[Usagi Electric] is breathtakingly close to having his Bendix G15 vacuum tube computer up and running. This week he is joined by a new friend, [Lloyd] who is restoring a G15 as well. [Lloyd] used to repair the Bendix Computers back in the 1970s, so he’s privy to lots of practical knowledge you can’t find in the manuals.

The goal this week was to apply DC power to the G15. The AC power spins the fans and makes the tubes start glowing. But DC makes the magic happen. That’s when the boot sequencers start running, sending data to the drum, testing various parts of the machine, and finally, loading software from the paper tape reader.

Since this was a computer from the 1950’s, powering up DC might work, or could let the magic smoke out. The only way to find out was to push the big green “Reset” button.

The first attempt was stymied by a blown fuse. The second attempt resulted in real live blinkenlights. The data and status lights on the Bendix lit up for the first time in decades. The only thing missing was the sound of the tape drive. A bit of digging proved that the problem wasn’t in the computer, but in the typewriter user console. The typewriter supplies -20 volts DC to the Bendix. Since that voltage wasn’t getting to the computer, the boot process halted.

Unfortunately, the typewriter has “somebody’s been here before” syndrome – in addition to age, there are a number of odd modifications. It’s going to take [Usagi] a bit of time to dig into it and figure out what’s wrong.

The good news is that the computer is using its massive spinning drum drive. [Usagi] was able to verify this with the test panel inside the machine. One button will write a pulse to the drum, and another will erase it. Manipulating these buttons, [Usagi] could see the results on an oscilloscope. This may sound simple – but just getting to this point means an incredibly complex chain of tube, relay, and mechanical logic has to work. Bravo [Dave] and [Lloyd]!

youtube.com/embed/f_kD3Dr5Im8?…

Un threat actor sostiene di aver divulgato dati sensibili di NATO – TIDE (Think-Tank for Information Decision and Execution Superiority).

NATO-TIDE (Think-Tank for Information Decision and Execution Superiority)

E’ una divisione specializzata della NATO (Organizzazione del Trattato dell’Atlantico del Nord), focalizzata sul miglioramento delle capacità decisionali e di esecuzione attraverso l’uso avanzato delle informazioni. Questa organizzazione ha lo scopo di ottimizzare la raccolta, l’analisi e l’uso dei dati per supportare operazioni militari e strategiche.

L’attore, identificato con il nome utente “natohub” su un forum online, ha pubblicato un annuncio il 7 luglio 2024, affermando di aver ottenuto e condiviso 643 file CSV contenenti dati degli utenti, gruppi di utenti, server fisici e virtuali, eventi e altro ancora. Le informazioni fornite includono dettagli come:

• Data: Luglio 2024
• Dimensione: 271MB
• Esempi di file: Users.csv

Dettagli della Presunta Violazione

L’annuncio è stato accompagnato da un logo di NATO e un breve messaggio rivolto alla comunità del forum, nel quale l’attore sottolineava la natura e l’importanza delle informazioni divulgate. I file coinvolti nella presunta violazione sembrano coprire una vasta gamma di dati che potrebbero avere un impatto significativo se autentici.

Veridicità e Riscontri

Al momento della stesura di questo articolo, non è stato possibile verificare con certezza l’autenticità della violazione. NATO non ha rilasciato alcun comunicato stampa ufficiale o dichiarazione pubblica riguardante l’incidente sul proprio sito web o tramite altri canali di comunicazione ufficiali. Pertanto, è essenziale trattare queste informazioni con cautela e considerarle come una ‘fonte di intelligence’ non verificata.

Implicazioni di Sicurezza

Se la violazione fosse confermata, le implicazioni per la sicurezza sarebbero significative. La divulgazione di dati sensibili come quelli degli utenti e dei server potrebbe esporre l’organizzazione a una serie di minacce, tra cui attacchi informatici mirati, phishing e altre forme di sfruttamento da parte di attori maligni. La natura dei dati divulgati suggerisce che le informazioni potrebbero essere utilizzate per scopi malevoli, compromettere la sicurezza operativa e danneggiare la reputazione di NATO.

Conclusioni

La presunta violazione dei dati NATO rappresenta un potenziale rischio significativo per la sicurezza delle informazioni e l’integrità operativa dell’organizzazione. Mentre si attende una verifica ufficiale, è fondamentale trattare queste informazioni con la dovuta cautela e prepararsi adeguatamente per mitigare eventuali rischi associati.Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

L'articolo NATO-TIDE Sotto Attacco: Hacker Rivendica la Divulgazione di 643 File! proviene da il blog della sicurezza informatica.

The late 1990s saw the widespread introduction of solid-state storage based around NAND Flash. Ranging from memory cards for portable devices to storage for desktops and laptops, the data storage future was prophesied to rid us of the shackles of magnetic storage that had held us down until then. As solid-state drives (SSDs) took off in the consumer market, there were those who confidently knew that before long everyone would be using SSDs and hard-disk drives (HDDs) would be relegated to the dust bin of history as the price per gigabyte and general performance of SSDs would just be too competitive.

Fast-forward a number of years, and we are now in a timeline where people are modifying SSDs to have less storage space, just so that their performance and lifespan are less terrible. The reason for this is that by now NAND Flash has hit a number of limits that prevent it from further scaling density-wise, mostly in terms of its feature size. Workarounds include stacking more layers on top of each other (3D NAND) and increasing the number of voltage levels – and thus bits – within an individual cell. Although this has boosted the storage capacity, the transition from single-level cell (SLC) to multi-level (MLC) and today’s TLC and QLC NAND Flash have come at severe penalties, mostly in the form of limited write cycles and much reduced transfer speeds.

So how did we get here, and is there life beyond QLC NAND Flash?

Floating Gates

Basic model of a floating-gate transistor.
At the core of NAND Flash lies the concept of floating gates, as first pioneered in the 1960s with the floating-gate MOSFET (FGMOS). As an FGMOS allows for the retention of a charge in the floating gate, it enabled the development of non-volatile semiconductor storage technologies like EPROM, EEPROM and flash memory. With EPROM each cell consists out of a single FET with the floating and control gates. By inducing hot carrier injection (HCI) with a programming voltage on the control gate, electrons are injected into the floating gate, which thus effectively turns the FET on. This allows then for the state of the transistor to be read out and interpreted as the stored bit value.

Naturally, just being able to program an EPROM once and then needing to erase the values by exposing the entire die to UV radiation (to induce ionization within the silicon oxide which discharges the FET) is a bit of a bother, even if it allowed the chip to be rewritten thousands of times. In order to make EPROMs in-circuit rewritable, EEPROMs change the basic FET-only structure with two additional transistors. Originally EEPROMs used the same HCI principle for erasing a cell, but later they would switch to using Fowler-Nordheim tunneling (FNT, the wave-mechanical form of field electron emission) for both erasing and writing a cell, which removes the damaging impact of hot carrier degradation (HCD). HCD and the application of FNT are both a major source of the physical damage that ultimately makes a cell ‘leaky’ and rendering it useless.

Combined with charge trap flash (CTF) that replaces the original polycrystalline silicon floating gate with a more durable and capable silicon nitride material, modern EEPROMs can support around a million read/write cycles before they wear out.

Flash memory is a further evolution of the EEPROM, with the main distinctions being a focus on speed and high storage density, as well as the use of HCI for writes in NOR Flash, due to the speed benefits this provides. The difference between NOR and NAND Flash comes from the way in which the cells are connected, with NOR Flash called that way because it resembles a NOR gate in its behavior:
NOR flash memory wiring and structure on silicon (Credit: Cyferz, Wikimedia)
To write a NOR Flash cell (set it to logical ‘0’), an elevated voltage is applied to the control gate, inducing HCI. To erase a cell (reset to logical ‘1’), a large voltage of opposite polarity is applied to the control gate and the source terminal, which draws electrons out of the floating gate due to FNT.

Reading a cell is then performed by pulling the target word line high. Since all of the storage FETs are connected to both ground and the bit line, this will pull the bit line low if the floating gate is active, creating a logical ‘1’ and vice versa. NOR Flash is set up to allow for bit-wise erasing and writing, although modern NOR Flash is moving to a model in which erasing is done in blocks, much like with NAND Flash:
NAND flash memory wiring and structure on silicon (Credit: Cyferz, Wikimedia)
The reason why NAND Flash is called this way is readily apparent from the way the cells are connected, with a number of cells connected in series (a string) between the bit line and ground. NAND Flash uses FNT for both writing and erasing cells, which due to its layout always has to be written (set to ‘0’) and read in pages (a collection of strings), while erasing is performed on a block level (a collection of pages).

