Sensitive content Clicca per aprire/chiudere

Applying solder paste to a new custom PCB is always a little nerve-racking. One slip of the hand, and you have a smeared mess to clean up. To make this task a little easier, [Max Scheffler] built the Stencil Fix Portable, a compact self-contained vacuum table to hold your stencil firmly in place and pop it off cleanly every time.

The Stencil Fix V1 used a shop vac for suction, just like another stencil holder we’ve seen. The vacuum can take up precious space, makes the jig a little tricky to move, and bumping the hose can lead to the dreaded smear and colorful language. To get around this [Max] added a brushless drone motor with a 3D printed impeller, with a LiPo battery for power. The speed controller gets its PWM signal from a little RP2040 dev board connected to a potentiometer. [Max] could have used a servo tester, but he found the motor could be a little too responsive and would move the entire unit due to inertia from the impeller. The RP2040 allowed him to add a low pass filter to eliminate the issue. The adjustable speed also means the suction force can be reduced a little for easy alignment of the stencil before locking it down completely.

We love seeing tool projects like these that make future projects a little easier. Fortunately, [Max] made the designs available so you can build your own.

youtube.com/embed/Am3ztQIkss0?…

hackaday.com/2024/10/30/portab…

Emergono nuove indiscrezioni sconcertanti sullo scandalo di spionaggio e accesso abusivo a dati personali in Italia, legato alla società Equalize.

Sotto la lente degli inquirenti della Direzione Distrettuale Antimafia (DDA) di Milano e della Procura di Roma, questa inchiesta sta rivelando connessioni inaspettate e potenzialmente compromettenti tra organizzazioni private, ex membri delle forze di polizia e committenti di alto profilo, inclusi enti ecclesiastici.

Secondo quanto riportato dal Corriere della Sera, uno dei temi più delicati emersi riguarda un presunto mandato da parte di enti della Chiesa, che avrebbe permesso a Equalize di svolgere attività di intelligence a loro favore.

Un altro elemento di particolare rilievo è rappresentato dalle intercettazioni risalenti al dicembre 2022, che rivelano conversazioni tra i membri di Equalize riguardo a possibili vantaggi economici derivanti dalle operazioni di spionaggio e dossieraggio su temi sensibili, come le relazioni tra Italia e Russia e i cyber-attacchi sul territorio nazionale.

Parallelamente, la Procura di Roma sta indagando su un gruppo denominato “Squadra Fiore” che risulterebbe coinvolto, composto da almeno cinque ex membri delle forze dell’ordine, che operavano da un appartamento a Roma.

Questo gruppo avrebbe avuto il compito di raccogliere illegalmente informazioni sensibili, agendo al di fuori delle normative vigenti e, secondo alcune ipotesi, anche su incarico di committenti esteri, aumentando le preoccupazioni su eventuali infiltrazioni straniere in reti italiane.

L’inchiesta in corso evidenzia ancora una volta la vulnerabilità del sistema informativo nazionale e l’intreccio pericoloso tra pubblico e privato nel mondo della sicurezza informatica nazionale italiana. Con decine di indagati e un’indagine che ha già coinvolto più di 800 mila dossier, le implicazioni di questo scandalo si estendono ben oltre le questioni meramente di cybersecurity, mettendo in discussione la trasparenza e la sicurezza stessa dei dati all’interno del Paese.

L'articolo Spioni Ecclesiastici? Indiscrezioni Dalle indagini Parlano di Richieste Provenienti dalla Chiesa proviene da il blog della sicurezza informatica.

Sensitive content Clicca per aprire/chiudere

Gli attivisti brasiliani per i diritti umani accusano i più grandi social network di trascurare la sicurezza dei bambini. Il Consumer Collective Law Institute ha intentato causa contro Meta, TikTok e la piattaforma cinese di brevi video Kwai. L’importo totale delle richieste ammontava a tre miliardi di reais (circa 526 milioni di dollari).

I querelanti insistono sul fatto che le piattaforme social devono avvisare apertamente gli utenti su come la dipendenza dai social media influisce sulla salute mentale di bambini e adolescenti. Inoltre, le aziende dovranno rendere pubblici tutti i meccanismi che utilizzano per proteggere i dati personali dei giovani utenti.

Uno dei promotori della causa, l’avvocato Lilian Salgado, sottolinea la necessità di una revisione urgente degli algoritmi della piattaforma e delle regole per il trattamento dei dati degli utenti minori di 18 anni. Secondo Salgado è necessario garantire agli adolescenti brasiliani lo stesso livello di protezione sui social media che già ricevono i loro coetanei nei paesi sviluppati.

Questa non è la prima volta che Meta e TikTok si trovano ad affrontare affermazioni del genere. Alla fine del 2023, le autorità del New Mexico hanno intentato una causa simile contro Meta: secondo loro, Facebook e Instagram mostravano materiale esplicito ai minori. Successivamente è emerso un documento interno di Meta del 2021, secondo il quale oltre 100mila giovani utenti erano vittime di bullismo ogni giorno. Tuttavia, la direzione dell’azienda ha ignorato le proposte.

All’inizio di quest’anno, i procuratori generali di 14 stati degli Stati Uniti si sono uniti in un’azione legale collettiva contro TikTok. Hanno accusato la piattaforma di ingannare deliberatamente il pubblico riguardo alla sicurezza dei giovani. Vale la pena notare che questi procedimenti sono solo la punta dell’iceberg di una serie di azioni legali contro i social network su questioni relative alla protezione dei minori.

