Una delegazione dell’Arma dei Carabinieri guidata dal Generale C.A. Andrea Rispoli, Comandante del #CUFA (Comando Unità Forestali, Ambientali e Agroalimentari Carabinieri), si è recata in visita dal 18 al 20 giugno ad Adis Abeba (Etiopia) per presentare il Centro di Eccellenza per la Tutela Ambientale di Sabaudia ai rappresentanti dell’Unione Africana che si occupano di tutela ambientale, conservazione della natura e agricoltura.

La delegazione ha descritto le caratteristiche e le potenzialità del Centro, un istituto di formazione internazionale in materia ambientale, forestale, di biodiversità e di gestione delle aree naturali, nato dalla partnership istituzionale con le Agenzie ONU di riferimento per le questioni ambientali, con le quali vengono promossi piani di formazione a favore dei Paesi in via di sviluppo.

Il Centro di Sabaudia ha dalla sua inaugurazione riscontrato l’interesse delle principali autorità nazionali e internazionali, in particolare per le attività formative, gli incontri e i confronti a tutti i livelli, estremamente utili per acquisire quelle competenze, teoriche e pratiche, necessarie per combattere gli effetti del cambiamento climatico e fornire un contributo fondamentale in termini di peacekeeping.
I cambiamenti climatici, infatti, determinando la perdita di fertilità del suolo, la diminuzione della disponibilità idrica, la siccità, le inondazioni e altri gravi problemi, possono favorire l'aggressività di Paesi che per la sopravvivenza delle proprie popolazioni sono indotti a intraprendere la via del conflitto armato.
Come riferì sull'argomento il Comandante Generale dell'Arma, Teo Luzi, «l'idea portante si basa su una partnership istituzionale con le Agenzie ONU di riferimento per le questioni ambientali, con le quali promuovere piani di formazione a favore dei Paesi in via di sviluppo. Il Centro permetterà di integrare elementi di governance ambientale presso Stati che necessitano di acquisire abilità ed esperienze, affinchè il loro sviluppo economico sia anche sostenibile sul piano ecologico. Notevole è anche la collaborazione tramite il Ministero degli Affari Esteri e della Cooperazione Internazionale che ha permesso di avviare corsi di formazione in Ruanda, Uganda, Namibia e Zambia per il personale di sorveglianza dei parchi contro il dilagante fenomeno del bracconaggio».

Attualmente per l’attività di formazione sono stati già strutturati i programmi di 14 moduli formativi della durata minima di 5 giorni. L'insegnamento è svolto in lingua inglese e francese, da esperti dell'Organizzazione Forestale, Ambientale e Alimentare dell'Arma dei Carabinieri, e da funzionari dei Ministeri coinvolti nelle attività nonché magistrati e professionisti del mondo accademico e del settore privato.

#ArmadeiCarabinieri #CentrodiEccellenzaperlaTutelaAmbientale #Unionioneafricana
@Notizie dall'Italia e dal mondo

Picture it: you’re on the treadmill, running through a forest, sweating like a pig, and the doorbell rings because a package is being delivered. Would you even hear it? Chances are, if you’re rocking out to music on headphones and your treadmill is as noisy as [Antonio]’s, you wouldn’t, and you’d once again face the dreaded ‘we’ll try later’ slip.

What you need is something that thing listens for the doorbell and flashes a giant 20 mm red LED to alert you. Could this be done with a 555? Yes, in fact, [Antonio] used a pair of them in the form of the 556 on the alert side.

The first 555 is wired up in astable mode to control the tempo of the flashing light, and the second timer is in monostable mode to control the length of time the light flashes. Power comes from the doorbell’s 9V, which is wired up through an existing Ethernet jack.

Now whenever the doorbell rings, [Antonio] has 60 seconds of flashing light in order to react, stop the treadmill, and jump off to answer the door. To conserve power when [Antonio] is relaxing, there’s an on/off switch.

I ricercatori di sicurezza informatica hanno scoperto un nuovo downloader dannoso, SquidLoader, che si diffonde attraverso campagne di phishing rivolte alle organizzazioni cinesi.

Secondo LevelBlue Labs , che per primo ha rilevato questo codice dannoso alla fine di aprile 2024, SquidLoader utilizza metodi per evitare l’analisi statica e dinamica e, in definitiva, il rilevamento.

Le catene di attacco utilizzano e-mail di phishing con allegati che si mascherano da documenti Microsoft Word ma in realtà sono file binari che attivano l’esecuzione di codice dannoso. Questo codice viene utilizzato per scaricare la seconda fase del malware da un server remoto, incluso Cobalt Strike.

Il ricercatore di sicurezza Fernando Dominguez osserva che i downloader dispongono di sofisticati meccanismi di evasione e di esca che li aiutano a rimanere inosservati e li rendono difficili da analizzare. Lo shellcode fornito viene caricato nello stesso processo per evitare che il malware venga scritto su disco e quindi evitarne il rilevamento.

SquidLoader utilizza varie tecniche di evasione come l’utilizzo di segmenti di codice crittografati, codice spazzatura che rimane inutilizzato, offuscamento del grafico del flusso di controllo (CFG), rilevamento del debugger ed esecuzione di chiamate di sistema dirette invece di chiamate API di Windows NT.

I downloader di malware sono diventati popolari tra gli aggressori che cercano di fornire ed eseguire payload aggiuntivi su dispositivi compromessi, aggirando le protezioni antivirus e altre misure di sicurezza.

L’evoluzione delle minacce informatiche richiede vigilanza e adattamento costanti. Le organizzazioni non dovrebbero solo rafforzare gli aspetti tecnici della protezione, ma anche formare i dipendenti a riconoscere gli attacchi di phishing, poiché anche i sistemi di sicurezza più avanzati possono essere aggirati a causa di un errore umano.

L'articolo Sei distratto online? Ti meriti SquidLoader! proviene da il blog della sicurezza informatica.

Secondo un nuovo rapporto dei ricercatori Symantec, dei gruppi di spionaggio informatico legati alla Cina sono coinvolti in una lunga campagna per hackerare diversi operatori di telecomunicazioni in un paese asiatico a partire dal 2021.

L’azienda non ha specificato quale Paese sia stato attaccato, ma ha precisato che l’attività dannosa consisteva nell’implementazione periodica di backdoor nelle reti delle organizzazioni prese di mira con successivo furto di credenziali.

Gli strumenti utilizzati nella campagna corrispondono a quelli utilizzati negli ultimi anni dai gruppi cinesi di spionaggio informatico come Mustang Panda, RedFoxtrot e Naikon. Questi strumenti includono backdoor appositamente progettati COOLCLIENT, QUICKHEAL e RainyDay, in grado di acquisire dati sensibili e stabilire una comunicazione con un server C2.

Sebbene il metodo esatto di accesso iniziale agli obiettivi non sia ancora noto, questa campagna dannosa si distingue per l’utilizzo di strumenti per scansionare le porte e rubare credenziali scaricando il contenuto del registro di Windows. Il collegamento di tutti questi strumenti con tre diversi gruppi di criminali informatici porta i ricercatori alle seguenti ipotesi mutuamente esclusive:

• gli attacchi vengono effettuati indipendentemente l’uno dall’altro;
• lo stesso aggressore utilizza strumenti acquistati da gruppi diversi;
• diversi gruppi cooperano tra loro all’interno della stessa campagna dannosa.

Anche lo scopo principale delle intrusioni non è chiaro in questa fase, anche se in generale i gruppi cinesi prendono di mira abbastanza spesso il settore delle telecomunicazioni in tutto il mondo. Così, nel novembre 2023, Kaspersky Lab ha identificato una campagna che utilizzava il malware ShadowPad contro una delle società di telecomunicazioni nazionali del Pakistan sfruttando vulnerabilità note in Microsoft Exchange Server.

L’incidente esaminato da Symantec evidenzia la necessità di una vigilanza continua e di un miglioramento della sicurezza informatica nel settore delle telecomunicazioni. La sofisticatezza e la durata degli attacchi dimostrano che le minacce odierne richiedono non solo soluzioni tecniche, ma anche cooperazione internazionale per combattere la criminalità informatica. È importante sviluppare una cultura della sicurezza informatica in cui ogni dipendente comprenda il proprio ruolo nella protezione delle infrastrutture critiche.

L'articolo Campagna di Spionaggio Cinese: Gli Hacker Attaccano le TELCO Asiatiche dal 2021 proviene da il blog della sicurezza informatica.

I Funzionari del Massachusetts hanno affermato che un firewall difettoso di proprietà di Comtech ha causato un’interruzione dei sistemi di chiamata di emergenza in tutto lo stato questa settimana.

Il sito web di Comtech afferma di avere più di 25 anni di esperienza nella tecnologia della sicurezza pubblica e che “i fornitori di servizi, gli stati e i governi locali di tutto il paese fanno affidamento sul suo portafoglio di prodotti e servizi mission-critical”.

Secondo un’indagine preliminare del dipartimento statale dei servizi di emergenza sanitaria e di Comtech, l’interruzione è stata causata da un firewall che per qualche motivo “non consentiva alle chiamate di raggiungere i centri di spedizione dei servizi di emergenza”.

Comtech sottolinea che le interruzioni non sono state il risultato di un attacco di hacker o di un’irruzione, ma afferma che “il motivo esatto per cui il firewall ha impedito alle chiamate di raggiungere i centri di distribuzione non è stato ancora determinato” e l’indagine sull’incidente è ancora in corso.

In totale, le interruzioni delle chiamate di emergenza sono durate circa due ore. Poco dopo l’inizio dell’interruzione, il dipartimento locale dei servizi di emergenza sanitaria ha avvisato le forze dell’ordine e ha emesso un avviso di emergenza ai residenti nello stato, consigliando loro di chiamare direttamente le linee di pubblica sicurezza locali in caso di emergenza.

“Anche se alcune chiamate potrebbero non andare a buon fine, il sistema consente ai centri di spedizione di determinare il numero di telefono del chiamante e di richiamarlo. Non abbiamo ricevuto alcuna segnalazione di emergenze verificatesi durante l’interruzione”, affermano i funzionari statali.

L'articolo Le Chiamate in Emergenza dello stato del Massachusetts bloccate per due ore per un Firewall guasto proviene da il blog della sicurezza informatica.

