Le nuove normative sulla sicurezza informatica in India hanno sollevato preoccupazioni nel settore delle telecomunicazioni. Il Dipartimento delle Telecomunicazioni impone alle aziende di nominare un responsabile della sicurezza delle comunicazioni e di segnalare gli incidenti informatici entro sei ore. Tuttavia, gli esperti sottolineano molti problemi associati all’attuazione di queste regole.

Gli avvocati sottolineano che la mancanza di una definizione di “traffico di dati” crea incertezza sulla portata delle informazioni che il governo può richiedere. Inoltre, non ci sono restrizioni sul periodo di conservazione dei dati, il che può portare ad un accumulo infinito di informazioni senza quadro giuridico, violando il diritto alla privacy.

Anche il confronto con gli standard internazionali solleva interrogativi. Ad esempio, gli Stati Uniti e l’UE prevedono un periodo di segnalazione di 72 ore per gli incidenti informatici, che è significativamente superiore al limite di sei ore previsto dalle nuove norme indiane. Gli esperti definiscono questi requisiti troppo ambiziosi e difficili da attuare.

I rappresentanti delle società di telecomunicazioni avvertono che il rispetto delle nuove norme comporterà un aumento dei costi. In futuro, questi costi potrebbero essere trasferiti ai consumatori attraverso aumenti tariffari. Tuttavia, l’entità dell’aumento dei costi dipenderà dalle dimensioni dell’operatore e dai suoi attuali processi di sicurezza informatica.

Per ridurre i costi, gli esperti consigliano di utilizzare strumenti basati sull’automazione e sull’intelligenza artificiale. Le aziende possono anche rivolgersi sempre più a società di consulenza terze che dispongono degli strumenti e dell’esperienza necessari per garantire la conformità ai nuovi requisiti.

Alcuni aspetti delle regole sono stati criticati in quanto eccessivamente vincolanti per le società di telecomunicazioni. Gli avvocati ritengono che gli operatori non possano garantire la prevenzione degli abusi da parte degli utenti, il che rendono queste disposizioni inapplicabili nella pratica.

Le novità si spiegano con la volontà di rafforzare il controllo sul settore, che contiene informazioni sensibili. Tuttavia, la mancanza di chiarezza nelle norme e i requisiti elevati comportano rischi per il settore, richiedendo ulteriori miglioramenti per bilanciare i diritti dei cittadini e le questioni di sicurezza.

L'articolo Stretta sulla Cyber in India sulle TELCO: Report Incidenti in 6 Ore e Costi alle Stelle! proviene da il blog della sicurezza informatica.

Ham radio enthusiasts, people looking to borrow their neighbors’ WiFi, and those interested in decoding signals from things like weather satellites will often grab an old satellite TV antenna and repurpose it. Customers have been leaving these services for years, so they’re pretty widely available. But for handheld operation, these metal dishes can get quite cumbersome. A 3D-printed satellite dish like this one is lightweight and small enough to be held, enabling some interesting satellite tracking activities with just a few other parts needed.

Although we see his projects often, [saveitforparts] did not design this antenna, instead downloading the design from [t0nito] on Thingiverse. [saveitforparts] does know his way around a satellite antenna, though, so he is exactly the kind of person who would put something like this through its paces and use it for his own needs. There were a few hiccups with the print, but with all the 3D printed parts completed, the metal mesh added to the dish, and a correctly polarized helical antenna formed into the print to receive the signals, it was ready to point at the sky.

The results for the day of testing were incredibly promising. Compared to a second satellite antenna with an automatic tracker, the handheld 3D-printed version captured nearly all of the information sent from the satellite in orbit. [saveitforparts] plans to build a tracker for this small dish to improve it even further. He’s been able to find some satellite trackers from junked hardware in some unusual places as well. Antennas seem to be a ripe area for 3D printing.

youtube.com/embed/PFQ6UKulxSo?…

hackaday.com/2024/12/23/handhe…

Stiamo assistendo a un periodo turbolento nel panorama della cybercriminalità, segnato dall’emergere di una nuova piattaforma di phishing-as-a-service (PaaS) chiamata ‘FlowerStorm’. Questa minaccia, che si concentra principalmente sugli utenti di Microsoft 365, ha rapidamente guadagnato terreno dopo l’imprevisto arresto del suo predecessore, Rockstar2FA, avvenuto nel novembre 2024.

Il crollo di Rockstar2FA

Rockstar2FA, un kit di phishing evoluto dall’ormai noto DadSec, ha subito un parziale crollo infrastrutturale l’11 novembre 2024 (Qui l’articolo completo). Secondo i ricercatori di Sophos, Sean Gallagher e Mark Parsons, molte pagine del servizio sono diventate inaccessibili, probabilmente a causa di problemi tecnici piuttosto che per interventi delle forze dell’ordine. In particolare, l’infrastruttura di Rockstar2FA faceva affidamento su un modello centralizzato che si è dimostrato vulnerabile a interruzioni multiple, lasciando spazio a nuove piattaforme come FlowerStorm.

La nascita di FlowerStorm

Comparsa per la prima volta a giugno 2024, FlowerStorm ha colmato rapidamente il vuoto lasciato da Rockstar2FA. Questa nuova piattaforma condivide molte caratteristiche con il suo predecessore, tra cui meccanismi avanzati di elusione, un pannello user-friendly e una gamma diversificata di opzioni di phishing. Tuttavia, è l’uso di tecniche Adversary-in-the-Middle (AiTM) che rende FlowerStorm particolarmente insidiosa. Queste tecniche permettono agli attaccanti di intercettare credenziali e cookie di sessione, bypassando così le protezioni di autenticazione multi-fattore (MFA).

I portali di phishing utilizzati da FlowerStorm imitano in modo convincente le pagine di login di Microsoft, progettate per ingannare gli utenti e raccogliere token MFA e credenziali. Inoltre, Sophos ha evidenziato che FlowerStorm utilizza un sistema modulare che permette agli operatori di personalizzare gli attacchi in base ai target, rendendo la piattaforma particolarmente adattabile.

La tematica botanica di FlowerStorm

In un curioso dettaglio, la piattaforma adotta un tema botanico per le sue operazioni. Termini come “Flower”, “Sprout”, “Blossom” e “Leaf” compaiono nei titoli HTML delle pagine di phishing. Anche i pattern di registrazione e hosting dei domini sono simili a quelli di Rockstar2FA, con un forte utilizzo di domini .ru e .com, supportati da servizi di Cloudflare. Le similitudini nei domini suggeriscono una possibile connessione tra i due operatori o almeno una condivisione delle stesse infrastrutture.

L’impatto di FlowerStorm

Source: Sophos
I dati di telemetria di Sophos rivelano che il 63% delle organizzazioni e l’84% degli utenti colpiti da FlowerStorm risiedono negli Stati Uniti. Tra i settori più colpiti troviamo i servizi (33%), la manifattura (21%), il retail (12%) e i servizi finanziari (8%).

Oltre a questo, si segnala una crescente attenzione verso i settori governativi e sanitari, con attacchi mirati che sfruttano vulnerabilità specifiche nelle loro infrastrutture di email e autenticazione.

Difendersi da FlowerStorm

Si consigliano alcune contromisure per proteggersi da attacchi sofisticati come quelli di FlowerStorm:

1. Utilizzare MFA con token FIDO2 resistenti alle tecniche AiTM.
2. Implementare soluzioni di filtraggio email per bloccare i tentativi di phishing.
3. Adottare filtri DNS per impedire l’accesso a domini sospetti.
4. Monitorare attivamente i log di accesso per identificare attività sospette e sessioni compromesse.

Conclusione

FlowerStorm non è solo un nome, ma un simbolo di come la cybercriminalità stia evolvendo in modo sofisticato e imprevedibile. Proprio come una tempesta che travolge tutto ciò che incontra, questa piattaforma di phishing-as-a-service ha dimostrato di essere in grado di adattarsi, mutare e prosperare, colpendo senza pietà utenti vulnerabili. Con il suo approccio modulare e l’uso di tecniche avanzate come l’Adversary-in-the-Middle (AiTM), FlowerStorm rappresenta una delle minacce più insidiose del panorama cyber odierno. Non c’è più tempo da perdere: la difesa contro questa tempesta deve essere immediata, precisa e senza compromessi.

L'articolo FlowerStorm: la nuova piattaforma PaaS che prende di mira gli utenti Microsoft 365 proviene da il blog della sicurezza informatica.

Introduction

Known since 2014, Cloud Atlas targets Eastern Europe and Central Asia. We’re shedding light on a previously undocumented toolset, which the group used heavily in 2024. Victims get infected via phishing emails containing a malicious document that exploits a vulnerability in the formula editor (CVE-2018-0802) to download and execute malware code. See below for the infection pattern.

Typical Cloud Atlas infection pattern

When opened, the document downloads a malicious template formatted as an RTF file from a remote server controlled by the attackers. It contains a formula editor exploit that downloads and runs an HTML Application (HTA) file hosted on the same C2 server. The RTF and HTA downloads are restricted to certain time slots and victim IP addresses: requests are only allowed from target regions.

The malicious HTA file extracts and writes several files to disk that are parts of the VBShower backdoor. VBShower then downloads and installs another backdoor: PowerShower. This infection scheme was originally described back in 2019 and has changed only slightly from year to year.

Previously, Cloud Atlas employed PowerShower to download and run an executable file: a DLL library. This DLL would then fetch additional executable modules (plug-ins) from the C2 server and execute these in memory. Among these plug-ins was one specifically designed to exfiltrate files with extensions of interest to the attackers: DOC, DOCX, XLS, XLSX, PDF, RTF, JPG and JPEG. The plugins were downloaded and their output was uploaded via the WebDAV protocol over public cloud services. Interestingly, after a plug-in was successfully downloaded, the DLL would delete the file from the cloud.

The VBCloud backdoor now replicates the executable file’s original capabilities, such as downloading and executing malicious plug-ins, communicating with a cloud server, and performing other tasks. We first detected attacks using this implant in August of last year. Since then, we’ve observed numerous variations of the backdoor which have helped it to stay under the radar. This new campaign loads VBCloud via VBShower, which also downloads the PowerShower module. PowerShower probes the local network and facilitates further infiltration, while VBCloud collects information about the system and steals files. Below, we use a sample seen in September 2024 as a case study to examine each stage of a Cloud Atlas attack that employs the new toolkit.

Technical details

HTA

The exploit downloads the HTA file via the RTF template and runs it. It leverages the alternate data streams (NTFS ADS) feature to extract and create several files at %APPDATA%\Roaming\Microsoft\Windows\. These files make up the VBShower backdoor.

Sample HTA content

Below are the VBShower components loaded by the HTA dropper.

After the download is complete, the malware adds a registry key to auto-run the VBShower Launcher script.
"Software\Microsoft\Windows\\CurrentVersion\Run","dmwappushservice","wscript /B "%APPDATA%\Roaming
\Microsoft\Windows\AppCache028732611605321388.log:AppCache028732611605321388.vbs"
The backdoor also launches further scripts: VBShower Launcher (copy) and VBShower Cleaner.
wscript /B "%APPDATA%\Roaming
\Microsoft\Windows\AppCache028732611605321388.log:AppCache02873261160532138892.vbs

wscript /B "%APPDATA%\Roaming
\Microsoft\Windows\AppCache028732611605321388.log:AppCache0287326116053213889292.vbs
The attackers create custom HTA files for each victim, so the names of the scripts and registry keys are mostly unique. For example, we have seen
intertwine used as a name template, while the file names themselves looked as follows.

• “intertwine.ini:intertwineing.vbs”;
• “intertwine.ini:intertwineinit.vbs”;
• “intertwine.ini:intertwine.vbs”;
• “intertwine.ini:intertwine.con”.

VBShower

VBShower::Launcher

This script acts as a loader, responsible for reading and decrypting the contents of AppCache028732611605321388.log:AppCache028732611605321388.dat, before using the
Execute() function to pass control to that file.

Sample VBShower Launcher content

VBShower::Cleaner

This script is designed to clear the contents of all files inside the \Local\Microsoft\Windows\Temporary Internet Files\Content.Word\ folder by opening each in write mode. While the files persist, their contents are erased. This is how the Trojan covers its tracks, removing malicious documents and templates it downloaded from the web during the attack.

