This week on the Podcast, it’s Kristina’s turn to ramble on alongside Editor-in-Chief Elliot Williams. First up in the news: Paul Allen’s Living Computers Museum + Labs is being liquidated at auction after just 12 years of being open to the public. In Hackaday news, the 2024 Business Card Challenge ends next Tuesday, July 2nd, so this is your weekend to shine! Also, you’ve got about two weeks to get your talk proposals in for this year’s Supercon. (Can you believe it’s only four months away?)

Then it’s on to What’s That Sound, at which Kristina made a couple of close-but-no-cigar guesses. Can you get it? Can you figure it out? Can you guess what’s making that sound? If you can, and your number comes up, you get a special Hackaday Podcast t-shirt.

Then it’s on to the hacks, beginning with a $3 smartwatch that can run Python, and a completely DIY analog tape recording solution. We’ll talk about making your wireless keyboard truly low power, all the steps you can take to produce perfect PCBs at home, and AI in a font. Finally, we talk about the dangers of a curious childhood, and talk about a dotcom hardware solution that could have gone far, given the right business model.

Check out the links below if you want to follow along, and as always, tell us what you think about this episode in the comments!

html5-player.libsyn.com/embed/…

Download and savor at your leisure.

Where to Follow Hackaday Podcast

Places to follow Hackaday podcasts:

• iTunes
• Spotify
• Stitcher
• RSS
• YouTube
• Check out our Libsyn landing page

Episode 277 Show Notes:

News:

• Paul Allen’s Living Computers Museum And Labs To Be Auctioned
• 2024 Business Card Contest
• Hackaday Supercon 2024 Call For Participation: We Want You!

What’s that Sound?

• Fill out this form with your best guess, and you might win!

Interesting Hacks of the Week:

• The Best DIY PCB Method?
• One-handed PS-OHK Keyboard Doesn’t Need Chording Or Modifier Keys
• $3 Smartwatch Can Run Python
  
  • Reverse Engineering the M6 Smart Fitness Bracelet

  
  

• Build Your Own Tape Recorder/Player
• Making Your Wireless Keyboard Truly Low-Power
  
  • How Much Current Do WS2812 / NeoPixel LEDs Really Use?

  
  

• 2024 Business Card Challenge: NoiseCard Judges The Sound Around You

Quick Hacks:

• Elliot’s Picks:
  
  • Enjoy Totality Every Day With This Personal Eclipse Generator
  • Llama.ttf Is AI, In A Font
  • Bats Can No Longer Haunt Apple VR Headsets Via Web Exploit
  • Adding Texture To 3D Prints

  
  

• Kristina’s Picks:
  
  • Tired With Your Robot? Why Not Eat It?
  • Using The Wind And Magnets To Make Heat
  • The SpinMeister, For A Perfect Pizza Every Time!

  
  

Can’t-Miss Articles:

• The Book That Could Have Killed Me
• The Amstrad E-m@iler, The Right Product With The Wrong Business Model

Until the 1970s, a very common method to dispose of unneeded munitions was to simply tip them off the side of a ship. This means that everything from grenades to chemical weapons have been languishing in large quantities around Europe’s shorelines, right alongside other types of unexploded ordnance (UXO).

Although clearing and mapping such dump sites are a standard part of e.g. marine infrastructure such as undersea cabling and off-shore wind turbines, no large-scale effort has so far been undertaken to remove them, even as they continue to pose an increasing hazard to people and the environment. Most recently, efforts are underway to truly begin clearing these UXO, as the BBC reports.

Map of discovered munitions
Considering the hazards of these UXO, most interactions are performed by swimming and crawling robots, to find the UXO and grip it so that they can be gathered, classified and sorted with like types, for later disposal. Rather than explosively dispose of the UXO, they will instead be disassembled and the elements separately disposed of, including thermal decomposition of the explosive material by GEKA, a company which specializes in such disposal.

For the pilot project being undertaken in the Baltic Sea by SeaTerra and other companies, the goal for the first phase is to collect 50 tons of UXO. This of course is but the merest fraction of the estimated 1.6 million tons of explosives and weapons, and the chemical weapons would have to be treated with even more care in future operations.

For now the goal is to streamline and automate the UXO recovery and disposal process, so that the European seafloor and those around the world may one day be less riddled with UXO and other symptoms of humankind’s follies.

The European Commission formally requested information on Friday (28 June) from online marketplaces Temu and Shein on measures taken to comply with online safety regulation Digital Services Act (DSA).

euractiv.com/section/platforms…

The hot news this week is that Kaspersky is banned in the USA. More specifically, Kaspersky products will be banned from sale in the US starting on September 29. This ban will extend to blocking software updates, though it’s unclear how that will actually be accomplished. It’s reasonable to assume that payment processors will block payments to Kaspersky, but will ISPs be required to block traffic that could contain antivirus updates?

WordPress Plugin Backdoor

A Quartet of WordPress plugins have been found to have recently included backdoor code. It’s a collection of five Open Source plugins, seemingly developed by unrelated people. Malicious updates first showed up on June 21st, and it appears that all five plugins are shipping the same malicious code.

Rabbit AI API

The Rabbit R1 was released to less than thunderous applause. The idea is a personal AI device, but the execution has been disappointing, to the point of reviewers suggesting some of the earlier claims were fabricated. Now it seems there’s a serious security issue, in the form of exposed API keys that have *way* too many privileges.

