La città francese di Lione ha annunciato un massiccio abbandono dei prodotti Microsoft e un passaggio a software open source, che rappresenta un altro segnale dell’aumento dell’interesse dell’Europa per l’indipendenza tecnologica.

Come hanno spiegato le autorità di Lione, i principali motivi sono stati il desiderio di ridurre la dipendenza dalle corporation IT statunitensi, prolungare la vita utile delle attrezzature cittadine e ridurre così l’impatto nocivo sull’ambiente. L’abbandono del software commerciale si inserisce anche nella strategia di rafforzamento della sovranità tecnologica, che le autorità cittadine intendono realizzare nei prossimi anni.

Nell’ambito di questi piani, a Lione si abbandonerà completamente la suite Microsoft Office, sostituendola con OnlyOffice, un software libero della società Ascensio Systems distribuito sotto licenza GNU Affero General Public License versione 3. Al posto dei servizi Microsoft per la collaborazione e la videoconferenza, le autorità adotteranno il complesso francese “Territoire Numérique Ouvert“, che si traduce come “Territorio digitale aperto”.

Per lo sviluppo e l’adattamento del complesso sono già stati stanziati circa due milioni di euro. I fondi sono stati forniti dall’Agenzia nazionale francese per lo sviluppo dei territori, che sostiene il passaggio delle regioni del paese a soluzioni digitali locali e indipendenti. Il “Territoire Numérique Ouvert” è già utilizzato in nove comunità francesi e conta diverse migliaia di utenti.

La decisione di Lione di abbandonare il software statunitense appare particolarmente significativa sulla scia della decisione del Ministero della digitalizzazione danese, che solo poche settimane fa ha annunciato la sua intenzione di eliminare i prodotti Microsoft. Inoltre, l’Unione Europea negli ultimi anni ha attivamente promosso le idee di sovranità digitale e cerca di ridurre i rischi legati al fatto che i dati dei cittadini e delle organizzazioni siano archiviati in un’infrastruttura di proprietà di società statunitensi.

Tali iniziative costringono i giganti IT statunitensi, tra cui Microsoft e AWS, a fare dichiarazioni eclatanti sulla “localizzazione dei dati” e sull’impossibilità di intervento da parte delle autorità statunitensi. Tuttavia, come ha dimostrato l’esempio di Lione, sempre più strutture europee preferiscono non credere alle parole e costruire le proprie alternative.

Il municipio di Lione serve più di un milione di persone e ha un organico di quasi 10.000 dipendenti. La perdita di un cliente del genere sarà senza dubbio un colpo spiacevole per i partner locali di Microsoft, ma su scala globale difficilmente influenzerà la situazione finanziaria dell’azienda. Tuttavia, proprio tali soluzioni locali potrebbero gradualmente trasformarsi in una tendenza seria in tutta la regione.

Oggi la tendenza all’abbandono del software statunitense da parte delle città e delle amministrazioni europee sta prendendo piede e comincia a somigliare a una valanga che sarà difficile da fermare.

L'articolo Milioni di europei senza Microsoft: la città di Lione abbraccia il software open source proviene da il blog della sicurezza informatica.

Una vulnerabilità critica di tipo denial of service (DoS) è stata identificata in più versioni del server MongoDB, nelle release 6.0, 7.0 e 8.0. La vulnerabilità, classificata come CVE-2025-6709, e consente ad aggressori non autenticati di bloccare i server MongoDB inviando payload JSON dannosi tramite la shell MongoDB.

La vulnerabilità identificata deriva da una convalida errata degli input nel meccanismo di autenticazione OpenID Connect (OIDC) del server, che consente agli aggressori di bloccare le istanze del database senza richiedere credenziali di autenticazione. Il punteggio CVSS di questa vulnerabilità è di 7,5, il che indica un rischio elevato per le organizzazioni che eseguono distribuzioni MongoDB vulnerabili in ambienti di produzione.

Gli aggressori possono sfruttare la shell MongoDB per trasmettere dati JSON dannosi appositamente creati, che innescano una condizione di errore, che porta a crash completi del server. Il meccanismo di attacco aggira i tradizionali requisiti di autenticazione, rendendolo particolarmente pericoloso in quanto consente ad aggressori remoti non autenticati di interrompere le operazioni del database.

La causa tecnica principale è l’inadeguata sanificazione e convalida dei dati di input formattati come data all’interno della pipeline di autenticazione OIDC. Quando il server MongoDB elabora questi valori di data non validi, la logica di analisi incontra strutture di dati inaspettate che violano i presupposti interni, causando l’interruzione imprevista del processo del server.

