One of the most annoying things about keyboard and mouse input has got to be the need to constantly switch between the two. Ever wish there was a single solution that combined them with elegance? Then you should definitely check out [lemosbor]’s Lapa keyboard, where the right half includes a mouse sensor.

Image by [lemosbor] via redditLapa, which is Russian for ‘paw’, certainly has that type of look. This hand-wired keyboard uses a pair of Pro Micros and an ADNS9800 optical sensor for mousing around. Under those ‘caps are MX blues, the OG clackers.

Let me just say that I love the look of this keyboard, and I don’t normally like black and brown together. But that oak — that oak is classy, and it looks good with the resin-and-varnish case. If you can handle a 36-key board — I myself cannot — then this would probably be a game changer. There are even slots for your palms to breathe.

Unfortunately it’s not open source, but a girl can dream, right? In the reddit post, [lemosbor] says that they would be interested in selling the next version, provided it’s the final one.

A New Wave of Kinesis Keyboards

Good news for all of those who are either missing the Microsoft 4000 keyboard, or anyone who just wants to try something more ergonomic than a standard rectangle without going too crazy. Kinesis are now making a keyboard they call mWave which very much resembles that discontinued offering from Redmond. It’s out of stock until June 1, 2025, but you can drool over the picture gallery and technical specs for now.
Image via Kinesis
Speaking of, this thing has brown Gateron low-profile switches, which I find interesting. But finally, unlike my precious Kinesis Advantage, all the switches are the same. No more crappy little rubber buttons for the Function layer. As with the Advantage, the home row row caps have a different sculpt to help the user locate them more easily. On the mWave, the arrow keys are sculpted as well.

This is a Bluetooth keyboard, but you can connect a USB cable if you need backlighting. For some reason, the PC model is black, and the Mac model is white. But they do sell keycap sets in case you want to sort of switch it up.

The most annoying thing about this keyboard aside from the bright green light in the middle has got to be the ‘6’ placement. No way does it ever belong on the left side, and that’s a hill I’m willing to die on. I suppose it’s just a carryover from (likely) aping the MS 4000 design, which has ‘6’ on the left as well. But back on the positive side of things, there are magnetically-attachable feet that provide an optional negative tilt, so that’s cool.

Via reddit

The Centerfold: Dipping a Toe Back In the Hobby

Image by [Thallium54] via redditAfter using a bare-bones Corne for a few years, [Thallium54] happened to buy a 3D printer and so decided it was time for something new. This here is a Totem with an FDM-printed case and keycaps. In case you’re wondering, this keycap profile is MBK, which are supposed to be much easier to print than MX keycaps. I wish I could tell you what desk mat that is. Can you tell me?

Do you rock a sweet set of peripherals on a screamin’ desk pad? Send me a picture along with your handle and all the gory details, and you could be featured here!

Historical Clackers: Imperial Model B

It might be difficult to imagine that there were any ergonomic keyboards over a hundred years ago, but one certainly existed — the Imperial Model B.

All other Imperial models had straight keyboards, but this elegantly curved keyboard offered a typing experience that one modern user described as ergonomic. Ergonomics aside, it may have been designed simply to match the curve of the type basket.
Image via Science Museum Group
One of the coolest things about this typewriter is that the user could change fonts or clean the machine by removing and replacing the entire keyboard. The type basket was attached and came along for the ride.

Model B arrived in 1915, four years after the Model A. Unlike its predecessor, Model B had two Shifts and a Backspace and was a commercial breakthrough for its makers, the Imperial Typewriter Company of Leicester, England.

An engineer named Hidalgo Moya was responsible for the basic design. Like some other machines of the same era, the Imperial Model B has typebars that down-strike from the front. Press a key, and the selected typebar would swing downward and strike the ribbon against the paper and platen.

This three-row QWERTY keyboard has a sweet knurled Space bar that maybe should have been a pair of Space bars, but that might not have looked as nice. There are 28 character keys with a FIGS and CAPS on each side of the keyboard. Mysteriously, there is an unlabeled key on the right side near the platen. Anyone care to speculate wildly as to what this was for? I’ll go first. Maybe it was the magic button that released the keyboard and type basket for swapping or cleaning.

ICYMI: Panasonic Typewriter Now Does SMS

Image by [Sam Christy] via Mr. Christy EngineeringWhat is the future of texting? Well, if you’re an awesome engineering teacher named [Sam Christy], then it’s receiving incoming SMS messages on a Panasonic T36 typewriter.

The best part about this clacker hack is that [Sam] designed the circuit to work with nearly any electric typewriter, using a generic hardware circuit and an ESP32. As you might imagine, this is a complex one that required fiddly engineering. There’s I²C, multiplexers, and SMS management involving Twilio.

I love that [Sam] is using a huge roll of paper to capture the texts. I do the same with 96′ fax paper rolls in my thermal electronic typewriters, in part because it’s so fun to rip off the paper when I’m finished.

Got a hot tip that has like, anything to do with keyboards? Help me out by sending in a link or two. Don’t want all the Hackaday scribes to see it? Feel free to email me directly.

hackaday.com/2024/12/23/keebin…

Rope-climbing robots are the stuff of engineering dreams. As kids, didn’t we all clutter our family home with constructions of towers and strings – Meccano, or Lego – to have ziplines spanning entire rooms? Good for the youngsters of today, this has been included in school curricula. At the University of Illinois, the ME 370 students have been given the task of building a robot that can hang from a rope and walk across it—without damaging the rope. The final projects show not only how to approach tricky design problems, but also the creative solutions they stumbled upon.

Imagine a tiny, rope-climbing walker in your workshop—what could you create?

The project is full of opportunities for those thinking out of the box. It’s all about the balance between innovation and practicality: the students have to come up with a solution that can move at least 2 meters per minute, fits in a shoebox, and has some creative flair—no wheels allowed! The constraints provide an extra layer of challenge, but that’s where the fun lies. Some students use inverted walkers, others take on a more creature-like approach. The clever use of motors and batteries shows just how far simple tech can go when combined with a bit of engineering magic.

This project is a fantastic reminder that even small, seemingly simple design challenges can lead to fascinating creations. It invites us adults to play, and by that, we learn: a win-win situation. You can find the original article here, or grab some popcorn and watch the video below.

youtube.com/embed/BFx-07wKxDY?…

hackaday.com/2024/12/23/crawle…

Nel dicembre 2024 si terrà a Seul il festival globale delle startup COMEUP 2024, che da tempo attira l’attenzione di imprenditori, investitori e giganti della tecnologia da tutto il mondo. Una delle parti più attese del festival è il pitching competitivo “Startup Valley”, durante il quale si esibiranno 50 startup selezionate tra migliaia di candidature. I partecipanti sono divisi in tre categorie: “Rookie League” per principianti, “Runners League” per aziende con più esperienza e “Rocket League”, che comprende le startup più promettenti secondo le raccomandazioni del consiglio della COMEUP House.

I finalisti di quest’anno includono rappresentanti di 13 paesi, tra cui Corea del Sud, Stati Uniti, Paesi Bassi, Svezia, Danimarca, India e Turchia. Uno che si distingue è Growk AI , una startup guidata dal CEO Ray Dillon. L’azienda offre un potente strumento per il marketing intelligente, consentendo alle aziende di prendere decisioni basate sui dati, creare contenuti emotivamente coinvolgenti e costruire ecosistemi di marketing olistici. La tecnologia AI di Growk è alimentata da sofisticati algoritmi che aiutano ad analizzare il mercato, prevedere le tendenze e condurre analisi della concorrenza con una precisione superiore del 40% rispetto agli standard del settore.

Al COMEUP 2024, l’azienda svelerà la sua piattaforma di marketing, che aiuta le aziende non solo a ottimizzare la propria strategia di contenuti in tempo reale, ma anche ad aumentare il coinvolgimento del pubblico. Una caratteristica speciale della piattaforma è la capacità di sintetizzare dati provenienti da varie fonti e fornire raccomandazioni pratiche.

Growk AI è particolarmente focalizzato sul mercato sudcoreano, noto per il suo ambiente digitale innovativo e la cultura unica dei social media. Gli sviluppatori vogliono rafforzare la loro posizione nel paese attraverso partenariati strategici e campagne pubblicitarie, oltre a diventare un ponte tra gli ecosistemi mediatici orientali e occidentali.

Il festival COMEUP 2024 si svolgerà l’11 e il 12 dicembre presso il Coex Exhibition Centre. Il tema dell’evento è “Innovazione senza frontiere” (probabilmente riferito al ruolo delle startup nella creazione di tecnologie che abbattono le tradizionali barriere tra paesi e industrie). Growk AI, ovviamente, si aspetta che la partecipazione a COMEUP 2024 consentirà loro non solo di dimostrare la loro tecnologia, ma anche di espandere la loro influenza sui mercati internazionali.

L'articolo COMEUP 2024: Le Startup più Innovative al Festival Globale di Seul proviene da il blog della sicurezza informatica.

Il Dipartimento di Giustizia degli Stati Uniti ha recentemente incriminato un cittadino russo-israeliano, sospettato di essere uno degli sviluppatori del ransomware LockBit. Questa operazione rappresenta un’importante mossa nella lotta globale contro il ransomware, che continua a mietere vittime tra aziende, istituzioni e infrastrutture critiche.

Secondo quanto riportato da BleepingComputer, il cittadino accusato avrebbe giocato un ruolo chiave nello sviluppo e nell’ottimizzazione di LockBit, contribuendo alla creazione di uno dei ransomware più temibili degli ultimi anni.

L’incriminazione segna un progresso significativo, ma apre anche un dibattito su quanto queste azioni legali possano realmente frenare un fenomeno radicato nel cybercrime internazionale.

L’incriminazione segna un progresso significativo, ma apre anche un dibattito su quanto queste azioni legali possano realmente frenare un fenomeno radicato nel cybercrime internazionale.

L’accusato, di cui non è stato ancora rivelato il nome completo per motivi legali, è un cittadino con doppia nazionalità russa e israeliana. Secondo le autorità statunitensi, l’uomo avrebbe contribuito direttamente alla progettazione e allo sviluppo di LockBit, fornendo codice e supporto tecnico per migliorare l’efficacia del ransomware.

Questa è una delle prime volte in cui gli Stati Uniti riescono a identificare e perseguire legalmente uno sviluppatore associato a un gruppo ransomware, un’impresa spesso resa difficile dalla natura transnazionale e dall’anonimato degli attori coinvolti.

Cos’è LockBit?

LockBit è una delle famiglie di ransomware più aggressive e conosciute a livello globale. Attivo dal 2019, ha colpito migliaia di vittime in oltre 40 Paesi, con richieste di riscatto che spesso superano i milioni di dollari. La peculiarità di LockBit risiede nel suo modello di business RaaS, in cui gli sviluppatori del ransomware offrono il loro “prodotto” ad affiliati in cambio di una percentuale sui riscatti ottenuti.

Questo approccio permette al gruppo di scalare rapidamente le operazioni, reclutando affiliati con competenze diverse, dal phishing al penetration testing. LockBit è anche noto per la sua velocità di cifratura e per il continuo aggiornamento del codice, che lo rende difficile da rilevare e contrastare.

La strategia degli Stati Uniti

L’incriminazione rientra in una strategia più ampia degli Stati Uniti per colpire i cybercriminali direttamente alla fonte. Negli ultimi anni, le autorità americane hanno aumentato gli sforzi per perseguire sviluppatori, affiliati e operatori logistici legati al ransomware.

