In general, the simpler a thing is, the better. That doesn’t appear to apply to engines, though, at least not how we’ve been building them. Pistons, cranks, valves, and seals, all operating in a synchronized mechanical ballet to extract useful work out of some fossilized plankton.

It doesn’t have to be that way, though, if the clever engineering behind this wobbling disk air engine is any indication. [Retsetman] built the engine as a proof-of-concept, and the design seems well suited to 3D printing. The driven element of the engine is a disk attached to the equator of a sphere — think of a model of Saturn — with a shaft running through its axis. The shaft is tilted from the vertical by 20° and attached to arms at the top and bottom, forming a Z shape. The whole assembly lives inside a block with intake and exhaust ports. In operation, compressed air enters the block and pushes down on the upper surface of the disk. This rotates the disc and shaft until the disc moves above the inlet port, at which point the compressed air pushes on the underside of the disc to continue rotation.

[Resetman] went through several iterations before getting everything to work. The main problems were getting proper seals between the disc and the block, and overcoming the friction of all-plastic construction. In addition to the FDM block he also had one printed from clear resin; as you can see in the video below, this gives a nice look at the engine’s innards in motion. We’d imagine a version made from aluminum or steel would work even better.

If [Resetman]’s style seems familiar, it’s with good reason. We’ve featured plenty of his clever mechanisms, like this pericyclic gearbox and his toothless magnetic gearboxes.

youtube.com/embed/z3x-_-5T9DQ?…

hackaday.com/2024/10/22/a-wobb…

It’s easy to use electricity — solar-generated or otherwise — to desalinate water. However, traditional systems require a steady source of power. Since solar panels don’t always produce electricity, these methods require some way to store or acquire power when the solar cells are in the dark or shaded. But MIT engineers have a fresh idea for solar-powered desalination plants: modify the workload to account for the amount of solar energy available.

This isn’t just a theory. They’ve tested community-sized prototypes in New Mexico for six months. The systems are made especially for desalinating brackish groundwater, which is accessible to more people than seawater. The goal is to bring potable water to areas where water supplies are challenging without requiring external power or batteries.

The process used is known as “flexible batch electrodialysis” and differs from the more common reverse osmosis method. Reverse osmosis, however, requires a steady power source as it uses pressure to pump water through a membrane. Electrodialysis is amenable to power fluctuations, and a model-based controller determines the optimal settings for the amount of energy available.

There are other ways to use the sun to remove salt from water. MIT has dabbled in that process, too, at a variety of different scales.

hackaday.com/2024/10/22/for-de…

Grandoreiro is a well-known Brazilian banking trojan — part of the Tetrade umbrella — that enables threat actors to perform fraudulent banking operations by using the victim’s computer to bypass the security measures of banking institutions. It’s been active since at least 2016 and is now one of the most widespread banking trojans globally.

INTERPOL and law enforcement agencies across the globe are fighting against Grandoreiro, and Kaspersky is cooperating with them, sharing TTPs and IoCs. However, despite the disruption of some local operators of this trojan in 2021 and 2024, and the arrest of gang members in Spain, Brazil, and Argentina, they’re still active. We now know for sure that only part of this gang was arrested: the remaining operators behind Grandoreiro continue attacking users all over the world, further developing new malware and establishing new infrastructure.

Every year we observe new Grandoreiro campaigns targeting financial entities, using new tricks in samples with low detection rates by security solutions. The group has evolved over the years, expanding the number of targets in every new campaign we tracked. In 2023, the banking trojan targeted 900 banks in 40 countries — in 2024, the newest versions of the trojan targeted 1,700 banks and 276 crypto wallets in 45 countries and territories, located on all continents of the world. Asia and Africa have finally joined the list of its targets, making it a truly global financial threat. In Spain alone, Grandoreiro has been responsible for fraudulent activities amounting to 3.5 million euros in profits, according to conservative estimates — several failed attempts could have yielded beyond 110 million euros for the criminal organization.

In this article, we will detail how Grandoreiro operates, its evolution over time, and the new tricks adopted by the malware, such as the usage of 3 DGAs (domain generation algorithm) in its C2 communications, the adoption of ciphertext stealing encryption (CTS), and mouse behavior tracking, aiming to bypass anti-fraud solutions. This evolution culminates with the appearance of lighter, local versions, now focused on Mexico, positioning the group as a challenge for the financial sector, law enforcement agencies and security solutions worldwide.

Grandoreiro: One malware, many operators, fragmented versions

Grandoreiro is a banking trojan of Brazilian origin that has been active since at least 2016. Grandoreiro is written in the Delphi programming language, and there are many versions, indicating that different operators are involved in developing the malware.

Since 2016, we have seen the threat actors behind Grandoreiro operations regularly improving their techniques to stay unmonitored and active for a longer time. In 2020, Grandoreiro started to expand its attacks in Latin America and later in Europe with great success, focusing its efforts on evading detection using modular installers.

Grandoreiro generally operates as Malware-as-a-Service, although it’s slightly different from other banking trojan families. You won’t find an announcement on underground forums selling the Grandoreiro package — it seems that access to the source-code or builders of the trojan is very limited, only for trusted partners.

After the arrests of some operators, Grandoreiro split its codebase into lighter versions, with fewer targets. These fragmented versions of the trojan are a reaction to the recent law enforcement operations. This discovery is supported by the existence of two distinct codebases in simultaneous campaigns: newer samples featuring updated code, and older samples which rely on the legacy codebase, now targeting only users in Mexico — customers of around 30 banks.

2022 and 2023 campaigns

Grandoreiro campaigns commonly start with a phishing email written in the target country language. For example, the emails distributed in most of Latin America are in Spanish. However, we also saw the use of Google Ads (malvertising) in some Grandoreiro campaigns to drive users to download the initial stage of infection.

Phishing emails use different lures to make the victim interact with the message and download the malware. Some messages refer to a pending phone bill, others mimic a tax notification, and son. In early 2022 campaigns, the malicious email included an attached PDF. As soon as the PDF is opened, the victim is prompted with a blurred image except for a part containing “Visualizar Documento” (“View Document” in Spanish). When the victim clicks the button, they are redirected to a malicious web page which prompts them to download a ZIP file. Since May 2022, Grandoreiro campaigns include a malicious link inside the email body that redirects the victim to a website that then downloads a malicious ZIP archive on the victim’s machine. These ZIP archives commonly contain two files: a legitimate file and a Grandoreiro loader, which is responsible for downloading, extracting and executing the final Grandoreiro payload.

The Grandoreiro loader is delivered in the form of a Windows Installer (MSI) file that extracts a dynamic link library (DLL) file and executes a function embedded in the DLL. The function will do nothing if the system language is English, but otherwise the final payload is downloaded. Most likely, this means that the analyzed versions didn’t target English-speaking countries. There have also been other cases where a VBS file is used instead of the DLL to execute the final payload.

Grandoreiro recent infection flow

As for the malware itself, in August 2022 campaigns, the final payload was an incredibly big 414 MB portable executable file disguised with a PNG extension (which is later renamed to EXE dynamically by the loader). It masked itself as an ASUS driver using the ASUS icon and was signed with an “ASUSTEK DRIVER ASSISTANTE” digital certificate.

In 2023 campaigns, Grandoreiro used samples with rather low detection rates. Initially, we identified three samples related to these campaigns, compiled in June 2023. All of them were portable executables, 390 MB big, with the original name “ATISSDDRIVER.EXE” and internal name “ATIECLXX.EXE”. The main purpose of these samples is to monitor the victims’ visits to financial institution websites and steal their credentials. The malware also allows threat actors to remotely control the victim machines and perform fraudulent transactions within them.

In the campaign involving the discussed samples, the malware tries to impersonate an AMD External Data SSD driver and is signed with an “Advice informations” digital certificate in order to appear legitimate and evade detection.

Implant impersonating AMD driver

Digital certificate used by Grandoreiro malware

In both cases, the malware is an executable that registers itself to be launched with Windows. However, it is worth noting that in the majority of Grandoreiro attacks, a DLL sideloading technique is employed, using legitimate binaries that are digitally signed to run the malware.

The considerable size of the executables can be explained by the fact that Grandoreiro utilizes a binary padding technique to inflate the size of the malicious files as a way to evade sandboxes. To achieve this, the attackers add multiple BMP images to the resource section of the binary. In the example below, the sample included several big images. The sizes of the highlighted images are around 83.1 MB, 78.8 MB, 75.7 and 37.6 MB. However, there are more of them in the binary, and together all the images add ~376 MB to the file.

Binary padding used by Grandoreiro

In both 2022 and 2023 campaigns, Grandoreiro used a well-known XOR-based string encryption algorithm that is shared with other Brazilian malware families. The difference is the encryption key. For Grandoreiro, some magic values were the following:

The various checks and validations aimed at avoiding detection and complicating malware analysis were also changed in the 2022 and 2023 versions. In contrast with the older Grandoreiro campaigns, we found that some of the tasks that were previously executed by the final payload are now implemented in the first stage loader. These tasks include security checks, anti-debugging techniques, and more. This represents a significant change from previous campaigns.

One of these tasks is the use of the geolocation service ip-api.com/json to gather the target’s IP address location data. In a campaign reported in May 2023 by Trustwave, this task is performed by a JScript code embedded in an MSI installer before the delivery of the final payload.

There are numerous other checks that have been transferred into the loader, although some of them are still present in the banking trojan itself. Grandoreiro gathers host information such as operating system version, hostname, display monitor information, keyboard layout, current time and date, time zone, default language and mouse type. Then the malware retrieves the computer name and compares it against the following strings that correspond to known sandboxes:

• WIN-VUA6POUV5UP;
• Win-StephyPC3;
• difusor;
• DESTOP2457;
• JOHN-PC.

Computer name validation

It also collects the username and verifies if it matches with the “John” or “WORK” strings. If any of these validations match, the malware stops its execution.

Grandoreiro includes detection of tools commonly used by security analysts, such as regmon.exe, procmon.exe, Wireshark, and so on. The process list varies across the malware versions, and it was significantly expanded in 2024, so we’ll share the full list later in this post. The malware takes a snapshot of currently executing processes in the system using the CreateToolhelp32Snapshot() Windows API and goes through the process list using Process32FirstW() and Process32NextW(). If any of the analysis tools exists in the system, the malware execution is terminated.

Grandoreiro also checks the directory in which it is being executed. If the execution paths are D:\programming or D:\script, it terminates itself.

Another anti-debugging technique implemented in the trojan involves checking for the presence of a virtual environment by reading data from the I/O Port “0x5658h” (VX) and looking for the VMWare magic number 0x564D5868. The malware also uses the IsDebuggerPresent() function to determine whether the current process is being executed in the context of a debugger.

Last but not least, Grandoreiro searches for anti-malware solutions such as AVAST, Bitdefender, Nod32, Kaspersky, McAfee, Windows Defender, Sophos, Virus Free, Adaware, Symantec, Tencent, Avira, ActiveScan and CrowdStrike. It also looks for banking security software, such as Topaz OFD and Trusteer.

In terms of the core functionality, some Grandoreiro samples check whether the following programs are installed:

• CHROME.EXE;
• MSEDGE.EXE;
• FIREFOX.EXE;
• IEXPLORE.EXE;
• OUTLOOK.EXE;
• OPERA.EXE;
• BRAVE.EXE;
• CHROMIUM.EXE;
• AVASTBROWSER.EXE;
• VeraCrypt;
• Nortonvpn;
• Adobe;
• OneDrive;
• Dropbox.