Meta ha recentemente lanciato un formato speciale di profili per gli adolescenti su Instagram: ora tutti gli utenti sotto i 16 anni sono tenuti a utilizzarli. Tali profili operano con un elevato livello di privacy e qualsiasi modifica alle impostazioni richiede il consenso dei genitori. Questa funzionalità non è ancora disponibile in Brasile, anche se l’azienda promette di introdurla presto.

In un commento ufficiale, Meta afferma che sta cercando di rendere le sue applicazioni il più sicure possibile per i giovani. In dieci anni di attività, l’azienda ha creato più di 50 diversi strumenti e funzioni progettati per proteggere gli adolescenti e aiutare i loro genitori. Tuttavia, gli attivisti per i diritti umani considerano queste misure insufficienti e richiedono un approccio più serio.

L'articolo 500 Milioni di Dollari per le lacrime dei Bambini! Il Brasile in rivolta e i nodi vengono al pettine proviene da il blog della sicurezza informatica.

It probably comes as little surprise that our planet is practically buzzing with radio waves. Most of it is of our own making, with cell phones, microwaves, WiFi, and broadcasts up and down the spectrum whizzing around all the time. But our transmissions aren’t the only RF show in town, as the Earth itself is more than capable of generating radio signals of its own, signals which you can explore with a simple sferics receiver like this one.

If you’ve never heard of sferics and other natural radio phenomena, we have a primer to get you started. Briefly, sferics, short for “atmospherics,” are RF signals in the VLF range generated by the millions of lightning discharges that strike the Earth daily. Tuning into them is a pretty simple proposition, as [DX Explorer]’s receiver demonstrates. His circuit, which is based on a design by [K8TND], is just a single JFET surrounded by a few caps and resistors, plus a simple trap to filter out the strong AM broadcast signals in his area. The output of the RF amplifier goes directly into an audio amp, which could be anything you have handy — but you risk breaking [Elliot]’s heart if you don’t use his beloved LM386.

This is definitely a “nothing fancy” build, with the RF section built ugly style on a scrap of PCB and a simple telescopic whip used for an antenna. Tuning into the Earth’s radio signals does take some care, though. Getting far away from power lines is important, to limit AC interference. [DX Explorer] also found how he held the receiver was important; unless he was touching the ground plane of the receiver, the receiver started self-oscillating. But the pips, crackles, and pings came in loud and clear on his rig; check out the video below for the VLF action.

youtube.com/embed/QsCtz7mDVw8?…

hackaday.com/2024/10/30/homebr…

Gli ospedali americani utilizzano sempre più uno strumento di intelligenza artificiale per trascrivere l’audio in testo chiamato Whisper. Tuttavia, secondo un’indagine dell’Associated Press , questa rete neurale, sviluppata da OpenAI , è soggetta ad “allucinazioni” e aggiunge frasi inesistenti alle trascrizioni di dati medici e documenti aziendali.

Rilasciato nel 2022, Whisper è stato inizialmente commercializzato come un sistema di trascrizione che si avvicina alla precisione umana. Tuttavia, un ricercatore dell’Università del Michigan ha osservato che l’80% dei verbali controllati delle riunioni pubbliche contenevano dati distorti. Uno sviluppatore ha riferito che delle sue 26.000 trascrizioni di prova, quasi tutte contenevano passaggi inventati.

Nonostante gli avvertimenti di OpenAI secondo cui Whisper non dovrebbe essere utilizzato in aree critiche, più di 30.000 operatori sanitari statunitensi utilizzano attualmente strumenti basati su di esso.

Tra questi ci sono la Mankato Clinic in Minnesota e il Children’s Hospital di Los Angeles, che utilizza il servizio di assistente AI di Nabla. Quest’ultimo ha confermato la possibilità di “allucinazioni” e ha aggiunto che le registrazioni audio già trascritte vengono automaticamente cancellate per garantire la protezione dei dati, il che rende difficile verificare la presenza di errori nelle trascrizioni.

Nel frattempo, gli errori di trascrizione possono causare gravi danni ai pazienti. Le persone non udenti e con problemi di udito sono particolarmente vulnerabili perché non possono verificare autonomamente la correttezza dei dati inseriti.

I problemi di Whisper si estendono oltre il campo medico. Una ricerca della Cornell University e dell’Università della Virginia ha rilevato che nell’1% delle registrazioni audio il sistema aggiungeva frasi che non erano contenute nei dati originali. Nel 38% dei casi si tratta di “allucinazioni” di natura dannosa, che vanno da atti di violenza immaginari a commenti razzisti.

La tecnologia di Whisper si basa sulla previsione delle parole probabili sulla base di dati audio. Se il sistema riscontra una scarsa qualità di registrazione, utilizza le frasi apparse più frequentemente nei dati di addestramento. Alcuni esempi sottolineano l’influenza dei contenuti di YouTube, sui quali il modello è stato addestrato.

Gli errori di Whisper sollevano interrogativi sulla regolamentazione dell’uso dell’intelligenza artificiale in medicina. Sebbene OpenAI riconosca il problema e continui a migliorare il modello, l’uso di strumenti di intelligenza artificiale inaffidabili in aree mission-critical richiede un’applicazione e una certificazione rigorose. Solo questo approccio ridurrà al minimo i rischi e garantirà un livello adeguato di sicurezza del paziente.

L'articolo Le AI inventano Diagnosi Mediche! Una Nuova Tendenza negli Ospedali USA che fa Paura proviene da il blog della sicurezza informatica.

Il governo italiano, in risposta agli sviluppi recenti, si appresta a varare una serie di iniziative volte a rafforzare la sicurezza delle banche dati, soprattutto all’interno di istituzioni come le forze dell’ordine e l’intelligence.

