Il settore globale della sicurezza informatica si sta preparando per una nuova sfida: Microsoft lancia un’iniziativa Zero Day Quest aggiornata, promettendo ricompense che in precedenza sembravano fantastiche: il montepremi totale ha raggiunto i 5 milioni di dollari. Questa mossa non solo incoraggia i migliori specialisti nella ricerca di vulnerabilità , ma definisce anche nuovi standard di protezione per i servizi cloud e l’intelligenza artificiale

L’anno scorso, il lancio iniziale del programma aveva già attirato l’attenzione dell’intera comunità professionale: il montepremi era allora di 4 milioni di dollari e il format stesso aveva suscitato un interesse di rara portata. Questa volta, Microsoft alza la posta in gioco e si concentra sulle minacce più pericolose associate alle piattaforme cloud e all’intelligenza artificiale.

Gli organizzatori sottolineano che si tratta del più grande concorso pubblico di ricerca di vulnerabilità della storia, in cui gli sforzi dei principali specialisti e ingegneri dell’azienda saranno combinati per proteggere in modo proattivo dalle crescenti minacce. Questo approccio riflette la nuova strategia di Microsoft: l’enfasi è posta sulla cooperazione aperta e sulla ricerca di innovazione in un panorama di attacchi in continua evoluzione.

Zero Day Quest si basa sull’idea di incentivare l’hacking etico, ovvero la scoperta dei cosiddetti “zero day”, vulnerabilità precedentemente sconosciute che potrebbero essere sfruttate dagli aggressori per compromettere dati o distruggere infrastrutture. L’anno scorso, l’azienda ha investito 1,6 milioni di dollari solo per le scoperte nel campo dell’intelligenza artificiale di Copilot e dei servizi cloud, il che si è rivelato un incentivo significativo per le ricerche più audaci e approfondite.

La nuova ondata della competizione inizierà con la Research Challenge, dove dal 4 agosto al 4 ottobre 2025, esperti di tutto il mondo potranno proporre soluzioni per la ricerca di vulnerabilità nelle aree di massima priorità: infrastruttura Microsoft Azure, intelligenza artificiale Copilot, piattaforme aziendali Dynamics 365 e Power Platform, nonché sistemi di autenticazione e pacchetto M365.

Per vulnerabilità critiche, così come per bug in scenari speciali, viene fornito un bonus alla ricompensa, più il 50% al pagamento e, se coincidono più criteri, l’importo massimo aumenta.

I partecipanti selezionati potrebbero ricevere un invito a un evento riservato presso la sede centrale di Microsoft a Redmond nella primavera del 2026. Qui, i migliori specialisti collaboreranno con gli ingegneri dell’azienda per analizzare collettivamente i casi più complessi, ad esempio exploit per Kubernetes o attacchi ai modelli di linguaggio Copilot. Ma l’essenza dell’evento non è la competizione, bensì la condivisione delle conoscenze: gli esperti analizzeranno gli scenari di exploit più pericolosi, dall’aggiramento delle protezioni negli ambienti virtuali agli attacchi nascosti all’intelligenza artificiale.

Il programma opera secondo rigide regole di divulgazione responsabile: i premi dipendono dalla gravità e dalla riproducibilità della vulnerabilità, nonché dal suo impatto sull’azienda, che viene valutato utilizzando parametri internazionali e modelli di rischio interni.

L’ampliamento del fondo massimo a 5 milioni di dollari non è solo un modo per sostenere l’ingegno, ma anche un riconoscimento del fatto che le nuove tecnologie richiedono maggiore attenzione alla sicurezza. Microsoft si sta concentrando sulle vulnerabilità dell’intelligenza artificiale (attacchi che possono corrompere i modelli) e sulle falle nel controllo degli accessi al cloud che potrebbero portare a violazioni su larga scala. Pone particolare enfasi sugli scenari in cui gli hypervisor o gli algoritmi di inferenza dell’intelligenza artificiale sono a rischio.

Questa strategia rispecchia una tendenza globale: le grandi aziende utilizzano il crowdsourcing per ricercare proattivamente le vulnerabilità, in modo da non cedere agli aggressori nemmeno di un passo. In condizioni in cui sono in gioco non solo i dati aziendali, ma anche la sicurezza delle infrastrutture di interi Paesi, tali iniziative stanno diventando parte integrante della protezione globale.

