Recentemente il gruppo di ricerca HiddenLayer ha presentato la tecnica “ShadowLogic”, che consente di implementare segnalibri nascosti nei modelli di machine learning. Questo metodo senza codice si basa sulla manipolazione dei grafici del modello computazionale. Consente agli aggressori di creare attacchi all’intelligenza artificiale che si attivano solo quando ricevono uno speciale messaggio di attivazione, rendendoli una minaccia seria e difficile da rilevare.
I segnalibri nel software in genere consentono agli aggressori di accedere al sistema, consentendo loro di rubare dati o effettuare sabotaggi. Tuttavia, in questo caso, il segnalibro è implementato a livello logico del modello, consente di controllare il risultato del suo lavoro. Questi attacchi persistono anche dopo un ulteriore addestramento del modello, il che ne aumenta la pericolosità.
L’essenza della nuova tecnica è che invece di modificare i pesi e i parametri del modello, gli aggressori manipolano il grafico computazionale – lo schema operativo del modello, che determina la sequenza delle operazioni e l’elaborazione dei dati. Ciò rende possibile introdurre segretamente comportamenti dannosi in qualsiasi tipo di modello, dai classificatori di immagini ai sistemi di elaborazione di testi.
Un esempio di utilizzo del metodo è una modifica del modello ResNet, ampiamente utilizzato per il riconoscimento delle immagini. I ricercatori vi hanno incorporato un segnalibro che si attiva quando nell’immagine vengono rilevati pixel rossi fissi. I ricercatori sostengono che, se lo si desidera, il fattore scatenante può essere ben mascherato. In modo che cesserà di essere visibile all’occhio umano. Nello studio, quando veniva attivato un trigger, il modello modificava la classificazione iniziale dell’oggetto. Ciò dimostra quanto facilmente tali attacchi possano passare inosservati. Oltre a ResNet, ShadowLogic è stato applicato con successo ad altri modelli di intelligenza artificiale, come YOLO, utilizzato per il rilevamento di oggetti nei video, e modelli linguistici come Phi-3. La tecnica consente di modificare il loro comportamento in base a determinati trigger, il che la rende universale per un’ampia gamma di sistemi di intelligenza artificiale.
Uno degli aspetti più preoccupanti di tali segnalibri è la loro robustezza e indipendenza da architetture specifiche. Ciò apre la porta agli attacchi contro qualsiasi sistema che utilizzi modelli strutturati a grafico, dalla medicina alla finanza.
I ricercatori avvertono che l’emergere di tali vulnerabilità riduce la fiducia nell’intelligenza artificiale. In un ambiente in cui i modelli sono sempre più integrati nelle infrastrutture critiche, il rischio di bug nascosti può comprometterne l’affidabilità e rallentare lo sviluppo tecnologico.
These days, the vast majority of portable media users are storing their files on some kind of Microsoft-developed file system. Back in the 1980s and 1990s, though, things were different. You absolutely could not expect a floppy disk from one type of computer to work in another. That is, unless you had a magical three-format disk, as [RobSmithDev] explains.
The tri-format disk was a special thing. It was capable of storing data in Amiga, PC, and Atari ST formats. This was of benefit for cover disks—a magazine could put out content for users across all three brands, rather than having to ship multiple disks to suit different machines.
[RobSmithDev] started investigating by reading the tri-format disk with his DiskFlashback tool. The tool found two separate filesystems. The Amiga filesystem took up 282 KB of space. The second filesystem contained two folders—one labelled PC, the other labelled ST. The Atari ST folder contained 145KB of data, while the PC folder used 248 KB. From there, we get a breakdown on how the data for each format is spread across the disk, right down to the physical location of the data. The different disk formats of each system allowed data to be scattered across the disk such that each type of computer would find its relevant data where it expected it to be.
Una VPN, acronimo di Virtual Private Network, è un sistema che permette di stabilire una connessione sicura e privata attraverso una rete pubblica, come Internet. In pratica, crea quello che viene chiamato come “tunnel virtuale” attraverso cui le informazioni viaggiano criptate, proteggendo i dati aziendali da potenziali minacce esterne.
Questo processo di crittografia garantisce che solo gli utenti autorizzati possano accedere ai dati, rendendo invisibile la connessione agli utenti malintenzionati. In sintesi, una Virtual Private Network rappresenta uno strumento chiave per ogni azienda che voglia proteggere i propri dati e garantire un ambiente sicuro per tutti gli utenti connessi alla rete aziendale.
In questo articolo andremo ad esplorare il concetto di Virtual Private Network in modo approfondito, analizzando come funziona una VPN e quali vantaggi specifici offre alle aziende. Discuteremo i diversi tipi di VPN disponibili, quali sono i criteri per scegliere la soluzione migliore, e le best practices per implementarla in modo sicuro nella propria infrastruttura IT. Inoltre, vedremo come una VPN può contribuire alla conformità normativa, proteggendo la privacy aziendale e garantendo una connessione sicura anche per il lavoro remoto.
Infine, forniremo una guida per scegliere il fornitore di VPN più adatto alle necessità aziendali, in modo da garantire non solo la protezione dei dati ma anche una migliore performance e facilità di utilizzo per tutti i membri del team.
Come Funziona una Virtual private Network (VPN)
Normalmente, quando un utente visita un sito web, viene stabilita una connessione diretta con il server web, che conosce con precisione l’indirizzo IP del client e alcune informazioni relative al dispositivo utilizzato, come il sistema operativo, il tipo di browser, la lingua preferita e la posizione geografica approssimativa. Queste informazioni possono essere utilizzate per personalizzare l’esperienza utente, ma anche per tracciare le attività online dell’utente, monitorare il comportamento sul sito e, in alcuni casi, per fini pubblicitari o di profilazione. Esempio di comunicazione classica in “clear web” tra client e server web L’uso di una VPN (Virtual Private Network) modifica questo scenario. Quando ci si connette a un sito tramite una VPN, l’indirizzo IP visibile al server web è quello del server VPN, non quello reale del client. In questo modo, la VPN nasconde la vera identità dell’utente, offrendo un livello di anonimato e protezione della privacy. Inoltre, la VPN cifra la connessione, proteggendo i dati dall’intercettazione durante la trasmissione, soprattutto su reti pubbliche o non sicure. Questo rende molto più difficile per terzi monitorare l’attività online o raccogliere informazioni sensibili. Schema di funzionamento di una VPN ad accesso remoto che maschera il client nelle comunicazioni con il server target Nello schema sopra riportato, quando si invia una richiesta tramite internet, questa viene instradata al server VPN, che ne maschera l’origine e la protegge con la crittografia. Successivamente, il server VPN inoltra la richiesta al sito di destinazione e, una volta ottenuta la risposta, la reindirizza nuovamente all’utente. Questo processo garantisce sia la sicurezza sia l’anonimato della connessione.
Tipologia di Virtual Private Network (VPN)
Il funzionamento di una Virtual Private Network (VPN) si basa sulla creazione di un collegamento sicuro tra un dispositivo e una rete o un server remoto, garantendo protezione e privacy nella trasmissione dei dati. Questi sistemi utilizzano tunnel criptati per offrire un elevato livello di anonimato e consentono una connessione sicura (ad esempio) ad una rete aziendale nel caso di un utilizzo tramite VPN corporate.
Esistono differenti tipologie di VPN che possono essere riassunte in:
VPN ad Accesso Remoto
Questo tipo di VPN consente agli utenti di connettersi a una rete privata da un luogo remoto tramite internet. È spesso usata dai lavoratori per accedere alle risorse aziendali quando sono fuori ufficio. La connessione è crittografata, proteggendo i dati trasmessi tra il dispositivo dell’utente e la rete aziendale.
VPN Site-to-Site o Lan-to-Lan
Collegano direttamente due reti separate o reti locali, come ad esempio sedi aziendali differenti. Questo tipo di VPN crea una rete unica e sicura tra le varie sedi dell’azienda, rendendo possibile la condivisione di risorse e informazioni interne come se fossero tutte sulla stessa rete locale (LAN).