Questo pacchetto di misure nasce dalla necessità di arginare accessi non autorizzati e scambi impropri di informazioni riservate, che hanno generato preoccupazione a livello nazionale e internazionale.

Le nuove linee guida, attualmente in fase di definizione, si concentrano sull’aumento della consapevolezza di ogni utente che accede alle banche dati, dai poliziotti ai funzionari delle agenzie di intelligence. L’obiettivo è chiaro: sottolineare che anche un singolo accesso illecito rappresenta un reato.

Inoltre, sarà enfatizzata la responsabilità dei supervisori, che potranno essere perseguiti per omessa vigilanza qualora non vigilino adeguatamente sugli accessi effettuati.

Le misure di urgenza da implementare sulle Banche Dati

Tra le iniziative principali emergono:

1. Sistema di Alert Potenziato: Un meccanismo di allarme più efficace verrà implementato per monitorare i pattern di accesso, in modo da evitare che un gran numero di accessi da parte di un singolo operatore possa passare inosservato. Questo rappresenta una novità nella gestione delle informazioni, poiché si punta ad un controllo più stringente e costante.
2. Autenticazione Sicura con OTP: Al fine di limitare lo scambio di username e password, le linee guida introdurranno un sistema di autenticazione simile al codice OTP (One-Time Password) utilizzato in ambito bancario, ovvero una password usa e getta per ogni sessione di accesso. Questa misura mira a ridurre al minimo i rischi di accesso non autorizzato o di condivisione delle credenziali tra operatori.
3. Blocco dell’Accesso Remoto: Verranno adottate misure per impedire l’accesso remoto ai sistemi sensibili, limitando ulteriormente la possibilità di abusi o utilizzi impropri delle banche dati da postazioni non autorizzate. In un’epoca in cui il lavoro da remoto è una pratica diffusa, questa misura si presenta come una tutela contro l’accesso illecito da reti non sicure.
4. Formazione e Cultura della Sicurezza: L’adeguamento dei sistemi sarà accompagnato da un’operazione culturale: tutti i titolari di banche dati saranno formati per comprendere l’importanza della protezione dei dati e delle implicazioni legali di ogni accesso. Questo cambiamento punta a coinvolgere in prima persona i singoli utenti, trasformandoli in custodi della sicurezza.

Un Investimento Necessario per la Tutela dei Dati Sensibili

L’implementazione di queste nuove linee guida richiederà un investimento significativo, stimato in decine di milioni di euro.

Tali risorse saranno destinate all’aggiornamento delle infrastrutture informatiche e alla formazione continua del personale, con l’obiettivo di garantire la tutela dei dati sensibili e prevenire future vulnerabilità.

Concludendo

Per affrontare situazioni di criticità nella cybersecurity, è fondamentale adottare misure tecniche di contenimento che solo un’operatività di basso livello può garantire. In scenari complessi e ad alto rischio, è l’azione diretta, sul campo, a fare la differenza, evitando l’inutile dispersione di energie in iniziative di alto livello poco incisive. Solo operazioni puntuali e immediate riescono infatti a ridurre le vulnerabilità, limitando l’impatto degli incidenti e preservando la sicurezza dei dati e delle infrastrutture sensibili.

Chi suggerisce di affrontare questi problemi con ulteriori sovrastrutture burocratiche o nuove misure complesse sta percorrendo una strada sbagliata. Prima di sovraccaricare aziende e istituzioni con requisiti aggiuntivi, è fondamentale interrogarsi sulla reale capacità di tali requisiti di ridurre sostanzialmente il rischio. Oggi ci troviamo a gestire centinaia di requisiti di sicurezza, spesso ridotti a una semplice riga in un file Excel. Invece, sarebbe necessario attribuire un peso a ciascun requisito, assicurando che i più rilevanti vengano implementati senza indugi. Solo così potremo garantire una protezione efficace e mirata, evitando la dispersione di risorse su misure poco efficaci.

In sintesi, la cybersecurity in Europa e in Italia presenta notevoli complessità in quanto è complessa e non viene compresa.

Per progredire realmente in questo ambito, è necessario ripensare il modello attuale, puntando su una semplificazione che consenta un approccio più mirato ai requisiti di sicurezza fondamentali. Solo attraverso questa ristrutturazione potremo affrontare in modo efficace le sfide emergenti e garantire una protezione adeguata delle informazioni sensibili.

L'articolo Così Ti Elimino gli Spioni! Ecco le Linee Guida del Governo, Ma occorre un Focus sulle cose Essenziali proviene da il blog della sicurezza informatica.

Le reti aziendali sono sotto un’ondata di attacchi ransomware che sfruttano una vulnerabilità critica (CVE-2024-40766) nelle VPN SonicWall. I cybercriminali dei gruppi Fog e Akira hanno intensificato gli assalti, sfruttando questa falla scoperta recentemente nei controlli di accesso SSL VPN per infiltrarsi nei sistemi delle aziende. Nonostante SonicWall abbia rilasciato una patch ad agosto 2024, molte aziende non hanno ancora implementato l’aggiornamento, lasciando le proprie reti vulnerabili e aprendo la porta a intrusioni devastanti.

