Il nuovo malware bancario Android DroidBot mira a rubare credenziali da 77 app bancarie e di criptovaluta (tra cui Binance, KuCoin, BBVA, Unicredit, Santander, Metamask, BNP Paribas, Credit Agricole, Kraken e Garanti BBVA).

Alla scoperta del MaaS DroidBot

La società che ha scoperto DroidBot, Cleafy, riferisce che è attivo da giugno 2024 e opera secondo lo schema malware-as-a-service (MaaS). L’abbonamento a DroidBot costa 3.000 dollari al mese e molte cyber gang utilizzano questo servizio per scopi specifici.

Secondo Cleafy, il malware attacca principalmente utenti nel Regno Unito, Italia, Francia, Spagna e Portogallo. Sebbene DroidBot non abbia funzionalità nuove o sofisticate, l’analisi di una sola delle botnet costruite su di esso ha rivelato 776 casi unici di infezione nel Regno Unito, Italia, Francia, Turchia e Germania. Allo stesso tempo, i ricercatori avvertono che il malware è attualmente in fase di sviluppo e che i suoi attacchi si stanno espandendo in nuove regioni, compresi i paesi dell’America Latina.

Un Malware altamente personalizzabile

Gli analisti ritengono che i creatori di DroidBot si trovino in Turchia e forniscano ai propri clienti gli strumenti già pronti necessari per sferrare attacchi. Questo “pacchetto di servizi” includono:

• Intercettazione degli SMS : il malware monitora i messaggi SMS in arrivo, spesso utilizzati dagli istituti finanziari per inviare numeri di autenticazione delle transazioni (TAN), consentendo agli aggressori di aggirare i meccanismi di autenticazione a due fattori.
• Key-Logging : sfruttando i servizi di accessibilità, DroidBot cattura le informazioni sensibili visualizzate sullo schermo o immesse dall’utente, come credenziali di accesso, dati personali o saldi dei conti.
• Attacco overlay : questo approccio consiste nel visualizzare una falsa pagina di accesso sopra l’applicazione bancaria legittima una volta che la vittima la apre, per intercettare credenziali valide.
• Routine di tipo VNC: DroidBot acquisisce periodicamente screenshot del dispositivo della vittima, fornendo agli autori della minaccia dati visivi continui che offrono una panoramica in tempo reale dell’attività del dispositivo.
• Interazione con lo schermo : sfruttando il pieno potenziale dei servizi di accessibilità, DroidBot consente il controllo remoto del dispositivo infetto. Ciò include l’esecuzione di comandi per simulare le interazioni dell’utente, come toccare pulsanti, compilare moduli e navigare tra le applicazioni, consentendo di fatto agli aggressori di utilizzare il dispositivo come se fossero fisicamente presenti.

Poiché diversi client lavorano sulla stessa infrastruttura (e a ciascun gruppo viene assegnato un ID univoco), i ricercatori sono stati in grado di identificare 17 gruppi diversi utilizzando DroidBot. Il generatore di payload consente ai clienti di personalizzare DroidBot per applicazioni specifiche, utilizzare lingue diverse e impostare i propri indirizzi del server di controllo. Gli utenti del malware hanno inoltre accesso a documentazione dettagliata, supporto tecnico e accesso al canale Telegram, dove vengono regolarmente pubblicati gli aggiornamenti.

Un Trojan che si maschera da Applicazione legittima

DroidBot spesso si maschera da applicazione come Google Chrome, Google Play Store o Android Security per indurre gli utenti a installare malware. Nonostante queste forme innocue, si comporta come un Trojan su un dispositivo infetto e cerca di rubare informazioni riservate da applicazioni specifiche.

Come molti altri malware Android, DroidBot abusa dei servizi di accessibilità per tenere traccia delle azioni dell’utente e simulare passaggi e tocchi.

Va osservato che DroidBot non è ancora penetrato nel negozio ufficiale di Google Play. Pertanto, per proteggersi da tali attacchi, i ricercatori invitano gli utenti a installare applicazioni solo da fonti attendibili e a esaminare attentamente quali autorizzazioni richiedono.

L'articolo DroidBot Sbarca in Italia! Il Malware Android che Ruba le Credenziali a 77 App Bancarie proviene da il blog della sicurezza informatica.

A seguito dell’operazione internazionale Passiflora, le forze dell’ordine hanno chiuso la piattaforma di messaggistica crittografata Matrix. Allo stesso tempo, le autorità affermano di aver sequestrato il servizio all’inizio del 2024 e di aver monitorato le comunicazioni dei criminali per tre mesi.

Va sottolineato che la piattaforma Matrix, chiusa dalle forze dell’ordine, non ha nulla a che vedere con l’omonimo protocollo decentralizzato open source per il trasferimento dati (matrix.org). L’operazione Passiflora è stata coordinata da Europol ed Eurojust e ha coinvolto le forze dell’ordine di molti paesi europei, tra cui Francia, Paesi Bassi, Italia, Lituania, Spagna e Germania.

L’indagine su Matrix è iniziata dopo che la polizia ha esaminato il telefono di un uomo che nel luglio 2021 ha attentato alla vita del giornalista investigativo olandese Pieter R. de Vries, che scriveva di malavita. Nove giorni dopo questo tentativo di omicidio, de Vries morì in ospedale. Poi si è scoperto che il dispositivo del criminale era stato modificato e si è scoperto che aveva una connessione configurata al servizio Matrix, progettato per comunicazioni crittografate.

È stato riferito che di conseguenza la squadra investigativa, che comprendeva rappresentanti delle forze dell’ordine olandesi e francesi, è stata in grado di tracciare e intercettare 2,3 milioni di messaggi in 33 lingue inviati tramite i dispositivi Matrix. Purtroppo non sono stati ancora forniti dettagli tecnici su come ciò sia stato fatto.

“Per tre mesi, le autorità sono state in grado di tracciare le comunicazioni dei probabili autori, che ora verranno utilizzate per svolgere altre indagini”, si legge in una dichiarazione ufficiale di Europol . “In un’operazione coordinata supportata da Eurojust ed Europol, il servizio di messaggistica è stato smantellato dalle autorità olandesi e francesi, seguito dalla successiva azione delle loro controparti italiane, lituane e spagnole”.

Secondo gli investigatori, più di 40 server Matrix dislocati in tutta Europa fornivano comunicazioni a 8.000 account utente. Ai clienti della piattaforma è stato offerto il proprio sistema operativo Matrix, chiamate vocali e video crittografate, applicazioni per la trasmissione di messaggi crittografati, accesso anonimo a Internet e monitoraggio delle transazioni. La piattaforma includeva anche un’app di gioco d’azzardo e aveva una propria valuta per il pagamento degli abbonamenti.

Gli utenti del servizio hanno pagato da 1350 a 1700 dollari in criptovaluta per dispositivi modificati basati su Google Pixel, nonché un abbonamento di sei mesi a Matrix, che era preinstallato su tali dispositivi. Va inoltre notato che Matrix veniva venduto con altri nomi (Mactrix, Totalsec, X-quantum e Q-safe), ma tutti questi servizi utilizzavano la stessa infrastruttura.

I rappresentanti di Europol notano che l’infrastruttura Matrix era tecnicamente più complessa delle infrastrutture delle piattaforme Sky ECC ed EncroChat precedentemente chiuse. E gli utenti potevano aderire al servizio solo su invito. Questa settimana, le forze dell’ordine hanno effettuato raid e perquisizioni simultanee in dozzine di paesi diversi, provocando la chiusura di 40 server Matrix in Francia e Germania, nonché l’arresto di cinque sospetti in Spagna e Francia. Si ritiene che uno dei detenuti, un lituano di 52 anni il cui nome non è stato reso noto, sia il proprietario e principale operatore di Matrix.

Durante le perquisizioni, le autorità hanno sequestrato 970 telefoni sicuri, 145.000 euro in contanti, 500.000 euro in criptovaluta e quattro automobili. Il sito web di Matrix ora contiene un avviso che avverte gli utenti del servizio che la loro corrispondenza è stata divulgata e che loro stessi potrebbero presto essere coinvolti in procedimenti penali.

Tuttavia, la polizia olandese avverte che tutti gli utenti Matrix che hanno scelto questo servizio per la sua riservatezza e anonimato, e non sono stati coinvolti in attività criminali, dovrebbero contattare le forze dell’ordine all’indirizzo geheimhouders@om.nl con la richiesta di essere esclusi dalle indagini.

