Alphabet è in trattative avanzate per acquisire Wiz, il che amplierebbe notevolmente le sue capacità di sicurezza. Sarebbe la più grande acquisizione mai fatta dalla casa madre di Google.

Così scrive Reuters basandosi su una fonte anonima. L’importo dell’acquisizione target è di 23 miliardi di dollari, o 21,1 miliardi di euro. Wiz ha una tecnologia per il rilevamento e la risposta in tempo reale alle minacce informatiche. Implementando l’intelligenza artificiale, Wiz è stata in grado di attrarre molte aziende come clienti in un breve lasso di tempo.

L’obiettivo di acquisizione di Alphabet è stato stabilito all’inizio del 2020. Entro il 2023, Wiz ha registrato ricavi per 350 milioni di dollari. A quel tempo, il 40 percento delle più grandi aziende del mondo erano clienti. Ha anche recentemente raccolto 1 miliardo di dollari durante un round di investimenti, dopo di che Wiz ha raggiunto una valutazione di 12 miliardi di dollari.

Di recente, la stessa Wiz ha fatto diversi tentativi per accelerare la crescita tramite acquisizioni. Ad aprile, ad esempio, ha acquisito Gem Security per espandere le sue capacità di rilevamento e risposta al cloud. C’era anche l’ambizione di acquistare Lacework, una parte che un tempo valeva miliardi, ma a livello dettagliato, alla fine non si è concretizzato alcun accordo.

La strategia di acquisizione sembra dare i suoi frutti, almeno finanziariamente. Ora che Alphabet è interessata, la questione è se fondersi in un grande partito fosse l’obiettivo prefissato. In ogni caso, Alphabet e Wiz non hanno ancora risposto.

All’inizio di quest’anno, Alphabet aveva intenzione di acquisire Hubspot, un fornitore di software CRM. Data la valutazione di Hubspot di 35 miliardi di dollari, questa sarebbe stata potenzialmente un’acquisizione ancora più grande. Tuttavia, questa acquisizione prevista non ha mai raggiunto colloqui avanzati sui dettagli.

Il record di acquisizioni di Alphabet è ancora Mandiant, acquisita nel 2022 per 5,4 miliardi di dollari. Questa parte, come Wiz, è specializzata in sicurezza informatica.

Reuters nota che se Alphabet andrà avanti con il tentativo di acquisizione, dovrà fare i conti con l’avversione dell’amministrazione Biden per i mega-accordi. Le autorità di regolamentazione sono severe con le grandi aziende tecnologiche che minacciano di crescere solo tramite acquisizioni.

L'articolo Google Pronta ad acquistare Wiz per 23 Miliardi: Le Capacità di Sicurezza di Alphabet Pronte a Esplodere proviene da il blog della sicurezza informatica.

Art.600-quater c.p.:

Chiunque, al di fuori delle ipotesi previste nell'articolo 600-ter, consapevolmente si procura o detiene materiale pornografico realizzato utilizzando minori degli anni diciotto è punito con la reclusione fino a tre anni o con la multa non inferiore a euro 1.549.

La pena è aumentata in misura non eccedente i due terzi ove il materiale detenuto sia di ingente quantità.

Fuori dei casi di cui al primo comma, chiunque, mediante l'utilizzo della rete internet o di altre reti o mezzi di comunicazione, accede intenzionalmente e senza giustificato motivo a materiale pornografico realizzato utilizzando minori degli anni diciotto è punito con la reclusione fino a due anni e con la multa non inferiore a euro 1.000.

Il contenuto della norma

L’art. 600-quater c.p sanziona chi consapevolmente acquisisce o detiene materiale pornografico realizzato con l’impiego di individui di età inferiore ai 18 anni.

La norma in questione punisce le condotte alternative di procurarsi o detenere materiale pedopornografico.

In passato, la visione di materiale pedopornografico veniva considerata penalmente irrilevante se avveniva senza che il possessore del materiale avesse una relazione con il mercato di quest’ultimo. In altre parole, la legge non puniva la mera visione del materiale, ma focalizzava l’attenzione sul legame del possessore con il mercato della pedopornografia. Tuttavia, la situazione è cambiata con l’introduzione dell’ultimo comma, derivante dall’art. 20, comma 1, lettera a) della legge n. 238/21. Questa modifica punisce chi, mediante l’utilizzo di internet o altri mezzi di comunicazione, accede intenzionalmente e senza giustificato motivo a materiale pornografico realizzato utilizzando minori di diciotto anni. È importante notare che non dovrebbero essere puniti coloro che accedono inavvertitamente a siti contenenti materiale pedopornografico.

L’oggetto materiale del reato è il materiale pornografico realizzato con l’impiego di minori di 18 anni, senza considerare il consenso del minore, poiché il sistema di incriminazioni in materia di pedopornografia, presume che tale consenso non possa essere liberamente dato.

È necessario possedere la consapevolezza e la volontà di acquisire o detenere materiale pedopornografico. Va sottolineato che l’utilizzo dell’avverbio “consapevolmente” nel primo comma limita la punibilità alle azioni caratterizzate da dolo diretto o intenzionale, dovendosi presumibilmente escludere il dolo eventuale. Questa consapevolezza non riguarda solo l’acquisizione o la detenzione del materiale, ma anche il suo contenuto. Pertanto, vengono sanzionati solo coloro che si procurano o detengono materiale che esplicitamente raffigura minori, non chi accetta semplicemente la possibilità che tale materiale possa essere di natura pedopornografica.

Il secondo comma prevede un’aggravante, che comporta un aumento di pena fino a due terzi, se il materiale detenuto è di notevole quantità. L’incremento della pena si applica anche se il reato è commesso da più persone insieme, da una persona che fa parte di un’associazione criminale per facilitarne l’attività, o se il reato è commesso con violenze gravi o se dal fatto deriva un grave pregiudizio al minore a causa della ripetizione delle azioni. La pena è inoltre aumentata fino a due terzi nei casi in cui vengano utilizzati mezzi per impedire l’identificazione dei dati di accesso alle reti telematiche.

Cosa dice la giurisprudenza

Materiale pedopornografico quale oggetto della condotta

Non può integrarsi un’ipotesi di “pornografia domestica”ai sensi del reato di cui all’art.600-quater c.p. nel caso in cui il minore che produce ed invia il materiale pedopornografico abbia meno di 14 anni, non avendo raggiunto l’età per esprimere un valido consenso sessuale (Cass.,Sez.III,sent.n.23840/22.In senso conforme: Cass., Sez. Un..pen., sent. n. 4616/22.; Cass., Sez. III, sent.n.. 5522/20; Cass., Sez. Un.pen., sent. n. 51815/18).

Il materiale pedopornografico individuato quale oggetto materiale delle condotte di procacciamento e detenzione incriminate dall’art. 600 – quater c.p. deve consistere, quando si tratti di materiale informatico scaricato in internet, comunque in files completi, incorrotti e visionabili o comunque potenzialmente fruibili per mezzo degli ordinari strumenti e competenze informatiche, dei quali sia provata la disponibilità in capo all’utente (Cass., Sez. III, sent. n. 10491/14).

Le condotte punite dalla norma

Integra la detenzione penalmente rilevante ai sensi dell’art. 600-quater, comma primo, cod. pen. la disponibilità di “file di contenuto pedopornografico archiviati sul “cloud storage” di una “chat” di gruppo nello spazio Telegram e accessibili, per il tramite delle proprie credenziali, da parte di ogni componente del gruppo che abbia consapevolmente preso parte ad esso (Cass.Sez.III, sent.n.36572/23).

Con riferimento al reato di cui all’art. 600-quater cod. pen., rientra nel concetto di detenzione di materiale pedopornografico non solo la disponibilità di contenuti archiviati permanentemente, ma anche la disponibilità di file fruibili, senza limiti di tempo e luogo, mediante accesso a un archivio virtuale integralmente consultabile con credenziali di autenticazione esclusive o comunque note a chi le utilizzi (Cass. , Sez.III, sent.n. 4212/23).

Il reato di detenzione di materiale pedopornografico sussiste anche se l’imputato ne ha la disponibilità tramite il cloud di un sito internet cui accede con password personali (Cass.,Sez.II, sent.n. 3212/23).

L’avvenuta cancellazione dei files a contenuto pedopornografico determina solo la cessazione della permanenza del reato e non , invece, un’eliminazione ex tunc della rilevanza penale della condotta per il periodo antecedente alla eliminazione dei “files”sino a quel momento detenuti (Cass., Sez.III, sent.n.11044/17).

Integra il delitto di detenzione di materiale pedopornografico la cancellazione di files pedopornografici, scaricati da internet, mediante l’allocazione nel cestino del sistema operativo del personal computer, in quanto gli stessi restano comunque disponibili mediante la semplice riattivazione dell’accesso al file ( Cass,. Sez. III, sent. n. 639/10).