VPN Peer-to-Peer (P2P)
Questo tipo di VPN è ottimizzato per il traffico peer-to-peer, come lo scambio di file o torrent. Le VPN P2P offrono connessioni veloci e sicure per chi desidera condividere file in modo anonimo e senza restrizioni.
VPN Over Tor
Combina la tecnologia VPN con la rete Tor, offrendo un livello ancora maggiore di anonimato. In questo caso, la VPN si connette attraverso Tor, proteggendo ulteriormente la privacy dell’utente e rendendo più difficile il tracciamento dell’attività online.
Questi tipi di VPN rispondono a esigenze di sicurezza e accessibilità diverse, adattandosi sia all’uso privato che a quello aziendale.
La crittografia nelle Virtual Private Network (VPN)
L’essenza delle VPN è la crittografia dei dati.
Quando ci si connette a una VPN, il traffico internet viene criptato, rendendolo illeggibile a chiunque non disponga delle chiavi di decrittazione, come hacker criminali o provider di rete. Solo il dispositivo dell’utente e il server VPN possono decrittare i dati, proteggendoli così da occhi indiscreti durante il trasferimento.
Di seguito mostriamo uno schema che descrive il processo di connessione e stabilizzazione di una VPN tra un client (come un laptop) e un server VPN. Flusso di connessione e stabilizzazione di una VPN tra un client (come ad esempio un computer laptop) e un server VPN Le fasi principali sono:
Avvio connessione: Il client VPN inizia la connessione inviando una richiesta al server VPN.
Handshake TCP/IP: Una volta stabilita la comunicazione iniziale, viene eseguito un handshake TCP/IP. Questo processo consiste nello scambio di pacchetti tra client e server per stabilire una connessione affidabile, verificando che entrambe le parti siano pronte a comunicare. L’handshake permette di sincronizzare e inizializzare i parametri di trasmissione.
Negoziazione del Tunnel TLS: Viene avviato il processo di negoziazione TLS (Transport Layer Security), dove il client e il server concordano sulle chiavi di crittografia e sulle modalità di cifratura, garantendo che i dati trasmessi siano protetti da intercettazioni o alterazioni.
Inizializzazione della Sessione VPN: Una volta completata la negoziazione SSL, la sessione VPN viene formalmente inizializzata. In questo momento, client e server stabiliscono i parametri finali della connessione sicura, come protocolli e metodi di autenticazione.
Sessione VPN stabilita tra Client e Server: Con la sessione VPN attiva, la connessione sicura tra il client e il server è completamente operativa. Da questo momento, il client può inviare e ricevere dati attraverso il server VPN, con la certezza che tutte le comunicazioni siano crittografate e protette.
TX/RX Incapsulamento dei frame Ethernet (Trasmissione/Ricezione): Dopo aver stabilito la connessione VPN, inizia la trasmissione e ricezione dei dati. In questa fase, i dati vengono incapsulati in “frame” Ethernet virtuali, che vengono inviati attraverso il tunnel VPN. Questo processo di incapsulamento garantisce che i dati trasmessi tra client e server siano completamente protetti. I frame incapsulati viaggiano attraverso la rete come se fossero parte di una rete locale (LAN), assicurando una comunicazione privata e sicura.
Il funzionamento di una Virtual Private Network (VPN) si basa su protocolli di sicurezza che stabiliscono come i dati vengono criptati e trasmessi tra il client e il server VPN. Questi protocolli operano durante la fase di negoziazione della connessione sicura (come descritto nella Negoziazione del Tunnel TLS) e contribuiscono alla protezione dei dati all’interno del tunnel VPN.
Questi protocolli sono fondamentali per garantire che la connessione sia protetta da eventuali intercettazioni e manomissioni. Tra i protocolli di sicurezza più utilizzati troviamo:
OpenVPN: Un protocollo molto diffuso che offre elevati standard di sicurezza e flessibilità, rendendolo ideale per un’ampia gamma di applicazioni.
IKEv2/IPsec: Conosciuto per la sua stabilità e velocità, questo protocollo è particolarmente vantaggioso per i dispositivi mobili, in quanto riesce a mantenere la connessione attiva anche in caso di cambio di rete.
WireGuard: Un protocollo più recente, che combina velocità ed efficienza con alti livelli di sicurezza, diventando una scelta sempre più popolare per chi cerca una connessione VPN rapida e leggera.
In sintesi, una VPN funziona criptando i dati, creando un tunnel sicuro per il traffico, mascherando l’indirizzo IP e utilizzando protocolli di sicurezza avanzati. Questo sistema permette a utenti e aziende di navigare e comunicare su internet in modo sicuro, proteggendo i dati personali e aziendali da accessi non autorizzati.
Le Migliori Soluzioni VPN
Quando si tratta di scegliere una VPN, esistono molte cose da considerare e soluzioni di alta qualità, ciascuna progettata per rispondere a necessità specifiche in ambito sia privato che aziendale. Di seguito, esploriamo alcune delle migliori soluzioni VPN, confrontandole per caratteristiche, prestazioni e sicurezza.
Le Migliori Soluzioni VPN in Ambito Privato
Per gli utenti privati, le VPN offrono privacy e anonimato, proteggendo le informazioni personali durante la navigazione o l’uso di reti pubbliche. Tra le soluzioni più note in ambito privato, troviamo:
NordVPN: NordVPN è una delle VPN più popolari per uso privato grazie alla sua interfaccia user-friendly e alla sicurezza avanzata. Offre una crittografia forte, una politica di no-log (non conserva dati di navigazione), e funzionalità di sicurezza come il blocco dei malware e la protezione da IP leakage. NordVPN ha anche server ottimizzati per il P2P e per lo streaming.
Pro: 5000 Server in 50 paesi, velocità elevate, modalità di Double VPN per doppia sicurezza.
Contro: Alcuni server possono risultare sovraccarichi, rallentando la connessione.
Mullvad: Mullvad è una delle VPN più rispettate per l’anonimato online. Si distingue per la sua politica di “no logs”, il che significa che non conserva alcun dato relativo all’attività degli utenti. Inoltre, Mullvad non richiede nemmeno un’email per registrarsi, permettendo agli utenti di rimanere completamente anonimi. La sua politica di pagamento accetta criptovalute, come Bitcoin, ed è uno dei pochi provider che offre una carta prepagata fisica, che può essere usata senza alcun legame a un’identità reale. Mullvad offre anche una forte crittografia, supporto per WireGuard, una velocità stabile e una vasta rete di server in tutto il mondo.
Pro: Mullvad è una VPN altamente sicura e anonima, con una politica di “no logs”
Contro: Ha una rete di 643 server più piccola rispetto ad altri provider
ExpressVPN: ExpressVPN è noto per la velocità e l’affidabilità, caratteristiche che lo rendono ideale per lo streaming e la navigazione senza interruzioni. La sua rete di server globali e il supporto per più dispositivi contemporanei lo rendono una soluzione flessibile.
Pro: Eccellente velocità, interfaccia semplice, server in 163 sedi in 106 paesi, funziona bene anche in regioni con restrizioni di rete.
Contro: Prezzo alto
CyberGhost: CyberGhost è una VPN che offre un buon equilibrio tra velocità e sicurezza, con server ottimizzati per diverse attività come streaming, navigazione anonima, e gaming. Ha una politica rigorosa di no-log e una modalità di navigazione anonima.
Pro: Server specifici per lo streaming e P2P, supporto clienti 24/7, economico nei piani a lungo termine. Contro: Configurazioni avanzate limitate, interfaccia meno intuitiva rispetto ad altri.
Le Migliori Soluzioni VPN in Ambito Aziendale
Per le aziende, le VPN offrono sicurezza e accesso sicuro per i team che lavorano in remoto o su sedi diverse. Le soluzioni VPN aziendali hanno funzionalità di gestione centralizzata e maggiore supporto tecnico. Le principali VPN aziendali includono:
Fortinet FortiGate VPN: Una soluzione VPN che combina sicurezza di rete e protezione dalle minacce, Fortinet offre funzionalità di firewall integrato, rendendolo ideale per aziende che desiderano una soluzione completa di sicurezza. Utilizza tecnologie di deep packet inspection per una protezione avanzata.
