As part of a phosphorescence detector, [lcamtuf] has been working with photodiodes. The components, like all diodes, have some capacitance at the junction, and this can limit performance. That’s why [lcamtuf] turned to bootstrapping to make that parasitic capacitance almost disappear.

The technique appears in several Analog Devices datasheets that presents a mystery. An op amp circuit that would normally limit changes to about 52 kHz has an unusually-placed JFET and claims to boost the bandwidth to 350 kHz.

The JFET turns out to be in a voltage-follower configuration. The photodiode sees approximately the same voltage on both terminals, so the internal capacitor can’t charge and, therefore, doesn’t impose any limits on rate of change.

Of course, a better way to think of it is that tiny changes cause an immediate response to counteract them, and so the capacitor’s charging and discharging are kept to a minimum.

It really isn’t important that the capacitor is not charged, but rather that the capacitor doesn’t increase or decrease charge. This leads to a second design, which imposes a DC bias voltage on the diode but prevents any signal from causing the capacitor to change from its precharged value.

Photodiodes seem exotic, but honestly, all semiconductor diodes are photodiodes if you let the light get to them. It seems that capacitors and op amps are always at loggerheads.

hackaday.com/2024/12/12/the-di…

On December 11th, the FCC announced that the band around 6GHz would be open to “very low-power devices.” The new allocation shares space with other devices already using these frequencies. The release mentions a few limitations over the 350 MHz band (broken into two segments). First, the devices must use a contention-based protocol and implement transmit power control. The low-power devices may not be part of a fixed outdoor infrastructure.

The frequencies are 6.425-6.525 GHz, 6.875-7.125 GHz and the requirements are similar to those imposed on 802.11ax in the nearby U-NII-5 and U-NII-7 bands.

In her remarks, Chairwoman Jessica Rosenworcel said, in part:

But powerful innovation in wireless does not only come from licensed spectrum. Unlicensed spectrum matters, too. In fact, our lives run on unlicensed spectrum. We use it for everything from connecting at work and home with Wi-Fi to supply chain management in warehouses and delivery trucks, from maximizing our workouts with fitness trackers and earbuds to making our homes smarter and more efficient.

I like to think of unlicensed spectrum as an invisible force in our economy. Wi-Fi alone will foster $769 billion in economic growth in 2024. That number is projected to rise 21 percent
in 2025 and as high as 67 percent by 2027 when the latest version of Wi-Fi will be in available in millions of devices.

. . .

We made it possible to access airwaves without licenses, to innovate without permission, and to develop low-power wireless technologies that
have changed the way we live and work.

Sounds like hacking to us. We remember when 6 GHz was nearly impossible to use, and hams building stuff using Gunn diodes to hit over 10 GHz was super edgy. Now, there’s a lot going on up there. It still isn’t trivial to design for frequencies that high.

hackaday.com/2024/12/12/the-6g…

Nuclear fission is a powerful phenomenon. When the conditions are right, atomic nuclei split, releasing neutrons that then split other nuclei in an ongoing chain reaction that releases enormous amounts of energy. This is how nuclear weapons work. In a more stable and controlled fashion, it’s how our nuclear reactors work too.

However, these chain reactions can also happen accidentally—with terrifying results. Though rare, criticality incidents – events where an accidental self-sustaining nuclear chain reaction occurs – serve as sobering reminders of the immense and unwieldy forces we attempt to harness when playing with nuclear materials.

Too Much Already

Criticality in a large mass and with a neutron reflector. Credit: Wikimedia Commons, public domain
A criticality incident is when a nuclear fission chain reaction is caused by accident. The cause is usually quite simple. When it comes to fissionable material, like radioactive isotopes of uranium, there is a certain critical mass at which a chain reaction will occur. At this point, the natural radioactive decay of the material will release enough neutrons such that one might strike and split another atom. This then releases further neutrons, which split more atoms, and the chain reaction continues.

Calling it critical mass is a simplified way of saying it. More realistically, the critical mass depends on more factors—the shape of the radioactive material plays a role, too. As does the presence of any neutron reflectors that could bounce neutrons back towards more atoms to split.

Long story short, if you put too much fissionable material in one place, you’re asking for trouble. If it gets to that critical point and the chain reaction starts, it’s going to release a ton of radiation in a split second.
The Slotin experiment is one of the most well-known criticality incidents. Credit: Los Alamos National Laboratory
The most famous example of a criticality incident occurred when Louis Slotin was working with the Demon Core at Los Alamos back in 1946. The story has been told many a time, including on these hallowed pages. Start there if you’re curious, before we look at some more recent disasters.

America’s nuclear program hasn’t just had one awkward mistake like this. It’s had a few. One of the most serious criticality accidents in history occurred on December 30, 1958, once again at the Los Alamos National Laboratory in New Mexico. Chemical operator Cecil Kelley was processing plutonium-containing liquids in a large mixing tank as per his regular duties.
The mixing tank which Kelley was operating was filled with a concentration of uranium 200 times higher than expected. Credit: Los Alamos National Laboratory
The tank was used for recovering and reusing plutonium solutions from various experiments, and was expected at that time to contain less than 0.1 grams of plutonium per liter of solution. Unbeknownst to Kelley, the tank actually held a far greater quantity of plutonium—over 3 kilograms—due to improper transfers of waste materials to the tank. The fluid in the tank wasn’t homogenous, either—there was a denser layer of aqueous solution at the bottom, topped with a lighter layer of organic solution which contained more of the plutonium.

The tank was already close to a critical state at rest. When Kelley switched on the mixer inside, the blades formed a vortex, pushing the dense aqueous layer of fluid outwards. In turn, the more plutonium-rich organic fluid was drawn to the center of the vessel, where it promptly went critical.

As Kelley stood on a ladder viewing the mixing tank, there was a sudden bright flash of blue light. A huge surge of neutron and gamma radiation flooded the room, delivering Kelley a lethal dose in a split second. His death was harrowing, and he passed away just 35 hours after the accident. While investigations were undertaken into the matter, there has never been a public explanation for how the excessively high concentration of plutonium ended up in the tank.
When the mixer was turned on, the plutonium-rich layer of solution was brought closely together to the point where a criticality incident occurred. Credit: KDS4444, CC BY 3.0
Fast forward to 1999, when carelessness caused a similar incident in Tokaimura, Japan. At a uranium processing facility, technicians were tasked with preparing a batch of fuel. Official regulations mandated that a uranyl nitrate solution be stored in a buffer tank, and added to a precipitation tank in controlled increments. However, as per a company operations manual that was unapproved by regulators, technicians were mixing chemicals in stainless steel buckets instead, rather than using the buffer tank that was designed to prevent criticality incidents. The crew were pouring the liquid directly into the precipitation tank, which had a cylindrical geometry that was favorable for inducing criticality.

The tank soon ended up with over 16 kg of uranium inside, well over the 2.4 kg limit set by regulators. As the seventh bucket was added, the tank went critical with a bright blue flash. Radiation alarms wailed as neutron levels shot up to 15,000 times normal. Three technicians received extreme radiation doses with severe ill effects; two of the three later died. The facility was irradiated, with residents in surrounding areas having to evacuate in the immediate aftermath.

Much like the Los Alamos event, the cause of the problem was simple. The technicians simply combined too much fissile material in one place.

youtube.com/embed/r3fWhW_NsMs?…

CRITICALITY (1969) is a British documentary on the danger of criticality incidents, and how to avoid them. If you work with nuclear materials, you’ve ideally been educated with something more up-to-date. Still, the basic physics was well-understood back then, and the lessons here largely ring true today.
If you see someone arranging nuclear materials like this for a quick photo, you’d be well advised to tell them to stop. Credit: Los Alamos National Laboratory, Department of Energy
Los Alamos suffered an embarrassing incident in more recent times, too, though thankfully a near miss. Back in 2011, technicians had arranged a number of plutonium rods on a table in order to take a photo—the intent being to celebrate their successful production. A supervisor returning to the area noticed the close assembly of the rods and quickly instructed they be separated, lest a criticality incident occur. Disaster was averted before the dreaded blue flash occurred, but it was yet another harrowing example where fundamental safety rules around criticality had been ignored.

Lessons

So what can these unfortunate incidents teach us? Strict limits and controls on fissionable materials are key. Standard procedures that control the flow of fissionable material are important to achieve this. The Tokaimura incident showed how bypassing these protocols even briefly can be disastrous. Beyond that, it’s important that those working with these materials are cognicent of the risks at all times. Even something as simple as bringing together a few rods to take a photo could cause a major incident through carelessness.

But perhaps the biggest lesson is respecting the sheer power of fission itself. When a chain reaction starts, things go wrong fast. By the time the blue flash has told you something’s happened, it’s all too late. Radiation levels have spiked through the roof and the damage is done. There is no early warning sign in these cases. Proper procedure is the only real way to avoid disaster.

Fssion remains a fickle phenomenon that is not to be trifled with. When we do trifle with it, either by honest accident or gross negligence, the results can be swift and brutal. Each of these criticality incidents was a stern reminder to humanity to maintain the utmost vigilance and safeguards when working with fissionable materials. Failure to do so always ends up the same way.

hackaday.com/2024/12/12/its-cr…

Il messenger di Telegram ha pubblicato dati sul blocco di gruppi e canali che violano le politiche e la legislazione della piattaforma. Sul sito ufficiale dell’azienda è apparsa una scheda con le statistiche.

