In un drammatico incidente di sicurezza informatica, AT&T ha pagato 5,72 bitcon (circa 300.000 dollari) a ShinyHunters, un gruppo di hacker per eliminare i registri di chiamate rubati dai suoi sistemi da quanto riportato da Wired.

L’incidente ha avuto inizio quando un hacker, il cui nome non è stato divulgato, è riuscito a penetrare nei sistemi di AT&T, una delle principali compagnie di telecomunicazioni degli Stati Uniti, e a sottrarre una considerevole quantità di registri di chiamate.

Questi registri contenevano informazioni sensibili sui clienti, inclusi numeri di telefono, dettagli delle chiamate e altre informazioni potenzialmente compromettenti.

La Richiesta di Riscatto

Dopo aver ottenuto i dati, l’hacker ha contattato AT&T, chiedendo un riscatto di 300.000 dollari per cancellare i registri rubati e non divulgarli pubblicamente o venderli a terzi. Di fronte alla minaccia di un possibile danno reputazionale e legale, oltre alla violazione della privacy dei suoi clienti, AT&T ha deciso di pagare il riscatto.

La transazione è stata condotta attraverso canali non divulgati, ma si presume che siano stati utilizzati metodi anonimi e criptati per trasferire il denaro. Dopo aver ricevuto il pagamento, l’hacker ha fornito prove che i dati erano stati cancellati, anche se la fiducia in tali promesse (come sappiamo) è sempre un elemento critico e incerto in situazioni di questo tipo.

Le Conseguenze

L’incidente solleva molte domande sulla sicurezza dei dati e sulle politiche aziendali di risposta agli attacchi informatici. Il pagamento del riscatto, sebbene risolva temporaneamente il problema, potrebbe incentivare ulteriori attacchi, poiché dimostra che tali azioni possono essere remunerative.

AT&T, da parte sua, ha dichiarato di aver avviato un’indagine interna per comprendere come l’hacker sia riuscito a penetrare nei suoi sistemi e per migliorare le proprie difese contro futuri attacchi. Inoltre, l’azienda sta collaborando con le forze dell’ordine per cercare di identificare e perseguire legalmente l’autore del crimine.

La rivelazione del pagamento ha suscitato diverse reazioni da parte del pubblico e degli esperti di sicurezza informatica. Alcuni critici ritengono che il pagamento del riscatto sia un segnale pericoloso, che potrebbe incoraggiare altri hacker a tentare simili estorsioni. Altri, invece, comprendono la posizione difficile di AT&T e la necessità di proteggere i propri clienti da ulteriori danni.

L'articolo Anche i Grandi Pagano! AT&T Paga 300.000 Dollari per Cancellare i Registri di Chiamate Rubati proviene da il blog della sicurezza informatica.

King Charles confirmed that legislation to regulate artificial intelligence is coming under the UK's new Labour government, but stopped short of providing details in his speech at the first Parliament session under the new government on Wednesday (17 July).

euractiv.com/section/artificia…

Dobbiamo ampliare la nostra analisi oltre le categorie storiche dell'Algopirla, del Tecnopaninaro e del Fulminato Tecnologico per rendere conto di due comportamenti endemici nel mondo del digitale...

spreaker.com/episode/dk8x34-il…

Ah, generic unbranded IP cameras. Safe, secure? Probably not. [Alex] has been hacking around with one of his very own, and he’s recently busted the thing wide open.

Determining that the camera had a software update function built in, [Alex] saw an opening for hijinks. The first issue was that the camera only accepts encrypted update packages, which complicates things somewhat. However, through some smart reverse engineering, the format of the updates and their encryption method became obvious to [Alex]. Oh, and partly because there was a GitHub repository online featuring the source code used by the manufacturer to encrypt their updates. That definitely helped. It also led [Alex] to suspect the manufacturer may not have properly respected the open source license of some of the routines involved.

In the demo of the exploit, [Alex] has the camera reach out to www.pudim.com.br instead of the servers of the original manufacturer. That’s a pretty clear way to show that the camera has been owned.

We first featured [Alex]’s work in this space all the way back in 2019. It’s come a long way since then!

youtube.com/embed/WokfvSCAOFE?…

Il candidato repubblicano alle presidenziali americane Donald Trump ha espresso il suo sostegno al social network TikTok , nonostante un possibile divieto se la società cinese ByteDance non venderà gli asset statunitensi dell’app.

“Sono per TikTok perché abbiamo bisogno della concorrenza. Senza TikTok rimarranno solo Facebook e Instagram”, ha detto Trump in un’intervista a Bloomberg BusinessWeek.

In particolare, lo stesso Trump ha definito TikTok una minaccia in passato. Nel 2020, il politico, quando era ancora presidente, ha cercato attivamente di vietare TikTok e l’applicazione cinese WeChat negli Stati Uniti, ma i suoi tentativi sono stati bloccati dai tribunali. Nel giugno 2021, il presidente Joe Biden ha annullato una serie di ordini esecutivi di Trump volti a vietare le app, ma TikTok è ora più vicino che mai al divieto.

Ora Trump, che in precedenza aveva criticato i social network Facebook e Instagram di proprietà di Meta per aver bloccato il suo account per due anni dopo gli eventi del 6 gennaio 2021 (il sequestro del Campidoglio degli Stati Uniti), ha dichiarato nel giugno di quest’anno che non avrebbe mai sostenuto un divieto su TikTok. Forse questo è dovuto al fatto che recentemente anche il politico si è unito alla piattaforma e ha sperimentato personalmente tutte le sue delizie.

Vale anche la pena notare che Trump possiede una partecipazione di controllo nella società di social media Trump Media and Technology Group, che gestisce il social network Truth Social, che è un concorrente diretto di X (ex Twitter). La società ha una capitalizzazione di mercato di 7 miliardi di dollari, nonostante un fatturato trimestrale di circa 770.000 dollari.

La Corte d’Appello degli Stati Uniti terrà un’udienza a settembre su una nuova legge che impone a ByteDance di vendere le attività statunitensi di TikTok entro il 19 gennaio, pena il divieto. Queste udienze si svolgeranno nel bel mezzo della campagna elettorale del 2024, mentre le elezioni presidenziali americane si terranno nel novembre di quest’anno.

La legge, firmata da Biden il 24 aprile di quest’anno, dà a ByteDance tempo fino al 19 gennaio 2025 per vendere TikTok negli Stati Uniti, altrimenti l’applicazione verrà vietata nel Paese. La Casa Bianca afferma di voler porre fine alla proprietà cinese a causa di problemi di sicurezza nazionale, ma non sta cercando di vietare completamente TikTok. Anche la campagna Biden si è unita a TikTok a febbraio.

La legge sulla vendita delle attività cinesi di TikTok è stata approvata dal Congresso nell’aprile di quest’anno tra le preoccupazioni di lunga data dei legislatori statunitensi che la Cina potesse accedere o spiare i dati degli americani attraverso la popolare app.

L'articolo Trump rivuole TikTok! Forse l’America inizia a comprendere che i Muri sono il Male proviene da il blog della sicurezza informatica.

The EU Court of Justice upheld the European Commission’s decision to designate TikTok's parent company Bytedance as a gatekeeper under the Digital Markets Act on Wednesday (17 July), dismissing all arguments presented by the company.

euractiv.com/section/competiti…

In un preoccupante annuncio apparso su XSS, un noto forum del dark web, un utente con il nome “yesdaddy” ha messo in vendita l’accesso VPN compromesso di un’azienda statunitense non identificata del settore dei macchinari e delle attrezzature industriali. Questa vendita rappresenta un grave rischio per la sicurezza informatica dell’azienda, sottolineando l’importanza di adottare misure preventive efficaci.

