First Hubble Image Taken in New Single Gyro Pointing Mode
After Space Shuttle Atlantis’ drive-by repair of the Hubble Space Telescope (HST) in May of 2009, the end of the STS program meant that the space telescope had to fend for itself with no prospect for any further repair missions. The weakest point turned out to be the gyroscopes, with of the original six only three functioning until May 24th of 2024 when one failed and couldn’t be reset any more. To make the most out of the HST’s remaining lifespan, NASA decided to transition again to single-gyroscope operation, with the most recent imaging results showing that this enables HST to return to its science mission.
Although the HST has operated with a reduced number of gyroscopes before, while awaiting its (much delayed) 2009 Servicing Mission 4, this time around it would appear that no such aid is coming. Although HST is still very much functional even after recently celebrating its 34th year in space, there is a lot of debate about whether another servicing mission could be organized, or whether HST will be deorbited in a number of years. Recently people like [Jared Isaacman] have suggested ideas for an STS servicing mission, with [Jared] even offering to pay for the entire servicing mission out of pocket.
While there is an argument to be made that a Crew Dragon is a poor substitute for a Shuttle with its big cargo bay, airlock and robotic arm, it’s promising to see at least that for now HST can do what it does best with few compromises, while we may just see Servicing Mission 5 happening at some point before that last gyro kicks the bucket.
Adding Texture to 3D Prints
[3DJake] likes putting textures on 3D prints using things like patterned build plates and fuzzy skin. However, both of those techniques have limitations. The build plate only lets you texture the bottom, and the fuzzy skin texture isn’t easy to control. So he shows how to use Blender to create specific textures to produce things like wood-like or leather-like surfaces, for example. You can see how it works in the video below.
As [Jake] points out, you might be able to use other artistic programs to do this, but the kind of things we use like FreeCAD of Fusion360 aren’t going to cut it.
He uses a bag with a leather texture as an example. The resulting model is too detailed and contains around 1.4 million triangles. Your printer isn’t that detailed, and your slicer will probably choke on a model with that many triangles. Decimating the model makes it more manageable.
The resulting bags, when printed using TPU and painted, hardly look like 3D prints. Well, other than the strap, perhaps. The textures were just pulled from the Internet, so there are, potentially, many to choose from as long as they are seamless.
One interesting build plate texture is a diffraction grating. You can also add special textures manually. Textures are good at hiding layer lines, even just the fuzzy skin textures you find in many slicers.
OWASP A04 Insecure Design: Prevenire Vulnerabilità nelle Applicazioni
Nell’era digitale di oggi, la sicurezza delle applicazioni è di vitale importanza. Uno degli errori più comuni è il design insicuro, che può avere gravi conseguenze sulla sicurezza del sistema. Un design insicuro può rendere un’applicazione vulnerabile a molte minacce. Questo è il motivo per cui l’OWASP ha identificato il design insicuro come una delle principali preoccupazioni nella loro lista di vulnerabilità del 2021.
I difetti di progettazione possono influire negativamente su vari aspetti della sicurezza, tra cui la disponibilità, il rispetto delle politiche di sicurezza e la divulgazione di informazioni. Durante la fase di sviluppo, le scelte progettuali errate possono compromettere l’intero sistema. Ad esempio, non considerare i modelli di minaccia può portare a falle di sicurezza facilmente sfruttabili.
Adottare metodologie di design sicure consente di prevenire molte di queste vulnerabilità. Un design sicuro coinvolge l’uso di design pattern sicuri e architetture di riferimento, come suggerito dagli esperti di Foresite Cybersecurity. Questo post esplorerà i principi chiave del design sicuro e fornirà esempi pratici su come migliorare la sicurezza del design delle applicazioni.
Key Takeaways
- Importanza di evitare design insicuri nelle applicazioni.
- Principi fondamentali del design sicuro.
- Esempi pratici e metodologie per migliorare la sicurezza.
Concetti Fondamentali del Design Insicuro
Il design insicuro deriva da scelte progettuali inadeguate che possono portare a vulnerabilità e minacce. La sicurezza deve essere una priorità fin dall’inizio del progetto.
Difetti, Vulnerabilità e Minacce
Il design insicuro si manifesta principalmente attraverso difetti, vulnerabilità e minacce. I difetti di progettazione sono errori commessi durante la creazione dell’architettura del sistema o dell’applicazione. Questi difetti possono provocare la compromissione della sicurezza dell’intero sistema.
Le vulnerabilità derivano spesso da un’inefficace gestione dei dati e dall’assenza di controlli adeguati. Le minacce includono attacchi informatici che sfruttano questi difetti, come l’accesso non autorizzato o la perdita di dati sensibili. Una progettazione accurata deve includere modelli di minacce per identificare possibili punti di attacco durante la fase di sviluppo.
Le attività di minaccia devono essere integrate nelle sessioni di rifinitura per osservare i cambiamenti nei flussi di dati e nei controlli di accesso. Questo approccio aiuta a garantire che il design sia resistente agli attacchi noti.
Importanza del Design Sicuro
Il design sicuro è essenziale per proteggere applicazioni e sistemi contro minacce informatiche. Un design robusto valuta costantemente le minacce e include test di sicurezza in tutte le fasi. Integrare modelli di minaccia nelle attività di progettazione aiuta a rilevare e mitigare i rischi potenziali.
Un approccio proattivo alla sicurezza del design evita errori costosi e compromissioni future. Assicura che le applicazioni rispettino le politiche di sicurezza e best practices riconosciute. Ogni applicazione dovrebbe incorporare requisiti di sicurezza sia funzionali che non funzionali per coprire ogni aspetto della progettazione e del funzionamento.
Implementare un design sicuro e robusto richiede pianificazione e negoziazione del budget che coprano tutte le attività di progettazione, costruzione e test, incluso il funzionamento sicuro delle applicazioni, come indicato anche dall’OWASP.
Principi del Design Sicuro
I principi del design sicuro includono strategie fondamentali per proteggere applicazioni e sistemi. Tra questi troviamo il minimo privilegio, la difesa in profondità e il fallimento sicuro, che aiutano a ridurre i rischi di vulnerabilità legate alla progettazione.
Minimo Privilegio
Il principio del minimo privilegio sostiene che ogni utente e componente di un sistema dovrebbe avere solo le autorizzazioni necessarie per svolgere le proprie funzioni. Questo approccio limita i danni potenziali in caso di compromissione.
Impostare le autorizzazioni in modo restrittivo aiuta a prevenire accessi non autorizzati a dati sensibili.
Ad esempio, un impiegato di contabilità non dovrebbe avere accesso ai dati del reparto IT. Inoltre, l’accesso temporaneo può essere utilizzato per ulteriori restrizioni.
Difesa in Profondità (Defense in deep)
La difesa in profondità si basa sull’idea di implementare più livelli di sicurezza per proteggere un sistema. L’obiettivo è creare una serie di barriere che un attaccante deve superare.
Questi livelli possono includere firewall, sistemi di rilevamento delle intrusioni e controlli di accesso.
Ogni strato di sicurezza è progettato per bloccare attacchi diversi. Ad esempio, un firewall può bloccare il traffico non autorizzato mentre un IDS può rilevare attività sospette.
Fallimento Sicuro
Il fallimento sicuro implica che un sistema, in caso di guasto, entri in uno stato sicuro che non comprometta i dati o l’integrità del sistema stesso.
Questo principio è cruciale per evitare che gli errori portino a falle di sicurezza. Ad esempio, in caso di errore di autenticazione, un sistema dovrebbe negare l’accesso piuttosto che concederlo.
Implementare questi principi richiede una valutazione continua e un’adeguata pianificazione per garantire la massima sicurezza.
Esempio di Insecure Design in Python
Immaginiamo di avere una semplice applicazione web in Python che permette agli utenti di autenticarsi e visualizzare i propri dati personali. L’applicazione utilizza un database SQLite per memorizzare le informazioni degli utenti.
Codice di Esempio: Insecure Design
from flask import Flask, request, jsonify
import sqlite3
app = Flask(__name__)
# Inizializzazione del database
def init_db():
conn = sqlite3.connect('example.db')
cursor = conn.cursor()
cursor.execute('''
CREATE TABLE IF NOT EXISTS users (
id INTEGER PRIMARY KEY AUTOINCREMENT,
username TEXT NOT NULL,
password TEXT NOT NULL
)
''')
conn.commit()
conn.close()
# Funzione per autenticare l'utente
@app.route('/login', methods=['POST'])
def login():
username = request.form['username']
password = request.form['password']
conn = sqlite3.connect('example.db')
cursor = conn.cursor()
# Esempio di query SQL vulnerabile
query = f"SELECT * FROM users WHERE username = '{username}' AND password = '{password}'"
cursor.execute(query)
user = cursor.fetchone()
conn.close()
if user:
return jsonify({"message": "Login successful", "user": user})
else:
return jsonify({"message": "Invalid credentials"}), 401
if __name__ == '__main__':
init_db()
app.run(debug=True)
Spiegazione delle Vulnerabilità
- SQL Injection: L’esempio di query SQL è vulnerabile a SQL injection. Un utente malintenzionato può manipolare l’input del campo
usernameopasswordper eseguire comandi SQL arbitrari. Per esempio, un inputadmin' OR '1'='1bypasserebbe l’autenticazione. - Progettazione Debole: Non ci sono misure di sicurezza aggiuntive come il hashing delle password. Le password sono memorizzate in testo chiaro nel database, rendendole vulnerabili in caso di compromissione del database.
