Each year millions of old smartphones are either tossed as e-waste or are condemned to lie unloved in dusty drawers, despite the hardware in them usually being still perfectly fine. Reusing these little computers for another purpose once the phone’s manufacturer drops support is made hard by a range of hardware and software (driver) issues. One possible way to do so is suggested by [Doctor Volt] in a video where a Samsung Galaxy S4 is combined with a USB-connected FT232R board to add external GPIO.

The idea is pretty simple: the serial adapter is recognized by the existing Android OS and within the standard Android development environment this module can be used. Within this demonstrator it’s merely used to blink some LEDs and react to inputs, but it shows how to reuse one of these phones in a non-destructive manner. Even better is that the phone’s existing sensors and cameras can still be used as normal in this way, too, which opens a whole range of (cheap) DIY projects that can be programmed either in Java/Kotlin or in C or C++ via the Native Development Kit.

The only wrinkle is that while the phone is connected like this, charging is not possible. For the S4 it’s easy to solve as it has a removable battery, so an external power input was wired in with a dummy battery-sized bit of perfboard. With modern phones without removable batteries simultaneous USB/audio dongle and charging usage via the USB-C connector is claimed to be possible, but this is something to check beforehand.

youtube.com/embed/iobvVl8jZ5o?…

hackaday.com/2024/11/04/reusin…

Nel 2022, Joe Grand, noto come “Kingpin“, ha ricevuto una richiesta di assistenza per recuperare il PIN dimenticato di un portafoglio USB Trezor. Grand, un esperto di hacking hardware con una lunga carriera iniziata a soli 10 anni, ha accettato la sfida. Utilizzando avanzate tecniche di analisi hardware, è riuscito a sbloccare il dispositivo e a recuperare l’accesso, restituendo al cliente criptovalute per un valore di 2 milioni di dollari.

Nel frattempo, un utente anonimo chiamato “Michael” stava cercando di recuperare l’accesso a un vecchio portafoglio software, in cui aveva immagazzinato 43,6 BTC (circa $5.600 all’epoca, ma di valore molto maggiore in seguito). Michael, all’epoca molto attento alla sicurezza, aveva generato una password tramite RoboForm e crittografato il file con TrueCrypt. Tuttavia, un anno dopo, scoprì che il file era corrotto e che la password non era più accessibile. Considerando tollerabile la perdita, Michael decise di lasciar perdere.

Con il vertiginoso aumento del valore del Bitcoin dieci anni dopo, Michael tentò nuovamente di recuperare il portafoglio, ma dopo diversi rifiuti da parte di esperti di crittoanalisi, si rivolse a Joe Grand. Sebbene inizialmente Grand avesse rifiutato la richiesta, accettò di analizzare il caso dopo ulteriori contatti. Collaborando con un collega tedesco, Bruno, i due iniziarono il reverse engineering di una vecchia versione di RoboForm del 2013. Scoprirono che il generatore di numeri pseudo-casuali del programma era vulnerabile, generando password basate sulla data e sull’ora.

youtube.com/embed/o5IySpAkThg?…

Purtroppo, Michael non ricordava la data precisa di creazione della password. Dopo aver consultato i registri del portafoglio, Grand e Bruno ipotizzarono che la password fosse stata generata intorno ad aprile 2013, ma i tentativi iniziali non diedero risultati. Durante una seconda analisi, Michael si ricordò di un’ulteriore password creata nello stesso periodo, il che offrì una nuova pista. Nel novembre successivo, i tre si incontrarono in Europa, e Grand e Bruno riuscirono finalmente a sbloccare il portafoglio.

Secondo Grand, la vulnerabilità era dovuta alle vecchie versioni di RoboForm; dal 2015 in poi, il software potrebbe aver modificato il suo generatore di numeri pseudo-casuali, rendendo impossibile sfruttare la stessa tecnica. La società sviluppatrice, Siber, non ha risposto alle richieste di chiarimenti sul cambio di specifiche e sulla possibilità di ricreare le password.

Dopo il successo, Grand e Bruno restituirono la password a Michael, che, una volta raggiunti i 62.000 $/BTC, vendette parte dei suoi bitcoin, mantenendone 30.

L'articolo Ritrovare 2 milioni di Dollari in Bitcoin! La storia dell’hacker Joe Grand e del portafoglio USB sbloccato proviene da il blog della sicurezza informatica.

Today, movie effects are mostly done in CGI, especially if they’re of the death-defying type. [Tyler Bell] shows us how they shot actors with arrows before CGI.

Almost every medieval movie has someone getting shot with an arrow, but how do you do that non-destructively? [Bell] shows us two primary methods that were used, the pop up rig and steel pronged arrows. The pop up rig is a spring loaded device with one end of an arrow attached that pops up when a mechanism is triggered. [Bell] 3D printed his own version of the mechanism and shows us how it can be used to great effect on shots from the side or rear of the victim.

But what about straight on shots where the rig would be blatantly obvious? That’s when you get to actually shoot the actor (or their stunt double anyway). To do this safely, actors would wear wooden body armor under their costumes and arrows with two small prongs would be shot along a wire into the desired impact site. We appreciate [Bell] using a mannequin for testing before letting his brother shoot him with an arrow. That’s definitely the next level above a trust fall.

We even get a look at using air cannons to launch arrow storms at the end which is particularly epic. Looking for more movie magic? How about the effects from King Kong or Flight of the Navigator?

Thanks to [Xerxes3rd] on Discord for the tip!

youtube.com/embed/D3BxILDpT6k?…

hackaday.com/2024/11/04/how-to…

Il ransomware rappresenta una minaccia globale crescente, causando danni significativi a infrastrutture critiche e perdite finanziarie ingenti. Recenti attacchi hanno colpito una grande compagnia assicurativa sanitaria negli Stati Uniti, paralizzando ospedali e farmacie, e il Porto di Nagoya in Giappone, evidenziando la vulnerabilità di servizi essenziali. Si stima che dal 2021 negli Stati Uniti siano stati identificati oltre 4.900 attacchi ransomware, con pagamenti di riscatto che superano i 3 miliardi di dollari.

Le criptovalute facilitano queste attività illecite, permettendo il trasferimento e il riciclaggio di fondi ottenuti illegalmente. Paesi come la Russia offrono rifugio ai cybercriminali e ostacolano l’estradizione, mentre la Corea del Nord utilizza il ransomware come fonte di finanziamento, eludendo le sanzioni internazionali e generando entrate stimate in oltre 3 miliardi di dollari.

Per affrontare efficacemente questa minaccia, è necessaria una forte azione di prevenzione. Le aziende devono adottare misure proattive di sicurezza informatica, come backup regolari, crittografia dei dati e autenticazione a più fattori. Inoltre, è cruciale che le aziende investano nella formazione del personale per riconoscere e rispondere efficacemente alle minacce informatiche. La consapevolezza dei dipendenti riguardo ai rischi del phishing e di altre tattiche utilizzate dai criminali informatici può ridurre significativamente le vulnerabilità interne. Implementare protocolli di sicurezza rigorosi e aggiornare regolarmente i sistemi operativi e i software può prevenire molte forme di attacco.

Le imprese dovrebbero anche stabilire piani di risposta agli incidenti, permettendo una reazione rapida in caso di violazione. Questo include l’identificazione tempestiva dell’attacco, l’isolamento dei sistemi compromessi e la comunicazione con le autorità competenti. Collaborare con altre organizzazioni e condividere informazioni sulle minacce emergenti può contribuire a creare un fronte comune contro i cybercriminali.

Cubbit: l’innovazione italiana che rivoluziona la sicurezza dei dati aziendali

Nel panorama sempre più complesso della sicurezza informatica, le aziende cercano soluzioni affidabili per proteggere i propri dati da minacce come il ransomware e altre forme di cyber-attacchi. Cubbit, un’azienda bolognese fondata nel 2016, si è affermata come una delle risposte più innovative ed efficaci a queste sfide, offrendo un servizio di cloud storage geo-distribuito che sta conquistando l’Europa.

Un’architettura rivoluzionaria per una sicurezza senza precedenti

A differenza dei tradizionali servizi cloud che concentrano i dati in pochi data center, Cubbit ha sviluppato un’architettura geo-distribuita unica nel suo genere. Questo significa che i dati non vengono mai memorizzati integralmente in un singolo luogo. Al contrario, ogni file viene crittografato, frammentato e replicato su una rete di nodi distribuiti su tutto il territorio nazionale.

Questo approccio offre diversi vantaggi significativi:

• Massima sicurezza dei dati: anche se un cybercriminale riuscisse ad accedere a uno dei nodi, troverebbe solo frammenti criptati di dati, impossibili da decifrare senza le chiavi appropriate. Non esiste una corrispondenza diretta tra un singolo dato e un nodo specifico, rendendo praticamente impossibile il furto o la compromissione delle informazioni.
• Resilienza straordinaria: la distribuzione geografica dei dati protegge le aziende non solo dagli attacchi informatici, ma anche da eventi fisici come incendi, alluvioni o altri disastri naturali. In caso di inattività di un nodo, il sistema ridistribuisce automaticamente i frammenti di dati agli altri nodi attivi, garantendo la continuità del servizio senza interruzioni.

Grazie a questa architettura, Cubbit raggiunge una durabilità dei dati fino a 15 9 (99,9999999999999%), superando di diecimila volte gli standard di settore che si attestano su 11 9. Questo livello di affidabilità assicura alle aziende che i propri dati siano protetti in modo eccellente contro qualsiasi tipo di perdita o danneggiamento.

Protezione avanzata contro il ransomware e conformità normativa

Nel contesto attuale, gli attacchi ransomware rappresentano una delle minacce più gravi per le aziende di tutte le dimensioni. Cubbit affronta questo problema integrando funzionalità avanzate come il versioning e l’object lock:

• Versioning dei file: questa funzionalità permette di conservare più versioni di un singolo file. In caso di attacco ransomware, l’azienda può facilmente ripristinare una versione precedente non compromessa, evitando così di dover pagare riscatti o perdere dati critici.
• Object Lock: consente di bloccare i file, impedendo qualsiasi modifica o cancellazione non autorizzata per un periodo definito dall’utente. Questo garantisce un ulteriore livello di protezione sia contro attacchi malevoli che contro errori umani.

Oltre alla sicurezza, Cubbit pone grande attenzione alla conformità normativa. Grazie alla tecnologia di geofencing, le aziende possono controllare esattamente dove i propri dati sono archiviati, assicurando che rimangano all’interno dei confini nazionali. Questo è fondamentale per rispettare regolamenti come GDPR, NIS2 e altre normative sulla protezione dei dati.

Cubbit ha ottenuto numerose certificazioni internazionali che attestano il suo impegno verso i più alti standard di sicurezza e qualità:

• ISO 9001:2015 per la gestione della qualità.
• ISO/IEC 27001:2013 per la sicurezza delle informazioni.
• ISO/IEC 27017:2015 per la sicurezza nei servizi cloud.
• ISO/IEC 27018:2019 per la protezione dei dati personali nel cloud.

Inoltre, ha ricevuto il Cybersecurity Made in Europe Label, riconoscimento che sottolinea l’eccellenza dell’azienda nel campo della cybersecurity a livello continentale. Audit periodici condotti da terze parti indipendenti assicurano il mantenimento costante di questi elevati standard.

Flessibilità e integrazione senza complicazioni

Una delle caratteristiche distintive di Cubbit è la sua facilità d’uso. La piattaforma è progettata per essere compatibile con qualsiasi client S3, il che significa che le aziende non devono affrontare curve di apprendimento ripide o modificare i propri flussi di lavoro esistenti. Questa compatibilità consente un’integrazione senza soluzione di continuità con le infrastrutture IT già in uso.