Pro: Sicurezza avanzata grazie al firewall integrato e alla deep packet inspection, protezione completa dalle minacce.
Contro: Soluzione complessa da configurare e gestire, può risultare costosa per piccole aziende.
Ivanti Secure Access (precedentemente Pulse Secure):Ivanti offre una VPN adatta per ambienti di lavoro dinamici e moderni. È progettata per fornire un accesso sicuro e continuo alle risorse aziendali, con opzioni avanzate di autenticazione e integrazione con sistemi di gestione IT.
Pro: Accesso sicuro e continuo, avanzate opzioni di autenticazione, facile integrazione con sistemi IT aziendali.
Contro: Può essere costosa per piccole aziende, necessità di una gestione centralizzata per un utilizzo ottimale.
Perimeter 81: Una VPN progettata per le esigenze aziendali, Perimeter 81 offre una piattaforma facile da gestire con funzionalità avanzate come l’accesso condizionale e la sicurezza Zero Trust. Ideale per team remoti, consente di definire e controllare accessi sicuri a risorse aziendali specifiche.
Pro: Sicurezza Zero Trust, controllo avanzato degli accessi, facile da integrare in ambienti aziendali.
Contro: Prezzi più alti rispetto a VPN personali, particolarmente per grandi aziende.
Cisco AnyConnect: Cisco AnyConnect è una delle soluzioni più affidabili per le grandi aziende. Offerta da un’azienda leader nel settore della sicurezza, questa VPN offre una protezione completa e integrabile con sistemi di sicurezza aziendale. Permette una gestione centralizzata con controllo degli accessi sicuro.
Pro: Alta affidabilità, supporto di integrazioni con infrastrutture aziendali, solida assistenza tecnica.
Contro: Interfaccia complessa per utenti non tecnici, richiede una configurazione dettagliata.
OpenVPN Access Server: OpenVPN offre una soluzione flessibile e open-source, permettendo alle aziende di personalizzare la configurazione per le loro esigenze specifiche. È una scelta solida per le imprese che cercano una soluzione sicura e con opzioni di integrazione avanzate.
Pro: Flessibilità e personalizzazione, open-source, elevato livello di sicurezza.
Contro: Richiede competenze tecniche per l’installazione e gestione, supporto limitato per configurazioni non standard.
Sia che si tratti di uso privato o aziendale, le migliori VPN condividono caratteristiche chiave come la crittografia avanzata, la politica no-log, e la compatibilità multipiattaforma. Mentre soluzioni come NordVPN ed ExpressVPN sono ideali per utenti privati alla ricerca di privacy e velocità, opzioni aziendali come Perimeter 81 e Cisco AnyConnect offrono scalabilità e sicurezza per le imprese che necessitano di gestione centralizzata e accessi protetti per team distribuiti.
Perché le Aziende Hanno Bisogno di una VPN
Molto spesso, gli attacchi informatici avvengono a causa dell’esposizione su internet di server aziendali, come i server RDP (Remote Desktop Protocol). Questi server, se non adeguatamente protetti, possono diventare un bersaglio facile per hacker e cybercriminali.
Una VPN (Virtual Private Network) rappresenta una protezione essenziale contro questi rischi, mascherando e cifrando le connessioni alle risorse aziendali. Ecco perché le aziende devono considerare l’adozione di una VPN per proteggere i propri asset digitali e garantire la sicurezza delle loro operazioni.
Nello specifico una VPN garantisce una serie di vantaggi come:
Sicurezza dei Dati e Protezione delle Comunicazioni
Una VPN crittografa il traffico di rete, proteggendo i dati sensibili durante la trasmissione. Questo è particolarmente cruciale per le aziende che gestiscono informazioni riservate come dati finanziari, proprietà intellettuale o informazioni personali dei clienti. La crittografia impedisce che hacker o cybercriminali intercettino o manipolino queste informazioni, anche quando si utilizzano reti Wi-Fi pubbliche o non sicure. Inoltre, con l’uso di una VPN, le comunicazioni interne tra dipendenti e partner esterni sono più sicure, riducendo il rischio di attacchi di man-in-the-middle.
Accesso Sicuro alle Risorse Aziendali
In un contesto aziendale moderno, i dipendenti lavorano spesso da remoto o si connettono tramite dispositivi mobili. Una VPN consente di stabilire una connessione sicura alla rete aziendale, anche da postazioni geograficamente distanti. Con l’autenticazione multifattoriale e altre misure di sicurezza avanzate, le aziende possono garantire che solo i dipendenti autorizzati abbiano accesso alle risorse aziendali critiche. Questo aiuta a prevenire accessi non autorizzati e a mantenere il controllo sui dati aziendali, proteggendo allo stesso tempo la privacy e l’integrità delle informazioni.
Conformità alle Normative e Gestione Centralizzata
Molti settori sono soggetti a normative rigorose in materia di protezione dei dati, come il GDPR in Europa o l’HIPAA negli Stati Uniti. Una VPN aiuta le aziende a rispettare queste normative, garantendo che i dati vengano trattati in modo sicuro e che l’accesso alle informazioni sensibili sia tracciato e monitorato. Inoltre, le soluzioni VPN aziendali offrono una gestione centralizzata della sicurezza, consentendo agli amministratori IT di monitorare e configurare in tempo reale le politiche di accesso e protezione. Questo livello di controllo è essenziale per mantenere la sicurezza e la compliance, riducendo i rischi di violazioni e sanzioni.
VPN Gratuite per gli utenti: Pregi e difetti
Le VPN gratuite possono sembrare una soluzione conveniente per proteggere la privacy online, ma presentano vantaggi e svantaggi da considerare attentamente.
Pregi
Gratuità: Il principale vantaggio delle VPN gratuite è che non richiedono costi, offrendo una protezione base senza impegni finanziari;
Facilità d’uso: Sono spesso semplici da configurare, con interfacce intuitive adatte anche agli utenti meno esperti;
Protezione base della privacy: Mascherano l’indirizzo IP e cifrano il traffico, fornendo una protezione elementare contro i rischi online.
Difetti
Velocità e limitazioni: Le VPN gratuite sono spesso lente e limitate in termini di larghezza di banda e server disponibili, con connessioni congestionate;
Carenze nella Privacy: Alcuni provider raccolgono e vendono i dati degli utenti, riducendo la protezione offerta. Sono noti diversi databreach inerenti l’uso delle VPN Gratuite, come ad esempio l’incidente a SuperVPN, dove i dati degli utenti vennero trovati online, oppure l’incidente avvenuto a Bravo VPN dove vennero esposti gli indirizzi IP di 58 milioni di persone;
Pubblicità invadenti: Molte VPN gratuite si finanziano con annunci, che possono tracciare l’attività online e compromettere la privacy.
Rischi di malware: Alcune VPN gratuite sono state associate a software dannoso.
Le VPN gratuite possono essere utili per usi occasionali, ma comportano rischi legati alla privacy e alla sicurezza. Per una protezione completa e sicura, è consigliabile optare per una VPN a pagamento, che garantisca un livello più alto di sicurezza e privacy.
Conclusioni
In conclusione, le Virtual Private Network (VPN) rappresentano uno strumento essenziale sia per gli utenti privati che per le aziende, garantendo sicurezza, anonimato e protezione dei dati.
Per gli utenti comuni, una VPN offre vantaggi in termini di privacy, proteggendo le loro attività online dall’essere monitorate da terze parti, come hacker, ISP e persino inserzionisti. Usare una VPN consente di navigare in maniera anonima e sicura, mascherando l’indirizzo IP e criptando i dati in transito. Questa protezione è particolarmente utile quando si utilizzano reti pubbliche, come quelle di bar, aeroporti o centri commerciali, poiché evita che le informazioni personali vengano intercettate. Inoltre, le VPN consentono di accedere a contenuti limitati geograficamente, ampliando le opzioni di streaming e informazione.