Correzione del Codice: Secure Design
Per mitigare queste vulnerabilità, possiamo utilizzare pratiche di progettazione sicure come l’uso di query parametrizzate e il hashing delle password.
Codice di Esempio: Secure Design
from flask import Flask, request, jsonify
import sqlite3
from werkzeug.security import generate_password_hash, check_password_hash
app = Flask(__name__)
# Inizializzazione del database
def init_db():
conn = sqlite3.connect('example.db')
cursor = conn.cursor()
cursor.execute('''
CREATE TABLE IF NOT EXISTS users (
id INTEGER PRIMARY KEY AUTOINCREMENT,
username TEXT NOT NULL,
password TEXT NOT NULL
)
''')
conn.commit()
conn.close()
# Funzione per registrare un nuovo utente con password hashata
@app.route('/register', methods=['POST'])
def register():
username = request.form['username']
password = request.form['password']
hashed_password = generate_password_hash(password)
conn = sqlite3.connect('example.db')
cursor = conn.cursor()
cursor.execute("INSERT INTO users (username, password) VALUES (?, ?)", (username, hashed_password))
conn.commit()
conn.close()
return jsonify({"message": "User registered successfully"})
# Funzione per autenticare l'utente con password hashata
@app.route('/login', methods=['POST'])
def login():
username = request.form['username']
password = request.form['password']
conn = sqlite3.connect('example.db')
cursor = conn.cursor()
cursor.execute("SELECT * FROM users WHERE username = ?", (username,))
user = cursor.fetchone()
conn.close()
if user and check_password_hash(user[2], password):
return jsonify({"message": "Login successful", "user": user})
else:
return jsonify({"message": "Invalid credentials"}), 401
if __name__ == '__main__':
init_db()
app.run(debug=True)
Spiegazione delle Correzioni
- Query Parametrizzate: Utilizzando il segnaposto
?nelle query SQL e passando i valori come tuple ((username,)), preveniamo le vulnerabilità di SQL injection. - Hashing delle Password: Utilizzando
generate_password_hashper memorizzare le password in forma hashata echeck_password_hashper verificare le password durante il login, proteggiamo le password degli utenti in caso di compromissione del database.
Metodologie per Migliorare la Sicurezza
Implementare pratiche come il threat modeling e utilizzare strumenti specifici sono essenziali per migliorare la sicurezza. Questi approcci aiutano a identificare e risolvere le vulnerabilità durante il ciclo di vita dello sviluppo del software.
Threat Modeling
Il threat modeling è un processo strutturato per identificare potenziali minacce e vulnerabilità in un sistema. Gli sviluppatori analizzano l’architettura, i punti di ingresso e le interazioni del sistema.
Questo consente di anticipare i possibili attacchi e di progettare contromisure efficaci. Una pratica comune è creare diagrammi di flusso dei dati per visualizzare come l’informazione si muove nel sistema. STRIDE, un framework utilizzato per il threat modeling, aiuta a classificare le minacce in varie categorie come Spoofing, Tampering, e Information Disclosure.
Strumenti e Pratiche
L’uso di strumenti specifici e la conformità a pratiche collaudate sono fondamentali. Strumenti come OWASP ZAP e Burp Suite possono automatizzare il processo di identificazione delle vulnerabilità. Implementare librerie di design pattern sicuri offre componenti pronti all’uso che minimizzano gli errori di progettazione.
Adottare l’approccio Shift Left implica integrare la sicurezza nelle prime fasi dello sviluppo. Monitorare l’ambiente di produzione con strumenti come Splunk o ELK Stack permette di rilevare anomalie e prontamente rispondere agli incidenti di sicurezza.
Misurazione dell’Adeguamento del Design
Misurare se il design di un’applicazione è sicuro è essenziale per garantire che rispetti gli standard di sicurezza richiesti. Questo processo coinvolge l’uso di metriche specifiche e la conduzione di revisioni e valutazioni dettagliate.
Metriche di Sicurezza
Le metriche di sicurezza sono utili per valutare l’adeguatezza del design. Il numero di vulnerabilità identificate è una metrica chiave. Più vulnerabilità ci sono, meno sicuro è il design.
Un’altra metrica importante è i tempi di risposta agli incidenti. Un design sicuro consente risposte rapide. Monitorare il tasso di successo degli attacchi può anche rivelare punti deboli.
L’efficacia delle misure di mitigazione indica quanto bene il design protegge contro le minacce. Raccogliere queste metriche consente di identificare aree in cui il design può essere migliorato.
Revisioni e Valutazioni
Le revisioni e valutazioni del design coinvolgono analisi approfondite. Le revisioni del codice cercano potenziali vulnerabilità direttamente nel codice sorgente.
Test di penetrazione simulano attacchi reali per verificare quanto bene il design resiste alle minacce. Le valutazioni di conformità verificano che il design segua gli standard di sicurezza e le best practices.
Coinvolgere esperti indipendenti nelle revisioni può offrire nuove prospettive e identificare problemi non visti dal team interno. La revisione continua e regolare del design è cruciale per mantenere un alto livello di sicurezza e adattarsi alle nuove minacce.
Usare queste tecniche aiuta a garantire che il design rimanga robusto e sicuro nel tempo.
Risorse e Strumenti Complementari
Utilizzare risorse e strumenti complementari può aiutare a progettare sistemi più sicuri e ridurre le vulnerabilità legate a design insicuri. Librerie, framework, standard e linee guida specifiche sono particolarmente utili per migliorare la sicurezza delle applicazioni.
Librerie e Framework
L’uso di librerie e framework ben documentati e supportati è essenziale per creare un design sicuro. OWASP ASVS (Application Security Verification Standard) è una risorsa importante che offre linee guida dettagliate per la verifica della sicurezza delle applicazioni. Spring Security è un framework Java che fornisce molte funzionalità preconfigurate per l’autenticazione e l’autorizzazione.
Node.js ha varie librerie come Helmet che aiuta a proteggere le applicazioni web impostando intestazioni HTTP sicure. Django per Python include un proprio set di strumenti di sicurezza integrati, come la protezione CSRF (Cross-Site Request Forgery). L’uso di questi strumenti facilita l’implementazione di misure di sicurezza standardizzate, riducendo il rischio di errori umani.
Standard e Linee Guida
ISO/IEC 27001 è uno degli standard internazionali più riconosciuti per la gestione della sicurezza delle informazioni. Questo standard fornisce un framework per la gestione della sicurezza delle informazioni tramite best practices e requisiti specifici.
Le linee guida OWASP sono fondamentali per chiunque lavori nell’ambito della sicurezza applicativa. Il documento OWASP Top Ten offre un elenco aggiornato delle vulnerabilità più critiche, comprese quelle relative al design insicuro.
Infine, l’NIST SP 800-53 fornisce un catalogo di controlli di sicurezza e privacy che possono essere implementati per migliorare la postura di sicurezza di un’organizzazione. Questi standard e linee guida aiutano a garantire che le pratiche di sicurezza siano coerenti e efficaci.
L'articolo OWASP A04 Insecure Design: Prevenire Vulnerabilità nelle Applicazioni proviene da il blog della sicurezza informatica.
Electronic Etch-A-Sketch, No Microcontroller Required
In a lot of ways, Etch-A-Sketch is the perfect toy; simple, easy to use, creative, endlessly engaging, and as a bonus, it’s completely mechanical. We find that last attribute to be a big part of its charm, but that’s not to say an electronic version of the classic toy can’t be pretty cool, especially when it’s done without the aid of a microcontroller.
This is one of those “because I can” projects that we always find so interesting, and more so because it wasn’t entirely clear to [BigZaphod] that he had the skills to pull it off. While his initial design centered around a bunch of 8×8 LED matrix displays and a 256×4-bit RAM chip, the rest of it was a lot of hand-waving. After a few experiments with addressing the LEDs, [Zaphod] started filling in the blanks with a refresh circuit using a 555 — naturally — and a pair of counters. Properly debounced encoders for the horizontal and vertical controls came next, along with more counters to track the cursor and a host of other circuits that ended up looking like a “one of each” selection from the 7400-series catalog.
While we do wish for a schematic on this one, it’s still a pretty enjoyable video, and the end product seems to work really well. The electronic version has a few features the original lacks, such as wrapping the cursor to the other side of the screen. We’d imagine that the buttons on the encoders could be put to work, too; perhaps a click could make it so you can move the cursor without leaving a trail behind. That might be a challenge to execute in logic, but then again, that was the point of the whole thing.