Dettagli vendita

Il post pubblicato su XSS è molto dettagliato, fornendo informazioni precise sia sul tipo di dati offerti sia sulla modalità di vendita, che nello specifico è un’asta. L’annuncio riguarda la vendita di un accesso VPN compromesso, completo di diritti d’uso del dominio di un’azienda statunitense.

Immagine del post rinvenuto nel darkweb

• Tipo: VPN
• Paese: USA
• Settore: Industrial Machinery & Equipment (Macchinari e Attrezzature Industriali)
• Fatturato: 50 milioni di dollari
• Diritti: Domain User (Utente di Dominio)
• Host: 190 server

L’utente “yesdaddy” ha usato l’espressione “a lot of balls are available”, il cui significato preciso non è chiaro. Questa frase potrebbe essere un termine tecnico o uno slang specifico utilizzato per indicare ulteriori elementi o risorse inclusi nell’accesso VPN venduto. Potrebbe riferirsi a dati aggiuntivi, credenziali, strumenti di hacking, o altre risorse digitali disponibili per l’acquirente.

Inoltre, l’utente ha menzionato che vi è un “contesto considerevole per ulteriori lavori”. Questo suggerisce che l’accesso VPN offerto potrebbe non essere limitato solo al semplice accesso alla rete aziendale, ma potrebbe includere anche altre possibilità o strumenti che permetterebbero all’acquirente di eseguire ulteriori attività illecite, come il monitoraggio del traffico di rete, l’accesso a dati sensibili, o altre azioni malevole.

• Prezzo di partenza: 3000$
• Incremento minimo: 500$
• Prezzo di acquisto immediato (Blitz): 5500$
• Durata dell’asta: 12 ore

L’utente ha inoltre dichiarato che è disponibile per una videoconferenza su Zoom con acquirenti seri prima dell’acquisto, per chiarire ulteriori dettagli. Dopo 48 ore, se non vi saranno acquirenti, il lotto verrà rimosso dalla vendita.

L’Accesso alla VPN compromessa offerta potrebbe consentire all’acquirente di controllare o monitorare il traffico di rete dell’azienda, effettuare attacchi mirati contro sistemi specifici, rubare dati sensibili, come informazioni finanziarie o segreti commerciali, disattivare o compromettere sistemi critici, condurre attività di spionaggio industriale.

Conclusioni

Questo tipo di annuncio evidenzia un rischio significativo per le aziende, in quanto la vendita di accessi VPN compromessi può portare a gravi violazioni della sicurezza, furti di dati sensibili, e possibili danni alla reputazione aziendale. L’accesso offerto comprende diritti di dominio, il che potrebbe permettere all’acquirente di controllare o monitorare il traffico di rete, effettuare attacchi mirati, o rubare informazioni preziose. È cruciale che le aziende adottino misure di sicurezza avanzate per proteggere le proprie reti e dati sensibili. La formazione dei dipendenti sulla sicurezza informatica, l’uso di strumenti di monitoraggio della rete e la collaborazione con esperti di sicurezza possono aiutare a prevenire tali minacce.

L’annuncio di “yesdaddy” rappresenta una chiara minaccia alla sicurezza aziendale, sottolineando l’importanza di rimanere vigili e proattivi nella protezione delle risorse digitali.

L'articolo Minaccia dal Dark Web: In Vendita l’Accesso VPN di un’Industria USA su XSS proviene da il blog della sicurezza informatica.

Di recente, Kevin Bankston, consulente senior per la governance dell’intelligenza artificiale presso il Center for Democracy and Technology (CDT), ha scoperto che l’assistente Gemini AI di Google ha analizzato automaticamente i suoi documenti aperti in Google Docs senza alcuna autorizzazione.

Kevin ha condiviso la sua storia sui social media, dove ha affermato di aver semplicemente aperto una dichiarazione dei redditi in PDF tramite l’editor di documenti basato su cloud Google Docs e di aver poi ricevuto inaspettatamente un riepilogo delle sue tasse da Gemini. Afferma di non aver chiesto specificatamente a Gemini né di avergli dato il consenso per analizzare i suoi file.

Dopo ulteriori ricerche sul funzionamento dell’assistente AI, Kevin ha notato che il problema si verificava solo con i documenti PDF. Ha teorizzato che aprendo un PDF e facendo clic sul pulsante Gemini, avesse “autorizzato” l’assistente a comparire ogni volta che venivano aperti i file PDF.

Le reazioni degli utenti al post di Kevin sono state varie. Alcuni hanno espresso preoccupazione per il fatto che i servizi di Google potrebbero essere utilizzati per addestrare l’intelligenza artificiale sui dati degli utenti. Altri hanno criticato Kevin per aver caricato le dichiarazioni dei redditi su Google Docs. E uno dei commentatori ha chiesto se l’aiuto non richiesto di Gemini fosse stato di aiuto, alla quale Kevin ha risposto negativamente.

Da questa spiacevole situazione possiamo concludere che non dovresti aprire documenti personali, soprattutto quelli relativi alle tue finanze e ad altre informazioni sensibili, tramite gli editor cloud.

Certo, c’è la possibilità che lo stesso Kevin abbia commesso un errore lavorando con Gemini, ma non è da escludere che Google possa davvero decidere di analizzare i file degli utenti per personalizzare la propria rete neurale.

Pertanto, dovresti sempre controllare le tue impostazioni sulla privacy ed essere consapevole dei rischi associati all’accesso degli assistenti AI ai dati personali, soprattutto se non vuoi che tali dati diventino di pubblico dominio.

L'articolo Google Docs analizza i tuoi PDF senza consenso. O meglio così riporta Kevin Bankston proviene da il blog della sicurezza informatica.

If you’re reading Hackaday, we’re willing to bet that if somebody asked you about a serial terminal, you’d immediately think about a piece of software — a tool you run on the computer to communicate with some hardware gadget over UART. You might even have a favorite one, perhaps minicom or tio. You’d be technically correct (which we all know is the best kind of correct), but if you wind back the clock a bit, there’s a little more to the story.

You see, the programs we use these days to talk to microcontrollers and routers are more accurately referred to as serial terminal emulators, because they are doing in software what used to be the job of hardware. What kind of hardware? Why beauties like this DEC VT220 for example.

The [Vintage Apparatus] channel recently got their hands on a couple of these dedicated serial terminals, and thought it would be interesting to take modern audiences through a brief tour of how they worked and what they were capable of. Despite being built sometime around 1984, the simplistic nature of these devices make them highly reliable — so long as the power supply is good, there’s not a whole lot else that can go wrong.

That being said, using one wasn’t quite as bare bones an experience as you might think. As [Vintage Apparatus] demonstrates, you can press a key on the VT220’s keyboard to bring up a series of configuration menus that don’t look too far removed from what you might be used to from your modern software terminal. Familiar options like baud rate, parity, and local echo are accounted for, but then there’s also settings for connecting a printer up to the serial terminal should you need to bang out some hard copy.

Getting your hands on one of these decades old serial terminals isn’t always easy, but if you’re more interested in the retro looks than technical accuracy, you can always 3D print yourself a replica.

youtube.com/embed/Nl8wUOBno74?…

mobilizon.it/events/48570642-3…

Hello, Burt!

2024-07-11 15:20:30

Tributo a Burt Bacharach

Tributo a Burt Bacharach

Inizia: Venerdì Luglio 19, 2024 @ 9:00 PM GMT+02:00 (Europe/Rome)

Finisce: Venerdì Luglio 19, 2024 @ 11:00 PM GMT+02:00 (Europe/Rome)

Cena nella terrazza sul lago del ristorante Rivafiorita con accompagnamento musicale degli "Hello, Burt!".

I migliori brani di Burt Bacharach cantati e suonati con tromba, basso e tastiere.