The research seems to be done by the rabbitude group, who found the keys back in May. Of the things allowed by access to the API keys, the most worrying for user privacy was access to every text-to-speech call. Rabbitude states in their June 25 post, that “rabbit inc has known that we have had their elevenlabs (tts) api key for a month, but they have taken no action to rotate the api keys.” On the other hand, rabbit pushed a statement on the 26th, claiming they were just then made aware of the issue, and made the needed key rotations right away.

MOVEit is Back

Last year a severe vulnerability in MOVEit file transfer server led to some big-deal compromises in 2023 and 2024. MOVEit is back, this time disclosing an authentication bypass. The journey to finding this vulnerability starts with an exception, thrown whenever an SSH connection is attempted with a public key.

…the server is attempting to open the binary data representing our auth material, as a file path, on the server.

Uh-oh. There’s no way that’s good. What’s worse, that path can be an external SMB path. That’s even worse. This behavior does depend on the incoming connection referencing a valid username, but this has the potential to enable password stealing, pass-the-hash attacks, and username mapping. So what’s actually going on here? The SSH server used here is IPWorks SSH, which has some useful additions to SSH. One of these additions seems to be an odd delegated authentication scheme that goes very wrong in this case.

The attack flow goes like this: Upload a public SSH key to any location on the MOVEit server, log in with any valid username signing the connection with the uploaded key, and send the file location of the uploaded key instead of an actual key. Server pulls the key, makes sure it matches, and lets you in. The only pesky bit is how to upload a key without an account. It turns out that the server supports PPK keys, and those survive getting written to and read from the system logs. Ouch.

The flaws got fixed months ago, and a serious effort has been carried out to warn MOVEit customers and get them patched. On the other hand, a full Proof of Concept (PoC) is now available, and Internet monitoring groups are starting to see the attack being attempted in the wild.

Cat File: Pop Calc

We all know not to trust files from the Internet. Don’t execute the script, don’t load the spreadsheet, and definitely don’t install the package. But what about running cat or strings on an untrusted file? Apparently the magic of escape strings makes those dangerous too. The iTerm2 terminal was accidentally set to allow “window title reporting”, or copying the window title to the command line. Another escape code can set that value, making for an easy way to put an arbitrary command on the command line. One more quirk in the form of tmux integration allowed the injection of a newline — running the arbitrary command. Whoops. Versions 3.5.0 and 3.5.1 are the only iterm2 versions that are vulnerable, with version 3.5.2 containing the fix.

Putting LLM to Work During Naptime

There’s been a scourge of fake vulnerability reports, where someone has asked ChatGPT to find a vulnerability in a project with a bug bounty. First off, don’t do this. But second, it would be genuinely useful if a LLM could actually find vulnerabilities. This idea intrigued researchers at Google’s Project Zero, so they did some research, calling it “Project Naptime”, in a playful reference to napping while the LLM works.

The secret sauce seems to be in extending an LLM to look at real code, to run Python scripts in a sandbox, and have access to a debugger. The results were actually encouraging, that LLM could eventually be a useful tool. It’s not gonna replace the researcher, but it won’t surprise me to cover vulnerabilities found by a LLM instead of a fuzzing tool. Or maybe that’s an LLM guided fuzzer?

Github Dishes on Chrome RCE

Github’s [Man Yue Mo] discovered and reported CVE-2024-3833 in Chrome back in March, a fix was released in April, and it’s now time to get the details. This one is all about how object cloning and code caching interacts. Cloning an object in a particular circumstance ends up with an object that exists in a superposition between having unused property fields, and yet a full property array. Or put simply, the internal object state incorrectly indicates there is unused allocated memory. Try to write a new property, and it’s an out of bounds write.

The full exploit is involved, but the whole thing includes a sandbox escape as well, using overwritten WebAssembly functions. Impressive stuff.

Bits and Bytes

[Works By Design] is taking a second crack at building an unpickable lock. This one has some interesting features, like a ball-bearing spring system that should mean that levering one pin into place encourages the rest to drop out of position. A local locksmith wasn’t able to pick it, given just over half-an-hour. The real test will be what happens when [LockPickingLawyer] gets his hands on it, which is still to come.

youtube.com/embed/xCg3qNnh59w?…

Gitlab just fixed a critical issue that threatened to let attackers run CI pipelines as arbitrary users. The full details aren’t out yet, but CVE-2024-5655 weighs in at a CVSS 9.6, and Gitlab is “strongly recommending” immediate updates.

In uno sviluppo significativo e preoccupante, un individuo con l’alias “mrwan” avrebbe divulgato il database degli elettori israeliani risalente al 2020. I dati personali di tutti i 6,5 milioni di elettori israeliani sono stati esposti, causando gravi preoccupazioni per la privacy e la sicurezza.

Dettagli della Fuga di Dati

Secondo il post di mrwan, la fuga di dati include i seguenti elementi:

• 6,5 Milioni di Linee: I dati comprendono informazioni su tutti gli elettori registrati in Israele, per un totale di circa 6,5 milioni di linee di dati.
• Formato: I dati trapelati sono disponibili in un file zip contenente file di dati in formato CSV (Comma-Separated Values). Questo formato suggerisce che i dati possono essere facilmente accessibili e analizzati utilizzando software standard per fogli di calcolo.

