The EU Commission legally bound Apple to committments to open its 'pay and tap' technology and opened up a front with Elon Musk's X.

euractiv.com/section/competiti…

The European Commission accused social media platform X of breaching the Digital Services Act (DSA) over its verified accounts policy and lapses in transparency, in preliminary findings released on Friday (12 July).

euractiv.com/section/platforms…

Despite the adoption of the European Chips Act, the EU electronics manufacturing industry is set to decline, undermining European security, industrial resiliency, and competitiveness.

euractiv.com/section/digital/o…

Is openness at the heart of the EU’s competitiveness strategy? Euractiv spoke with Lorenzo Frollini founder, CEO & CTO of Flywallet, a wearable technology, biometrics and AI company. Frollini explains why Flywallet supports open digital ecosystems.

euractiv.com/section/digital/n…

As practical SD cards are, they lack much of what made floppy disks and cartridges so awesome: room for art and a list of contents, as well as the ability to not be lost in shaggy carpet or down a pet’s gullet. In a fit of righteous nostalgia, [Abe] decided that he’d turn SD cards into cartridges in the best way possible, and amazingly managed to not only finish the project after two years, but also make it look snazzy enough to have come straight out of the 1980s. The resulting cartridges come both with fixed (256 MB) and removable micro SD card storage, which are mounted on a PCB that passively connects to pogo pins in the custom, 3D printed reader.
Front of an SD-card-turned-cartridge with adn without decal. (Credit: Abe’s Projects, YouTube)
The inspiration for this project kicked in while [Abe] was working on a floppy drive conversion project called the Floppy8, which crammed an MCU into an external floppy drive along with a rough version of these SD card-based cartridges that used the physical card’s edge connector to connect with a micro SD slot inside the converted floppy drive. The problem with this setup was that alignment was terrible, and micro SD cards would break, along with a range of other quality of life issues.

Next, the SD card was put into a slot on the carrier PCB that featured its own edge connector. This improved matters, but the overly complicated (moving) read head in the reader turned out to be very unreliable, in addition to FDM printed parts having general tolerance and durability issues. Eventually a simplified design which takes these limitations in mind was created that so far seems to work just fine.

Although SD cards in cartridges are not a new idea, using them purely as a data carrier is far less common. One could argue about the practicality of turning a fingernail-sized micro SD card into something much larger, but in terms of aesthetics and handleability it definitely gets an A+.

youtube.com/embed/END_PVp3Eds?…

When we talk about audio amplifier tubes, we’re normally talking about the glass little blobby things you might find in a guitar amplifier. We’re not normally talking about big ol’ color CRTs, but apparently they can do the job too. That’s what [Termadnator] is here to show us.

The CRT in question is a 14″ unit from a common garden variety Philips color TV. [Termadnator] pulled out the TV’s original circuitry, and replaced much of it with his own. He had to whip up a high-voltage power supply with a 555 and a laptop power supply, along with a bunch of fake MOSFETs pressed into service. He also had to build his own Leyden jar capacitor, too. The specifics of converting it to audio operation get a bit messy, but fear not—[Termadnator] explains the idea well, and also supplies a schematic. Perhaps the coolest thing, though, is the crazy color pattern that appears on the display when it’s working as an amp.

Sound output isn’t exactly loud, and it’s a little distorted, too. Still, it’s amusing to see an entire TV instead doing the job of a single amplifier tube. Video after the break.

youtube.com/embed/iqRT1vKovaQ?…

[Thanks to bugminer for the tip!]

Questa settimana Microsoft ha risolto una vulnerabilità di 0day su Windows. Come hanno riferito gli esperti di Check Point, questo problema è stato attivamente sfruttato dagli hacker negli attacchi per 18 mesi ed è stato utilizzato per lanciare script dannosi che aggirano le misure di sicurezza integrate.

La vulnerabilità CVE-2024-38112 è un problema di spoofing in Windows MSHTML. Questo problema è stato scoperto dallo specialista di Check Point Research Haifei Li e ne ha informato Microsoft nel maggio 2024. Allo stesso tempo, nel suo rapporto sul problema, Lee osserva che nel gennaio 2023 sono stati scoperti campioni di malware che sfruttavano questa falla.

Secondo il ricercatore, gli aggressori distribuiscono file Windows Internet Shortcut (.url) per falsificare file legittimi (ad esempio PDF) e quindi scaricare ed eseguire file HTA sul sistema della vittima per installare malware in grado di rubare password.

Un file di collegamento Internet è un semplice file di testo contenente varie impostazioni di configurazione, ad esempio quale icona mostrare, quale collegamento aprire quando si fa doppio clic e così via. Quando salvi come .url e fai doppio clic sul file, Windows aprirà l’URL specifico nel browser predefinito.

Tuttavia, gli aggressori hanno scoperto che possono forzare l’apertura dell’URL specificato tramite Internet Explorer utilizzando mhtml:. MHTML sta per MIME Encapsulation of Aggregate HTML Documents, una tecnologia introdotta in Internet Explorer che trasforma un’intera pagina Web, comprese le immagini, in un unico archivio.

E se un URL viene avviato con mhtml:, Windows lo apre automaticamente in Internet Explorer anziché nel browser predefinito. Secondo il noto esperto di sicurezza informatica Will Dormann, l’apertura di una pagina in Internet Explorer offre agli hacker un ulteriore vantaggio perché l’utente vede molti meno avvisi di pericolo durante il download di file dannosi.

“In primo luogo, IE ti consente di scaricare un file .HTA da Internet senza alcun preavviso”, afferma Dohrmann. – In secondo luogo, dopo il download, il file .HTA si troverà nella directory INetCache, ma NON riceverà un marchio MotW (Mark of the Web) esplicito. A questo punto, l’unica protezione dell’utente è un avvertimento che il “sito web” sta tentando di aprire il contenuto utilizzando un programma sul computer. Non è specificato di quale sito stiamo parlando. Se l’utente ritiene di fidarsi del sito, avviene l’esecuzione del codice.”

In sostanza, gli aggressori approfittano del fatto che Internet Explorer è ancora incluso in Windows 10 e Windows 11 per impostazione predefinita. Anche se Microsoft ha finalmente ritirato IE circa due anni fa e Edge lo ha sostituito quasi completamente, è ancora possibile accedere al browser obsoleto e utilizzarlo per scopi dannosi.

Check Point spiega che gli hacker creano file di collegamento Internet con icone che assomigliano a collegamenti a file PDF. Facendo clic su di essi in Internet Explorer, si apre la pagina Web specificata, che tenta automaticamente di scaricare quello che dovrebbe essere un file PDF, ma in realtà è un file HTA.

In questo caso, gli aggressori possono nascondere l’estensione HTA e far sembrare che il file PDF venga scaricato utilizzando Unicode in modo che l’estensione .hta non venga visualizzata.

Quando Internet Explorer scarica un file HTA, il browser chiede se salvarlo o aprirlo. Se l’utente decide di aprire il file pensando che sia un PDF, allora all’avvio ci sarà solo un avviso generale sull’apertura di contenuto da un sito web. Poiché la persona sta aspettando il download del PDF, può ignorare questo avviso e il file finirà per essere eseguito.

Secondo i ricercatori, consentire l’esecuzione del file HTA porta all’installazione del malware Atlantida Stealer sul computer della vittima, che ruba i dati. Una volta lanciato, il malware ruba tutte le credenziali archiviate nel browser, i cookie, la cronologia del browser, i dati del portafoglio di criptovaluta, le credenziali di Steam e così via.