Nuovo disco per il gruppo italo svizzero degli Houstones, dal titolo "A + C", in uscita per Soppressa Records, Collettivo Dotto e Entes Anomicos. @Musica Agorà

iyezine.com/houstones-a-c

Houstones - A + C

Houstones - A + C - Nuovo disco per il gruppo italo svizzero degli Houstones, dal titolo "A + C", in uscita per Soppressa Records, Collettivo Dotto e Entes Anomicos. - Houstones

^{Massimo Argo (In Your Eyes ezine)}

Way back in 2020, I actually read the proposed US legislation known as EARN IT, and with some controversy, concluded that much of the criticism of that bill was inaccurate. Well what’s old is new again, except this time it’s the European Union that’s wrestling with how to police online Child Sexual Abuse Material (CSAM). And from what I can tell of reading the actual legislation (pdf), this time it really is that bad.

The legislation lays out two primary goals, both of them problematic. The first is detection, or what some are calling “upload moderation”. The technical details are completely omitted here, simply stating that services “… take reasonable measures to mitigate the risk of their services being misused for such abuse …” The implication here is that providers would do some sort of automated scanning to detect illicit text or visuals, but exactly what constitutes “reasonable measures” is left unspecified.

The second goal is the detection order. It’s worth pointing out that interpersonal communication services are explicitly mentioned as required to implement these goals. From the bill:

Providers of hosting services and providers of interpersonal communications services that have received a detection order shall execute it by installing and operating technologies approved by the Commission to detect the dissemination of known or new child sexual abuse material or the solicitation of children…

This bill is careful not to prohibit end-to-end encryption, nor require that such encryption be backdoored. Instead, it requires that the apps themselves be backdoored, to spy on users before encryption happens. No wonder Meredith Whittaker has promised to pull the Signal app out of the EU if it becomes law. As this scanning is done prior to encryption, it’s technically not breaking end-to-end encryption.

You may wonder why that’s such a big deal. Why is it a non-negotiable for the Signal app to not look for CSAM in messages prior to encryption? For starters, it’s a violation of user trust and an intentional weakening of the security of the Signal system. But maybe most importantly, it puts a mechanism in place that will undoubtedly prove too tempting for future governments. If Signal can be forced into looking for CSAM in the EU, why not anti-government speech in China?

This story is ongoing, with the latest news that the EU has delayed the next step in attempting to ratify the proposal. It’s great news, but the future is still uncertain. For more background and analysis, see our conversation with the minds behind Matrix, on this very topic:

youtube.com/embed/00Dg0vRc2Zg?…

Bounty or Extortion?

A bit of drama played out over Twitter this week. The Kraken cryptography exchange had a problem where a deposit could be interrupted, and funds added to the Kraken account without actually transferring funds to back the deposit. A security research group, which turned out to be the CertiK company, discovered and disclosed the flaw via email.

Kraken Security Update:

On June 9 2024, we received a Bug Bounty program alert from a security researcher. No specifics were initially disclosed, but their email claimed to find an “extremely critical” bug that allowed them to artificially inflate their balance on our platform.

— Nick Percoco (@c7five) June 19, 2024

All seemed well, and the Kraken team managed to roll a hotfix out in an impressive 47 minutes. But things got weird when they cross referenced the flaw to see if anyone had exploited it. Three accounts had used it to duplicate money. The first use was for all of four dollars, which is consistent with doing legitimate research. But additionally, there were more instances from two other users, totaling close to $3 million in faked transfers — not to mention transfers of *real* money back out of those accounts. Kraken asked for the details and the money back.

According to the Kraken account, the researchers refused, and instead wanted to arrange a call with their “business development team”. The implication is that the transferred money was serving as a bargaining chip to request a higher bug bounty payout. According to Kraken, that’s extortion.

There is a second side to this story, of course. CertiK has a response on their x.com account where they claim to have wanted to return the transferred money, but they were just testing Kraken’s risk control system. There are things about this story that seem odd. At the very least, it’s unwise to transfer stolen currency in this way. At worst, this was an attempt at real theft that was thwarted. The end result is that the funds were eventually completed.

There are two fundamental problems with vuln disclosure/bounty:
#1 companies think security researchers are trying to extort them when they are not
#2 security researchers trying to extort companies t.co/I7vnk3oXi5

— Robert Graham 𝕏 (@ErrataRob) June 20, 2024

Report Bug, Get Nastygram

For the other side of the coin, [Lemon] found a trivial flaw in a traffic controller system. After turning it in, he was rewarded with an odd letter that was a combination of “thank you” and your work “may have constituted a violation of the Computer Fraud and Abuse Act”. This is not how you respond to responsible disclosure.

I received my first cease and desist for responsibly disclosing a critical vulnerability that gives a remote unauthenticated attacker full access to modify a traffic controller and change stoplights. Does this make me a Security Researcher now? pic.twitter.com/ftW35DxqeF

— Lemon (@Lemonitup) June 18, 2024

Emoji Malware

We don’t talk much about malware in South Asia, but this is an interesting one. DISGOMOJI is a malware attributed to a Pakistani group, mainly targeting government Linux machines in India. What really makes it notable is that the command and control system uses emoji in Discord channels. The camera emoji instructs the malware to take a screenshot. A fox triggers a hoovering of the Firefox profiles, and so on. Cute!

Using Roundcube to break PHP

This is a slow moving vulnerability, giving that the core is a 24-year old buffer overflow in iconv() in glibc. [Charles Fol] found this issue, which can pop up when using iconv() to convert to the ISO-2022-CN-EXT character set, and has been working on how to actually trigger the bug in a useful way. Enter PHP. OK, that’s not entirely accurate, since the crash was originally found in PHP. It’s more like we’re giving up on finding something else, and going back to PHP.

The core vulnerability can only overwrite one, two, or three bytes past the end of a buffer. To make use of that, the PHP bucket structure can be used. This is a growable doubly-linked list that is used for data handling. Chunked HTTP messages can be used to build a multi-bucket structure, and triggering the iconv() flaw overwrites one of the pointers in that structure. Bumping that pointer by a few bytes lands in attacker controlled data, which can land in a fake data structure, and continuing the dechunking procedure gives us an arbitrary memory write. At that point, a function pointer just has to be pointed at system() for code execution.

That’s a great theoretical attack chain, but actually getting there in the wild is less straightforward. There has been a notable web application identified that is vulnerable: Roundcube. Upon sending an email, the user can specify the addresses, as well as the character set parameter. Roundcube makes an iconv() call, triggering the core vulnerability. And thus an authenticated user has a path to remote code execution.

Bits and Bytes

Speaking of email, do you know the characters that are allowed in an email address? Did you know that the local user part of an email address can be a quoted string, with many special characters allowed? I wonder if every mail server and email security device realized that quirk? Apparently not, at least in the case of MailCleaner, which had a set of flaws allowing such an email to lead to full appliance takeover. Keep an eye out for other devices and applications to fall to this same quirk.

Nextcloud has a pair of vulnerabilities to pay attention to, with the first being an issue where a user with read and share permissions to an object could reshare it with additional permissions. The second is more troubling, giving an attacker a potential method to bypass a two-factor authentication requirement. Fixes are available.

Pointed out by [Herr Brain] on Hackaday’s Discord, we have a bit of bad news about the Arm Memory Tagging Extensions (MTE) security feature. Namely, speculative execution can reveal the needed MTE tags about 95% of the time. While this is significant, there is a bit of chicken-and-egg problem for attackers, as MTE is primarily useful to prevent running arbitrary code at all, which is the most straightforward way to achieve a speculative attack to start with.

And finally, over at Google Project Zero, [Seth Jenkins] has a report on a trio of Android devices, and finding vulnerabilities in their respective kernel drivers. In each case, the vulnerable drivers can be accessed from unprivileged applications. [Seth]’s opinion is that as the Android core code gets tighter and more secure, these third-party drivers of potentially questionable code quality will quickly become the target of choice for attack.

While EV charging isn’t that tedious with a cable, for quick trips, being able to just park and have your car automatically charge would be more convenient. Researchers from Oak Ridge National Lab (ORNL) and VW have moved high-speed wireless EV charging one step closer to reality.

We’ve seen fast wireless EV chargers before, but what sets this system apart is the coil size (~0.2 m2 vs 2.0 m2) and the fact it was demonstrated on a functioning EV where previous attempts have been on the bench. According to the researchers, this was the first wireless transfer to a light duty vehicle at 270 kW. Industry standards currently only cover systems up to 20 kW.

The system uses a pair of polyphase electromagnetic coupling coils about 50 cm (19″) wide to transfer the power over a gap of approximately 13 cm (5″). Efficiency is stated at 95%, and that 270 kW would get most EVs capable of those charge rates a 50% bump in charge over ten minutes (assuming you’re in the lower part of your battery capacity where full speeds are available).

We’ve seen some in-road prototypes of wireless charging as well as some other interesting en route chargers like pantographs and slot car roads. We’ve got you covered if you’re wondering what the deal is with all those different plugs that EVs have too.

youtube.com/embed/AQxxyDUzoZI?…

Welcome to Euractiv’s Tech Brief, your weekly update on all things digital in the EU.

euractiv.com/section/digital/n…

Washington D.C., 20 giugno 2024 – A partire dal 20 luglio, l’azienda di sicurezza informatica Kaspersky non potrà più vendere i suoi prodotti a nuovi clienti negli Stati Uniti. Questa decisione arriva in un contesto di crescente preoccupazione per la sicurezza nazionale, con il Dipartimento di Sicurezza Nazionale (DHS) che ha espresso timori significativi riguardo ai potenziali rischi legati all’utilizzo di software di cybersecurity e antivirus di Kaspersky.

In un comunicato ufficiale, il DHS ha dichiarato: “Il Dipartimento ritiene che la fornitura di software di cybersecurity e antivirus da parte di Kaspersky a persone negli Stati Uniti, anche attraverso entità terze che integrano il software di cybersecurity o antivirus di Kaspersky in hardware o software commerciali, comporti rischi indebiti e inaccettabili per la sicurezza nazionale degli Stati Uniti e per la sicurezza delle persone negli Stati Uniti”.

La misura non si limita a bloccare le nuove vendite. Gli attuali clienti che utilizzano prodotti Kaspersky avranno tempo fino al 29 settembre 2024 per trovare soluzioni alternative di sicurezza informatica. Dopo questa data, infatti, Kaspersky cesserà di fornire aggiornamenti software, rendendo i prodotti vulnerabili e potenzialmente insicuri.

Cosa devono fare i clienti Kaspersky negli Stati Uniti?