Le versioni di MongoDB Server v7.0 precedenti alla 7.0.17 e le versioni v8.0 precedenti alla 8.0.5 sono soggette a sfruttamento pre-autenticazione, consentendo ad aggressori completamente non autenticati di attivare da remoto condizioni di negazione del servizio. Anche le versioni di MongoDB Server v6.0 precedenti alla 6.0.21 contengono questa vulnerabilità, anche se per sfruttarla è necessaria un’autenticazione corretta.

Per mitigare questa vulnerabilità, i team di sicurezza dovrebbero dare priorità all’applicazione immediata delle patch alle ultime versioni stabili: MongoDB Server 6.0.21, 7.0.17 o 8.0.5, a seconda della versione di distribuzione corrente. Le organizzazioni che non sono in grado di implementare patch immediate dovrebbero prendere in considerazione l’implementazione di controlli di accesso a livello di rete, disabilitando temporaneamente l’autenticazione OIDC se non è essenziale per le operazioni o distribuendo firewall per applicazioni Web in grado di filtrare i payload JSON dannosi.

L'articolo Crolla MongoDB! Scoperta falla critica che blocca i server con un semplice JSON proviene da il blog della sicurezza informatica.

Centinaia di modelli di stampanti di Brother e di altri produttori (Fujifilm, Toshiba, Ricoh e Konica Minolta) sono risultati vulnerabili a gravi vulnerabilità scoperte dai ricercatori di Rapid7. Ad esempio, le stampanti sono dotate di una password di amministratore predefinita che può essere generata da aggressori remoti.

In totale, gli esperti hanno individuato otto diversi problemi nelle stampanti Brother:

La più grave, scoperta dai ricercatori di sicurezza, è il CVE-2024-51978, poiché la password predefinita sulle stampanti vulnerabili viene generata in fase di produzione utilizzando uno speciale algoritmo e si basa sul numero di serie del dispositivo. Gli analisti di Rapid7 scrivono che il processo di generazione della password è facilmente invertibile e si presenta in questo modo:

• è necessario prendere i primi 16 caratteri del numero di serie del dispositivo;
• aggiungere 8 byte ottenuti dalla tabella statica con salt;
• eseguire l’hashing del risultato utilizzando SHA256;
• hash codificato in formato Base64;
• prendi i primi otto caratteri e sostituisci alcune lettere con simboli speciali.

Si noti che gli aggressori possono accedere al numero di serie della stampante di destinazione utilizzando vari metodi o sfruttando la vulnerabilità CVE-2024-51977. Possono quindi utilizzare l’algoritmo descritto per generare una password di amministratore e accedere come amministratore.

Gli aggressori possono quindi riconfigurare la stampante, accedere alle immagini scansionate salvate, al contenuto della rubrica, sfruttare il CVE-2024-51979 per l’esecuzione di codice remoto o il CVE-2024-51984 per raccogliere credenziali.

Sebbene tutte le vulnerabilità sopra menzionate siano già state risolte nei firmware aggiornati rilasciati dai produttori, il problema critico CVE-2024-51978 non è stato altrettanto facile da risolvere. Dopotutto, la radice della vulnerabilità risiede nella logica stessa di generazione delle password utilizzata nella produzione delle apparecchiature. In altre parole, tutti i dispositivi prodotti prima della scoperta di questo problema continueranno a utilizzare password predefinite prevedibili, a meno che gli utenti non le modifichino.

L'articolo Vulnerabilità critiche scoperte in centinaia di stampanti Brother e altri produttori proviene da il blog della sicurezza informatica.

Earlier this year, I was required to move my server to a different datacenter. The tech that helped handle the logistics suggested I assign one of my public IPs to the server’s Baseboard Management Controller (BMC) port, so I could access the controls there if something went sideways. I passed on the offer, and not only because IPv4 addresses are a scarce commodity these days. No, I’ve never trusted a server’s built-in BMC. For reasons like this MegaOWN of MegaRAC, courtesy of a CVSS 10.0 CVE, under active exploitation in the wild.

This vulnerability was discovered by Eclypsium back in March It’s a pretty simple authentication bypass, exploited by setting an X-Server-Addr header to the device IP address and adding an extra colon symbol to that string. Send this along inside an HTTP request, and it’s automatically allowed without authentication. This was assigned CVE-2024-54085, and for servers with the BMC accessible from the Internet, it scores that scorching 10.0 CVSS.

We’re talking about this now, because CISA has added this CVE to the official list of vulnerabilities known to be exploited in the wild. And it’s hardly surprising, as this is a near-trivial vulnerability to exploit, and it’s not particularly challenging to find web interfaces for the MegaRAC devices using tools like Shodan and others.