Per le aziende, invece, una VPN offre protezione dei dati aziendali, difendendo l’integrità delle informazioni riservate da potenziali minacce esterne. Con una VPN, i dipendenti possono accedere in modo sicuro alle risorse aziendali anche da remoto, mantenendo la continuità operativa e garantendo un ambiente sicuro per tutte le comunicazioni. Inoltre, l’uso di una VPN contribuisce a soddisfare requisiti normativi e di conformità, proteggendo la privacy dei clienti e prevenendo perdite di dati sensibili.
In entrambi i casi, una VPN non solo migliora la sicurezza e la privacy, ma offre anche maggiore libertà e controllo sulle informazioni trasmesse online, rendendola uno strumento fondamentale per chiunque voglia proteggere la propria identità digitale e i propri dati sensibili.
Regulatory harmonisation across the European Union, creating a single digital market and a more predictable policy to attract more investment, should rank high in the new Commission’s to-do list.
@Informatica (Italy e non Italy 😁) I carabinieri di Genova hanno identificato e denunciato un 40enne pugliese per truffa in quanto ritenuto responsabile di avere circuito un genovese di 60 anni convincendolo a effettuare un bonifico di 39mila euro
Within the world of CAD there are the well-known and more niche big commercial players and there are projects like FreeCAD that seek to bring a OSS solution to the CAD world. As with other OSS projects like the GIMP, these OSS takes on commercial software do not always follow established user interactions (UX), which is where Ondsel sought to bridge the gap by giving commercial CAD users a more accessible FreeCAD experience. This effort is now however at an end, with a blog post by Ondsel core team member [Brad Collette] providing the details.
The idea of commercializing OSS is by no means novel, as this is what Red Hat and many others have done for decades now. In our article on FOSS development bounties we touched upon the different funding models for FOSS projects, with the Linux kernel enjoying strong commercial support. The trick is of course to attract such commercial support and associated funding, which is where the development on the UI/UX and feature set of the core FreeCAD code base was key. Unfortunately the business case was not strong enough to attract such commercial partners and Ondsel has been shutdown.
As also discussed on the FreeCAD forum, the Ondsel codebase will likely be at least partially merged into the FreeCAD code, ending for now the prospect of FreeCAD playing in the big leagues with the likes of AutoCAD.
Once upon a time, computers didn’t really have enough resources to play back high-quality audio. It took too much RAM and too many CPU cycles and it was just altogether too difficult. Instead, they relied upon synthesizing audio from basic instructions to make sounds and music. [caiannello] has taken advantage of this with the WAV2VGM project.
The basic concept is straightforward enough—you put a WAV audio file into the tool, and it spits out synthesis instructions for the classic OPL3 sound card. The Python script only works with 16-bit mono WAV files with a 44,100 Hz sample rate.
Amazingly, check the samples, and you’ll find the output is pretty recognizable. You can take a song with lyrics (like Still Alive from Portal), turn it into instructions for an OPL3, and it’s pretty intelligible. It sounds… glitchy and damaged, but it’s absolutely understandable.
It’s a fun little retro project that, admittedly, doesn’t have a lot of real applications. Still, if you’re making a Portal clone for an ancient machine with an OPL3 compatible sound chip, maybe this is the best way to do the theme song? If you’re working on exactly that, by some strange coincidence, be sure to let us know when you’re done!
If you ask someone who grew up in the late 1970s or early 1980s what taught them a lot about programming, they’d probably tell you that typing in programs from magazines was very instructive. However, it was also very boring and error-prone. In fact, we’d say it was less instructional to do the typing than it was to do the debugging required to find all your mistakes. Magazines hated that and, as [Tech Tangents] shows us in a recent video, there were efforts to make devices that could scan barcodes from magazines or books to save readers from typing in the latest Star Trek game or Tiny Basic compiler.
The Cauzin Softstrip was a simple scanner that could read barcodes from a magazine or your printer if you wanted to do backups. As [Tech Tangents] points out, you may not have heard of it, but at the time, it seemed to be the future of software distribution.
We were impressed that [Tech Tangent] had enough old magazines that he had some of the original strips. Byte Magazine had tried to promote a similar format, but there was no hardware made to read those barcodes.
Of course, there were other systems. For example, the HP-41C famously had a barcode scanner, although creating your own was clunky unless you reverse-engineered the “proper” format (which was done). The basic hardware used there also worked with Byte’s format, but you still had to interface the odd scanner to your computer.
Cauzin sidestepped all this with their product, which was simple-to-interface hardware with software support for the major platforms. However, by the time it was on the market, cheap magnetic media and modem-based bulletin boards were destroying interest in loading software from paper.
This is a great look at an almost forgotten technology. You could probably build something modern to scan these if you had the urge. These days, it would be easy enough to design your own system. Modern laser printers would probably make very dense barcodes.
Palo Alto Networks ha avvisato i clienti di limitare l’accesso ai propri firewall a causa di una potenziale vulnerabilità RCE nell’interfaccia di gestione PAN-OS. Nel suo avvertimento l’azienda afferma di non disporre ancora di ulteriori informazioni sulla presunta vulnerabilità, ma sottolinea di non aver ancora rilevato segni di sfruttamento attivo.
“Palo Alto Networks è a conoscenza di segnalazioni riguardanti una vulnerabilità legata all’esecuzione di codice in modalità remota attraverso l’interfaccia di gestione PAN-OS. Al momento non conosciamo i dettagli della vulnerabilità descritta. Stiamo monitorando attivamente l’emergere di segnali di sfruttamento”, scrive l’azienda.
Per questo Palo Alto consiglia vivamente i clienti di assicurarsi che l’accesso all’interfaccia di gestione sia configurato correttamente, in conformità con le nostre raccomandazioni. I client Cortex Xpanse e Cortex XSIAM con il modulo ASM possono verificare le istanze rivolte a Internet visualizzando gli avvisi generati dalla regola della superficie di attacco di accesso amministratore del firewall di Palo Alto Networks.
L’azienda consiglia inoltre di bloccare l’accesso da Internet all’interfaccia di gestione del firewall con PAN-OS e di consentire le connessioni solo da indirizzi IP interni attendibili.
È interessante notare che il giorno prima della pubblicazione di questo avviso, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha segnalato attacchi in corso che sfruttano una vulnerabilità critica in Palo Alto Networks Expedition ( CVE-2024-5910 ; punteggio CVSS 9,3). Questo problema di bypass dell’autenticazione è stato risolto nel luglio 2024 e gli aggressori possono utilizzarlo in remoto per reimpostare le credenziali dell’amministratore sui server Expedition accessibili tramite Internet.
Sebbene CISA non abbia fornito informazioni dettagliate su questi attacchi, il mese scorso i ricercatori di Horizon3.ai hanno pubblicato un exploit PoC che combina CVE-2024-5910 con una vulnerabilità di command injection ( CVE-2024-9464 ), consentendo l’esecuzione non autenticata di attacchi arbitrari. comandi sui server Expedition.