Per chi utilizza già i prodotti Kaspersky, il periodo di transizione sarà cruciale. Gli esperti di sicurezza consigliano di iniziare immediatamente a cercare alternative valide per garantire la continuità della protezione dei sistemi informatici. Le aziende e i singoli utenti dovranno valutare attentamente altre opzioni sul mercato, considerando la compatibilità con i propri sistemi e le specifiche esigenze di sicurezza.

Le implicazioni della decisione

La decisione del governo statunitense segna un altro capitolo nelle tensioni geopolitiche e nella guerra informatica che coinvolge le principali potenze mondiali. Kaspersky, con sede in Russia, è da tempo sotto scrutinio per i presunti legami con il governo russo, accuse che l’azienda ha sempre negato fermamente.

Tuttavia, il DHS ritiene che i potenziali rischi per la sicurezza nazionale superino le rassicurazioni fornite da Kaspersky. La mossa di vietare i prodotti Kaspersky riflette una crescente tendenza dei governi occidentali a limitare l’influenza di aziende tecnologiche straniere nei settori critici della sicurezza.

La risposta di Kaspersky: negazioni e difese

Mosca, 21 giugno 2024 – In risposta al divieto imposto dal governo statunitense, Kaspersky ha prontamente rilasciato una dichiarazione ufficiale. La nota della software house russa respinge categoricamente tutte le accuse e le teorie che la vedono coinvolta in attività potenzialmente minacciose per la sicurezza nazionale degli Stati Uniti.

Kaspersky ha sottolineato di non avere alcun legame con operazioni che possano mettere a rischio la sicurezza informatica degli Stati Uniti, ribadendo la propria indipendenza e l’impegno nella fornitura di soluzioni di cybersecurity affidabili e sicure. La compagnia ha espresso profondo disappunto per la decisione del Dipartimento di Sicurezza Nazionale (DHS), giudicandola infondata e pregiudizievole.

“La nostra azienda opera con la massima trasparenza e conformità agli standard internazionali di sicurezza. Non esiste alcuna evidenza concreta che i nostri prodotti siano utilizzati per attività illecite o dannose. Le accuse mosse contro di noi sono basate su presupposti errati e pregiudizi geopolitici”, si legge nel comunicato.

Implicazioni per il mercato globale

Nonostante il divieto negli Stati Uniti, Kaspersky continua a mantenere una forte presenza in altri mercati internazionali, dove è apprezzata per la qualità delle sue soluzioni di cybersecurity. La compagnia si dice determinata a proseguire nella propria missione di proteggere i clienti globali dalle minacce informatiche, indipendentemente dalle sfide politiche e normative che potrebbe incontrare lungo il percorso.

Conclusione

Il divieto dei prodotti Kaspersky negli Stati Uniti rappresenta un significativo cambio di rotta nella politica di cybersecurity del paese. Gli utenti statunitensi, sia privati che aziendali, dovranno rapidamente adattarsi alla nuova realtà, assicurandosi di implementare soluzioni di sicurezza alternative entro la scadenza del 29 settembre 2024. Mentre Kaspersky continuerà a operare in altri mercati globali, il suo impatto negli Stati Uniti sembra destinato a ridursi drasticamente a causa di queste nuove restrizioni.

L'articolo Gli Stati Uniti vietano i prodotti Kaspersky: Implicazioni e scadenze per gli utenti proviene da il blog della sicurezza informatica.

While we aren’t typically put off by a large wristwatch, we were taken a bit aback by [Chris Fenton]’s latest timepiece — if you can call it that. It’s actually a 1/25th-scale Cray C90 worn as a wristwatch. The whole thing started with [Chris] trying to build a Cray in Verilog. He started with a Cray-1 but then moved to a Cray X-MP, which is essentially a Cray-1 with two extra address bits. Then he expanded it to 32 bits, which makes it a Cray Y-MP/C90/J90 core. As he puts it, “If you wanted something practical, go read someone else’s blog.”

The watch emulates a Cray C916 and uses a round OLED display on the top. While the move from 22 to 32 address bits sounds outdated, keep in mind the Cray addresses 64-bit words exclusively, so we’re talking access to 32 gigabytes of memory. The hardware consists of an off-the-shelf FPGA board and a Teensy microcontroller to handle mundane tasks like driving the OLED display and booting the main CPU. Interestingly, the actual Cray 1A used Data General computers for a similar task.

Of course, any supercomputer needs a super program, so [Chris] uses the screen to display a full simulation of Jupiter and 63 of its moons. The Cray excels at programs like this because of its vector processing abilities. The whole program is 127 words long and sustains 40 MFLOPs. Of course, that means to read the current time, you need to know where Jupiter’s moons are at all times so you can match it with the display. He did warn us this would not be practical.

While the Cray wouldn’t qualify as a supercomputer today, we love learning about what was state-of-the-art not that long ago. Cray was named, of course, after [Seymour Cray] who had earlier designed the Univac 1103, several iconic CDC computers, and the Cray computers, of course.

I dark market rappresentano un settore in rapida crescita e in continua evoluzione. La chiave del successo in questo contesto dinamico è l’innovazione continua e la capacità di adattarsi rapidamente ai cambiamenti. Un aspetto fondamentale da considerare è come la vendita tramite dark market è attirare anche i meno esperti del settore, rendendo accessibili a un pubblico più ampio beni e servizi altrimenti difficili da ottenere.

Kerberos vuole imporsi sul mercato con l’obiettivo di essere all’avanguardia, rispetto ai suoi competitor, fornendo sicurezza e anonimato senza eguali, e garantendo un’esperienza utente di altissimo livello.

Il nome è un chiaro riferimento a “Cerbero” spesso indicato come il segugio dell’Ade, è un multi-cane dalla testa a due teste che custodisce le porte degli Inferi per impedire ai morti di andarsene.

Era il discendente dei mostri Echidna e Tifone, e di solito veniva descritto come avente tre teste, un serpente per coda e serpenti che sporgevano dal suo corpo. Cerbero è noto principalmente per la sua cattura da parte di Eracle , l’ultima delle dodici fatiche di Eracle …
[Wikipedia]

Struttura del Dark Market

L’Homepage

Sicuramente la grafica è molto accattivante, come la home page.

Intanto il sistema è presente sia nella rete Onion e sia nel clearnet. Questo per rendere molto più semplice l’accesso ai clienti o banalmente ai curiosi, anche se sul clearnet è solo una pagina vetrina per poter consentire l’accesso al forum tramite link onion.

Riportano l’immagine del personaggio di Lucifer Morningstar (interpretato da Tom Ellis nella celebre serie TV) ed una premessa molto importante… Rimanere per sempre!
Creato con la premessa di rimanere per sempre.

- Marketplace con crittografia a più livelli e server e servizi veloci.
- Nessun deposito cauzionale per i venditori verificati e di fiducia.
- Nessuna commissione per depositi o prelievi.
- Protocollo Cataclysm.
- Programma di affiliazione per i clienti con il 0,50%.
In effetti, accedendo al sito dopo 3 volte con il doppio capcha non siamo riusciti, ma proveremo più avanti sicuramente.

About US

Anche la sezione “about us” è molto ben strutturata e con chiari riferimenti alla celebre serie TV “Lucifer”
Buongiorno amici miei, vi auguro una splendida giornata nel nostro bellissimo mondo sotterraneo, il mercato darknet di Kerberos.

Abbiamo riflettuto a lungo sull'opportunità di dare vita a Kerberos Onion. La ragione è che, se decidiamo di lanciare un progetto come Kerberos Onion, vogliamo farlo nel modo giusto: senza compromessi e con la responsabilità necessaria. Quando abbiamo visto un mercato scomparire dopo l'altro (spesso a causa di Exit-Scams), abbiamo deciso di creare il mercato darknet di Kerberos.

Il mercato darknet di Kerberos è stato progettato per restare, non per scomparire come tutti gli altri dopo 1 o 2 anni. Secondo l'opinione del darknet di Kerberos, è davvero assurdo creare un marketplace e poi, appena stabilito, eseguire un Exit-Scam. Soprattutto dopo che i venditori hanno costruito il loro negozio con tanto lavoro e impegno, e i clienti hanno trovato un luogo affidabile per acquistare i loro beni preferiti. È successo personalmente a Kerberos - sia come venditori che come clienti, tipo: Che diavolo!??

Inoltre, il team di Kerberos darknet ha monitorato molto da vicino i mercati negli ultimi anni e raramente - se non mai - c'è stato un miglioramento in termini di qualità dei mercati. Era sempre solo un altro marketplace o un tentativo di riportare una nuova versione di una vecchia leggenda. Ma alla fine, tutti sono scomparsi dopo un tempo relativamente breve.

Ecco perché abbiamo deciso finalmente di creare qualcosa di nuovo, che non è mai stato fatto in questa forma. Abbiamo creato il mercato darknet di Kerberos! Che siate venditori o clienti del mercato di Kerberos - ogni utente sentirà molto rapidamente la differenza. Grazie al continuo sviluppo della rete Onion e di altre tecnologie, oggi è possibile creare un marketplace che possa durare molti anni. Questo è ciò che vogliamo fare con il link Onion di Kerberos! Kerberos si è concentrato sulla sicurezza e non ha fatto compromessi, inclusa la crittografia a più livelli e il Kerberos Guardian con il sistema di Strike integrato.

Qualunque cosa accada, forniremo tutto il necessario affinché il mercato darknet di Kerberos duri per sempre. Se mai decidessimo di chiudere Kerberos Onion, sarà fatto in maniera annunciata e corretta. Ma questo accadrà in un tempo lontano, l'obiettivo di Kerberos è restare per sempre.

Le poche persone che amano la loro libertà e che hanno avuto l'opportunità di guardare dietro le quinte nel nostro mondo di Kerberos darknet sono rare. È ancora più triste se poi truffano persone con idee simili. Una cosa del genere non accadrà mai su Kerberos.

Abbiamo anche voluto cogliere l'opportunità di fare qualcosa di buono con il progetto Kerberos. Ecco perché supportiamo Heifer International (Scopri di più su Heifer International).

Come alcuni potrebbero sapere, Lucifero non può mentire.

Io sono Lucifero e noi siamo Kerberos. Siate fedeli al darknet di Kerberos e noi non vi saremo mai infedeli. Hell yes.
Gli obiettivi descritti nell”About us” pertanto sono molto ambiziosi:

• Contrastare la scomparsa di altri mercati dovuta agli Exit-Scams.
• Il progetto di Kerberos è concepito per durare nel tempo
• Attrarre nuovi utenti con la promessa di elevati standard di sicurezza e crittografia a più livelli
• Supporto a cause benefiche (come Heifer International).

