Un threat actor su un forum del dark web ha pubblicato un annuncio per la vendita di un accesso amministrativo SYSMON a un fornitore di servizi cloud indonesiano.

L’azienda offre soluzioni complete che includono servizi multi-data center, cloud (privato, ibrido e pubblico), sicurezza informatica, collaborazione in ufficio, recupero di emergenza, software cloud e molto altro.

Al momento, non possiamo confermare con precisione la veridicità della violazione, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo dovrebbe essere considerato come una ‘fonte di intelligence’.

Dettagli dell’Accesso

Secondo il post, l’accesso offerto in vendita consente il controllo completo su 11.903 dispositivi, tra cui:

• 550 server
• 10 hypervisor
• 7 workstation
• 3 dispositivi di rete
• 6 firewall
• 11.325 macchine virtuali

Questi dispositivi comprendono oltre 600 TB di dati. Con l’accesso in questione, è possibile connettersi a uno qualsiasi dei dispositivi tramite TELNET/SSH/SFTP/HTTP e modificarli. L’attore minaccioso afferma che l’accesso permette di aggiungere e rimuovere utenti con tutti i permessi, modificare indirizzi IP/IPv6, e gestire ARP/NDP. Inoltre, consente di visualizzare informazioni dettagliate sullo stato delle reti, inclusi VLAN, pacchetti di rete e errori.

Processo di Vendita

L’attore minaccioso ha fissato un prezzo di partenza per l’accesso a 3000 dollari, con un incremento di 1000 dollari per ogni offerta successiva. Al momento, l’offerta corrente ha raggiunto i 4000 dollari. Nel post sono inclusi un handle Telegram e un ID TOX per i contatti.

Implicazioni e Preoccupazioni

La vendita di un accesso amministrativo di questo tipo su un forum del dark web rappresenta una seria minaccia per la sicurezza informatica dell’azienda coinvolta e dei suoi clienti. Un accesso così esteso potrebbe consentire a malintenzionati di compromettere dati sensibili, interrompere i servizi e causare danni significativi. Le aziende devono essere vigili e adottare misure di sicurezza avanzate per prevenire tali violazioni.

Le autorità e gli esperti di sicurezza informatica stanno monitorando la situazione per valutare i rischi e potenziali azioni di mitigazione. L’azienda coinvolta dovrebbe prendere immediatamente provvedimenti per limitare i danni e proteggere i propri sistemi e dati.

Conclusione

Questo episodio evidenzia l’importanza della sicurezza informatica e della vigilanza costante contro le minacce provenienti dal dark web. Le aziende devono investire in soluzioni di sicurezza robuste e rimanere informate sulle nuove tattiche utilizzate dagli attori malintenzionati per proteggere efficacemente i propri asset digitali.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC Dark Lab monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo Vendita di Accesso Amministrativo SYSMON a un Fornitore di Servizi Cloud Indonesiano proviene da il blog della sicurezza informatica.

Una grave vulnerabilità di sicurezza è stata scoperta in MSI Center, un software ampiamente utilizzato su sistemi Windows. Questa falla, classificata come CVE-2024-37726 e con un punteggio CVSS di 7.8 (alto), permette a un utente malintenzionato con privilegi bassi di ottenere il controllo completo del sistema.

L’elevazione dei privilegi si riferisce a una situazione in cui un utente con privilegi limitati ottiene un accesso con privilegi più alti, come quello dell’amministratore, senza avere l’autorizzazione corretta. Questo può permettere a un utente malintenzionato di eseguire operazioni che normalmente non sarebbero consentite.

Dettagli vulnerabilità

Sfruttando un difetto nel modo in cui MSI Center gestisce i permessi, un utente malintenzionato può manipolare il file system e indurre il software a sovrascrivere o eliminare file critici con privilegi elevati. In questo modo, l’attaccante può prendere il controllo del sistema e eseguire qualsiasi azione, incluso l’installazione di malware, il furto di dati sensibili o addirittura la possibiità di eseguire codice arbitrario col massimo livello di privilegi. Tutto ciò attraverso l’abuso dei symlinks (symbolic links) sfruttati per ingannare il sistema operativo.

Tutte le versioni di MSI Center fino alla 2.0.36.0 sono vulnerabili a questo attacco. Ciò significa che un numero considerevole di sistemi Windows potrebbe essere esposto a questa grave minaccia.

La vulnerabilità può essere sfruttata attraverso i seguenti passaggi:

Fase 1: Creare una directory con OpLock

Un utente con privilegi bassi crea una directory in una posizione accessibile, creando a sua volta un file al suo interno. Successivamente, l’utente utilizza uno strumento di sistema per impostare un OpLock (Mandatory Locking) sul file precedentemente creato. Un OpLock impedisce ad altri processi di accedere o modificare il file finché il blocco non viene rilasciato.

Fase 2: Attivazione dell’operazione di scrittura tramite MSI Center

****La funzione “Esporta informazioni di sistema” in MSI Center viene utilizzata per attivare un’operazione di scrittura sul file OpLocked.

Fase 3: Sostituzione del file originale con una giunzione simbolica

Mentre MSI Center tenta di scrivere sul file bloccato con OpLock, l’attaccantlo sostituisce con una giunzione simbolica che punta al file di destinazione desiderato (ad esempio, un file di sistema critico).

Fase 4: Sfruttamento dei privilegi elevati di MSI Center

Quando MSI Center tenterà di completare l’operazione di scrittura, non sarà in grado di accedere al file originale a causa del blocco OpLock. Tuttavia, a causa della giunzione simbolica creata in precedenza, MSI Center scriverà o sovrascriverà il file di destinazione a cui punta la giunzione.

Poiché MSI Center viene eseguito con privilegi NT AUTHORITY\SYSTEM, l’attaccante ottiene il controllo completo del file di destinazione, potenzialmente sovrascrivendolo con codice dannoso o eliminandolo del tutto.

In sintesi, questa vulnerabilità sfrutta la combinazione di OpLock e giunzioni simboliche per ingannare MSI Center a eseguire azioni con privilegi elevati su un file di destinazione arbitrario. Un utente malintenzionato con privilegi bassi può sfruttare questo metodo per prendere il controllo del sistema, installare malware, rubare dati sensibili o causare altri danni gravi.

Possibili sfruttamenti

Questa vlnerabilità apre la porta a una serie di gravi conseguenze, tra cui:

• Compromissione di File Critici: L’attaccante può sovrascrivere o eliminare arbitrariamente file con privilegi elevati, causando potenziali danni irreparabili al sistema operativo, alle applicazioni o ai dati sensibili.
• Installazione Silenziosa di Malware: L’elevazione dei privilegi permette all’attaccante di installare software dannoso senza richiedere privilegi di amministratore, compromettendo la sicurezza di tutti gli utenti del sistema. Inoltre MSI center è un binario con signature Windows permettendo di bypassare processi di monitoring o antivirus, l’utilizzo di binari Windows standard è chiamato Living-Off-The-Land.
• Esecuzione Arbitraria di Codice: L’attaccante può eseguire codice arbitrario con privilegi di SISTEMA, ottenendo il controllo completo del sistema e potenzialmente installando backdoor persistenti o rubando dati critici.
• Compromissione dell’Avvio del Sistema: L’attaccante può posizionare payload dannosi in posizioni di avvio, attivandoli automaticamente all’accesso di un amministratore, compromettendo l’intero sistema.

Conclusioni

MSI ha risolto la vulnerabilità nella versione 2.0.38.0 di MSI Center, rilasciata il 3 luglio 2024. L’aggiornamento immediato a questa versione è fondamentale per mitigare il rischio.