Still jonesing for that mechanical Etch-A-Sketch experience? Not a problem.
Arduino + TFT = Micro Star Chart
We always look at the round LCDs and wonder what to do with them other than, of course, a clock. Well, [shabaz] had a great idea: use it as a star map display. The project combines the Arduino, a round TFT, a GPS receiver, and some external flash memory to store data. You can get by without the GPS receiver or flash memory, but you’ll lose features if you do.
We like how he approached the problem. The project contains four major parts and he developed each part independently before integrating them into a whole. The four parts are: reading the GPS, driving the LCD, providing storage for star data, and determining the position of stars. The heavy lifting is done using some public domain code ported over. This code derives from a book called Astronomical Algorithms and uses the Yale Bright Star Catalog database.
The post mentions that the screen might well be a larger rectangular screen and we agree that would make this more usable. Now if you could cram it all into a watch, that might be different. If you want to play with the code, you can actually run the core on Linux. You’ll have to settle for a PNG output of the night sky, but that would be handy for debugging.
We have seen a star chart in a watch before. While this is more a star chart than a planetarium, we have no doubt the early planetarium builders would be suitably impressed.
controinformazione.info/gli-st…
Ask Hackaday: How Do You Make Front Panels?
We’ll admit it. The closer a project is to completion, the less enthusiasm we have for it. Once the main design is clearly going to work on a breadboard, we’re ready to move on to the next one. We don’t mind the PCB layout, especially with modern tools. However, once the board is done, you have to do the case. Paradoxically, this was easier in the old days because you just picked some stock box, drilled some holes, and while it looked terrible, it was relatively easy.
Today, the bar is much higher. You’ll probably 3D print or laser cut an enclosure. If it looks no better than what you did in the 1970s, you won’t win many admirers. We routinely cover projects that could easily pass for commercial products. So how do you do it?
The Parts
The enclosure may even be the easy part. There are plenty of scripts and generators that will make you a nice box that meets your specifications. You can probably even get the holes made as you build. Back in the day, it was a challenge to cut odd-shaped holes for things like serial port connectors. Now, no problem. The printer or laser will just make a hole with any shape you like. You may even want to try a new angle on 3D printing.
Mounting the PCB isn’t that hard, either. With 3D printing, you can create standoffs, but even if you laser cut, you can easily use conventional standoffs. In a pinch, we’ve used long bolts with nuts.
The real problem, it seems to us, is the front panel. Only Star Trek can get away with front panels containing a bunch of knobs and dials with no markings. And although we call them “front” panels, sometimes you need markings on the back or even the sides, too.
Front Panel Options
There are companies that will make front panels for you, and those are usually silk-screened with legends. You could, of course, silk screen yourself if you have the ability to do that. What are your other options?
Labels aren’t going to cut it anymore. However, you can use rub on letters if you are very careful. We’ve used water slide paper — the same kind you see in model kits. You can find water slide paper that will run through computer printers.
Another option is to do the toner transfer trick you often see for PCBs, but use it on your front panel. Since that takes heat, it isn’t going to work on 3D-printed panels, though. For that matter, you can just use a PCB as a front panel and then make it the same way you make other boards. Silk screening is easy, then, and here’s a secret: you can make PCBs with no copper on them at all! You can even use them for the entire enclosure.
We have seen good-looking laminated color prints that look better than labels. If you don’t want to do your own printing, sign companies can print Dibond aluminum, which works well. You can laser engrave acrylic and fill the engraved areas with ink or wax for contrast or even use a two-tone material made for laser etching.
The video below uses multicolor 3D printing to create custom panels in a way we haven’t seen before. These panels go in an airplane simulator and are made to have good visibility in different lighting conditions.
youtube.com/embed/WIdHBMIfGhQ?…
Over To You…
What’s your go-to method for creating marks on panels? When do you go through the trouble? After all, if you are building a one-off piece of gear for your own use, maybe a label maker is all you really need. Let us know in the comments. The good news is that there are many ways to make great-looking panels now. The bad news is now we are expected to make them!
Watch SLS 3D Printed Parts Become Printed Circuits
[Ben Krasnow] of the Applied Science channel recently released a video demonstrating his process for getting copper-plated traces reliably embedded into sintered nylon powder (SLS) 3D printed parts, and shows off a variety of small test boards with traces for functional circuits embedded directly into them.
Here’s how it works: The SLS 3D printer uses a laser to fuse powdered nylon together layer by layer to make a plastic part. But to the nylon powder, [Ben] has added a small amount of a specific catalyst (copper chromite), so that prints contains this catalyst. Copper chromite is pretty much inert until it gets hit by a laser, but not the same kind of laser that sinters the nylon powder. That means after the object is 3D printed, the object is mostly nylon with a small amount of (inert) copper chromite mixed in. That sets the stage for what comes next.
Activating the copper chromite is all about dumping enough energy into the particles, and that gets done with a pulsed laser. This is how the traces are “drawn” onto the printed object, and these traces will be copper-clad in the next step.
Once the copper chromite catalyst is activated by the second laser, the whole 3D printed object is put into a chemical bath for electroless copper plating. Again, only the places hit by the pulsed laser end up plated. Places not hit by the second laser remain inert.
There’s an interesting side note here. Electroless copper plating is a well understood process used by every PCB manufacturer in the world. But the recipes are all proprietary and [Ben] tried without success to mix up an effective batch. In the end, a talk with OpenAI’s ChatGPT helped crack the case by suggesting a procedure that worked, saving [Ben] a ton of time. Skip to 8:10 in the video if you want to know all about that.
The result is a 3D printed nylon object into which solder-able copper traces are well and truly embedded. The test pieces work out great, but even better, there’s no reason the objects and traces even have to be planar. All it would take is a pulsed laser able to focus on a curved surface in order to create curved traces on a 3-dimensional part.
We’ve seen copper-plated 3D printed PCBs before, but this is something very different and really elegant. The whole workflow has a lot of moving parts, but once controlled it’s remarkable repeatable.
[Ben] has actually tried putting copper traces on SLS printed parts before, but with only limited success. Recent advances in technology and tools have really made the process sing. Watch it all in action in the video, embedded below.
IntelBroker rivendica un attacco a T-Mobile! Possibile attacco in supply-chain a SnowFlake?
Ieri, 19 giugno, il noto criminale informatico IntelBroker ha postato sul forum degli hacker BreachForums una violazione, sostenendo che i sistemi di T-Mobile, una delle più grandi società di telecomunicazioni al mondo, sono stati recentemente compromessi e che molti dati riservati sono stati violati.
IntelBroker, noto per i suoi attacchi informatici contro DC Health Link, General Electric, HP Enterprise, Five Eyes, Europol e, più recentemente, AMD e Apple, afferma di vendere “codice sorgente, file SQL, immagini, dati Terraform, certificati t-mobile.com e programmi Silo.”.
Per confermare le sue parole, l’hacker ha pubblicato degli screenshot con diritti di amministratore sul server Confluence e sui canali Slack interni dell’azienda.
Il colosso delle telecomunicazioni ha rapidamente negato le accuse di hacking e furto del codice sorgente: “I sistemi T-Mobile non sono stati compromessi. Stiamo indagando attivamente su un possibile problema con un fornitore di servizi di terze parti.”
L’azienda ha inoltre sottolineato di non aver trovato alcuna prova di una fuga di dati dei clienti o di codice sorgente e che le affermazioni dell’aggressore circa l’accesso all’infrastruttura aziendale non erano vere. È possibile che i dati forniti dall’hacker siano in realtà vecchi screenshot dell’infrastruttura T-Mobile ospitati su server di terze parti, da dove sono stati rubati.
Recentemente, IntelBroker ha segnalato molti nuovi hack. In effetti ce ne sono così tanti che si può supporre che tutti i dati siano stati ottenuti da un’unica fonte. Una fonte del genere potrebbe essere SnowFlake, che in precedenza ha subito un attacco informatico su larga scala ai conti dei suoi clienti, colpendo almeno 165 aziende.
Comunque sia, scopriremo la verità più avanti, ma questa non è la prima volta che T-Mobile indaga su potenziali compromissioni dei dati. Il caso con IntelBroker è stato il terzo negli ultimi due anni.
Così, nel gennaio 2023, l’azienda ha denunciato il furto dei dati personali di 37 milioni di clienti. E nel maggio 2023 si è saputo di una fuga di dati di centinaia di clienti, durata più di un mese, a partire dal febbraio di quell’anno.
L'articolo IntelBroker rivendica un attacco a T-Mobile! Possibile attacco in supply-chain a SnowFlake? proviene da il blog della sicurezza informatica.
Next Commission should have mid-term review of digital rulebook, revise audiovisual media directive
The next European Commission should carry out a review of its digital rulebook mid-term and revise the Audiovisual Media Services Directive (AVMSD), says an internal briefing document seen by Euractiv.