@rivafiorita | Linktree

Linktree. Make your link do more.

^Linktree

Dark Lab, il rinomato gruppo di cyber threat intelligence di Red Hot Cyber, guidato da Pietro Melillo, ha pubblicato il suo primo report sul ransomware relativo ai primi sei mesi del 2024. Questo documento rappresenta un’analisi approfondita di uno dei fenomeni più inquietanti e diffusi nel panorama della sicurezza informatica globale.

Il Ransomware: Una Minaccia Globale

Secondo Massimiliano Brolli, fondatore di Red Hot Cyber, “Il ransomware rappresenta una delle minacce più pervasive nel panorama della sicurezza informatica globale. Si tratta di un tipo di malware che, una volta infiltrato nei sistemi informatici, cifra i dati dell’utente o dell’organizzazione, rendendoli inaccessibili. Gli attaccanti richiedono quindi un riscatto per fornire la chiave di decrittazione, con la promessa di restituire l’accesso ai dati. Questo tipo di attacco non solo paralizza il business, ma può anche causare gravi perdite finanziarie e danni alla reputazione.”

Brolli ha riportato inoltre che “Gli obiettivi di questo report sono molteplici, ma il principale è sensibilizzare anche i non addetti ai lavori sul fenomeno del ransomware, evidenziando l’importanza di investire nella sicurezza informatica all’interno delle organizzazioni per ridurne l’incidenza. Il report non solo fornirà contenuti divulgativi, ma presenterà anche una panoramica dettagliata degli attacchi ransomware avvenuti in Italia, analizzando tendenze, settori più colpiti ed evoluzione delle metodologie di attacco. Inoltre, il report offrirà raccomandazioni pratiche per la prevenzione e la gestione del ransomware, proponendo strategie di difesa efficaci e politiche di sicurezza informatica. Attraverso l’esame di dati e casi di studio reali, questo report offre una guida completa per comprendere a fondo il fenomeno del ransomware e le sue implicazioni.”

La Situazione in Italia

Nel corso dei primi sei mesi del 2024, l’Italia ha registrato un totale di 72 attacchi ransomware documentati, posizionandosi al quinto posto tra i paesi più colpiti, dopo Stati Uniti, Regno Unito, Canada e Germania.

Tra i settori più colpiti dal ransomware si annoverano l’industria, i servizi, le tecnologie e la sanità. Red Hot Cyber ha spesso sottolineato come il settore sanitario, in particolare, debba essere considerato alla pari delle infrastrutture critiche nazionali, data la sua essenzialità. Tuttavia, anno dopo anno, questo settore continua a soccombere ai continui attacchi informatici. Questi dati evidenziano la necessità di comprendere e contrastare il fenomeno del ransomware per proteggere meglio le organizzazioni e le infrastrutture critiche del paese.

Obiettivi del Report

Il report di Dark Lab mira a:

1. Diffondere la Conoscenza: Far conoscere il fenomeno del ransomware al grande pubblico.
2. Fornire una Panoramica Dettagliata: Analizzare gli attacchi ransomware avvenuti in Italia, identificando le tendenze, i settori più colpiti e l’evoluzione delle metodologie di attacco.
3. Valutare l’Impatto Economico e Sociale: Esaminare le conseguenze per le aziende e i cittadini.
4. Proporre Raccomandazioni Pratiche: Offrire strategie di difesa efficaci e politiche di sicurezza informatica.

Il report è strutturato nei seguenti capitoli:

1. Introduzione
2. Metodologia
3. Ransomware Inside
   
   • Tassonomia
   • Vettori di infezione
   • Le tecniche di estorsione
   • Il Modello Ransomware As a Service (RaaS)

   
   

4. Analisi e Tendenze
   
   • Analisi globali
   • Analisi comparto Italia
   • Tendenze

   
   

5. Threat Actors
   
   • Principali gruppi ransomware
   • Nuovi Threat Actors
   • Interviste con i Threat Actors
   • Nuove Tecniche Tattiche e Procedure (TTPs)

   
   

6. Strategie di Difesa
   
   • Misure preventive contro il ransomware
   • L’importanza della Consapevolezza del rischio
   • La trasparenza sopra a tutto
   • La Cyber Threat Intelligence
   • Dark Lab Community

   
   

Conclusioni

Questo report, ideato e curato da Pietro Melillo e il suo team di Dark Lab, rappresenta un’importante risorsa per tutte le organizzazioni che desiderano proteggersi dal ransomware. Il lavoro quotidiano del team, che esplora le “underground” del cyber spazio, raccoglie informazioni di prima mano e redige articoli di valore, contribuisce significativamente alla protezione delle infrastrutture del nostro paese.

Un ringraziamento speciale va a Pietro Melillo, Olivia Terragni, Sandro Sana, Alessio Stefan e Raffaela Crisci per il loro contributo al report e per il costante impegno di Dark Lab nell’informazione e nella divulgazione di notizie e anteprime, rendendo l’Italia sempre più consapevole riguardo agli attacchi informatici. Il loro lavoro è essenziale per garantire la sicurezza delle nostre organizzazioni e delle infrastrutture critiche.

Scarica Dark Mirror H1 – 2024

Questo report di Dark Lab non solo offre una guida completa per comprendere il fenomeno del ransomware, ma rappresenta anche un invito a prendere misure preventive e a rafforzare la consapevolezza del rischio a livello nazionale. La trasparenza e la condivisione delle informazioni sono fondamentali per combattere efficacemente questa minaccia.

L'articolo Esce Dark Mirror. Il Primo Report di Dark Lab sul Fenomeno Ransomware relativo ad H1 2024 proviene da il blog della sicurezza informatica.

Costruire un SOC con Wazuh, The Hive, Shuffle e Cortex su un MiniPC da 100€: Guida Pratica al Pentesting in Ottica Purple Team è un’opportunità unica per migliorare le operazioni di sicurezza senza rompere il budget. Usando hardware economico come un MiniPC, questa guida mostra come configurare un Sistema di Controllo di Sicurezza (SOC) efficiente e potente. La creazione di un SOC completo e funzionale con un investimento minimo è ora possibile.

Questa è la seconda parte dell`articolo dedicato al tema, potete trovare la prima parte [qui] e la seconda [qui].

I lettori scopriranno come integrare strumenti chiave come Wazuh per la rilevazione delle minacce, The Hive per l’analisi degli incidenti, e Cortex per l’arricchimento delle analisi. La guida inoltre copre l’utilizzo di Shuffle per orchestrare la sicurezza e automatizzare processi chiave, migliorando l’efficienza operativa del SOC.

Il focus sul pentesting in ottica Purple Team permette di affinare le tecniche di difesa e attacco, rendendo il SOC non solo una struttura difensiva ma anche un mezzo proattivo per testare e migliorare le capacità di risposta. Segui la guida pratica per trasformare un MiniPC da 100€ in un strumento potente per la sicurezza informatica.

Key Takeaways

• Configurazione di un SOC su MiniPC da 100€
• Integrazione di Wazuh, The Hive, Cortex e Shuffle
• Focus sul pentesting in ottica Purple Team

Fondamenti di Sicurezza e SOCs

Un Security Operations Center (SOC) è una struttura centrale che monitora, rileva, risponde e mitiga le minacce alla sicurezza. Il SOC è fondamentale per mantenere la sicurezza delle informazioni dell’organizzazione.

Le operazioni di sicurezza in un SOC includono:

• Monitoraggio: Supervisione costante dei sistemi e delle reti per rilevare attività sospette.
• Rilevamento: Identificazione di minacce e vulnerabilità attraverso strumenti e tecniche avanzate.
• Risposta: Azioni per neutralizzare le minacce e mitigare i danni.
• Ripristino: Riportare i sistemi alla normalità dopo un incidente di sicurezza.