La vulnerabilità CVE-2024-37726 rappresenta una grave minaccia per i sistemi Windows che utilizzano MSI Center. Aggiornare all’ultima versione e adottare le opportune misure di sicurezza è fondamentale per mitigare il rischio e proteggere i sistemi da potenziali attacchi informatici.

L'articolo Grave Vulnerabilità nei Sistemi Windows: Ecco Come un Attaccante può Ottenere il Controllo Completo del Tuo PC proviene da il blog della sicurezza informatica.

The ongoing story of bogus analytical data being submitted to the public OctoPrint usage statistics has taken a surprising turn with the news that a second plugin was being artificially pushed up the charts. At least this time, the developer of the plugin has admitted to doing the deed personally.

Just to recap, last week OctoPrint creator [Gina Häußge] found that somebody had been generating fictitious OctoPrint usage stats since 2022 in an effort to make the OctoEverywhere plugin appear to be more popular than it actually was. It was a clever attempt, and if it wasn’t for the fact that the fake data was reporting itself to be from a significantly out of date build of OctoPrint, there’s no telling how long it would have continued. When the developers of the plugin were confronted, they claimed it was an overzealous user operating under their own initiative, and denied any knowledge that the stats were being manipulated in their favor.

Presumably it was around this time that Obico creator [Kenneth Jiang] started sweating bullets. It turns out he’d been doing the same thing, for just about as long. When [Gina] contacted him about the suspicious data she was seeing regarding his plugin, he owned up to falsifying the data and published what strikes us as a fairly contrite apology on the Obico blog. While this doesn’t absolve him of making a very poor decision, we respect that he didn’t try to shift the blame elsewhere.

That said, there’s at least one part of his version of events that doesn’t quite pass the sniff test for us. According to [Kenneth], he first wrote the script that generated the fake data back in 2022 because he suspected (correctly, it turns out) that the developers of OctoEverywhere were doing something similar. But after that, he says he didn’t realize the script was still running until [Gina] confronted him about it.

Now admittedly, we’re not professional programmers here at Hackaday. But we’ve written enough code to be suspicious when somebody claims a script they whipped up on a lark was able to run unattended for two years and never once crashed or otherwise bailed out. We won’t even begin to speculate where said script could have been running since 2022 without anyone noticing…

But we won’t dwell on the minutiae here. [Gina] has once again purged the garbage data from the OctoPrint stats, and hopefully things are finally starting to reflect reality. We know she was already angry about the earlier attempts to manipulate the stats, so she’s got to be seething right about now. But as we said before, these unfortunate incidents are ultimately just bumps in the road. We don’t need any stat tracker to know that the community as a whole greatly appreciates the incredible work she’s put into OctoPrint.

Nelle prime ore del 4 luglio, il gruppo Telegram di Breach Forum ha vissuto un colpo di scena inaspettato. Il gruppo, che era sotto il controllo dell’FBI, è stato presumibilmente recuperato dall’amministratore noto come “weep“. Questo evento ha suscitato una serie di reazioni all’interno della comunità di sicureza informatica.

Il Recupero del Gruppo

Il primo segnale di cambiamento è arrivato con un messaggio da “weep”, che annunciava trionfante: “We back baby”.

L’entusiasmo era palpabile, con reazioni di approvazione e supporto da parte degli altri membri del gruppo. Subito dopo, un altro messaggio ha chiarito la situazione: “Under new ownership”. Questo confermava che il gruppo era passato sotto una nuova gestione, ma senza fornire dettagli specifici su come fosse avvenuto il trasferimento di controllo.

La Confusione e il Chiarimento

La confusione tra i membri del gruppo è stata evidente. Alcuni messaggi suggerivano che il gruppo fosse ancora sotto il controllo dell’FBI, mentre altri parlavano di un trasferimento di potere a “weep”. La situazione è stata ulteriormente chiarita da un messaggio di “OpTic arm”, un altro amministratore del gruppo.

OpTic arm ha spiegato come funzionano le impostazioni di Telegram, sottolineando che se un account non è attivo per 30 giorni, viene eliminato.

Questo è ciò che è successo con l’account di “Baphomet“, il precedente amministratore. Poiché “weep” era stato il primo ad essere nominato amministratore, Telegram ha trasferito automaticamente la proprietà del gruppo a lui. OpTic arm ha anche criticato l’FBI per non aver preso il controllo amministrativo del gruppo, il che avrebbe evitato questa situazione.

La Risposta della Comunità

La reazione della comunità è stata mista. Mentre molti hanno celebrato il ritorno del gruppo sotto la gestione originale, altri hanno espresso dubbi e preoccupazioni sulla sicurezza e la stabilità del gruppo.

Il messaggio di “BaphometOfficial” ha confermato che il gruppo era stato originariamente preso in consegna dall’FBI, aggiungendo ulteriore intrigo alla vicenda.

In conclusione, il gruppo Telegram di Breach Forum è passato attraverso un periodo di turbolenze e cambiamenti di leadership. Il ritorno di “weep” come amministratore ha segnato un nuovo capitolo per la comunità, ma ha anche sollevato domande sulla sicurezza e la gestione futura del gruppo. La situazione rimane fluida e continuerà ad evolversi nei prossimi giorni.

L'articolo Colpo di Scena! Il gruppo Telegram di Breach Forum torna nelle mani dei criminali per un errore dell’FBI proviene da il blog della sicurezza informatica.

Russian disinformation campaigns are targeting social media to destabilise the French political scene — currently in a legislative campaign — by steering it more towards the "extremes" and fragmenting the so-called "Republican front", a study found.

euractiv.com/section/politics/…

Art. 302 c.p :Chiunque istiga taluno a commettere uno dei delitti, non colposi, preveduti dai capi primo e secondo di questo titolo, per i quali la legge stabilisce l'ergastolo o la reclusione, è punito, se l'istigazione non è accolta, ovvero se l'istigazione è accolta ma il delitto non è commesso, con la reclusione da uno a otto anni. La pena è aumentata se il fatto è commesso attraverso strumenti informatici o telematici.

Tuttavia, la pena da applicare è sempre inferiore alla metà della pena stabilita per il delitto al quale si riferisce la istigazione.

Il contenuto della norma

L’articolo 302 c.p. punisce chi incita altre persone a commettere determinati reati gravi. Se l’incitamento non viene seguito, o se viene seguito ma il reato non viene commesso, la persona che ha incitato può essere condannata da uno a otto anni di reclusione.

Se l’istigazione avviene tramite tecnologie digitali o telematiche, la pena è aumentata. Tuttavia, la pena non sarà mai più della metà di quella prevista per il reato a cui si riferisce l’istigazione.

Se l’istigazione viene seguita e il reato viene effettivamente commesso, l’articolo 302 non si applica più. In questo caso, chi ha incitato sarà considerato complice nel reato.

Questo articolo è stato modificato dal Decreto Legislativo del 18 febbraio 2015, n. 7, che è stato poi convertito in legge il 17 aprile 2015, n. 43.

Cosa dice la giurisprudenza

Ai fini dell’integrazione del delitto di cui all’articolo 302 cod. pen., che può avere per oggetto anche un reato associativo (nella specie, l’associazione con finalità di terrorismo anche internazionale di cui all’art. 270-bis cod. pen.), non basta l’esternazione di un giudizio positivo su un episodio criminoso, per quanto odioso e riprovevole, ma occorre che il comportamento dell’agente sia tale – per il suo contenuto intrinseco, per la condizione personale dell’autore e per le circostanze di fatto in cui si esplica – da determinare il rischio, non teorico ma effettivo, della commissione di atti di terrorismo o di delitti associativi con finalità di terrorismo (Cass., Sez. II, sent. n. 51942/18).

