Most one-handed keyboards rely on modifier keys or chording (pressing multiple keys in patterns) to stretch the functionality of a single hand’s worth of buttons. [Dylan Turner]’s PS-OHK takes an entirely different approach, instead putting 75 individual keys within reach of a single hand, with a layout designed to be practical as well as easy to get used to.
We can’t help but notice Backspace isn’t obvious in the prototype, but it’s also a work in progress.
The main use case of the PS-OHK is for one hand to comfortably rest at the keyboard while the other hand manipulates a mouse in equal comfort. There is a full complement of familiar special keys (Home, End, Insert, Delete, PgUp, PgDn) as well as function keys F1 to F12 which helps keep things familiar.

As for the rest of the layout, we like the way that [Dylan] clearly aimed to maintain some of the spatial relationship of “landmark” keys such as ESC, which is positioned at the top-left corner of its group. Similarly, arrow keys are grouped together in the expected pattern.

One-handed keyboards usually rely on modifier keys or multi-key chording and it’s interesting to see work put into a different approach that doesn’t require memorizing strange layouts or input patterns.

Want to make your own? The GitHub repository has everything you need. Accommodating the 75 physical keys requires a large PCB, but it’s a fairly straightforward shape and doesn’t have any oddball manufacturing requirements, which means getting it made should be a snap.

Art.595 c.p.: Chiunque, fuori dei casi indicati nell'articolo precedente, comunicando con più persone, offende l'altrui reputazione, è punito con la reclusione fino a un anno o con la multa fino a milletrentadue euro.

Se l'offesa consiste nell'attribuzione di un fatto determinato, la pena è della reclusione fino a due anni, ovvero della multa fino a duemilasessantacinque euro.

Se l'offesa è recata col mezzo della stampa o con qualsiasi altro mezzo di pubblicità, ovvero in atto pubblico, la pena è della reclusione da sei mesi a tre anni o della multa non inferiore a cinquecentosedici euro.

Se l'offesa è recata a un Corpo politico, amministrativo o giudiziario, o ad una sua rappresentanza, o ad una Autorità costituita in collegio, le pene sono aumentate.

Il contenuto della norma

La diffamazione perpetrata attraverso l’uso della rete, fenomeno assai diffuso, non ha portato ad un intervento specifico del legislatore, operando in tal caso l’ipotesi aggravata prevista dal III comma dell’art. 595 c.p., che prevede la punizione della diffamazione realizzata non solo col mezzo della stampa, ma anche quella posta in essere “con qualsiasi altro mezzo di pubblicità”, all’interno del quale rientrerebbe, appunto, lo strumento telematico.

Trattandosi di una norma non pensata per condotte realizzate in rete, la giurisprudenza è più volte intervenuta per delimitarne l’ambito di applicazione ed i suoi esatti confini.

I quotidiani e le testate on line hanno natura del tutto assimilabile a quella dell’informazione su carta stampata e ,quindi, ad essi si applicano le regole relative alla diffamazione a mezzo stampa.

Tema differente è quello relativo alla responsabilità del direttore ai sensi dell’art.57 c.p., norma che configura una responsabilità a carico del direttore responsabile della testata giornalistica il quale,titolare di una posizione di preminenza organizzativa e gerarchica nell’ambito della redazione,non eserciti il doveroso controllo al fine di impedire che mediante lo strumento editoriale da lui diretto vengano commessi reati. In un primo momento la giurisprudenza ha escluso ogni assimilazione del direttore della testata on line a quello dell’equivalente mezzo di informazione cartaceo, fondando tale conclusione,in via principale, sull’osservanza del principio costituzionale di stretta legalità di cui all’art.25,comma 2,Cost. e del conseguente divieto di analogia in malam partem, affermando che nell’on line mancherebbero i requisiti della stampa come definita dall’art.1 legge 8 febbraio 1948,n.47, secondo il quale essa coincide con >. Successivamente la giurisprudenza, data alla nozione di “stampa”una interpretazione idonea a ricomprendere tutti i giornali, siano essi cartacei o telematici, ha riconosciuto alle testate giornalistiche telematiche non solo le garanzie costituzionali in materia di sequestro, ma anche l’intera disciplina prevista per gli stampati,comprese tutte le fattispecie incriminatrici e tra esse quella relativa alla responsabilità del direttore per omesso controllo prevista dall’art.57 c.p.

Per quanto riguarda gli Internet Service Provider (ISP), è evidente che essi debbano rispondere per le violazioni commesse direttamente, come nel caso di un content provider che fornisce personalmente contenuti. Al contrario, è più complesso stabilire la responsabilità dell’ISP per le violazioni commesse da altri utilizzando le infrastrutture di comunicazione. Il quadro normativo pertinente si trova nel decreto legislativo n. 70/2003, emanato per attuare la Direttiva Europea sul commercio elettronico 2000/31/CE, focalizzata sugli aspetti legali della società dell’informazione nel mercato interno, con particolare attenzione al commercio elettronico.

L’articolo 7 di tale decreto definisce gli ISP come “fornitori di servizi in internet”, mentre l’articolo 2 chiarisce che i servizi della società dell’informazione comprendono attività economiche online e servizi indicati dalla legge n. 317/1986, articolo 1, comma 1, lettera b, cioè servizi a pagamento erogati a distanza, elettronicamente e su richiesta individuale del destinatario dei servizi. Tra questi servizi vi sono, a titolo esemplificativo, l’accesso a Internet e la fornitura di caselle di posta elettronica.

Tuttavia, ciò che risulta particolarmente rilevante è quanto stabilito dall’articolo 15 della suddetta direttiva 2000/31/CE e, di conseguenza, dall’articolo 17 del decreto legislativo 70/2003. In base a questi articoli, negli Stati membri non è imposto agli ISP un obbligo generale di sorveglianza preventiva sulle informazioni trasmesse o memorizzate, né un obbligo di ricerca attiva di condotte presumibilmente illecite.

Non è possibile, inoltre, dedurre una responsabilità penale da fonti diverse. In primo luogo, l’articolo 57 del codice penale è concepito per soggetti completamente diversi e solo in materia di stampa, quindi applicarlo agli ISP sarebbe un’analogia evidente e vietata. In secondo luogo, obblighi simili non sembrano derivare dalle norme sulla protezione dei dati personali, che coprono comportamenti molto diversi rispetto alle diffamazioni.

La situazione è invece diversa e più complessa per gli hosting providers. Questi sono obbligati a segnalare prontamente alle autorità competenti le violazioni rilevate e a condividere ogni informazione utile per identificare l’autore della violazione. Se tali soggetti non collaborano con le autorità, potrebbero essere considerati civilmente responsabili dei danni causati. Questa forma di responsabilità successiva dell’ISP trova fondamento nell’articolo 14, comma 1, lettera b) della direttiva sopracitata e nell’articolo 16 del decreto legislativo 70/2003. Gli hosting provider sarebbero responsabili solo se sono effettivamente a conoscenza della presenza di contenuti illeciti sui loro server e non li rimuovono nonostante ciò.

Dal punto di vista penale, si potrebbe ipotizzare una responsabilità dell’ISP per concorso omissivo nel reato commesso dall’utente.