If any of these is present on the system, the malware stores their names to further monitor user activity in them.

Grandoreiro also checks for crypto wallets installed on the infected machine. The malware includes a clipboard replacer for crypto wallets, monitoring the user’s clipboard activity and replacing the clipboard data with the threat actor keys.

Clipboard replacer

2024 campaigns

During a certain period of time in February 2024, a few days after the announcement of the arrest of some of the gang’s operators in Brazil, we observed a significant increase in emails detected by spam traps. There was a notable prevalence of Grandoreiro-themed messages masquerading as Mexican CFDI communications. Mexican CFDI, short for “Comprobante Fiscal Digital por Internet” is an electronic invoicing system administered by the Mexican Tax Authority (SAT — Servicio de Administración Tributaria). It facilitates the creation, transmission, and storage of digital tax documents, mandatory for businesses in Mexico to record transactions for tax purposes.

In our investigation, we have acquired 48 samples associated not only with this instance but also with various other campaigns.

Notably, this new campaign added a new sandbox detection mechanism, namely a CAPTCHA before the execution of the main payload, as a way to avoid the automatic analysis used by some companies:

Grandoreiro anti-sandbox CAPTCHA

It is worth noting that in the 2024 Grandoreiro campaigns, the new sandbox evasion code has been implemented in the downloader. Although the main sample still has anti-sandbox functionality too, if a sandbox is detected, it is simply not downloaded. Besides that, the new version also added detection of many tools to its arsenal, aiming to avoid analysis. Here is whole list of analysis tools detected by the newest versions:

These are some RAT features that we found in this version:

• Auto-update feature allows newer versions of the malware to be deployed to the victim’s machine;
• Sandbox/AV detection, still present in the main module, which includes more tools than previous versions;
• Keylogger feature;
• Ability to select country for listing victims;
• Banking security solutions detection;
• Checking geolocation information to ensure it runs in the target country;
• Monitoring Outlook emails for specific keywords;
• Ability to use Outlook to send spam emails.

In terms of static analysis protection, in 2024 versions, Grandoreiro has implemented enhanced encryption measures. Departing from its previous reliance on commonly shared encryption algorithms found in other malware, Grandoreiro has now adopted a multi-layered encryption approach. The decryption process in the newer versions is the following. Initially, the string undergoes deobfuscation through a simple replacement algorithm. Following this, Grandoreiro employs the encryption algorithm based on XOR and conditional subtraction typically utilized by Brazilian malware; however, it differs from them by incorporating a lengthy, 140759-byte string instead of smaller magic strings we saw in 2022 and 2023 samples. Subsequently, the decrypted string undergoes base64 decoding before being subjected to decryption via the AES-256 algorithm. Notably, the AES key and IV are encrypted within Grandoreiro’s code. Upon completion of all these steps, the decrypted string is successfully recovered.

Grandoreiro AES key and IV

In newer samples, Grandoreiro upgraded yet again the encryption algorithm using AES with CTS, or Ciphertext Stealing, a specialized encryption mode used when the plaintext is not a multiple of the block size, which in this case is the 128-bit (16-byte) block size used by AES. Unlike more common padding schemes, such as PKCS#7, where the final block is padded with extra bytes to ensure it fits a full block, CTS operates without padding. Instead, it manipulates the final partial block of data by encrypting the last full block and XORing its output with the partial block. This allows encryption of any arbitrary-length input without adding extra padding bytes, preserving the original size of the data.

ECB Encryption Steps for CTS

In the case of Grandoreiro, the malware’s encryption routine does not add standard padding to incomplete blocks of data. Their main goal is to complicate analysis: it takes time to figure out that CTS was used, and then more time to implement decryption in this mode, which makes the extraction and obfuscation of strings more complicated. This marks the first time this particular method has been observed in a malware sample.

As the threat actors continue to evolve their techniques, changing the encryption in every iteration of the malware, the use of CTS in malware may signal a shift toward more advanced encryption practices.

Local versions: old meets new

In a recent campaign, our analysis has revealed the existence of an older variant of the malware that utilizes legacy encryption keys, outdated algorithms, and a simplified structure, but which runs in parallel to the campaign using the new code. This variant targets fewer banks — about 30 financial institutions, mainly from Mexico. This analysis clearly indicates that another developer, likely with access to older source code, is conducting new campaigns using the legacy version of the malware.

How they steal your money

Operators behind Grandoreiro are equipped with a wide variety of remote commands, including an option to lock the user screen and present a custom image (overlay) to ask the victim for extra information. These are usually OTPs (one-time passwords), transaction passwords or tokens received by SMS, sent by financial institutions.

A new tactic that we have discovered in the most recent versions found in July 2024 and later suggests that the malware is capturing user input patterns, particularly mouse movements, to bypass machine learning-based security systems. Two specific strings found in the malware — “GRAVAR_POR_5S_VELOCIDADE_MOUSE_CLIENTE_MEDIA” (“Record for 5 seconds the client’s average mouse speed”) and “Medição iniciada, aguarde 5 segundos!” (“Measurement started, please wait 5 seconds!”) — indicate that Grandoreiro is monitoring and recording the user’s mouse activity over a short period. This behavior appears to be an attempt to mimic legitimate user interactions in order to evade detection by anti-fraud systems and security solutions that rely on behavioral analytics. Modern cybersecurity tools, especially those powered by machine learning algorithms, analyze user’s behavior to distinguish between human users and bots or automated malware scripts. By capturing and possibly replaying these natural mouse movement patterns, Grandoreiro could trick these systems into identifying the activity as legitimate, thus bypassing certain security controls.

This discovery highlights the continuous evolution of malware like Grandoreiro, where attackers are increasingly incorporating tactics designed to counter modern security solutions that rely on behavioral biometrics and machine learning.

To perform the cash-out in the victim’s account, Grandoreiro operators’ options are to transfer money to the account of local money mules, using transfer apps, buy cryptocurrency or gift cards, or even going to an ATM. Usually, they search for money mules in Telegram channels, paying $200 to $500 USD per day:

Grandoreiro operator looking for money mules

Infrastructure

The newest Grandoreiro version uses 3 Domain Generation Algorithms (DGAs), generating valid domains for command and control (C2) communications. The algorithm uses the current daytime to select strings of predefined lists and concatenates them with a magic key to create the final domain.

By dynamically generating unique domain names based on various input data, the algorithm complicates traditional domain-based blocking strategies. This adaptability allows the malicious actors to maintain persistent command-and-control communications, even when specific domains are identified and blacklisted, requiring security solutions to base their protection not on a fixed list of domains, but on an algorithm for generating them.

Since early 2022, Grandoreiro leverages a known Delphi component shared among different malware families named RealThinClient SDK to remotely access victim machines and perform fraudulent actions. This SDK is a flexible and modular framework for building reliable and scalable Windows HTTP/HTTPS applications with Delphi. By using RealThinClient SDK, the program can handle thousands of active connections in an efficient multithreaded manner.

Grandoreiro C2 Communication

Operator tool

Grandoreiro’s Operator is the tool that allows the cybercriminal to remotely access and control the victim’s machine. It’s a Delphi-based software that lists its victims whenever they start browsing a targeted financial institution website.

Grandoreiro’s Operator tool

Once the cybercriminal chooses a victim to operate on, they will be presented with the following screen, seen in the image below, which allows many commands to be executed and visualizes the victim’s desktop.

Grandoreiro’s Operator commands

Cloud VPS

One overlooked feature of the Grandoreiro malware is what is called “Cloud VPS” by the attackers — it allows cybercriminals to set up a gateway computer between the victim’s machine and the malware operator, thus hiding the cybercriminal’s real IP address.

This is also used by them to make investigation harder, as the first thing noted is the gateway’s IP address. When requesting a seizure, an investigator just finds the gateway module. Meanwhile, the criminal has already set up a new gateway somewhere else and new victims connect to the new one through its DGA.

Grandoreiro Cloud VPS

Victims and targets

The Grandoreiro banking trojan is primed to steal the credentials accounts for 1,700 financial institutions, located in 45 countries and territories. After decrypting the strings of the malware, we can see the targeted banks listed separated by countries/territories. This doesn’t mean that Grandoreiro will target a specific bank from the list; it means it is ready to steal credentials and act, if there is a local partner or money mule who can operationalize and complete the action. The banks targeted by Grandoreiro are located in Algeria, Angola, Antigua and Barbuda, Argentina, Australia, Bahamas, Barbados, Belgium, Belize, Brazil, Canada, Cayman Islands, Chile, Colombia, Costa Rica, Dominican Republic, Ecuador, Ethiopia, France, Ghana, Haiti, Honduras, India, Ivory Coast, Kenya, Malta, Mexico, Mozambique, New Zealand, Nigeria, Panama, Paraguay, Peru, Philippines, Poland, Portugal, South Africa, Spain, Switzerland, Tanzania, Uganda, United Kingdom, Uruguay, USA, and Venezuela. It’s important to note that the list of targeted banks and institutions tend to slightly change from one version to another.

From January to October 2024, our solutions blocked more than 150,000 infections impacting more than 30,000 users worldwide, a clear sign the group is still very active. According to our telemetry, the countries most affected by Grandoreiro infections are Mexico, Brazil, Spain, and Argentina, among many others.

Conclusion

We understand how difficult it is to eradicate a malware family, but it is possible to impede their operation with the cooperation of law enforcement agencies and the private sector — modern financial cybercrime can and must be fought.

Brazilian banking trojans are already an international threat; they’re filling the gaps left by Eastern European gangs who have migrated into ransomware. We know that in some countries, internet banking is declining on desktops, forcing Grandoreiro to target companies and government entities who are still using operating in that way.

The threat actors behind the Grandoreiro banking malware are continuously evolving their tactics and malware to successfully carry out attacks against their targets and evade security solutions. Kaspersky continues to cooperate with INTERPOL and other agencies around the world to fight the Grandoreiro threat among internet banking users.

This threat is detected by Kaspersky products as HEUR:Trojan-Banker.Win32.Grandoreiro, Trojan-Downloader.OLE2.Grandoreiro, Trojan.PDF.Grandoreiro and Trojan-Downloader.Win32.Grandoreiro.

For more information, please contact: crimewareintel@kaspersky.com

Indicators of Compromise

Host based
f0243296c6988a3bce24f95035ab4885
dd2ea25752751c8fb44da2b23daf24a4
555856076fad10b2c0c155161fb9384b
49355fd0d152862e9c8e3ca3bbc55eb0
43eec7f0fecf58c71a9446f56def0240
150de04cb34fdc5fd131e342fe4df638
b979d79be32d99824ee31a43deccdb18

securelist.com/grandoreiro-ban…

We’ve been hinting at it for a few months now, running a series of articles on SAOs, then a Supercon Add-On Challenge. We even let on that the badge would have space for multiple SAOs this year, but would you believe six?