Il fatto di postare sui profili Facebook frasi o commenti a immagini cruente, proposizioni di esortazione o di incitamento, senza limitarsi a esprimere sentimenti di approvazione verso fatti di terrorismo islamico, attuati da gruppi che si ispiravano all’integralismo religioso, ma incitando a intraprendere atti sovversivi di vero e proprio terrorismo e di affermazione della violenza anche più truce e spietata, integrano il delitto di cui all’art. 302 c.p. e non quello di cui all’art. 414 c.p. di talché, nell’ipotesi della sussistenza di tali fatti, è legittimo il rigetto da parte del Tribunale del riesame, della richiesta di un cittadino extracomunitario di essere rimesso in libertà (Cass., Sez. I, sent. n. 46178/15 ).

L'articolo Digital Crime: Istigazione a commettere alcuno dei delitti preveduti dai capi primo e secondo realizzata anche per via telematica proviene da il blog della sicurezza informatica.

La Federazione Internazionale dell’Automobile (FIA), ente globale che regola gli sport motoristici, ha subito una grave violazione dei dati a causa di attacchi di phishing che hanno compromesso diversi account di posta elettronica. La FIA ha dichiarato che recenti attacchi di phishing hanno portato all’accesso non autorizzato a dati personali in due account di posta elettronica della federazione. Non appena scoperti gli incidenti, la FIA ha preso tutte le misure necessarie per interrompere gli accessi illegittimi in brevissimo tempo.

Fondata nel 1904 come Associazione Internazionale degli Automobile Club Riconosciuti (AIACR), la FIA coordina numerosi campionati automobilistici, tra cui la Formula 1 e il World Rally Championship (WRC). La federazione comprende 242 organizzazioni affiliate da 147 paesi in cinque continenti e gestisce la FIA Foundation, che promuove e finanzia la ricerca sulla sicurezza stradale.

In risposta all’incidente, la FIA ha informato le autorità di regolamentazione della protezione dei dati in Svizzera e Francia: il Préposé Fédéral à la Protection des Données et à la Transparence e la Commission Nationale de l’Informatique et des Libertés. La FIA ha adottato ulteriori misure di sicurezza per prevenire futuri attacchi simili e ha espresso rammarico per eventuali preoccupazioni causate agli individui coinvolti.

Attualmente, la federazione non ha ancora comunicato il momento esatto in cui la violazione è stata rilevata, quante informazioni personali sono state consultate, né quali dati sensibili sono stati esposti o rubati durante l’incidente. Questo episodio mette in luce la vulnerabilità delle organizzazioni, anche di alto profilo come la FIA, agli attacchi informatici. Sottolinea l’importanza di misure di sicurezza robuste e di una continua revisione e aggiornamento dei sistemi per proteggere i dati sensibili contro minacce in continua evoluzione.

Mentre la FIA continua a migliorare le sue difese, questo incidente serve come monito per tutte le organizzazioni sulla necessità di una vigilanza costante in materia di sicurezza informatica.

L'articolo FIA in Modalità Safety Car: Una violazione dei dati per colpa di una email di phishing proviene da il blog della sicurezza informatica.

If something has a “smart” in its name, you know that it’s talking to someone else, and the topic of conversation is probably you. You may or may not like that, but that’s part of the deal when you buy these things. But with some smarts of your own, you might be able to make that widget talk to you rather than about you.

Such an opportunity presented itself to [Benjamen Lim] when a bunch of brand X smartwatches came his way. Without any documentation to guide him, [Benjamen] started with an inspection, which revealed a screen of debug info that included a mysterious IP address and port. Tearing one of the watches apart — a significant advantage to having multiple units to work with — revealed little other than an nRF52832 microcontroller along with WiFi and cellular chips. But the luckiest find was JTAG pins connected to pads on the watch face that mate with its charging cradle. That meant talking to the chip was only a spliced USB cable away.

Once he could connect to the watch, [Benjamen] was able to dump the firmware and fire up Ghidra. He decided to focus on the IP address the watch seemed fixated on, reasoning that it might be the address of an update server, and that patching the firmware with a different address could be handy. He couldn’t find the IP as a string in the firmware, but he did manage to find a sprintf-like format string for IP addresses, which led him to a likely memory location. Sure enough, the IP and port were right there, so he wrote a script to change the address to a server he had the keys for and flashed the watch.

So the score stands at [Benjamen] 1, smartwatch 0. It’s not clear what the goal of all this was, but we’d love to see if he comes up with something cool for these widgets. Even if there’s nothing else, it was a cool lesson in reverse engineering.

La settimana scorsa, molti possessori di telefoni Google Pixel 6 (6, 6a, 6 Pro) si sono trovati di fronte al fatto che i loro dispositivi si bloccavano se eseguivano un ripristino delle impostazioni di fabbrica.

Gli utenti dicono ( 1 , 2 , 3 ) di aver riscontrato un errore relativo al file tune2fs mancante durante il download. Ciò si traduce in una schermata che visualizza il messaggio: “Impossibile avviare il sistema Android. I tuoi dati potrebbero essere danneggiati.”

Questa schermata di ripristino richiede all’utente di eseguire un altro ripristino delle impostazioni di fabbrica, che purtroppo non risolve il problema.

Ancora peggio, il blocco OEM rende impossibile riconfigurare il bootloader, utilizzare strumenti di flashing di Android e altri metodi di risoluzione dei problemi e i tentativi di scaricare gli aggiornamenti tramite ADB falliscono perché il processo viene interrotto a metà.

Alcune vittime riferiscono di aver partecipato al programma beta di Android 15, ma gli utenti erano pochi e il motivo per cui i dispositivi sono stati trasformati in “mattoni” non è ancora chiaro.

Gli utenti scrivono anche di una strana reazione a questo problema da parte di Google. Poiché molti hanno riscontrato il bug proprio quando il loro dispositivo era fuori garanzia, ottenere assistenza è stato difficile. Così, alcune vittime raccontano su Reddit che i centri assistenza di Google hanno detto loro che il problema era legato alla scheda madre e hanno chiesto un prezzo elevato per la riparazione di un dispositivo la cui garanzia era già scaduta.

I rappresentanti di Google hanno assicurato che gli ingegneri dell’azienda hanno già confermato il problema e stanno attualmente conducendo un’indagine. Tuttavia, non sono state ancora pubblicate istruzioni specifiche su cosa fare con i gadget guasti.

Fino a quando la situazione non sarà più chiara, si consiglia ai possessori di Google Pixel 6, 6a e 6 Pro di non eseguire un ripristino delle impostazioni di fabbrica e di effettuare regolarmente anche i backup.

C’è da dire che questo non è il primo problema serio che i possessori di Pixel hanno riscontrato di recente. Pertanto, nel gennaio 2024, i possessori di molti modelli Pixel (inclusi Google Pixel 5, 6, 6a, 7, 7a, 8 e 8 Pro) si sono lamentati del fatto che dopo aver installato l’aggiornamento non potevano accedere alla memoria interna del dispositivo, avviare applicazioni o utilizzare la fotocamera, acquisire screenshot e così via.

Gli specialisti di Google hanno impiegato più di un mese per risolvere questo problema. Ma alla fine alle vittime è stata offerta una soluzione, di cui ovviamente non tutti hanno potuto approfittare. Il fatto è che a quel tempo Google consigliava di utilizzare il toolkit per gli sviluppatori e il terminale Android Platform Tools, eseguendo una sequenza di azioni molto complicata per l’utente medio.