Un buon SOC utilizza diverse tecnologie come Wazuh e TheHive. Wazuh è una piattaforma SIEM e XDR open source che offre funzionalità di sicurezza unificate. È possibile integrarli per una migliore gestione degli incidenti e una risposta coordinata.

Le tecniche di cybersecurity evolvono costantemente per affrontare nuove minacce. I SOC devono quindi aggiornare continuamente le loro strategie e strumenti per mantenere un elevato livello di sicurezza.

In breve, la sicurezza e i SOC sono critici per proteggere le risorse informatiche e garantire che le organizzazioni possano operare senza interruzioni a causa di attacchi informatici.

Analisi del Budget e Requisiti Hardware

Considerare il budget è fondamentale quando si seleziona un MiniPC per un SOC. Un esempio pratico è l’uso di un MiniPC con circa 16 GB di RAM e un SSD esterno ad alta velocità, come descritto in questa guida.

La RAM da 16 GB garantisce una gestione fluida delle applicazioni come Wazuh, TheHive, Shuffle e Cortex. Un SSD ad alta velocità assicura tempi di lettura e scrittura rapidi, indispensabili per attività di analisi dei dati in tempo reale.

Installazione del Sistema Operativo e Configurazione di Rete

Installazione di Wazuh per la Rilevazione delle Minacce

L’installazione di Wazuh consente il monitoraggio e la rilevazione delle minacce all’interno dell’infrastruttura IT. In questa parte, si tratterà la configurazione del Wazuh Manager, la distribuzione degli agenti Wazuh sui vari host e la personalizzazione delle regole e degli alert per una gestione ottimale della sicurezza.

Sul nostro MiniPC abbiamo installato Proxmox come descritto nell`articolo precedente. Sui vari server Ubuntu e containers abbiamo installato come da immagine qui sotto:

Wazuh, Shuffle, TheHive. Abbiamo poi installato un ambiente AD con un server Windows 2000 ed una macchina Windows 10 all` interno. Abbiamo inoltre aggiunto due containers : una macchina Kali ed una Ubuntu con installato Atomic Red Canary per esercizi di emulazione attacchi.

Girano tutte contemporaneamente in maniera decorosa , anche se come si puo immaginare mettono a dura prova il mini pc come vediamo nella schermata che segue:

Sysmon é stato installato sulle macchine windows :

Sysmon (System Monitor) è uno strumento di monitoraggio del sistema per Windows che fa parte del Sysinternals Suite di Microsoft. Sysmon raccoglie informazioni dettagliate sugli eventi di sistema e li registra nei log di Windows, fornendo una visione approfondita di varie attività, come creazione di processi, connessioni di rete, e modifiche ai file.

Quando utilizzato in concomitanza con Wazuh Server, Sysmon serve i seguenti scopi principali:

1. Raccolta di Log Dettagliati: Sysmon registra eventi dettagliati che possono essere raccolti e analizzati da Wazuh. Questo include informazioni dettagliate sui processi, eventi di rete, modifiche ai file e altro ancora.
2. Monitoraggio delle Attività di Sistema: Sysmon fornisce una visione granulare delle attività di sistema che può aiutare a rilevare comportamenti anomali e potenziali minacce. Wazuh può raccogliere questi dati e analizzarli per individuare eventi sospetti.
3. Analisi e Correlazione degli Eventi: I dati raccolti da Sysmon possono essere inviati a Wazuh, che li utilizza per eseguire analisi di sicurezza e correlare eventi. Questo aiuta a identificare pattern di attacco e a rispondere rapidamente alle minacce.
4. Rilevamento delle Minacce: Combinando le capacità di logging di Sysmon con le funzionalità di analisi e rilevamento di Wazuh, è possibile implementare un sistema di rilevamento delle minacce più robusto. Wazuh può generare alert basati sugli eventi di Sysmon per segnalare attività sospette.
5. Comprehensive Forensic Analysis: In caso di incidenti di sicurezza, i log dettagliati forniti da Sysmon possono essere utilizzati per un’analisi forense approfondita, aiutando a comprendere come si è verificata una violazione e quali sono state le azioni intraprese dagli attaccanti.

Configurazione del Wazuh Manager

Il Wazuh Manager è il cuore del sistema di rilevazione delle minacce. Si occupa di raccogliere e analizzare i dati. Per iniziare, si deve scaricare il pacchetto di installazione dal sito ufficiale di Wazuh.

Dopo il download, eseguire lo script di installazione. Una volta completata l’installazione, configurare il file ossec.conf per definire le impostazioni del manager. In questo file, è possibile specificare i parametri di logging e le regole di sicurezza correttamente.

Infine, avviare il manager e verificare che sia operativo. Utilizzare il comando systemctl status wazuh-manager per assicurarsi che il servizio sia attivo e funzionante.

Distribuzione di Wazuh Agents sugli Hosts

Per monitorare efficacemente l’intera infrastruttura, è necessario installare Wazuh Agent su ogni host. Gli agenti raccolgono i dati di sicurezza e li inviano al Wazuh Manager per l’analisi.

Installare l’agente Wazuh su ogni host seguendo le istruzioni fornite nella guida ufficiale. Configurare ogni agente modificando il file ossec.conf per includere l’indirizzo IP del Wazuh Manager.

Avviare gli agenti utilizzando il comando systemctl start wazuh-agent e verificare che gli agenti comunichino correttamente con il manager. Controllare i log per eventuali errori di connessione o configurazione.

Personalizzazione delle Regole e degli Alerts con Wazuh

Personalizzare le regole e gli alert è fondamentale per adattare Wazuh alle esigenze specifiche dell’infrastruttura. Modificare il file ossec.conf per includere regole di logging avanzato e criteri di rilevazione delle minacce.

Aggiungere regole personalizzate o modificare quelle esistenti per rilevare specifici tipi di minacce. Configurare alert per notificare immediatamente qualsiasi attività sospetta, inviando notifiche via email o integrandosi con altri sistemi di allarme.

Usare l’interfaccia grafica di Wazuh per gestire e monitorare le regole e gli alert. Assicurarsi di testare tutte le regole e le notifiche per garantire che funzionino come previsto e migliorare la capacità di risposta alle minacce.

Integrazione con The Hive per l’Analisi Incidenti

L’integrazione con The Hive permette un’analisi efficiente degli incidenti di sicurezza tramite la gestione centralizzata degli alert e workflow ottimizzati. Configurare e utilizzare The Hive è fondamentale per un SOC, creando un processo di risposta agli incidenti organizzato e veloce.

Configurazione di The Hive

Configurare The Hive richiede l’installazione del software su un server dedicato. Il MiniPC da 100€ può ospitare The Hive se configurato correttamente. È necessario scaricare il pacchetto dal repository GitHub e seguire le istruzioni di installazione.

sudo apt-get update
sudo apt-get install thehive

Configurare il file application.conf per impostare i parametri di connessione e sicurezza. È importante usare un database come Cassandra o ElasticSearch per immagazzinare gli alert.

sudo systemctl start thehive

Gestione degli Alerts e Workflow

Gli alert sono gestiti tramite l’API REST di The Hive, che consente l’integrazione con altri strumenti di sicurezza come Wazuh. Gli incidenti vengono creati automaticamente quando un nuovo alert viene ricevuto.

Gli alert vengono categorizzati e assegnati a team specifici. Il workflow include la creazione di ticket, l’assegnazione delle priorità e il monitoraggio del progresso.

Esempio di workflow:

1. Ricezione dell’alert: L’informazione arriva tramite l’API.
2. Creazione di un caso: L’alert viene convertito in un caso.
3. Assegnazione: Il caso viene assegnato a un analista.
4. Indagine: L’analista raccoglie e analizza i dati.
5. Risoluzione: Il problema viene risolto e il caso chiuso.