Caratteristiche del darkmarket Kerberos

Caratteristiche principali di Kerberos darknet
Ora ti parleremo delle caratteristiche principali del mercato darknet Kerberos:

- Decentralizzato: Kerberos darknet è un marketplace decentralizzato sin dal primo giorno di lancio e opera su più server e sistemi di backup in tutto il mondo.
- Server ad alta velocità criptati: È il primo e unico marketplace che opera con server e servizi speciali criptati a più livelli e veloci.
- Sviluppo personalizzato: L'intero marketplace Kerberos è stato creato da zero e sviluppato per oltre 2 anni prima del lancio, appositamente per questo scopo. Ogni linea di codice è scritta a mano e non utilizza script esterni pubblici e attaccabili.
- Whitelist: Kerberos funziona secondo il principio della whitelist. Ogni funzione è stata progettata per la massima sicurezza.
- Kerberos Guardian: Include il sistema integrato di strike per garantire il massimo livello di sicurezza.
- Accesso: Puoi accedere a Kerberos tramite Tor (Onion Network), I2P e un indirizzo mirror sicuro sulla clearnet.
- Aggiornamenti costanti: Il marketplace viene costantemente sviluppato per miglioramenti e nuove funzionalità.
- Protocollo Cataclysm: I membri possono essere sicuri che i loro fondi saranno accessibili per il prelievo prima della chiusura del marketplace, che avverrà dopo 26 giorni dalla scadenza del canarino.
- FAQ e Centro Informazioni: Una FAQ dettagliata risponde a tutte le domande comuni e un Centro Informazioni offre tutorial utili.
- Nessuna commissione di deposito o prelievo: Non vengono addebitate commissioni per i depositi o i prelievi, eccetto la commissione stimata di rete (miner) per i prelievi.
- Criptovalute supportate: Monero (XMR) e Bitcoin (BTC).
- Valute fiat supportate: Dollaro Australiano (AUD), Sterlina Britannica (GBP), Dollaro Canadese (CAD), Euro (EUR), Yen Giapponese (JPY), Franco Svizzero (CHF) e Dollaro Americano (USD).
- Rimozione dei dati sensibili: I dati sensibili vengono automaticamente rimossi dalla cronologia degli acquisti e delle vendite entro un certo periodo, senza lasciare tracce.
- Auto-feedback: Funzione di auto-feedback sul Kerberos onion.
- Libro mastro professionale: Include una funzione di reset.
- Captcha sicuri: Utilizza captcha semplici ma eccezionalmente sicuri per la protezione 2FA DDoS, la registrazione e il login.
- PGP: Opzione di crittografia PGP disponibile ovunque nel marketplace.
- Notifica di tentativo di accesso: Email automatica se viene tentato un login con password errata.
- Supporto rapido e amichevole: Supporto rapido per i membri.
- Feedback storico dei venditori: Valutazione rapida e affidabile dei venditori basata su feedback storici.
- Sistema di dispute equo: Sistema di dispute imparziale e equo.
- Visualizzazione articoli: Visualizzazione degli articoli per categorie.
- Inserzioni promozionali: Possibilità per i venditori di creare inserzioni promozionali acquistabili una sola volta per cliente.
-Sicurezza 2FA: Include tutte le funzionalità di sicurezza standard come la sicurezza 2FA.

L'Amministrazione di Kerberos. Interazione degli utenti di Kerberos con l'amministrazione del mercato:

- Il membro è re: A Kerberos, il membro è ancora re, come dovrebbe essere.
- Amministrazione speciale: L'amministrazione è più che speciale, quasi magica.
- Rilevamento errori: Tutti i server e i servizi sono progettati per rilevare immediatamente qualsiasi tipo di errore e informare l'Amministrazione.
- Correzione degli errori: In caso di errore tecnico, l'Amministrazione viene informata e lo corregge rapidamente.
- Supporto ai membri: Le query di supporto vengono elaborate in breve tempo, solitamente in poche ore.

Specifiche per i venditori su Kerberos darknet

- Tipi di account venditore: Kerberos offre 3 tipi di account venditore adatti a ogni venditore e attività.
- Commissioni: La commissione del marketplace per i venditori varia tra il 6% e il 2%, a seconda del livello di reputazione del venditore.
- Account verificati: Gli account venditore verificati con la reputazione richiesta ottengono lo status di fiducia e un livello di reputazione più alto.
- Opzione Finalize Early (FE): Disponibile immediatamente per i venditori verificati.
- URL mirror sicuri: Accesso a URL mirror sicuri protetti da Onion Authentication.
- Valuta di pagamento: I pagamenti saranno sempre regolati nella valuta fiat fornita per l'articolo e nel tasso di cambio crypto attuale.
- Funzionalità speciali: Opzioni di inserzione speciali opzionali e senza limiti di inserzione.

Specifiche per i clienti su Kerberos onion

- Depositi veloci: I depositi vengono controllati ogni 3 minuti.
- Commissioni di mercato: La commissione del marketplace per i clienti è solo del 2% per acquisto.
- Servizio Escrow sicuro: Servizio di escrow sicuro per gli acquisti.
- Opzione Finalize Early (FE): Disponibile per ogni articolo nell'ordine se offerto dal venditore.

Programma di Affiliazione su Kerberos

- Link di affiliazione personale: Ogni cliente riceve un link di affiliazione personale.
- Commissioni: Per ogni acquisto o vendita effettuata tramite il link di affiliazione, il cliente riceverà lo 0,50% del prezzo dell'articolo.
- Pagamento automatico: Le commissioni personali verranno automaticamente pagate al wallet del cliente al completamento dell'acquisto o della vendita.

Ed un invito…

Saremmo molto felici se ti unissi alla nostra famiglia infernale. Dai un'occhiata e dacci una possibilità, sentirai la differenza!

Conclusioni

I darkmarket, rappresentano una realtà complessa e sfuggente del web, caratterizzata da un commercio anonimo di beni e servizi spesso illeciti, come droghe, armi e dati rubati. Utilizzando criptovalute e sofisticati sistemi di crittografia, questi mercati mirano a proteggere la privacy degli utenti e a eludere le autorità. Nonostante i numerosi tentativi di chiusura da parte delle forze dell’ordine, i darkmarket continuano a evolversi, adottando nuove tecnologie e strategie per garantire la loro sopravvivenza e l’operatività a lungo termine. Questa dinamica crea un continuo gioco di gatto e topo con le autorità, rendendo i darkmarket un fenomeno persistente e complesso nel panorama del cybercrimine.

L'articolo Arriva Kerberos: il Nuovo Market Underground! Sicurezza e Anonimato al primo posto proviene da il blog della sicurezza informatica.

Hugging Face e Pollen Robotics hanno presentato il robot antropomorfo Reachy2 , il cui set di dati e modello di addestramento sono open source. Reachy2 svolge le attività domestiche e interagisce in sicurezza con persone e animali domestici.

Pollen Robotics sviluppa tecnologie open source per applicazioni nel mondo reale. Nel 2013 hanno introdotto Poppy, un robot stampato in 3D progettato per scopi di ricerca.

La creazione di Reachy2 prevedeva un nuovo processo di formazione in cui inizialmente un essere umano controlla il robot da remoto utilizzando un visore per la realtà virtuale. Quindi, il modello si allena sui video risultanti.

La formazione ha utilizzato 50 videoclip, ciascuno della durata di circa 15 secondi.

youtube.com/embed/oZxHkp4-DnM?…

Dopo 40.000 iterazioni di addestramento, Reachy2 ha imparato a prendere una mela, a porgerla a una persona e a tornare nella sua posizione originale. Dopo 60.000 iterazioni, è in grado di disporre le tazze su un vassoio. Il robot è dotato di manipolatori con 7 gradi di libertà e ciascuno può sollevare fino a 3 kg.

Negli ultimi anni, la robotica ha compiuto progressi straordinari grazie all’integrazione dell’intelligenza artificiale (IA), portando alla creazione di robot umanoidi sempre più avanzati. Questi robot sono progettati per svolgere una vasta gamma di compiti in diversi settori, tra cui l’industria e l’ambito domestico.

La domanda che molti si pongono è: cosa possiamo aspettarci nei prossimi anni? Avremo davvero la possibilità di avere robot in grado di fornire un aiuto significativo nelle nostre faccende domestiche?

Per quanto riguarda l’ambito domestico, l’idea di avere robot umanoidi che ci assistano nelle faccende quotidiane non è più solo fantascienza. Le tecnologie stanno evolvendo rapidamente, e molte aziende stanno lavorando per creare robot capaci di svolgere una vasta gamma di compiti domestici, come pulire la casa, cucinare, prendersi cura degli anziani e dei bambini, e persino fare la spesa.

Il robot sarà presto disponibile per l’acquisto. Il dataset con i video e il modello sono pubblicati su Hugging Face.

L'articolo Basta stirare camicie! Il robot Reachy2 penserà alle faccende di casa al tuo posto? proviene da il blog della sicurezza informatica.

Nonostante le stime e le previsioni elevate secondo cui l’intelligenza artificiale generativa cambierà la società, il suo impatto sul posto di lavoro non è stato ancora avvertito, secondo un recente sondaggio globale condotto da Nash Squared. Lo studio ha intervistato 322 dirigenti tecnologici in tutto il mondo, di cui il 51% ha implementato l’intelligenza artificiale generativa “in una certa misura” nei propri processi aziendali, e il 21% la utilizza più attivamente.

Il rapporto mostra che i casi d’uso reali dell’IA generativa sono vari. La maggior parte delle aziende sta ancora sperimentando la tecnologia e conducendo progetti pilota in varie aree. Tuttavia, il 39% degli intervistati che hanno adottato l’intelligenza artificiale riferiscono che la tecnologia ha avuto un impatto minimo o nullo sulle loro organizzazioni.

Nella maggior parte dei casi, l’intelligenza artificiale generativa viene utilizzata come strumento per migliorare la produttività personale: condurre ricerche, accelerare la creazione di documenti o materiale di marketing ed eseguire attività amministrative.

Questi risultati contraddicono le previsioni della società di consulenza EY sull’impatto dell’intelligenza artificiale sull’occupazione. Gli analisti di EY hanno precedentemente affermato che la tecnologia è destinata a “rivoluzionare la produttività e guidare l’innovazione in tutti i settori”. E altre società di analisi hanno addirittura previsto licenziamenti di massa, poiché il lavoro di molti dipendenti potrebbe essere completamente sostituito da strumenti di intelligenza artificiale.