Tutti i risultati vengono accettati tramite il canale ufficiale MSRC e i partecipanti ricevono non solo un premio in denaro, ma anche il prestigio del riconoscimento nella comunità professionale. La storia degli anni passati dimostra che tali concorsi non si limitano a correggere gli errori, ma aumentano effettivamente la sostenibilità delle nuove tecnologie e, forse, prevengono i disastri prima che si verifichino.

L'articolo Microsoft lancia la caccia al bug da 5 milioni di dollari! E la guerra agli zero-day comincia! proviene da il blog della sicurezza informatica.

Di recente, i criminali informatici si sono nuovamente concentrati su vecchie vulnerabilità presenti nelle popolari telecamere Wi-Fi e nei DVR D-Link. La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha ufficialmente aggiunto tre pericolose vulnerabilità al suo catalogo di minacce attivamente sfruttate (KEV), nonostante siano state tutte scoperte diversi anni fa. Questa decisione è stata presa alla luce di nuove prove che dimostrano che gli aggressori continuano ad attaccare dispositivi vulnerabili in tutto il mondo e che attacchi sono già stati registrati in reti reali.

L’elenco CISA include tre vulnerabilità relative ai dispositivi D-Link DCS-2530L, DCS-2670L e DNR-322L. La prima, CVE-2020-25078 con un punteggio CVSS di 7,5, consente l’accesso remoto alla password di amministratore della telecamera. Non sono richieste tecniche complesse per lo sfruttamento; è sufficiente sfruttare una falla nei meccanismi di sicurezza di questi modelli per scoprire i dati chiave per l’accesso al dispositivo.

Il secondo problema, CVE-2020-25079 con un punteggio più alto di 8,8, è legato alla capacità di eseguire comandi sul sistema tramite il componente cgi-bin/ddns_enc.cgi. Per sfruttare questa falla è richiesta l’autorizzazione, ma una volta ottenuto l’accesso, l’aggressore può iniettare i propri comandi nel dispositivo, ampliando significativamente le capacità di controllo della telecamera.

Anche la terza vulnerabilità, CVE-2020-40799 , ha un punteggio di 8,8. Riguarda la mancanza di controllo di integrità durante il caricamento del codice sul videoregistratore D-Link DNR-322L, che consente di eseguire comandi arbitrari a livello di sistema operativo dopo aver ottenuto l’autorizzazione, aprendo la strada all’installazione di malware e a un ulteriore controllo sull’apparecchiatura.

Di particolare rilievo è il fatto che la vulnerabilità CVE-2020-40799 non è ancora stata risolta dal produttore.

Il motivo è che il modello DNR-322L è ufficialmente riconosciuto come obsoleto e non è più supportato da D-Link: il suo ciclo di vita è terminato a novembre 2021. Si consiglia ai proprietari di questi dispositivi di interromperne l’utilizzo il prima possibile e di passare a soluzioni più moderne, in cui le falle siano state risolte. Le patch per gli altri due modelli sono state rilasciate nel 2020; tuttavia, come mostrano le statistiche, molte organizzazioni e utenti privati non hanno ancora aggiornato le proprie apparecchiature e sono a rischio.

La rilevanza del problema è confermata dal fatto che già nel dicembre 2024 l’FBI (Federal Bureau of Investigation) statunitense aveva emesso un avviso secondo cui la botnet HiatusRATstava attivamente scansionando Internet alla ricerca di telecamere con una vulnerabilità non corretta, la CVE-2020-25078. Ciò significa che dispositivi incontrollati possono essere utilizzati per attività di spionaggio, attacchi alle infrastrutture e persino per organizzare nuove botnet: eventi simili sono già stati registrati più di una volta in diversi Paesi.

Alle agenzie civili federali degli Stati Uniti è stata data una scadenza rigorosa: tutte le misure per neutralizzare le vulnerabilità devono essere implementate entro il 26 agosto 2025. Tali ordini mirano a proteggere le reti critiche da attacchi che potrebbero portare a fughe di dati, interferenze con la videosorveglianza e altre conseguenze pericolose. Nel contesto odierno, le telecamere non protette stanno diventando non solo un bersaglio per gli hacker, ma anche uno strumento per campagne informatiche su larga scala, e la loro distribuzione di massa non fa che aggravare i rischi.