Utilizzare The Hive aiuta a mantenere ordine e a rispondere rapidamente agli incidenti, migliorando l’efficienza del SOC.

Uso di Cortex per l’Arricchimento delle Analisi

Cortex è uno strumento fondamentale per arricchire le analisi in un SOC. Permette di integrare dati di sicurezza automatici e semplificare le risposte agli incidenti.

Integrazione delle Funzionalità di Cortex

Cortex supporta l’integrazione di numerosi strumenti di sicurezza per migliorare l’analisi. Ad esempio, con l’integrazione di VirusTotal, acquisisce informazioni dettagliate su minacce conosciute, fornendo un contesto prezioso per gli analisti.

Cortex utilizza anche dati provenienti da molte fonti per creare un quadro completo degli eventi di sicurezza. Questi dati includono log di sistema, notifiche di antivirus e allarmi di DLP (Data Loss Prevention).

Gli analisti possono configurare Cortex per raccogliere specifici artefatti, come file sospetti o record di rete, automatizzando il processo di raccolta e analisi dei dati. Questa funzionalità permette al SOC di identificare rapidamente le minacce e determinare le azioni da intraprendere.

Prima di continuare facciamo delle prove tramite Atomic Red Canary ed il container dedicato , qui sotto Wazuh prima del test:

Invochiamo un test che corrisponde alla tecnica del MITRE T1003.008 : Credential Dumping . Proveremo quindi a dumpare /etc/shadow che contiene informazioni sulle password degli utenti del sistema. Ogni riga nel file rappresenta un account utente e ogni riga contiene nove campi separati da virgole.

Come si puó notare, sull interfaccia di Wazuh si sono manifestati gli eventi appena invocati cosi come su TheHive:

Fin qui tutto ok dunque, aggiungiamo uno strato di complessità ora al nostro laboratorio estendendone molto le capacità fino ad arrivare alla struttura base di una vero e proprio SOC.

Shuffle per l’Orchestrazione della Sicurezza

Shuffle consente di automatizzare e centralizzare le operazioni di sicurezza. Con l’integrazione di diversi strumenti, rende i processi di risposta agli incidenti più efficienti.

Creazione di Workflows di Sicurezza con Shuffle

Shuffle permette di creare workflow di sicurezza personalizzati. Gli utenti possono configurare azioni automatizzate che si attivano quando si verificano determinati eventi.

Ad esempio, quando un evento di sicurezza viene rilevato, Shuffle può avviare automaticamente un’analisi attraverso gli strumenti integrati, come Wazuh.

Questo miglioramento riduce il tempo di risposta e permette di affrontare le minacce in modo più rapido e preciso.

Usando una interfaccia drag-and-drop, anche chi non ha competenze avanzate può configurare workflow complessi, migliorando la gestione delle minacce e garantendo una risposta uniforme agli incidenti.

Interazione con altri Strumenti di Sicurezza

Quando Wazuh rileva un incidente, Shuffle può inviare automaticamente una notifica a The Hive per avvisare l’analista.

Inoltre, Shuffle supporta la multi-tenancy, consentendo di gestire più ambienti di sicurezza contemporaneamente. Questo è utile per le aziende che devono supervisionare numerosi sistemi e network.

L’integrazione con API esterne permette a Shuffle di comunicare con vari strumenti e piattaforme, migliorando l’efficacia complessiva delle operazioni di sicurezza.

Pianificazione delle Risorse e degli Utenti

La pianificazione delle risorse è cruciale per mantenere efficiente il SOC. Assegnare le risorse adeguate ai giusti processi aiuta a bilanciare il carico di lavoro e garantisce che tutte le aree di sicurezza siano coperte.

Definire chi ha accesso a quali risorse è altrettanto importante. Gli utenti con differenti gradi di permessi garantiscono che solo personale autorizzato possa accedere a informazioni sensibili. Gestire un SOC richiede una chiara struttura organizzativa, e documentare le procedure operative aiuterà i nuovi membri del team a comprendere rapidamente il loro ruolo.

Formare regolarmente il personale su nuove minacce e tecnologie emergenti mantiene l’intero team al passo con gli ambienti di sicurezza in continua evoluzione.

Automazione e Scripting per Efficienza Operativa

Automazione e scripting sono essenziali per migliorare l’efficienza operativa di un SOC. Questi strumenti rendono possibile gestire attività ripetitive e complesse con facilità, aumentando la velocità di risposta e riducendo possibili errori umani.

Utilizzo di Bash e Python per Automazione

Bash e Python sono scelte popolari per l’automazione. Bash è spesso utilizzato per task di sistema come la gestione dei file, backup e esecuzione di comandi in scripting. È semplice da usare e integrato in molte distribuzioni Linux, rendendo facile l’accesso a risorse di sistema.

Python, d’altra parte, è più potente e flessibile. Dispone di una vasta gamma di moduli Python per il networking, l’analisi dei dati e l’API interaction. Questo linguaggio permette di realizzare script più complessi, integrando facilmente strumenti come Wazuh e TheHive.

Un esempio pratico potrebbe essere l’automazione del processo di monitoraggio, dove uno script Python raccoglie log da Wazuh e li invia a TheHive per la classificazione e l’assegnazione dei casi.

inoltre con il supporto di ChatGPT il tutto diventa molto più rapido.

Per un SOC efficiente, personalizzare e integrare diversi strumenti diventa cruciale. Gli script di integrazione permettono il collegamento tra Wazuh, TheHive e altre piattaforme come Shuffle e Cortex.

Un script Bash potrebbe essere utilizzato per sincronizzare le regole di sicurezza tra Wazuh e altri strumenti di sicurezza. Ad esempio, uno script potrebbe estrarre dati dai log di Wazuh e prepararli per l’analisi con Cortex, migliorando così la tempestività e la precisione delle rilevazioni.

Python invece può essere utilizzato per creare script di integrazione più avanzati. Questi possono agire come bridge tra le API di diversi strumenti, facilitando la comunicazione e l’azione coordinata. Per esempio, uno script Python potrebbe estrarre allarmi da Wazuh e generare automaticamente ticket su TheHive, migliorando la gestione degli incidenti.

Implementare queste tecniche di automazione e scripting non solo ottimizza il flusso di lavoro, ma assicura anche una migliore protezione e gestione delle risorse aziendali.

Metodologie Purple Team per il Test di Penetrazione

Il Purple Team unisce il meglio delle capacità offensive del Red Team e delle capacità difensive del Blue Team. Questi team collaborano per migliorare la rilevazione delle minacce e la risposta alle vulnerabilità.

Durante un test di penetrazione, il team rosso simula attacchi contro i sistemi informatici. I risultati aiutano a identificare vulnerabilità che potrebbero essere sfruttate da aggressori reali.

Il Purple Team utilizza tecniche avanzate per analizzare e comprendere le vulnerabilità rilevate. Questa analisi consente al Blue Team di implementare misure di sicurezza più efficaci.

Ecco alcuni passaggi chiave:

1. Pianificazione e Preparazione: Definiscono l’ambito del test e raccolgono informazioni sui sistemi da testare.
2. Scansione di Vulnerabilità: Utilizzano strumenti automatizzati per individuare punti deboli nel sistema.
3. Sfruttamento: Eseguono attacchi mirati per verificare se le vulnerabilità possono essere effettivamente sfruttate.
4. Segnalazione: Documentano i risultati e li presentano al Blue Team.