The script uses the same method to erase both its own contents and the contents of the VBShower Launcher copy, which is used solely for the malware’s first run.

Sample VBShower Cleaner content

VBShower::Backdoor

The backdoor’s payload is contained encrypted within a DAT file.

Encrypted VBShower backdoor

VBShower::Launcher goes through several stages to decrypt the backdoor.

First decrypted layer of VBShower Backdoor

Fully decrypted and deobfuscated VBShower Backdoor content

The VBShower backdoor then runs in memory, subsequently performing several operations in a loop.

• Check for the autorun registry key and restore it if missing.
• Attempt to download additional encrypted VB scripts from the C2 server and run these. If the downloaded data is larger than 1 MB, the module saves the script to disk inside alternate data streams (NTFS ADS) and runs it with the help of the “wscript” utility. Otherwise, it runs the script in the current context.
• If an alternate data stream contains a TMP file, the backdoor sends it to the C2 server with a POST request. The additional scripts downloaded from the C2 use the TMP file to store their output.

VBShower::Payload

We were able to detect and analyze a number of scripts downloaded and executed by the VBShower backdoor.

VBShower::Payload (1)

The first script we found does the following.

• Gets the domain, username and computer.
• Gets the names and values of the registry keys in the SOFTWARE\Microsoft\Windows\CurrentVersion\Run branch.
• Gets information about the file names and sizes in the following folders:
  
  • %AppData%;
  • %AllUsersProfile%;
  • %AllUsersProfile%\Canon;
  • %AllUsersProfile%\Intel;
  • %AllUsersProfile%\Control;
  • %AllUsersProfile%\libs;
  • %AllUsersProfile%\Adobe;
  • %AllUsersProfile%\Yandex;
  • %AllUsersProfile%\Firefox;
  • %AllUsersProfile%\Edge;
  • %AllUsersProfile%\Chrome;
  • %AllUsersProfile%\avp.

  
  

• Gets the names of running processes, their start dates and the commands that started them.
• Gets a list of scheduler tasks by running cmd.exe /c schtasks /query /v /fo LIST.

All data collected this way is saved in a TMP alternate data stream and forwarded to the C2 server by the VBShower::Backdoor component.

The paths listed above (%AllUsersProfile%\<subfolder>) are used for installing the VBCloud backdoor. The steps performed by the script are most likely needed to check if the backdoor is present and installed correctly.

Decrypted and deobfuscated contents of script 1

VBShower::Payload (2)

The second script reboots the system.

Decrypted and deobfuscated contents of script 2

VBShower::Payload (3)

A further script downloads a ZIP archive, extracts it into the %TMP% directory, and collects the names and sizes of downloaded files to then send an extraction report to the C2. This is done to verify that the files were received and unpacked.

Decrypted and deobfuscated contents of script 3

VBShower::Payload (4) and (5)

VBShower downloads two similar scripts that are designed for installing the VBCloud and PowerShower backdoors. These scripts first download an archive from a hardcoded link and then unpack it into the %ALLUSERSPROFILE% folder. In the case of VBCloud, the script changes the extension of the unpacked file from TXT to VBS and creates a scheduler task to run VBCloud. In the case of PowerShower, the extension of the unpacked file is changed from TXT to PS1, whereupon the script adds the file to the \Run registry branch.

Unlike VBShower’s own scripts, downloadable scripts with a payload are present on disk as files, rather than hidden inside alternate data streams.

Besides installing backdoors, these scripts build a report that consists of the names of running processes, their start dates and the commands that started them, registry keys and values in the \Run branch, and a list of files and directories at the path where the archive was unpacked. This report is then sent to the C2 server.

Decrypted and deobfuscated contents of the scripts for downloading and installing VBCloud and PowerShower

PowerShower

PowerShower is nearly identical to VBShower in terms of functionality.

Sample PowerShower script installed with VBShower

PowerShower downloads additional PowerShell scripts from the C2 and executes these. If the downloaded data begins with the character “P”, PowerShower interprets the data as a ZIP archive, rather than a PowerShell script, and saves the archive to disk as “%TMP%\Firefox.zip”. PowerShower does not unpack the archive, serving as a downloader only.

Decoded PowerShower script

The downloaded PowerShell scripts run in memory, without being saved to disk. Most of the scripts save their output to sapp.xtx, which PowerShower then sends as a report to the C2.

The PowerShower scripts use the same C2 domains as VBShower.

PowerShower::Payload (1)

The script gets a list of local groups and their members on remote computers via Active Directory Service Interfaces (ADSI). The script is most often used on domain controllers.

Sample script to get a local groups and members list, downloaded and executed by PowerShower

PowerShower::Payload (2)

Script for dictionary attacks on user accounts.

Sample password bruteforcing script, downloaded and executed by PowerShower

PowerShower::Payload (3)

The script unpacks the Firefox.zip archive previously downloaded by the PowerShower backdoor, and executes the keb.ps1 script contained in the archive as a separate PowerShell process with a hidden window. The keb.ps1 script belongs to the popular PowerSploit framework for penetration testing and kicks off a Kerberoasting attack.

Sample script that launches a Kerberoasting attack, downloaded and executed by PowerShower

PowerShower::Payload (4)

This script gets a list of administrator groups.

Sample script to get a list of administrator groups, downloaded and executed by PowerShower

PowerShower::Payload (5)

This script gets a list of domain controllers.

Sample script to get a list of domain controllers, downloaded and executed by PowerShower

PowerShower::Payload (6)

This script gets information about files inside the ProgramData directory.

Sample script to get information about files inside the ProgramData directory, downloaded and executed by PowerShower

PowerShower::Payload (7)

This script gets the account policy and password policy settings on the local computer.

Sample script to get policy settings, downloaded and executed by PowerShower

PowerShower::Payload:: Inveigh

We also observed the use of PowerShell Inveigh, a machine-in-the-middle attack utility used in penetration testing. Inveigh is used for data packet spoofing attacks, and collecting hashes and credentials both by intercepting packets and by using protocol-specific sockets.

The Inveigh script is extracted from the ZIP archive downloaded by PowerShower and runs as described under PowerShower::Payload (3).

Sample Inveigh script, downloaded and executed by PowerShower

VBCloud

As described above, VBCloud is installed via VBShower. We found the following module installation paths.
C:\ProgramData\avp\avp_upd.vbs
C:\ProgramData\Adobe\AdobeLog.vbs
C:\ProgramData\Adobe\manager.vbs
C:\ProgramData\Adobe\sysman.vbs
C:\ProgramData\Adobe\news_adobe.vbs
C:\ProgramData\Adobe\upgrade.vbs
C:\ProgramData\Edge\SrvMngrUpd.vbs
C:\ProgramData\Edge\intelog.vbs
C:\ProgramData\Chrome\ChromeSys.vbs

Sample VBCloud main module paths

The core functionality of the VBCloud module duplicates that of VBShower: both download and run PowerShell scripts with a payload, and then send the output to the C2. Unlike VBShower, however, VBCloud uses public cloud storage as the C2.

Sample VBCloud script

The VBCloud script does not contain any loops, and it is designed to execute only once. However, it gets triggered by a scheduled task every time the user logs into the system, which means it will run frequently. We’ve also seen variants of the backdoor that executed their core functionality in a loop with a thirty-minute delay between repetitions. These variants ran the script once via the \Run registry branch when the system booted up for the first time after being infected.

Decrypted and deobfuscated VBCloud script

VBCloud does the following:

• Check the availability of the kim.nl.tab.digital WebDav server by sending an HTTP MKCOL request to create the directories named “kmsobuqjquut” and “rwqdmpaohxns” with the credentials hardcoded in the script. If the server is unavailable, the script switches to the backup address “webdav.mydrive.ch”.
• If the WebDav server is available, create a file in the “kmsobuqjquut” directory on that server via an HTTP PUT The file name follows the pattern ddmmyy_HHMMSS, and the extension is randomly selected from among TXT, RTF, DOC, PPT, MDS, PNG and JPEG. We have seen files named “070824_001919.txt” and “250724_002919.doc”. Files like these contain the username and MAC addresses of network adapters, effectively confirming that the script is active on the infected system.
• The Trojan then attempts to download one of three files from the “rwqdmpaohxns” directory: “criclyqnduv.txt”, “jhflenoqelp.txt” or “avnwiabihik.txt”. If VBCloud successfully downloads the file, it immediately deletes it from the cloud with an HTTP DELETE request, and then executes it in the current process via the Execute() function after decrypting the contents. As in the case of PowerShower, the payload can be made up of various scripts.

VBCloud::Payload (1)

This script is designed to send information about disks to the C2.

VBCloud::Payload (2)

This script is designed to exfiltrate files and documents. It iterates through local drives and removable media in search of files with the extensions DOC, DOCX, XLS, XLSX, PDF, TXT, RTF and RAR. The script checks the size of any files it finds to match this condition and collects those between 1000 and 3,000,000 bytes to exfiltrate. The files must have been modified no more than 72 hours before the current date. The script then copies matching files to a ZIP archive it creates, named “mapping.zip”. It also adds a file with metadata such as the created time, modified time, last opened time, and full path to the file. Upon exceeding 4,000,000 bytes, an archive is uploaded to cloud storage and deleted from the system. It is replaced with a new one, and the file harvesting process continues. The archive is uploaded in RC4-encrypted form, with a name that follows the template “%d_13134” and one of the following extensions chosen at random: MP3, AAC, MP2, FLAC, WAV, ALAC, MQA, OGG, DSD, WMA, and MP4.

Part of the file exfiltration script

VBCloud::Payload (3)

This script gets various system information such as the OS version, RAM size, manufacturer, computer name, username and domain name.

VBCloud::Payload (4)

Script to exfiltrate Telegram files:

• The file D877F783D5D3EF8Cs contains the user ID and encryption key used for interaction between the desktop client and Telegram servers.
• The file key_datas contains local encryption keys.

Part of the file exfiltration script

Geography of attacked users

Several dozen users were attacked in 2024, 82% of these in Russia. Isolated attacks were recorded in Belarus, Canada, Moldova, Israel, Kyrgyzstan, Vietnam and Turkey.

Conclusion

We continue to monitor activity linked to Cloud Atlas. In a new campaign that began in August 2023, the attackers made changes to their familiar toolkit. This time, instead of an executable library to load malware modules, the group relied on the VBShower backdoor as the loader. Besides, they are now using a new module in their attacks: VBCloud. This collects and uploads system information and other data. These actions employ a variety of PowerShell scripts that enable the attackers to perform a range of tasks on the victim’s system. VBCloud uses public cloud storage as a C2 server.

The infection chain consists of several stages and ultimately aims to steal data from victims’ devices. We’ve observed that, similar to past Cloud Atlas campaigns, phishing emails continue to be the initial access point. This underscores the still-pressing need for organizations to strengthen their infrastructure defenses and improve employee awareness to ward off these kinds of attacks.