Nella situazione attuale, il compito di aggiornare tempestivamente tutti i dispositivi utilizzati nelle reti aziendali e domestiche, nonché la dismissione obbligatoria dei modelli non supportati, sta diventando sempre più urgente. Proteggere l’infrastruttura digitale oggi è impossibile senza una risposta tempestiva all’emergere di minacce anche “obsolete”, soprattutto quando vengono utilizzate attivamente da veri aggressori.

L'articolo Telecamere D-Link sotto attacco! Gli hacker sfruttano ancora vulnerabilità del 2020. Il CISA Avverte proviene da il blog della sicurezza informatica.

Red Hot Cyber ha ricevuto e condivide con i propri lettori il comunicato ufficiale di Monte-Carlo Société des Bains de Mer, il celebre casinò di Montecarlo, in merito a un recente episodio di possibile compromissione informatica che ha attirato l’attenzione mediatica e del mondo della cybersecurity.

Domenica 3 agosto, la società ha preso atto di una rivendicazione pubblicata dal gruppo ransomware D4rk4rmy, che ha dichiarato di aver condotto un attacco informatico ai danni del Casinò di Montecarlo e di aver pubblicato dati estratti, in particolare una lista di contatti limitata a dipendenti e clienti, sul proprio sito.

Il comunicato recita testualmente:

Monte-Carlo Société des Bains de Mer ha preso atto domenica 3 agosto di una possibile compromissione della propria reputazione, riconducibile alla rivendicazione di un presunto attacco informatico. Tale atto riguarderebbe l’accesso a un numero molto limitato di contatti tra dipendenti e clienti.

Abbiamo immediatamente avviato indagini su tutte le fonti possibili e, parallelamente, abbiamo informato tutte le autorità competenti del Principato di Monaco – l’Agenzia Monegasca per la Sicurezza Informatica (AMSN), l’Autorità per la Protezione dei Dati Personali (APDP), la Direzione della Sicurezza Pubblica – con le quali siamo attivamente impegnati.

Abbiamo provveduto personalmente a presentare una denuncia.
A questo stadio, non è stata rilevata alcuna intrusione o anomalia nei nostri sistemi informatici, né alcun impatto sulle nostre operazioni.

Tutti i team competenti restano pienamente mobilitati per verificare e analizzare, nel più breve tempo possibile, la veridicità di questo presunto attacco informatico, l’autenticità e l’appartenenza dei dati eventualmente compromessi.

L’incidente è stato pubblicamente rivendicato dal gruppo D4rk4rmy, noto per attacchi ransomware di matrice criminale, che ha reso visibile la sua azione tramite il proprio portale online, diffondendo una parte dei dati sottratti come forma di pressione sul casinò per un riscatto.

Ad oggi, il Casinò di Montecarlo conferma che nessun danno operativo è stato rilevato, e che le indagini sono tuttora in corso per stabilire l’effettivo impatto dell’evento.

Ringraziando il Casinò di Montecarlo per le preziose informazioni, Red Hot Cyber continuerà a monitorare la situazione e a fornire aggiornamenti non appena emergeranno nuovi dettagli da fonti ufficiali e investigative.

L'articolo Il Casinò di Montecarlo scrive a RHC: “A questo stadio, non è stata rilevata alcuna intrusione” proviene da il blog della sicurezza informatica.

Per decenni abbiamo celebrato il digitale come la promessa di un futuro più connesso, efficiente e democratico.

Ma oggi, guardandoci intorno, sorge una domanda subdola e inquietante: e se fossimo veramente entrati nel periodo della decadenza digitale? Un’epoca in cui la tecnologia, da motore del progresso, si sta trasformando in una pesante zavorra, in disinformazione, dipendenza e soprattutto disumanizzazione — dove il digitale ci promette tutto, ma ci toglie lentamente ciò che ci rende umani.

In questo articolo voglio condividere alcuni “segnali” che da tempo osservo e cerco di contestualizzare. Indizi sottili ma sempre più evidenti, che mostrano come il sogno digitale stia perdendo lucidità, lasciandoci spettatori di una trasformazione che ci riguarda tutti — e che forse stiamo subendo più che guidando.

La sovrabbondanza dei contenuti e la morte del significato

In rete si pubblicano ogni giorno miliardi di contenuti. Ma quanta di questa produzione ha un reale valore?

L’informazione si è trasformata in rumore, i testi in clickbait, le immagini in labirinti per l’attenzione.

La conoscenza approfondita è stata sacrificata sull’altare della viralità e della velocità. La “quantità” ha sopraffatto la qualità. In questo scenario, ciò che è vero viene sepolto sotto ciò che è virale, e l’utente medio, bombardato da input, perde la sua capacità critica.