Questa strategia, però, non è priva di sfide. La maggior parte dei cybercriminali opera da Paesi che non hanno accordi di estradizione con gli Stati Uniti o che sono riluttanti a cooperare, come Russia, Cina o Iran. L’incriminazione di un cittadino con doppia cittadinanza (russa e israeliana) rappresenta un’opportunità per testare l’efficacia della collaborazione internazionale nella lotta al ransomware.

Le implicazioni globali

L’arresto e l’incriminazione di un presunto sviluppatore di LockBit inviano un messaggio forte alla comunità cybercriminale: nessuno è immune alle conseguenze legali, anche se opera in ambienti virtuali difficili da tracciare. Tuttavia, è importante sottolineare che il ransomware è un ecosistema complesso, con numerosi attori che operano indipendentemente gli uni dagli altri.

Colpire uno sviluppatore potrebbe rallentare temporaneamente le operazioni di LockBit, ma difficilmente eliminerà la minaccia. Gli affiliati possono semplicemente migrare verso altre piattaforme RaaS, e i gruppi cybercriminali più avanzati sono noti per la loro capacità di adattarsi rapidamente a nuovi contesti operativi.

Sfide e prospettive

• Collaborazione internazionale: L’arresto è un segnale positivo, ma mostra anche quanto sia cruciale una cooperazione globale. La condivisione di informazioni tra agenzie di intelligence e forze dell’ordine di diversi Paesi sarà fondamentale per combattere il ransomware in modo efficace.
• Impatto a lungo termine: Sebbene l’incriminazione rappresenti un risultato significativo, sarà interessante osservare se avrà un effetto deterrente su altri sviluppatori e operatori di ransomware.
• Protezione delle infrastrutture critiche: Le aziende e le istituzioni devono continuare a investire in soluzioni di sicurezza avanzate e strategie di risposta per mitigare i danni causati dal ransomware.

L’incriminazione del presunto sviluppatore di LockBit rappresenta un importante passo avanti nella lotta al ransomware, ma non risolve il problema alla radice. La battaglia contro il cybercrime richiede un approccio olistico, che combini azioni legali, tecniche e diplomatiche.

Mentre l’ecosistema ransomware continua a evolversi, questo caso sottolinea la necessità di rafforzare la resilienza delle organizzazioni e promuovere una maggiore collaborazione internazionale per contrastare una delle minacce più significative della nostra era digitale.

L'articolo Incriminato un presunto sviluppatore di LockBit proviene da il blog della sicurezza informatica.

There are many retrocomputer emulation projects out there, and given the relative fragility of the original machines as they enter their fifth decade, emulation seems to be the most common way to play 8-bit games. It’s easy enough to load one on your modern computer, but there are plenty of hardware options, too. “The computer we’d have done anything for back in 1983” seems to be a phrase many of them bring to mind, but it’s so appropriate because they keep getting better. Take [Stormbytes1970]’s Pi Pico-powered Sinclair ZX Spectrum mini laptop (Spanish language, Google Translate link), for example. It’s a slightly chunky netbook that’s a ZX Spectrum, and it has a far better keyboard than the original.

On the PCB is the Pico, the power supply circuitry, an SD card, and a speaker. But it’s when the board is flipped over that the interesting stuff starts. In place of the squidgy rubber keyboard of yore, it has a proper keyboard,. We’re not entirely sure which switch it uses, but it appears to be a decent one, nevertheless. The enclosure is a slick 3D-printed sub-netbook for retro gaming on the go. Sadly, it won’t edit Hackaday, so we won’t be slipping one in the pack next time we go on the road, but we like it a lot.

It’s not the first Spectrum laptop we’ve covered, but we think it has upped the ante over the last one. If you just want the Spectrum’s BASIC language experience, you can try a modern version that runs natively on your PC.

hackaday.com/2024/12/23/a-pi-p…

By the end of World War II the world had changed forever, as nuclear weapons were used for the first and – to this date – only time in anger. Although the use of these weapons was barely avoided during the Korean War in the early 1950s, the dawning of the Atomic Age had come in the form of obliterated cities and an increasing number of these weapons being test fired around the world. It was against this background that on December 8, 1953, US President Dwight D. Eisenhower held his ‘Atoms for Peace’ speech, during which he would not only promote the peaceful use of nuclear technologies but also lay the groundwork for what would become the International Atomic Energy Agency (IAEA), as announced in the full speech.

Under the Eisenhower administration the US became one of the world’s nuclear power pioneers, as it competed with the UK and later others in establishing world’s firsts in commercial nuclear power. Dresden Generating Station would become the first purely commercial boiling water reactor (BWR) in 1960 and Yankee-Rowe, the first pressurized water reactor (PWR) in 1961. Following these, the number of new reactors planned and constructed kept increasing year over year, setting the trend for the few decades of the US nuclear power industry.

Today the US operates 94 reactors, which generate nearly 20% of the country’s electricity. Exactly how did the US build so many reactors before 1990, and how does this compare to the recent revival with both new builds and retired plants being put back into service?

From Graphite Pile to Light Water Reactor

Drawing of the Chicago Pile-1 graphite-moderated fission reactor. (Credit: DoE)
The first artificial nuclear reactor was the Chicago Pile-1, demonstrating the first human-made, self-sustaining nuclear fission reaction. This laid the groundwork for the second generation of nuclear fission reactors with commercial aspirations, the overwhelming majority of which are light water reactors (LWRs). These use water as both coolant and neutron moderator. When artificial fission reactors were being developed, it had already been established that in order to fission uranium-235 (U-235), moderated (thermal) neutrons were needed.

Moderating neutrons effectively means slowing them down using a material that interacts with but doesn’t capture neutrons. Heavy water (deuterium, or D₂O) was a known moderator in the 1940s, as was graphite, but it was easiest and fastest to assemble a graphite pile reactor, with the uranium interspersed throughout the graphite blocks. Naturally, this meant that CP-1 had no means of cooling itself and only low power output, but it sufficed to test many theoretical assumptions experimentally.

Interestingly, the US and Canadian reactor designs diverge here. Canadian engineers, in their Generation II reactor designs, went with heavy water in the pressurized heavy water CANDU reactor (PHWR), as this allowed for the use of unenriched uranium as its fuel. While light water (H₂O) is also a neutron moderator, it absorbs a significant number of neutrons, which requires enriched uranium (<5% U-235) and the resulting increase in neutrons to compensate for so that a chain reaction can even commence. Even so, US engineers opted for the much cheaper ultra-pure light water as an acceptable trade-off.
Comparison of BWR & PWR light water reactors with a PHWR heavy water reactor. (Credit: World Nuclear Association)
The two basic types of LWR that still form the backbone of the US nuclear fleet today are BWRs and PWRs, which differ primarily in their complexity. In a BWR the steam is generated in the reactor pressure vessel, from where it travels to the steam turbine before hitting the condenser and returning to the pressure vessel. A PWR separates this into two loops: the (high-pressure) primary loop where the water (heavy water in the case of a PWHR) is heated but not allowed to boil, and a secondary loop which the thermal energy is transferred into by the steam generator before heading to the steam turbine.

Unsurprisingly, a PWR is more efficient than a BWR due to the high-pressure primary loop, but BWRs have one advantage in that there’s less latency between the heat production and the conversion into electrical power. This makes BWRs better at load-following when integrated into a local grid, though this advantage has become less pronounced over the years with newer PWR designs and more efficient grid-storage solutions.

The reactivity of the reactor core is regulated with control rods, which are made out of a material with a large neutron absorption cross section, the ideal type of which depends on the design of the reactor core, but both cadmium (Cd-113) and hafnium (various isotopes) are popular options here. With all of these in place and a control scheme developed to keep the chain reaction occurring at an optimal pace, the next step is to start the reactor. Since the fresh reactor fuel won’t do this by itself, a startup neutron source is required, such as californium-252 or plutonium-238. This source is inserted at the beginning of startup and removed after successful commencing of the reaction.

With these designs designed and prototyped, all US engineers had to do now was to build them in large quantities to power the rapidly increasing electrical demand of the 1960s United States.

Mass-Produce It

How do you scale up building nuclear reactors from a few handcrafted prototypes and demonstrators to hundreds of units? Perhaps unsurprisingly this is done in much the same way as any other large-scale infrastructure project. Many parts of a nuclear power plant (NPP) are the same or similar as in a coal- or gas-fired plant, as they are after all still thermal plants, just with different ways to create the hot steam or air that makes the turbines spin. This made things quite easy for US nuclear engineers who could mostly focus on the part that makes a nuclear plant different from a coal-fired power plant: the reactor and steam generator instead of the boiler. As a bonus, an NPP doesn’t need a smokestack, coal or ash hopper, coal mill, exhaust scrubber and countless other parts that come with burning tons of coal every single day.
Installation of the pressure vessel at unit 3 of the Haiyang nuclear power plant in December of 2023. The Chinese CAP1000 reactor is based on the US AP1000 reactor. (Credit: Shanghai Nuclear Engineering Research and Design Institute)
The beating heart of an NPP is the reactor pressure vessel and its control mechanisms. These parts have to be of certain alloys and of a high quality level so that they are resistant to e.g. neutron flux and corrosion while inside the reactor for decades. With the research and development finished, once the production lines are in place and the workers hired and trained, all one has to do is to simply keep producing the steel and other components, while continuously transporting new pressure vessels, steam generators and everything else to the sites of new NPPs.

Having as few distinct reactor designs is incredibly helpful here, with General Electric’s BWR line of reactors taking the lion’s share of BWR construction in the US and around the globe. For PWRs, Babcock & Wilcox provided many of the designs (e.g. LLP, WH 4LP), along with Westinghouse.

Much as we can see today with the nuclear fleet build-out in China with the Westinghouse AP1000 and derived designs (CAP1000 and Hualong One), strong political and financial backing combined with a mature nuclear power supply chain means that the time from first concrete to grid connection can be as little as four to five years. After all, the components are made in parallel, so that no single step in the construction is blocked until final on-site assembly occurs. Meanwhile, experience is collected with each newly constructed reactor that helps to speed up and improve subsequent builds.

As a demonstration of this, a recently released report by the US Department of Energy (DoE) shows the massive time improvement for key milestones between Vogtle units 3 & 4:

Vogtle unit 3 was the first time the new AP1000 reactor was built in the US, completing its construction long after the Chinese nuclear sector had not only built a number of licensed AP1000 units, but also designed their own version that better fit the Chinese market and built a number of these both in China and abroad. The difference is that the US is now cobbling its nuclear industry back together after a decades-long hiatus – much like it did in the 1950s and 1960s – while China began building nuclear reactors in the 1990s and never quit building them.

The problem with institutional knowledge is that it’s costly to obtain and basically impossible to retain if you do not actively maintain it. When the US began building its nuclear fleet last century, this knowledge was strong and supply chains robust. During the 1980s and until recently, both were allowed to degrade, as engineers and workers retired or died, suppliers changed markets or went bankrupt, documentation was lost and tooling was scrapped.

Back From The Dead

Three Mile Island, including the training center and access road. (Credit: Groupmesa, Wikimedia)
The current revival of the US and effectively the Western nuclear power industry poses many challenges, as much of this institutional knowledge has to be relearned and rediscovered. As the economics of the energy market change, and financing options become available with the scrapping of various anti-nuclear power regulations, there’s now a surge in interest among companies and investors in not only new builds, but also in reviving units that were already turned off and put into decommissioning status.

