In passato abbiamo parlato nel nostro blog della protezione della fauna selvatica e della necessaria cooperazione internazionale in tema di contrasto alla criminalità che si basa sui traffici di specie animali e di loro parti pregiate.

Oggi parliamo di uno Stato africano che soffre molto della ingerenza del crimine in questo delicato settore: il Malawi. Si tratta di uno stato dell'Africa meridionale, senza sbocco sul mare, confinante con Zambia, Mozambico e Tanzania, che vanta Parchi nazionali e riserve naturali, come il Parco Nazionale di Liwonde e il Parco Nazionale di Nyika.

La notizia positiva è che il Malawi ha fatto passi da gigante nella lotta contro la criminalità della fauna selvatica negli ultimi dieci anni.
Secondo un nuovo rapporto del Dipartimento dei Parchi Nazionali e della fauna selvatica e del Lilongwe Wildlife Trust, oltre 600 arresti sono stati effettuati tra il 2017 e il 2023, con oltre 500 condanne e il sequestro di oltre due tonnellate di avorio.
Il numero di casi giudiziari riguardanti il furto e la illecita commercializzazione di avorio è diminuito di anno in anno, con il numero più basso nel 2023, che rappresenta un calo del 67% rispetto al picco del 2017.

I progressi del Malawi sono particolarmente degni di nota data la portata globale del traffico illegale di specie selvatiche, che colpisce ecosistemi, economie e società. L’UNODC World Wildlife Crime Report (2024) (reperibile qui unodc.org/documents/data-and-a…) ha riportato 13 milioni di sequestri di circa 4.000 specie vegetali e animali tra il 2015-2021.

Il Report di UNODC è la Terza edizione del rapporto che analizza il commercio illegale di fauna selvatica. I crimini faunistici danneggiano la conservazione, gli ecosistemi e i diritti delle comunità locali. Nonostante i progressi, il commercio illegale rimane vasto, coinvolgendo oltre 160 paesi. Viene sottolineata l'importanza del coinvolgimento delle comunità locali e dell'evidenza scientifica per affrontare il problema, con l'obiettivo di generare maggiore attenzione e interventi efficaci contro questa industria criminale.

Il "National Parks & Wildlife Act" modificato del Malawi, approvato nel 2017, fornisce maggiori protezioni per la fauna selvatica e sanzioni più forti per i criminali della fauna selvatica, comprese pene detentive fino a 30 anni. Il tasso medio di condanne per le offese di elefante e rinoceronti nel 2023 era del 93%, con il 90% di questi casi che si traduce in una pena detentiva. La pena detentiva media emessa è di 5,5 anni e la pena massima fino ad oggi è di 18 anni.

Tuttavia, la battaglia contro la criminalità della fauna selvatica non è ancora stata vinta. Il traffico di pangolini e il bracconaggio degli elefanti rimangono preoccupazioni, ed è fondamentale che gli animali sequestrati ricevano cure veterinarie e riabilitate.

Il progresso del Malawi nella protezione del suo patrimonio naturale è un viaggio notevole, che comporta il sostegno del governo e di tutti i partner impegnati.

A pochi giorni di distanza dall'annuncio di $Trump, memecoin di Donald Trump, anche la prossima first lady americana lancia la sua criptovaluta, la $MELANIA. Basata sulla blockchain di Solana, ha aumentato il suo valore del 188% nelle prime 10 ore.

Tra poche ore Trump giurerà come presidente degli Stati Uniti.

Lascio a voi le vostre conclusioni.

Come nota personale constato che la sezione commenti del mio canale Telegram è bombardata di spam di queste due criptovalute.

rp.pl/waluty/art41701131-melan…

Melania Trump wyemitowała memiczną kryptowalutę

Melania Trump, przyszła (i zarazem była) pierwsza dama USA, wyemitowała własną, "memiczną" kryptowalutę o nazwie $MELANIA.

^{Hubert Kozieł (Rzeczpospolita)}

Hackers and makers have built just about every kind of clock under the sun. Digital, analog, seven-segment, mechanical seven-segment, binary, ternary, hexadecimal… you name it. It’s been done. You really have to try to find something that shocks us… something we haven’t seen before. [Moritz v. Sivers] has done just that.
Wild. Just wild.
Meet the Caustic Clock. It’s based on the innovative Hollow Clock from [shiura]. It displays time with an hour hand and a minute hand, and that’s all so conventional. But what really caught our eye was the manner in which its dial works. It uses caustics to display the clock dial on a wall as light shines through it.

If you’ve ever seen sunlight reflect through a glass, or the dancing patterns in an outdoor swimming pool, you’ve seen caustics at play. Caustics are the bright patterns we see projected through a transparent object, and if you shape that object properly, you can control them. In this case, [Moritz] used some GitHub code from [Matt Ferraro] to create a caustic projection clockface, and 3D printed it using an SLA printer.