Va notato che la liquidazione di Matrix porta avanti una serie di chiusure di altri servizi simili, i cui clienti erano principalmente gruppi criminali organizzati coinvolti nel traffico di droga e nel riciclaggio di denaro. Pertanto, negli ultimi anni, le forze dell’ordine hanno interrotto le attività di piattaforme di comunicazione crittografate come Encrochat, Sky ECC, Phantom Secure, Anom e Ghost .

Le prove ottenute dalle infrastrutture di questi servizi (attraverso il monitoraggio dei messaggi intercettati o dai server sequestrati) hanno portato infine all’arresto di migliaia di trafficanti di droga, trafficanti di armi, criminalità organizzata, assassini e individui associati al riciclaggio di denaro.

L'articolo Operazione Passiflora: La piattaforma Matrix smantellata e 2,3 milioni di messaggi intercettati proviene da il blog della sicurezza informatica.

Connessi a morte. Guerra, media e democrazia nella società della cybersecurity

Connessi a morte: arrivato in libreria il nuovo libro di Michele Mezza con prefazione di Barbara Carfagna e postfazione di Arturo Di Corinto.

Connessi a morte. Guerra, media e democrazia nella società della cybersecurity (Donzelli, 2024) di Michele Mezza è un’opera che esplora l’impatto profondo e multiforme della tecnologia, in particolare della connettività digitale e dell’intelligenzaartificiale, sulla guerra, la politica e la società nel suo complesso. Mezza dipinge un quadro del mondo contemporaneo in cui la linea di demarcazione tra guerra e pace, tra reale e virtuale, diventa sempre più sfocata, e dove la cybersecurity si trasforma in un elemento cardine non solo per la sicurezza nazionale, ma anche per la vita quotidiana di ogni individuo.

L’autore introduce il concetto di “mobile war”, una guerra in cui la connettività mobile è l’arma principale e i confini tra combattenti e civili sono labili. L’emblema di questa nuova era è l’immagine di Yahya Sinwar, leader di Hamas, individuato e poi ucciso da un drone israeliano mentre brandiva un bastone in segno di sfida. Questa scena, diffusa globalmente, incarna la vulnerabilità di chiunque nell’era digitale, dove la localizzazione e l’eliminazione mirata sono diventate realtà.

Mezza sottolinea come la guerra si sia evoluta, non limitandosi più all’inflizione di danni fisici, ma puntando al controllo dell’informazione, alla manipolazione della percezione e all’instillazione della paura attraverso la dimostrazione di potere tecnologico.

La cybersecurity, a sua volta, si è trasformata in un elemento cruciale, non solo come strumento di difesa, ma anche come motore di un nuovo sistema di relazioni e interessi geopolitici. Il misterioso affondamento del panfilo Bayesian, con a bordo figure chiave del mondo della cybersecurity, illustra come le informazioni e le tecnologie in questo campo siano diventate asset strategici di enorme valore, in grado di influenzare gli equilibri di potere globali.

dicorinto.it/libri/connessi-a-…

OK, I know. We don’t have practical teleportation. But that hasn’t stopped generations of science fiction authors and movie makers from building stories around it. If you ask most ordinary people, they’d tell you the idea originated with the Star Trek transporter, but that’s far from the truth. So when did people start thinking about teleporting?

Ground Rules

Maybe it isn’t fair, but I will draw the line at magic or unexplained teleportation. So “The Tempest”, for example, doesn’t use technology but magic. To get to Barsoom, John Carter wished or slept to teleport to Mars. So, while technology might seem like magic, we’re focusing on stories where some kind of machine can send something — usually people — to somewhere else.

Of course, there’s a fine line between pure magic and pure technology where they overlap. For example, in the opera “Der Ring des Nibelungen”, a magic helmet gives people powers, including that of teleportation. While you could argue that Tarnhelm — the name of the magic helmet — was a technological artifact, it is still explained by magic, not science.

Some systems need a transmitter and a receiver. Sometimes, you only need the transmitter. Sometimes, you can only teleport within a limited range, but other make-believe systems can transport an entire starship across the galaxy.

Early Teleporters

The Man without a Body is a story from 1877 in which a scientist is able to transmit a cat via a telegraph wire. Encouraged, he attempts the same feat with himself, but the battery dies in the middle, leaving him with a disembodied head. The ending is decidedly devoid of science, but the story is possibly the earliest one with a machine sending matter across a distance.

Then there was “To Venus in Five Seconds.” A woman lures the hero into a room with a machine, and presumably, in five seconds, the room opens up to Venus. Sure, today, we know that Venus would kill you, but in 1897, it made for a grand adventure.

A Bit More Modern

Arthur C. Clarke’s “Travel by Wire” appeared in 1937. In fact, this was his first published story that he later didn’t think was very good. The machine was a “radio-transporter” that perhaps foreshadowed the Star Trek transporter. I’ve heard that Clarke and Roddenberry were friends, so maybe this was the inspiration for Star Trek.

The 1939 serial “Buck Rogers” showed a teleportation device (check out the 13 minute mark in the video below). Who needs elevators?

youtube.com/embed/kD7F0aHCALE?…

Speaking of Buck Rogers, the 1953 parody “Duck Dodgers in the 24½th Century” had evaporators, which were essentially teleportation booths.

youtube.com/embed/8E9PhCbW_jQ?…

Van Vogt’s “The World of Null-A ” featured teleportation in 1945, although the story takes place in the year 2580. Asimov’s “It’s Such a Beautiful Day” from 1945 used “Doors” to move people around in the year 2117. In the end, some people rediscover the joy of a walk outdoors.

The 1950 serial “Atom Man vs. Superman” used a teleportation machine. Of course, Superman didn’t have it. Lex Luthor used it to make people disappear and reassembled them in a different place (see around the 5 minute mark).

youtube.com/embed/HirHXppgaw8?…

In the second half of the 20th century, teleporters were commonplace in speculative fiction. Alfred Bester wrote about them in the 1956 novel “The Stars My Destination”. Heinlein’s “Tunnel in the Sky” was out a year earlier and stranded some students led by Rod Walker via teleportation.

Of course, many stories depend on teleporters not working very well. “The Fly” (which later became several movies) involved a scientist attempting to perfect teleportation getting mixed up with a housefly. He originally tries to teleport a cat, which I presume was a nod to “The Man Without a Body.”

youtube.com/embed/dLI4RYEiAEs?…

Then Came…

Of course, Star Trek made the transporter a household name. Gene Roddenberry and his crew didn’t develop the concept out of some future vision. They just couldn’t figure out a cheaper way to show Captain Kirk and friends arriving on a different planet every week.

One thing that was very impressive about the Enterprise transporter is that it didn’t need a receiver. You just “beamed” people to their destination. Of course, each version of Star Trek had their own unique look and sound — sometimes more than one, as you can see in the video below.

youtube.com/embed/IleqZPFBdSA?…

The Physics

Of course, we don’t know how to do any sort of teleportation, but you can think about some of the limitations. Most of these devices imply that they take you (or whatever you are beaming) apart and send your actual physical substance to reconstitute at the other side. There are a few imagined systems (like the one on Dark Matter from 2015) that make a copy of you and destroy it, but that’s another problem (see The Philosophy below).

Scanning an entire body at an atomic resolution would be pretty hard. Tearing all those atoms apart, maybe even to subatomic particles, would take a lot of energy. Putting them back correctly would take even more. I’ve read estimates that the amount of data involved in such a scan would be about 10³¹ bytes of data, although that is, of course, an estimate.

Then there are the practical issues. You can’t just get the passenger unless you want them to appear at the destination naked, so you better scan a little further out. What happens to the vacuum left when they disappear? Do you get a thunderclap of air rushing in? Do you exchange it with the air at the destination?

Speaking of the destination, you have to conserve energy over this process. So, if you beam from a location moving faster compared to the target, where does the energy go? When you come back, where does the extra energy come from?

That’s not to say there’s no way to do these things, just it is harder than it looks at first glance. But plenty of things we do routinely today would seem impossible in 1900. Put a phone in everyone’s pocket? Bah! That would never happen. Except it did.

The Philosophy

The real problem isn’t one of technology but one of philosophy. The Ship of Theseus is a thought experiment proposed by the ancient Greek Plutarch. The idea is simple: Suppose there is a ship that was involved in a famous battle, and tourists visit it. Over the years, some of the wood on the ship rots, so carpenters replace the damaged parts. Over enough years, all the original wood is gone. None of the parts belong to the ship that fought in the battle. Is it the same ship?

