China has a space station — it’s called Tiangong, the first module was launched in 2021, and it’s all going quite swimmingly, thank you very much. That’s essentially what we know about the orbital complex here in the West, as China tends to be fairly secretive when it comes to their activities in space.

But thanks to a recently released video by the state-funded CCTV Video News Agency, we now have an unprecedented look inside of humanity’s newest orbital laboratory. Shenzhou-18 crew members [Ye Guangfu], [Li Cong], and [Li Guangsu] provide viewers with a full-blown tour of the station, and there’s even baked-in English subtitles so you won’t miss a beat.

The few looks the public has gotten inside of Tiangong in the past have been low-resolution and generally of the “shaky cam” variety. In comparison, this flashy presentation was clearly made to impress an international audience. But let’s be fair, if you managed to build your own crewed station in low Earth orbit, wouldn’t you want to show it off a bit?
Crew berths on Tiangong appear considerably more comfortable than those on the ISS.
So what did we learn about Tiangong from this tour? Well, admittedly not more than we could have guessed. The layout of the three-module station isn’t entirely unlike the International Space Station or even its Soviet predecessor, Mir.

One module contains a common area where the crew meets and eats their meals, as well as the sleeping berths for crew members. (The small portholes in each berth are a nice touch.) Then there are the multi-purpose laboratory modules with their rows of rack mounted experiments, an exercise area, and finally an airlock that can be used to either bring cargo onboard or expose experiments to space.

Even though it’s much smaller than the ISS, one can’t help but notice that the inside of the Tiangong appears a bit less cramped. The modules of the Chinese station have a slightly sleeker internal look, and overall, everything seems less cluttered, or at least, better organized. Some online commenters have equated it to the comparison between the SpaceX Dragon and Russia’s Soyuz capsule, which given the relative ages of the two stations, isn’t wholly inaccurate.

China’s space program has been making great strides over the last several years, but from an outsider’s perspective, it’s been difficult to follow. It’s been doubly frustrating for us here at Hackaday. We’d love to provide the same sort of in-depth coverage we do for American and European missions, but often it’s a challenge to find the technical data that requires. Here’s hoping this video means China is looking to be more transparent about their off-world activities going forward.

youtube.com/embed/IMoomWmIkww?…

hackaday.com/2024/10/28/video-…

Lo specialista di SafeBreach Alon Leviev ha scoperto che gli aggressori possono utilizzare componenti obsoleti del kernel di Windows per aggirare le protezioni chiave come Driver Signature Enforcement, consentendo l’implementazione dei rootkitanche su sistemi completamente aggiornati. Questo metodo di attacco è stato reso possibile intercettando il processo di Windows Update, che consente di installare componenti vulnerabili e obsoleti sul sistema aggiornato senza modificarne lo stato.

Leviev ha anche sviluppato uno strumento chiamato Windows Downdate, che consente di creare un rollback personalizzato e rende un sistema “completamente aggiornato” suscettibile a difetti che sono già stati risolti. Leviev ha affermato di essere stato in grado di garantire che le vulnerabilità precedentemente corrette diventassero nuovamente rilevanti, il che di fatto ha svalutato il concetto di Windows “completamente aggiornato”. Questo metodo è chiamato attacco Downgrade .

Utilizzando questo approccio, il ricercatore ha identificato una nuova vulnerabilità , CVE-2024-21302 (punteggio CVSS: 6,7), che consente l’escalation dei privilegi sui dispositivi Windows, comprese macchine virtuali e altre funzioni. Microsoft ha rapidamente corretto la vulnerabilità perché superava il cosiddetto “limite di sicurezza”. Tuttavia, il metodo di acquisizione degli aggiornamenti è rimasto invariato, poiché non è considerato una violazione diretta della sicurezza.

Nonostante la correzione, il bug è ancora pericoloso perché dirottando il processo di aggiornamento, un utente malintenzionato può ripristinare vecchi problemi nel sistema. Uno degli obiettivi degli attacchi è la funzionalità Driver Signature Enforcement (DSE), che in genere impedisce l’esecuzione dei driver non firmati. Riparando la vulnerabilità in DSE, un hacker può caricare driver dannosi nel sistema e nascondere le proprie azioni aggirando i meccanismi di sicurezza di Windows.

Il ricercatore ha anche dimostrato che altre funzionalità di sicurezza di Windows, come la sicurezza basata sulla virtualizzazione (VBS), possono essere aggirate modificando le chiavi nel registro. Se VBS non è configurato per la massima sicurezza, file chiave come SecureKernel.exe possono essere sostituiti con versioni vulnerabili, consentendo di aggirare la sicurezza e manipolare i componenti di sistema. Allo stesso tempo, Microsoft dispone di metodi di protezione a livello UEFI, ma abilitarli richiede una configurazione aggiuntiva. La protezione completa è disponibile solo quando VBS è attivato con blocco UEFI obbligatorio.

Microsoft, dal canto suo, ha dichiarato che sta sviluppando un aggiornamento per eliminare queste vulnerabilità e sta anche creando meccanismi che blocchino i file di sistema VBS obsoleti. Tuttavia, la tempistica esatta del rilascio delle correzioni non è stata specificata, poiché sono necessari test approfonditi per prevenire arresti anomali e incompatibilità.

L’azienda sta ora esortando i team di sicurezza a essere vigili e a monitorare possibili attacchi di rollback delle versioni poiché rappresentano una seria minaccia per le organizzazioni.

L'articolo Windows Downdate: Un MitM per Windows Update capace di installare componenti vulnerabili proviene da il blog della sicurezza informatica.

Seeing the unseen is one of the great things about using an infrared (IR) camera, and even the cheap-ish ones that plug into a smartphone can dramatically improve your hardware debugging game. But even fancy and expensive IR cameras have their limits, and may miss subtle temperature changes that indicate a problem. Luckily, there’s a trick that improves the thermal resolution of even the lowliest IR camera, and all it takes is a little tweak to the device under test and some simple math.

According to [Dmytro], “lock-in thermography” is so simple that his exploration of the topic was just a side quest in a larger project that delved into the innards of a Xinfrared Xtherm II T2S+ camera. The idea is to periodically modulate the heat produced by the device under test, typically by ramping the power supply voltage up and down. IR images are taken in synch with the modulation, with each frame having a sine and cosine scaling factor applied to each pixel. The frames are averaged together over an integration period to create both in-phase and out-of-phase images, which can reveal thermal details that were previously unseen.

With some primary literature in hand, [Dmytro] cobbled together some simple code to automate the entire lock-in process. His first test subject was a de-capped AD9042 ADC, with power to the chip modulated by a MOSFET attached to a Raspberry Pi Pico. Integrating the images over just ten seconds provided remarkably detailed images of the die of the chip, far more detailed than the live view. He also pointed the camera at the Pico itself, programmed it to blink the LED slowly, and was clearly able to see heating in the LED and onboard DC-DC converter.