The rest of the clock is straightforward enough—there’s some WS2812 LEDs involved, an Arduino Nano, and even an RP2040. But the real magic is in the light show and how it’s all achieved. We love learning about optics, and this is a beautiful effect well worth studying yourself.

youtube.com/embed/vHKDAkZ5_38?…

hackaday.com/2025/01/20/innova…

In Italia, la gestione degli incidenti di sicurezza informatica è spesso avvolta da un velo di reticenza e silenzi imbarazzanti. La mancata trasparenza verso clienti e stakeholder, percepita da alcuni come una strategia di protezione, rischia di trasformarsi rapidamente in una trappola: un’ondata di diniego e sfiducia che può colpire duramente la reputazione di un’organizzazione. In questo contesto, il caso di Massimo Poletti emerge come un esempio virtuoso e raro, dove la trasparenza ha fatto notizia rispetto ad un mare di riserbo.

Nel 2023, Poletti ha saputo affrontare con grande integrità e chiarezza una delle crisi più complesse nella storia del Comune di Ferrara colpito da un attacco ransomware sferrato dai criminali di Rhysida: un grave attacco informatico che ha paralizzato i sistemi dell’amministrazione. La sua decisione di adottare una comunicazione trasparente, coinvolgendo cittadini e partner in ogni fase della gestione dell’emergenza, ha rappresentato un cambio di paradigma per il settore. In un Paese dove spesso si preferisce nascondere il problema, Poletti ha dimostrato che solo affrontando apertamente queste sfide si può ripristinare la fiducia e costruire relazioni solide.

Non sorprende, quindi, che il suo operato sia stato riconosciuto a livello nazionale con il premio di Miglior CISO, assegnato per il suo approccio innovativo e coraggioso. In questa intervista esclusiva di Red Hot Cyber, ripercorriamo con Massimo Poletti i momenti salienti della sua gestione degli incidenti al Comune di Ferrara, esplorando le sfide affrontate, le decisioni prese e il messaggio che il suo esempio può dare a tutte le organizzazioni che si trovano ad affrontare l’imprevedibile.

Su queste pagine spesso abbiamo affrontato il tema del “crisis management” applicato agli attacchi informatici, evidenziando come una crisi possa trasformarsi in un’opportunità. In Italia, questa disciplina rimane ancora poco conosciuta in ambito cybersecurity, ma rappresenta un elemento chiave per gestire e mitigare le conseguenze di un attacco. Inoltre, analizzare a fondo lo svolgimento di un attacco consente a tutti di trarre preziose “lessons learned”, contribuendo a migliorare la resilienza collettiva.

Prepariamoci a immergerci in un “incidente di rilievo”, narrato direttamente da chi lo ha vissuto in prima persona. Una testimonianza che dimostra come la “comunicazione trasparente” possa trasformarsi in una strategia efficace a supporto della sicurezza informatica, offrendo preziose lezioni per affrontare le sfide del cybercrime.

L’intervista a Massimo Poletti

1 – RHC: Ing. Poletti, innanzitutto, la ringraziamo per aver accettato questa intervista. Sappiamo quanto possa essere difficile raccontare di un attacco informatico subito, ma crediamo che questa sia una straordinaria dimostrazione di responsabilità e di condivisione. La sua esperienza rappresenta un’occasione unica per permettere ad altre aziende e pubbliche amministrazioni di comprendere meglio cosa è accaduto, quali errori evitare e quali lezioni trarre. In Italia, purtroppo, manca ancora una vera cultura del “lesson learned”, ma riteniamo che parlare apertamente di episodi come questo sia essenziale per far luce sulle dinamiche degli incidenti e contribuire al miglioramento dell’intero sistema Paese. Secondo lei quanto è importante parlare degli attacchi subiti?
Massimo Poletti: La primissima fase dell’incidente è spesso decisiva per i successivi sviluppi nel recupero dei dati e nel ripristino dei servizi. La condivisione permette, e me lo hanno confermato molti colleghi, di avere le idee più chiare su come muoversi nel caso di un evento infausto di questo tipo. Dal punto di vista degli stakeholder (cittadini o clienti ma anche utenti interni, da non trascurare) la trasparenza e una comunicazione costante, opportunamente gestita tenendo conto di quanto deve rimanere riservato, permette di fare capire che sta sempre succedendo qualcosa e che la situazione di giorno in giorno migliorerà. Questo creerà un senso di fiducia reciproca utile per tutti. Infine, le lezioni apprese specie in un evento complesso quale il nostro che ha richiesto per la sua risoluzione completa, comprendendo il rapporto con l’Autorità Garante per la Tutela dei Dati Personali, circa nove mesi rappresentano secondo me un patrimonio informativo che i colleghi possono utilizzare per aumentare la consapevolezza e magari per adattarlo alle proprie situazioni.

2 – RHC: Al momento delle sue dichiarazioni sul cyber attacco, qual è stata la reazione al Comune di Ferrara? Si sono irrigiditi o le hanno chiesto di aspettare prima di comunicare?
Massimo Poletti: Opero in un Comune dove la comunicazione è molto curata. Con i nostri comunicatori c’è stata subito una piena sintonia e una suddivisione dei compiti. Io ho fatto informazione tecnica su LinkedIn, loro sui canali social e ovviamente sul sito istituzionale, misura quest’ultima sempre richiesta dal Garante.
È stato subito chiaro che dovevamo avere noi il pallino in mano, quindi già nella mattina dell’incidente è uscito il primo comunicato stampa. Sarebbe stato evidente in breve tempo che qualcosa non andava, non potevamo permetterci di lasciare a terzi il primo lancio della notizia.