Implicazioni della Fuga di Dati

L’esposizione di una così vasta quantità di dati personali ha diverse potenziali implicazioni:

1. Preoccupazioni per la Privacy: Dettagli personali come nomi, indirizzi e altre informazioni sensibili potrebbero essere utilizzati per scopi malevoli, inclusi furti di identità e frodi.
2. Rischi per la Sicurezza: I dati trapelati potrebbero essere sfruttati da criminali informatici per prendere di mira gli individui con attacchi di phishing, truffe e altre forme di attacchi informatici.
3. Impatto Politico: L’integrità del processo elettorale potrebbe essere messa in discussione e la fuga di dati potrebbe essere utilizzata per minare la fiducia nel sistema elettorale e nelle istituzioni governative.

Conclusione

La presunta fuga di dati del database degli elettori israeliani è un incidente grave con conseguenze di vasta portata. Sottolinea l’importanza di misure di sicurezza dei dati robuste e la necessità di proteggere vigilemente le informazioni personali. Man mano che le indagini procedono, l’attenzione sarà focalizzata sulla mitigazione dell’impatto della fuga di dati e sulla prevenzione di future violazioni di questo tipo.

L'articolo Presunta Fuga di Dati del Database degli Elettori Israeliani del 2020 proviene da il blog della sicurezza informatica.

6 giugno 2024 – TeamViewer ha rilevato un’irregolarità nell’ambiente IT aziendale interno. Come riportato nel nostro precedente articolo, TeamViewer ha confermato che mercoledì 26 giugno 2024 il loro team di sicurezza ha rilevato un’irregolarità nel loro ambiente IT aziendale interno.

L’azienda ha rassicurato i propri clienti dichiarando che questo ambiente è “completamente indipendente dall’ambiente del prodotto.”

Aggiornamento di TeamViewer

L’azienda ha riportato un update al suo comunicato intorno alle ore 12:00 dove riporta:
Aggiornamento sulla Sicurezza – 28 Giugno 2024, 12:10 CEST
Un gruppo di lavoro composto dal team di sicurezza di TeamViewer insieme a esperti di sicurezza informatica di fama mondiale ha lavorato 24 ore su 24 per indagare sull'incidente con tutti i mezzi disponibili. Siamo in costante scambio con fornitori aggiuntivi di informazioni sulle minacce e autorità competenti per informare l'indagine.

I risultati attuali dell'indagine indicano un attacco avvenuto mercoledì 26 giugno, collegato alle credenziali di un account standard di un dipendente all'interno del nostro ambiente IT aziendale. Basandosi su un monitoraggio continuo della sicurezza, i nostri team hanno identificato comportamenti sospetti di questo account e hanno immediatamente attivato misure di risposta agli incidenti. Insieme al supporto esterno per la risposta agli incidenti, attualmente attribuiamo questa attività all'attore di minacce noto come APT29 / Midnight Blizzard. Sulla base dei risultati attuali dell'indagine, l'attacco è stato contenuto all'interno dell'ambiente IT aziendale e non ci sono prove che l'attore di minacce abbia avuto accesso al nostro ambiente di prodotto o ai dati dei clienti.

Seguendo le migliori pratiche architettoniche, abbiamo una forte segregazione dell'IT aziendale, dell'ambiente di produzione e della piattaforma di connettività TeamViewer. Questo significa che manteniamo tutti i server, le reti e gli account rigorosamente separati per aiutare a prevenire l'accesso non autorizzato e il movimento laterale tra i diversi ambienti. Questa segregazione è uno dei molteplici livelli di protezione nel nostro approccio di "difesa in profondità".

La sicurezza è di massima importanza per noi, è profondamente radicata nel nostro DNA. Pertanto, ci impegniamo a comunicare in modo trasparente con gli stakeholder. Continueremo ad aggiornare lo stato delle nostre indagini nel nostro Trust Center man mano che saranno disponibili nuove informazioni. Ci aspettiamo di pubblicare il prossimo aggiornamento entro la fine di oggi CEST.

Allarme di NCC Group

In precedenza, NCC Group, un’azienda di cybersecurity, ha avvertito i suoi clienti di una “significativa compromissione della piattaforma di accesso remoto e supporto di TeamViewer da parte di un gruppo APT.” Questo avviso è stato condiviso da un esperto di sicurezza che si fa chiamare Jeffrey su Mastodon.

Lo screenshot pubblicato indica un TLP “AMBER+STRICT”, il che significa che le informazioni sensibili sono designate solo per una divulgazione limitata, ristretta all’organizzazione dei partecipanti.

Avviso di Health-ISAC

L’organizzazione Health-ISAC (Information Sharing and Analysis Center) ha avvertito che TeamViewer potrebbe essere stato violato da “Cozy Bear”, un attore sponsorizzato dallo stato controllato da un servizio segreto russo. “Il 27 giugno 2024, Health-ISAC ha ricevuto informazioni da un partner di intelligence fidato che APT29 sta sfruttando attivamente TeamViewer.

Health-ISAC raccomanda di esaminare i log per eventuali traffici insoliti di desktop remoto. È stato osservato che gli attori delle minacce sfruttano strumenti di accesso remoto. È stato osservato che TeamViewer viene sfruttato da attori di minacce associati ad APT29″, ha condiviso Jeffrey.