Way back in 2017ish, Hackaday’s own [Brian Benchoff] and the [AND!XOR] crew thought it would be funny and useful to create a “standard” for adding small custom PCB art-badges onto bigger conference badges. The idea was to keep it quick and dirty, uncomplicated and hacky, and the “Shitty” Add On was born. The badge community took to this like wildfire. While the community has moved on from the fecal humor, whether you call these little badgelets “SAOs”, “Simple Add-Ons”, or even “Supercon-8 Add Ons”, there’s something here for everyone. So if you’ve already got some SAOs in a drawer, bring them to this year’s Supercon and show them off!

But you don’t need to bring your own SAOs. We thought that as long as we were providing six SAO ports, we’d provide you with a small starter collection: four of them, in fact. A fantastic capacitive touch wheel designed by [Todbot], a beautiful spiral petal matrix of LEDs designed by [Voja Antonic], a completely blank-slate protoboard petal, and an I2C-enabled microcontroller proto-petal.

Bringing it all together, of course, is the main badge, which sports a Raspberry Pi Pico W on the back-side, for WiFi and Bluetooth connectivity. This badge is intended to be a showcase of SAOs, and we thought that there have always been some under-explored corners of the spec. The most recent six-pin standard has power, ground, two GPIO pins, and an I2C pair. How often do we see SAOs that only use the power lines? This year, that changes!

Every GPIO pin on all six SAO slots is individually accessible, and the Pi Pico’s two hardware I2C peripheral busses are broken out on the left and right sides of the badge respectively. (Have an I2C enumeration conflict? Just move one of the offenders to the other side.) The idea here, combined with the wireless features and a trio of buttons on the front, is to give you a big sandbox to explore the possibilities of SAOs that go farther than just art.

Many Ways to Play

Straight out of the gate, the touch wheel and the LED petal matrix invite you to play with them, all the while fooling you into learning a little bit about interfacing I2C devices. You see, I2C devices have a unique address, and the rest of the functionality is handled by as if they were memory-mapped peripherals. What does this mean? If you want to ask the touch wheel where your finger is, you simply query its memory location 0. To set the LED colors, you write bytes to memory locations 15, 16, and 17 for red, green, and blue, respectively. Each spiral arm of the LED matrix petal is simply a byte in memory – write to it and the blinkies blink.

The take-home: I2C devices are fun and to play with. And when you start combining the functions of multiple SAOs, you can really start getting creative. But we’ve only scratched the surface. The I2C proto petal includes a CH32V003 chip, with its own dedicated I2C device hardware peripheral, so if you have essentially anything that you can solder to it, you can turn that into an I2C-enabled device to add to the party.

This is a multi-lingual party, though. The main badge, and all of the connection logic, runs on MicroPython. This makes it just a few lines of code to display your finger presses on the touchwheel over on the LED petal matrix, for instance, and we’ll have some demo code to ease you in. (And we’re frantically writing more!) But the I2C protoboard requires a little bit of C. If you’ve got a CH32V003 environment set up, by all means bring it – we love [CHLohr]’s CH32V003fun. We’re working on getting the badge board to program the CH32 in-situ, and we’re 99% sure we’ll have that ready by showtime. We’ll have demo code here to get you started as well. Will you program your first RISC-V chip at this year’s Supercon?

But say you don’t want anything to do with all this software? Just give me the solder! The blank-slate protoboard is for you. It breaks out the SAO lines, and gives you maximal room for creative hardware play. Heck, you could solder an LED, a resistor, and call it done. Or play around with the possibilities of the GPIOs. Low-code or no-code, the choice is yours.

Participate!

We know you’re all looking forward to getting your hands on the badge and the SAOs and getting creative. Here is the 2024 Supercon SAO Badge GitHub repository, for your perusal. All of the design files that we have are there in the hardware directory, but the code is not yet complete. If you want to design a 3D-printed case or add-on, you’ll find the vector files in PDF.

As usual [Voja] makes his circuit diagrams by hand, so you’ll find a beautifully annotated schematic that lets you know where each and every pin goes. If you’re not feeling the AA battery love, you’ll see that [Voja] has left you some pads to hook up an external power supply, for instance.

But the software is a work in progress, and in particular, we don’t know what I2C devices you’ll be bringing with you. We’re going to include as many MicroPython I2C device libraries as we can find, from OLED screens to magnetometers, and we’d like them to be on the default conference image. So if you’ve a device that you’d like us to support, either drop a link in the comments below or add the code in the libraries folder and submit a pull request! We’ll be flashing these at the absolute last minute, of course, but please get it in this weekend if you can.

Supercon!

Supercon 8’s badge is the unofficial world-record holder for the most SAO connectors on any official conference badge, but it also aspires to encourage you to play around with the functional aspects of our favorite mini-badge form factor. Heck, maybe you’ll learn a thing or two about I2C along the way? Push some GPIOs around? Or maybe you’ll just have a fun weekend with a soldering iron, some stellar talks, and some great company. Whatever it’s going to be, we can’t wait to see you all, and to see what you come up with!

If you have any questions about the badge, fire away in the comments here.

You do have your tickets already, right? See you soon!

(C3P0 add-on by [kuro_dk] and Cyclops by [Simenzhor] not included.)

For serious high-voltage plasma, you need a serious transformer. [Jay Bowles] from Plasma Channel is taking his projects to the next level, so he built a beefy 6000:1 flyback transformer.

[Jay] first built a driving circuit for his dream transformer, starting with a simple 555 circuit and three MOSFETs in parallel to handle 90 A of current. This led to an unexpected lesson on the necessity for transistor matching as one of them let out the Magic Smoke. On his second attempt, the 555 was swapped for an adjustable pulse generator module with a display, and a single 40 A MOSFET on the output.

The transformer is built around a large 98×130 mm ferrite core, with eleven turns on the primary side. All the hard work is on the secondary side, where [Jay] designed a former to accommodate three winding sections in series. With the help of the [3D Printing Nerd], he printed PLA and resin versions but settled on the resin since it likely provided better isolation.

[Jay] spent six hours of quality time with a drill, winding 4000 feet (~1200 m) of enameled wire. On the initial test of the transformer, he got inch-long arcs on just 6 V and 15 W of input power. Before pushing the transformer to its full potential, he potted the secondary side in epoxy to reduce the chances of shorts between the windings.

Unfortunately, the vacuum chamber hadn’t removed enough of the air during potting, which caused a complete short of the middle winding as the input started pushing 11 V. This turned the transformer into a beautiful copper and epoxy paperweight, forcing [Jay] to start again from scratch.

On the following attempt [Jay] took his time during the potting process, and added sharp adjustable electrodes to act as voltage limiters on the output. The result is beautiful 2.25-inch plasma arcs on only 11 V and 100 W input power. This also meant he could power it with a single 580 mAh 3S LiPo for power.

[Jay] plans to use his new transformer to test materials he intends to use in future plasma ball, ion thruster, and rail gun projects. We’ll be keeping an eye out for those!

youtube.com/embed/DkhpuuPljS4?…

hackaday.com/2024/10/22/pushin…

Il downloader dannoso Bumblebee è tornato in circolazione più di quattro mesi dopo che la sua attività era stata interrotta dall’operazione internazionale Endgamedell’Europol nel maggio di quest’anno.

Bumblebee, secondo gli esperti, è stato creato dagli sviluppatori di TrickBot ed è apparso per la prima volta nel 2022 in sostituzione di BazarLoader. Questo downloader consente ai gruppi di ransomware di accedere alle reti delle vittime.

I principali metodi di distribuzione di Bumblebee sono il phishing, il malvertising e lo spam SEO. Ha promosso applicazioni come Zoom, Cisco AnyConnect, ChatGPT e Citrix Workspace. I tipici payload di malware distribuiti da Bumblebee includono beacon Cobalt Strike , programmi per il furto di dati e varie versioni di ransomware.

A maggio, nell’ambito dell’operazione Endgame, le forze dell’ordine hanno sequestrato più di un centinaio di server che supportavano le attività di diversi downloader dannosi, tra cui IcedID, Pikabot, TrickBot, Bumblebee, Smokeloader e SystemBC. Da allora, Bumblebee è rimasto in gran parte inattivo. Tuttavia, i ricercatori di Netskope hanno recentemente registrato una nuova ondata di attacchi che hanno coinvolto Bumblebee, il che potrebbe indicarne il ritorno.

La catena dell’attacco inizia con un’e-mail di phishing che propone di scaricare un archivio in formato ZIP. L’archivio contiene un file di collegamento (.LNK) chiamato “Report-41952.lnk”, che scarica un file MSI dannoso tramite PowerShell mascherato da driver NVIDIA o programma di installazione del programma Midjourney.

Il file MSI viene eseguito utilizzando l’utilità msiexec.exe in modalità silenziosa (opzione /qn), che elimina l’interazione dell’utente. Per mascherare le sue azioni, il malware utilizza la tabella SelfReg, caricando la DLL direttamente nello spazio “msiexec.exe” e attivandone le funzioni.

Una volta distribuito, Bumblebee carica il suo payload in memoria e avvia il processo di decompressione. I ricercatori hanno notato che la nuova variante del malware utilizza la stringa “NEW_BLACK” per decrittografare la configurazione e due identificatori di campagna: “msi” e “lnk001”.

Sebbene Netskope non abbia fornito dati sulla dimensione della campagna o sui tipi di payload scaricati, la ricerca evidenzia i primi segnali di un possibile revival di Bumblebee. L’elenco completo degli indicatori di compromissione è disponibile su GitHub.

Il ritorno di Bumblebee ci ricorda che, anche dopo operazioni riuscite contro le minacce informatiche, non dobbiamo abbassare la guardia: nuove attività dannose possono sempre emergere dall’ombra, cambiando l’aspetto ma non le intenzioni.github.com/netskopeoss/Netskop…

ZIP file (SHA256)

2bca5abfac168454ce4e97a10ccf8ffc068e1428fa655286210006b298de42fb

LNK file (SHA256)

106c81f547cfe8332110520c968062004ca58bcfd2dbb0accd51616dd694721f

MSI file (SHA256)

c26344bfd07b871dd9f6bd7c71275216e18be265e91e5d0800348e8aa06543f9
0ab5b3e9790aa8ada1bbadd5d22908b5ba7b9f078e8f5b4e8fcc27cc0011cce7
d3f551d1fb2c307edfceb65793e527d94d76eba1cd8ab0a5d1f86db11c9474c3
d1cabe0d6a2f3cef5da04e35220e2431ef627470dd2801b4ed22a8ed9a918768

Bumblebee payload (SHA256)

7df703625ee06db2786650b48ffefb13fa1f0dae41e521b861a16772e800c115

Payload URL

hxxp:///193.242.145.138/mid/w1/Midjourney.msi
hxxp://193.176.190.41/down1/nvinstall.msi

L'articolo Il Ritorno di Bumblebee! Il downloader ransomware riemerge dopo Endgame! proviene da il blog della sicurezza informatica.

Che la 'Ndrangheta sia l'organizzazione criminale italiana che presenta la maggiore minaccia all'estero è assunto consolidato. Non a caso all'interno di INTERPOL è stato attivato un programma ad hoc di collaborazione, guidato dall'Italia, denominato "I-CAN", un'alleanza globale per confrontarsi sulle nuove sfide e strategie di contrasto alla ‘Ndrangheta. Il Progetto è nato 4 anni fa dalla stretta collaborazione tra il Segretariato generale di Interpol e il Dipartimento della pubblica sicurezza italiano. Anche il progetto europeo di una rete internazionale di polizia @ON, guidato dalla italiana Direzione Investigativa Antimafia (DIA) mira a creare una rete tra le forze di polizia coinvolte, fornendo loro informazioni rapide sulle formazioni criminali internazionali su cui stanno indagando. Ciò avviene attraverso il canale sicuro “Siena” di Europol e la creazione di un database internazionale relativo alla criminalità organizzata.