Nel 2024 sono stati bloccati 15,3 milioni di gruppi e canali. Tra questi ci sono quasi 702mila comunità associate alla diffusione di materiale sugli abusi sessuali sui minori e circa 129mila gruppi e canali con orientamento terroristico. Inoltre, sono stati rimossi più di 100 milioni di contenuti terroristici.

Il sito web dell’azienda riporta che Telegram blocca ogni giorno decine di migliaia di gruppi e canali, eliminando milioni di contenuti vietati. Le violazioni identificate includono incitamento alla violenza, distribuzione di materiale pedopornografico e commercio di beni illegali.

Si chiarisce che il processo di moderazione prevede l’elaborazione dei reclami degli utenti e il monitoraggio proattivo. Dal 2015 queste misure vengono realizzate utilizzando tecnologie di machine learning. Nel 2024 Telegram ha introdotto nuovi strumenti basati sull’intelligenza artificiale, che hanno permesso di aumentare l’efficienza nell’identificazione e nel blocco dei materiali vietati.

Ricordiamo che ad inizio di agosto, il fondatore di Telegram è stato arrestato in Francia nell’ambito di un’indagine relativa a crimini quali la distribuzione di immagini di abusi sessuali su minori, traffico di droga e frode. Dopo questo incidente, Durov ha difeso attivamente la sua piattaforma, poiché milioni di post e canali dannosi vengono cancellati ogni giorno.

Durov è riuscito a evitare la detenzione pagando una cauzione di 5 milioni di euro. Secondo l’accordo, dovrà recarsi alla stazione di polizia due volte a settimana e rimanere in Francia fino alla conclusione del processo. L’imprenditore è stato interrogato per la prima volta il 6 dicembre in un tribunale di Parigi per un caso di moderazione insufficiente nel messenger di Telegram, ha scritto 20Minuti con riferimento all’AFP.

Durov è arrivato in tribunale con i suoi avvocati David-Olivier Kaminsky e Christoph Ingren. L’uomo d’affari ha rifiutato di commentare in dettaglio, dicendo solo che ha fiducia nel sistema giudiziario francese. L’avvocato di Kaminsky ha definito assurda la posizione dell’accusa secondo cui Durov era coinvolto in crimini commessi tramite Telegram.

L'articolo Telegram Mostra i Muscoli sulla Moderazione! bloccati 15 milioni di canali nel 2024 proviene da il blog della sicurezza informatica.

L’azienda taiwanese Qnap Systems ha rilasciato patch per diverse vulnerabilità in QTS e QuTS Hero. In precedenza, questi problemi erano stati scoperti e dimostrati nell’ambito della competizione hacker Pwn2Own Ireland, tenutasi nell’autunno del 2024.

I partecipanti a Pwn2Own hanno guadagnato decine di migliaia di dollari dagli exploit dei prodotti Qnap e uno degli attacchi ha fruttato agli specialisti addirittura 100.000 dollari (anche se ha coinvolto non solo bug nei dispositivi Qnap, ma anche TrueNAS).

Il problema più grave ora risolto è CVE-2024-50393 (punteggio CVSS 8,7). Ha consentito di eseguire comandi remoti arbitrari su dispositivi vulnerabili.

Un’altra vulnerabilità, CVE-2024-48868 (punteggio CVSS 8.7), è un’iniezione CRLF che potrebbe essere utilizzata per modificare i dati dell’applicazione. Il problema dello sfruttamento era dovuto al fatto che speciali elementi CRLF sono incorporati nel codice, come le intestazioni HTTP, per indicare i marcatori EOL.

Gli sviluppatori Qnap hanno corretto questi errori come parte di QTS 5.1.9.2954 build 20241120, QTS 5.2.2.2950 build 20241114, QuTS Hero h5.1.9.2954 build 20241120 e QuTS Hero h5.2.2.2952 build 20241116.

Inoltre, gli ultimi aggiornamenti risolvono il bug CVE-2024-48865 (punteggio CVSS 7.3), un problema con la verifica errata del certificato che consentiva agli aggressori sulla rete locale di compromettere la sicurezza del sistema.

Sono state inoltre risolte una serie di vulnerabilità minori relative all’autenticazione errata e all’iniezione CRLF, nonché problemi relativi alla codifica esadecimale e alla stringa di formato.

Vale la pena notare che lo scorso fine settimana gli specialisti Qnap hanno annunciato separatamente l’eliminazione di un altro errore pericoloso scoperto nel Centro licenze. CVE-2024-48863 (punteggio CVSS 7,7) che potrebbe consentire agli aggressori remoti di eseguire comandi arbitrari su dispositivi vulnerabili. Una correzione per questo bug è stata inclusa in Qnap License Center 1.9.43.

L'articolo Scoperti gravi bug sui NAS Qnap al Pwn2Own. Fruttano ai ricercatori 100.000 dollari proviene da il blog della sicurezza informatica.

The process of ironmaking has relied for centuries on iron ore, an impure form of iron oxide, slowly being reduced to iron by carbon monoxide in a furnace. Whether that furnace is the charcoal fire of an Iron Age craftsman or a modern blast furnace, the fundamental process remains the same, even if the technology around it has been refined. Now details are emerging of a new take on iron smelting from China, which turns what has always been a slow and intensive process into one that only takes a few seconds. So-called flash ironmaking relies on the injection of a fine iron ore powder into a superheated furnace, with the reduction happening explosively and delivering a constant stream of molten iron.

Frustratingly there is little detail on how it works, with the primary source for the news coverage being a paywalled South China Morning Post article. The journal article alluded to has proved frustratingly difficult to find online, leaving us with a few questions as to how it all works. Is the reducing agent still carbon monoxide, for example, or do they use another one such as hydrogen? The interesting part from an economic perspective is that it’s said to work on lower-grade ores, opening up the prospect for the Chinese steelmakers relying less on imports. There’s no work though on how the process would deal with the inevitable slag such ore would create.

If any readers have journal access we’d be interested in some insight in the comments, and we’re sure this story will deliver fresh information over time. Having been part of building a blast furnace of our own in the past, it’s something we find interesting

hackaday.com/2024/12/12/ore-to…

Microsoft ha risolto una vulnerabilità nel suo sistema di autenticazione a due fattori che consentiva agli aggressori di aggirare la sicurezza e ottenere l’accesso agli account delle vittime a loro insaputa. Il problema, chiamato AuthQuake, è stato identificato dagli specialisti di Oasis Security e risolto nell’ottobre 2024.

oasis.security/resources/blog/…Il bypass è durato circa un’ora, non ha richiesto alcuna azione da parte dell’utente e non ha generato alcuna notifica di sistema, hanno riferito i ricercatori. La vulnerabilità era dovuta alla mancanza di un limite al numero di tentativi di immissione di un codice monouso e di una finestra temporale estesa per la sua verifica.

Microsoft utilizza codici a sei cifre generati dall’autenticatore validi per 30 secondi. Tuttavia, il codice è rimasto attivo fino a tre minuti grazie alla funzione di sincronizzazione dell’ora, che ha dato agli aggressori la possibilità di eseguire più tentativi di forza bruta.

Il principale meccanismo di attacco consisteva nel provare tutte le possibili combinazioni di codici (fino a un milione di opzioni) in un breve periodo di tempo. Tuttavia, la vittima non ha ricevuto alcuna notifica relativa ai tentativi di accesso non riusciti.

Microsoft ha implementato limiti più severi al numero di tentativi di input per prevenire questo tipo di attacchi. Ora, dopo diversi tentativi falliti, l’attivazione del blocco può richiedere fino a mezza giornata. Gli esperti di Oasis osservano che non solo le restrizioni, ma anche le notifiche di attività sospette rimangono misure importanti.

AuthQuake ha ricordato che anche i sistemi di sicurezza più potenti richiedono test e ottimizzazioni regolari per contrastare le minacce moderne.

L'articolo AuthQuake! Un milione di tentativi in 3 minuti per Rompere la MFA di Microsoft proviene da il blog della sicurezza informatica.

Gli attacchi di NTLM Relay non sono certo una novità nel panorama delle minacce informatiche. Questo metodo di compromissione dell’identità rappresenta da tempo uno dei principali vettori di attacco, sfruttando endpoint vulnerabili per eseguire azioni a nome della vittima. Con il recente lancio di Windows Server 2025, Microsoft ha deciso di affrontare la questione in modo deciso, introducendo mitigazioni automatiche per contrastare questi attacchi in Exchange Server, Active Directory Certificate Services (AD CS) e Lightweight Directory Access Protocol (LDAP).

Questo aggiornamento, annunciato ufficialmente tramite un post sul blog Microsoft, rappresenta un passo fondamentale per rafforzare le difese contro uno dei metodi di compromissione più persistenti dell’ecosistema IT moderno.

Cos’è un NTLM Relay Attack?

L’NTLM Relay Attack è un metodo utilizzato dai Threat Actors per compromettere credenziali e accedere a risorse aziendali. Gli attacchi NTLM Relay in genere prevedono due fasi:

1. Indurre una vittima ad autenticarsi verso un endpoint controllato dall’attaccante.
2. Reinoltrare le credenziali della vittima verso un endpoint vulnerabile.

Il risultato? L’attaccante ottiene l’accesso e agisce come la vittima, potenzialmente compromettendo interi domini. Gli attacchi relay possono avere conseguenze devastanti per la sicurezza aziendale se non vengono adottate contromisure robuste, come la protezione estesa per l’autenticazione (EPA).

Un esempio concreto: immaginate un attaccante che riesce a sfruttare un server LDAP mal configurato, usando le credenziali di un amministratore per accedere a risorse critiche. Con poche mosse, l’intero dominio potrebbe essere compromesso, mettendo a rischio dati sensibili e la continuità operativa dell’azienda.