Unlike NOR Flash and (E)EPROM, the reading out of a value is significantly more complicated than toggling a control gate and checking the level of the bit line. Instead the control gate on a target cell has to be activated, while putting a much higher (>6V) voltage on the control gate of unwanted cells in a string (which turns them on no matter what). Depending on the charge inside the floating gate, the bit line voltage will reach a certain level, which can then be interpreted as a certain bit value. This is also how NAND Flash can store multiple bits per cell, by relying on precise measurements of the charge level of the floating gate.

All of this means that while NOR Flash supports random (byte-level) access and erase and thus eXecute in Place (XiP, allows for running applications directly off ROM), NAND Flash is much faster with (block-wise) writing and erasing, which together with the higher densities possible has led to NAND Flash becoming the favorite for desktop and mobile data storage applications.

Scaling Pains

With the demand for an increasing number of bytes-per-square-millimeter for Flash storage ever present, manufacturers have done their utmost to shrink the transistors and other structures that make up a NAND Flash die down. This has led to issues such as reduced data retention due to electron leakage and increased wear due to thinner structures. The quick-and-easy way to bump up total storage size by storing more bits per cell has not only exacerbated these issues, but also introduced significant complexity.

The increased wear can be easily observed when looking at the endurance rating (program/erase (P/E) cycles per block) for NAND Flash, with SLC NAND Flash hitting up to 100,000 P/E cycles, MLC below 10,000, TLC around a thousand and QLC dropping down to hundreds of P/E cycles. Meanwhile the smaller feature sizes have made NAND Flash more susceptible to electron leakage from electron mobility, such from high environmental temperatures. Data retention also decreases with wear, making data loss increasingly more likely with high-density, multiple bits per cell NAND Flash.

Because of the complexity of QLC NAND Flash with four bits (and thus 16 voltage levels) per cell, the write and read speeds have plummeted compared to TLC and especially SLC. This is why QLC (and TLC) SSDs use a pseudo-SLC (pSLC) cache, which allocates part of the SSD’s Flash to be only used only with the much faster SLC access pattern. In the earlier referenced tutorial by Gabriel Ferraz this is painfully illustrated by writing beyond the size of the pSLC cache of the target SSD (a Crucial BX500):
(Credit: Gabriel Ferraz)
Although the writes to the target SSD are initially nearly 500 MB/s, the moment the ~45 GB pSLC cache fills up, the write speeds are reduced to the write speeds of the underlying Micron 3D QLC NAND, which are around 50 MB/s. Effectively QLC NAND Flash is no faster than a mechanical HDD, and with worse data retention and endurance characteristics. Clearly this is the point where the prophesied solid state storage future comes crumbling down as even relatively cheap NAND Flash still hasn’t caught up to the price/performance of HDDs.

(Credit: Gabriel Ferraz)
The modification performed by Gabriel Ferraz on the BX500 SSD involves reprogramming its Silicon Motion SM2259XT2 NAND Flash controller using the MPTools software, which is not provided to consumers but has been leaked onto the internet. While not as simple as toggling on a ‘use whole SSD as pSLC’ option, this is ultimately what it comes down to after flashing modified firmware to the drive.

With the BX500 SSD now running in pSLC mode, it knocks the storage capacity down from 500 GB to 120 GB, but the P/E rating goes up from a rated 900 cycles in QLC mode to 60,000 cycles in pSLC mode, or well over 3,000%. The write performance is a sustained 496 MB/s with none of the spikes seen in QLC mode, leading to about double the score in the PCMark 10 Full System Drive test.

With all of this in mind, it’s not easy to see a path forward for NAND Flash which will not make these existing issues even worse. Perhaps Intel and Micron will come out of left field before long with a new take on the 3D XPoint phase-change memory, or perhaps we’ll just keep muddling on for the foreseeable future with ever worse SSDs and seemingly immortal HDDs.

Clearly one should never believe prophets, especially not those for shiny futuristic technologies.

Featured image: “OCZ Agility 3 PCB” by [Ordercrazy]

Recentemente, una massiccia esposizione di dati ha colpito X (twitter), con quasi 200 milioni di record utente. Questa violazione potrebbe rappresentare una delle più grandi esposizioni di dati utente degli ultimi tempi e ha messo a rischio la sicurezza e la privacy di milioni di utenti. In questo articolo analizziamo i dettagli della violazione, le sue implicazioni e i rischi potenziali per gli utenti coinvolti.

Dimensioni e Fonte della Fuga di Dati

Il database trapelato contiene un’enorme quantità di dati, per un totale di 9,4 GB. La fonte della violazione è un database di Twitter o una sua copia, che è stata pubblicata su un noto forum di hacking dedicato alla fuga e alla violazione di dati.

Il titolo del thread, “9.4GB Twitter Leaked Database Last One – The Exposure Of Over 200 Million Records Containing Email Addresses, Names, And Twitter Account Details,” evidenzia la gravità e la portata di questa fuga di dati.

Dettagli della Fuga di Dati

L’attore malevolo responsabile del rilascio del database, noto con il nome “michupa,” ha creato recentemente il proprio account sul forum (il 7 luglio 2024).

Nel thread, “michupa” fornisce un riassunto dell’incidente, specificando che la violazione è la più recente e ha coinvolto oltre 200 milioni di record. Il campione di record trapelato contiene informazioni come indirizzi email, nomi, nomi utente (screen names), numero di follower e la data di creazione dell’account.

Tipologie di Dati Esposti

I dati esposti includono:

• Indirizzi email
• Nomi
• Dettagli degli account X (screen names, numero di follower, data di creazione degli account)

Gli indirizzi email associati agli account Twitter possono essere utilizzati per attività di phishing, spamming o altre attività malevole. I nomi completi degli utenti di Twitter e le informazioni sugli account, inclusi i nomi utente e altre informazioni del profilo, possono essere utilizzati per identificare gli individui e potenzialmente collegarli ad altri profili online.

Implicazioni e Rischi per gli Utenti

L’esposizione dei dati mette gli utenti a rischio di vari attacchi, tra cui phishing, furto di identità e schemi di ingegneria sociale. Con la vasta quantità di informazioni personali disponibili, attori malintenzionati possono sfruttare questi dati per compromettere ulteriormente account e sistemi collegati agli indirizzi email interessati.

Veridicità della Violazione

Al momento, non possiamo confermare con precisione la veridicità della violazione, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo dovrebbe essere considerato come una ‘fonte di intelligence’ e non come un rapporto confermato.

Conclusioni e Raccomandazioni

La fuga di dati di Twitter rappresenta un grave rischio per la privacy e la sicurezza degli utenti coinvolti. È essenziale che gli utenti interessati adottino misure di sicurezza adeguate, come il cambio delle password, l’attivazione dell’autenticazione a due fattori e una maggiore attenzione a possibili tentativi di phishing. Le piattaforme social e le autorità competenti devono collaborare per mitigare i danni e prevenire future violazioni di questo tipo.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo Esposti 200 Milioni di Account X (Twitter) nelle underground proviene da il blog della sicurezza informatica.

If you’ve ever seen the cockpit of an airplane, you’ve probably noticed the round ball that shows your attitude, and if you are like us, you’ve wondered exactly how the Attitude Direction Indicator (ADI) works. Well, [msylvain59] is tearing one apart in the video below, so you can satisfy your curiosity in less than 30 minutes.

Like most things on an airplane, it is built solidly and compactly. With the lid open, it reminded us of a tiny CRT oscilloscope, except the CRT is really the ball display. It also has gears, which is something we don’t expect to see in a scope.

Getting to the ball mechanism was fairly difficult. It is nearly the end of the video before the ball comes apart, revealing a pair of hefty but tiny autosyn units and a clockwork full of gears. Bendix equipment often used the autosyn to transmit positions over wire similar to a selsyn but using AC instead of DC.

Next time you peek into a cockpit, you’ll know what’s driving that eyeball or, at least, what might be driving it since not every one of these is identical, of course.

These cool devices show up in our feed every so often. If you can cram a CPU, a screen, and an accelerometer into a Lego, you could build one for your next block model.

youtube.com/embed/N48f4APrhd0?…

Dopo aver affermato di aver trafugato 170.000 biglietti per l’ERAS Tour di Taylor Swift, oggi il gruppo hacker Sp1d3rHunters dichiara di aver diffuso altri 30.000+ biglietti per eventi di grande rilievo.