Copertina rivista SN Social Sciences

Un recentissimo studio condotto da due esperte della materia, Anna Sergi e Anita Lavorgna, rispettivamente docente di criminologia presso l'University of Essex e Professoressa Associata presso il Dipartimento di Scienze Politiche e Sociali dell'Università di Bologna, sulla rivista SN Social Sciences (in inglese, Intergenerational and technological changes in mafia-type groups a transcultural research agenda to study the ‘ndrangheta and its mobility, reperibile anche in rete: link.springer.com/article/10.1…) pone l'accento sulla mobilità della 'ndrangheta e come le trasformazioni culturali e tecnologiche influenzino le sue operazioni.

L'analisi si basa su una revisione preliminare di documenti, tra cui trascrizioni di conversazioni intercettate, per esaminare l'uso di comunicazioni criptate nelle attività di traffico di droga. Questo approccio mira a fornire un contributo teorico piuttosto che empirico.

Tra gli altri aspetti considerati quelli di mobilità ed i legami sociali e culturali: la 'ndrangheta sfrutta i legami con la diaspora calabrese per espandere le sue operazioni e le dinastie mafiose si adattano a contesti internazionali, facilitando la loro mobilità.

Lo studio sottolinea l'importanza di un approccio transculturale per comprendere le dinamiche della 'ndrangheta, evidenziando come le trasformazioni tecnologiche e culturali influenzino le sue operazioni e resilienza a livello globale.

Da segnalare inoltre come proprio una delle due autrici, la Professoressa Sergi, sia protagonista di un podcast sulla infiltrazione della 'Ndrangheta agli antipodi, ovvero in Australia. Si tratta di un lavoro curato da Carlo Oreglia
, che evidenzia come da anni tale organizzazione criminale sia presente con i suoi traffici illeciti in varie città australiane (“My Australian Mafia Road Trip”: viaggio nella storia della 'ndrangheta in Australia).

Starting a hacker con is hardly what anyone would describe as easy — but arguably, the truly difficult part is keeping the momentum going into the second year and beyond. For the first year, you can get away with a few missed opportunities and glitches, but by the time you’ve got one event under your belt, you’ll have set the bar for what comes next. There’s pressure to grow, to make each year bigger and better than before. All the while, making sure you don’t go broke in the process. Putting on a single hacker con is an achievement in and of itself, but establishing a long-running hacker con is a feat that relatively few groups have managed to pull off.

With this in mind, the incredible success of the second annual JawnCon is all the more impressive. The Philadelphia-area event not only met the expectations of a sophomore effort, but exceeded them in pretty much every quantifiable way. From doubling attendance to providing a unique and immersive experience with their electronic badge, the team seized every opportunity to build upon the already strong foundation laid last year. If this was the make-or-break moment for the Northeast’s newest hacker con, the future looks very bright indeed.

But before setting our sights on next year, let’s take a look at some of the highlights from JawnCon 0x1. While you can watch all of this year’s talks on YouTube, the aspect of a hacker on that can’t easily be recorded is the quality time spent with like-minded individuals. Unfortunately, there’s no way to encompass everything that happened during a two-day con into a single article. Instead, this following will cover a few of the things that stood out to me personally.

If you’d like to experience the rest of JawnCon, you’ll just have to make the trip out to Philly for 2025.

Creating New Traditions

For returning attendees, certainly the most striking thing about this year’s event was simply how many people showed up. In the closing ceremonies, we learned that attendance had more than doubled since last year, and you could absolutely feel it. The rooms never felt cramped, but they certainly felt full.

But the growth of this year’s event wasn’t limited to the ticket holders. The local chapter of The Open Organisation Of Lockpickers (TOOOL) was there, equipped with picks and transparent padlocks for anyone interested in an impromptu lesson in lockpicking. You could also try to get yourself out of a pair of handcuffs and other forms of restraints.

This year also featured a “Free Table” where attendees could leave interesting items for others. We’ve all got some piece of hardware that’s been gathering dust for just a bit too long. Maybe it was for some project that you’re no longer interested in, or you just don’t have the time to mess around with it. Instead of tossing it in the trash, a table like this is a great way to re-home some of those technical treasures.

The table was constantly being refreshed as more attendees showed up and added their contributions to the pile. There was only one rule: if your stuff was still there at the end of the con, you had to take it home. But as things started wrapping up on Saturday evening, there were just a few oddball antenna cables and a couple mystery PCBs left. It was especially gratifying to see how many reference books were picked up.

Another highlight this year was a informal competition inspired by the old IT adage that digital subscriber line (DSL) broadband service could be run over a piece of wet string. With all the hardware necessary to establish a DSL connection on-site, attendees were invited to bring up various objects that would fill in for the telephone line. The medium that provided the fastest confirmed Internet connection would be crowned the winner.

Two pieces of spaghetti ended up taking the top spot, with a link speed of 10 Mbit. A section of carbon fiber tube — dubbed “hard-line coax” for the purposes of the competition — managed second place with around 6 Mbit. As you might expect, the failures in this competition were perhaps just as interesting as the successes. A line of “energy gel” was apparently not conductive enough, though some flickering of the indicator LEDs on the modem seemed to indicate it was close. While it came as no surprise that a line of hackers holding hands wasn’t a suitable link for the experiment, the audience did appreciate the irony that the hardware indicated it couldn’t progress past the handshaking stage of the connection.
The Internet is a series of tubes…semolina tubes.

Living History for Hackers

Attendees had already gotten a sneak peek at the JawnCon 0x1 badge a few weeks before the event, so the fact that they’d all be getting tiny modems to plug into their computers (and indeed, wear around their necks) wasn’t a complete surprise. But still, I don’t think anyone was fully prepared for what a unique experience it was really going to be.

For the younger players, there was an obvious learning curve. But the veterans in attendance were all too happy to explain the relevant AT commands and get them dialing away. Once you’d figured out how to connect up to the network and start exploring, it added a whole new dimension to the event.

Not only were there various puzzles and Capture the Flag (CTF) challenges that could be accessed through the modem, but it also acted as a gateway to games, chats, and other features that functioned within the con’s infrastructure.

For example, running a command within the modem’s onboard menu system would print the current talk taking place on the stage downstairs, and tell you who was up next.

It was actually a bit surreal. Walking around you’d come across a table of 20-somethings, all with look-alike Hayes modems plugged into their shiny new MacBooks or high-end gaming laptops. It’s hard to say how many of them came away from the event with a new respect for the old ways, but there’s no question they had learned a hell of a lot more about the early Internet than they would have from just watching a YouTube video about it.

While the badge was certainly the star of the show, there were also vintage serial terminals dotted around the chill-out area that you could interact with. By default they showed the talk schedule in a glorious shade of either amber or green, but hit a key and you’d be dumped into the terminal. Nominally, jumping on the terminals and executing various tasks was part of the CTF, but it was also a lot of fun to turn back the clock and sit down at a real serial terminal and interact with some *nix box hidden away elsewhere in the building.

Long Live the Jawn

Any event that manages to double its attendance from the previous year is clearly doing something right. But if you don’t know how to handle the growth, it can become a problem. Luckily, the JawnCon staff are on the case. It sounds like next year they may opt to use a larger space within the same building at Arcadia University. The University is a great fit for the event, so the fact that there’s room to grow is great news for everyone involved.

Of course, it takes more than simply securing a larger room every couple years to make sure an event like this stays on the right track. You also need intelligent and responsible folks at the wheel. Here again, JawnCon is well equipped for the future. The staff and volunteers that worked tirelessly behind the scenes to bring this con to life are some of the most passionate and welcoming individuals I’ve ever had the pleasure of meeting. They represent the very best qualities of hacker culture, and armed with a genuine desire to bring that sense of exploration and inclusion to the next generation, they’re the catalyst that will keep JawnCon growing and evolving over the coming years.

hackaday.com/2024/10/22/in-its…

Le azioni di Nvidia hanno stabilito un nuovo record e sono sulla buona strada per spodestare Apple come l’azienda di maggior valore al mondo. Lunedì, le azioni del produttore di chip di intelligenza artificiale sono aumentate del 2,4% a 138,07 dollari per azione.

Nvidia continua a beneficiare della crescente domanda per i suoi processori AI attuali e di prossima generazione, avvicinando l’azienda al valore di mercato di Apple di 3,52 trilioni di dollari. Nvidia ha attualmente una capitalizzazione di mercato di 3,39 trilioni di dollari, superando anche i 3,12 trilioni di dollari di Microsoft.

A giugno Nvidia divenne per breve tempo l’azienda con il maggior valore al mondo, ma fu presto superata da Microsoft. Negli ultimi mesi la capitalizzazione di questi tre colossi tecnologici si è mantenuta a un livello simile.

Nvidia è uno dei principali beneficiari della corsa tra aziende tecnologiche come Alphabet, Microsoft e Amazon per guidare il campo dell’intelligenza artificiale. Secondo gli analisti di TD Cowen, i maggiori attori del mercato si trovano in una situazione di “dilemma del prigioniero”, in cui ogni azienda è costretta a continuare a investire nello sviluppo dell’intelligenza artificiale, nonostante i costi elevati, per evitare le gravi conseguenze di un ritardo.

TD Cowen ha ribadito il suo outlook sulle azioni Nvidia con un obiettivo di prezzo di 165 dollari, definendo la società una “scelta migliore” e ha osservato che la domanda per i suoi attuali chip AI rimane forte. Ad agosto, Nvidia ha confermato che la produzione dei suoi nuovi chip Blackwell sarebbe stata ritardata fino al quarto trimestre, ma ha sottolineato che ciò non avrebbe avuto un impatto significativo poiché i chip esistenti sono molto richiesti.

Gli investitori attendono con ansia l’inizio della stagione dei rendiconti, con le azioni di Apple e Microsoft in crescita rispettivamente del 2% e dello 0,7%. Tutte e tre le società – Nvidia, Apple e Microsoft – costituiscono un quinto del peso dell’indice S&P 500, con un impatto significativo sulle sue fluttuazioni giornaliere.

Giovedì 17 ottobre è inoltre atteso un rapporto di Taiwan Semiconductor Manufacturing Co., il principale produttore di processori di Nvidia, che dovrebbe mostrare una crescita dei profitti del 40% grazie alla forte domanda di chip AI.

Gli analisti ritengono che l’aumento della spesa per i data center AI aiuterà Nvidia a raddoppiare le sue entrate annuali a 126 miliardi di dollari, ma gli investitori temono che l’ottimismo sull’intelligenza artificiale potrebbe svanire se ci fossero segnali di un rallentamento della spesa per la tecnologia.

L'articolo Il Boom di Nvidia! Apple quasi raggiunta, in Salita la capitalizzazione per il gigante delle AI proviene da il blog della sicurezza informatica.

Le recenti vulnerabilità scoperte in VMware vCenter Server possono mettere seriamente a rischio la tua infrastruttura. Broadcom ha rilasciato aggiornamenti di sicurezza cruciali per correggere due vulnerabilità che permetterebbero agli attaccanti di eseguire codice remoto e ottenere privilegi elevati.