The potential of lock-in thermography for die-level debugging is pretty exciting, especially given how accessible it seems to be. The process reminds us a little of other “seeing the unseeable” techniques, like those neat acoustic cameras that make diagnosing machine vibrations easier, or even measuring blood pressure by watching the subtle change in color of someone’s skin as the capillaries fill.

hackaday.com/2024/10/28/lock-i…

Le minacce informatiche non fanno altro che evolvere. Questa volta i criminali informatici hanno colpito il sito di e-commerce italiano SferaUfficio.com, introducendo nuove forme di pressione verso i malcapitati. Il threat actor Alpha Team ha rivendicato l’attacco informatico all’azienda italiana pubblicando i dati esfiltrati direttamente sulla piattaforma pubblica Trustilot.

Nella giornata di oggi, venerdì 25 ottobre 2024, intorno alle 5 del mattino ora italiana, sono comparsi diversi commenti nella sezione dedicata a SferaUfficio.com su Trustpilot (it.trustpilot.com/review/sfera…) ed è stata modificata la descrizione con riportato i dettagli relativi alla violazione.

Nota Bene: I dati riportati in questo articolo sono stati raccolti nell’ambito di attività di threat intelligence e sono da intendersi come tali. Non è stato possibile verificare l’autenticità delle informazioni o metterci in contatto con l’azienda per ottenere una conferma ufficiale. Pertanto, le informazioni qui presentate riflettono esclusivamente le dichiarazioni e i contenuti resi pubblici dal presunto attaccante.

In questi post pubblici, i threat actor non mirano solo a sottolineare la perdita dei dati, ma anche a mettere in evidenza la mancata conformità al GDPR. Infatti nel messaggio pubblicato si legge: “Questo è ciò che SFERAUFFICIO.COM vi nasconde. Hanno perso tutti i vostri dati sensibili e non rispettano la legge GDPR; i vostri dati vengono memorizzati senza crittografia.”

Intanto nel Darkweb

Dopo alcune ore, appare un post su un noto forum underground in cui i dati venivano messi in vendita. Non era indicato un prezzo specifico, ma figurava la dicitura generica “FULL DATABASE, FULL SERVER FILES , probabilmente invitando gli interessati a fare un’offerta tramite messaggio privato.

Nel post viene specificato che i dati comprendono l’intero contenuto del database e tutti i file presenti sul server della vittima. A supporto di queste affermazioni, veniva pubblicato un samples di un campione della tabella esfiltrata.

Successivamente tale post veniva rimosso dal forum underground e poi ricreato.

Le password

Se quanto evidenziato nei vari sample sia verificato (come anche riportato in precedenza su TrustPilot), oltre alla grave mancanza di crittografia delle password, emergerebbe un ulteriore problema significativo: l’assenza di policy minime per la complessità delle password.

Una password priva di complessità minima, come lunghezza adeguata, presenza di caratteri speciali, numeri e lettere maiuscole, è molto più vulnerabile agli attacchi di forza bruta e a tecniche di cracking.

Questo aspetto evidenzia l’importanza di adottare misure di sicurezza adeguate, come la crittografia dei dati sensibili e l’implementazione di policy che garantiscano password complesse e meccanismi di autenticazione e più fattori (MFA).

Il Threat Actor

AlphaTeam è un utente di livello (GOD User) sul forum underground, con un’ottima reputazione nel dark web e diverse recensioni positive a supporto della sua affidabilità. La sua posizione di rilievo nella comunità conferisce peso alle dichiarazioni e alle rivendicazioni fatte, aumentando la credibilità delle informazioni condivise.

Sebbene si tratti di criminali informatici, questi dati evidenziano l’influenza e la fiducia che AlphaTeam ha acquisito all’interno del forum underground criminale, rendendo le sue affermazioni particolarmente significative.

La vittima

Sferaufficio.com risulta a sua volta essere un azienda verificata su trustipilot con più di 4 mila recenzioni e con una reputazione definita “Molto Buono” dal sito stesso.

Questo tipo di attacchi da parte degli hacker hanno come obbiettivo non solo quello di compromettere la sicurezza dei dati, ma mirano anche a colpire la fiducia dei clienti e la reputazione dell’azienda. Utilizzando piattaforme pubbliche come Trustpilot, i cybercriminali cercano di amplificare l’impatto dell’attacco, danneggiando l’immagine dell’azienda e mettendo in dubbio la sua capacità di proteggere le informazioni sensibili dei clienti

Il 27 ottobre, l’account di Sfera ufficio riporta “Account hackerato account Sferaufficio. Come potete vedere si pongono al di sopra della legge come giustizieri e minacciano di hackerare anche i nostri clienti. Questo comportamento da parte anche di Trust Pilot di indifferenza non è accettabile.
Ripeto hanno hackerato pure l’account di Trust Pilot, quindi le risposte che leggete anche a questa recensione sono scritte dagli hacker.”

Conclusioni

In conclusione, il caso in questione evidenzia come le strategie dei cybercriminali stiano evolvendo verso tattiche sempre più sofisticate, mirate non solo a sottrarre dati, ma anche a compromettere la reputazione delle aziende. L’uso di piattaforme pubbliche come Trustpilot per rivendicare l’attacco e diffondere informazioni sui dati rubati rappresenta un nuovo livello di pressione che le vittime devono affrontare, mettendo a rischio la fiducia dei clienti e l’immagine aziendale.

Questo episodio mette in luce l’importanza di adottare misure di sicurezza informatica robuste, conformi al GDPR, e di implementare pratiche di gestione delle crisi che includano non solo la protezione dei dati, ma anche la risposta rapida ed efficace a eventuali minacce reputazionali. Vicende come questa serve da monito per altre aziende, sottolineando la necessità di prepararsi a scenari in cui le violazioni non solo avvengono nel buio del dark web, ma emergono alla luce pubblica, amplificando l’impatto del danno.

È fondamentale che le organizzazioni rafforzino la propria resilienza informatica, investano in formazione continua per il personale e adottino strategie di monitoraggio e risposta che siano in grado di affrontare sia la perdita di dati sia le conseguenze a livello reputazionale.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo Quando i Dati Rubati Sbarcano direttamente su Trustpilot: Dal Dark Web alla luce del Sole è un Attimo! proviene da il blog della sicurezza informatica.

Il recente attacco di Israele contro l’Iran rappresenta un momento cruciale nello scenario della sicurezza e della difesa globale, fornendo nuove dimensioni e capacità della guerra moderna.

Lo abbiamo già visto in diverse guerre recenti, come il conflitto in Ucraina e nel conflitto con Israele e Iran, che spesso un attacco cyber è un precursore di un attacco reale. In questo caso le Israeli Defense Forces, attraverso un’offensiva senza precedenti, hanno destabilizzato i sistemi di difesa iraniani attraverso un cyber attacco rendendo inoffensiva la risposta militare degli ayatollah ai raid israeliani.

Secondo l’ex generale israeliano Yisrael Ziv, “L’Iran è rimasto completamente impotente mentre Israele ha bombardato le sue basi strategiche come e dove voleva.”