Le aziende possono sfruttare Cubbit per una varietà di esigenze operative:

• Backup off-site automatizzati: proteggere i dati critici con copie di sicurezza esterne, garantendo il ripristino rapido in caso di necessità.
• Collaborazione sicura: condividere informazioni su macchine virtuali o sistemi NAS on-premise in modo protetto, facilitando il lavoro in team anche da remoto.
• Conservazione documentale a lungo termine: implementare strategie di archiviazione che rispettino le normative vigenti, assicurando l’accessibilità dei dati nel tempo.

Una scelta affidabile per aziende pubbliche e private

La reputazione di Cubbit è testimoniata dalla fiducia che oltre 350 organizzazioni in Europa hanno riposto nei suoi servizi. Tra queste, importanti enti come Leonardo, Granarolo, Amadori e il gigante della cybersecurity francese Exclusive Networks hanno scelto Cubbit per proteggere i propri dati sensibili.

La disponibilità sulla piattaforma MePA (Mercato Elettronico della Pubblica Amministrazione) e la qualifica ACN (Agenzia per la Cybersicurezza Nazionale, ex AgID) rendono inoltre Cubbit una soluzione ideale non solo per le aziende private ma anche per le istituzioni pubbliche che necessitano di elevati standard di sicurezza e conformità.

Perché scegliere Cubbit per la sicurezza dei tuoi dati

In un’epoca in cui le minacce informatiche sono in costante evoluzione, affidarsi a soluzioni innovative e robuste è fondamentale per la protezione del patrimonio digitale aziendale. Cubbit offre:

• Sicurezza avanzata: grazie all’architettura geo-distribuita e alle funzionalità anti-ransomware, i tuoi dati sono protetti su più livelli.
• Conformità garantita: strumenti come il geofencing assicurano il rispetto delle normative sulla protezione dei dati, sia a livello nazionale che europeo.
• Flessibilità operativa: la compatibilità con i client S3 e l’assenza di necessità di apprendere nuovi software rendono l’adozione di Cubbit semplice e immediata.
• Affidabilità certificata: le numerose certificazioni internazionali e gli audit di terze parti attestano l’impegno costante di Cubbit verso l’eccellenza.

In collaborazione con i responsabili IT di oltre 200 aziende, Cubbit ha redatto la guida anti-ransomware 2024.

Scarica gratis la guida anti-ransomware 2024.

L'articolo La Soluzione Anti-Ransomware Tutta Italiana: Alla Scoperta di Cubbit proviene da il blog della sicurezza informatica.

Gli istituti di ricerca cinesi affiliati all’Esercito popolare di liberazione (PLA) hanno iniziato a utilizzare il modello Llama 2 di Meta per sviluppare il proprio strumento di intelligenza artificiale (AI) per applicazioni di difesa e polizia. La ricerca mostra che il modello Llama 2, originariamente disponibile di pubblico dominio, è diventato la base per la creazione di un’intelligenza artificiale militarizzata nota come ChatBIT.

A giugno, scienziati cinesi di tre diverse istituzioni, tra cui l’Accademia delle scienze militari del PLA, hanno pubblicato un articolo in cui descrivevano come avevano adattato il modello Llama per scopi di raccolta e analisi di intelligence. La loro versione è stata ottimizzata per il dialogo e per rispondere a domande volte a supportare le decisioni operative in ambito militare. Secondo lo studio, ChatBIT mostra livelli di prestazioni simili a ChatGPT-4 di OpenAI.

Gli sviluppatori del progetto sottolineano che ChatBIT contiene finora solo 100mila registrazioni di dialoghi militari, un numero relativamente piccolo rispetto ad altri modelli linguistici. Tuttavia, stanno pianificando un ulteriore sviluppo per utilizzare ChatBIT per la pianificazione strategica, la modellazione e il supporto decisionale del team.

Inoltre, la Cina utilizza attivamente l’intelligenza artificiale per scopi di sicurezza interna. Altri studi rilevano che il modello di Llama è già stato utilizzato per analizzare i dati relativi alle esigenze della polizia per migliorare il processo decisionale in materia di sicurezza pubblica. Ad aprile, la pubblicazione statale PLA Daily ha evidenziato come l’intelligenza artificiale potrebbe accelerare lo sviluppo delle armi, migliorare le simulazioni di combattimento e migliorare l’efficienza dell’addestramento militare.

Gli esperti occidentali sottolineano che l’uso delle tecnologie di intelligenza artificiale occidentali da parte di specialisti cinesi può contribuire a ridurre il divario tecnologico tra Cina e Stati Uniti. Ad esempio, la società cinese AVIC, affiliata al PLA, ha utilizzato Llama 2 per sviluppare strategie di contromisure elettroniche aviotrasportate.

Meta, a sua volta, ha una politica di libero accesso ai suoi modelli di intelligenza artificiale, ma impone alcune restrizioni, vietando l’uso di queste tecnologie per scopi militari, di intelligence o nucleari. Tuttavia, a causa della natura pubblica di questi modelli, l’applicazione delle condizioni d’uso rimane limitata.

L'articolo La Cina Sviluppa Intelligenza Artificiale Militare partendo dai Modelli Llama 2 di Meta proviene da il blog della sicurezza informatica.

Negli ultimi decenni, scrive il saggista Mike Rothschild, le teorie sulla famiglia hanno progressivamente ceduto il passo a quelle su George Soros, il finanziere di origine ebraica che ha rimpiazzato i Rothschild nelle fantasie complottiste globali.

Un articolo su #Factanews di Leonardo Bianchi, giornalista esperto di tesi complottiste, autore di libri sull'argomento.

facta.news/articoli/rothschild…

@Storia
#Storia #complottismo #LeonardoBianchi

L’immortale mito antisemita dei Rothschild, la famiglia al centro di ogni teoria del complotto

Dall’Ottocento a oggi, la famiglia di banchieri di origine ebraica è il bersaglio preferito di antisemiti e complottisti

^{Leonardo Bianchi (Facta)}

Quando si parla di cybercrime, la mente va subito alle cyber gang criminali che violano i sistemi dall’esterno. Premesso che il significato di “hacker” oggi lo abbiamo completamente ridefinito, una minaccia altrettanto pericolosa, proviene dall’interno delle organizzazioni: si tratta dei cosiddetti “insider” o dipendenti infedeli.

Studi recenti e diversi casi di cronaca tutti italiani sottolineano come sia sempre più diffuso oggi un mercato nero disposto a pagare somme ingenti per ottenere dati sensibili di aziende e istituzioni direttamente dall’interno.

Gli insider, infatti, possiedono già le autorizzazioni necessarie, consentendo loro di accedere facilmente alle informazioni riservate, riducendo la necessità di complessi attacchi di hacking dall’esterno.

Casi di Insider Threat in Italia

In Italia, uno dei casi più eclatanti è stato quello riguardante la scoperta di una rete di spionaggio informatico che ha coinvolto vari individui e istituzioni, compromettendo circa 800 mila dossier e vedendo 51 indagati, tra cui persino funzionari pubblici e database istituzionali.

Un altro caso recente ha visto Carmelo Miano, accedere alla casella di posta di ben 46 magistrati, tra cui Nicola Grattieri, grazie al possesso delle loro credenziali. Sebbene in questo caso l’hacking è una parola più vicina ai fatti anche in questo fatto di cronaca il fenomeno dell’insider threat risulta importante.

Infatti entrambi gli episodi rivelano quanto oggi sia vulnerabile il sistema di sicurezza interno quando le credenziali vengono abusate o vendute.

Chi sono i dipendenti infedeli?

Per dipendenti infedeli si intendono coloro che, per motivi personali, economici o ideologici, utilizzano la propria posizione all’interno dell’organizzazione per accedere e divulgare informazioni riservate o sensibili. Questo fenomeno è noto come insider threat ed è considerato tra le minacce più difficili da gestire. I dipendenti infedeli possono vendere i dati a competitor o a cybercriminali, esponendo le aziende a gravi rischi legali e reputazionali.

Le aziende, quindi, devono adottare strategie per identificare e gestire questi rischi. Alcune pratiche comuni includono il monitoraggio delle attività, l’implementazione di strumenti per rilevare l’uso anomalo delle credenziali, e la sensibilizzazione dei dipendenti sulla protezione dei dati e sull’etica aziendale.

Inoltre, è fondamentale ricordare che i dipendenti sono una risorsa preziosa e, se dotati di accessi amministrativi a sistemi critici, non dovrebbero essere forniti da aziende terze o subappaltatori, ma dovrebbero far parte del personale interno dell’organizzazione.

Come limitare gli Insider threat

Gli insider threat rappresentano una delle sfide più insidiose per la sicurezza delle informazioni, poiché coinvolgono dipendenti o collaboratori che, a causa di malintesi, vendetta o semplicemente negligenza, possono compromettere la sicurezza dei dati aziendali. Tuttavia, le organizzazioni che operano in Europa devono affrontare anche sfide legate alla conformità con le normative sulla protezione dei dati, in particolare il Regolamento generale sulla protezione dei dati (GDPR).

Limitazioni al Monitoraggio nella Comunità Europea

In Europa, il monitoraggio delle attività dei dipendenti è soggetto a regolamenti rigorosi. Il GDPR stabilisce vari principi fondamentali:

1. Principio di Trasparenza: Le organizzazioni devono informare i dipendenti riguardo alle pratiche di monitoraggio e giustificare la necessità di tali misure. Questo implica che i dipendenti debbano essere a conoscenza di quali dati vengono raccolti e come verranno utilizzati.
2. Limitazione delle Finalità: I dati raccolti per il monitoraggio devono essere utilizzati esclusivamente per scopi specifici, legittimi e definiti. Non è consentito l’uso di dati per finalità diverse rispetto a quelle dichiarate.
3. Proporzionalità e Necessità: Qualsiasi misura di monitoraggio deve essere proporzionata rispetto agli obiettivi da raggiungere. Ciò significa che il monitoraggio deve essere giustificato e non deve violare la privacy dei dipendenti più del necessario.
4. Minimizzazione dei Dati: Le organizzazioni devono raccogliere solo i dati strettamente necessari per il monitoraggio, evitando la raccolta di informazioni superflue.
5. Diritti degli Interessati: I dipendenti hanno diritti specifici riguardo ai propri dati personali, inclusi i diritti di accesso, rettifica e cancellazione. Le organizzazioni devono garantire che questi diritti siano rispettati.

Sistemi e Pratiche per Limitare gli Insider Threat

Nonostante le limitazioni legali, esistono diverse strategie che le organizzazioni possono implementare per limitare gli insider threat, garantendo al contempo la conformità alle normative europee.