È stata identificata una nuova campagna di phishing in cui i criminali informatici, sfruttando una vulnerabilità in Microsoft Excel, distribuiscono una variante del malware fileless Remcos RAT in grado di compromettere i sistemi aziendali. Ecco tutti i dettagli e come difendersi
Il ransomware Ymir sfrutta metodi evoluti di occultamento e crittografia, modificando la memoria per diventare invisibile e quindi riuscire a trafugare credenziali. Ecco come difendersi
Il regolamento di esecuzione della NIS2, oltre la sua funzione primaria di conformità, risulta essere uno strumento versatile e utile anche per organizzazioni non obbligate ad applicare la direttiva UE, ad esempio per l’esecuzione di audit di sicurezza. Ecco perché
Computer Windows sono nel mirino di attori delle minacce che sfruttano la tecnica della concatenazione di file ZIP per distribuire payload malevoli negli archivi compressi, bypassando il rilevamento da parte delle soluzioni di sicurezza. Ecco come mitigare il rischio
Si chiama Fabrice il pacchetto Python malevolo che, sfruttando l’assonanza del nome con quello della libreria SSH Fabric, riesce a trarre in inganno gli utenti sviluppatori per indurli a scaricare un pacchetto malevolo PyPI che, una volta installato, ruba dati sensibili e scarica altri malware. Ecco tutti i dettagli
In caso di emergenza, l’intelligenza artificiale può supportare le aziende nelle fasi di ripristino di un backup dati, rendendo le attività più rapide ed efficienti. L’AI è diventata una necessità fondamentale per stare al passo con il cyber crime e una risorsa vitale a supporto della memoria aziendale
Padroneggiare l’informazione è sempre stato uno strumento bellico di primo livello, prima ancora che fake news e deepfake mettessero a disposizione dei combattenti mezzi tanto insidiosi. Saper gestire la narrativa e la contro-narrativa avversaria ha, dunque, una valenza strategica: ecco perché
La Cassazione ha recentemente confermato la legittimità di un licenziamento irrogato a seguito dell’accertamento di un furto da parte di un cassiere, certificato dall’utilizzo di una telecamera del sistema di videosorveglianza installato a seguito di accordo sindacale
Le linee guida tecniche per l’attuazione della NIS2 appena presentate da ENISA contengono le misure di sicurezza informatica per le entità critiche nel settore delle infrastrutture digitali: tra queste, anche quelle per una corretta gestione degli incidenti di sicurezza. Che c’è da sapere
Il secondo report quadrimestrale per il 2024 ci descrive una situazione aggiornata del ransomware a livello globale e italiano. La necessità è sempre quella di considerare scenari di protezione aggiornati con gli attuali rischi. Vediamo le numeriche e la loro distribuzione
In a new installment on computer history, [Bradford Morgan White] takes us through the sordid history of Cyrix, as this plucky little company created the best math co-processors (FasMath) and then a range of interesting x86-compatible CPUs that would give competing x86 CPUs a run for their money. Even though Cyrix played by the rules of licensing agreements, Intel would keep suing Cyrix repeatedly since the 1980s well into 1990s, for a total of seventeen times until Cyrix counter-sued for patent violations in May of 1997.
This case was settled between Cyrix and Intel, with a cross-licensing agreement established. Unfortunately these mounting legal costs and the stresses of keeping up with the competition (i.e. Intel) was proving too much and Cyrix was sold off to National Semiconductor, who wasn’t enthusiastic about competing with Intel. After this Cyrix got split up into Geode (sold to AMD) and Cyrix Technologies (sold to VIA). Interestingly, VIA’s x86 patent licenses and patents ended up being the foundation of Zhaoxin: a joint venture between VIA and Shanghai’s government which produces x86 CPUs for primarily the Chinese market.
We looked at the Cyrix Cx486DLC processor a while ago, and why their 386 upgrade options were perhaps not that great. Their later CPUs have however left a strong legacy that seems to endure in some way to this day.
We have often wondered if people dreamed in black and white before the advent of photography. While color pictures eventually became the norm, black and white TV was common for many years. After all, a TV set was a big investment, so people didn’t run out and buy the latest TV every year. Even if you did buy a new or used TV, a black and white model was much less expensive and, for many years, some shows were in black and white anyway. RCA, of course, wanted you to buy a color set. [PeriscopeFilm] has a 1963 promotional film from RCA extolling the virtues of a color set. The video also shows something about how the sets were made, as you can see below.
We aren’t sure we’d have led with the idea that color could save your life in this context, but we have to salute the melodrama. There is a good bit of footage of picture tube manufacturing, although the technical detail is — understandably — aimed at the general public.
You do get a look at the shadow mask and piles of colored phosphor. The manufacturing process seems oddly manual, although there is some automation involved. If you ever wondered how each little dot of phosphor gets placed precisely, the film answers that question.
The spectrometers the operators use in the electron gun build lack computer interfaces, so they have many discrete controls. We wondered if a modern assembly line could have that open flame, too.
It is amazing to think how many of these tubes were built worldwide in, say, the 1970s. Our guess is there are very few CRTs made today, although surely someone somewhere is turning out a few for some reason. We wonder how today’s factory compares to the one in the film.
RCA was a pioneer in bringing color TV to the United States and the world. Who remembers degaussing a color TV?
moreover, afaik there were little important differences between CRTs built for the northern emisphere and those for the southern emisphere (basically degaussing was inverse)
Simple bots, updates to Loops, and Flipboard takes over some automated RSS accounts.
The News
The upcoming shutdown of the botsin.space server has lead to some renewed experimentation and development work around bots on the fediverse. Terence Eden has built a bot to be as simple as possible, needing only 2 files to run. This bot can be bridged to Bluesky as well.
Some more updates on Loops, with some crucial missing features now being added: tapping the Home button brings you to the top of the feed, a pull to refresh, and tabs for notification, search and explore. Loops is also taking a decidedly different approach from other fediverse platforms; while many fediverse platforms pride themselves on not having an algorithmic feed, developer Daniel Supernault is working on placing For You Page is becoming front-and-center for Loops. In turn this makes it difficult for new Loops servers to set up and compete, and Supernault is actively considering having the flagship loops.video server function as the centralised service for the For You algorithm.
Flipboard is taking over the accounts on the press.coop server. Press.coop was a fediverse server that mirrors the RSS feeds of news organisations, and republished them on an unofficial press.coop account. In the press release, press.coop owner Dick Hardt says that he noticed that now that Flipboard is part of the fediverse, these news organisations already have a more official presence on the fediverse via Flipboard. ActivityPub allows for an easy transfer here, if you followed a press.coop account you are now automatically following the corresponding Flipboard account instead.
The fediverse has tied up user names quite strictly to fediverse servers: your username handle contains the server name itself, following the convention of @username@serverdomain.tld. This means your account is tied up to the server and server domain, which does occasionally lead to issues with servers disappearing because the domain is not available anymore. This convention is not in fact mandated by ActivityPub, and the ‘WebFinger Split-Domain Canary‘ is a showcase that it is possible to have an account where the domain in the username is different from the server that the account is on. For developers interested in experimenting what is further possible in the fediverse this might be an interesting direction to look at.
Heise.de has consistently been sharing statistics on the sources of traffic to their news site, and for the last two weeks Mastodon has overtaken X in traffic, with Bluesky and Threads far behind.
In This Issue
* A Note From The Editor
* Features
* Upcoming Events
* Featured Streamer: Kristoffer Lislegaard
* Closing Remarks
A Note From The Editor
Welcome back! I took the month of October off as a matter of personal mental health…
L’annuncio della joint venture tra Leonardo e Rheinmetall inizia a dare i suoi primi frutti, fungendo da catalizzatore per altri esponenti dell’industria nazionale della Difesa. Iveco defence vehicles (Idv), divisione del Gruppo Iveco specializzata
“Come definito da Robert Leonhard nel suo libro ‘L’arte della manovra’, la ‘guerra di manovra’ è ‘il mezzo per sconfiggere… il nemico’. L’obiettivo è raggiungere la vittoria, non il mantenimento della competizione. Per ottenere questa vittoria è necessaria un’aggressività che,
[Morley Kert] had a problem. He’s a big fan of the lovely Fortune Chair from Heller Furniture. Only, he didn’t want to pay $1,175 for a real one. The solution? He printed his own instead!
The basic concept is simple. Capture or recreate the geometry of the fancy expensive designer chair, and then print it out on a 3D printer. That would be easy, except for scale. Chairs have to be both big enough to seat humans, and strong enough to carry their weight. For the average 3D printer owner, meeting the big requirement is difficult, since most printers are quite small compared to chairs.
[Morley] gets around this in the typical fashion—he prints the chair in multiple segments. Indeed, we’ve seen [Morley] tackle a similar project before, too. Only, last time, he had the benefit of a print farm and some easily-accessible geometry for the target object. This time, he’s working very much more from scratch, and chose to print everything at home. That made things quite a bit harder.