Questo attacco, preparato con minuziosa precisione, ha avuto inizio con un’operazione di cyber warfare finalizzata a “accecare” la contraerea iraniana, compromettendo le linee di difesa e aprendo la strada a un massiccio raid aereo che ha coinvolto cento velivoli, tra F-35, F-16 e F-15, nelle due ondate principali.

Al momento i dettagli non sono noti e non si sa se si tratti di un classico Cyber Attacco o di Electronic War (da non confondere con un cyber attacco), una forma di guerra che attacca le comunicazioni nello spettro radio. Alcune notizie riportano che Israele abbia colpito i sistemi iraniani (avendone il pieno controllo) con dei potenti malware simili a Stuxnet che giravano nelle infrastrutture IT molti mesi prima. Ma potrebbe anche trattarsi di Electronic War.

The last Israeli attack on #Iran proved that #AirDefense can not stand alone against threats (#missiles,#drones ,EW,cyber attacks),it must be supported by #AWACS and strong fighters fleet,modern #AirBattle getting more and more tough
These are free lessons for #Algeria & #Egypte pic.twitter.com/tJSpDwz8tO
— O R C A Military 🇩🇿 (@kmldial70) October 27, 2024

L’attacco informatico/elettronico e l’azione aerea combinata, hanno mostrato come Israele, grazie all’integrazione di tecnologie avanzate, abbia saputo sfruttare l’elemento informatico o elettronico per destabilizzare l’avversario.

Le raffiche di mitragliatrici e i cieli di Teheran solcati dai velivoli israeliani rappresentano l’inequivocabile dimostrazione dell’efficacia di una guerra multidimensionale che unisce intelligenza artificiale, capacità cyber ed elettroniche e forza militare tradizionale.

بر اساس اطلاعات منابع ایندیپندنت فارسی، پنج دقیقه پیش از موج اول حمله اسرائیل، سیستم‌های راداری پدافندها در چند نقطه ایران هک شده است. صفحه نمایش این رادارها فریز شده و امکان رهگیری اهداف مهاجم از رادارهای پیشرفته‌تر در برخی از سامانه‌های پدافندی سلب شده بود.… pic.twitter.com/WgVnqBksZA
— independentpersian (@indypersian) October 27, 2024

مجموعة الهاكرز التابعة لشركة Hardoils الإسرائيلية:

في الدقائق القليلة القادمة سنهاجم أنظمة الاتصالات في إيران ⚡️⚡️⚡️⚡️
— anna⚜🦅🇮🇶🇺🇸 (@annan_85) October 26, 2024

Alla scoperta della Guerra Elettronica (EW)

La Guerra Elettronica (EW) è una strategia avanzata per il controllo dello spettro elettromagnetico, un aspetto cruciale nei moderni conflitti. Include l’uso di tecnologie che interferiscono o manipolano le comunicazioni e i radar nemici per destabilizzarne le capacità operative. Con tecniche di jamming e inganno (deception), si possono neutralizzare droni, missili e altri sistemi guidati a distanza.

Gli obiettivi dell’EW sono sia offensivi che difensivi: bloccare le comunicazioni del nemico e proteggere le proprie. Questo approccio è centrale per mantenere il controllo strategico, soprattutto in ambienti saturi di tecnologie radar e di sorveglianza.

Il dominio sullo spettro elettromagnetico è ora considerato un vantaggio decisivo, poiché il conflitto moderno è spesso determinato dalla capacità di rilevare, disturbare o alterare i segnali nemici senza che essi possano fare lo stesso.

L'articolo Electronic War o Cyber Attacco? Israele Acceca l’Iran prima del raid Aereo. Yisrael Ziv “Eravamo impotenti” proviene da il blog della sicurezza informatica.

L’Ufficio delle Nazioni Unite contro la droga e il crimine (#UNODC) ha recentemente rilasciato una serie di documenti di supporto agli Stati sulla risposta strategica alla Criminalità Organizzata.
Di nostro interesse quello riferito alla politica regionale nell’ambito della South-Eastern Europe (Europa sudorientale), che ha con tutta evidenza un impatto anche per l’Italia. (La copertina del Documento nell’immagine in alto)
L’analisi si concentra su più aspetti:
• Una descrizione delle caratteristiche, delle principali manifestazioni e dei danni derivanti dalla criminalità organizzata nella regione
• Una sintesi delle risposte attuali al fenomeno
• Un'esplorazione di alcune opportunità strategiche per contrastare le Organizzazioni criminali.

Andiamo con ordine:

La regione dell'Europa sudorientale (vedi figura sopra) è gravemente colpita dalla criminalità organizzata, essendo diventata un hub chiave per una serie di attività illecite e rotte di traffico ben note, incluso quella conosciuta come la “rotta dei Balcani”.
La criminalità organizzata in questa regione è cresciuta sempre di più sotto l’aspetto transnazionale ed è profondamente connessa con l'Europa occidentale, l'America Latina, il Stati Uniti d'America e Asia.

I gruppi criminali organizzati sfruttano le vulnerabilità della regione per una serie di scopi:
• Come base di pianificazione, funzionamento e reclutamento: l’etnia tradizionale, nazionale, linguistica e i legami culturali forniscono la base per relazioni forti, rendendo i gruppi che fanno affidamento su tali legami più resilienti alle disgregazioni;
• Come area di transito, soprattutto attraverso i porti marittimi, per l'importazione illegale di grandi partite di droga, compresa la cocaina: la posizione geostrategica della regione e il suo i confini hanno ulteriormente contribuito a consolidare la sua posizione di “porta girevole” per il paese beni illeciti (vedi figura sottostante).
• Come terreno fertile per operazioni di riciclaggio di denaro attraverso investimenti in molteplici settori, tra cui immobiliare, edilizia, turismo e gioco d'azzardo, che spesso coinvolgono società di copertura dedicate.

Una considerevole diaspora internazionale, soprattutto in Europa occidentale, ha fornito ai gruppi di criminalità organizzata i mezzi per assicurarsi punti d’appoggio strategici e condurre affari illeciti in tutto il continente. Questi gruppi hanno anche stabilito e mantenuto alleanze strategiche con altre organizzazioni criminali internazionali, come i gruppi mafiosi in Italia e i cartelli latini America.
La conoscenza della criminalità organizzata nella regione è aumentata notevolmente negli ultimi anni, e sono stati fatti numerosi tentativi per istituire piattaforme di cooperazione regionale, che hanno valore di quadri strategici per combattere tale criminalità.
Gli sforzi futuri per colmare le lacune attuali dovrebbero includere un'analisi dei driver e dei facilitatori strutturali e dell'efficacia delle risposte degli Stati per rafforzare la resilienza alla criminalità organizzata.
In questo contesto, si dovrebbe sottolineare che la base di evidenza ideale per una strategia è un'analisi dedicata e completa delle dinamiche della criminalità organizzata nel contesto nazionale. L'utilizzo di altre forme di evidenza più generale crea un rischio di sviluppare e investire in risposte politiche che non sono mirate e che alla fine si dimostreranno inefficaci.