Indicators of compromise

HTA file download domains
content-protect[.]net
control-issue[.]net
office-confirm[.]com
onesoftware[.]info
serverop-parametrs[.]com
web-privacy[.]net
net-plugin[.]org
triger-working[.]com

VBShower C2
yandesks[.]net
yandisk[.]info
mirconnect[.]info
sber-cloud[.]info
gosportal[.]net
riamir[.]net
web-wathapp[.]com

PowerShower C2
yandisk[.]info
yandesktop[.]com
web-wathapp[.]com

Cloud repositories used ​by VBCloud
webdav.opendrive.com
webdav.mydrive.ch
webdav.yandex.ru
kim.nl.tab.digital

HTA MD5
9D3557CC5C444FE5D73E4C7FE1872414
CBA05E11CB9D1D71F0FA70ECD1AF2480
CBFB691E95EE34A324F94ED1FF91BC23
2D24044C0A5B9EBE4E01DED2BFC2B3A4
88BE01F8C4A9F335D33FA7C384CA4666
A30319545FDA9E2DA0532746C09130EB

PowerShower MD5
15FD46AC775A30B1963281A037A771B1
31B01387CA60A1771349653A3C6AD8CA
389BC3B9417D893F3324221141EDEA00

VBShower::Launcher MD5
AA8DA99D5623FAFED356A14E59ACBB90
016B6A035B44C1AD10D070ABCDFE2F66
160A65E830EB97AAE6E1305019213558
184CF8660AF7538CD1CD2559A10B6622
1AF1F9434E4623B7046CF6360E0A520E
1BFB9CBA8AA23A401925D356B2F6E7ED
21585D5881CC11ED1F615FDB2D7ACC11
242E86E658FE6AB6E4C81B68162B3001
2FE7E75BC599B1C68B87CF2A3E7AA51F
36DD0FBD19899F0B23ADE5A1DE3C2FEC
389F6E6FD9DCC84C6E944DC387087A56
3A54ACD967DD104522BA7D66F4D86544
3F12BF4A8D82654861B5B5993C012BFA
49F8ED13A8A13799A34CC999B195BF16
4B96DC735B622A94D3C74C0BE9858853
F45008BF1889A8655D32A0EB93B8ACDD

VBCloud MD5
0139F32A523D453BC338A67CA45C224D
01DB58A1D0EC85ADC13290A6290AD9D6
0F37E1298E4C82098DC9318C7E65F9D2
6FCEE9878216019C8DFA887075C5E68E
D445D443ACE329FB244EDC3E5146313B
F3F28018FB5108B516D802A038F90BDE

securelist.com/cloud-atlas-att…

[Lonyelon] wanted to build an anniversary gift for his girlfriend. He decided to say it with e-Paper, a wise choice given its persistence and longevity.

The project is an anniversary calendar. It displays a counter of the total time the couple has been together, measured in years, months, days, and hours—so it’s remarkably precise. [Lonyelon] also programmed it to display additional counters to create plenty of additional fun anniversaries—the couple can celebrate milestones like their 1000th day together, for example. It also cycles through a range of cute messages and displays photos of the couple together.

The code is on Github for the curious. The build is based around a LilyGO e-Paper display with an onboard ESP32 microcontroller. [Lonyelon] paired this with a 2,500 mAh battery. It lasts for ages because the device is programmed to update only every 20 minutes, spending the rest of its time in deep sleep. Since it’s an e-Paper display, it uses zero power when it’s not being updated, so it’s the perfect technology for this application.

It’s a simple project that comes from the heart—the core of any beautiful gift. In fact, some of the coolest projects we feature were built as gifts for romantic partners, family members, or even our fellow hackers. If you’ve been cooking up your own neat build, please let us know on the tipsline!

hackaday.com/2024/12/23/e-pape…

Dal 2014 una piccola realtà cripto monetaria si aggira nella rete. Non finisce spesso sui media come i grandi fratelloni Bitcoin e Ethereum, non supporta contratti, non fa scandalo ma umilmente e in silenzio fa quello che deve fare, e lo fa bene, ti permette di comprare e vendere mantenendo le transazioni anonime e sicure.

Alla scoperta di Monero

Monero, l’abbiamo capito, e’ una criptomoneta. Cosa la contraddistingue dalla marea di altre cripto cose che vanno in giro per la rete?

Prima di tutto definiamo una differenza fondamentale. E’ una Cripto Moneta con una sua Blockchain nativa. Questa Blockchain e’ basata su un algoritmo con diverse proprietà che la rendono fondamentalmente diversa da Bitcoin e Ethereum.

Punto primo: Monero non puo’ essere “farmato” con gli ASIC. Gli ASIC sono microprocessori disegnati e prodotti per fare una cosa e una cosa soltanto. Bitcoin e’ minato principalmente con questi processori che vengono principalmente prodotti (e usati) in Cina.

Questo alza drasticamente il costo di entrata nel mondo del mining Bitcoin (ognuno di questi giocattoli ha un pricetag con 3 zeri). Inoltre la Cina sta pesantemente investendo in Bitcoin per motivi geopolitici che non sto a speculare in questo articolo.

Punto Secondo: la produzione di Monero è costante. Sarà sempre possibile minare un Monero nuovo a differenza di Bitcoin che ha un limite al massimo numero di BTC che possono essere minati.

Per Bitcoin questo numero e’ fissato da come funziona l’algoritmo ed e’ 21 milioni di BTC. ad oggi 19 Milioni sono gia’ stati minati e quando l’ultimo bitcoin sara’ minato l’unico incentivo per mantenere queste enormi infrastrutture piene di ASIC affamati di corrente sara’ la transaction fee (una percentuale minima di ogni transazione che va al miner per aver certificato la transazione).

In Monero invece sara’ sempre possibile minare nuova valuta e mantenere viva la blockchain.

Punto Terzo: Privacy garantita a livello protocollo. Mentre in Bitcoin tutte le transazioni sono visibili in Blockchain (e tracciabili) per ogni singolo “token”, in Monero non solo non è possibile tracciare chi ha mandato a chi ma anche l’ammontare della transazione.

Ecosistema:

Col passare degli anni a differenza di altre criptovalute si e’ sviluppato un mercato circolare di Monero, e’ una moneta spesso snobbata da grandi investitori interessati solo all’andamento del mercato e usata principalmente per fare quello che le crypto dovrebbero fare, abilitare un mercato libero ed egualitario.

Ad oggi e’ facilmente possibile comprare beni e soprattutto servizi con Monero in maniera semplice veloce e poco costosa. Un ottimo punto di partenza e’ ovviamente il sito ufficiale getmonero.org/ dove sara’ possibile scaricare sia il wallet sia iniziare a capire come minare, e spendere.

Ovviamente date le spiccate caratteristiche di anonimita’ del sistema Monero e’ una moneta molto popolare nei mercati underground. Questo dato di fatto dovrebbe regalarci due considerazioni fondamentali. La prima e’ che effettivamente e’ una moneta “a prova di privacy” la seconda e’ che e’ una moneta “Viva” costantemente usata, minata e in circolazione.

In Moniera!

Val la pena provarci? Prima domanda che viene alla mente a chiunque abbia mai provato a minare criptovaluta. Monero e’ come abbiamo detto resistente (se non immune) agli ASIC e alle GPU, questo significa che creare grossi centri di mining e’ complesso e costoso.

L’algoritmo monero e’ disegnato per dare una chance a tutti anche chi ha minime risorse da dedicare. Gira SOLO sul processore, mangia un discreto quantitativo di RAM. Piu’ core metti nel calderone piu’ monero usciranno fuori. L’approccio e’ estremamente distribuito. Puoi minare con un cellulare o col vecchio portatile che non usi piu’ o con una Raspberry PI. Ovviamente se ti avanza un processore server da 64core avrai risultati migliori ma è SEMPRE possibile minare Monero su qualsiasi cosa sia in grado di far girare DOOM.

La Community

Monero e’ una Community, su getmonero.org/ e’ possibile accedere alla community monero e partecipare attivamente alle discussioni del progetto, partecipare al crowdfunding di varie iniziative e incontrare altra gente che partecipa al mercato circolare.

Considerazioni

Personalmente non sono un estremista delle Crypto ma penso che e’ sempre bene conoscere le opzioni che si hanno a disposizione. Uso carte di credito virtuali come chiunque altro per comprare la maggior parte dei beni e servizi online MA ci sono casi in cui e’ preferibile avere un livello più alto di anonimita’. L’uso di criptomonete non vi rende automaticamente dei fantasmi nella rete ma l’oceano e’ fatto di piccole gocce. Ovviamente innumerevoli altre precauzioni sono necessarie ed è assolutamente necessario conoscere bene i tool a disposizione (sapevate che con Monero si possono fare wallet monouso?)

L'articolo Alla scoperta di Monero! Quando minare è possibile anche da un Portatile vecchio di anni proviene da il blog della sicurezza informatica.

L’innovazione e la creatività italiane brillano ancora una volta sul palcoscenico globale. Alessandro Greco (Aleff) è stato appena annunciato vincitore assoluto degli Hack Five Payload Awards, un riconoscimento di prestigio per la comunità di sviluppatori di payload legati alla cybersecurity.

Aleff è uno sviluppatore noto per la creazione di payload per dispositivi Hak5, come l’USB Rubber Ducky. I suoi contributi includono payload progettati per eseguire specifiche azioni su sistemi target, come il dump della memoria RAM di applicazioni in esecuzione utilizzando software come ProcDump.

Questi payload sono disponibili su piattaforme come PayloadHub, dove la comunità condivide script per vari dispositivi Hak5. I dispositivi Hak5, come l’USB Rubber Ducky, sono strumenti utilizzati per test di penetrazione e automazione IT, capaci di iniettare sequenze di tasti a velocità sovrumane per eseguire payload predefiniti.

Cosa sono i dispositivi di Hack5

I dispositivi di Hak5 sono strumenti avanzati progettati per test di penetrazione e automazione IT. Creati per professionisti della sicurezza informatica e appassionati, questi gadget permettono di simulare attacchi cibernetici in modo controllato, con l’obiettivo di identificare e risolvere vulnerabilità nei sistemi. La gamma di prodotti include dispositivi come l’USB Rubber Ducky, il WiFi Pineapple, il Bash Bunny e altri, ciascuno con funzionalità specifiche pensate per esplorare diverse superfici di attacco.

Uno dei dispositivi più iconici è l’USB Rubber Ducky, una penna USB in grado di eseguire script predefiniti con la velocità di una tastiera umana. Utilizzato per attacchi di tipo HID (Human Interface Device), questo strumento può iniettare rapidamente comandi su un computer target, simulando l’interazione di un utente reale. È spesso impiegato per dimostrare come credenziali, file o accessi sensibili possano essere compromessi in pochi secondi.

Un altro dispositivo popolare è il WiFi Pineapple, progettato per analisi di reti wireless e attacchi di tipo “man-in-the-middle”. Questo strumento permette di intercettare e manipolare il traffico di rete, creando un ambiente di test ideale per valutare la sicurezza delle comunicazioni Wi-Fi. Grazie alla sua capacità di impersonare reti wireless legittime, il WiFi Pineapple è una scelta potente per chi vuole migliorare la sicurezza delle reti.

Infine, il Bash Bunny offre una combinazione di funzionalità avanzate per attacchi USB, tra cui esfiltrazione di dati e backdoor persistenti. Grazie alla sua semplicità d’uso e alla capacità di eseguire script complessi, è uno strumento ideale per test di sicurezza completi. Tutti questi dispositivi sono supportati da una vasta comunità che condivide payload, script e idee, rendendoli strumenti indispensabili per chiunque si occupi di cybersecurity.

L’evento e il suo significato

La cerimonia, presentata da Darren Kitchen e Ali Diamond, celebra i contributi innovativi degli sviluppatori che sfruttano strumenti come il USB Rubber Ducky, il Key Croc e altri dispositivi di Hack Five.

Questi payload (Qua i payload scritti da ALEFF), scritti in linguaggi semplici come Ducky Script o Bash, sono progettati per esplorare nuove tecniche di hacking in modo creativo e collaborativo.

youtube.com/embed/FjEi0OPqsFM?…

Darren Kitchen ha sottolineato l’importanza della comunità, ricordando come tutto sia iniziato quasi 20 anni fa: “I payload non sono solo un modo per dimostrare le proprie capacità di sviluppo, ma anche un’opportunità per connettersi con altre menti creative.”

I dettagli della vittoria di Greco

Alessandro Greco ha ottenuto il titolo grazie alla sua genialità nello sviluppare moltissimi payload che ha stupito giudici e pubblico.

Pur non essendo stati rivelati ulteriori dettagli sul progetto specifico durante la cerimonia, la vittoria di Greco si inserisce in una competizione serrata che ha visto partecipare sviluppatori da tutto il mondo, con categorie che spaziano dall’estrazione di credenziali all’esfiltrazione di dati ed altro ancora.
Nomina di Alessandro Greco (Aleff) come vincitore della challenge 2023 sul canale youtube
L’evento ha messo in luce anche altre eccellenze, come il payload di Spy Will per il Key Croc e il progetto innovativo di Kbit che utilizza segnali Morse con LED. Tuttavia, la vittoria di Alessandro Greco rappresenta un simbolo dell’importanza di investire nell’innovazione e nella collaborazione per affrontare le sfide crescenti nel panorama della sicurezza informatica.