E’ penalmente rilevante la condotta consistente nel procurarsi materiale pedopornografico “scaricato”(cosiddetta operazione di “download”) da un sito internet a pagamento , in quanto il comportamento di chi accede al sito e versa gli importi richiesti per procurarsi il materiale pedopornografico offende la libertà sessuale e individuale dei minori coinvolti come il comportamento di chi lo produce(Cass., Sez.III, sent.n. 41570/07).

La disponibilità del materiale pedopornografico prodotto mediante lo sfruttamento sessuale dei minori deve essere intesa come possibilità di libera utilizzazione di detto materiale, senza che ne sia necessario l’effettivo uso (Cass.,Sez.III,sent.n. 36094/06).

La fattispecie in parola non può configurarsi laddove il soggetto navigando su internet entri semplicemente in contatto con immagini pedopornografiche, essendo necessario che lo stesso se ne appropri, “ salvandole e veicolandole o sul disco fisso del p.c. o su altri supporti, con esso interfacciabili, che ne consentano la visione o comunque la riproduzione” ( Cass., Sez III, sent. n. 39282/05; Tribunale di Brescia, sentenza n.1619/04)..

Altra giurisprudenza, tuttavia, ha affermato la sussistenza del reato anche nelle ipotesi in cui il soggetto abbia semplicemente visionato, senza scaricarle, immagini pedopornografiche contenute all’interno di un sito internet (Cass., Sez. III, sent. n. 639/11; Cass., Sez. III, sent. n. 41570/07). Problema, probabilmente superato dall’introduzione del terzo comma che punisce il mero accesso a materiale pedopornografico.

Elemento psicologico del reato

La prova del dolo di tale reato può desumersi anche dal sol fatto che i contenuti scaricati siano stati collocati in supporti informatici diversi(ad.es. nel “cestino” del sistema operativo), in quanto tale attività evidenzia una selezione consapevole dei “files”, non rilevando il fatto che non siano stati effettivamente visionati (Cass.,Sez.III, sent.n. 48175/17).

La perdita accidentale di una “memory-card “per telefoni cellulari contenente materiale pedopornografico esclude la volontà del reo di consentire a terzi la frizione dei “file” e , pertanto, non configura gli estremi della divulgazione prevista dall’art.600-ter c.p., integrando unicamente gli elementi costitutivi della detenzione punita dall’art.600 –quater c.p.(Cass., Sez.III, sent.n. 40847/12).

Prescrizione

Il reato di detenzione di materiale pedopornografico è un reato permanente, sicché i termini decorrono dalla data del sequestro (Cass., Sez. III, sent. n. 29721/10).

Concorso delitti di cessione e detenzione

In ordine all’eventualità di un concorso tra i delitti di cessione e detenzione di materiale pedopornografico, la stessa viene esclusa nel senso che nell’ipotesi in cui venga contestata la cessione, la detenzione non assume rilevanza, costituendo un antefatto non punibile (Cass., Sez.III, sent.n. 2011/2014; Cass., Sez. III,sent. n. 36364/08).

Ingente quantità

Quanto ai criteri per individuare “l’ingente quantità” è stato chiarito come “la configurabilità della circostanza aggravante della”ingente quantità “ nel delitto di detenzione di materiale pedopornografico impone al giudice di tener conto non solo del numero dei supporti detenuti, dato di per sé indiziante, ma anche del numero di immagini, da considerare come obiettiva unità di misura, che ciascuno di essi contiene”( Cass. , Sez. III, sent. 39543/17; Cass., Sez.III, sent.n. 35876/16; Cass., Sez. III, sent. n. 17211/11).

In una prima decisione (Cass., Sez. III, sent. n. 17211/11) è stata considerata ingente la detenzione di 175 DVD contenenti numerosi files pedopornografici, mentre in altra (Cass. , Sez. III, sent. 39543/17) quella di un film e 300 fotografie.

L'articolo Digital Crime: Detenzione o accesso a materiale pedopornografico proviene da il blog della sicurezza informatica.

Ransomcortex è una nuova cyber gang ransomware che risuona minacciosamente nel settore sanitario.

Questo gruppo ha rapidamente attirato l’attenzione per la sua specializzazione negli attacchi a strutture sanitarie, colpendo in pochi giorni quattro istituzioni, tra cui tre in Brasile e una in Canada. Questo gruppo ha dimostrato una straordinaria efficienza e una chiara strategia “in target”, mettendo in evidenza la vulnerabilità di un settore già sotto una enorme pressione.

Il focus mirato di Ransomcortex sulle organizzazioni sanitarie solleva domande cruciali: perché questo settore e quali sono i veri obiettivi di questi criminali? Le informazioni sanitarie, estremamente sensibili e preziose, rappresentano un bersaglio allettante per frodi finanziarie, estorsioni e vendita nel mercato nero.
data leak site (DLS) di Ransomcortex
Gli attacchi ransomware contro gli ospedali e cliniche non sono solo un problema di sicurezza informatica, ma anche una questione di sicurezza pubblica, con implicazioni dirette sulla vita dei pazienti. Inoltre, gli ospedali sono fondamentali per garantire uno dei diritti essenziali sanciti dalla nostra costituzione: il diritto alla salute. Per questo motivo, dovrebbero essere considerati infrastrutture critiche nazionali e protetti adeguatamente.

Per comprendere meglio le motivazioni e le metodologie di Ransomcortex, abbiamo ottenuto un’intervista esclusiva con i membri del gruppo. Questa conversazione offre una rara finestra sulle operazioni interne di una cyber gang che ha scelto di prendere di mira uno dei settori più critici della nostra società. Discuteremo della loro filosofia operativa, delle tecniche utilizzate per infiltrarsi nelle reti delle vittime e delle loro prospettive future sugli attacchi ransomware.

Questa intervista è un’occasione per le organizzazioni sanitarie e i professionisti della sicurezza informatica di capire meglio il nemico e di prepararsi a fronteggiare queste minacce in modo più efficace. La conoscenza è potere, e speriamo che queste informazioni possano contribuire a rafforzare le difese contro una delle più pressanti minacce del nostro tempo.
Schermata di TOX Messanger, dove si è svolta l’intervista alla cybergang Ransomcortex

L’Intervista

1 – RHC: Grazie ragazzi per aver accettato questa intervista. Siete un gruppo comparso recentemente nelle underground, potete parlarci di come e quando è nato il gruppo Ransomcortex e perché la scelta di questo nome?
Ransomcortex: Ransomcortex è stato creato nel 2024, ma le nostre attività si svolgevano in modo indipendente già da qualche anno.

2 – RHC: Siete un rebrand di un gruppo ransomware già esistente o affiliati di altri RaaS che volevano mettersi in proprio? Ci potete raccontare le motivazioni per le quali avete aperto questo nuovo gruppo ransomware?
Ransomcortex: Abbiamo membri provenienti da altri gruppi e alcuni membri che facevano parte di Qiulong, che ha chiuso le sue operazioni di ransomware per concentrarsi sullo spionaggio industriale.

3 – RHC: Al momento lavorate da soli oppure già adesso avete degli affiliati visto che avete aperto recentemente? Se sì, potete descrivere come funziona questo modello e quali sono i requisiti per diventare un affiliato?
Ransomcortex: Lavoriamo da soli; al momento non accettiamo affiliati per preservare la sicurezza delle nostre operazioni.

4 – RHC: Avete delle regole specifiche che vi siete dati, come ad esempio non colpire determinate zone come la CSI? Ce ne potete parlare?
Ransomcortex: Non attacchiamo i Paesi della CSI, l’Iran, la Corea del Nord e la Cina. Un’altra regola stabilita è quella di non attaccare i dipartimenti di polizia. Il resto è tutto consentito.

5 – RHC: visto che vi state posizionando come un gruppo che lavora su specifici target (4 vittime su 4 sono ospedali ad oggi sul DLS), ci potete spiegare perchè vi state concentrando sulle strutture sanitarie? Avete nel mirino anche aziende normali?
Ransomcortex: Il nostro obiettivo principale è il settore sanitario perché contiene i dati più sensibili e critici rispetto ad altri settori non governativi comuni.

6 – RHC: Avete scritto nella sezione “Advertising (Bounty $/ Work with us!)” del vostro sito “Offriamo taglie (U$D) a chi può fornire assistenza fisica per aiutare le aziende a effettuare pagamenti nelle principali città. È necessario avere una propria squadra per l’azione fisica, oltre a stalker, osinters e ‘swatters’. Il vostro metodo non è importante per noi. Solo il denaro lo è.”. Ci potete spiegare meglio in che cosa consiste questa richiesta?
Ransomcortex: Questo è un modo per esternalizzare i compiti e dare l’opportunità ai criminali di altri settori di trarre profitto dalle operazioni di ransomware, non solo a noi, che siamo dietro uno schermo.