In via generale,la giurisprudenza,prima di merito e poi di legittimità, ha ritenuto che alla diffamazione commessa tramite Facebook o altro social, sia applicabile l’aggravante dell’art.595,comma 3,c.p., nella parte in cui fa riferimento agli >differenti dalla stampa. Tale orientamento è stato dapprima contrastato dalla giurisprudenza di merito, secondo la quale la pubblicazione sulla pagina social dell’utente può essere visionata soltanto attraverso l’abilitazione all’accesso,costituita dalla c.d. “amicizia” : ciò le conferirebbe la natura di comunicazione privata con destinatari selezionati e,conseguentemente, configurerebbe una ipotesi di diffamazione non aggravata dall’uso di un mezzo di pubblicità.

E’prevalso,tuttavia, l’orientamento opposto,in base al quale, ancorché limitata ad un ambito di utenti selezionato,la pubblicazione sul profilo Facebook realizzerebbe comunque la pubblicità richiesta al fine di integrare la circostanza aggravante.

In relazione al like apposto su un contenuto denigratorio,invece, non vi sono ad oggi precedenti giurisprudenziali anche se di recente è stato disposto un rinvio a giudizio per diffamazione in un caso di apposizione di un like a un post denigratorio di un Sindaco e di alcuni dipendenti comunali.

Su questo tema, da un lato, vi è chi rileva la possibilità di sostenere la sussistenza del concorso nel delitto di diffamazione, ritenendo che attraverso il like si manifesta un’ adesione piena al contenuto e, dal punto di vista tecnico, si contribuisce a determinare una sua maggiore visibilità. Dall’altro, c’è chi osserva come il like venga nella realtà digitale apposto sovente in modo disinvolto, automatico, senza essere preceduto da un’effettiva riflessione e, quindi, non sintomatico di una piena adesione al contenuto.

Considerato che sempre più spesso nei social si registrano commenti e comportamenti troppo disinvolti, il che richiederebbe un maggior senso di responsabilità da parte di tutti, ed essendo pacifico che sul piano astratto anche un like potrebbe condurre ad una configurabilità di un concorso nel delitto di diffamazione, rimane assai difficile, sul piano eminentemente probatorio, dimostrare esclusivamente attraverso lo stesso il dolo richiesto dall’art.595 c.p. , essendo più agevole provare l’automaticità con la quale in altre occasioni si è messo il like o comunque la non riconducibilità dello stesso al messaggio denigratorio, pensiamo alle ipotesi frequenti in cui il like si appone ai contenuti di un amico in quanto tale ed a prescindere da ciò che scrive.

D’altra parte, se passasse la tesi di una compartecipazione al delitto di diffamazione per un semplice like si andrebbe a toccare pesantemente la sfera della libera manifestazione del pensiero nella sua forma minima, ovvero non su quello che si esprime, ma addirittura sulla possibilità o meno di non essere in disaccordo con altri, al di là del modo in cui questi esprimono i loro giudizi.

Ciò detto , in tema di istigazione a delinquere, è stata riconosciuta rilevanza penale ad un like apposto su Facebook (Cass. , Sez.V, sent. n. 55417/17)

Altra questione rilevante riguarda la possibile responsabilità del gestore di un blog. Su questo punto, esiste un ampio corpus di decisioni giurisprudenziali, sia di merito che di legittimità, che mostra una certa eterogeneità riguardo all’estensione delle responsabilità del gestore di tali piattaforme.

In particolare, una parte della giurisprudenza ha considerato il blogger come il direttore responsabile, e di conseguenza, a lui imputabili i contenuti diffamatori inseriti nel blog da altri. Tuttavia, la giurisprudenza prevalente ha adottato un approccio diverso, sostenendo che le norme che attribuiscono responsabilità al direttore e al vice-direttore responsabile di un periodico si applicano solo a soggetti qualificati che assumono tali ruoli in seguito a una nomina specifica ai sensi degli articoli 3 e 5 della legge 8 febbraio 1948, n. 47. Pertanto, secondo questo ragionamento, non sembra possibile attribuire al semplice gestore di un blog gli obblighi di vigilanza e di controllo sul materiale, che comportano l’obbligo di impedire la commissione di reati attraverso la pubblicazione.

D’altra parte, la struttura di un blog non è assimilabile a quella di un giornale tradizionalmente inteso, almeno per quanto riguarda gli aspetti penalistici in caso di mancato controllo del materiale caricato da terzi. Di conseguenza, il blogger può essere ritenuto responsabile dei contenuti pubblicati da terzi solo se prende conoscenza della lesività di tali contenuti e li mantiene consapevolmente. In particolare, la mancata attivazione tempestiva da parte del blogger per rimuovere commenti offensivi pubblicati da terzi non equivale a un mancato impedimento dell’evento diffamatorio ai sensi dell’articolo 40, secondo comma, del codice penale, ma piuttosto a una consapevole condivisione del contenuto lesivo dell’altrui reputazione, con ulteriore riproduzione dell’offensività dei contenuti pubblicati su un diario gestito dal blogger stesso.

Le stesse considerazioni possono essere svolte per il moderatore di un forum. Anche in questo caso, infatti, sembrano mancare completamente i presupposti per l’applicazione dell’articolo 57 del codice penale. Il soggetto in questione potrebbe,quindi, essere chiamato a rispondere solo per concorso nella diffamazione commessa dal soggetto che ha effettivamente diffuso il contenuto lesivo dell’onorabilità altrui.

In relazione alla questione della giurisdizione in relazione al luogo del commesso reato, emergono alcune considerazioni. Nel caso in cui il delitto sia commesso in Italia, con l’agente che opera sul territorio italiano e utilizza un server installato nello stesso paese, la giurisdizione è chiara, poiché l’intero fatto si verifica in Italia e pertanto è soggetto al principio generale di territorialità.

Allo stesso modo, se l’agente opera in Italia e utilizza un server situato all’estero, la giurisdizione italiana si applica secondo l’articolo 6, comma 2, del codice penale, in quanto il reato è considerato compiuto in Italia.

La situazione si complica quando l’agente opera all’estero e il server a cui accede è anch’esso ubicato all’estero, ma il messaggio viene ricevuto pure in Italia. La questione qui è se la diffamazione sia considerata un reato di condotta o di evento.

Inizialmente, le decisioni dei giudici di merito riguardo alla diffamazione su Internet attraverso server esteri hanno concordato sulla mancanza di giurisdizione dell’autorità giudiziaria italiana. Si argomentava che se la diffusione dei contenuti diffamatori avveniva al di fuori dei confini italiani, la consumazione del reato doveva ritenersi avvenuta all’estero. Tuttavia, altro orientamento propone una visione opposta, considerando la diffamazione come un reato di evento, ossia un avvenimento esterno all’agente ma collegato al suo comportamento. In questo contesto, il momento consumativo del reato non è la diffusione del messaggio offensivo, bensì la percezione di esso da parte di terzi che sono “terzi” rispetto all’agente e alla persona offesa. Di conseguenza, se la percezione avviene in Italia, il reato può essere considerato commesso sul territorio italiano. Stesse considerazioni devono essere svolte in tema di competenza per territorio.

Posto, quindi, che il delitto di diffamazione via Internet è un reato di evento che si consuma quando i terzi percepiscono l’espressione offensiva, quando non sia possibile individuare il luogo di consumazione del reato e sia invece possibile individuare il luogo in remoto in cui il contenuto diffamatorio è stato caricato, tale criterio di collegamento, in quanto prioritario rispetto a quello di cui all’art.9 c.p.p. comma 2 (che attribuisce la competenza al giudice della residenza, dimora o domicilio dell’imputato), deve prevalere su quest’ultimo, cosicché la competenza risulta individuabile con riferimento al luogo fisico ove viene effettuato l’accesso alla rete per il caricamento dei dati sul server.