La risposta di Microsoft: Approccio Secure by Default

Il colosso di Redmond, consapevole della natura persistente di questi attacchi, ha introdotto una serie di misure per contrastare il fenomeno con il lancio di Windows Server 2025. Le nuove funzionalità includono l’abilitazione automatica di protezioni avanzate come Extended Protection for Authentication (EPA) e Channel Binding, che mirano a rafforzare la sicurezza contro gli attacchi NTLM Relay. L’EPA rappresenta un metodo avanzato per proteggere l’autenticazione, limitando la possibilità di attacchi Relay attraverso misure più robuste. Il Channel Binding, invece, associa l’autenticazione a un canale specifico, riducendo il rischio di trasmissione non sicura delle credenziali.

Con Windows Server 2025, Microsoft ha adottato un approccio definito “Secure by Default”, che consente l’abilitazione automatica di queste protezioni senza che sia necessario alcun intervento manuale da parte degli amministratori. Questa scelta elimina uno dei principali fattori di rischio: la configurazione manuale, che in passato aveva lasciato numerose infrastrutture esposte ad attacchi. Le impostazioni di sicurezza, ora predefinite, aumentano significativamente la protezione senza richiedere configurazioni complesse o interventi aggiuntivi.

Oltre alle misure specifiche contro NTLM Relay, Microsoft sta anche accelerando la progressiva eliminazione di NTLM a favore di Kerberos, un protocollo più moderno e sicuro. Nel frattempo, l’azienda ha avviato la rimozione del supporto per NTLMv1 e sta pianificando di depredare gradualmente NTLMv2. L’obiettivo è spostarsi verso standard più moderni per una protezione più efficace e duratura delle infrastrutture aziendali.

Cosa significa per le Aziende?

L’introduzione automatica di protezioni rappresenta un cambiamento significativo, ma comporta anche nuove sfide per gli amministratori IT.

Principali azioni da intraprendere:

1. Audit delle infrastrutture:
   Prima di aggiornare, è fondamentale verificare la configurazione dei server e dei sistemi IT per individuare endpoint vulnerabili o impostazioni errate.
2. Test di compatibilità:
   Non tutte le applicazioni potrebbero essere compatibili con le nuove misure di protezione (EPA e Kerberos). È importante eseguire test per verificare la compatibilità prima della loro implementazione.
3. Aggiornamento della documentazione interna:
   Con l’introduzione di questi aggiornamenti automatici, è necessario aggiornare le procedure e la documentazione aziendale per riflettere le nuove impostazioni.
4. Prepararsi per la disattivazione graduale di NTLM:
   La disattivazione di NTLM potrebbe causare problemi in ambienti legacy. È essenziale pianificare l’adozione graduale dei nuovi protocolli di autenticazione.

Conclusione

Le nuove misure di protezione introdotte da Microsoft con Windows Server 2025 rappresentano una rivoluzione nell’approccio alla protezione degli ambienti IT. Eliminando la complessità delle configurazioni manuali e adottando l’approccio “Secure by Default”, Microsoft punta a rafforzare la protezione contro gli attacchi NTLM Relay.

Gli amministratori IT non devono sottovalutare l’opportunità di sfruttare queste funzionalità, aggiornando le loro infrastrutture e avviando un’analisi dettagliata per garantire la compatibilità. Affrontando questa sfida, sarà possibile ridurre in modo significativo il rischio di esposizione ad una delle minacce più persistenti del panorama IT moderno.

L'articolo Microsoft rafforza la sicurezza contro gli attacchi NTLM Relay: La rivoluzione della configurazione di Default proviene da il blog della sicurezza informatica.

During the first week of October, Kaspersky took part in the 34th Virus Bulletin International Conference, one of the longest-running cybersecurity events. There, our researchers delivered multiple presentations, and one of our talks focused on newly observed activities by the Careto threat actor, which is also known as “The Mask”. You can watch the recording of this presentation here:

youtube.com/embed/d3DSPtOZEck?…

The Mask APT is a legendary threat actor that has been performing highly sophisticated attacks since at least 2007. Their targets are usually high-profile organizations, such as governments, diplomatic entities and research institutions. To infect them, The Mask uses complex implants, often delivered through zero-day exploits. The last time we published our findings about The Mask was in early 2014, and since then, we have been unable to discover any further traces of this actor.

The Mask’s new unusual attacks

However, our newest research into two notable targeted attack clusters made it possible to identify several recent cyberattacks that have been, with medium to high confidence, conducted by The Mask. Specifically, we observed one of these attacks targeting an organization in Latin America in 2022. While we do not have any traces allowing us to tell how this organization became compromised, we have established that over the course of the infection, attackers gained access to its MDaemon email server. They further leveraged this server to maintain persistence inside the compromised organization with the help of a unique method involving an MDaemon webmail component called WorldClient.

Authentication panel of the WorldClient component

Implanting the MDaemon server

The persistence method used by the threat actor was based on WorldClient allowing loading of extensions that handle custom HTTP requests from clients to the email server. These extensions can be configured through the C:\MDaemon\WorldClient\WorldClient.ini file, which has the format demonstrated in the screenshot below:

Sample of the WorldClient.ini file containing plugin entries

As can be observed from the screenshot above, the information about each extension includes a relative URL controlled by the extension (specified in the CgiBase parameter), as well as the path to the extension DLL (in the parameter CgiFile).

To use WorldClient’s extension feature for obtaining persistence, the threat actor compiled their own extension and configured it by adding malicious entries for the CgiBase6 and CgiFile6 parameters, underlined in red in the screenshot. As such, the actor was able to interact with the malicious extension by making HTTP requests to the URL https://<webmail server domain name>/WorldClient/mailbox.

Spreading the FakeHMP implant inside the network

The malicious extension installed by attackers implemented a set of commands associated with reconnaissance, performing file system interactions and executing additional payloads. We observed attackers using these commands to gather information about the infected organization and then spread to other computers inside its network. While investigating the infection that occurred in Latin America in 2022, we established that the attackers used the following files to conduct lateral movement:

• sys, a legitimate driver of the HitmanPro Alert software
• dll, a malicious DLL with the payload to be delivered
• ~dfae01202c5f0dba42.cmd, a malicious .bat file
• Tpm-HASCertRetr.xml, a malicious XML file containing a scheduled task description

To spread to other machines, attackers uploaded these four files and then created scheduled tasks with the help of the Tpm-HASCertRetr.xml description file. When started, these scheduled tasks executed commands specified in the ~dfae01202c5f0dba42.cmd file, which in turn installed the hmpalert.sys driver and configured it to load on startup.

One of the functions of the hmpalert.sys driver is to load HitmanPro’s DLL, placed at C:\Windows\System32\hmpalert.dll, into running processes. However, as this driver does not verify the legitimacy of the DLLs it loads, attackers were able to place their payload DLLs at this path and thus inject them into various privileged processes, such as winlogon.exe and dwm.exe, on system startup.

What was also notable is that we observed attackers using the hmpalert.sys driver to infect a machine of an unidentified individual or organization in early 2024. However, unlike in 2022, the adversary did not use scheduled tasks to do that. Instead, they leveraged a technique involving Google Updater, described here.

The payload contained in the malicious hmpalert.dll library turned out to be a previously unknown implant that we dubbed FakeHMP. Its capabilities included retrieving files from the filesystem, logging keystrokes, taking screenshots and deploying further payloads to infected machines. Apart from this implant, we also observed attackers deploying a microphone recorder and a file stealer to compromised computers.

Same organization, hacked by the Mask in 2019

Having examined available information about the organization compromised in 2022, we found that it was also compromised with an advanced attack in 2019. That earlier attack involved the use of two malicious frameworks which we dubbed “Careto2” and “Goreto”. As for Careto2, we observed the threat actor deploying the following three files to install it:

• Framework loader (placed at %appdata%\Media Center Programs\cversions.2.db);
• Framework installer (named ~dfae01202c5f0dba42.cmd);
• Auxiliary registry file (placed at %temp%\values.reg).

We further found that, just like in the 2022 infection case, attackers used a scheduled task to launch a .cmd file, which in turn configured the framework to persist on the compromised device. The persistence method observed was COM hijacking via the {603d3801-bd81-11d0-a3a5-00c04fd706ec} CLSID.

Regarding the framework itself, it was designed to read plugins stored in its virtual file system, located in the file %appdata%\Media Center Programs\C_12058.NLS. The name of each plugin in this filesystem turned out to be a four-byte value, such as “38568efd”. We have been able to ascertain that these four-byte values were DJB2 hashes of DLL names. This made it possible to brute-force these plugin names, some of which are provided in the table below:

Regarding the other framework, Goreto, it is a toolset coded in Golang that periodically connects to a Google Drive storage to retrieve commands. The list of supported commands is as follows:

Apart from the command execution engine, Goreto implements a keylogger and a screenshot taker.

Attribution

As mentioned above, we attribute the previously described attacks to The Mask with medium to high confidence. One of the first attribution clues that caught our attention was several file names used by the malware since 2019, alarmingly similar to the ones used by The Mask more than 10 years ago:

The brute-forced DLL names of Careto2 plugins also turned out to resemble the names of plugins used by The Mask in 2007–2013:

Finally, the campaigns conducted in 2007–2013 and 2019 have multiple overlaps in terms of TTPs, for instance the use of virtual file systems for storing plugins and leveraging of COM hijacking for persistence.