1. Data Loss Prevention (DLP): Implementare soluzioni DLP per monitorare e controllare l’accesso ai dati sensibili. Questi sistemi possono impedire la trasmissione non autorizzata di informazioni critiche, fornendo un ulteriore strato di sicurezza.
2. Monitoraggio delle Attività: Utilizzare sistemi di logging e monitoring delle attività degli utenti. È essenziale che questi strumenti siano configurati per rispettare la privacy dei dipendenti e che vengano comunicati chiaramente agli utenti.
3. Analisi del Comportamento degli Utenti (UBA): Implementare strumenti di analytics per analizzare il comportamento degli utenti e identificare attività anomale. Questi strumenti possono aiutare a rilevare comportamenti sospetti prima che si traducano in danni.
4. Controllo degli Accessi Basato su Ruoli (RBAC): Implementare un sistema di accesso basato su ruoli che garantisca che i dipendenti abbiano accesso solo alle informazioni necessarie per le loro mansioni. Questo riduce il rischio di accessi non autorizzati ai dati sensibili.
5. Implementazione della Multi-Factor Authentication (MFA): Integrare l’autenticazione a più fattori per aggiungere un ulteriore livello di sicurezza agli accessi ai sistemi critici. La MFA richiede agli utenti di fornire due o più forme di identificazione, riducendo significativamente il rischio di accessi non autorizzati anche in caso di compromissione delle credenziali. Questa misura non solo protegge i dati sensibili, ma promuove anche una cultura della sicurezza all’interno dell’organizzazione.
6. Formazione e Sensibilizzazione: Offrire programmi di formazione regolari per educare i dipendenti sui rischi associati agli insider threat e sulle migliori pratiche di sicurezza. La consapevolezza dei dipendenti può ridurre il rischio di comportamenti involontari che potrebbero compromettere la sicurezza.
7. Implementazione di una Politica di Sicurezza dei Dati: Stabilire politiche chiare riguardanti la gestione e la protezione dei dati, assicurando che i dipendenti comprendano le loro responsabilità e le conseguenze di violazioni.
8. Procedure di Risposta agli Incidenti: Avere un piano di risposta agli incidenti che includa protocolli per affrontare potenziali insider threat. Questo piano dovrebbe prevedere procedure per l’identificazione, la segnalazione e la gestione degli incidenti.
9. Audit e Valutazioni di Sicurezza: Condurre regolarmente controlli di sicurezza per garantire che le politiche e le pratiche siano efficaci e conformi alle normative.

Conclusione

Limitare gli insider threat in un contesto normativo come quello europeo richiede un approccio bilanciato che consideri sia la necessità di sicurezza che i diritti dei dipendenti. Implementando misure adeguate e pratiche di monitoraggio consapevoli, le organizzazioni possono proteggere le loro informazioni sensibili senza compromettere la privacy e i diritti dei lavoratori. La chiave è adottare un approccio proattivo e integrato alla sicurezza dei dati, che rispetti le normative vigenti e promuova una cultura della sicurezza all’interno dell’organizzazione.

L'articolo Ma quali Hacker! Gli Attori dello Spygate Sono Veri Insider Threats proviene da il blog della sicurezza informatica.

Questa è la storia di Herm1t, fondatore di VX-Heaven, hacker attivo nella difesa dell’Ucraina dal 2014 e fondatore di RUH8 nell’autunno del 2015, raccontata per mezzo di un’intervista che ha voluto focalizzarsi sulla sua storia, sui suoi valori e sui suoi obiettivi, cercando di comprendere anche quali sono gli elementi più importanti che contraddistinguono la guerra informatica in atto tra Russia e Ucraina..

Tempo fa, nell’articolo/intervista a smelly di VX-Underground abbiamo esplorato un mondo sotterraneo che ha come obiettivo quello di portare alla luce più informazioni disponibili. Ciò grazie alla raccolta massiccia di samples, paper ed articoli con conseguente pubblicazione in una libreria centralizzata. Tutto ciò è stato possibile grazie al suo predecessore, ovvero VX-Heaven, nato alla fine degli anni ‘90, piattaforma fondata e gestita da hemr1t.

VX-Heaven è stato un primo spazio con libero accesso dedicato al mondo malware, che grazie ad un estensivo repository di malware, permetteva agli studiosi di approfondire e così difendersi dalle minacce esistenti. Tuttavia nel 2012 VX-Heaven ha subito uno shutdown e sequestro dei server da parte delle forze dell’ordine Ucraine, facendo nascere una vera e propria insurrezione tra i frequentatori del sito. Su facebook, ad esempio, è stata portata avanti una campagna di raccolta fondi per finanziare le spese legali di Herm1t. Tale campagna fu intitolata “Saving Private Herm1t” e vi aderirono molti ricercatori di sicurezza a livello globale.

Secondo quanto ci racconta Herm1t, il destino di VX-Heaven non è stato guidato solamente da una paura ingiustificata riguardo il mondo malware ma bensì una conseguenza del suo rifiuto di collaborare con (l’allora nuova) autorità di counter intelligence ucraina denominata DKIB SBU. Nel 2013 VX-Heaven è riuscita a tornare online e il sito è rimasto attivo sino al 2018. Nel frattempo il 2014 è stato il contesto per un’altro evento pronto a segnare la carriera di Herm1t, la guerra in Donbass.

Per contrastare gli attacchi di origine russa, Herm1t è diventato attivo nella guerra informatica tra i due paesi e insieme ad altri componenti, in modo autonomo hanno deciso di aiutare il loro stato, l’Ucraina, eseguendo con successo attacchi di contrasto come la compromissione e il leak delle email di Aleksey Karyakin (capo del cosiddetto “consiglio popolare” della Repubblica Popolare di Luhansk). Dopo poco più di un anno di attività, nel 2015 Herm1t fonda il gruppo RUH8, per il quale si definì “segretario di stampa” (ogni membro aveva titoli del mondo corporate come satira a tale ambiente).

Nella primavera 2016 nasce l’Ukrainian Cyber Alliance (UCA) dove diversi gruppi tra cui Trinity, FlaconsFlame e, successivamente, RUH8 con l’unico obiettivo di contestare in maniera attiva le attività informatiche russe. La lista delle loro operazioni è facilmente reperibile nella loro pagina Wikipedia. Uno dei più recenti attacchi, 2023, ha avuto come obiettivo lo smantellamento totale del RaaS Trigona Ransomware. In questo caso UCA è riuscita a penetrare ed avere totale controllo sull’intera infrastruttura del RaaS e tramite un leak ha ottenuto indirizzi dei wallet, source code del malware, record dei database interni e molto altro.

Oggi Hemr1t ci chiarisce che RUH8 ha a che fare “con un nemico esterno che vuole letteralmente invadere” il loro paese, “compiere un genocidio, attraverso esecuzioni extragiudiziali, torture e deportazioni forzate per schiacciare la volontà di libertà”. I componenti di RUH8 sono a tutti gli effetti “partigiani della guerra informatica”, tuttavia, “poiché guerra e politica sono inscindibilmente legate”, una delle loro azioni è diventata un classico esempio di hacktivismo: l’hanno chiamata “Fuck Responsible Disclosure”.

Ringraziamo Herm1t per il suo lavoro da pioniere della ricerca malware, i suoi valori e il tempo che ci ha dedicato per questa intervista.

Intervista – Lettera da Kyiv

RHC: Partiamo dalla tua storia personale: come ti sei avvicinato al mondo dei computer e dell’IT? Quale è stato il tuo primo computer e come è nata la tua curiosità per il mondo dell’information security?

Herm1t: Il modo in cui ho preso confidenza con i computer è abbastanza tipico dei bambini degli anni ’80. Mio padre mi ha parlato dei personal computer quando avevo cinque anni, ed erano molto diversi dai mainframe degli anni ’70 che aveva incontrato all’università. La sola idea che un programma potesse essere modificato, testato più e più volte, mi stupiva profondamente. Accidenti ai bambini. Sono tutti uguali.

L’unico problema era che questo accadeva nell’Unione Sovietica, dove i computer erano quasi inaccessibili. Ho dovuto cercare l’accesso ovunque potessi, e solo anni dopo ho avuto il mio primo computer, un clone sovietico dell’Apple II, Agat. E quando l’Unione Sovietica crollò e i miei genitori avviarono un’attività in proprio, nel 1994 mi procurai un potente (per l’epoca) 486DX2. L’accesso a Internet era proibitivamente costoso, quindi il mezzo di comunicazione principale era la rete FIDO e BBS, che per anni ha plasmato il carattere della scena hacker post-sovietica, focalizzata offline su reverse engineering e protezione del software crackling (dopotutto, non c’era un modo legale per acquistarlo anche se si avevano i soldi), progettazione demo e così via.

Da qualche parte a metà degli anni ’90, stavo leggendo una rivista elettronica dedicata alla scena demo e nella sezione “Lettere dai lettori” ho trovato un riferimento a un gruppo di scrittori di virus chiamato SGWW. Ho scaricato immediatamente tutti i numeri di Infected Voice che sono riuscito a trovare e mi sono iscritto ai newsgroup sui virus su FIDO. La scena dei virus era aggressiva e si posizionava come una controcultura, più simile a punk che a studenti modello. Ho scritto alcuni virus per MS-DOS, sperimentando tecniche diverse una alla volta, ma non ho partecipato molto alle discussioni. Invece, ho continuato a collezionare campioni di virus, riviste e articoli.

RHC: Smelly (VX Underground) ti ha menzionato come il creatore di VX Heaven: ci puoi raccontare quale era l’idea alla base in anni in cui non c’era ancora Google? A tutti gli effetti sei un pioniere! (A proposito complimenti per il tuo lavoro!)

Herm1t: Verso la fine degli anni ’90, ho iniziato a lavorare come amministratore di sistema per un provider, che mi ha dato accesso illimitato a Internet. Fu allora che decisi di organizzare la mia collezione come un sito web, ed è così che è nato VX Heaven.

Non avevo alcun interesse nell’hackerare le reti: quando hai accesso a decine, poi centinaia e infine migliaia di dispositivi, non c’è bisogno di cercare altro. Ma, naturalmente, c’erano incidenti di sicurezza e dovevo capire come funzionavano le diverse vulnerabilità e come prevenirle. Tutte le macchine sul nodo eseguivano Linux e FreeBSD, quindi ho iniziato a scrivere virus per le nuove piattaforme, trovando nuovi metodi di infezione e occasionalmente pubblicando i miei risultati. Questo è andato avanti per anni fino alla fine del 2011, quando il controspionaggio informatico dell’Ukrainian Security Service (SBU) è venuto a farci visita.

Ho provato a convincerli che il mio sito era una biblioteca, non un covo di criminali informatici, e hanno finto di credermi, suggerendomi persino di aiutarli a investigare su alcuni casi relativi ai carder. Ho analizzato diversi campioni e, poiché avevo ottenuto versioni di debug dei bot, ho trovato rapidamente l’infrastruttura di comando delle botnet.

A quel tempo, le autorità ucraine avevano chiuso la risorsa pirata Infostore e, poiché era il picco di Anonymous, il pubblico rispose con massicci attacchi DDoS sui siti web governativi. Anch’io partecipai, usando i grandi canali del provider (secondo quegli standard) e il giorno dopo, ufficiali familiari portarono screenshot dei grafici di carico del sito governativo, chiedendo consigli su come trovare gli organizzatori dell’attacco. Scrollai le spalle e dissi che non potevo aiutare. Apparentemente, questo li irritò e alla fine aprirono un procedimento penale contro di me per “diffusione di software dannoso”. Dovetti rivolgermi al pubblico e diversi scienziati che lavoravano nel campo si schierarono per me, mentre la comunità degli hacker raccolse fondi in modo che potessi pagare i servizi legali. La pubblicità, la perseveranza dell’avvocato e l’intervento di aziende influenti portarono alla chiusura silenziosa del caso, che non andò mai in tribunale. Dal momento che mi avevano portato via il mio giocattolo preferito, decisi di dedicarmi a qualcos’altro, sperimentando diversi metodi di hacking sui siti web dei paesi del terzo mondo, come la Russia. Poi un collega mi ha mostrato un annuncio della più grande banca del paese che stava lanciando un programma bug bounty. Dopo aver esaminato l’infrastruttura pubblica della banca, ho trovato un IDOR, che consentiva di scaricare le ricevute delle transazioni tramite una semplice enumerazione. La banca ha pagato la ricompensa massima. “Probabilmente solo fortuna”, ho pensato, ho riprovato e ho trovato un XSS riflesso proprio sulla pagina di accesso del sistema di online banking, che poteva essere utilizzato per intercettare la password di un utente e bypassare l’autenticazione a due fattori. La banca ha pagato di nuovo la ricompensa massima. Non era più solo questione di fortuna.

RHC: Ci puoi raccontare qualcosa sul tuo momento di transizione da VX Haven (Virus eXchange) a difensore dello spazio digitale ucriano, quale partigiano del tuo paese?