Arctic Wolf ha documentato che il gruppo affiliato al ransomware Akira ha usato questa vulnerabilità per penetrare le reti e dare il via a una serie di attacchi coordinati e rapidissimi. Le intrusioni sono state spesso seguite da una sequenza d’azione fulminea: in meno di due ore, i dati vengono cifrati, bloccando di fatto le risorse più sensibili dell’azienda. Utilizzando accessi VPN senza autenticazione multi-fattore, gli aggressori riescono facilmente a mascherare i propri indirizzi IP e a evitare il tracciamento. Di conseguenza, i tempi di reazione per le aziende sono minimi, con conseguenze gravi per la sicurezza aziendale e per la riservatezza dei dati.

SonicWall VPN vulnerabile e l’alleanza criminale tra Fog e Akira

La sinergia tra Fog e Akira aggiunge un elemento critico alla minaccia: le intrusioni segnalate rivelano una collaborazione intensa e pericolosa tra i due gruppi, i quali condividono infrastrutture per massimizzare l’impatto degli attacchi. Secondo il report di Arctic Wolf, su almeno 30 intrusioni via VPN SonicWall, il 75% è attribuibile ad Akira, mentre il restante 25% è condotto dal gruppo Fog, attivo solo da maggio 2024 ma in crescita rapida.

Questa strategia coordinata sottolinea l’importanza di un aggiornamento immediato delle patch e dell’abilitazione dell’autenticazione a più fattori per le VPN SSL, ancora troppo spesso trascurate dalle aziende. Gli eventi nei log di sistema SonicWall dimostrano come gli aggressori procedano rapidamente con l’assegnazione di IP e l’accesso remoto una volta entrati, garantendosi il controllo delle macchine virtuali e dei backup e compromettendo dati e software critici.

Sicurezza aziendale: patch tempestive e autenticazione multi-fattore sono vitali

Il caso SonicWall rimarca una verità essenziale: la sicurezza informatica non può essere sottovalutata. Mantenere le patch di sicurezza aggiornate e utilizzare l’autenticazione multi-fattore non solo rappresentano misure essenziali, ma sono requisiti fondamentali in un panorama di minacce sempre più sofisticate e collaborative. Con la rapida evoluzione delle tecniche di attacco, il rischio di trovarsi con reti critiche esposte e dati sensibili cifrati è concreto.

Investire nella protezione informatica non è solo una questione di conformità, ma di salvaguardia della continuità operativa e della fiducia del cliente, valori fondamentali per ogni azienda che voglia difendersi efficacemente in un contesto in cui le minacce cyber non accennano a diminuire.

L'articolo VPN SonicWall sotto attacco: Akira e Fog all’assalto dei dati aziendali! proviene da il blog della sicurezza informatica.

If you’re looking for a hackerspace while on your travels, there is more than one website which shows them on a map, and even tells you whether or not they are open. This last feature is powered by SpaceAPI, a standard way for hackerspaces to publish information about themselves, including whether or not they are closed.

Given such a trove of data then it’s hardly surprising that [S3lph] would use it to create a gigantic map of central Europe with lights in the appropriate places (German language, Google Translate link) to show the spaces and their status.

The lights are a set of addressable LEDs and the brain is an ESP32, making this an accessible project for most hackers with the time to assemble it. Unsurprisingly then it’s not the first such map we’ve seen, though it’s considerably more ambitious than the last one. Meanwhile if your hackerspace doesn’t have SpaceAPI yet or you’re simply curious about the whole thing, we took a look at it back in 2021.

Thanks [Dave] for the tip.

hackaday.com/2024/10/29/an-int…

Electrostatic motors are now common in MEMS applications, but researchers at the University of Wisconsin and spinoff C-Motive Technologies have brought macroscale electrostatic motors back. [via MSN/WSJ]

While the first real application of an electric motor was Ben Franklin’s electrostatically-driven turkey rotisserie, electromagnetic type motors largely supplanted the technology due to the types of materials available to engineers of the time. Newer dielectric fluids and power electronics now allow electrostatic motors to be better at some applications than their electromagnetic peers.

The main advantage of electrostatic motors is their reduced critical materials use. In particular, electrostatic motors don’t require copper windings or any rare earth magnets which are getting more expensive as demand grows for electrically-powered machines. C-Motive is initially targeting direct drive industrial applications, and the “voltage driven nature of an electrostatic machine” means they require less cooling than an electromagnetic motor. They also don’t use much if any power when stalled.

Would you like a refresher on how to make static electricity or a deeper dive on how these motors work?

hackaday.com/2024/10/29/electr…

Checking the voltages on a dead LED lightbulb. Best done by a professional, obviously. (Credit: The Doubtful Technician, YouTube)
We have probably all seen the marketing blurbs on packaging and elsewhere promoting the amazing lifespan of LED lighting solutions. Theoretically you should be able to install a LED bulb in a fixture that used to hold that incandescent lightbulb which had to be replaced annually and have it last a decade or longer. Yet we seem to replace these LED bulbs much more often than that, with them suffering a range of issues. To get to the root cause of this, [The Doubtful Technician] decided to perform an autopsy on a range of dead lightbulbs which he got from a variety of sources and brands.

One lamp is an Amazon-bought one by a seller who seems to have vanished, but was promised over 3 years of constant use. Other than the fun blinding of oneself while testing, this one was easy to diagnose, with a dodgy solder joint on a resistor in a MELF package. The next one from Lowes was very dim, and required popping open with some gentle force, which revealed as likely culprit a shorted SMD resistor. Finally a more substantial (i.e. heavier) bulb was tested which had survived about 7 years in the basement until it and its siblings began to suddenly die. Some might consider this the normal lifespan, but what really failed in them?