There’s a particularly ugly scenario that’s likely to play out here: Embedded malware. This vulnerability could be chained with others, and the OS running on the BMC itself could be permanently modified. It would be very difficult to disinfect and then verify the integrity of one of these embedded systems, short of physically removing and replacing the flash chip. And malware running from this very advantageous position very nearly have the keys to the kingdom, particularly if the architecture connects the BMC controller over the PCIe bus, which includes Direct Memory Access.

This brings us to the really bad news. These devices are everywhere. The list of hardware that ships with the MegaRAC Redfish UI includes select units from “AMD, Ampere Computing, ASRock, ARM, Fujitsu, Gigabyte, Huawei, Nvidia, Supermicro, and Qualcomm”. Some of these vendors have released patches. But at this point, any of the vulnerable devices on the Internet, still unpatched, should probably be considered compromised.

Patching Isn’t Enough

To drive the point home, that a compromised embedded device is hard to fully disinfect, we have the report from [Max van der Horst] at Disclosing.observer, detailing backdoors discovered in verious devices, even after the patch was applied.

These tend to hide in PHP code with innocent-looking filenames, or in an Nginx config. This report covers a scan of Citrix hosts, where 2,491 backdoors were discovered, which is far more than had been previously identified. Installing the patch doesn’t always mitigate the compromise.

Many of us have found VSCode to be an outstanding IDE, and the fact that it’s Open Source and cross-platform makes it perfect for programmers around the world. Except for the telemetry, which is built into the official Microsoft builds. It’s Open Source, so the natural reaction from the community is to rebuild the source, and offer builds that don’t have telemetry included. We have fun names like VSCodium, and Cursor for these rebuilds. Kudoes to Microsoft for making VSCode Open Source so this is possible.

There is, however, a catch, in the form of the extension marketplace. Only official VSCode builds are allowed to pull extensions from the marketplace. As would be expected, the community has risen to the challenge, and one of the marketplace alternatives is Open VSX. And this week, we have the story of how a bug in the Open VSX publishing code could have been a really big problem.

When developers are happy with their work, and are ready to cut a release, how does that actually work? Basically every project uses some degree of automation to make releases happen. For highly automated projects, it’s just a single manual action, a kick-off of a Continuous Integration (CI) run, that builds and publishes the new release. Open VSX supports this sort of approach, and in fact runs a nightly GitHub Action to iterate through the list of extensions, and pull any updates that are advertised.

VS Code extensions are Node.js projects, and are built using npm. So the workflow clones the repository, and runs npm install to generate the installable packages. Running npm install does carry the danger that arbitrary code runs inside the build scripts. How bad would it be for malicious code to run inside this night update action, on the Open VSX GitHub repository?

A super-admin token was available as an environment variable inside this GitHub Action, that if exfiltrated, would allow complete takeover of the Open VSX repository and unfettered access to the software contained therein. There’s no evidence that this vulnerability was found or exploited, and OpenVSX and Koi Security worked together to mitigate it, with the patch landing about a month and a half after first disclosure.

FileFix

There’s a new social engineering attack on the web, FileFix. It’s a very simple, nearly dumb idea. By that I mean, a reader of this column would almost certainly never fall for it, because FileFix asks the user to do something really unusual. It works like this. You get an email or land on a bad website, and it appears present a document for you. To access this doc, just follow the steps. Copy this path, open your File Explorer, and paste the path. Easy! The website even gives you a button to click to launch file explorer.

That button actually launches a file upload dialog, but that’s not even the clever part. This attack takes advantage of two quirks. The first is that Javascript can inject arbitrary strings into the paste buffer, and the second is that system commands can be run from the Windows Explorer bar. So yes, copy that string, and paste it into the bar, and it can execute a command. So while it’s a dumb attack, and asks the user to do something very weird, it’s also a very clever intersection between a couple of quirky behaviors, and users will absolutely fall for this.

eMMC Data Extraction

The embedded MultiMediaCard (eMMC) is a popular option for flash storage on embedded devices. And Zero Day Initiative has a fascinating look into what it takes to pull data from an eMMC chip in-situ. An 8-leg EEPROM is pretty simple to desolder or probe, but the ball grid array of an eMMC is beyond the reach of mere mortals. If you’re soldering skills aren’t up to the task, there’s still hope to get that data off. The only connections needed are power, reference voltage, clock, a command line, and the data lines. If you can figure out connection points for all of those, you can probably power the chip and talk to it.

One challenge is how to keep the rest of the system from booting up, and getting chatty. There’s a clever idea, to look for a reset pin on the MCU, and just hold that active while you work, keeping the MCU in a reset, and quiet, state. Another fun idea is to just remove the system’s oscillator, as the MCU may depend on it to boot and do anything.