7 – RHC: Il settore sanitario è balzato al quarto posto tra i settori più colpiti dal ransomware. Quali strategie di monetizzazione adottate per i dati sanitari nel caso in cui un’azienda sanitaria non paghi il riscatto? Ad esempio, ricorrere ad aste private o vendite a società farmaceutiche? Potete spiegarci come funziona questo processo anche in relazione al punto precedente?
Ransomcortex: Il settore sanitario è altamente monetizzabile perché l’obiettivo dell’estorsione non sarà mai solo l’azienda vittima (se non paga): è possibile estorcere ai pazienti la mancata divulgazione dei loro dati sanitari intimi, nonché vendere i dati sul mercato nero. Quindi un attacco in questo settore può fornire +3 fonti monetizzabili. Questa è solo un’ipotesi nel caso in cui l’azienda non paghi il riscatto. Se pagano, lasceremo in pace i loro pazienti e i loro dati.

8 – RHC: Visto che sono già iniziati gli effetti collaterali a seguito degli attacchi ransomware agli ospedali – ad esempio nel 2019 un bambino è nato morto in Alabama oppure nel 2020 una donna muore a Düsseldorf a causa di un incidente ransomware. Quali sono le regole che vi siete dati affinché l’operatività di alcuni settori strategici degli ospedali possano continuare ad operare come ad esempio il pronto soccorso e non creare rischi per le persone?
Ransomcortex: In questo caso, il sistema non è criptato. Si tratta solo di esfiltrazione di dati = estorsione per non divulgare i dati e per evitare la distruzione pubblica dell’immagine di questa azienda.

9 – RHC: Potete spiegare il vostro processo di selezione delle vittime? Quali fattori considerate principalmente?
Ransomcortex: Aziende sanitarie private che parlano inglese, italiano, spagnolo e portoghese.

10 – RHC: Il settore sanitario è particolarmente vulnerabile agli attacchi ransomware in tutto il mondo. Quali sono le principali tecniche che utilizzate per penetrare le difese di queste organizzazioni? E’ presente un fattore comune?
Ransomcortex: Sfruttiamo alcune vulnerabilità, ma all’interno del nostro team abbiamo un nostro centro focalizzato sulla raccolta di informazioni per l’accesso: specialisti OSINT, ingegneri sociali e pentester.

11 – RHC: Se doveste dire ad un ospedale da quale punto cominciare per ripristinare la propria sicurezza informatica, quale consiglio dareste?
Ransomcortex: Aumentare il livello intellettuale degli esseri umani che lavorano in questo ospedale. Gli esseri umani sono i più facili da sfruttare.

12 – RHC: Parliamo ora della vostra soluzione. In che modo il vostro ransomware si differenzia dagli altri ransomware come ad esempio i famosi LockBit 3.0 o Akira? Se doveste spiegare ad un potenziale affiliato perchè iniziare una collaborazione con voi, cosa direste dal punto di vista tecnico relativamente alla vostra soluzione?
Ransomcortex: Non forniamo RaaS. Il software di crittografia nel caso utilizzato è di terze parti.

13 – RHC: Potete descrivere il tipo di crittografia utilizzata dal vostro ransomware? Quali algoritmi di crittografia impiegate e come garantite che i file delle vittime rimangano inaccessibili senza la chiave di decrittazione?
Ransomcortex: Non forniamo RaaS. Il software di crittografia nel caso utilizzato è di terze parti.

14 – RHC: Il codice del vostro ransomware, parte da ransomware noti (come ad esempio la fuoriuscita del codice di Conti), oppure avete scritto tutto da soli?
Ransomcortex: Prima di utilizzare un software di crittografia di terze parti, avevamo una nostra versione ricostruita a partire dalla fuga di notizie di Conti.

15 – RHC: Parliamo ora dei punti di accesso delle vittime. Avete un reparto che fa questo oppure vi affidate agli Initial Access Broker?
Ransomcortex: Sì, abbiamo il nostro dipartimento di broker e ingegneri sociali.

16 – RHC: Generalmente operate attraverso tecniche di phishing ed injection di specifici loader, oppure lavorate utilizzando falle specifiche di sicurezza o misconfiguration (ad esempio Remote code Execution o password banali su RDP)?
Ransomcortex: Preferisco non rispondere. Ma utilizziamo alcune vulnerabilità e abbiamo dei bravi phishers che lavorano con noi.

17 – RHC: Che tipo di supporto fornite ai vostri affiliati? Avete un team dedicato che li assiste durante le operazioni?
Ransomcortex: Tutte le operazioni vengono eseguite in unione. Per questo motivo, non intendiamo assumere affiliati, per mantenere la sicurezza e l’agilità delle operazioni.

18 – RHC: Come garantite la vostra sicurezza e l’anonimato nelle operazioni?
Ransomcortex: L’Opsec comporta un’analisi e una riformulazione costante e quotidiana, sempre alla ricerca delle migliori pratiche. La regola numero uno è non riposare mai e non pensare mai di essere sicuri al 100%. La paranoia deve essere il carburante, che vi spinge a sforzarsi sempre di rimanere il più furtivi possibile.

19 – RHC: Nel caso delle vittime degli ospedali. Avete una politica specifica riguardo al trattamento delle informazioni sensibili dei pazienti? Ad esempio, cosa accade ai dati una volta che viene pagato il riscatto?
Ransomcortex: Quando viene pagato il riscatto, i dati vengono cancellati.

20 – RHC: Avete mai avuto a che fare con vittime che non hanno potuto pagare il riscatto? In tal caso, visto che si tratta di ospedali che possono mettere a rischio la vita dei pazienti, come vi regolate?
Ransomcortex: Questa è un’ottima domanda perché ci porta al punto di vista: Se gli ospedali non gestiscono con cura le informazioni sensibili, perché dovremmo farlo noi? Ma la verità è che noi teniamo al sicuro questi dati, a meno che la nostra pazienza non venga messa alla prova dall’azienda. Faccio un esempio: Nell’operazione qiulong, abbiamo hackerato decine di cliniche di chirurgia plastica, e il 95% di queste cliniche conservava foto di pazienti NUDI, completamente svestiti, in cartelle sul desktop. Non siete d’accordo che un’azienda che “si prende cura” dei dati sensibili in questo modo non è criminale come noi?

21 – RHC: Qual è la vostra visione a lungo termine per Ransomcortex? Avete intenzione di espandere le vostre attività ad altri settori o regioni geografiche?
Ransomcortex: A lungo termine ci espanderemo in nuovi Paesi, quindi pagate il riscatto, perché non risparmieremo nemmeno la famiglia del CEO.

22 – RHC: Infine, c’è qualcosa che vorreste dire ai nostri lettori, in particolare alle potenziali vittime delle vostre operazioni? Oppure qualche consiglio agli operatori sanitari?
Ransomcortex: Il settore sanitario è il più critico e richiede la massima responsabilità da parte degli amministratori e degli imprenditori del settore. Leggi come il GDPR e la LGPD (Brasile) obbligano questo settore a seguire una serie rigorosa di linee guida per la protezione dei dati, e la mancata conformità può comportare cause governative milionarie e persino la chiusura delle attività. Ma cosa succede nella vita reale, soprattutto in Sud America? Il 90% delle aziende sanitarie non rispetta le leggi sulla protezione dei dati e, peggio ancora, non viene punito dai governi locali – perché i governi sono deboli in tutto, soprattutto quando si tratta di far rispettare la legge contro questi imprenditori. Mentre queste aziende hanno sofferto per il nostro crimine, NE HANNO COMMESSI ALTRI A DECINE: la nostra unica differenza è che, grazie al loro denaro (riscatto), manterremo la loro immagine pulita mentre noi offuscheremo la nostra.

L’intervista nella lingua originale
1 - RHC: Thank you guys for accepting this interview. You are a group that recently appeared in the underground, can you tell us about how and when the group Ransomcortex was born and why the choice of this name?
Ransomcortex: Ransomcortex was created in 2024, but our activities had been going on independently for a few years already.

2 - RHC: Are you a rebrand of an existing ransomware group or affiliates of other RaaS that wanted to set up on your own? Can you tell us about your motivations for opening this new ransomware group?
Ransomcortex: We have members from other groups and some members who were part of Qiulong, which shut down its ransomware operations to focus on industrial espionage.

3 - RHC: Are you currently working alone or do you already have affiliates since you recently opened? If yes, can you describe how this model works and what are the requirements to become an affiliate?
Ransomcortex: We work alone; we do not currently accept affiliates to preserve the security of our operations.

4 - RHC: Do you have specific rules that you have given yourself, such as not hitting certain areas like the CIS? Can you tell us about that?
Ransomcortex: We do not attack CIS countries, Iran, North Korea and China. Another established rule is not to attack police departments. The rest is all allowed.

5 - RHC: Since you are positioning yourself as a group working on specific targets (4 out of 4 victims are hospitals to date on the DLS), can you explain why you are focusing on health facilities? Are you also targeting regular businesses?
Ransomcortex: Our main target is the healthcare sector because it contains the most sensitive and critical data compared to other common non-government sectors.

6 - RHC: You have written in the "Advertising (Bounty $/ Work with us!)" section of your site "We offer bounties (U$D) to those who can provide physical assistance to help companies make payments in major cities. You must have your own team for physical action as well as stalkers, osinters and 'swatters'. Your method is not important to us. Only the money is." Can you tell us more about what this request consists of?
Ransomcortex: This is a way to outsource tasks and give an opportunity for criminals in other sectors to profit from ransomware operations, not just us, who are behind a screen.