La società di ricerca Gartner prevede finora solo un impatto moderato dell’intelligenza artificiale sulla spesa IT, poiché le aziende stanno ora scegliendo di limitarsi a progetti pilota per provare la tecnologia piuttosto che implementarla completamente.

Secondo un sondaggio di Nash Squared, il 54% degli intervistati ritiene che le grandi aziende modello di intelligenza artificiale non abbiano ancora dimostrato il business case per investimenti massicci nell’intelligenza artificiale generativa. Anche i vincoli di budget e le preoccupazioni sull’uso improprio degli strumenti sono fattori significativi che le organizzazioni devono considerare.

Anche l’impatto dell’IA sull’occupazione si è rivelato trascurabile. Secondo un sondaggio globale, solo un’azienda su dieci ha riferito di aver cambiato ruolo lavorativo e solo l’1% dei dirigenti vede l’intelligenza artificiale come un sostituto completo dei lavoratori umani.

Bev White, CEO di Nash Squared, ha affermato in una dichiarazione che mentre il tema della sostituzione dell’intelligenza artificiale generativa occupa spesso i titoli dei giornali, i risultati dell’azienda dimostrano chiaramente che le organizzazioni che hanno strettamente integrato l’intelligenza artificiale nei loro processi aziendali, hanno maggiori probabilità di aumentare il numero di dipendenti tecnici nel prossimo anno piuttosto che licenziare quelli esistenti.

Quindi, anche se ci sono molte previsioni sull’impatto rivoluzionario dell’intelligenza artificiale generativa sull’occupazione e sulla produttività, per ora il suo impatto reale rimane piuttosto modesto. Le aziende preferiscono ancora limitarsi a esperimenti e progetti pilota e non hanno fretta di implementare pienamente le tecnologie AI nei loro processi aziendali.

L'articolo Tutti licenziati dalle AI? Per ora gli impatti sono minimi se non nulli. Facciamo una analisi proviene da il blog della sicurezza informatica.

Nell’era digitale di oggi, la sicurezza delle applicazioni è di vitale importanza. Uno degli errori più comuni è il design insicuro, che può avere gravi conseguenze sulla sicurezza del sistema. Un design insicuro può rendere un’applicazione vulnerabile a molte minacce. Questo è il motivo per cui l’OWASP ha identificato il design insicuro come una delle principali preoccupazioni nella loro lista di vulnerabilità del 2021.

I difetti di progettazione possono influire negativamente su vari aspetti della sicurezza, tra cui la disponibilità, il rispetto delle politiche di sicurezza e la divulgazione di informazioni. Durante la fase di sviluppo, le scelte progettuali errate possono compromettere l’intero sistema. Ad esempio, non considerare i modelli di minaccia può portare a falle di sicurezza facilmente sfruttabili.

Adottare metodologie di design sicure consente di prevenire molte di queste vulnerabilità. Un design sicuro coinvolge l’uso di design pattern sicuri e architetture di riferimento, come suggerito dagli esperti di Foresite Cybersecurity. Questo post esplorerà i principi chiave del design sicuro e fornirà esempi pratici su come migliorare la sicurezza del design delle applicazioni.

Key Takeaways

• Importanza di evitare design insicuri nelle applicazioni.
• Principi fondamentali del design sicuro.
• Esempi pratici e metodologie per migliorare la sicurezza.

Concetti Fondamentali del Design Insicuro

Il design insicuro deriva da scelte progettuali inadeguate che possono portare a vulnerabilità e minacce. La sicurezza deve essere una priorità fin dall’inizio del progetto.

Difetti, Vulnerabilità e Minacce

Il design insicuro si manifesta principalmente attraverso difetti, vulnerabilità e minacce. I difetti di progettazione sono errori commessi durante la creazione dell’architettura del sistema o dell’applicazione. Questi difetti possono provocare la compromissione della sicurezza dell’intero sistema.

Le vulnerabilità derivano spesso da un’inefficace gestione dei dati e dall’assenza di controlli adeguati. Le minacce includono attacchi informatici che sfruttano questi difetti, come l’accesso non autorizzato o la perdita di dati sensibili. Una progettazione accurata deve includere modelli di minacce per identificare possibili punti di attacco durante la fase di sviluppo.

Le attività di minaccia devono essere integrate nelle sessioni di rifinitura per osservare i cambiamenti nei flussi di dati e nei controlli di accesso. Questo approccio aiuta a garantire che il design sia resistente agli attacchi noti.

Importanza del Design Sicuro

Il design sicuro è essenziale per proteggere applicazioni e sistemi contro minacce informatiche. Un design robusto valuta costantemente le minacce e include test di sicurezza in tutte le fasi. Integrare modelli di minaccia nelle attività di progettazione aiuta a rilevare e mitigare i rischi potenziali.

Un approccio proattivo alla sicurezza del design evita errori costosi e compromissioni future. Assicura che le applicazioni rispettino le politiche di sicurezza e best practices riconosciute. Ogni applicazione dovrebbe incorporare requisiti di sicurezza sia funzionali che non funzionali per coprire ogni aspetto della progettazione e del funzionamento.

Implementare un design sicuro e robusto richiede pianificazione e negoziazione del budget che coprano tutte le attività di progettazione, costruzione e test, incluso il funzionamento sicuro delle applicazioni, come indicato anche dall’OWASP.

Principi del Design Sicuro

I principi del design sicuro includono strategie fondamentali per proteggere applicazioni e sistemi. Tra questi troviamo il minimo privilegio, la difesa in profondità e il fallimento sicuro, che aiutano a ridurre i rischi di vulnerabilità legate alla progettazione.

Minimo Privilegio

Il principio del minimo privilegio sostiene che ogni utente e componente di un sistema dovrebbe avere solo le autorizzazioni necessarie per svolgere le proprie funzioni. Questo approccio limita i danni potenziali in caso di compromissione.

Impostare le autorizzazioni in modo restrittivo aiuta a prevenire accessi non autorizzati a dati sensibili.

Ad esempio, un impiegato di contabilità non dovrebbe avere accesso ai dati del reparto IT. Inoltre, l’accesso temporaneo può essere utilizzato per ulteriori restrizioni.

Difesa in Profondità (Defense in deep)

La difesa in profondità si basa sull’idea di implementare più livelli di sicurezza per proteggere un sistema. L’obiettivo è creare una serie di barriere che un attaccante deve superare.

Questi livelli possono includere firewall, sistemi di rilevamento delle intrusioni e controlli di accesso.

Ogni strato di sicurezza è progettato per bloccare attacchi diversi. Ad esempio, un firewall può bloccare il traffico non autorizzato mentre un IDS può rilevare attività sospette.

Fallimento Sicuro

Il fallimento sicuro implica che un sistema, in caso di guasto, entri in uno stato sicuro che non comprometta i dati o l’integrità del sistema stesso.

Questo principio è cruciale per evitare che gli errori portino a falle di sicurezza. Ad esempio, in caso di errore di autenticazione, un sistema dovrebbe negare l’accesso piuttosto che concederlo.

Implementare questi principi richiede una valutazione continua e un’adeguata pianificazione per garantire la massima sicurezza.

Esempio di Insecure Design in Python

Immaginiamo di avere una semplice applicazione web in Python che permette agli utenti di autenticarsi e visualizzare i propri dati personali. L’applicazione utilizza un database SQLite per memorizzare le informazioni degli utenti.

Codice di Esempio: Insecure Design

from flask import Flask, request, jsonify
import sqlite3

app = Flask(__name__)

# Inizializzazione del database
def init_db():
conn = sqlite3.connect('example.db')
cursor = conn.cursor()
cursor.execute('''
CREATE TABLE IF NOT EXISTS users (
id INTEGER PRIMARY KEY AUTOINCREMENT,
username TEXT NOT NULL,
password TEXT NOT NULL
)
''')
conn.commit()
conn.close()

# Funzione per autenticare l'utente
@app.route('/login', methods=['POST'])
def login():
username = request.form['username']
password = request.form['password']

conn = sqlite3.connect('example.db')
cursor = conn.cursor()

# Esempio di query SQL vulnerabile
query = f"SELECT * FROM users WHERE username = '{username}' AND password = '{password}'"
cursor.execute(query)
user = cursor.fetchone()
conn.close()

if user:
return jsonify({"message": "Login successful", "user": user})
else:
return jsonify({"message": "Invalid credentials"}), 401

if __name__ == '__main__':
init_db()
app.run(debug=True)

Spiegazione delle Vulnerabilità

1. SQL Injection: L’esempio di query SQL è vulnerabile a SQL injection. Un utente malintenzionato può manipolare l’input del campo username o password per eseguire comandi SQL arbitrari. Per esempio, un input admin' OR '1'='1 bypasserebbe l’autenticazione.
2. Progettazione Debole: Non ci sono misure di sicurezza aggiuntive come il hashing delle password. Le password sono memorizzate in testo chiaro nel database, rendendole vulnerabili in caso di compromissione del database.

Correzione del Codice: Secure Design

Per mitigare queste vulnerabilità, possiamo utilizzare pratiche di progettazione sicure come l’uso di query parametrizzate e il hashing delle password.

Codice di Esempio: Secure Design

from flask import Flask, request, jsonify
import sqlite3
from werkzeug.security import generate_password_hash, check_password_hash

app = Flask(__name__)

# Inizializzazione del database
def init_db():
conn = sqlite3.connect('example.db')
cursor = conn.cursor()
cursor.execute('''
CREATE TABLE IF NOT EXISTS users (
id INTEGER PRIMARY KEY AUTOINCREMENT,
username TEXT NOT NULL,
password TEXT NOT NULL
)
''')
conn.commit()
conn.close()

# Funzione per registrare un nuovo utente con password hashata
@app.route('/register', methods=['POST'])
def register():
username = request.form['username']
password = request.form['password']
hashed_password = generate_password_hash(password)

conn = sqlite3.connect('example.db')
cursor = conn.cursor()
cursor.execute("INSERT INTO users (username, password) VALUES (?, ?)", (username, hashed_password))
conn.commit()
conn.close()

return jsonify({"message": "User registered successfully"})

# Funzione per autenticare l'utente con password hashata
@app.route('/login', methods=['POST'])
def login():
username = request.form['username']
password = request.form['password']

conn = sqlite3.connect('example.db')
cursor = conn.cursor()
cursor.execute("SELECT * FROM users WHERE username = ?", (username,))
user = cursor.fetchone()
conn.close()

if user and check_password_hash(user[2], password):
return jsonify({"message": "Login successful", "user": user})
else:
return jsonify({"message": "Invalid credentials"}), 401

if __name__ == '__main__':
init_db()
app.run(debug=True)

Spiegazione delle Correzioni

1. Query Parametrizzate: Utilizzando il segnaposto ? nelle query SQL e passando i valori come tuple ((username,)), preveniamo le vulnerabilità di SQL injection.
2. Hashing delle Password: Utilizzando generate_password_hash per memorizzare le password in forma hashata e check_password_hash per verificare le password durante il login, proteggiamo le password degli utenti in caso di compromissione del database.