I biglietti presumibilmente trapelati oggi includono eventi per:

• P!NK: Summer Carnival 2024 (diverse città)
• Aerosmith: PEACE OUT The Farewell Tour (più di 10 città)
• Chris Brown: The 11:11 Tour
• Neil Young con Crazy Horse: Love Earth Tour l’8 luglio
• Alanis Morissette: The Triple Moon Tour il 13 luglio
• Red Hot Chili Peppers: Unlimited Love Tour il 17 luglio
• Bruce Springsteen and The E Street Band: Tour 2024
• USHER: Past Present Future
• Pearl Jam
• Sammy Hagar
• Stevie Nicks
• Steve Miller Band
• Cirque du Soleil

Sp1d3rHunters, noto per le sue attività illecite nel mondo del cybercrime, ha pubblicato un messaggio dettagliato su un darkforum, sostenendo di aver violato la sicurezza di Ticketmaster. Secondo quanto riferito, la falla sfruttata dal gruppo hacker permette di stampare biglietti fisici (Ticketfast, e-ticket, e biglietti inviati via posta) che, a differenza dei biglietti elettronici dinamici di Ticketmaster, non possono essere automaticamente aggiornati.

How to: Guida in 4 Passi per Creare i Propri Biglietti Ticketfast

1. Utilizza il tutorial gratuito per creare i tuoi codici a barre in Excel.
2. Usa le linee guida ufficiali di Ticketmaster per creare i tuoi biglietti stampabili.
3. Compila il PDF con il testo e il codice a barre desiderati.
4. Goditi l’evento gratuitamente!

Situazione Attuale e Veridicità della Violazione

Al momento, non possiamo confermare con precisione la veridicità della violazione, poiché Ticketmaster non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Tuttavia, la portata delle affermazioni di Sp1d3rHunters e il potenziale danno per gli eventi menzionati rendono questa notizia particolarmente preoccupante.

Implicazioni e Prossimi Passi

Se le affermazioni si rivelassero vere, Ticketmaster dovrà affrontare un compito enorme per ripristinare la sicurezza dei suoi biglietti e proteggere i suoi clienti da possibili truffe. È probabile che vengano adottate misure di emergenza per invalidare i biglietti trapelati e rilasciarne di nuovi.

Conclusioni

Sebbene non ci siano ancora conferme ufficiali, la possibilità di una violazione di questa portata solleva serie preoccupazioni sulla sicurezza dei sistemi di Ticketmaster. Invitiamo i lettori a rimanere aggiornati e a controllare regolarmente il sito web di Ticketmaster per eventuali annunci ufficiali.

Nota Bene: Questo articolo deve essere considerato come una fonte di intelligence e non come un’informazione confermata.

Rimaniamo in attesa di ulteriori sviluppi e conferme da parte di Ticketmaster e degli organizzatori degli eventi coinvolti.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo Biglietti Gratis per Bruce Springsteen, Aerosmith e Red Hot Chili Peppers? 30.000 biglietti gratuiti rilasciati dai criminali di Sp1d3rHunters proviene da il blog della sicurezza informatica.

In queste ore, secondo il CSIRT Italia (advisory: AL01/240708/CSIRT-ITA), si sta diffondendo in rete il PoC per lo sfruttamento della vulnerabilità con CVE-2024-29510, che affligge Ghostscript nelle versioni precedenti alla 10.03.1.

Ghostscript è un software open-source sviluppato da Artifex, utilizzato in ambienti di editoria e stampa per la conversione di documenti tra vari formati, il rendering grafico, la stampa, oltre che la visualizzazione ed interpretazione di file PostScript e PDF.

Panoramica della vulnerabilità

CVE-2024-29510, pubblicato il 03/07/2024 e che presenta punteggio CVSS v3 di 5.5 – Medium, è una vulnerabilità che affligge le versioni di Ghostscript precedenti alla 10.03.1.
La vulnerabilità consente ad un attaccante di eseguire codice arbitrario sfruttando l’iniezione di stringhe di formato all’interno del dispositivo uniprint. Il problema si verifica perché Ghostscript non limita adeguatamente le modifiche alle stringhe degli argomenti del dispositivo dopo l’attivazione della modalità SAFER.

La vulnerabilità viene sfruttata tramite stringhe di formato nel dispositivo uniprint, in particolare durante la gestione di parametri come upYMoveCommand e upWriteComponentCommands. Questi parametri contengono specificatori di formato che possono essere manipolati per iniettare codice dannoso. Durante l’inizializzazione del dispositivo, queste stringhe vengono utilizzate senza adeguata validazione, permettendo a un attaccante di eseguire codice arbitrario passando stringhe di formato appositamente create alla funzione gs_snprintf.

Mitigazione

Nel caso non si fosse già provveduto, si consiglia agli utenti di aggiornare alla versione 10.03.1 di Ghostscript, dove questa vulnerabilità (oltre ad alcune altre risalenti a maggio) è stata risolta. Al seguente link è presente l’ultima release del vendor: ghostscript.com/releases/index…

Inoltre, è consigliabile evitare di esporre Ghostscript direttamente su internet per ridurre il rischio di sfruttamento di vulnerabilità.

L'articolo Disponibile PoC per sfruttamento della vulnerabilità di Ghostscript (CVE-2024-29510), software di stampa proviene da il blog della sicurezza informatica.

Un attore malevolo ha dichiarato di aver divulgato un database contenente oltre 1,6 milioni di linee di dati dal governo lettone. La fuga di informazioni, datata 7 luglio 2024, comprende tutte le informazioni provenienti dalle autorità governative della Lettonia.

Dettagli dell’Incidente

L’annuncio della violazione è stato fatto su un forum specializzato, dove l’utente identificato come Hana ha pubblicato il messaggio iniziale. Hana, un utente VIP con 15 post e una reputazione di 30, ha indicato che il dump dei dati include 1.660.183 linee. La pubblicazione contiene una descrizione dell’entità della fuga, sottolineando che tutti i dati del governo lettone sono stati compromessi.

Veridicità della Violazione

Attualmente, non è possibile confermare con precisione l’autenticità della violazione. L’organizzazione interessata non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo all’incidente. Pertanto, questo articolo deve essere considerato come una ‘fonte di intelligence’ piuttosto che una conferma definitiva della violazione.

Implicazioni Potenziali

Se confermata, questa violazione rappresenterebbe un grave rischio per la sicurezza nazionale della Lettonia. I dati governativi potrebbero contenere informazioni sensibili su cittadini, politiche interne e relazioni internazionali. La divulgazione di tali informazioni potrebbe portare a una serie di conseguenze negative, tra cui:

• Furto di Identità: Informazioni personali dei cittadini potrebbero essere utilizzate per scopi fraudolenti.
• Compromissione della Sicurezza Nazionale: Dati sensibili potrebbero essere sfruttati da attori ostili per minare la stabilità del paese.
• Danno alla Reputazione: La fiducia dei cittadini nel governo potrebbe essere gravemente danneggiata.

Conclusioni

La presunta violazione del database del governo lettone è un episodio allarmante che evidenzia la crescente minaccia degli attacchi informatici a livello globale. Sebbene l’autenticità dell’incidente non sia ancora stata confermata ufficialmente, è essenziale monitorare attentamente la situazione e adottare tutte le misure necessarie per proteggere le informazioni riservate e mantenere la fiducia del pubblico.

Rimanete Aggiornati

Continuate a seguirci per ulteriori aggiornamenti su questa storia in evoluzione. Siamo impegnati a fornire informazioni accurate e tempestive su questioni critiche che riguardano la sicurezza e la privacy nel mondo digitale.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo Database del Governo Lettone Compromesso: Oltre 1,6 Milioni di Dati Governativi! proviene da il blog della sicurezza informatica.

In the 60’s and 70’s there were many ways to display numeric data. Nixie tubes, Vacuum Florescent Displays (VFD), micro projection systems, you name it. All of them had advantages and drawbacks. One of the simplest ways to display data was the RCA Numitron. [Alec] at Technology Connections has a bit of a love/hate relationship with these displays.

The Numitron is simply a seven-segment display built from light bulb filaments. The filaments run at 5 V, and by their nature are current limited. Seven elements versus the usual ten seen in Nixie tubes reduced the number of switching elements (transistors, relays, or tubes) needed to drive them, and the single low-voltage supply was also much simpler than Nixie or even VFD systems.

Sounds perfect, right? Well, [Alec] has a bone to pick with this technology. The displays were quite dim, poorly assembled, and not very pleasing to look at. RCA didn’t bother tilting the “8” to fit the decimal point in! Even the display background was gray, causing the numbers to wash out in ambient light. Black would have been much better. In [Alec]’s words, the best way to describe the display would be “Janky,” yet he still enjoys them. In fact, he built a fancy retro-industrial-themed clock with them.

The Numitron was not a failure, though — we know variants of this display ended up in everything from gas pumps to aircraft cockpit gauges. You can even build an LED-based replica clock — no glowing filaments necessary.

youtube.com/embed/YGT1EvmDJh4?…

Un attore malevolo, sotto il nome di “tikila”, ha pubblicato su un forum di hacking l’annuncio della vendita di una vulnerabilità di escalation dei privilegi locali (LPE) per Windows. Questa vulnerabilità, secondo quanto dichiarato, è stata testata e confermata funzionante su diverse versioni di Windows, tra cui Windows 10, Windows 11 e vari Windows Server (2008, 2012, 2016, 2019, 2022).