La regione mostra alcuni esempi notevoli di strategie per affrontare la criminalità organizzata nella sua interezza, così come gli sforzi in corso a tal fine, sebbene le risposte abbiano tradizionalmente teso a concentrarsi sulla garanzia di risultati in materia di applicazione della legge e giustizia penale piuttosto che su sforzi preventivi e un approccio che coinvolga l'intera società.
Inoltre, le analisi disponibili delle tendenze della criminalità organizzata nella regione, indicano sfide strategiche persistenti. Queste sfide includono corruzione endemica, interferenza politica nelle funzioni degli organi statali chiave, facilità di penetrazione nell'economia da parte di gruppi criminali organizzati e la velocità con cui tali gruppi colgono nuove opportunità economiche.
Gli esperti hanno anche sottolineato che i confini tra élite politiche e/o nazionali e gruppi criminali organizzati sono diventati piuttosto sfumati in alcuni casi, erodendo la fiducia nei governi e soffocando la crescita economica.

Sulla base di queste considerazioni, le principali opportunità strategiche per la regione includono:
• Risposte inclusive e sistematiche dell'intera società e migliore comprensione delle vulnerabilità sia economiche che finanziarie (PREVENIRE);
• Sfruttare appieno le misure contenute nella Convenzione delle Nazioni Unite contro la criminalità organizzata transnazionale e altri strumenti pertinenti al fine di rafforzare la cooperazione transfrontaliera, comprese le indagini congiunte, e per colmare le lacune che consentono alla criminalità organizzata di infiltrarsi nell’economia lecita, nonché una maggiore uso coerente delle indagini finanziarie nei casi di criminalità organizzata (PERSEGUIRE );
• Ampliare la protezione delle vittime, dei testimoni e degli informatori e promuoverla giornalismo investigativo e libertà dei media (PROTEGGERE);
• Rafforzare la cooperazione internazionale e nazionale e i meccanismi di coordinamento, anche attraverso l’adozione di strategie inclusive e globali contro criminalità organizzata (PROMUOVERE).

Il volume (in inglese) è reperibile al link sherloc.unodc.org/cld/uploads/…

#criminalitàorganizzata #europasudorientale

@Politica interna, europea e internazionale

Dopo i recenti interventi delle forze dell’ordine per bloccare e smantellare le principali botnet dedicate alla distribuzione di malware, sfruttate dalle più attive gang di ransomware, si è creato un “vuoto” nel mercato. A riempirlo è stato Latrodectus, un malware loader che negli ultimi mesi si sta affermando con sempre maggiore concretezza.

Cos’è un malware loader?

Un malware loader è un programma progettato per scaricare ed eseguire altri malware su sistemi infetti. Il suo compito principale è introdurre e installare malware più complessi, come ransomware, trojan bancari, spyware o altre minacce informatiche, senza che la vittima se ne accorga.

Latrodectus, distribuzione e funzionamento

Latrodectus, essendo un malware loader, ha il compito di installare altri tipi di malware. Per svolgere questa operazione, deve essere distribuito all’interno di una rete e installato su una potenziale macchina vittima.

La principale metodologia di distribuzione rimane il classico phishing via email, simile a quanto avvenuto durante le campagne di distribuzione del malware IcedID.

La diffusione avviene tramite l’invio di email contenenti documenti malevoli, camuffati da contenuti legittimi, con l’obiettivo di ingannare l’utente target. Accedendo al documento, l’utente viene reindirizzato a un URL malevolo, dal quale viene scaricato il payload di attacco, spesso costituito da un file Javascript di grandi dimensioni a causa delle tecniche di offuscamento utilizzate. Questo file Javascript ha il compito di scaricare un file MSI, che a sua volta installa le librerie DLL necessarie per la decompressione della DLL di Latrodectus. Questa DLL permette il collegamento al server C2 (Command and Control) dell’attaccante.

Il malware loader, conosciuto anche come BlackWindow, IceNova, Loutus o Unidentified 111, è associato a diverse campagne condotte da initial access brokers (IABs), noti come TA577 e TA578.

Il principale motivo dello sviluppo di questo malware è il guadagno economico. Utilizza tecniche sofisticate, come l’offuscamento, la crittografia e meccanismi anti-rilevamento, per mantenere la persistenza sui sistemi infetti. Inoltre, raccoglie informazioni di sistema, esegue comandi remoti ed estrae dati sensibili, diventando così una potente arma per diversi Threat Actors che hanno scopi e obiettivi differenti.

Protezione da Latrodectus

Per proteggersi da Latrodectus, oltre all’utilizzo e all’inserimento dei principali IOC (Indicatori di Compromissione) aggiornati, forniti da vari vendor o risorse open-source, è fondamentale che una compagnia mantenga un costante aggiornamento e una formazione continua dei propri dipendenti sulla cybersecurity di base. Inoltre, è cruciale implementare filtri email per bloccare eventuali email malevole ed effettuare backup regolari dei sistemi aziendali, in modo da garantire un ripristino sicuro in caso di infezione.

Le minacce di questo genere sono in continua evoluzione, diventando sempre più modulari e resistenti ai sistemi di sicurezza. Per questo motivo, è essenziale mantenere aggiornati tutti i dispositivi informatici in uso, al fine di rilevare rapidamente le firme malevole associate a questi malware.

L'articolo Malware Loader Latrodectus: Strategie di Distribuzione e Difese per le Aziende proviene da il blog della sicurezza informatica.

A British journalistic trope involves the phrase “The pound in your pocket”, a derisory reference to the 1960s Prime Minister Harold Wilson’s use of it to try to persuade the public that a proposed currency devaluation wouldn’t affect them. Nearly six decades later not so many Brits carry physical pounds in their pockets as electronic transfers have become more prevalent, but the currency remains. So much so that the governor of the Bank of England has had to reassure the world that the pound won’t be replaced by a proposed “Britcoin” cryptocurrency should that be introduced.

Normally matters of monetary policy aren’t within Hackaday’s remit, but since the UK is not the only country to mull over the idea of a tightly regulated cryptocurrency tied to their existing one, there’s a privacy angle to be considered while still steering clear of the fog of cryptocurrency enthusiasts. The problem is that reading the justification for the new digital pound from the Bank of England, it’s very difficult to see much it offers which isn’t already offered by existing cashless payment systems. Meanwhile it offers to them a blank regulatory sheet upon which they can write any new rules they want, and since that inevitably means some of those rules will affect digital privacy in a negative manner, it should be a worry to anyone whose government has considered the idea. Being at pains to tell us that we’ll still be able to see a picture of the King (or a dead President, or a set of bridges) on a bit of paper thus feels like an irrelevance as increasingly few of us handle banknotes much anyway these days. Perhaps that act in itself will now become more of an act of protest. And just when we’d persuaded our hackerspaces to go cashless, too.