Il Gruppo APT29

APT29 è anche conosciuto con altri nomi come Cozy Bear, NOBELIUM e Midnight Blizzard.

Origine: APT29 è un gruppo di hacking sponsorizzato dallo stato russo, collegato al Servizio di Intelligence Estero della Russia (SVR).

Attività Principale: APT29 è noto per le sue attività di cyber-espionaggio. Il gruppo prende di mira governi, organizzazioni internazionali, aziende e istituzioni accademiche per raccogliere informazioni sensibili.

Tecniche e Tattiche:

• Spear Phishing: APT29 utilizza spesso campagne di spear phishing per ottenere l’accesso iniziale ai sistemi target. Queste email di phishing sono altamente personalizzate e mirate a individui specifici all’interno delle organizzazioni.
• Malware Sviluppato: Il gruppo è noto per sviluppare malware sofisticato, tra cui strumenti come “Hammertoss,” “Uroburos,” e “Sunburst,” utilizzato nell’attacco alla catena di fornitura di SolarWinds.
• Tecniche di Offuscamento: APT29 impiega avanzate tecniche di offuscamento per evitare il rilevamento dei suoi attacchi, includendo l’uso di comunicazioni crittografate e canali di comando e controllo nascosti.

Attacchi di Alto Profilo:

• Attacco a SolarWinds (2020): Uno degli attacchi più noti associati ad APT29 è stato l’incidente di SolarWinds, dove il gruppo ha compromesso la catena di fornitura del software di gestione IT Orion, utilizzato da molte organizzazioni governative e aziendali.
• Attacchi a Diplomatici e Organizzazioni Internazionali: APT29 ha preso di mira diplomatici e organizzazioni come la NATO e l’OSCE, cercando di ottenere informazioni geopolitiche sensibili.
• Violazione dei Sistemi Elettorali USA (2016): Il gruppo è stato implicato negli attacchi ai sistemi elettorali statunitensi durante le elezioni presidenziali del 2016.

Motivazioni: Le attività di APT29 sono principalmente motivate da obiettivi di spionaggio geopolitico e di intelligence, con lo scopo di sostenere gli interessi del governo russo e ottenere un vantaggio strategico a livello globale.

Conclusioni

TeamViewer sta attivamente indagando sull’irregolarità rilevata nel loro sistema IT aziendale interno. Mentre le indagini proseguono, l’azienda rimane concentrata sulla protezione dell’integrità dei propri sistemi e sulla sicurezza dei dati dei clienti. Le autorità e le organizzazioni di sicurezza continueranno a monitorare la situazione per garantire che qualsiasi minaccia venga prontamente mitigata.

L'articolo C’è CozyBear (APT29) dietro le irregolarità di TeamViewer! proviene da il blog della sicurezza informatica.

People go missing without a trace far more commonly than any of us would like to think about. Of course the authorities will conduct a search, but even assuming they have the equipment and personnel necessary, the odds are often stacked against them. A few weeks go by, then months, and eventually there’s yet another “cold case” on the books and a family is left desperate for closure.

But occasionally a small team or an individual, if determined enough, can solve such a case even when the authorities have failed. Some of these people, such as [Antti Suanto] and his brother, have even managed to close the books on multiple missing person cases. In an incredibly engrossing series of blog posts, [Antti] describes how he hacked together a pair of remotely operated vehicles to help search for and ultimately identify sunken cars.

The first he built was intended to perform reconnaissance using a consumer side-scan sonar unit. While these devices are designed to be mounted to a “real” boat, [Antti] didn’t have the room at home for one. So he did some research and eventually settled on an affordable solution that combined a watertight plastic box with pontoons made out of PVC pipes. We’ve seen similar designs before, and have always been impressed with the stability and payload capacity offered by such an arrangement given its low cost and ease of assembly.

In an interesting twist [Antti] decided to outfit his craft with quadcopter motors and propellers to create a sort of airboat, which would keep it from getting tangled up in weeds. We also appreciate the no-nonsense method of viewing the sonar’s output remotely — all they had to do was take an old smartphone, point its camera at the unit, and open up a video calling application.

While having the sonar data would help the brothers identify potential targets on the bottom, it wasn’t enough to make a positive identification. For that, they’d have to go down there and directly image the object being investigated. So the second project was a remotely operated vehicle (ROV). Its PVC frame might look a bit low-tech, but [Antiii] designed the central “dry hull” to survive at depths of up to 100 meters (328 feet). With cameras, lights, a Raspberry Pi, and an Arduino Mega pulling it all together, the finished product is a formidable underwater explorer.

Combined with diligent research on the individuals who went missing and the areas in which they were last seen, the brothers were able to use these vehicles to solve a pair of missing persons cases that had been open for more than a decade. Their work earned them the personal thanks of the President of Finland, and a medal that’s generally only given to police officers.

Our hats off to this intrepid duo — surely there’s no more noble a pursuit than dedicating your skills and free time to help others.

youtube.com/embed/rxW2xGD_qFQ?…

Welcome to Euractiv’s Tech Brief, your weekly update on all things digital in the EU. You can subscribe to the newsletter here.

euractiv.com/section/digital/n…

Negli ultimi anni, il mondo della cybersicurezza è stato testimone di un’evoluzione significativa del ruolo degli hacktivisti, gruppi di hacker che utilizzano le loro competenze tecniche per promuovere cause politiche o sociali attraverso attacchi informatici. Uno di questi gruppi emergenti è AzzaSec, un collettivo che ha attirato l’attenzione per le sue audaci incursioni nel cyberspazio e per le sue recenti mosse strategiche.