L’IA avrebbe dovuto potenziare le nostre capacità cognitive, liberandoci da compiti ripetitivi. Invece, si sta delineando uno scenario inquietante: testi, immagini, video e perfino emozioni sintetiche prodotti a velocità disumana, rendendo indistinguibile il reale dal simulato.

L’autenticità perde valore. La creatività umana è messa in ombra da un flusso inarrestabile di “prodotto digitale” generato da macchine. Ciò che era raro e prezioso, ora è replicabile, indistinto, con un sapore “statistico,” e privo di anima.

Il collasso delle relazioni e la dipendenza: il nuovo modello di Business

I social network, nati per avvicinare le persone, sono diventati luoghi di alienazione, narcisismo e polarizzazione.

Il concetto stesso di “amicizia” è stato svuotato. Le interazioni umane sono filtrate da algoritmi che decidono cosa dobbiamo vedere, pensare, desiderare. Si parla tanto di “engagement“, ma ciò che cresce è la solitudine. E questo noi che ci occupiamo di Cybersecurity lo vediamo. Romantic scam, macellazione del maiale. Il digitale ha moltiplicato le connessioni, ma sta irrimediabilmente indebolendo i legami e l’autenticità a tutto tondo.

Nel capitalismo digitale, la risorsa più preziosa non è il denaro, ma la nostra attenzione. E per ottenerla, tutto è lecito: notifiche infinite, scorrimento infinito (che sta lobotomizzando i giovani), e tutto questo con premi dopaminergici.

Le piattaforme non si limitano più a offrirci servizi: ci osservano, ci influenzano e ci tengono incollati. Un tempo la sorveglianza era il cuore del modello di business di Internet (ci spiegava il grande Bruce Schneier). Oggi sta accadendo qualcosa di più sottile e pervasivo: la dipendenza è diventata il nuovo modello di business.

La libertà dell’individuo si dissolve nella compulsione algoritmica. Non siamo più utenti, siamo merce — profilati, sezionati e rivenduti al miglior offerente, mentre crediamo di esercitare scelte libere in un ecosistema pensato per essere manipolati.

Vulnerabilità, dati, privacy e cyberminacce

Ogni nostra azione online lascia molte traccie. Ogni dispositivo è una porta d’ingresso. La digitalizzazione totale ci ha resi vulnerabili come mai prima. Dalla sorveglianza di massa alle fughe di dati personali, dai ransomware che paralizzano ospedali ai deepfake che minano la fiducia pubblica, viviamo immersi in un’epoca di insicurezza digitale sistemica. Il digitale, che avrebbe dovuto renderci più sicuri, ha spalancato invece nuove e imprevedibili frontiere del rischio.

La privacy, un tempo pilastro della dignità individuale, è oggi una chimera: promessa a parole, ma purtroppo sistematicamente violata nei fatti. Un’illusione che ci viene venduta mentre veniamo osservati, profilati e monetizzati.

C’è un senso di stanchezza nell’aria?

I nuovi dispositivi, le app, gli aggiornamenti sembrano più routine di consumo per far girare quella grossa ruota del consumo, che rivoluzioni culturali. iPhone 17? Ma cosa ha davvero di così rivoluzionario rispetto all’iPhone 12?

Le grandi aziende non innovano più per cambiare il mondo, ma per consolidare il loro dominio sul mondo.

Il mercato si concentra, l’energia creativa si spegne. Le startup, un tempo laboratorio del futuro con pochissime e illuminate persone, oggi inseguono l’effimero: rendere il cibo più veloce, il dating più superficiale, le notifiche più invasive.

L’innovazione ha smarrito la bussola. E noi, forse, la capacità di distinguere il progresso dalla sua caricatura.

I nuovi Dei: Conglomerati, Potere e la Fine della Casa Comune

Nel nostro tempo, i grandi conglomerati globali non sono più semplicemente aziende. Sono potenze sovranazionali, colossi economici che muovono capitali superiori al prodotto interno lordo di intere nazioni. Hanno sedi nei grattacieli, ma radici profondissime nella terra fertile della politica. Nessun vertice internazionale, nessuna agenda globale può prescindere dalla loro influenza e interferenza. Hanno ridefinito le regole, trasformando la democrazia in un esercizio di relazioni pubbliche e la sovranità in una formalità amministrativa.