Header: Wikitropia, CC BY-SA 3.0.

hackaday.com/2024/10/27/the-po…

Problem solved? If the problem is supplying enough lithium to build batteries for all the electric vehicles that will be needed by 2030, then a new lithium deposit in Arkansas might be a resounding “Yes!” The discovery involves the Smackover Formation — and we’ll be honest here that half the reason we chose to feature this story was to be able to write “Smackover Formation” — which is a limestone aquifer covering a vast arc from the Rio Grande River in Texas through to the western tip of the Florida panhandle. Parts of the aquifer, including the bit that bulges up into southern Arkansas, bear a brine rich in lithium salts, far more so than any of the brines currently commercially exploited for lithium metal production elsewhere in the world. Given the measured concentration and estimated volume of brine in the formation, there could be between 5 million and 19 million tons of lithium in the formation; even at the lower end of the range, that’s enough to build nine times the number of EV batteries needed.

There are still a lot of unknowns, not least of which is whether any of the lithium in the brine is recoverable, and there are surely technical and regulatory hurdles aplenty. But the mere existence of a brine deposit that rich in lithium that covers such a vast area is encouraging; surely there’s somewhere within the formation where it’ll be possible to extract and concentrate the brine in an environmentally sensitive manner. And, once again just for fun, Smackover Formation.

While not ones to cheer for interstellar catastrophes, we can’t say that we haven’t been rooting for Betelgeuse to go supernova these last few years. Ever since the red supergiant star that sits on Orion’s shoulder started its peculiar dimming a while back, talk among astronomy buffs was that the activity presaged an imminent explosion of the star, one that could make Betelgeuse the brightest object in the night sky for a few months, and possibly make it visible in the daytime as well. As thrilling — and foreboding, at least by ancient astronomy standards — as that sounds, it seems as if the unusual dimming recently observed has a more prosaic explanation: a “Betelbuddy” star. According to astronomers who pored over observations, after ruling out all the other possibilities to explain the dimming, it seems like there must be a smaller star orbiting Betelgeuse that’s periodically plowing a clear spot through the cloud of dust surrounding the dying star. That would explain the periodic dimming and brightening, but why have we not seen this Betelbuddy before? It could be that the smaller star is lost in the giant’s glare, hiding in its halo of incandescent gas. So, don’t hold your breath on seeing a supernova anytime soon.

Do you find password rules annoying? We sure do, and even using a password manager with a generator that can handle all sorts of restrictions like password length and special characters, being told how to generate a password seems silly, especially since the information on what characters a valid password would have seems like valuable clues to potential crackers. But if for some reason you haven’t had enough password pestering, try out the password game. You start by entering a password — we, of course, started with correct horse battery staple — and then deal with the consequences of your obviously poor choices. You’ll be asked to do all the silly stuff that only decreases the entropy of your password, which only makes it harder to remember and easier to guess. We haven’t played it through — it’s way too annoying — but we assume that if you ever actually manage to compose a suitable password, you’ll be asked to change it every 90 days.

And finally, we’ve managed to live long enough now to have cycled completely through all the major music recording modalities except wax cylinders. Having heard them all, we’ve got to agree with the hipsters: vinyl is the best. That’s especially true after watching this fascinating look at the LP record production process, which covers everything from mastering to packaging. The painstaking steps at the beginning are perhaps the most interesting, but anyone who doesn’t appreciate the hot vinyl squeezing out from the press is a cold, heartless monster. The video is only 15 minutes long and mercifully free of narration, so enjoy.

youtube.com/embed/QILcjT7dFdE?…

hackaday.com/2024/10/27/hackad…

pontebianco.noblogs.org/post/2…

differx

2024-10-27 18:16:03

_

pontebianco.noblogs.org/post/2…

#000000 #ffffff #JeanMarieGleize #post2024

autre chose a lieu autrement / jean-marie gleize | _ ponte bianco

^{pontebianco.noblogs.org}

Back in the summer our eye was caught by [Jazzy Jane]’s new signal generator, or perhaps we should say her new-to-her signal generator. It’s an Advance E1 from around 1950, and it was particularly interesting from here because it matches the model on the shelf above this bench. She’s back with a new video on the E1, allowing us a further look inside it as she replaces a dead capacitor, gets its audio oscillator working, and upgrades its sockets.

Treating us to a further peek inside the unit, first up is a leaky capacitor. Then a knotty question for old tech enthusiasts, to upgrade or not? The ancient co-ax connectors are out of place on a modern bench, so does originality matter enough to give it a set of BNC sockets? We’d tend to agree; just because we have some adapters for the unit here doesn’t mean it’s convenient. Following on from that is a period variable frequency audio mod which has failed, so out that comes and a little fault-finding is required to get the wiring of the audio transformer.

These instruments are not by any means compact, but they do have the advantage of being exceptionally well-built and above all cheap. We hope readers appreciate videos like the one below the break, and that you’re encouraged not to be scared of diving in to older items like this one to fix them. Meanwhile the first installment is here.

youtube.com/embed/LZBW2ZB7KLU?…

hackaday.com/2024/10/27/bncs-f…

pontebianco.noblogs.org/post/2…

differx

2024-10-25 12:16:43

I

protosisma* al centro della piazza che la notte del] centro carbonfossile e ghisa l’acqua poi alimenta a] dentro gente ben vestita struttura punto] focale il crollo mimetico acceso i marmi serpentino saccheggiati fondi del paese] l’origine fanno uno spettacolo nel buio dell’edicola la chiesa madre di cui solo resta] un abbeveratoio le bestie a caligine controllata oltre a questo] rimangono ] doppiando ] i cani a breve abbandonano le casse gli] scioperi a rovescio

II

il tempo passa la processione] [non cammina l’occhio della pittura è tellurico a scappamento inverso -il proverbio innesca ha iniziato una pendrive uno senza zucchero qui 53°34′51.44″N 9°59′36.04″E qui

III

l’edificio gestito ha una doppia veduta le news] della rotazione del cloroformio in Rai] riapre la fonoteca la bellezza del sovraccarico nasce] frequenta solo] la minuta in scansione in] -fondo

inquadra il fa] [delle esplorazioni profilo ridotto luce al 30% notizie spicciole dalla città con l’Acca dal momento una doppia] vita a elica va] in malora trascina

tot spese per il nottambulo tot la] scuola dell’avviamento prevede un tot di ore l’ora di cordicelle è un fallimento totale] notizie spie prolisse

IV

il generale il generico fa] le pieghe emissioni con cartello trilingue intelligence] variolux [le finestre non coincidono con l’interno il] ballatoio fissato con mollette scende promette il gas i] turisti con visto l’apparecchio i] [denti

su tutte, le furie sono state scritte a ripetizione] otto ore non sono nessuna

V

abilità tecnica è sufficiente][nota che provvede invece] [nota che non è possibile utilizzare il monumento] sistemato a poche centinaia di metri il] recapito senza obbligo o spaventa per l’estrema abilità tecnica si legge] [che

alle 18 in punto cominciano a fare il caffè il primo [oscilla il secondo conduce alle stanze il terzo vuote

molte necessità fanno delle pulegge il più grande monosistema idrico e [la mosca sembra che rimbalzi meglio sul pelo plastico] che descritte spariscono dalla manualistica dai costi della regola] [ una mosca topicida un] ingranaggio non

[firmano i piedi neri the smoke that thunders*

pontebianco.noblogs.org/post/2…

#LucaZanini #post2024

le frasi quali / luca zanini. 2024 | _ ponte bianco

^{pontebianco.noblogs.org}

Come abbiamo riportato qualche giorno fa, un’inchiesta sconcertante condotta dalla Direzione Distrettuale Antimafia (DDA) di Milano e dalla Procura Nazionale Antimafia ha rivelato un complesso sistema di spionaggio industriale e dossieraggio abusivo, gestito da una presunta rete di hacker.