Cosa dice la giurisprudenza

Trattandosi di una norma non pensata per condotte realizzate in rete, la giurisprudenza è più volte intervenuta per delimitarne l’ambito di applicazione ed i suoi esatti confini.

Esempi di diffamazione on line

E’ punibile come fatto di diffamazione l’offesa comunicata via WhatsApp perché la comunicazione nella chat di gruppo opera tra i partecipanti sempre in modo asincrono (Cass. Sez.V, sent. n. 27540/23).

L‘utilizzo della posta elettronica non esclude la sussistenza del requisito della “comunicazione con più persone” anche nella ipotesi di diretta ed esclusiva destinazione del messaggio diffamatorio ad una sola persona determinata, quando l’accesso alla casella mail sia consentito almeno ad altro soggetto, a fini di consultazione, estrazione di copia e di stampa, e tale accesso plurimo sia noto al mittente o, quantomeno, prevedibile secondo l’ordinaria diligenza (Cass.,Sez., Sez.V,sent.n.12826/22).

E’ qualificabile come diffamazione la pubblicazione di messaggi offensivi dell’altrui reputazione sullo stato di Whatsapp (Cass.,Sez.V, sent.n. 33219/21)

Se la persona è presente on line, si integra un’ ingiuria realizzata alla presenza di più persone e non il delitto di diffamazione e quindi va dichiarata l’insussistenza del reato ( Cass., Sez.V, sent.n. 44662/21).

Rilevanza del “like” (mi piace) su Facebook e istigazione a delinquere(Cass. , Sez.V, sent. n. 55417/17) .

Quanto ai social, se da un lato si ritiene che la diffamazione su una bacheca integri il delitto di diffamazione aggravata per l’uso del “mezzo di pubblicità” ( Cass., Sez. I, sent.24431/15), dall’altro si è esclusa la sua sussistenza in capo all’amministratore di un gruppo face book per i commenti di terzi da lui non approvati espressamente. Viceversa lo stesso viene ritenuto punibile qualora abbia scientemente omesso di cancellare,anche a posteriori, le frasi diffamatorie segnalate ( Tribunale di Vallo della Lucania, Gip, sent. n.22/16 ).

Equiparazione diffamazione a mezzo stampa ed a mezzo Internet

In tema di diffamazione a mezzo stampa, con particolare riferimento alla pubblicazione di un video su piattaforma Youtube, ai fini del riconoscimento dell’esimente ex art. 51 c.p., qualora il contenuto digitale contenga una critica formulata con le modalità proprie della satira, il giudice, nell’apprezzare il requisito della continenza, deve tener conto del linguaggio essenzialmente simbolico e paradossale della rappresentazione, rispetto al quale non si può applicare il metro consueto di correttezza dell’espressione, restando, comunque, fermo il limite del rispetto dei valori fondamentali, che devono ritenersi superati quando la persona pubblica, oltre che al ludibrio della sua immagine, sia esposta al disprezzo. Il diritto di satira, cioè, sussiste anche qualora venga esercitato online, a condizione che non vi sia aggressione personale e gratuita ai danni della persona offesa (Cass., Sez. V, sent. n. 12520/23).

Il direttore responsabile della testata giornalistica on line è responsabile ai sensi dell’art. 57 c.p. (Cass.,Sez.V,sent.n. 1275/18; Cass., Sez.V, sent.n.13398/17).

I quotidiani e le testate on line hanno natura del tutto assimilabile a quella dell’informazione su carta stampata;non vi è dubbio,quindi,che per essi si applichino le regole normative e giurisprudenziali relative alla diffamazione a mezzo stampa e alle relative circostanze scriminanti (Cass.,S.U.,sent.n.31022/15).

Il direttore del quotidiano on line non è responsabile ex art. 57 e 57-bis c.p. per omesso controllo (Cass., Sez. V, sent. n. 10594/13; Cass., Sez. V, sent. n. 44126/11; Cass., Sez. V, sent. n. 35511/10).

Responsabilità gestore del blog

Responsabile di diffamazione aggravata il blogger che venuto a conoscenza di un contenuto offensivo pubblicato da un utente non lo rimuove immediatamente (Cass., Sez.V, sent. n. 45680/22).

E’configurabile un concorso omissivo nel reato commissivo dell’autore della pubblicazione quando il blogger, avvedutosi dell’illeceità del contenuto postato da terzi sulle proprie pagine, non lo rimuova, così perpetuando la pubblicazione tramite la permanenza on line (Cass.,Sez.V,sent.n.12546/18).

Tendenzialmente unanime, tranne casi isolati (Trib. Varese, GUP, 22 febbraio 2013; Trib. Aosta, 26 maggio 2006), l’idea che il gestore del blog non possa essere considerato responsabile della diffamazione per scritti altrui, non essendo equiparabile al direttore di una testata giornalistica e non avendo obblighi giuridici di impedire l’evento (Cass.,Sez.V, sent.n.44126/11; Cass.,Sez.V, sent.n.35511/10).

Il luogo del commesso reato

Il Giudice penale competente a conoscere della diffamazione consumata tramite mail è quello del luogo ove la riceve il destinatario (Cass.,Sez.V, sent.n. 38144/23)

Quando più persone appartenenti allo stesso gruppo Facebook offendono la reputazione della medesima persona offesa la competenza territoriale spetta al giudice del luogo ove è stata iscritta per prima la notizia di reato (Cass., Sez.V, sent.n. 7377/23).

Il delitto di diffamazione via Internet è un reato di evento che si consuma quando i terzi percepiscono l’espressione ingiuriosa (Cass., Sez. V, sent.234528/06).

Quando non sia possibile individuare il luogo di consumazione del reato e sia invece possibile individuare il luogo in remoto in cui il contenuto diffamatorio è stato caricato, tale criterio di collegamento, in quanto prioritario rispetto a quello di cui all’art.9 c.p.p. comma 2 (che attribuisce la competenza al giudice della residenza, dimora o domicilio dell’imputato), deve prevalere su quest’ultimo, cosicché la competenza risulta individuabile con riferimento al luogo fisico ove viene effettuato l’accesso alla rete per il caricamento dei dati sul server (Cass., Sez.V ,sent. n.31677/15; Cass., Sez. I, sent.n.8513/09).

Accertamento del reato

La tesi del furto di identità per difendersi dall’accusa di diffamazione a mezzo Facebook presuppone la prova della denuncia dell’illecito subito ( Cass., Sez. V, sent.n. 40309/22).

La diffamazione può essere provata anche con gli screenshot che riportano le frasi offensive della reputazione scambiate su Facebook( Cass. , Sez. V, sent.n. 24600/22).

La diffamazione commessa in rete può essere provata anche in mera via logica, partendo da una semplice “stampata”del contenuto offensivo, senza il ricorso a tecniche di indagini informatiche (Cass.,Sez.V, sent.34406/15).

Interessante, ma isolata, la decisione secondo cui la diffamazione via Internet non può essere presunta, in quanto a differenza della televisione e della radio, il messaggio inserito non è detto che venga letto. Pertanto in assenza di prova di percezione da parte di terzi si risponderebbe di tentata diffamazione (Tribunale di Teramo, sent. n.112/02).

L'articolo Digital Crime: La diffamazione online dal punto di vista Penale proviene da il blog della sicurezza informatica.