Nutrendosi di dati, risorse e consenso, questi nuovi Leviatani tecnologici hanno creato un ecosistema dove il business è il valore supremo, una nuova etica mercantile che soppianta quella umana. L’uomo non è più “cittadino del mondo“, ma utente; non più soggetto di diritto, ma “oggetto di profilazione“. E mentre ci illudiamo di essere connessi, loro costruiscono cattedrali di silicio e labirinti algoritmici per le nostre menti sfruttando una quantità di energia senza precedenti.

L’intelligenza artificiale, con tutta la sua promessa di progresso, è anche figlia di un’incontrollabile fame energetica. E questa fame ha risvegliato appetiti antichi: complessi nucleari privati stanno sorgendo come nuove centrali del potere. La visione di un mondo più pulito, racchiusa nei sogni dell’Agenda 2030, si dissolve nel calore radioattivo dei reattori per alimentare l’apprendimento dei modelli di intelligenza artificiale. E questa è una corsa che brucia silenziosamente i principi ecologici e i valori umani.

La Terra non è più percepita come una madre, ma come una cava. E come ogni figlio ingrato, l’uomo continua a violarla, a saccheggiarla, a ignorarne i limiti. Non c’è rispetto per la casa in cui viviamo, e ancor meno per noi stessi e per i nostri figli.

Ci siamo convinti che il valore si misuri solo con il capitale, margini di profitto e crescita perpetua. Abbiamo scambiato l’espansione continua per un segno di salute, dimenticando che in natura ciò che cresce senza equilibrio, senza limiti, distruggendo ciò che lo circonda e alla fine se stesso… si chiama tumore.

Conclusione: è davvero decadenza?

Non possiamo sapere con certezza se siamo all’inizio del tramonto digitale o in una sua fase di trasformazione.

La decadenza digitale non è solo tecnologica: è antropologica. È il lento declino della nostra capacità di distinguere il reale dal simulato, il vero dal verosimile, l’umano dall’algoritmico. È la progressiva erosione del pensiero critico, dell’intimità e della riflessione, a favore della velocità, della reazione e della superficialità.

È vero, ogni epoca ha avuto i suoi momenti di eccesso, di crisi e di forte riflessione.

Ma ciò che è chiaro è che il paradigma attuale non è sostenibile. Abbiamo bisogno di una nuova visione: un digitale che non consumi, ma che costruisca; che non manipoli, ma che emancipi; che non produca soltanto profitto, ma anche buon senso.

La decadenza, in fondo, non è necessariamente la fine. È spesso un invito al cambiamento. Un segnale che qualcosa deve per forza evolversi.

Sta a noi decidere se assistere al collasso o essere protagonisti di un “rinascimento digitale”.

L'articolo Decadenza Digitale: Quando il Futuro Promesso Diventa una Gabbia per la mente proviene da il blog della sicurezza informatica.

Con così tante possibilità di trasmettere video online, la protezione dei contenuti continua a essere una questione fondamentale per i titolari dei diritti d’autore. Questo risultato è spesso ottenuto tramite strumenti antipirateria di gestione dei diritti digitali (DRM), che stabiliscono dove e quando è possibile accedere ai contenuti digitali.

PlayReady DRM è uno dei principali attori del settore. La tecnologia di proprietà di Microsoft è utilizzata da molti dei principali servizi di streaming, tra cui Disney+, Netflix, Prime Video e altri. Pertanto, mantenerla sicura è fondamentale.

Qualche settimana fa, un account chiamato “Widevineleak” ha pubblicato un elenco di certificati SL2000 e SL3000 su GitHub. La variante SL2000 è comunemente nota come DRM software, mentre la variante SL3000, più avanzata, offre una sicurezza hardware più avanzata.

La fuga di notizie dei certificati SL3000 è particolarmente problematica perché SL3000 è progettato per proteggere i contenuti di altissima qualità, comprese le versioni 4K e UHD. Con questi certificati, i pirati potrebbero potenzialmente decrittografare e ridistribuire flussi video ad alta risoluzione, aggirando di fatto le protezioni.

La fonte originale della fuga di notizie è sconosciuta. Tuttavia, la prospettiva di una pirateria di massa è chiaramente problematica per i titolari dei diritti, le piattaforme di streaming e la stessa PlayReady, che fa affidamento su fiducia e sicurezza. Non sorprende quindi che Microsoft abbia preso provvedimenti immediati.