Tra i dettagli più preoccupanti emerge la possibile clonazione o abuso di un indirizzo email intestato al Presidente della Repubblica Sergio Mattarella, una violazione senza precedenti della sicurezza istituzionale e della privacy delle figure di spicco del Paese.

A riportarlo sono gli atti dell’indagine, menzionati dal Corriere della Sera, che include anche intercettazioni allarmanti per i loro potenziali scenari. Recentemente

La Scoperta di Accessi Abusivi a Banche Dati Sensibili

Tra gli arrestati figurano l’ex super poliziotto Carmine Gallo, amministratore delegato della società di investigazione Equalize, e Nunzio Samuele Calamucci, consulente informatico e investigatore privato. Le autorità hanno scoperto che questi individui possedevano un hard disk contenente oltre 800.000 record acquisiti illecitamente da banche dati delle forze dell’ordine, denominati SDI, oltre a un’enorme mole di altri dati riservati.

Secondo gli inquirenti, la banda sarebbe riuscita a infiltrarsi nelle banche dati protette già dall’ottobre 2022, senza dover più fare affidamento su intermediari appartenenti alle forze dell’ordine.

Email Clonata del Presidente Sergio Mattarella

Le intercettazioni mostrano che il gruppo avrebbe abusato dell’indirizzo email assegnato al Presidente Mattarella per fini ignoti, ma di certo preoccupanti. In un’altra intercettazione, uno degli arrestati chiede precauzioni per evitare che tracce elettroniche riconducibili alla mail utilizzata portino ad accertamenti.

Oltre a Mattarella, anche altre figure pubbliche, come il Presidente del Senato Ignazio La Russa e suo figlio Geronimo, sono risultate sotto sorveglianza attraverso report e dossier mirati, commissionati per motivi che spaziano dal personale al politico.

Compromissione della Sicurezza Nazionale

La presunta rete hacker, secondo le dichiarazioni del pm De Tommasi, vanta appoggi ad alto livello sia nell’ambiente della criminalità organizzata che nei servizi segreti, anche esteri.

Questo sistema di “dossieraggio” illegale rappresenterebbe, secondo i pm, una minaccia alla democrazia italiana, consentendo a questi soggetti di “tenere in pugno” cittadini e istituzioni grazie all’accesso illecito e alla manipolazione dei dati sensibili.

L’inchiesta ha portato alla luce un esteso mercato illegale di informazioni, con report creati su commissione per estorcere denaro o condizionare figure pubbliche, particolarmente attive nei settori politico e imprenditoriale. Tra i committenti, vi sono grandi gruppi come Erg e Barilla, i cui dirigenti sono ora indagati per aver richiesto dossier sui propri dipendenti.

Sono stati emessi arresti domiciliari con braccialetto elettronico per Gallo, Calamucci e altri individui legati a società di sicurezza informatica, e sono stati disposti provvedimenti interdittivi per due agenti delle forze dell’ordine, sospesi dai loro incarichi. Le indagini proseguono con l’obiettivo di determinare la portata di questo sistema di dossieraggio e di verificare le responsabilità di ulteriori soggetti coinvolti.

Riflessioni e Reazioni

Le autorità italiane hanno espresso sdegno e preoccupazione per quanto emerso. Il Ministro dell’Interno, Matteo Piantedosi, ha annunciato verifiche su possibili accessi abusivi alle banche dati del Ministero, mentre Ignazio La Russa si è detto “disgustato” dal coinvolgimento della propria famiglia in attività di spionaggio. Antonio Tajani, Ministro degli Esteri, ha condannato questa vicenda come una minaccia alla democrazia, sottolineando la gravità dell’uso illecito di informazioni riservate per fini di potere e controllo.

Questa inchiesta rappresenta un ennesimo campanello d’allarme sull’importanza della sicurezza digitale e della protezione dei dati sensibili, rivelando i pericoli derivanti dalla mancata tutela delle informazioni più riservate e dalle vulnerabilità dei sistemi informatici istituzionali.

Le recenti rivelazioni sul traffico delle password di 91 parlamentari italiani nel dark web, inclusi accessi a siti di incontri, ci mostrano un quadro surreale e allarmante. Tutto questo non si tratta di soli incidenti di sicurezza, ma di una mancanza strutturale di cultura della sicurezza a livello politico, a cui è urgente porre rimedio. Come scimpanzé che giocano con materiali delicati, alcuni leader sembrano non comprendere che la sicurezza informatica è diventato un asset strategico per il paese e occorre fare molto di più.

L'articolo L’Italia dei Dossier e degli Scimpanzè! Violata anche l’email del Presidente Mattarella proviene da il blog della sicurezza informatica.

Over the years, Apple has gone all-in on parts pairing. Virtually every component in an iPhone and iPad has a unique ID that’s kept in a big database over at Apple, which limits replacement parts to only those which have their pairing with the host system officially sanctified by Apple. With iOS 18 there seems to be somewhat of a change in how difficult getting a pairing approved, in the form of Apple’s new Repair Assistant. According to early responses by [iFixit] and in a video by [Hugh Jeffreys] the experience is ‘promising but flawed’.

As noted in the official Apple support page, the Repair Assistant is limited to the iPhone 15+, iPad Pro (M4) and iPad Air (M2), which still leaves many devices unable to make use of this feature. For the lucky few, however, this theoretically means that you can forego having to contact Apple directly to approve new parts. Instead the assistant will boot into its own environment, perform the pairing and calibration and allow you to go on your merry way with (theoretically) all functionality fully accessible.

The bad news here is that parts whose IDs show up as being locked (Activation Lock) are ineligible, which is something you cannot tell when you’re buying replacement parts. During [iFixit]’s testing involving swapping logic boards between two iPhone 15 Pros they found many issues, ranging from sudden reboots during calibration and boot looping. Some of these issues were due to the captive-portal-based WiFi network at [iFixit] HQ, but after eliminating that variable features like Face ID still refused to calibrate among other issues.