Conclusioni

Il trionfo di Greco agli Hack Five Payload Awards è una testimonianza di come il talento e la determinazione possano conquistare il mondo della tecnologia, un byte alla volta. Questo successo conferma che gli hacker italiani non sono secondi a nessuno a livello globale e che il nostro paese continua a essere riconosciuto come una fucina di menti brillanti e innovatori nel campo della cybersecurity.

Tuttavia, è fondamentale fare di più per supportare la community hacker italiana, creando opportunità e risorse che incentivino i nostri talenti a restare e contribuire all’innovazione del paese.

Solo così potremo evitare che le nostre migliori menti abbandonino l’Italia per cercare altrove il riconoscimento e il supporto che meritano. Investire nella nostra comunità hacker significa investire nel futuro tecnologico e competitivo del nostro paese.

Alessandro Greco, per incentivare i ragazzi allo sviluppo di capacità di hacking, devolverà parte della vincita all’università della Calabria UNICAL. Un bellissimo gesto da parte di Greco verso tutti i ragazzi che potranno avviare una carriera verso la Sicurezza Informatica.

Questo ricordiamolo sempre.

L'articolo Alessandro Greco (Aleff) trionfa agli Hack Five Payload Awards del 2023/2024 proviene da il blog della sicurezza informatica.

Multiplication on a common microcontroller is easy. But division is much more difficult. Even with hardware assistance, a 32-bit division on a modern 64-bit x86 CPU can run between 9 and 15 cycles. Doing array processing with SIMD (single instruction multiple data) instructions like AVX or NEON often don’t offer division at all (although the RISC-V vector extensions do). However, many processors support floating point division. Does it make sense to use floating point division to replace simpler division? According to [Wojciech Mula] in a recent post, the answer is yes.

The plan is simple: cast the 8-bit numbers into 32-bit integers and then to floating point numbers. These can be divided in bulk via the SIMD instructions and then converted in reverse to the 8-bit result. You can find several code examples on GitHub.

Since modern processors have several SIMD instructions, the post takes the time to benchmark many different variations of a program dividing in a loop. The basic program is the reference and, thus, has a “speed factor” of 1. Unrolling the loop, a common loop optimization technique, doesn’t help much and, on some CPUs, can make the loop slower.

Converting to floating point and using AVX2 sped the program up by a factor of 8X to 11X, depending on the CPU. Some of the processors supported AVX512, which also offered considerable speed-ups.

This is one of those examples of why profiling is so important. If you’d had asked us if converting integer division to floating point might make a program run faster, we’d have bet the answer was no, but we’d have been wrong.

As CPUs get more complex, optimizing gets a lot less intuitive. If you are interested in things like AVX-512, we’ve got you covered.

hackaday.com/2024/12/22/faster…

Camera sliders are a popular project for makers—especially those who document their projects on video. They’re fun and accessible to build, and they can really create some beautiful shots. [Lechnology] set about to follow in this fine tradition and built a rather capable example of his own. Check it out in the video below.

The slider relies on V-slot rails, perhaps most familiar for their heavy use in modern 3D printers. The rails are paired with a 3D-printed camera carriage, which runs on smooth rubber rollers. A chunky stepper motor provides drive via a toothed belt. Trinamic motor controllers were chosen for their step interpolation feature, making the motion much smoother.

The slider doesn’t just move linearly, either. It can rotate the camera, too, since it has an additional motor in the carriage itself. In a nice retro touch, the wires for this motor are run with an old coiled telephone cable. It’s perfect for the job since it easily extends and retracts with the slider’s motion. Controlling everything is an Arduino, with speed and rotational modes set via a tiny screen and a rotary encoder control.

It’s a very complete build, and it performs well too. The video it produces is deliciously smooth. We’ve featured some other great camera sliders over the years, too. If you want to dig into Trinamic drivers, we can get you started.

youtube.com/embed/QBlhba4QOJE?…

hackaday.com/2024/12/22/diy-ca…

Early Monday morning, while many of us will be putting the finishing touches — or just beginning, ahem — on our Christmas preparations, solar scientists will hold their collective breath as they wait for word from the Parker Solar Probe’s record-setting passage through the sun’s atmosphere. The probe, which has been in a highly elliptical solar orbit since its 2018 launch, has been getting occasional gravitational nudges by close encounters with Venus. This has moved the perihelion ever closer to the sun’s surface, and on Monday morning it will make its closest approach yet, a mere 6.1 million kilometers from the roiling photosphere. That will put it inside the corona, the sun’s extremely energetic atmosphere, which we normally only see during total eclipses. Traveling at almost 700,000 kilometers per hour, it won’t be there very long, and it’ll be doing everything it needs to do autonomously since the high-energy plasma of the corona and the eight-light-minute distance makes remote control impossible. It’ll be a few days before communications are re-established and the data downloaded, which will make a nice present for the solar science community to unwrap.

While Parker has been in a similar position on previous orbits and even managed a fortuitous transit of a coronal mass ejection, this pass will be closer and faster than any previous approach. It’s the speed that really grabs our attention, though, as Parker will be traveling at a small but significant fraction of the speed of light for a bit. That makes us wonder if there was any need for mission planners to allow for relativistic effects. We’d imagine so; satellite navigation systems need to take relativity into account to work, and they don’t move anywhere near as fast as Parker. Time will be running slower for Parker at those speeds, and it sure seems like that could muck things up, especially regarding autonomous operation.

Ever since the seminal work of Cameron, Hamilton, Schwarzenegger, et al, it has been taken as canon that the end of humanity will come about when the moral equivalent of SkyNet becomes self-aware and launches all the missiles at once to blot us out with a few minutes of thermonuclear fire. But it looks like AI might be trying to raise an army of grumpy teenagers if this lawsuit over violence-inciting chatbots is any indication. The federal product liability lawsuit targets Character.AI, an outfit that creates LLM-powered chatbots for kids, for allegedly telling kids to do some pretty sketchy stuff. You can read the details in the story, but suffice it to say that one of the chatbots was none too pleased with someone’s parents for imposing screen time rules and hinted rather strongly about how the child should deal with them. The chat logs of that interaction and others that are part of the suit are pretty dark, but probably no darker than the advice that most teenagers would get online from their carbon-based friends. That’s the thing about chatbots; when an LLM is trained with online interactions, you pretty much know what’s going to come out.

In today’s “Who could have seen that coming?” segment, we have a story about how drivers are hacked by digital license plates and are keen to avoid tolls and tickets. The exploit for one specific brand of plate, Reviver, and while it does require physical access to the plates, it doesn’t take much more than the standard reverse engineering tools and skills to pull off. Once the plates are jailbroken — an ironic term given that license plate manufacturing has historically been a prison industry — the displayed numbers can be changed at will with a smartphone app. The worst part about this is that the vulnerability is baked right into the silicon, so there’s nothing to be patched; the plates would have to be recalled, and different hardware would need to be reissued. We’ve been skeptical about the need for these plates from the beginning and questioned why anyone would pay extra for them (last item). But maybe the ability to dump your traffic cam violations into someone else’s lap is worth the extra $20 a month.

And finally, this local news story from Great Falls, Montana, is a timely reminder of how machine tools can mess up your life if you let them. Machinist Butch Olson was alone at work in his machine shop back on December 6 when the sleeve of his jacket got caught in a lathe. The powerful machine pulled his arm in and threatened to turn him to a bloody pulp, but somehow, he managed to brace himself against the bed. He fought the lathe for 20 whole minutes before the motor finally gave out, which let him disentangle himself and get some help. He ended up with a broken back, four fractured ribs, and an arm that looks “like hamburger” according to his sister. That’s a high price to pay, but at least Butch gets to brag that he fought a lathe and won.

youtube.com/embed/zaLq_w46vHQ?…

hackaday.com/2024/12/22/hackad…

Many of us grew up with dreams of piloting a forklift one day. Sadly, most warehouses take a dim view of horseplay with these machines, so few of us get to live out those fantasies. Playing with this desk-sized RC model from [ProfessorBoots] is probably a safer way to get those kicks instead. You can check it out in the video below.

The 3D-printed body of the forklift is the first thing you see. It’s great quality, and it instantly puts you in mind of the real thing. The build is true to the dynamics of a real forklift, too, with proper rear steering. Inside, there’s a custom circuit board hosting an ESP32 that serves as the brain of the operation. Its onboard wireless hardware allows remote control of the forklift via a smartphone app, PS4 controller, or many other options. It controls the drive motors and steering servo, along with another motor driving a threaded rod to move the forks up and down. The whole thing is powered by two Fenix 16340 batteries—small lithium-ion cells that can be recharged with an integral micro USB port.

The project video is very thorough about the design and build. It’s worth watching just to understand the specifics of how forklifts actually raise their forks up and down. It’s good stuff.

This forklift is just the latest RC build from [ProfessorBoots]. He’s done great work in this space before, like this charming skid steer and incredibly complex crane.

youtube.com/embed/CX6YZy6mgVc?…

hackaday.com/2024/12/22/3d-pri…

Ultimamente, per via di varie vicissitudini personali e per fare acquisti, ho riaperto il mio oramai defunto profilo Facebook. Chi mi segue da tempo sa benissimo quanto io sia critico dei social media tradizionali e delle loro meccaniche tossiche che ci inducono a diventarne dipendenti e ad odiarci a vicenda. Tuttavia, devo riconoscere che il formato di Facebook, per quanto riguarda la costruzione di reti sociali e il community building, rimanga comunque una delle migliori che abbia mai visto. il social è intuitivo e semplice da usare, ricco di funzionalità interessanti e relativamente personalizzabile nel feed.

Secondo me, come comunità FLOSS e da promotori del Fediverso, dovremmo cominciare a riconoscere ciò che c'è di buono nei social media tradizionali da un punto di vista puramente funzionale

Continuerò a preferire infinitamente di più il Fediverso in ogni sua sfaccettatura, ma potremmo dare uno sguardo per cercare di comprendere cosa porti le persone a snobbarci e per generare più attrattiva verso la nostra causa

Data breach, violazioni e reputazione: mai sottovalutare tutti i rischi. Annunciare una violazione della sicurezza adottando una risposta più proattiva, fa si che utenti, clienti o consumatori possano ridurre la percezione del rischio e può persino far aumentare positivamente la valutazione pubblica di un’azienda. Del resto, l’approvazione pubblica che viaggia in rete è importante no? Discutiamone…

True Story: nel 2017 Unicredit subì un violazione dei suoi sistemi che interessò 3 milioni di dati. Tale incidente le costò una sanzione quantificabile in 2,8 milioni di euro, ma quando si trattò di trasparenza e reputazione Unicredit non ebbe dubbi, con un comunicato in data 26 luglio 2017 informò di avere subito un’intrusione informatica, ipotizzò l’accesso ad alcuni dati anagrafici e ai codici IBAN, trasmise il numero dei dati violati, comunicò di avere avviato un’indagine e di avere informato le autorità competenti, mettendo a disposizione un numero verde per i clienti che desiderassero maggiori informazioni e avvisò che le sue comunicazioni ai clienti, per ragioni di sicurezza, non sarebbero avvenute né per telefono né per mezzo della posta elettronica.

Unicredit è un esempio virtuoso – non sicuramente l’unico – in un arido deserto dove molti preferiscono mettere la testa sotto la sabbia. Succede infatti che mentre alcune aziende decidono di riconoscere i loro errori – o le loro “falle nella sicurezza” – e quindi di assumersi la propria responsabilità, altre preferiscono voltare le spalle e tenere tutto segreto, atteggiamento che oggi ha però molte conseguenze.

Si pensi solo cosa è successo a Uber che ha ricevuto sanzioni da record (2018, 2023, 2024) per l’errore di non aver notificato in tempo ai suoi autisti di aver subito un incidente informatico che coinvolgeva i loro dati.