Dettagli della Vulnerabilità

L’annuncio afferma che la vulnerabilità è affidabile al 100% e non provoca crash di sistema, garantendo la continuazione dei processi.

L’autore dell’annuncio specifica che la vulnerabilità è stata testata su sistemi completamente aggiornati e patchati, il che implica che potrebbe sfruttare una falla zero-day ancora sconosciuta ai fornitori di sicurezza.

Termini di Vendita

I termini di vendita della vulnerabilità includono:

• Vendita esclusiva: La vulnerabilità sarà venduta ad un solo acquirente.
• Accettazione di intermediari: L’autore accetta l’uso di intermediari per facilitare la transazione.
• Richiesta di prova dei fondi: Gli acquirenti devono dimostrare di avere i fondi necessari per l’acquisto.
• Condivisione del Proof of Concept (PoC): Un video che dimostra il funzionamento della vulnerabilità può essere condiviso con l’acquirente.

Implicazioni di Sicurezza

La vendita di una vulnerabilità LPE per Windows rappresenta una seria minaccia per la sicurezza informatica, in quanto potrebbe consentire agli attaccanti di ottenere privilegi elevati sui sistemi compromessi. Questo tipo di accesso può essere utilizzato per eseguire codice malevolo, rubare dati sensibili, o prendere il controllo completo delle macchine vittima.

Raccomandazioni

Le organizzazioni dovrebbero essere vigili e monitorare i propri sistemi per segnali di compromissione. È consigliabile mantenere tutti i software aggiornati e applicare le patch di sicurezza rilasciate dai fornitori. Inoltre, è cruciale implementare misure di sicurezza difensive, come l’uso di software antivirus e firewall, e limitare i privilegi utente per ridurre il rischio di escalation dei privilegi.

Conclusioni

L’annuncio di tikila evidenzia ancora una volta la continua evoluzione delle minacce informatiche e la necessità di una vigilanza costante nella protezione delle infrastrutture IT. Le aziende devono rimanere aggiornate sulle nuove vulnerabilità e adottare una strategia di sicurezza proattiva per difendersi contro queste potenziali minacce.

Per restare sempre aggiornati sulle vulnerabilità Microsoft è possibile controllore il servizio Security Update Guide.

L'articolo Pericoloso 0day LPE per Windows in vendita nell’underground proviene da il blog della sicurezza informatica.

Roblox, una delle piattaforme di gioco online più popolari al mondo, ha recentemente informato tutti gli sviluppatori registrati su FNTech di una violazione dei dati che ha compromesso informazioni sensibili. Questo incidente ha sollevato preoccupazioni significative riguardo alla sicurezza dei dati e alla protezione delle informazioni personali degli utenti.

Dettagli della violazione

La violazione dei dati ha coinvolto informazioni personali importanti, tra cui i nomi completi, gli indirizzi email e gli indirizzi IP degli sviluppatori. Gli individui colpiti sono stati avvisati tramite email inviate all’indirizzo di registrazione FNTech, informandoli della compromissione delle loro informazioni personali.

Un fornitore di Roblox ha recentemente notificato all’azienda che si è verificato un accesso non autorizzato a un sottoinsieme delle informazioni degli utenti di Roblox, prelevate dall’elenco di registrazione della Roblox Developer Conference 2022-2024 tramite il suo sito web. Le categorie di informazioni personali che potrebbero essere state incluse tra i dati accessibili sono: nomi registrati, indirizzi email e indirizzi IP.

Impatto e portata

Secondo le informazioni fornite da Have I Been Pwned (HIBP), un servizio online che consente agli utenti di verificare se le loro informazioni personali sono state compromesse in violazioni di dati, la violazione ha interessato circa 10.000 indirizzi email unici, nomi e indirizzi IP. Questo numero significativo di dati compromessi evidenzia la gravità dell’incidente e la necessità di misure di sicurezza più rigorose.

Risposta di Roblox

Roblox ha immediatamente preso provvedimenti per affrontare la situazione, collaborando con FNTech per garantire che gli sviluppatori colpiti ricevano tutte le informazioni necessarie per proteggere i loro dati personali. L’azienda ha inoltre avviato un’indagine approfondita per determinare le cause della violazione e prevenire futuri incidenti simili.

In un comunicato ufficiale, Roblox ha dichiarato: “La sicurezza e la privacy dei nostri utenti sono di fondamentale importanza per noi. Stiamo lavorando instancabilmente per rafforzare le nostre misure di sicurezza e garantire che situazioni del genere non si ripetano.”

Misure di protezione consigliate

Gli esperti di sicurezza informatica consigliano agli sviluppatori colpiti di adottare misure immediate per proteggere i loro dati personali. Tra queste misure, si raccomanda di:

1. Cambiare le password: Utilizzare password uniche e complesse per ogni account e considerare l’uso di un gestore di password.
2. Abilitare l’autenticazione a due fattori (2FA): Questa misura aggiuntiva di sicurezza può impedire l’accesso non autorizzato agli account.
3. Monitorare l’attività dell’account: Tenere sotto controllo qualsiasi attività sospetta sui propri account online e segnalare immediatamente eventuali anomalie.

Conclusioni

La recente violazione dei dati degli sviluppatori di Roblox mette in luce l’importanza di una sicurezza informatica robusta, sia per le aziende che per gli individui. Mentre Roblox sta adottando misure per rafforzare la protezione dei dati, è fondamentale che gli utenti rimangano vigili e proattivi nella salvaguardia delle proprie informazioni personali. Solo attraverso una collaborazione costante e l’adozione di pratiche di sicurezza rigorose, possiamo sperare di minimizzare i rischi associati alle violazioni dei dati.

L'articolo Violazione dei Dati degli Sviluppatori di Roblox Migliaia di Informazioni Sensibili Esposte! proviene da il blog della sicurezza informatica.

Una vulnerabilità di sicurezza critica, identificata come CVE-2024-6376, è stata scoperta in MongoDB Compass, un’interfaccia grafica ampiamente utilizzata per la gestione dei dati di MongoDB. Questa falla di sicurezza potrebbe avere gravi ripercussioni, tra cui la perdita di dati e l’accesso non autorizzato ai sistemi.

Dettagli della Vulnerabilità

La vulnerabilità riguarda le versioni di MongoDB Compass precedenti alla 1.42.2. Secondo il National Vulnerability Database (NVD), la falla ha ricevuto un punteggio di 9.8 su 10 nel sistema di valutazione CVSS (Common Vulnerability Scoring System), indicando un rischio estremamente elevato. Questo punteggio sottolinea la gravità del problema e la necessità di un’azione immediata per mitigare i potenziali danni.

Implicazioni della Vulnerabilità

L’exploit della vulnerabilità CVE-2024-6376 potrebbe consentire a malintenzionati di eseguire codice arbitrario nei sistemi vulnerabili. Questo tipo di attacco, noto come code injection, può compromettere l’integrità, la riservatezza e la disponibilità dei dati gestiti da MongoDB Compass. Gli attaccanti potrebbero sfruttare questa falla per manipolare i dati, esfiltrare informazioni sensibili o prendere il controllo completo dei sistemi colpiti.

Risoluzione e Raccomandazioni

MongoDB, Inc. ha prontamente risposto alla scoperta della vulnerabilità rilasciando la versione 1.42.2 di MongoDB Compass, che include le correzioni necessarie per risolvere il problema. Gli utenti sono fortemente incoraggiati ad aggiornare immediatamente all’ultima versione per proteggere i propri sistemi da potenziali attacchi.

Conclusione

La vulnerabilità CVE-2024-6376 in MongoDB Compass rappresenta un rischio significativo per gli utenti di questa popolare interfaccia di gestione dati. Con un punteggio CVSS di 9.8, la falla evidenzia l’importanza di mantenere aggiornati i software critici e di seguire le migliori pratiche di sicurezza informatica. MongoDB, Inc. ha dimostrato un impegno proattivo nel risolvere rapidamente il problema, ma spetta agli utenti adottare le misure necessarie per proteggere i propri sistemi.

Per ulteriori dettagli sulla vulnerabilità, è possibile consultare il sito del National Vulnerability Database (NVD) al seguente link: NIST – CVE-2024-6376.

Rimanere vigili e aggiornati sulle ultime minacce di sicurezza è essenziale per proteggere le infrastrutture digitali nel panorama tecnologico odierno in continua evoluzione.

