The old saying that the best way to learn is by doing holds as true for penetration testing as for anything else, which is why intentionally vulnerable systems like the Damn Vulnerable Web Application are so useful. Until now, however, there hasn’t been a practice system for penetration testing with drones.

The Damn Vulnerable Drone (DVD, a slightly confusing acronym) simulates a drone which flies in a virtual environment under the command of of an Ardupilot flight controller. A companion computer on the drone gives directions to the flight controller and communicates with a simulated ground station over its own WiFi network using the Mavlink protocol. The companion computer, in addition to running WiFi, also streams video to the ground station, sends telemetry information, and manages autonomous navigation, all of which means that the penetration tester has a broad yet realistic attack surface.

The Damn Vulnerable Drone uses Docker for virtualization. The drone’s virtual environment relies on the Gazebo robotics simulation software, which provides a full 3D environment complete with a physics engine, but does make the system requirements fairly hefty. The system can simulate a full flight routine, from motor startup through a full flight, all the way to post-flight data analysis. The video below shows one such flight, without any interference by an attacker. The DVD currently provides 39 different hacking exercises categorized by type, from reconnaissance to firmware attacks. Each exercise has a detailed guide and walk-through available (hidden by default, so as not to spoil the challenge).

This seems to be the first educational tool for drone hacking we’ve seen, but we have seen several vulnerabilities found in drones. Of course, it goes both ways, and we’ve also seen drones used as flying security attack platforms.

youtube.com/embed/EHTQv6IfnwI?…

hackaday.com/2025/07/18/a-vuln…

Una recente violazione dei dati ha rivelato una vulnerabilità nei sistemi di Paradox.ai, uno sviluppatore di chatbot basati sull’intelligenza artificiale utilizzati nei processi di assunzione di McDonald’s e di altre aziende Fortune 500. La grave violazione è stata causata da un semplice errore: un bug di tipo IDOR (acronimo di Insecure Direct Object Reference, oggi Broken Access Control nella TOP10 Owasp) contenente un codice debole.

Tutto è iniziato quando i ricercatori di sicurezza Ian Carroll e Sam Curry hanno ottenuto l’accesso al backend di McHire.com, una piattaforma che utilizza il bot di intelligenza artificiale Olivia di Paradox.ai per elaborare le candidature dei candidati. Come si è scoperto, un account di prova con un codice “123456” ha dato loro accesso a un set di dati di 64 milioni di record, inclusi nomi, numeri di telefono e indirizzi email dei candidati.

L’azienda ha ammesso che si trattava effettivamente del loro account di prova, inutilizzato dal 2019 e che avrebbe dovuto essere eliminato. Paradox sostiene che nessuno, a parte i ricercatori stessi, abbia avuto accesso al sistema e che nessuna delle registrazioni sia stata resa pubblica. Allo stesso tempo, sottolinea che si trattava solo della corrispondenza con il bot e non delle candidature di lavoro in sé.

Tuttavia, i problemi non sono finiti qui. Un’analisi indipendente delle perdite di password ha mostrato che nel giugno 2025 il dispositivo di un dipendente vietnamita di Paradox è stato infettato dal malware Nexus Stealer. Questo tipo di malware è noto per il furto di password e dati di autorizzazione, inclusi cookie e dati di accesso immessi manualmente. Dopo l’infezione, le informazioni del dipendente sono state esposte e indicizzate dai servizi che monitorano le perdite.

I dati rubati includevano centinaia di password semplici e ripetitive, spesso diverse solo per gli ultimi caratteri. Alcune di queste venivano utilizzate per accedere ai servizi interni di clienti Paradox, tra cui Aramark, Lockheed Martin, Lowe’s e Pepsi. La stessa password, composta da sole sette cifre, veniva utilizzata per accedere a diversi sistemi aziendali. Password di questo tipo possono essere decifrate in un solo secondo utilizzando moderni strumenti di attacco a forza bruta.

Ciò che è particolarmente allarmante è che i dati compromessi includevano accessi alla piattaforma Single Sign-On paradoxai.okta.com, che Paradox utilizza dal 2020 e supporta l’autenticazione a due fattori. Sebbene l’azienda affermi che la maggior parte delle password compromesse non sia più valida, includevano i dettagli di accesso per Okta e Atlassian , un servizio di project management e sviluppo software. Entrambi i token di autorizzazione sarebbero scaduti a dicembre 2025.

La fuga di dati ha interessato non solo gli accessi, ma anche i cookie, che potrebbero potenzialmente bypassare l’autenticazione a più fattori. Inoltre, in alcuni casi, il malware lascia delle backdoor sui dispositivi, consentendo l’accesso remoto. Uno di questi computer, appartenente a uno sviluppatore Paradox in Vietnam, è stato successivamente messo in vendita.