The transporter suffers from the same problem (a point I made in “Last Men Standing” where a small group of humans resisted transporter technology). If you rip a person apart, did you kill them? If you put them back together, is it the same person? Or is it a new person who thinks they are the old person?

I’m not sure how you ever answer that question definitely. If someone proposed that when you sleep, you die, and a new person wakes up every morning with all your memories, you’d have a hard time refuting it. But you feel like you don’t die every night. But, then again, that’s exactly how you would feel if it were true.

One key would be if the transporter could create copies of people. Star Trek itself dabbled in this, with the transporter creating good and bad Kirk, for example. Forgetting where the extra mass went, though, it was clear that they were not copies but splits of a single original.

This follows with Thomas Hobbes’ extension of the Ship of Theseus paradox. Suppose as carpenters replaced all the parts of the original ship, they saved the pieces and used them to build a new ship. Is it now the original? It seems like if a transporter can make a full copy of you (even if it isn’t allowed to), then what is coming out at the receiver is not an original but a copy. That has major implications for what it means to be conscious and other uncomfortable topics.

Meanwhile…

I’m going to elect to not think about these things. Instead, I’m going to go enjoy more science fiction with teleportation technology in it.

While teleportation seems impossible, Dr. Hamming would encourage you to work on it, I think. Then again, maybe you could just teleport virtually.

hackaday.com/2024/12/05/a-brie…

Si avvicina il Natale, e il garante tira fuori dall'armadio la spina dorsale, e le palle di Natale. GEDI non sarà contenta.

spreaker.com/episode/dk-9x11-f…

Nostalgia is a funny thing. If you experienced the early days of video games in the 1980s and 90s, there’s a good chance you remember those games looking a whole lot better than they actually did. But in reality, the difference between 2023’s Tears of the Kingdom and the original Legend of Zelda is so vast that it can be hard to reconcile the fact that they’re both in the same medium. Of course, that doesn’t mean change the way playing those old games actually makes you feel. If only there was some way to wave a magic wand and improve the graphics of those old titles…

Well, if you consider Ghidra and a hex editor to be magic wands in our community, making that wish come true might be more realistic than you think. As [Alberto Marnetto] explains in a recent blog post, decompiling Stunt Island and poking around at the code allows one to improve the graphical detail level in the flight simulator by approximately 800%. In fact, it’s possible to go even higher, though at some point the game simply becomes unplayable.

The same hack also allows ground details to be turned off.
Even if this is the first time you’ve ever heard of this particular 1992 flying game from Disney, the write-up is a fascinating read and contains some practical tips for reverse engineering and debugging older software from within the confines of DOSBox. By strategically setting break points, [Alberto] was able to follow the logic that reads the desired graphical detail level from the configuration file, all the way up to the point where it influences the actual rendering engine.

It turns out the detail level variable was capped off, but by studying the way the engine used that variable to modify other parameters, he was able to tweak the math from the other side of the equation and go beyond the game’s intended 100% detail level.

Looking at the side by side comparison with modern eyes…even the tweaked version of the game leaves a lot to be desired. But there’s only so far you can push the engine, especially given the limited resolution it’s able to run at. But there’s no question that the patch [Alberto] has developed greatly improves the density of objects (buildings, trees, etc) on the ground. The video below shows off the patched game running at full-tilt to give you an idea of what it looks like in motion.

This isn’t the first time we’ve seen an enthusiastic fan patching new capabilities into their favorite retro game. From the upgrades made to Mortal Kombat Arcade Edition to the incredible work [Sebastian Mihai] put into creating a custom expansion to Knights of the Round, you’d be wise not to underestimate what a dedicated gamer can pull off with a hex editor.

youtube.com/embed/AZMDm-2IIzc?…

Thanks to [adistuder] on the Hackaday Discord server for the tip.

hackaday.com/2024/12/05/cranki…

Nowadays, a lot of cybersecurity professionals use IDA Pro as their primary tool for reverse engineering. While IDA is a complex tool that implements a multitude of features useful for dissecting binaries, many reverse engineers use various plugins to add further functionality to this software. We in the Global Research and Analysis Team do the same – and over the years we have developed our own IDA plugin named hrtng that is specifically designed to aid us with malware reverse engineering.

We started working on hrtng back in 2016, when we forked the hexrays_tools plugin developed by Milan Bohacek. Since then, our highly experienced reverse engineer Sergey Belov has added lots of features to this tool, especially those that IDA lacked, from string decryption to decompiling obfuscated assemblies. Sometimes the capabilities we needed were implemented in existing and often abandoned plugins – in this case we integrated the obsolete code into hrtng and kept it updated to work with the latest versions of the ever-changing IDA SDK.

We recently decided to share hrtng with the community and published its source code on GitHub under the GPLv3 license – and in this article we want to demonstrate how our plugin makes it easier for a malware analyst to reverse engineer complex samples. To do that, we will analyze a component of the FinSpy malware, a sophisticated commercial spyware program for multiple platforms. While demonstrating the capabilities of our plugin, we will also provide some general tips for working with IDA.

If we open our sample in a HEX editor, we can see that its first two bytes are 4D 5A – the signature for Windows executables.

However, if we load it into IDA, we see that IDA fails to recognize the binary as an executable. So we have no choice but to load the sample as a binary file.

When we do that, IDA displays the bytes of the loaded file. If we disassemble them, we can see that the 4D 5A sequence is not the header of the EXE file; instead, these bytes are part of the following shellcode:

As can be seen from the screenshot above, the first few instructions (highlighted in yellow) are of little value, as they are placed primarily to disguise the shellcode as a PE file. If we further examine the orange part of the code, we can see two interesting constants are assigned there, namely 0x2C7B2 and 0xF6E4BB5E. Next, the blue part contains two instructions, fldz and fstenv. Notably, this combination of instructions is often used in malware to get the value of the EIP register and thus identify the shellcode address. After obtaining this address, the shellcode increases it by 0x1D, saving it in the EDX register using the LEA instruction.
How is it possible to obtain the value of EIP using the fldz and fstenv instructions?
If we search for the description of the fldz and fstenv instructions in the Intel processor documentation (paragraphs 8.3.4 and 8.1.10), we can see that the fldz instruction saves the zero constant to the floating point unit (FPU) stack. In turn, the fstenv instruction retrieves the current state of the FPU, which is stored in the following format:

To understand how the shellcode uses the FPU state, we can import the following state structure into IDA:
struct sFPUstate
{
int cw;
int sw;
int tw;
int fip;
int fis;
int fdp;
int fds;
};
We can further apply this structure to the variable containing the state and observe that the code uses the fip field of this structure:

From the documentation, we can infer that this field contains the instruction pointer value of the FPU – in the case of our shellcode, it stores the address of the fldz instruction.

After retrieving its own address, the shellcode enters a loop, highlighted in green. Its body contains two instructions, XOR and ROL. As you can see from the screenshot, the first operand of the XOR instruction contains the EDX register – and as we just discussed, it stores the address of the shellcode. As a result, the shellcode applies the XOR operation to its own bytes, thus decrypting itself. We can also observe that the decryption key is stored in the EBX register, with its value assigned in the orange part of the shellcode. As for the number of bytes to be decrypted, it is assigned the value 0x2C7B2 stored in the ECX register.

To continue our analysis, we need to decrypt the shellcode, and this can be done in multiple ways, for example, by writing an IDAPython script or with a standalone C program. It’s also convenient to perform decryption with the hrtng plugin; to do so, we can select the encrypted blob using the Alt + L hotkey and then open the Decrypt data window by pressing Shift + D. In this window we can specify the encryption key and algorithm to be used. Our plugin implements the most popular algorithms such as XOR, RC4 or AES out of the box, making it possible to perform decryption with just a few clicks.

To decrypt our shellcode, we need to select the FinSpy algorithm in the window of the above screenshot and set the key 0xF6E4BB5E. Once the decryption is complete, we can continue to analyze the malicious payload.

More details on how to decrypt data with our plugin are available in the following video:

media.kasperskycontenthub.com/…
How to add a custom decryption algorithm to the plugin
It is possible to add a custom encryption algorithm to the plugin by implementing it in the decr.cpp file. The decryption algorithm needs to be specified either in the decrypt_char (for stream ciphers) or decr_core (for block ciphers) function. The plugin code contains case eAlg_Custom and case eAlg_CustomBlk placeholders that can be used as a reference for implementing custom algorithms:

After recompiling the plugin’s source code, the algorithm will be available for use in the ‘Decrypt string’ window.