Dopo aver risolto la vulnerabilità CVE-2024-38112, mhtml:non funziona più e non consente in ogni caso l’apertura di Internet Explorer;

L'articolo Internet Explorer non è Morto! I criminali informatici hanno trovato un modo per utilizzarlo proviene da il blog della sicurezza informatica.

Ogni giorno emergono spesso nuovi attori di minaccia che destabilizzano le fondamenta digitali delle organizzazioni di tutto il mondo. Una delle più recenti e inquietanti cybergang scoperte dal team Darklab di Red Hot Cyber è il gruppo VANIR, un collettivo noto per le sue spietate operazioni di ransomware. Questa intervista esclusiva, condotta da Dark Lab, getta luce su un nemico tanto misterioso quanto pericoloso.

“Devi conoscere i demoni per imparare a contrastarli.” Questa frase, frequentemente citata da Red Hot Cyber in conferenze e articoli, sottolinea l’importanza di comprendere il modus operandi dei cyber-criminali. Conoscere i “demoni” significa capire le loro motivazioni, le loro tecniche, tattiche e procedure (TTPs). Questo approccio non solo aiuta a prevedere e identificare le minacce, ma è anche essenziale per sviluppare difese informatiche efficaci, capaci di contrastare gli attacchi sul loro stesso terreno.

Le interviste ai Threat Actors, curate dal gruppo RHC Dark Lab, divisione di Cyber Threat Intelligence di Red Hot Cyber, sono uno strumento cruciale per ottenere questa comprensione. Conoscere come ragionano e operano i cyber-criminali permette di migliorare continuamente le difese cibernetiche, aumentando la consapevolezza delle minacce e la capacità di prevenire attacchi futuri.

Il Threat Actors Vanir Group

Scoperto per la prima volta grazie alla costante vigilanza di Red Hot Cyber, il gruppo VANIR si è distinto non solo per l’efficacia dei suoi attacchi, ma anche per l’estetica unica del suo data leak site. Quest’ultimo, progettato in stile retrò, accoglie i visitatori con un prompt minimalista dove le informazioni possono essere richieste tramite un testo verde fluorescente su sfondo nero, evocando un’atmosfera da vecchio terminale.

Il messaggio di benvenuto che accoglie i nuovi “visitatori” è diretto e minaccioso:

“Salve, Devi essere l’amministratore di dominio o il CEO, in altre parole, la nostra ultima vittima. Se stai leggendo questo messaggio, significa che l’infrastruttura interna della tua azienda è stata compromessa, tutti i tuoi backup sono stati eliminati o crittografati. Abbiamo anche rubato la maggior parte dei dati importanti detenuti dalla tua azienda. Andando avanti, sarebbe nel tuo interesse cooperare con noi, per prevenire ulteriori disgrazie. Siamo a conoscenza di tutto. Abbiamo studiato attentamente tutte le tue finanze e sappiamo quanto è un prezzo equo per te da pagare, tenendo conto di ciò, sappi che ti tratteremo con giustizia. Quando scegli di ignorare la nostra gentilezza e di segnalare alle forze dell’ordine o agli esperti di recupero dati per aiutarti a trovare un modo per recuperare i tuoi dati persi, perdi solo TEMPO e SOLDI, e noi nel processo perdiamo la nostra pazienza. Perdere la nostra pazienza comporterebbe la perdita delle tue informazioni sensibili a vantaggio dei tuoi concorrenti e di altri criminali informatici che certamente ne trarrebbero profitto. Sarebbe nel tuo miglior interesse evitare questo. Siamo sempre disposti a negoziare poiché crediamo che il dialogo debba essere sempre la prima opzione e le azioni drastiche debbano essere salvate per ultime. Se non riusciremo a raggiungere un accordo, venderemo o cederemo tutte le informazioni che abbiamo rubato. Navigare in questo sito è stato mantenuto al minimo e semplice. Per elencare tutti i comandi, digita help nel terminale.”

L’Intervista

Attraverso questa intervista, Dark Lab offre uno sguardo approfondito nelle menti di coloro che si celano dietro gli attacchi di VANIR, esplorando le loro motivazioni, le loro tecniche e le loro strategie di negoziazione. Un viaggio che ci permette di capire meglio chi sono questi attori di minaccia e come possiamo difenderci dalle loro azioni devastanti.
Dove si è svolta l’intervista, tramite il messenger TOX
1 – RHC: Grazie ragazzi per aver accettato questa intervista. Cominciamo con una domanda diretta: qual è l’origine del gruppo VANIR e cosa vi ha spinto a dedicarvi alle operazioni ransomware? Il nome ha un’origine specifica?
BlackEyedBastard: Il gruppo Vanir è composto da ex affiliati di gruppi come karakurt e lockbit e knight ransomware, erano tutti scontenti per diversi motivo e sono venuti da noi. Lavoriamo solo per guadagno finanziario, non abbiamo interessi politici.

2 – RHC : Siete un rebrand di un gruppo ransomware già esistente o affiliati di altri RaaS che volevano mettersi in proprio?
BlackEyedBastard: Sì, lo siamo.

3 – RHC : Utilizzate un modello di affiliazione nelle vostre operazioni di ransomware? Se sì, come funziona e come selezionate i vostri affiliati?
BlackEyedBastard: Abbiamo un modello di affiliazione, come ho detto nella prima domanda. La selezione avviene sulla base della fiducia e della reputazione.

4 – RHC : Attualmente vi occupate di tutto internamente (malware, violazione e richiesta di riscatto) o siete distribuiti su più gruppi? Ad esempio, fate uso di Initial Access Broker (IaB)?
BlackEyedBastard: A volte acquistiamo i servizi degli IAB, ma tutto ciò che è abbastanza interessante di solito non viene divulgato.

5 – RHC : Molti gruppi si sono dati regole rigide sugli obiettivi (come non colpire ospedali e istituti per bambini, ecc…) su cui lanciare gli attacchi. Voi ne avete?
BlackEyedBastard: Non attacchiamo i Paesi della CSI.

6 – RHC : Quali sono le motivazioni principali che vi spingono a svolgere attività ransomware? È solo un modo per fare più soldi o c’è un pensiero più ampio come il miglioramento della sicurezza informatica delle infrastrutture IT?
BlackEyedBastard: È solo per profitto, non ci interessa l’incapacità delle aziende di cui vi fidate per proteggere i vostri dati, piuttosto siamo felici di fare soldi grazie alla loro avidità e negligenza.

7 – RHC : Se doveste consigliare a un’azienda di proteggersi meglio dalla criminalità informatica, quale sarebbe la prima cosa da fare?
BlackEyedBastard : Assumere un team di professionisti e non essere tirchi.

8 – RHC : Riportate nel vostro DLS che “sappiamo qual è il prezzo giusto da pagare per voi” e poi “sappiate che vi tratteremo in modo equo“. A quanto pare la scelta è quella di una negoziazione “collaborativa“. Quanto sono alte le vostre richieste di riscatto oggi?
BlackEyedBastard: Qualsiasi cifra compresa tra l’1,5 e il 2% del fatturato annuale di un’azienda ci sembra equa.

9 – RHC : Puoi spiegarci brevemente come funziona la tua soluzione?
BlackEyedBastard: Una volta ottenuto l’accesso, entriamo nella rete ed effettuiamo la massima ricognizione possibile. Al termine, blocchiamo immediatamente il server.