WikiLeaks founder Julian Assange is due to plead guilty on Wednesday (26 June) to violating US espionage law, in a deal that will end his imprisonment in Britain and allow him to return home to Australia, ending a 14-year legal odyssey.

euractiv.com/section/global-eu…

High-tech movie guides on CD-ROM; clearly the future had arrived in 1994.
In the innocent days of the early 90s the future of personal computing still seemed to be wide open, with pundits making various statements regarding tis potential trajectories. To many, the internet and especially the World Wide Web didn’t seem to be of any major significance, as it didn’t have the reach or bandwidth for the Hot New Thingtm in the world of PCs: multimedia. Enter the CD-ROM, which since its introduction in 1985 had brought the tantalizing feature of seemingly near-infinite storage within reach, and became cheap enough for many in the early 90s. In a recent article by [Harry McCracken] he reflects on this era, and how before long it became clear that it was merely a bubble.

Of course, there was a lot of good in CD-ROMs, especially when considering having access to something like Encarta before Wikipedia and broadband internet was a thing. It also enabled software titles to be distributed without the restrictions of floppy disks. We fondly remember installing Windows 95 (without Internet Explorer) off 13 1.44 MB floppies, followed by a few buckets of Microsoft Office floppies. All pray to the computer gods for no sudden unreadable floppy.

Inevitably, there was a lot of shovelware on CD-ROMs, and after the usefulness of getting free AOL floppies (which you could rewrite), the read-only CD-ROMs you got in every magazine and spam mailing were a big disappointment. Although CD-ROMs and DVDs still serve a purpose today, it’s clear that along with the collapse of the Internet Bubble of the late 90s, early 2000s, optical media has found a much happier place. It’s still hard to beat the sheer value of using CD-R(W)s and DVD-/+R(W)s (and BD-Rs) for offline backups, even if for games and multimedia they do not appear to be relevant any more.

If you’re interested in another depiction of this period, it’s somewhere we’ve been before.

There is perhaps no more important time to have a business card than when you’re in college, especially near the end when you’re applying for internships and such. And it’s vital that you stand out from the crowd somehow. To that end, Electrical & Computer Engineer [Ryan Chan] designed a tidy card that plays tic-tac-toe.

Instead of X and O, the players are indicated by blue and red LEDs. Rather than having a button at every position, there is one big control button that gets pressed repeatedly until your LED is in the desired position, and then you press and hold to set it and switch control to the other player. In addition to two-player mode, the recipient of your card can also play alone against the ATMega.

The brains of this operation is an ATMega328P-AU with the Arduino UNO bootloader for ease of programming. Schematic and code are available if you want to make your own, but we suggest implementing some type of changes to make it your own. Speaking of, [Ryan] has several next steps in mind, including charlieplexing the LEDs, using either USB-C or a coin cell for power, upgrading the AI, and replacing the control button with a capacitive pad or two. Be sure to check it out in action in the two videos after the break.

youtube.com/embed/G4o2sbfmwy4?…

youtube.com/embed/5EbTwoRA7A0?…

Displays are crucial to modern life; they are literally everywhere. But modern flat-panel LCDs and cheap 7-segment LED displays are, well, a bit boring. When we hackers want to display the progress of time, we want something more interesting, hence the plethora of projects using Nixie tubes and various incantations of edge-lit segmented units. Here is [upir] with their take on the simple edge-lit acrylic 7-segment design, with a great video explanation of all the steps involved.
Engraving the acrylic sheets by hand using 3D printed stencils
The idea behind this concept is not new. Older displays of this type used tiny tungsten filament bulbs and complex light paths to direct light to the front of the display. The modern version, however, uses edge-lit panels with a grid of small LEDs beneath each segment, which are concealed within a casing. This design relies on the principle of total internal reflection, created by the contrast in refractive indices of acrylic and air. Light entering the panel from below at an angle greater than 42 degrees from normal is entirely reflected inside the panel. Fortunately, tiny LEDs have a wide dispersion angle, so if they are positioned close enough to the edge, they can guide sufficient light into the panel. Once this setup is in place, the surface can be etched or engraved using a CNC machine or a laser cutter. A rough surface texture is vital for this process, as it disrupts some of the light paths, scattering and directing some of it sideways to the viewer. Finally, to create your display, design enough parallel-stacked sheets for each segment of the display—seven in this case, but you could add more, such as an eighth for a decimal point.

How you arrange your lighting is up to you, but [upir] uses an off-the-shelf ESP32-S3 addressable LED array. This design has a few shortcomings, but it is a great start—if a little overkill for a single digit! Using some straightforward Arduino code, one display row is set to white to guide light into a single-segment sheet. To form a complete digital, you illuminate the appropriate combination of sheets. To engrave the sheets, [upir] wanted to use a laser cutter but was put off by the cost. A CNC 3018 was considered, but the choice was bewildering, so they just went with a hand-engraving pick, using a couple of 3D printed stencils as a guide. A sheet holder and light masking arrangement were created in Fusion 360, which was extended into a box to enclose the LED array, which could then be 3D printed.

If you fancy an edge-lit clock (you know you do) check out this one. If wearables are more your thing, there’s also this one. Finally, etched acrylic isn’t anywhere near as good as glass, so if you’ve got a vinyl cutter to hand, this simple method is an option.

youtube.com/embed/Cg9MDF1VE2g?…

[Luizão] wanted to create some hardware to honour the memory of the technology used to put man on the moon and chose the literal core of the project, that of the hardware used to store the software that provided the guidance. We’re talking about the magnetic core rope memory used in the Colossus and Luminary guidance computers. [Luizão] didn’t go totally all out and make a direct copy but instead produced a scaled-down but supersized demo board with just eight cores, each with twelve addressable lines, producing a memory with 96 bits.

The components chosen are all big honking through-hole parts, reminiscent of those available at the time, nicely laid out in an educational context. You could easily show someone how to re-code the memory with only a screwdriver to hand; no microscope is required for this memory. The board was designed in EasyEDA, and is about as simple as possible. Being an AC system, this operates in a continuous wave fashion rather than a pulsed operation mode, as a practical memory would. A clock input drives a large buffer transistor, which pushes current through one of the address wires via a 12-way rotary switch. The cores then act as transformers. If the address wire passes through the core, the signal is passed to the secondary coil, which feeds a simple rectifying amplifier and lights the corresponding LED. Eight such circuits operate in parallel, one per bit. Extending this would be easy.

Obviously, we’ve covered the Apollo program a fair bit. Here’s a fun tale about recovering the guidance software from the real hardware. Like always, the various space programs create new technologies that we mere mortals get to use, such as an auto-dialling telephone.

(video in Brazilian Portuguese)

youtube.com/embed/TnKUSDZDZGY?…

@Notizie dall'Italia e dal mondo

Abbiamo più volte trattato nel nostro blog dell’afflusso di cocaina in Europa, per il tramite di #navi container che giungono nei principali #porti. Una situazione che ha spinto il Belgio (nella sua veste di Presidente di turno dell’Unione Europea e Paese particolarmente attinto dal flusso mercè i suoi importanti scali) a farsi promotore di una “alleanza” dedicata al contrasto di tali non graditi arrivi di merce illegale.
Leggi qui: poliverso.org/display/0477a01e… , qui poliverso.org/display/0477a01e… , qui poliverso.org/display/0477a01e… e qui noblogo.org/cooperazione-inter… .