@Notizie dall'Italia e dal mondo Il Consiglio di Sicurezza delle Nazioni Unite ha dato avvio al dibattito sulla proposta di risoluzione presentata dalla Gran Bretagna per fermare i combattimenti e portare soccorso alla popolazione stremata L'articolo SUDAN. ONU chiede un corridoio
La Camera dei deputati ha approvato in via definitiva il disegno di legge per la ratifica e l’esecuzione della Convenzione sull’istituzione del GCAP (Global Combat Air Programme), firmata a Tokyo il 14 dicembre 2023. Con 215 voti favorevoli e 43 contrari (Movimento Cinque Stelle e
L’Unione europea potrebbe realizzare il più grande investimento di sempre sulla Difesa, pari a quasi 400 miliardi di euro. Secondo un articolo del Financial Times, Brussels starebbe valutando di reindirizzare una parte consistente del bilancio comune, circa 392 miliardi di euro, verso il
Tra un mese devo fare un piccolo intervento che, per quanto veloce, richiederà l'anestesia totale. Mi fa più paura questa che l'operazione in sé (è la prima volta). 🙄
USB 2 is the USB we all know and love. But about ten years ago, USB got an upgrade: USB 3.0. And it’s a lot faster. It started off ten times the speed of USB 2, with 5 Gbps, and later got 20 Gbps and 40 Gbps revisions. How does that work, and how do you hack on it? Well, for a start, it’s very different from USB 2, and the hacking differs in many important ways.
In fact, USB 3 is an entirely separate interface from USB 2, and it does not depend on USB 2 in any way whatsoever – some people think that USB 3 negotiation happens through USB 2, but that’s a complete myth. USB 2 and USB 3 are electrically, physically, and logically distinct interfaces. Except for the fact that USB 3 is backwards compatible with USB 2, they are simply entirely different.
This also means that every USB-A port with USB 3 capabilities (typically blue, but not always) carries two interfaces; indeed, if you want, you can split a typical USB 3 port into a USB 3-only USB-A port and a USB 2-only USB-A port. USB 3-only ports are not legal per USB 3 standard, you’re expected to keep USB 2 there, but only for user convenience; you can split it with a hub and get, like, three extra USB 2 branches for your own use. Even if it’s forbidden, it works flawlessly – it’s what I’m currently using to connect my mouse to my laptop as I’m typing this!
Not to say that USB 3 is all easy to work with – there’s a fair bit of complexity.
For A More Civilized Age
USB 3 is fully differential, and full duplex. It’s still point-to-point, but unlike USB 2 with its pseudodifferential half-duplex transmitters, there are two differential pairs – one RX, one TX. It’s like UART: TX on one end connects to RX on the other end, RX connects to TX, so the two pairs have to be crossed over, typically, inside the cable – for instance, high-speed USB-C cables have the USB 3-intended pairs crossed-over by default! Oh, and you have to put series capacitors on each end, at each TX output.
By [Unconventional2], CC BY-SA 4.0In this way, USB 3 physical layer is just like PCIe; in fact, it can be done using basically the same hardware inside the chip! The routing requirements are tougher than USB 2, so you really want to make sure the tracks are impedance-matched, and use a four-layer PCB instead of a two-layer one. Wondering about routing USB 3? Refer to my guide on routing PCIe, keeping the above restrictions in mind. Here’s a bonus – unlike USB 2, you can flip the pair polarity for ease of routing!
Device detection isn’t done with resistors – instead, the USB 3 peripheral produces regular pulses on the TX pair, known as LPFS mode, and the peripheral on the other end listens to the RX pair for these pulses. That’s also how polarity flips get compensated for.
There are no resistors to add, though if you want to connect different USB 3 devices on your board, you might need to take care of some common mode level matching every now and then, like niconico shows us in detail in the extensive readme for their wonderful PCB housing a USB 2 – USB 3 transaction translator.
Just like PCIe, you’re not expected to handle USB 3 yourself. Unlike USB 2, you can’t quite hand-wire it either – there are products of Eastern manufacture that do, and the failures are quite prominent. If you are shopping for USB 3 hubs and find one with a captive cable, be careful – it might be wired in a lax way, neglecting USB 3 requirements, and you won’t be able to fix it without buying a new hub. Better stick to USB 3 hubs equipped with microUSB3 and USB-C ports!
If you want your links to work guaranteed, don’t hand-wire them, rather, use impedance-matched traces on your PCB as much as possible, PCB track quality really matters here, and could easily limit your speed; even big companies might screw it up!
For instance, [WifiCable] has tinkered on a laptop with USB 3 ports limited to 5 Gbps mode by a chipset setting, and once the setting was unlocked, the ports would negotiate 10 Gbps mode, but had constant stability issues. I’ve also seen Dell route a USB 3 link over an FPC, only to get stability issues with certain kinds of hubs.
The Three Versions
You might have heard of the USB 3 naming shenanigans, with like fifteen different names and logos used to refer to different USB3 versions – like USB 3.0 USB 3.1, USB 3.1 Gen 2, USB 3.2, and so on. I am pleased to inform you there are only three versions – the dozen different names and logos are duplicates of each other, a marketing strategy that confused people more than it helped, nothing more. If you want to learn more about how it came, you can read here, but let’s be fair, you likely don’t need to know that.
These are as big as they look, and haven’t really caught on. by [Anil Öztas], CC BY-SA 4.0 There are only three USB 3 versions as far as cold hard hacking is concerned – you can refer to them as 5 Gbps, 10 Gbps, and 20 Gbps. The 10G bps is just 5 Gbps but overclocked in a few different ways. The 20 Gbps version requires USB-C, and, to simplify it, is like two USB 3 links ganged together. You can’t just put two links together to get 20 Gbps mode, though – it does require a different USB 3 peripheral, and it doesn’t work like two USB3 links, even though it has backwards compatibility.
As for matters more physical, there’s four different connectors you will see USB 3 on – USB-A, USB-B, microUSB 3, and USB-C, each of them getting extra two pairs of pins, and, for the first three, an extra GND pin. This GND line helps provide a more stable ground reference, is perhaps not as much encumbered by the ground current, and with the GND pin placed between the two pairs, it helps prevent crosstalk. USB-A is used on hosts, USB-B and microUSB3 are mainstays on devices, and USB-C, in its universality, can be used everywhere.
remember, microUSB3 is backwards compatible with microUSB cables! By [William.wl.li], CC BY-SA 4.0On some devices of Eastern manufacture, in the dark days before USB-C, you might have seen USB-A used as a device port, and the devices would come bundled with the forbidden USB A-to-A cable. MicroUSB3 has the reputation for being finicky, and USB-B 3 is quite bulky, to the point where not all devices could even afford the added height. If you’re in a pinch and you need a USB 3 device port, you can still use USB-A – people will call it cursed, but you might as well wear this badge proudly.
Nowadays, if USB-C isn’t an option because you can’t be bothered to find a mux, a device with microUSB3 would be my second choice. The trick is to buy a few USB-C to microUSB3 cables on Aliexpress. I swear by them, and if you have some microUSB3 devices at home, you should grab two or three cables like that and never worry about microUSB3 again. Not that the forbidden A-A cable is hard to find nowadays, either!
Last thing to mention is, you might see USB 3 cables and sockets in an initially unexpected place – carrying a PCIe x1 link, again, in hardware of Eastern design. USB 3 cables are only used there for the extra lines: USB 2 pins carry REFCLK, and the two high-speed pairs carry, DRAIN typically carries GND, and the USB2 VBUS and GND tend to carry two PCIe link management signals.
This is an unspoken standard across Eastern vendors of many PCIe accessories – you might see slight pinout variations, but nothing too major. Honestly, I respect that a lot, I’ve recommended it to my hardware hacker friends as a way to expose PCIe, and it’s something that I believe is a decent option, especially given the abundance of hardware that uses USB 3 connectors for PCIe. Is it standards compliant? No. Could someone call it cursed? Yes. Is it a viable way to carry a PCIe x1 link? Also yes. Is it easy to implement? Yes, again. Is it cheap? Without a doubt. If you really need x4 and guaranteed high speeds, you might want to go for Oculink, but until then, the abusing USB 3 hardware will do just fine.
There’s more I could say about USB 3, but for now, I hope this is more than sufficient for you to wade through USB 3 waters, for whatever hacks and projects you might be exploring. Got questions, corrections, or advice? Ever make something cool with USB 3? Tell us all in the comments down below!