Metodologie per Migliorare la Sicurezza

Implementare pratiche come il threat modeling e utilizzare strumenti specifici sono essenziali per migliorare la sicurezza. Questi approcci aiutano a identificare e risolvere le vulnerabilità durante il ciclo di vita dello sviluppo del software.

Threat Modeling

Il threat modeling è un processo strutturato per identificare potenziali minacce e vulnerabilità in un sistema. Gli sviluppatori analizzano l’architettura, i punti di ingresso e le interazioni del sistema.

Questo consente di anticipare i possibili attacchi e di progettare contromisure efficaci. Una pratica comune è creare diagrammi di flusso dei dati per visualizzare come l’informazione si muove nel sistema. STRIDE, un framework utilizzato per il threat modeling, aiuta a classificare le minacce in varie categorie come Spoofing, Tampering, e Information Disclosure.

Strumenti e Pratiche

L’uso di strumenti specifici e la conformità a pratiche collaudate sono fondamentali. Strumenti come OWASP ZAP e Burp Suite possono automatizzare il processo di identificazione delle vulnerabilità. Implementare librerie di design pattern sicuri offre componenti pronti all’uso che minimizzano gli errori di progettazione.

Adottare l’approccio Shift Left implica integrare la sicurezza nelle prime fasi dello sviluppo. Monitorare l’ambiente di produzione con strumenti come Splunk o ELK Stack permette di rilevare anomalie e prontamente rispondere agli incidenti di sicurezza.

Misurazione dell’Adeguamento del Design

Misurare se il design di un’applicazione è sicuro è essenziale per garantire che rispetti gli standard di sicurezza richiesti. Questo processo coinvolge l’uso di metriche specifiche e la conduzione di revisioni e valutazioni dettagliate.

Metriche di Sicurezza

Le metriche di sicurezza sono utili per valutare l’adeguatezza del design. Il numero di vulnerabilità identificate è una metrica chiave. Più vulnerabilità ci sono, meno sicuro è il design.

Un’altra metrica importante è i tempi di risposta agli incidenti. Un design sicuro consente risposte rapide. Monitorare il tasso di successo degli attacchi può anche rivelare punti deboli.

L’efficacia delle misure di mitigazione indica quanto bene il design protegge contro le minacce. Raccogliere queste metriche consente di identificare aree in cui il design può essere migliorato.

Revisioni e Valutazioni

Le revisioni e valutazioni del design coinvolgono analisi approfondite. Le revisioni del codice cercano potenziali vulnerabilità direttamente nel codice sorgente.

Test di penetrazione simulano attacchi reali per verificare quanto bene il design resiste alle minacce. Le valutazioni di conformità verificano che il design segua gli standard di sicurezza e le best practices.

Coinvolgere esperti indipendenti nelle revisioni può offrire nuove prospettive e identificare problemi non visti dal team interno. La revisione continua e regolare del design è cruciale per mantenere un alto livello di sicurezza e adattarsi alle nuove minacce.

Usare queste tecniche aiuta a garantire che il design rimanga robusto e sicuro nel tempo.

Risorse e Strumenti Complementari

Utilizzare risorse e strumenti complementari può aiutare a progettare sistemi più sicuri e ridurre le vulnerabilità legate a design insicuri. Librerie, framework, standard e linee guida specifiche sono particolarmente utili per migliorare la sicurezza delle applicazioni.

Librerie e Framework

L’uso di librerie e framework ben documentati e supportati è essenziale per creare un design sicuro. OWASP ASVS (Application Security Verification Standard) è una risorsa importante che offre linee guida dettagliate per la verifica della sicurezza delle applicazioni. Spring Security è un framework Java che fornisce molte funzionalità preconfigurate per l’autenticazione e l’autorizzazione.

Node.js ha varie librerie come Helmet che aiuta a proteggere le applicazioni web impostando intestazioni HTTP sicure. Django per Python include un proprio set di strumenti di sicurezza integrati, come la protezione CSRF (Cross-Site Request Forgery). L’uso di questi strumenti facilita l’implementazione di misure di sicurezza standardizzate, riducendo il rischio di errori umani.

Standard e Linee Guida

ISO/IEC 27001 è uno degli standard internazionali più riconosciuti per la gestione della sicurezza delle informazioni. Questo standard fornisce un framework per la gestione della sicurezza delle informazioni tramite best practices e requisiti specifici.

Le linee guida OWASP sono fondamentali per chiunque lavori nell’ambito della sicurezza applicativa. Il documento OWASP Top Ten offre un elenco aggiornato delle vulnerabilità più critiche, comprese quelle relative al design insicuro.

Infine, l’NIST SP 800-53 fornisce un catalogo di controlli di sicurezza e privacy che possono essere implementati per migliorare la postura di sicurezza di un’organizzazione. Questi standard e linee guida aiutano a garantire che le pratiche di sicurezza siano coerenti e efficaci.

L'articolo OWASP A04 Insecure Design: Prevenire Vulnerabilità nelle Applicazioni proviene da il blog della sicurezza informatica.

On Friday afternoon, Meta, the parent company of Facebook and Instagram, announced it is pausing plans to roll out artificial intelligence (AI) features that would use users’ public posts to train its AI models. The company cited a request from the Irish Data Protection Commission.

euractiv.com/section/digital/p…

Until the early 2000s, the computer processors available on the market were essentially all single-core chips. There were some niche layouts that used multiple processors on the same board for improved parallel operation, and it wasn’t until the POWER4 processor from IBM in 2001 and later things like the AMD Opteron and Intel Pentium D that we got multi-core processors. If things had gone just slightly differently with this experimental platform, though, we might have had multi-processor systems available for general use as early as the 80s instead of two decades later.

The team behind this chip were from the University of Califorina, Berkeley, a place known for such other innovations as RAID, BSD, SPICE, and some of the first RISC processors. This processor architecture would be based on RISC as well, and would be known as Symbolic Processing Using RISC. It was specially designed to integrate with the Lisp programming language but its major feature was a set of parallel processors with a common bus that allowed for parallel operations to be computed at a much greater speed than comparable systems at the time. The use of RISC also allowed a smaller group to develop something like this, and although more instructions need to be executed they can often be done faster than other architectures.

The linked article from [Babbage] goes into much more detail about the architecture of the system as well as some of the things about UC Berkeley that made projects like this possible in the first place. It’s a fantastic deep-dive into a piece of somewhat obscure computing history that, had it been more commercially viable, could have changed the course of computing. Berkeley RISC did go on to have major impacts in other areas of computing and was a significant influence on the SPARC system as well.

Slovakia's parliament approved the government's planned revamp and leadership change at public broadcaster RTVS on Thursday (20 June), overruling concerns the changes will bring the broadcaster under political control and harm media freedom.

euractiv.com/section/elections…

After Space Shuttle Atlantis’ drive-by repair of the Hubble Space Telescope (HST) in May of 2009, the end of the STS program meant that the space telescope had to fend for itself with no prospect for any further repair missions. The weakest point turned out to be the gyroscopes, with of the original six only three functioning until May 24th of 2024 when one failed and couldn’t be reset any more. To make the most out of the HST’s remaining lifespan, NASA decided to transition again to single-gyroscope operation, with the most recent imaging results showing that this enables HST to return to its science mission.

Although the HST has operated with a reduced number of gyroscopes before, while awaiting its (much delayed) 2009 Servicing Mission 4, this time around it would appear that no such aid is coming. Although HST is still very much functional even after recently celebrating its 34th year in space, there is a lot of debate about whether another servicing mission could be organized, or whether HST will be deorbited in a number of years. Recently people like [Jared Isaacman] have suggested ideas for an STS servicing mission, with [Jared] even offering to pay for the entire servicing mission out of pocket.

While there is an argument to be made that a Crew Dragon is a poor substitute for a Shuttle with its big cargo bay, airlock and robotic arm, it’s promising to see at least that for now HST can do what it does best with few compromises, while we may just see Servicing Mission 5 happening at some point before that last gyro kicks the bucket.

[3DJake] likes putting textures on 3D prints using things like patterned build plates and fuzzy skin. However, both of those techniques have limitations. The build plate only lets you texture the bottom, and the fuzzy skin texture isn’t easy to control. So he shows how to use Blender to create specific textures to produce things like wood-like or leather-like surfaces, for example. You can see how it works in the video below.

As [Jake] points out, you might be able to use other artistic programs to do this, but the kind of things we use like FreeCAD of Fusion360 aren’t going to cut it.

He uses a bag with a leather texture as an example. The resulting model is too detailed and contains around 1.4 million triangles. Your printer isn’t that detailed, and your slicer will probably choke on a model with that many triangles. Decimating the model makes it more manageable.

The resulting bags, when printed using TPU and painted, hardly look like 3D prints. Well, other than the strap, perhaps. The textures were just pulled from the Internet, so there are, potentially, many to choose from as long as they are seamless.

One interesting build plate texture is a diffraction grating. You can also add special textures manually. Textures are good at hiding layer lines, even just the fuzzy skin textures you find in many slicers.

youtube.com/embed/MezOnZN1x18?…

Nell’era digitale di oggi, la sicurezza delle applicazioni è di vitale importanza. Uno degli errori più comuni è il design insicuro, che può avere gravi conseguenze sulla sicurezza del sistema. Un design insicuro può rendere un’applicazione vulnerabile a molte minacce. Questo è il motivo per cui l’OWASP ha identificato il design insicuro come una delle principali preoccupazioni nella loro lista di vulnerabilità del 2021.

I difetti di progettazione possono influire negativamente su vari aspetti della sicurezza, tra cui la disponibilità, il rispetto delle politiche di sicurezza e la divulgazione di informazioni. Durante la fase di sviluppo, le scelte progettuali errate possono compromettere l’intero sistema. Ad esempio, non considerare i modelli di minaccia può portare a falle di sicurezza facilmente sfruttabili.