Herm1t: Mi annoiavo nella mia città natale di Donetsk e risposi a un’offerta da un perfetto sconosciuto, un certo Tim Karpinsky, su LinkedIn, di entrare a far parte di una piccola startup di sicurezza a Kiev (meglio scrivere Kyiv, non Kiev, perché gli ucraini potrebbero offendersi molto). Trasferirmi a Kiev è stata una delle migliori decisioni che abbia mai preso perché un anno dopo è avvenuta la Rivoluzione della Dignità e la Russia ha iniziato l’invasione dell’Ucraina.

Dopo essermi trasferito a Kiev, ho rilanciato VX Heaven, solo per principio. Questa volta, era ospitato su server a prova di proiettile, anche se l’SBU non ha smesso di cercare di reclutare me e i miei colleghi. Ma abbiamo ascoltato educatamente le loro offerte e altrettanto educatamente abbiamo suggerito loro di andare avanti. Cosa che hanno fatto per un po’.

Non posso parlare molto del mio lavoro in quel periodo: parte di esso è coperto da accordi di non divulgazione e parte è avvenuta in circostanze che non sono ancora pronto a discutere.

La scena era cambiata radicalmente e LovinGod, il leader di lunga data di SGWW, che aveva dato il via al mio viaggio iniziale nella sicurezza informatica, aveva persino definito il mio progetto una “bara portatile per la scena dei virus”. Non sono offeso, forse lo è. Ma migliaia di persone nel corso dei decenni hanno trovato l’idea dei virus contagiosa e penso che sia fondamentale preservare i risultati del loro lavoro. Sono felice che VX Underground continui a fare lo stesso, mantenendo continuità e memoria. Il regime di Yanukovych, completamente corrotto e infinitamente triste, ha generato apatia e il desiderio di stare il più lontano possibile da ciò che passava per “politica” in questo paese. Tutto è cambiato dopo la rivoluzione e l’inizio della guerra. È iniziata la formazione di una nazione ucraina politica, insieme alla necessità di difendere il paese dai russi, anche nel cyberspazio. Nel 2014, Kostiantyn Korsun dell’Ukrainian Information Security Group organizzò un incontro e tutti si presentarono, hacker, intelligence, controspionaggio, il servizio di comunicazione governativo e CERT, per discutere di cosa potevamo fare insieme per proteggere il nostro Paese. Mi ero sempre interessato al lato offensivo delle operazioni informatiche, così iniziammo gli attacchi informatici di ritorsione: hackerammo la Duma di Stato della Federazione Russa, entrammo nei siti web del governo regionale, pubblicando messaggi provocatori e passammo le informazioni hackerate ai nostri servizi di intelligence. Questa volta, avevamo un obiettivo comune.

Dopo gli accordi di Minsk, la guerra si trascinò e gli investigatori OSINT e gli hacker si organizzarono in gruppi e iniziarono a collaborare. Gran parte delle informazioni furono pubblicate su InformNapalm. Nella primavera del 2016, abbiamo hackerato il sito web del governo di Orenburg e pubblicato un messaggio in cui si affermava che “alla luce dei tragici eventi nella Repubblica del Kazakistan”, nella regione era stato dichiarato lo stato di emergenza e il governatore stava convocando una riunione antiterrorismo. Poche settimane dopo, si verificarono attacchi terroristici ad Aktobe e il governatore Berg dovette davvero convocare la riunione che avevamo “pianificato” per lui. Per usare efficacemente i media e l’hacking per influenzare gli eventi, è necessaria una profonda comprensione del contesto. Dopo di che, Karpinsky e io fummo invitati a unirci all’Ukrainian Cyber ​​Alliance e, poiché nessun altro rivendicava quel ruolo, scelsi la posizione di portavoce. Iniziai con un’intervista importante in cui spiegavo chi siamo, quali obiettivi ci eravamo prefissati e come intendevamo raggiungerli. Inizialmente scherzavo sulla mia “posizione” nel gruppo, poiché assomigliava molto alle strutture pseudo-aziendali parodistiche dei primi gruppi di hacker. Ma presto iniziò il lavoro serio. Iniziai a incontrare regolarmente i giornalisti, filmando storie per servizi giornalistici e documentari. Diventammo parte della resistenza nazionale contro l’aggressore e acquisimmo la nostra identità informativa e politica.

Oltre alle elevate motivazioni patriottiche, c’è un altro aspetto in questo tipo di hacking: puoi hackerare qualsiasi cosa desideri, non solo senza pressioni da parte dei servizi segreti, ma con la loro piena approvazione. E lo abbiamo fatto. Abbiamo hackerato l’e-mail del consigliere di Putin Surkov e, poiché l’hacking è avvenuto durante le elezioni statunitensi, ha ricevuto la massima copertura internazionale. Molti hanno persino pensato che si trattasse di un’azione di ritorsione da parte dell’intelligence americana in risposta all’interferenza elettorale. Abbiamo scoperto i nomi dell’esercito di occupazione russo, composto al 90% da mercenari russi, reclutati, armati e inviati dalla Russia per combattere sotto ufficiali russi in Ucraina. I cosiddetti “separatisti del Donbass” erano solo una bugia per nascondere l’evidente verità.

Tutte le nostre attività non sono hacktivism nel senso comune del termine, perché gli hacktivisti in genere mirano ad attirare l’attenzione su questioni interne al proprio paese (anche se le azioni principali si svolgono all’estero, come nel caso di Anonymous e della Primavera araba). Il loro obiettivo è cambiare l’opinione pubblica e, possibilmente, fare pressione sul governo affinché provochi cambiamenti interni. Abbiamo a che fare con un nemico esterno che vuole letteralmente invadere il nostro paese e compiere un genocidio, attraverso esecuzioni extragiudiziali, torture e deportazioni forzate per schiacciare la volontà di libertà. Questo non è hacktivism, non è hacking patriottico; eravamo letteralmente partigiani della guerra informatica. Tuttavia, poiché guerra e politica sono indissolubilmente legate, una delle nostre azioni è diventata un classico esempio di hacktivism. L’abbiamo chiamata “Fuck Responsible Disclosure”

RHC: Il cyberspazio è cambiato molto dall’inizio: quali sono, secondo te, gli elementi positivi e negativi oggi? Soprattutto, i vecchi ideali e idee (come apertura, trasparenza e accesso universale) sono morti, “silenziosi” o “silenziati” in un mondo sempre più complesso da sistemare? Inoltre, puoi darci una tua visione sulla protezione dello spazio informativo?

Herm1t: Due domande che di solito interessano gli hacker continuavano a tormentarmi: la censura su Internet e quanto bene la nostra infrastruttura è protetta dagli hacker nemici. Nel 2017, dopo il devastante attacco NotPetya dalla Russia, la leadership ucraina ha iniziato a pensare alla sicurezza informatica, ma a modo suo. Innanzitutto, con la scusa di “proteggere lo spazio informativo”, il governo ha voluto introdurre una censura di Internet modellata su quella russa, con un elenco di siti Web vietati. Il disegno di legge 6688 è stato presentato al parlamento, ma dopo aver mobilitato la società per protestare, è stato ritirato. Tuttavia, i blocchi sono stati comunque introdotti in seguito, non per legge ma con un decreto presidenziale. Allo stesso tempo, è stata adottata la “Cybersecurity Strategy” e i funzionari con cui abbiamo parlato hanno iniziato a dire: “Guarda, tutto sta cambiando, ora che abbiamo la strategia, la sicurezza migliorerà”. Come tutti sanno, agli hacker non importa un cazzo dei tuoi budget, strategie, conformità e altre scartoffie. La nostra prima “vittima” è stata CERT, che ha “perso” la password della sua e-mail proprio sul suo sito Web in un backup di uno degli script. Dopo di che, gli obiettivi vulnerabili si sono riversati come una valanga: siti web ministeriali, forniture di acqua ed elettricità, agenzie statali e persino centrali nucleari. Ma non abbiamo mai sfruttato appieno gli hack per restare nei limiti della legge, limitandoci a evidenziare vulnerabilità e potenziali conseguenze.

Ogni nuovo “obiettivo” scatenava uno scandalo e i funzionari attraversavano tutte le fasi, dalla negazione all’accettazione. Come sempre e ovunque, dicevano: “Questi non sono i nostri sistemi, sono vecchi sistemi, ma presto ce ne saranno di nuovi. Sì, sono vulnerabili, ma non è trapelato nulla e non è successo nulla. Sì, sarebbe potuto succedere, ma stiamo già lavorando per risolvere il problema”. Quando i documenti dei candidati al servizio civile trapelarono, fu convocato il Consiglio per la sicurezza nazionale e il capo dell’agenzia fu licenziato. E naturalmente, umiliando pubblicamente funzionari di alto rango, ci siamo fatti molti nemici. Spesso, il proprietario di un sistema vulnerabile minacciava di sporgere denuncia alla polizia. Nel caso del governo di Kherson, Katya Handziuk (che in seguito fu brutalmente assassinata per la sua posizione civica) li convinse a non farlo. Energoatom cercò di sporgere denuncia all’SBU, ma poiché si trattava di una centrale nucleare, l’SBU li minacciò di nuovo con un’indagine penale per negligenza. Tragicamente, più o meno nello stesso periodo, un ingegnere della sicurezza nucleare della centrale nucleare di Zaporizhzhia si è suicidato. Abbiamo chiaramente infastidito qualcuno così tanto che nel 2018 la polizia informatica ha fatto irruzione in casa mia. Sono intervenuti i vertici politici e non sono mai state presentate accuse. Per evitare di dare una ragione alle forze dell’ordine, abbiamo dovuto chiudere il sito web VX Heaven.

Il mandato del presidente Poroshenko è terminato e Zelensky ha vinto le elezioni, causando una spaccatura nella Cyber ​​Alliance ucraina. I gruppi Falcons Flame e CyberHunta hanno annunciato che avrebbero cessato le operazioni e se ne sarebbero andati. Nel frattempo, le forze dell’ordine hanno fatto un altro tentativo di frenare gli attivisti ribelli.

Nell’autunno del 2019, uno sconosciuto burlone ha visualizzato il messaggio “Fuck you, Greta!” su uno schermo all’aeroporto di Odessa e l’SBU ha deciso che era opera nostra. Hanno intercettato i nostri telefoni e nel febbraio 2020 hanno condotto delle incursioni sui membri del gruppo. Indossavano così tante armature e trasportavano così tante armi che avrebbero potuto essere sufficienti per catturare terroristi altamente pericolosi. Invece di cercare umilmente protezione, abbiamo arruolato il supporto dei partiti di opposizione “Democratic Axe” e “European Solidarity”, tenendo prima la nostra conferenza stampa e poi un’altra proprio nella sede stampa parlamentare. Le proteste hanno avuto luogo proprio all’interno del tribunale. Non sono state presentate accuse, ma ci sono voluti anni perché gli avvocati ottenessero giustizia e solo poche settimane fa, un tribunale ha stabilito che non avevamo nulla a che fare con l’incidente all’aeroporto di Odessa.

Sebbene avessimo annunciato alla conferenza stampa che avremmo cessato la cooperazione con le autorità, la nostra comunicazione con alcune agenzie è continuata. Abbiamo mantenuto i contatti con l’intelligence, il Ministero della Difesa e il Servizio di comunicazioni speciali e protezione delle informazioni. Infatti, abbiamo persino firmato un accordo di cooperazione con quest’ultimo, poiché a quel tempo avevamo ufficialmente registrato la nostra organizzazione come ONG. Questa cooperazione includeva discussioni sulla sicurezza e sulle politiche per migliorare la sicurezza dei sistemi governativi. Tuttavia, nuove leggi, restrizioni normative, dispositivi di sicurezza miracolosi, multe, conferenze e tavole rotonde non aiutano realmente. Ciò che aiuta è essere preparati alla possibilità che il tuo sistema venga preso di mira e avere un piano per quando i computer si sono semplicemente spenti, in modo da poterli riaccendere.