La Organized Crime and CorruptionReporting Project (#OCCRP) è una delle più grandi organizzazioni di giornalismo investigativo al mondo, con personale in sei continenti e hub ad Amsterdam, Washington, D.C. e Sarajevo

OCCRP ha predisposto un interessante dossier sull’utilizzo da parte dei cartelli della droga dei mezzi navali ove occultare la cocaina poi trafficata in Europa.
Secondo il dossier, la #Colombia, il più grande produttore di #cocaina al mondo, ha statistiche limitate sui sequestri di droga, con almeno quattro diverse agenzie che tengono registri dei sequestri ma non facilmente accessibili al pubblico. Quando i dati vengono pubblicati, in genere includono poco oltre la data, il luogo e la quantità di droga sequestrata. Le autorità colombiane non conservano i dati sulle spedizioni colombiane che avvengono all'estero, rendendo difficile per i giornalisti e la società civile analizzare le tendenze del traffico.
Cuestión Pública, partner di OCCRP, ha dedicato più di un anno alla creazione di un database che mira a cambiare questa situazione. Spulciando i file trapelati, i giornalisti hanno identificato 158 spedizioni di droga provenienti dalla Colombia. Hanno quindi creato un database più completo contattando il ministero della difesa colombiano, l'ufficio del procuratore, la marina e la polizia e presentando richieste di libertà di informazione per ottenere l'accesso ai loro registri. I dati sono stati integrati anche dalle relazioni del servizio federale delle dogane belga.
In totale, i giornalisti hanno identificato 1.764 arresti separati tra il 2016 e l'aprile 2022, di cui circa tre quarti avvenuti su piccole imbarcazioni. Di questi incidenti, la società proprietaria della nave o dei container è stata identificata in 374 casi, di cui più di tre quarti hanno coinvolto importanti compagnie di navigazione, come Maersk, CMA CGM e Hapag-Lloyd.

Il set di dati NarcoFiles ha rivelato che i trafficanti di cocaina colombiani utilizzano sempre più spesso grandi navi portacontainer, con la maggior parte dei sequestri che si verificano in Colombia. I dati mostrano che la maggior parte dei sequestri che hanno coinvolto navi di grandi dimensioni ha avuto luogo in Colombia, con 259 arresti di quasi 99 tonnellate di cocaina. Al di fuori della Colombia, il Belgio e la Spagna sono stati i punti di intercettazione più comuni, con oltre 26 tonnellate di cocaina sequestrate in 26 casi in Belgio e 32 tonnellate in 25 arresti in Spagna. Il porto settentrionale della Colombia, a Santa Marta, è stato il principale punto di origine dei sequestri di grandi navi, per un totale di 94 spedizioni arrestate.

Le spedizioni di banane sono attraenti per i trafficanti perché sono deperibili e spesso coltivate in aree in cui i cartelli sono attivi,e per tale motivo spesso i carichi illegai sono nascosti in tali spedizioni.
L'ultimo rapporto dell'agenzia antidroga delle Nazioni Unite evidenzia l'aumento dell'uso da parte dei trafficanti di cocaina di grandi navi portacontainer e i metodi di contaminazione che stanno diventando sempre più sofisticati. Maersk, la compagnia di navigazione danese dominante nel mercato colombiano, è stata coinvolta nel maggior numero di arresti di droga nel set di dati, rappresentando più di un terzo dei 374 casi in cui è stato possibile identificare la compagnia di navigazione o di container. Maersk ha attribuito i sequestri al rafforzamento della cooperazione tra le autorità colombiane. I dati forniscono anche informazioni sulle centinaia di tonnellate di cocaina trafficate con successo ogni anno.
Il Report di OCCR è reperibile qui: occrp.org/en/narcofiles-the-ne…

[Ken Shirriff] likes to take chips apart and this time his target is an NFC chip used in Montreal transit system tickets. As you might expect, the tickets are tiny, cheap, and don’t have any batteries. So how does it work?

The chip itself is tiny at 570 µm × 485 µm. [Ken] compares it to a grain of salt. The ticket has a thin plastic core with a comparatively giant antenna onboard.

Working with such a tiny chip presented additional challenges. A few drops of boiling sulphuric acid freed the die. Then applications of phosphoric acid, Armour etch — nasty stuff, but better than hydroflouric acid — and hydrochloric acid took care of the rest.

With everything exposed, it was time to analyze the different parts. As you’d expect, the NFC tag draws power from the antenna and sends data from a EEPROM. There was some analog circuitry and also some digital gates used to control the output. But there isn’t room for much.

How are these so cheap? You can order an 8-inch wafer with 100,587 chips onboard. The price? Around $9,000 per wafer, so about nine cents per chip. Actually, you may be more because the wafer actually has 103,682 dice but a file included tells you which ones are bad. If you want to bargain shop, a 12-inch wafer is $19,000 but gives you 215,712 dice. What a steal!

Can’t get enough NFC? We understand. There are times you just want to make your own.

It is funny how sometimes things you think are bad turn out to be good in retrospect. Like many of us, when I was a kid, I was fascinated by science of all kinds. As I got older, I focused a bit more, but that would come later. Living in a small town, there weren’t many recent science and technology books, so you tended to read through the same ones over and over. One day, my library got a copy of the relatively recent book “The Amateur Scientist,” which was a collection of [C. L. Stong’s] Scientific American columns of the same name. [Stong] was an electrical engineer with wide interests, and those columns were amazing. The book only had a snapshot of projects, but they were awesome. The magazine, of course, had even more projects, most of which were outside my budget and even more of them outside my skill set at the time.

If you clicked on the links, you probably went down a very deep rabbit hole, so… welcome back. The book was published in 1960, but the projects were mostly from the 1950s. The 57 projects ranged from building a telescope — the original topic of the column before [Stong] took it over — to using a bathtub to study aerodynamics of model airplanes.

X-Rays

[Harry’s] first radiograph. Not bad!However, there were two projects that fascinated me and — lucky for me — I never got even close to completing. One was for building an X-ray machine. An amateur named [Harry Simmons] had described his setup complaining that in 23 years he’d never met anyone else who had X-rays as a hobby. Oddly, in those days, it wasn’t a problem that the magazine published his home address.

You needed a few items. An Oudin coil, sort of like a Tesla coil in an autotransformer configuration, generated the necessary high voltage. In fact, it was the Ouidn coil that started the whole thing. [Harry] was using it to power a UV light to test minerals for flourescence. Out of idle curiosity, he replaced the UV bulb with an 01 radio tube. These old tubes had a magnesium coating — a getter — that absorbs stray gas left inside the tube.

The tube glowed in [Harry’s] hand and it reminded him of how an old gas-filled X-ray tube looked. He grabbed some film and was able to image screws embedded in a block of wood.
With 01 tubes hard to find, why not blow your own X-ray tubes?
However, 01 tubes were hard to get even then. So [Harry], being what we would now call a hacker, took the obvious step of having a local glass blower create custom tubes to his specifications.

Given that I lived where the library barely had any books published after 1959, it is no surprise that I had no access to 01 tubes or glass blowers. It wasn’t clear, either, if he was evacuating the tubs or if the glass blower was doing it for him, but the tube was down to 0.0001 millimeters of mercury.

Why did this interest me as a kid? I don’t know. For that matter, why does it interest me now? I’d build one today if I had the time. We have seen more than one homemade X-ray tube projects, so it is doable. But today I am probably able to safely operate high voltages, high vaccums, and shield myself from the X-rays. Probably. Then again, maybe I still shouldn’t build this. But at age 10, I definitely would have done something bad to myself or my parent’s house, if not both.