L'articolo Vulnerabilità Critica in MongoDB Compass: Sistemi a Rischi di Code Injection proviene da il blog della sicurezza informatica.

In May 2024, we discovered a new advanced persistent threat (APT) targeting Russian government entities that we dubbed CloudSorcerer. It’s a sophisticated cyberespionage tool used for stealth monitoring, data collection, and exfiltration via Microsoft Graph, Yandex Cloud, and Dropbox cloud infrastructure. The malware leverages cloud resources as its command and control (C2) servers, accessing them through APIs using authentication tokens. Additionally, CloudSorcerer uses GitHub as its initial C2 server.

CloudSorcerer’s modus operandi is reminiscent of the CloudWizard APT that we reported on in 2023. However, the malware code is completely different. We presume that CloudSorcerer is a new actor that has adopted a similar method of interacting with public cloud services.

Our findings in a nutshell:

• CloudSorcerer APT uses public cloud services as its main C2s
• The malware interacts with the C2 using special commands and decodes them using a hardcoded charcode table.
• The actor uses Microsoft COM object interfaces to perform malicious operations.
• CloudSorcerer acts as separate modules (communication module, data collection module) depending on which process it’s running, but executes from a single executable.

Technical details

Initial start up

The malware is executed manually by the attacker on an already infected machine. It is initially a single Portable Executable (PE) binary written in C. Its functionality varies depending on the process in which it is executed. Upon execution, the malware calls the GetModuleFileNameA function to determine the name of the process it is running in. It then compares this process name with a set of hardcoded strings: browser, mspaint.exe, and msiexec.exe. Depending on the detected process name, the malware activates different functions:

• If the process name is mspaint.exe, CloudSorcerer functions as a backdoor module, and performs activities such as data collection and code execution.
• If the process name is msiexec.exe, the CloudSorcerer malware initiates its C2 communication module.
• Lastly, if the process name contains the string “browser” or does not match any of the specified names, the malware attempts to inject shellcode into either the msiexec.exe, mspaint.exe, or explorer.exe processes before terminating the initial process.

The shellcode used by CloudSorcerer for initial process migration shows fairly standard functionality:

• Parse Process Environment Block (PEB) to identify offsets to required Windows core DLLs;
• Identify required Windows APIs by hashes using ROR14 algorithm;
• Map CloudSorcerer code into the memory of one of the targeted processes and run it in a separate thread.

All data exchange between modules is organized through Windows pipes, a mechanism for inter-process communication (IPC) that allows data to be transferred between processes.

CloudSorcerer backdoor module

The backdoor module begins by collecting various system information about the victim machine, running in a separate thread. The malware collects:

• Computer name;
• User name;
• Windows subversion information;
• System uptime.

All the collected data is stored in a specially created structure. Once the information gathering is complete, the data is written to the named pipe \\.\PIPE\[1428] connected to the C2 module process. It is important to note that all data exchange is organized using well-defined structures with different purposes, such as backdoor command structures and information gathering structures.

Next, the malware attempts to read data from the pipe \\.\PIPE\[1428]. If successful, it parses the incoming data into the COMMAND structure and reads a single byte from it, which represents a COMMAND_ID.

Main backdoor functionality

Depending on the COMMAND_ID, the malware executes one of the following actions:

• 0x1 – Collect information about hard drives in the system, including logical drive names, capacity, and free space.
• 0x2 – Collect information about files and folders, such as name, size, and type.
• 0x3 – Execute shell commands using the ShellExecuteExW API.
• 0x4 – Copy, move, rename, or delete files.
• 0x5 – Read data from any file.
• 0x6 – Create and write data to any file.
• 0x8 – Receive a shellcode from the pipe and inject it into any process by allocating memory and creating a new thread in a remote process.
• 0x9 – Receive a PE file, create a section and map it into the remote process.
• 0x7 – Run additional advanced functionality.

When the malware receives a 0x7 COMMAND_ID, it runs one of the additional tasks described below:

All the collected information or results of performed tasks are added to a specially created structure and sent to the C2 module process via a named pipe.

C2 module

The C2 module starts by creating a new Windows pipe named \\.\PIPE\[1428]. Next, it configures the connection to the initial C2 server by providing the necessary arguments to a sequence of Windows API functions responsible for internet connections:

• InternetCrackUrlA;
• InternetSetOptionA;
• InternetOpenA;
• InternetConnectA;
• HttpOpenRequestA;
• HttpSendRequestA

The malware sets the request type (“GET”), configures proxy information, sets up hardcoded headers, and provides the C2 URL.

Setting up internet connection

The malware then connects to the initial C2 server, which is a GitHub page located at https://github[.]com/alinaegorovaMygit. The malware reads the entire web page into a memory buffer using the InternetReadFile call.

The GitHub repository contains forks of three public projects that have not been modified or updated. Their purpose is merely to make the GitHub page appear legitimate and active. However, the author section of the GitHub page displays an interesting string:

Hex string in the author section

We found data that looks like a hex string that starts and ends with the same byte pattern – “CDOY”. After the malware downloads the entire GitHub HTML page, it begins parsing it, searching specifically for the character sequence “CDOY”. When it finds it, it copies all the characters up to the second delimiter “CDOY” and then stores them in a memory buffer. Next, the malware parses these characters, converting them from string values to hex values. It then decodes the string using a hardcoded charcode substitution table – each byte from the parsed string acts as an index in the charcode table, pointing to a substitutable byte, thus forming a new hex byte array.

Decoding algorithm

Charcode table

Alternatively, instead of connecting to GitHub, CloudSorcerer also tries to get the same data from hxxps://my.mail[.]ru/, which is a Russian cloud-based photo hosting server. The name of the photo album contains the same hex string.

The first decoded byte of the hex string is a magic number that tells the malware which cloud service to use. For example, if the byte is “1”, the malware uses Microsoft Graph cloud; if it is “0”, the malware uses Yandex cloud. The subsequent bytes form a string of a bearer token that is used for authentication with the cloud’s API.

Depending on the magic number, the malware creates a structure and sets an offset to a virtual function table that contains a subset of functions to interact with the selected cloud service.

Different virtual tables for Yandex and Microsoft

Next, the malware connects to the cloud API by:

• Setting up the initial connection using InternetOpenA and InternetConnectA;
• Setting up all the required headers and the authorization token received from the GitHub page;
• Configuring the API paths in the request;
• Sending the request using HttpSendRequestExA and checking for response errors;
• Reading data from the cloud using InternetReadFile.

The malware then creates two separate threads – one responsible for receiving data from the Windows pipe and another responsible for sending data to it. These threads facilitate asynchronous data exchange between the C2 and backdoor modules.

Finally, the C2 module interacts with the cloud services by reading data, receiving encoded commands, decoding them using the character code table, and sending them via the named pipe to the backdoor module. Conversely, it receives the command execution results or exfiltrated data from the backdoor module and writes them to the cloud.

Infrastructure

GitHub page

The GitHub page was created on May 7, 2024, and two repositories were forked into it on the same day. On May 13, 2024, another repository was forked, and no further interactions with GitHub occurred. The forked repositories were left untouched. The name of the C2 repository, “Alina Egorova,” is a common Russian female name; however, the photo on the GitHub page is of a male and was copied from a public photo bank.

Mail.ru photo hosting

This page contains the same encoded string as the GitHub page. There is no information about when the album was created and published. The photo of the owner is the same as the picture from the photo bank.

Cloud infrastructure

Attribution

The use of cloud services is not new, and we reported an example of this in our overview of the CloudWizard APT (a campaign in the Ukrainian conflict with ties to Operation Groundbait and CommonMagic). However, the likelihood of attributing CloudSorcerer to the same actor is low, as the code and overall functionality of the malware are different. We therefore assume at this point that CloudSorcerer is a new actor that has adopted the technique of interacting with public cloud services.

Victims

Government organizations in the Russian Federation.

Conclusions

The CloudSorcerer malware represents a sophisticated toolset targeting Russian government entities. Its use of cloud services such as Microsoft Graph, Yandex Cloud, and Dropbox for C2 infrastructure, along with GitHub for initial C2 communications, demonstrates a well-planned approach to cyberespionage. The malware’s ability to dynamically adapt its behavior based on the process it is running in, coupled with its use of complex inter-process communication through Windows pipes, further highlights its sophistication.

While there are similarities in modus operandi to the previously reported CloudWizard APT, the significant differences in code and functionality suggest that CloudSorcerer is likely a new actor, possibly inspired by previous techniques but developing its own unique tools.