Prime examples of this are the Palisades NPP in Michigan and Three Mile Island unit 1, the former of which was originally transferred to Holtec for decommissioning, but which decided to refurbish this NPP instead. In the case of TMI-1, this reactor was still running until 2019, but is now being refurbished by the owner due to a much friendlier political and investment climate for nuclear power.

Returning a nuclear reactor from a decommissioning state back to an operational one is pretty much an abbreviated case of constructing one: every component has to be inspected, with missing, damaged or otherwise unsuitable components replaced. Following this the typical commissioning procedure has to be followed, with cold pressure tests, hot pressure tests, fuel loading and gradual increasing of the power output through a set testing protocol. Depending on the level of damage and number of systems that had to be upgraded to current standards, this could take around 1-2 years.

In the case of Palisades, the expectation is that it will resume operations by late 2025, and for TMI-1 it will likely take until 2028, mostly due to environmental reviews, emergency and security protocols and getting the appropriate permissions from the NRC. Meanwhile the Duane Arnold NPP in Iowa may also be restarting, per recent news, and the V.C. Summer NPP in South Carolina may see its partially built AP1000 reactors finished after all, assuming the necessary legal and regulatory hurdles can be cleared.

Although the US has in the past demonstrated that it can build many nuclear reactors fast and safely, it would appear that the biggest obstacles are primarily a lack of political willpower, an atrophied nuclear industry and an abundance of red tape. Whether these can be overcome remains to be seen, but the successfully running AP1000 GenIII+ PWRs in China, South Korea, and the US demonstrate that the problem never was US engineering chops.

hackaday.com/2024/12/23/atoms-…

Capacitive touch buttons are a great way to turn just about any (non-conductive) surface into a button, but people generally dislike the lack of tactile feedback. [KontinuumLab] apparently agreed and decided to experiment a bit with ways to make such buttons more springy. You can check out the results of those experiments in the video below. There are a few ways to add some spring to buttons and switches like these, including compliant mechanisms in the (3D-printed) plastic structure, but this isn’t always an option in a project. A separate plastic spring can be added, but they aren’t very durable. A metal spring works great but can be a bit of a hassle to integrate and they aren’t as cheap as the other options. So what about everyone’s favorite keyboard switch, the rubber dome type?

Silicone tubing is plentiful and (generally) cheap. It can be selected for just the right springiness and dimensions, and in the automated test that [KontinuumLab] ran, it is also very durable in this application. When your goal is to have a switch that activates at the end of the travel, this may work a treat, with the size of the silicone tube determining the travel before the finger gets close enough to trigger the switch. As rubber dome keyboards demonstrate, this is a highly reliable technology, though this version ditches the typical membrane for the capacitive touch sensor.

Sometimes, a metal spring is the right option, of course, such as when you want to make a surface a touch sensor and the PCB is at the other side of the enclosure. The fun part is that we have all of these options to make our projects work, with many being very affordable to hobbyists. Not all touch sensors require a finger, either.

Thanks to [BrightBlueJim] for the tip.

youtube.com/embed/kngoo9krFBE?…

hackaday.com/2024/12/23/silico…

Sophos ha rilasciato delle patch di sicurezza per correggere tre vulnerabilità di sicurezza nei prodotti Sophos Firewall. Queste falle potrebbero consentire l’esecuzione di codice remoto e l’acquisizione di accesso privilegiato al sistema in specifiche circostanze.

Tra le tre vulnerabilità, due sono considerate critiche per gravità. Al momento, non ci sono evidenze di sfruttamento attivo di queste falle.

Le vulnerabilità identificate sono:

• CVE-2024-12727 (punteggio CVSS: 9,8): una vulnerabilità di iniezione SQL in pre-auth nella funzionalità di protezione della posta elettronica che potrebbe causare l’esecuzione di codice remoto se una configurazione specifica di Secure PDF eXchange (SPX) è abilitata insieme al firewall in esecuzione in modalità High Availability (HA).
• CVE-2024-12728 (punteggio CVSS: 9,8): vulnerabilità relativa a credenziali deboli derivante da una passphrase di accesso SSH non casuale per l’inizializzazione del cluster ad alta disponibilità (HA) che rimane attiva anche dopo il completamento del processo di creazione di HA, esponendo così un account con accesso privilegiato se SSH è abilitato.
• CVE-2024-12729 (punteggio CVSS: 8,8): una vulnerabilità legata all’iniezione di codice in post auth nel portale utente che consente agli utenti autenticati di ottenere l’esecuzione di codice in remoto.

Il fornitore di sicurezza ha affermato che il CVE-2024-12727 ha un impatto su circa lo 0,05% dei dispositivi, mentre CVE-2024-12728 ne ha circa lo 0,5%.

Tutte e tre le vulnerabilità identificate hanno un impatto sulle versioni 21.0 GA (21.0.0) e precedenti di Sophos Firewall. È stato risolto nelle seguenti versioni:

• CVE-2024-12727 – v21 MR1 e versioni successive (Hotfix per v21 GA, v20 GA, v20 MR1, v20 MR2, v20 MR3, v19.5 MR3, v19.5 MR4, v19.0 MR2)
• CVE-2024-12728 – v20 MR3, v21 MR1 e versioni successive (Hotfix per v21 GA, v20 GA, v20 MR1, v19.5 GA, v19.5 MR1, v19.5 MR2, v19.5 MR3, v19.5 MR4, v19.0 MR2, v20 MR2)
• CVE-2024-12729 – v21 MR1 e versioni successive (Hotfix per v21 GA, v20 GA, v20 MR1, v20 MR2, v19.5 GA, v19.5 MR1, v19.5 MR2, v19.5 MR3, v19.5 MR4, v19.0 MR2, v19.0 MR3)

Per garantire che gli hotfix siano stati applicati, si consiglia agli utenti di seguire i passaggi indicati di seguito:

• CVE-2024-12727 – Avviare Device Management > Advanced Shell dalla console di Sophos Firewall ed eseguire il comando “cat /conf/nest_hotfix_status” (l’hotfix viene applicato se il valore è 320 o superiore)
• CVE-2024-12728 e CVE-2024-12729 – Avviare Device Console dalla console Sophos Firewall ed eseguire il comando “system diagnostic show version-info” (l’hotfix viene applicato se il valore è HF120424.1 o successivo)

Come soluzione temporanea in attesa dell’applicazione delle patch, Sophos invita i clienti a limitare l’accesso SSH solo al collegamento HA dedicato fisicamente separato e/o a riconfigurare HA utilizzando una passphrase personalizzata sufficientemente lunga e casuale.thehackernews.uk/gartner-endpo…

L'articolo RCE sui Firewall Sophos : Rilasciate Patch Per Vulnerabilità Letali proviene da il blog della sicurezza informatica.

Le nuove normative sulla sicurezza informatica in India hanno sollevato preoccupazioni nel settore delle telecomunicazioni. Il Dipartimento delle Telecomunicazioni impone alle aziende di nominare un responsabile della sicurezza delle comunicazioni e di segnalare gli incidenti informatici entro sei ore. Tuttavia, gli esperti sottolineano molti problemi associati all’attuazione di queste regole.

Gli avvocati sottolineano che la mancanza di una definizione di “traffico di dati” crea incertezza sulla portata delle informazioni che il governo può richiedere. Inoltre, non ci sono restrizioni sul periodo di conservazione dei dati, il che può portare ad un accumulo infinito di informazioni senza quadro giuridico, violando il diritto alla privacy.

Anche il confronto con gli standard internazionali solleva interrogativi. Ad esempio, gli Stati Uniti e l’UE prevedono un periodo di segnalazione di 72 ore per gli incidenti informatici, che è significativamente superiore al limite di sei ore previsto dalle nuove norme indiane. Gli esperti definiscono questi requisiti troppo ambiziosi e difficili da attuare.

I rappresentanti delle società di telecomunicazioni avvertono che il rispetto delle nuove norme comporterà un aumento dei costi. In futuro, questi costi potrebbero essere trasferiti ai consumatori attraverso aumenti tariffari. Tuttavia, l’entità dell’aumento dei costi dipenderà dalle dimensioni dell’operatore e dai suoi attuali processi di sicurezza informatica.

Per ridurre i costi, gli esperti consigliano di utilizzare strumenti basati sull’automazione e sull’intelligenza artificiale. Le aziende possono anche rivolgersi sempre più a società di consulenza terze che dispongono degli strumenti e dell’esperienza necessari per garantire la conformità ai nuovi requisiti.

Alcuni aspetti delle regole sono stati criticati in quanto eccessivamente vincolanti per le società di telecomunicazioni. Gli avvocati ritengono che gli operatori non possano garantire la prevenzione degli abusi da parte degli utenti, il che rendono queste disposizioni inapplicabili nella pratica.

Le novità si spiegano con la volontà di rafforzare il controllo sul settore, che contiene informazioni sensibili. Tuttavia, la mancanza di chiarezza nelle norme e i requisiti elevati comportano rischi per il settore, richiedendo ulteriori miglioramenti per bilanciare i diritti dei cittadini e le questioni di sicurezza.

L'articolo Stretta sulla Cyber in India sulle TELCO: Report Incidenti in 6 Ore e Costi alle Stelle! proviene da il blog della sicurezza informatica.

Ham radio enthusiasts, people looking to borrow their neighbors’ WiFi, and those interested in decoding signals from things like weather satellites will often grab an old satellite TV antenna and repurpose it. Customers have been leaving these services for years, so they’re pretty widely available. But for handheld operation, these metal dishes can get quite cumbersome. A 3D-printed satellite dish like this one is lightweight and small enough to be held, enabling some interesting satellite tracking activities with just a few other parts needed.

Although we see his projects often, [saveitforparts] did not design this antenna, instead downloading the design from [t0nito] on Thingiverse. [saveitforparts] does know his way around a satellite antenna, though, so he is exactly the kind of person who would put something like this through its paces and use it for his own needs. There were a few hiccups with the print, but with all the 3D printed parts completed, the metal mesh added to the dish, and a correctly polarized helical antenna formed into the print to receive the signals, it was ready to point at the sky.

The results for the day of testing were incredibly promising. Compared to a second satellite antenna with an automatic tracker, the handheld 3D-printed version captured nearly all of the information sent from the satellite in orbit. [saveitforparts] plans to build a tracker for this small dish to improve it even further. He’s been able to find some satellite trackers from junked hardware in some unusual places as well. Antennas seem to be a ripe area for 3D printing.

youtube.com/embed/PFQ6UKulxSo?…

hackaday.com/2024/12/23/handhe…

Stiamo assistendo a un periodo turbolento nel panorama della cybercriminalità, segnato dall’emergere di una nuova piattaforma di phishing-as-a-service (PaaS) chiamata ‘FlowerStorm’. Questa minaccia, che si concentra principalmente sugli utenti di Microsoft 365, ha rapidamente guadagnato terreno dopo l’imprevisto arresto del suo predecessore, Rockstar2FA, avvenuto nel novembre 2024.

Il crollo di Rockstar2FA

Rockstar2FA, un kit di phishing evoluto dall’ormai noto DadSec, ha subito un parziale crollo infrastrutturale l’11 novembre 2024 (Qui l’articolo completo). Secondo i ricercatori di Sophos, Sean Gallagher e Mark Parsons, molte pagine del servizio sono diventate inaccessibili, probabilmente a causa di problemi tecnici piuttosto che per interventi delle forze dell’ordine. In particolare, l’infrastruttura di Rockstar2FA faceva affidamento su un modello centralizzato che si è dimostrato vulnerabile a interruzioni multiple, lasciando spazio a nuove piattaforme come FlowerStorm.