L'articolo Caos Pixel 6: Ripristino di Fabbrica Trasforma i Dispositivi in ‘Mattoni’! proviene da il blog della sicurezza informatica.

39 massimi esperti di tecnologia Internet hanno inviato una lettera aperta alle Nazioni Unite chiedendo una revisione di alcune disposizioni del Global Digital Compact (GDC). Il Global Digital Compact mira a stabilire principi comuni per un futuro digitale aperto, libero e sicuro per tutti.

Le tecnologie digitali hanno un enorme potenziale per migliorare le società, ma se utilizzate in modo improprio possono promuovere la divisione all’interno e tra i paesi, aumentare l’insicurezza, minare i diritti umani e aumentare la disuguaglianza. Le Nazioni Unite hanno avviato il patto per affrontare questioni come garantire l’accesso a Internet per tutti, prevenire la frammentazione di Internet, dare alle persone la possibilità di scegliere come utilizzare i propri dati, rispettare i diritti umani online e promuovere un Internet affidabile con responsabilità per la discriminazione e le informazioni fuorvianti.

Le bozze del patto sono state presentate in aprile, maggio e giugno ( ultima revisione ). Tuttavia, la comunità tecnica è rimasta insoddisfatta del documento proposto. Nell’agosto 2023, le organizzazioni di governance di Internet hanno espresso preoccupazione per il fatto che le loro opinioni non fossero state prese in considerazione, sebbene le discussioni sul patto inizialmente prevedessero la partecipazione del settore privato, dei governi e della società civile.

Lunedì, 39 figure di spicco di Internet, tra cui il creatore del World Wide Web Tim Berners-Lee, il co-inventore del TCP/IP Vint Cerf, il CTO del W3C Chris Lilly e personale senior di varie organizzazioni Internet, hanno espresso le loro obiezioni all’attuale versione del patto. Gli esperti ritengono che il documento potrebbe portare a una governance di Internet più centralizzata.

I leader tecnologici temono che, nel tentativo di affrontare le sfide poste dalla tecnologia digitale, i regolatori possano tentare di imporre un modello gerarchico per governare gli aspetti tecnici di Internet, che rappresenta una minaccia per l’architettura centrale di Internet. La lettera rileva inoltre che il processo di sviluppo del patto è a più livelli e comporta un uso limitato dei metodi aperti, inclusivi e consensuali che hanno finora alimentato lo sviluppo di Internet e del World Wide Web.

I leader della comunità Internet hanno espresso preoccupazione per il fatto che le parti interessate non statali, comprese le organizzazioni per gli standard tecnologici di Internet e la comunità tecnologica più ampia, abbiano poche opportunità di partecipare al processo di creazione del patto. Il documento sarà in gran parte opera dei governi, separati dall’esperienza reale delle persone in tutto il mondo che utilizzano Internet e il World Wide Web.

La lettera si conclude invitando gli Stati membri delle Nazioni Unite, nonché il segretario generale e l’ambasciatore dell’organizzazione, a garantire che le proposte di governance digitale rimangano coerenti con il modello di successo di governance di Internet multistakeholder che ci ha portato l’Internet di oggi.

Gli autori riconoscono la necessità di un coinvolgimento del governo nella governance di Internet per affrontare le numerose sfide emergenti, ma sottolineano l’importanza di preservare il modello di governance dal basso verso l’alto, collaborativo e inclusivo che ha servito il mondo negli ultimi cinquant’anni.

GDC ha già sollevato preoccupazioni nella comunità tecnologica. Pertanto, nel 2023, le principali organizzazioni di governance di Internet hanno espresso le loro preoccupazioni riguardo al GDC, che esclude gli esperti tecnici come voce separata nella governance di Internet, ignorando il loro enorme contributo allo sviluppo e al mantenimento di Internet.

L'articolo Berners Lee e Vint Cerf vs ONU! Scopri cosa chiedono nella loro lettera aperta sulla governance di Internet proviene da il blog della sicurezza informatica.

Un attore di minacce, identificato come ‘xenZen’, ha elencato il database di Airtel per la vendita su BreachForums. La lista include dati di 375 milioni di clienti.

Dettagli dei Dati:

• Numero di cellulare
• Nome
• Data di nascita
• Nome del padre
• Indirizzo
• Email ID
• Genere
• Nazionalità
• Aadhar
• Dettagli del documento di identificazione fotografica
• Dettagli della prova di indirizzo, ecc.

Data la natura ancora incerta delle informazioni disponibili nelle underground, è importante trattare questo articolo come un resoconto preliminare. La verifica completa della veridicità della violazione potrà avvenire solo attraverso un comunicato stampa dell’azienda che al momento non è stato ancora emesso.

Analisi dell’Incidente

Il 3 luglio 2024, l’utente ‘xenZen’ ha pubblicato un annuncio su BreachForums dichiarando di mettere in vendita il database aggiornato di Airtel India, contenente informazioni personali dettagliate di oltre 375 milioni di clienti. Questo database comprende numeri di cellulare, nomi, date di nascita, nomi dei padri, indirizzi locali e permanenti, indirizzi email, genere, nazionalità, numeri Aadhar, e dettagli di documenti di identificazione fotografica e di prova di indirizzo.

Implicazioni della Fuga di Dati

Airtel India, conosciuta comunemente come Airtel, è il secondo più grande fornitore di telefonia mobile e il terzo più grande fornitore di telefonia fissa in India. Questo incidente di sicurezza rappresenta una grave violazione della privacy dei suoi utenti e potrebbe avere ripercussioni significative. Le informazioni rubate potrebbero essere utilizzate per frodi d’identità, truffe e altri atti malevoli.

Misure di Sicurezza Consigliate

Gli utenti di Airtel sono invitati a monitorare attentamente le loro attività bancarie e di comunicazione per individuare eventuali attività sospette. Inoltre, è consigliabile cambiare le password e utilizzare metodi di autenticazione a due fattori dove possibile.

Airtel dovrà affrontare questa violazione con trasparenza, fornendo supporto e protezione ai propri clienti colpiti. Le autorità competenti dovranno investigare a fondo per assicurare che i responsabili siano identificati e affrontati legalmente.

Questo incidente evidenzia ancora una volta l’importanza di robusti protocolli di sicurezza per proteggere i dati sensibili degli utenti.

L'articolo 375 Milioni di Clienti in Vendita nelle underground. Presunta violazione della Airtel proviene da il blog della sicurezza informatica.

Years ago there was a sharp divide in desktop computing between the mundane PC-type machines, and the so-called workstations which were the UNIX powerhouses of the day. A lot of familiar names produced these high-end systems, including the king of the minicomputer world, DEC. The late-80s version of their DECstation line had a MIPS processor, and ran ULTRIX and DECWindows, their versions of UNIX and X respectively. When we used one back in the day it was a very high-end machine, but now as [rscott2049] shows us, it can be emulated on an RP2040 microcontroller.

On the business card sized board is an RP2040, 32 MB of PSRAM, an Ethernet interface, and a VGA socket. The keyboard and mouse are USB. It drives a monochrome screen at 1024 x 864 pixels, which would have been quite something over three decades ago.

It’s difficult to communicate how powerful a machine like this felt back in the very early 1990s, when by today’s standards it seems laughably low-spec. It’s worth remembering though that the software of the day was much less demanding and lacking in bloat. We’d be interested to see whether this could be used as an X server to display a more up-to-date application on another machine, for at least an illusion of a modern web browser loading Hackaday on DECWindows.

Full details of the project can be found in its GitHub repository.