The electronics in this last bulb were the most impressive, with a full switch mode power supply (SMPS) that appears to have suffered a failure. Ultimately the pattern with these three bulbs was that while the LEDs themselves were still fine, it were things like the soldering joints and singular components on the LED driver PCB that had failed. Without an easy way to repair these issues, and with merely opening the average LED lightbulb being rather destructive, this seems like another area where what should be easy repairs are in fact not, and more e-waste is created.

youtube.com/embed/1l1we3vwnzY?…

hackaday.com/2024/10/29/lies-b…

Most of us using desktop computers, and plenty of us on laptops, have some sort of fan or pump installed in our computer to remove heat and keep our machines running at the most optimum temperature. That’s generally a good thing for performance, but comes with a noise pollution cost. It’s possible to build fanless computers, though, which are passively cooled by using larger heat sinks with greater thermal mass, or by building more efficient computers, or both. But sometimes even fanless designs can benefit from some forced air, so [Sasa] built this system for cooling fanless systems with fans.

The main advantage of a system like this is that the fans on an otherwise fanless system remain off when not absolutely necessary, keeping ambient noise levels to a minimum. [Sasa] does have a few computers with fans, and this system helps there as well. Each fan module is WiFi-enabled, allowing for control of each fan on the system to be set up and controlled from a web page. It also can control 5V and 12V fans automatically with no user input, and can run from any USB power source, so it’s not necessary to find a USB-PD-compatible source just to run a small fan.

Like his previous project, this version is built to easily integrate with scripting and other third-party software, making it fairly straightforward to configure in a home automation setup or with any other system that is monitoring a temperature. It doesn’t have to be limited to a computer, either; [Sasa] runs one inside a server cabinet that monitors the ambient temperature in the cabinet, but it could be put to use anywhere else a fan is needed. Perhaps even a hydroponic setup.

youtube.com/embed/TqN-tWI42gE?…

hackaday.com/2024/10/29/custom…

The story of Commodore computers is one of some truly great machines for their time, and of the truly woeful marketing that arguably spelled their doom. But there’s another Commodore computing story, that of the machines we never received, many of which came close enough to production that they might have made it.

[Old VCR] has the story of one of these, and it’s a portable. It’s not a C64 like the luggable which did emerge, neither is it the legendary LCD portable prototype in the possession of our Hackaday colleague [Bil Herd]. Instead it’s a palmtop branded under licence from Toshiba, and since it’s a rare device even its home country of Japan the article gives us perhaps the only one we’ll ever see with either badge.

The Commodore HHC-4 was announced at Winter CES 1983, and since it was never seen again it’s aroused some curiosity among enthusiasts. The article goes to some lengths to cross-reference the visible features and deduce that it’s in fact a Toshiba Pasopia Mini, a typical palmtop computer of the era with not much in the way of processing power, a small alphanumeric display, and a calculator-style QWERTY keyboard. We’re treated to a teardown of a Toshiba unit and its dock, revealing some uncertainty about which processor architecture lurks in those Toshiba custom chips.

Looking at the magazine reviews and adverts it seems as though Commodore may have had some machines with their branding on even if they never sold them, so there exists the tantalizing possibility of one still lurking forgotten in the possession of a former staffer. We can hope.

If Commodore history interests you, you really should read [Bil]’s autobiographical account of the company in the 1980s.

hackaday.com/2024/10/29/anothe…

La sfida digitale tra Usa e Cina in corso nel continente asiatico riguarda data center, intelligenza artificiale e cavi sottomarini.

The post Data center, IA, Internet… Usa e Cina combattono in Asia la battaglia per il futuro appeared first on InsideOver.

So far in this series, we’ve talked about man-made byproducts — Fordite, which is built-up layers of cured car enamel, and Trinitite, which was created during the first nuclear bomb test.
A lovely fulgurite pendant. Image via Etsy
But not all byproducts are man-made, and not all of them are basically untouchable. Some are created by Mother Nature, but are nonetheless dangerous. I’m talking about fulgurites, which can form whenever lightning discharges into the Earth.

It’s likely that even if you’ve seen a fulgurite, you likely had no idea what it was. So what are they, exactly? Basically, they are natural tubes of glass that are formed by a fusion of silica sand or rock during a lightning strike.

Much like Lichtenberg figures appear across wood, the resulting shape mimics the path of the lightning bolt as it discharged into the ground. And yes, people make jewelry out of fulgurites.

Lightning Striking Again

Image via NOAA’s National Severe Storms Laboratory
Lightning is among the oldest observed phenomena on Earth. You probably know that lightning is just a giant spark of electricity in the atmosphere. It can occur between clouds, the air, or the ground and often hits tall things like skyscrapers and mountaintops.

Lightning is often visible during volcanic eruptions, intense forest fires, heavy snowstorms, surface nuclear detonations, and of course, thunderstorms.

In lightning’s infancy, air acts as an insulator between charges — the positive and negative charges between the cloud and the ground. Once the charges have sufficiently built up, the air’s insulating qualities break down and the electricity is rapidly discharged in the form of lightning.

When lightning strikes, the energy in the channel briefly heats up the air to about 50,000 °F, which is several times the surface of the Sun. This makes the air explode outward. As the shock wave’s pressure decreases, we hear thunder.

Of Sand and Rock and Other Stuff

Fulgurites, also known as fossilized lightning, don’t have a fixed composition: they are composed of whatever they’re composed of at the time of the lightning strike. Four main types of fulgurites are officially recognized: sand, soil, caliche (calcium-rich), and rock fulgurites. Sand fulgurites can usually be found on beaches or in deserts where clean sand devoid of silt and clay dominates. And like those Lichtenberg figures, sand fulgurites tend to look like branches of tubes. They have rough surfaces comprised of partially-melted grains of sand.
Sand fulgurites, aka forbidden churros. Image via Wikimedia Commons
When sand fulgurites are formed, the sand rapidly cools and solidifies. Because of this, they tend to take on a glassy interior. As you might imagine, the size and shape of a fulgurite depends on several factors, including the strength of the strike and the depth of the sand being struck. On average, they are 2.5 to 5 cm in diameter, but have been found to exceed 20 cm.