Gli strumenti utilizzati includono Wazuh, The Hive, Shuffle e Cortex. Questi strumenti sono integrati in un Security Operations Center (SOC) domestico, fornendo una piattaforma completa per il monitoraggio e la gestione delle minacce. Naturalmente sono appunto strumenti, che una volta compresi gettano le basi per l`utilizzo di altre soluzioni se si vuole.

L’uso di un approccio Purple Team migliora la sicurezza aziendale, assicurando che le vulnerabilità vengano non solo rilevate, ma anche mitigate in modo efficace. Per maggiori dettagli, visitare Blue Team, Red Team e Purple Team e Che cos’è un Purple Team?.

Una volta controllato che tutti i componenti comunicano tra di loro, possiamo iniziare a simulare un attacco vero e proprio osservandone gli effetti sul nostro SOC casalingo. Nel prossimo articolo useremo Mimikatz a tale scopo.

L'articolo Costruiamo un SOC domestico con 100 Euro. Accendiamo Wazuh, The Hive, Shuffle – Terza Parte proviene da il blog della sicurezza informatica.

Gli operatori di ransomware non si limitano a chiedere riscatti per restituire l’accesso ai dati. Il loro obiettivo principale è massimizzare il profitto e, quando hanno i tuoi dati in mano, li possono vendere ai migliori offerenti nelle underground del web.

Un esempio recente ha messo in luce che questi criminali possono pubblicare solo una parte dei dati rubati, mentre vendono quelli più sensibili.

Il crimine informatico è un’attività altamente redditizia e, per i cybercriminali, il bilancio non può mai andare in passivo. La vendita dei dati rubati è una delle strategie utilizzate per assicurare costanti flussi di cassa. Una volta che i dati sono stati sottratti, gli operatori di ransomware valutano il modo più redditizio di utilizzarli: possono pubblicarli totalmente o parzialmente per mettere pressione sulle vittime o venderli direttamente nel mercato nero digitale.

La Cybergang Meow

Un esempio emblematico di questa pratica è rappresentato dalla cybergang Meow, recentemente intercettata mentre vendeva dati all’interno del famigerato forum in lingua russa underground XSS. Questo gruppo criminale ha fatto parlare di sé per l’approccio sistematico e organizzato con cui gestisce il commercio di informazioni riservate.

Sul forum XSS, Meow ha pubblicato un messaggio che illustra chiaramente il loro modus operandi: “Benvenuti al mercato dei dati! Non facciamo cose a caso! Il nostro servizio è costantemente aggiornato e solo da noi puoi acquistare informazioni segrete da molte delle più grandi aziende del mondo, sui loro piani, progetti, clienti, conti bancari, previsioni, sviluppi, disegni e altre informazioni più recenti.”

Il Mercato dei Dati

Meow offre dati in forma anonima, esattamente come sono stati estratti dai server aziendali, senza alcuna modifica. Questo garantisce agli acquirenti informazioni autentiche e di prima mano. La loro offerta include una vasta gamma di dati: dai progetti aziendali riservati ai dettagli finanziari, fino alle previsioni di mercato e agli sviluppi tecnologici.

Per i partner, Meow vanta un database di clienti facoltosi con grandi portafogli, costruito in oltre un anno di attività. I loro server, dotati di oltre 500 TB di spazio di archiviazione, sono costantemente aggiornati con nuove informazioni e possono essere espansi ulteriormente entro 72 ore se necessario.

La Trasparenza del Crimine

Meow garantisce la massima trasparenza nelle operazioni, tutte condotte con la partecipazione diretta dei partner. Accettano qualsiasi formato di dati per la vendita, sia esso semplice data dalla rete aziendale o complessi database SQL. Pertanto si stanno organizzando per essere non solo una cybergang ransomware ma per essere anche un Hub di rivendita dati (come in passato abbiamo visto con Marketo).

In sintesi, gli operatori ransomware potrebbero ingaggiare specifici partner che curano la rivendita dei dati, per poter monetizzare le esfiltrazioni e quindi non pubblicare più in toto, all’interno dei loro DLS le informazioni delle aziende, ma sperare di guadagnarci qualcosa nel prossimo futuro.

Questi sviluppi evidenziano quanto sia cruciale per le organizzazioni non solo proteggere i propri dati, ma anche comprendere le dinamiche del mercato nero digitale. I dati sottratti possono essere utilizzati in modi che vanno ben oltre il semplice ricatto: la loro vendita può finanziare ulteriori attività criminali, aumentando il rischio per tutti.

L'articolo Cosa ci fanno con i dati gli operatori Ransomware dopo un riscatto non pagato? proviene da il blog della sicurezza informatica.

You might think of the smartwatch era as beginning with Apple, relatively recently. Or, you might think back to those fancy Timex models with the datalink thing going on in the 1990s. Seiko can beat them all, though, with its UC-2000 smartwatch that debuted all the way back in 1984.
The UC2200 was the bigger docking station of the two.
The UC-2000 very much looks cutting edge for its era, and absolutely ancient today. It featured a 4-bit CPU, 2 kilobytes of RAM, and 6 kilobytes of ROM. Display was via a simple 10×4 character LCD in a rectangular form factor, with four buttons along the bottom. Branded as a “personal information processor,” it was intended for use with the UC-2100 dock. This added a full physical QWERTY keyboard that interacted with the UC-2000 when the two were combined together. Alternatively, you could go for the UC-2200, which not only had a keyboard but also a thermal printer to boot. Oh, and ROM packs for Microsoft Basic, games, or an English-to-Japanese translator.

What could you do on this thing? Well, it had basic watch functions, so it told the time, acted as a stop watch, and an alarm, of course. But you could also use it to store two memos of up to 1000 characters each, schedule appointments, and do basic calculations.

The one thing this smartwatch was missing? Connectivity. It couldn’t get on the Internet, nor could it snatch data from the ether via radio or any other method. By today’s measures, it wouldn’t qualify as much of a smartwatch at all. Moreso a personal organizer that fit on the wrist. Still, for its day, this thing really was a whole computer that fit on your wrist.

Would you believe we’ve seen the UC-2000 before? In fact, we’ve even seen it hacked to play Tetris! Video of that wonderful feat after the break.

youtube.com/embed/BHnZNJsGcyE?…

If you think of supercomputers, it is hard not to think of Seymour Cray. He built giant computers at Control Data Corporation and went on to build the famous Cray supercomputers. While those computers aren’t especially amazing today, for their time, they were modern marvels. [Asianometry] has a great history of Cray, starting with his work at ERA, which would, of course, eventually produce the computer known as the Univac 1103.

ERA was bought up by Remington Rand, which eventually became Sperry Rand. Due to conflict, some of the ERA staff left to form Control Data Corporation, and Cray went with them. The new company decided to focus on computers to do simulations for things like nuclear test simulations.

To save money, the new company used out-of-spec transistors, pairing them so they’d work correctly. In 1960, the company delivered the CDC 1604, a million-dollar computer that ran at 200 kHz. It was the most powerful computer of its day. It was solid state with a 48-bit word. Core memory was 32K words (192 Kbytes). The company touted its “small size” (fits in a 20-foot by 20-foot room!).

Cray would eventually sour on CDC and founded Cray Research in 1972. Before long, though, Cray stepped down as CEO of Cray Research and founded the Cray Computer Corporation.

While early Cray designs were technically successful, growing technology allowed other companies to produce cheaper supercomputers. In addition, the need for supercomputers and how they were built was changing. Cray Computer Corporation went bankrupt in 1995. Cray Research continued without Cray at the helm, but attempts to access a broader market didn’t really work out.

Silicon Graphics bought Cray Research in 1996, selling some of it to Sun. That was the same year Seymour died in a traffic accident at age 71. By 2000, Cray Research was sold again to Tera Computer, which changed its name to Cray. However, they also had a rock road in the supercomputer market. They sold some assets to Intel in 2012 and in 2019 were bought by Hewlett Packard.