3 – RHC: Ora che è passato del tempo, possiamo affrontare il tema con maggiore chiarezza: la cyber gang Rhysida, che vettore di attacco hanno usato? Un RDP esposto? Una email di Phishing? Sapere queste informazioni, dal punto di vista tecnico, a nostro avviso servono tanto a rafforzare le nostre difese informatiche. Ci racconti tecnicamente.
Massimo Poletti: Generalmente nei playbook da seguire nelle risposte agli incidenti si dice di disconnettere i dispositivi dalla rete e di non spegnerli in attesa di un esame forense. Tuttavia io dovevo fare ripartire rapidamente i servizi e quindi non è stato possibile individuare il paziente zero. Da evidenze rilevate su diversi sistemi analizzati il team forense è giunto alla conclusione che la causa sia stato un phishing che ha permesso di installare un malware il quale, tramite movimenti laterali, ha compromesso il dominio. Teniamo presente che il dominio AD, come spessissimo si rileva, è frutto di numerosi aggiornamenti che partono da Windows 2000 o addirittura NT. Inoltre negli anni 2000 molti applicativi non funzionavano se l’utente locale non era anche amministratore per cui una di queste persistenze ha permesso all’utente di installare il malware.

4 – RHC : quanto è stato difficile convincere tutti che la trasparenza fosse la strategia giusta? In Italia, spesso, prevale la reticenza nel comunicare gli incidenti di sicurezza. Pensa che il suo approccio possa segnare (o aiutare a segnare) una svolta?
Massimo Poletti: Non avevamo un piano predefinito nel senso di un playbook, avevamo tuttavia un buon livello culturale che ci ha permesso di fare i passi ragionevolmente giusti. Per fortuna io cerco di rimanere costantemente aggiornato e sulla gestione incidenti avevo letto parecchie cose che poi ho applicato.

5 – RHC: Quando Rhysida si è manifestato, come vi hanno contattato? Solo tramite una ransom note o anche via email o altri canali? Ha notato un approccio diverso rispetto ad altri attacchi noti?
Massimo Poletti: La gang si è palesata solamente con una schermata sui sistemi che sono stati cifrati e un file pdf sul disco. L’approccio è stato quindi quello classico minimale.

6 – RHC: Quanto tempo è stato necessario per ripristinare completamente i sistemi e tornare alla piena operatività? Ci sono stati dei momenti critici durante il processo di ripristino?
Massimo Poletti: Il vero momento critico è stata la scoperta che i backup erano stati compromessi. Si mette in evidenza che i backup non erano in line, bensì presso la in house e la console di gestione era raggiungibile solo tramite VPN. Ebbene, in qualche modo sono state esfiltrate le credenziali della VPN e vi garantisco che il mio sistemista non fa file di password né mette post it sul monitor. Evidentemente nel dwell time sono stati installati dei keylogger. Putroppo in quel periodo non era disponibile la 2FA per raggiungere il sistema di backup, né la modalità immutabile. Ora questa carenza è stata sanata. Per i tempi posso dire che a seguito dell’attacco il 12 luglio per fine mese avevamo tutti i servizi con alcune stazioni di lavoro bonificate e funzionanti mentre per inizio settembre tutte le oltre 1000 postazioni erano in esercizio. Il periodo di ferie ha sicuramente mitigato i possibili disservizi.

7 – RHC: Quali servizi del Comune sono stati maggiormente colpiti dall’attacco? Per quanto riguarda la continuità operativa, le persone riuscivano comunque a lavorare o ci sono state interruzioni significative?
Massimo Poletti: Fortunatamente il lavoro di spostamento degli applicativi in cloud (sia SaaS puro che ibrido presso la in house) iniziato nel 2019 ben prima dell’avviso PNRR ha fatto sì che dal punto di vista applicativo si sia fermato ben poco. Solo un server non ancora migrato era in esercizio nel datacenter interno.
I servizi applicativi erano quindi quasi tutti funzionanti per gli accessi da internet. Ovviamente essendo la rete interna bloccata lo era tutto il backoffice. Le prime stazioni di lavoro sono state attrezzate in modo da accedere a internet tramite modalità alternative, specialmente per l’applicativo documentale e quello del personale. Il blocco completo è durato solo alcuni giorni.