AzzaSec è noto per i suoi attacchi mirati contro vari paesi e istituzioni, spesso motivati da questioni geopolitiche o per manifestare dissenso contro determinate politiche. Tra le loro attività più recenti, AzzaSec ha annunciato una serie di attacchi contro il Pakistan, evidenziando le vulnerabilità presenti nella cybersicurezza del paese. Questa serie di attacchi ha messo in luce le carenze delle infrastrutture digitali pakistane e la necessità urgente di migliorare le misure di protezione per prevenire future compromissioni di dati sensibili appartenenti a istituzioni governative, aziende e cittadini.

In un recente sviluppo, AzzaSec ha stretto una serie di alleanze, anche con il gruppo di hacktivisti filorussi NoName, noto per le sue incursioni cibernetiche in Italia con attività mirate a destabilizzare il paese e promuovere i loro interessi geopolitici. Questa nuova affiliazione rappresenta un potenziale aumento della portata e dell’efficacia delle azioni di AzzaSec, ampliando le loro capacità operative e strategiche.

Abbiamo voluto intervistare AzzaSec per conoscerli meglio e comprendere le motivazioni che, in quanto italiani, li spingono a supportare paesi come la Russia e la Palestina, in un contesto geopolitico complesso e prevalentemente orientato agli ideali occidentali.
Post sul canale Telegram di AzzaSec che annuncia la partner con gli hacktivisti filorussi del gruppo NoName057(16) Post sul canale Telegram di NoName057(16) dove si annuncia la partner con AzzaSec
1 – RHC: Salve ragazzi, intanto grazie per aver preso parte a questa intervista. Potete raccontarci brevemente chi è AzzaSec, l’origine del nome e come è nato il collettivo? Qundo è stato fondato?
AzzaSec: In sostanza, avevo questo gruppo in comune con il proprietario di alixsec e gli ho chiesto se poteva unirsi. Mi ha risposto che lavorava da solo e mi ha suggerito di creare un nuovo gruppo per collaborare insieme. Il nome ‘Azzasec’ è stato un nome astratto inventato per questa occasione. Il gruppo è stato fondato a Febbraio del 2024.

2 – RHC: Quali sono le motivazioni principali che vi spingono a svolgere attività di hacktivismo?
AzzaSec: La determinazione di cercare di aiutare i nostri fratelli palestinesi.

3 – RHC: Qual è il messaggio principale che cercate di trasmettere attraverso i vostri attacchi informatici?
AzzaSec: Che il mondo deve aprire gli occhi e non guardare solamente ai soldi.

4 – RHC: Nella storia dell’hacking, ci sono gruppi di hacktivisti o APT che vi affascinano particolarmente e dai quali traete ispirazione?
AzzaSec: Mi hanno particolarmente affascinato i gruppi Lapsus$, Lizard squad e Anonymous IT.

5 – AzzaSec: Abbiamo visto che avete attaccato diversi obiettivi come il Pakistan. Potreste raccontarci alcune delle vostre operazioni più significative e i loro impatti?
AzzaSec: Le nostre azioni sono riferite solamente agli alleati di Israele. Noi attacchiamo per far capire al governo e al governo e al popolo di quel paese che è sbagliato supportare un paese (se così si può chiamare) che fa genocidi.

6 – RHC: Quali sono le vostre principali competenze tecniche e quali strumenti utilizzate per condurre i vostri attacchi? Il vostro gruppo è aperto a chiunque voglia partecipare oppure è un gruppo chiuso?
AzzaSec: Le competenze dei nostri membri spaziano ampiamente tra il pentesting e la programmazione, comprendendo crittografia avanzata, exploiting, video editing e molto altro. I programmi utilizzati includono strumenti open source come Metasploit e software privati per svolgere attacchi sofisticati mirati alla compromissione dei sistemi. Di conseguenza, il nostro team non accoglie chiunque, ma solo membri capaci di contribuire attivamente e significativamente allo sviluppo complessivo del gruppo.

7 – RHC: Quali misure adottate per garantire la sicurezza dei vostri membri durante le vostre operazioni?AzzaSec: Cerchiamo di motivare i nostri membri mostrando loro che un attacco su un sito importante attira l’attenzione del pubblico, scatenando una reazione sociale significativa.

8 – RHC: Avete tutti un background tecnico? Abbiamo visto che avete realizzato un ransomware. Volete utilizzarlo come rivendita di malware oppure avete intenzione di organizzare un RaaS?
AzzaSec: Vorremmo usarlo come Ransomware-as-a-service e venderlo.
Un post sul canale Telegram di AzzaSec che riporta la messa in vendita del ransomware da loro prodotto.
9 – RHC: In Italia la sicurezza informatica è indietro rispetto agli altri paesi europei. Cosa pensate che manchi in questa nazione per prendere seriamente l’argomento?
AzzaSec: In italia la sicurezza informatica è alla pari degli altri paesi europei. E’ l’Europa che risulta essere indietro. Bisognerebbe investire di più in soluzioni di sicurezza.