Bits and Bytes

What would you do with 40,000 alarm clocks? That’s the question unintentionally faced by [Ian Kilgore], when he discovered that the loftie wireless alarm clock works over unsecured MQTT. On the plus side, he got Home Automation integration working.

What does it look like, when an attack gets launched against a big cloud vendor? The folks at Cloud-IAM pull the curtain back just a bit, and talk about an issue that almost allowed an enumeration attack to become an effective DDoS. They found the attack and patched their code, which is when it turned into a DDoS race, that Cloud-IAM managed to win.

The Wire secure communication platform recently got a good hard look from the Almond security team. And while the platform seems to have passed with good grades, there are a few quirks around file sharing that you might want to keep in mind. For instance, when a shared file is deleted, the backing files aren’t deleted, just the encryption keys. And the UUID on those files serves as the authentication mechanism, with no additional authentication needed. None of the issues found rise to the level of vulnerabilities, but it’s good to know.

And finally, the Centos Webpanel Control Web Panel has a pair of vulnerabilities that allowed running arbitrary commands prior to authorization. The flaws have been fixed in version 0.9.8.1205, but are trivial enough that this cPanel alternative needs to get patched on systems right away.

hackaday.com/2025/06/27/this-w…

Robots can look like all sorts of things, but they’re often more fun if you make them look like some kind of charming animal. That’s precisely what [Ananya], [Laurence] and [Shao] did when they built Cucumber the Robot Dog for their final project in the ECE 4760 class.

Cucumber is controllable over WiFi, which was simple enough to implement by virtue of the fact that it’s based around the Raspberry Pi Pico W. With its custom 3D-printed dog-like body, it’s able to move around on its four wheels driven by DC gear motors, and it can flex its limbs thanks to servos in its various joints. It’s able to follow someone with some autonomy thanks to its ultrasonic sensors, while it can also be driven around manually if so desired. To give it more animal qualities, it can also be posed, or commanded to bark, howl, or growl, with commands issued remotely via a web interface.

The level of sophistication is largely on the level of the robot dogs that were so popular in the early 2000s. One suspects it could be pretty decent at playing soccer, too, with the right hands behind the controls. Video after the break.

youtube.com/embed/myNXUAshH7Q?…

hackaday.com/2025/06/27/meet-c…

We have all suffered from this; the boss wants you to compile a report on the number of paper clips and you’re crawling up the wall with boredom, so naturally your mind strays to other things. You check social media, or maybe the news, and before you know it a while has been wasted. [Neil Chen] came up with a solution, to configure a cheap smart plug with a script to block his diversions of choice.

The idea is simple enough, the plug is in an outlet that requires getting up and walking a distance to access, so to flip that switch you’ve really got to want to do it. Behind it lives a Python script that can be found in a Git Hub repository, and that’s it! We like it for its simplicity and ingenuity, though we’d implore any of you to avoid using it to block Hackaday. Some sites are simply too important to avoid!

Of course, if distraction at work is your problem, perhaps you should simply run something without it.

hackaday.com/2025/06/27/a-chea…

Prendi una Fiat Panda seconda serie del 2003, con 140.000 km sul groppone, il classico motore Fire 1.1, e nessuna dotazione moderna. Ora immagina di trasformarla in una specie di Cybertruck in miniatura, con fari LED stampati in 3D, infotainment touchscreen, comandi da astronave e una connessione satellitare globale.

No, non è una puntata di Black Mirror, è tutto vero. Si chiama Cyberpandino, ed è il progetto assurdo (e geniale) di due sviluppatori romani, Matteo e Roberto, che hanno deciso di iscriversi al Mongol Rally 2025 ,

Red Hot Cyber, essendo sempre pronta per le sfide epiche e impossibili, ha supportato questo “Magic Team”, in questa folle corsa da 14.000 km tra Europa e Asia con mezzi improbabili e zero assistenza ma ad alta tecnologia.

Avete capito proprio bene, tutto questo a bordo di una Panda da 800 euro acquistata a Roma e trasformata, nel tempo libero, in un laboratorio viaggiante open source.

Dietro il cofano: un Raspberry Pi 4B e un mondo di sensori

Il cuore tecnologico del Cyberpandino è una Raspberry Pi 4B, collegata a tutto ciò che può essere sensato (o totalmente folle) mettere su una vecchia utilitaria:

• OBD2: per leggere in tempo reale parametri come giri motore, temperatura, errori diagnostici e tensione batteria.
• Sensori IMU: accelerometro, giroscopio, magnetometro – la macchina sa sempre come si sta muovendo nello spazio, tipo navetta spaziale.
• Modulo GPS: tracking preciso e continuo, utile sia per la navigazione che per raccontare il viaggio.
• Sensori ambientali: qualità dell’aria, temperatura interna/esterna, umidità, VOC… praticamente una stazione meteo su quattro ruote.
• Camere USB ultragrandangolari: per creare una sorta di vista top-down 3D, utile nelle manovre strette (e per fare scena).
• Antenna satellitare Telespazio: Internet via satellite, anche nei deserti più remoti. Letteralmente ovunque.