7 - RHC: The healthcare sector has jumped to fourth place among the sectors most affected by ransomware. What monetization strategies do you employ for healthcare data in case a healthcare company does not pay the ransom? For example, resorting to private auctions or sales to pharmaceutical companies? Can you explain how this process also works in relation to the previous point?
Ransomcortex: The healthcare sector is highly monetizable because the target of extortion will never be just the victim company (if it does not pay): it is possible to extort patients for non-disclosure of their intimate health data, as well as sell the data on the black market. So an attack in this area can provide +3 monetizable sources. This is just a guess in case the company does not pay the ransom. If they pay, we will leave their patients and their data alone.

8 - RHC: Since side effects have already started as a result of ransomware attacks on hospitals-for example, in 2019 a baby was stillborn in Alabama or in 2020 a woman died in Düsseldorf due to a ransomware incident. What rules have you set for yourself so that the operation of some strategic areas of hospitals can continue to operate such as emergency rooms and not create risks for people?
Ransomcortex: In this case, the system is not encrypted. It is just data exfiltration = extortion not to disclose the data and to avoid public destruction of this company's image.

9 - RHC: Can you explain your victim selection process? What factors do you primarily consider?
Ransomcortex: Private healthcare companies that speak English, Italian, Spanish, and Portuguese.

10 - RHC: The healthcare sector is particularly vulnerable to ransomware attacks around the world. What are the main techniques you use to penetrate the defenses of these organizations? Is there a common factor present?
Ransomcortex: We exploit some vulnerabilities, but within our team we have our own center focused on gathering information for access: OSINT specialists, social engineers, and pentesters.

11 - RHC: If you had to tell a hospital where to start to restore its cybersecurity, what advice would you give?
Ransomcortex: Raise the intellectual level of the human beings working in this hospital. Human beings are the easiest to exploit.

12 - RHC: Let's now talk about your solution. How does your ransomware differ from other ransomware such as the popular LockBit 3.0 or Akira? If you had to explain to a potential affiliate why to start a partnership with you, what would you say from a technical point of view regarding your solution?
Ransomcortex: We do not provide RaaS. The encryption software we use is third-party.

13 - RHC: Can you describe the type of encryption used by your ransomware? What encryption algorithms do you employ and how do you ensure that victim files remain inaccessible without the decryption key?
Ransomcortex: We do not provide RaaS. The encryption software we use is third-party.

14 - RHC: Your ransomware code, does it start from known ransomware (such as the Conti code leak), or did you write it all yourself?
Ransomcortex: Before we used third-party encryption software, we had our own version rebuilt from the Conti leak.

15 - RHC: Now let's talk about victim access points. Do you have a department that does this or do you rely on Initial Access Brokers?
Ransomcortex: Yes, we have our own department of brokers and social engineers.

16 - RHC: Do you generally operate through phishing techniques and injection of specific loaders, or do you work using specific security holes or misconfigurations (e.g. Remote code Execution or trivial passwords on RDP)?
Ransomcortex: I prefer not to answer that. But we do use some vulnerabilities and we have good phishers working with us.

17 - RHC: What kind of support do you provide to your affiliates? Do you have a dedicated team that assists them during operations?
Ransomcortex: All operations are carried out in union. For this reason, we do not intend to hire affiliates, to maintain the security and agility of operations.

18 - RHC: How do you ensure your security and anonymity in operations?
Ransomcortex: Opsec involves constant and daily analysis and reformulation, always looking for best practices. Rule number one is never rest and never think you are 100 percent secure. Paranoia must be the fuel, driving you to always strive to remain as stealthy as possible.

19 - RHC: In the case of hospital victims. Do you have a specific policy regarding the handling of sensitive patient information? For example, what happens to the data once the ransom is paid?
Ransomcortex: When the ransom is paid, the data is deleted.

20 - RHC: Have you ever had to deal with victims who could not pay the ransom? If so, since these are hospitals that can put patients' lives at risk, how do you deal with them?
Ransomcortex: This is a good question because it brings us to the point: If hospitals don't handle sensitive information with care, why should we? But the truth is that we keep this data safe unless our patience is tested by the company. Let me give an example: In operation qiulong, we hacked dozens of plastic surgery clinics, and 95% of these clinics kept photos of Naked patients, completely undressed, in folders on the desktop. Don't you agree that a company that "takes care" of sensitive data in this way is not as criminal as we are?

21 - RHC: What is your long-term vision for Ransomcortex? Do you have plans to expand to other industries or geographic regions?
Ransomcortex: In the long term we will expand into new countries, so pay the ransom, because we won't even spare the CEO's family.

22 - RHC: Finally, is there anything you would like to say to our readers, particularly potential victims of your operations? Or any advice to healthcare providers?
Ransomcortex: The healthcare sector is the most critical and requires the utmost responsibility from healthcare administrators and entrepreneurs. Laws such as the GDPR and LGPD (Brazil) force this sector to follow a strict set of data protection guidelines, and non-compliance can result in multimillion-dollar government lawsuits and even closure of operations. But what happens in real life, especially in South America? Ninety percent of health care companies fail to comply with data protection laws and, even worse, are not punished by local governments-because governments are weak in everything, especially when it comes to enforcement against these entrepreneurs. While these companies have suffered for our crime, THEY HAVE COMMITTED TENS MORE: our only difference is that, thanks to their money (ransom), we will keep their image clean while we tarnish ours.
L'articolo Parla Ransomcortex! RHC intervista la cyber-gang che colpisce gli Ospedali! “pagate il riscatto, non risparmieremo nemmeno la famiglia del CEO!” proviene da il blog della sicurezza informatica.

Lo riporta il CERT-AGID che ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 43 campagne malevole.

Di queste 25 con obiettivi italiani e 18 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 523 indicatori di compromissione (IOC) individuati.

I temi più rilevanti della settimana

Sono 20 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Banking – Tema ricorrente nelle campagne di smishing rivolte principalmente a clienti di istituti bancari italiani e non, come BNL, BPM e BBVA. Usato inoltre per veicolare i malware Irata, AzraelBot e SpyNote inviati alle vittime come file apk tramite SMS, oltre al malware AsyncRat inviato tramite email.
2. Avvisi sicurezza – Argomento sfruttato per diverse campagne di phishing ai danni di utenti di Poste Italiane, Aruba, McAfee, e Google.
3. Pagamenti – Tema utilizzato per alcune campagne di phishing ai danni di Enel e FatturaPA. Inoltre, il tema è servito per veicolare i malware AgentTesla, Guloader e Lokibot.
4. Delivery – Argomento sfruttato per campagne italiane di phishing ai danni di Poste Italiane e FedEx.
5. Documenti – Tema utilizzato per veicolare campagne di phishing non brandizzate di generiche Webmail e sfruttate per diffondere il malware Formbook.

Il resto dei temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.

Eventi di particolare interesse:

• Campagna di phishing italiana ben strutturata ai danni di INPS, sfruttata per raccogliere dati personali, come dati anagrafici, codice fiscale, documenti di riconoscimento e busta paga. Il numero di documenti rubati al momento supera le 300 unità.
• Data breach Telegram attraverso il quale sono state rese disponibili combolist contenenti quasi 40 mila credenziali (mail e password) di utenti italiani.

Malware della settimana

Sono state individuate, nell’arco della settimana, 9 famiglie di malware che hanno interessato l’Italia. Nello specifico, di particolare rilievo, troviamo le seguenti campagne:

1. Irata – Scoperte 3 campagne italiane che veicolano l’APK malevolo tramite SMS.
2. AgentTesla – Rilevata una campagna italiana a tema “Pagamenti”, diffusa mediante email con allegato ZIP, e 2 campagne generiche a tema “File sharing”, diffuse tramite email con allegati RAR.
3. FormBook – Individuata una campagna italiana che ha sfruttato il tema “Rimborso” e veicolata tramite email con allegato ZIP, oltre a 2 campagne generiche a tema “Documenti” e “Ordine”, veicolate tramite email con allegati RAR e DOC.
4. AsyncRat – Osservata una campagna generica a tema “Banking” che veicola un malware tramite email con allegato LNK.
5. SpyNote – Individuata una campagna italiana a tema “Banking“, veicolata tramite SMS con link che conduce al download di un file APK.
6. Guloader – Rilevata una campagna italiana a tema “Banking” che invia il malware tramite mail con allegato VBS.
7. Ousaban – Osservata una campagna italiana a tema “Legale” veicolata tramite email con allegato PDF.
8. XWorm – Rilevata una campagna generica a tema “Contratti” diffusa tramite mail con allegato GZ.
9. Lokibot – Individuata, infine, una campagna italiana a tema “Pagamenti” veicolata tramite mail con allegato ZIP.

Phishing della settimana

Sono 18 i brand della settimana coinvolti nelle campagne di phishing. Per quantità spiccano le campagne a tema Poste Italiane, Agenzia delle Entrante, FedEx, e Google, ma ancor di più le campagne di Webmail non brandizzate che mirano a rubare dati sensibili agli utenti.