La risposta di Microsoft includeva un avviso di rimozione inviato alla sua sussidiaria, GitHub, chiedendole di rimuovere i certificati SL3000 trapelati. Ciò conferma che le informazioni trapelate erano autentiche e a rischio di sfruttamento. “I materiali ospitati fanno parte del nostro prodotto PlayReady e consentono ai malintenzionati di piratare i contenuti protetti da PlayReady”, si legge nell’avviso, aggiungendo che “l’intero repository viola i diritti” e pertanto dovrebbe essere completamente rimosso.

GitHub ha ottemperato alla notifica di rimozione e ha rimosso il contenuto in questione, nonché due fork del repository. I visitatori che consultano il link oggi vedranno invece una notifica di rimozione .

Curiosamente, i certificati SL2000 trapelati non sono stati menzionati nell’avviso di rimozione e sono ancora online al momento della stesura di questo articolo. Sebbene l’attenzione fosse rivolta ai certificati SL3000, a maggiore sicurezza, l’omissione solleva interrogativi sulla strategia più ampia di Microsoft per affrontare tali fughe di notizie a diversi livelli di sicurezza.

L'articolo La Fuga dei certificati PlayReady, costringe Microsoft ad interviene per proteggere lo streaming proviene da il blog della sicurezza informatica.

In un articolo pubblicato il 5 agosto 2025 sul blog ISC SANS da parte di Bojan Zdrnja, è possibile effettuare il furto delle “chiavi di macchina” (Machine Keys) nei server IIS. L’autore esplora il meccanismo di queste chiavi e come possano essere sfruttate, in particolare alla luce di recenti exploit ToolShell per Microsoft SharePoint. Il furto di una Machine Key rappresenta una minaccia significativa, consentendo agli attaccanti di superare le misure di protezione dei dati, come la validazione del VIEWSTATE, e potenzialmente ottenere un accesso persistente.

Una Machine Key è un’impostazione di configurazione cruciale in IIS e ASP.NET, utilizzata per proteggere dati sensibili come il VIEWSTATE, i cookie e lo stato della sessione. La sua funzione principale è convalidare e crittografare questi dati per impedire manomissioni non autorizzate. L’autore spiega come in ASP.NET Web Forms, il VIEWSTATE sia un meccanismo progettato per mantenere lo stato dei controlli e dei dati della pagina tra i postback al server.

Per impostazione predefinita, IIS abilita la validazione del VIEWSTATE MAC (Message Authentication Code), ma la crittografia è spesso impostata su “Auto”, il che significa che potrebbe non essere sempre in uso. La Machine Key è essenziale per questa validazione, che tipicamente impiega algoritmi come SHA1 o HMACSHA256. L’autore sottolinea che, se un attaccante riesce a impossessarsi della Machine Key di un server, può alterare i valori del VIEWSTATE e dei cookie a suo piacimento.

Il possesso di una Machine Key valida può portare a conseguenze molto gravi, tra cui l’esecuzione di codice in remoto. Il testo illustra due modi in cui una chiave di macchina è comunemente conservata: o viene generata automaticamente da IIS e salvata nel registro di sistema, oppure viene creata dall’amministratore e archiviata in chiaro nel file web.config. L’autore nota che gli attaccanti che sfruttano vulnerabilità come l’inclusione di file o le entità esterne XML (XXE) possono spesso recuperare il file web.config per rubare la chiave.

Anche nel caso in cui la chiave sia generata automaticamente e si trovi nel registro, un attaccante che ha già ottenuto l’esecuzione di codice sul server può comunque leggerla. L’articolo fornisce un esempio pratico, un “proof-of-concept”, che dimostra come una Machine Key rubata possa essere sfruttata per l’esecuzione di codice remoto. Utilizzando uno strumento come ysoserial.net, un aggressore può creare un oggetto VIEWSTATE dannoso.

Poiché l’attaccante possiede la Machine Key valida, il server convaliderà con successo il MAC dell’oggetto e cercherà di deserializzarlo, attivando il codice malevolo. L’autore enfatizza che, una volta che un attaccante ha in mano una Machine Key valida, ha di fatto creato una “backdoor persistente” al server, che funzionerà su qualsiasi pagina ASPX all’interno dell’applicazione.

Infine, l’articolo offre un suggerimento per gli amministratori, spiegando che possono rilevare tali attacchi monitorando l’evento con codice 4009 nel log delle applicazioni di Windows. Questo evento viene generato quando la deserializzazione del VIEWSTATE fallisce, e l’intero oggetto VIEWSTATE viene registrato, permettendo un’ispezione più approfondita.