10 – RHC: In quanto gruppo italiano, quali sono le ragioni che vi hanno spinto a supportare cause e paesi come la Russia e la Palestina, in un contesto geopolitico dominato dagli ideali occidentali?
AzzaSec: Noi supportiamo la Palestina e la Russia perché non ci sembra corretto quello che sta accadendo in occidente e cerchiamo di aiutare come possiamo questi paesi.

11 – RHC: Cosa significano le alleanze che state creando nell’underground? Credete che saranno durature o condividete solo alcuni obiettivi a tempo? Quale è il massimo livello di fiducia tra i membri all’interno di queste?
AzzaSec: Il livello di fiducia è massimo. I nostri alleati ci aiutano con quello di cui abbiamo bisogno. Siamo alleati principalmente con noname057(16) e il gruppo ora inattivo che era il secondo in Afghanistan, team1916.

12 – RHC: Come vedete il ruolo della Russia nel contesto globale e come la vostra alleanza con gruppi filorussi influenza le vostre operazioni e la vostra reputazione?
AzzaSec: In realtà la Russia sta facendo tutto questo per colpa degli USA che sono sempre in mezzo. La nostra reputazione rimane quella ma noi aiutiamo chi ha ragione.

13 – RHC: Qual è la differenza tra un’alleanza di gruppi di hacktivisti come la vostra e quelle che si stanno sviluppando nel mondo? Ci sono dei parallelismi?
AzzaSec: Le nostre alleanze sono principalmente con gruppi di rilievo globalmente. Non crediamo ci siano molti parallelismi, poiché gruppi hacktivisti come il nostro agiscono per motivi politici, mentre altri gruppi potrebbero farlo per guadagnare fama.

14 – RHC: Uno dei gruppi con cui avete istituito un’alleanza è Nonome057. In che modo collaborate con il gruppo nonome057 e altri gruppi simili?
AzzaSec: Ci aiutiamo a vicenda facendo attacchi combinati e defacement insieme.

15 – RHC: siete sicuramente al corrente che questo gruppo (NoName) effettua defacement e attacchi ai website governativi italiani. Siete allineati con le loro idee e motivazioni politiche?
AzzaSec: Si, facciamo questo perché il governo italiano fa schifo. Detto in poche parole i politici dovrebbero prendersi più responsabilità al posto di scaricarle su qualcun’altro.

16 – RHC: Nonostante AzzaSec sia un gruppo dichiaratamente italiano, la maggior parte dei vostri attacchi viene effettuata al di fuori dell’Italia. C’è una ragione specifica per cui evitate target italiani?
AzzaSec: Si cerchiamo di evitare target italiani per non avere ripercussioni penali.

17 – RHC: Dal vostro punto di vista, com’è cambiato il ruolo degli hacktivisti negli ultimi anni?
AzzaSec: Il numero dei gruppi hacktivisti è cresciuto a dismisura e molti sono stati creati con l’avvento della guerra russo/ucraina, israelo/palestina. Cercano di evidenziare il fatto che i “cattivi” sono dalla parte del torto e fanno defacement dove esprimono la loro opinione.

18 – RHC: Anonymous Italia si è schierata a favore dell’Ucraina dall’inizio del conflitto: come si concilia il vostro essere Anon con l’alleanza con NoName057?
AzzaSec: noi abbiamo detto apertamente che supportavano la Russia. Nessuno ci ha dato contro perché comunque è sempre un’idea di gruppo.

19- RHC: Potete parlarci di un caso in cui le vostre azioni hanno portato a un cambiamento positivo o significativo?
AzzaSec: Avevamo fatto un attacco qualche tempo fa al messico facendo più di 20 defacement e li il Messico si è subito allarmato e hanno migliorato le protezioni.

20 – RHC: Come vedete l’evoluzione del panorama del cyber-attivismo nei prossimi anni? Che evoluzione vi aspettate o desiderate?
AzzaSec: Aspettiamo che si formino più gruppi di attivisti che combattono per quello che è giusto. Speriamo che il cyber attivismo non taccia mai.

21 – RHC: Come reagite alle accuse di criminalità informatica e quale messaggio volete trasmettere al pubblico generale?
AzzaSec: Noi non siamo criminali informatici. Noi siamo hacktivisti! Abbiamo una motivazione a quello che facciamo è aiutare i nostri fratelli Palestinesi e Russi.

22 – RHC: Quali sono i limiti e le potenzialità degli attacchi informatici in un mondo dove la guerra cinetica vince tutto? Non mettono più in pericolo i civili che gli eserciti?
AzzaSec: Gli attacchi informatici mirati possono infliggere danni significativi, spesso più gravi agli eserciti che ai civili.

23 – RHC: Vi ringraziamo per questa intervista. C’è qualcosa che vorreste aggiungere o un argomento che avreste voluto trattare e che non abbiamo toccato?
AzzaSec: Grazie a voi per averci invitato.

L'articolo Parla AzzaSec! RHC intervista gli Hacktivisti Italiani pro Palestina e Russia, affiliati a NoName057(16) proviene da il blog della sicurezza informatica.

TeamViewer, una delle principali aziende nel settore dei software di accesso remoto e supporto, ha annunciato di aver rilevato un’irregolarità nell’ambiente IT interno aziendale.

Questo avvenimento ha messo in allarme sia l’azienda che i suoi clienti, preoccupati per la sicurezza dei loro dati.