Regarding the attacks observed in 2022 and 2024, we have also attributed these to The Mask, mainly for the following reasons:

• The organization in Latin America, infected in 2022, was the one compromised by Careto2 in 2019, and by historical The Mask implants in 2007-2013
• In both 2019 and 2022 cases, the same unique file name was used to deploy implants to infected machines: ~dfae01202c5f0dba42.cmd;
• The attacks from 2019 and 2022–2024 overlap in terms of TTPs, as the malware deployed in these attacks uses cloud storages for exfiltration and propagates across system processes.

Conclusion

Ten years after we last saw Careto cyberattacks, this actor is still as powerful as before. That is because Careto is capable of inventing extraordinary infection techniques, such as persistence through the MDaemon email server or implant loading though the HitmanPro Alert driver, as well as developing complex multi-component malware. While we cannot estimate how long it will take for the community to discover the next attacks by this actor, we are confident that their next campaign will be as sophisticated as the previous ones.

If you want more technical information about Careto, please feel free to also read the research paperon this actor, published in Proceedings of the 34th Virus Bulletin International Conference.

securelist.com/careto-is-back/…

[Happy Little Diodes] built a Pi Pico logic analyzer designed by [El Dr. Gusman] using the original design. But he recently had a chance to test the newest version of the design, which is a big upgrade. You can see his take on the new design in the video below.

The original design could sample 24 channels at 100 MHz and required two different PCBs. The new version uses a single board and can operate up to 400 MHz. There’s also a provision for chaining multiple boards together to get more channels.

You can set the level shifters to use 5V, 3.3V, or an external voltage. Since [Happy] is working on a ZX Spectrum, the 5V conversion is a necessity.

One thing that a cheap logic analyzer lets you do is dedicate it to a particular purpose. In fact, by the end of the video, we see a dedicated connector to make it easier to attach the board to a ZX Spectrum.

The code is on GitHub, although it warns you there that you that version 6 — the one seen in the video — isn’t stable, so you might have to wait to make one on your own. The software looks impressive and there may be some effort to integrate with Sigrok.

If you missed our coverage of the earlier version, you can still catch up. Dead set on Sigrok support? [Pico-Coder] can help you out.

youtube.com/embed/VjSF2LWJVVU?…

hackaday.com/2024/12/12/pico-l…

Il gruppo di attivisti filorussi NoName057(16) sta conducendo una serie di attacchi DDoS mirati contro numerose istituzioni e aziende italiane, con l’intento di destabilizzare e paralizzare l’infrastruttura digitale del Paese. Questi attacchi, che fanno parte di una campagna più ampia di cyberattacchi contro i Paesi che sostengono l’Ucraina, mirano a danneggiare la reputazione e le capacità operative delle entità coinvolte, sfruttando tecniche sofisticate per compromettere la sicurezza e l’affidabilità delle reti italiane.

Motivazione

Secondo quanto riferito dal gruppo di hacker sul suo canale Telegram, NoName057(16) ha dichiarato l’intenzione di “celebrare” la nomina di Giorgia Meloni, indicata da Politico come il politico più influente d’Europa, con una serie di attacchi DDoS mirati contro l’infrastruttura internet italiana, accusandola di essere un’alleata dell’Ucraina e del presidente Zelensky.

Il tool usato per condurre gli attacchi: DDoSia

NoName057(16) è un gruppo hacktivista pro-Russia attivo dal 2022, noto per condurre attacchi DDoS contro istituzioni governative, aziende e infrastrutture critiche nei Paesi che sostengono l’Ucraina. Utilizzano il loro canale Telegram per rivendicare attacchi, coordinare operazioni e mobilitare la loro comunità di sostenitori. Il gruppo si distingue per l’uso del tool DDosia, un software progettato per eseguire attacchi distribuiti con efficacia crescente, e per l’adozione di tecniche avanzate per eludere le difese informatiche.

Funzionamento tecnico del tool

1. Architettura e linguaggio:
   
   • Originariamente sviluppato in Python, il tool è stato successivamente riscritto in linguaggio Go per migliorare l’efficienza e la sicurezza.
   • Utilizza il protocollo HTTP per comunicare con i server Command & Control (C2), che forniscono istruzioni e obiettivi.

   
   

2. Esecuzione e comunicazione con i server C2:
   
   • All’avvio, DDoSia effettua una richiesta di autenticazione POST al server C2 con un payload cifrato in AES-GCM.
   • Dopo l’autenticazione, il server fornisce un identificativo temporale (epoch) e l’elenco dei target da attaccare, anch’esso cifrato.
   • Le richieste includono parametri specifici, come:
     
     • “U”: un hash fornito tramite il bot Telegram del gruppo.
     • “C”: un GUID del dispositivo che esegue il tool.
     • “K”: un valore codificato in base32 per accedere alla lista dei target.

     
     

   • I target sono distribuiti in un file JSON cifrato che viene decifrato localmente per l’attacco.

   
   

3. Cifratura e sicurezza:
   
   • Il toolkit utilizza algoritmi avanzati come AES-GCM per cifrare sia le comunicazioni che i dati trasmessi.
   • La chiave di cifratura è generata dinamicamente utilizzando informazioni del sistema, come il GUID del dispositivo e il Process ID (PID).
   • L’uso di header e valori dinamici, come User-Agent casuali, rende più difficile il rilevamento da parte delle difese di rete.

   
   

4. Aggiornamenti e miglioramenti:
   
   • Nel 2023, sono stati introdotti nuovi meccanismi di autenticazione e ulteriori livelli di cifratura per nascondere meglio i target e complicare l’analisi tecnica.
   • Le risposte del server includono dati strutturati in modo da eludere i controlli statici, con variazioni regolari per evitare il blocco delle infrastrutture C2.

   
   

Conclusioni

Gli attacchi DDoS orchestrati dal gruppo hacktivista NoName057(16) rappresentano una minaccia concreta e persistente per le infrastrutture critiche e aziendali italiane. Motivati da ragioni ideologiche e politiche, i membri del gruppo sfruttano strumenti tecnicamente avanzati, come il toolkit DDoSia, per condurre operazioni di cyberwarfare contro i Paesi percepiti come ostili alla Russia.

La capacità del gruppo di adattare le proprie tecniche, migliorare la sicurezza delle comunicazioni e mobilitare una comunità di sostenitori attraverso i social media lo rende un avversario particolarmente complesso da contrastare. Gli attacchi contro l’Italia evidenziano non solo una strategia ben coordinata, ma anche l’intento di colpire simbolicamente e strategicamente un Paese considerato influente a livello europeo.

Per fronteggiare questa minaccia, è essenziale che le istituzioni e le aziende italiane rafforzino le proprie difese informatiche, investano in tecnologie di monitoraggio avanzate e promuovano una maggiore collaborazione tra pubblico e privato. Solo attraverso un approccio proattivo e condiviso sarà possibile mitigare gli impatti di questa campagna di attacchi e proteggere le infrastrutture strategiche nazionali.

L'articolo Italia Sotto Attacco: Guardia di Finanza, Porto di Taranto e altre istituzioni nella mira di NoName057(16) proviene da il blog della sicurezza informatica.

Il mondo della sicurezza informatica è in continua evoluzione, con nuove minacce che emergono regolarmente. Una delle più recenti è il ransomware Termite, analizzato dettagliatamente in un articolo di Cyble.

Questo malware ha attirato l’attenzione per la sua sofisticazione e per gli attacchi mirati a specifici settori industriali. Inoltre, l’immagine associata all’articolo offre una panoramica visiva delle tecniche e delle correlazioni tra diverse minacce ransomware.

Caratteristiche del Ransomware Termite

Termite è un ransomware che si distingue per l’uso di tecniche avanzate e per la scelta mirata delle sue vittime. Secondo l’analisi di Cyble, Termite adotta le seguenti strategie:

• Accesso Iniziale: Utilizza credenziali valide per infiltrarsi nei sistemi target, spesso ottenute tramite phishing o altre forme di ingegneria sociale.
• Esecuzione: Una volta ottenuto l’accesso, esegue comandi malevoli per stabilire il controllo sul sistema compromesso.
• Persistenza: Implementa meccanismi per mantenere l’accesso anche dopo eventuali riavvii o tentativi di rimozione.
• Evasione delle Difese: Utilizza tecniche per eludere i sistemi di sicurezza, come la disabilitazione di software antivirus o l’offuscamento del codice.
• Cifratura dei Dati: Cripta i file dell’utente, rendendoli inaccessibili e richiedendo un riscatto per la decrittazione.

Queste tattiche rendono Termite una minaccia particolarmente insidiosa, capace di causare danni significativi alle organizzazioni colpite.

Analisi dell’Immagine

L’immagine associata all’articolo di Cyble offre una rappresentazione schematica delle tecniche utilizzate da Termite e delle sue correlazioni con altri ransomware. Ecco una descrizione dettagliata degli elementi principali:

1. Entità Chiave:
   
   • Termite: Posizionato al centro dello schema, indica il focus dell’analisi.
   • Altri Ransomware: Entità come Vasa Locker, Babuk e Babyk sono collegate a Termite, suggerendo somiglianze nelle tecniche utilizzate.

   
   

2. Tecniche MITRE ATT&CK:
   
   • Le linee che collegano Termite e gli altri ransomware a specifiche tecniche rappresentano le metodologie adottate durante gli attacchi.
   • Ad esempio, la tecnica T1486 (Data Encrypted for Impact) è comune tra questi ransomware, indicando l’uso della cifratura dei dati per estorcere denaro.