Then It Gets Worse

The other project I just couldn’t stop reading about was a “homemade atom smasher” developed by [F. B. Lee]. I don’t know about “atom smasher,” but it was a linear particle accelerators, so I guess that’s an accurate description.
The business part of the “atom smasher” (does not show all the vacuum equipment).
I doubt I have the chops to pull this off today, much less back then. Old refigerator compressors were run backwards to pull a rough vaccuum. A homemade mercury diffusion pump got you the rest of the way there. I would work with some of this stuff later in life with scanning electron microscopes and similar instruments, but I was buying them, not cobbling them together from light bulbs, refigerators, and home-made blown glass!

You needed a good way to measure low pressure, too, so you needed to build a McLeod gauge full of mercury. The accelerator itself is three foot long, borosilicate glass tube, two inches in diameter. At the top is a metal globe with a peephole in it to allow you to see a neon bulb to judge the current in the electron beam. At the bottom is a filament.

The globe at the top matches one on top of a Van de Graf generator that creates about 500,000 volts at a relatively low current. The particle accelerator is decidedly linear but, of course, all the cool particle accelerators these days form a loop.

[Andres Seltzman] built something similar, although not quite the same, some years back and you can watch it work in the video below:

youtube.com/embed/pNLlD3QT3yA?…

What could go wrong? High vacuum, mercury, high voltage, an electron beam and plenty of unintentional X-rays. [Lee] mentions the danger of “water hammers” in the mercury tubes. In addition, [Stong] apparently felt nervous enough to get a second opinion from [James Bly] who worked for a company called High Voltage Engineering. He said, in part:

…we are somewhat concerned over the hazards involved. We agree wholeheartedly with his comments concerning the hazards of glass breakage and the use of mercury. We feel strongly, however, that there is inadequate discussion of the potential hazards due to X-rays and electrons. Even though the experimenter restricts himself to targets of low atomic number, there will inevitably be some generation of high-energy X-rays when using electrons of 200 to .300 kilovolt energy. If currents as high as 20 microamperes are achieved, we are sure that the resultant hazard is far from negligible. In addition, there will be substantial quantities of scattered electrons, some of which will inevitably pass through the observation peephole.

I Survived

Clearly, I didn’t build either of these, because I’m still here today. I did manage to make an arc furnace from a long-forgotten book. Curtain rods held carbon rods from some D-cells. The rods were in a flower pot packed with sand. An old power cord hooked to the curtain rods, although one conductor went through a jar of salt water, making a resistor so you didn’t blow the fuses.

Somehow, I survived without dying from fumes, blinding myself, or burning myself, but my parent’s house had a burn mark on the floor for many years after that experiement.

If you want to build an arc furnace, we’d start with a more modern concept. If you want a safer old book to read, try the one by [Edmund Berkeley], the developer of the Geniac.

I ricercatori del team di sicurezza XLab hanno recentemente scoperto una nuova botnet nel cyberspazio, Zergeca, che si distingue per le sue capacità avanzate e rappresenta una seria minaccia per milioni di dispositivi digitali. Zergeca è in grado non solo di sferrare attacchi DDoS, ma anche di svolgere molte altre funzioni dannose.

Il 20 maggio 2024, XLab ha rilevato un file ELF sospetto nella directory “/usr/bin/geomi” sulla piattaforma Linux di uno dei suoi clienti. Questo file, compresso utilizzando un UPX modificato, è rimasto a lungo inosservato dai programmi antivirus.

Dopo l’analisi i ricercatori hanno scoperto che si tratta di una botnet implementata a Golang. E dato che la sua infrastruttura C2 utilizzava la stringa “ootheca“, che ricorda gli zerg di StarCraft, gli specialisti di XLab hanno chiamato la botnet Zergeca, sottolineandone la diffusione aggressiva e rapida.

Zergeca supporta sei metodi di attacco DDoS, oltre a funzioni di proxying, scansione, aggiornamento automatico, persistenza, trasferimento di file, shell inversa e raccolta di informazioni sensibili.

Zergeca utilizza diversi metodi di risoluzione DNS, incluso DNS su HTTPS (DOH). Viene utilizzata anche la libreria Smux per il protocollo C2, che fornisce la crittografia utilizzando XOR. Ciò consente alla botnet di nascondere efficacemente le proprie attività e di renderle difficili da rilevare.

Dall’analisi è emerso che l’indirizzo IP 84.54.51.82, utilizzato per C2, serve due botnet Mirai da settembre 2023, il che testimonia l’esperienza accumulata dai suoi creatori. I principali metodi di distribuzione di Zergeca includono lo sfruttamento di password Telnet deboli e vulnerabilità CVE-2022-35733 e CVE-2018-10562.

Dall’inizio di giugno 2024 Zergeca ha preso di mira Canada, Usa e Germania. Il tipo principale di attacco è stato ackFlood (atk_4) e le vittime sono stati diversi sistemi autonomi (ASN). Zergeca funziona su architettura x86-64 e prende di mira la piattaforma Linux, ma i ricercatori hanno trovato anche riferimenti ad Android e Windows nel codice della botnet, il che suggerisce futuri scenari di sviluppo del malware.

Zergeca ottiene la persistenza sui dispositivi compromessi aggiungendo un servizio di sistema “geomi.service”, che garantisce che il processo si avvii automaticamente al riavvio del dispositivo. La crittografia delle stringhe utilizza XOR con una chiave codificata.

La botnet include il modulo Silivaccine, che elimina le minacce della concorrenza come miner e trojan, garantendo il monopolio sul dispositivo infetto e sfruttando le massime prestazioni.

La scoperta di Zergeca dimostra la continua evoluzione e sofisticazione delle botnet. Con le sue funzionalità avanzate, coerenza e flessibilità, Zergeca rappresenta una seria minaccia. I professionisti della sicurezza informatica devono rimanere vigili e adottare misure proattive per identificare e mitigare tali minacce.

L'articolo Zergeca: La Botnet Che Minaccia Linux e Altri Sistemi Operativi con Attacchi DDoS e Funzionalità Avanzate proviene da il blog della sicurezza informatica.

Beyond bothering large language models (LLMs) with funny questions, there’s the general idea that they can act as supporting tools. Theoretically they should be able to assist with parsing and summarizing documents, while answering questions about e.g. electronic design. To test this assumption, [Duncan Haldane] employed three of the more highly praised LLMs to assist with circuit board design. These LLMs were GPT-4o (OpenAI), Claude 3 Opus (Anthropic) and Gemini 1.5 (Google).

The tasks ranged from ‘stupid questions’, like asking the delay per unit length of a trace on a PCB, to finding parts for a design, to designing an entire circuit. Of these tasks, only the ‘parsing datasheets’ task could be considered to be successful. This involved uploading the datasheet for a component (nRF5340) and asking the LLM to make a symbol and footprint, in this case for the text-centric JITX format but KiCad/Altium should be possible too. This did require a few passes, as there were glitches and omissions in the generated footprint.

When it came to picking components for a design, it’s clear that you’re out of luck here unless you’re trying to create a design that a million others have made before you in exactly the same way. This problem got worse when trying to design a circuit and ultimately spit out a netlist, with the best LLM (Claude 3 Opus) giving nonsensical suggestions for filter designs and mucking up even basic amplifier designs, including by sticking decoupling capacitors and random resistors just about everywhere.