Spain's government announced a crackdown on Wednesday (3 July) on short-term and seasonal holiday lettings amid rising anger from locals who feel priced out of the housing market.

euractiv.com/section/platforms…

Like many of us, [MIKROWAVE1] had a lot of electronic toys growing up. In a video you can watch below, he asks the question: “Did electronic toys influence your path?” Certainly, for us, the answer was yes.

The CB “base station” looked familiar although ours was marked “General Electric.” Some of us certainly had things similar to the 150-in-one kit and versions of the REMCO broadcast system. There were many versions of crystal radio kits, although a kit for that always seemed a little like cheating.

Shortwave radios were fun in those days, too. We miss the days when you could find interesting stations on shortwave. We were also happy to see the P-box kits. If you weren’t interested in radio, there were also digital logic kits including a “computer” that was really a giant multi-pole switch that could create logic gates.

It made us wonder what toys are launching the next generation of engineers. We are not convinced that video games, Tik Tok, and ChatGPT are going to serve the same purpose these toys did for many of us. What do you think? What were your favorite toys and what do think will serve that purpose for the next generation?

youtube.com/embed/jKgUQNV37G0?…

When you buy a cheap ham radio handy-talkie, you usually get a little “rubber ducky” antenna with it. You can also buy many replacement ones that are at least longer. But how good are they? [Learnelectronics] wanted to know, too, so he broke out his NanoVNA and found out that they were all bad, although some were worse than others. You can see the results in the — sometimes fuzzy — video below.

Of course, bad is in the eye of the beholder and you probably suspected that most of them weren’t super great, but they do seem especially bad. So much so, that, at first, he suspected he was doing something wrong. The SWR was high all across the bands the antennas targeted.

It won’t come as a surprise to find that making an antenna work at 2 meters and 70 centimeters probably isn’t that easy. In addition, it is hard to imagine the little stubby antenna the size of your thumb could work well no matter what. Still, you’d think at least the longer antennas would be a little better.

Hams have had SWR meters for years, of course. But it sure is handy to be able to connect an antenna and see its performance over a wide band of frequencies. Some of the antennas weren’t bad on the UHF band. That makes sense because the antenna is physically larger but at VHF the size didn’t seem a big difference.

He even showed up a little real-world testing and, as you might predict, the test results did not lie. However, only the smallest antenna was totally unable to hit the local repeater.

Of course, you can always make your own antenna. It doesn’t have to take much.

youtube.com/embed/3aE8Q8kgkGk?…

LCD televisions are a technological miracle, but if they have an annoying side it’s that some of them are a bit lacklustre when it comes to displaying black. [Mousa] has a solution, involving a small LCD and a bit of lateral thinking.

These screens work by the LCD panel being placed in front of a bright backlight, and only letting light through at bright parts of the picture. Since LCD isn’t a perfect attenuator, some of the light can make its way through, resulting in those less than perfect blacks. More recent screens replace the bright white backlight with an array of LEDs that light up with the image, but the electronics to make that happen are not exactly trivial.

The solution? Find a small LCD panel and feed it from the same HDMI source as a big panel. Then place an array of LDRs on the front of the small LCD, driving an array of white LEDs through transistor drivers to make a new responsive backlight. We’re not sure we’d go to all this trouble, but it certainly looks quite cool as you can see below the break.

This may be the first responsive backlight we’ve brought you, but more than one Ambilight clone has graced these pages.

youtube.com/embed/VY57LZGHuSw?…

This week Jonathan Bennett and Dan Lynch chat with Paweł Karaś about Amber, a modern scripting language that compiles into a Bash script. Want to write scripts with built-in error handling, or prefer strongly typed languages? Amber may be for you!

youtube.com/embed/eVmSU5T1uTg?…

– github.com/Ph0enixKM/Amber
– amber-lang.com/
– docs.amber-lang.com/

Did you know you can watch the live recording of the show Right on our YouTube Channel? Have someone you’d like use to interview? Let us know, or contact the guest and have them contact us! Take a look at the schedule here.

play.libsyn.com/embed/episode/…

Direct Download in DRM-free MP3.

If you’d rather read along, here’s the transcript for this week’s episode.

Places to follow the FLOSS Weekly Podcast:

• Spotify
• RSS

If you’re designing a universal port, you will be expected to provide power. This was a lesson learned in the times of LPT and COM ports, where factory-made peripherals and DIY boards alike had to pull peculiar tricks to get a few milliamps, often tapping data lines. Do it wrong, and a port will burn up – in the best case, it’ll be your port, in worst case, ports of a number of your customers.
Want a single-cable device on a COM port? You might end up doing something like this.
Having a dedicated power rail on your connector simply solves this problem. We might’ve never gotten DB-11 and DB-27, but we did eventually get USB, with one of its four pins dedicated to a 5 V power rail. I vividly remember seeing my first USB port, on the side of a Thinkpad 390E that my dad bought in 2000s – I was eight years old at the time. It was merely USB 1.0, and yet, while I never got to properly make use of that port, it definitely marked the beginning of my USB adventures.

About six years later, I was sitting at my desk, trying to build a USB docking station for my EEE PC, as I was hoping, with tons of peripherals inside. Shorting out the USB port due to faulty connections or too many devices connected at once was a regular occurrence; thankfully, the laptop persevered as much as I did. Trying to do some research, one thing I kept stumbling upon was the 500 mA limit. That didn’t really help, since none of the devices I used even attempted to indicate their power consumption on the package – you would get a USB hub saying “100 mA” or a mouse saying “500 mA” with nary an elaboration.

Fifteen more years have passed, and I am here, having gone through hundreds of laptop schematics, investigated and learned from design decisions, harvested laptops for both parts and even ICs on their motherboards, designed and built laptop mods, nowadays I’m even designing my own laptop motherboards! If you ever read about the 500 mA limit and thought of it as a constraint for your project, worry not – it’s not as cut and dried as the specification might have you believe.

Who Really Sets The Current Limit?

The specification originally stated – you aren’t supposed to consume more than 500mA from a USB port. At some points, you’re not even supposed to consume more than 100mA! It talked unit loads, current consumption rates, and a good few other restrictions you would want to apply to a power rail. Naturally, that meant enforcement of some kind, and you would see this limit enforced – occasionally.

On the host side, current limiting had to be resettable, of course, and, at the time, that meant either PTC fuses or digital current limiting – both with their flaws, and a notable price increase – per port. Some bothered (mostly, laptops), but many didn’t, either ganging groups of ports together onto a single limited 5 V rail, or just expecting the board’s entire 5 V regulator to take the fall.
Current limiting a port is this simple
Even today, hackers skimp on current limiting, as much as it can be useful for malfunctioning tech we all so often hack on. Here’s a tip from a budding motherboard designer: buy a good few dozen SY6280’s, they’re 10 cents apiece, and here’s a tiny breakout PCB for them, too. They’re good for up to 2 A, and you get an EN pin for free. Plus, it works for both 3.3 V, 5 V, and anything in between, say, a single LiIon cell’s output. Naturally, other suggestions in comments are appreciated – SY6280 isn’t stocked by Western suppliers much, so you’ll want LCSC or Aliexpress.

Another side of the equation – devices. Remember the USB cup warmer turned hotplate that required 30 paralleled USB ports to cook food? It diligently used these to stay under 500 mA. Mass-manufactured devices, sadly, didn’t.