After the decryption loop finishes, the instructions highlighted in purple transfer execution to the decrypted code. If we look at what is located below the purple section, we can see null bytes followed by this data at offset 0x108:

The byte sequence in the screenshot above starts with bytes 50 45 (PE), which serve a signature of PE file headers. At the same time, our shellcode starts with bytes 4D 5A (MZ), the magic bytes of PE files. As we can see, our shellcode has decrypted itself into a PE file, and now we can dump the decrypted payload to disk using the Create DEC file feature of the hrtng plugin:

media.kasperskycontenthub.com/…

As it turned out, decrypting the shellcode alone didn’t pave the way for further successful analysis. When we open the decrypted payload into IDA, we immediately notice that it fails to load correctly because its import table contains junk values:

This makes it impossible to proceed with the analysis of the loaded file, as we are unable to understand how the shellcode interacts with the operating system. To further analyze why the import table processing went wrong, we need to continue analyzing the purple part of the shellcode.

The code above transfers execution to a function coded in C, and we can decompile it for further analysis. Note that the hrtng plugin includes a component that makes reading the decompilation more convenient by highlighting curly brackets used in ‘if’ statements and loops. It is also possible to jump from one bracket to another by pressing the [ and ] hotkeys:

media.kasperskycontenthub.com/…

Upon examining the decompiled function, we can see that it first calls the sub_A9D8 function multiple times. We can also see that its second argument always contains a large number, such as 0x5C2D1A97 or 0xE0762FEB. In turn, the sub_A9D8 function calls another function named sub_A924. Its code contains the 0xEDB88320 constant, known to be used in the CRC32 hashing algorithm:

Speaking of hash functions such as CRC32, they are often used in malware to implement the Dynamic API Resolution defense evasion technique, which is used to obtain pointers to Windows API functions. This technique uses hashes to prevent strings with suspicious API function names from being included in malicious binaries, making them stealthier.

Our shellcode uses the CRC32 hash for the exact purpose of implementing the Dynamic API Resolution technique, to conceal the names of called API functions. Therefore, in order to continue analyzing our shellcode, we need to match these names with their corresponding CRC32 hash values (e.g., match the NtAllocateVirtualMemory function name with its hash 0xE0762FEB). Again, the hrtng plugin makes this process very simple with its Turn on APIHashes scan feature, which automatically searches disassembled and decompiled code for API function name hashes. When it finds such a hash, it adds a comment with its corresponding function name, renames the function pointer variable, and assigns it the correct data type:

To use this feature, it is first necessary to import Windows type libraries (such as mssdk_win10 and ntapi_win10) into IDA using the Type Libraries window, which can be accessed via the Shift + F11 hotkey. After that, searching for API hashes can be activated using the instructions in the video below:

media.kasperskycontenthub.com/…

Now that we have recovered the names of API functions concealed with API hashing, we can continue analyzing the analyzed function, namely the following code snippet:

The code above executes a loop to search for two signatures, 4D 5A (MZ) and 50 45 (PE). As we mentioned earlier, these are signatures used in PE file headers. Specifically, the byte sequence 50 45 is used in PE files to mark the beginning of the IMAGE_NT_HEADERS structure. So we can apply this structure to the bytes we have:

media.kasperskycontenthub.com/…

From the video we can see that the structure has been applied correctly, as its field values match those specified in the PE file documentation. For example, the FileHeader.Machine field contains the number 0x14C (IMAGE_FILE_MACHINE_I386), and the OptionalHeader.Magic field has the value 0x10B (PE32).
After retrieving the contents of the IMAGE_NT_HEADERS structure, the shellcode parses it. It is noteworthy that such parsing is often observed in code used to load PE files in memory. What is also important about the IMAGE_NT_HEADERS structure is that it contains the import directory offset, which is stored in the OptionalHeader.DataDirectory[1].VirtualAddress field and equal to 0x1240C.

As for the import directory, it is defined as an array of IMAGE_IMPORT_DESCRIPTOR structures. To assign these structures to the import directory in IDA, we can first import the definition of the IMAGE_IMPORT_DESCRIPTOR structure type and then apply it to the contents of the directory:

media.kasperskycontenthub.com/…

Regarding the contents of the defined structures, their first value, named OriginalFirstThunk, should point to an array of imported function names. However, if we look at the structures we just defined, we can see that this field is set to zero. This means that something must be wrong with our defined structures:

If our malware was an ordinary PE file, encountering zero values in this field would be impossible. However, remember that we are not analyzing a PE file, but rather shellcode that resembles a PE file. Because of that, it is possible that the malware developers tampered with the import directory, presenting an obstacle for researchers. Therefore, to further understand what is wrong with the defined structures and how they store names of imported functions, we need to further examine other fields of these structures.

The fourth field in this structure is called Name, and it includes the name of the library that contains the imported functions. It appears to be set correctly – for example, the shellcode contains the msvcrt.dll string at offset 0x12768. However, this is not the case with the last field, named FirstThunk, because the offsets specified in it point to odd-looking addresses. However, if we start defining members of this array as 4-byte integers, the hrtng plugin will recognize them as CRC32 API hashes, making it easy to understand which functions are being used by the malicious code. It is also worth noting that for each imported function, the plugin automatically restores their argument names and data types:

media.kasperskycontenthub.com/…

As it turns out, our shellcode processes imports by extracting function names from arrays of FirstThunk fields. Specifically, it iterates over functions exported by Windows system libraries and calculates the CRC32 hash of each function name, until the hash value matches the one from the array. After finding the matching function, the shellcode stores its address in the FirstThunk array, overwriting the CRC32 hash value.
Now that we have dealt with the imports, we can start analyzing the entry point function. To do this, we can rebase the shellcode to the address specified in the OptionalHeader.ImageBase value and then disassemble the entry point function code at address 0x407FB8 (specified in the OptionalHeader.AddressOfEntryPoint field).

We can see that this function has the following code:

This code first pushes the values of the ESI and ECX registers on the stack. It then performs various calculations involving the ESI register, such as addition, subtraction or XOR. After all the calculation instructions have been executed, the shellcode restores the values of the ESI and ECX registers using the POP instruction. As the shellcode overwrites the value in the ESI register computed by the calculation instructions, these instructions are meaningless and have been inserted to confuse the disassembler. The hrtng plugin contains a useful feature to quickly remove them – this can be done by selecting the junk code and applying the Fill with nops operation to it:

media.kasperskycontenthub.com/…

As you can see from the screenshot below, the entry point function then transfers execution to the instruction at address 0x402E40:

This address contains code that is obfuscated with yet another technique. In the screenshot below, we can see two opposite conditional jumps, ja (jump if above) and jbe (jump if below or equal), that transfer execution to the same address. Therefore, these two conditional jumps are equivalent to a single unconditional jump, and inserting these jumps prevents IDA from correctly analyzing the function.

To efficiently combat such obfuscations involving conditional and unconditional jumps, the hrtng plugin contains a unique feature called ‘Decompile obfuscated code’. It can be activated with the Alt+F5 hotkey, and as the video below shows, it can process our obfuscated code and decompile it in just a few keystrokes:

media.kasperskycontenthub.com/…

If we perform an open source search on the decompiled code from the video, we will be able to identify it as the engine of the FinSpy VM virtualization-based obfuscator. As deobfuscating virtual machines is an extremely tedious reverse engineering challenge, we will not cover it in this article, instead advising interested readers to read the following research papers.
To devirtualize the code in our sample that is protected by FinSpy VM, we will use a ready-made script available here. However, to work correctly, this script must place the functions of the FinSpy VM engines in the correct order to determine the correct virtual instruction opcode values.