Ministero dell'Istruzione
#NoiSiamoLeScuole questa settimana è dedicato all’ITIS “Alessandro Volta” di Alessandria che, grazie ai fondi del #PNRR per la riduzione dei divari territoriali, ha avviato progetti extracurriculari sull’inclusione e sul valore delle diversità.Telegram
Draft law to detect online child sexual abuse material stalled again
The draft law to detect and remove online child sexual abuse material (CSAM) was removed from the agenda of Thursday's (20 June) meeting of the Committee of Permanent Representatives (COREPER), who were supposed to vote on it.
Brunello Cucinelli riceve il Premio Einaudi 2024: “Ridiamo dignità al lavoro dell’operaio”
[quote]“Agisci considerando l’umanità sia per te stesso che per gli altri non come semplice mezzo ma come nobile fine”, citando il filoso Immanuel Kant, Brunello Cucinelli ha aperto questa sera la sua lectio magistralis che ha tenuto nell’Aula Malagodi
Nato, Zelensky, G7. La Cina respinge le accuse di “connivenza” con la Russia
@Notizie dall'Italia e dal mondo
La guerra in Ucraina condiziona sempre di più i rapporti tra Pechino e l'Occidente.
L'articolo Nato, Zelensky, G7. La Cina respinge le accuse di pagineesteri.it/2024/06/20/asi…
Notizie dall'Italia e dal mondo reshared this.
Chi è Mark Rutte, il prossimo Segretario generale della Nato
[quote]Salvo clamorose sorprese, il prossimo segretario generale della Nato sarà Mark Rutte, da 14 anni primo ministro dei Paesi Bassi. La candidatura potrebbe essere ufficializzata da una riunione degli ambasciatori accreditati presso la Nato o al summit di Washington di luglio. Rutte entrerà in carica il primo di ottobre. La notizia
Can You Freeze-Dry Strawberries Without a Machine?
Summer has settled upon the northern hemisphere, which means that it’s time for sweet, sweet strawberries to be cheap and plentiful. But would you believe they taste even better in freeze-dried format? I wouldn’t have ever known until I happened to get on a health kick and was looking for new things to eat. I’m not sure I could have picked a more expensive snack, but that’s why we’re here — I wanted to start freeze-drying my own strawberries.
While I could have just dropped a couple grand and bought some kind of freeze-drying contraption, I just don’t have that kind of money. And besides, no good Hackaday article would have come out of that. So I started looking for alternative ways of getting the job done.
Dry Ice Is Nice
Early on in my web crawling on the topic, I came across this Valley Food Storage blog entry that seems to have just about all the information I could possibly want about the various methods of freeze-drying food. The one that caught my eye was the dry ice method, mostly because it’s only supposed to take 24 hours.
Here’s what you do, in a nutshell: wash, hull, and slice the strawberries, then put them in a resealable bag. Leave the bag open so the moisture can evaporate. Put these bags in the bottom of a large Styrofoam cooler, and lay the dry ice on top. Loosely affix the lid and wait 24 hours for the magic to happen.
I still had some questions. Does all the moisture simply evaporate? Or will there be a puddle at the bottom of the cooler that could threaten my tangy, crispy strawberries? One important question: should I break up the dry ice? My local grocer sells it in five-pound blocks, according to their site. The freeze-drying blog suggests doing a pound-for-pound match-up of fruit and dry ice, so I guess I’m freeze-drying five entire pounds of strawberries. Hopefully, this works out and I have tasty treats for a couple of weeks or months.
Preparation
In order to make this go as smoothly as possible, I bought both a strawberry huller and a combination fruit and egg slicer. Five pounds of strawberries is kind of a lot, eh? I’m thinking maybe I will break up the ice and try doing fewer strawberries in case it’s a complete failure.
I must have gotten rid of all our Styrofoam coolers, so I called the grocery store to make sure they have them. Unfortunately, my regular store doesn’t also have dry ice, but that’s okay — I kind of want to be ready with my cooler when I get the dry ice and not have to negotiate buying both while also handling the ice.
So my plan is to go out and get the cooler and the strawberries, then come back and wash the berries. Then I’ll go back out and get the dry ice and then hull and slice all the berries. In the meantime, I bought some food-safe desiccant packets that absorb moisture and change color. If this experiment works, I don’t want my crispy strawberries ruined by Midwestern humidity.
Actually Doing the Thing
So I went and bought the cooler and the strawberries. They were $2.99 for a 2 lb. box, so I bought two boxes, thinking that a little more poundage in dry ice than berries would be a good thing. I went back out to the other grocery store for the dry ice, and the person in the meat department told me they sell it in pellets now, in 3- and 6-lb. bags. So I asked for the latter. All that worrying about breaking it up for nothing!
Then it was go time. I got out my cutting board and resigned myself to hulling and slicing around 75 strawberries. But you know, it really didn’t take that long, especially once I got a rhythm going. I had no idea what the volume would be like, so I started throwing the slices into a gallon-sized bag. But then it seemed like too much mass, so I ended up with them spread across five quart-sized bags. I laid them in the bottom of the cooler in layers, and poured the dry ice pellets on top. Then I took the cooler down to the basement and made note of the time.
Since I ended up with six pounds of dry ice and only four pounds of strawberries, my intent is to check on things after 18 hours, even though it’s supposed to take 24. My concern is that the strawberries will get done drying out earlier than the 24-hour mark, and then start absorbing moisture from the air.
Fruits of Labor
I decided to check the strawberries a little early. There was no way the ice was going to last 24 hours, and I think it’s because I purposely put the lid on upside down to make it extra loose. The strawberries are almost frozen and are quite tasty, but they are nowhere near depleted of moisture. So I decided to get more ice and keep going with the experiment.
I went out and got another 6 lb. of pellets. This time, I layered everything, starting with ice in the bottom and ending with ice on top. This time, I put the lid on the right way, just loosely.
Totally Not Dry, But Tasty
Well, I checked them a few hours before the 24-hour mark, and the result looks much the same as the previous morning. Very cold berries that appear to have lost no moisture at all. They taste great, though, so I put them in the freezer to use in smoothies.
All in all, I would say that this was a good experiment. Considering I didn’t have anything I needed when I started out, I would say it was fairly cost-effective as well. Here’s how the pricing breaks down:
- 28-quart Styrofoam cooler: $4.99
- 4 lbs. of strawberries: $5.99
- 12 lbs. of dry ice at $1.99/lb.: $24
- a couple of resealable bags: $1
Total: $36, which is a little more than I paid for a big canister of freeze-dried strawberries on Amazon that lasted maybe a week. If this had worked, it would have been pretty cost-effective compared with buying them.
So, can you freeze-dry strawberries without a machine? Signs still point to yes, but I’m going to go ahead and blame the Midwestern humidity on this one. You can bet I’ll be trying this again in the winter, probably with fewer berries and smaller cooler. By the way, there was a small puddle underneath the cooler when it was all said and done.
Have you ever tried freeze-drying anything with dry ice? If so, how did it go? Do you have any tips? Let us know in the comments.
Main and thumbnail images via Unsplash
Grave Bug in Microsoft Outlook: Email di Spoofing Minaccia la Sicurezza Aziendale
Un ricercatore ha scoperto un bug critico che consente a chiunque di impersonare account email aziendali di Microsoft, aumentando la credibilità degli attacchi di phishing e la probabilità di inganno per le potenziali vittime. Questo difetto non ancora risolto mette a rischio milioni di utenti di Outlook, il popolare servizio di posta elettronica di Microsoft.
La Scoperta del Bug
Vsevolod Kokorin, conosciuto online come Slonser, ha identificato il bug di spoofing email e ha immediatamente segnalato la scoperta a Microsoft.
Tuttavia, l’azienda ha respinto la segnalazione di Kokorin, affermando di non essere riuscita a riprodurre il problema. Di fronte a questa risposta, Kokorin ha deciso di rendere pubblica la sua scoperta tramite un post su X (precedentemente noto come Twitter), pur evitando di fornire dettagli tecnici che potrebbero aiutare altri a sfruttare il bug.
La Risposta di Microsoft
Nonostante la segnalazione iniziale sia stata respinta, Microsoft sembra aver prestato attenzione al post di Kokorin su X. “Microsoft ha semplicemente detto di non essere riuscita a riprodurlo senza fornire ulteriori dettagli,”
Implicazioni di Sicurezza
Secondo Kokorin, il bug funziona solo quando le email vengono inviate a account Outlook, che rappresentano un bacino di almeno 400 milioni di utenti a livello globale, secondo l’ultimo rapporto sugli utili di Microsoft. Questa vulnerabilità potrebbe avere conseguenze significative, considerando l’ampia diffusione e l’uso intensivo di Outlook da parte di aziende e privati.
Gli attacchi di phishing sono una delle principali minacce alla sicurezza informatica. Questo tipo di attacco mira a rubare informazioni sensibili, come credenziali di accesso, dati finanziari o informazioni personali, ingannando le vittime a fornire queste informazioni volontariamente. La possibilità di inviare email che sembrano autentiche provenienti da account aziendali aumenta notevolmente l’efficacia di questi attacchi.