Inoltre, l’Ucraina ha un panorama di minacce piuttosto specifico. Non c’è certamente carenza di criminalità informatica qui, ma la maggior parte degli hacker “russi” (tra virgolette perché molti di loro non sono effettivamente russi) seguono la regola di “non lavorare nella CSI” per evitare di scontrarsi con le forze dell’ordine locali. Sono spinti esclusivamente dal denaro e si tengono il più lontano possibile dalla politica perché danneggia gli affari. Nel frattempo, le agenzie di intelligence russe sono state estremamente attive dal 2014, non solo impegnandosi nello spionaggio ma anche cercando di causare il maggior danno possibile. L’inizio della guerra nel 2014 ha segnato una divisione all’interno della comunità blackhat post-sovietica, che continua ancora oggi. Tuttavia, l’avidità e le posizioni apolitiche rimangono invariate.

RHC: Puoi darci una tua visione di guerra ibrida e di come l’informatica giocherà un ruolo sempre più importante per i paesi in materia di difesa e offensiva?

Herm1t: Avete menzionato il termine “guerra ibrida”, che non mi piace tanto quanto il termine “hacktivisti”, perché semplicemente non riflette la realtà. Senza dubbio, la guerra che la Russia sta combattendo dal 2014 è molto lontana dalla teoria della guerra di Clausewitz, ma non c’è nulla di particolarmente nuovo nel combattere con mercenari o nell’eseguire sabotaggi (anche con il prefisso “cyber”). Questa guerra può essere “ibrida” per altri paesi, ma per l’Ucraina è solo una guerra.

E anche per la Russia, in generale, perché quando non sono riusciti a conquistare il paese con mezzi politico-militari, sono tornati alla forza bruta. Tuttavia, il ruolo della tecnologia continuerà solo a crescere. Basta guardare cosa sta succedendo in questo momento. Sempre più paesi stanno cercando di creare unità informatiche. Alcuni stanno lavorando su dottrine, strategie e tattiche, mentre altri, come Russia, Corea del Nord e Iran, stanno semplicemente sfruttando qualsiasi opportunità riescano a trovare. I loro attacchi sono opportunistici, spesso non coordinati con la leadership politica e negabili. Ma a volte hanno successo (almeno tecnicamente), anche se non riescono a raggiungere un obiettivo militare. Un buon esempio è l’attacco del 13-14 gennaio 2022, quando il GRU ha hackerato decine di istituzioni governative ucraine con l’obiettivo di intimidire l’élite politica e convincerla che la resistenza era inutile. Dopo quell’attacco, è diventato chiaro che il tempo stava per scadere. Poco prima dell’invasione, Tim e io stavamo preparando un hack che avrebbe potuto rappresentare l’apice della nostra carriera di hacker. Stavamo esaminando le proposte di modifica del codice penale ucraino in merito alla criminalità informatica. L’ironia della situazione non ci è sfuggita. “Chi l’avrebbe mai detto”, ha detto il mio collega, “che due hacker stavano modificando le modifiche alla legislazione nazionale!” “Aspetta e vedrai”, ho risposto, “e se quella legislazione diventasse russa?” La mattina del 24 febbraio, siamo stati svegliati da delle esplosioni. Dopo aver parlato con alcuni contatti militari e dell’intelligence, ci siamo trasferiti in una parte più sicura del paese: Leopoli.

Tutti i disaccordi precedenti sono stati immediatamente dimenticati. Persone che prima non volevano nemmeno parlare con noi hanno iniziato a offrire il loro aiuto. La polizia informatica ha restituito l’attrezzatura che aveva confiscato, un operatore di telefonia mobile ha aperto canali di comunicazione ad alta velocità illimitati e volontari hanno raccolto fondi e fornito l’attrezzatura necessaria. Come sempre in queste situazioni, non si raggiunge il livello delle proprie aspettative; si scende al livello del proprio addestramento.

RHC: UCA è riuscita a penetrare e wipare i server di Trigona Ransomware, potresti descriverci cosa avete trovato e come era organizzato questo gruppo ransomware? Come mai avete scelto di bersagliare questo gruppo specifico? Come si può quindi contrastare con successo un gruppo Ransomware?

Herm1t: I nostri primi hack non si sono discostati molto da ciò che ora consideriamo azioni “hacktiviste”: semplici deturpazioni e database trapelati. Ma non avevamo pianificato di fermarci e abbiamo agito metodicamente. Poi sono arrivati ​​gli exploit pubblici, la costruzione di infrastrutture, lo sviluppo dei nostri strumenti, la collaborazione con altri gruppi e l’esercito. L’esperienza arriva con il tempo. Ecco perché qualcosa come “Trigona” diventa un bersaglio incredibilmente facile. È stato un raid standard che utilizzava un exploit pubblico in Confluence.

Ma a differenza dei blackhat, che cercano immediatamente di monetizzare il loro bottino installando miner, ci siamo concentrati sull’estrazione di tutte le informazioni disponibili, sull’ottenimento di privilegi amministrativi, sull’espulsione di altri hacker e sull’istituzione della persistenza. Gli operatori di ransomware non avevano alcuna possibilità di trovare tutte le trappole che avevamo predisposto, proprio come i nostri altri obiettivi. Ad esempio, ci sono volute circa due ore a C.A.S. e a noi per distruggere l’infrastruttura di trasmissione pubblica nella Luhansk occupata (era la filiale di Luhansk, non VGTRK, ad essere stata hackerata da un altro gruppo). Un’ora per elevare i privilegi e trovare tutti i sottosistemi disponibili e un’altra ora per cancellare tutto. In questo momento, stiamo monitorando un gran numero di obiettivi contemporaneamente. Alcuni riescono a scappare, ma spesso riusciamo a recuperarli in seguito. In qualsiasi momento, abbiamo obiettivi da qualsiasi settore dell’economia o del governo russo. Se decidiamo che è il momento giusto, li distruggiamo. Quando un giornalista di RFERL mi ha chiesto di recente: “Chi sta vincendo la guerra informatica?“, ho risposto che non è una competizione. Ci scontriamo raramente con i nostri avversari, anche se a volte riusciamo a interrompere le loro operazioni. La portata dei nostri obiettivi continuerà a crescere, non tanto per le capacità tecniche, quanto per cose “noiose” come la struttura organizzativa, il reclutamento, la formazione, la condivisione di informazioni e così via.

RHC:Come hai scelto il tuo soprannome? E il motto di VX-Heaven “Virus don’t harm, Ignorance does” presente nella homepage?

Herm1t: I soprannomi “herm1t” e “Sean Townsend” sono stati scelti quasi a caso. Ho usato il primo su BBS a metà degli anni ’90 e quando ho iniziato a creare account utente al lavoro, l’amministratore senior ha usato lo stesso nome. Non ho avuto tempo di inventarmi qualcos’altro. Per quanto riguarda il secondo, avevo rubato documenti con quel nome per superare la verifica sui social media. Non è un nome raro, quindi non ho avuto la sensazione di causare alcun danno alla persona reale usandolo come nome di battaglia.

Il motto di VX Heaven afferma semplicemente che qualsiasi conoscenza tecnica è moralmente neutrale. Le stesse tecniche possono essere utilizzate dagli hacker che usano ransomware per trarne profitto, dai russi per la loro guerra di aggressione e da noi per causare loro danni tali da impedire loro di attaccare di nuovo chiunque.

RHC: Herm1t, grazie mille per il tuo tempo! Apprezziamo molto il suo contributo alla comunità. Ti auguriamo il meglio per te, il tuo gruppo e la pace per il tuo paese. Le tue parole sono preziose per gli hacker attuali e futuri.

L'articolo RHC Intervista a Herm1t! Come un Hacker ha Combattuto per la Libertà dell’Ucraina proviene da il blog della sicurezza informatica.

The discrete 14-bit DAC under test. (Credit: Sine Lab, YouTube)
How easy is it to build your own Digital to Analog Converter (DAC)? Although you can readily purchase a wide variety of DACs these days, building your own can be very instructive, as the [Sine Lab] on YouTube explores in a recent video with the construction of a discrete 14-bit DAC. First there are the different architectures you can pick for a DAC, which range from R-2R (resistor ladder) to delta-sigma versions, each having its own level of complexity and providing different response times, accuracy and other characteristics.

The architecture that the [Sine Lab] picked was a String DAC with interpolator. The String type DAC has the advantage of having inherently monotonic output voltage and better switching-induced glitch performance than the R-2R DAC. At its core it still uses resistors and switches (transistors), with the latter summing up the input digital value. This makes adding more bits to the DAC as easy as adding more of these same resistors and switches, the only question is how many. In the case of a String DAC that’d be 2^N, which implies that you want to use multiple strings, as in the above graphic.

Scaling this up to 16-bit would thus entail 65,536 resistors/switches in the naive approach, or with 2 8-bit strings 513 switches, 512 resistors and 2 buffers. In the actual design in the video both MOSFETs and 74HCT4051 multiplexers were used, which also necessitated creating two buses per string to help with the input decoding. This is the part where things get serious in the video, but the reasoning for each change and addition is explained clearly as the full 6-bit DAC with interpolator is being designed and built.

One big issue with discrete DACs comes when you have to find matching MOSFETs and similar, which is where LSI DACs are generally significantly more precise. Even so, this discrete design came pretty close to a commercial offering, which is pretty impressive.

youtube.com/embed/rAyMr0CWQ3U?…

hackaday.com/2024/11/03/buildi…

We love seeing the incredible work many RF enthusiasts manage to pull off — they make it look so easy! Though RF can be tricky, it’s not quite the voodoo black art that it’s often made out to be. Many radio protocols are relatively simple and with tools like gnuradio and PocketSDR you can quickly put together a small system to receive and decode just about anything.

[Jean-Michel] wanted to learn more about GNSS and USB communication. Whenever you start a project like this, it’s a good idea to take a look around at existing projects for designs or code you can reuse, and in this case, the main RF front-end board is taken from the PocketSDR project. This is then paired with a Cypress FX2 development board, and he re-wrote almost all of the PocketSDR code so that it would compile using sdcc instead of the proprietary Keil compiler. Testing involved slowly porting the code while learning about using Python 3 to receive data over USB, and using other equipment to simulate antenna diversity (using multiple antennas to increase the signal-to-noise ratio):
Testing antenna diversity
The main board uses two MAX2771 GNSS front-ends, which filter and convert the received signals to either a digital output or optionally as I and Q outputs for conversion with discrete ADCs. This data is then read by the 8051 core on the FX2, and the data is sent over USB to maintain a fast and reliable stream. On the PC side, this can be decoded using the original PocketSDR software, or one can build a decoder using gnuradio.

The result is a working GNSS decoder. If you would like to see more detail about the project, [Jean-Michel] put together a YouTube video talking about his work in cloning and porting the code, which you can see below:

youtube.com/embed/B5UcFnkbXIk?…

hackaday.com/2024/11/03/gnss-r…

“It was the best of times, it was the blurst of times?” Perhaps not anymore, if this Ig Nobel-worthy analysis of the infinite monkey theorem is to be believed. For the uninitiated, the idea is that if you had an infinite number of monkeys randomly typing on an infinite number of keyboards, eventually the complete works of Shakespeare or some other famous writer would appear. It’s always been meant to be taken figuratively as a demonstration of the power of time and randomness, but some people just can’t leave well enough alone. The research, which we hope was undertaken with tongue firmly planted in cheek, reveals that it would take longer than the amount of time left before the heat death of the universe for either a single monkey or even all 200,000 chimpanzees in the world today to type the 884,647 words of Shakespeare’s complete works in the proper order.