Indicators of Compromise

File Hashes (malicious documents, Trojans, emails, decoys)

Domains and IPs

Yara Rules

rule apt_cloudsorcerer {
meta:
description = "Detects CloudSorcerer"
author = "Kaspersky"
copyright = "Kaspersky"
distribution = "DISTRIBUTION IS FORBIDDEN. DO NOT UPLOAD TO ANY MULTISCANNER OR SHARE ON ANY THREAT INTEL PLATFORM"
version = "1.0"
last_modified = "2024-06-06"
hash = "F701fc79578a12513c369d4e36c57224"

strings:
$str1 = "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko"
$str2 = "c:\\windows\\system32\\mspaint.exe"
$str3 = "C:\\Windows\\system32\\msiexec.exe"
$str4 = "\\\\.\\PIPE\\"

condition:
uint16(0) == 0x5A4D and
all of ($str*)
}

MITRE ATT&CK Mapping

securelist.com/cloudsorcerer-n…

@Notizie dall'Italia e dal mondo

A Rio de Janeiro si è recentemente svolto il corso “I Caschi Blu della Cultura. Il Patrimonio Culturale in caso di catastrofe: rischi e interventi di sicurezza””. La giornata conclusiva si è tenuta il 2 luglio al Paço Imperial (Palazzo Imperial).

I "caschi blu della cultura" sono una idea italiana, sviluppatasi sin dal 2016 nell’ambito della campagna #Unite4Heritage. Il governo italiano e l’Unesco siglarono un memorandum d’intesa per la creazione di una task force di sessanta unità, composta da carabinieri, storici dell’arte, studiosi e restauratori, pronti a intervenire per salvaguardare il patrimonio culturale in zone di crisi. Con Decreto firmato il 31 marzo 2022 dal Ministro della Cultura pro–tempore Franceschini fu perfezionata la Task Force, formalmente denominata “Caschi Blu della Cultura”, unità operativa concepita per intervenire in aree colpite da emergenze, quali calamità o crisi prodotte dall’uomo, in una cornice di sicurezza, al fine di: – salvaguardare i siti archeologici, i luoghi della cultura ed i beni culturali; – contrastare il traffico internazionale di beni culturali illecitamente sottratti; – supportare l’Autorità dei Paesi esteri richiedenti, nella predisposizione di misure atte a limitare i rischi che situazioni di crisi o emergenziali potrebbero arrecare al patrimonio culturale di quella Nazione. L' #Armadeicarabinieri – con personale tratto dal Comando Tutela Patrimonio Culturale (#TPC) assegnato al Ministero della Cultura – hanno la gestione operativa–logistica delle missioni.

Tornando al corso in Brasile, questo è stato realizzato dall’Organizzazione Internazionale Italo-Latino Americana (#IILA), con il finanziamento della Direzione Generale per la Cooperazione allo Sviluppo del Ministero degli Affari Esteri e della Cooperazione Internazionale (#MAECI), in collaborazione con il Ministero della Cultura italiano (#MIC), il Comando Carabinieri Tutela Patrimonio Culturale e, da parte brasiliana, con il Ministério das Relações Exteriores, Ministerio da Cultura, Centro Lucio Costa, IPHAN – Instituto do Patrimônio Histórico e Artístico Nacional, SBM – Sistema Brasiliero de Museus, IBRAM – Instituto Brasileiro de Museus, Instituto Guimarães Rosa, #PoliciaFederal e #INTERPOL Brasil. Hanno partecipato 55 funzionari pubblici latinoamericani, provenienti da forze di polizia, forze armate, protezione civile e vigile del fuoco, Ministero della Cultura oltre a restauratori e conservatori di beni culturali, per formare di una task force italo-latinoamericana per la protezione del patrimonio culturale

Tra gli altri intervenuti alla giornata finale il Generale D. Francesco Gargaro, Comandante Carabinieri Tutela Patrimonio Culturale; Paolo Iannelli, Rappresentante del MIC – Caschi Blu della Cultura; Marcos Moreira Nizio, Capo del Settore Protezione del Patrimonio storico e culturale della Polizia Federale brasiliana.

Il Generale Gargaro (foto sopra) ha dichiarato nella circostanza:“Il corso che oggi si conclude è stato concepito per dotarvi degli strumenti necessari per affrontare queste sfide. Attraverso questo confronto tra diverse esperienze si sono volute trasmettere competenze tecniche e operative che permetteranno di intervenire sempre più efficacemente in situazioni di emergenza. Avete imparato l’importanza dell’identificazione e catalogazione dei beni culturali anche in situazioni emergenziali, della collaborare con le comunità locali e con le diverse istituzioni in contesti complessi. In un’epoca in cui i conflitti, crisi e catastrofi naturali minacciano di cancellare la memoria storica e culturale dei popoli, l’importanza del nostro lavoro non può essere sottovalutata. La distruzione di beni culturali non è solo una perdita per le comunità direttamente coinvolte, ma per tutta l’umanità.
È la cancellazione della nostra storia condivisa, delle nostre identità e dei valori che ci uniscono come esseri umani”.

La missione addestrativa, tenuta dal 24 giugno al 2 luglio 2024 da esperti italiani del Ministero della Cultura e del Comando Carabinieri Tutela del Patrimonio Culturale, ha voluto trasmettere ai paesi partecipanti quali Brasile, Cile, Colombia e Paraguay il modello italiano di tutela del patrimonio culturale attraverso sessioni teoriche ed esercitazioni pratiche, tra cui la simulazione di una inondazione e un focus rivolto alla sicurezza di beni archivistici e librari in ragione delle esigenze di tutela del territorio ospitante.

Durante la consegna dei diplomi, la Segretaria Generale dell'Organizzazione internazionale italo-latino americana Cavallari, nel ringraziare tutte le istituzioni partners che hanno reso possibile il successo del corso, ha sottolineato che l’obiettivo principale dell’IILA è proprio quello di stimolare la reciproca conoscenza e integrazione fra i paesi membri. Il programma addestrativo di quest’anno, come quello realizzato nel giugno 2023 a Città del Messico con la partecipazione di esperti di Bolivia, Costa Rica, Ecuador, Guatemala, Messico, Perù e Repubblica Dominicana, ha conseguito l’obiettivo di promuovere la condivisione di esperienze e buone pratiche per la possibile creazione di Caschi Blu della Cultura in Brasile, Colombia, Cile e Paraguay.

Importante infine sottolineare come la partecipazione dei carabinieri esalta il loro ruolo nella difesa a livello internazionale del patrimonio culturale italiano e mondiale: ruolo che l’Arma svolge nella protezione dei beni culturali da più di cinque decenni .

With both of the dominant display technologies today – LCD and OLED – being far from perfect, there is still plenty of room in the market for the Next Big Thing. One of the technologies being worked on is called PeLED, for Perovskite LED. As a semiconductor material, it can both be induced to emit photons as well as respond rather strongly to incoming photons. That is a trick that today’s displays haven’t managed without integrating additional sensors. This technology could be used to create e.g. touch screens without additional hardware, as recently demonstrated by [Chunxiong Bao] and colleagues at Linköping University in Sweden and Nanjing University in China.

Their paper in Nature Electronics describes the construction of photo-responsive metal halide perovskite pixels, covering the typical red (CsPbI3−xBrx), green (FAPbBr3), and blue (CsPbBr3−xClx) wavelengths. The article also describes the display’s photo-sensing ability to determine where a finger is placed on the display. In addition, it can work as an ambient light sensor, a scanner, and a solar cell to charge a capacitor. In related research by [Yun Gao] et al. in Nature Electronics, PeLEDs are demonstrated with 1 microsecond response time.

As usual with perovskites, their lack of stability remains their primary obstacle. In the article by [Chunxiong Bao] et al. the manufactured device with red pixels was reduced to 80% of initial brightness after 18.5 hours. While protecting the perovskites from oxygen, moisture, etc. helps, this inherent instability may prevent PeLEDs from ever becoming commercialized in display technology. Sounds like a great challenge for the next Hackaday Prize!

[Thomas Scherrer] likes to tear down old test equipment, and often, we remember the devices he opens up or — at least — we’ve heard of them. However, this time, he’s got a Hung Chang HC-F100 multifunction counter, which is a vintage 1986 instrument that can reach 100 MHz.

Inside, the product is clearly a child of its time period. There’s a transformer for the linear supply, through-hole components, and an Intersil frequency counter on a chip. Everything is easy to get to and large enough to see.

Powering it up, the display lit up readily. The counter seemed to work with no difficulties, which was a bit of a surprise.

The oscillator inside has a temperature regulator so that once warmed up, it should be more or less stable. Touching it disturbs it, but you really shouldn’t be making real measurements with the top off while you are poking around on the inside.