Conclusione
La scoperta di Kokorin mette in luce una vulnerabilità significativa nei sistemi di posta elettronica di Microsoft, sottolineando la necessità di una risposta rapida e efficace da parte dell’azienda per proteggere i propri utenti. Mentre Microsoft sta ora riesaminando la questione, è fondamentale che le aziende e i privati adottino misure preventive contro gli attacchi di phishing, come l’educazione degli utenti, l’uso di soluzioni di sicurezza avanzate e il monitoraggio continuo delle comunicazioni email.
Rimaniamo in attesa di ulteriori aggiornamenti da parte di Microsoft e di eventuali soluzioni per risolvere questa pericolosa vulnerabilità. Nel frattempo, gli utenti di Outlook dovrebbero essere particolarmente vigili e adottare pratiche di sicurezza robuste per proteggere le loro informazioni sensibili.
L'articolo Grave Bug in Microsoft Outlook: Email di Spoofing Minaccia la Sicurezza Aziendale proviene da il blog della sicurezza informatica.
#Maturità2024, sono state pubblicate sul sito del #MIM le tracce della seconda prova scritta dell’#EsamediStato2024 del secondo ciclo di istruzione.
Le trovate qui ▶️ miur.gov.
Ministero dell'Istruzione
#Maturità2024, sono state pubblicate sul sito del #MIM le tracce della seconda prova scritta dell’#EsamediStato2024 del secondo ciclo di istruzione. Le trovate qui ▶️ https://www.miur.gov.Telegram
Digital Crime: Scopri le Severe Pene inflitte ai reati di Pornografia Minorile
Art. 600-ter c.p.
È punito con la reclusione da sei a dodici anni e con la multa da euro 24.000 a euro 240.000 chiunque:
1) utilizzando minori di anni diciotto, realizza esibizioni o spettacoli pornografici ovvero produce materiale pornografico;
2) recluta o induce minori di anni diciotto a partecipare a esibizioni o spettacoli pornografici ovvero dai suddetti spettacoli trae altrimenti profitto.
Alla stessa pena soggiace chi fa commercio del materiale pornografico di cui al primo comma.
Chiunque, al di fuori delle ipotesi di cui al primo e al secondo comma, con qualsiasi mezzo, anche per via telematica, distribuisce, divulga, diffonde o pubblicizza il materiale pornografico di cui al primo comma, ovvero distribuisce o divulga notizie o informazioni finalizzate all'adescamento o allo sfruttamento sessuale di minori degli anni diciotto, è punito con la reclusione da uno a cinque anni e con la multa da euro 2.582 a euro 51.645.
Chiunque, al di fuori delle ipotesi di cui ai commi primo, secondo e terzo, offre o cede ad altri, anche a titolo gratuito, il materiale pornografico di cui al primo comma, è punito con la reclusione fino a tre anni e con la multa da euro 1.549 a euro 5.164.
Nei casi previsti dal terzo e dal quarto comma la pena è aumentata in misura non eccedente i due terzi ove il materiale sia di ingente quantità.
Salvo che il fatto costituisca più grave reato, chiunque assiste a esibizioni o spettacoli pornografici in cui siano coinvolti minori di anni diciotto è punito con la reclusione fino a tre anni e con la multa da euro 1.500 a euro 6.000.
Ai fini di cui al presente articolo per pornografia minorile si intende ogni rappresentazione, con qualunque mezzo, di un minore degli anni diciotto coinvolto in attività sessuali esplicite, reali o simulate, o qualunque rappresentazione degli organi sessuali di un minore di anni diciotto per scopi sessuali.
Il contenuto della norma
Con il primo comma dell’art. 600- ter c.p. si è inteso punire chiunque utilizzi minorenni per realizzare esibizioni o produrre materiale pornografico. Attraverso il secondo comma si punisce, invece, il soggetto che commercia materiale pornografico.
Il terzo comma sanziona le condotte di coloro che, anche se non producono direttamente il materiale pornografico, con qualsiasi mezzo, anche per via telematica: distribuiscono, divulgano, diffondono o pubblicizzano materiale pornografico; distribuiscono o divulgano notizie o informazioni finalizzate all’adescamento o allo sfruttamento sessuale dei minori di anni 18.
Il quarto comma sanziona chiunque, fuori delle ipotesi previste dai commi precedenti, consapevolmente offre o cede, anche gratuitamente, ad altri materiale pornografico.
Il quinto comma prevede che, nei casi previsti dal terzo e dal quarto comma, la pena è aumentata in misura non eccedente i due terzi ove il materiale sia di ingente quantità .
L’ultimo comma definisce la pornografia minorile come “ogni rappresentazione,con qualunque mezzo, di un minore degli anni diciotto coinvolto in attività sessuali esplicite, reali o simulate, o qualunque rappresentazione degli organi sessuali di un minore di anni diciotto per scopi sessuali.”
Si prevede poi espressamente la c.d. pornografia virtuale alla luce dell’introduzione dell’art.600 – quater. 1 secondo cui: “Le disposizioni di cui agli articoli 600-ter e 600-quater si applicano anche quando il materiale pornografico rappresenta immagini virtuali realizzate utilizzando immagini di minori degli anni diciotto o parti di esse, ma la pena è diminuita di un terzo.
Per immagini virtuali si intendono immagini realizzate con tecniche di elaborazione grafica non associate in tutto o in parte a situazioni reali, la cui qualità di rappresentazione fa apparire come vere situazioni non reali”.
I maggiori problemi interpretativi di tale disposizione riguardano il contenuto della “ pedopornografia virtuale”, la differenza tra le condotte incriminate, i criteri da seguire per l’individuazione del luogo del commesso reato.
Cosa dice la giurisprudenza
Materiale pedopornografico quale oggetto della condotta
In virtù della modifica introdotta dall’art.4,comma 1,lettl), L.n.172/2012 (Ratifica della Convenzione di Lanzarote per la protezione dei minori contro lo sfruttamento e l’abuso sessuale)-che ha sostituito il primo comma dell’art.600-ter c.p.-costituisce materiale pedopornografico la rappresentazione ,con qualsiasi mezzo atto alla conservazione, di atti sessuali espliciti coinvolgenti soggetti minori di età , oppure degli organi sessuali di minori con modalità tali da rendere manifesto il fine di causare concupiscenza od ogni altra pulsione di natura sessuale(Cass.,Sez.V, sent.n.33862/18; Cass.,Sez. III, sent.n. 3110/13) nonché una qualunque rappresentazione degli stessi organi per scopi sessuali(Cass.,Sez.III,sent.n.5874/13)
Il carattere pedopornografico del materiale prodotto non presuppone necessariamente un’interazione consapevole fra l’autore della condotta e il minore presentato, ben potendo essere individuato nella rappresentazione di movimenti in cui i minori assumono posizioni che si concretizzano in atteggiamenti lascivi ed eroticamente eccitanti, seppur assunti involontariamente ed inconsapevolmente(Cass.,Sez.III, sent.n. 42964/15).
Lo sfruttamento pornografico di minori non richiede, ai fini della configurabilità del delitto di cui all’art.600-ter ,comma terzo, c.p., la commissione di atti sessuali , attivi o passivi, sulla vittima o da parte di quest’ultima (Cass.,Sez. III,sent.n. 21392/10).
La valutazione del carattere pedopornografico del materiale compete al giudice il quale può servirsi degli ordinari mezzi di prova previsti dall’ordinamento(art.187 c.p.p.), senza dover necessariamente procedere ad un esame diretto del materiale medesimo( nel caso di specie la valutazione del giudice territoriale si era fondata sulla testimonianza di un ufficiale di P.G. che, avendo visionato un file recuperato dal p.c. dell’imputato , ne aveva riferito il contenuto consistente nella ripresa di una bambina intenta a masturbarsi ,Cass.,Sez. III,sent.n.3110/13).
Poiché deve trattarsi di materiale pedopornografico, presupposto fondamentale è che l’immagine raffiguri un soggetto avente un ‘età inferiore ai diciotto anni. E’ stato a tal riguardo chiarito, come, sul piano meramente probatorio, a fronte di un’immagine da cui non si comprende l’età del soggetto, sia onere dell’accusa dimostrarne la minore età e non, come sovente viene richiesto, onere della difesa provare che trattasi di maggiorenni (Cass., Sez. III, sent.n.5397/02).
Le riprese della vita intima del minore che non abbia ancora raggiunto l’età per prestare il consenso, o abbia subito pressioni, non rientra nella nozione di “pornografia domestica”(Cass. , Sez. III, sent.n. 43241/23) .
Si ha utilizzazione del minore allorquando, all’esito di un accertamento complessivo che tenga conto del contesto di riferimento, dell’età, maturità, esperienza, stato di dipendenza del minore, si appalesinoforme di coercizione o di condizionamentodella volontà del minore stesso, restando escluse dalla rilevanza penale solo condotte realmente prive di offensivitàrispetto all’integrità psico-fisica dello stesso (Cass.,Sez.Unite, sent. n. 4616/22 ).