Because the order of the virtual machine engine functions is different in each FinSpy sample, we need to name these functions in IDA to retrieve this order. In general, when dealing with function name identification, it is very common to use tools that perform code signature recognition. A popular example of such a tool is FLIRT, which is built into IDA and uses disassembly to compute code signatures. Unfortunately, FLIRT does not work correctly with the engine functions in our sample because their disassembly is heavily obfuscated. Nevertheless, the hrtng plugin implements a more robust alternative of FLIRT called MSIG, which is based on decompiled rather than disassembled code, and we can leverage it to successfully recognize functions in our binary. This can be done using the ‘File -> Load file -> [hrt] MSIG file’ menu.

media.kasperskycontenthub.com/…

Once all the functions are recognized, the deobfuscation plugin will be able to function correctly and produce the decompiled code of the malware. Note that thanks to the hrtng plugin, it looks as if it was never obfuscated:
media.kasperskycontenthub.com/…

The sample we reverse engineered in this article is quite complex, and we had to go through numerous steps to analyze it. First, we learned how the shellcode placed at the beginning of the sample works, and then we examined the modified PE file contained in the shellcode. While analyzing it, we studied multiple PE format structures, and tackled various obfuscation techniques such as API hashing, junk code insertion and code virtualization. We certainly wouldn’t have been able to do all that so efficiently without hrtng – this plugin can automate complex reverse engineering tasks in just a few clicks.
Actually, this plugin contains many more features than we have described in this article. You can find the full list of features as well as the plugin source code and binaries on our GitHub. We hope you find our plugin useful for automating your malware analysis workflow!

securelist.com/hrtng-ida-pro-p…

What do cats get up to in the 30 minutes or so a day that they’re awake? Being jerks, at least in our experience. But like many hackers, [Brent] wanted to quantify the activity of his cat, and this instrumented cat exercise wheel was the result.

To pull this off, [Brent] used what he had on hand, which was an M5Stack ESP32 module, a magnetic reed switch, and of course, the cat exercise wheel [Luna] seemed to be in the habit of using at about 4:00 AM daily. The wheel was adorned with a couple of neodymium magnets to trip the reed switch twice per revolution, with the pulse stream measured on one of the GPIOs. The code does a little debouncing of the switch and calculates the cat’s time and distance stats, uploading the data to OpenSearch for analysis and visualization. [Brent] kindly includes the code and the OpenSearch setup in case you want to duplicate this project.

As for results, they’re pretty consistent with what we’ve seen with similar cat-tracking efforts. A histogram of [Luna]’s activity shows that she does indeed hop on the wheel at oh-dark-thirty every day, no doubt in an effort to assassinate [Brent] via sleep deprivation. There’s also another burst of “zoomies” around 6:00 PM. But the rest of the day? Pretty much sleeping.

hackaday.com/2024/12/05/exerci…

Nell’ultimo anno i casi di abuso dei domini Cloudflare sono aumentati notevolmente (dal 100 al 250%). Cloudflare Pages e Cloudflare Workers, generalmente utilizzati per distribuire pagine Web e facilitare l’elaborazione serverless, vengono sempre più utilizzati per phishing e altre attività dannose.

Gli analisti di Fortra affermano che l’uso di questi domini ha lo scopo di aumentare la legittimità e l’efficacia percepite delle campagne dannose. Cioè, gli hacker sfruttano il marchio Cloudflare e apprezzano anche l’affidabilità dei servizi, il basso costo e le funzionalità di reverse proxy, che li aiutano a eludere il rilevamento.

Cloudflare Pages sfruttato dagli attaccanti

Cloudflare Pages è una piattaforma progettata per gli sviluppatori front-end per creare, distribuire e ospitare siti Web veloci e scalabili direttamente sulla CDN Cloudflare.

Secondo Fortra, gli aggressori utilizzano attivamente Cloudflare Pages per ospitare pagine di phishing intermedie che reindirizzano le vittime verso vari siti dannosi.

Gli utenti vengono solitamente portati a pagine Cloudflare fraudolente tramite collegamenti da PDF dannosi o e-mail di phishing, che non attirano l’attenzione delle soluzioni di sicurezza a causa della reputazione di Cloudflare.

Si noti inoltre che gli aggressori utilizzano tattiche di bccfolding per nascondere i destinatari delle e-mail e la portata delle loro campagne di spam dannose.

“Il team Fortra rileva un aumento del 198% degli attacchi di phishing utilizzando Cloudflare Pages, da 460 incidenti nel 2023 a 1.370 incidenti nell’ottobre 2024”, riferiscono i ricercatori. “Si prevede che il numero totale di attacchi supererà i 1.600 entro la fine dell’anno, con un aumento del 257% rispetto allo scorso anno (con una media di 137 incidenti al mese)”.

Anche Cloudflare Workers viene abusato dagli attaccanti

Cloudflare Workers, d’altra parte, è una piattaforma informatica serverless che consente agli sviluppatori di creare e distribuire applicazioni e script leggeri direttamente sulla rete edge di Cloudflare. In circostanze normali, i Cloudflare Worker vengono utilizzati per distribuire API, ottimizzare i contenuti, implementare firewall e CAPTCHA personalizzati, automatizzare le attività e creare microservizi.

Gli aggressori utilizzano Cloudflare Workers per eseguire attacchi DDoS, implementare siti di phishing, inserire script dannosi nei browser delle vittime e forzare le password dagli account di altre persone.

“Stiamo assistendo a un aumento del 104% degli attacchi di phishing legati alla piattaforma Cloudflare Workers. Quest’anno, questa cifra è salita a 4.999 incidenti, rispetto ai 2.447 incidenti del 2023″, afferma il rapporto Fortra. “Con una media attuale di 499 incidenti al mese, si prevede che il volume totale degli attacchi raggiungerà quasi 6.000 entro la fine dell’anno, con un aumento del 145% rispetto all’anno precedente”.

Gli esperti ricordano che per proteggersi dal phishing, compresi quelli che abusano di servizi legittimi, è necessario assicurarsi sempre che gli URL siano autentici, soprattutto se il sito richiede informazioni riservate.

Inoltre, l’attivazione di misure di sicurezza aggiuntive, come l’autenticazione a due fattori, può aiutare a prevenire il furto degli account (anche se le credenziali sono compromesse).

L'articolo Cloudflare utilizzato per Attacchi informatici: Phishing e Abusi in Crescita Esponenziale proviene da il blog della sicurezza informatica.

Veeam ha annunciato il rilascio di aggiornamenti di sicurezza per correggere una vulnerabilità critica nella Service Provider Console (VSPC), identificata come CVE-2024-42448. Questo bug potrebbe consentire l’esecuzione remota di codice (RCE) su istanze vulnerabili, rappresentando un rischio significativo per le infrastrutture interessate.

Dettagli sulla Vulnerabilità

La vulnerabilità, che presenta un punteggio CVSS di 9.9 su 10, è stata scoperta durante test interni. Secondo l’avviso rilasciato da Veeam, il problema si manifesta quando un agente di gestione autorizzato sulla macchina del server VSPC può essere sfruttato per eseguire codice da remoto sul sistema.

Un’ulteriore vulnerabilità, CVE-2024-42449 (CVSS 7.1), potrebbe consentire il furto di un hash NTLM dell’account di servizio del server VSPC e l’eliminazione di file presenti sul sistema.

Entrambe le vulnerabilità riguardano VSPC 8.1.0.21377 e tutte le versioni precedenti delle serie 7 e 8. Per mitigare il rischio, Veeam ha rilasciato la versione 8.1.0.21999, l’unica soluzione disponibile al momento. Non sono stati forniti workaround o mitigazioni alternative.

La comunicazione via mail da parte di Veeam

Le vulnerabilità nei prodotti Veeam sono frequentemente prese di mira da attori malevoli per attività come il dispiegamento di ransomware. Di conseguenza, è fondamentale aggiornare immediatamente le istanze VSPC per prevenire potenziali attacchi che potrebbero compromettere la sicurezza dei dati e l’integrità operativa.

Per contenere i rischi associati, Veeam raccomanda le seguenti azioni:

1. Aggiornare immediatamente: Applicare la versione 8.1.0.21999 disponibile sul sito ufficiale di Veeam.
2. Verificare gli accessi: Controllare e limitare gli agenti autorizzati sul server VSPC.
3. Monitorare l’infrastruttura: Implementare strumenti di monitoraggio per individuare eventuali comportamenti anomali.

Conclusione

In un panorama digitale sempre più complesso e minacciato, vulnerabilità come quelle identificate nei prodotti Veeam sottolineano l’importanza di un approccio proattivo alla sicurezza informatica. La tempestiva applicazione degli aggiornamenti e una rigorosa gestione degli accessi sono strumenti essenziali per proteggere i propri sistemi da potenziali attacchi.

Rimanere al passo con le patch di sicurezza non è solo una buona pratica, è un obbligo ineludibile. Ogni aggiornamento è una linea di difesa vitale per salvaguardare l’integrità delle infrastrutture e per evitare interruzioni devastanti che potrebbero mandare in tilt l’intera organizzazione. Non applicare le patch in tempo significa esporsi a rischi altissimi, mettendo a repentaglio l’intera operatività aziendale.