Tutti questi dati vengono gestiti e sincronizzati da un sistema basato su Node.js, che fa da backend tra la Raspberry e l’interfaccia utente sviluppata in React.js.

L’interfaccia: niente Android Auto, qui c’è Panda OS

La UI principale è una dashboard React minimalista, pensata per essere leggibile anche sotto il sole a picco. Touch-friendly, con uno stile retrò-tech che sembra uscito da una console da battaglia degli anni ’80. Tutto gira su un sistema operativo leggero, basato su Raspberry Pi OS Lite, con servizi custom sviluppati in Node e script bash per il controllo di ogni componente.

Il secondo schermo mostra strumenti analogici digitalizzati in stile aeronautico, con informazioni come assetto, inclinazione del veicolo e stato dei sensori. E sì, c’è anche l’infotainment, con mappe offline, musica, videogiochi e qualche easter egg da nerd DOC.

Estetica da meme, cuore da maker

Esternamente il Cyberpandino prende in giro il Cybertruck: carrozzeria verniciata con vernice per cancelli, inserti neri, linee spigolose e grafiche rivisitate. Ma dietro l’ironia c’è una cura tecnica notevole: motore smontato e ricondizionato, sospensioni rinforzate, taniche di scorta, impianto LED completo e cablaggio interamente rifatto.

Tutto è stato realizzato in garage, con pezzi aftermarket trovati online, budget ridotto all’osso e tanto tempo passato a saldare, testare, riprovare.

Sempre connessi, anche nel nulla

Il punto di svolta è stato l’arrivo della collaborazione con Telespazio, che ha fornito un’antenna satellitare professionale. Questo permette alla Panda di rimanere connessa 24/7 ovunque: upload dei dati, backup, live tracking, aggiornamenti social e persino chiamate VoIP, tutto possibile anche in mezzo al Pamir.

E ovviamente, ogni metro percorso viene documentato in tempo reale su TikTok e Instagram (@cyberpandino), dove il progetto ha già conquistato una discreta community.

Quando l’auto è solo una scusa per imparare (e divertirsi)

Il Cyberpandino non vincerà nessuna gara, ma non è questo il punto. È una dichiarazione d’intenti: con un po’ di fantasia, spirito maker e competenze tecniche, si può trasformare anche una Panda del 2003 in qualcosa di straordinario.

È la dimostrazione che la tecnologia non serve solo a fare profitto o startup: può essere anche gioco, sperimentazione, racconto. E soprattutto: può far sognare.

L'articolo Due sviluppatori, una Panda, 14.000 km e zero paura! Cosa ne esce fuori? Nerd in fuga a tutto Open Source! proviene da il blog della sicurezza informatica.

I criminali informatici hanno iniziato adutilizzare attivamente una vulnerabilità criticache consente loro di ottenere il controllo completo di migliaia di server, compresi quelli che eseguono compiti chiave nei data center. Questo è quanto avverte l’Agenzia per la sicurezza informatica e la sicurezza delle infrastrutture degli Stati Uniti.

Il problema è stato rilevato nel firmware AMI MegaRAC Baseboard Management Controller (BMC) sviluppato da American Megatrends International (AMI), utilizzato per la gestione remota di grandi parchi di server. Questo firmware è integrato nei microcontrollori sulle schede madri. Consentono agli amministratori di eseguire operazioni anche quando il sistema operativo non è in funzione o l’alimentazione è disattivata.

Attraverso questi controller, è possibile reinstallare i sistemi operativi, modificare le configurazioni e avviare applicazioni senza accesso fisico al server. Basta compromettere un solo controller per accedere alla rete interna e agli altri dispositivi dell’infrastruttura.

La vulnerabilità ha ottenuto l’identificatore CVE-2024-54085 e una valutazione massima di pericolo – 10/10. La sua essenza è che un aggressore può aggirare l’autenticazione semplicemente inviando una richiesta HTTP speciale al dispositivo vulnerabile. La vulnerabilità è stata rilevata dalla società Eclypsium e segnalata a marzo, con un exploit funzionante che consente di creare un account amministratore senza password. A quel tempo, non erano note attacchi reali.

Il 26 giugno, la vulnerabilità è stata inclusa nella lista ufficiale delle vulnerabilità sfruttate da CISA, il che indica l’inizio degli attacchi reali. Non sono stati resi noti dettagli su quanto sta accadendo, ma Eclypsium ritiene che la portata possa essere seria.