Aaron Swatrz: Cherish mistakes

A proposito di errori, c’è un bel pezzo scritto da Aaron Swartz a riguardo (avete il link a wiki se non ricordate chi sia), scritto nel 2012, ma secondo me ancora molto attuale. Cherish Mistake è la storia di due organizzazioni no profit: da una parte odiano commettere errori, dall’altra c’è un atteggiamento molto diverso. Così Aaron Swartz lo descriveva: “Lo noti la prima volta che visiti il ​​loro sito web. Proprio nella barra di navigazione, in cima a ogni pagina, c’è un link con la scritta “Errori”. Cliccaci sopra e troverai un elenco di tutti gli errori che hanno commesso, a partire dal più orribilmente imbarazzante […] forniscono un resoconto notevole di tutti gli errori, sia cruciali che banali, che potresti ragionevolmente commettere quando inizi qualcosa di nuovo”. Ovviamente a nessuna delle due no profit piace commettere errori e “forse avere una pagina degli errori in cima al tuo sito web è decisamente troppo” ammise Aaron Swartz. Tuttavia tenere memoria degli errori aiuta a comprendere come e quando cambia lo schema per escogitare nuovi metodi per evitarli. Questo riguarda anche i dipendenti: se sono abbastanza responsabili non avranno paura di segnalare i loro errori rendendoli facilmente correggibili.

Il trucco è affrontare l’errore, confessare cosa è andato storto e pensare a cosa puoi cambiare per evitare che accada di nuovo. Di solito promettere di non farlo di nuovo non è sufficiente: devi scavare nelle cause profonde e affrontarle _ Aaron Swartz

Abbiamo due scelte: usare i nostri errori come un’opportunità per migliorare,o ignorare o nascondere gli errori che in un modo o nell’altro “continueranno a tormentarci […] Ci imbatteremo in loro ancora e ancora sotto diverse forme”. E questo è proprio il caso che ci presenta oggi il panorama del crimine informatico. Non c’è modo di sfuggirgli, non c’è modo di sapere se succederà ancora o meno, ma con tutta probabilità lo farà, soprattutto i criminali informatici sono più propensi ad attaccare ripetutamente quelle aziende che non denunciano gli incidenti.

I cambiamenti nel comportamento dei gruppi criminali rivelano che l’esfiltrazione dei dati operata da molti RaaS apre un panorama preoccupante circa le conseguenze del furto delle informazioni, che possono essere vendute per ulteriori attacchi. Al primo data breach – molto spesso nascosto a sua volta dal ransomware – ne seguirà un altro e se non ne seguirà un altro – avendo pagato il riscatto o meno – qualcuno comprerà o ruberà quelle informazioni per fare ancora più danno. Credete, nascondere un data breach non fa che peggiorare la situazione.

Mai sottovalutare i rischi

Di fronte ai pericoli uno struzzo nasconde la testa sotto terra: anche se il suo corpo è visibile alla preda, abbassa la testa cercando di mimetizzarsi con l’ambiente, nella speranza di non essere notato. Ancora, chi di noi da bambino, chiudendo gli occhi, non era convinto di essere all’improvviso diventato invisibile?

Spesso le violazioni vengono offuscate dalle aziende per la paura che queste influiscano sui ricavi trimestrali, sul prezzo delle azioni, sulla fedeltà dei clienti, sulla reputazione del marchio, tuttavia non segnalare l’evento può comportare enormi battute d’arresto finanziarie, complicazioni legali e il rischio di danni maggiori alla reputazione.

Ed è vero, un incidente informatico – la cui causa deriva il più delle delle volte da un errore umano – colpisce in modo severo un’azienda. Spesso appena dopo si verifica un calo di ricavi, spesso la reputazione viene calcolata così, in base ad un calcolo dei bilanci e a ragione: non si tratta solo di un problema di immagine, è diventato a tutti gli effetti un vero e proprio rischio finanziario che si deve gestire, mappando e anticipando.

Poi cos’altro? Ha sì, si potrebbe verificare anche qualche licenziamento – ed è anche per questo che spesso le cose vengono nascoste -, perché, per noi, aggiustare la persona è sempre più importante che aggiustare la macchina, dimenticandoci che, spesse volte, il problema è nel sistema stesso, che un’organizzazione non è fatta solo di persone.

“È vero” evidenzia Swartz “a volte hai gli ingranaggi sbagliati e devi sostituirli, ma più spesso li stai semplicemente usando nel modo sbagliato. Quando c’è un problema, non dovresti arrabbiarti con gli ingranaggi, dovresti riparare la macchina”. Se la macchina non funziona quanti chilometri si potranno ancora percorrere? Soprattutto se si chiede di tenere nascosto un incidente agli stessi dipendenti, si chiede di fare qualcosa di non etico, per questo anche loro potrebbero perdere fiducia nei loro datori di lavoro. E anche questo fa parte della macchina.

Politiche e procedure si, rappresentano in un certo modo dei blocchi alla creatività e al flusso imprenditoriale, ma senza di loro oggi si va fuori mercato. Se le violazioni non si possono fermare – anche con tutte le buone intenzioni – avere un piano aggiornato di comunicazione per avvisare clienti e dipendenti non appena si verifica è davvero importante. Soprattutto se a causa di un ransomware tutto il sistema si blocca.

Le violazioni di dati sono una minaccia per tutti

Bene, stiamo per entrare nel 2025 ed ad oggi le violazioni di dati rappresentano veramente una minaccia per tutti:

• si verificano più frequentemente di quanto pensiamo e la sicurezza dei dati non ha a che fare solo con le banche o le strutture sanitarie,
• le violazioni di dati non accadono solo alle grandi imprese, quelle piccole e medie vengono colpite parecchio (e sì, sono più vulnerabili e meno capaci di proteggersi).

Non starò a ricordare in cosa consistono i pericoli, ma brevemente, la compromissione di dati sensibili o finanziari e proprietà intellettuale sono in cima alla lista. Tuttavia – mal comune mezzo gaudio – è quasi impossibile per qualsiasi organizzazione di essere immune agli attacchi.

Chi però non adotta strategie, chi è convinto di non essere in possesso di dati sensibili, di non avere informazioni su eventuali carte di credito o simili dovrebbe iniziare a pensare di avere per lo meno dipendenti e fornitori e che i loro prodotti sono soggetti come gli altri a proprietà intellettuale, che i cattivi non vivono solo nelle grandi metropoli e che le porte aperte – come le password tenute in posti insicuri o computer aziendali utilizzati per fare shopping – sono un pericolo ovunque e per chiunque. E senza una pianificazione, un sistema ben organizzato, una collaborazione interna ed esterna più avanti si va, più la fortuna di non essere notati non funzionerà.

Senza addentrarmi nelle numerosissime regole del Garante, per il quale il diritto all’oblio non è un diritto assoluto e andrebbe quindi bilanciato con altri diritti basterebbe dire che oggi gli stessi consumatori – frustrati dallo stato della protezione dei dati da parte di molte aziende – non permettono più alle aziende di nascondersi, emettendo feedback, facendo whistleblowing e rivolgendosi al Garante. Questo riguarda soprattutto i giovani, quelli che faranno il mercato di domani, quelli sfiduciati dalla convinzione che le cose non miglioreranno, quelli convinti che ad un certo punto avranno sicuramente dei problemi, anche se spesso non sono consapevoli delle proprie responsabilità.

Data breach e violazioni dati: una risposta proattiva aumenta positivamente la reputazione di un’azienda

Lo studio Security breaches and organization response strategy pubblicato sull’International Journal of Management dimostra come le strategie di risposta delle organizzazioni in seguito a un data breach o un incidente di violazione della sicurezza influenzino la valutazione della reputazione del brand e della situazione da parte dei consumatori (i quali spesso non attribuiscono lo stesso peso alle dimensioni del rischio) e come le organizzazioni abbiano molta più probabilità di mantenere la fiducia nel momento i cui decidono di essere trasparenti sugli attacchi informatici e proattive nel trovare soluzioni. Lo studio rivela tre fattori principali per mantenere la fiducia dei consumatori:

• il rischio percepito dai consumatori,
• la gravità della violazione
• l’efficacia della risposta dell’organizzazione interessata.

L’ultimo punto si è rivelato il più importante di tutti ovvero: annunciare una violazione della sicurezza e adottando una risposta più proattiva le organizzazioni possono ridurre la percezione del rischio dei consumatori e persino aumentare positivamente la loro valutazione pubblica. Del resto, l’approvazione pubblica è importante no? Infine si, quel calo di ricavi che inorridisce così tanto appena dopo un incidente si può trasformare in esperienza, in un errore prezioso, in acquisizione di nuovi clienti che saranno consapevoli di come si sta affrontando un problema per mettere tutti più al sicuro e così li farà sentire.

Questioni di equilibrio

Non so se tutti saranno d’accordo con ciò che valuto in questo articolo ma su una cosa tutti convergeranno: la trasparenza è un beneficio non solo per clienti e dipendenti di un’azienda ma per tutta la comunità e così anche per la Cyber Threat Intelligence costretta a vagare nelle paludi più oscure. Quale è il vero panorama? Io mi sono fatta qualche idea, leggendo anche i lavori di molti degli attuali ricercatori.

Ogni mattina in Africa, come sorge il sole, una gazzella si sveglia e sa che dovrà correre più del leone o verrà uccisa. Ogni mattina in Africa, come sorge il sole, un leone si sveglia e sa che dovrà correre più della gazzella o morirà di fame. Ogni mattina in Africa, come sorge il sole, non importa che tu sia leone o gazzella, l’importante è che cominci a correre…

Tecniche sempre più efficienti da parte dei criminali informatici insieme alla continua proliferazione dei gruppi ransomware rappresentano una sfida per il nostro Paese insieme alla necessità di un approccio innovativo, sia per facilitare la Cyber Threat Intelligence nell’analisi delle somiglianze delle tattiche di attacco, sia per facilitare le strategie di difesa. L’analisi di somiglianze delle tecniche di attacco possono venire in aiuto – anche se spesso mostrano notevoli distinzioni – ma nel monitoraggio importa soprattutto comprendere il comportamento specifico dell’attaccante: parte significativa in questo ultimo caso è la collaborazione delle vittime.

Lo scorso anno a chiusura del 2024 ho voluto parlare di provocazioni ed eccone un’altra per il 2025, divisa in 8 punti che – a grandi linee – descrivono sommariamente la situazione a cui ci troviamo di fronte e che richiede un grande impegno e una grande collaborazione (alleati) da parte di tutti per combattere un mostro a mille teste, particolarmente arguto e cattivo:

1. tendiamo a farci un’idea precisa da dove venga un gruppo criminale, ma spesso incorriamo in errori di attribuzione: i gruppi operano da più paesi contemporaneamente e si spostano spesso, i loro crimini variano da paese a paese, i loro affiliati operano dietro nomi falsi,
2. spesso un paese di provenienza viene identificato in base alla lingua utilizzata: pensiamo però alla lingua russa che è altresì usata sia in paesi come Bielorussia, Kirghizistan e Kazakistan, sia nell’Europa orientale, nei Balcani, nell’Europa occidentale, negli Stati Uniti, in Israele e nei paesi baltici,
3. anche se un gruppo scompare ne appare subito un altro: i loro malware vengono comprati, riutilizzati tramite leak se non perfezionati,
4. molti attori della minaccia stanno ora lavorando con più famiglie di ransomware contemporaneamente, il che consente loro di ottimizzare le proprie operazioni e mitigare i rischi associati all’affidamento a un singolo gruppo,
5. tra le gang è in atto un certo tipo di collaborazione ma anche una lotta/competizione tra clan e cartelli: se una testa di questo mostro a mille teste viene tagliata, un’altra emerge, con capacità moltiplicate e crescita di attacchi e profitti.
6. la ricerca attuale si concentra prevalentemente sull’analisi del ransomware e poco sui modelli comportamentali associati agli attacchi,
7. l’analisi di somiglianze delle tecniche di attacco possono venire in aiuto – anche se spesso mostrano notevoli distinzioni – ma nel monitoraggio importa soprattutto comprendere il comportamento specifico dell’attaccante: parte significativa in questo ultimo caso è la collaborazione delle vittime, la divulgazione e la segnalazione degli incidenti, che non sempre avviene con trasparenza.
8. con le giuste informazioni, la natura in stile Idra del crimine informatico, arguto e particolarmente complesso da eradicare potrebbe trasformarsi in una vulnerabilità.

Buon 2025.

L'articolo Data Breach e violazioni: perché nascondere gli errori non protegge dal danno reputazionale proviene da il blog della sicurezza informatica.