Adottare metodologie di design sicure consente di prevenire molte di queste vulnerabilità. Un design sicuro coinvolge l’uso di design pattern sicuri e architetture di riferimento, come suggerito dagli esperti di Foresite Cybersecurity. Questo post esplorerà i principi chiave del design sicuro e fornirà esempi pratici su come migliorare la sicurezza del design delle applicazioni.

Key Takeaways

• Importanza di evitare design insicuri nelle applicazioni.
• Principi fondamentali del design sicuro.
• Esempi pratici e metodologie per migliorare la sicurezza.

Concetti Fondamentali del Design Insicuro

Il design insicuro deriva da scelte progettuali inadeguate che possono portare a vulnerabilità e minacce. La sicurezza deve essere una priorità fin dall’inizio del progetto.

Difetti, Vulnerabilità e Minacce

Il design insicuro si manifesta principalmente attraverso difetti, vulnerabilità e minacce. I difetti di progettazione sono errori commessi durante la creazione dell’architettura del sistema o dell’applicazione. Questi difetti possono provocare la compromissione della sicurezza dell’intero sistema.

Le vulnerabilità derivano spesso da un’inefficace gestione dei dati e dall’assenza di controlli adeguati. Le minacce includono attacchi informatici che sfruttano questi difetti, come l’accesso non autorizzato o la perdita di dati sensibili. Una progettazione accurata deve includere modelli di minacce per identificare possibili punti di attacco durante la fase di sviluppo.

Le attività di minaccia devono essere integrate nelle sessioni di rifinitura per osservare i cambiamenti nei flussi di dati e nei controlli di accesso. Questo approccio aiuta a garantire che il design sia resistente agli attacchi noti.

Importanza del Design Sicuro

Il design sicuro è essenziale per proteggere applicazioni e sistemi contro minacce informatiche. Un design robusto valuta costantemente le minacce e include test di sicurezza in tutte le fasi. Integrare modelli di minaccia nelle attività di progettazione aiuta a rilevare e mitigare i rischi potenziali.

Un approccio proattivo alla sicurezza del design evita errori costosi e compromissioni future. Assicura che le applicazioni rispettino le politiche di sicurezza e best practices riconosciute. Ogni applicazione dovrebbe incorporare requisiti di sicurezza sia funzionali che non funzionali per coprire ogni aspetto della progettazione e del funzionamento.

Implementare un design sicuro e robusto richiede pianificazione e negoziazione del budget che coprano tutte le attività di progettazione, costruzione e test, incluso il funzionamento sicuro delle applicazioni, come indicato anche dall’OWASP.

Principi del Design Sicuro

I principi del design sicuro includono strategie fondamentali per proteggere applicazioni e sistemi. Tra questi troviamo il minimo privilegio, la difesa in profondità e il fallimento sicuro, che aiutano a ridurre i rischi di vulnerabilità legate alla progettazione.

Minimo Privilegio

Il principio del minimo privilegio sostiene che ogni utente e componente di un sistema dovrebbe avere solo le autorizzazioni necessarie per svolgere le proprie funzioni. Questo approccio limita i danni potenziali in caso di compromissione.

Impostare le autorizzazioni in modo restrittivo aiuta a prevenire accessi non autorizzati a dati sensibili.

Ad esempio, un impiegato di contabilità non dovrebbe avere accesso ai dati del reparto IT. Inoltre, l’accesso temporaneo può essere utilizzato per ulteriori restrizioni.

Difesa in Profondità (Defense in deep)

La difesa in profondità si basa sull’idea di implementare più livelli di sicurezza per proteggere un sistema. L’obiettivo è creare una serie di barriere che un attaccante deve superare.

Questi livelli possono includere firewall, sistemi di rilevamento delle intrusioni e controlli di accesso.

Ogni strato di sicurezza è progettato per bloccare attacchi diversi. Ad esempio, un firewall può bloccare il traffico non autorizzato mentre un IDS può rilevare attività sospette.

Fallimento Sicuro

Il fallimento sicuro implica che un sistema, in caso di guasto, entri in uno stato sicuro che non comprometta i dati o l’integrità del sistema stesso.

Questo principio è cruciale per evitare che gli errori portino a falle di sicurezza. Ad esempio, in caso di errore di autenticazione, un sistema dovrebbe negare l’accesso piuttosto che concederlo.

Implementare questi principi richiede una valutazione continua e un’adeguata pianificazione per garantire la massima sicurezza.

Esempio di Insecure Design in Python

Immaginiamo di avere una semplice applicazione web in Python che permette agli utenti di autenticarsi e visualizzare i propri dati personali. L’applicazione utilizza un database SQLite per memorizzare le informazioni degli utenti.

Codice di Esempio: Insecure Design

from flask import Flask, request, jsonify
import sqlite3

app = Flask(__name__)

# Inizializzazione del database
def init_db():
conn = sqlite3.connect('example.db')
cursor = conn.cursor()
cursor.execute('''
CREATE TABLE IF NOT EXISTS users (
id INTEGER PRIMARY KEY AUTOINCREMENT,
username TEXT NOT NULL,
password TEXT NOT NULL
)
''')
conn.commit()
conn.close()

# Funzione per autenticare l'utente
@app.route('/login', methods=['POST'])
def login():
username = request.form['username']
password = request.form['password']

conn = sqlite3.connect('example.db')
cursor = conn.cursor()

# Esempio di query SQL vulnerabile
query = f"SELECT * FROM users WHERE username = '{username}' AND password = '{password}'"
cursor.execute(query)
user = cursor.fetchone()
conn.close()

if user:
return jsonify({"message": "Login successful", "user": user})
else:
return jsonify({"message": "Invalid credentials"}), 401

if __name__ == '__main__':
init_db()
app.run(debug=True)

Spiegazione delle Vulnerabilità

1. SQL Injection: L’esempio di query SQL è vulnerabile a SQL injection. Un utente malintenzionato può manipolare l’input del campo username o password per eseguire comandi SQL arbitrari. Per esempio, un input admin' OR '1'='1 bypasserebbe l’autenticazione.
2. Progettazione Debole: Non ci sono misure di sicurezza aggiuntive come il hashing delle password. Le password sono memorizzate in testo chiaro nel database, rendendole vulnerabili in caso di compromissione del database.

Correzione del Codice: Secure Design

Per mitigare queste vulnerabilità, possiamo utilizzare pratiche di progettazione sicure come l’uso di query parametrizzate e il hashing delle password.

Codice di Esempio: Secure Design

from flask import Flask, request, jsonify
import sqlite3
from werkzeug.security import generate_password_hash, check_password_hash

app = Flask(__name__)

# Inizializzazione del database
def init_db():
conn = sqlite3.connect('example.db')
cursor = conn.cursor()
cursor.execute('''
CREATE TABLE IF NOT EXISTS users (
id INTEGER PRIMARY KEY AUTOINCREMENT,
username TEXT NOT NULL,
password TEXT NOT NULL
)
''')
conn.commit()
conn.close()

# Funzione per registrare un nuovo utente con password hashata
@app.route('/register', methods=['POST'])
def register():
username = request.form['username']
password = request.form['password']
hashed_password = generate_password_hash(password)

conn = sqlite3.connect('example.db')
cursor = conn.cursor()
cursor.execute("INSERT INTO users (username, password) VALUES (?, ?)", (username, hashed_password))
conn.commit()
conn.close()

return jsonify({"message": "User registered successfully"})

# Funzione per autenticare l'utente con password hashata
@app.route('/login', methods=['POST'])
def login():
username = request.form['username']
password = request.form['password']

conn = sqlite3.connect('example.db')
cursor = conn.cursor()
cursor.execute("SELECT * FROM users WHERE username = ?", (username,))
user = cursor.fetchone()
conn.close()

if user and check_password_hash(user[2], password):
return jsonify({"message": "Login successful", "user": user})
else:
return jsonify({"message": "Invalid credentials"}), 401

if __name__ == '__main__':
init_db()
app.run(debug=True)

Spiegazione delle Correzioni

1. Query Parametrizzate: Utilizzando il segnaposto ? nelle query SQL e passando i valori come tuple ((username,)), preveniamo le vulnerabilità di SQL injection.
2. Hashing delle Password: Utilizzando generate_password_hash per memorizzare le password in forma hashata e check_password_hash per verificare le password durante il login, proteggiamo le password degli utenti in caso di compromissione del database.

Metodologie per Migliorare la Sicurezza

Implementare pratiche come il threat modeling e utilizzare strumenti specifici sono essenziali per migliorare la sicurezza. Questi approcci aiutano a identificare e risolvere le vulnerabilità durante il ciclo di vita dello sviluppo del software.

Threat Modeling

Il threat modeling è un processo strutturato per identificare potenziali minacce e vulnerabilità in un sistema. Gli sviluppatori analizzano l’architettura, i punti di ingresso e le interazioni del sistema.

Questo consente di anticipare i possibili attacchi e di progettare contromisure efficaci. Una pratica comune è creare diagrammi di flusso dei dati per visualizzare come l’informazione si muove nel sistema. STRIDE, un framework utilizzato per il threat modeling, aiuta a classificare le minacce in varie categorie come Spoofing, Tampering, e Information Disclosure.

Strumenti e Pratiche

L’uso di strumenti specifici e la conformità a pratiche collaudate sono fondamentali. Strumenti come OWASP ZAP e Burp Suite possono automatizzare il processo di identificazione delle vulnerabilità. Implementare librerie di design pattern sicuri offre componenti pronti all’uso che minimizzano gli errori di progettazione.

Adottare l’approccio Shift Left implica integrare la sicurezza nelle prime fasi dello sviluppo. Monitorare l’ambiente di produzione con strumenti come Splunk o ELK Stack permette di rilevare anomalie e prontamente rispondere agli incidenti di sicurezza.

Misurazione dell’Adeguamento del Design

Misurare se il design di un’applicazione è sicuro è essenziale per garantire che rispetti gli standard di sicurezza richiesti. Questo processo coinvolge l’uso di metriche specifiche e la conduzione di revisioni e valutazioni dettagliate.

Metriche di Sicurezza

Le metriche di sicurezza sono utili per valutare l’adeguatezza del design. Il numero di vulnerabilità identificate è una metrica chiave. Più vulnerabilità ci sono, meno sicuro è il design.