10 – RHC : Qual è la nazionalità prevalente dei membri del gruppo Vanir?
BlackEyedBastard : Al momento siamo tutti dell’Europa dell’Est.

11 – RHC : Ricevete supporto o sponsorizzazione da agenzie governative o altre organizzazioni?
BlackEyedBastard: No, non siamo un gruppo APT, non riceviamo supporto da nessuno o organizzazione, non possiamo essere comprati per eseguire un attacco contro qualcuno che non siamo disposti a colpire.

12 – RHC : Quali sono i vostri obiettivi a lungo termine?
BlackEyedBastard : Creare scompiglio.

13 – RHC : Il vostro ransomware si ispira a codici esistenti? Se sì, quali e come li avete modificati per renderli unici?
BlackEyedBastard : Il codice sorgente del nostro ransomware è scritto da zero, non è un compito arduo per chiunque abbia un po’ di esperienza.

14 – RHC : Ci sono altri cybergang da cui traete ispirazione? Se sì, quali sono e cosa ammiri di loro?
BlackEyedBastard : Personalmente, amo la tenacia di lockbit e sono un grande fan di Akira.

15 – RHC : Qual è la tua filosofia nel trattare le vittime?
BlackEyedBastard : Cerchiamo il più possibile di essere corretti, anche se di solito siamo severi con i dirigenti, che avrebbero dovuto fare di più per proteggersi, ma hanno fallito e messo a rischio persone innocenti.

16 – RHC : Il vostro sito dedicato alle fughe di dati ha un design unico e retrò, che ricorda i vecchi monitor CRT degli anni 80. Qual è l’idea alla base di questa estetica che ricorda anche il DLS di un’altra cyber gang come AKIRA?
BlackEyedBastard : Sì, l’interfaccia utente del sito è fortemente ispirata ad Akira, inoltre, non amate la nostalgia? Volevamo qualcosa di semplice che non necessitasse di codice backend, questa era la soluzione. Nessun PHP o Node in esecuzione in background, quindi nessuna possibilità di sfruttamento.

17 – RHC : Avete qualche messaggio finale per le organizzazioni che potrebbero diventare vostre future vittime?
BlackEyedBastard : Non siate stupidi, pagate il riscatto, facciamo sul serio e la morte della vostra azienda non è altro che un piccolo divertimento per noi. Non puoi essere l’eroe. Sottomettiti o sarai distrutto.

18 – RHC : Vi ringraziamo per questa intervista. Facciamo queste interviste per far capire ai nostri lettori che la cybersecurity è un argomento puramente tecnico e che per poter vincere la lotta al cybercrime dobbiamo essere più forti di voi, che notoriamente siete spesso un passo avanti a tutti. Vuole aggiungere qualcosa o fare qualche considerazione che potrebbe essere interessante per i nostri lettori?
BlackEyedBastard : Ciao caro lettore, ascolta, sappiamo entrambi che il mondo e il sistema in cui viviamo è fottuto. Le persone cresciute da famiglie di classe media o povera sono destinate a rimanere tali se si comportano come le pecore che ci si aspetta che siano, ma tu non sei così. Potete controllare il vostro destino, altrimenti perché stareste leggendo questo articolo? Se siete scontenti di questo sistema ingiusto, potete sempre rivolgervi a noi. Vi mostreremo come possiamo farlo tutti insieme.

Di seguito l’intervista nel linguaggio originale:
1 - RHC: Thank you guys for accepting this interview. Let's start with a direct question: what is the origin of the VANIR group and what prompted you to engage in ransomware operations? Does the name have any specific origin?
BlackEyedBastard: Vanir group is made up of ex-affiliates of groups like karakurt and lockbit as well as knight ransomware, they were all disgruntled for whatever reasons and they came to us. We work soley for financial gain, we have no political interests.

2 - RHC: Are you a rebrand of a previously existing ransomware group or affiliates of other RaaS that wanted to go out on their own?
BlackEyedBastard: Yes, we are.

3 - RHC: Do you use an affiliate model in your ransomware operations? If so, how does it work and how do you select your affiliates?
BlackEyedBastard: We do have an affiliate model as I stated in the first question. Selection is on a trust and reputation basis.

4 - RHC: Do you currently do everything in-house (malware, breach, and ransom demand) or are you distributed across multiple groups? For example, do you make use of Initial Access Broker (IaB)?
BlackEyedBastard: We sometimes purchase the services of IABs, anything that is interesting enough usually isnt passed on.

5 - RHC: Many groups have given themselves strict rules about targets (such as not hitting hospitals and institutions for children, etc...) on which to launch attacks. Do you guys have any?
BlackEyedBastard: We do not attack CIS countries.

6 - RHC: What are your main motivations behind in ransomware activities? Is it just a way to make more money or is there a broader thought such as improving IT infrastructure cybersecurity?
BlackEyedBastard: It is soley for profit, we are not interested in the inability of the companies you trust to protect your data, rather, we are happy to make money off their greed and carelessness.

7 - RHC: If you were to advise any company to better protect itself from cybercrime, what would you recommend as the first thing to start with?
BlackEyedBastard: Hire an actual, professional team and don't be cheap about it

8 - RHC: Report in your DLS that "we know what is a fair price for you to pay" and then "know that we will treat you fairly." Apparently the choice is for "collaborative" negotiation. How high are your ransom demands today?
BlackEyedBastard: Anything from 1.5- 2% of a companies yearly revenue seems fair to us.

9 - RHC: Can you explain to us how your solution works briefly?
BlackEyedBastard: Once we have access, we walk in the network and perform as much reconnaisance as possible. When this is complete, we immediately lock the server.

10 - RHC: What is the predominant nationality of the Vanir group members?
BlackEyedBastard: We are all from Eastern Europe as of now.

11 - RHC: Do you receive support or sponsorship from government agencies or other organizations?
BlackEyedBastard: No, we are not an APT group, we do not receive support from any one or organisation, we cannot be bought to perform an attack on anyone we are not willing to hit.

12 - RHC: What are your long-term goals for the Vanir group?
BlackEyedBastard: To wreak havoc.

13 - RHC: Is your ransomware inspired by existing codes? If so, which ones and how did you modify them to make them unique?
BlackEyedBastard: The source code of our ransomware is written from scratch, this is not a daunting task for anyone with a bit of experience.

14 - RHC: Are there other cybergangs from which you draw inspiration? If yes, what are they and what do you admire about them?
BlackEyedBastard: Personally, I love the tenacity of lockbit, and I am a big fan of Akira.

15 - RHC: What is your philosophy in dealing with victims?
BlackEyedBastard: We try as much as possible to be fair, although we are usually strict on the management, they should have done more to protect themselves, but they failed and put the innocent at risk

16 - RHC: Your data leak site has a unique, retro design and reminds us of old CRT monitors from the 1980s. What is the idea behind this aesthetic that also reminds us of the DLS of another cyber gang such as AKIRA?
BlackEyedBastard: Yes, the UI of the site is heavily inspired by Akira, also, don't you love nostalgia? We wanted something simple with 0 need for backend code, that was the solution. No PHP or Node running in the background, means 0 possibility of exploitation.

17 - RHC: Do you have any final messages for organizations that may become your future victims?
BlackEyedBastard: Don't be stupid, pay your ransom, we mean business and the death of your company is nothing but some little entertainment to us. You can't be the hero. Submit, or be destroyed.