Meanwhile [Hugh]’s experiences have been more positive, but the limited nature of this feature, and the issues surrounding used and third-party parts, mean that the practical use of this Repair Assistant will remain limited, with tons of perfectly fine Activation Locked parts scrapped each year and third-party parts requiring pairing hacks to make basic features work, even on Apple’s MacBooks.

IOS 18 also adds battery monitoring for third-party batteries, which is a nice touch, but one cannot help but get the feeling that Apple is being dragged kicking and screaming into the age of easy repairs and replacements with Apple devices.

youtube.com/embed/RB0GwRwZTJM?…

Featured image: A stack of Activation Locked MacBooks destined for the shredder in refurbisher [John Bumstead]’s workshop.

hackaday.com/2024/10/27/apple-…

https://pixelfed.uno/p/Albowser/753645201709900159

Alberto

2024-10-20 15:56:58

Gara di tiro con l'arco a Vicenza.
Fatto
#arco #tiroconlarco #tiroconarco #archery #sport #UnoSport

Usually when we present a project on these pages, it’s pretty cut and dried — here’s what was done, these are the technologies used, this was the result. But sometimes we run across projects that raise far more questions than they answer, such as with this printed circuit board that’s actually printed rather than made using any of the traditional methods.

Right up front we’ll admit that this video from [Bad Obsession Motorsport] is long, and what’s more, it’s part of a lengthy series of videos that document the restoration of an Austin Mini GT-Four. We haven’t watched the entire video much less any of the others in the series, so jumping into this in the middle bears some risk. We gather that the instrument cluster in the car is in need of a tune-up, prompting our users to build a PCB to hold all the instruments and indicators. Normally that’s pretty standard stuff, but jumping to the 14:00 minute mark on the video, you’ll see that these blokes took the long way around.

Starting with a naked sheet of FR4 substrate, they drilled out all the holes needed for their PCB layout. Most of these holes were filled with rivets of various sizes, some to accept through-hole leads, others to act as vias to the other side of the board. Fine traces of solder were then applied to the FR4 using a modified CNC mill with the hot-end and extruder of a 3D printer added to the quill. Components were soldered to the board in more or less the typical fashion.

It looks like a brilliant piece of work, but it leaves us with a few questions. We wonder about the mechanics of this; how is the solder adhering to the FR4 well enough to be stable? Especially in a high-vibration environment like a car, it seems like the traces would peel right off the board. Indeed, at one point (27:40) they easily peel the traces back to solder in some SMD LEDs.

Also, how do you solder to solder? They seem to be using a low-temp solder and a higher temperature solder, and getting right in between the melting points. We’re used to seeing solder wet into the copper traces and flow until the joint is complete, but in our experience, without the capillary action of the copper, the surface tension of the molten solder would just form a big blob. They do mention a special “no-flux 96S solder” at 24:20; could that be the secret?

We love the idea of additive PCB manufacturing, and the process is very satisfying to watch. But we’re begging for more detail. Let us know what you think, and if you know anything more about this process, in the comments below.

youtube.com/embed/Fy2_CUBz40A?…

Thanks to [dennis1a4] and about half a dozen other readers for the nearly simultaneous tips.

hackaday.com/2024/10/27/a-bran…

Steam turbines have helped drive a large chunk of our technological development over the last century or so, and they’ll always make for interesting DIY. [Hyperspace Pirate] built a small turbine and boiler in his garage, turning fire into flowing electrons, and learning a bunch in the process.

[Hyperspace Pirate] based the turbine design on 3D printed Pelton-style turbines he had previously experimented with, but milled it from brass using a CNC router. A couple of holes had to be drilled in the side of the rotor to balance it. The shaft drives a brushless DC motor to convert the energy from the expanding steam into electricity.

To avoid the long heat times required for a conventional boiler, [Hyperspace Pirate] decided to use a flash boiler. This involves heating up high-pressure water in a thin coil of copper tube, causing the water to boil as it flows down the tube. To produce the high-pressure water feed the propane tank for the burner was also hooked up to the water tank to pressurize it, removing the need for a separate pump or compressed air source. This setup allows the turbine to start producing power within twelve seconds of lighting the burner — significantly faster than a conventional boiler.

Throughout the entire video [Hyperspace Pirate] shows his calculation for the design and tests, making for a very informative demonstration. By hooking up a variable load and Arduino to the rectified output of the motor, he was able to measure the output power and efficiency. It came out to less than 1% efficiency for turning propane into electricity, not accounting for the heat loss of the boiler. The wide gaps between the turbine and housing, as well as the lack of a converging/diverging nozzle on the input of the turbine are likely big contributing factors to the low efficiency.

Like many of his other projects, the goal was the challenge of the project, not practicality or efficiency. From a gyro-stabilized monorail, to copper ingots from algaecide and and a DIY cryocooler, he has sure done some interesting ones.

youtube.com/embed/15ga4KMSWqU?…

hackaday.com/2024/10/27/small-…

Negli ultimi tempi, il gruppo ransomware Black Bastaha affinato la propria strategia di attacco, portando l’ingegneria sociale su Microsoft Teams per impersonare il supporto IT aziendale e ottenere l’accesso ai dispositivi aziendali. Già noto per aver colpito numerose aziende dal 2022, Black Basta inizia i suoi attacchi con una tecnica subdola: inonda la casella di posta della vittima con migliaia di e-mail apparentemente innocue, come newsletter, conferme di registrazione o notifiche di autenticazione. Questo bombardamento crea caos nella posta della vittima, portando a confusione e frustrazione.

In passato, questa tattica culminava con una telefonata da parte di un falso operatore del supporto IT, che offriva assistenza per risolvere l’inondazione di spam e, approfittando della situazione, induceva la vittima a installare software di controllo remoto, come AnyDesk o Quick Assist, dando ai cybercriminali il pieno accesso al dispositivo e alla rete aziendale. Oggi, tuttavia, Black Basta ha alzato il livello: la nuova fase dell’attacco avviene direttamente su Microsoft Teams, con il gruppo che sfrutta la piattaforma per instaurare un contatto ancora più convincente e personalizzato.

In questa nuova variante dell’attacco, gli hacker si presentano come utenti esterni su Teams, impostando nomi come “securityadminhelper.onmicrosoft.com” o “cybersecurityadmin.onmicrosoft.com” e settando il nome visualizzato come “Help Desk”, spesso centrato per attirare l’attenzione dell’utente. La vittima, già sopraffatta dal flusso di e-mail, riceve ora un messaggio da un “tecnico” del supporto IT, che apparentemente proviene dall’interno dell’organizzazione. In alcuni casi, i cybercriminali inviano anche codici QR, che potrebbero reindirizzare a siti di controllo gestiti dagli attaccanti.

Una volta instaurata la fiducia, i criminali convincono la vittima a eseguire software di controllo remoto come AnyDesk o Quick Assist, o a scaricare payload camuffati da strumenti anti-spam con nomi come “AntispamAccount.exe” o “AntispamConnectUS.exe.” Questi file, però, contengono malware sofisticati per garantire un accesso persistente al dispositivo compromesso. Successivamente, gli attaccanti installano strumenti come Cobalt Strike, sfruttato per muoversi lateralmente nella rete aziendale, elevare i privilegi, rubare dati sensibili e distribuire il ransomware, che blocca l’intera infrastruttura e richiede il pagamento di un riscatto per decriptare i dati.