La nascita di FlowerStorm

Comparsa per la prima volta a giugno 2024, FlowerStorm ha colmato rapidamente il vuoto lasciato da Rockstar2FA. Questa nuova piattaforma condivide molte caratteristiche con il suo predecessore, tra cui meccanismi avanzati di elusione, un pannello user-friendly e una gamma diversificata di opzioni di phishing. Tuttavia, è l’uso di tecniche Adversary-in-the-Middle (AiTM) che rende FlowerStorm particolarmente insidiosa. Queste tecniche permettono agli attaccanti di intercettare credenziali e cookie di sessione, bypassando così le protezioni di autenticazione multi-fattore (MFA).

I portali di phishing utilizzati da FlowerStorm imitano in modo convincente le pagine di login di Microsoft, progettate per ingannare gli utenti e raccogliere token MFA e credenziali. Inoltre, Sophos ha evidenziato che FlowerStorm utilizza un sistema modulare che permette agli operatori di personalizzare gli attacchi in base ai target, rendendo la piattaforma particolarmente adattabile.

La tematica botanica di FlowerStorm

In un curioso dettaglio, la piattaforma adotta un tema botanico per le sue operazioni. Termini come “Flower”, “Sprout”, “Blossom” e “Leaf” compaiono nei titoli HTML delle pagine di phishing. Anche i pattern di registrazione e hosting dei domini sono simili a quelli di Rockstar2FA, con un forte utilizzo di domini .ru e .com, supportati da servizi di Cloudflare. Le similitudini nei domini suggeriscono una possibile connessione tra i due operatori o almeno una condivisione delle stesse infrastrutture.

L’impatto di FlowerStorm

Source: Sophos
I dati di telemetria di Sophos rivelano che il 63% delle organizzazioni e l’84% degli utenti colpiti da FlowerStorm risiedono negli Stati Uniti. Tra i settori più colpiti troviamo i servizi (33%), la manifattura (21%), il retail (12%) e i servizi finanziari (8%).

Oltre a questo, si segnala una crescente attenzione verso i settori governativi e sanitari, con attacchi mirati che sfruttano vulnerabilità specifiche nelle loro infrastrutture di email e autenticazione.

Difendersi da FlowerStorm

Si consigliano alcune contromisure per proteggersi da attacchi sofisticati come quelli di FlowerStorm:

1. Utilizzare MFA con token FIDO2 resistenti alle tecniche AiTM.
2. Implementare soluzioni di filtraggio email per bloccare i tentativi di phishing.
3. Adottare filtri DNS per impedire l’accesso a domini sospetti.
4. Monitorare attivamente i log di accesso per identificare attività sospette e sessioni compromesse.

Conclusione

FlowerStorm non è solo un nome, ma un simbolo di come la cybercriminalità stia evolvendo in modo sofisticato e imprevedibile. Proprio come una tempesta che travolge tutto ciò che incontra, questa piattaforma di phishing-as-a-service ha dimostrato di essere in grado di adattarsi, mutare e prosperare, colpendo senza pietà utenti vulnerabili. Con il suo approccio modulare e l’uso di tecniche avanzate come l’Adversary-in-the-Middle (AiTM), FlowerStorm rappresenta una delle minacce più insidiose del panorama cyber odierno. Non c’è più tempo da perdere: la difesa contro questa tempesta deve essere immediata, precisa e senza compromessi.

L'articolo FlowerStorm: la nuova piattaforma PaaS che prende di mira gli utenti Microsoft 365 proviene da il blog della sicurezza informatica.

Introduction

Known since 2014, Cloud Atlas targets Eastern Europe and Central Asia. We’re shedding light on a previously undocumented toolset, which the group used heavily in 2024. Victims get infected via phishing emails containing a malicious document that exploits a vulnerability in the formula editor (CVE-2018-0802) to download and execute malware code. See below for the infection pattern.

Typical Cloud Atlas infection pattern

When opened, the document downloads a malicious template formatted as an RTF file from a remote server controlled by the attackers. It contains a formula editor exploit that downloads and runs an HTML Application (HTA) file hosted on the same C2 server. The RTF and HTA downloads are restricted to certain time slots and victim IP addresses: requests are only allowed from target regions.

The malicious HTA file extracts and writes several files to disk that are parts of the VBShower backdoor. VBShower then downloads and installs another backdoor: PowerShower. This infection scheme was originally described back in 2019 and has changed only slightly from year to year.

Previously, Cloud Atlas employed PowerShower to download and run an executable file: a DLL library. This DLL would then fetch additional executable modules (plug-ins) from the C2 server and execute these in memory. Among these plug-ins was one specifically designed to exfiltrate files with extensions of interest to the attackers: DOC, DOCX, XLS, XLSX, PDF, RTF, JPG and JPEG. The plugins were downloaded and their output was uploaded via the WebDAV protocol over public cloud services. Interestingly, after a plug-in was successfully downloaded, the DLL would delete the file from the cloud.

The VBCloud backdoor now replicates the executable file’s original capabilities, such as downloading and executing malicious plug-ins, communicating with a cloud server, and performing other tasks. We first detected attacks using this implant in August of last year. Since then, we’ve observed numerous variations of the backdoor which have helped it to stay under the radar. This new campaign loads VBCloud via VBShower, which also downloads the PowerShower module. PowerShower probes the local network and facilitates further infiltration, while VBCloud collects information about the system and steals files. Below, we use a sample seen in September 2024 as a case study to examine each stage of a Cloud Atlas attack that employs the new toolkit.

Technical details

HTA

The exploit downloads the HTA file via the RTF template and runs it. It leverages the alternate data streams (NTFS ADS) feature to extract and create several files at %APPDATA%\Roaming\Microsoft\Windows\. These files make up the VBShower backdoor.

Sample HTA content

Below are the VBShower components loaded by the HTA dropper.

After the download is complete, the malware adds a registry key to auto-run the VBShower Launcher script.
"Software\Microsoft\Windows\\CurrentVersion\Run","dmwappushservice","wscript /B "%APPDATA%\Roaming
\Microsoft\Windows\AppCache028732611605321388.log:AppCache028732611605321388.vbs"
The backdoor also launches further scripts: VBShower Launcher (copy) and VBShower Cleaner.
wscript /B "%APPDATA%\Roaming
\Microsoft\Windows\AppCache028732611605321388.log:AppCache02873261160532138892.vbs

wscript /B "%APPDATA%\Roaming
\Microsoft\Windows\AppCache028732611605321388.log:AppCache0287326116053213889292.vbs
The attackers create custom HTA files for each victim, so the names of the scripts and registry keys are mostly unique. For example, we have seen
intertwine used as a name template, while the file names themselves looked as follows.

• “intertwine.ini:intertwineing.vbs”;
• “intertwine.ini:intertwineinit.vbs”;
• “intertwine.ini:intertwine.vbs”;
• “intertwine.ini:intertwine.con”.

VBShower

VBShower::Launcher

This script acts as a loader, responsible for reading and decrypting the contents of AppCache028732611605321388.log:AppCache028732611605321388.dat, before using the
Execute() function to pass control to that file.

Sample VBShower Launcher content

VBShower::Cleaner

This script is designed to clear the contents of all files inside the \Local\Microsoft\Windows\Temporary Internet Files\Content.Word\ folder by opening each in write mode. While the files persist, their contents are erased. This is how the Trojan covers its tracks, removing malicious documents and templates it downloaded from the web during the attack.

The script uses the same method to erase both its own contents and the contents of the VBShower Launcher copy, which is used solely for the malware’s first run.

Sample VBShower Cleaner content

VBShower::Backdoor

The backdoor’s payload is contained encrypted within a DAT file.

Encrypted VBShower backdoor

VBShower::Launcher goes through several stages to decrypt the backdoor.

First decrypted layer of VBShower Backdoor

Fully decrypted and deobfuscated VBShower Backdoor content

The VBShower backdoor then runs in memory, subsequently performing several operations in a loop.

• Check for the autorun registry key and restore it if missing.
• Attempt to download additional encrypted VB scripts from the C2 server and run these. If the downloaded data is larger than 1 MB, the module saves the script to disk inside alternate data streams (NTFS ADS) and runs it with the help of the “wscript” utility. Otherwise, it runs the script in the current context.
• If an alternate data stream contains a TMP file, the backdoor sends it to the C2 server with a POST request. The additional scripts downloaded from the C2 use the TMP file to store their output.

VBShower::Payload

We were able to detect and analyze a number of scripts downloaded and executed by the VBShower backdoor.

VBShower::Payload (1)

The first script we found does the following.

• Gets the domain, username and computer.
• Gets the names and values of the registry keys in the SOFTWARE\Microsoft\Windows\CurrentVersion\Run branch.
• Gets information about the file names and sizes in the following folders:
  
  • %AppData%;
  • %AllUsersProfile%;
  • %AllUsersProfile%\Canon;
  • %AllUsersProfile%\Intel;
  • %AllUsersProfile%\Control;
  • %AllUsersProfile%\libs;
  • %AllUsersProfile%\Adobe;
  • %AllUsersProfile%\Yandex;
  • %AllUsersProfile%\Firefox;
  • %AllUsersProfile%\Edge;
  • %AllUsersProfile%\Chrome;
  • %AllUsersProfile%\avp.

  
  

• Gets the names of running processes, their start dates and the commands that started them.
• Gets a list of scheduler tasks by running cmd.exe /c schtasks /query /v /fo LIST.

All data collected this way is saved in a TMP alternate data stream and forwarded to the C2 server by the VBShower::Backdoor component.

The paths listed above (%AllUsersProfile%\<subfolder>) are used for installing the VBCloud backdoor. The steps performed by the script are most likely needed to check if the backdoor is present and installed correctly.

Decrypted and deobfuscated contents of script 1

VBShower::Payload (2)

The second script reboots the system.

Decrypted and deobfuscated contents of script 2

VBShower::Payload (3)

A further script downloads a ZIP archive, extracts it into the %TMP% directory, and collects the names and sizes of downloaded files to then send an extraction report to the C2. This is done to verify that the files were received and unpacked.

Decrypted and deobfuscated contents of script 3

VBShower::Payload (4) and (5)

VBShower downloads two similar scripts that are designed for installing the VBCloud and PowerShower backdoors. These scripts first download an archive from a hardcoded link and then unpack it into the %ALLUSERSPROFILE% folder. In the case of VBCloud, the script changes the extension of the unpacked file from TXT to VBS and creates a scheduler task to run VBCloud. In the case of PowerShower, the extension of the unpacked file is changed from TXT to PS1, whereupon the script adds the file to the \Run registry branch.

Unlike VBShower’s own scripts, downloadable scripts with a payload are present on disk as files, rather than hidden inside alternate data streams.

Besides installing backdoors, these scripts build a report that consists of the names of running processes, their start dates and the commands that started them, registry keys and values in the \Run branch, and a list of files and directories at the path where the archive was unpacked. This report is then sent to the C2 server.

Decrypted and deobfuscated contents of the scripts for downloading and installing VBCloud and PowerShower

PowerShower

PowerShower is nearly identical to VBShower in terms of functionality.

Sample PowerShower script installed with VBShower

PowerShower downloads additional PowerShell scripts from the C2 and executes these. If the downloaded data begins with the character “P”, PowerShower interprets the data as a ZIP archive, rather than a PowerShell script, and saves the archive to disk as “%TMP%\Firefox.zip”. PowerShower does not unpack the archive, serving as a downloader only.