Un’altra metrica importante è i tempi di risposta agli incidenti. Un design sicuro consente risposte rapide. Monitorare il tasso di successo degli attacchi può anche rivelare punti deboli.

L’efficacia delle misure di mitigazione indica quanto bene il design protegge contro le minacce. Raccogliere queste metriche consente di identificare aree in cui il design può essere migliorato.

Revisioni e Valutazioni

Le revisioni e valutazioni del design coinvolgono analisi approfondite. Le revisioni del codice cercano potenziali vulnerabilità direttamente nel codice sorgente.

Test di penetrazione simulano attacchi reali per verificare quanto bene il design resiste alle minacce. Le valutazioni di conformità verificano che il design segua gli standard di sicurezza e le best practices.

Coinvolgere esperti indipendenti nelle revisioni può offrire nuove prospettive e identificare problemi non visti dal team interno. La revisione continua e regolare del design è cruciale per mantenere un alto livello di sicurezza e adattarsi alle nuove minacce.

Usare queste tecniche aiuta a garantire che il design rimanga robusto e sicuro nel tempo.

Risorse e Strumenti Complementari

Utilizzare risorse e strumenti complementari può aiutare a progettare sistemi più sicuri e ridurre le vulnerabilità legate a design insicuri. Librerie, framework, standard e linee guida specifiche sono particolarmente utili per migliorare la sicurezza delle applicazioni.

Librerie e Framework

L’uso di librerie e framework ben documentati e supportati è essenziale per creare un design sicuro. OWASP ASVS (Application Security Verification Standard) è una risorsa importante che offre linee guida dettagliate per la verifica della sicurezza delle applicazioni. Spring Security è un framework Java che fornisce molte funzionalità preconfigurate per l’autenticazione e l’autorizzazione.

Node.js ha varie librerie come Helmet che aiuta a proteggere le applicazioni web impostando intestazioni HTTP sicure. Django per Python include un proprio set di strumenti di sicurezza integrati, come la protezione CSRF (Cross-Site Request Forgery). L’uso di questi strumenti facilita l’implementazione di misure di sicurezza standardizzate, riducendo il rischio di errori umani.

Standard e Linee Guida

ISO/IEC 27001 è uno degli standard internazionali più riconosciuti per la gestione della sicurezza delle informazioni. Questo standard fornisce un framework per la gestione della sicurezza delle informazioni tramite best practices e requisiti specifici.

Le linee guida OWASP sono fondamentali per chiunque lavori nell’ambito della sicurezza applicativa. Il documento OWASP Top Ten offre un elenco aggiornato delle vulnerabilità più critiche, comprese quelle relative al design insicuro.

Infine, l’NIST SP 800-53 fornisce un catalogo di controlli di sicurezza e privacy che possono essere implementati per migliorare la postura di sicurezza di un’organizzazione. Questi standard e linee guida aiutano a garantire che le pratiche di sicurezza siano coerenti e efficaci.

L'articolo OWASP A04 Insecure Design: Prevenire Vulnerabilità nelle Applicazioni proviene da il blog della sicurezza informatica.

In a lot of ways, Etch-A-Sketch is the perfect toy; simple, easy to use, creative, endlessly engaging, and as a bonus, it’s completely mechanical. We find that last attribute to be a big part of its charm, but that’s not to say an electronic version of the classic toy can’t be pretty cool, especially when it’s done without the aid of a microcontroller.

This is one of those “because I can” projects that we always find so interesting, and more so because it wasn’t entirely clear to [BigZaphod] that he had the skills to pull it off. While his initial design centered around a bunch of 8×8 LED matrix displays and a 256×4-bit RAM chip, the rest of it was a lot of hand-waving. After a few experiments with addressing the LEDs, [Zaphod] started filling in the blanks with a refresh circuit using a 555 — naturally — and a pair of counters. Properly debounced encoders for the horizontal and vertical controls came next, along with more counters to track the cursor and a host of other circuits that ended up looking like a “one of each” selection from the 7400-series catalog.

While we do wish for a schematic on this one, it’s still a pretty enjoyable video, and the end product seems to work really well. The electronic version has a few features the original lacks, such as wrapping the cursor to the other side of the screen. We’d imagine that the buttons on the encoders could be put to work, too; perhaps a click could make it so you can move the cursor without leaving a trail behind. That might be a challenge to execute in logic, but then again, that was the point of the whole thing.

Still jonesing for that mechanical Etch-A-Sketch experience? Not a problem.

youtube.com/embed/eHLM9lPs-2A?…

We always look at the round LCDs and wonder what to do with them other than, of course, a clock. Well, [shabaz] had a great idea: use it as a star map display. The project combines the Arduino, a round TFT, a GPS receiver, and some external flash memory to store data. You can get by without the GPS receiver or flash memory, but you’ll lose features if you do.

We like how he approached the problem. The project contains four major parts and he developed each part independently before integrating them into a whole. The four parts are: reading the GPS, driving the LCD, providing storage for star data, and determining the position of stars. The heavy lifting is done using some public domain code ported over. This code derives from a book called Astronomical Algorithms and uses the Yale Bright Star Catalog database.

The post mentions that the screen might well be a larger rectangular screen and we agree that would make this more usable. Now if you could cram it all into a watch, that might be different. If you want to play with the code, you can actually run the core on Linux. You’ll have to settle for a PNG output of the night sky, but that would be handy for debugging.

We have seen a star chart in a watch before. While this is more a star chart than a planetarium, we have no doubt the early planetarium builders would be suitably impressed.

youtube.com/embed/GIHXshW9cDw?…

We’ll admit it. The closer a project is to completion, the less enthusiasm we have for it. Once the main design is clearly going to work on a breadboard, we’re ready to move on to the next one. We don’t mind the PCB layout, especially with modern tools. However, once the board is done, you have to do the case. Paradoxically, this was easier in the old days because you just picked some stock box, drilled some holes, and while it looked terrible, it was relatively easy.

Today, the bar is much higher. You’ll probably 3D print or laser cut an enclosure. If it looks no better than what you did in the 1970s, you won’t win many admirers. We routinely cover projects that could easily pass for commercial products. So how do you do it?

The Parts

The enclosure may even be the easy part. There are plenty of scripts and generators that will make you a nice box that meets your specifications. You can probably even get the holes made as you build. Back in the day, it was a challenge to cut odd-shaped holes for things like serial port connectors. Now, no problem. The printer or laser will just make a hole with any shape you like. You may even want to try a new angle on 3D printing.

Mounting the PCB isn’t that hard, either. With 3D printing, you can create standoffs, but even if you laser cut, you can easily use conventional standoffs. In a pinch, we’ve used long bolts with nuts.

The real problem, it seems to us, is the front panel. Only Star Trek can get away with front panels containing a bunch of knobs and dials with no markings. And although we call them “front” panels, sometimes you need markings on the back or even the sides, too.

Front Panel Options

There are companies that will make front panels for you, and those are usually silk-screened with legends. You could, of course, silk screen yourself if you have the ability to do that. What are your other options?
Labels can’t match a laminated cover.
Labels aren’t going to cut it anymore. However, you can use rub on letters if you are very careful. We’ve used water slide paper — the same kind you see in model kits. You can find water slide paper that will run through computer printers.

Another option is to do the toner transfer trick you often see for PCBs, but use it on your front panel. Since that takes heat, it isn’t going to work on 3D-printed panels, though. For that matter, you can just use a PCB as a front panel and then make it the same way you make other boards. Silk screening is easy, then, and here’s a secret: you can make PCBs with no copper on them at all! You can even use them for the entire enclosure.

We have seen good-looking laminated color prints that look better than labels. If you don’t want to do your own printing, sign companies can print Dibond aluminum, which works well. You can laser engrave acrylic and fill the engraved areas with ink or wax for contrast or even use a two-tone material made for laser etching.

The video below uses multicolor 3D printing to create custom panels in a way we haven’t seen before. These panels go in an airplane simulator and are made to have good visibility in different lighting conditions.

youtube.com/embed/WIdHBMIfGhQ?…

Over To You…

What’s your go-to method for creating marks on panels? When do you go through the trouble? After all, if you are building a one-off piece of gear for your own use, maybe a label maker is all you really need. Let us know in the comments. The good news is that there are many ways to make great-looking panels now. The bad news is now we are expected to make them!

[Ben Krasnow] of the Applied Science channel recently released a video demonstrating his process for getting copper-plated traces reliably embedded into sintered nylon powder (SLS) 3D printed parts, and shows off a variety of small test boards with traces for functional circuits embedded directly into them.

Here’s how it works: The SLS 3D printer uses a laser to fuse powdered nylon together layer by layer to make a plastic part. But to the nylon powder, [Ben] has added a small amount of a specific catalyst (copper chromite), so that prints contains this catalyst. Copper chromite is pretty much inert until it gets hit by a laser, but not the same kind of laser that sinters the nylon powder. That means after the object is 3D printed, the object is mostly nylon with a small amount of (inert) copper chromite mixed in. That sets the stage for what comes next.

The results are durable as well; the effort needed to tear a battery holder off being at least as much as for a regular FR4 PCB.
Activating the copper chromite is all about dumping enough energy into the particles, and that gets done with a pulsed laser. This is how the traces are “drawn” onto the printed object, and these traces will be copper-clad in the next step.

Once the copper chromite catalyst is activated by the second laser, the whole 3D printed object is put into a chemical bath for electroless copper plating. Again, only the places hit by the pulsed laser end up plated. Places not hit by the second laser remain inert.

There’s an interesting side note here. Electroless copper plating is a well understood process used by every PCB manufacturer in the world. But the recipes are all proprietary and [Ben] tried without success to mix up an effective batch. In the end, a talk with OpenAI’s ChatGPT helped crack the case by suggesting a procedure that worked, saving [Ben] a ton of time. Skip to 8:10 in the video if you want to know all about that.

The result is a 3D printed nylon object into which solder-able copper traces are well and truly embedded. The test pieces work out great, but even better, there’s no reason the objects and traces even have to be planar. All it would take is a pulsed laser able to focus on a curved surface in order to create curved traces on a 3-dimensional part.

We’ve seen copper-plated 3D printed PCBs before, but this is something very different and really elegant. The whole workflow has a lot of moving parts, but once controlled it’s remarkable repeatable.

[Ben] has actually tried putting copper traces on SLS printed parts before, but with only limited success. Recent advances in technology and tools have really made the process sing. Watch it all in action in the video, embedded below.

youtube.com/embed/UIqhpxul_og?…