Le vulnerabilità e il rischio per la tua infrastruttura

Le vulnerabilità CVE-2024-38812 e CVE-2024-38813 rappresentano una minaccia diretta e gravissima per le versioni di vCenter Server e VMware Cloud Foundation. In particolare, CVE-2024-38812 si distingue per la sua pericolosità estrema: con un punteggio CVSS di 9.8 su 10, questa vulnerabilità di heap overflow nel protocollo DCE/RPC permette a un attaccante di eseguire codice remoto semplicemente inviando un pacchetto di rete creato ad arte. Se non viene immediatamente risolta, questa falla può compromettere completamente le versioni di vCenter Server 7.0, 8.0 e Cloud Foundation 4.x e 5.x, aprendo la porta a potenziali attacchi devastanti.

Anche la vulnerabilità CVE-2024-38813, con un punteggio CVSS di 7.5, rappresenta una minaccia da non sottovalutare. Potrebbe consentire a un attaccante di elevare i propri privilegi fino al livello di root, garantendogli il pieno controllo del sistema. Questo significa che l’intera infrastruttura potrebbe essere nelle mani di un cybercriminale, lasciando la tua azienda completamente esposta a manipolazioni, furti di dati e attacchi devastanti.

Anche se al momento non sono stati rilevati attacchi noti, la centralità del vCenter Server nella gestione delle infrastrutture virtualizzate lo rende un bersaglio altamente appetibile per i cybercriminali. La sicurezza della tua infrastruttura non può essere assolutamente trascurata.

Cosa fare?

Aggiornare immediatamente il Software vCenter Server per proteggersi da eventuali minacce. Broadcom ha rilasciato le patch per correggere la falla.

• Se utilizzi la versione 8.0, aggiorna alla versione 8.0 U3d.
• Se usi la versione 7.0, aggiorna alla 7.0 U3t.
• I clienti di Cloud Foundation devono applicare le patch asincrone corrispondenti al proprio vCenter Server.

Conclusione

Queste vulnerabilità sottolineano l’importanza continua di una gestione proattiva della sicurezza negli ambienti di virtualizzazione aziendale. L’applicazione tempestiva delle patch e la manutenzione costante non solo riducono il rischio di exploit, ma proteggono l’infrastruttura critica da potenziali attacchi mirati. Senza una strategia di aggiornamento e monitoraggio regolare, anche le soluzioni di virtualizzazione più robuste possono diventare un punto debole, esponendo l’azienda a minacce sempre più sofisticate.

L'articolo VMware vCenter Server: Vulnerabilità critiche. Aggiornare subito! proviene da il blog della sicurezza informatica.

Il 5 novembre 2024 i cittadini americani voteranno il prossimo presidente e vicepresidente degli Stati Uniti d’America – nonché 1/3 dei senatori degli Stati Uniti e tutti i 435 membri della Camera dei rappresentanti. In questo contesto le operazioni di influenza attraverso le camere di risonanza digitali (echo chambers) – come piattaforme digitali e social media – possono svolgere un ruolo critico, dando forma a narrazioni che possono influenzare le opinioni delle persone, che vengono esposte a diverse tipologie di contenuti politici, scientifici, culturali o di natura complottista o estremista.

Abbiamo già fatto luce su un 2024 all’insegna delle provocazioni nella grande marcia verso le urne in circa 76 paesi. In questi giorni Resecurity – azienda statunitense di sicurezza informatica e cyber threat intelligence, con sede a Los Angeles, California – ha rilevato un aumento sostanziale nella distribuzione di contenuti politici relativi alle elezioni statunitensi del 2024 attraverso i social network.

Fonte immagine: Resecurity

Misinformazione e psy-ops: l’intento è produrre il caos

A svolgere un ruolo cruciale sono i social media, le applicazioni di messaggistica istantanea e i canali multimedia: con il calo di interesse verso i media tradizionali, molti elettori si rivolgono ai social media per notizie e aggiornamenti, dove account attivi producono contenuti ad hoc per influenzare la percezione pubblica – che non ha le chiavi per una riflessione più critica – e in ultima analisi risultati delle elezioni. Tali contenuti, che a prima vista possono sembrare ingenui di primo acchito, rivelano invece che alla base ci sia uno sforzo organizzativo per produrli e renderli disponibili online o condivisibili facilmente via mobile ed email. Importante è evidenziare come le camere di risonanza (echo chambers) rappresentino ambienti in cui le persone trovano informazioni o opinioni che riflettono e rafforzano le proprie idee e il proprio pregiudizio di conferma.

Un’altra minaccia critica è l’erosione della fiducia nelle istituzioni e nei processi democratici: questo facilita l’amplificazione di narrazioni il cui solo intento è produrre caos.

Operazioni informatiche, operazioni di influenza e spionaggio informatico

Con l’intento di produrre caos psy-ops e operazioni informatiche vengono utilizzate in combinazione con gli strumenti dello spionaggio tradizionale. Ciò include:

• Operazioni informatiche rivolte contro le infrastrutture elettorali.
• Operazioni informatiche che prendono di mira politici e funzionari pubblici.
• Psy Ops tradizionali volte a danneggiare le organizzazioni politiche o i funzionari pubblici.
• PsyOps volte ad influenzare l’opinione pubblica.
• Operazioni volte ad influenzare sia l’opinione pubblica che i decisori politici.

Come vediamo le minacce assumono varie forme a cui segue la disinformazione, la manipolazione dei contenuti, operazioni di hacking e di guerra ibrida, coinvolgendo un’ampia gamma di entità anche grazie ai numerosi strumenti digitali disponibili oggi e utilizzati per amplificare il messaggio. A ciò si aggiungono forme non tradizionali di spionaggio volte ad acquisire informazioni o ottenere l’accesso a infrastrutture critiche e catene di fornitura o alle nuove tecnologie di sorveglianza, sistemi, reti sino agli investimenti esteri.

Questo evidenzia anche la necessità di un approccio per migliorare la consapevolezza pubblica e ricostruire la sua fiducia nelle istituzioni democratiche.

Resecurity: erosione di fiducia e camere d’eco sono le principali minacce alle elezioni USA

Al riguardo Resecurity – azienda statunitense di sicurezza informatica e cyber threat intelligence, con sede a Los Angeles, California – ha rilevato un aumento sostanziale nella distribuzione di contenuti politici relativi alle elezioni statunitensi del 2024 attraverso i social network, in particolare provenienti da giurisdizioni straniere. Già dal 5 ottobre Resecurity – di cui citiamo il CEO Gene Yooe il COO Shawn Loveland – ha identificato diversi account in vendita su Telegram che impersonavano enti governativi, tra cui la Casa Bianca, l’FBI e la CIA, nonché noti organi di informazione come la CNN e il Washington Post.

Nel rapporto “Digital Echo Chambers and Erosion of Trust – Key Threats to the US Elections” Resecurity analizza le significative minacce poste dall’erosione della fiducia nelle prossime elezioni statunitensi causata dalle camere dell’eco digitali.

Fonte immagine: Resecurity (cit)

Sono stati altresì identificati diversi account Telegram registrati e messi in vendita tra 10 TON (51 $) e 2028 TON (2290 $) sul marketplace Fragment, di interesse per gli avversari stranieri che mirano a colpire uno specifico segmento di pubblico. Uno di questi account (@elections) è stato venduto il 18 ottobre 2023, quasi un anno prima delle elezioni.

Fonte immagine: Resecurity (cit)

Tuttavia le operazioni di influenza non si limitano solo a entità straniere, ma includono anche organizzazioni e attori nazionali. Nelle ultime settimane, c’è stata infatti una proliferazione di immagini, video e narrazioni false anche circa attacchi informatici mirati “sotto falsa bandiera per indurre sentimenti”.

Lo scenario a livello globale sembra diventare ancora più complesso se si guarda ad esempio alla Moldavia – divisa tra est e ovest – ove è appena passato il sì al referendum per la sua integrazione nell’Unione Europea. Gli analisti avevano già avvistato di una ‘guerra ibrida a larga scala” che originava dal social Vkontakte (VK) per ciò che riguardava l’elezione presidenziale e il discredito a Maia Sandu, che per ora ha vinto il primo turno con il 42,45 per cento dei consensi e che si prepara al ballottaggio del 3 novembre con Alexandr Stoianoglo del Partidul Socialiștilor din Republica Moldova.

L'articolo Elezioni USA and psy-ops: le principali minacce derivano dalle Camere d’eco digitali e dalla erosione della fiducia nei processi democratici proviene da il blog della sicurezza informatica.

There’s no shortage of movies, TV shows, and books that show a dystopian future with corporations run amok in outer space with little or no effective oversight. Dune, The Expanse, and The Dispossessed spring to mind as predicting different aspects of this idea, but there are plenty of other warnings throughout sci-fi depicting this potential future. One possible way of preventing this outcome is by ensuring that space is as open-sourced as possible and one group, the Libre Space Foundation (LSF), is working towards this end. Their latest is a project with Ondsel to develop and model a satellite deploying mechanism using almost entirely open source software.

The LSF had already designed the PICOBUS satellite launcher system that flew to space in 2022 and deployed a number of CubeSats, but the group needed more information about how the system would perform. They turned to Ondsel to help develop a multi-body dynamics (MBD) solver, managing simulations with mass-spring-damper models. The satellite launcher includes a large constant-force spring that pushes the CubeSats out of the device once the door is opened, and the model can now simulate their paths in space without gravity. The team will launch their next set of satellites sometime next year on an RFA-ONE rocket.

The LSF maintains a huge database of their open source space projects, including this one, on their GitLab page. Although it might seem like small potatoes now, the adoption of open source software and hardware by space-fairing entities can help further the democratization of low Earth orbit.

Thanks to [johnad] for the tip!

hackaday.com/2024/10/22/libre-…

Produrre valanghe di stronzate inutili ma vistose è sempre stato il trucco dei sicofanti per risalire nelle gerarchie. E oggi hanno dalla loro anche i generatori di stronzate. La cacca galleggia anche nelle gerarchie, e a me viene voglia di tirare lo sciacquone.

spreaker.com/episode/dk9x05-ge…

Ricordate la storia del FSE 2.0 e dell'opposizione al trattamento del pregresso?
Bene, la bouna notizia è che il garante è vivo e combatte insieme a noi.

spreaker.com/episode/dk9x04-un…

In Virginia è stata intentata una causa contro la rete di telecamere Flock, che legge automaticamente le targhe e traccia i movimenti. La causa sostiene che il sistema viola il quarto emendamento della Costituzione americana, che protegge dalla sorveglianza senza mandato.

Ci sono 172 di queste telecamere nel Norfolk e i querelanti affermano che la sorveglianza è impossibile da evitare. Le telecamere registrano ogni auto che passa e i dati vengono archiviati in un database in cui i percorsi possono essere analizzati utilizzando l’intelligenza artificiale. La causa sottolinea che il sistema consente alla polizia di monitorare le persone a loro insaputa o senza il loro consenso.