Secondo loro, gli aggressori possono utilizzare le vulnerabilità per inserire codice dannoso direttamente nella firmware BMC. Ciò rende l’attacco praticamente invisibile e il malware può sopravvivere anche alla reinstallazione del sistema o alla sostituzione dei dischi. Tali attacchi aggirano gli antivirus e i sistemi di monitoraggio e consentono inoltre di accendere, spegnere o riavviare il server indipendentemente dallo stato del sistema operativo.

È inoltre possibile rubare le credenziali, utilizzare il server come punto di ingresso nella rete rimanente e persino danneggiare la firmware per disabilitare l’apparecchiatura. Tutto ciò rende la minaccia particolarmente seria per le infrastrutture aziendali e cloud.

L'articolo 10 su 10! Ora i criminali creano account Admin senza password sui server. Il CISA Avverte proviene da il blog della sicurezza informatica.

rieccomi con qualche piccola e deludente novità. Da ieri pomeriggio ho il tanto agognato contratto!
Inizialmente mi era stato "promesso" un contratto di un anno all'80% . Ero contenta, un giorno in più libero non mi fa schifo, e lo stipendio è sufficiente per me.
Poi però si è tramutato in "per il momento possiamo offrirti solo 9 mesi sempre all'80%", ma niente contratto da 10 giorni...
Infine ieri mi è stato detto che purtroppo per una serie disguidi e malfunzionamenti, il contratto me lo possono fare solo fino a dicembre 2025.

Bah, la mia prima reazione è stata quello di rifiutare.
Poi il mio superiore mi ha chiamata nel suo ufficio, si è scusato mille volte e mi ha spiegato che sta facendo di tutto per tramutare il mio contratto in uno a tempo indeterminato, perché anche se sono lì da poco, ho già dimostrato di essere una valida risorsa, e lui ci tiene a valorizzare le persone meritevoli.
Sono volubile e ho detto ok (anche se, a dire tutta la verità non ho ancora firmato nulla).

Scherzi a parte, fino a dicembre mi terrò questo lavoro, almeno posso pagare l'affitto. Intanto continuo la mia formazione e studio, così da poter seguire i miei sogni. 🙃

Ora vado, parrucchiere, medico e poi giornata in spiaggia (del fiume) con la nipotina! #proudaunt

#lavoro #contratto #delusione

Una campagna di phishing sofisticata che ha colpito oltre 70 organizzazioni sfruttando la funzione Direct Send di Microsoft 365. La campagna, iniziata a maggio 2025 e che ha mostrato un’attività costante negli ultimi due mesi, colpisce principalmente organizzazioni con sede negli Stati Uniti in diversi settori e luoghi.

Questo nuovo metodo di attacco, riportano i ricercatori di Varonis, consente agli attori delle minacce di impersonare utenti interni e consegnare email di phishing senza dover compromettere un account, aggirando i controlli di sicurezza email tradizionali che in genere esaminano le comunicazioni esterne. Ciò che rende questo attacco particolarmente preoccupante è lo sfruttamento di una funzione di Microsoft 365 poco conosciuta, progettata per comunicazioni interne legittime ma priva di adeguate protezioni di autenticazione.

In questi attacchi, gli attori delle minacce utilizzano la funzionalità Direct Send di M365 per colpire singole organizzazioni con messaggi di phishing che ricevono un esame molto meno rigoroso rispetto alla normale email in entrata. Direct Send è una funzione in Exchange Online progettata per consentire ai dispositivi interni come stampanti e applicazioni di inviare email all’interno di un tenant Microsoft 365 senza richiedere autenticazione. La funzione utilizza un host intelligente con un formato prevedibile: tenantname.mail.protection.outlook.com.

La falla di sicurezza critica risiede nell’assenza totale di requisiti di autenticazione. Gli aggressori hanno bisogno solo di pochi dettagli disponibili pubblicamente per eseguire le loro campagne: il dominio dell’organizzazione bersaglio e indirizzi di destinatari validi. La squadra di forensics di Varonis ha osservato gli aggressori utilizzare comandi PowerShell per inviare email truccate tramite l’host intelligente. Queste email sembrano provenire da indirizzi interni legittimi nonostante siano inviate da attori esterni non autenticati.

Il processo di attacco è notevolmente semplice. Una volta che gli attori delle minacce identificano il dominio e i destinatari validi, possono inviare email truccate che sembrano provenire dall’interno dell’organizzazione senza mai accedere o entrare nel tenant. Questa semplicità rende Direct Send un vettore attraente e a basso sforzo per campagne di phishing sofisticate.

L'articolo Microsoft 365 sotto attacco: come gli hacker sfruttano Direct Send per inviare email di phishing proviene da il blog della sicurezza informatica.