8 – RHC: In alcuni post LinkedIN di fine 2023, ha affermato, ringraziando, di aver ricevuto supporto da ACN e CSIRT Italia, per la fase di recupero dati. Ci può fornire qualche dettaglio a tale proposito ed indicare quali siano ad oggi, se presenti, i rapporti tra ente Comune di Ferrara e ACN / CSIRT (come ad esempio analisi di IoC di attacchi noti o altro)?
Massimo Poletti: Ho ritenuto, benchè non obbligatorio e anche poco noto, di fare la segnalazione dell’incidente ad ACN. Con mia sorpresa, lo confesso, sono stato immediatamente contattato dal loro CSIRT il quale ha iniziato un’interlocuzione con un mio sistemista che ha portato al recupero completo dei dati. Se oggi andiamo sul sito nomoreransom.org troviamo il decryptor anche per Rhysida. Per cui consiglio sempre a tutti di fare la segnalazione. Se ACN può aiutare lo farà. Per gli enti nel perimetro di sicurezza cibernetica nazionale interviene anche in loco con una task force, per gli altri lo fa da remoto o fornisce dei tool. Oggi il rapporto è terminato ma come è noto sono nati i CSIRT regionali che hanno preso in carico gli enti del territorio. Qui in Emilia-Romagna il CSIRT è gestito da regione e in house Lepida Scpa, io faccio parte del comitato tecnico. Eroga diversi servizi ai soci, per il momento gratuitamente in quanto finanziati dal PNRR. Tra questi il servizio di pronto intervento a seguito di attacco e l’analisi constante e la segnalazione delle vulnerabilità.

9 – RHC: È stato chiesto un riscatto? Se sì, a quanto ammontava la richiesta? Avete considerato di pagare o è stato escluso sin da subito?
Massimo Poletti: Il riscatto è stato chiesto, tuttavia anche su consiglio della Polizia Postale non abbiamo contattato la gang. Il pagamento di un riscatto è stato escluso fin dal primo momento, e non solo per motivi legali ma anche etici.

10 – RHC: Dopo l’attacco, quali sono stati i principali miglioramenti o cambiamenti che avete avviato per rafforzare la sicurezza informatica del Comune? Avete coinvolto esperti esterni o formato maggiormente il personale interno?
Massimo Poletti: Devo dire che siamo stati sfortunati, ma Murphy è sempre in agguato. Avevamo pronto un progetto sulla sicurezza (piattaforma, sonda, SOC, EDR, VPN 2FA, assistenza remota, ecc.) per il budget 2024 ma siamo stati attaccati prima. A quel punto, superata la fase di ripristino, il progetto è stato attivato in tempi brevi.
Ritengo però che il principale miglioramento sia stato il ricreare da zero tutta l’infrastruttura di dominio e le policy di firewall. In questo modo abbiamo eliminato tutta la sporcizia: utenze amministrative e policy obsolete, utenti amministratori del proprio PC, ecc. I servizi sono stati affidati a società di provata esperienza e reputazione utilizzando per la maggior parte convenzioni di acquisto. Il personale interno è molto bravo ma a mio parere è sottodimensionato. Questo però è un problema comune a tantissime PA e non solo.

11 – RHC: Alla luce della vostra esperienza, cosa consiglierebbe di fare ad altri comuni per prepararsi a un attacco informatico, considerando che non è una questione di “se accadrà”, ma di “quando”?
Massimo Poletti: Per non fare una lunga lista indico in prima battuta:
1) avere un contratto che permetta di attivare il Response Team (devono arrivare al massimo in un paio d’ore)
2) tenere pronto e accessibile un inventario di sistemi, procedure, servizi, fornitori, apparati di rete, ecc.
3) stabilire priorità nel ripristino dei sistemi. Da noi la prima priorità è stata il pagamento degli stipendi

12 – RHC: Qual è stato il punto più critico durante la gestione dell’incidente e come siete riusciti a superarlo? Ha avuto il supporto di tutto il team o ci sono stati attriti?
Massimo Poletti: Il punto più critico è stato apprendere che i backup erano compromessi. Per fortuna dopo qualche giorno di angoscia abbiamo potuto iniziare il recupero dei dati.

13 – RHC: Come ha gestito la comunicazione con i cittadini e gli stakeholder durante questa crisi? C’è stato un momento in cui ha temuto che la trasparenza potesse ritorcersi contro di voi?
Massimo Poletti: Il rapporto con gli stakeholder è stato gestito dall’ufficio comunicazione con il quale ho lavorato a stretto contatto forte di un solido rapporto. Insieme abbiamo deciso cosa comunicare e loro come e dove comunicarlo. Per quanto riguarda la comunicazione sul sito istituzionale abbiamo anche concordato con il DPO alcune comunicazioni agli interessati. Francamente non ho mai pensato che la trasparenza potesse ritorcersi contro di noi.

14 – RHC: Ritiene che il suo approccio trasparente abbia contribuito a migliorare la percezione e la fiducia verso il Comune di Ferrara? Ha ricevuto feedback positivi dai cittadini o dalle istituzioni come ad esempio il premio come Miglior CISO da noi ripreso. Una onorificenza davvero importante a nostro avviso.
Massimo Poletti: Credo che il nostro approccio abbia migliorato la nostra reputazione e spesso veniamo indicati come esempio di buona gestione di un incidente. Un riscontro positivo lo si può rilevare dalla bassissima quantità di accessi agli atti che c’è stata da parte dei cittadini. Evidentemente si è creato un clima di fiducia che ha portato a fidarsi di quanto abbiamo comunicato. Ovviamente nei casi più delicati c’è stata una comunicazione ad personam. Oltre al premio di miglior CISO, assegnatomi da una giuria di settore, personalmente è stato graditissimo il premio di “Ferrarese dell’anno 2024” che mi è stato assegnato nel tradizionale sondaggio che un quotidiano locale tiene alla fine di ogni anno. Il fatto che un informatico abbia battuto diverse personalità cittadine dà grande orgoglio e mi permette di sottolineare che è un premio per tutto il mio team e per tutta la comunità IT che lavora nell’invisibilità