Uno dei querelanti, il veterano della Marina Lee Schmidt, ha detto che la polizia potrebbe utilizzare i dati di Flock per tracciare i suoi percorsi giornalieri. Ad esempio, se Schmidt attraversa l’incrocio vicino a casa sua, puoi capire che si sta dirigendo alla scuola di sua figlia; se gira a destra va al poligono di tiro; se gira a sinistra va al negozio;

La seconda, l’operatrice sanitaria Crystal Arrington, ha aggiunto che il sistema potrebbe rivelare l’identità dei suoi pazienti. Dato che Arrington va porta a porta, la polizia può facilmente scoprire da chi sta andando.

Flock utilizza telecamere in più di 5.000 città degli Stati Uniti. I dispositivi funzionano 24 ore su 24 e automaticamente, senza intervento umano. L’azienda sostiene che grazie alle sue tecnologie la criminalità nel Paese sarà sconfitta entro 10 anni. Ma gli scienziati precedentemente utilizzati da Flock per valutare il suo lavoro hanno espresso dubbi sui risultati dello studio.

L’Institute for Justice, che ha intentato la causa, ha scelto Norfolk per un motivo. Nel 2022, la Corte d’Appello ha stabilito che l’uso di droni di sorveglianza a Baltimora per 12 ore al giorno era incostituzionale perché violavano il Quarto Emendamento. La causa afferma che le telecamere Flock sono ancora più pericolose dei droni perché registrano ogni veicolo, creando una “impronta digitale” dei percorsi. Inoltre, le telecamere sono state installate senza la partecipazione del consiglio comunale.

La polizia di Norfolk ha confermato che è quasi impossibile guidare per la città senza essere ripresi dalle telecamere. Un tribunale della Virginia ha recentemente vietato l’uso dei dati della telecamera Flock in un caso di rapina perché la polizia li ha ottenuti senza mandato, violando i diritti del sospettato. Flock e la città di Norfolk non hanno ancora commentato.

Ricordiamo che nel 2023, in una riunione della commissione parlamentare britannica per la scienza, l’innovazione e la tecnologia, è stato affermato che il sistema di riconoscimento facciale utilizzato dalla metropolitana di Londra durante l’incoronazione del re potrebbe mostrare pregiudizi razziali a determinate soglie.

Inoltre, nel 2023, una donna incinta è stata arrestata fuori dalla sua casa di Detroit con l’accusa di rapina e furto d’auto. L’arresto è stato il risultato di un’errata corrispondenza in un sistema di riconoscimento facciale automatico.

L'articolo USA Sotto sorveglianza! La causa in Virginia contro le telecamere che tracciano ogni mossa proviene da il blog della sicurezza informatica.

Terza puntata Bomba!!!

1 - The Peawees - Drive  - Recensione : The Peawees One Ride
2 - Colloquio - Uomo del silenzio - Recesnsione - Colloquio – Io E L’altro
3 - Class - A healty alternative
4 - Alessandra Celletti - Le vrai nom du vent
5 - The Chefs - You Get Everywhere
6 - Fabio Vernizzi - ShorTrane (radio edit)
7 - The Guy Hamper Trio feat. James Taylor - Dog Jaw Woman
8 - Kluster Cold - Chrome chromosome
9 - Saffron Wood feat Ingrid Chavez- Visit Dream
10 - Freez - Always friends

iyezine.com/frontiere-sonore-r…

Frontiere Sonore Radio Show Ep. 3

Frontiere Sonore Radio Show Ep. 3 - Frontiere Sonore Radio Show Ep. 3:The Peawees, Colloquio, Class, Alessandra Celletti, The Chefs, Fabio Vernizzi,The Guy Hamper Trio feat.

^{Simone Benerecetti (In Your Eyes ezine)}

Il gruppo Arte di Red Hot Cyber assieme a CyberSecurityUP di Fata Informatica, ha appena lanciato il terzo episodio della serie a fumetti dedicata alla cybersecurity awareness, dal titolo “Phisher’s Game!”. Questa nuova puntata vede la protagonista Betti vittima di un attacco di phishing orchestrato da Killer Byte, una cyber gang criminale già apparsa nel secondo episodio della serie.

Nel capitolo precedente, la cyber gang Killer Byte ha compromesso e distrutto le infrastrutture IT di un’azienda per la quale Betti prestava consulenze, utilizzando un attacco ransomware devastante. In “Phisher’s Game!”, il gruppo di hacker torna in azione, questa volta puntando direttamente alla protagonista, tentando di ingannarla e sottrarle dati sensibili attraverso e-mail fraudolente, link dannosi e altre tecniche tipiche del phishing.

• Acquista il fumetto in versione cartacea di alta qualità di stampa
• Acquista il fumetto in formato elettronico nella nostra Academy

Phishing e Deepfake a 360 gradi

La Killer Byte, però, non conoscendo Betti direttamente, ma solo il suo pseudonimo “RHC”, decide di effettuare una serie di ricerche approfondite per scoprire la vera identità della nostra beniamina. Utilizzando tecniche avanzate di social engineering, il gruppo criminale inizia a raccogliere informazioni personali su di lei, fino ad arrivare a colpire la madre di Betti con messaggi di phishing. Questo attacco si sviluppa in modo pericolosamente sofisticato: oltre alle e-mail fraudolente, la Killer Byte utilizza messaggi vocali e addirittura video deepfake, realizzati grazie alle moderne tecnologie di intelligenza artificiale, imitando perfettamente la voce e l’aspetto di persone conosciute da Betti per ingannarla.

• Acquista il fumetto in versione cartacea di alta qualità di stampa
• Acquista il fumetto in formato elettronico nella nostra Academy

“PHisher’s Game!” sarà un episodio particolarmente rilevante per chiunque desideri comprendere non solo cos’è il phishing, ma anche quanto perverse e subdole possano essere le tecniche di social engineering utilizzate oggi dai criminali informatici. Con l’uso di AI per generare deepfake sempre più credibili, gli attacchi di phishing stanno diventando sempre più mirati e sofisticati, mettendo a dura prova anche le persone più consapevoli delle minacce informatiche.

Questa storia non solo illustra i pericoli del phishing, ma mostra quanto possa essere devastante un attacco che sfrutta le emozioni e i legami personali per compromettere la sicurezza di un individuo. Betti si troverà a lottare contro attacchi che sembrano arrivare da persone di fiducia, costringendo i lettori a riflettere su quanto sia importante restare vigili e diffidenti anche quando le comunicazioni sembrano genuine.

Betti-RHC: Cybersecurity Awareness Attraverso lo Storytelling

La serie Betti-RHC rappresenta un’iniziativa innovativa di Red Hot Cyber per sensibilizzare le persone sui temi della sicurezza informatica. Al contrario dei tradizionali corsi formativi, spesso percepiti come noiosi o complessi, Betti-RHC utilizza il fumetto come strumento di storytelling per educare il lettore su minacce come ransomware, phishing e cyber attacchi di vario tipo creando di fatto un corso di Cybersecurity Awareness a fumetti. Questa metodologia, accattivante e visivamente coinvolgente, rende più semplice e immediata la comprensione di concetti altrimenti tecnici e difficili da apprendere.

• Acquista il fumetto in versione cartacea di alta qualità di stampa
• Acquista il fumetto in formato elettronico nella nostra Academy

Betti-RHC è un corso di cybersecurity awareness non convenzionale che sfrutta le avventure della protagonista per spiegare come evitare trappole digitali. Ogni episodio della serie porta alla luce scenari realistici di attacchi informatici, mostrando come l’ingenuità o la mancanza di consapevolezza possano portare a gravi conseguenze per aziende e individui.

Come riportato nell’articolo “Formare i dipendenti alla cybersecurity con un fumetto? Ora lo puoi fare con Betti-RHC!” di Red Hot Cyber, questo approccio creativo mira a insegnare pratiche di sicurezza informatica con un tono leggero e divertente, rendendo la formazione accessibile a tutti, dai principianti ai professionisti.

Il successo di questo progetto si basa sulla capacità del fumetto di comunicare messaggi complessi in modo semplice e immediato, utilizzando scenari di vita quotidiana. Con “PHisher’s Game!”, Red Hot Cyber continua a dimostrare che il fumetto può essere un potente strumento educativo, capace di unire intrattenimento e informazione, per proteggere utenti e organizzazioni dalle crescenti minacce del mondo digitale.

Non perdere questo nuovo episodio e scopri come Betti riuscirà a sfuggire alle grinfie di Killer Byte, imparando preziose lezioni di cybersecurity lungo il percorso.

• Acquista il fumetto in versione cartacea di alta qualità di stampa
• Acquista il fumetto in formato elettronico nella nostra Academy

Sponsorizza anche tu una nuova puntata della serie

Sei un’azienda innovativa, che crede nella diffusione di concetti attraverso metodi “non convenzionali”?

Stiamo ricercando sponsor per la quarta puntata del fumetto Betti-RHC. La sponsorizzazione ti darà la possibilità di far brillare il tuo logo sulla copertina del fumetto e di avere ben 4 facciate interne dedicate alla promozione dei tuoi servizi e prodotti. Inoltre all’interno della sceneggiatura del fumetto inseriremo (qualora vogliate) persone, ambienti della tua azienda e potrai collaborare nella creazione della sceneggiatura.

Sarà una storia coinvolgente sulla sicurezza informatica!

Betty RHC è l’unica Graphic Novel nel suo genere che trasforma la cybersecurity in una storia emozionante oltre ad un corso di Cybersecurity Awareness non convenzionale. Con messaggi chiave integrati nella trama, insegniamo ai nostri lettori come affrontare le sfide della sicurezza informatica in modo efficace e divertente.

Per ulteriori informazioni sulla sponsorizzazione, non esitare a contattarci all’indirizzo graphicnovel@redhotcyber.com.

• Acquista il fumetto in versione cartacea di alta qualità di stampa
• Acquista il fumetto in formato elettronico nella nostra Academy

L'articolo Red Hot Cyber Rilascia il Terzo Episodio Sul Phishing della Graphic Novel “Betti-RHC” proviene da il blog della sicurezza informatica.

If you’ve ever had to suffer through a call tree and a 9,000 hour wait on hold to cancel a subscription, we have good news for you if you live in the United States. The Federal Trade Commission (FTC) has just finalized a rule that will “make it as easy for consumers to cancel their enrollment as it was to sign up.”

The announcement of the proposed rule came in March 2023 and was followed up by 16,000 comments from the public. Complaints to the agency about negative option and recurring subscription services have been rising from 42 per day in 2021 to 70 per day in 2024.

Commission Chair Lina M. Khan says, “The FTC’s rule will end these tricks and traps, saving Americans time and money. Nobody should be stuck paying for a service they no longer want.”

The rule will take effect 180 days after entering the Federal Register. If you’re curious about other ways we can hold tech companies accountable, Cory Doctorow has some ideas.

hackaday.com/2024/10/22/click-…

In un mondo sempre più interconnesso, l’osservazione delle dinamiche e delle iniziative di altri paesi, anche quelli che consideriamo autoritari come l’Iran, può rivelarsi sorprendentemente istruttiva. Spesso, ci si concentra esclusivamente sulle criticità e sulle tensioni geopolitiche, trascurando il potenziale di apprendimento che si cela dietro le scelte strategiche di nazioni apparentemente lontane dalle nostre.