Decoded PowerShower script

The downloaded PowerShell scripts run in memory, without being saved to disk. Most of the scripts save their output to sapp.xtx, which PowerShower then sends as a report to the C2.

The PowerShower scripts use the same C2 domains as VBShower.

PowerShower::Payload (1)

The script gets a list of local groups and their members on remote computers via Active Directory Service Interfaces (ADSI). The script is most often used on domain controllers.

Sample script to get a local groups and members list, downloaded and executed by PowerShower

PowerShower::Payload (2)

Script for dictionary attacks on user accounts.

Sample password bruteforcing script, downloaded and executed by PowerShower

PowerShower::Payload (3)

The script unpacks the Firefox.zip archive previously downloaded by the PowerShower backdoor, and executes the keb.ps1 script contained in the archive as a separate PowerShell process with a hidden window. The keb.ps1 script belongs to the popular PowerSploit framework for penetration testing and kicks off a Kerberoasting attack.

Sample script that launches a Kerberoasting attack, downloaded and executed by PowerShower

PowerShower::Payload (4)

This script gets a list of administrator groups.

Sample script to get a list of administrator groups, downloaded and executed by PowerShower

PowerShower::Payload (5)

This script gets a list of domain controllers.

Sample script to get a list of domain controllers, downloaded and executed by PowerShower

PowerShower::Payload (6)

This script gets information about files inside the ProgramData directory.

Sample script to get information about files inside the ProgramData directory, downloaded and executed by PowerShower

PowerShower::Payload (7)

This script gets the account policy and password policy settings on the local computer.

Sample script to get policy settings, downloaded and executed by PowerShower

PowerShower::Payload:: Inveigh

We also observed the use of PowerShell Inveigh, a machine-in-the-middle attack utility used in penetration testing. Inveigh is used for data packet spoofing attacks, and collecting hashes and credentials both by intercepting packets and by using protocol-specific sockets.

The Inveigh script is extracted from the ZIP archive downloaded by PowerShower and runs as described under PowerShower::Payload (3).

Sample Inveigh script, downloaded and executed by PowerShower

VBCloud

As described above, VBCloud is installed via VBShower. We found the following module installation paths.
C:\ProgramData\avp\avp_upd.vbs
C:\ProgramData\Adobe\AdobeLog.vbs
C:\ProgramData\Adobe\manager.vbs
C:\ProgramData\Adobe\sysman.vbs
C:\ProgramData\Adobe\news_adobe.vbs
C:\ProgramData\Adobe\upgrade.vbs
C:\ProgramData\Edge\SrvMngrUpd.vbs
C:\ProgramData\Edge\intelog.vbs
C:\ProgramData\Chrome\ChromeSys.vbs

Sample VBCloud main module paths

The core functionality of the VBCloud module duplicates that of VBShower: both download and run PowerShell scripts with a payload, and then send the output to the C2. Unlike VBShower, however, VBCloud uses public cloud storage as the C2.

Sample VBCloud script

The VBCloud script does not contain any loops, and it is designed to execute only once. However, it gets triggered by a scheduled task every time the user logs into the system, which means it will run frequently. We’ve also seen variants of the backdoor that executed their core functionality in a loop with a thirty-minute delay between repetitions. These variants ran the script once via the \Run registry branch when the system booted up for the first time after being infected.

Decrypted and deobfuscated VBCloud script

VBCloud does the following:

• Check the availability of the kim.nl.tab.digital WebDav server by sending an HTTP MKCOL request to create the directories named “kmsobuqjquut” and “rwqdmpaohxns” with the credentials hardcoded in the script. If the server is unavailable, the script switches to the backup address “webdav.mydrive.ch”.
• If the WebDav server is available, create a file in the “kmsobuqjquut” directory on that server via an HTTP PUT The file name follows the pattern ddmmyy_HHMMSS, and the extension is randomly selected from among TXT, RTF, DOC, PPT, MDS, PNG and JPEG. We have seen files named “070824_001919.txt” and “250724_002919.doc”. Files like these contain the username and MAC addresses of network adapters, effectively confirming that the script is active on the infected system.
• The Trojan then attempts to download one of three files from the “rwqdmpaohxns” directory: “criclyqnduv.txt”, “jhflenoqelp.txt” or “avnwiabihik.txt”. If VBCloud successfully downloads the file, it immediately deletes it from the cloud with an HTTP DELETE request, and then executes it in the current process via the Execute() function after decrypting the contents. As in the case of PowerShower, the payload can be made up of various scripts.

VBCloud::Payload (1)

This script is designed to send information about disks to the C2.

VBCloud::Payload (2)

This script is designed to exfiltrate files and documents. It iterates through local drives and removable media in search of files with the extensions DOC, DOCX, XLS, XLSX, PDF, TXT, RTF and RAR. The script checks the size of any files it finds to match this condition and collects those between 1000 and 3,000,000 bytes to exfiltrate. The files must have been modified no more than 72 hours before the current date. The script then copies matching files to a ZIP archive it creates, named “mapping.zip”. It also adds a file with metadata such as the created time, modified time, last opened time, and full path to the file. Upon exceeding 4,000,000 bytes, an archive is uploaded to cloud storage and deleted from the system. It is replaced with a new one, and the file harvesting process continues. The archive is uploaded in RC4-encrypted form, with a name that follows the template “%d_13134” and one of the following extensions chosen at random: MP3, AAC, MP2, FLAC, WAV, ALAC, MQA, OGG, DSD, WMA, and MP4.

Part of the file exfiltration script

VBCloud::Payload (3)

This script gets various system information such as the OS version, RAM size, manufacturer, computer name, username and domain name.

VBCloud::Payload (4)

Script to exfiltrate Telegram files:

• The file D877F783D5D3EF8Cs contains the user ID and encryption key used for interaction between the desktop client and Telegram servers.
• The file key_datas contains local encryption keys.

Part of the file exfiltration script

Geography of attacked users

Several dozen users were attacked in 2024, 82% of these in Russia. Isolated attacks were recorded in Belarus, Canada, Moldova, Israel, Kyrgyzstan, Vietnam and Turkey.

Conclusion

We continue to monitor activity linked to Cloud Atlas. In a new campaign that began in August 2023, the attackers made changes to their familiar toolkit. This time, instead of an executable library to load malware modules, the group relied on the VBShower backdoor as the loader. Besides, they are now using a new module in their attacks: VBCloud. This collects and uploads system information and other data. These actions employ a variety of PowerShell scripts that enable the attackers to perform a range of tasks on the victim’s system. VBCloud uses public cloud storage as a C2 server.

The infection chain consists of several stages and ultimately aims to steal data from victims’ devices. We’ve observed that, similar to past Cloud Atlas campaigns, phishing emails continue to be the initial access point. This underscores the still-pressing need for organizations to strengthen their infrastructure defenses and improve employee awareness to ward off these kinds of attacks.

Indicators of compromise

HTA file download domains
content-protect[.]net
control-issue[.]net
office-confirm[.]com
onesoftware[.]info
serverop-parametrs[.]com
web-privacy[.]net
net-plugin[.]org
triger-working[.]com

VBShower C2
yandesks[.]net
yandisk[.]info
mirconnect[.]info
sber-cloud[.]info
gosportal[.]net
riamir[.]net
web-wathapp[.]com

PowerShower C2
yandisk[.]info
yandesktop[.]com
web-wathapp[.]com

Cloud repositories used ​by VBCloud
webdav.opendrive.com
webdav.mydrive.ch
webdav.yandex.ru
kim.nl.tab.digital

HTA MD5
9D3557CC5C444FE5D73E4C7FE1872414
CBA05E11CB9D1D71F0FA70ECD1AF2480
CBFB691E95EE34A324F94ED1FF91BC23
2D24044C0A5B9EBE4E01DED2BFC2B3A4
88BE01F8C4A9F335D33FA7C384CA4666
A30319545FDA9E2DA0532746C09130EB

PowerShower MD5
15FD46AC775A30B1963281A037A771B1
31B01387CA60A1771349653A3C6AD8CA
389BC3B9417D893F3324221141EDEA00

VBShower::Launcher MD5
AA8DA99D5623FAFED356A14E59ACBB90
016B6A035B44C1AD10D070ABCDFE2F66
160A65E830EB97AAE6E1305019213558
184CF8660AF7538CD1CD2559A10B6622
1AF1F9434E4623B7046CF6360E0A520E
1BFB9CBA8AA23A401925D356B2F6E7ED
21585D5881CC11ED1F615FDB2D7ACC11
242E86E658FE6AB6E4C81B68162B3001
2FE7E75BC599B1C68B87CF2A3E7AA51F
36DD0FBD19899F0B23ADE5A1DE3C2FEC
389F6E6FD9DCC84C6E944DC387087A56
3A54ACD967DD104522BA7D66F4D86544
3F12BF4A8D82654861B5B5993C012BFA
49F8ED13A8A13799A34CC999B195BF16
4B96DC735B622A94D3C74C0BE9858853
F45008BF1889A8655D32A0EB93B8ACDD

VBCloud MD5
0139F32A523D453BC338A67CA45C224D
01DB58A1D0EC85ADC13290A6290AD9D6
0F37E1298E4C82098DC9318C7E65F9D2
6FCEE9878216019C8DFA887075C5E68E
D445D443ACE329FB244EDC3E5146313B
F3F28018FB5108B516D802A038F90BDE

securelist.com/cloud-atlas-att…

[Lonyelon] wanted to build an anniversary gift for his girlfriend. He decided to say it with e-Paper, a wise choice given its persistence and longevity.

The project is an anniversary calendar. It displays a counter of the total time the couple has been together, measured in years, months, days, and hours—so it’s remarkably precise. [Lonyelon] also programmed it to display additional counters to create plenty of additional fun anniversaries—the couple can celebrate milestones like their 1000th day together, for example. It also cycles through a range of cute messages and displays photos of the couple together.

The code is on Github for the curious. The build is based around a LilyGO e-Paper display with an onboard ESP32 microcontroller. [Lonyelon] paired this with a 2,500 mAh battery. It lasts for ages because the device is programmed to update only every 20 minutes, spending the rest of its time in deep sleep. Since it’s an e-Paper display, it uses zero power when it’s not being updated, so it’s the perfect technology for this application.

It’s a simple project that comes from the heart—the core of any beautiful gift. In fact, some of the coolest projects we feature were built as gifts for romantic partners, family members, or even our fellow hackers. If you’ve been cooking up your own neat build, please let us know on the tipsline!

hackaday.com/2024/12/23/e-pape…

Dal 2014 una piccola realtà cripto monetaria si aggira nella rete. Non finisce spesso sui media come i grandi fratelloni Bitcoin e Ethereum, non supporta contratti, non fa scandalo ma umilmente e in silenzio fa quello che deve fare, e lo fa bene, ti permette di comprare e vendere mantenendo le transazioni anonime e sicure.

Alla scoperta di Monero

Monero, l’abbiamo capito, e’ una criptomoneta. Cosa la contraddistingue dalla marea di altre cripto cose che vanno in giro per la rete?

Prima di tutto definiamo una differenza fondamentale. E’ una Cripto Moneta con una sua Blockchain nativa. Questa Blockchain e’ basata su un algoritmo con diverse proprietà che la rendono fondamentalmente diversa da Bitcoin e Ethereum.

Punto primo: Monero non puo’ essere “farmato” con gli ASIC. Gli ASIC sono microprocessori disegnati e prodotti per fare una cosa e una cosa soltanto. Bitcoin e’ minato principalmente con questi processori che vengono principalmente prodotti (e usati) in Cina.