Difendersi da Black Basta: la prevenzione come arma strategica

Per difendersi da attacchi così sofisticati, le organizzazioni devono adottare misure preventive rigorose. Gli esperti consigliano di limitare le comunicazioni con utenti esterni su Microsoft Teams, abilitando le interazioni solo con domini strettamente fidati. È inoltre essenziale attivare la registrazione degli eventi per rilevare tempestivamente eventuali conversazioni sospette e intercettare attività anomale che potrebbero segnalare l’ingresso di un utente malevolo.

Formare i dipendenti a riconoscere le tattiche di social engineering si rivela fondamentale. Attacchi come quello di Black Basta sfruttano l’elemento umano, cercando di ingannare l’utente proprio quando è più vulnerabile. Ecco perché investire in formazione, sensibilizzare i dipendenti sulle possibili minacce e incoraggiare la segnalazione di contatti sospetti può fare la differenza.

Conclusione

Questo attacco mette in luce l’astuzia e la rapidità con cui i cybercriminali aggiornano le loro tecniche, dimostrando che ogni piattaforma di comunicazione aziendale può diventare un vettore di attacco. La sicurezza aziendale oggi deve necessariamente evolversi alla stessa velocità, ricordando che proteggere le persone, oltre che i sistemi, è ormai un requisito essenziale per difendersi dalle minacce del futuro.

L'articolo Black Basta usa Microsoft Teams come porta d’accesso: attacchi sofisticati colpiscono l’IT! proviene da il blog della sicurezza informatica.

Gli specialisti di Trend Micro hanno scoperto che in una serie di attacchi gli aggressori hanno utilizzato lo strumento EDRSilencer per disattivare gli avvisi emessi dal sistema EDR. I criminali informatici integrano lo strumento nei loro attacchi per nascondere le tracce degli attacchi ed eludere il rilevamento.

EDRSilencer è uno strumento open source sviluppato in modo simile alla soluzione commerciale NightHawk FireBlock di MdSec. Il programma identifica i processi EDR attivi e utilizza la piattaforma di filtraggio Windows ( WFP ) per monitorare e bloccare il traffico di rete sui protocolli IPv4 e IPv6. Il WFP, utilizzato nei firewall e negli antivirus, consente di configurare filtri robusti utilizzati per controllare il traffico.

EDRSilencer applica filtri per bloccare la comunicazione tra l’EDR e il server di gestione. Durante i test i tecnici sono riusciti a bloccare l’invio dei dati e i dispositivi risultavano inattivi nel portale di gestione. Di conseguenza, l’invio di notifiche e telemetria dettagliata viene bloccato.

Nella nuova versione dello strumento è disponibile il blocco di 16 moderne soluzioni EDR, tra cui:

• Microsoft Defender;
• SentinellaUno;
• FortiEDR;
• Cortex XDR di Palo Alto Networks;
• Punto finale sicuro Cisco;
• ElasticEDR;
• EDR nerofumo;
• Trend Micro Apex One.

Gli esperimenti hanno inoltre dimostrato che alcuni prodotti EDR continuano a trasmettere report a causa dell’assenza di determinati file eseguibili nell’elenco codificato. Tuttavia, gli aggressori hanno la possibilità di aggiungere filtri per i processi desiderati, ampliando l’elenco dei componenti bloccati.

Tuttavia, dopo aver aggiunto ulteriori processi all’elenco dei blocchi, gli strumenti EDR interrompono l’invio dei dati. Questa disabilitazione consente alle attività dannose di non essere rilevate, aumentando le possibilità di attacchi riusciti senza intervento specialistico.

Come funziona EDRSilencer (fonte: Trend Micro)

Trend Micro consiglia di classificare EDRSilencer come malware e di bloccarlo nelle prime fasi dell’attacco.

Gli esperti consigliano inoltre di utilizzare misure di sicurezza a più livelli per isolare i sistemi critici, utilizzando soluzioni con analisi comportamentale e rilevamento di anomalie e monitorando gli indicatori di compromissione sulla rete. Anche il principio del privilegio minimo è un elemento chiave nella protezione da tali attacchi.

L'articolo EDRSilencer: Il Nuovo Strumento Che Mette KO Gli EDR sfruttato in attacchi Attivi proviene da il blog della sicurezza informatica.

In 2020 international shipping saw itself faced with new fuel regulations for cargo ships pertaining to low sulfur fuels (IMO2020). This reduced the emission of sulfur dioxide aerosols from these ships across the globe by about 80% practically overnight and resulting in perhaps the biggest unintentional geoengineering event since last century.

As detailed in a recent paper by [Tianle Yuan] et al. as published in Nature, by removing these aerosols from the Earth’s atmosphere, it also removed their cooling effect. Effectively this change seems to have both demonstrated the effect of solar engineering, as well as sped up the greenhouse effect through radiative forcing of around 0.2 Watt/meter of the global ocean.

The inadvertent effect of the pollution by these cargo ships appears to have been what is called marine cloud brightening (MCB), with the increased reflectivity of said clouds diminishing rapidly as these pollution controls came into effect. This was studied by the researchers using a combination of satellite observations and a chemical transport model, with the North Atlantic, the Caribbeans and South China Sea as the busiest shipping channels primarily affected.

Although the lesson one could draw from this is that we should put more ships on the oceans burning high-sulfur fuels, perhaps the better lesson is that MCB is a viable method to counteract global warming, assuming we can find a method to achieve it that doesn’t also increase acid rain and similar negative effects from pollution.

Featured image: Time series of global temperature anomaly since 1980. (Credit: Tianle Yuan et al., Nature Communications Earth Environment, 2024)

hackaday.com/2024/10/27/how-po…

Nasce a New York Theodore Roosevelt , 26esimo presidente degli Stati Uniti (1901–09) . Scrittore, naturalista e soldato. Ha ampliato i poteri della presidenza e del governo federale.

Nell’aprile del 1910 fece un viaggio in Italia che lo portò a soggiornare brevemente a Porto Maurizio (l'attuale Imperia, Liguria), dove viveva la cognata, Emily Carrow, la quale, innamorata delle bellezze di questo angolo di Liguria, aveva preso in affitto una villetta nella panoramica zona del Monte Calvario.

Con grandi onori Roosevelt fu invitato al Grand Hotel Riviera Palace e, nel corso di una memorabile giornata, mentre la banda del 41° Fanteria suonava gli inni nazionali d’Italia e degli U.S.A.e scrosciavano gli applausi della folla festante, tagliò il nastro d’accesso al magnifico Boulevard che ancor oggi porta il suo nome. Roosevelt quel giorno fu nominato dal sindaco G.B. Carretti cittadino onorario di Porto Maurizio.

@Storia
#otd