Are you familiar with huffman encoding? That’s where you pick shorter codes for more frequent letters. Morse code is the same way. Shorter characters are the ones you are most likely to use. [Matheus Richard] had the same idea for optimizing your workflow in the Linux shell. The idea is to measure what commands you use the most and make them shorter.

If you use zsh, it is easy to find out what commands you are using the most. If you use bash, [Matheus] helpfully offers a command to give you a similar result (the original post limits the list to the last entry which we are sure is a typo):
history | awk '{CMD[$2]++;count++;}END { for (a in CMD)print CMD[a] " " CMD[a]/count*100 "% " a;}' | grep -v "./" | column -c3 -s " " -t | sort -nr | nl | head -n10
Once you know the commands you use the most, you can use your shell’s aliasing or scripts to shorten them up. For example, in [Matheus’] case, git was a very common command. This led to aliases:
alias gc="git commit --verbose"
alias gp="git push"
alias gprom="git pull --rebase origin main"
Not only does this save typing, but you lessen your chance for typos (git comit, for example). Another idea is to alias your common errors, for example setting an alias for git as gti.

Small things, but definitely time savers. Be sure to read the rest of the post, as there are a number of other optimization ideas. [Matheus] definitely has a thing for zsh, but there are many other shells out there. Some of them are even evolving towards more modern programming languages.

hackaday.com/2024/12/22/optimi…

Data breach, violazioni e reputazione: mai sottovalutare tutti i rischi. Annunciare una violazione della sicurezza adottando una risposta più proattiva, fa si che i utenti, clienti o consumatori possano ridurre la percezione del rischio e può persino far aumentare positivamente la loro valutazione pubblica. Del resto, l’approvazione pubblica che viaggia in rete è importante no? Discutiamone…

True Story: nel 2017 Unicredit subì un violazione dei suoi sistemi che interessò 3 milioni di dati. Tale incidente le costò una sanzione quantificabile in 2,8 milioni di euro, ma quando si trattò di trasparenza e reputazione Unicredit non ebbe dubbi, con un comunicato in data 26 luglio 2017 informò di avere subito un’intrusione informatica, ipotizzò l’accesso ad alcuni dati anagrafici e ai codici IBAN, trasmise il numero dei dati violati, comunicò di avere avviato un’indagine e di avere informato le autorità competenti, mettendo a disposizione un numero verde per i clienti che desiderassero maggiori informazioni e avvisò che le sue comunicazioni ai clienti, per ragioni di sicurezza, non sarebbero avvenute né per telefono né per mezzo della posta elettronica.

Unicredit è un esempio virtuoso – non sicuramente l’unico – in un arido deserto dove molti preferiscono mettere la testa sotto la sabbia. Succede infatti che mentre alcune aziende decidono di riconoscere i loro errori – o le loro “falle nella sicurezza” – e quindi di assumersi la propria responsabilità, altre preferiscono voltare le spalle e tenere tutto segreto, atteggiamento che oggi ha però molte conseguenze.

Si pensi solo cosa è successo a Uber che ha ricevuto sanzioni da record (2018, 2023, 2024) per l’errore di non aver notificato in tempo ai suoi autisti di aver subito un incidente informatico che coinvolgeva i loro dati.

Aaron Swatrz: Cherish mistakes

A proposito di errori, c’è un bel pezzo scritto da Aaron Swartz a riguardo (avete il link a wiki se non ricordate chi sia), scritto nel 2012, ma secondo me ancora molto attuale. Cherish Mistake è la storia di due organizzazioni no profit: da una parte odiano commettere errori, dall’altra c’è un atteggiamento molto diverso. Così Aaron Swartz lo descriveva: “Lo noti la prima volta che visiti il ​​loro sito web. Proprio nella barra di navigazione, in cima a ogni pagina, c’è un link con la scritta “Errori”. Cliccaci sopra e troverai un elenco di tutti gli errori che hanno commesso, a partire dal più orribilmente imbarazzante […] forniscono un resoconto notevole di tutti gli errori, sia cruciali che banali, che potresti ragionevolmente commettere quando inizi qualcosa di nuovo”. Ovviamente a nessuna delle due no profit piace commettere errori e “forse avere una pagina degli errori in cima al tuo sito web è decisamente troppo” ammise Aaron Swartz. Tuttavia tenere memoria degli errori aiuta a comprendere come e quando cambia lo schema per escogitare nuovi metodi per evitarli. Questo riguarda anche i dipendenti: se sono abbastanza responsabili non avranno paura di segnalare i loro errori rendendoli facilmente correggibili.

Il trucco è affrontare l’errore, confessare cosa è andato storto e pensare a cosa puoi cambiare per evitare che accada di nuovo. Di solito promettere di non farlo di nuovo non è sufficiente: devi scavare nelle cause profonde e affrontarle _ Aaron Swartz

Abbiamo due scelte: usare i nostri errori come un’opportunità per migliorare,o ignorare o nascondere gli errori che in un modo o nell’altro “continueranno a tormentarci […] Ci imbatteremo in loro ancora e ancora sotto diverse forme”. E questo è proprio il caso che ci presenta oggi il panorama del crimine informatico. Non c’è modo di sfuggirgli, non c’è modo di sapere se succederà ancora o meno, ma con tutta probabilità lo farà, soprattutto i criminali informatici sono più propensi ad attaccare ripetutamente quelle aziende che non denunciano gli incidenti.

I cambiamenti nel comportamento dei gruppi criminali rivelano che l’esfiltrazione dei dati operata da molti RaaS apre un panorama preoccupante circa le conseguenze del furto delle informazioni, che possono essere vendute per ulteriori attacchi. Al primo data breach – molto spesso nascosto a sua volta dal ransomware – ne seguirà un altro e se non ne seguirà un altro – avendo pagato il riscatto o meno – qualcuno comprerà quelle informazioni per fare ancora più danno. Credete, nascondere un data breach non fa che peggiorare la situazione.

Mai sottovalutare i rischi

Di fronte ai pericoli uno struzzo nasconde la testa sotto terra: anche se il suo corpo è visibile alla preda, abbassa la testa cercando di mimetizzarsi con l’ambiente, nella speranza di non essere notato. Ancora, chi di noi da bambino, chiudendo gli occhi, era convinto di essere all’improvviso diventato invisibile?

Spesso le violazioni vengono offuscate dalle aziende per la paura che queste influiscano sui ricavi trimestrali, sul prezzo delle azioni, sulla fedeltà dei clienti, sulla reputazione del marchio, tuttavia non segnalare l’evento può comportare enormi battute d’arresto finanziarie, complicazioni legali e il rischio di danni maggiori alla reputazione.

Ed è vero, un incidente informatico – la cui causa deriva il più delle delle volte da un errore umano – colpisce in modo severo un’azienda. Spesso appena dopo si verifica un calo di ricavi, spesso la reputazione viene calcolata così, in base ad un calcolo dei bilanci e a ragione: non si tratta solo di un problema di immagine, è diventato a tutti gli effetti un vero e proprio rischio finanziario che si deve gestire, mappando e anticipando.

Poi cos’altro? Ha sì, si potrebbe verificare anche qualche licenziamento – ed è anche per questo che spesso le cose vengono nascoste -, perché, per noi, aggiustare la persona è sempre più importante che aggiustare la macchina, dimenticandoci che, spesse volte, il problema è nel sistema stesso, che un’organizzazione non è fatta solo di persone.

“È vero” evidenzia Swartz “a volte hai gli ingranaggi sbagliati e devi sostituirli, ma più spesso li stai semplicemente usando nel modo sbagliato. Quando c’è un problema, non dovresti arrabbiarti con gli ingranaggi, dovresti riparare la macchina”. Se la macchina non funziona quanti chilometri si potranno ancora percorrere? Soprattutto se si chiede di tenere nascosto un incidente agli stessi dipendenti, si chiede di fare qualcosa di non etico, per questo anche loro potrebbero perdere fiducia nei loro datori di lavoro. E anche questo fa parte della macchina.

Politiche e procedure si, rappresentano in un certo modo dei blocchi alla creatività e al flusso imprenditoriale, ma senza di loro oggi si va fuori mercato. Se le violazioni non si possono fermare – anche con tutte le buone intenzioni – avere un piano aggiornato di comunicazione per avvisare clienti e dipendenti non appena si verifica è davvero importante. Soprattutto se a causa di un ransomware tutto il sistema si blocca.

Le violazioni di dati sono una minaccia per tutti

Bene, stiamo per entrare nel 2025 ed ad oggi le violazioni di dati rappresentano veramente una minaccia per tutti:

• si verificano più frequentemente di quanto pensiamo e la sicurezza dei dati non ha a che fare solo con le banche o le strutture sanitarie,
• le violazioni di dati non accadono solo alle grandi imprese, quelle piccole e medie vengono colpite parecchio (e sì, sono più vulnerabili e meno capaci di proteggersi).

Non starò a ricordare in cosa consistono i pericoli, ma brevemente, la compromissione di dati sensibili o finanziari e proprietà intellettuale sono in cima alla lista. Tuttavia – mal comune mezzo gaudio – è quasi impossibile per qualsiasi organizzazione di essere immune agli attacchi.

Chi però non adotta strategie, chi è convinto di non essere in possesso di dati sensibili, di non avere informazioni su eventuali carte di credito o simili dovrebbe iniziare a pensare di avere per lo meno dipendenti e fornitori e che i loro prodotti sono soggetti come gli altri a proprietà intellettuale, che i cattivi non vivono solo nelle grandi metropoli e che le porte aperte – come le password tenute in posti insicuri o computer aziendali utilizzati per fare shopping – sono un pericolo ovunque e per chiunque. E senza una pianificazione, un sistema ben organizzato, una collaborazione interna ed esterna più avanti si va, più la fortuna di non essere notati non funzionerà.

Senza addentrarmi nelle numerosissime regole del Garante, per il quale il diritto all’oblio non è un diritto assoluto e andrebbe quindi bilanciato con altri diritti basterebbe dire che oggi gli stessi consumatori – frustrati dallo stato della protezione dei dati da parte di molte aziende – non permettono più alle aziende di nascondersi, emettendo feedback, facendo whistleblowing e rivolgendosi al Garante. Questo riguarda soprattutto i giovani, quelli che faranno il mercato di domani, quelli sfiduciati dalla convinzione che le cose non miglioreranno, quelli convinti che ad un certo punto avranno sicuramente dei problemi, anche se spesso non sono consapevoli delle proprie responsabilità.

Data breach e violazioni dati: una risposta proattiva aumenta positivamente la reputazione di un’azienda

Lo studio Security breaches and organization response strategy pubblicato sull’International Journal of Management dimostra come le strategie di risposta delle organizzazioni in seguito a un data breach o un incidente di violazione della sicurezza influenzino la valutazione della reputazione del brand e della situazione da parte dei consumatori (i quali spesso non attribuiscono lo stesso peso alle dimensioni del rischio) e come le organizzazioni abbiano molta più probabilità di mantenere la fiducia nel momento i cui decidono di essere trasparenti sugli attacchi informatici e proattive nel trovare soluzioni. Lo studio rivela tre fattori principali per mantenere la fiducia dei consumatori:

• il rischio percepito dai consumatori,
• la gravità della violazione
• l’efficacia della risposta dell’organizzazione interessata.

L’ultimo punto si è rivelato il più importante di tutti ovvero: annunciare una violazione della sicurezza e adottando una risposta più proattiva le organizzazioni possono ridurre la percezione del rischio dei consumatori e persino aumentare positivamente la loro valutazione pubblica. Del resto, l’approvazione pubblica è importante no? Infine si, quel calo di ricavi che inorridisce così tanto appena dopo un incidente si può trasformare in esperienza, in un errore prezioso, in acquisizione di nuovi clienti che saranno consapevoli di come si sta affrontando un problema per mettere tutti più al sicuro e così li farà sentire.

Questioni di equilibrio

Non so se tutti saranno d’accordo con ciò che valuto in questo articolo ma su una cosa tutti convergeranno: la trasparenza è un beneficio non solo per clienti e dipendenti di un’azienda ma per tutta la comunità e così anche la Cyber Threat Intelligence costretta a vagare nelle paludi più oscure. Quale è il vero panorama? Io mi sono fatta qualche idea, leggendo anche i lavori di molti degli attuali ricercatori.