Soil fulgurites can form in a wide variety of sediment compositions including clay-, silt-, and gravel-rich soils as well as leosses, which are wind-blown formations of accumulated dust. These also appear as tubaceous or branching formations, vesicular, irregular, or a combination thereof.

Calcium-rich sediment fulgurites have thick walls and variable shapes, although it’s common for multiple narrow channels to appear. These can run the gamut of morphological and structural variation for objects that can be classified as fulgurites.

Rock fulgurites are typically found on mountain peaks, which act as natural lightning rods. They appear as coatings or crusts of glass formed on rocks, either found as branching channels on the surface, or as lining in pre-existing fractures in the rock. They are most often found at the summit or within several feet of it.

Fact-Finding Fulgurites

Aside from jewelry and such, fulgurites’ appeal comes in wherever they’re found, as their presence can be used to estimate the number of lightning strikes in an area over time.

Then again there’s some stuff you may not necessarily want to use in jewelry making. Stuff that can be found in the dark, dank corners of the Earth. Stay tuned!

hackaday.com/2024/10/29/boss-b…

L’esperto di sicurezza informatica Alexander Hagenah ha pubblicato lo strumento Chrome-App-Bound-Encryption-Decryption per aggirare la nuova funzionalità di sicurezza App-Bound Encryption in Chrome, progettata per proteggere i dati sensibili, inclusi i cookie.

Ricordiamo che la funzionalità di crittografia associata all’app è stata introdotta l’estate scorsa, con il rilascio di Chrome 127. Come hanno affermato gli sviluppatori del browser, lo scopo è crittografare i cookie e le password memorizzate utilizzando un servizio Windows che funziona con privilegi di sistema.

Ciò impedisce al malware in esecuzione come utente che ha effettuato l’accesso di rubare i segreti archiviati in Chrome. In teoria, infatti, per aggirare tale protezione, il malware avrà bisogno dei privilegi di sistema, e non sarà possibile ottenerli senza che nessuno se ne accorga.

Dopo che le persone hanno iniziato a parlare online del fatto che il malware aveva imparato a bypassare la crittografia associata all’app, i rappresentanti di Google hanno detto ai media che ciò era previsto.

L’azienda non si aspettava di creare una protezione “a prova di proiettile” e la crittografia App-Bound aveva solo lo scopo di gettare le basi per la creazione graduale di un sistema più affidabile.

“Siamo consapevoli che la nuova protezione ha suscitato scalpore tra gli sviluppatori di infostealer. Come abbiamo scritto nel blog, ci aspettiamo che questa protezione sposti il ​​comportamento degli aggressori verso metodi di attacco più visibili, tra cui iniezioni e memory scraping. Questo è esattamente ciò a cui stiamo assistendo adesso”, disse all’epoca Google.

Ora che Hagena ha rilasciato pubblicamente la sua soluzione di bypass della crittografia associata all’app su GitHub , chiunque può imparare e compilare lo strumento.

“Questo strumento decodifica le chiavi di crittografia associate all’app archiviate nel file di stato locale di Chrome utilizzando il servizio IElevator interno basato su COM di Chrome”, afferma la descrizione del progetto. “Lo strumento consente di estrarre e decrittografare le chiavi che Chrome protegge con la crittografia associata all’app per impedire l’accesso a dati protetti come cookie, password e informazioni di pagamento.”

Come riporta Bleeping Computer, citando uno specialista di sicurezza informatica noto come g0njxa, lo strumento di Hagena utilizza un metodo di base per aggirare la crittografia associata all’app, che la maggior parte degli infostealer ha già superato. Tuttavia, questo metodo funziona ancora poiché gli sviluppatori di Chrome non hanno ancora rilasciato le patch.

Queste informazioni sono confermate anche dagli analisti di eSentire, i quali affermano che il metodo di Hagena è simile ai primi metodi per aggirare la protezione utilizzati dagli aggressori quando era appena stata introdotta la crittografia associata all’app.

“Lumma ha utilizzato questo metodo per creare un’istanza dell’interfaccia Chrome IElevator tramite COM per accedere al servizio Chrome Elevation per decrittografare i cookie, ma è piuttosto rumoroso e facile da rilevare. Ora gli hacker utilizzano la decrittazione indiretta senza interagire direttamente con Chrome Elevation Service”, afferma eSentire.

Gli sviluppatori di Google hanno dichiarato che non vedono nulla di sbagliato nel rilascio di un simile strumento. Poiché richiede diritti di amministratore per funzionare, la società ritiene di aver “aumentato con successo il livello di accesso richiesto affinché questo tipo di attacco sia efficace”.

L'articolo La crittografia di Chrome è stata violata! lo Strumento di Hagenah sblocca l’App-Bound Encryption proviene da il blog della sicurezza informatica.

Qual è il bilancio dopo 10 mesi di governo Tusk, a un anno dalla vittoria nelle elezioni parlamentari? Ho scritto un'analisi per ResetDoc, partendo dalla svolta securitaria in materia di immigrazione.