L'articolo Con ToolShell, è possibile accedere alle Machine key di Internet information Services (IIS) proviene da il blog della sicurezza informatica.

Every Thursday of the week, Bastian’s Night is broadcast from 21:30 CEST (new time).

Bastian’s Night is a live talk show in German with lots of music, a weekly round-up of news from around the world, and a glimpse into the host’s crazy week in the pirate movement.

If you want to read more about @BastianBB: –> This way

piratesonair.net/bastians-nigh…

Web systems are designed to be simple and reliable. Designing for the everyday person is the goal, but if you don’t consider the odd man out, they may encounter some problems. This is the everyday life for some people with names that often have unconsidered features, such as apostrophes or spaces. This is the life of [Luke O’Sullivan], who even had to fly under a different name than his legal one.

[O’Sullivan] is far from a rare surname, but presents an interesting challenge for many computer systems. Systems from the era of penny pinching every bit relied on ASCII. ASCII only included 128 characters, which included a very small set of special characters. Some systems didn’t even include some of these characters to reduce loading times. Throw on the security features put in place to prevent injection attacks, and you have a very unfriendly field for many uncommon names.

Unicode is a newer standard with over 150,000 characters, allowing for nearly any character. However, many older systems are far from easy or cheap to convert to the new standard. This leaves many people to have to adapt to the software rather than the software adapting to the user. While this is simply poor design in general, [O’Sullivan] makes sure to point out how demeaning this can be for many people. Imagine being told that your name isn’t important enough to be included, or told that it’s “invalid”.

One excuse that gets thrown about is the aforementioned injection prompts that can be used to affect these systems. This can cause systems to crash or even change settings; however, it’s not just these older systems that get affected. For modern-day injection prompts, check out how AI models can get affected!

youtube.com/embed/0f3RMYTCvMU?…

Thanks to Ken Fallon for the tip!

hackaday.com/2025/08/05/why-na…

Entries keep ticking in for the One Hertz Challenge, some more practical than others. [Pierre-Loup M.]’s One Hertz Sculpture has no pretensions of being anything but pretty, but we can absolutely respect the artistic impulse behind it.

The sculpture is a free-form circuit inside of a picture frame. There are 9 LEDs in a ring with a few other components to produce a reverse-chase effect (one going dark at a time) taking about 1 second to circle the sculpture. As far as free-form circuit art goes, it’s handsomely done, but as this is Hackaday it’s probably the electronics, rather that the aesthetics that are of interest.

The circuit is an example of a ring oscillator: a cascading chain of NOT gates, endlessly feeding into and inverting one
Without timing it, it looks like 1 Hz, even if we know it’s not.
another. The NOT gates are implemented in resistor-transistor logic with 2N3904 NPN transistors, nine in total. Of course the inverter delay of this sort of handmade logic gate is far too fast for an aesthetically pleasing (or visible) chase, so some extra circuitry is needed to slow down the oscillations to something less than the 5 MHz it would naturally do. This is affected by pairing every transistor with an RC oscillator. Ideally the RC oscillator would have a 0.111..s period (1/9th of a second), but a few things got in the way of that. The RC oscillator isn’t oscillating in a vacuum, and interactions with the rest of the circuit have it running just a little bit fast. That’s really of no matter; a simple oscillator circuit like this wasn’t going to be a shoe in for the accuracy-based Time Lords category of this contest. As a sculpture and not a clock, you’re not going to notice it isn’t running at exactly 1Hz. (Though a ring-oscillator based clock would be a sight indeed.)

We’ve seen ring oscillators before, including inside the venerable 8087 coprocessor and this delightfully romantic beating-heart gift, but this is the first one that seems to have entered the One Hertz Challenge.

If you have a hankering for hertz, the contest is still open, but you’d better get ticking! The contest closes August 19th.

hackaday.com/2025/08/05/2025-o…

Ho scoperto questo manga di recente e me ne sono innamorato. Affronta tematiche importanti senza banali superficialità, offrendo uno spaccato "chiaramente un po' romanzato" della vita degli studenti delle superiori. Onestamente, non ne ho mai abbastanza!

🌕⭐: Non amo dare voti assoluti, ma questo per me se li merita tutti. Aspetto con impazienza i nuovi capitoli.