L'articolo Phishing Italia! Banking e Avvisi di Sicurezza funzionano Sempre Bene! proviene da il blog della sicurezza informatica.

For most people, you turn on your computer, and it starts the operating system. However, the reality is much more complex as [Thasso] discovered. Even modern x86 chips start in 16-bit real mode and there is a bit of fancy footwork required to shift to modern protected mode with full 64-bit support. Want to see how? [Thasso] shows us the ropes.

Nowadays, it is handy to develop such things because you don’t have to use real hardware. An emulator like QEMU will suffice. If you know assembly language, the process is surprisingly simple, although there is a lot of nuance and subtlety. The biggest task is setting up appropriate paging tables to control the memory mapping. In real mode, you have access to the first 64 K of memory unless you use some tricks. But in protected mode, segments define blocks of memory that can be very small or cover the entire address space. These segments define areas of memory even though it is possible to set segments to cover all memory and — sort of — ignore them. You still have to define them for the switch to protected mode.

In the bad old days, you had more reason to worry about this if you were writing a DOS Extender or using some tricks to get access to more memory. But still good to know if you are rolling your own operating system. Why do the processors still boot into real mode? Good question.

An uncomfortable reality with the spacesuits used for extravehicular activities (EVA) – commonly referred to as spacewalks – is that the astronaut spends hours in them, during which normal bodily functions like urinating and defecating continue. The current EVA record at the ISS is currently a hair under nine hours, necessitating a new approach. A team of researchers have now pitched the idea of an in-suit water recovery system with an article by [Sofia Etlin] and colleagues as published in Frontiers in Space Technologies.

For the current Extravehicular Mobility Unit (EMU) EVA spacesuit the current solution is what is called the MAG: the Maximum Absorbency Garment, which is effectively a fancy adult diaper with sodium polyacrylate as absorbent for up to 2 L of fluids. It replaced the urine collection device (UCD) that was used until female astronauts joined the astronaut corps in the 1970s. Generally astronauts aim to not defecate until they finish their EVA, which leaves urinating and the related activity of rehydrating as the spacesuits only have 0.95 L of water that has to last the duration of the spacewalk.
Prototyping the system circuitry. (Credit: Sofia Etlin et al, 2024, Front. Space Technol.)
By filtering the urine and recycling it into potable water, this should both prevent all the disadvantages of diapers and give astronauts much more water to drink during EVAs. Although the media reporting on this paper have often referenced the stillsuits of Dune, this device is significantly less advanced and quite bulky, with the filtration equipment contained in a backpack and would weigh about 8 kg. The waste water is filtered using a dual forward osmosis – reverse osmosis (FO-RO) system, with the FO used as a pre-filter to prevent membrane fouling common with RO.

Collecting the urine is performed by a UCD that is more reminiscent of pre-MAG systems, with a silicone cup that conforms to the genitals of the male or female astronaut. When urinating, the inner lining of the cup will detect the moisture and activate a vacuum pump to remove the urine and get it to the FO-RO system as quickly as possible. Filtered water would have salts added before being made available for consumption.

Of note is that this is decidedly still a prototype, but considering that similar technology is already used on the ISS to filter waste water, having a miniature version added to new (EVA) spacesuits seems only a matter of time. It should make hours-long trips strapped into a space capsule decidedly less unpleasant, too, beyond the obvious benefits to astronauts in the midst of an EVA.

We’ve been going on at length in this space about the death spiral that AM radio seems to be in, particularly in the automotive setting. Car makers have begun the process of phasing AM out of their infotainment systems, ostensibly due to its essential incompatibility with the electronics in newer vehicles, especially EVs. That argument always seemed a little specious to us, since the US has an entire bureaucracy dedicated to making sure everyone works and plays well with each other on the electromagnetic spectrum. The effort to drop AM resulted in pushback from US lawmakers, who threatened legislation to ensure every vehicle has the ability to receive AM broadcasts, on the grounds of its utility in a crisis and that we’ve spent billions ensuring that 80% of the population is within range of an AM station.

The pendulum has now swung back, with a group of tech boosters claiming that an AM mandate would be bad, forcing car manufacturers to “scrap advanced safety features” like “advanced driver-assistance systems, autonomous vehicles, and collision avoidance systems that actually reduce car accidents and fatalities.” That last part is a bit of a reach considering recent research (second item) showing the iffy efficacy of some of these safety features, but the really rich part is when the claim that continuing to support the “outdated technology” of AM radio would prevent engineers from developing “future safety innovations.” Veiled threat much? And pretty disrespectful to the engineering field in general, we have to say, given that at its best, engineering is all about working within constrained environments and supporting conflicting goals.

While most of America was celebrating the Independence Day holiday last week with raucous pyrotechnic displays, one town in Washington State was enjoying a spectacle of a different sort: watching a swarm of drones commit mutual suicide. For various reasons, the city of SeaTac decided to eschew the more traditional patriotic display and plunk down $40,000 on a synchronized aerial drone show, which despite the substitution of chest-thumping explosions with the malignant hornets-nest buzz of 200 drones actually looks pretty cool. Right up until 55 of the drones went rogue, that is, and descended toward the watery doom of Angle Lake below. It wasn’t clear at first what was going on; video of the incident shows most of the drones gently settling into the lake, with only one seeming to just crash outright. That pretty much lines up with the official line from Great Lakes Drone, the outfit running the drone show, who blamed “outside interference” for the malfunction. A costly malfunction, by the way; at $2,600 a copy, the 55 drowned drones total nearly $100,000 more than the contracted price for the show. Forty-eight of the lost drones have been recovered, which points to perhaps the one bright spot of the story — the local diving club probably got a lot of bottom time thanks to the recovery effort.

Ten months is a long time in the rapidly changing technology world, but to go from expensive IoT doodad to brick in less than a year has to be some kind of record. And in a strange twist, it’s actually not Google this time, but rather Amazon, who just announced that their Astro for Business robots will cease to function as of September 25. The device, which is basically a mobile Alexa, was initially targeted at consumers who wanted something to roll around inside their homes to collect data for Amazon monitor security and keep an eye on your pets. Last November, Amazon announced an Astro for Business version that did much the same for the small and medium business market. Amazon seems to have made the decision to unfork the market and concentrate on the home version, which seems to make more sense. Business owners will get a refund on their bricked devices and a $300 Amazon credit for their troubles, but there’s no word on what will happen to the devices. Here’s hoping some of them show up in the secondary market; we’d love to see some teardowns.

And finally, if you think there’s nothing interesting about a big steel box, you’re either reading the wrong website or you haven’t seen the latest video by The History Guy on the history of the humble shipping container. We’ve always been a bit of a shipping container freak, and we’ve long known that the whole idea of containerized cargo reaches back to the 1950s or so. That’s where we thought the story started, but boy were we wrong. The real story goes back much further than that, all the way to the “lift vans” of the early 20th century, which were wooden boxes that could be hoisted from a wagon onto a ship and move a lot of items all in one go. We also had no idea where the term “ConEx” came from in reference to shipping containers, but THG took care of that too. Fascinating stuff.

youtube.com/embed/WyNkcsQGaV4?…

When everything used wires, it was easy to splice them or replace them. Not so much with PC boards, but everyone has their favorite method for repairing a broken trace. [Mr. SolderFix] has his five favorite ways, as you can see in the video below.

Of course, before you can repair a trace, you probably have to expose it since most boards have solder mask now. Unless you plan to shut the trace at both ends, exposing the actual trace is probably the first step.

The first method is to just blob with solder, but we aren’t fans of that. Solder is not a great interconnect, so we nearly always put a small bit of wire over the gap, even if we might cover it with solder. That way, if the solder cracks over time, you still have a conductor as long as the solder bonds to the trace and wire. We did like that he used a blob of solder mask to cover the repair, which was a nice touch.

Of course, that isn’t going to work if you have a long delaminated trace. In particular, about two inches of a track was totally off the substrate. Here, using a wire is essential. We usually don’t bother to fit it exactly to the trace, but he is a bit more particular than we are. He used solder to model the bends in the wire and then straightened it out. That serves as a guide for how long to cut the jumper wire. He then bends the jumper to fit the trace and tacks it down with Kapton tape. It doesn’t work any better than one of our spaghetti-like repairs, but it does look better.

You’ve probably seen — or could deduce — how to do these repairs, but tips like using solder to model a trace are priceless. Some repairs have been done with copper sheets instead of wires. We didn’t see him using any conductive paint, which we’ve also had good luck with and we’ll admit we’ve covered repairs with clear nail polish rather than solder mask, but there are many possibilities, of course.

What’s your favorite method? It is harder — but not impossible — to repair boards that are completely broken. If you are a masochist, put your wires inside the board instead.

youtube.com/embed/kS1uVBIhBDw?…

Cryptography ain’t easy. Seemingly small details like how many times a computationally intensive loop runs can give the game away. [Lord Feistel] gives us a demo of how this could work with nothing more than poorly designed code, a resistor, and an oscilloscope.