What's the balance after 10 months of Tusk's government, one year after the victory in the parliamentary elections? I wrote an analysis for ResetDoc.

resetdoc.org/story/polands-imm…

Poland’s Immigration Law: Tusk’s Struggle to Hold the Center

“Regain control, ensure security.” This is the slogan of a draft law promoted by Polish Prime Minister Donald Tusk and adopted by his government to outline the country’s migration strategy from 2025 to 2030.

^{Reset DOC}

Dealing with all the wiring can quickly become a challenge on robots, especially the walking variety which have actuators everywhere. [Eric Yufeng Wu] sidestepped the wiring issue by creating Q8bot, a little quadruped where all the components, including the actuators, are mounted directly on the PCB.

[Eric] uses a custom PCB as the spine of the robot, and the eight servos plug directly into connectors on the PCB. With their bottom covers removed, the servos screw neatly into a pair of 3D printed frames on either side of the PCB, which also have integrated 14500 battery holders. The PCB is minimalist, with just the XIAO ESP32C3 module, a boost converter circuit to drive the servos, and a battery fuel gauge. Each SCARA-style leg consists of four SLS 3D printed segments, with press-fit bearings in the joints.

The little one moves quickly, and can even do little jumps. For this prototype, most of the control processing is done on a laptop, which sends raw joint angles to the onboard ESP32 via the ESP-Now protocol. We think this little robot has a lot of development potential, and fortunately [Eric] has made all the hardware and software files available for others to build their own.

youtube.com/embed/YJDc1xAhaOI?…

hackaday.com/2024/10/29/little…

La futura versione del kernel Linux 6.13 include una patch che rielabora l’algoritmo per trovare il checksum CRC32C. La nuova implementazione ha permesso di ridurre la quantità di codice di circa dieci volte, da 4546 byte a 418 byte.

La riduzione del numero di operazioni e l’ottimizzazione della logica del loop hanno comportato un notevole aumento della velocità, particolarmente evidente quando la protezione retpoline contro gli attacchi Spectre era disabilitata.

Pertanto, sui processori AMD Zen 2 si registra un aumento delle prestazioni fino all’11,8%, su Intel Emerald Rapids – 6,4% e su Intel Haswell – 4,8%.

Con la protezione retpoline abilitata, l’effetto dell’ottimizzazione è ancora più pronunciato: le prestazioni su Intel Emerald Rapids aumentano del 66,8%, su Intel Haswell del 35,0% e su AMD Zen 2 del 29,5%.

In precedenza, CRC32C utilizzava 128 loop, il che aumentava significativamente la quantità di codice. Poiché i moderni processori supportano l’esecuzione di istruzioni fuori ordine, il numero eccessivo di istruzioni di salto all’interno dei cicli è diventato un ostacolo all’ottimizzazione.

Nella nuova implementazione, il numero di iterazioni è stato ridotto a quattro, il che ha ridotto significativamente la quantità di codice e allo stesso tempo ha migliorato la velocità dell’operazione.

L'articolo Linux 6,13 Performance Boost: La Nuova Patch di Porta Vantaggi Incredibili! proviene da il blog della sicurezza informatica.

Introduction

Organizations often rely on a layered defense strategy, yet breaches still occur, slipping past multiple levels of protection unnoticed. This is where compromise assessment enters the game. The primary objective of these services is risk reduction. They help discover active cyberattacks as well as unnoticed sophisticated attacks that occurred in the past by doing the following:

• Tool-assisted scanning of all endpoints;
• Host and network equipment log analysis;
• Threat intelligence analysis, including darknet search;
• Initial incident response to contain discovered threats.

In this article, we delve into the root causes of real-world cases from our practice, where despite having numerous security controls in place, the organizations still found themselves compromised. In all the cases in question, compromise assessment was the last line of defense that successfully detected incidents.

Patch management issues

The vulnerability patching process typically takes time for a variety of reasons: from actual patch release all the way to identifying vulnerable assets and “properly” patching them, considering any pre-existing asset inventory and whether the accountable personnel will learn about the vulnerability in time. There are multiple factors that may delay this process, including formality in business continuity requirements, e.g. inability to reboot the server without a downtime window.

That’s why insufficient patch management processes on the customer side are one of the most common root causes of incidents we observe in compromise assessment projects. Moreover, exploitation of a public-facing application was the root cause in 42.37% of cases investigated by the Kaspersky Global Emergency Response Team (GERT) in 2023.

During the investigation of one case, we identified that the web server was patched a month after the attacker infiltrated the network: this delay was a treasure trove for the threat actor, since the organization was left unprotected and the attack went unnoticed.

• Immediately after compromising the server, the attacker deployed a SILENTTRINITY C2 stager.
• They attempted to dump credentials via a custom packed version of Mimikatz on the first day, and by dumping the LSASS process memory to disk on the fourth day.
• During that month, they conducted internal reconnaissance of SMB shares until they obtained the credentials of the domain administrator.

Policy violations by employees

Most organizations focus on external threats; however, policy violations pose a major risk, with 51% of SMB incidents and 43% of enterprise incidents involving IT security policy violations caused by employees. An “employee” here is any person who has a regular employee’s level of access to the organization’s systems.

In one of our compromise assessments, we identified an incident whose root cause was traced to a contracted cybersecurity consultant. During an interim report meeting, we presented a list of compromised accounts (a result of darknet search playbook execution) to the customer’s board of directors along with statistics on the accounts on the list. Of all the compromised accounts, 71% belonged to the customer’s employees, with 63% of these being employees’ accounts in the services accessible from outside the company.