This would pair well with a period function generator. Compare it to a modern version.

youtube.com/embed/Zwmjk0Cpsig?…

Begun, the Spectrum Wars have. First, it was AM radio getting the shaft (last item) and being yanked out of cars for the supposed impossibility of peaceful coexistence with rolling broadband EMI generators EVs. That battle has gone back and forth for the last year or two here in the US, with lawmakers even getting involved at one point (first item) by threatening legislation to make terrestrial AM radio available in every car sold. We’re honestly not sure where it stands now in the US, but now the Swiss seem to be entering the fray a little up the dial by turning off all their analog FM broadcasts at the end of the year. This doesn’t seem to be related to interference — after all, no static at all — but more from the standpoint of reclaiming spectrum that’s no longer turning a profit. There are apparently very few analog FM receivers in use in Switzerland anymore, with everyone having switched to DAB+ or streaming to get their music fix, and keeping FM transmitters on the air isn’t cheap, so the numbers are just stacked against the analog stations. It’s hard to say if this is a portent of things to come in other parts of the world, but it certainly doesn’t bode well for the overall health of terrestrial broadcasting. “First they came for AM radio, and I did nothing because I’m not old enough to listen to AM radio. But then they came for analog FM radio, and when I lost my album-oriented classic rock station, I realized that I’m actually old enough for AM.”

Have you or a loved one been injured by falling space debris? You may be entitled to significant compensation. Call 1-800-SPACEJUNK for a free consultation with one of our attorney specialists. OK, maybe it hasn’t gotten to that point yet, but when SpaceX has set up a space debris hotline, you know the lawsuits are just around the corner. The move seems to be related to a piece of junk that fell on a campground in North Carolina earlier in the year which was identified as a section of a SpaceX Dragon that had brought astronauts to the ISS. The rather furry-looking piece of debris has apparently remained on the campground and is even being used to attract business, which seems a far better outcome than the Florida family whose roof caught a chunk of an ISS battery pack. No word on what happens if you call the SpaceX hotline to report something, but if black-suited goons don’t rush to the scene in a Cybertruck, we’ll be disappointed.

If you’ve been around Hackaday for a while, the name Anool Mahidharia will probably be familiar to you. Aside from writing over 300 articles for us, Anool has been a driving force behind The Maker’s Asylum hackspace in Mumbai, where among a ton of other achievements he managed to spearhead the development of an affordable open-source oxygen concentrator during the darkest days of the Covid-19 pandemic. All that was side action on his main gig running test and measurement company Lumetronics. Anool has decided to shut the business down and sell off all the contents of the shop, which contains some really cool machines and equipment. If you’re handy to Mumbai you’ll definitely want to check this out. Anool, we’re not sure what the future holds for you, and we certainly hope you’re not hanging things up for good, but if you are, “So long, and thanks for all the hacks.”

The entire point of a submarine is to be invisible, to dip beneath the waves and imitate a patch of perfectly normal seawater as convincingly as possible. So we mere mortals have very few opportunities to see submarines at all, let alone see one maneuver. But if you’re anywhere near the Heidelberg area, you just might get a chance to see U17, a Type 206 diesel-electric sub that served in the Bundesmarine until 2010, as it’s being moved to its new home at the Technik Museen Sinsheim. A lot of the journey is on barges along the Rhine and Neckar rivers, at least until it arrives in Haßmersheim, whereupon the 90-meter boat will take to the road in a circuitous route to its new home. Can’t get to Germany to watch it in person? No worries — there’s a live stream for that.

Speaking of old tube-shaped objects, we know that compressed gas cylinders are built to last, but one was recently found that’s been in continuous service for over a century. Gas cylinders are subject to periodic inspection, for obvious reasons, and get a date stamped into their neck once they pass. The stalwart cylinder, currently holding carbon dioxide gas, has date stamps going back to 1921, and may even have older stamps lying beneath labels with fancy new-fangled 2D barcodes. Quite a contrast to a date stamped into the steel with a hammer and die, and it only emphasizes how old this thing is and how much of our technological history it has witnessed — so far.

And finally, if you think your job sucks, you’re probably right. But even so, it’s not worth ending it all, as a “civil service robot” apparently did by casting itself down a stairwell. The bot, apparently despondent thanks to a zero-wage, dead-end job that entailed shuffling documents around a municipal office in Gumi, South Korea, was seen rolling about in circles on a landing before taking the fatal plunge, which witnesses seemed to think was deliberate. The robot’s remains were collected and a post-mortem examination is being conducted to see what went wrong. The suicidal robot, built by California start-up Bear Robotics, which disappointingly does not appear to build robotic bears, seemed to have been the only one of its peers with the ability to call elevators and move between floors of its own volition. So maybe it wasn’t so much a suicide but a case of workplace jealousy and murder most foul.

Gli sviluppatori di YouTube stanno sperimentando l’incorporamento di annunci direttamente nel flusso video per rendere più difficile il blocco degli annunci da parte degli ad blocker.

Questa innovazione è stata notata per la prima volta dai creatori dell’estensione del browser open source SponsorBlock, che raccoglie informazioni su quali frammenti video contengono contenuti sponsorizzati per saltarli.

Gli autori di SponsorBlock hanno avvertito che l’introduzione della pubblicità lato server interrompe la funzionalità dell’estensione e sono già in corso i lavori per risolvere questo problema. Inoltre, incorporare annunci nel flusso video influisce sull’efficacia di altri blocchi utilizzati dalle persone su YouTube.

Il fatto è che YouTube attualmente utilizza l’implementazione della pubblicità lato client, quando gli script JavaScript e il lettore video caricano e visualizzano la pubblicità sul dispositivo dell’utente. Cioè, il flusso video e la pubblicità sono separati e il lettore è programmato per mettere in pausa i contenuti e riprodurre la pubblicità in punti specifici.

La maggior parte dei AD Blocker disabilita la pubblicità su YouTube bloccando gli script JavaScript utilizzati per inserire pubblicità nel flusso video. SponsorBlock funziona in modo leggermente diverso: raccoglie informazioni su diversi segmenti video e consente agli utenti di saltare le integrazioni degli sponsor.

La pubblicità sul lato server consente di incorporarla direttamente nel flusso video, cioè anche prima che il contenuto venga consegnato allo spettatore. Di conseguenza, gli utenti ricevono un flusso continuo in cui la pubblicità è già integrata.

SponsorBlock spiega che YouTube trasmette video attraverso una serie di piccoli pezzi che vengono “cuciti” insieme per creare un flusso video continuo. L’ordine in cui vengono riprodotti questi snippet è determinato dal file manifest e quando un utente apre un video, il server YouTube gli trasmette una playlist che include sia il contenuto che gli snippet dell’annuncio.

Questo approccio complica il lavoro di SponsorBlocks perché sposta i timestamp per i contenuti sponsorizzati e, a seconda della lunghezza dell’annuncio, questo spostamento cambia. Inoltre, ciò crea difficoltà ad altri AD Blocker, che sono meno in grado di riconoscere gli annunci pubblicitari che fanno parte del flusso video (a differenza delle iniezioni lato client facilmente rilevabili).

Gli sviluppatori di SponsorBlocks scrivono che per ora sono costretti a bloccare i messaggi dai browser in cui viene introdotta la pubblicità lato server per evitare la corruzione dei dati. Tuttavia, se YouTube decidesse di implementare la pubblicità lato server su scala più ampia, questo approccio diventerà inefficace.

L'articolo YouTube Cambia le Regole del Gioco: Addio Ad Blocker? proviene da il blog della sicurezza informatica.

Conventional batteries have anodes and cathodes, but a new design from the University of Chicago and the University of California San Diego lacks an anode. While this has been done before, according to the University, this is the first time a solid-state sodium battery has successfully used this architecture.

Sodium is abundant compared to lithium, so batteries that use sodium are attractive. According to the University of Chicago’s news release:

Anode-free batteries remove the anode and store the ions on an electrochemical deposition of alkali metal directly on the current collector. This approach enables higher cell voltage, lower cell cost, and increased energy density…

Of course, there are also downsides. In particular, making anodeless batteries with liquid electrolytes can be easier to build, but the liquid forms solids that impede the battery’s performance over time.

The new battery uses an aluminum powder as a current collector. Interestingly, while this is a solid, it flows more like a liquid. Combined with a solid electrolyte, the battery flips the usual idea of a solid cathode and a liquid electrolyte.

We are always interested in new battery tech. However, we rarely see them out in the wild. Maybe AI will have better luck.

8cc.vim is a C compiler that exists as pure Vimscript. Is it small? It sure is! How about fast? Absolutely not! Efficient? Also no. But does it work and is it neat? You betcha!

Ever typed :wq to write the buffer and exit in Vim? When you do that, you’re using Vimscript. Whenever one enters command mode : in Vim, one is in fact using a live Vimscript interpreter. That’s the space in which this project exists and does its magic. Given enough time, anyway.