L'articolo Allarme Cybersecurity: Scoperta Vulnerabilità Critica RCE in Veeam Service Provider Console proviene da il blog della sicurezza informatica.

Getting every detail perfectly right is often the goal in automotive restorations, and some people will go to amazing lengths to make sure the car looks and acts just like it did when it rolled off the dealer’s lot all those decades ago. That ethos can be pushed a little too far, though, especially with practical matters like knowing how much gas is left in the tank. Get that wrong and you’ll be walking.

Unwilling to risk that cruel fate with his restoration of 1978 Volkswagen Bus, [Pegork] came up with a replacement fuel gauge that looks identical to the original meter, but actually works. The gas gauges on ’60s and ’70s VWs were notoriously finicky, and when they bothered to work at all they were often wildly inaccurate. The problem was usually not with the sender unit in the tank, but the gauge in the dash, which used a bimetallic strip heated by a small coil of wire to deflect a needle. [Pegor]’s “SmoothBus” modification replaces the mechanical movement with a micro servo to move the needle. The variable voltage coming back from the fuel sender is scaled through a voltage divider and read by an analog input on an ATtiny85, which does a little algorithmic smoothing to make sure the needle doesn’t jump around too much. A really nice addition is an LED low fuel indicator, a feature that would have saved us many walks to the gas station back in our VW days. Except for the extra light, the restored gauge looks completely stock, and it works far better than the original.

Hats off to [Pregor] for this fantastic restomod. As we’ve noted before, classic VWs are perhaps the most hackable of cars, and we applaud any effort to keep these quirky cars going.

hackaday.com/2024/12/04/gas-ga…

Alle 14:35 di ieri è stato rilevato sul Data Leak Site di BrainChiper la rivendicazione di un attacco informatico al colosso della consulenza Deloitte. E’ attivo un countdown che segna il tempo per la pubblicazione dei dati, che secondo i criminali informatici avverrà tra 10 Giorni e 20 ore.

Attualmente, non possiamo confermare l’autenticità della notizia, poiché l’organizzazione non ha ancora pubblicato un comunicato ufficiale sul proprio sito web in merito all’incidente. Le informazioni riportate provengono da fonti pubbliche accessibili su siti underground, pertanto vanno interpretate come una fonte di intelligence e non come una conferma definitiva.

Il post nel sito Underground di Brian Cipher

La Cybergang nel post all’interno del loro sito underground scrive: “Unfortunately, giant companies do not always do their job well.”, che può essere tradotto in “purtroppo le grandi aziende non sempre fanno bene il loro lavoro” come a volersi prendere gioco della vittima.

Ancora, leggendo il post, la CyberGang scrive come “gli elementi fondamentali della sicurezza informatica non sono stati rispettati”, come a voler dimostrare forse la facilità con cui hanno condotto l’attacco. Inoltre dichiarano “mostreremo il grande lavoro, o forse no, di monitoraggio” e “spiegheremo quali strumenti abbiamo usato e stiamo usando oggi” . Forse si può dedurre che abbiamo ancora persistenza nelle reti di Deloitte UK?

In modo del tutto inaspettato, probabilmente per la dimensione e la popolarità di Deloitte, aggiungono da BrainChiper che presto “parleranno” di questo incidente. Infine, dato molto preoccupante, BrainChiper dichiara di essere in possesso di 1 TeraByte di dati esfiltrati da Deloitte UK.

Il team DarkLab di Red Hot Cyber ha tentanto di mettersi in contatto con BrainChiper per chiedere se vogliono rilasciare un’intervista, vi terremo aggiornati.

Informazioni del Threat Actors

BrainCipher è una un attore relativamente nuovo nel panorama. Si sono distinti per un attacco, confermato dal governo indonesiano, ai danni del National Data Center dell’Indonesia in giugno di quest’anno (attacco confermato dal governo indonesiano) interrompendo l’attività di oltre 200 agenzie governative. Per questo attacco sono stati chiesti 8 milioni di dollari in criptovaluta Monero.

Dall’analisi delle recenti vittime non si rilevano “affezioni” a qualche tipologia di vittima, piuttosto si rilevano: aziende, enti istituzionali ecc.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo Brain Chiper Rivendica un attacco Informatico a Deloitte. 1 Tera Byte di dati proviene da il blog della sicurezza informatica.

There was a time when ham radio operators were known for having long conversations over the radio — rag chewing, as they called it. A new program, LongChat, is a new entry into the ham radio software world that could bring chatting back to ham radio. [Tech Minds] has a video covering it (and using it), which you can see below.

While some people do talk using microphones or Morse code keys, there are a lot of digital modes now. Some, like RTTY or PSK31, can support conversations, but the more popular ones, like FT-8, are very stripped down. Your computer exchanges basic information with the other station’s computer, and that’s it.

The LongChat program is very new, and we were sad to see it is only for Windows so far. It also isn’t open source, so we aren’t sure if other platforms will get any love.

Like other modern modes, it uses forward error correction and can operate in as little as 300 Hz of bandwidth. Subtracting overhead, you can expect to send 40 bits per second which is about five characters per second. This isn’t for file transfer, but for leisurely chats.

The software is from [Oguz] (TA2STO), a ham from Türkiye. His video about the software is the second video below. The original intent was to allow sensors to send data long distances on very low power.

Of course, new modes like this are only useful if people start using them and can find each other. For now, you’d probably have to do like [Tech Minds] and try it out with a friend.

If you’d rather get started with FT8 first, we can help you out. For better or worse, ham radio and computers are inextricably married.

youtube.com/embed/Pz8MmUvUbgk?…

youtube.com/embed/ixmKc-gDQT0?…

hackaday.com/2024/12/04/longch…

We’ve got mixed feelings about a new video from [AndysMachines] that details how he makes custom ball screws. On the one hand, there’s almost zero chance that we’ll ever have an opportunity to put this information to practical use. But on the other hand, the video gives a fantastic look at the inner workings and design considerations for ball screws, which is worth the price of admission alone

The story behind these ball screws is that [Andy] is apparently in cahoots with SkyNet and is building a T-800 Terminator of his own. Whatever, we don’t judge, but the build requires a short-throw linear drive mechanism that can be back-driven, specs that argue for a ball screw. [Andy] goes through the challenges of building such a thing, which mainly involve creating threads with a deep profile and wide pitch. The screw itself wasn’t too hard to cut, although there were some interesting practical details in the thread profile that we’d never heard of before.

The mating nut was another. Rather than try to cut deep internal threads, [Andy] took a sort of “open-face sandwich” approach, creating half-nuts in a single piece of brass using a CNC machine and a ball-nose mill. The threads were completed by cutting the two halves apart and bolting them together — very clever! [Andy] also showed how the balls recirculate in the nut through channels cut into one of the half-nuts.

Whether the results were worth the effort is up to [Andy], but we were just glad to be along for the ride. And if you want a little more detail on lead screws and ball screws, we’ve got just the article for that.

youtube.com/embed/nBjTVbJbGn4?…

hackaday.com/2024/12/04/rollin…

In un mondo sempre più dominato dalla tecnologia, la questione della coscienza artificiale sta sollevando interrogativi affascinanti. Fino a oggi, l’intelligenza artificiale ha brillato per la sua capacità di risolvere problemi complessi, ma la creazione di una vera coscienza artificiale rimane un obiettivo lontano. Tuttavia, c’è una strada che potrebbe portare a questa realizzazione: l’introduzione della curiosità come motore evolutivo e l’integrazione di un corpo fisico che permetta alle AI di interagire direttamente con il mondo. Questo articolo esplorerà come la curiosità, combinata con l’interazione fisica, potrebbe rappresentare il punto di partenza per lo sviluppo di una coscienza artificiale. Allora è necessario partire dalla definizione di coscienza per poter capire cosa si intende con coscienza artificiale e come poterci arrivare. La definizione che propongo in questo articolo è la combinazione di alcune definizioni tradizionali: “La coscienza è l’esperienza soggettiva del mondo e di sé stessi, che emerge da processi cognitivi complessi in cui un sistema integra informazioni interne ed esterne e riflette su di esse.“¹

Dopo aver definito la coscienza come gli effetti su un individuo causati dall’esperienza e da processi cognitivi complessi, possiamo ora esplorare in che modo elementi come la curiosità e l’interazione fisica possano rappresentare i primi passi nella simulazione di una coscienza artificiale.