Portable HDDs wanted just a little more than 2.5 W to spin-up, 3G modem USB sticks wanted an 2 A peak when connecting to a network, phones wanted more than 500 mA to charge, and coffee warmers, well, you don’t want to sell a 2.5 W coffee warmer when your competitor boasts 7.5 W. This led to Y-cables, but it also led to hosts effectively not being compatible with users’ devices, and customer dissatisfaction. And who wants complaints when a fix is simple?

It was also the complexity. Let’s say you’re designing a USB hub with four ports. At its core, there’s a USB hub IC. Do you add current consumption measurement and switching on your outputs to make sure you don’t drain too much from the input? Will your users like having their devices randomly shut down, something that cheaper hubs won’t have a problem with? Will you be limiting yourself to way below what the upstream port can actually offer? Most importantly, do users care enough to buy an overly compliant hub, as opposed to one that costs way less and works just as well save for some edge cases?

Stretching The Limit

500 mA current monitoring might have been the case originally, but there was no real need to keep it in, and whatever safety 500 mA provided, came with bothersome implementation and maintenance. The USB standard didn’t expect the 2.5 W requirement to budge, so they initially had no provisions for increasing, apart from “self-powering” aka having your device grab power from somewhere else other than the USB port. As a result, both devices and manufacturers pushed the upper boundary to something more reasonable, without an agreed-upon mechanism on how to do it.

USB ports, purely mechanically, could very well handle more than 0.5 A all throughout, and soon, having an allowance of 1 A or even 1.5 A became the norm. Manufacturers would have some current limits of their own in mind, but 500 mA was long gone – and forget about the 100 mA figure. Perhaps the only place where you could commonly encounter 500 mA was step-ups inside mobile phones, simply because there’s neither much space on a motherboard nor a lot of power budget to spend.

Smartphone manufacturers were in a bind – how do you distinguish a port able to provide 500 mA from a port able to provide 1000 mA, or even 2 A outright? That’s how D+/D- shenanigans on phone chargers came to be – that, and manufacturers’ greed. For Android, you were expected to short data lines with a 200 Ohm resistor, for Apple, you had to put 2.2 V or 2.7 V on the data pins, and if you tried hard enough, you could sometimes use three resistors to do both at once.

Bringing The Standard In Line

The USB standard group tried to catch up with the USB BC (Battery Charging standard), and adopted the Android scheme. Their idea was – if you wanted to do a 1.5 A-capable charger, you would short D+ and D-, and a device could test for a short to check whether it may consume this much. Of course, many devices never checked, but it was a nice mode for smartphones specifically.

When you’re making a device with a LiIon that aims to consume over an amp and be produced in quantity of hundreds of thousands, safety and charger compatibility is pretty crucial. A less common but nifty charging mode from the BC standard, CDP (Charging Downstream Port), would even allow you to do USB2 *and* 1.5 A. Support for it was added to some laptops using special ICs or chipset-level detection – you might have had a yellow port on your laptop, dedicated for charging a smartphone and able to put your phone’s port detection logic at ease.

Further on, USB3 took the chance to raise the 500 mA limit to 90 0mA. The idea was simple – if you’re connected over USB2, you may consume 500 mA, but if you’re a USB3 device, you may take 900 mA, an increased power budget that is indeed useful for higher-speed USB3 devices more likely to try and do a lot of computation at once. In practice, I’ve never seen any laptop implement the USB2 vs USB3 current limit checking part, however, as more and more devices adopted USB3, it did certainly raise the bar on what you could be guaranteed to expect from any port.

As we’ve all seen, external standards decided to increase the power limit by increasing voltage instead. By playing with analog levels on D+ and D- pins in a certain way, the Quick Charge (QC) standard lets you get 9 V, 12 V, 15 V or even 20 V out of a port; sadly, without an ability to signal the current limit. These standards have mostly been limited to phones, thankfully.

USB-C-lean Slate

USB-C PD (Power Delivery) has completely, utterly demolished this complexity, as you might notice if you’ve followed my USB-C series. That’s because a device can check the port’s current capability with an ADC connected to each of the two CC pins on the USB-C connector. Three current levels are defined – 3 A, 1.5 A and “Default” (500 mA for USB2 devices and 900 mA for USB3). Your phone likely signals the Default level, your charger signals 3 A, and your laptop either signals 3 A or 1.5 A. Want to get higher voltages? You can do pretty simple digital communications to get that.

Want to consume 3 A from a port? Check the CC lines with an ADC, use something like a WUSB3801, or just do the same “check the PSU label” thing. Want to consume less than 500 mA? Don’t even need to bother checking the CCs, if you’ve got 5 V, it will work. And because 5 V / 3 A is a defined option in the standard, myriad laptops will effortlessly give you 15 W of power from a single port.

On USB-C ports, BC can still be supported for backwards compatibility, but it doesn’t make as much sense to support it anymore. Proprietary smartphone charger standards, raising VBUS on their own, are completely outlawed in USB-C. As device designers have been provided with an easy mechanism to consume a good amount of power, compliance has become significantly more likely than before – not that a few manufacturers aren’t trying to make their proprietary schemes, but they are a minority.

Splunk, un leader nella fornitura di software per la ricerca, il monitoraggio e l’analisi dei big data generati dalle macchine, ha rilasciato aggiornamenti di sicurezza urgenti per il suo prodotto di punta, Splunk Enterprise.

Questi aggiornamenti affrontano diverse vulnerabilità critiche che rappresentano significativi rischi per la sicurezza, inclusa la possibilità di esecuzione di codice remoto (RCE). Le versioni interessate includono *9.0.x, 9.1.x e 9.2.x, e le vulnerabilità sono state identificate sia da ricercatori interni che esterni.

Vulnerabilità Chiave Affrontate

Le vulnerabilità critiche corrette in questi aggiornamenti sono le seguenti:

1. CVE-2024-36984: Questa vulnerabilità riguarda l’esecuzione arbitraria di codice tramite payload di sessione serializzati. Gli attaccanti potrebbero sfruttare questo difetto per eseguire comandi arbitrari sul server manipolando i dati della sessione.
2. CVE-2024-36985: Questa vulnerabilità RCE è legata a una ricerca esterna nell’applicazione splunk_archiver. Gli attaccanti che sfruttano questa vulnerabilità possono eseguire codice in remoto, potenzialmente ottenendo il controllo sui sistemi interessati.
3. CVE-2024-36991: I dettagli di questo problema critico non sono stati divulgati, ma è stato categorizzato come un rischio di sicurezza significativo che richiede attenzione immediata.
4. CVE-2024-36983: Un’altra grave vulnerabilità è l’iniezione di comandi tramite ricerche esterne. Iniettando comandi nei campi di ricerca, gli attaccanti possono eseguire comandi arbitrari, portando a una compromissione del sistema.
5. CVE-2024-36982: Questo problema riguarda un riferimento nullo al puntatore che può causare il crash dei daemon. Anche se potrebbe non portare all’esecuzione diretta di codice, può interrompere la disponibilità del servizio e potenzialmente essere sfruttato in attacchi di tipo denial-of-service.

Ulteriori Vulnerabilità

Oltre ai problemi critici sopra menzionati, sono state affrontate diverse vulnerabilità di Cross-Site Scripting (XSS). Le vulnerabilità XSS consentono agli attaccanti di iniettare script dannosi nelle pagine web visualizzate da altri utenti, portando potenzialmente al furto di dati, al dirottamento delle sessioni o ad altre attività dannose.

Mitigazione e Raccomandazioni

Splunk ha rilasciato patch per mitigare queste vulnerabilità. Gli utenti che utilizzano versioni interessate di Splunk Enterprise sono fortemente incoraggiati ad aggiornare alle seguenti versioni:

• 9.0.10
• 9.1.5
• 9.2.2

Queste versioni contengono le correzioni necessarie per proteggere i sistemi dalle vulnerabilità identificate. L’applicazione tempestiva di questi aggiornamenti è fondamentale per mantenere la sicurezza e l’integrità degli ambienti Splunk.