   
   

3. Settori Presi di Mira:
   
   • Il settore Technology è evidenziato come uno dei principali bersagli, mostrando la predilezione di questi ransomware per le aziende tecnologiche.

   
   

4. Correlazioni:
   
   • Le connessioni tra le entità e le tecniche suggeriscono una possibile condivisione di strumenti o metodologie tra diversi gruppi di attacco.

   
   

Questa rappresentazione visiva aiuta a comprendere la complessità delle operazioni di Termite e le sue interazioni con altre minacce simili.

Implicazioni per la Sicurezza Informatica

L’emergere di ransomware come Termite ha diverse implicazioni per la sicurezza informatica:

• Aumento della Complessità degli Attacchi: L’uso di tecniche avanzate richiede alle organizzazioni di adottare misure di sicurezza più sofisticate.
• Necessità di Monitoraggio Continuo: Implementare sistemi di monitoraggio in tempo reale è fondamentale per rilevare e rispondere rapidamente alle minacce.
• Collaborazione tra Attori Malevoli: Le somiglianze tra diverse famiglie di ransomware suggeriscono una possibile collaborazione o condivisione di risorse tra cybercriminali.
• Settori a Rischio: Il settore tecnologico è particolarmente vulnerabile, rendendo essenziale l’adozione di misure di protezione specifiche.

Per affrontare efficacemente queste sfide, le organizzazioni devono investire in formazione, tecnologie di sicurezza avanzate e strategie di risposta agli incidenti.

Conclusione

Il ransomware Termite rappresenta una minaccia significativa nel panorama della sicurezza informatica. La sua capacità di utilizzare tecniche avanzate e di colpire settori specifici sottolinea l’importanza di una difesa proattiva e informata. Comprendere le sue modalità operative e le sue correlazioni con altre minacce è essenziale per sviluppare strategie efficaci di prevenzione e risposta.

L'articolo Termite Ransomware : Analisi sulla Minaccia e le Sue Implicazioni proviene da il blog della sicurezza informatica.

Dopo che il terzo corso si è concluso ad Ottobre scorso e i partecipanti iniziano ad entrare sempre più all’interno della CTI Attraverso il gruppo DarkLab, il team di Formazione di Red Hot Cyber avvia il nuovo corso di formazione professionale in “Live Class” di livello intermedio sulla cyber threat intelligence. Il corso consentirà, dopo aver sostenuto con successo l’esame finale, di conseguire la certificazione Cyber Threat Intelligence Professional, rilasciata da Red Hot Cyber anche se il corso non sarà fine a se stesso.

Conoscere l’underground per imparare a proteggerti meglio

Sei pronto per un viaggio nel lato oscuro di Internet ed accedere al Dark Web? Sei pronto a comprendere come criminali informatici collaborano e utilizzano le risorse informatiche?

Se la risposta è sì, allora il nostro nuovo corso di Cyber Threat Intelligence (CTI) potrebbe essere esattamente ciò di cui hai bisogno.
Contattaci tramite WhatsApp al 379 163 8765 per maggiori informazioni o per bloccare il tuo posto, oppure scrivici a: academy@redhotcyber.com. Ricorda che il corso è a numero chiuso e i posti sono limitati.
Condotta dal professor Pietro Melillo, PhD presso l’Università del Sannio e docente presso l’Università IUSI, questa esperienza formativa rivoluzionaria promette di fornire agli studenti gli strumenti e la conoscenza necessari per navigare in sicurezza le profondità del web sotterraneo.
Immagine della consegna del certificato CTIP ad un partecipante del primo corso di formazione sulla Cyber Threat Intelligence di Red Hot Cyber
Il Professore Melillo è un esperto riconosciuto nel campo della sicurezza informatica, con anni di esperienza nella ricerca e nell’insegnamento. Ha condotto ricerche innovative nel campo della minaccia informatica e ha una vasta conoscenza dei meccanismi che regolano il Dark Web.

“La threat intelligence, o CTI, consiste in dati contenenti informazioni dettagliate sulle minacce alla sicurezza informatica che prendono di mira un’organizzazione”, spiega il Professore Melillo. “Il corso fornirà sia ai neofiti che ai professionisti del settore le competenze tecnico-operative e strategiche necessarie per affrontare le nuove sfide professionali sollevate dalla cybersecurity.”
Contattaci tramite WhatsApp al 379 163 8765 per maggiori informazioni o per bloccare il tuo posto, oppure scrivici a: academy@redhotcyber.com. Ricorda che il corso è a numero chiuso e i posti sono limitati.

Ma che cos’è la Cyber Threat Intelligence?

La Cyber Threat Intelligence (CTI), è un campo della sicurezza informatica che si occupa di raccogliere, analizzare e interpretare informazioni relative alle minacce informatiche. Queste informazioni possono riguardare attacchi informatici in corso, potenziali vulnerabilità nei sistemi informatici, gruppi hacker, metodi di attacco e altro ancora.
Immagine della consegna del certificato CTIP da parte del Professor Pietro Melillo ad un partecipante del primo corso di formazione sulla Cyber Threat Intelligence di Red Hot Cyber
L’obiettivo principale della CTI è quello di fornire alle organizzazioni e agli individui le informazioni necessarie per comprendere le minacce alla sicurezza informatica che potrebbero mettere a rischio i loro dati, le loro reti o i loro sistemi informatici. Utilizzando queste informazioni, le organizzazioni possono prendere decisioni informate sulla protezione dei loro asset digitali e implementare strategie di difesa più efficaci.
Contattaci tramite WhatsApp al 379 163 8765 per maggiori informazioni o per bloccare il tuo posto, oppure scrivici a: academy@redhotcyber.com. Ricorda che il corso è a numero chiuso e i posti sono limitati.
La CTI può includere sia fonti di informazioni pubbliche (OSINT), come report di sicurezza, articoli di ricerca e notizie, sia fonti di informazioni non pubbliche (CLOSINT), come dati raccolti da sensori di sicurezza, analisi di malware e rapporti di intelligence condivisi tra organizzazioni.

In sintesi, la Cyber Threat Intelligence è uno strumento fondamentale nella lotta contro le minacce informatiche, fornendo una panoramica approfondita e strategica delle attività e delle intenzioni degli attaccanti, e consentendo alle organizzazioni di prepararsi meglio e rispondere in modo più efficace alle minacce alla sicurezza informatica.

Come si articolerà il corso in Live Class

Il corso si articolerà in diverse fasi cruciali:

• Dark web e reti protette
  
  • Cos’è il dark web
  • Storia del dak web
  • Come accedere al dark web in modo sicuro
  • Le risorse undeground

  
  

• Le minacce cyber
  
  • I threat actors
  • I forum underground
  • Le botnet e gli infostealer
  • Gli 0day e il mercato degli exploit
  • I broker di accesso
  • Il lato oscuro di Telegram
  • Il MaaS (Malware as a service)
  • Il Threat Hunting
  • Gli indicatori di compromissione (IoC)
  • Accesso alle risorse underground

  
  

• La cyber threat intelligence
  
  • La Cyber Threta Intelligence
  • Benefici per le organizzazioni
  • Fonti OSINT, HUMINT, TECHINT, CLOSINT
  • Traffic Light Protocol (TLP)
  • Strumenti di raccolta

  
  

• Il fenomeno del ransomware
  
  • Le cyber gang ransomware
  • La piramide del RaaS (Ransomware as a service)
  • I data leak site (DLS o siti della vergogna)
  • I ransomware monitor
  • Fonti open source
  • Accesso ai data leak site

  
  

• Strumenti di raccolta dati ed analisi
  
  • Tool open source, a pagamento e risorse online freeware
  • Tecniche di monitoraggio e rilevamento
  • Metodologie di analisi
  • Strumenti e tecniche di analisi
  • Esercitazioni pratiche

  
  

Contattaci tramite WhatsApp al 379 163 8765 per maggiori informazioni o per bloccare il tuo posto, oppure scrivici a: academy@redhotcyber.com. Ricorda che il corso è a numero chiuso e i posti sono limitati.
Per partecipare al corso sono necessarie delle nozioni di base sulla navigazione internet e sulla sicurezza informatica. Le lezioni saranno in modalità live-webinar dove gli alunni potranno interagire con i professori online. Le lezioni sono a numero chiuso, per poter seguire al meglio ogni singola persona dal docente che sarà a vostra disposizione per eventuali dettagli o chiarimenti relativamente alle lezioni svolte.

Di seguito le date per la quarta edizione del corso:

• Domenica 9 Febbraio dalle 16 alle 19
• Domenica 16 Febbraio dalle 16 alle 19
• Domenica 23 Febbraio dalle 16 alle 19
• Domenica 2 Marzo dalle 16 alle 19
• Domenica 9 Marzo dalle 16 alle 19

Il professor Melillo consegna gli attestati di Certificazione CTIP ai partecipanti del corso.
Al termine del corso verrà rilasciato da Red Hot Cyber una certificazione di partecipazione al corso a seguito del completamento dei test che ne attestano il raggiungimento delle competenze acquisite. Per chi fornirà il consenso, il numero del certificato corrispondente e il nome, verranno pubblicati all’interno della pagina delle certificazioni.

Differenza tra corsi in Live-Class e in E-Learning

I corsi in live class rappresentano un’esperienza formativa interattiva e dinamica, ideale per chi desidera un confronto diretto con il docente e una partecipazione attiva. Gli studenti seguono le lezioni online in tempo reale e possono fare domande, ricevere chiarimenti immediati e approfondire argomenti complessi attraverso il dialogo. Nei corsi di livello intermedio, come quello sulla Cyber Threat Intelligence (CTI), questa modalità permette di affrontare temi avanzati con il supporto continuo del professore, disponibile anche durante la settimana per risolvere dubbi e fornire ulteriore assistenza.