There is a lot of history in this video, and it would be amazing to see what Seymour Cray could have done with an unlimited budget and no business necessities.

Want to play with a Cray? Simulation is going to be easier than buying surplus. We’ve done our own biography of Mr. Cray, if you want some additional reading.

youtube.com/embed/SOQ6F7HMfSc?…

Navigating aircraft today isn’t like the old days. No more arrows painted on a barn roof or rotating airway beacons. Now, there are a host of radio navigation aids. GPS, of course, is available. But planes often use VOR to determine a bearing to a known point and DME — distance measuring equipment — to measure the distance to that point. DME operates around 1000 MHz and is little more than a repeater. An airplane sends a pair of pulses, and times how long it takes for the DME to repeat them. [Daniel Estévez] has been monitoring these transmissions with a LimeSDR.

Like most repeaters, the DME transponders listen on one frequency and transmit on another. Those frequencies are 63 MHz apart. This poses a challenge for some types of SDRs which have limits on bandwidth.

The LimeSDR has two chains of onboard processing, but each is tied to its own ADC. No problem. Just split the antenna and feed the same signal to both ADCs. Problem solved. An LNA makes up for the splitter loss.

Once you have the signal, a GNU Radio setup can grab the data to do any final processing and recording. Analysis shows how DME sends 2,700 pulses per second no matter what. That’s because the transponder adjusts its squelch to make this true. When there isn’t much going on, the receiver will be squelched below the noise level and be very sensitive. However, if many aircraft are using the system, it will automatically adjust to only repeat the strongest pulses.

While this wasn’t trivial, it was much easier using modern SDR tools than it would have been when radios had to be built for specific purposes.

Want to see inside a real DME receiver? If you simulate the right pulses, you can convert a DME into a clock.

You can do all kinds of wonderful things with cameras and image recognition. However, sometimes spatial data is useful, too. As [madmcu] demonstrates, you can use depth data from a time-of-flight sensor for gesture recognition, as seen in this rock-paper-scissors demo.

If you’re unfamiliar with time-of-flight sensors, they’re easy enough to understand. They measure distance by determining the time it takes photons to travel from one place to another. For example, by shooting out light from the sensor and measuring how long it takes to bounce back, the sensor can determine how far away an object is. Take an array of time-of-flight measurements, and you can get simple spatial data for further analysis.

The build uses an Arduino Uno R4 Minima, paired with a demo board for the VL53L5CX time-of-flight sensor. The software is developed using NanoEdge AI Studio. In a basic sense, the system uses a machine learning model to classify data captured by the time-of-flight sensor into gestures matching rock, paper, or scissors—or nothing, if no hand is present. If you don’t find [madmcu]’s tutorial enough, you can take a look at the original version from STMicroelectronics, too.

It takes some training, and it only works in the right lighting conditions, but this is a functional system that can determine real hand sign and play the game. We’ve seen similar techniques help more advanced robots cheat at this game before, too! What a time to be alive.

Compute Unified Device Architecture, or CUDA, is a software platform for doing big parallel calculation tasks on NVIDIA GPUs. It’s been a big part of the push to use GPUs for general purpose computing, and in some ways, competitor AMD has thusly been left out in the cold. However, with more demand for GPU computation than ever, there’s been a breakthrough. SCALE from [Spectral Compute] will let you compile CUDA applications for AMD GPUs.

SCALE allows CUDA programs to run as-is on AMD GPUs, without modification. The SCALE compiler is also intended as a drop-in swap for nvcc, right down to the command line options. For maximum ease of use, it acts like you’ve installed the NVIDIA Cuda Toolkit, so you can build with cmake just like you would for a normal NVIDIA setup. Currently, Navi 21 and Navi 31 (RDNA 2.0 and RDNA 3.0) targets are supported, while a number of other GPUs are undergoing testing and development.

The basic aim is to allow developers to use AMD hardware without having to maintain an entirely separate codebase. It’s still a work in progress, but it’s a promising tool that could help break NVIDIA’s stranglehold on parts of the GPGPU market.

I giganti della tecnologia Google e Microsoft hanno consumato ciascuno 24 TWh di elettricità nel 2023 , più del consumo energetico di oltre 100 paesi, secondo un nuovo studio.

Un’analisi condotta da Michael Thomas e pubblicata sul social network X mostra che entrambe le società consumano tanta energia quanto l’intero Paese dell’Azerbaigian, con un PIL di 78,7 miliardi di dollari. Allo stesso tempo, le entrate di Google nel 2023 sono state di 307,4 miliardi di dollari e quelle di Microsoft di 211,9 miliardi di dollari.

Ha anche fatto un confronto con altri paesi: Islanda, Ghana, Repubblica Dominicana e Tunisia hanno consumato ciascuno 19 TWh, la Giordania – 20 TWh. La Libia (25 TWh) e la Slovacchia (26 TWh).

Questo enorme consumo di elettricità da parte delle due società solleva serie preoccupazioni riguardo al loro impatto sull’ambiente. La maggior parte delle energie viene spesa per garantire il funzionamento dei data center che supportano i servizi cloud e la nuova generazione di intelligenza artificiale.

Tuttavia, il lato positivo è che con tali risorse e influenza, Google e Microsoft possono diventare leader nel campo dello sviluppo sostenibile e dell’adozione di tecnologie verdi.

Entrambe le società si sono già impegnate a diventare carbon neutral o addirittura carbon negative entro la fine del decennio. Stanno investendo attivamente nell’energia pulita e introducendo tecnologie di risparmio energetico.

Con una capitalizzazione di mercato rispettivamente di 2.294 trilioni di dollari e 3.372 trilioni di dollari, Google e Microsoft sono la seconda e la quarta azienda più preziosa al mondo. La portata delle loro operazioni, paragonabile a quella di un’intera nazione, sta attirando l’attenzione del pubblico mentre le economie globali continuano a lottare per prevenire e riparare i danni ambientali.

L'articolo Bolletta salata! Google e Microsoft consumano energia come 100 paesi assieme proviene da il blog della sicurezza informatica.

Sometimes the tightest constraints inspire the highest creativity. The 2024 Tiny Games Challenge invites you to have the most fun with the most minimal setup. Whether that’s tiny size, tiny parts count, or tiny code, we want you to show us that big fun can come in small packages.

The Tiny Games Challenge starts now and runs through September 10th, with the top three entries receiving a $150 gift certificate courtesy of DigiKey.

We can’t tell you how much fun we’ve had playing Twang and a few derivatives thereof. It’s an amazing amount of fun to get out of just a springy door stopper, an accelerometer, and an LED strip. Pong is an evergreen game, and you might expect to see it implemented on an LED strip, but how about on ten LEDs? Or Snake on a 16×2 LCD? [Doug McInnes]’s Hunt the Lunpus runs on two seven-segment displays!

We’ve seen no end of small handheld game projects, ranging from the Arduboy to [Deshipu]’s outstanding PewPew series of devices. These projects have an incredible degree of finish, but that shouldn’t stop you from lashing up a quick pocket gaming platform out of whatever you have on hand.

Or maybe you want to have fun with the hardware? We’re absolutely interested in seeing the most innovative minimal controls you can come up with. Who knows, you might just invent the next Playdate!

No matter whether your game is small in scope, code size, build complexity, or form-factor, if you’ve got a Tiny Game, show us! Head over to Hackaday.io and create a project, use the pull-down menu on the left-hand side to enter, and you’re set. We’ll be judging on simplicity, fun, and the quality of your documentation, and the top three will get a $150 DigiKey shopping spree. Let the (tiny) games begin!