18 - RHC: We thank you for this interview. We do these interviews to make our readers understand that cybersecurity is a purely technical subject and that in order to be able to win the fight against cybercrime we need to be stronger than you, who are notoriously often one step ahead of everyone. Would you like to add anything or make any points that might be of interest to our readers?
BlackEyedBastard: Hello dear reader, Listen up, we both know the world and the system in which we live is fucked. People raised from middle or poor class families are doomed to remain that way if they are like the sheep they are expected to be, but you are not like that. You can control your destiny, else why would you be reading this? If you are disgruntled by this unfair system, you can always reach out to us. We would show you how we can all become reach together.
L'articolo Parla Vanir Group! L’intervista di RHC agli ex affiliati di LockBit, Karakurt and Knight: “Assumete professionisti, non siate tirchi!” proviene da il blog della sicurezza informatica.

Nel giugno 2024, è stata resa pubblica una grave vulnerabilità nel linguaggio di programmazione PHP, identificata come CVE-2024-4577. Questa falla di sicurezza colpisce le installazioni di PHP che operano in modalità CGI (Common Gateway Interface) ed è particolarmente critica per le installazioni su sistemi Windows con impostazioni locali in cinese e giapponese. Tuttavia, non si esclude che possa interessare un numero più ampio di configurazioni​ (Akamai)​​.

Dettagli della Vulnerabilità

La vulnerabilità è presente nelle versioni di PHP 8.1., 8.2., e 8.3.*, precedenti rispettivamente alle versioni 8.1.29, 8.2.20, e 8.3.8. La falla è causata dal modo in cui PHP e i gestori CGI interpretano determinati caratteri Unicode, permettendo agli aggressori di eseguire codice remoto (Remote Code Execution, RCE) inviando codice PHP che viene successivamente interpretato erroneamente dal server. Questo tipo di attacco sfrutta l’input php://input, un flusso I/O di sola lettura che consente di leggere i dati grezzi dal corpo della richiesta​.

Modalità di Sfruttamento

Gli attacchi sfruttano l’input php://input, un flusso I/O di sola lettura che permette di leggere i dati grezzi dal corpo della richiesta. Questo metodo consente di inserire codice malevolo che viene eseguito prima del codice principale del file PHP. Una tecnica comune è l’uso dell’opzione auto_prepend_file di PHP, che specifica un file da analizzare automaticamente prima del file principale. Questo assicura che il codice dell’attaccante venga eseguito per primo. Inoltre, viene spesso utilizzata l’opzione allow_url_include, che abilita il recupero di dati da posizioni remote tramite funzioni come fopen e file_get_contents​.

In modalità CGI, il server web analizza le richieste HTTP e le passa a uno script PHP per ulteriori elaborazioni. Questo può lasciare aperta una via per l’iniezione di comandi, poiché i parametri delle query vengono passati al PHP interpreter tramite la linea di comando. Ad esempio, una richiesta del tipo http://host/cgi.php?foo=bar potrebbe essere eseguita come php.exe cgi.php foo=bar, lasciando aperta la possibilità di eseguire comandi arbitrari se gli input non vengono correttamente sanitizzati​.

Impatti e Conseguenze

Il primo giorno dopo la divulgazione della vulnerabilità, il team di Akamai ha osservato numerosi tentativi di sfruttamento, segnalando la rapidità con cui gli attori malevoli hanno adottato questa vulnerabilità. Gli attacchi osservati includono iniezioni di comandi e l’implementazione di vari malware, tra cui Gh0st RAT, miner di criptovalute come RedTail e XMRig. Questi attacchi dimostrano l’alta criticità e la facile sfruttabilità della vulnerabilità, con conseguenze potenzialmente devastanti per i sistemi compromessi​​.

Descrizione dei Malware Utilizzati

• Gh0st RAT: Gh0st RAT (Remote Access Trojan) è un malware utilizzato per il controllo remoto di sistemi infetti. Permette agli attaccanti di eseguire comandi da remoto, rubare informazioni sensibili, catturare schermate, registrare audio e video, e trasferire file. Questo malware è noto per la sua versatilità e la capacità di nascondersi nei sistemi infetti, rendendo difficile la sua rilevazione e rimozione​.
• RedTail Cryptominer: RedTail è un miner di criptovalute che sfrutta le risorse del sistema infetto per minare criptovalute senza il consenso dell’utente. Questo tipo di malware consuma una quantità significativa di risorse di sistema, causando rallentamenti e potenziali danni hardware dovuti al surriscaldamento​.
• XMRig: XMRig è un altro esempio di software di mining di criptovalute, specificamente progettato per minare Monero (XMR). Questo malware è altamente efficiente nel mascherare la sua presenza e può operare silenziosamente in background, riducendo al minimo la possibilità di essere rilevato dall’utente o dai software di sicurezza​.
• Muhstik: Muhstik è un noto botnet malware che colpisce principalmente server basati su Linux. Viene utilizzato per lanciare attacchi DDoS (Distributed Denial of Service), eseguire criptominazioni, e propagare ulteriori malware. Muhstik è in grado di auto-propagarsi sfruttando vulnerabilità note e può compromettere rapidamente reti estese​.
• RAT (Remote Access Trojan): I RAT sono trojan che permettono agli attaccanti di controllare completamente i sistemi infetti da remoto. Questi malware possono rubare dati, installare altri malware, monitorare le attività degli utenti, e trasformare i computer infetti in parte di una botnet per ulteriori attacchi. La loro caratteristica principale è la capacità di nascondersi efficacemente per evitare il rilevamento e la rimozione.

Indicatori di Compromissione (IOCs)

Gli Indicatori di Compromissione (IOCs) sono elementi di dati che suggeriscono una potenziale compromissione del sistema. Nel contesto della vulnerabilità CVE-2024-4577, gli IOCs possono includere:

• Traffico di rete anomalo: Rilevamento di comunicazioni con server noti per essere utilizzati da attori malevoli.
• File sospetti: Presenza di file sconosciuti o non autorizzati nelle directory dei server PHP, specialmente quelli specificati tramite auto_prepend_file.
• Processi in esecuzione: Processi PHP o web server che eseguono comandi inusuali o che consumano eccessive risorse di sistema.
• Log di sistema: Voci nei log del server che indicano tentativi di accesso non autorizzato o l’esecuzione di script PHP non previsti.
• Modifiche ai file di configurazione: Alterazioni non autorizzate dei file di configurazione PHP, specialmente quelli che abilitano l’inclusione di URL remoti o specificano file da eseguire automaticamente​.

Identificazione della Vulnerabilità tramite Threat Intelligence

L’identificazione e la mitigazione delle minacce come la vulnerabilità CVE-2024-4577 possono essere effettuate tramite l’uso di Threat Intelligence, che include:

• Monitoraggio dei Threat Feeds: Iscriversi a servizi di threat intelligence per ricevere aggiornamenti tempestivi su nuove vulnerabilità e indicatori di compromissione.
• Analisi dei Log: Utilizzare strumenti di analisi dei log per identificare attività sospette o anomale nei log del server.
• Implementazione di Sistemi di Intrusion Detection/Prevention (IDS/IPS): Questi sistemi possono rilevare e prevenire tentativi di sfruttamento delle vulnerabilità noti.
• Patch Management: Implementare un processo di gestione delle patch efficace per assicurarsi che tutte le vulnerabilità note siano tempestivamente corrette.
• Audit di Sicurezza: Condurre regolari audit di sicurezza per identificare e correggere potenziali punti deboli nel sistema​.