Pedopornografia virtuale
Integra il reato di pornografia virtuale, di cui all’art.600-quater, 1co, c.p. la produzione,mediante la tecnica del fotomontaggio,con l’utilizzo del programma di elaborazione grafica “Photoshop”, di un’immagine nella quale i volti reali di minori sono sovrapposti a corpi di adulti intenti a pratiche sessuali (Cass.,Sez.III, sent.n. 15757/17).
Quanto alla possibilità di considerare pedopornografia virtuale penalmente rilevante i fumetti , ad una prima risposta negativa (Tribunale di Milano, Sez. IX, sent. 11 novembre 2010) è seguito un orientamento che considera anche i fumetti pedopornografici penalmente rilevanti ( Cass.,Sez.III, sent.n.22265/17).
Le condotte di diffusione e divulgazione e le differenze con quella di cessione
E’ stata riconosciuta rilevanza penale alla condotta nei seguenti casi: di immagini pedopornografiche inviate tramite l’applicazione “watsapp” di un telefono cellulare ai minori divenuti oggetto delle mire sessuali dell’imputato, quale strumento di persuasione e corruzione (Cass., Sez III, sent.n.37835/17); di materiale pedopornografico in una cartella informatica accessibile da parte di terzi attraverso l’uso del programma di condivisione “Emule”(Cass,Sez.III, sent. n. 33298/16); del fatto che la videoripresa ,coinvolgente una minore, era stata conservata dall’imputato nella memoria del telefono cellulare e successivamente sottoposta in visione a terzi(Cass., Sez.III, sent.n. 35295/16); a fronte dell’inserimento di materiale pedopornografico all’interno del social network “Facebook” (Cass., Sez.III, sent.n. 16340/15).
Sussiste il delitto di distribuzione, III comma, quando il materiale pedopornografico viene inviato ad un numero indeterminato di destinatari o nell’ipotesi in cui vi sia una pluralità di invii. Si è in presenza, invece, di una cessione, IV comma, quando i destinatari dell’invio sono determinati ( Cass., Sez. III,sent. n. 1762/00; Cass., Sez. V , sent. n. 4900/03; Cass., Sez. III, sent. n. 17178/10).
Integra il reato di cui all’art. 600-ter c.p., e non i reati di cui agli art. 609-undecies c.p. o 600-quaterc.p., la condotta di chi, mediante l’uso di profili falsi e presentandosi quale responsabile di agenzie di modelle, otteneva con l’inganno foto di ragazze nude. Ai fini del delitto di pornografia minorile è, infatti, sufficiente anche solo istigare o indurre il minore a produrre materiale pornografico, trattandosi comunque di una forma di manifestazione della sua “utilizzazione” per attività vietata, la quale non è, peraltro, esclusa dalla eventuale familiarità del minore alla divulgazione di proprie immagini erotiche e non richiede nemmeno l’accertamento del concreto pericolo di diffusione del materiale così ottenuto (Cass., Sez.III,sent.n. 20552/22).
Le notizie o le informazioni indicate dall’art.600-ter,comma terzo,c.p., non devono necessariamente rivestire il carattere della verità, ma è sufficiente che le stesse abbiano la concreta potenzialità di consentire a terzi o a colui che le divulga di portare ad episodi di sfruttamento sessuale o adescamento di minori(Cass.,Sez.III, sent.n. 5692/13; Cass, Sez.III, sent.n. 15927/09).
Laddove il prelievo avvenga solo a seguito della manifestazione di volontà dichiarata nel corso di una conversazione privata ,si versa nella più lieve ipotesi di cui all’art.600-ter , quarto comma,c.p.(Cass.,Sez.III,sent.n. 4900/02).
Luogo del commesso reato
Trattandosi di reato commesso per via telematica, e quindi a distanza, diventa fondamentale individuare il giudice competente per territorio a decidere sul caso concreto. È stato a tal riguardo chiarito che è competente per le ipotesi di distribuzione di materiale pedopornografico il giudice del luogo in cui si trova il computer dal quale è partita la distribuzione, trattandosi di reato istantaneo ( Cass., Sez. III, sent. n. 42509/10; Cass. , Sez.III, sent.n 25232/2005; Cass., Sez.III,sent.n. 8296/04).
L'articolo Digital Crime: Scopri le Severe Pene inflitte ai reati di Pornografia Minorile proviene da il blog della sicurezza informatica.
Chat control vote postponed: Huge success in defense of digital privacy of correspondence!
Today EU governments will not adopt their position on the EU regulation on “combating child sexual abuse”, the so-called chat control regulation, as planned, which would have heralded the end of private messages and secure encryption. The Belgian Council presidency postponed the vote at short notice. Once again the chat control proposal fails in Council. Pirate Party MEP, digital freedom fighter and negotiator for his group in the European Parliament, Patrick Breyer, cheers:
“Without the commitment and resistance of countless individuals and organizations in Europe, the EU governments would have decided today in favour of totalitarian indiscriminate chat control , burying the digital privacy of correspondence and secure encryption. A big thanks to all who have contacted politicians and spoken out in the past few days. The fact that we have prevented the orwellian chat control for the time being should be celebrated!
For now the surveillance extremists among the EU governments and Big Sister Ylva Johansson have failed to build a qualified majority. But they will not give up and could try again in the next few days. When will they finally learn from the EU Parliament that effective, court-proof and majority-capable child protection needs a new approach?
Now the critical governments should finally do their homework and agree on a joint list of requirements. It is not enough to defend encryption. The indiscriminate, error-prone screening of private messages is the most toxic part of the draft regulation, but the problems go far beyond that. We therefore need a new approach that focuses on preventive child protection instead of mass surveillance and paternalism! The last ‘compromise proposal’ put forward by the Council Presidency needs to be fundamentally revised in at least 4 points:
1) No indiscriminate chat control: Instead of blanket message and chat control, the judiciary should only have the power to order searches in the messages and uploads of suspects. This is the only way to avoid a disproportionate mass surveillance order inevitably failing in court and achieving nothing at all for children.
2) Protect secure encryption: So-called client-side scanning to infiltrate secure encryption must be explicitly ruled out. General declarations of support for encryption in the text of the law are worthless if scanning and extraction take place even before encryption. Our personal devices must not be perverted into scanners.
3) Protect anonymity: Remove mandatory age verification by all communications services to save the right to communicate anonymously. Whistleblowers risk being silenced if they have to show ID or face to the communications service before leaks.
4) No app censorship and digital house arrest for young people: It is completely unacceptable to exclude young people from apps such as Whatsapp, Instagram or games in order to protect them from grooming. Instead, the default settings of the services must become more privacy-friendly and secure.
The push for indiscriminate chat control is unprecedented in the free world. It divides child protection organizations, abuse victims, other stakeholders and governments. It’s time for a fresh start that relies on consensus, as proposed by the European Parliament. I am convinced that we can protect children and all of us much better.”
Background:
According to the latest text proposal users of apps and services with chat functionalities wouldbe asked whether they accept the indiscriminate and error-prone scanning and, if necessary, leaking of their privately sent images, photos and videos. Previously unknown images and videos would also be screened using “artificial intelligence”. If a user objects to the scanning, they would no longer be able to send or receive any images, photos, videos or links (Article 10). Despite paying lip service to encryption, end-to-end encrypted services would have to implement chat control by installing monitoring functions that are to take effect “before data transmission” (so-called client-side scanning, Article 10a). The scanning of text messages for indications of grooming, which has hardly been used to date, has been removed from the proposal, as was the scanning of voice communication. The chats of employees of security agencies and the military would be exempted from the error-prone chat control scanners.
At a meeting on 24 May, the Council’s Legal Service made it clear that mass chat monitoring without suspicion is still being proposed and remains a violation of fundamental rights.
On 16 June it has been revealed by Der SPIEGEL that most of the chats leaked voluntarily by US-based Big Tech companies are not criminally relevant.
Further information:
The wording of today’s voting proposal:
patrick-breyer.de/wp-content/u…
The European Parliament’s approach to protecting children online:
patrick-breyer.de/en/posts/cha…
How we would be affected by chat control:
patrick-breyer.de/en/posts/cha…
Myths/arguments in favour of chat control debunked:
patrick-breyer.de/en/posts/cha…
Arguments against chat control:
patrick-breyer.de/en/posts/cha…
Why message and chat control is particularly harmful to children and victims of abuse:
patrick-breyer.de/en/posts/cha…
Alternatives to chat control:
patrick-breyer.de/en/posts/cha…
Maronno Winchester reshared this.