Il sistema giudiziario statunitense si è trovato al centro di un’importante controversia sulla privacy degli utenti di ChatGPT dopo che un giudice federale ha ordinato a OpenAI di conservare in modo permanente i registri di tutte le comunicazioni degli utenti, compresi i messaggi eliminati, in una causa per violazione del copyright intentata da diverse importanti organizzazioni giornalistiche.

All’inizio di maggio, il giudice Ona Wang, che ha firmato la sentenza, ha respinto il primo tentativo di uno degli utenti di intervenire nel caso, poiché rappresentava la sua azienda, ma lo ha fatto senza l’assistenza di un avvocato professionista. Tuttavia, anche un tentativo più recente di un altro utente, Aidan Hunt, di portare all’attenzione del tribunale la questione dell’archiviazione di massa dei dati personali è fallito, nonostante una richiesta più fondata.

Hunt, nel suo ricorso alla corte, ha sottolineato di utilizzare ChatGPT occasionalmente, inserendo talvolta nel sistema “informazioni personali e commerciali estremamente sensibili”. Ha affermato di ritenere che la sentenza della corte crei di fatto un “programma di sorveglianza di massa” su tutti gli utenti di ChatGPT a livello nazionale, senza alcun preavviso. Anche le chat eliminate o anonime sono ora soggette a archiviazione obbligatoria, ha affermato, il che viola le fondamentali tutele costituzionali della privacy.

Hunt è particolarmente preoccupato dal fatto che, anche se vengono salvate solo le risposte del modello, anziché le domande dell’utente, ciò non cambierebbe molto, poiché il contenuto delle risposte spesso riflette direttamente le domande originali, inclusi argomenti personali e delicati. Ha appreso della sentenza del tribunale per caso, dopo averla letta online, e si è quindi rivolto al tribunale, sostenendo che i suoi diritti sanciti dal Quarto Emendamento e dal giusto processo erano stati violati.

Nella sua mozione, Hunt ha chiesto di annullare o riconsiderare l’ordinanza, insistendo, come minimo, che tutte le chat e le comunicazioni anonime contenenti informazioni mediche, finanziarie, legali e altre informazioni personali non pertinenti alla causa intentata dalle società di informazione vengano escluse dall’archiviazione.

Tuttavia, il giudice Wang non è d’accordo con la tesi dell’utente. Nella sua sentenza, ha sottolineato che non si trattava di un caso di sorveglianza di massa, bensì di una prassi legale standard in cui alle aziende viene ordinato di conservare i dati ai fini di un procedimento giudiziario. Ha specificamente osservato che la magistratura non è un’agenzia di polizia e che le sue decisioni non equivalgono alla creazione di un programma di sorveglianza.

Tuttavia, gli esperti di diritti digitali individuano in questa situazione un precedente preoccupante. Come ha osservato Corinne McSherry, direttrice legale dell’Electronic Frontier Foundation, tali decisioni potrebbero effettivamente trasformarsi in una scappatoia per espandere il controllo aziendale e l’accesso alle informazioni personali degli utenti. Secondo lei, i precedenti in cui le forze dell’ordine o i querelanti iniziano a richiedere in massa dati sulle azioni degli utenti di chatbot sono piuttosto reali: basti pensare a casi simili con la cronologia delle ricerche o i post sui social media. .

L'articolo ChatGPT è la nuova Spia! Un giudice obbliga OpenAI a salvare ogni parola scritta dagli utenti proviene da il blog della sicurezza informatica.

Un nuovo annuncio pubblicato sulla piattaforma underground XSS.is rivela la presunta vendita di un accesso compromesso ai server di una web agency italiana ad alto fatturato. A offrire l’accesso è l’utente hackutron, attivo dal settembre 2023 e già noto nei circuiti dell’underground cybercrime.

Secondo quanto dichiarato dall’attore, l’accesso alla vittima avverrebbe tramite una WebShell attiva su un sistema Windows, protetto unicamente da Windows Defender. Il prezzo richiesto è di 300 dollari, una cifra relativamente bassa rispetto al valore del target dichiarato.

Nel dettaglio, l’annuncio riporta:

• Paese: Italia
• Fatturato dichiarato: oltre 15 milioni di dollari
• Tipo di accesso: WebShell
• Antivirus presente: Windows Defender
• Contenuto compromesso: oltre 20 installazioni WordPress e relativi database di altre aziende

L’obiettivo dichiarato sembra essere una agenzia web che gestisce più ambienti WordPress per clienti terzi. In uno dei messaggi si legge:

“Web Agency che ospita oltre 20 WordPress e DB di altre aziende (ricavi elevati)”

Questo rende particolarmente interessante l’accesso per attori malevoli specializzati in data theft, phishing-as-a-service, SEO poisoning o black hat defacement. Con accesso WebShell a un ambiente shared hosting, le possibilità di escalation e movimento laterale sono elevate.