We feel like they missed the point completely, since this is supposed to be about an infinite number of monkeys. But if they insist on sticking with real-world force monkey labor, what would really be interesting is an economic analysis of project. How much space would 200,000 chimps need? What would the energy requirements be in terms of food in and waste out? What about electricity so the monkeys can see what they’re doing? If we’re using typewriters, how much paper do we need, and how much land will be deforested for it? Seems like you’ll need replacement chimps as they age out, so how do you make sure the chimps “mix and mingle,” so to speak? And how do you account for maternity and presumably paternity leave? Also, who’s checking the output? Seems like we’d have to employ humans to do this, so what are the economic factors associated with that? Inquiring minds want to know.

Speaking of ridiculous calculations, when your company racks up a fine that only makes sense in exponential notation, you know we’ve reached new levels of stupidity. But here we are, as a Russian court has imposed a two-undecillion rouble fine on Google for blocking access to Russian state media channels. That’s 2×10³⁶ roubles, or about 2×10³³ US dollars at current exchange rates. If you’re British and think a billion is a million million, then undecillion means something different entirely, but we don’t have the energy to work that out right now. Regardless, it’s a lot, and given that the total GPD of the entire planet was estimated to be about 100×10¹² dollars in 2022, Google better get busy raising the money. We’d prefer they don’t do it the totally-not-evil way they usually do, so it might be best to seek alternate methods. Maybe a bake sale?

A couple of weeks back we sang the praises of SpaceX after they managed to absolutely nail the landing of the Starship Heavy booster after its fifth test flight by managing to pluck it from the air while it floated back to the launch pad. But the amazing engineering success was very close to disaster according to Elon Musk himself, who discussed the details online. Apparently SpaceX engineers shared with him that they were scared about the “spin gas abort” configuration on Heavy prior to launch, and that they were one second away from aborting the “chopsticks” landing in favor of crashing the booster into the ground in front of the launch pad. They also expressed fears about spot welds on a chine on the booster, which actually did rip off during descent and could have fouled on the tower during the catch. But success is a hell of a deodorant, as they say, and it’s hard to argue with how good the landing looked despite the risks.

We saw a couple of interesting stories on humanoid robots this week, including one about a robot with a “human-like gait.” The bot is from China’s EnginAI Robotics and while its gait looks pretty good, there’s still a significant uncanny valley thing going on there, at least for us. And really, what’s the point? Especially when you look at something like this new Atlas demo, which really leans into its inhuman gait to get work done efficiently. You be the judge.

youtube.com/embed/F_7IPm7f1vI?…

And finally, we’ve always been amazed by Liberty ships, the class of rapidly produced cargo ships produced by the United States to support the British war effort during WWII. Simple in design though they were, the fact that US shipbuilders were able to ramp up production of these vessels to the point where they were building a ship every eight hours has always been fascinating to us. But it’s often true that speed kills, and this video shows the fatal flaw in Liberty ship design that led to the loss of some of the early ships in the class. The short video details the all-welded construction of the ships, a significant advancement at the time but which wasn’t the cause of the hull cracks that led to the loss of some ships. We won’t spoil the story, though. Enjoy.

hackaday.com/2024/11/03/hackad…

Artificial intelligence has always been around us, with [Timothy J. O’Malley]’s 1985 book on AI projects for the Commodore 64 being one example of this. With AI defined as being the theory and development of systems that can perform tasks that normally requiring human intelligence (e.g. visual perception, speech recognition, decision-making), this book is a good introduction to the many ways that computer systems for decades now have been able to learn, make decisions and in general become more human-like. Even if there’s no electronic personality behind the actions.

In the book’s first chapter, [Timothy] isn’t afraid to toss in some opinions about the true nature of intelligence and thinking. Starting with the concept that intelligence is based around storing information and being able to derive meaning from connections between stored pieces of information, the idea of a basic AI as one would use in a game for the computer opponent arises. A number of ways of implementing such an AI is explored in the first and subsequent chapters, using Towers of Hanoi, chess, Nim and other games.

After this we look at natural language processing – referencing ELIZA as an example – followed by heuristics, pattern recognition and AI for robotics. Although much of this may seem outdated in this modern age of LLMs and neural networks, it’s important to realize that much of what we consider ‘bleeding edge’ today has its roots in AI research performed in the 1950s and 1960s. As [Timothy] rightfully states in the final chapter, there is no real limit to how far you can push this type of AI as long as you have more hardware and storage to throw at the problem. This is where we now got datacenters full of GPU-equipped systems churning through vector space calculations for the sake of today’s LLM & diffusion model take on ‘AI’.

Using a Commodore 64 to demonstrate the (lack of) validity of claims is not a new one, with recently a group of researchers using one of these breadbin marvels to run an Ising model with a tensor network and outperforming IBM’s quantum processor. As they say, just because it’s new and shiny doesn’t necessarily mean that it is actually better.

hackaday.com/2024/11/03/all-yo…

LastPass ha avvertito di una campagna fraudolenta rivolta agli utenti dei gestori di password. Gli aggressori lasciano online false recensioni positive, in cui indicano un numero falso del servizio di supporto con cui avrebbero parlato. Le persone che chiamano questo numero vengono convinte a fornire l’accesso remoto ai propri computer.

Gli sviluppatori riferiscono che tra le recensioni dell’estensione LastPass per Chrome, hanno iniziato a imbattersi in messaggi degli aggressori. In tali recensioni, i truffatori attribuiscono all’estensione cinque stelle e lodano il supporto tecnico, indicando un numero di telefono falso (805-206-2892) a cui avrebbero chiamato.

In realtà, questo numero non ha nulla a che fare con il produttore.

Se chiami questo numero, il truffatore che risponde al telefono si presenterà come un dipendente dell’assistenza LastPass e chiederà all’utente di visitare il sito web dghelp[.]top, dove dovrà inserire un codice per scaricare un software speciale. Il sito scarica ConnectWise ScreenConnect, che fornisce agli aggressori l’accesso remoto completo al sistema della vittima.

“Le persone che chiamano il numero di supporto falso vengono accolte da una persona che chiede con quale prodotto hanno problemi e pone anche una serie di domande di follow-up sul fatto che l’utente stia tentando di accedere a LastPass tramite un computer o dispositivo mobile, quale sistema operativo stanno utilizzando, ecc. ulteriormente”, spiegano i rappresentanti di LastPass. “La persona viene quindi reindirizzata al sito web dghelp[.]top mentre l’aggressore rimane in linea e convince la potenziale vittima a connettersi al sito e rivelare i propri dettagli.”

Mentre uno dei truffatori continua a bombardare il chiamante di domande, tenendolo in linea e distraendolo, un altro utente malintenzionato utilizza ScreenConnect in background e installa altri software sul sistema della vittima per accedere da remoto e rubare dati.

Come notato da Bleeping Computer, il client ScreenConnect stabilisce una connessione con i server degli attaccanti agli indirizzi molatorimax[.]icu e n9back366[.]stream. Entrambi questi siti erano precedentemente associati a un indirizzo IP ucraino, ma poi erano nascosti dietro Cloudflare.

La pubblicazione avverte che il numero 805-206-2892 è associato ad una campagna dannosa su larga scala. Questo telefono è anche mascherato da numero del servizio clienti per una varietà di altre società, tra cui Amazon, Adobe, Hulu, YouTube TV, Peakcock TV, Verizon, Netflix, Roku, PayPal, Squarespace, Grammarly, iCloud, Ticketmaster e Capital One.

Inoltre, questi numeri di telefono falsi possono essere pubblicati non solo nelle recensioni delle estensioni del browser, ma anche sui siti dove chiunque può creare i propri contenuti: ad esempio sui forum aziendali o su Reddit.

Alcuni di questi messaggi vengono cancellati quasi immediatamente, ma altri sono ancora disponibili e quasi ogni giorno ne compaiono di nuovi.

L'articolo Truffa LastPass: ecco come finti numeri di assistenza vi rubano i dati proviene da il blog della sicurezza informatica.

Most professionals would put a polygon on the end of a turned part using a milling machine. But many a hobbyist doesn’t have a mill. And if the polygon needs to be accurately centered, remounting the stock costs accuracy.

[Mehamozg] demonstrates you can turn a polygon on a lathe.

Polygons on shaft ends are surprisingly common, whether you are replacing a lost chuck key, need an angular index, or need a dismountable drive. As the video shows, you can definitely make them on the lathe.

But how the heck does this work? It seems like magic.

Lets start by imagining we disengage and lock the rotating cutter in [Mehamozg]’s setup and run the lathe. If the tool is pointed directly at the center we are just turning normally. If we angle the tool either side of center we still get a cylinder, but the radius increases by the sin of the angle.

Now, if we take a piece of stock with a flat on it and plot radius versus angle we get a flat line with a sin curve dip in it. So if we use [Mehamozg]s setup and run the cutter and chuck at the same speed, the cutter angle and the stock angle increase at the same time, and we end up with a flat on the part. If the cutter is rotating an even multiple of the chuck speed, we get a polygon.

The rub in all this is the cutter angle.. At first we were convinced it was varying enormously. But the surface at the contact point is not perpendicular to the radius from center to contact. So it cancels out, we think. But our brains are a bit fried by this one. Opinions in the comments welcomed.

We like this hack. It’s for a commonly needed operation, and versatile enough to be worth fiddling with the inevitable pain of doing it the first time. For a much more specialized machining hack, check out this tool that works much the same in the other axis.

hackaday.com/2024/11/03/polygo…

Since their invention more than a century ago, crystal oscillators have been foundational to electronic design. They allow for precise timekeeping for the clocks in computers as well as on our wrists, and can do it extremely accurately and inexpensively to boot. They aren’t without their downsides though; a quartz watch might lose or gain a few seconds a month due to variations in temperature and other non-ideal environmental situations, but for working in the world of high-frequency circuits this error is unacceptable. For that you might reach for something like an oven oscillator, a circuit with a temperature controlled chamber able to keep incredibly precise time.

[IMSAI Guy] found this 10 MHz oven oscillator on a site selling bulk electronics at bargain basement prices. But as is unsurprising for anyone who’s used a site like this to get cheap circuits, it didn’t quite hit its advertised frequency of 10.000000 MHz. The circuit design is capable of this amount of accuracy and precision, though, thanks to some cleverly-designed voltage dividers and filtering. One of those voltage dividers allows a potentiometer to control a very narrow range of output frequencies, and from the factory it was outputting between 9.999981 and 9.9999996 MHz. To get it to actually output a 10 MHz wave with eight significant digits of accuracy, a pull-up resistor on the voltage divider needed to be swapped out.

While this was a fairly simple fix, one might wonder how an off-the-shelf component like this would miss the mark in such an obvious way but still go into production. But that’s one of life’s great mysteries and also the fun of sourcing components like this. In this case, the oven oscillator was less than $10. But these circuits aren’t always as good of a deal as they seem.

youtube.com/embed/owS_Fgyy8Do?…

hackaday.com/2024/11/03/oscill…

Recentemente, un attore di minacce cibernetiche, conosciuto come EagleStrike, ha pubblicato un annuncio su un forum nel dark web, dichiarando di essere in possesso di dati riservati riguardanti l’Aeronautica Israeliana (IAF). Secondo il post, questa raccolta di informazioni comprende dettagli critici sia per i piloti attivi che per quelli inattivi, oltre che per vari dipendenti dell’aeronautica.

Al momento, non possiamo confermare la veridicità della notizia, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo deve essere considerato come ‘fonte di intelligence’.

Dettagli del leak

L’attore di minaccia afferma che i dati raccolti contengono una varietà di informazioni personali e professionali, tra cui:

• Gradi dei piloti e dei membri del personale
• Posizioni occupate all’interno delle varie basi
• Record di servizio, compreso il percorso professionale e le missioni svolte
• Qualifiche e formazione ottenute durante la carriera.