PRIVACYDAILY n. 354 – 20.06.2024
VERSIONE ITALIANA FRANCIA: LA CNIL METTE A DISPOSIZIONE DEGLI ELETTORI UNA PIATTAFORMA PER LE SEGNALAZIONI Dopo aver registrato 167 segnalazioni in seguito alle elezioni europee, la CNIL ricorda ai partiti le regole da rispettare e li informa che effettuerà controlli in base al numero e alla natura delle
Probably The Cheapest Mac Emulation Hardware
There are many ways to build your own Macintosh clone, and while the very latest models remain a little inaccessible, there are plenty of Intel-based so-called “Hackintoshes” which deliver an almost up-to-date experience. But the Mac has been around for a very long time now, and its earliest incarnation only has 128k of RAM and a 68000 processor. What can emulate one of those? Along comes [Matt Evans], with a working Mac 128k emulated on a Raspberry Pi Pico. Such is the power of a modern microcontroller that an RP2040 can now be a Mac!
The granddaddy of all Macs might have been a computer to lust after four decades ago, but the reality was that even at the time the demands of a GUI quickly made it under-powered. The RP2040 has plenty of processing power compared to the 68000 and over twice the Mac’s memory, so it seemed as though emulating the one with the other might be possible. This proved to be the case, using the Musashi 68000 interpreter and a self-built emulator which has been spun into a project of its own called umac. With monochrome VGA and USB for keyboard and mouse, there’s MacPaint on a small LCD screen looking a lot like the real thing.
If you want a 1980s Mac for anything without the joy of reviving original hardware, this represents an extremely cheap way to achieve it. If it can be compiled for microcontrollers with more available memory we could see it would even make for a more useful Mac, though your Mac mileage may vary.
Of course, this isn’t the only take on an early Mac we’ve brought you.
Lunophone - Surroundings
"Lunophone è un nuovo progetto musicale nato dalla fruttuosa collaborazione tra Dario D'Alessandro (Homunculus Res) e James Strain (Rascal Reporters). [...]
Il risultato è un'intrigante fusione di stili uniti da gusti e sentimenti comuni che portano i due musicisti a creare una miscela di jazz-rock progressivo con influenze di Canterbury/RIO e caratterizzata da forme di canzone avant-pop bizzarre ed eclettiche."
altrockproductions.bandcamp.co…
Dalla Formula 1 alla Luna. Vi racconto la storia di Poggipolini
[quote]“Leggeri in volo” era il payoff di Poggipolini già nel 1970. “L’abbiamo ritrovato qualche mese fa”, racconta Michele Poggipolini, 40 anni, amministratore delegato dell’azienda di San Lazzaro di Savena (Bologna), leader nel settore della meccanica di precisione. È stato suo nonno, Calisto, ad aprire
La guerra a Gaza sta spazzando via intere famiglie palestinesi, un ramo alla volta
@Notizie dall'Italia e dal mondo
Un’inchiesta dell’Associated Press ha analizzato la distruzione che la campagna aerea e terrestre di Israele a Gaza ha rappresentato per intere famiglie palestinesi.
L'articolo La guerra a Gaza sta spazzando via intere famiglie palestinesi,
Notizie dall'Italia e dal mondo reshared this.
UV-K5 All-Band Mod, Part 2: Easier Install, Better Audio, and Two Antennas
OK, it’s official: the Quansheng UV-K5 is the king of hackable ham radios — especially now that a second version of the all-band hardware and firmware mod has been released, not to mention a new version of the radio.
If you need to get up to speed, check out our previous coverage of the all-band hack for the UV-K5, in which [Paul (OM0ET)] installs a tiny PCB to upgrade the radio’s receiver chip to an Si4732. Along with a few jumpers and some component replacements on the main board, these hardware mods made it possible for the transceiver, normally restricted to the VHF and UHF amateur radio bands, to receive everything down to the 20-meter band, in both AM and single-sideband modulations.
The new mod featured in the video below does all that and more, all while making the installation process slightly easier. The new PCB is on a flexible substrate and is considerably slimmer, and also sports an audio amplifier chip, to make up for the low audio output on SSB signals of the first version. Installation, which occupies the first third of the video below, is as simple as removing one SMD chip from the radio’s main board and tacking the PCB down in its footprint, followed by making a couple of connections with very fine enameled wire.
You could load the new firmware and call it a day at that point, but [Paul] decided to take things a step further and install a separate jack for a dedicated HF antenna. This means sacrificing the white LED on the top panel, which isn’t much of a sacrifice for most hams, to make room for the jack. Most of us would put a small SMA jack in, but [Paul] went for a BNC, which required some deft Dremel and knife work to fit in. He also used plain hookup wire to connect the jack, which sounds like a terrible idea; we’d probably use RG-316, but his mod didn’t sound that bad at all.
Keen to know more about the Quansheng UV-K5? Dive into the reverse-engineered schematics.
youtube.com/embed/ARlpLA-wjpQ?…
Thanks to [Sam] for the heads up on this one.
Attacco Informatico all’ASST Rhodense: Cicada3301 pubblica 1 TB di Dati Sensibili liberamente scaricabili
Milano, 7 Giugno 2024 – L’ASST Rhodense è stata vittima di un grave attacco informatico da parte del gruppo ransomware Cicada3301, che ha causato il furto di un’enorme quantità di dati sensibili. Questo evento ha avuto un impatto devastante su tutte le strutture dell’ASST, comprese quelle di Garbagnate Milanese, Bollate, Rho e Passirana, nonché sui servizi territoriali nelle aree distrettuali di Garbagnatese, Rhodense e Corsichese.
Secondo le notizie riportate sul sito della Regione Lombardia, l’attacco è avvenuto nella notte di giovedì 6 giugno. Gli hacker sono riusciti a esfiltrare 1 TB di dati, tra cui informazioni di identificazione personale (PII), dati personali, documenti medici, prescrizioni e altri documenti sensibili. Questo furto massiccio di dati è stato successivamente pubblicato integralmente sul sito di leak del gruppo criminale.
Il furto di dati sensibili rappresenta una seria minaccia per la privacy e la sicurezza dei pazienti e del personale dell’ASST Rhodense. Le autorità stanno lavorando incessantemente per valutare l’entità del danno e per mettere in atto le misure necessarie a contenere e risolvere la situazione. Nel frattempo, l’ASST sta collaborando con esperti di sicurezza informatica per rafforzare le proprie difese e prevenire futuri attacchi.
L’ASST Rhodense ha immediatamente informato le autorità competenti e sta collaborando con le forze dell’ordine per identificare i responsabili dell’attacco. Inoltre, è stata attivata una linea di assistenza per i pazienti e il personale colpiti dal furto di dati, al fine di fornire supporto e informazioni utili per proteggere ulteriormente la loro privacy.
La rivendicazione da parte del gruppo Cicada3301
Cicada3301 è un nuovo gruppo Ransomware annunciando sul proprio DLS 4 vittime:
Questo attacco mette in luce ancora una volta l’importanza della sicurezza informatica nelle istituzioni sanitarie, un settore particolarmente vulnerabile a causa della natura sensibile dei dati trattati. È essenziale che tutte le organizzazioni sanitarie rafforzino le proprie misure di sicurezza per proteggere le informazioni dei pazienti da minacce sempre più sofisticate.
La Regione Lombardia ha espresso la propria solidarietà all’ASST Rhodense e ha promesso di fornire tutto il supporto necessario per superare questa crisi. I cittadini sono invitati a rimanere vigili e a segnalare qualsiasi attività sospetta che possa essere collegata a questo grave incidente di sicurezza.
Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.
RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.
L'articolo Attacco Informatico all’ASST Rhodense: Cicada3301 pubblica 1 TB di Dati Sensibili liberamente scaricabili proviene da il blog della sicurezza informatica.
Great Firewall of China Sfruttato dagli Hacker di Void Arachne per Diffondere Malware
I ricercatori di Trend Micro hanno segnalato un nuovo gruppo criminale informatico monitorato sotto il nome di Void Arachne. Questo gruppo di hacker prende di mira principalmente gli utenti cinesi e utilizza file Windows Installer (MSI) dannosi camuffati da VPN per distribuire i sistemi Winos 4.0 C2.
Secondo Trend Micro, gli aggressori distribuiscono anche file MSI dannosi contenenti programmi per creare falsi video pornografici e software basati sull’intelligenza artificiale per cambiare voci e volti.
Per distribuire software dannoso Winos 4.0. vengono utilizzate tattiche di ottimizzazione dei motori di ricerca (SEO) e vengono utilizzati anche social network e messaggistica istantanea. Gli aggressori pubblicizzano software popolari come Google Chrome, LetsVPN, QuickVPN, nonché il pacchetto linguistico di Telegram per il cinese semplificato.
Le catene di attacco alternative identificate dai ricercatori includono anche l‘uso di installer modificati distribuiti attraverso i canali Telegram in lingua cinese.
I collegamenti a file dannosi compaiono grazie ai cosiddetti metodi “black SEO” e portano a un’infrastruttura speciale creata per archiviare i file di installazione sotto forma di archivi ZIP. Per gli attacchi tramite canali Telegram, i programmi di installazione MSI dannosi e gli archivi ZIP vengono posizionati direttamente sulla piattaforma.
I file di installazione sono progettati per modificare le regole del firewall per consentire l’ingresso e l’uscita del traffico correlato al malware durante la connessione alle reti pubbliche. Installano inoltre un loader che decodifica ed esegue la seconda fase del malware, eseguendo uno script Visual Basic per fornire persistenza sull’host ed eseguire uno script batch sconosciuto, distribuendo il malware Winos 4.0.