I corsi in e-learning, invece, offrono la massima flessibilità e autonomia, rendendoli particolarmente adatti per chi si approccia per la prima volta a un argomento o ha bisogno di gestire i propri tempi di studio. Con lezioni registrate disponibili in qualsiasi momento, gli studenti possono costruire il proprio percorso di apprendimento senza vincoli di orario. Per i corsi di livello base sulla CTI, questa modalità permette di avvicinarsi ai fondamenti della materia. Anche se l’interazione con il docente non avviene in tempo reale, gli studenti possono inviare domande via email e ricevere risposte per chiarire eventuali incertezze.

Ad oggi puoi acquistare con uno sconto del 20% fino a Dicembre 2024 il corso “Dark Web e Cyber threat Intelligence” in versione E-Learning utilizzando questo link sulla nostra piattaforma di Academy.

Ma dopo il corso arriva il bello …

Il corso “Dark Web & Cyber Threat Intelligence” progettato da Red Hot Cyber offre un’esperienza pratica che continua anche dopo la conclusione del percorso formativo. I partecipanti che lo desiderano avranno l’opportunità di entrare a far parte del collettivo “DarkLab”, dove, sotto la guida di esperti, potranno contribuire alla redazione di report e articoli, interviste ai threat actors e approfondimenti legati alla cyber threat intelligence.

Questo percorso didattico è unico nel suo genere: Red Hot Cyber offre infatti un accesso esclusivo ad analisi e report di cyber threat intelligence, pubblicati regolarmente sul blog. I partecipanti avranno la possibilità di esplorare le realtà dell’underground digitale, con la possibilità di condurre analisi specifiche e mirate, un’opportunità che non troverete altrove.

Ulteriori informazioni utili:

• Pagina del corso “Darkweb e Cyber Threat Intelligence”: redhotcyber.com/academy/corso-…
• Pagina delle certificazioni (solo per chi fornisce il consenso alla pubblicazione del nome): redhotcyber.com/academy/certif…
• Conferimento alla Red Hot Cyber Conference dei certificati CTIP (minuto 2:18): youtube.com/watch?v=p71gQYUnv7…
• Alcuni post su Linkedin che riportano informazioni sul corso, da parte dei precedenti partecipanti al corso e alla certificazione CTIP.
• Il Gruppo Dark Lab https://www.redhotcyber.com/post/nasce-dark-lab-il-team-di-cyber-threat-intelligence-della-community-di-red-hot-cyber/

Contattaci tramite WhatsApp al 379 163 8765 per maggiori informazioni o per bloccare il tuo posto, oppure scrivici a: academy@redhotcyber.com. Ricorda che il corso è a numero chiuso e i posti sono limitati.
L'articolo Al Via la Quarta Edizione in Live Class del Corso Darkweb & Cyber Threat Intelligence in partenza a Febbraio proviene da il blog della sicurezza informatica.

London, Ontario college student [Victoria Korhonen] has captured the attention of tech enthusiasts and miniaturization lovers with her creation of what might be the world’s smallest arcade machine. Standing just 64 mm tall, 26 mm wide, and 30 mm deep, this machine is a scaled-down marvel playing the classic Atari game PONG. While the record isn’t yet official—it takes about three months for Guinness to certify—it’s clear [Korhonen]’s creation embodies ingenuity and dedication.

[Korhonen], an electromechanical engineering student, took six months to design and build this micro arcade. Inspired by records within reach, she aimed to outdo the previous tiniest arcade machine by shaving off just a few millimeters During the project she faced repeated failures, but viewed each iteration as a step towards success. Her miniature machine isn’t just a gimmick; it’s fully functional, with every component—from paddle mechanics to coding—developed from scratch.

[Korhonen] is already eyeing new projects, including creating the smallest humanoid robot. She also plans to integrate her electromechanical expertise into her family’s escape room business. Her journey aligns with other hobbyist projects pushing the limits of miniaturization, such as this credit card-sized Tetris clone or [Aliaksei Zholner]’s paper micro engines.

hackaday.com/2024/12/11/tiny-p…

Dopo che il terzo corso si è concluso ad Ottobre scorso e i partecipanti iniziano ad entrare sempre più all’interno della CTI Attraverso il gruppo DarkLab, il team di Formazione di Red Hot Cyber avvia il nuovo corso di formazione professionale in “Live Class” di livello intermedio sulla cyber threat intelligence. Il corso consentirà, dopo aver sostenuto con successo l’esame finale, di conseguire la certificazione Cyber Threat Intelligence Professional, rilasciata da Red Hot Cyber anche se il corso non sarà fine a se stesso.

Conoscere l’underground per imparare a proteggerti meglio

Sei pronto per un viaggio nel lato oscuro di Internet ed accedere al Dark Web? Sei pronto a comprendere come criminali informatici collaborano e utilizzano le risorse informatiche?

Se la risposta è sì, allora il nostro nuovo corso di Cyber Threat Intelligence (CTI) potrebbe essere esattamente ciò di cui hai bisogno.
Contattaci tramite WhatsApp al 379 163 8765 per maggiori informazioni o per bloccare il tuo posto, oppure scrivici a: academy@redhotcyber.com. Ricorda che il corso è a numero chiuso e i posti sono limitati.
Condotta dal professor Pietro Melillo, PhD presso l’Università del Sannio e docente presso l’Università IUSI, questa esperienza formativa rivoluzionaria promette di fornire agli studenti gli strumenti e la conoscenza necessari per navigare in sicurezza le profondità del web sotterraneo.
Immagine della consegna del certificato CTIP ad un partecipante del primo corso di formazione sulla Cyber Threat Intelligence di Red Hot Cyber
Il Professore Melillo è un esperto riconosciuto nel campo della sicurezza informatica, con anni di esperienza nella ricerca e nell’insegnamento. Ha condotto ricerche innovative nel campo della minaccia informatica e ha una vasta conoscenza dei meccanismi che regolano il Dark Web.

“La threat intelligence, o CTI, consiste in dati contenenti informazioni dettagliate sulle minacce alla sicurezza informatica che prendono di mira un’organizzazione”, spiega il Professore Melillo. “Il corso fornirà sia ai neofiti che ai professionisti del settore le competenze tecnico-operative e strategiche necessarie per affrontare le nuove sfide professionali sollevate dalla cybersecurity.”
Contattaci tramite WhatsApp al 379 163 8765 per maggiori informazioni o per bloccare il tuo posto, oppure scrivici a: academy@redhotcyber.com. Ricorda che il corso è a numero chiuso e i posti sono limitati.

Ma che cos’è la Cyber Threat Intelligence?

La Cyber Threat Intelligence (CTI), è un campo della sicurezza informatica che si occupa di raccogliere, analizzare e interpretare informazioni relative alle minacce informatiche. Queste informazioni possono riguardare attacchi informatici in corso, potenziali vulnerabilità nei sistemi informatici, gruppi hacker, metodi di attacco e altro ancora.
Immagine della consegna del certificato CTIP da parte del Professor Pietro Melillo ad un partecipante del primo corso di formazione sulla Cyber Threat Intelligence di Red Hot Cyber
L’obiettivo principale della CTI è quello di fornire alle organizzazioni e agli individui le informazioni necessarie per comprendere le minacce alla sicurezza informatica che potrebbero mettere a rischio i loro dati, le loro reti o i loro sistemi informatici. Utilizzando queste informazioni, le organizzazioni possono prendere decisioni informate sulla protezione dei loro asset digitali e implementare strategie di difesa più efficaci.
Contattaci tramite WhatsApp al 379 163 8765 per maggiori informazioni o per bloccare il tuo posto, oppure scrivici a: academy@redhotcyber.com. Ricorda che il corso è a numero chiuso e i posti sono limitati.
La CTI può includere sia fonti di informazioni pubbliche (OSINT), come report di sicurezza, articoli di ricerca e notizie, sia fonti di informazioni non pubbliche (CLOSINT), come dati raccolti da sensori di sicurezza, analisi di malware e rapporti di intelligence condivisi tra organizzazioni.

In sintesi, la Cyber Threat Intelligence è uno strumento fondamentale nella lotta contro le minacce informatiche, fornendo una panoramica approfondita e strategica delle attività e delle intenzioni degli attaccanti, e consentendo alle organizzazioni di prepararsi meglio e rispondere in modo più efficace alle minacce alla sicurezza informatica.