The hardware side is, as mentioned, really simple. Put a resistor inline with the Arduino and monitor the voltage drop across the resistor with the scope. When the chip is working hard, it consumes more current, and code sections that take longer will show up as longer dips.

On the software end, it’s only a little more complicated. The RSA encryption scheme involves a lot of exponentiation and modulo-taking. Here, [Lord Feistel] is targeting a naive way of computing the exponents quickly, and demonstrates how you can read the exponent straight out the chip’s power demand.

Implementing this attack against a real-world RSA algorithm, in the context of the Arduino doing other stuff, will be harder. And we don’t know if the algorithm implemented in “standard” Arduino libraries is smarter than this one. (If you know, let us know in the comments.) But still, this is a cool example of just how simple and straightforward it can be to eavesdrop on bad code.

If you only need to bypass encryption instead of breaking it, check out [Lord Feistel]’s other tutorial on power glitching that we featured previously. If you haven’t played around with the hardware side of security, it gets deep pretty quickly, but you can at least dip your toes in the shallow end with what you’ve got in your closet.

Coloured keycaps are a common customisation when it comes to making your input device special. If you are working with modern tech it’s easy, there are plenty of vendors who can sell you keycaps for any purpose. With retro tech it’s never so simple, if a keycap hasn’t been made for decades you’re out of luck. This doesn’t faze [Drygol] though, who has solved the coloured retro keycap in a unique and non-destructive way. Wrap them in vinyl film using a vacuum former.

Vacuum formers are an often-underrated tool in the hardware arsenal, but as this project shows, they can produce startlingly good results. Original keycaps are placed on a 3D-printed scaffold before the vinyl is formed over them, then they are carefully cut out and a triangular edge on both sides is folded underneath, The result is an Amiga with a striking orange keyboard, and for us the best bit is that the original key is safely preserved under the vinyl.

[Drygol]’s exceptional work in the retrocomputing sphere has delighted us many times on these pages. There are too many examples to link here, but one we particularly liked was this nearly-all-new Amiga 2000.

OpenAI, uno dei principali sviluppatori di intelligenza artificiale, ha presentato un sistema a cinque livelli che verrà utilizzato per monitorare i progressi nella creazione di un’intelligenza artificialeche superi le capacità umane. Questa iniziativa mira a spiegare meglio al pubblico e agli investitori l’approccio dell’azienda alla sicurezza e al futuro dell’intelligenza artificiale.

In una riunione di tutto lo staff, OpenAI ha condiviso un nuovo sistema di classificazione che copre l’intelligenza artificiale dal livello disponibile oggi al livello al quale l’intelligenza artificiale può svolgere compiti organizzativi. Un rappresentante dell’azienda ha affermato che OpenAI è attualmente al primo livello, ma è già vicino al secondo, chiamato “Reasoners”. Questo livello comprende sistemi in grado di risolvere problemi di base al livello di una persona con un dottorato.

Nello stesso incontro, la direzione aziendale ha presentato un progetto di ricerca basato sul modello GPT-4, dimostrando nuove competenze vicine al ragionamento umano. Un rappresentante di OpenAI ha confermato che l’azienda testa costantemente nuove funzionalità dei suoi modelli.

OpenAI ha dichiarato da diversi anni il suo obiettivo di creare la cosiddetta intelligenza generale artificiale ( AGI ), ovvero computer in grado di eseguire la maggior parte dei compiti meglio degli esseri umani. Il CEO di OpenAI Sam Altman ha precedentemente affermato che l’AGI potrebbe essere raggiunta in questo decennio.

I ricercatori sull’intelligenza artificiale hanno a lungo dibattuto sui criteri per determinare il raggiungimento dell’AGI. Nel novembre 2023, i ricercatori di Google DeepMind hanno proposto un sistema a cinque livelli, inclusi livelli come “esperto” e “sovrumano”. Queste classifiche ricordano il sistema utilizzato nell’industria automobilistica per valutare il grado di automazione delle auto a guida autonoma.

Secondo il sistema di livelli sviluppato da OpenAI, il terzo livello che porta all’AGI si chiamerà “Agenti” e prevede l’intelligenza artificiale in grado di eseguire azioni per conto dell’utente per un periodo di giorni. Il quarto livello descrive l’intelligenza artificiale che può creare nuove innovazioni. Il livello più avanzato, il quinto, sarà denominato “Organizzazioni”.

Questo sistema di livellamento è stato sviluppato dal management di OpenAI e dal personale senior ed è una versione funzionante. La società prevede di raccogliere feedback da dipendenti, investitori e consiglio di amministrazione per apportare le modifiche necessarie.

L'articolo OpenAI Verso l’AGI! 5 livelli per monitorare gli avanzamenti dell’AI fino all’AI sovra-umana proviene da il blog della sicurezza informatica.

In a world where so much of our lives depend on the use of online services, the web browser used to access those services becomes of crucial importance. It becomes a question of whether we trust the huge corporate interests which control this software with such access to our daily lives, and it is vital that the browser world remains a playing field with many players in the game.

The mantle has traditionally fallen upon Mozilla’s Firefox browser to represent freedom from corporate ownership, but over the last couple of years even they have edged away from their open source ethos and morphed into an advertising company that happens to have a browser. We’re asking you: can we still trust Mozilla’s Firefox, when the latest version turns on ad measurement by default?

Such has been the dominance of Google’s Chromium in the browser world, that it becomes difficult to find alternatives which aren’t based on it. We can see the attraction for developers, instead of pursuing the extremely hard task of developing a new browser engine, just use one off-the-shelf upon which someone else has already done the work. As a result, once you have discounted browsers such as the venerable Netsurf or Dillo which are cool as heck but relatively useless for modern websites, the choices quickly descend into the esoteric. There are Ladybird and Servo which are both promising but still too rough around the edges for everyday use, so what’s left? Probably LibreWolf represents the best option, a version of Firefox with a focus on privacy and security.

We’re interested in your views on this topic, because we know you’ll have a lot to say about it. Meanwhile if you’re a Firefox user who’s upgraded to version 128 and you’re not sure what to do, don’t panic. Find the settings page, go to “Privacy and Security”, and un-check the “Website Advertising Preferences” checkbox.

Over the years archaeological digs of Roman sites have uncovered many of these strange dodecahedrons, usually made out of metal and with various holes in their faces. With no surviving records that describe how they were used, speculation has ranged from jewelry to a knitting aid. In a 2023 video by [Amy Gaines] it is this latter use which is explored, using a 3D printed dodecahedron and some wooden dowels to knit both gold wire and yarn into rather intricate patterns that are also referred to as ‘Viking Knitting’.

As we mentioned previously when yet another one of these dodecahedrons was uncovered, their use was unlikely to be of supreme relevance in military or scientific circles on account of a lack of evidence. What is quite possible is that these were both attractive shapes for jewelry (beads), and useful knitting aids for both jewelry makers (for e.g. gold wire braiding) and quite possibly yarn-related uses. The results which [Amy] demonstrates in the video for the gold wire in particular bear a striking resemblance to ancient braided gold chains on display at the Met and other museums, which leads credence to this theory.

If these items were effectively just common knitting tools, that would explain why the historical record is mum on them, as they would have been as notable as a hammer or a precision lathe used by the ancient Greeks.

Thanks to [john] for the tip.

youtube.com/embed/lADTLozKm0I?…

Il 22 novembre 2022 è stato firmato un documento storico non solo per la cooperazione tra Cina e Russia, ma anche per il futuro spaziale di tutta l’umanità. Si tratta di un accordo per la realizzazione della Stazione Lunare Scientifica Internazionale (ISS).

Si prevede che nei prossimi anni i paesi sceglieranno un luogo per il suo posizionamento. Successivamente verranno progettati, consegnati e installati moduli speciali per il lavoro abitativo e scientifico. Ciò aprirà la possibilità di inviare spedizioni con equipaggio a tutti gli effetti sul nostro satellite. E ora il progetto inizia ad acquisire gradualmente i dettagli.

È stato raggiunto un accordo secondo cui la progettazione della nuova base e la successiva attuazione del piano saranno eseguite congiuntamente dai paesi. Allo stesso tempo, il progetto è aperto alla partecipazione di nuovi partecipanti. I dispositivi speciali inizieranno a studiare la superficie per determinare dove sarebbe meglio installare la base. Ci sono anche piani per sviluppare tecnologie per l’atterraggio morbido sulla superficie del satellite terrestre.

La roadmap

Roscosmos e CNSA nel giugno 2021, nell’ambito della Conferenza globale sull’esplorazione spaziale (GLEX-2021), hanno presentato una tabella di marcia per il sistema satellitare multistazionario. Secondo le informazioni fornite, la costruzione della stazione dovrebbe essere completamente completata entro il 2035.

Dal 2026 al 2030, sono previste due missioni per testare le tecnologie per l’atterraggio e la consegna di merci, nonché per riportare sulla Terra campioni di roccia lunare. Dal 2031 al 2035, le parti dispiegheranno infrastrutture in orbita e sulla superficie della Luna, compresi i sistemi di comunicazione, nonché energia elettrica, ricerca e altre attrezzature.