La Scoperta e la Risposta Immediata

La scoperta dell’irregolarità è avvenuta grazie al monitoraggio continuo dei sistemi interni da parte del team di sicurezza di TeamViewer.

Una volta individuato l’anomalo comportamento, l’azienda ha prontamente attivato il suo team di risposta agli incidenti e ha implementato le procedure di emergenza previste.

La Sicurezza dell’Ambiente del Prodotto

Una delle principali preoccupazioni emerse tra i clienti riguarda la possibile compromissione dell’ambiente del prodotto e dei loro dati personali. TeamViewer ha rassicurato i propri utenti dichiarando che l’ambiente IT interno è completamente separato da quello del prodotto. Pertanto, non ci sono indicazioni che suggeriscano un impatto sui dati dei clienti o sull’integrità dei servizi offerti.

“Il nostro primo obiettivo è garantire l’integrità dei nostri sistemi e la sicurezza dei dati dei nostri clienti,” ha sottolineato il portavoce. “Le indagini sono ancora in corso, ma non ci sono evidenze di compromissioni al di fuori del nostro ambiente IT interno.”

Conclusione

L’irregolarità rilevata nell’ambiente IT interno di TeamViewer ha sollevato preoccupazioni, ma l’azienda ha dimostrato un’azione decisa e trasparente per affrontare la situazione. Con le indagini in corso e la collaborazione con esperti di cybersicurezza, TeamViewer si impegna a garantire la massima sicurezza per i propri sistemi e i dati dei clienti. La fiducia dei clienti resta una priorità, e la trasparenza nella comunicazione è una parte essenziale del loro approccio alla gestione di questa crisi.

L'articolo TeamViewer: Rilevata un’Irregolarità nell’Ambiente IT Interno proviene da il blog della sicurezza informatica.

Nel panorama in continua evoluzione della sicurezza informatica, la community di Red Hot Cyber ha recentemente annunciato la nascita di un nuovo team dedicato esclusivamente alla Cyber Threat Intelligence (CTI) chiamato “Dark Lab”.

Questo gruppo di esperti provenienti dall’Italia e dall’estero è guidato da Pietro Melillo. Una figura di spicco nel campo della CTI italiana, e si propone come un centro di competenza per professionisti e appassionati all’interno della più vasta community di Red Hot Cyber.

La Missione del RHC Dark Lab

Il RHC Dark Lab nasce con l’obiettivo principale di diffondere la conoscenza sulle minacce informatiche per migliorare la consapevolezza e le difese digitali del paese. La missione del team è chiara: non si tratta solo di proteggere le infrastrutture critiche e le organizzazioni, ma anche di coinvolgere e informare le persone comuni, aumentando così la resilienza complessiva della società contro le minacce cibernetiche.

Per raggiungere questo obiettivo, il Dark Lab esplorerà le profondità del dark web e delle reti underground per ottenere “informazioni” di prima mano sulle minacce in corso oltre che intervistare i Threat Actors per conoscerli meglio e comprendere le loro Tecniche Tattiche e Procedure (TTPs).

Queste “informazioni” saranno poi utilizzate per sensibilizzare il pubblico e diffondere la Cyber Threat Intelligence (CTI) come disciplina chiave – anche se ancora poco conosciuta – nella prevenzione delle minacce.

L’Approccio Dark Lab

Questo metodo distintivo si concentra su diversi aspetti fondamentali per garantire una protezione efficace contro le minacce cibernetiche.

• Monitoraggio delle Minacce: L’identificazione e l’analisi delle minacce emergenti sono al centro dell’attività del Dark Lab. Utilizzando tecniche avanzate di cyber intelligence e strumenti di vario genere, il team esamina costantemente il panorama delle minacce, individuando nuovi attacchi e tendenze pericolose. Questo processo include il monitoraggio delle attività su dark web, forum underground e altre piattaforme utilizzate da attori malevoli per scambiare informazioni e pianificare attacchi. L’obiettivo è rilevare precocemente le minacce, comprendere le loro tecniche e tattiche e sviluppare contromisure adeguate prima che possano causare danni significativi;
• Collaborazione e Condivisione: Un aspetto chiave dell’approccio del Dark Lab è la promozione della collaborazione tra diversi attori del settore, compresi governi, aziende private, istituzioni accademiche, organizzazioni non profit e appassionati. La collaborazione e la condivisione delle informazioni è essenziale per affrontare le minacce in modo efficace e coordinato. Questo network, basato anche sul portale Red Hot Cyber è progettato per facilitare la risposta collettiva agli attacchi e migliorare la capacità di individuazione e mitigazione delle minacce cibernetiche a livello nazionale e internazionale;
• Informazione, Consapevolezza e Formazione: Dark Lab riconosce che la sicurezza informatica non è solo una questione tecnologica, ma anche una questione “culturale”. Per questo motivo, si impegna a promuovere una cultura nelle discipline di sicurezza attraverso una informazione continua delle minacce presenti nell’underground. Questi programmi includono news, articoli, approfondimenti, ma anche workshop e corsi di formazione. L’obiettivo è fornire a tutti gli strumenti necessari per approfondire le tecniche di intelligence delle minacce informatiche e reagire in modo appropriato, contribuendo così a creare una comunità più resiliente e informata.