Misure di Protezione e Mitigazione

Per proteggersi da questa vulnerabilità, è fondamentale che le organizzazioni aggiornino immediatamente le loro installazioni di PHP alle versioni più recenti. Akamai ha implementato misure di mitigazione tramite il loro servizio App & API Protector, che protegge i clienti bloccando automaticamente gli exploit noti. Inoltre, nel loro blog, Akamai ha fornito una lista completa degli indicatori di compromesso (IOCs) per aiutare le organizzazioni a identificare e rispondere agli attacchi​.

Conclusione

La vulnerabilità CVE-2024-4577 rappresenta una seria minaccia per le installazioni di PHP in modalità CGI. La rapidità con cui è stata sfruttata dimostra la necessità per le organizzazioni di adottare misure di sicurezza tempestive e proattive. Aggiornare PHP alle versioni più sicure e utilizzare soluzioni di mitigazione automatica come quelle offerte da Akamai sono passi cruciali per proteggere i sistemi da attacchi futuri.

L'articolo CVE-2024-4577: La Vulnerabilità PHP Sfruttata entro 24 Ore dalla Sua Scoperta proviene da il blog della sicurezza informatica.

The level of disinformation in national elections, such as the recent ones in France and the UK, was higher than in the previous European elections, disinformation experts said in recently published reports.

euractiv.com/section/disinform…

Although commonly referred to as a ‘timer IC’, the venerable NE555 and derivatives are in fact not timer ICs. This perhaps controversial statement is the open door that gets kicked in by [PKAE Electronics] over at YouTube, as he explains with excellent diagrams and simulations how exactly these ICs work, and what it takes to make it actually do timer things. For anyone who has ever used one of these chips there is probably nothing too mind-blowing, but it’s an infinitely better way to wrap your way around an NE555 and kin than a datasheet.

At its core, the 555 contains three 5 kOhm resistors as a voltage divider, which has been incorrectly postulated to be the source of the chip’s name. This voltage divider controls two comparators, which in turn control an SR flipflop. These comparators are used for the voltage trigger and threshold inputs, which in turn toggle the flipflop, respectively setting and resetting it. This by itself just means that the 555 can be used as a threshold detector, with settable control voltage. How a 555 becomes a timer is when the discharge, trigger and threshold pins are combined with external resistors and a capacitor, which creates a smooth square wave on the 555’s output pin.

There are many ways to make basic components into an oscillator of some type, but the 555 is a great choice when you want something more refined that doesn’t involve using an entire MCU. That said, there’s far more that the 555 can be used for, as [PKAE] alludes to, and we hope that he makes more excellent videos on these applications.

youtube.com/embed/3lEN6hEGUmE?…

We have to admit that we often think about building unusual things, but we hadn’t really considered building our own hydroelectric dam before. [Mini Construction] did, apparently, and there’s a timelapse of the build in the video below.

We wished this was more of a how-to video, although if you are handy with brickwork, the mechanical construction seems straightforward. Presumably, you’d need to understand how much force the water had but we don’t know if there was math involved or just seat-of-the-pants design.

We were unclear what the tower was for until we saw the turbine installed in it. We weren’t clear where it came from, and it looked like maybe it was repurposed from something else. If you recognize what it is, or have a guess, drop a comment, will you? While the brickwork was impressive, the wiring — especially near water — looked a bit suspect. We hope that was just test wiring and a more permanent arrangement was made later.

We have seen hacker hydroelectric before, but rarely. Waterwheels seem much more common. Honestly, the masonry work was the best we’ve seen since [Walt] built a bomb shelter.

youtube.com/embed/jNCivw94vBo?…

Un gruppo di professionisti della sicurezza e accademici di Cloudflare, Microsoft, BastionZero, UC San Diego e Università di Amsterdam, hanno attirato l’attenzione su una vulnerabilità (CVE-2024-3596) nel protocollo RADIUS, che è in uso da oltre 30 anni. L’ attacco Blast-RADIUS consente agli aggressori di compromettere reti e dispositivi utilizzando attacchi MitM e collisioni MD5.

Il protocollo RADIUS (Remote Authentication Dial-In User Service) è stato sviluppato nel 1991 ed è noto fin dai tempi del dial-up. Da allora è rimasto lo standard de facto per l’autenticazione leggera ed è supportato praticamente in ogni switch, router, punto di accesso e concentratore VPN rilasciato negli ultimi decenni. Pertanto, RADIUS rimane un componente importante per la gestione della comunicazione client-server e viene utilizzato per fornire:

• Accesso VPN;
• Connessioni DSL e fibra offerte dai provider Internet,
• funzionamento Wi-Fi e autenticazione 802.1X;
• roaming nelle reti 2G e 3G;
• Autenticazione DNN nelle reti 5G;
• autenticazione tramite APN privati ​​per connettere i dispositivi mobili alle reti aziendali;
• autenticazione sui dispositivi di controllo CII;
• Eduroam e OpenRoaming Wi-Fi.

RADIUS consente una comunicazione continua tra i client (in genere router, switch e altri dispositivi che forniscono accesso alla rete) e un server RADIUS centrale, che funge da gatekeeper per l’autenticazione degli utenti e le policy di accesso. Lo scopo di RADIUS è fornire una gestione centralizzata dell’autenticazione, dell’autorizzazione e della contabilità per gli accessi remoti. A volte parliamo di decine di migliaia di dispositivi sulla stessa rete.

L’attacco Blast-RADIUS sfrutta il protocollo MD5 e le vulnerabilità di collisione, consentendo agli aggressori con accesso al traffico RADIUS di manipolare le risposte del server e aggiungere attributi arbitrari, consentendo loro di ottenere diritti amministrativi sui dispositivi RADIUS senza utilizzare la forza bruta o il furto di credenziali. L’attacco colpisce tutte le modalità di autenticazione RADIUS/UDP, ad eccezione di quelle che utilizzano EAP (Extensible Authentication Protocol).

“L’attacco Blast-RADIUS consente a un utente malintenzionato che si trova tra il client e il server RADIUS di creare un vero messaggio di accettazione del protocollo in risposta a una richiesta di autenticazione non riuscita”, spiegano i ricercatori. “Ciò può consentire a un utente malintenzionato di accedere ai dispositivi e ai servizi di rete senza dover indovinare o decifrare password o i segreti condivisi. Di conseguenza, l’aggressore non riceve le credenziali dell’utente. Un utente malintenzionato che utilizza il nostro attacco ha la capacità di aumentare i propri privilegi dall’accesso parziale alla rete all’accesso a qualsiasi dispositivo che utilizza RADIUS per l’autenticazione o di assegnarsi diritti di rete arbitrari”.
Modello di attacco
Il fatto è che il protocollo RADIUS utilizza richieste e risposte con hash MD5 durante l’autenticazione sul dispositivo. L’exploit PoC sviluppato dagli specialisti calcola una collisione dell’hash MD5 con un prefisso selezionato, necessaria per creare una corretta risposta Access-Accept, indicando una richiesta di autenticazione riuscita. Questo falso hash MD5 viene quindi iniettato nella connessione di rete utilizzando un attacco man-in-the-middle, consentendo all’aggressore di accedere al sistema.