Ogni mattina in Africa, come sorge il sole, una gazzella si sveglia e sa che dovrà correre più del leone o verrà uccisa. Ogni mattina in Africa, come sorge il sole, un leone si sveglia e sa che dovrà correre più della gazzella o morirà di fame. Ogni mattina in Africa, come sorge il sole, non importa che tu sia leone o gazzella, l’importante è che cominci a correre…

Tecniche sempre più efficienti da parte dei criminali informatici insieme alla continua proliferazione dei gruppi ransomware rappresentano una sfida per il nostro Paese insiema alla necessità di un approccio innovativo, sia per facilitare la Cyber Threat Intelligence nell’analisi delle somiglianze delle tattiche di attacco, sia per facilitare le strategie di difesa. L’analisi di somiglianze delle tecniche di attacco possono venire in aiuto – anche se spesso mostrano notevoli distinzioni – ma nel monitoraggio importa soprattutto comprendere il comportamento specifico dell’attaccante: parte significativa in questo ultimo caso è la collaborazione delle vittime.

Lo scorso anno a chiusura del 2024 ho voluto parlare di provocazioni ed eccone un’altra divisa in 8 punti che – a grandi linee – descrivono sommariamente la situazione a cui ci troviamo di fronte e che richiede un grande impegno e una grande collaborazione (alleati) da parte di tutti per combattere un mostro a mille teste, particolarmente arguto e cattivo:

1. tendiamo a farci un’idea precisa da dove venga un gruppo criminale, ma spesso incorriamo in errori di attribuzione: i gruppi operano da più paesi contemporaneamente e si spostano spesso, i loro crimini variano da paese a paese, i loro affiliati operano dietro nomi falsi,
2. spesso un paese di provenienza viene identificato in base alla lingua utilizzata: pensiamo però alla lingua russa che è altresì usata sia in paesi come Bielorussia, Kirghizistan e Kazakistan, sia nell’Europa orientale, nei Balcani, nell’Europa occidentale, negli Stati Uniti, in Israele e nei paesi baltici,
3. anche se un gruppo scompare ne appare subito un altro: i loro malware vengono comprati, riutilizzati tramite leak se non perfezionati,
4. molti attori della minaccia stanno ora lavorando con più famiglie di ransomware contemporaneamente, il che consente loro di ottimizzare le proprie operazioni e mitigare i rischi associati all’affidamento a un singolo gruppo,
5. tra le gang è in atto un certo tipo di collaborazione ma anche una lotta/competizione tra clan e cartelli: se una testa di questo mostro a mille teste viene tagliata, un’altra emerge, con capacità moltiplicate e crescita di attacchi e profitti.
6. la ricerca attuale si concentra prevalentemente sull’analisi del ransomware e poco sui modelli comportamentali associati agli attacchi,
7. l’analisi di somiglianze delle tecniche di attacco possono venire in aiuto – anche se spesso mostrano notevoli distinzioni – ma nel monitoraggio importa soprattutto comprendere il comportamento specifico dell’attaccante: parte significativa in questo ultimo caso è la collaborazione delle vittime, la divulgazione e la segnalazione degli incidenti, che non sempre avviene con trasparenza.
8. con le giuste informazioni, la natura in stile Idra del crimine informatico, arguto e particolarmente complesso da eradicare potrebbe trasformarsi in una vulnerabilità.

Buon 2025.

L'articolo Data Breach e violazioni: perché nascondere gli errori non protegge dal danno reputazionale proviene da il blog della sicurezza informatica.

Un tribunale americano ha stabilito che la società israeliana NSO Group è responsabile di aver sfruttato una vulnerabilità del messenger WhatsApp per installare spyware che consentivano la sorveglianza non autorizzata. La sentenza a favore di Meta Platforms e della sua unità WhatsApp è stata emessa dal giudice Phyllis Hamilton a Oakland, in California.

La causa, intentata da WhatsApp nel 2019, sosteneva che NSO Group avesse ottenuto illegalmente l’accesso ai server del messenger per installare il programma Pegasus, che gli avrebbe permesso di spiare 1.400 persone, tra cui giornalisti, attivisti per i diritti umani e dissidenti. La corte ha stabilito che NSO ha violato i termini dell’accordo e ha compiuto azioni illegali. La fase successiva del caso sarà quella di considerare l’importo del risarcimento.

Il CEO di WhatsApp, Will Cathcart, ha definito la decisione una vittoria per la privacy, sottolineando che le società di spionaggio non possono nascondersi dietro l’immunità legale e devono essere ritenute responsabili delle loro azioni.

Anche gli esperti di sicurezza informatica hanno accolto favorevolmente il verdetto. John Scott-Railton dell’organizzazione canadese Citizen Lab, che per prima ha divulgato i dati di Pegasus nel 2016, ha affermato che la decisione costituirà un importante precedente per l’intero settore dello spyware.

Secondo lui ciò dimostra che le aziende che utilizzano tali strumenti non possono sottrarsi alle proprie responsabilità citando le azioni dei propri clienti.

NSO Group ha affermato che la sua tecnologia aiuta le forze dell’ordine a combattere la criminalità e le minacce alla sicurezza nazionale. Tuttavia, i tribunali statunitensi hanno ripetutamente respinto le sue argomentazioni, compresi i tentativi di ottenere l’immunità sulla base del Foreign Sovereign Immunity Act.

Una decisione della Corte Suprema degli Stati Uniti lo scorso anno ha respinto l’appello di NSO, consentendo la prosecuzione del processo.

Questo caso ha inviato un messaggio importante all’intero settore, evidenziando la necessità di rispettare le leggi e rispettare il diritto alla privacy.

L'articolo Sentenza WhatsApp-NSO: Una Svolta Epocale nel Settore dello Spyware proviene da il blog della sicurezza informatica.

What do you do with an old 3D printer? They’re full of interesting components, after all, from switches and motors to lovely smooth rails. [Mukesh Sankhla] had a great idea—why not repurpose the components into a motorized camera slider?

The heart of the slider is the 4020 V-slot aluminum profile. It’s upon this that the camera carriage rides, running on rubber rollers to keep things smooth. A stepper motor and belt are then used to move the slider at a constant speed up or down the rail while the camera gets the necessary shot. The build relies almost entirely on salvaged components, save for an ESP32, OLED screen, and a few buttons to act as the control interface. There are also the TMC2208 stepper motor drivers, of course, but they came from the salvaged Ender 3 unit as well.

This is a classic project. Many old 3D printers have pretty much the perfect set of parts to build a camera slider, making this build a no-brainer. Indeed, others have tread the same path. There are plenty of other potential uses around the lab or for soldering.

Meanwhile, the proof is in the pudding. Scope the slider’s performance in the video below.

youtube.com/embed/6wZvRQOAYpE?…

hackaday.com/2024/12/22/old-3d…

The ESP32 is s remarkably powerful microcontroller, where its dual-core processor and relatively high clock speed can do some impressive work. But getting this microcontroller designed for embedded systems to do tasks that would generally be given to a much more powerful PC-type computer takes a little bit more willpower. Inspired by his dog, [Folkert] decided to program an ESP32 to play chess, a famously challenging task for computer scientists in the past. He calls this ESP32 chess system Dog.

One of the other major limitations of this platform for a task like this is memory. The ESP32 [Folkert] is using only has 320 kB of RAM, so things like the transposition table have to fit in even less space than that. With modern desktop computers often having 32 or 64 GB, this is a fairly significant challenge, especially for a memory-intensive task like a chess engine. But with the engine running on the microcontroller it’s ready to play, either in text mode or with something that can use the Universal Chess Interface (UCI). A set of LEDs on the board lets the user know what’s going on while gameplay is taking place.

The UCI also enables Dog to play online at lichess.org, and [Folkert] has included a link on the project page where others can play with his microcontroller chess system this way through the Internet. It has a pretty respectable Elo rating at around 2100 as well, so don’t think that just because it’s a small platform that the wins will come easy. If you’d prefer your chess engines to run on retro hardware, take a look at this build, which also uses an ESP32 but puts it to work by running old Commodore chess equipment from the 80s. Of course, you can play chess on even less hardware. It has been done.

hackaday.com/2024/12/22/dog-pl…

Nell’ultimo mese del 2024, LockBit ha fatto parlare di se in maniera esodante. La notizia di spicco è la tanto attesa uscita del programma 4.0 del RaaS più famoso nella scena. Dopo tutta la serie di Operation Cronos, che non sembra essere ancora conclusa, LockBit è stato messo alla prova con una esperienza di contrasto al crimine digitali senza precedenti eseguita da una task force internazionale.

In questo articolo espanderemo gli ultimissimi aggiornamenti cercando di fare il punto della situazione e commentare queste prime (parziali) conclusioni di un vero e proprio logoramento che impatterà il futuro della sicurezza e crimine digitale.

Per chi volesse avere il contesto completo ed approfondire la timeline in questione trovate elencati, in ordine cronologico, gli articoli pubblicati su Red Hot Cyber riguardo le principali fasi di Lockbit vs Operation Cronos:

1. La Task Force di Operation Cronos riapre il dominio sequestrato a LB postando un timer su dei post creati ad-hoc (6 Maggio 2024)
2. Operation Cronos pubblica primi risultati dalle indagini dei dati ottenuti dal backend di LB, viene identificato Dmitry Yuryevich Khoroshev come responsabile del RaaS (8 Maggio 2024)
3. LB pubblica più di 20 vittime in meno di una settimana, 2 persone vengono processate come colpevoli di collaborare alla distribuzione e produzione del ransomware del gruppo. Altri gruppi riescono a beneficiare dalla operazione attraendo a sè affiliati che si sono allontanati da LB. (7 Agosto 2024)
4. III atto di OP Cronos, viene individuato Evil Corp come uno degli affilliati che hanno portato un alto numero di incassi al RaaS. Vengono attuate prime sanzioni e promessa di continuare le indagini per smantellare il gruppo un pezzo alla volta (1 ottobre 2024)
5. Rilascio ufficiale di LockBit 4.0 (19 Dicembre 2024)

Catene poco costose

29 Novembre 2024, Kaliningrad, Russia. Forze dell’ordine locali annunciano l’arresto di “Wazawaka” descritta come una figura centrale nello sviluppo di ben 3 gruppi ransomware : Conti, Babuk e, ovviamente, LockBit. Dietro al nickname si celava Mikhail Pavlovich Matveev, 32enne Russo alla quale era gia stato pubblicato una taglia di $10 MLN attraverso il programma “Reward For Justice” dell’FBI.

Secondo le accuse grazie al contributo di Mikhail avrebbero fatto guadagnare (in totale) $200 MLN ai 3 gruppi, le indagini sarebbero iniziate a Gennaio 2024 e nel momento del suo arresto era ancora attivo all’interno di LockBit.

Il fatto che autorità Russe abbiano arrestato uno sviluppatore ransomware che aveva dichiarato nei suoi post, su forum underground, di non attaccare nazioni ex-CIS va contro alla tipica regola non scritta sul non ricevere interesse da parte delle autorità locali finchè risultino innocui a quest’ultimi. Non è ancora chiaro il perchè di questo arresto e le opache procedure legali Russe non aiutano ad ottenere ulteriori informazioni, tra le varie speculazioni è l’interesse sull’ottenimento dei guadagni di Wazawaka.

L’amministratore del canale Telegram Club 1337 è entrato in contatto diretto con Mikhail che ha confermato di essere accusato sotto l’articolo 273 Russo (Computer Information as a Crime), di essere rilasciato in attesa di sentenza e la confisca di una porzione “significante” delle sue criptovalute che secondo le stime le cifre ammontano a qualche millione di dollari.