Paradox afferma che l’incidente non ha interessato altri account clienti e che i requisiti per i collaboratori esterni sono stati inaspriti dall’audit di sicurezza del 2019. Paradox cita il fatto che nel 2019 i collaboratori esterni non erano tenuti a rispettare gli stessi standard del personale interno.

È emerso anche che un altro dipendente Paradox in Vietnam è stato infettato da un malware simile alla fine del 2024. Tra i dati rubati c’erano i suoi account GitHub e la cronologia del browser, il che suggerisce che l’infezione potrebbe essere avvenuta durante il download di film piratati, un modo comune per questi virus, spesso mascherati da codec, di diffondersi.

La storia dimostra quanto possano essere fragili anche le aziende che dichiarano di avere standard di sicurezza rigorosi. Un account di prova dimenticato e un laptop infetto hanno potenzialmente compromesso i dati di diverse aziende.

L'articolo Un account di test dimenticato e un malware: dietro le quinte del data breach che ha colpito McDonald’s proviene da il blog della sicurezza informatica.

L’ufficio stampa del Cremlino ha riferito che il presidente russo Vladimir Putin ha incaricato il governo di sviluppare ulteriori restrizioni per i software (inclusi i “servizi di comunicazione”) prodotti in paesi ostili entro il 1° settembre 2025. L’elenco delle istruzioni è stato redatto a seguito di un incontro con i rappresentanti del mondo imprenditoriale tenutosi il 26 maggio di quest’anno. Il Primo Ministro Mikhail Mishustin è stato nominato responsabile dell’attuazione di queste istruzioni e dovrà preparare una relazione in merito entro il 1° settembre.

Il sito web del Cremlino afferma che i software provenienti da paesi ostili includono anche i “servizi di comunicazione”, ma non specifica quali. L’elenco delle istruzioni include anche la valutazione della questione dell’introduzione di ulteriori misure di sostegno per gli esportatori di software nazionale. Una relazione in merito dovrebbe essere predisposta da Mishustin entro il 1° settembre. In un incontro con i rappresentanti degli ambienti imprenditoriali tenutosi nel maggio 2025 è stata discussa la possibilità di limitare gradualmente l’uso di servizi cloud esteri con analoghi servizi russi .

Vladimir Putin ha suggerito di “strangolare” le aziende IT straniere che avevano annunciato il loro ritiro dal mercato russo e che cercavano di “strangolare” la Russia, sebbene continuassero a occupare le loro nicchie nel mercato russo. Ha consigliato ai russi che hanno mantenuto determinate abitudini di utilizzo e un attaccamento ai programmi e ai servizi occidentali di sbarazzarsi di “queste cattive abitudini”. Poco dopo, il capo del Ministero dello sviluppo digitale, Maksut Shadayev, ha commentato le parole del presidente russo sullo “strangolamento” dei servizi IT stranieri che agiscono contro la Federazione Russa, ma che non hanno abbandonato completamente il mercato russo.

“Il Presidente ha parlato di “strangolaremo”. In generale, considererei la questione in un contesto più ampio. È chiaro che il nostro settore si sta sviluppando a un ritmo molto rapido”, ha detto Shadayev. Secondo il ministro, l’attuale situazione economica in Russia è difficile e molti grandi clienti stanno letteralmente “tagliando” i loro budget IT. In questa situazione, è necessario pensare a ulteriori incentivi per incrementare la crescita della domanda di offerte nazionali in questo settore.

“In questa situazione, il nostro approccio è che le grandi aziende possano valutare di limitare gradualmente l’uso di servizi cloud esteri laddove esistano analoghi russi maturi. In questo modo, si supporteranno [le aziende IT russe] e si darà loro l’opportunità di generare entrate aggiuntive”, ha aggiunto il ministro.

L'articolo Putin impone restrizioni ai software esteri che hanno “strangolato” la Russia proviene da il blog della sicurezza informatica.

Devo mettere gli occhiali, mi servono delle lenti progressive, mi sono fatto fare un paio di preventivi e la "forchetta" tra i prezzi che mi hanno dato è molto alta.

Purtroppo non ho nessun modo di capire quale sia la scelta più razionale e attualmente ho solo due criteri a disposizione:

a) compro le economiche così risparmio;
b) compro le costose perché se costano di più sono migliori ed è meglio non risparmiare sulla salute.

Nessuno dei due criteri mi sembra quello ottimale. L'unica cosa utile sarebbe provarle entrambe e vedere come sono ma ovviamente non è possibile.

Voi che le avete come vi regolate?

#lenti #occhiali

Homebrew bills itself as the package manager MacOS never had (conveniently ignoring MacPorts) but they leave the PPC crowd criminally under-served, to say nothing of the 68k gang. Enter [that-ben] with MR Browser, a simple utility to fetch software from Macintosh Repository for computers too old to hit up the website.