15 – RHC: Se dovesse riassumere in tre consigli pratici come affrontare un attacco ransomware, quali potrebbero essere?
Massimo Poletti: 1) Agire con decisione, mantenendo nella comunicazione un tono tranquillo di chi sa perfettamente cosa fare. Il leader determinato è rassicurante 2) Suddividere il coordinamento della parte tecnica da quello della parte gestionale-organizzativa. Nel nostro caso io mi sono occupato della seconda, mentre il mio Team Leader ha gestito la parte tecnica. I tecnici devono essere disaccoppiati dall’esterno 3) Organizzare un comitato di crisi ristretto, che possa prendere rapidamente decisioni e dare disposizioni all’interno dell’azienda

16 – RHC: Anche alla luce delle lessons learned, c’è qualcosa che avrebbe voluto fare diversamente nella gestione di questo attacco o che avrebbe preferito avere predisposto prima dell’attacco per ridurne gli effetti? Con il senno di poi, cambierebbe qualche decisione presa pre o post attacco?
Massimo Poletti: Francamente stavamo già facendo passi avanti. Lo spegnimento del datacenter e l’implementazione del nuovo pacchetto sicurezza erano già previsti per il 2024.
Posso solo dire che mi è dispiaciuto dovere revocare le ferie a collaboratori che avevano già le prenotazioni fatte e che hanno perso l’unica occasione che avevano per andare in ferie con la famiglia, ma non avrei potuto fare altrimenti.

17 – RHC: ringraziamo molto l’Ing. Poletti per questa intervista e le rinnoviamo ancora la stima per aver fatto quello che in Italia è ritenuto come il male ovvero essere trasparenti all’interno di una gestione di un incidente di Sicurezza informatica. C’è qualcosa che vuole dire i nostri lettori?
Massimo Poletti: Posso solo aggiungere che nel corso del 2025 raggiungerò i limiti di età per il collocamento a riposo. Mi auguro innanzitutto che l’Amministrazione della mia città possa programmare un brillante futuro per il mio servizio. Per quanto riguarda il mio futuro cercherò nuove modalità per continuare a diffondere la cultura digitale in generale e della sicurezza in particolare. Non finirò certamente sul divano!

L'articolo Attacco Al Comune di Ferrara: Intervista a Massimo Poletti. Quando La Trasparenza fa la Differenza proviene da il blog della sicurezza informatica.

Of course there is bone-simulation filament on the market. What’s fun about this Reddit thread is all of the semi-macabre concerns of surgeons who are worried about its properties matching the real thing to make practice rigs for difficult surgeries. We were initially creeped out by the idea, but now that we think about it, it’s entirely reassuring that surgeons have the best tools available for them to prepare, so why not 3D prints of the actual patient’s bones?

[PectusSurgeon] says that the important characteristics were that it doesn’t melt under the bone saw and is mechanically similar, but also that it looks right under x-ray, for fluorscopic surgery training. But at $100 per spool, you would be forgiven for looking around for substitutes. [ghostofwinter88] chimes in saying that their lab used a high-wood-content PLA, but couldn’t say much more, and then got into a discussion of how different bones feel under the saw, before concluding that they eventually chose resin.

Of course, Reddit being Reddit, the best part of the thread is the bad jokes. “Plastic surgery” and “my insurance wouldn’t cover gyroid infill” and so on. We won’t spoil it all for you, so enjoy.

When we first read “printing bones”, we didn’t know if they were discussing making replacement bones, or printing using actual bones in the mix. (Of course we’ve covered both before. This is Hackaday.)

Thanks [JohnU] for the tip!

hackaday.com/2025/01/19/bone-f…

In un recente post pubblicato sul forum underground XSS.IS, un utente, noto con il nickname “Ancryno”, ha pubblicizzato uno strumento di exploit chiamato “The EvilLoader”. Questo exploit, stando a quanto affermato dall’autore, è progettato per colpire utenti Android attraverso video Telegram manipolati. L’autore sottolinea la possibilità di personalizzare l’exploit in base alle necessità dell’attaccante, rendendolo una minaccia versatile e particolarmente insidiosa. Ma quali sono i dettagli di questa minaccia, e quali potrebbero essere le sue ripercussioni sul panorama della cybersecurity?

Il Contenuto del Post

Il messaggio si apre con un tono autocelebrativo, sottolineando l’impegno dell’autore nel rilasciare nuove tecnologie di exploit. Nello specifico, il post evidenzia le seguenti caratteristiche dell’exploit:

• Compatibilità con tutte le versioni Android di Telegram.
• Funzionalità personalizzabili, inclusa la possibilità di caricare contenuti spoofati e video manipolati.
• Bypass della soddisfazione dell’utente, che suggerisce la capacità di eludere i controlli di sicurezza o mascherare le attività malevole.