Altri membri di LockBit erano già stati arrestati in precedenza (vedi link numero 3 in prefazione) ma si trattava di affiliati oppure responsabili del riciclaggio di denaro. Mikhail è il primo componente centrale del gruppo ad essere arrestato, la lista di ricercati (da parte degli US) correlati a LockBit sono i seguenti:

• Bassterlord (Ivan Kondratyev): Il secondo componente di LockBit più famoso dopo LBSupp, responsabile dell’utilizzo del Ransomware LockBit 2.0 e LockBit 3.0 fu membro del gruppo dopo il paper contest nell’estate del 2020. Per chi sia interessato a questa figura, Jon DiMaggio ha pubblicato un intero post della sua serie Ransomware Diaries con protagonista Bassterlord.
• Dmitry Khoroshev: Individuato nella seconda fase di Operation Cronos, è accusato di essere tra i vertici del gruppo e responsabile dello sviluppo del codice di almeno 65 versioni del malware.
• Artur Sungatov: Secondo le indagini questo affiliato di LB avrebbe utilizzato il Ransomware su almeno 12 vittime statunitensi incluse infrastrutture digitali di forze dell’ordine e cliniche mediche

Se con Mikhail non possiamo avere informazioni riguardo al suo arresto e serie interrogatori con Rostislav Panev le cose si fanno decisamente più interessanti. 51 anni, residente ad Haifa (Israele) arrestato il 18 Agosto 2024 sotto richiesta degli USA con conferma di estradizione nel 12 Dicembre 2024 è ritenuto di essere un’altro sviluppatore centrale per LockBit e di essere in contatto diretto con LockBitSupp.
Rostislav Panev
La notizia del suo arresto è stata resa pubblica solo di recente con prime dichiarazioni sulle accuse. Gli investigatori hanno tracciato le prime attività di Panev agli albori del gruppo nel 2019 fino al suo arresto nel 2024, il suo ruolo era lo sviluppo di builder usati dagli affiliati per generare versioni eseguibili del ransomware. Uno dei suoi contributi è stata la feature che permettava al malware di stampare in versione cartacea la ransom note del gruppo.

Le indagini forensi sui device seguenti all’arresto hanno rilevato una connessione diretta tra Panev e Dmitry Khoroshev che utilizzava il moniker LockBitSupp nella quale discutevano l’avanzamento del malware e del pannello di controllo degli affiliati. Il suo lavoro veniva retribuito con pagamento regolare che ammonterebbe a circa $230,000 in questi 5 anni di attività.

Infine sono state trovate credenziali per l’accesso alla repository del codice di diversi builder di LockBit, del tool di exfiltration chiamato StealBit e anche l’accesso al pannello amministrativo del gruppo.

Attualmente è in corso una battaglia legale tra l’avvocato di Panev, Sharon Nahari, e il governo Israeliano che secondo il legale avrebbero avanzato accuse non veritiere riguardo riciclaggio di denaro, utilizzo del malware ed estorsione sottolineando che il suo cliente si è limitato al solo sviluppo di tool per il gruppo.

È chiaro a tutti che Operation Cronos, dopo aver preso accesso al backend, ha testato la OPSEC di tutti i membri ed affiliati dimostrando che con il giusto approccio è possibile tracciare l’identità di attori anonimi. Ora che Panev verrà estradato negli USA unito a tutte le informazioni collezionate dai suoi device giocheranno un ruolo cruciale per future operazioni.

L’estradizione è programmata per il 15 Gennaio 2025.

Se ti fermi, perdi

LockBitSupp è stato sempre marcato da una forte dose di arroganza accompagnate da provocazioni alle forze dell’ordine (nello specifico FBI ed NCA) mostrandosi immune agli attacchi da parte di quest’ultime. Dopo l’elezione di Donald Trump (alla quale LBSupp non ne ha mai nascosto l’apprezzamento) lo status del profilo TOX è stato cambiato in questo:
Fonte VX Underground

Tralasciando la preferenza politica, questa non è la prima volta che LB cita esplicitamente una nuova versione delle loro operazioni. Fino ad ora erano presenti solo discussioni a riguardo ma dal 6 Novembre 2024 sembra essere ufficiale senza però ulteriori informazioni a riguardo.

L’arresto di Panev potrebbe essere una delle cause che hanno portato al rallentamento del rilascio del programma 4.0 ed inoltre, come abbiamo precedentemente documentato, LockBit aveva avuto dei problemi tecnici che hanno portato il gruppo a pubblicare uno statement su come contattare il gruppo andando diretti al punto senza perdersi in troppi giri di parole. Con una buona confidenza possiamo concludere che l’arresto di Panev abbia creato un danno non indifferente e questo spiegherebbe perchè non si è voluto rendere pubblico il suo arresto direttamente ad Agosto.

All’inizio di Dicembre 2024 lo status venne cambiato in “17 декабря” (17 Dicembre), ci si poteva aspettare un annuncio ufficiale del nuovo programma ma a sorpresa LockBit presenta una nuova occasione per provocare i suoi detrattori.

È stato rilasciato uno statement con un file zip protetto destinato a Christopher Wray, direttore dell’FBI. Di seguito lo statement tradotto dal Russo:

Amici, oggi è un gran giorno: è il compleanno del direttore dell’FBI!
Caro Christopher Asher Ray. In questo bellissimo giorno, vorrei augurarti un buon compleanno dal profondo del mio cuore e augurarti tutto il meglio. Che la tua vita sia sempre bella e piena di bei momenti, come quello in cui mi hai catturato o almeno riconosciuto la mia identità. Che i tuoi ricordi siano solo luminosi e buoni, come quando sei stato ingannato dal tuo staff e ti hanno detto che mi avevano trovato. Che tu possa essere circondato solo da persone che ti aiutino a salire ancora più in alto, ma dove andare ancora più in alto? Che il tuo lavoro sia facile e favorito, e che il tuo stipendio sia alto e desiderabile come il mio. Che i vostri occhi brillino sempre come adesso, che i vostri soldi non finiscano mai e che tutti i vostri sogni si realizzino con la rapidità che desiderate. Accettate questo archivio come un regalo. Per favore, non scaricate questo archivio in nessun caso, è un archivio solo per il Direttore dell’FBI. Ancora, buon compleanno!

Ironia della sorte, Christopher Wray ha annunciato il suo ritiro il giorno 16 Dicembre 2024. Questa provocazione tornerà utile nella sezione conclusiva dell’articolo.

Per concludere l’anno LB ha finalmente pubblicato i primi link per l’iscrizione di affiliati del nuovo programma RaaS. Come già analizzato da Sandro Sana (articolo numero 5 nella prefazione) oltre al pagamento di $777 in XMR o BTC non sono presenti ulteriori requisiti. Per ora questo è tutto quello che si sa oltre alla data di uscita ufficiale settata al 3 Febbraio 2025.

Il RaaS nonostante tutto ciò che li sta accadendo non sembra volersi fermare, ci teniamo a ricordare il concetto espresso nel primo statement pubblico dopo Operation Cronos dove LBSupp affermava che non si tratta più di soldi ma di ottenere il più alto numero di vittime possibile sul suo DLS come sfida contro l’FBI.

Conclusioni

L’ultimo aggiornamento su questo loop conflittuale proviene da un post LinkedIn del direttore per le Cyber Operations Crime dell’FBI Brett Leatherman che riporta le parole di Wray:

“No matter how hidden or advanced the threat, the FBI remains committed to working with our interagency partners to safeguard the cyber ecosystem and hold accountable those who are responsible for these criminal activities.”

Director Wray

Sembra chiaro l’impegno preso e la volontà nel continuare Operation Cronos da parte dell’FBI unita all’intera task force messa in piedi per sopprimere LockBit. L’umiliazione portata dal sequestro di parte del DLS e dei server StealBit accompagnata dalla richiesta di LBSupp di collaborare se le forze dell’ordine avessero pubblicato il deanon di ALPHV/BLACKCAT hanno messo in pessima luce il RaaS.

Dietro a tutti i tecnicismi e agli arresti è palese una forte PsyOPS (Psychological Operation) mostrandosi fermi e robusti di fronte a chi (dichiara) di esserlo altrettanto. Una partita di scacchi 3D dove le due parti comunicano in maniera più o meno esplicita le loro intenzioni. Qualsiasi sia la conclusione, il 2025 si prospetta essere un anno centrale per questo stallo ma possiamo riflettere su tutto l’avvenimento di Cronos conseguito nel 2024.

1. Le operazioni di “hacking back” devono essere uno strumento da tenere in considerazione per il contrasto del crimine digitale. È presente un blocco legislativo (se non mentale) a riguardo, in Europa e USA rimane una pratica illegale (tranne ovviamente per aziende governative) ma paesi come il Belgio hanno creato un framework legislativo a tal proposito. È stato dimostrato a sufficenza come l’OPSEC degli attaccanti non sia florida ed efficente come viene millantato permettendo di ottenere informazioni all’attribuzione dei crimini commessi e anche un contrasto di tipo proattivo che potrebbe aiutare di molto a ridurre le capacità degli attori in questione. Qui un articolo di Sandro Sana a riguardo.
2. Rivalutazione degli attaccanti. Una sbagliata percezione della minaccia può portare a sopravalutarla o sottovalutare le proprie capacità di protezione e contrasto. È comune trovarsi di fronte ad una descrizione fallace degli attaccanti come “ad un passo avanti” o “di superiore intelligenza e capacità tecniche” ma non è affatto vero, gli esempi di attacchi standardizzati perpetuati da individui con skills discrete sono molteplici. Operation Cronos ha portato alla luce una serie di bugie e falle tecniche quasi banali per una realtà come LockBit (ex:/ dati degli affiliati salvati in chiaro, utilizzo dei social media indiscreto, feature di malware non implementate) e questo dovrebbe far riflettere che con il giusto approccio la una appropriata protezione è alla portata di tutti.
3. State-of-things & state-of-mind, questa è la più breve e precisa definizione di “sicurezza” (se-cure, “senza ansia”). Tralasciando il state-of-things di LockBit in mezzo a questa immensa operazione, il state-of-mind sembra aver giocato un ruolo fondamentale mettendo pressione su LBSupp. Le numerose dichiarazioni e minacce ripetute (come quelle al direttore dell’FBI) sono aumentate dal primo sequestro del DLS. Ci sono state diversi dibattiti sull’approccio del NCA e l’utilizzo di british humor nei contenuti pubblicati nel DLS ribrandizzato dalle forze inglesi, per alcuni non è stato adeguato ad una agenzia nazionale mentre per altri era la risposta giusta al tipo di personalità si sta affrontando. Solo il tempo potrà confermare o meno l’efficacia dell’approcio, la riflessione che si vuole porre è sulla attenzione data a tale aspetto. Dalle dichiarazioni pubbliche al non rendere pubblici determinati arresti si sta cercando di giocare su più aspetti della sicurezza di LockBit cercando di colmare le ovvie limitazioni geografiche.

Per ora non possiamo prevedere cosa sia davvero il programma LockBit 4.0 ne tanto meno quali sono davvero gli obbiettivi, capacità ed endgame del gruppo ma sicuramente si sta segnando un precedente nell’ambito del crimine digitale che segnerà un nuovo standard per future minacce.

L'articolo FBI risponde all’annuncio di LockBit 4.0. La nostra ricostruzione dei fatti proviene da il blog della sicurezza informatica.

Vintage hi-fi gear can be very attractive, particularly compared to modern stuff. However, when this stuff starts getting into its third or fourth decade after production, things start to wear out. Chief among them—the little incandescent bulbs that light up the dials with such a beautiful glow. [Piffpaffpoltrie] was suffering just this problem on an old Technics amp, and decided to go for a more modern upgrade.

Replacing the original bulb with a like unit was undesirable—even if many last for decades, [Piffpaffpoltrie] didn’t want to have to tackle this job again in the future. Instead, an LED swap was the order of the day. A short strip of warm-white LEDs seemed to be the perfect solution, with three LEDs in series being just about right for the 11-volt supply used for the original bulbs. The only problem was that the stereo supplied the bulbs with AC, not DC. Thus, a quick bridge rectifier circuit was thrown in, along with some series resistors. This wrangled the voltage into a straighter line and delivered the right voltage level to drive the LEDs nicely and smoothly.

The result is a nicely-illuminated set of power meters on this vintage Technics amp. We’ve seen some neat LED swaps in the past, too, including this tricky motorcycle lamp upgrade. Meanwhile, if you’re slogging it out to bring your vintage gear more up to date, consider dropping us a note on the tipsline.

hackaday.com/2024/12/22/vintag…