Winos 4.0, scritto in C++, è in grado di eseguire attacchi DDoS utilizzando TCP/UDP/ICMP/HTTP, eseguire ricerche su dischi locali, gestire file, webcam, acquisire schermate, registrare audio da un microfono, eseguire keylogging e fornire accesso remoto alla shell.
La caratteristica principale di Winos 4.0 è un sistema di plugin che implementa tutte le funzioni attraverso 23 componenti compilati per le versioni di Windows a 32 e 64 bit. Il sistema può essere integrato con plugin esterni integrati dagli stessi aggressori.
Il componente principale di Winos include anche metodi per rilevare la presenza di malware comune in Cina ed è anche responsabile del caricamento di plug-in, della pulizia dei registri di sistema e del download di malware aggiuntivo da un URL fornito.
I ricercatori di Trend Micro sottolineano che un così grande scalpore attorno ai client VPN in Cina è dovuto al lavoro del Great Firewall cinese, e quindi hanno preso di mira proprio questo segmento di utenti Internet.
L'articolo Great Firewall of China Sfruttato dagli Hacker di Void Arachne per Diffondere Malware proviene da il blog della sicurezza informatica.
La chiave ministeriale, per aprire il plico telematico della seconda prova scritta, è disponibile sul sito del #MIM.
La trovate qui ▶️ miur.gov.it/web/guest/-/20-giu…
Ministero dell'Istruzione
La chiave ministeriale, per aprire il plico telematico della seconda prova scritta, è disponibile sul sito del #MIM. La trovate qui ▶️ https://www.miur.gov.it/web/guest/-/20-giugno-2024-esami-di-stato-seconda-prova-scrittaTelegram
Nuova Truffa Online: Falsi Bug in Chrome e Word Diffondono Malware
I distributori di malware utilizzano falsi bug di Google Chrome, Word e OneDrive per indurre gli utenti a eseguire “patch“, che in realtà sono script di PowerShell che installano malware.
Gli esperti di ProofPoint riferiscono che la nuova tattica è già stata adottata da diversi gruppi di hacker. Questi attacchi vengono quindi utilizzati dagli aggressori dietro lo schema ClearFake, il nuovo cluster dannoso ClickFix, nonché il gruppo TA571, che di solito distribuisce spam e invia numerose email che portano all’infezione con malware e ransomware.
In precedenza, gli attacchi ClearFake iniettavano codice dannoso nei siti compromessi, dopo di che le risorse mostravano messaggi falsi sulla necessità di aggiornare il browser.
Nuovi attacchi sfruttano anche JavaScript in HTML sui siti compromessi, ma ora gli overlay mostrano agli utenti errori falsi di Google Chrome, Microsoft Word e OneDrive. Questi messaggi incoraggiano gli utenti a copiare la “correzione” negli appunti, quindi incollarla ed eseguirla manualmente.
“Sebbene un attacco riuscito richieda un’interazione significativa da parte dell’utente, l’ingegneria sociale è abbastanza sofisticata da presentare contemporaneamente all’utente un problema e una soluzione, che può motivarlo ad agire senza valutare i rischi”, avvertono.
I payload osservati da Proofpoint in questa campagna includono: DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig, malware che dirotta gli appunti attraverso l’infostealer Lumma.
Gli analisti hanno subito individuato tre catene di attacchi, che si differenziano soprattutto nelle fasi iniziali. Solo uno di essi non è associabile con certezza al gruppo TA571 sopra menzionato.
Quindi, nel primo caso, che è associato agli aggressori dietro gli attacchi ClearFake, gli utenti si recano su un sito compromesso che scarica uno script dannoso ospitato sulla blockchain tramite Binance Smart Chain.
Questo script esegue diversi controlli e visualizza una notifica falsa, presumibilmente proveniente da Google Chrome, che indica un problema con la visualizzazione della pagina web. La finestra di dialogo richiede quindi di installare il “certificato root” copiando lo script PowerShell negli appunti ed eseguendolo in Windows PowerShell.
Una volta eseguito, lo script esegue vari controlli per garantire che il dispositivo sia un bersaglio adatto, quindi scarica un payload aggiuntivo, come mostrato nel diagramma seguente.
La seconda catena di attacchi è associata alla campagna ClickFix e utilizza iniezioni su siti compromessi che creano iframe per sovrapporre errori falsi. In questo caso, agli utenti viene richiesto di aprire “Windows PowerShell (Admin)” e incollare il codice fornito, che ha lo stesso effetto.
La terza catena di attacchi coinvolge la posta elettronica e l’uso di allegati HTML che assomigliano a documenti di Microsoft Word. Qui agli utenti viene chiesto di installare l’estensione Word Online per visualizzare correttamente il documento.
In questo caso, il falso messaggio di errore contiene le opzioni “Come risolvere” e “Correzione automatica”. Inoltre, selezionando l’opzione “Come risolvere” copia il comando PowerShell codificato base64 negli appunti e indica all’utente di incollarlo in PowerShell.
L’opzione di correzione automatica, a sua volta, utilizza il protocollo search-ms per visualizzare un file fix.msi o fix.vbs ospitato sulla condivisione file remota di un hacker utilizzando WebDAV. Cioè, i comandi PowerShell vengono scaricati ed eseguiti tramite un file MSI o tramite uno script VBS, il che porta all’infezione con i malware Matanbuchus e DarkGate.
L'articolo Nuova Truffa Online: Falsi Bug in Chrome e Word Diffondono Malware proviene da il blog della sicurezza informatica.
articolo21.org/2024/06/il-dove…
FREE ASSANGE Italia
Il dovere morale di mobilitarci per Assange il giorno del suo compleanno - Articolo21 https://www.articolo21.org/2024/06/il-dovere-morale-di-mobilitarci-per-assange-il-giorno-del-suo-compleanno/Telegram
Kinmen Rising Project-金門最後才子🇺🇦 reshared this.
Black Basta ha utilizzato una Vulnerabilità Zero-Day in Windows per distribuire il ransomware
I ricercatori Symantec hanno scoperto che gli aggressori associati al ransomware Black Basta stavano sfruttando una vulnerabilità appena scoperta nel servizio Windows Error Reporting (WER) per ottenere privilegi di sistema elevati. Questa vulnerabilità, nota come CVE-2024-26169, è stata risolta da Microsoft a marzo 2024.
Il CVE-2024-26169 è una vulnerabilità di escalation dei privilegi con un punteggio CVSS di 7,8. Consente agli aggressori di ottenere i diritti di amministratore di sistema. L’analisi dello strumento di exploit utilizzato negli attacchi recenti ha mostrato che la compilazione potrebbe essere stata completata prima che la vulnerabilità fosse stata corretta, indicando che era utilizzata come vulnerabilità zeroday.
Symantec sta monitorando questo gruppo motivato finanziariamente chiamato Cardinal, noto anche come Storm-1811 e UNC4393. Questi aggressori utilizzano Black Basta per monetizzare l’accesso ai sistemi, spesso ottenendo l’accesso iniziale tramite QakBot e DarkGate.
Negli ultimi mesi, il gruppo ha utilizzato prodotti Microsoft legittimi come Quick Assist e Teams per attaccare gli utenti. Secondo Microsoft, gli aggressori inviano messaggi e chiamate tramite Teams fingendo di essere personale IT, portando all’uso improprio di Quick Assist, al furto di credenziali tramite EvilProxy e all’utilizzo di SystemBC per fornire accesso persistente e controllo dei comandi.
Symantec ha inoltre affermato di aver osservato lo strumento utilizzato in un tentativi di attacco ransomware. Gli aggressori utilizzano il file “werkernel.sys“, che crea chiavi di registro con un descrittore di sicurezza nullo. Ciò consente di creare una chiave di registro che avvia una shell di comandi con diritti amministrativi.
Un portavoce di Microsoft ha confermato che il problema è stato risolto a marzo e che i clienti che hanno installato la correzione sono protetti. Il software di sicurezza proprietario include strumenti per rilevare e proteggersi da questo malware.
Fortunatamente, la tempestiva patch di Microsoft ha impedito gravi attacchi, ma l’incidente serve a ricordare la crescente importanza della protezione dalle minacce informatiche.
L'articolo Black Basta ha utilizzato una Vulnerabilità Zero-Day in Windows per distribuire il ransomware proviene da il blog della sicurezza informatica.
Etiopia, morti per antrace in Tigray dopo 2 anni di guerra genocida e 18 mesi di “cessazione ostilità”
L'articolo proviene dal blog di @Davide Tommasin ዳቪድ ed è stato ricondiviso sulla comunità Lemmy @Notizie dall'Italia e dal mondo
Etiopia, un servizio di Tigrai TV a luglio 2022 denunciava aumento dei casi di antrace in Tigray: “Poiché [la
Notizie dall'Italia e dal mondo reshared this.