Statistics on the organization’s compromised accounts. Source: Kaspersky Digital Footprint Intelligence

The list contained a C-level officer’s account, among others. Since this was a critical situation, with everyone suspecting that officer’s laptop had been compromised, we ran a quick investigation during the meeting and figured out that credentials had been leaked from a third-party consultant’s machine. The chairman created an account in an external system with his own corporate email and shared the credentials with the consultant. Since it was clear that consultant’s laptop might contain other confidential data, we developed the following tactical response plan.

1. Collect a forensic triage package from the consultant’s laptop.
   
   • Analyze the package to identify all leaked credentials.
   • Check the consultant’s laptop for malware.
   • Run a keyword-based search to identify potential leaked documents.

   
   

2. Review email/VPN/other logs of likely affected services available from outside the organization to detect any abnormal activity by compromised accounts.
3. Double-check if multi-factor authentication was enabled for the compromised accounts at the time of compromise.
4. Update the incident response plan based on the findings. Reset the password and install a new OS image on the laptop at a minimum.

This incident could have been prevented by ensuring that employees and any third party with access to the network followed the policies. This is easy to say but it sometimes gets tricky and requires time, effort and deep technical knowledge in practice.

MSP/MSSP issues

Usually, MSSPs are more focused on continuous monitoring and alerting, ignoring detection gaps identification and visibility enhancements: a periodic review of the customer’s event audit policy, enabling a disabled log source or highlighting a poorly configured log source. For example, the X-Forwarded-For HTTP header is often not enabled on web servers. As a result, the SOC can’t see the original IP of the connection and determine the attack source, which complicates incident investigation.

In our compromise assessment practice, we frequently identify incidents that external SOCs have missed. During one project, we reviewed third-party antivirus logs and identified multiple webshell detections on the same server for several days.

The MSSP SOC analysts had failed to raise an alert, because the malware was deleted by the antivirus each time. This is a textbook example of a junior’s mistake. If a motivated adversary has access to the server via a vulnerability, they would try a range of techniques and tactics to try to bypass security. This is where the human analyst’s attention is needed to add an additional layer of protection and prevent this from happening.

This was exactly our case: the Kaspersky experts initiated deep forensic analysis and found out that the attacker tried different webshells over a few weeks. They finally found one that was not detectable by the AV vendor at the time, so they were able to get into the network. Further investigation revealed that the entire domain remained compromised for several months.

Monitoring and verifying the quality of service from your MSP or MSSP is often challenging. Contractual agreements typically prevent clients from accessing the provider’s internal systems for a thorough review. Additionally, customers may lack the technical expertise or time required to oversee every action taken by their subcontractors.

MSPs and subcontractors might not have enough cybersecurity awareness, which poses a challenge, where they might inadvertently expose the network to a cybersecurity risk by misconfiguring some security control or not following the best practice.

Incomplete incident response

Post-breach eradication of a threat actor requires planning of multiple actions to ensure complete removal of the attacker from the network or systems:

• Removal of malware, scripts, tools, and backdoors installed by the attacker.
• Changing the passwords for the compromised accounts and deleting any unauthorized service accounts that attackers might have created
• Rolling back system configurations that might increase the attack surface or introduce new vulnerabilities

Even after the malware is deleted, certain forensic artifacts remain in the system. Therefore, it is common to identify past attacks during compromise assessment. Intentional misconfiguration introduced by an attacker is a rarer case, but we occasionally find that enterprise incident response teams fail to eradicate these procedures.

As part of the Active Directory configuration review playbook, Kaspersky analysts identified a Group Policy with several suspicious properties.

1. A modification to the AllowReversiblePasswordEncryption property of each AD account, which made domain controllers store passwords in decryptable form (without using the one-way hash function). This configuration would enable the attacker to dump credentials in plaintext via attacks like DCSync.
2. Disabling the audit of operations related to Kerberos Tickets. This configuration would hide attacker logons on all endpoints managed via Active Directory.

False sense of security

It’s crucial to remember that the effectiveness of even top-tier products is at its highest when these are properly installed, configured, and integrated. Without proper configuration, organizations cannot fully harness the potential of their cybersecurity solutions, which hinders their ability to create a robust defense.

In our compromise assessment practice, we have witnessed several cases, listed below, which were detected because specialized scanners were deployed alongside an existing AV/EDR solution, providing a second layer of detection capabilities.

• Absence of detection rules. The customer’s antivirus was unable to detect a pivotnacci webshell because the vendor did not have a defined detection rule.
• Outdated malware signatures. The client antivirus was unable to detect malware because the network port listening to the central update server was blocked by a firewall, preventing the antivirus from receiving the latest updates.
• Shadow IT. The customer’s antivirus was not deployed on certain servers because those servers were not part of Active Directory, which left them unprotected.

Conclusion

Compromise assessment has proven to be an indispensable component in the broader cybersecurity strategy of these organizations. The cases discussed above underscore that no security measure, no matter how advanced, is entirely foolproof. From internal policy violations to patch management failures and overlooked misconfigurations by third-party service providers, the risks are manifold and often hidden in plain sight. These examples highlight that a false sense of security can be more dangerous than no security at all, as it leaves organizations vulnerable to threats that might have otherwise been detected with thorough, periodic assessments.

By integrating compromise assessment into the security framework, organizations can uncover these hidden threats, address vulnerabilities that slip through the cracks, and ultimately strengthen their overall security posture. In a world where cyberthreats are constantly evolving, the proactive identification and mitigation of potential compromises is not just advisable but also necessary. This approach ensures that organizations are not only reacting to breaches but are continuously verifying the effectiveness of their defenses, thereby reducing the risk of undetected compromises and safeguarding their assets more effectively.

securelist.com/compromise-asse…