Secondo la tabella di marcia del progetto, l’infrastruttura di trasporto della stazione includerà rover lunari tecnici e di ricerca, nonché un robot che salta. Le parti prevedono di dotare la stazione di diversi mini-rover intelligenti progettati per studiare la superficie del satellite naturale della Terra.

È già stata pubblicata una roadmap all’interno della quale si prevede la creazione di diversi moduli chiave:

• comando;
• fotografico;
• agricolo;
• sbarco e discesa dei veicoli.

La centrale nucleare

Sulla Luna ci saranno moduli per la comunicazione e l’alimentazione. È probabile che in quel momento verrà creata una centrale nucleare, ma non ci sono ancora dati precisi al riguardo. Le navi da trasporto dovranno consegnare le attrezzature di ricerca al satellite. Verranno introdotti anche i Lunokhod: con il loro aiuto, i futuri coloni potranno spostarsi sulla Luna. Le apparecchiature dovranno essere lanciate in orbita per garantire una comunicazione stabile con la Terra.

Uno degli elementi chiave della nuova stazione dovrebbe essere un impianto nucleare, che sarà sviluppato e costruito dalla Russia. Perché è stata scelta questa particolare energia per la Luna? Il motivo è la difficoltà di fornire altri tipi di carburante. Man mano che la colonia cresce, consumerà sempre più energia, sia per il supporto vitale che per la ricerca.

L'articolo Russia e Cina vogliono costruire centrali nucleari sulla Luna per la Stazione Lunare Scientifica Internazionale (ISS) proviene da il blog della sicurezza informatica.

Dalle indagini del Dipartimento di Giustizia degli Stati Uniti e della legge europea sui mercati digitali (DMA) è emerso che Google sta utilizzando il browser Chrome per ottenere un vantaggio rispetto alla concorrenza. Chrome raccoglie dati sulle prestazioni del dispositivo e li condivide esclusivamente con Google. Questa informazione è stata confermata dalla società in seguito alle prime dichiarazioni sulla Piattaforma X.

Luca Casonato ha riferito che “Chrome offre a tutti i siti *.google.com pieno accesso alle informazioni sul carico della CPU e della memoria, nonché informazioni dettagliate sulla CPU e sul sistema. Questi dati non sono disponibili per altri siti, solo per *.google.com.” Secondo lui, ciò si ottiene tramite un’estensione integrata di Chrome che non può essere disattivata e non appare nell’elenco delle estensioni. Inoltre, il browser Microsoft Edge, anch’esso basato su Chromium, ha funzionalità simili.

Google ha spiegato che l’estensione viene utilizzata per ottimizzare video e audio in base alle funzionalità del sistema, oltre a fornire dati su arresti anomali e prestazioni per contribuire a migliorare i servizi Google. L’azienda ha assicurato di aderire a rigide regole di trattamento dei dati volte a proteggere la privacy degli utenti. Il problema, però, è che tale vantaggio è contrario ai principi di uguaglianza sanciti dalla DMA.

Casonato ha citato l’esempio delle videoconferenze: “Zoom è in svantaggio perché non può utilizzare le stesse capacità di debug della CPU di Google Meet.” Questa opinione è stata supportata dall’esperto di crittografia Matthew Green, che ha ricordato di aver invitato gli utenti ad abbandonare Chrome diversi anni fa a causa delle preferenze che Google forniva ai suoi servizi.

Questo problema non riguarda solo Chrome ed Edge, ma anche il browser Brave, che utilizza la stessa base tecnologica. Gli utenti che scelgono browser alternativi per motivi di privacy potrebbero rimanere sorpresi nell’apprendere che i loro dati vengono condivisi con Google.

Il codice responsabile di questo comportamento esiste da circa dieci anni. Google ha confermato la sua presenza e l’assenza della possibilità di disattivarlo. Nonostante la lunga esistenza di tali pratiche, le questioni di trasparenza in materia di privacy dei dati rimangono estremamente rilevanti nel 2024.

Molti utenti non sono consapevoli del fatto che i loro dati vengono condivisi con Google quando utilizzano questi browser, sollevando dubbi sulla necessità di informare meglio gli utenti sulla raccolta dei dati e sulle pratiche di condivisione, anche quando si tratta di funzionalità del browser apparentemente di base.

Non è noto se le autorità di regolamentazione ne terranno conto nelle indagini in corso o se Google aprirà l’accesso a queste API ai concorrenti per livellare il campo di gioco.

L'articolo Google Accusata di Utilizzare Chrome per Rubare Dati e Battere la Concorrenza proviene da il blog della sicurezza informatica.

Negli ultimi mesi, Sysdig ha osservato un incremento significativo delle attività del gruppo CRYSTALRAY, un’organizzazione criminale specializzata in attacchi contro ambienti cloud. Il numero di vittime attribuite a CRYSTALRAY è aumentato vertiginosamente da 100 a 1500, segnalando una minaccia in rapida espansione.

Metodi di Attacco e Strumenti Utilizzati

CRYSTALRAY è noto per utilizzare il worm open-source SSH-Snake, che ruba le chiavi SSH dai server compromessi per muoversi lateralmente tra diverse macchine, rilasciando carichi malevoli aggiuntivi. Questo worm non solo si replica attraverso la rete, ma invia anche le chiavi rubate e la cronologia bash al server di comando e controllo del gruppo, facilitando attacchi più sofisticati e mirati.

Strumenti di Attacco

• SSH-Snake: Un worm open-source che ruba chiavi SSH e si diffonde lateralmente nelle reti compromesse. Utilizza le chiavi SSH per accedere a nuovi sistemi e replicarsi, inviando informazioni rubate al server di comando e controllo di CRYSTALRAY.
• zmap: Uno scanner di rete open-source in grado di scansionare l’intero spazio di indirizzi IPv4 pubblico in meno di un’ora. CRYSTALRAY lo utilizza per identificare server vulnerabili esposti a Internet.
• asn: Uno strumento che aiuta a identificare i sistemi autonomi e mappare la topologia della rete, facilitando l’identificazione dei target all’interno di specifiche aree geografiche o organizzazioni.
• https: Uno strumento di rilevamento di applicazioni web che permette di eseguire scansioni HTTP su larga scala. CRYSTALRAY lo utilizza per identificare applicazioni web vulnerabili.
• nuclei: Uno strumento per l’esecuzione di template di vulnerabilità su larga scala, che permette di automatizzare la scoperta e l’esecuzione di exploit per vulnerabilità note.
• platypus: Un gestore di shell inversa che permette di mantenere sessioni persistenti sui sistemi compromessi. Viene utilizzato per gestire diverse sessioni di controllo remoto contemporaneamente.

Tecniche di Attacco

• Scansione Massiva* Utilizzando strumenti come zmap e httpx, CRYSTALRAY esegue scansioni su larga scala per identificare servizi e applicazioni vulnerabili esposti a Internet.
• Sfruttamento delle Vulnerabilità: Il gruppo sfrutta vulnerabilità note come CVE-2022-44877, CVE-2021-3129 e CVE-2019-18394 per ottenere accesso iniziale ai sistemi. Utilizza nuclei per automatizzare questo processo.
• Movimento Laterale: Una volta compromesso un sistema, SSH-Snake utilizza le chiavi SSH rubate per accedere ad altri sistemi nella rete, espandendo la compromissione e distribuendo ulteriori payload.
• Persistenza: Utilizzando platypus, CRYSTALRAY mantiene l’accesso persistente ai sistemi compromessi, permettendo il controllo remoto continuato e l’esfiltrazione di dati.
• Monetizzazione: Il gruppo monetizza le compromissioni vendendo le credenziali rubate nel dark web o su piattaforme come Telegram e distribuendo miner di criptovaluta per generare profitti aggiuntivi.

Vulnerabilità Sfruttate

CRYSTALRAY sfrutta varie vulnerabilità note, tra cui:

• CVE-2022-44877: Esecuzione di comandi arbitrari nel Control Web Panel (CWP). Questa vulnerabilità permette agli attaccanti di eseguire comandi con i privilegi dell’utente web, ottenendo potenzialmente il controllo completo del sistema.
• CVE-2021-3129: Vulnerabilità di esecuzione di codice remoto in Ignition (Laravel). Gli attaccanti possono sfruttare questa vulnerabilità per eseguire codice arbitrario sul server compromesso.
• CVE-2019-18394: Vulnerabilità SSRF in Ignite Realtime Openfire. Questa vulnerabilità permette agli attaccanti di inviare richieste arbitrarie da parte del server vulnerabile, potenzialmente accedendo a risorse interne o esfiltrando dati.

Inoltre, si sospetta che anche le soluzioni Atlassian Confluence siano bersagliate, sulla base di modelli di sfruttamento osservati contro 1800 indirizzi IP, di cui un terzo situati negli Stati Uniti.