Annunci: Meta vuole essere "meno illegale", ma molto più fastidioso... Nella battaglia sull'uso illegale dei dati personali per la pubblicità, Meta ha annunciato un'altra variazione: Questa volta Meta proverà annunci "meno personalizzati", che potrebbero infastidire gli utenti e indurli ad acconsentire. mr12 November 2024
Annunci: Meta è orgoglioso di essere "meno illegale", ma presto più fastidioso Nella battaglia sull'uso illegale dei dati personali per la pubblicità, Meta ha annunciato un'altra variazione: Questa volta Meta proverà annunci "meno personalizzati", che potrebbero infastidire gli utenti e indurli ad acconsentire. mr12 November 2024
The Secret Service has used a technology called Locate X which uses location data harvested from ordinary apps installed on phones. Because users agreed to an opaque terms of service page, the Secret Service believes it doesn't need a warrant.
The Secret Service has used a technology called Locate X which uses location data harvested from ordinary apps installed on phones. Because users agreed to an opaque terms of service page, the Secret Service believes it doesnx27;t need a warrant.#FOIA #Privacy
The Secret Service has used a technology called Locate X which uses location data harvested from ordinary apps installed on phones. Because users agreed to an opaque terms of service page, the Secret Service believes it doesn't need a warrant.
L’Open Web Application Security Project (OWASP) è un’organizzazione senza scopo di lucro che sviluppa standard di sicurezza per le applicazioni e le API (Application Programming Interface). I suoi progetti, tra cui la “Top Ten”, sono utilizzati come riferimento per la sicurezza applicativa a livello mondiale.
Oggi, con la diffusione dei modelli linguistici di grandi dimensioni (LLM, Large Language Models), OWASP ha introdottouna nuova lista Top Ten specifica per aiutare a identificare e mitigare i rischi di sicurezza unici di questi modelli. Gli LLM, come GPT, sono suscettibili a nuove vulnerabilità, che vanno dall’esfiltrazione di dati sensibili alla manipolazione delle risposte. Comprendere e mitigare tali rischi è fondamentale, soprattutto per applicazioni critiche e sensibili.
OWASP LLM Top Ten
Vediamo subito quali sono i rischi principali, sulla base della versione 1.1, la più recente di OWASP LLM Top Ten:
Prompt Injection: input maligni progettati per indurre l’LLM a comportarsi in modi non previsti, con il rischio di esporre dati sensibili o attivare azioni non autorizzate.
Insecure Output Handling: rischi derivanti dal fatto che l’output degli LLM non viene adeguatamente sanitizzato, causando potenziali problemi di sicurezza come attacchi XSS (cross-site scripting) o esecuzione remota di codice.
Training Data Poisoning: avvelenamento dei dati usati per addestrare o affinare i modelli, con il rischio di compromettere la sicurezza, l’etica o le performance del modello stesso.
Model Denial of Service: gli attaccanti causano operazioni che richiedono molte risorse sui modelli di linguaggio di grandi dimensioni, portando a una degradazione del servizio o a costi elevati.
Supply Chain Vulnerabilities: rischi legati a componenti di terze parti, come plugin o modelli pre-addestrati, che potrebbero introdurre minacce o vulnerabilità esterne.
Sensitive Information Disclosure: rischio che gli LLM rivelino accidentalmente informazioni riservate, come dati proprietari o personali, soprattutto se i prompt degli utenti vengono riutilizzati nei dati di addestramento.
Insecure Plugin Design: vulnerabilità derivanti dall’uso di plugin che accettano input non validati, che potrebbero consentire attacchi di tipo prompt injection o l’esecuzione remota di codice.
Excessive Agency: si può verificare quando gli LLM vengono dotati di troppo potere o autonomia, con conseguenti rischi per la sicurezza e il controllo.
Overreliance: pericolo derivante dall’affidarsi ciecamente agli output degli LLM senza verificarne la validità, con il rischio di prendere decisioni errate basate su informazioni inaccurate o talvolta inventate.
Model Theft: rischio che i modelli vengano rubati da parte di attaccanti che sfruttano vulnerabilità nell’infrastruttura che li ospita.
Come mitigare i rischi
Al di là della lista, ciò che serve è acquisire dimestichezza e conoscenza su questi rischi e gestirli, occorre dunque capire come possono essere mitigati.
Per ognuno dei dieci rischi elencati nella Top Ten esistono metodi più o meno efficaci per la mitigazione. Se pensiamo alla prompt injection, il rischio numero uno nella top ten LLM, la metodologia di mitigazione più efficace consiste nell’implementare filtri di input avanzati per rilevare e bloccare potenziali attacchi.
Per mitigare i rischi legati alla gestione insicura dell’output (Insecure Output Handling), è fondamentale applicare alcune pratiche di sicurezza. In primis, l’output generato deve essere sanitizzato per evitare che contenga codice dannoso, come quello usato negli attacchi XSS. Inoltre, l’adozione di filtri linguistici è cruciale per bloccare contenuti inappropriati o dannosi, regolando i termini o le frasi che possono essere generati. Un’altra misura importante è l’uso di una struttura di risposta predeterminata, che garantisce che l’output segua un formato sicuro e controllato, riducendo il rischio di generare risposte non sicure. Infine, è essenziale implementare monitoraggio e logging delle risposte prodotte dal modello, per rilevare attività sospette e prevenire attacchi futuri.
Per contrastare il rischio di avvelenamento dei dati di addestramento (Training Data Poisoning), è essenziale adottare misure di protezione rigorose. Una pratica fondamentale è la verifica dei dati, assicurando che provengano da fonti affidabili e non siano stati manipolati, tramite tecniche di autenticazione. Inoltre, il monitoraggio della qualità dei dati è cruciale per individuare e rimuovere dati anomali o dannosi, mantenendo l’integrità del modello. È importante anche applicare tecniche di differenziazione dei dati, come la privacy differenziale, per proteggere le informazioni sensibili durante l’addestramento. Infine, è essenziale controllare le dipendenze esterne, garantendo che le fonti di dati, inclusi i modelli pre-addestrati, siano sicure e prive di vulnerabilità.
Tra le raccomandazioni generali, valide dunque per tutti, si ricorda che è bene realizzare audit regolari del modello, controlli di accesso e valutazioni di vulnerabilità.
La sicurezza degli LLM richiede il coinvolgimento di ingegneri, sviluppatori e team di sicurezza per affrontare in modo olistico i rischi.
Progetti e iniziative europee
In ambito europeo si sta cercando di gestire meglio questi nuovi rischi. Il progetto KINAITICS è un’iniziativa finanziata dall’Unione Europea che si concentra sull’analisi e la gestione delle minacce cyber-cinetiche, in particolare quelle che coinvolgono sistemi cyber-fisici e intelligenza artificiale.
Questo progetto, lanciato nell’ottobre 2022, riunisce partner da cinque Paesi europei tra cui l’Italia, include istituzioni come il Commissariat à l’Énergie Atomique (CEA) che agisce da coordinatore del progetto, oltre a diversi partner privati, per migliorare la sicurezza dei sistemi interconnessi che impiegano AI per il controllo e l’elaborazione dati.
KINAITICS si distingue per il suo approccio innovativo nello sviluppo di una matrice di minacce specifica, adattata a mitigare i rischi derivanti dall’integrazione dell’intelligenza artificiale in contesti industriali e cyber-fisici. Il progetto mira a prevenire attacchi sofisticati, come quelli basati sui digital twin di una fabbrica, che consentono a un attaccante di identificare punti vulnerabili nei cicli di produzione e introdurre misure di disturbo per sabotare i sistemi di controllo.
Un digital twin è una replica virtuale di un sistema fisico, e se compromesso, può portare a guasti nei cicli produttivi reali, manipolando i dati che alimentano i modelli. Questi attacchi dimostrano quanto sia cruciale proteggere i modelli AI avanzati, che, se vulnerabili, possono compromettere l’intero sistema cyber-fisico.
KINAITICS sviluppa tecnologie e metodologie per rilevare e difendersi da tali attacchi, creando una matrice di minacce mirata a rafforzare la sicurezza nei settori industriali. L’obiettivo complessivo è creare difese più resilienti attraverso strumenti e metodologie avanzate, integrando standard legali ed etici per garantire un uso sicuro dell’AI in vari settori industriali.