Mentre in Occidente tendiamo a mantenere una certa distanza, le Olimpiadi della Tecnologia in Iran rappresentano un esempio lampante di come, anche in contesti difficili, l’innovazione e la competizione possano prosperare. Analizzare queste iniziative ci offre l’opportunità di raccogliere idee e spunti utili per promuovere il progresso tecnologico. L’ispirazione può provenire da qualsiasi angolo del mondo, anche dall’Iran.

Dal 1 al 7 novembre, il Pardis Technology Park, situato a circa 20 km a nord-est di Teheran, in Iran, ospiterà il primo round delle Olimpiadi della Tecnologia. Questo evento ambizioso, dedicato a diverse discipline tecnologiche, si propone di scoprire e promuovere i migliori talenti del Paese in settori all’avanguardia come l’intelligenza artificiale, la robotica e la sicurezza informatica.

Con il motto “Olimpiadi della tecnologia, una competizione per l’eccellenza”, l’iniziativa si prefigge di stimolare la concorrenza e l’innovazione tra i giovani talenti.

Il Pardis Technology Park non è solo una location, ma un vero e proprio hub di innovazione, dove le idee si trasformano in realtà. L’evento sarà una piattaforma per far emergere le eccellenze locali e per mettere in contatto i talenti con le aziende del settore tecnologico, creando opportunità di networking e crescita professionale. Le Olimpiadi della Tecnologia si articoleranno in diverse aree competitive, ognuna delle quali mirerà a valorizzare specifiche competenze e conoscenze.

Le competizioni si svolgeranno in sei discipline principali: intelligenza artificiale, programmazione, sicurezza informatica, robotica, droni e robot guerrieri. Ogni categoria prevede diversi campionati che coprono vari aspetti delle rispettive aree. Per esempio, nel settore della programmazione, i partecipanti affronteranno sfide in algoritmi, JAVA, PHP e front-end. Allo stesso modo, le gare di intelligenza artificiale comprenderanno competizioni relative all’elaborazione di testi, dati e immagini, mentre la robotica vedrà in campo veicoli a guida autonoma, robot sportivi e robot di salvataggio.

Inoltre, le gare di droni includeranno eventi come la Speed Bird League e l’Indoor Bird League, mentre le competizioni di sicurezza informatica si divideranno in Red Team e Blue Team League, oltre alla CTF League. Anche i robot guerrieri parteciperanno in tre diverse leghe, classificabili per peso, e le regole di ciascun evento seguiranno gli standard internazionali. La giuria sarà composta da esperti e professori universitari, garantendo un elevato livello di professionalità e imparzialità nelle valutazioni.

Il programma delle Olimpiadi della Tecnologia si svolgerà quotidianamente dalle 9:00 alle 19:00 al Pardis Technology Park, con una cerimonia di apertura prevista per martedì 1 novembre dalle 14:00 alle 16:00, presso la sala anfiteatro dell’edificio commerciale e mercato dei tifosi. La chiusura dell’evento avverrà lunedì 7 novembre dalle 14:00 alle 17:00, nella sala polifunzionale del parco. Con queste iniziative, il Pardis Technology Park si conferma come un punto di riferimento per l’innovazione tecnologica in Iran, promuovendo l’eccellenza e lo sviluppo nel panorama tecnologico del Paese.

L'articolo Iran e le Olimpiadi della Tecnologia! il Futuro della Tech Innovation si Svela proviene da il blog della sicurezza informatica.

Il gruppo hacker di Red Hot Cyber, HackerHood ha scoperto un nuovo 0day sui dispositivi di sicurezza della Zyxel. Questa vulnerabilità di sicurezza è stata scoperta dal ricercatore di bug Alessandro Sgreccia membro del team di HackerHood, durante le attività di ricerca che svolgono costantemente sugli apparati di Zyxel.

Si tratta di una vulnerabilità che interessa i firewall della serie USG FLEX H di Zyxel, designata con il codice CVE-2024-9677. Questa falla di sicurezza riguarda la gestione delle credenziali nel sistema CLI (Command Line Interface), lasciando potenzialmente esposti gli utenti a pericolose attività di escalation dei privilegi.

Alessandro Sgreccia (Ethical hacker di HackerHood conosciuto per l’emissione di varie CVE, come la RCE CVE-2022-0342 da 9.8 su Zyxel), ha attivato una segnalazione responsabile a Zyxel che prontamente a risposto risolvendo il problema.

Riepilogo della vulnerabilità

La vulnerabilità riguarda la gestione inadeguata delle credenziali all’interno del sistema CLI dei firewall Zyxel USG FLEX H. Questa lacuna di sicurezza potrebbe consentire a un attaccante locale, già autenticato, di ottenere privilegi amministrativi sfruttando il token di autenticazione di un amministratore attivo. Il rischio è particolarmente elevato se l’amministratore non ha eseguito il logout dalla sessione attiva, lasciando accessibile il token necessario per l’escalation dei privilegi.

In termini più specifici, la vulnerabilità CVE-2024-9677 permette a un aggressore con accesso locale di sfruttare le credenziali amministrative per ottenere un controllo completo del firewall. Utilizzando il token di autenticazione rubato, l’attaccante può assumere il pieno controllo della rete gestita dal dispositivo, aprendo la strada a una vasta gamma di azioni potenzialmente devastanti, incluse modifiche non autorizzate alle configurazioni di sicurezza e l’accesso a dati sensibili.

È fondamentale sottolineare che questo attacco richiede che l’amministratore non abbia terminato correttamente la sua sessione tramite logout. Se il logout è stato effettuato, il token di autenticazione non può essere utilizzato per l’escalation.

Versioni vulnerabili e misure correttive

Zyxel ha condotto un’indagine approfondita e ha identificato che solo alcune versioni della serie USG FLEX H sono vulnerabili. Dopo la scoperta della vulnerabilità, sono state tempestivamente rilasciate patch di sicurezza per correggere il problema. Gli utenti sono invitati a verificare se i loro dispositivi sono coinvolti nella vulnerabilità e ad installare immediatamente gli aggiornamenti necessari per garantire la protezione completa delle loro reti.

Di seguito, la tabella con i dispositivi interessati e le versioni software coinvolte:

Cosa fare per proteggere il tuo dispositivo

Gli utenti dei firewall Zyxel della serie USG FLEX H devono agire rapidamente per proteggere le loro reti. È consigliabile:

1. Aggiornare il firmware: Zyxel ha rilasciato patch correttive che devono essere applicate immediatamente per mitigare il rischio.
2. Verificare le sessioni amministrative: È fondamentale assicurarsi che ogni sessione amministrativa venga correttamente terminata con il logout, per evitare che il token di autenticazione rimanga attivo.
3. Monitorare le reti: Implementare misure di monitoraggio per rilevare eventuali attività sospette o non autorizzate.

Conclusioni

La vulnerabilità CVE-2024-9677 mette in evidenza la necessità di una gestione sicura delle credenziali all’interno delle reti aziendali. Anche se Zyxel ha rilasciato patch tempestive, è imperativo che gli amministratori IT adottino misure preventive per evitare che vulnerabilità simili possano essere sfruttate. La scoperta da parte di Hackerhood di Red Hot Cyber sottolinea l’importanza della ricerca continua nel campo della cybersecurity per proteggere le infrastrutture critiche dalle minacce in costante evoluzione.

Per ulteriori informazioni e per scaricare le patch, si consiglia di visitare il sito ufficiale di Zyxel o di consultare i dettagli forniti da Red Hot Cyber.

L'articolo HackerHood di Red Hot Cyber scopre una nuova CVE sui prodotti USG FLEX H di Zyxel proviene da il blog della sicurezza informatica.

In the past, building construction methods generally didn’t worry much about air quality. There were enough gaps around windows, doors, siding, and flooring that a house could naturally “breathe” and do a decent enough job of making sure the occupants didn’t suffocate. Modern buildings, on the other hand, are extremely concerned with efficiency and go to great lengths to ensure that no air leaks in or out. This can be a problem for occupants though and generally requires some sort of mechanical ventilation, but to be on the safe side and keep an eye on it a CO2 sensor like this unique Pac-Man-inspired monitor can be helpful.

Although there are some ways to approximate indoor air quality with inexpensive sensors, [Tobias] decided on a dedicated CO2 sensor for accuracy and effectiveness, despite its relatively large cost of around $30. An ESP32 handles the data from the sensor and then outputs the results to an array of LEDs hidden inside a ghost modeled after the ones from the classic arcade game Pac-Man. There are 17 WS2812B LEDs in total installed on a custom PCB, with everything held together in the custom 3D printed ghost-shaped case. The LEDs change from green to red as the air quality gets worse, although a few preserve the ghost’s white eyes even as the colors change.

For anyone looking to recreate this project and keep an eye on their own air quality, [Tobias] has made everything from the code, the PCB, and the 3D printer files open source, and has used accessible hardware in the build as well. Although the CO2 sensors can indeed be pricey, there are a few less expensive ways of keeping an eye on indoor air quality. Some of these methods attempt to approximate CO2 levels indirectly, but current consensus is that there’s no real substitute for taking this measurement directly if that’s the metric targeted for your own air quality.

hackaday.com/2024/10/21/pac-ma…

Nel mondo della sicurezza informatica, c’è un nemico subdolo che sta colpendo sempre più piccole e medie imprese: le email aziendali false. Immagina un truffatore che riesce a rubare o creare ad hoc un indirizzo email aziendale apparentemente legittimo. La vittima? Qualcuno con una posizione di responsabilità nella tua PMI. Le conseguenze? Potenzialmente devastanti.Ma come proteggi le email aziendali dalle truffe ?

I criminali informatici sfruttano queste email per ingannare clienti e fornitori. Bastano poche mosse per far cadere qualcuno in una trappola e far trasferire denaro o condividere informazioni riservate. La risposta è più semplice di quanto pensi: certificare ogni email aziendale ed istruire il personale a riconoscere le minacce.

Come funziona la truffa delle email aziendali false

Purtroppo è la realtà per molte PMI. I criminali informatici sfruttano email apparentemente legittime per ingannare le vittime. Queste email possono essere rubate attraverso phishing o create con domini simili a quelli aziendali. Come fanno a creare il tuo dominio aziendale se non ne possono esisterne due uguali??

Esistono due tecniche principali:

1. Typosquatting: cambiare una sola lettera nel dominio.
2. Omografismi: sostituire una lettera del dominio con un’altra molto simile all’originale graficamente, ma appartenente ad un altro alfabeto, rendendo molto difficile notare la differenza.

Un’email che sembra provenire dal CEO o da un fornitore fidato potrebbe chiederti di pagare una fattura urgente o di trasferire fondi verso un nuovo conto bancario. È un attacco astuto, costruito per sembrare ordinario, per non sollevare sospetti. E funziona, perché nessuno si aspetta di essere ingannato da un’email che arriva proprio da dentro l’azienda.Specialmente se c’è urgenza.

La buona notizia? Ci sono strumenti che ti permettono di proteggerti. Puoi far capire ai destinatari che lo scrivente sei proprio tu e non è un tentativo di phishing. Vediamo come.