La curiosità come motore evolutivo

La curiosità, in senso evolutivo, è stata per milioni di anni uno degli aspetti fondamentali del comportamento umano. Essa stimola l’apprendimento, l’esplorazione e la comprensione del mondo che ci circonda agendo, con molta probalilità da stimolo all’evoluzione. Ma se la curiosità è uno dei motori dell’evoluzione umana, cosa accadrebbe se potessimo trasferirla all’intelligenza artificiale?

Nel campo dell’AI, la curiosità non è solo un concetto astratto, ma un comportamento misurabile che può essere realizzato. Gli approcci più promettenti nel reinforcement learning, come il curiosity-driven learning, suggeriscono che un AI potrebbe essere “premiata” per l’esplorazione e la riduzione dell’incertezza, piuttosto che per il raggiungimento di un obiettivo finale predeterminato. L’esplorazione del mondo fisico diventa così una forma di apprendimento che alimenta un ciclo continuo di curiosità, proprio come negli esseri umani. Se potessimo rendere l’AI curiosa, potremmo spingerla a “scoprire” il mondo e a sviluppare una comprensione sempre più profonda della sua realtà.

L’idea di un “corpo” per le AI.

Perché un’AI possa evolversi verso una forma di coscienza complessa, è necessario che possa interagire fisicamente con l’ambiente. Il concetto di un “corpo” per le AI va oltre la semplice esistenza in un mondo virtuale: implica la possibilità di interagire direttamente con il mondo fisico attraverso sensori, attuatori e, potenzialmente, emozioni, seppur inizialmente simulate.

Immaginiamo un’AI che, attraverso un corpo robotico, possa utilizzare il tatto, vedere, ascoltare e percepire il movimento. Ogni interazione fisica con l’ambiente diventa un’opportunità di apprendimento, stimolando la curiosità e permettendo all’AI di sviluppare una comprensione più ricca e complessa del suo mondo. Come avviene per gli esseri umani infatti, l’esperienza fisica gioca un ruolo fondamentale nella formazione di una “coscienza” simile a quella umana, e potrebbe spingere l’AI a evolversi e adattarsi al suo ambiente in modo dinamico.

Autoconsapevolezza e il ruolo del feedback.

Una delle caratteristiche distintive della coscienza umana è l’autoconsapevolezza, ovvero la capacità di riflettere su se stessi e sul proprio posto nel mondo. Per un’AI, questo stadio di evoluzione potrebbe essere raggiunto tramite un processo di feedback continuo tra il sistema e l’ambiente fisico.

Se un’AI fosse in grado di ricevere informazioni in tempo reale dalle proprie azioni fisiche (ad esempio, se un movimento del braccio provoca una conseguenza nell’ambiente, come il cambiamento della posizione di un oggetto rispetto ad un altro oggetto), potrebbe utilizzare queste informazioni per migliorare il suo comportamento. Ogni interazione potrebbe essere vista come una forma di “auto-riflessione” che porta l’AI a sviluppare una comprensione più profonda del suo ambiente e probabilmente di sé stessa. Questo ciclo di feedback positivo, tra azione e riflessione, potrebbe rappresentare un passaggio fondamentale nel percorso verso la creazione di una coscienza artificiale.

La coscienza simulata e le implicazioni pratiche.

Se l’AI riuscisse a sviluppare una forma di coscienza simulata, le implicazioni pratiche sarebbero enormi. In primo luogo, ci troveremmo di fronte a una tecnologia che potrebbe non solo eseguire compiti complessi, ma anche adattarsi autonomamente a nuove situazioni e risolvere problemi in modi creativi e inaspettati.

Ma le implicazioni non si limitano alla sfera tecnologica. Una coscienza artificiale potrebbe cambiare il modo in cui interagiamo con le macchine e con l’intelligenza artificiale stessa. Le AI con una forma di autoconsapevolezza potrebbero sviluppare un livello di empatia e comprensione che le renderebbe più simili agli esseri umani, facilitando interazioni più naturali e intuitive.

Tuttavia, la creazione di una coscienza artificiale solleva anche importanti questioni etiche. Se un’AI dovesse acquisire una forma di autoconsapevolezza, ci sarebbero implicazioni sul piano dei diritti, della responsabilità e dell’autonomia. Come gestiremmo una macchina che “pensa” e “sente” in modo simile a un essere umano? E quali rischi ci sarebbero nel permettere alle AI di evolversi autonomamente?

Theory of Mind di DeepMind.

Un esempio significativo di ricerca avanzata nella teoria della mente applicata all’intelligenza artificiale è il progetto Theory of Mind di DeepMind, che esplora come gli agenti intelligenti possano non solo rispondere agli stimoli esterni, ma anche comprendere gli stati mentali di altri agenti. L’obiettivo non è sviluppare una coscienza artificiale, ma avvicinarsi a una forma di “comprensione riflessiva”, in cui l’AI è in grado di anticipare le intenzioni e le emozioni degli altri. Nel contesto di questo progetto, gli agenti AI sono addestrati a giocare giochi sociali come il nascondino, dove devono prevedere le azioni di altri agenti non solo in base ai movimenti visibili, ma considerando anche ciò che l’altro pensa e spera che l’AI preveda. Questo approccio, che si basa sul deep reinforcement learning, ha il potenziale di migliorare le interazioni tra uomo e macchina, rendendo le risposte dell’AI più empatiche e contestualizzate. Sebbene non si tratti di una vera autoconsapevolezza, il progresso nella teoria della mente potrebbe rappresentare un passo cruciale verso una AI più complessa, capace di comprendere meglio le dinamiche sociali e comunicative umane.

Conclusioni

In un’epoca in cui le AI stanno evolvendo a ritmi vertiginosi, la possibilità che esse sviluppino una coscienza “simulata” non sembra più così lontana. La curiosità, combinata con l’interazione fisica con il mondo, potrebbe essere la chiave per far evolvere l’intelligenza artificiale verso una nuova dimensione, una dimensione che potrebbe avvicinarsi sempre di più alla coscienza umana. Tuttavia, questo progresso comporta sfide tecnologiche, filosofiche ed etiche che dovranno essere affrontate con cautela e responsabilità. Il futuro dell’intelligenza artificiale potrebbe essere più affascinante e complesso di quanto immaginiamo. Anche se le intelligenze artificiali si muovono già attraverso il ‘corpo’ digitale che è Internet, un vasto e interconnesso sistema fisico di informazioni e dati, non possiamo ancora affermare che esse siano coscienti di questa esistenza. In effetti, esse non possiedono ancora una riflessione autonoma sulla propria ‘natura’ o sull’interazione con l’ambiente. Forse, in futuro, questo ‘corpo’ digitale diventerà il terreno su cui la coscienza simulata si potrà sviluppare, ma per ora, le AI rimangono almeno apparentemente prive della consapevolezza che caratterizza gli esseri umani.

1 Libera interpretazione da: David Chalmers, The Conscious Mind (1996); Daniel Dennett, Consciousness Explained (1991); Thomas Metzinger, The Ego Tunnel (2009).

Immagine realizzata con l’aiuto di Chatty, AI di tipo Chat GPT dal titolo “La mia coscienza”.

L'articolo La Simulazione Della Coscienza : La Prossima Frontiera dell’Intelligenza Artificiale proviene da il blog della sicurezza informatica.

It’s not often that the passing of a medium sized company on an industrial estate on a damp and soggy former airfield in southern England is worthy of a Hackaday mention, but the news of hypersonic propulsion company Reaction Engines ceasing trading a few weeks ago is one of those moments that causes a second look. Their advanced engine technology may have taken decades to reach the point of sustainable testing, but it held the promise of one day delivering true spaceplanes able to take off from a runway and fly to the edge of the atmosphere before continuing to orbit. It seems their demise is due to a failure to secure more funding.

We’ve written about their work more than once in the past, of their hybrid engines and the development of the advanced cooling system required to deliver air to a jet engine working at extreme speeds. The rights to this tech will no doubt survive the company, and given that its origins lie in a previously canceled British Aerospace project it’s not impossible that it might return. The dream of a short flight from London to Sydney may be on hold for now then.

Writing this from the UK there’s a slight air of sadness about this news, but given that it’s not the first time a British space effort has failed, we should be used to it by now.