Honorable Mention Categories

• One Dimensional: Everyone has an LED strip kicking around somewhere. Show us how we can put that to use to make an engaging game that plays only in one dimension.
• The Classics: You know: Pong, Snake, Tetris, or maybe even Hunt the Wumpus. In this category, we’re looking for modern implementations of a classic tiny game of yesteryear.
• The Controls: With some games, it’s the controls that make them fun. If your tiny game has innovative user interfaces, this is for you.
• Pocket Arcade: You want to bring your games with you everywhere, right? This category is for DIY tiny games that you can carry around every day.
• Fancy!: This category is for the polish, the fit-and-finish, and the shininess. If your game looks fantastic, it’s fancy.

In un forum di hacking, un attore malevolo ha recentemente dichiarato di aver avuto accesso al sistema interno di Slack di Disney, compromettendo un’enorme quantità di dati pari a 1,1 TiB. Questa ingente quantità di informazioni include progetti non ancora rilasciati, immagini grezze, codice sorgente, informazioni di accesso critiche, API interne, link a pagine web e messaggi e file provenienti da ben 10.000 canali.

La Portata della Violazione

L’hacker, identificato con il nome di NullBulge, ha pubblicato un post dettagliato nel quale descrive la natura e la portata del furto di dati. Secondo quanto riportato, sono stati resi pubblici non solo dati sensibili ma anche elementi di grande valore strategico per Disney, come progetti ancora in fase di sviluppo e codice sorgente utilizzato per applicazioni e piattaforme interne.

Contenuti Compromessi

Il contenuto rubato include:

• Progetti Non Rilasciati: Documenti relativi a progetti futuri di Disney, che potrebbero includere film, serie TV, parchi a tema e altre iniziative aziendali.
• Immagini Grezze: Fotografie e immagini non ancora editate o pubblicate, che potrebbero rivelare dettagli su prossime uscite o eventi.
• Codice Sorgente: Elementi del codice utilizzato per sviluppare software e applicazioni interne, che potrebbero essere sfruttati per ulteriori attacchi o per compromettere la sicurezza dei sistemi.
• Informazioni di Accesso Critiche: Dati come username e password che potrebbero permettere ulteriori accessi non autorizzati ai sistemi di Disney.
• API Interne e Link a Pagine Web: Accessi a risorse interne e pagine web non pubbliche che potrebbero rivelare ulteriori dettagli sulle operazioni aziendali.

Nullbulge

NullBulge è un gruppo di hacker noto per diffondere malware e ransomware tramite estensioni malevole e mod di giochi. Questo gruppo è emerso di recente, con il dominio registrato solo poche settimane fa (il primo dominio potrebbe essere stato registrato il 02/06/2024), suggerendo che potrebbe essere una copertura per azioni di singoli individui piuttosto che un’organizzazione ben strutturata.

NullBulge ha guadagnato attenzione per aver diffuso codice malevolo all’interno di un’interfaccia popolare per il software di generazione di immagini AI, Stable Diffusion, utilizzando un’estensione su GitHub chiamata ComfyUI. Gli hacker sostengono di essere contrari all’arte generata dall’intelligenza artificiale, vedendola come una minaccia per l’industria creativa, e hanno utilizzato questa motivazione per giustificare le loro azioni.

La loro attività è stata segnalata su vari forum e piattaforme, dove hanno diffuso mod di giochi contenenti malware e hanno sfruttato vulnerabilità in altri software per diffondere ulteriormente il loro codice malevolo. Le autorità, inclusi l’FBI, sono state allertate riguardo alle loro attività, e diversi utenti hanno segnalato le loro pratiche a servizi di hosting e piattaforme di sicurezza per cercare di mitigarne l’impatto.

Ci sono state anche speculazioni sul fatto che NullBulge possa essere semplicemente un alias per singoli sviluppatori che cercano di coprire le proprie tracce, piuttosto che un gruppo organizzato di hacker. Le loro azioni finora includono il rilascio di malware in repository di codice pubblico e la compromissione di account per diffondere ulteriormente i loro payload malevoli.

Analisi del dominio di NullBulge

NullBulge si presenta come un collettivo di individui che credono nell’importanza di proteggere i diritti degli artisti e garantire un equo risarcimento per il loro lavoro.

Il gruppo si basa su convinzioni ben spiegate nella home page del loro sito, dove dichiarano di essere contrari all’arte generata dall’intelligenza artificiale, ritenendola dannosa per gli artisti. Si oppongono al furto di contenuti da piattaforme come Patreon e altre che supportano gli artisti e sostengono il concetto di modifiche a pagamento nei giochi (mod a pagamento), poiché consentono ai creatori di essere equamente compensati per il loro lavoro e impegno.

Sempre sul loro portale, dichiarano che la loro missione è attuare azioni per garantire un ecosistema equo per gli artisti, la protezione dei loro diritti e dei diritti delle loro opere d’arte.

Sul portale è presente anche una sezione “Support”, dedicata al sostegno della loro causa, nella quale è indicato un wallet Monero per effettuare donazioni. Questo può indicare che NullBulge si basi su finanziamenti esterni e che la loro tendenza futura possa essere una ricerca di supporto esterno, anche economico, per permettere guadagni e sviluppi software malevoli più avanzati.

Le loro violazioni le mettono a disposizione direttamente sul loro portale web in un pagina dedicata, ad oggi risultano 7 violazioni.

Per quanto riguarda la violazione Disney, analizzando il dominio, possiamo notare che già più di un mese fa, intorno alla data del 3 giugno, sul loro portale si parlava della violazione avvenuta all’azienda presa in esame oggi.

L’Impatto sui Canali di Comunicazione

Oltre ai dati sopra elencati, l’hacker ha avuto accesso a messaggi e file provenienti da circa 10.000 canali di comunicazione interna su Slack. Questo implica la compromissione di comunicazioni riservate tra dipendenti, discussioni su progetti in corso e possibili informazioni sensibili relative alle strategie aziendali.

Conseguenze e Rischi

La violazione di dati di questa portata rappresenta un rischio significativo per Disney, non solo in termini di perdita di proprietà intellettuale e dati sensibili, ma anche per la potenziale esposizione di informazioni che potrebbero essere utilizzate per ulteriori attacchi o attività malevole. La pubblicazione di questi dati su forum accessibili al pubblico espone Disney a gravi rischi di reputazione, possibili azioni legali e danni economici.

Veridicità della Violazione

Al momento, non possiamo confermare con precisione la veridicità della violazione, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo dovrebbe essere considerato come una ‘fonte di intelligence’. È possibile che ulteriori conferme o smentite arrivino nei prossimi giorni, man mano che Disney condurrà le proprie indagini interne e comunicherà i risultati.

Misure di Sicurezza e Risposta

In risposta a questa presunta violazione, è probabile che Disney stia adottando misure di sicurezza straordinarie per limitare l’accesso non autorizzato, identificare e correggere le vulnerabilità sfruttate dall’hacker e mitigare il potenziale impatto sui propri sistemi e dati. Sarà fondamentale per l’azienda implementare nuove misure di sicurezza, rafforzare le proprie difese informatiche e migliorare la formazione dei dipendenti sulla sicurezza informatica.

Conclusione

La compromissione di 1,1 TiB di dati interni di Disney rappresenta un esempio allarmante di quanto possano essere devastanti le conseguenze di una violazione della sicurezza informatica. Le aziende devono mantenere un livello elevato di vigilanza e adottare misure preventive efficaci per proteggere i propri dati e le proprie operazioni da simili minacce. Tuttavia, fino a conferma ufficiale, queste informazioni dovrebbero essere trattate con cautela come una possibile indicazione di rischio.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo Massiccia Violazione dei Dati Disney: 1,1 TiB di Informazioni Compromesse proviene da il blog della sicurezza informatica.