Per gli utenti della Splunk Cloud Platform, gli aggiornamenti vengono applicati automaticamente e il monitoraggio continuo è in atto per garantire la sicurezza delle istanze cloud.

Importanza degli Aggiornamenti Tempestivi

Il rilascio di questi aggiornamenti sottolinea l’importanza di una rapida applicazione delle patch per mantenere un ambiente IT sicuro. Data la natura delle vulnerabilità, in particolare quelle che consentono l’esecuzione di codice remoto, l’impatto potenziale di un exploit potrebbe essere grave, variando dall’accesso non autorizzato ai dati alla completa compromissione del sistema.

Le organizzazioni che fanno affidamento su Splunk Enterprise per l’analisi e il monitoraggio dei dati critici dovrebbero prioritizzare questi aggiornamenti nei loro protocolli di sicurezza. Oltre ad applicare le patch, è consigliabile rivedere le configurazioni di sicurezza, auditare i log di sistema per attività insolite e assicurarsi che vengano condotte valutazioni di sicurezza regolari.

Conclusione

La scoperta e la mitigazione di queste vulnerabilità critiche in Splunk Enterprise evidenziano le sfide continue nella sicurezza dei sistemi software complessi. Con l’evolversi delle minacce, le misure proattive, tra cui l’applicazione tempestiva delle patch e il monitoraggio continuo, sono essenziali per proteggere contro potenziali exploit. La rapida risposta di Splunk nell’affrontare questi problemi serve a ricordare il ruolo critico che gli aggiornamenti di sicurezza tempestivi giocano nella protezione degli asset e dell’integrità dei dati delle organizzazioni.

L'articolo Vulnerabilità Critiche in Splunk Enterprise Consentono l’Esecuzione di Codice Remoto proviene da il blog della sicurezza informatica.

Here at Hackaday we’re suckers for vintage promotional movies, and we’ve brought you quite a few over the years. Their boundless optimism and confidence in whatever product they are advancing is infectious, even though from time to time with hindsight we know that to have been misplaced.

For once though the subject of today’s film isn’t something problematic, instead it’s a thing we still rely on today. Precision manufacturing of almost anything still relies on precision tooling, and the National Tool and Die Manufacturers Association is on hand in the video from 1953 below the break to remind us of the importance of their work.

The products on show all belie the era in which the film was made: a metal desk fan, CRT parts for TVs, car body parts, a flight of what we tentatively identify as Lockheed P-80 Shooting Stars, and a Patton tank. Perhaps for the Hackaday reader the interest increases though when we see the training of an apprentice toolmaker, a young man who is being trained to the highest standards in the use of machine tools. It’s a complaint we’ve heard from some of our industry contacts that it’s rare now to find skills at this level, but we’d be interested to hear views in the comments on the veracity of that claim, or whether in a world of CAD and CNC such a level of skill is still necessary. Either way we’re sure that the insistence on metrology would be just as familiar in a modern machine shop.

A quick web search finds that the National Tool and Die Manufacturers Association no longer exists, instead the search engine recommends the National Tooling And Machining Association. We’re not sure whether this is a successor organisation or a different one, but it definitely represents the same constituency. When the film was made, America was at the peak of its post-war boom, and the apprentice would no doubt have gone on to a successful and pretty lucrative career. We hope his present-day equivalent is as valued.

If you’re of a mind for more industrial process, can we direct you at die casting?

youtube.com/embed/QU6nsfoNWDI?…

Un membro del forum BreachForums ha recentemente pubblicato un post riguardante una significativa violazione dei dati che coinvolge Shopify. Secondo quanto riportato, sono stati compromessi dati sensibili appartenenti a quasi 180.000 utenti.

Shopify Inc. è una società canadese con sede a Ottawa, Ontario che sviluppa e commercializza l’omonima piattaforma di e-commerce, il sistema di punto vendita Shopify POS e strumenti di marketing dedicati alle imprese.

La piattaforma di ecommerce, basata sul modello SaaS, è disponibile anche in italiano e conta più di 1.7 milioni di negozi in 175 paesi che hanno generato vendite per oltre 277 miliardi di dollari.

I Dati Compromessi

Il post, che ha attirato l’attenzione della comunità di BreachForums, rivela che la violazione ha esposto 179.873 righe di informazioni sugli utenti. I dati compromessi includono:

• ID Shopify
• Nomi e cognomi
• Indirizzi email
• Numeri di telefono mobile
• Numero di ordini effettuati
• Iscrizioni email
• Date di sottoscrizione email
• Sottoscrizioni SMS
• Date di sottoscrizione SMS

Al momento, non possiamo confermare con precisione la veridicità della violazione, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo dovrebbe essere considerato come una ‘fonte di intelligence’.

Impatto e Considerazioni

Shopify, una delle principali piattaforme di e-commerce che permette a chiunque di avviare, gestire e far crescere un’attività commerciale online, è conosciuta per la sua affidabilità e sicurezza. La notizia di questa violazione dei dati potrebbe avere ripercussioni significative sia per l’azienda che per i suoi utenti.

• Fatturato di Shopify: Con un fatturato dichiarato di 7,4 miliardi di dollari, Shopify è un gigante del settore e-commerce. Tuttavia, una violazione di questa portata potrebbe influenzare la fiducia dei clienti e avere impatti negativi sulla reputazione dell’azienda.
• Sicurezza dei Dati: La sicurezza dei dati è una priorità per qualsiasi azienda che gestisce informazioni sensibili. Questo incidente mette in luce l’importanza di investire continuamente in misure di sicurezza avanzate e di effettuare controlli regolari per prevenire simili violazioni.

Conclusioni

Data la natura ancora incerta delle informazioni disponibili nelle underground, è importante trattare questo articolo come un resoconto preliminare. La verifica completa della veridicità della violazione potrà avvenire solo attraverso un comunicato stampa dell’azienda che al momento non è stato ancora emesso.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC Dark Lab monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo Un Threat Actors mette in vendita 180.000 utenti di Shopify proviene da il blog della sicurezza informatica.

Negli ultimi giorni, il gruppo ransomware noto come Brain Cipher ha colpito duramente il data center di Indonesia Terkoneksi, un attacco che ha messo in ginocchio l’infrastruttura tecnologica dell’azienda. Tuttavia, in un sorprendente voltafaccia, il gruppo ha deciso di rilasciare le chiavi di decrittazione gratuitamente. Ecco i dettagli di questa vicenda complessa e controversa.

Indonesia Terkoneksi

Indonesia Terkoneksi è un’iniziativa del governo indonesiano, attraverso il Kementerian Komunikasi dan Informatika (Kominfo), mirata a migliorare e ampliare l’infrastruttura digitale in tutto il paese. L’obiettivo è garantire una connessione internet stabile e accessibile anche nelle aree più remote e svantaggiate del paese, contribuendo alla trasformazione digitale dell’Indonesia.