Sfruttare il problema e creare un hash MD5 richiede dai 3 ai 6 minuti, ovvero più tempo dei timeout da 30 a 60 secondi tipicamente utilizzati in RADIUS. Tuttavia, ogni fase dell’algoritmo di collisione utilizzato nell’attacco può essere efficacemente parallelizzata e può anche essere ottimizzata a livello hardware. Cioè, un utente malintenzionato con buone risorse può sferrare un attacco utilizzando GPU, FPGA e altro hardware moderno e veloce per ottenere tempi di esecuzione più rapidi, aumentandoli di decine o addirittura centinaia di volte.

Poiché questo attacco non compromette le credenziali dell’utente finale, gli utenti stessi non possono fare nulla per proteggersi. Si consiglia tuttavia ai produttori e agli amministratori di sistema che creano e gestiscono dispositivi RADIUS di seguire le migliori pratiche già disponibili .inkbridgenetworks.com/blastrad…

Per proteggersi da Blast-RADIUS, gli operatori di rete possono passare a RADIUS over TLS (RADSEC), implementazioni RADIUS multi-hop e isolare il traffico RADIUS da Internet utilizzando VLAN limitate o tunneling TLS/IPsec.

L'articolo Ecco a voi Blast-RADIUS! Il nuovo exploit che Minaccia le Reti RADIUS dopo 30 Anni proviene da il blog della sicurezza informatica.

Some time ago [Kelton] was working on a clock inspired by Rube Goldberg contraptions. It uses only a single motor, and he’s proud to now show off the finished product (video, embedded below.)

The clock shows hours on the left, and minutes on the right. Every sixty minutes the clock drops a marble. That marble kicks off a series of visually-satisfying operations that culminate in advancing the hour. Then everything resets, and it continues for as long as it has power.
The hour oscillates in a very satisfying manner as it locks in.
At the top of each hour, the minute hand tips a marble with a gravity cam. That marble runs down a track gaining enough momentum to flip a kicker, and a short series of falling dominoes builds enough force to tip and trigger the spring-loaded ratchet that locks in a new hour. You can skip directly to 2:09 if you just want to listen to [Kelton] explain the whole operation from beginning to end.

We think it’s very interesting to note that this clock’s complexity is, if anything, understated. Each of the mechanisms involved must individually reset by their own separate mechanisms, each of which are as intriguing as their showier counterparts, and we’re sure they were every bit as difficult to get just right. And of course, it’s all driven by a single motor.

You may recall the promising start this clock project was off to and we’re delighted to see it come to completion, especially considering its complexity. Not every project sees completion, and fewer still get a version two, but that’s okay. What really floats our boat is seeing the process and details as well as hearing about what worked and what didn’t. We’re glad this clock reached the finish line, but even if something doesn’t work out, there’s always something to learn.

youtube.com/embed/LFGRpzzMAgE?…

Has anyone ever told you that you just can’t carry a tune? If you were to be the lucky recipient of one of [Ayu]’s synthesizer business cards, well, then it really couldn’t be helped.

This tiny, go-anywhere instrument has quite a lot going for it. It’s easy for anyone to pick up and play something, but versatile enough that a more experienced musician can add complexity. While we do tend to see twelve keys in a small form-factor like this, the Canta-Cart uses them a bit differently. Only ten are tied to notes, and the other two are for transposition.

[Ayu] was able to keep the BOM cost way down by using the PY32, which is an ARM Cortex-M microcontroller made by Puya that costs as little as 10¢ each. In fact, the whole BOM clocks in around 60¢ total even with the audio DAC and amplifier ICs, which really makes these ideal to actually give away to people. Check it out in action after the break, or try it in the browser!

player.vimeo.com/video/9708980…

Can you build a car that travels farther than you push it? [Tom Stanton] shows us that you can, using a capacitor and some nifty design tricks.

[Tom]’s video shows us the construction of a small 3D printed trike with a curious drivetrain. There’s a simple generator on board, which charges a capacitor when the trike is pushed along the ground. When the trike is let go, however, this generator instead acts as a motor, using energy stored in the capacitor to drive the trike further.

When put to the test by [Tom], both a freewheeling car and the capacitor car are pushed up to a set speed. But the capacitor car goes farther. The trick is simple – the capacitor car can go further because it has more energy. But how?

It’s all because more work is being done to push the capacitor car up to speed. It stores energy in the capacitor while it’s being accelerated by the human pushing it. In contrast, after being pushed, the freewheeling car merely coasts to a stop as it loses kinetic energy. However, the capacitor car has similar kinetic energy plus the energy stored in its capacitor, which it can use to run its motor.

It’s a neat exploration of some basic physics, and useful learning if you’ve ever wondered about the prospects of perpetual motion machines.

youtube.com/embed/eoVUdwOgjiA?…

Palo Alto Networks ha rilasciato aggiornamenti di sicurezza per risolvere cinque falle di sicurezza che hanno avuto un impatto sui suoi prodotti, tra cui un bug critico che potrebbe causare l’aggiramento dell’autenticazione.

Catalogata come CVE-2024-5910 (punteggio CVSS: 9,3), la vulnerabilità è stata descritta come un caso di autenticazione mancante nel suo strumento di migrazione Expedition che potrebbe portare all’acquisizione di un account amministratore.

“La mancanza di autenticazione per una funzione critica in Palo Alto Networks Expedition può portare all’acquisizione dell’account amministratore di Expedition per gli aggressori con accesso di rete a Expedition”, ha affermato l’azienda in un avviso. “I segreti di configurazione, le credenziali e altri dati importati in Expedition sono a rischio a causa di questo problema”.

Il difetto ha un impatto su tutte le versioni di Expedition precedenti alla versione 1.2.92, che risolve il problema. Brian Hysell del Synopsys Cybersecurity Research Center (CyRC) è stato accreditato per aver scoperto e segnalato il problema. Sebbene non vi siano prove che la vulnerabilità sia stata sfruttata, si consiglia agli utenti di aggiornare il software alla versione più recente per proteggersi da potenziali minacce.

Come soluzione alternativa, Palo Alto Networks consiglia di limitare l’accesso di rete a Expedition a utenti, host o reti autorizzati. L’azienda americana di sicurezza informatica ha inoltre risolto un difetto recentemente scoperto nel protocollo RADIUS denominato BlastRADIUS (CVE-2024-3596), che potrebbe consentire a un malintenzionato in grado di eseguire un attacco Adversary-in-the-Middle (AitM) tra il firewall PAN-OS di Palo Alto Networks e un server RADIUS per eludere l’autenticazione.

L'articolo Palo Alto Networks Risolve Vulnerabilità Critiche di Sicurezza: Aggiornamenti per CVE-2024-5910 e BlastRADIUS proviene da il blog della sicurezza informatica.

Chat control is back on the agenda of EU governments. They will discuss “progress” on 10/11 October and are to endorse it on 12/13 December.
In June we managed to stop the unprecedented plan by an extremely narrow “blocking minority” of EU governments: Chat control proponents achieved 63.7% of the 65% of votes threshold required in the Council of the EU for a qualified majority.

Several formerly opposed governments such as France have already given up their opposition. Several still critical governments are only asking for small modifications (e.g. searching for “known content” only or excluding end-to-end encryption) which would still result in mass searches and leaks of our private communications. Therefore there is a real threat that the required majority for mass scanning of private communications may be achieved at any time under the current Hungarian presidency (Hungary being a supporter of the proposal).