In sintesi, Dark Lab rappresenta un nuovo paradigma nella sicurezza informatica, combinando le logiche Open Source e l’approccio a Community integrato e collaborativo per proteggere il nostro mondo digitale dalle crescenti minacce cibernetiche. Con una forte enfasi sulla formazione, la collaborazione e la ricerca, il team si propone ad essere un punto di riferimento nel panorama nazionale ed internazionale sulla cyber threat intelligence.

Ogni minaccia divulgata da Dark Lab può diventare un punto di partenza per attività e processi di intelligence successivi basati sul paradigma CIPP (Collezione, Interpreta, Previeni e Proteggi). Tuttavia, spetta alle singole aziende contestualizzare queste informazioni per adattarle al proprio contesto aziendale specifico.

In conclusione, la nascita del RHC Dark Lab segna un passo importante per la sicurezza informatica in Italia. Con la guida esperta di Pietro Melillo e il supporto della community di Red Hot Cyber, questo team si propone di creare un ambiente digitale più sicuro e consapevole, dove le minacce informatiche possono essere affrontate con competenza e tempestività.

Candidature

Dark Lab è un gruppo di appassionati di Cyber Threat Intelligence e professionisti nel campo dell’intelligence delle minacce. Se sei interessato a partecipare e a contribuire attivamente alla redazione di articoli, a fornire informazioni di prima mano sulla sicurezza digitale e sei un esperto di Cyber Threat Intelligence (CTI), invia il tuo curriculum a redazione@redhotcyber.com per verificare l’inserimento nel gruppo.

L'articolo Nasce Dark Lab. Il Team di Cyber Threat Intelligence della Community di Red Hot Cyber proviene da il blog della sicurezza informatica.

Dice are about the simplest machines possible, and they’ve been used since before recorded history to generate random numbers. But no machine is so simple that a little needless complexity can’t make it better, as is the case with this mechanical spinning dice. Or die. Whatever.

Inspiration for the project came from [Attoparsec]’s long history with RPG and tabletop games, which depend on different kinds of dice to generate the randomness that keeps them going — that and the fortuitous find of a seven-segment flip-dot display, plus the need for something cool to show off at OpenSauce. The flip-dot is controlled by an array of neodymium magnets with the proper polarity to flip the segments to the desired number. The magnets are attached to an aluminum disk, with each array spread out far enough to prevent interference. [Attoparsec] also added a ring of magnets to act as detents that lock the disk into a specific digit after a spin.

The finished product ended up being satisfyingly clicky and suitably random, and made a good impression at OpenSauce. The video below documents the whole design and build process, and includes some design dead-ends that [Attoparsec] went down in pursuit of a multiple-digit display. We’d love to see him revisit some of these ideas, mechanically difficult though they may be. And while he’s at it, maybe he could spice up the rolls with a little radioactivity.

youtube.com/embed/inocuLhY5wY?…

Il conglomerato KadoKawa Group, che comprende la celebre sviluppatrice di videogiochi FromSoftware, ha subito un attacco ransomware l’8 giugno 2024 nel suo data center. Tra i dipartimenti colpiti, quello finanziario ha ricevuto la massima priorità nelle operazioni di recupero, per ristabilire rapidamente la normale creazione e distribuzione dei contenuti con il pubblico. KadoKawa prevede di completare il recupero nei primi giorni di luglio.

Anche i servizi web sono stati danneggiati, in particolare la piattaforma NicoNico, che al momento non consente agli utenti di effettuare il login o utilizzare il servizio. Tuttavia, il servizio di manga di NicoNico su mobile è stato ripristinato correttamente, e per non compromettere l’esperienza utente sono stati introdotti servizi provvisori. Il settore del merchandise business è stato anch’esso recuperato e ora è pienamente operativo, come confermato dal comunicato pubblico di KadoKawa.

La compagnia non è ancora in grado di stimare la quantità di fatturato perso a causa dell’attacco, ma assicura che saranno forniti aggiornamenti man mano che i servizi vengono ripristinati. Non sono stati forniti dettagli sul tipo di ransomware utilizzato o sul gruppo responsabile dell’attacco. KadoKawa non esclude la possibilità che le informazioni siano state trafugate tramite una società esterna collaboratrice.

Il dipartimento IT di KadoKawa ha individuato la minaccia tre giorni prima della cifratura dei file e, secondo le dichiarazioni, gli attaccanti sono stati rimossi dagli amministratori IT. Tuttavia, sembra che gli aggressori abbiano successivamente ripreso l’accesso attraverso una backdoor non rilevata, riuscendo a scaricare dati e infine a criptare quelli presenti nel data center.

Tra i dati rubati figurano file DocuSign, email interne, informazioni sugli impiegati (come contratti di pagamento e dati personali), informazioni sugli utenti (esclusi i dati di pagamento, gestiti da terze parti) e dati confidenziali. Questi ultimi potrebbero includere il nuovo progetto di FromSoftware (secondo alcune voci, Bloodborne 2), il cui svelamento potrebbe arrecare un grave danno all’azienda.

Infine, gli attaccanti hanno comunicato a KadoKawa che, qualora le loro richieste venissero soddisfatte, offrirebbero il loro aiuto per “migliorare la rete di KadoKawa grazie alla nostra esperienza”.

L'articolo KadoKawa e FromSoftware Sotto Attacco: Cyber Criminali Rubano Dati Confidenziali proviene da il blog della sicurezza informatica.