Un aspetto particolarmente preoccupante è la dichiarazione che lo strumento può essere utilizzato per:

• Infezioni dei dispositivi Android.
• Furto di sessioni Telegram, con implicazioni dirette sul furto di dati personali e aziendali.
• Creazione di attacchi di phishing personalizzati, sfruttando la piattaforma di Telegram.

Analisi e Implicazioni

Se quanto descritto nel post fosse vero, “The EvilLoader” rappresenterebbe una minaccia altamente sofisticata, soprattutto considerando l’ampio utilizzo di Telegram come piattaforma di messaggistica sia a livello personale che professionale. Gli attaccanti potrebbero sfruttare video apparentemente innocui per veicolare payload malevoli, consentendo l’installazione di malware sui dispositivi delle vittime.

Il furto di sessioni Telegram, in particolare, potrebbe avere conseguenze devastanti. Telegram utilizza un sistema di autenticazione basato su codici inviati via SMS, che, una volta compromesso, potrebbe consentire agli attaccanti di prendere il controllo completo degli account delle vittime. Questo potrebbe portare a:

• Furto di dati sensibili, inclusi messaggi, file condivisi e contatti.
• Accesso a canali e gruppi privati, con conseguenze potenzialmente catastrofiche per organizzazioni che utilizzano Telegram per comunicazioni interne.
• Esecuzione di attacchi secondari, come phishing o spam, sfruttando la fiducia degli altri utenti nei confronti degli account compromessi.

XSS.IS e il Mercato degli Exploit

Il forum XSS.IS è noto per essere un punto di incontro per cybercriminali, hacker e venditori di exploit. Il fatto che strumenti come “The EvilLoader” vengano pubblicizzati su queste piattaforme sottolinea quanto il mercato degli exploit sia florido e in continua evoluzione. Inoltre, l’autore del post fa riferimento a un modello di vendita tramite escrow, che garantisce transazioni sicure tra acquirente e venditore, dimostrando la professionalizzazione di questi ambienti criminali.

Ripercussioni sul Panorama della Cybersecurity

La crescente diffusione di exploit come “The EvilLoader” pone sfide significative per le aziende di cybersecurity e per gli utenti finali. Le principali preoccupazioni includono:

• Aumento degli attacchi mirati: Gli strumenti personalizzabili permettono agli attaccanti di adattare i loro attacchi a specifici bersagli, aumentando l’efficacia delle campagne malevole.
• Compromissione della fiducia nelle piattaforme: Attacchi di questo tipo minano la fiducia degli utenti in piattaforme come Telegram, che sono sempre più utilizzate anche in ambito professionale.
• Evoluzione delle tecniche di difesa: Gli esperti di cybersecurity dovranno sviluppare contromisure più avanzate per identificare e bloccare attacchi veicolati tramite file multimediali apparentemente innocui.

In conclusione il post di “Ancryno” sul forum XSS.IS è un chiaro esempio di come il panorama delle minacce stia evolvendo rapidamente. Strumenti come “The EvilLoader” rappresentano una minaccia concreta non solo per gli utenti individuali, ma anche per le organizzazioni che utilizzano Telegram come piattaforma di comunicazione. È essenziale che gli utenti adottino pratiche di sicurezza adeguate, come l’uso di autenticazione a due fattori e l’aggiornamento regolare delle applicazioni, per mitigare i rischi. Allo stesso tempo, le aziende di cybersecurity devono continuare a monitorare attentamente i forum underground per anticipare e contrastare queste nuove minacce.

L'articolo “The EvilLoader”: L’Exploit Che Minaccia Telegram e Gli Utenti Android proviene da il blog della sicurezza informatica.

Dimentica tutto ciò che pensavi di sapere sulla sicurezza online. Niente più segnali evidenti, finzioni beffarde, promesse ridicole. La prossima email che sembra provenire da un tuo amico, familiare o collega potrebbe essere stata falsificata in modo così astuto che è quasi impossibile individuare l’inganno.

L’intelligenza artificiale sta rivoluzionando il panorama della sicurezza informatica. McAfee avverte che i criminali informatici hanno la capacità di creare facilmente messaggi personalizzati e convincenti che sembrano provenire da fonti attendibili. I servizi di posta elettronica più diffusi, tra cui Gmail, Outlook e Apple Mail, non dispongono ancora di una protezione efficace contro questa nuova minaccia.

Secondo il Financial Times , si è registrato un aumento degli attacchi di phishing iper-personalizzati creati da bot IA. Grandi aziende come eBay stanno già segnalando un aumento del numero di email truffa contenenti dati personali degli utenti, raccolti analizzando i loro profili online tramite l’intelligenza artificiale.

Check Point prevede che entro il 2025 i criminali informatici utilizzeranno l’intelligenza artificiale per creare campagne di phishing altamente mirate e adattare il malware in tempo reale per aggirare i tradizionali meccanismi di sicurezza. Mentre anche i team di sicurezza stanno implementando strumenti di intelligenza artificiale, gli aggressori continuano a perfezionare i loro metodi di attacco.