Questo alza drasticamente il costo di entrata nel mondo del mining Bitcoin (ognuno di questi giocattoli ha un pricetag con 3 zeri). Inoltre la Cina sta pesantemente investendo in Bitcoin per motivi geopolitici che non sto a speculare in questo articolo.

Punto Secondo: la produzione di Monero è costante. Sarà sempre possibile minare un Monero nuovo a differenza di Bitcoin che ha un limite al massimo numero di BTC che possono essere minati.

Per Bitcoin questo numero e’ fissato da come funziona l’algoritmo ed e’ 21 milioni di BTC. ad oggi 19 Milioni sono gia’ stati minati e quando l’ultimo bitcoin sara’ minato l’unico incentivo per mantenere queste enormi infrastrutture piene di ASIC affamati di corrente sara’ la transaction fee (una percentuale minima di ogni transazione che va al miner per aver certificato la transazione).

In Monero invece sara’ sempre possibile minare nuova valuta e mantenere viva la blockchain.

Punto Terzo: Privacy garantita a livello protocollo. Mentre in Bitcoin tutte le transazioni sono visibili in Blockchain (e tracciabili) per ogni singolo “token”, in Monero non solo non è possibile tracciare chi ha mandato a chi ma anche l’ammontare della transazione.

Ecosistema:

Col passare degli anni a differenza di altre criptovalute si e’ sviluppato un mercato circolare di Monero, e’ una moneta spesso snobbata da grandi investitori interessati solo all’andamento del mercato e usata principalmente per fare quello che le crypto dovrebbero fare, abilitare un mercato libero ed egualitario.

Ad oggi e’ facilmente possibile comprare beni e soprattutto servizi con Monero in maniera semplice veloce e poco costosa. Un ottimo punto di partenza e’ ovviamente il sito ufficiale getmonero.org/ dove sara’ possibile scaricare sia il wallet sia iniziare a capire come minare, e spendere.

Ovviamente date le spiccate caratteristiche di anonimita’ del sistema Monero e’ una moneta molto popolare nei mercati underground. Questo dato di fatto dovrebbe regalarci due considerazioni fondamentali. La prima e’ che effettivamente e’ una moneta “a prova di privacy” la seconda e’ che e’ una moneta “Viva” costantemente usata, minata e in circolazione.

In Moniera!

Val la pena provarci? Prima domanda che viene alla mente a chiunque abbia mai provato a minare criptovaluta. Monero e’ come abbiamo detto resistente (se non immune) agli ASIC e alle GPU, questo significa che creare grossi centri di mining e’ complesso e costoso.

L’algoritmo monero e’ disegnato per dare una chance a tutti anche chi ha minime risorse da dedicare. Gira SOLO sul processore, mangia un discreto quantitativo di RAM. Piu’ core metti nel calderone piu’ monero usciranno fuori. L’approccio e’ estremamente distribuito. Puoi minare con un cellulare o col vecchio portatile che non usi piu’ o con una Raspberry PI. Ovviamente se ti avanza un processore server da 64core avrai risultati migliori ma è SEMPRE possibile minare Monero su qualsiasi cosa sia in grado di far girare DOOM.

La Community

Monero e’ una Community, su getmonero.org/ e’ possibile accedere alla community monero e partecipare attivamente alle discussioni del progetto, partecipare al crowdfunding di varie iniziative e incontrare altra gente che partecipa al mercato circolare.

Considerazioni

Personalmente non sono un estremista delle Crypto ma penso che e’ sempre bene conoscere le opzioni che si hanno a disposizione. Uso carte di credito virtuali come chiunque altro per comprare la maggior parte dei beni e servizi online MA ci sono casi in cui e’ preferibile avere un livello più alto di anonimita’. L’uso di criptomonete non vi rende automaticamente dei fantasmi nella rete ma l’oceano e’ fatto di piccole gocce. Ovviamente innumerevoli altre precauzioni sono necessarie ed è assolutamente necessario conoscere bene i tool a disposizione (sapevate che con Monero si possono fare wallet monouso?)

L'articolo Alla scoperta di Monero! Quando minare è possibile anche da un Portatile vecchio di anni proviene da il blog della sicurezza informatica.

L’innovazione e la creatività italiane brillano ancora una volta sul palcoscenico globale. Alessandro Greco (Aleff) è stato appena annunciato vincitore assoluto degli Hack Five Payload Awards, un riconoscimento di prestigio per la comunità di sviluppatori di payload legati alla cybersecurity.

Aleff è uno sviluppatore noto per la creazione di payload per dispositivi Hak5, come l’USB Rubber Ducky. I suoi contributi includono payload progettati per eseguire specifiche azioni su sistemi target, come il dump della memoria RAM di applicazioni in esecuzione utilizzando software come ProcDump.

Questi payload sono disponibili su piattaforme come PayloadHub, dove la comunità condivide script per vari dispositivi Hak5. I dispositivi Hak5, come l’USB Rubber Ducky, sono strumenti utilizzati per test di penetrazione e automazione IT, capaci di iniettare sequenze di tasti a velocità sovrumane per eseguire payload predefiniti.

Cosa sono i dispositivi di Hack5

I dispositivi di Hak5 sono strumenti avanzati progettati per test di penetrazione e automazione IT. Creati per professionisti della sicurezza informatica e appassionati, questi gadget permettono di simulare attacchi cibernetici in modo controllato, con l’obiettivo di identificare e risolvere vulnerabilità nei sistemi. La gamma di prodotti include dispositivi come l’USB Rubber Ducky, il WiFi Pineapple, il Bash Bunny e altri, ciascuno con funzionalità specifiche pensate per esplorare diverse superfici di attacco.

Uno dei dispositivi più iconici è l’USB Rubber Ducky, una penna USB in grado di eseguire script predefiniti con la velocità di una tastiera umana. Utilizzato per attacchi di tipo HID (Human Interface Device), questo strumento può iniettare rapidamente comandi su un computer target, simulando l’interazione di un utente reale. È spesso impiegato per dimostrare come credenziali, file o accessi sensibili possano essere compromessi in pochi secondi.

Un altro dispositivo popolare è il WiFi Pineapple, progettato per analisi di reti wireless e attacchi di tipo “man-in-the-middle”. Questo strumento permette di intercettare e manipolare il traffico di rete, creando un ambiente di test ideale per valutare la sicurezza delle comunicazioni Wi-Fi. Grazie alla sua capacità di impersonare reti wireless legittime, il WiFi Pineapple è una scelta potente per chi vuole migliorare la sicurezza delle reti.

Infine, il Bash Bunny offre una combinazione di funzionalità avanzate per attacchi USB, tra cui esfiltrazione di dati e backdoor persistenti. Grazie alla sua semplicità d’uso e alla capacità di eseguire script complessi, è uno strumento ideale per test di sicurezza completi. Tutti questi dispositivi sono supportati da una vasta comunità che condivide payload, script e idee, rendendoli strumenti indispensabili per chiunque si occupi di cybersecurity.

L’evento e il suo significato

La cerimonia, presentata da Darren Kitchen e Ali Diamond, celebra i contributi innovativi degli sviluppatori che sfruttano strumenti come il USB Rubber Ducky, il Key Croc e altri dispositivi di Hack Five.

Questi payload (Qua i payload scritti da ALEFF), scritti in linguaggi semplici come Ducky Script o Bash, sono progettati per esplorare nuove tecniche di hacking in modo creativo e collaborativo.

youtube.com/embed/FjEi0OPqsFM?…

Darren Kitchen ha sottolineato l’importanza della comunità, ricordando come tutto sia iniziato quasi 20 anni fa: “I payload non sono solo un modo per dimostrare le proprie capacità di sviluppo, ma anche un’opportunità per connettersi con altre menti creative.”

I dettagli della vittoria di Greco

Alessandro Greco ha ottenuto il titolo grazie alla sua genialità nello sviluppare moltissimi payload che ha stupito giudici e pubblico.

Pur non essendo stati rivelati ulteriori dettagli sul progetto specifico durante la cerimonia, la vittoria di Greco si inserisce in una competizione serrata che ha visto partecipare sviluppatori da tutto il mondo, con categorie che spaziano dall’estrazione di credenziali all’esfiltrazione di dati ed altro ancora.
Nomina di Alessandro Greco (Aleff) come vincitore della challenge 2023 sul canale youtube
L’evento ha messo in luce anche altre eccellenze, come il payload di Spy Will per il Key Croc e il progetto innovativo di Kbit che utilizza segnali Morse con LED. Tuttavia, la vittoria di Alessandro Greco rappresenta un simbolo dell’importanza di investire nell’innovazione e nella collaborazione per affrontare le sfide crescenti nel panorama della sicurezza informatica.

Conclusioni

Il trionfo di Greco agli Hack Five Payload Awards è una testimonianza di come il talento e la determinazione possano conquistare il mondo della tecnologia, un byte alla volta. Questo successo conferma che gli hacker italiani non sono secondi a nessuno a livello globale e che il nostro paese continua a essere riconosciuto come una fucina di menti brillanti e innovatori nel campo della cybersecurity.

Tuttavia, è fondamentale fare di più per supportare la community hacker italiana, creando opportunità e risorse che incentivino i nostri talenti a restare e contribuire all’innovazione del paese.

Solo così potremo evitare che le nostre migliori menti abbandonino l’Italia per cercare altrove il riconoscimento e il supporto che meritano. Investire nella nostra comunità hacker significa investire nel futuro tecnologico e competitivo del nostro paese.

Alessandro Greco, per incentivare i ragazzi allo sviluppo di capacità di hacking, devolverà parte della vincita all’università della Calabria UNICAL. Un bellissimo gesto da parte di Greco verso tutti i ragazzi che potranno avviare una carriera verso la Sicurezza Informatica.

Questo ricordiamolo sempre.

L'articolo Alessandro Greco (Aleff) trionfa agli Hack Five Payload Awards del 2023/2024 proviene da il blog della sicurezza informatica.

Multiplication on a common microcontroller is easy. But division is much more difficult. Even with hardware assistance, a 32-bit division on a modern 64-bit x86 CPU can run between 9 and 15 cycles. Doing array processing with SIMD (single instruction multiple data) instructions like AVX or NEON often don’t offer division at all (although the RISC-V vector extensions do). However, many processors support floating point division. Does it make sense to use floating point division to replace simpler division? According to [Wojciech Mula] in a recent post, the answer is yes.

The plan is simple: cast the 8-bit numbers into 32-bit integers and then to floating point numbers. These can be divided in bulk via the SIMD instructions and then converted in reverse to the 8-bit result. You can find several code examples on GitHub.

Since modern processors have several SIMD instructions, the post takes the time to benchmark many different variations of a program dividing in a loop. The basic program is the reference and, thus, has a “speed factor” of 1. Unrolling the loop, a common loop optimization technique, doesn’t help much and, on some CPUs, can make the loop slower.

Converting to floating point and using AVX2 sped the program up by a factor of 8X to 11X, depending on the CPU. Some of the processors supported AVX512, which also offered considerable speed-ups.

This is one of those examples of why profiling is so important. If you’d had asked us if converting integer division to floating point might make a program run faster, we’d have bet the answer was no, but we’d have been wrong.

As CPUs get more complex, optimizing gets a lot less intuitive. If you are interested in things like AVX-512, we’ve got you covered.

hackaday.com/2024/12/22/faster…

Camera sliders are a popular project for makers—especially those who document their projects on video. They’re fun and accessible to build, and they can really create some beautiful shots. [Lechnology] set about to follow in this fine tradition and built a rather capable example of his own. Check it out in the video below.