Come si articolerà il corso in Live Class

Il corso si articolerà in diverse fasi cruciali:

• Dark web e reti protette
  
  • Cos’è il dark web
  • Storia del dak web
  • Come accedere al dark web in modo sicuro
  • Le risorse undeground

  
  

• Le minacce cyber
  
  • I threat actors
  • I forum underground
  • Le botnet e gli infostealer
  • Gli 0day e il mercato degli exploit
  • I broker di accesso
  • Il lato oscuro di Telegram
  • Il MaaS (Malware as a service)
  • Il Threat Hunting
  • Gli indicatori di compromissione (IoC)
  • Accesso alle risorse underground

  
  

• La cyber threat intelligence
  
  • La Cyber Threta Intelligence
  • Benefici per le organizzazioni
  • Fonti OSINT, HUMINT, TECHINT, CLOSINT
  • Traffic Light Protocol (TLP)
  • Strumenti di raccolta

  
  

• Il fenomeno del ransomware
  
  • Le cyber gang ransomware
  • La piramide del RaaS (Ransomware as a service)
  • I data leak site (DLS o siti della vergogna)
  • I ransomware monitor
  • Fonti open source
  • Accesso ai data leak site

  
  

• Strumenti di raccolta dati ed analisi
  
  • Tool open source, a pagamento e risorse online freeware
  • Tecniche di monitoraggio e rilevamento
  • Metodologie di analisi
  • Strumenti e tecniche di analisi
  • Esercitazioni pratiche

  
  

Contattaci tramite WhatsApp al 379 163 8765 per maggiori informazioni o per bloccare il tuo posto, oppure scrivici a: academy@redhotcyber.com. Ricorda che il corso è a numero chiuso e i posti sono limitati.
Per partecipare al corso sono necessarie delle nozioni di base sulla navigazione internet e sulla sicurezza informatica. Le lezioni saranno in modalità live-webinar dove gli alunni potranno interagire con i professori online. Le lezioni sono a numero chiuso, per poter seguire al meglio ogni singola persona dal docente che sarà a vostra disposizione per eventuali dettagli o chiarimenti relativamente alle lezioni svolte.

Di seguito le date per la quarta edizione del corso:

• Domenica 9 Febbraio dalle 16 alle 19
• Domenica 16 Febbraio dalle 16 alle 19
• Domenica 23 Febbraio dalle 16 alle 19
• Domenica 2 Marzo dalle 16 alle 19
• Domenica 9 Marzo dalle 16 alle 19

Il professor Melillo consegna gli attestati di Certificazione CTIP ai partecipanti del corso.
Al termine del corso verrà rilasciato da Red Hot Cyber una certificazione di partecipazione al corso a seguito del completamento dei test che ne attestano il raggiungimento delle competenze acquisite. Per chi fornirà il consenso, il numero del certificato corrispondente e il nome, verranno pubblicati all’interno della pagina delle certificazioni.

Differenza tra corsi in Live-Class e in E-Learning

I corsi in live class rappresentano un’esperienza formativa interattiva e dinamica, ideale per chi desidera un confronto diretto con il docente e una partecipazione attiva. Gli studenti seguono le lezioni online in tempo reale e possono fare domande, ricevere chiarimenti immediati e approfondire argomenti complessi attraverso il dialogo. Nei corsi di livello intermedio, come quello sulla Cyber Threat Intelligence (CTI), questa modalità permette di affrontare temi avanzati con il supporto continuo del professore, disponibile anche durante la settimana per risolvere dubbi e fornire ulteriore assistenza.

I corsi in e-learning, invece, offrono la massima flessibilità e autonomia, rendendoli particolarmente adatti per chi si approccia per la prima volta a un argomento o ha bisogno di gestire i propri tempi di studio. Con lezioni registrate disponibili in qualsiasi momento, gli studenti possono costruire il proprio percorso di apprendimento senza vincoli di orario. Per i corsi di livello base sulla CTI, questa modalità permette di avvicinarsi ai fondamenti della materia. Anche se l’interazione con il docente non avviene in tempo reale, gli studenti possono inviare domande via email e ricevere risposte per chiarire eventuali incertezze.

Ad oggi puoi acquistare con uno sconto del 20% fino a Dicembre 2024 il corso “Dark Web e Cyber threat Intelligence” in versione E-Learning utilizzando questo link sulla nostra piattaforma di Academy.

Ma dopo il corso arriva il bello …

Il corso “Dark Web & Cyber Threat Intelligence” progettato da Red Hot Cyber offre un’esperienza pratica che continua anche dopo la conclusione del percorso formativo. I partecipanti che lo desiderano avranno l’opportunità di entrare a far parte del collettivo “DarkLab”, dove, sotto la guida di esperti, potranno contribuire alla redazione di report e articoli, interviste ai threat actors e approfondimenti legati alla cyber threat intelligence.

Questo percorso didattico è unico nel suo genere: Red Hot Cyber offre infatti un accesso esclusivo ad analisi e report di cyber threat intelligence, pubblicati regolarmente sul blog. I partecipanti avranno la possibilità di esplorare le realtà dell’underground digitale, con la possibilità di condurre analisi specifiche e mirate, un’opportunità che non troverete altrove.

Ulteriori informazioni utili:

• Pagina del corso “Darkweb e Cyber Threat Intelligence”: redhotcyber.com/academy/corso-…
• Pagina delle certificazioni (solo per chi fornisce il consenso alla pubblicazione del nome): redhotcyber.com/academy/certif…
• Conferimento alla Red Hot Cyber Conference dei certificati CTIP (minuto 2:18): youtube.com/watch?v=p71gQYUnv7…
• Alcuni post su Linkedin che riportano informazioni sul corso, da parte dei precedenti partecipanti al corso e alla certificazione CTIP.
• Il Gruppo Dark Lab https://www.redhotcyber.com/post/nasce-dark-lab-il-team-di-cyber-threat-intelligence-della-community-di-red-hot-cyber/

Contattaci tramite WhatsApp al 379 163 8765 per maggiori informazioni o per bloccare il tuo posto, oppure scrivici a: academy@redhotcyber.com. Ricorda che il corso è a numero chiuso e i posti sono limitati.
L'articolo Al Via la Quarta Edizione in Live Class del Corso Darkweb & Cyber Threat Intelligence in partenza a Gennaio proviene da il blog della sicurezza informatica.

La più grande azienda energetica della Romania, Electrica Group, è stata vittima di un attacco informatico. Secondo gli esperti di sicurezza informatica, dietro questo incidente c’è il gruppo di estorsione Lynx.

Il Gruppo Electrica serve attualmente più di 3,8 milioni di utenti in tutto il paese, fornendo servizi di fornitura di energia elettrica e manutenzione della rete, nonché distribuendo elettricità ai consumatori in tutta la Transilvania e la Muntenia.

All’inizio di questa settimana, Electrica Group ha dichiarato agli investitori che la società stava collaborando con le forze dell’ordine e gli esperti di sicurezza informatica per indagare su un “attacco informatico in corso”.

“Vogliamo sottolineare che i sistemi critici non sono stati interessati e che eventuali interruzioni che si verificano nell’interazione con i nostri consumatori sono il risultato delle misure di protezione adottate per garantire la sicurezza dell’infrastruttura interna”, ha affermato il capo di Electrica. “Queste misure sono temporanee e mirano a garantire la sicurezza dell’intero sistema.”

Sebbene la società non abbia rivelato i dettagli e la natura dell’attacco, il Ministero dell’Energia del Paese ha riferito che il Gruppo Electrica è stato vittima di un ransomware. Si sottolinea che l’incidente non ha interessato i sistemi SCADA utilizzati per la gestione e il monitoraggio della rete di distribuzione.

Ora la Direzione nazionale rumena per la sicurezza informatica (DNSC), anch’essa coinvolta nelle indagini sull’attacco, ha riferito che il ransomware Lynx è responsabile di questo hack. Gli esperti hanno allegato al loro messaggio uno script YARA, progettato per aiutare a rilevare segnali di possibile compromissione nelle reti di altre aziende.

“Secondo le informazioni disponibili, i sistemi energetici critici non sono stati interessati e funzionano normalmente, ma l’indagine è in corso. In caso di infezione da ransomware, sconsigliamo vivamente di pagare il riscatto richiesto dagli aggressori”, ha affermato DNSC in una nota.

Il ransomware Lynx è attivo almeno dal luglio 2024 e il “sito di fuga” del gruppo ha già pubblicato informazioni di oltre 78 vittime.

Secondo i ricercatori del Center for Internet Security (CIS), l’elenco delle vittime di Lynx comprende diverse aziende statunitensi e più di 20 organizzazioni operanti nei settori dell’energia, del petrolio e del gas che sono state attaccate tra luglio 2024 e novembre 2024.

Gli esperti ritengono che il ransomware Lynx possa essere basato sul codice sorgente del malware INC Ransom, che è stato messo in vendita sui forum di hacker per 300.000 dollari. Tuttavia, Lynx potrebbe anche rivelarsi un rebranding di INC Ransom, poiché gli aggressori spesso cambiano identità per non attirare indebita attenzione da parte delle forze dell’ordine.

L'articolo Energia in Ostaggio: Il Gruppo Electrica Colpito dal Ransomware Lynx proviene da il blog della sicurezza informatica.

Hobbyist 3D printers have traditionally run the open source Merlin firmware, but as printers are being pushed to the limits, more capable firmware Klipper are being developed. This is why the aptly named ‘Danger-Klipper’ fork of the Klipper firmware comes with the motto ‘I should be able to light my printer on fire’. Because the goal of Danger-Klipper wasn’t literally to light printers on fire (barring unfortunate accidents), the project has now been renamed to Kalico by the developers, after the pirate Calico Jack to maintain the nautical theming.
The Kalico project logo.
Not only does the project get a new name, but also a cute new pirate-themed calico cat logo. Beyond these changes not much else is different, though the documentation is obviously now also at a new domain. As a Klipper fork just about any printer that can run Klipper should be able to run Kalico, though the focus is on Raspberry Pi 2, 3 or 4. The FAQ has some more details on what Kalico can run on. Obviously, Kalico makes for a great option if you are building your own customized 3D printer (or similar), and will support the typical web UIs like Fluidd, OctoPrint, etc.

For some of the differences between Klipper and Kalico, the ‘Danger Features’ section of the documentation provides an impression. Suffice it to say that Kalico is not the kind of firmware to hold your hand or provide guiderails, making it an option for advanced users for whom breaking things while pushing boundaries is just part of the hobby.