If you’re not familiar with Macintosh Repository, it is what it says on the tin: a repository of vintage Macintosh software, like Macintosh Garden but apparently less accessible to vintage machines.
MRBrowser sys6 runs nicely on the Macintosh Plus, as you can see.
There are two versions available, depending on the age of your machine. For machines running System 6, the appropriately-named MR Browser sys6 will run on any 68000 Mac in only 157 KB of and MacTCP networking. (So the 128K obviously isn’t going to cut it, but a Plus from ’86 would be fine.)

The other version, called MR Browser 68K, ironically won’t run on the 68000. It needs a newer processor (68020 or newer, up-to and including PPC) and TCP/IP networking. Anything starting from the Macintosh II or newer should be game; it’s looking for System 7.x upto the final release of Mac OS 9, 9.2.2. You’ll want to give it at least 3 MB of RAM, but can squeak by on 1.6 MB if you aren’t using pictures in the chat.

Chat? Yes, perhaps uniquely for a software store, there’s a chat function. That’s not so weird when you consider that this program is meant to be a stand-alone interface for the Macintosh Repository website, which does, indeed, have a chat feature. It beats an uncaring algorithm for software recommendations, that’s for sure. Check it out in action in the demo video below.

It’s nice to see people still making utilities to keep the old machines going, even if coding on them isn’t always the easiest. If you want to go online on with vintage hardware (Macintosh or otherwise) anywhere else, you’re virtually locked-out unless you use something like FrogFind.

Thanks to [PlanetFox] for the tip. Submit your own, and you may win fabulous prizes. Not from us, of course, but anything’s possible!

hackaday.com/wp-content/upload…

*

hackaday.com/2025/07/18/mr-bro…

On Thursday, Demand Progress and Freedom of the Press Foundation (FPF) filed an ethics complaint against Edward L. Artau, a Florida judge who was nominated by President Donald Trump to a federal district court after delivering a favorable ruling for Trump in his defamation lawsuit against the Pulitzer Board. The ethics complaint asks the D.C. Court of Appeals and the Florida Judicial Qualifications Commission to investigate Artau for potentially breaking rules requiring judges to recuse themselves to avoid conflicts of interest, remain impartial, avoid impropriety, and avoid giving false statements.

Politico reported that Artau, who sought for Trump to nominate him shortly after the president won the 2024 presidential election, later ruled in Trump’s favor as part of a panel of state appellate judges deciding whether to allow the president’s lawsuit against the Pulitzer Prize Board to move forward. After joining a favorable panel ruling for Trump, and after going out of his way to write a gratuitous solo concurrence praising the lawsuit’s claims on the merits, Artau was nominated to be a judge on South Florida’s U.S. trial court. Artau later gave an incomplete and misleading testimony about these events to the Senate Judiciary Committee while under oath.

“A federal judge’s goal should be upholding the law and the American people’s confidence in the judiciary, not delivering whatever the president wants so that they can get a job,” said Emily Peterson-Cassin, director of corporate power at Demand Progress. “Judge Ed Artau’s behind-closed-doors jockeying for his nomination, his failure to recuse himself from the Pulitzer lawsuit and his misleading testimony to the Senate all raise bright red flags that need to be investigated.”

Seth Stern, director of advocacy at Freedom of the Press Foundation, said: “Judges should be safeguarding us against President Trump’s frivolous attacks on the free press, the First Amendment and the rule of law. Instead, Judge Artau seems eager to facilitate Trump’s unconstitutional antics in exchange for a job. That’s far from the level of integrity that the Rules of Professional Conduct demand. Attorney disciplinary commissions need to rise to this moment and not tolerate ethical violations that impact not only individuals before the court but our entire democracy.”

Read the Complaint here or below.

freedom.press/static/pdf.js/we…

freedom.press/issues/fpf-deman…

Our next PPI board meeting will take place on 05.08.2025 at 14:00 UTC / 16:00 CEST.

All official PPI proceedings, Board meetings included, are open to the public. Feel free to stop by. We’ll be happy to have you.

Where:jitsi.pirati.cz/PPI-Board

The prior meeting was unfortunately delayed.

Prior to that meeting a SCENE meeting is scheduled on July 22 at 7 pm/ UTC 9 pm CEST.

All of our meetings are posted to our calendar: pp-international.net/calendar/

We look forward to seeing visitors.

Thank you for your support,

The Board of PPI

pp-international.net/2025/07/n…

Hanno cominciato ad ammazzare cattolici, stai a vedere che adesso comincia a importarcene qualcosa...

La presidente del Consiglio Giorgia Meloni ha condannato l’attacco contro la chiesa e in generale contro la popolazione civile con toni particolarmente duri: in un comunicato ha detto che «sono inaccettabili gli attacchi contro la popolazione civile che Israele sta dimostrando da mesi. Nessuna azione militare può giustificarla.

ilpost.it/2025/07/17/chiesa-sa…

Israele ha attaccato l’unica chiesa cattolica nella Striscia di Gaza

Quella della Sacra Famiglia: tre persone sono state uccise e nove ferite, fra cui il parroco

^{Il Post}