I robot AI sono in grado di analizzare enormi quantità di dati sullo stile di comunicazione di un’azienda o di una persona specifica, riproducendone i tratti caratteristici per creare un inganno convincente. Raccolgono inoltre informazioni sulla presenza online della potenziale vittima e sull’attività sui social media per determinare gli argomenti più efficaci per gli attacchi di phishing.

Un pericolo particolare è rappresentato dagli attacchi aziendali mirati ad ottenere informazioni riservate o ad accedere ai sistemi aziendali interni. I truffatori possono utilizzare schemi complessi per manipolare la direzione aziendale e ottenere l’approvazione per le transazioni finanziarie. Check Point afferma che la moderna tecnologia AI consente di creare e-mail di phishing perfette.

Secondo Nadezhda Demidova, ricercatrice di cybersicurezza di eBay, la disponibilità di strumenti di intelligenza artificiale generativa riduce significativamente la barriera all’ingresso nel crimine informatico. Nota un aumento significativo degli attacchi informatici di tutti i tipi, definendo le ultime truffe “raffinate e tempistiche precise”.

La minaccia è così grave che l’FBI ha recentemente emesso un avvertimento speciale sull’intelligenza artificiale generativa. Rileva che questi strumenti sono in grado di creare nuovi contenuti basati sui dati di input e di correggere errori umani che in precedenza avrebbero potuto essere segni di frode. Sebbene i contenuti sintetici non siano di per sé illegali, vengono sempre più utilizzati per commettere reati, tra cui frodi ed estorsioni.

Vale la pena notare che, indipendentemente dall’uso dell’intelligenza artificiale in un attacco, è fondamentale rimanere vigili e valutare attentamente qualsiasi richiesta di trasferimento di denaro o informazioni sensibili, non importa quanto possano sembrare plausibili. Dovresti utilizzare l’autenticazione a due fattori, creare password o passkey complesse e univoche e non fare mai clic su collegamenti sospetti.

L'articolo Attacchi di phishing “perfetti”: come l’IA sta trasformando il cybercrimine proviene da il blog della sicurezza informatica.

If you are like us, you probably just spin up your own code for a lot of simple projects. But that’s wasteful if you are trying to do anything serious. Take a robot, for example. Are you using ROS (Robot Operating System)? If not — or even if you are — check out [Janne Karttunene] and the University of Eastern Finland’s open-source course Robotics and ROS 2 Essentials.

The material is on GitHub. Rather than paraphrase, here’s the description from the course itself:

This course is designed to give you hands-on experience with the basics of robotics using ROS 2 and Gazebo simulation. The exercises focus on the Andino robot from Ekumen and are structured to gradually introduce you to ROS 2 and Docker.

No prior experience with ROS 2 or Docker is needed, and since everything runs through Docker, you won’t need to install ROS 2 on your system beforehand. Along the way, you’ll learn essential concepts like autonomous navigation and mapping for mobile robots. All the practical coding exercises are done in Python.

Topics include SLAM, autonomous navigation, odometry, and path planning. It looks like it will be a valuable resource for anyone interested in robotics or anything else you might do with ROS.

If you want a quick introduction to ROS, we can help. We’ve seen a number of cool ROS projects over the years.

hackaday.com/2025/01/19/roboti…

This week, we witnessed a couple of space oopsies as both Starship and New Glenn suffered in-flight mishaps on the same day. SpaceX’s Starship was the more spectacular, with the upper stage of the seventh test flight of the full stack experiencing a “rapid unscheduled disassembly” thanks to a fire developing in the aft section of the stage somewhere over the Turks and Caicos islands, about eight and a half minutes after takeoff from Boca Chica. The good news is that the RUD happened after first-stage separation, and that the Super Heavy booster was not only able to safely return to the pad but also made another successful “chopsticks” landing on the tower. Sorry, that’s just never going to get old.

On the Bezos side of the billionaire rocket club, the maiden flight of Blue Origin’s New Glenn ended with the opposite problem. The upper stage reached orbit, but the reusable booster didn’t make it back to the landing barge parked off the Bahamas. What exactly happened isn’t clear yet, but judging by the telemetry the booster was coming in mighty fast, which may indicate that the engines didn’t restart fully and the thing just broke up when it got into the denser part of the atmosphere.

While we’re not huge fans of doorbell cameras, mainly on privacy grounds but also because paying a monthly fee for service just seems silly, we might reconsider our position after one captured video of a meteorite strike. The impact, which occurred at the Prince Edward Island home of Joe Velaidum, happened back in July but the video was only just released; presumably the delay was for confirmation that the object was indeed a meteorite. Joe’s Ring camera captured video of something yeeting out of the sky and crashing into the sidewalk next to the driveway, in the exact spot he’d been standing only moments before. It’s hard to say if he would have been killed by the impact, but it sure wouldn’t have been fun.

youtube.com/embed/dJJtLtV0Gx4?…

While we’re on space-adjacent topics, we saw an interesting story about a satellite that was knocked out of service for a couple of days thanks to 2024 being a leap year. The Eutelsat OneWeb communications satellite went offline on the last day of the year, apparently because some software wasn’t prepared for the fact that 2024 had 366 days. It’s not clear if this caused any problems with the satellite itself, although the company said the problem was with the “ground segment” so it likely wasn’t. Engineers were able to work through the problem and get it back online within 48 hours, but we’re left wondering how something like this could happen with so many standard libraries out there that specifically deal with leap day calculations.

