inch IPS TFT LCD having 240×320 pixel resolution. It is controlled using a Sitronix ST7789 over SPI. Having driven similar setups before from MicroPython, this was pretty easy. At first. I used the ST7789 library by Russ Hughes. The display was up and displaying text and running a few demo examples in short order.
The NAND Flash
Turning attention to the Micron MT29F1G01A 1 Gib ( 128 MiB ) NAND flash next, I ran into some difficulty. [Peter Hinch]’s memory chip driver library seemed like a good start. But this chip isn’t on the list of already tested chips. I changed the scan function to recognized the Micron ID manufacturer’s byte codes, but after configuring the correct chip size, sector size, and block size parameters, it still didn’t work. After finally asking for help, [Mr Hinch] explained that my problem was the large 138 KiB block size of this chip. His library buffers one entire block, and 138 KiB is just too big for most microprocessors.
He pointed me to a non-buffered SPI block device driver by [Robert Hammelrath]. I tried this briefly, but gave up after a few hours because I was spending too much time on this chip. This is a solvable problem, but not strictly needed for this goals of this experimental project.
The Images
The Wrapup
I emjoyed making this project, and learned a few more things about MicroPython along the way. I knew that the STM32 and the ESP8266 / ESP32 families had been long supported by MicroPython almost since the beginning, and that the Pico RP2040 was a relative newcomer to the ecosystem. But I was surprised when I stumbled on this talk by founder [Damien George] about the history of the project at the 2023 PyCon Australia conference. He shows some statistics collected over 8 years of downloads broken down by microprocessor family. The RP2040 has been extremely popular since its introduction, quickly surpassing all other families.
Which begs the question, does the idea of MicroPython on the BusPirate even make sense? The existing C-based BusPirate firmware is now well established and works well for its intended purpose — quick explorations of an interface from the command line. Would a alternate MicroPython build benefit the community or just waste people’s limited development hours?
There could be some way to create an MicroPython implementation without duplicating a lot of code. The existing BP5 firmware could be treated as a library, and compiled with various C to MicroPython shim functions to create an extensively customized build. That is beyond my MicroPython experience for now, but it might be worth consideration.
Another way would be just build a set of “big Python” classes to represent the BP5 on the desktop. This module would talk to the BP5 using the existing serial / USB port protocol, potentially requiring no firmware modifications at all. This seems like a good idea in general, since it allows users to easily script operations from the desktop using Python, and still retain the original capabilities of the BP5 in standalone operation.
The code for this project and associated documentation can be found here on GitHub. You can build your own binary if you want, but one is provided in the repo. And as [torwag] said back in March, you can just run the factory RP2040 MicroPython as well. In my testing, the only thing you’ll miss are the help messages.
If you want to learn more about MicroPython, visit their website and GitHub repository. Prebuilt binaries are available for many standard development boards, and instructions on building it for a custom boards are quite clear and easy to follow. I’ve heard rumors that docker containers may be available soon, to make the building process even easier. Visit the Bus Pirate website and corresponding GitHub repository to learn more about the latest Bus Pirate 5 project. We have covered both projects over the years on Hackaday. Most recently [Tom Nardi] did an extensive hands-on writeup on the release of the Bus Pirate 5 back in February. Also [Arya Voronova] has written several articles on MicroPython, including this one on the eleventh anniversary of the MicroPython project. Do you use MicroPython in your projects, and what’s your take on the idea of using it with the Bus Pirate 5 board?
𝔻𝕚𝕖𝕘𝕠 🦝🧑🏻💻🍕
in reply to 𝔻𝕚𝕖𝕘𝕠 🦝🧑🏻💻🍕 • •Bugs found so far: 🐞
RaccoonForFriendica reshared this.
Noam Bergman
in reply to 𝔻𝕚𝕖𝕘𝕠 🦝🧑🏻💻🍕 • • •𝔻𝕚𝕖𝕘𝕠 🦝🧑🏻💻🍕 likes this.
𝔻𝕚𝕖𝕘𝕠 🦝🧑🏻💻🍕
in reply to Noam Bergman • •Noam Bergman likes this.
RaccoonForFriendica reshared this.
Noam Bergman
in reply to 𝔻𝕚𝕖𝕘𝕠 🦝🧑🏻💻🍕 • • •𝔻𝕚𝕖𝕘𝕠 🦝🧑🏻💻🍕 likes this.
𝔻𝕚𝕖𝕘𝕠 🦝🧑🏻💻🍕
in reply to Noam Bergman • •@Noam Bergman yes, you're welcome if you want to try it out and report bugs, it's still in beta currently.
You can find the APK in the release page, otherwise you can install an app like Obtainium and add the main repository URL as a source (please remember to turn on the "enable pre-releases switch in Obtainium to install pre-production releases).
Noam Bergman likes this.
RaccoonForFriendica reshared this.
Noam Bergman
in reply to 𝔻𝕚𝕖𝕘𝕠 🦝🧑🏻💻🍕 • • •𝔻𝕚𝕖𝕘𝕠 🦝🧑🏻💻🍕 likes this.