Conclusione
La sicurezza dei modelli di intelligenza artificiale, in particolare quelli linguistici avanzati, è un ambito in continua evoluzione, con rischi specifici come gli attacchi attraverso i digital twins che possono compromettere interi sistemi cyber-fisici. L’integrazione crescente dell’AI in contesti industriali e quotidiani richiede soluzioni proattive per proteggere le infrastrutture e garantire un uso sicuro delle tecnologie. L’OWASP LLM Top Ten offre una guida per identificare e mitigare i principali rischi, ma è essenziale una gestione continua e approfondita.
Poiché le minacce evolvono rapidamente, la sicurezza degli LLM non può essere considerata un compito da eseguire una sola volta, ma deve essere un processo continuo. L’adozione di misure di protezione specifiche è essenziale, ma la gestione delle vulnerabilità richiede una vigilanza costante e l’implementazione di aggiornamenti regolari, audit di sicurezza e valutazioni dei rischi. Un approccio olistico alla sicurezza, che coinvolga ingegneri, sviluppatori e team di sicurezza in un ciclo continuo di monitoraggio e miglioramento, è cruciale per prevenire nuove vulnerabilità e garantire che le tecnologie emergenti siano sempre protette da potenziali attacchi. Solo così si potrà garantire l’integrità dei modelli e proteggere le applicazioni sensibili da rischi imprevisti.
Progetti come KINAITICS, con il loro approccio innovativo alla protezione contro le minacce cyber-cinetiche, rappresentano un passo cruciale nel rafforzamento della sicurezza, mirando a prevenire attacchi sofisticati e a sviluppare difese resilienti. La sensibilizzazione dei professionisti della sicurezza è fondamentale per ridurre le vulnerabilità e assicurare che queste tecnologie avanzate siano utilizzate in modo sicuro e responsabile.
Su proposta del ministro della Difesa, Guido Crosetto, il Consiglio dei ministri ha nominato il generale Salvatore Luongo, 62 anni, (a destra nella foto) prossimo comandante generale dell’Arma dei Carabinieri. Per lui si tratta di una promozione, considerato che dal 1° giugno scorso è vicecomandante generale.
@Politica interna, europea e internazionale I giudici bloccano il trasferimento dei migranti in Albania: cosa succede adesso Ieri, lunedì 11 novembre, il Tribunale di Roma non ha convalidato il trattenimento in Albania di sette migranti egiziani e bengalesi che erano stati intercettati nei giorni precedenti dalla
On November 5th, the United States launched an LGM-30G Minuteman III ICBM from Vandenberg Space Force Base in California. Roughly 30 minutes later the three warheads onboard struck their targets 4,200 miles (6,759 km) away at the Reagan Test Site in the Marshall Islands. What is remarkable about this test is not that one of these ICBMs was fired — as this is regularly done to test the readiness of the US’ ICBMs — but rather that it carried three warheads instead of a single one.
Originally the Minuteman III ICBMs were equipped with three warheads, but in 2014 this was reduced to just one as a result of arms control limits agreed upon with Russia. This New Start Treaty expires in 2026 and the plan is to put three warheads back in the 400 operational Minuteman III ICBMs in the US’ arsenal. To this end a validation test had to be performed, yet a 2023 launch failed. So far it appears that this new launch has succeeded.
Although the three warheads in this November 5 launch were not nuclear warheads but rather Joint Test Assemblies, one of them contained more than just instrumentation to provide flight telemetry. In order to test the delivery vehicle more fully a so-called ‘high-fidelity’ JTA was also used which is assembled much like a real warhead, including explosives. The only difference being that no nuclear material is present, just surrogate materials to create a similar balance as the full warhead.
Assuming the many gigabytes of test data checks out these Minuteman III ICBMs should be ready to serve well into the 2030s at which point the much-delayed LGM-35 Sentinel should take over.
Le organizzazioni di tutto il mondo devono stare in allerta: è in corso uno sfruttamento attivo di una vulnerabilità critica nel software Veeam Backup & Replication per distribuire una nuova variante di ransomware, chiamata “Frag”. Questo nuovo attacco dimostra ancora una volta come i criminali informatici stiano diventando sempre più abili nel prendere di mira i sistemi di backup, vitali per il recupero dei dati e la continuità operativa.
Identificata come CVE-2024-40711, la vulnerabilità consente l’esecuzione di codice remoto senza autenticazione. Con un punteggio di gravità impressionante di 9.8 su 10 nella scala CVSS, il rischio di compromissione è elevato, tanto da fare di Veeam un obiettivo altamente appetibile per i cybercriminali. Il bug affligge Veeam Backup & Replicationversione 12.1.2.172 e le versioni precedenti. Nonostante Veeam abbia rilasciato delle patch correttive già da settembre 2024, numerose organizzazioni non le hanno ancora applicate.
La minaccia è stata collegata a un gruppo noto come STAC 5881, una “unità d’azione” che ha già sfruttato VPN compromesse per ottenere un accesso iniziale ai network target. Una volta penetrati, i malintenzionati fanno leva sulla vulnerabilità di Veeam per creare account amministrativi non autorizzati e proseguire con le loro operazioni malevole. STAC 5881, che in passato ha distribuito varianti di ransomware come Akira e Fog, ha ora sfoderato Frag, una versione mai vista prima, capace di colpire rapidamente e con precisione chirurgica.
Il ransomware Frag viene eseguito da riga di comando e permette agli attaccanti di specificare la percentuale di crittografia dei file. Una volta colpiti, i file assumono l’estensione “.frag”, segnando visibilmente i danni inflitti. Con l’analisi dei Sophos X-Ops, è stato possibile individuare similitudini tra Frag e le varianti precedenti, suggerendo che potrebbe trattarsi di un “nuovo attore” che adotta tattiche già consolidate. Ancora una volta, il modus operandi ruota attorno alla massimizzazione dei danni alle infrastrutture di backup, al fine di costringere le vittime a pagare il riscatto.
Perché i backup sono sotto attacco?
I backup sono una risorsa critica: permettono alle organizzazioni di ripristinare i dati senza soccombere alle richieste dei cybercriminali. Tuttavia, se questi sistemi vengono compromessi, le possibilità di recupero crollano drasticamente, aumentando la pressione sul pagamento del riscatto. Gli attacchi mirati a backup e sistemi di ripristino, come dimostrato da Frag, si stanno trasformando in una tattica prediletta dagli attori malevoli, che colpiscono il punto nevralgico della resilienza aziendale.
Consigli per difendersi
Applicare subito le patch per le versioni vulnerabili di Veeam Backup & Replication.
Isolare i server di backup da Internet, dove possibile, per ridurre l’esposizione a potenziali attacchi.
Implementare l’autenticazione multi-fattore per accedere ai sistemi di gestione dei backup, aumentando così le barriere di sicurezza.
Attivare un monitoraggio continuo per rilevare attività sospette o comportamenti anomali, fondamentali per intercettare i segnali di un potenziale attacco.
Conclusioni
Con varianti come Frag e gruppi come STAC 5881 in circolazione, le organizzazioni devono reagire con rapidità e rigore. I criminali informatici si evolvono senza tregua, pronti a colpire infrastrutture critiche e, in questo caso, i sistemi di backup su cui molte aziende fanno affidamento per sopravvivere. Il messaggio è chiaro: non possiamo permetterci di abbassare la guardia. Una patch trascurata o una protezione obsoleta possono significare il crollo dei sistemi, la perdita di dati critici e, inevitabilmente, gravi danni reputazionali e finanziari.
Per gli amministratori IT, è tempo di agire, aggiornare e proteggere – e farlo subito!
@Notizie dall'Italia e dal mondo Le nomine confermate e i nomi che circolano da più voci compongono un quadro di estremismo e intransigenza: sostegno incondizionato a Israele in tutti i consessi nazionali e internazionali, politiche di deportazione e repressione contro i migranti, scontro con l'Iran, opposizione a Cina, Cuba e alle esperienze
dwindling7373
in reply to Cybersecurity & cyberwarfare • • •