Effectively, as a text searching tool it would seem that LLMs can have some use for engineers who are tired of digging through yet another few hundred pages of poorly formatted and non-indexed PDF datasheets, but you still need to be on your toes with every step of the way, as the output from the LLM will all too often be slightly to hilariously wrong.

Part 1: XZ backdoor story – Initial analysis
Part 2: Assessing the Y, and How, of the XZ Utils incident (social engineering)

In our first article on the XZ backdoor, we analyzed its code from initial infection to the function hooking it performs. As we mentioned then, its initial goal was to successfully hook one of the functions related to RSA key manipulation. In this article, we will focus on the backdoor’s behavior inside OpenSSH, specifically OpenSSH portable version 9.7p1 – the most recent version at this time.

To better understand what’s going on, we recommend you to read Baeldung’s article about SSH authentication methods and JFrog’s article about privilege separation in SSH.

Key findings

Our analysis revealed the following interesting details about the backdoor’s functionality:

• The attacker set an anti-replay feature to avoid possible capture or hijacking of the backdoor communication.
• The backdoor author used a custom steganography technique in the x86 code to hide the public key, a very clever technique to hide the public key.
• The backdoor hides its logs of unauthorized connections to the SSH server by hooking the logging function.
• The backdoor hooks the password authentication function to allow the attacker to use any username/password to log into the infected server without any further checks. It also does the same for public key authentication.
• It has remote code execution capabilities that allow the attacker to execute any system command on the infected server.

Detailed analysis

There are three functions that the backdoor attempts to hook, of which RSA_public_decrypt is the primary target and RSA_get0_key is the secondary. The third function, EVP_PKEY_set1_RSA, doesn’t exist in the SSH server version in question. It may be an artifact left over from the tool used for malicious public key generation (this function is used by an independent ssh-keygen tool included in the OpenSSH packet), or it may have been used in a rare or outdated version of the SSH server.

The two target functions in the latest SSH server version are called when the RSA certificate is configured as an SSH authentication method. They first check if an incoming RSA connection uses authentication data (RSA key) as an argument. If so, the backdoor passes it to a common function (called by all hooks) that parses this RSA key and extracts information that is embedded in its modulus part. The backdoor’s main payload function works only once during a client preauth session, when the RSA-based authentication checks are performed.

RSA_public_decrypt hook function

An attacker must generate a specific RSA key to interact with the backdoored server; the key is used as a container for the attacker’s commands in SSH connections using CA certificates.

The RSA key is represented by a structure in the OpenSSL library that contains the E (exponent) and N (modulus). The backdoor extracts and processes the RSA modulus, which means that the malicious payload is packed inside the N value from the RSA cryptosystem.

The custom RSA modulus must conform to the following format to be processed correctly by the backdoor:

RSA modulus data structure

There are three fields in the payload header (PartialCommand1, 2 and 3 in the scheme above) that are used to calculate the command type and also act as a form of magic number check. The command type is calculated using the following formula: PartialCommand3 + (PartialCommand2 * PartialCommand1), where the result of the calculation must be a value between 0 and 3:

Command type calculation

If the calculated check passes, the code proceeds to the payload decryption and payload signature check.

ED448-encrypted public key extraction – x86-based steganography

To decrypt and verify the payload data, the backdoor uses an ED448 public key extracted from the binary.

When we first encountered the key extraction procedure, it looked like the backdoor authors had managed to create code that generated a correct public key before the private key, which should be impossible. Normally, for the Elliptic Curve Algorithm, the private key must be generated first, and then the public key is calculated from it. To solve the mystery of generating the public key from the binary, we analyzed the source code of various cryptographic libraries and came up with nothing. We then analyzed the backdoor code more closely, and found that the keys were generated using a regular procedure. However, the attackers used a custom steganography technique in the x86 code to hide an arbitrary message (in this case, the public key).

The public key information was scattered inside the binary code within specific valid instructions. The method of recovering the key is somewhat similar to the gadget scanning technique in a return-oriented programming (ROP) binary exploitation scenario. But here the “gadgets” are actually register-register instructions (e.g., mov rdi, rbx), each of which holds one bit of information, whose value is either 1 or 0.

To achieve key recovery, some functions, usually at the beginning of the function, call the “key rebuild” algorithm with specific arguments.

Partial key rebuild function call

The arguments used by this algorithm are:

• BitIndex: the starting value that holds the current key index to be decoded and also holds which bit should be set initially in the encrypted key bitmap.
• Total Instructions: the number of register-register instructions to scan in the current function.
• Key Index: the specific key index this function will work to reconstruct. This value exists to avoid rescanning the same function if it is called a second time.

Register-register instruction decoding

The key rebuild algorithm scans certain functions of the backdoor from beginning to end looking for register-register instructions. When it finds an instruction, it decodes the ‘BitIndex’ value to extract the correct byte index and bit to be set.

Encrypted key rebuild code snippet

The BitIndex value is unpacked to determine the target index in the buffer. It then adds (bitwise or) the bit to the current value at that index. As the encrypted public key buffer is initialized with zeros, the rebuilder algorithm will only activate specific bits inside it. It sets the key bit value to 1 if the register-register instruction matches the opcode criteria (image above), or skips it, indicating that this bit value should remain zero. After that, the BitIndex value increases.

The algorithm determines whether the bit should be set or not for each instruction individually, even if the instructions have the same disassembly representation. This is because some instructions can have the same assembly code but different opcodes.

Public key rebuild algorithm

In general, for each instruction found, the BitIndex is used to reconstruct a specific part of the encrypted key. In total, 456 instructions are hunted through the binary execution, and the encrypted public key is rebuilt by the end of this process.

Key rebuild automation

In our research, we recreated the entire key rebuilding process that results in the encrypted public key that is later decrypted.

Payload decryption and signature check

The ED448 public key is encrypted using the ChaCha20 algorithm, where the key and nonce are the result of ChaCha20 encryption of a buffer consisting of zeros, with zeros used as the key and nonce.

After decryption, the backdoor takes the first 32 bytes of the public key and uses them as the key to decrypt the payload body, which is also ChaCha20 encrypted.

Backdoor payload decryption and check diagram

Payload signature check

The decrypted payload contains the signature of the remaining data in its header. To verify the signature, one must have a private key to sign the payload. In the expected attack scenario, only the backdoor author would have access to sign and send payloads to the infected server.

To verify the integrity and authenticity of the payload, the backdoor again uses the decrypted ED448 public key to confirm that the incoming payload was signed with the attacker’s private key.

Payload integrity and authenticity checks

It also takes the SHA-256 hash of the server’s public key (taken from the initial SSH connection when the server sends the public key) into the payload signed data and verifies that it matches the currently running server. This is done to prevent replay attacks, where a researcher could capture the backdoor communication and replay the same backdoor command to another server.

Anti-replay attack diagram

If all the checks pass, the code proceeds to parse the arguments of the desired backdoor command. The backdoor can execute the commands in two modes, root and non-root, and the execution can vary depending on the privilege level. However, the non-root mode operations don’t appear to be the attacker’s goal, so we’ll describe what the root-mode code does.

Backdoor commands

The command chosen by the attacker depends on the result of the calculation on the header fields. The core backdoor commands essentially allow the attacker to log into the server as root or a regular user and execute some system commands. This section describes what each command does.

Bypass SSH authentication

Both commands 0 and 1 enable root login on the SSH server if it wasn’t previously enabled. Additionally, they can optionally disable the use of Pluggable Authentication Modules (PAM). Next, depending on the command, one of two OpenSSH functions can be hooked, the mm_answer_authpassword if the command is 1 or the mm_answer_keyallowed if the command is 0.