The slider relies on V-slot rails, perhaps most familiar for their heavy use in modern 3D printers. The rails are paired with a 3D-printed camera carriage, which runs on smooth rubber rollers. A chunky stepper motor provides drive via a toothed belt. Trinamic motor controllers were chosen for their step interpolation feature, making the motion much smoother.

The slider doesn’t just move linearly, either. It can rotate the camera, too, since it has an additional motor in the carriage itself. In a nice retro touch, the wires for this motor are run with an old coiled telephone cable. It’s perfect for the job since it easily extends and retracts with the slider’s motion. Controlling everything is an Arduino, with speed and rotational modes set via a tiny screen and a rotary encoder control.

It’s a very complete build, and it performs well too. The video it produces is deliciously smooth. We’ve featured some other great camera sliders over the years, too. If you want to dig into Trinamic drivers, we can get you started.

youtube.com/embed/QBlhba4QOJE?…

hackaday.com/2024/12/22/diy-ca…

Early Monday morning, while many of us will be putting the finishing touches — or just beginning, ahem — on our Christmas preparations, solar scientists will hold their collective breath as they wait for word from the Parker Solar Probe’s record-setting passage through the sun’s atmosphere. The probe, which has been in a highly elliptical solar orbit since its 2018 launch, has been getting occasional gravitational nudges by close encounters with Venus. This has moved the perihelion ever closer to the sun’s surface, and on Monday morning it will make its closest approach yet, a mere 6.1 million kilometers from the roiling photosphere. That will put it inside the corona, the sun’s extremely energetic atmosphere, which we normally only see during total eclipses. Traveling at almost 700,000 kilometers per hour, it won’t be there very long, and it’ll be doing everything it needs to do autonomously since the high-energy plasma of the corona and the eight-light-minute distance makes remote control impossible. It’ll be a few days before communications are re-established and the data downloaded, which will make a nice present for the solar science community to unwrap.

While Parker has been in a similar position on previous orbits and even managed a fortuitous transit of a coronal mass ejection, this pass will be closer and faster than any previous approach. It’s the speed that really grabs our attention, though, as Parker will be traveling at a small but significant fraction of the speed of light for a bit. That makes us wonder if there was any need for mission planners to allow for relativistic effects. We’d imagine so; satellite navigation systems need to take relativity into account to work, and they don’t move anywhere near as fast as Parker. Time will be running slower for Parker at those speeds, and it sure seems like that could muck things up, especially regarding autonomous operation.

Ever since the seminal work of Cameron, Hamilton, Schwarzenegger, et al, it has been taken as canon that the end of humanity will come about when the moral equivalent of SkyNet becomes self-aware and launches all the missiles at once to blot us out with a few minutes of thermonuclear fire. But it looks like AI might be trying to raise an army of grumpy teenagers if this lawsuit over violence-inciting chatbots is any indication. The federal product liability lawsuit targets Character.AI, an outfit that creates LLM-powered chatbots for kids, for allegedly telling kids to do some pretty sketchy stuff. You can read the details in the story, but suffice it to say that one of the chatbots was none too pleased with someone’s parents for imposing screen time rules and hinted rather strongly about how the child should deal with them. The chat logs of that interaction and others that are part of the suit are pretty dark, but probably no darker than the advice that most teenagers would get online from their carbon-based friends. That’s the thing about chatbots; when an LLM is trained with online interactions, you pretty much know what’s going to come out.

In today’s “Who could have seen that coming?” segment, we have a story about how drivers are hacked by digital license plates and are keen to avoid tolls and tickets. The exploit for one specific brand of plate, Reviver, and while it does require physical access to the plates, it doesn’t take much more than the standard reverse engineering tools and skills to pull off. Once the plates are jailbroken — an ironic term given that license plate manufacturing has historically been a prison industry — the displayed numbers can be changed at will with a smartphone app. The worst part about this is that the vulnerability is baked right into the silicon, so there’s nothing to be patched; the plates would have to be recalled, and different hardware would need to be reissued. We’ve been skeptical about the need for these plates from the beginning and questioned why anyone would pay extra for them (last item). But maybe the ability to dump your traffic cam violations into someone else’s lap is worth the extra $20 a month.

And finally, this local news story from Great Falls, Montana, is a timely reminder of how machine tools can mess up your life if you let them. Machinist Butch Olson was alone at work in his machine shop back on December 6 when the sleeve of his jacket got caught in a lathe. The powerful machine pulled his arm in and threatened to turn him to a bloody pulp, but somehow, he managed to brace himself against the bed. He fought the lathe for 20 whole minutes before the motor finally gave out, which let him disentangle himself and get some help. He ended up with a broken back, four fractured ribs, and an arm that looks “like hamburger” according to his sister. That’s a high price to pay, but at least Butch gets to brag that he fought a lathe and won.

youtube.com/embed/zaLq_w46vHQ?…

hackaday.com/2024/12/22/hackad…

Many of us grew up with dreams of piloting a forklift one day. Sadly, most warehouses take a dim view of horseplay with these machines, so few of us get to live out those fantasies. Playing with this desk-sized RC model from [ProfessorBoots] is probably a safer way to get those kicks instead. You can check it out in the video below.

The 3D-printed body of the forklift is the first thing you see. It’s great quality, and it instantly puts you in mind of the real thing. The build is true to the dynamics of a real forklift, too, with proper rear steering. Inside, there’s a custom circuit board hosting an ESP32 that serves as the brain of the operation. Its onboard wireless hardware allows remote control of the forklift via a smartphone app, PS4 controller, or many other options. It controls the drive motors and steering servo, along with another motor driving a threaded rod to move the forks up and down. The whole thing is powered by two Fenix 16340 batteries—small lithium-ion cells that can be recharged with an integral micro USB port.

The project video is very thorough about the design and build. It’s worth watching just to understand the specifics of how forklifts actually raise their forks up and down. It’s good stuff.

This forklift is just the latest RC build from [ProfessorBoots]. He’s done great work in this space before, like this charming skid steer and incredibly complex crane.

youtube.com/embed/CX6YZy6mgVc?…

hackaday.com/2024/12/22/3d-pri…

Ultimamente, per via di varie vicissitudini personali e per fare acquisti, ho riaperto il mio oramai defunto profilo Facebook. Chi mi segue da tempo sa benissimo quanto io sia critico dei social media tradizionali e delle loro meccaniche tossiche che ci inducono a diventarne dipendenti e ad odiarci a vicenda. Tuttavia, devo riconoscere che il formato di Facebook, per quanto riguarda la costruzione di reti sociali e il community building, rimanga comunque una delle migliori che abbia mai visto. il social è intuitivo e semplice da usare, ricco di funzionalità interessanti e relativamente personalizzabile nel feed.

Secondo me, come comunità FLOSS e da promotori del Fediverso, dovremmo cominciare a riconoscere ciò che c'è di buono nei social media tradizionali da un punto di vista puramente funzionale

Continuerò a preferire infinitamente di più il Fediverso in ogni sua sfaccettatura, ma potremmo dare uno sguardo per cercare di comprendere cosa porti le persone a snobbarci e per generare più attrattiva verso la nostra causa

Data breach, violazioni e reputazione: mai sottovalutare tutti i rischi. Annunciare una violazione della sicurezza adottando una risposta più proattiva, fa si che utenti, clienti o consumatori possano ridurre la percezione del rischio e può persino far aumentare positivamente la valutazione pubblica di un’azienda. Del resto, l’approvazione pubblica che viaggia in rete è importante no? Discutiamone…

True Story: nel 2017 Unicredit subì un violazione dei suoi sistemi che interessò 3 milioni di dati. Tale incidente le costò una sanzione quantificabile in 2,8 milioni di euro, ma quando si trattò di trasparenza e reputazione Unicredit non ebbe dubbi, con un comunicato in data 26 luglio 2017 informò di avere subito un’intrusione informatica, ipotizzò l’accesso ad alcuni dati anagrafici e ai codici IBAN, trasmise il numero dei dati violati, comunicò di avere avviato un’indagine e di avere informato le autorità competenti, mettendo a disposizione un numero verde per i clienti che desiderassero maggiori informazioni e avvisò che le sue comunicazioni ai clienti, per ragioni di sicurezza, non sarebbero avvenute né per telefono né per mezzo della posta elettronica.

Unicredit è un esempio virtuoso – non sicuramente l’unico – in un arido deserto dove molti preferiscono mettere la testa sotto la sabbia. Succede infatti che mentre alcune aziende decidono di riconoscere i loro errori – o le loro “falle nella sicurezza” – e quindi di assumersi la propria responsabilità, altre preferiscono voltare le spalle e tenere tutto segreto, atteggiamento che oggi ha però molte conseguenze.

Si pensi solo cosa è successo a Uber che ha ricevuto sanzioni da record (2018, 2023, 2024) per l’errore di non aver notificato in tempo ai suoi autisti di aver subito un incidente informatico che coinvolgeva i loro dati.

Aaron Swatrz: Cherish mistakes

A proposito di errori, c’è un bel pezzo scritto da Aaron Swartz a riguardo (avete il link a wiki se non ricordate chi sia), scritto nel 2012, ma secondo me ancora molto attuale. Cherish Mistake è la storia di due organizzazioni no profit: da una parte odiano commettere errori, dall’altra c’è un atteggiamento molto diverso. Così Aaron Swartz lo descriveva: “Lo noti la prima volta che visiti il ​​loro sito web. Proprio nella barra di navigazione, in cima a ogni pagina, c’è un link con la scritta “Errori”. Cliccaci sopra e troverai un elenco di tutti gli errori che hanno commesso, a partire dal più orribilmente imbarazzante […] forniscono un resoconto notevole di tutti gli errori, sia cruciali che banali, che potresti ragionevolmente commettere quando inizi qualcosa di nuovo”. Ovviamente a nessuna delle due no profit piace commettere errori e “forse avere una pagina degli errori in cima al tuo sito web è decisamente troppo” ammise Aaron Swartz. Tuttavia tenere memoria degli errori aiuta a comprendere come e quando cambia lo schema per escogitare nuovi metodi per evitarli. Questo riguarda anche i dipendenti: se sono abbastanza responsabili non avranno paura di segnalare i loro errori rendendoli facilmente correggibili.

Il trucco è affrontare l’errore, confessare cosa è andato storto e pensare a cosa puoi cambiare per evitare che accada di nuovo. Di solito promettere di non farlo di nuovo non è sufficiente: devi scavare nelle cause profonde e affrontarle _ Aaron Swartz

Abbiamo due scelte: usare i nostri errori come un’opportunità per migliorare,o ignorare o nascondere gli errori che in un modo o nell’altro “continueranno a tormentarci […] Ci imbatteremo in loro ancora e ancora sotto diverse forme”. E questo è proprio il caso che ci presenta oggi il panorama del crimine informatico. Non c’è modo di sfuggirgli, non c’è modo di sapere se succederà ancora o meno, ma con tutta probabilità lo farà, soprattutto i criminali informatici sono più propensi ad attaccare ripetutamente quelle aziende che non denunciano gli incidenti.

I cambiamenti nel comportamento dei gruppi criminali rivelano che l’esfiltrazione dei dati operata da molti RaaS apre un panorama preoccupante circa le conseguenze del furto delle informazioni, che possono essere vendute per ulteriori attacchi. Al primo data breach – molto spesso nascosto a sua volta dal ransomware – ne seguirà un altro e se non ne seguirà un altro – avendo pagato il riscatto o meno – qualcuno comprerà o ruberà quelle informazioni per fare ancora più danno. Credete, nascondere un data breach non fa che peggiorare la situazione.