Questa informazione dettagliata potrebbe rappresentare un rischio significativo per la sicurezza del personale coinvolto e per l’integrità operativa dell’aeronautica.

Attualmente, non siamo in grado di confermare con precisione l’accuratezza delle informazioni riportate, poiché non è stato rilasciato alcun comunicato stampa ufficiale sul sito web riguardante l’incidente.

Basi Militari Coinvolte

Il presunto leak riguarderebbe dati provenienti da diverse basi aeree israeliane, tra cui:

• Haifa Airbase
• Hatzor Airbase (wing4)
• Ovda Airbase
• Nevatim Airbase
• Ramat David Airbase
• Ramón Airbase
• Tel Nof Airbase
• Sdot Micha Airbase
• Unità Speciali dell’Aeronautica

La menzione delle basi sopra indicate suggerisce che i dati possano includere dettagli operativi significativi, dato che molte di queste basi ospitano personale specializzato e risorse militari avanzate.

Implicazioni e Considerazioni di Sicurezza

La vendita di tali informazioni può rappresentare una minaccia non solo per l’Aeronautica Israeliana ma anche per la sicurezza nazionale di Israele. Qualora i dati fossero effettivamente autentici, potrebbero essere utilizzati per operazioni di spionaggio, sorveglianza mirata o persino per coordinare attacchi informatici. Le informazioni sui gradi, le posizioni e i dettagli di addestramento possono fornire agli avversari un quadro completo delle capacità e della struttura dell’IAF.

Contesto del Venditore e Motivi

L’attore di minacce, sotto il nome di HunterKiller Teams, ha accompagnato il post con slogan a favore della causa palestinese, suggerendo un possibile movente ideologico dietro questa presunta vendita di dati. Tuttavia, in contesti di cybercrime, moventi politici e interessi economici spesso si intrecciano, rendendo difficile determinare se lo scopo primario sia la diffusione ideologica o il profitto economico.

Conclusione

Questa situazione mette in evidenza la crescente vulnerabilità delle infrastrutture militari e delle informazioni riservate in un’era di minacce cibernetiche avanzate. La presunta vendita dei dati dell’Aeronautica Israeliana è un altro esempio dell’importanza della cybersecurity per proteggere le informazioni sensibili delle forze armate e delle istituzioni statali.

Israele e altre nazioni devono considerare misure rafforzate di protezione e controllo delle informazioni per contrastare tali minacce, che continuano a evolversi e a diventare sempre più sofisticate.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo Vendita di dati dell’Aeronautica Israeliana: un presunto leak mette a rischio informazioni sensibili proviene da il blog della sicurezza informatica.

Una Remote Code Execution (RCE) in Microsoft SharePoint, segnalata di recente e identificata come CVE-2024-38094, è stata sfruttata per ottenere l’accesso iniziale alle reti aziendali.

Il CVE-2024-38094 è una falla RCE di gravità elevata (punteggio CVSS v3.1: 7,2) che colpisce Microsoft SharePoint. Si tratta di una piattaforma basata sul Web ampiamente utilizzata che funge da strumento di collaborazione, gestione dei documenti e intranet e che può integrarsi perfettamente con le app di Microsoft 365.

Microsoft ha risolto la vulnerabilità il 9 luglio 2024, come parte del pacchetto Patch Tuesday di luglio. La scorsa settimana, il CISA ha aggiunto il CVE-2024-38094 al catalogo delle vulnerabilità note sfruttate, ma non ha condiviso il modo con cui la falla è stata sfruttata negli attacchi attivi.

Intanto un nuovo rapporto di Rapid7 di questa settimana ha fatto luce sul modo in cui gli aggressori sfruttano la falla di SharePoint, affermando che è stata utilizzata in una violazione di rete su cui erano stati incaricati di indagare.

“La nostra indagine ha scoperto un aggressore che ha avuto accesso a un server senza autorizzazione e si è spostato lateralmente attraverso la rete, compromettendo l’intero dominio“, si legge nel rapporto correlato. “L’aggressore è rimasto inosservato per due settimane. Rapid7 ha determinato che il vettore di accesso iniziale era lo sfruttamento di una vulnerabilità, CVE 2024-38094, all’interno del server SharePoint on-premise.”

Rapid7 segnala che gli aggressori hanno utilizzato il CVE-2024-38094 per ottenere accesso non autorizzato a un server SharePoint vulnerabile e impiantare una webshell.

L’indagine ha mostrato che il server è stato sfruttato utilizzando un exploit proof-of-concept realizzato per SharePoint divulgato pubblicamente .

Sfruttando l’accesso iniziale, l’aggressore ha compromesso un account di servizio Microsoft Exchange con privilegi di amministratore di dominio, ottenendo un accesso elevato.
schema di attacco (Fonte rapid7)
Nello specifico, l’aggressore ha utilizzato uno script batch (‘hrword install.bat‘) per installare Huorong Antivirus sul sistema, configurare un servizio personali.zzato (‘sysdiag’), eseguire un driver (‘sysdiag_win10.sys’) ed eseguire ‘HRSword.exe’ utilizzando uno script VBS.

Allontanandosi dall’evento specifico per osservare l’attività circostante, i ricercatori hanno ottenuto un quadro chiaro dell’obiettivo prefissato dall’attaccante. Poco prima di installare Horoung AV, l’attaccante ha utilizzato Python per installare Impacket da GitHub e poi ha tentato di eseguirlo. Impacket è una raccolta di script Python open source per interagire con protocolli di rete, in genere utilizzati per facilitare il movimento laterale e altri obiettivi post-sfruttamento. Gli strumenti di sicurezza del sistema hanno bloccato l’esecuzione di Impacket, che ha portato al download tramite browser e all’installazione di questo prodotto AV per aggirare le difese.

Come in molte indagini di risposta agli incidenti, gli indizi identificati non sono sempre cronologici, quindi è necessario costruire una cronologia per comprendere la narrazione.

Dobbiamo cercare di scoprire in che modo l’aggressore ha compromesso il sistema o ha avuto accesso all’ambiente in primo luogo. In questa specifica indagine, l’aggressore ha avuto un tempo di permanenza di due settimane.

L'articolo Una RCE su Microsoft SharePoint consente agli Aggressori di Violare le Reti proviene da il blog della sicurezza informatica.

A Montreal, in Canada, i Carabinieri hanno partecipato alla cerimonia di inaugurazione del neo istituito NATO Climate Change and Security Centre of Excellence (CCAS CoE), il Centro di eccellenza alleato dedicato al tema dell’impatto dei cambiamenti climatici sulla sicurezza e sullo strumento militare.

Quello canadese è uno dei 30 Centri di eccellenza della #NATO e l’ #ArmadeiCarabinieri ne è parte attiva con un ufficiale appositamente distaccato.

La cerimonia di inaugurazione si è tenuta in occasione della riunione del primo Consiglio Direttivo (Steering Committee), tavolo dove il Comando Generale dei carabinieri è delegato a rappresentare la Difesa italiana, poiché l’Italia è una delle 12 Nazioni sponsor del Centro, a cui ha aderito fin dalla sua attivazione, assieme a Canada, Danimarca, Francia, Germania, Grecia, Lettonia, Lussemburgo, Norvegia, Romania, Turchia e Regno Unito.

L’apertura del NATO CCAS CoE si è svolta in occasione un altro evento, il Montreal Climate Security Summit, conferenza internazionale dedicata al rapporto tra clima e sicurezza, che ha visto l’Arma protagonista con la partecipazione, del Comandante del Raggruppamento Carabinieri per la Biodiversità, relatore nell'ambito del panel sul “Clima e la Human Security – Rapporto tra rischi e priorità d’azione”.
(Nell'immagine di apertura: Il Comandante del Raggruppamento Carabinieri Biodiversità, Generale di Brigata Raffaele Pio Manicone)

Il summit ha riunito numerosi partecipanti, una folta schiera di relatori provenienti da Paesi alleati, Nazioni partner e non solo (tra cui Kuwait e Australia), nonché rappresentanti del quartier generale della #NATO, dell’Unione Europea e delle Nazioni Unite.

Questo prestigioso palcoscenico è stata una importante occasione per valorizzare la specificità dell’Arma nel settore dell’ambiente e fornire il peculiare contributo istituzionale sul delicato settore dove l’Italia può vantare un comparto dedicato: l’organizzazione per la tutela forestale, ambientale e agroalimentare, e un centro di eccellenza nazionale ad hoc, il Centro di eccellenza per la Protezione Ambientale di Sabaudia (Roma).

Il cambiamento climatico e la sicurezza

Il cambiamento climatico avrà gravi ripercussioni sulla sicurezza degli alleati e sulla difesa collettiva.

Agisce come un moltiplicatore di minacce aumentando l’instabilità, la competizione geostrategica, l’insicurezza e i conflitti. La resilienza e l’efficienza delle nostre infrastrutture e attrezzature militari e il modo in cui conduciamo le operazioni saranno influenzati dai cambiamenti climatici che includono temperature estreme, cambiamenti nell’acidità dell’acqua, nella densità dell’aria e nella Circolazione Meridionale Atlantica, nello scioglimento del permafrost, nel mare aumento del livello, cambiamenti nei modelli di precipitazione ed eventi meteorologici estremi. Inoltre, la siccità, le inondazioni, l’erosione del suolo e la perdita di biodiversità hanno già un impatto grave sulle popolazioni di alcune regioni del mondo, in particolare nel sud del mondo, e causano carestie e perdita di terra e mezzi di sussistenza e intensificano la migrazione forzata.

Questa insicurezza può anche aumentare l’instabilità sociale e politica e creare un terreno fertile per il terrorismo.

#CCASCOE

@Politica interna, europea e internazionale

When we think of an m.2 slot in our laptop or similar, it’s usually in the context of its PCI connectivity for high-speed applications such as solid state disks. It’s a connector that offers much more than that interface though, making it suitable for some unexpected add-ons. As an example [MagicWolfi] has produced an m.2 card which contains the equivalent of a Raspberry Pi Pico.

The board itself has the familiar m.2 edge connector at the bottom, and the RP2040 GPIO lines as postage-stamp indentations round the edges. On the m.2 front is uses the USB interface as well as a UART and the I²C lines, as well as some of the interfaces we’re less familiar with such as ALERT, WAKE, DISABLE1/2, LED 1/2, and VENDOR_DEFINED.

On one level this provides a handy internal microcontroller card with which you can do all the things you’d expect from a Pi Pico, but on another it provides the fascinating possibility of the Pico performing a watchdog or other function for the host device. We would be genuinely interested to hear more about the use of the m.2 slot in this way.

If you’d like to know more about m.2, we’ve taken a look at it in more depth.

hackaday.com/2024/11/03/m-2-ma…

È stata scoperta una vulnerabilità nel browser Opera che consentiva alle estensioni dannose di ottenere un accesso non autorizzato alle API private. La vulnerabilità, chiamata CrossBarking, potrebbe consentire agli aggressori di acquisire screenshot, modificare le impostazioni del browser e assumere il controllo degli account utente, ha riferito Guardio Labs.

Guardio Labs ha dimostrato il problema pubblicando un’estensione apparentemente innocua sul Chrome Web Store. Una volta installata nel browser Opera, questa estensione ha sfruttato la vulnerabilità, trasformando l’attacco in un attacco cross-browser. Questo caso evidenzia il conflitto tra comodità e sicurezza e mostra anche come le minacce moderne possano utilizzare metodi nascosti, ha affermato Nati Tal, capo di Guardio Labs.