It’s that time of year again — HOPE_16 is gearing up, and tickets for the August 15-17 conference at St. John’s University in Queens are already on sale. It looks like the Call for Proposals is active now too, so if you’ve got a talk you’d like to give, get going.

And finally, sad news for a hapless early adopter of Bitcoin, whose eleven-year effort to locate a hard drive with 8,000 Bitcoin on it has reached a legal end. Back in 2013, a hard drive owned by James Howells containing the Bitcoin wallet was accidentally disposed of, ending up in a landfill in Newport, Wales. Howells immediately asked for permission to search for the missing fortune, which at the time was worth about $7.5 million. This seems to us like his first mistake; in light of the potential payout, we’d probably have risked a trespassing charge. Howells spent the next couple of years trying to get access while assembling a recovery team, with the effort driven by the ever-increasing price of Bitcoin. Howells also brought suit against the council to get access, an effort that a High Court judge brought to an end last week. So Howells is out of luck, and the hard drive, now worth $765 million, still lies in the landfill.

hackaday.com/2025/01/19/hackad…

In questo episodio ho commentato riga per riga un documento di ACN e CSIRT che ripercorre con molta cura tutti gli aspetti più interessanti relativi al ransomware. Sul mio canale YouTube è presente anche il video, per chi volesse seguire il testo del documento.

zerodays.podbean.com/e/tutto-s…

The chances are overwhelming, that you are reading this article on a web browser powered by some form of the Blink or WebKit browser engines as used by Google, Apple, and many open source projects, or perhaps the Gecko engine as used by Firefox. At the top end of the web browser world there are now depressingly few maintained browser engines — we think to the detriment of web standards evolution.

Moving away from the big players though, there are several small browser projects which eschew bells and whistles for speed and compactness, and we’re pleased to see that one of the perennial players has released a new version as it passes its quarter century.

Dillo describes itself as ” a fast and small graphical web browser”, and it provides a basic window on the web with a tiny download and the ability to run on very low-end hardware. Without JavaScript and other luxuries it sometimes doesn’t render a site as you’d see it in Chrome or Firefox, but we’re guessing many users would relish some escape from the web’s cycle-sucking garbage. The new version 3.2.0 brings bug fixes, as well as math formula rendering, and navigation improvements.

The special thing about Dillo is that this is a project which came back from the dead. We reported last year how a developer resurrected it after a previous release back in 2015, and it seems that for now at least it has a healthy future. So put it on your retro PC, your original Raspberry Pi, or your Atari if you have one, and try it on your modern desktop if you need reminding just how fast web browsing can be.

This isn’t the only interesting browser project on the block, we’re also keeping an eye on Ladybird, which is aiming for those big players rather than simplicity like Dillo.

Thanks [Feinfinger] for the tip.

hackaday.com/2025/01/19/dillo-…

Hot on the heels of Bambu Lab’s announcement that it would be locking down all network access to its X1-series 3D printers with new firmware, the X.509 certificate and private key from the Bambu Connect application have now been extracted by [hWuxH]. This application was intended to be the sole way for third-party software to send print jobs to Bambu Lab hardware as we previously reported.

The Bambu Connect app is a fairly low-effort Electron-based affair, with some attempt at obfuscation and encryption, but not enough to keep prying eyes out. The de-obfuscated main.js file can be found here, with the certificate and private key clearly visible. These are used to encrypt HTTP traffic with the printer, and is the sole thing standing in the way of tools like OrcaSlicer talking with authentication-enabled Bambu Lab printers.

As for what will be the next steps by Bambu Lab, it’s now clear that security through obfuscation is not going to be very effective here. While playing whack-a-mole with (paying) users who are only interested in using their hardware in the way that they want is certainly an option, this might be a wake-up call for the company that being more forthcoming with their userbase would be in anyone’s best interest.

We await Bambu Lab’s response with bated breath.

hackaday.com/2025/01/19/bambu-…

Con il singolo “Jumping the Gun”, Hope Tala si conferma una delle voci più intriganti e promettenti della scena indie-pop contemporanea. La giovane cantante inglese, originaria di Londra ma attualmente di base a Los Angeles, ci trasporta in un mondo musicale che fonde delicatamente Indie-Pop, R&B contemporaneo e sfumature alternative. @Musica Agorà

iyezine.com/recensione-di-jump…

Recensione di “Jumping the Gun” di Hope Tala

Recensione di “Jumping the Gun” di Hope Tala - Hope Tala si conferma una delle voci più intriganti e promettenti della scena indie-pop contemporanea. - Hope Tala

^{Margherita Zanin (In Your Eyes ezine)}