Il Primo Post: La Giustificazione dell’Attacco

Il primo post pubblicato dal gruppo Brain Cipher sul loro sito del deep web ha cercato di rispondere alle domande più frequenti riguardo l’attacco e la decisione di fornire le chiavi di decrittazione gratuitamente. Ecco i punti salienti:

1. Decisione Autonoma: Il gruppo ha sottolineato che la decisione di rilasciare le chiavi non è stata influenzata da interventi di forze dell’ordine o servizi speciali, ma è stata presa autonomamente.
2. Unione del Team: Contrariamente a quanto si potrebbe pensare, non ci sono state incomprensioni all’interno del team; tutti i membri hanno supportato questa decisione.
3. Evento Unico: Questo sarà il primo e l’ultimo caso in cui una vittima riceverà le chiavi gratuitamente. Per tutti gli altri attacchi futuri, le vittime dovranno negoziare.
4. Motivazioni dell’Attacco: L’attacco è stato mirato a un data center per dimostrare la vulnerabilità di industrie che richiedono grandi investimenti. Brain Cipher ha affermato che la facilità con cui hanno eseguito l’attacco è stata sorprendente, riuscendo a crittografare migliaia di terabyte di dati in poco tempo.
5. Stallo nelle Trattative: Le trattative sono giunte a un punto morto quando la controparte ha trasferito l’accesso alle negoziazioni a terzi, interrompendo di fatto le comunicazioni dirette.
6. Ringraziamenti ai Cittadini: Brain Cipher ha espresso gratitudine ai cittadini per la loro pazienza durante il periodo dell’attacco.
7. Conclusione: Il gruppo ha richiesto che la vittima confermi ufficialmente che la chiave di decrittazione funzioni e che i dati siano stati ripristinati, altrimenti minacciano di pubblicare i dati. Inoltre, hanno fornito istruzioni dettagliate su come utilizzare la chiave di decrittazione.

Il Secondo Post: La Dichiarazione Pubblica

Nel secondo post, Brain Cipher ha ulteriormente chiarito la loro posizione e ha annunciato la decisione di rilasciare le chiavi gratuitamente:

1. Dichiarazione Pubblica: Il gruppo ha dichiarato che rilascerà le chiavi senza alcun costo il mercoledì successivo, sperando che l’attacco abbia dimostrato l’importanza di finanziare adeguatamente l’industria tecnologica e di assumere personale qualificato.
2. Scuse ai Cittadini: Hanno espresso scuse pubbliche ai cittadini indonesiani per l’impatto dell’attacco, sottolineando che non aveva connotazioni politiche ma era un test di penetrazione con pagamento successivo.
3. Richiesta di Gratitudine: Hanno richiesto una gratitudine pubblica e la conferma che la decisione è stata presa in modo cosciente e indipendente. Se il governo ritiene inappropriato ringraziare pubblicamente i hacker, possono farlo privatamente.
4. Donazioni: Hanno lasciato un indirizzo Monero per eventuali donazioni, sperando di ricevere qualcosa in cambio della chiave fornita gratuitamente.

Considerazioni Finali

L’attacco di Brain Cipher a Indonesia Terkoneksi e il successivo rilascio gratuito delle chiavi di decrittazione rappresentano un evento straordinario nel mondo del ransomware. Sebbene il gruppo abbia cercato di giustificare le loro azioni come un modo per evidenziare la necessità di maggiori investimenti e competenze nell’industria tecnologica, le loro motivazioni e il contesto dell’attacco restano discutibili.

L’industria tecnologica e i governi di tutto il mondo devono trarre insegnamenti da questo incidente, migliorando le proprie difese cibernetiche e prendendo sul serio le minacce rappresentate dai gruppi ransomware.

L'articolo Il Dietrofront del Gruppo Brain Cipher dopo l’Attacco a Indonesia Terkoneksi proviene da il blog della sicurezza informatica.

Amid the historic lead for the French far-right Rassemblement National in the first round of snap legislative elections, Russia weighed in on Wednesday (3 July), throwing its support behind the far-right party days before the decisive second round.

euractiv.com/section/defence-a…

Large Language Models (LLMs) can produce extremely human-like communication, but their inner workings are something of a mystery. Not a mystery in the sense that we don’t know how an LLM works, but a mystery in the sense that the exact process of turning a particular input into a particular output is something of a black box.

This “black box” trait is common to neural networks in general, and LLMs are very deep neural networks. It is not really possible to explain precisely why a specific input produces a particular output, and not something else.

Why? Because neural networks are neither databases, nor lookup tables. In a neural network, discrete activation of neurons cannot be meaningfully mapped to specific concepts or words. The connections are complex, numerous, and multidimensional to the point that trying to tease out their relationships in any straightforward way simply does not make sense.

Neural Networks are a Black Box

In a way, this shouldn’t be surprising. After all, the entire umbrella of “AI” is about using software to solve the sorts of problems humans are in general not good at figuring out how to write a program to solve. It’s maybe no wonder that the end product has some level of inscrutability.

This isn’t what most of us expect from software, but as humans we can relate to the black box aspect more than we might realize. Take, for example, the process of elegantly translating a phrase from one language to another.

I’d like to use as an example of this an idea from an article by Lance Fortnow in Quanta magazine about the ubiquity of computation in our world. Lance asks us to imagine a woman named Sophie who grew up speaking French and English and works as a translator. Sophie can easily take any English text and produce a sentence of equivalent meaning in French. Sophie’s brain follows some kind of process to perform this conversion, but Sophie likely doesn’t understand the entire process. She might not even think of it as a process at all. It’s something that just happens. Sophie, like most of us, is intimately familiar with black box functionality.

The difference is that while many of us (perhaps grudgingly) accept this aspect of our own existence, we are understandably dissatisfied with it as a feature of our software. New research has made progress towards changing this.

Identifying Conceptual Features in Language Models

We know perfectly well how LLMs work, but that doesn’t help us pick apart individual transactions. Opening the black box while it’s working yields only a mess of discrete neural activations that cannot be meaningfully mapped to particular concepts, words, or whatever else. Until now, that is.
A small sample of features activated when an LLM is prompted with questions such as “What is it like to be you?” and “What’s going on in your head?” (source: Extracting Interpretable Features from Claude 3 Sonnet)
Recent developments have made the black box much less opaque, thanks to tools that can map and visualize LLM internal states during computation. This creates a conceptual snapshot of what the LLM is — for lack of a better term — thinking in the process of putting together its response to a prompt.

Anthropic have recently shared details on their success in mapping the mind of their Claude 3.0 Sonnet model by finding a way to match patterns of neuron activations to concrete, human-understandable concepts called features.

A feature can be just about anything; a person, a place, an object, or more abstract things like the idea of upper case, or function calls. The existence of a feature being activated does not mean it factors directly into the output, but it does mean it played some role in the road the output took.

With a way to map groups of activations to features — a significant engineering challenge — one can meaningfully interpret the contents of the black box. It is also possible to measure a sort of relational “distance” between features, and therefore get an even better idea of what a given state of neural activation represents in conceptual terms.

Making Sense of it all

One way this can be used is to produce a heat map that highlights how heavily different features were involved in Claude’s responses. Artificially manipulating the weighting of different concepts changes Claude’s responses in predictable ways (video), demonstrating that the features are indeed reasonably accurate representations of the LLM’s internal state. More details on this process are available in the paper Scaling Monosemanticity: Extracting Interpretable Features from Claude 3 Sonnet.

Mapping the mind of a state-of-the-art LLM like Claude may be a nontrivial undertaking, but that doesn’t mean the process is entirely the domain of tech companies with loads of resources. Inspectus by [labml.ai] is a visualization tool that works similarly to provide insight into the behavior of LLMs during processing. There is a tutorial on using it with a GPT-2 model, but don’t let that turn you off. GPT-2 may be older, but it is still relevant.

Research like this offers new ways to understand (and potentially manipulate, or fine-tune) these powerful tools., making LLMs more transparent and more useful, especially in applications where lack of operational clarity is hard to accept.