Soluzione n.1: fai capire ai destinatari che le tue mail sono affidabili

Proteggi le email aziendali dalle truffe certificando il server di invio della posta elettronica, fa capire ai destinatari che l’invio è legittimo e non è così complicato. Bisogna intervenire sul pannello di gestione del dominio e quello della posta usando SPF, DKIM e DMARC. Questo trittico garantisce in maniera robusta che:

1. SPF (Sender Policy Framework): il server che invia le email a nome del dominio della tua azienda è autorizzato al farlo
2. DKIM (DomainKeys Identified Mail): conferma che non sono stati fatti cambiamenti nel contenuto o nelle informazioni del mittente mentre il messaggio era in transito grazie alla firma del server
3. DMARC (Domain-based Message Authentication, Reporting and Conformance): contrasta le mail contraffatte avvisando i destinatari di queste attività fraudolente

Inserendo questi “elementi” nelle tue email, metterai un insegna luminosa per i filtri Spam che dice “Sono io, l’unico e originale!”, garantendo che la tua email arrivi a destinazione e non finisca nello spam. Tutto gratuito. Come fare? C’è un bellissimo articolo molto chiaro di Manuel Roccon Qui su Red Hot Cyber. Questo ti proteggerà da chi vuole impersonare la tua azienda con l’uso di domini simili, ma non se ti rubano le credenziali della tua posta elettronica.

Soluzione n.2: certifica ogni account email con le chiavi pubblica e privata

Proteggi le email aziendali dalle truffe certificando l’identità di ogni singolo account email aziendale, specialmente il CEO, creando una firma digitale con una coppia di chiavi pubblica e privata per ciascun account. Delle chiavi pubbliche e private ne ho scritto in questo articolo Qui su Red Hot Cyber.

Ogni email inviata dal legittimo proprietario sarà firmata. Quella che non presenta la firma, sarà automaticamente fraudolenta. Questa tecnica consente anche di raggiungere anche un ulteriore obiettivo: cifrare le email. Quando le email “viaggiano” nel “cyber spazio”, sono cifrate, rendendo inutile l’intercettazione ma, a meno che il gestore di posta specifichi il contrario, sono conservate in chiaro. Un attacco al tuo gestore di posta elettronica, comprometterebbe le tue informazioni. Cifrarle significa sia integrità che riservatezza (due dei tre elementi della celeberrima triade CIA).

Quando si mandano via email informazioni molto sensibili, cifrarle è una buona pratica (ne parla anche la NI2). Come fare? Due possibilità:

1. acquistare certificati S/MIME (quindi a pagamento)
2. implementare una coppia di chiavi pubblica e privata (con un minimo “sbatti” ma gratuito)

Sul primo modo…ci sono molti fornitori e ciascuno ha le istruzioni per renderli operativi dopo l’acquisto.

Sul secondo, i software client di posta Open Source come Thunderbird, offrono queste funzionalità con qualche passaggio. Grazie a questa coppia di chiavi, che saranno sotto la responsabilità di ogni singolo utente, ogni account email potrà sia firmare che cifrare il contenuto delle email inviate. Per rendere funzionale questa tecnica però c’è bisogno di un paio di “sbatti” in più. Con queste chiavi serve un minimo di collaborazione: il destinatario deve salvare la tua chiave pubblica nel proprio client di posta prima di poter rendere operativa questa modalità. Il mittente da parte sua può mettere in allegato fisso alla sua email la chiave pubblica (pesa pochissimi Kbytes) mentre il destinatario…questo piccolo sforzo per un Mondo più sicuro lo deve fare. Tu invece devi mettere le chiavi in tutti i dispositivi che usi per inviare la posta.

Le tua chiavi rimangono sul tuo PC e a meno di un furto direttamente da questo, se un criminale accedesse alla tua posta dal web, non potrebbe firmare a nome tuo. Non sto a scrivere che la chiave privata deve essere ben custodita…se persa o compromessa la coppia può essere revocata, ma deve essere comunicato a tutti quelli che hanno la tua chiave pubblica. Altro “sbatti”.

Ma il DKIM non fa la stessa cosa?? Il DKIM consente al server di posta di firmare le email con la sua coppia di chiavi, non c’è distinzione per ogni singolo account di email e non consente di cifrare il contenuto.

Soluzione n.3: usa la PEC

Lo so , lo so, quando qualcuno vede arrivare una PEC…aiuto!! Considerato poi che non viene così controllata…la PEC però, oltre ad essere una raccomandata digitale, ha tutte le garanzie di identità del mittente e del contenuto. Quindi è una possibilità di invio di email più sicure, magari per argomenti importanti. Ovviamente non dovresti usare quella che hai dato alla Camera di Commercio…

Soluzione n.4: Proteggi le email aziendali dalle truffe formando il personale

Le persone sono l’ultimo baluardo di difesa…se correttamente formate! Insegnarli a scoprire il vero indirizzo di spedizione della email, a scoprire i typosquatting e gli omografismi può realmente fare la differenza. Considerare il tempo impiegato dal tuo personale in orario di lavoro per la formazione nella sicurezza come tempo perso, è un grave errore.

Soluzione n.5: tieni fuori gli sconosciuti con password uniche e MFA

Proteggi le email aziendali dalle truffe tenendo fuori gli sconosciuti! La fuori ci sono in vendita milioni di credenziali di posta elettronica ed il tuo non ci deve essere! Come fare:

1. Utilizza password uniche: non affidare una password di elemento così importante al primo e-commerce che passa
2. Utilizza una autenticazione a più fattori (MFA): è veramente noiosa per le email, ma potrebbe essere l’unico elemento tra la tua posta elettronica ed i criminali (ma ricordati di fare il backup del sistema MFA perchè se si rompe lo smartphone poi rimani chiuso fuori)

Conclusione

La sicurezza delle email aziendali è un problema serio, ma con un po’ di attenzione e gli strumenti giusti, puoi proteggere la tua PMI dai criminali informatici. Abbiamo visto una soluzione più costosa, l’uso della PEC (ne dovresti avere una per ogni account email aziendale), una gratuita ma un pò “tricky” : implementare SPF, DKIM e DMARC e l’ultima che ha sia una versione gratuita che a pagamento ma che richiede una minima collaborazione dei riceventi: utilizzare una coppia di chiavi pubblica e privata per firmare e volendo cifrare la posta elettronica. Per tenere poi fuori intrusi dalla tua posta ed evitare che ne inviino a nome tuo, password uniche e autenticazione a più fattori. Sei pronto a prevenire la prossima truffa?

Vuoi saperne di più?

Dai un’occhiata ai precedenti articoli della nostra rubrica, Fondamenti di Cybersecurity per le PMI:

• Ritorno alle Basi: Scopri i concetti fondamentali per proteggere la tua impresa dai rischi informatici.
• NIST Cybersecurity Framework: Un approfondimento sui principi di sicurezza secondo il National Institute of Standards and Technology.
• La Sicurezza Fisica: Il Primo Scudo contro gli Attacchi Informatici: Perché la protezione dei tuoi dati inizia con la sicurezza fisica dell’ambiente aziendale.
• Attacco Ransomware: La Minaccia che Può Bloccare la Tua PMI: Come difendersi da uno dei più temuti attacchi informatici degli ultimi tempi.
• PHISHING, L’Arte di Non Cadere Nella Rete…: Milioni di email di vengono recapitate ogni giorno, impara a riconoscerle.

L'articolo Fondamenti di Cybersecurity per le PMI (6/12): proteggi le email aziendali dalle truffe proviene da il blog della sicurezza informatica.

Il 12 ottobre, il ricercatore Luke Durant di San Jose, in California, ha scoperto il numero primo più grande del mondo, 2 ^136279841 -1, che è stato trovato come parte del progetto Great Internet Mersenne Prime Search (GIMPS). Il nuovo numero, designato M136279841, ha 41.024.320 cifre decimali. Questo record ha battuto il precedente numero primo più grande conosciuto di 16 milioni di cifre.

Il nuovo numero appartiene alla classe dei numeri primi di Mersenne, che sono estremamente rari tra tutti i numeri primi conosciuti. In totale si conoscono solo 52 numeri di questo tipo, ognuno dei quali sta diventando sempre più difficile da trovare. I numeri primi di Mersenne prendono il nome dal monaco francese Marin Mersenne, che ne studiò le proprietà più di 350 anni fa.

Trovare il numero più grande segna la fine di un’era durata 28 anni in cui i normali personal computer venivano utilizzati per trovare numeri primi da record. Dal 2017, grazie all’aumento della potenza dei processori grafici (GPU), è stato sviluppato un software speciale per testare i numeri di Mersenne. GpuOwl, scritto da Mihai Preda, è ora disponibile per tutti i membri GIMPS.

Luke Durant, ex dipendente di NVIDIA e uno dei principali contributori di GIMPS, ha utilizzato il programma per costruire la sua infrastruttura, che collegava migliaia di server GPU in tutto il mondo. Il suo sistema informatico si estendeva su 24 regioni di data center in 17 paesi. È stato questo approccio che ha portato alla scoperta di un nuovo numero.

Il processo di conferma di un nuovo numero primo prevedeva diversi passaggi. Inizialmente, è stato utilizzato un probabile test Prime utilizzando un programma in esecuzione su GPU NVIDIA in diversi paesi. Il numero è stato poi definitivamente confermato utilizzando vari programmi, tra cui il famoso test Lucas-Lehmer, utilizzato su diversi tipi di apparecchiature. Fu solo il 19 ottobre, diversi giorni dopo la scoperta iniziale, che lo status di M136279841 come numero primo fu finalmente confermato.

Il progetto GIMPS è stato fondato nel 1996 con l’obiettivo di trovare nuovi primi di Mersenne da record. Migliaia di volontari in tutto il mondo utilizzano software libero per partecipare alla ricerca. Per la scoperta di un nuovo numero primo, GIMPS offre una ricompensa di 3.000 dollari, che Luke Durant intende donare per lo sviluppo del dipartimento di matematica del suo istituto.

Il progetto continua a svilupparsi attivamente e la ricerca di nuovi numeri Mersenne è già in corso.

L'articolo La Matematica Distrutta dalle GPU! Trovato un Numero Primo di 41 Milioni di Cifre Decimali proviene da il blog della sicurezza informatica.

It is hard to imagine that much we built today will be used ten years from now, much less in a hundred. It is hard to make things that last through the ages, which is why we are fascinated with things like ancient pyramids in Mexico, Egypt, and China. However, even the oldest Egyptian pyramid is only about 5,000 years old. [Mark Piesing] at the BBC visited a site that is supposed to lock up nuclear waste for 100,000 years.

This particular project is in France, but there are apparently dozens of similar projects around the world. Locating these nuclear tombs is tricky. They need to be in a geologically stable area that won’t contaminate water. They also prefer areas already depleted of resources to lessen the chance someone will be digging nearby in the far future. You also need people to agree to have these facilities in their communities, which is probably the most difficult thing to find.

Burying anything 500 meters underground is a challenge. But we were interested in how you’d plan to keep the material safely away from people for 20 times longer than the pyramids have stood next to the Nile. Anything could happen over that timescale, and it seems unlikely that you’ll have an organization that can last that long and stand watch over these dangerous vaults. If they poke around in these holes, future archeologists could deal with a very real cursed tomb.

Of course, the whole idea is controversial. But putting that aside, how would you design something to last 100,000 years and stay secure? Let us know in the comments. It would be good practice for that generation ship to Bernard’s Star.

We’ve seen that it is hard to keep a clock running for even 100 years. Already, 50-year-old computers seem incredibly antique. What will tech be like in 100,000 years?

hackaday.com/2024/10/21/nuclea…