Thanks to [Vinny] for the tip.

hackaday.com/2024/12/11/danger…

For better or worse, a lot of human technology is confined to fewer dimensions than the three we can theoretically move about in. Cars and trains only travel two dimensionally with limited exceptions, maps and books generally don’t take advantage of a third dimension, and most computer displays and even the chips that make them work are largely two-dimensional in nature. Most styles of cooking can only apply heat in a single dimension as well, but [Dane Kouttron] wanted to make sure the meat his cookouts took advantage of a truly three-dimensional cooking style by adding a gyroscopic mechanism to the spit.

The first thing that needed to be built were a series of concentric rings for each of the three axes of rotation. Metal tubes were shaped with a pipe bender and then welded into their final forms, with an annealing step to flatten the loops. From there, the rings are attached to each other with a series of offset bearings. The outer tube is mounted above the fire and a single motor spins this tube. Since no piece of meat is perfectly symmetrical (and could be offset on the interior ring a bit even if it were) enough chaos is introduced to the system that the meat is free to rotate in any direction, change direction at any time, and overall get cooked in a more uniform way than a traditional single-dimensional rotating spit.

As a proof of concept [Dane] hosted a cookout and made “gyro” sandwiches (even though the machine may technically be more akin to a gimbal), complete with small Greek flag decorative garnishes. It seems to have been a tremendous success as well. There are a few other novel ways we’ve seen of cooking food over the years, including projects that cook with plasma and much more widely available methods that cook food efficiently using magnets, of a sort.

hackaday.com/2024/12/11/chaoti…

The cable car system of San Francisco is the last manually operated cable car system in the world, with three of the original twenty-three lines still operating today. With these systems being installed between 1873 and 1890, they were due major maintenance and upgrades by the time the 1980s and with it their 100th year of operation rolled around. This rebuilding and upgrading process was recorded in a documentary by a local SF television station, which makes for some fascinating viewing.
San Francisco cable car making its way through traffic. Early 20th century.
While the cars themselves were fairly straight-forward to restore, and the original grips that’d latch onto the cable didn’t need any changes. But there were upgrades to the lubrication used (originally pine tar), and the powerhouse (the ‘barn’) was completely gutted and rebuilt.

As opposed to a funicular system where the cars are permanently attached to the cable, a cable car system features a constantly moving cable that the cars can grip onto at will, with most of the wear and tear on the grip dies. Despite researchers at San Francisco State University (SFSU) investigating alternatives, the original metal grip dies were left in place, despite their 4-day replacement schedule.

Ultimately, the rails and related guides were all ripped out and replaced with new ones, with the rails thermite-welded in place, and the cars largely rebuilt from scratch. Although new technologies were used where available, the goal was to keep the look as close as possible to what it looked at the dawn of the 20th century. While more expensive than demolishing and scrapping the original buildings and rolling stock, this helped to keep the look that has made it a historical symbol when the upgraded system rolled back into action on June 21, 1984.

Decades later, this rebuilt cable car system is still running as smoothly as ever, thanks to these efforts. Although SF’s cable car system is reportedly mostly used by tourists, the technology has seen somewhat of a resurgence. Amidst a number of funicular systems, a true new cable car system can be found in the form of e.g. the MiniMetro system which fills the automated people mover niche.

youtube.com/embed/56QWZwLMCsA?…

Thanks to [JRD] for the tip.

hackaday.com/2024/12/11/retrot…

This week, Jonathan Bennett, Simon Phipps, and Aaron Newcomb chat about retrocomputing, Open Source AI, and … politics? How did that combination of topics come about? Watch to find out!

youtube.com/embed/RDRR4ti-zdQ?…

Did you know you can watch the live recording of the show Right on our YouTube Channel? Have someone you’d like us to interview? Let us know, or contact the guest and have them contact us! Take a look at the schedule here.

play.libsyn.com/embed/episode/…

Direct Download in DRM-free MP3.

If you’d rather read along, here’s the transcript for this week’s episode.

Places to follow the FLOSS Weekly Podcast:

• Spotify
• RSS

Theme music: “Newer Wave” Kevin MacLeod (incompetech.com)

Licensed under Creative Commons: By Attribution 4.0 License

hackaday.com/2024/12/11/floss-…

l’Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro degli Stati Uniti D’America sta sanzionando la società di sicurezza informatica Sichuan Silence Information Technology Company, Limited (Sichuan Silence) e uno dei suoi dipendenti, Guan Tianfeng (Guan), entrambi con sede nella Repubblica Popolare Cinese (RPC), per il loro ruolo nella compromissione di decine di migliaia di firewall Sophos in tutto il mondo nell’aprile 2020. Molte delle vittime erano società di infrastrutture critiche statunitensi.

Gli autori di attacchi informatici malintenzionati, compresi quelli che operano in Cina, continuano a rappresentare una delle minacce più grandi e persistenti per la sicurezza nazionale degli Stati Uniti, come evidenziato nella Valutazione annuale delle minacce del 2024 pubblicata dall’Office of the Director of National Intelligence.

“L’azione di oggi sottolinea il nostro impegno a denunciare queste attività informatiche dannose, molte delle quali rappresentano un rischio significativo per le nostre comunità e i nostri cittadini, e a ritenere responsabili gli autori dei loro piani”, ha affermato il sottosegretario facente funzione del Tesoro per il terrorismo e l’intelligence finanziaria Bradley T. Smith. “Il Tesoro, come parte dell’approccio coordinato del governo degli Stati Uniti per affrontare le minacce informatiche, continuerà a sfruttare i nostri strumenti per interrompere i tentativi degli autori di attacchi informatici dannosi di minare la nostra infrastruttura critica”.

Oggi, il Dipartimento di Giustizia (DOJ) ha desecretato un atto di accusa contro Guan per la stessa attività. Inoltre, il Dipartimento di Stato degli Stati Uniti ha annunciato un’offerta di ricompensa Rewards for Justice fino a10 milioni di dollari per informazioni su Sichuan Silence o Guan.

Compromissione del firewall di aprile 2020

Guan Tianfeng ha scoperto un exploit zero-day in un prodotto firewall. Tra il 22 e il 25 aprile 2020, Guan Tianfeng ha utilizzato questo exploit zero-day per distribuire malware a circa 81.000 firewall di proprietà di migliaia di aziende in tutto il mondo. Lo scopo dell’exploit era quello di utilizzare i firewall compromessi per rubare dati, inclusi nomi utente e password. Tuttavia, Guan ha anche tentato di infettare i sistemi delle vittime con la variante del ransomware Ragnarok. Questo ransomware disabilita il software antivirus e crittografa i computer sulla rete di una vittima se tenta di porre rimedio alla compromissione.

Oltre 23.000 dei firewall compromessi si trovavano negli Stati Uniti. Di questi firewall, 36 proteggevano i sistemi delle aziende di infrastrutture critiche statunitensi. Se una di queste vittime non avesse patchato i propri sistemi per mitigare l’exploit, o le misure di sicurezza informatica non avessero identificato e rimediato rapidamente all’intrusione, il potenziale impatto dell’attacco ransomware Ragnarok avrebbe potuto causare gravi lesioni o la perdita di vite umane.

Una vittima era una società energetica statunitense che era attivamente coinvolta in operazioni di perforazione al momento della compromissione. Se questa compromissione non fosse stata rilevata e l’attacco ransomware non fosse stato sventato, avrebbe potuto causare il malfunzionamento delle piattaforme petrolifere, causando potenzialmente una significativa perdita di vite umane.

Guan Tianfeng e il silenzio del Sichuan

Guan è un cittadino cinese ed era un ricercatore di sicurezza presso Sichuan Silence al momento della compromissione. Guan ha gareggiato per conto di Sichuan Silence in tornei di sicurezza informatica e ha pubblicato exploit zero-day scoperti di recente su forum di vulnerabilità ed exploit, anche sotto il suo soprannome GbigMao. Guan è stato responsabile della compromissione del firewall di aprile 2020.

Sichuan Silence è un appaltatore governativo per la sicurezza informatica con sede a Chengdu, i cui clienti principali sono i servizi di intelligence della RPC. Sichuan Silence fornisce a questi clienti prodotti e servizi di sfruttamento della rete informatica, monitoraggio delle e-mail, cracking delle password con forza bruta e operazioni di manipolazione del pubblico. Inoltre, Sichuan Silence fornisce a questi clienti apparecchiature progettate per sondare e sfruttare i router di rete target. Un dispositivo di pre-posizionamento utilizzato da Guan nella compromissione del firewall di aprile 2020 era in realtà di proprietà del suo datore di lavoro, Sichuan Silence.

L’OFAC ha designato Sichuan Silence e Guan ai sensi dell’Ordine esecutivo (EO) 13694, modificato dall’EO 13757, per essere responsabili o complici, o per aver preso parte, direttamente o indirettamente, ad attività informatiche provenienti da, o dirette da, persone situate, in tutto o in parte sostanziale, al di fuori degli Stati Uniti, che hanno ragionevolmente probabilità di causare, o di aver contribuito materialmente a, una minaccia significativa alla sicurezza nazionale, alla politica estera, alla salute economica o alla stabilità finanziaria degli Stati Uniti e che hanno lo scopo o l’effetto di danneggiare, o altrimenti compromettere significativamente la fornitura di servizi da parte di, un computer o una rete di computer che supportano una o più entità in un settore di infrastrutture critiche.

L'articolo 10 Milioni di Dollari per Chi Trova Guan! Il Ricercatore Cinese che Colpì 81.000 Firewall proviene da il blog della sicurezza informatica.