La vulnerabilità è stata risolta da Opera il 24 settembre 2024 dopo che gli sviluppatori sono stati informati della minaccia. Tuttavia, questa non è la prima volta che vengono scoperte vulnerabilità in questo browser. Così, all’inizio dell’anno, è stato individuato un altro problema legato alla funzione My Flow, che permetteva di eseguire file sul sistema operativo.

Il metodo di attacco principale si basa sul fatto che alcuni sottodomini di Opera hanno accesso privilegiato alle API private integrate nel browser. Questi sottodomini, come Opera Wallet e Pinboard, vengono utilizzati anche per lo sviluppo interno. Guardio Labs ha scoperto che gli script di contenuto nelle estensioni del browser possono iniettare JavaScript dannoso in sottodomini con autorizzazioni eccessive e quindi ottenere l’accesso alle API.

Questo accesso consente agli aggressori di acquisire screenshot, estrarre cookie di sessione per assumere il controllo degli account e persino modificare le impostazioni DNS del browser, reindirizzando gli utenti a server DNS controllati. Ciò apre la porta ad attacchi man-in-the-middle, in cui le vittime possono essere reindirizzate a siti bancari e social media falsi.

L’estensione può essere caricata in una qualsiasi delle directory dei componenti aggiuntivi, incluso il Chrome Web Store, e, con l’autorizzazione per eseguire JavaScript, lanciare un attacco su determinati domini con accesso all’API. Guardio Labs sottolinea l’importanza della cautela durante l’installazione delle estensioni, soprattutto perché gli store ufficiali spesso diventano una piattaforma per malware.

Guardio Labs ha inoltre osservato che la potenza delle estensioni del browser può essere pericolosa e che sono necessari controlli più severi per proteggere gli utenti. Per fare ciò, si propone non solo di rafforzare il processo di verifica, ma anche di richiedere una reale identificazione degli sviluppatori per impedire la registrazione di account utilizzando e-mail gratuite e carte prepagate.

L'articolo CrossBarking: Come trasformare Opera Browser in una Spia perfetta! proviene da il blog della sicurezza informatica.

DIY gaming handhelds have long been the purview of the advanced hacker, with custom enclosures and fiddly soldering making it a project not for the feint of heart. [Beth Le] now brings us a custom handheld for the beginner that can be assembled in 15 minutes and doesn’t require any soldering.

These claims might seem suspicious at first, but the fact that the build is powered by a Framework mainboard makes the dream seem attainable. Using an 8″ touchscreen and a rehoused mobile device controller, the 3D printed enclosure turns the PCB and battery into an interesting alternative to a Steam Deck.

[Beth] recommends waiting for the forthcoming revision 2 to make your own as she is working on refining the model. She also suggests printing in PC or PETG since PLA is too brittle and ABS warping can be an issue for tolerances with the pogo pins. In any case, this is definitely a project to keep your eye on if you enjoy gaming on the go.

As you know, we love Framework around here and the Cambrian Explosion of high-powered custom builds it’s enabled. This isn’t the first time we’ve seen a Framework-Powered handheld either. If you’re looking for a different form factor, we’ve also seen portable all-in-ones, keyboard PCs, and slabtops too.

hackaday.com/2024/11/03/beth-d…

La popolare libreria JavaScript e pacchetto npm Lottie Player è stata oggetto di un attacco alla catena di fornitura: gli aggressori hanno rilasciato tre nuove versioni del componente in poche ore. Di conseguenza, gli utenti che scaricano la libreria potrebbero correre un serio pericolo, poiché le nuove versioni contenevano codice dannoso destinato ai portafogli di criptovaluta. A seguito dell’attacco di phishing, almeno un utente ha perso circa 10 BTC (circa 723.000 dollari).

Nuove versioni del pacchetto chiamato @lottiefiles/lottie-player (2.0.5, 2.0.6 e 2.0.7) sono state pubblicate su npmjs.com, il più grande registro JavaScript. Prima di questo, il pacchetto era rimasto invariato da marzo 2024, quando è stata rilasciata la versione stabile 2.0.4. Tuttavia, le versioni aggiornate hanno portato inaspettatamente codice dannoso che spingeva gli utenti a connettere i propri portafogli di criptovaluta, come MetaMask, Exodus e Coinbase, tramite pop-up. Le versioni legittime del pacchetto non contenevano tali funzioni, il che consentiva di identificare rapidamente modifiche dannose.

Una minaccia particolare è rappresentata dalla distribuzione automatica di codice dannoso attraverso le reti di distribuzione dei contenuti (CDN). Gli utenti che accedevano ai siti Web utilizzando Lottie Player si sono trovati di fronte a improvvisi pop-up che chiedevano loro di connettere i portafogli di criptovaluta al sito. Queste finestre assomigliavano alle interfacce ufficiali dei popolari servizi di crittografia, ma erano configurate in modo tale da impossessarsi delle risorse finanziarie degli utenti. Gli aggiornamenti dannosi includevano interfacce false basate sugli SDK ufficiali del portafoglio crittografico, che creavano un’ulteriore illusione di sicurezza.

L’attacco è stato reso possibile grazie alla compromissione del token di accesso di uno degli sviluppatori, che disponeva dei diritti necessari per pubblicare nuove versioni. LottieFiles ha prontamente rimosso le versioni infette 2.0.5–2.0.7 e rilasciato un aggiornamento sicuro 2.0.8, che replica esattamente la funzionalità della versione stabile 2.0.4. Per quegli utenti che non possono aggiornare immediatamente, si consiglia di tornare temporaneamente alla versione stabile precedente e anche di avvisare gli utenti finali sui rischi derivanti dalla connessione dei portafogli crittografici a risorse esterne.

Danni finanziari su larga scala dovuti ad un attacco di questo tipo sono stati registrati grazie alla piattaforma anti-phishing Scam Sniffer, che ha confermato la perdita di almeno un utente per un importo di 10 BTC (circa 723.000 dollari). Sebbene non sia ancora noto il numero esatto degli utenti colpiti, l’attacco ha rappresentato una seria lezione per sviluppatori e utenti, dimostrando quanto siano importanti le precauzioni quando si lavora con codice open source.

Gli esperti di sicurezza consigliano agli sviluppatori che utilizzano librerie di CDN di terze parti di utilizzare il blocco della versione per evitare di ricevere automaticamente aggiornamenti dannosi. Si suggerisce inoltre di utilizzare una rigorosa Content Security Policy (CSP), che riduce il rischio di introdurre codice di terze parti nel sito.

L’evento ha ricordato l’importanza della gestione della catena di fornitura e del monitoraggio della sicurezza delle librerie in uso. Nell’ambiente odierno, tali attacchi al codice open source stanno diventando sempre più sofisticati e gli aggressori possono utilizzare interfacce false e metodi sofisticati per iniettare codice dannoso.

L'articolo Uno Sviluppatore perde 723.000 dollari per un attacco alla supply-chain di NPM proviene da il blog della sicurezza informatica.

Muore a Los Angeles il fumettista americano Bob Kane, che aveva creato con Bill Finger i personaggi dei fumetti Batman e Robin.

@Storia
#otd

In India, nella città di Jabalpur, si è scoperto un nuovo tipo di hackeraggio: quello dell’elettricità. Il Dipartimento dell’Elettricità ha svelato un elaborato schema di frode in cui i contatori elettrici venivano manomessi per consumare elettricità senza che venisse registrata correttamente.

Durante un raid nella zona di Ghamapur, i funzionari del Dipartimento dell’Elettricità hanno scoperto la frode condotta da Kailash Kori, un ex dipendente del settore, il quale utilizzava tecniche illegali per alterare i contatori elettrici.
Stock contatori elettrici recuperati (Fonte ETV Bharat)
Kailash Kori aveva sviluppato un metodo che consentiva di installare uno “shunt” nei contatori, manipolando i valori registrati dal dispositivo. Questo permetteva ai suoi clienti di continuare a utilizzare l’elettricità mentre il contatore mostrava valori molto bassi, evitando così costi elevati per il consumo reale. Il raid condotto dai funzionari, guidati dall’ingegnere esecutivo Sanjay Arora, ha portato al ritrovamento di 17 vecchi contatori presso la residenza di Kori, il quale è riuscito a fuggire prima dell’arrivo della polizia.

Le indagini hanno rivelato che Kori operava una vera e propria “industria artigianale” da casa sua, manomettendo i contatori elettrici con l’obiettivo di ridurre artificialmente il consumo registrato. Questo tipo di truffa ha causato ingenti danni economici al Dipartimento dell’Elettricità di Jabalpur, e il numero esatto dei contatori manomessi non è ancora stato confermato.

La polizia e il Dipartimento dell’Elettricità hanno avviato una serie di indagini approfondite per scoprire l’entità del danno e quantificare le perdite subite. Un procedimento penale è stato già pianificato contro Kailash Kori, il quale, a causa di precedenti difficoltà lavorative, aveva creato un metodo per truffare l’intero sistema elettrico della città.

Il caso ha sollevato serie preoccupazioni sulla sicurezza e l’integrità dei sistemi di misurazione dell’energia in India. Le autorità stanno ora valutando ulteriori misure di sicurezza per prevenire futuri tentativi di manomissione e frode nel settore elettrico, soprattutto in vista di periodi di alta domanda come le festività di Diwali.

L'articolo Gli Hacker si danno alla distribuzione Elettrica. Costo Basso Anche Senza Black Friday! proviene da il blog della sicurezza informatica.

3D printing has allowed the hobbyist to turn out all sorts of interesting chess sets with either intricate details or things that are too specialized to warrant a full scale injection molded production run. Now, the magic of 3D printing has allowed [Works By Design] to change the game by making pawns that can automatically transform themselves into queens.

Inspired by a CGI transforming chess piece designed by [Polyfjord], [Works By Design] wanted to make a pawn that could transform itself exist in the real world. What started as a chonky setup with multiple springs and a manually-actuated mechanism eventually was whittled down to a single spring, some pins, and four magnets as vitamins for the 3D printed piece.

We always love getting a peek into the trial-and-error process of a project, especially for something with such a slick-looking final product. Paired with a special chess board with steel in the ends, the magnets in the base activate the transformation sequence when they reach the opposite end.

After you print your own, how about playing chess against the printer? We’d love to see a version machined from metal too.

Thanks to [DjBiohazard] on Discord for the tip!

youtube.com/embed/CSOnnle3zbA?…

hackaday.com/2024/11/02/transf…

If you need to measure the temperature of something, chances are good that you could think up half a dozen ways to do it, pretty much all of which would involve some kind of thermometer, thermistor, thermocouple, or other thermo-adjacent device. But what if you need to measure something really hot, hot enough to destroy your instrument? How would you get the job done then?

Should you find yourself in this improbable situation, relax — [Anthony Francis-Jones] has you covered with this calorimetric method for measuring high temperatures. The principle is simple; rather than directly measuring the temperature of the flame, use it to heat up something of known mass and composition and then dunk that object in some water. If you know the amount of water and its temperature before and after, you can figure out how much energy was in the object. From that, you can work backward and calculate the temperature the object must have been at to have that amount of energy.

For the demonstration in the video below, [F-J] dangled a steel ball from a chain into a Bunsen burner flame and dunked it into 150 ml of room-temperature water. After a nice long toasting, the ball went into the drink, raising the temperature by 27 degrees. Knowing the specific heat capacity of water and steel and the mass of each, he worked the numbers and came up with an estimate of about 600°C for the flame. That’s off by a wide margin; typical estimates for a natural gas-powered burner are in the 1,500°C range.

We suspect the main source of error here is not letting the ball and flame come into equilibrium, but no matter — this is mainly intended as a demonstration of calorimetry. It might remind you of bomb calorimetry experiments in high school physics lab, which can also be used to explore human digestive efficiency, if you’re into that sort of thing.

youtube.com/embed/JWXzLOUMFzw?…

hackaday.com/2024/11/02/measur…