Obiettivi e Conseguenze

L’obiettivo principale di CRYSTALRAY è il furto e la monetizzazione delle credenziali rubate, spesso vendute nel dark web o su Telegram. Il gruppo distribuisce anche criptominer per generare profitti ulteriori. La recente espansione dell’attività di CRYSTALRAY ha portato a un aumento delle minacce contro le infrastrutture cloud, evidenziando la necessità di misure di sicurezza più rigorose.

Raccomandazioni per la Sicurezza

Per contrastare efficacemente CRYSTALRAY, Sysdig consiglia di minimizzare la superficie di attacco attraverso aggiornamenti tempestivi delle patch di sicurezza per eliminare le vulnerabilità non appena scoperte. Inoltre, l’adozione di pratiche di sicurezza come il monitoraggio continuo e la gestione delle identità e degli accessi può ridurre significativamente il rischio di compromissioni.

Ulteriori Informazioni dal Rapporto 2024 di Sysdig

Dal rapporto del 2024 di Sysdig (sysdig.com/2024-cloud-native-s…), emergono ulteriori tendenze sulla sicurezza cloud-native:

• Gestione delle identità: È il rischio cloud più trascurato, e l’applicazione del principio del minimo privilegio può ridurre le possibilità di attacchi basati su escalation di privilegi.
• Sicurezza durante il runtime: Rimane essenziale poiché permette di ridurre le vulnerabilità critiche e alte del 50%.
• Container di breve durata: Presentano sempre un rischio perché gli attaccanti possono sfruttare le finestre di opportunità per infiltrarsi e muoversi lateralmente prima che il container venga terminato.

Conclusioni

L’aumento delle attività di CRYSTALRAY rappresenta una seria minaccia per le infrastrutture cloud. La capacità del gruppo di sfruttare vulnerabilità note, utilizzare strumenti open-source per piazzare backdoor e muoversi lateralmente nelle reti compromesse richiede una risposta robusta e tempestiva da parte delle organizzazioni. Implementare misure di sicurezza adeguate, mantenere aggiornati i sistemi e adottare pratiche di gestione delle identità efficaci sono passi cruciali per mitigare questi rischi. La consapevolezza e la preparazione sono essenziali per proteggere le infrastrutture cloud dalle minacce in continua evoluzione come quelle rappresentate da CRYSTALRAY.

L'articolo Cresce la Minaccia del Gruppo CRYSTALRAY sulle Infrastrutture Cloud proviene da il blog della sicurezza informatica.

Direct 3D printing of metal remains out of reach for the hobbyist at the moment, so casting is often the next best thing, particularly given the limitations of 3D printed metals. [Denny] from Shake the Future shows us how to simplify the process with “print wave metal casting.”

The first step of printing a PLA object will seem familiar to any 3D print to metal process, but the main differentiator here is pouring the investment casting on the printer build plate itself. We like how he used some G-code to shake the build plate to help remove bubbles. Once the plaster solidifies, the plastic and mold are placed in the microwave to soften the plastic for removal.

The plaster is dried in an oven (or air fryer) and then [Denny] bolts the mold together for the casting process. Adding a vacuum helps with the surface finish, but you can always polish the metal with a generous helping of elbow grease.

If [Denny] seems familiar, you might remember his very detailed breakdown of microwave casting. We’ve seen plenty of different approaches to metal casting over the years here. Need a part in another material? How about casting concrete or resin?

Thanks to [marble] on the Hackaday Discord for the tip!

youtube.com/embed/0kxfDN4cKTk?…

With performance optimizations seemingly having lost their relevance in an era of ever-increasing hardware performance, there are still many good reasons to spend some time optimizing code. In a recent preprint article by [Paul Bilokon] and [Burak Gunduz] of the Imperial College London the focus is specifically on low-latency patterns that are relevant for applications such as high-frequency trading (HFT). In HFT the small margins are compensated for by churning through absolutely massive volumes of trades, all of which relies on extremely low latency to gain every advantage. Although FPGA-based solutions are very common in HFT due their low-latency, high-parallelism, C++ is the main language being used beyond FPGAs.

Although many of the optimizations listed in the paper are quite obvious, such as prewarming the CPU caches, using constexpr, loop unrolling and use of inlining, other patterns are less obvious, such as hotpath versus coldpath. This overlaps with the branch reduction pattern, with both patterns involving the separation of commonly and rarely executed code (like error handling and logging), improving use of the CPU’s caches and preventing branch mispredictions, as the benchmarks (using Google Benchmark) clearly demonstrates. All design patterns can also be found in the GitHub repository.

Other interesting tidbits are the impact of signed and unsigned comparisons, mixing floating point datatypes and of course lock-free programming using a ring buffer design. Only missing from this list appears to be aligned vs unaligned memory accesses and zero-copy optimizations, but those should be easy additions to implement and test next to the other optimizations in this paper.

Here on Earth, being able to 3D print replacement parts is handy, but rarely necessary. If you’ve got a broken o-ring, printing one out is just saving you a trip to the hardware store. But on the Moon, Mars, or in deep space, that broken component could be the difference between life and death. In such an environment, the ability to print replacement parts on demand promises to be a game changer.

Which is why the recent successful test of a next-generation 3D printer developed by a group of Berkeley researchers is so exciting. During a sub-orbital flight aboard Virgin Galactic’s Unity spaceplane, the SpaceCAL printer was able to rapidly produce four test prints using a unique printing technology known as computed axial lithography (CAL).

NASA already demonstrated that 3D printing in space was possible aboard the International Space Station in a series of tests in 2014. But the printer used for those tests wasn’t far removed technologically from commercial desktop models, in that the objects it produced were built layer-by-layer out of molten plastic.

In comparison, CAL produces a solid object by polymerizing a highly viscous resin within a rotating cylinder. The trick is to virtually rotate the 3D model at the same speed as the cylinder, and to project a 2D representation of it from a fixed view point into the resin. The process is not only faster than traditional 3D printers, but involves fewer moving parts.

Lead researcher [Taylor Waddell] says that SpaceCAL had already performed well on parabolic flights, which provide a reduced-gravity environment for short periods of time, but the longer duration of this flight allowed them to push the machine farther and collect more data.

It’s also an excellent reminder that, while often dismissed as the playthings of the wealthy, sub-orbital spacecraft like those being developed by Virgin Galactic and Blue Origin are capable of hosting real scientific research. As long as your experiment doesn’t need to be in space for more than a few minutes to accomplish its goals, they can offer a ticket to space that’s not only cheaper than a traditional orbital launch, but comes with less red tape attached.

Cloud gaming services allow even relatively meager devices like set top boxes and cheap Chromebooks play the latest and greatest titles. It’s not perfect of course — latency is the number one issue as the player’s controller inputs need to be sent out to the server — but if you’ve got a fast enough connection it’s better than nothing. Interested in experimenting with the tech on your own terms? The open source Games on Whales project is here to make that a reality.

As you might have guessed from the name, Games on Whales uses Linux and Docker as core components in its remote gaming system. With the software installed on a headless server, multiple users can create virtual desktop environments on the same machine, with each spawning as a separate process on the host computer. This means that all of the hardware of the host can be shared without needing to do anything complicated like setting up GPU pass-through. The main Docker container can spin up more containers as needed.

Of course there will obviously be limits to what any given hardware configuration will be able to support in terms of number of concurrent users and the demands of each stream. But for someone who wants to host a server for their friends or something even simpler like not having to put a powerful gaming PC in the living room, this is a real game-changer. For those not up to speed on Docker yet, we recently featured a guide on getting started with this powerful tool since it does take some practice to wrap one’s mind around at first.

One of the towering figures in the evolution of computer science was Grace Hopper, an American mathematician, academic, and Naval reservist, whose work gave us the first programming languages, compilers, and much more. Sadly she passed away in 1992, so her wisdom hasn’t directly informed the Internet Age in the manner of some of her surviving contemporaries.

During her life she gave many lectures though, and as [Michael Ravnitzky] discovered, one of them was recorded on video tape and resides in the archives of America’s National Security Agency. With the title “Future Possibilities: Data, Hardware, Software, and People”, it was the subject of a Freedom Of Information request. This in turn was denied, on the grounds that “Without being able to view the tapes, NSA has no way to verify their responsiveness”. In short, the recording lies on Ampex 1″ reel-to-reel video tape, which the NSA claims no longer to be able to read.

It’s fairly obvious from that response that the agency has no desire to oblige, and we’d be very surprised to find that they keep a working Ampex video system to hand on the off-chance that a passing researcher might ask for an archive tape. But at the same time it’s also obvious that a lecture from Rear Admiral Hopper is an artifact of international importance that should be preserved and available for study. It’s an interesting thought exercise to guess how many phone calls Hackaday would have to make to secure access to a working Ampex video recorder, and since we think for us that number would be surprisingly low it’s likely the NSA know exactly who to call if they needed that tape viewed in a hurry. We don’t have influence over secretive government agencies, but if we did we’d be calling shame on them at this point.

If you’re curious about Grace Hopper, we’ve talked about her work here in the past.

Thanks [F4GRX] for the tip.

Ampex image: Telecineguy., Public domain.