Vimscript itself was created by [Bram Moolenaar] in 1991. The idea was to execute batches of vim commands programmatically. It’s been used for a variety of purposes since then.

8cc is a lightweight C compiler that has been supplanted by chibicc, but that doesn’t matter much because as author [rhysd] admits, this is really just a fun concept project more than anything. It may take twenty minutes or more to compile “hello world”, but doing it entirely from within Vim is a trip.

When homebrewing a CPU, one has to deal with microcode. Microcode is the low-level nuts and bolts of how, precisely, a CPU executes instructions (like opcodes) and performs functions such as updating the cycle counter or handling interrupt requests. To make this task easier, [Bob Alexander] created a microcode compiler built in Google Sheets to help with his own homebrew work, but it’s flexible and configurable enough to be useful to others, as well.

A CPU’s microcode usually lives in read-only memory, and writing the microcode is only one step in the journey. [Bob]’s tool compiles his microcode into files that can be burned into memory (multiple EEPROM chips, in [Bob]’s case) or used as a Verilog program in the case of implementing the CPU in an FPGA. It’s configurable enough to be adapted for other homebrew CPU projects, though one would of course have to re-write the microcode portion.

A read-only version of the spreadsheet makes for some fun browsing, and if it piques your interest enough to get a copy of your own complete with the compiler script, you can do that here. It uses Google Sheets, and writes the output files into one’s Google Drive.

This kind of low-level project really highlights the finer points of just how the hard work of digital computing gets done. A good example is the Gigatron which implemented a RISC CPU using only microcode, memory, and logic gates in the late 70s. We’ve even seen custom microcode used to aid complex debugging.

6 luglio 2024: Un noto utente del forum BreachForums, IntelBroker, ha recentemente annunciato la vendita di una collezione di documenti relativi alle criptovalute, rubati dalla piattaforma EPE di Europol. La violazione dei dati, che si è verificata a maggio 2024, ha comportato il furto di file e documenti critici.

Dettagli della Violazione

La piattaforma EPE (Europol Platform for Experts) è un sistema sicuro utilizzato da Europol per la condivisione di informazioni sensibili tra le forze dell’ordine europee. La violazione ha permesso agli hacker di ottenere accesso a informazioni di grande valore, potenzialmente mettendo a rischio diverse operazioni investigative in corso.

Secondo quanto riportato, IntelBroker ha caricato una piccola quantità di questi documenti sul forum come prova del successo della violazione. In un post pubblicato il 6 luglio 2024 alle 21:59, l’utente ha scritto:

“Oggi ho trapelato una piccola quantità di documenti relativi alle criptovalute dalla piattaforma EPE di Europol. Grazie per aver letto e buon divertimento!“

Al momento, non possiamo confermare con precisione la veridicità della violazione, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo dovrebbe essere considerato come una ‘fonte di intelligence’.

Implicazioni e Rischi

La divulgazione di tali documenti potrebbe avere gravi conseguenze per la sicurezza delle operazioni di Europol. Le informazioni rubate potrebbero includere dettagli su indagini in corso, metodologie operative e dati sensibili di diverse forze dell’ordine europee. Questo non solo comprometterebbe le indagini, ma potrebbe anche mettere in pericolo la vita degli agenti coinvolti.

Considerazioni Finali

La vendita di documenti criptati rubati rappresenta una minaccia significativa per la sicurezza delle informazioni a livello europeo. Le forze dell’ordine devono affrontare la sfida crescente della sicurezza cibernetica, adottando misure più rigorose per proteggere i propri sistemi e le informazioni sensibili.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo Europol Violato: Documenti Segreti in Vendita sul dark web proviene da il blog della sicurezza informatica.

Nel maggio 2024, Synnovis, una società che fornisce servizi di patologia agli ospedali londinesi, è stata colpita da un attacco ransomware. Ciò ha portato alla cancellazione di circa 1.500 procedure mediche nelle più grandi strutture mediche della capitale britannica in quattro settimane.

La storia di Hannah Grouthuizen illustra vividamente la dimensione umana di questo problema. La 36enne responsabile della ricerca del King’s College di Londra ha dovuto affrontare gravi complicazioni nel trattamento del cancro al seno aggressivo HER2-positivo a causa di un attacco informatico.

Never thought I'd be able to say: 'I'm missing my right breast because of cyber criminals' but thanks, Qilin. Due to this attack it wasn't deemed safe to carry out my skin-sparing mastectomy+immediate reconstruction, so I got a simple mastectomy only. #nhs #ransomware #hackers t.co/VTb3Eb3y9U
— Johanna (Hanna) Groothuizen (@HannGroothuizen) June 20, 2024

I fatti e l’attacco informatico del 7 Giugno

Diagnosticato alla fine del 2023, Hannah è stata sottoposta a chemioterapia e si stava preparando per un intervento chirurgico per rimuovere il tumore il 7 giugno. Inizialmente era stata pianificata un’operazione di risparmio della pelle e una ricostruzione immediata del seno. Tuttavia, un attacco informatico quattro giorni prima dell’operazione ha messo a repentaglio questi piani.

Il giorno prima dell’intervento, ad Hannah è stato detto che la ricostruzione del seno era troppo rischiosa a causa dei problemi legati alla sicurezza delle trasfusioni di sangue. Si trovava di fronte a una scelta: rinviare l’operazione o accettare una semplice mastectomia. Data la natura aggressiva del cancro, Hannah scelse la seconda opzione.

Le conseguenze dell’attacco furono diffuse. Gli ospedali si trovano ad affrontare una grave carenza di donazioni di sangue, che portò a richieste urgenti di donazioni di sangue. Nel mese successivo all’incidente, sono state rinviate quasi 5.000 visite ambulatoriali e oltre 1.300 procedure elettive.

Nonostante le difficoltà, Hannah rimane ottimista e non incolpò il servizio sanitario nazionale. Ha apprezzato gli sforzi del personale medico date le circostanze. Tuttavia, il suo caso solleva importanti interrogativi sulla preparazione del governo agli attacchi informatici e sulla necessità di rafforzare le misure di sicurezza.

L’incidente ha evidenziato la vulnerabilità delle infrastrutture critiche alle minacce informatiche. Ha inoltre dimostrato quanto gravi possano essere le conseguenze di tali attacchi sulla salute e sulla vita dei pazienti.

Sta diventando sempre più chiara la necessità di un approccio globale alla sicurezza informatica nel settore sanitario. La protezione dei dati personali dei pazienti, il funzionamento ininterrotto dei sistemi medici e la garanzia della continuità del trattamento dovrebbero diventare priorità nell’era della digitalizzazione della medicina.

Speriamo che l’Itala comprenda che il servizio sanitario nazionale è una delle infrastrutture più critiche del nostro paese. Se non puoi telefonare oggi, chiamerai domani. Se non puoi operarti oggi, è probabile che non ci sarà un domani.

Gli attacchi agli ospedali italiani

Molto tempo fa riportammo che gli ospedali sarebbero divenuti “le galline dalle uova d’oro” per il cybercrime, in quanto il rischio non è solo inerente la perdita dei dati, ma anche la vita delle persone. I criminali lo sanno bene che la velocità di azione di un ospedale risulta essenziale, ma sappiamo anche che gli ospedali hanno un” postura cyber” da rivedere in modo profondo.

Purtroppo sono molte le organizzazioni ospedaliere colpite dagli incidenti di sicurezza e soprattutto il ransomware risulta il vettore di attacco principalmente utilizzato.

La Lista delle organizzazioni sanitare colpite, dove ne conosciamo le rivendicazioni della PA si allunga sempre di più giorno dopo giorno:

• L’ospedale San Giovanni Addolorata di Roma,
• ASL 3 di Roma
• ASL 2 di Savona
• ASL 2 di Terni
• ASP di Messina 2021
• ULSS6 di Padova
• ASL Napoli 3
• ASST Lecco
• ASP Messina 2022
• ATS Insubria
• Fatebenefratelli Sacco
• Ospedale Macedonio Melloni
• ASL5 di La Spezia
• Ospedale Universitario di Parma
• Ospedale Niguarda
• ASL1 Abruzzo
• Centro Ortopedico di Quadrante
• Azienda ospedaliera universitaria integrata di Verona
• Attacco alla Synlab
• ASST Rhodense

Purtroppo l’Italia sembra non aver ancora compreso l’importanza strategica a livello di sicurezza nazionale di queste infrastrutture. Tali infrastrutture vengono continuamente bersagliato dal cybercrime e che devono essere protette per garantire la salute delle persone.

L'articolo Ransomware e Ospedali: non è un gioco! Perde il Seno per colpa dei Criminali Informatici proviene da il blog della sicurezza informatica.