That is why we now need to get involved and raise our voices to our governments and raise awareness in the wider population.
→ Previously supportive governments must be convinced to change their minds
→ Critical governments need to be pushed to demand comprehensive changes, as proposed by the European Parliament, and not just minor changes to the proposal.

In the absence of such fundamental revision, the proposal should be rejected altogether.

This map (feel free to share online!) visualises EU governments positions on chat control in June, also summarised in the table below. It helps you understand where your government stands and can help you start your journey as a digital rights advocate against chat control in your country. You will find some helpful resources below.

Is your government in favour?
→ Ask for an explanation and for your government to revert its course.

Is your government abstaining?
→ Ask why and demand that they take a strong stance against chat control.

Is your government opposing?
→ Great, but take a closer look at the reasoning: Some governments like Germany e.g. only object to the scanning of encrypted communications, but are fine with the indiscriminate scanning of other private and public communication, with the end of anonymous communication by requiring age verification, or with introducing a minimum age for “risky” communication apps. Also critical governments need to do more, exert their influence in the Council of the EU and agree on a joint list of necessary fundamental changes to the proposal. Absent such revision they should ask the European Commission to withdraw the chat control proposal as it stands.

Where your government stands on chat control

Take action now

These are ideas for what you can do in the short-term or with some
preparation. Start with:

• Ask you government to call on the European Commission to withdraw the chat control proposal. Point them to a joint letter that was recently sent by children’s rights and digital rights groups from across Europe. Click here to find the letter and more information.
• Check your government’s position (see above) and, if they voted in favour or abstained, ask them to explain why. Tell them that as a citizen you want them to reject the proposal, that chat control is widely criticised by experts and that none of the proposals tabled in the Council of the EU so far are acceptable. Ask them to protect the privacy of your communication and your IT security.
• Share this call to action online.

When reaching out to your government, the ministries of the interior (in the lead) of justice and of digitisation/telecommunications/economy are your best bet. You can additionally contact the permanent representation of your country with the EU.

It can also be useful to reach out to Members of your national Parliament who can determine your country’s vote. Talk to your political representatives. Whether it is the newly elected MEPs of the European Parliament or local groups of the political parties: make sure everyone is aware of what chat control is about and that you expect politicians to defend your fundamental rights against the proposal!

When contacting politicians, writing a real letter, calling in or attending a local party event or visiting a local office to have a conversation will have a stronger impact than writing an e-mail. You can find contact details on their websites. Just remember that while you should be determined in your position, remain polite, as they will otherwise disregard what you have to say. Here is useful argumentation on chat control. And here is argumentation for why the minor modifications so far envisioned by EU governments fail to address the dangers of chat control: by us, by EDRi, by CDT.

As we continue the fight against against chat control, we need to expand the resistance:

• Explain to your friends why this is an important topic. This short video, translated to all European languages, is a good start – feel free to use and share it. Also available on PeerTube (EN) and YouTube (DE).
• Taking action works better and is more motivating when you work together. So try to find allies and form alliances. Whether it is in a local hackspace or in a sports club: your local action group against chat control can start anywhere. Then you can get creative and decide which type of action suits you best.

Take action now. We are the resistance against chat control!

patrick-breyer.de/en/take-acti…

Digitalcourage auf PeerTube

2023-03-09 19:03:35

#StopScanningMe: How to actually protect children online | Kurzfilm: #Chatkontrolle (EN)

StopScanningMe / Alexander Lehmann, CC-BY 4.0

In 2022, European lawmakers proposed new rules with the noble intent to protect children. However, this law allows authorities to have anyone's legitimate conversations monitored.

In doing so, it harms everyone, including those it wants to protect. No one can be protected by making the internet less secure.

Learn more at: stopscanningme.eu/

We are European Digital Rights. We promote, protect and uphold human rights and fundamental freedoms in the digital environment.

Stay tuned here: eupolicy.social/@edri

Deutsche Fassung des Videos hier: digitalcourage.video/w/mNHKXBr…
Mehr Informationen zum Thema auf Deutsch bei Digitalcourage: digitalcourage.de/chatkontroll…
… und auf der Seite „Chatkontrolle STOPPEN!“: chat-kontrolle.eu/

Stop Scanning Me

Privacy empowers. Surveillance weakens.

^{Stop Scanning Me}

In case you haven’t heard, about a month ago MicroPython has celebrated its 11th birthday. I was lucky that I was able to start hacking with it soon after pyboards have shipped – the first tech talk I remember giving was about MicroPython, and that talk was how I got into the hackerspace I subsequently spent years in. Since then, MicroPython been a staple in my projects, workshops, and hacking forays.

If you’re friends with Python or you’re willing to learn, you might just enjoy it a lot too. What’s more, MicroPython is an invaluable addition to a hacker’s toolkit, and I’d like to show you why.

Hacking At Keypress Speed

Got a MicroPython-capable chip? Chances are, MicroPython will serve you well in a number of ways that you wouldn’t expect. Here’s a shining example of what you can do. Flash MicroPython onto your board – I’ll use a RP2040 board like a Pi Pico. For a Pico, connect an I2C device to your board with SDA on pin 0 and SCL on pin 1, open a serial terminal of your choice and type this in:
>>> from machine import I2C, Pin
>>> i2c = I2C(0, sda=Pin(0), scl=Pin(1))
>>> i2c.scan()

This interactivity is known as REPL – Read, Evaluate, Print, Loop. The REPL alone makes MicroPython amazing for board bringup, building devices quickly, reverse-engineering, debugging device library problems and code, prototyping code snippets, writing test code and a good few other things. You can explore your MCU and its peripherals at lightning speed, from inside the MCU.

When I get a new I2C device to play with, the first thing I tend to do is wiring it up to a MicroPython-powered board, and poking at its registers. It’s as simple as this:
>>> for i in range(16):
>>> # read out registers 0-15
>>> # print "address value" for each
>>> print(hex(i), i2c.readfrom_mem(0x22, i))
>>> # write something to a second (0x01) register
>>> i2c.writeto_mem(0x22, 0x01, bytes([0x01]) )

That i2c.scan() line alone replaces an I2C scanner program you’d otherwise have to upload into your MCU of choice, and you can run it within three to five seconds. Got Micropython running? Use serial terminal, Ctrl+C, and that will drop you into a REPL, just type i2c.scan() and press Enter. What’s more, you can inspect your code’s variables from the REPL, and if you structure your code well, even restart your code from where it left off! This is simply amazing for debugging code crashes, rare problems, and bugs like “it stops running after 20 days of uptime”. In many important ways, this removes the need for a debugger – you can now use your MCU to debug your code from the inside.

Oh, again, that i2c.scan()? You can quickly modify it if you need to add features on the fly. Want addresses printed in hex? (hex(addr) for addr in i2c.scan()). Want to scan your bus while you’re poking your cabling looking for a faulty wire? Put the scan into a while True: and Ctrl+C when you’re done. When using a typical compiled language, this sort of tinkering requires an edit-compile-flash-connect-repeat cycle, taking about a dozen seconds each time you make a tiny change. MicroPython lets you hack at the speed of your keyboard typing. Confused the pins? Press the `up` button, edit the line and run the i2c = line anew.