Il fatto che si tratti di una web agency multi-tenant suggerisce che i dati potenzialmente compromessi non siano limitati alla sola vittima primaria, ma includano clienti, e-commerce, CMS e CRM installati nei vari domini ospitati. Questo moltiplica esponenzialmente l’impatto potenziale.

Ma la morale in tutto questo?

Che comprendere prima che un Initial Access Broker stia osservando o analizzando una rete aziendale è oggi una delle informazioni più preziose per la difesa preventiva. Questi attori vendono porte d’accesso già aperte, e sapere in anticipo se si è finiti nel loro radar consente di rafforzare i punti deboli, segmentare la rete, aggiornare le policy di accesso e attuare contromisure tempestive. Aspettare che l’accesso venga venduto – e poi magari usato da un gruppo ransomware – significa intervenire quando il danno è già in atto.

Qui entra in gioco la Cyber Threat Intelligence (CTI), che non si limita a osservare il passato, ma analizza pattern, comportamenti, reputazione e movimenti degli attori nelle zone grigie del web. L’intelligence delle minacce consente alle aziende di monitorare marketplace, forum underground, canali Telegram e dark web per rilevare vendite sospette, fughe di dati o credenziali compromesse. In un’epoca in cui le PMI vengono bersagliate con la stessa frequenza delle grandi aziende, la CTI non è un lusso per pochi, ma una necessità per tutti.

L'articolo In vendita sul dark web l’accesso a una web agency italiana: compromessi oltre 20 siti WordPress proviene da il blog della sicurezza informatica.

[Hunter Irving] is a talented hacker with a wicked sense of humor, and he has written in to let us know about his latest project which is to make a GameCube keyboard controller work with Animal Crossing.

This project began simply enough but got very complicated in short order. Initially the goal was to get the GameCube keyboard controller integrated with the game Animal Crossing. The GameCube keyboard controller is a genuine part manufactured and sold by Nintendo but the game Animal Crossing isn’t compatible with this controller. Rather, Animal Crossing has an on-screen keyboard which players can use with a standard controller. [Hunter] found this frustrating to use so he created an adapter which would intercept the keyboard controller protocol and replace it with equivalent “keypresses” from an emulated standard controller.

In this project [Hunter] intercepts the controller protocol and the keyboard protocol with a Raspberry Pi Pico and then forwards them along to an attached GameCube by emulating a standard controller from the Pico. Having got that to work [Hunter] then went on to add a bunch of extra features.

First he designed and 3D-printed a new set of keycaps to match the symbols available in the in-game character set and added support for those. Then he made a keyboard mode for entering musical tunes in the game. Then he integrated a database of cheat codes to unlock most special items available in the game. Then he made it possible to import images (in low-resolution, 32×32 pixels) into the game. Then he made it possible to play (low-resolution) videos in the game. And finally he implemented a game of Snake, in-game! Very cool.

If you already own a GameCube and keyboard controller (or if you wanted to get them) this project would be good fun and doesn’t demand too much extra hardware. Just a Raspberry Pi Pico, two GameCube controller cables, two resistors, and a Schottky diode. And if you’re interested in Animal Crossing you might enjoy getting it to boot Linux!

Thanks very much to [Hunter] for writing in to let us know about this project. Have your own project? Let us know on the tipsline!

youtube.com/embed/Yw8Alf_lolA?…

hackaday.com/2025/06/26/making…

[Ralph] is excited about impedance matching, and why not? It is important to match the source and load impedance to get the most power out of a circuit. He’s got a whole series of videos about it. The latest? Matching using a PI network and the venerable Smith Chart.

We like that he makes each video self-contained. It does mean if you watch them all, you get some review, but that’s not a bad thing, really. He also does a great job of outlining simple concepts, such as what a complex conjugate is, that you might have forgotten.

Smith charts almost seem magical, but they are really sort of an analog computer. The color of the line and even the direction of an arrow make a difference, and [Ralph] explains it all very simply.

The example circuit is simple with a 50 MHz signal and a mismatched source and load. Using the steps and watching the examples will make it straightforward, even if you’ve never used a Smith Chart before.

The red lines plot impedance, and the blue lines show conductance and succeptance. Once everything is plotted, you have to find a path between two points on the chart. That Smith was a clever guy.

We looked at part 1 of this series earlier this year, so there are five more to watch since then. If your test gear leaves off the sign of your imaginary component, the Smith Chart can work around that for you.

youtube.com/embed/-dzBv6FqCDk?…

hackaday.com/2025/06/26/pi-net…