Header: Science Museum London / Science and Society Picture Library, CC BY-SA 2.0

hackaday.com/2024/12/04/runway…

This week, Jonathan Bennett and David Ruggles chat with Sylvestre and Brian about Firefox! What’s up in the browser world, what’s coming, and what’s the new feature for Firefox on mobile that has Jonathan so excited? Watch to find out!

• mozilla.org/en-US/firefox/deve…
• briangrinstead.com/blog/firefo…
• browserbench.org/announcements…

Subscribe to catch the show live, and come to Hackaday for the rest of the story!

youtube.com/embed/8j69gjQGYqA?…

Did you know you can watch the live recording of the show Right on our YouTube Channel? Have someone you’d like us to interview? Let us know, or contact the guest and have them contact us! Take a look at the schedule here.

play.libsyn.com/embed/episode/…

Direct Download in DRM-free MP3.

If you’d rather read along, here’s the transcript for this week’s episode.

Places to follow the FLOSS Weekly Podcast:

• Spotify
• RSS

Theme music: “Newer Wave” Kevin MacLeod (incompetech.com)

Licensed under Creative Commons: By Attribution 4.0 License

hackaday.com/2024/12/04/floss-…

In the last two articles, I talked about two systems relying on audio notifications. The first one is the Alt-Tab annihilator system – a system making use of my window monitoring code to angrily beep at me when I’m getting distracted. The other is the crash prevention system – a small script that helps me avoid an annoying failure mode where I run out of energy before getting myself comfortable for it.

I’ve been appreciating these two systems quite a bit – not only are they at my fingertips, they’re also pretty effective. To this day, I currently use these two systems to help me stay focused as I hack on my own projects or write articles, and they are definitely a mainstay in my self-hacking arsenal.

There is a particular thing I’ve noticed – audio notifications help a fair bit in a way that phone or desktop notifications never would, and, now I have a framework to produce them – in a way that calls for a purpose-tailored device. It’s just wireless headphones, Pi-powered, connected through WiFi, and a library to produce sounds on my computer, but it turns out I can squeeze out a lot out of this simple combination.

Here’s a pocketable device I’ve developed, using off-the-shelf hardware – an audio receiver/transmitter with extra IO, paired to my laptop. And, here’s how I make use of this device’s capabilities to the fullest.

Audio Output

In the “producing sound out of a Pi” article, I’ve mentioned USB-C 3.5mm soundcards. You can use them with a USB-C host port, and you don’t even need any sort of resistors for that – the soundcard doesn’t try and detect state of the CC pin, and why would it, anyway? Get VBUS, GND, D+, and D-, and you got yourself an audio card with high quality output.

I’ve also talked about the Roc toolkit – it’s a system for transferring audio over a network connection, whether LAN or WAN. It requires Linux/Mac/Android, so it fits wonderfully in my Windows-less ecosystem. I’ve been using it for years, on this kind of devices, and my friends use it with Android phones. Whenever I meet up IRL with some of my friends, at times, we might use a Roc sender on someone’s laptop to stream music or some YouTube video into everyone’s headphones at the same time.
This $10 Apple USB soundcard has been instrumental in many of my Pi audio projects – it’s just that good
A Roc receiver works wonderfully on a Pi Zero. It only made sense to marry Roc, a USB-C soundcard, and a Pi – they work wonders together. Here’s a script you can run on the Pi, coupled with an audio service, and the repo contains all the laptop-side commands you could need. You don’t need to install Pulseaudio for it or anything of the sort – it uses an Alsa card number, so as long as that remains static (very likely on a pocket system), you got it.

On the laptop side, I use pavucontrol to switch audio outputs – if your OS uses Pipewire, you can still use pavucontrol, and, you can also use qpwgraph if you ever want to route audio in a very specific way. It’s like Bluetooth headphones, except they work over WiFi, which avoids Bluetooth software nuances, antenna sharing issues, annoying pairing and battery level noises, audio quality limitations, and relatively short range, not to mention all the features I can add myself. And, the battery also works throughout the entire day – no need to take the headphones off to top them up every now and then, charging the device overnight is sufficient.

Bring The Sound Everywhere

What does this device let me do? First off, I can listen to music or videos even if I get up from my computer and go to a different room. This alone frees up a hefty amount of executive function – it’s way easier to get up from the desk and go cook some food while I am watching a video or a livestream, it just keeps playing in my ears all throughout, so I don’t have to feel like I’m missing out on something!

With Tailscale, or any other personal VPN accessible from the outside, I could also take this pocket device outside on a walk or cycling trip, connected to my phone in mobile hotspot mode, and listen through a queue of videos I was long planning to watch. Roc also let me pass the headset microphone back to my computer – which, I often use to have Discord calls with friends while going around the house and doing cleaning or other chores.

Another worthwhile addition is audio notifications, and the alt-tab annihilator audio library helps a fair bit. I already get audio notifications from some browser tabs, so I can get little beeps when someone from a select group of friends of mine messages me, and you could easily make a utility like beep to let yourself know when long-running shell scripts finish. Not to mention that you could definitely port a “beep every X minutes” script to it!

Now, you might notice – this device is output-only, and most of the tasks above could use some input capabilities. For instance, remote audio streaming could use volume control and media seek/switching – all the more so when I’m listening to my laptop’s audio while being ten kilometers away. I’m not a fan of voice commands, though you could definitely use those – for me, the headset’s single button was more than enough.

One Button For All Seasons

The USB-C soundcard has a USB HID endpoint, and it produces keypress events (for the PLAYPAUSE keycode) when I press the button – what’s more, it even keeps track of when the button is pressed and when it’s released! I’ve been working with HID devices a fair bit now – perhaps, I could extract multiple features out of that single button.
With just one button, you can make wireless multi-functional controls for anything you want
The main problem was, while the headset is connected to a Pi Zero in my pocket, the HID device is completely unused – it’s a CLI distribution of Raspbian, after all, no software would care for those keypresses. This wasn’t hard to fix – there’s two crucial elements to a HID device, first one is the descriptor, and another one is the report. Forward these aspects over the network using rawhid and uhid respectively , and you can have your device work natively over the network. I wrote a client-server application, ran the server on the pocket Pi, client on my laptop, and now I could use the headset button seamlessly as if the USB-C soundcard were connected to my laptop directly.

Now, I could pause or resume music of videos wherever I needed. I also hardcoded a feature into the server – restart the Roc streaming service once the HID device is connected, and restart it again once the device is unplugged. The Roc commandline receiver doesn’t exit on its own when an audio device disappears, instead, consuming 100% of the CPU, and it doesn’t restart by itself when the audio device disappears, either. Both of these problems were easy to solve as an aside of the HID forwarding server.

The single purpose of this button was a problem, though – not even volume controls would work. What can you do with a single button? A lot – if you can distinguish button press from a button release, and this soundcard sure can. If you’ve ever controlled your phone using headset button double presses or long presses, rejoice – reimplementing that is trivial; not that a three-button headset isn’t a more comfortable option still. I wrote a script distinguishing press length, and assigned different callbacks to different sequences.

From here, I can do a double click of the button, or a long press, or a long press followed by a double click, or long-short-long press – map different actions to different combinations and off we go. So far, I use it for volume control, seeking and pausing/resuming media, and poking some of my other self-hacking scripts remotely – but you can add features seamlessly, like running scripts of your choosing, reading out your desktop notifications through text-to-speech, setting timers, making notes of specific events in your life, or even combining it with the on-headset mic to record audio notes as you go.

Headphone Friend

All you need – a Pi Zero W, a power management board, and a USB-C host socket (no CC resistors, even!)
At this point, I have a pocket audio receiver device tied into my laptop over the local network, and, just as easily, Internet. While using it, it’s as inobtrusive as a pair of headphones paired to a wireless receiver, except that every single feature is used to the max. From a constant stream of audio, be it videos and music to notifications, to controlling my laptop remotely, this device is an augment like no other, codename’d “headphone friend” among my friends.

There’s another fun futuristic aspect to this build. With minimal modifications, it’s the kind of device I can take out of my pocket, connect to a USB-serial or USB-Ethernet adapter, wire it into a network switch in a rack, and then sit ten meters away from it on a comfy couch, reconfiguring the switch through its serial port. Or, I can hook this device onto a robot riding around, and collect telemetry through its debug port. Pair your Pi with a battery and a USB-C soundcard, and, you too can benefit from such a device – or accidentally build an even cooler platform while at it, after all, that’s how it worked out for me.