First command core code

The mm_answer_authpassword hook allows the attacker to use any username/password to log in to the infected server without any further checks. We’ll describe mm_answer_keyallowed in more detail later.

Remote command execution via ‘system’ call

If the command is 2, it extracts the command string from the payload data and executes it on the machine using the system function. The attacker can send specific flags in the payload body to specify the user and group ID under which the command should be executed.

Remote command execution code snippet

The last backdoor command (3) simply closes the pre-auth session by exiting the Monitor process.

After the main hook function completes, the backdoor replaces the incoming RSA public key with an empty one to avoid logging any malicious data from the attacker.

The mm_answer_keyallowed hook

If the backdoor command is 0 the mm_answer_keyallowed function will be hooked. This function is called by the privileged Monitor process when the unprivileged NetworkProcessing sshd process receives the publickey method of the ssh-userauth request, allowing the backdoor to process additional commands at that stage.

In this processing method, similar steps occur: the modulus of the attached to the ssh-userauth request RSA key is extracted, decrypted, and its signature is checked as explained earlier. The possible subcommands are:

• SubCommand 1:
  
  • Hook the mm_answer_authpassword function to allow user login requests with any password.

  
  

• SubCommand 2:
  
  • Hook the mm_answer_keyverify function to allow authentication with fake keys and store the received backdoor command inside an internal structure. The mm_answer_keyverify hook essentially allows the incoming key to pass through the authentication process without further checks, successfully completing authorization with a fake key.

  
  

• SubCommand 3:
  
  • Similar to the system execution method, this command allows the execution of commands using the system function, with the option to choose the group/user ID.

  
  

Log hiding capabilities

The backdoor can also hide logs that indicate unauthorized connections to the SSH server by hooking the logging function and optionally calling the libc setlogmask(0x80000000), which causes all Syslog messages to be ignored. 0x80000000 in the argument actually means setting the log mask to zero, because the zero-mask argument is a reserved value with special meaning.

The hook will also filter out log messages by searching them in the prefix tree, as described in our first post about XZ backdoor. Its further behavior depends on which of the targeted messages were found (if any):

Log filtering code snippet

The available log filters are:

Conclusion

After three posts on this backdoor, we can conclude that it is indeed a highly sophisticated threat with many peculiarities. Several highlights make this threat unique, such as the way the public key information is embedded in the binary code itself, complicating the recovery process, and the meticulous preparation of the operation, which involves a long-running social engineering campaign.

It is notable that the group or attacker behind this threat has extensive knowledge of the internals of open-source projects such as SSH and libc, as well as expertise in code/script obfuscation used to start the infection.

Kaspersky products detect malicious objects associated with the attack as HEUR:Trojan.Script.XZ and Trojan.Shell.XZ. In addition, Kaspersky Endpoint Security for Linux detects malicious code in sshd process memory as MEM:Trojan.Linux.XZ (as part of the Critical Areas Scan task).

securelist.com/xz-backdoor-par…

The European Commission said Apple's App Store is in breach of the bloc's digital competition rules in preliminary findings announced through a Monday (24 June) press release.

euractiv.com/section/platforms…

There’s no shortage of Geiger counter projects based on the old Soviet SBM-20 tube, it’s a classic circuit that’s easy enough even for a beginner to implement — so long as they don’t get bitten by the 400 volts going into the tube, that is. Toss in a microcontroller, and not only does that circuit get even easier to put together and tweak, but now the features and capabilities of the device are only limited by how much code you want to write.

Luckily for us, [Omar Khorshid] isn’t afraid of wrangling some 0s and 1s, and the result is the OpenRad project. In terms of hardware, it’s the standard SBM-20 circuit augmented with a LILYGO ESP32 development board that includes a TFT display. But where this one really shines is the firmware.

With the addition of a few hardware buttons, [Omar] was able to put together a very capable interface that runs locally on the device itself. In addition, the ESP32 serves up a web page that provides some impressive real-time data visualizations. It will even publish its data via MQTT if you want to plug it into your home automation system or other platform.

Between the project’s Hackaday.io page and GitHub repository, [Omar] has done a fantastic job of documenting the project so that others can recreate it. That includes providing the schematics, KiCad files, and Gerbers necessary to not only get the boards produced and assembled, but modified should you want to adapt the base OpenRad design.

This project reminds us of the uRADMonitor, which [Radu Motisan] first introduced in 2014 to bring radiation measuring to the masses. This sort of hardware has become far more accessible over the last decade, bringing the dream of a globally distributed citizen-operated network of radiation and environmental monitors much closer to reality.

youtube.com/embed/kaBPnBUhCXA?…

La fine del ciclo di vita ufficiale di CentOS 7 è il 30 giugno 2024.

A dicembre 2020, Red Hat, la società madre di CentOS per Linux, aveva annunciato che stava “spostando l’attenzione da CentOS Linux“.

Gli utenti di CentOS erano sconvolti e molti non hanno mai smesso di utilizzare l’ultima versione supportata del “classico” CentOS: CentOS 7 .

Secondo LanSweeper, una società di gestione delle risorse IT, il 26% dei 200.000 dispositivi Linux scansionati utilizzano CentOS. Secondo i calcoli di Web Technology Servers, CentOS viene ancora utilizzato dal 2,4% di tutti i siti web.

Perché così tanti sono rimasti fedeli a un sistema operativo morente? Per anni CentOS è stata la scelta predefinita delle società di web hosting.

La distribuzione Linux era veloce, gratuita e affidabile. Certo, se avevi bisogno di un supporto tecnico di prim’ordine, RHEL era il sistema operativo preferito nella famiglia Red Hat Linux. Ma non tutti avevano bisogno di essere presi per mano.

Ora è tempo di cambiare. Operare su una versione obsoleta di CentOS comporta diversi rischi significativi. Inoltre, la conformità alle normative e agli standard di settore sarà messa a repentaglio, portando potenzialmente a gravi conseguenze legali e finanziarie. Anche le inefficienze operative sono motivo di preoccupazione, poiché i sistemi obsoleti potrebbero affrontare problemi di compatibilità con nuovi software e hardware, causando interruzioni e diminuzione della produttività.

È possibile passare a CentOS Stream, la distribuzione Linux di sviluppo RHEL di Red Hat. Stream è una distribuzione Linux a rilascio progressivo, il che significa che riceve continuamente aggiornamenti, incluse le funzionalità più recenti, correzioni di bug e patch di sicurezza.

Il lato positivo è che Stream è gratuito e offre gli aggiornamenti più recenti. D’altra parte, Stream non è progettato per l’uso in produzione. Essendo una distribuzione distribuita in modo continuo, non ha lo stesso livello di stabilità dei tradizionali CentOS o RHEL. Inoltre non dispone di un meccanismo di aggiornamento tra le versioni principali, né di supporto commerciale.

Addio quindi CentOS. Il tempo è scaduto. CentOS 7 è stato un fedele servitore per anni, ma è ora di lasciare che quel servitore vada in pensione e passi a qualcosa di nuovo e più sicuro. Sì, puoi continuare a utilizzarlo con il supporto di terze parti, ma è ora di andare avanti.

L'articolo Addio CentOS! Tanti Anni Passati Insieme, tra Server Web, Hosting e Laboratori proviene da il blog della sicurezza informatica.