Mai sottovalutare i rischi

Di fronte ai pericoli uno struzzo nasconde la testa sotto terra: anche se il suo corpo è visibile alla preda, abbassa la testa cercando di mimetizzarsi con l’ambiente, nella speranza di non essere notato. Ancora, chi di noi da bambino, chiudendo gli occhi, non era convinto di essere all’improvviso diventato invisibile?

Spesso le violazioni vengono offuscate dalle aziende per la paura che queste influiscano sui ricavi trimestrali, sul prezzo delle azioni, sulla fedeltà dei clienti, sulla reputazione del marchio, tuttavia non segnalare l’evento può comportare enormi battute d’arresto finanziarie, complicazioni legali e il rischio di danni maggiori alla reputazione.

Ed è vero, un incidente informatico – la cui causa deriva il più delle delle volte da un errore umano – colpisce in modo severo un’azienda. Spesso appena dopo si verifica un calo di ricavi, spesso la reputazione viene calcolata così, in base ad un calcolo dei bilanci e a ragione: non si tratta solo di un problema di immagine, è diventato a tutti gli effetti un vero e proprio rischio finanziario che si deve gestire, mappando e anticipando.

Poi cos’altro? Ha sì, si potrebbe verificare anche qualche licenziamento – ed è anche per questo che spesso le cose vengono nascoste -, perché, per noi, aggiustare la persona è sempre più importante che aggiustare la macchina, dimenticandoci che, spesse volte, il problema è nel sistema stesso, che un’organizzazione non è fatta solo di persone.

“È vero” evidenzia Swartz “a volte hai gli ingranaggi sbagliati e devi sostituirli, ma più spesso li stai semplicemente usando nel modo sbagliato. Quando c’è un problema, non dovresti arrabbiarti con gli ingranaggi, dovresti riparare la macchina”. Se la macchina non funziona quanti chilometri si potranno ancora percorrere? Soprattutto se si chiede di tenere nascosto un incidente agli stessi dipendenti, si chiede di fare qualcosa di non etico, per questo anche loro potrebbero perdere fiducia nei loro datori di lavoro. E anche questo fa parte della macchina.

Politiche e procedure si, rappresentano in un certo modo dei blocchi alla creatività e al flusso imprenditoriale, ma senza di loro oggi si va fuori mercato. Se le violazioni non si possono fermare – anche con tutte le buone intenzioni – avere un piano aggiornato di comunicazione per avvisare clienti e dipendenti non appena si verifica è davvero importante. Soprattutto se a causa di un ransomware tutto il sistema si blocca.

Le violazioni di dati sono una minaccia per tutti

Bene, stiamo per entrare nel 2025 ed ad oggi le violazioni di dati rappresentano veramente una minaccia per tutti:

• si verificano più frequentemente di quanto pensiamo e la sicurezza dei dati non ha a che fare solo con le banche o le strutture sanitarie,
• le violazioni di dati non accadono solo alle grandi imprese, quelle piccole e medie vengono colpite parecchio (e sì, sono più vulnerabili e meno capaci di proteggersi).

Non starò a ricordare in cosa consistono i pericoli, ma brevemente, la compromissione di dati sensibili o finanziari e proprietà intellettuale sono in cima alla lista. Tuttavia – mal comune mezzo gaudio – è quasi impossibile per qualsiasi organizzazione di essere immune agli attacchi.

Chi però non adotta strategie, chi è convinto di non essere in possesso di dati sensibili, di non avere informazioni su eventuali carte di credito o simili dovrebbe iniziare a pensare di avere per lo meno dipendenti e fornitori e che i loro prodotti sono soggetti come gli altri a proprietà intellettuale, che i cattivi non vivono solo nelle grandi metropoli e che le porte aperte – come le password tenute in posti insicuri o computer aziendali utilizzati per fare shopping – sono un pericolo ovunque e per chiunque. E senza una pianificazione, un sistema ben organizzato, una collaborazione interna ed esterna più avanti si va, più la fortuna di non essere notati non funzionerà.

Senza addentrarmi nelle numerosissime regole del Garante, per il quale il diritto all’oblio non è un diritto assoluto e andrebbe quindi bilanciato con altri diritti basterebbe dire che oggi gli stessi consumatori – frustrati dallo stato della protezione dei dati da parte di molte aziende – non permettono più alle aziende di nascondersi, emettendo feedback, facendo whistleblowing e rivolgendosi al Garante. Questo riguarda soprattutto i giovani, quelli che faranno il mercato di domani, quelli sfiduciati dalla convinzione che le cose non miglioreranno, quelli convinti che ad un certo punto avranno sicuramente dei problemi, anche se spesso non sono consapevoli delle proprie responsabilità.

Data breach e violazioni dati: una risposta proattiva aumenta positivamente la reputazione di un’azienda

Lo studio Security breaches and organization response strategy pubblicato sull’International Journal of Management dimostra come le strategie di risposta delle organizzazioni in seguito a un data breach o un incidente di violazione della sicurezza influenzino la valutazione della reputazione del brand e della situazione da parte dei consumatori (i quali spesso non attribuiscono lo stesso peso alle dimensioni del rischio) e come le organizzazioni abbiano molta più probabilità di mantenere la fiducia nel momento i cui decidono di essere trasparenti sugli attacchi informatici e proattive nel trovare soluzioni. Lo studio rivela tre fattori principali per mantenere la fiducia dei consumatori:

• il rischio percepito dai consumatori,
• la gravità della violazione
• l’efficacia della risposta dell’organizzazione interessata.

L’ultimo punto si è rivelato il più importante di tutti ovvero: annunciare una violazione della sicurezza e adottando una risposta più proattiva le organizzazioni possono ridurre la percezione del rischio dei consumatori e persino aumentare positivamente la loro valutazione pubblica. Del resto, l’approvazione pubblica è importante no? Infine si, quel calo di ricavi che inorridisce così tanto appena dopo un incidente si può trasformare in esperienza, in un errore prezioso, in acquisizione di nuovi clienti che saranno consapevoli di come si sta affrontando un problema per mettere tutti più al sicuro e così li farà sentire.

Questioni di equilibrio

Non so se tutti saranno d’accordo con ciò che valuto in questo articolo ma su una cosa tutti convergeranno: la trasparenza è un beneficio non solo per clienti e dipendenti di un’azienda ma per tutta la comunità e così anche per la Cyber Threat Intelligence costretta a vagare nelle paludi più oscure. Quale è il vero panorama? Io mi sono fatta qualche idea, leggendo anche i lavori di molti degli attuali ricercatori.

Ogni mattina in Africa, come sorge il sole, una gazzella si sveglia e sa che dovrà correre più del leone o verrà uccisa. Ogni mattina in Africa, come sorge il sole, un leone si sveglia e sa che dovrà correre più della gazzella o morirà di fame. Ogni mattina in Africa, come sorge il sole, non importa che tu sia leone o gazzella, l’importante è che cominci a correre…

Tecniche sempre più efficienti da parte dei criminali informatici insieme alla continua proliferazione dei gruppi ransomware rappresentano una sfida per il nostro Paese insieme alla necessità di un approccio innovativo, sia per facilitare la Cyber Threat Intelligence nell’analisi delle somiglianze delle tattiche di attacco, sia per facilitare le strategie di difesa. L’analisi di somiglianze delle tecniche di attacco possono venire in aiuto – anche se spesso mostrano notevoli distinzioni – ma nel monitoraggio importa soprattutto comprendere il comportamento specifico dell’attaccante: parte significativa in questo ultimo caso è la collaborazione delle vittime.

Lo scorso anno a chiusura del 2024 ho voluto parlare di provocazioni ed eccone un’altra per il 2025, divisa in 8 punti che – a grandi linee – descrivono sommariamente la situazione a cui ci troviamo di fronte e che richiede un grande impegno e una grande collaborazione (alleati) da parte di tutti per combattere un mostro a mille teste, particolarmente arguto e cattivo:

1. tendiamo a farci un’idea precisa da dove venga un gruppo criminale, ma spesso incorriamo in errori di attribuzione: i gruppi operano da più paesi contemporaneamente e si spostano spesso, i loro crimini variano da paese a paese, i loro affiliati operano dietro nomi falsi,
2. spesso un paese di provenienza viene identificato in base alla lingua utilizzata: pensiamo però alla lingua russa che è altresì usata sia in paesi come Bielorussia, Kirghizistan e Kazakistan, sia nell’Europa orientale, nei Balcani, nell’Europa occidentale, negli Stati Uniti, in Israele e nei paesi baltici,
3. anche se un gruppo scompare ne appare subito un altro: i loro malware vengono comprati, riutilizzati tramite leak se non perfezionati,
4. molti attori della minaccia stanno ora lavorando con più famiglie di ransomware contemporaneamente, il che consente loro di ottimizzare le proprie operazioni e mitigare i rischi associati all’affidamento a un singolo gruppo,
5. tra le gang è in atto un certo tipo di collaborazione ma anche una lotta/competizione tra clan e cartelli: se una testa di questo mostro a mille teste viene tagliata, un’altra emerge, con capacità moltiplicate e crescita di attacchi e profitti.
6. la ricerca attuale si concentra prevalentemente sull’analisi del ransomware e poco sui modelli comportamentali associati agli attacchi,
7. l’analisi di somiglianze delle tecniche di attacco possono venire in aiuto – anche se spesso mostrano notevoli distinzioni – ma nel monitoraggio importa soprattutto comprendere il comportamento specifico dell’attaccante: parte significativa in questo ultimo caso è la collaborazione delle vittime, la divulgazione e la segnalazione degli incidenti, che non sempre avviene con trasparenza.
8. con le giuste informazioni, la natura in stile Idra del crimine informatico, arguto e particolarmente complesso da eradicare potrebbe trasformarsi in una vulnerabilità.

Buon 2025.

L'articolo Data Breach e violazioni: perché nascondere gli errori non protegge dal danno reputazionale proviene da il blog della sicurezza informatica.

Are you familiar with huffman encoding? That’s where you pick shorter codes for more frequent letters. Morse code is the same way. Shorter characters are the ones you are most likely to use. [Matheus Richard] had the same idea for optimizing your workflow in the Linux shell. The idea is to measure what commands you use the most and make them shorter.

If you use zsh, it is easy to find out what commands you are using the most. If you use bash, [Matheus] helpfully offers a command to give you a similar result (the original post limits the list to the last entry which we are sure is a typo):
history | awk '{CMD[$2]++;count++;}END { for (a in CMD)print CMD[a] " " CMD[a]/count*100 "% " a;}' | grep -v "./" | column -c3 -s " " -t | sort -nr | nl | head -n10
Once you know the commands you use the most, you can use your shell’s aliasing or scripts to shorten them up. For example, in [Matheus’] case, git was a very common command. This led to aliases:
alias gc="git commit --verbose"
alias gp="git push"
alias gprom="git pull --rebase origin main"
Not only does this save typing, but you lessen your chance for typos (git comit, for example). Another idea is to alias your common errors, for example setting an alias for git as gti.

Small things, but definitely time savers. Be sure to read the rest of the post, as there are a number of other optimization ideas. [Matheus] definitely has a thing for zsh, but there are many other shells out there. Some of them are even evolving towards more modern programming languages.

hackaday.com/2024/12/22/optimi…