To be clear, all of code is running on your microcontroller, you just type it into your chip’s RAM and it is executed by your MCU. Here’s how you check GPIOs on your Pi Pico, in case you’re worried that some of them have burnt out:
>>> from machine import Pin
>>> from time import sleep
>>> pin_nums = range(30) # 0 to 29
>>> # all pins by default - remove the ones connected to something else if needed
>>> pins = [Pin(num, Pin.OUT) for num in pin_nums]
>>>
>>> while True:
>>> # turn all pins on
>>> for i in range(len(pins)):
>>> pins[i].value(True)
>>> sleep(1)
>>> # turn all pins off
>>> for i in range(len(pins)):
>>> pins[i].value(False)
>>> sleep(1)
>>> # probe each pin with your multimeter and check that each pin changes its state

There’s many things that make MicroPython a killer interpreter for your MCU. It’s not just the hardware abstraction layer (HAL), but it’s also the HAL because moving your code from board to board is generally as simple as changing pin definitions. But it’s all the other libraries that you get for free that make Python awesome on a microcontroller.

Batteries Included

It really is about the batteries – all the libraries that the stock interpreter brings you, and many more that you can download. Only an import away are time, socket, json, requests, select, re and many more, and overwhelmingly, they work the same as CPython. You can do the same r = requests.get("https://retro.hackaday.com"); print(r.text)[:1024] as you would do on desktop Python, as long as you got a network connection going on. There will be a few changes – for instance, time.time() is an integer, not a float, so if you need to keep track of time very granularly, there are different functions you can use.

Say, you want to parse JSON from a web endpoint. If you’re doing that in an Arduino environment, chances are, you will be limited in what you can do, and you will get triangle bracket errors if you mis-use the JSON library constructs because somehow the library uses templates; runtime error messages are up to you to implement. If you parse JSON on MicroPython and you expect a dict but get a list in runtime, it prints a readable error message. If you run out of memory, you get a very readable MemoryError printed out, you can expect it and protect yourself from it, even fix things from REPL and re-run the code if needed.

The user-supplied code is pretty good, too. If you want PIO or USB-HID on the RP2040, or ESP-CPU-specific functions on the ESP family, they are exposed in handy libraries. If you want a library to drive a display, it likely already has been implemented by someone and put on GitHub. And, if that doesn’t exist, you port one from Arduino and publish it; chances are, it will be shorter and easier to read. Of course, MicroPython has problems. In fact, I’ve encountered a good few problems myself, and I would be amiss not mentioning them.

Mind The Scope

In my experience, the single biggest problem with MicroPython is that writing out `MicroPython` requires more of my attention span than I can afford. I personally shorten it to uPy or just upy, informally. Another problem is that the new, modernized MicroPython logo has no sources or high-res images available, so I can’t print my own stickers of it, and MicroPython didn’t visit FOSDEM this year, so I couldn’t replenish my sticker stock.

On a more serious note, MicroPython as a language has a wide scope of where you can use it; sometimes, it won’t work for you. An ATMega328P can’t handle it – but an ESP8266 or ESP32 will easily, without a worry in the world, and you get WiFi for free. If you want to exactly control what your hardware does, counting clock cycles or hitting performance issues, MicroPython might not work for you – unless you write some Viper code.

If you want to have an extremely-low-power MCU that runs off something like energy harvesting, MicroPython might not work – probably. If you need your code run instantly once your MCU gets power, mind the interpreter takes a small bit of time to initialize – about one second, in my experience. If you want to do HDMI output on a RP2040, perhaps stick to C – though you can still do PIO code, there are some nice libraries for it.

Some amount of clock cycles will be spent on niceties that Python brings. Need more performance? There are things you can do. For instance, if you have a color display connected over SPI and you want to reduce frame rendering time, you might want to drop down to C, but you don’t have to ditch MicroPython – just put more of your intensive code into C-written device drivers or modules you compile, and, prototype it in MicroPython before you write it.

As Seen On Hackaday

If you’ve followed the USB-C PD talking series, you must’ve seen that the code was written in MicroPython, and I’ve added features like PD sniffing, DisplayPort handling and PSU mode as if effortlessly; it was just that easy to add them and more. I started with the REPL, a FUSB302 connected to a RP2040, poking at registers and reading the datasheet, and while I needed outside help, the REPL work was so so much fun!

There’s something immensely satisfying about poking at a piece of technology interactively and trying to squeeze features out of it, much more if it ends up working, which it didn’t, but it did many other times! I’ve been hacking on that PD stack, and now I’m slowly reformatting it from a bundle of functions into object-based code – Python makes that a breeze.

Remember the Sony Vaio board? Its EC (embedded controller) is a RP2040, always powered on as long as batteries are inserted, and it’s going to be running MicroPython. The EC tasks include power management, being a HID over I2C peripheral, button and LED control, and possibly forwarding keyboard and trackpoint events to save a USB port from the second RP2040, which will run QMK and server as a keyboard controller. MicroPython allows me to make the firmware quickly, adorn it with a dozen features while I do it, and keep the codebase expandable on a whim. The firmware implementation will be a fun journey, and I hope I can tell about it at some point.

Have you used MicroPython in your projects? What did it bring to your party?

Ticketmaster is having a rough time lately. Recently, a hacker named [Conduition] managed to reverse-engineer their new “safe” electronic ticket system. Of course, they also had the recent breach where more than half a billion accounts had personal and financial data leaked without any indication of whether or not the data was fully encrypted. But we’re going to focus on the former, as it’s more technically interesting.

Ticketmaster’s stated goals for the new SafeTix system — which requires the use of a smartphone app — was to reduce fraud and ticket scalping. Essentially, you purchase a ticket using their app, and some data is downloaded to your phone which generates a rotating barcode every 15 seconds. When [Conduition] arrived at the venue, cell and WiFi service was totally swamped by everyone trying to load their barcode tickets. After many worried minutes (and presumably a few choice words) [Conduition] managed to get a cell signal long enough to update the barcode, and was able to enter, albeit with a large contingent of similarly annoyed fans trying to enter with their legally purchased tickets.

The real kicker here is that since the barcode rotates every 15 seconds, printing it out simply isn’t an option. This alienates anyone who doesn’t have a smartphone, which includes individuals who may not be able to physically operate one. So the problem isn’t simply that users were being forced to install yet another application on their device, but that the system reduces accessibility to entertainment. [Conduition] was dismayed and frustrated with this, and so the reverse-engineering effort began.

Decoding the barcode was actually quite simple. It is a standard PDF417 barcode, which contains a long Base64 string, two six-digit numbers, and a Unix timestamp all concatenated together with colons. The only parts of the string that seemed to change over time were the two six-digit numbers. Hmm, can we think of a common technology which generates six-digit numbers that update seemingly randomly on a fixed cycle? Of course — it’s just a Time-based one-time password (TOTP), the technology behind 2FA authenticator apps!

So where were the secret keys coming from? TOTP only requires two things: a static secret string, and the current time. [Conduition] checked the communication with the Ticketmaster servers and found a particularly interesting request that returned JSON-formatted data, inside which were of course the two secret keys. One seems to be unique per customer, and the other per ticket.
The important data captured from the web traffic
The Ticketmaster API documentation only briefly mentions this feature, but they do state that customers must refresh their ticket barcodes within 20 hours before an event starts. These two pieces of information were enough to allow [Conduition] to whip up a simple app that accepts the secret keys and the ticket ID and pops out the rotating barcodes. This would allow you to sell your tickets in the 20 hours prior to an event, or even just give them away to friends without having to give their personal data to Ticketmaster and allow you to take back control of your tickets.

Thanks to [Chrischi] for the tip!