You know what they say. But it’s 2024, after all. Shouldn’t you be able to tune a fish by now? As [ChromaLock] shows us in the video below, it’s absolutely possible, and has been all along.

Of course, you can’t possibly put a rainbow trout (or any other fish) under tension until it produces audible tones. So, how does it work? [ChromaLock] turned to the skin, which functions electrically much like ours does with different resistance values in different areas.

From there, it was a matter of hunting around for spots that produced different notes that sounded good, and marking them for later so it can be played like a potentiometer. But there were problems with this setup, mostly screeching between notes from stray voltages in the environment.

After a brief detour using a PS/2 keyboard with spray-painted keycaps, [ChromaLock] said to hell with it and unearthed a regular MIDI keyboard. Armed with a 3D printed jig to hold the probes, [ChromaLock] tested everything with a cucumber, and then out came the trout for its musical debut. Be sure to check it out after the break.

What else can you do with canned tuna and other fish? Cook up some pyrolized bread, and you’ve got yourself a foundry and crucible.

youtube.com/embed/F2y92obnsc0?…

Thanks to [Zixxorb] for the tip!

In the past week, AT&T has announced an absolutely massive data breach. This is sort of a multi-layered story, but it gives me an opportunity to use my favorite piece of snarky IT commentary: The cloud is a fancy way to talk about someone else’s servers. And when that provider has a security problem, chances are, so do you.

The provider in question is Snowflake, who first made the news in the Ticketmaster breach. As far as anyone can tell, Snowflake has not actually been directly breached, though it seems that researchers at Hudson Rock briefly reported otherwise. That post has not only been taken down, but also scrubbed from the wayback machine, apparently in response to a legal threat from Snowflake. Ironically, Snowflake has confirmed that one of their former employees was compromised, but Snowflake is certain that nothing sensitive was available from the compromised account.

At this point, it seems that the twin problems are that big organizations aren’t properly enforcing security policy like Two Factor Authentication, and Snowflake just doesn’t provide the tools to set effective security policy. The Mandiant report indicates that all the breaches were the result of credential stealers and other credential-based techniques like credential stuffing.

Cisco’s Easy Password Reset

Cisco has patched a vulnerability in the Smart Software Manager On-Prem utility, a tool that allows a business to manage their own Cisco licenses. The flaw was a pretty nasty one, where any user could change the password of any other user.

While there are no workarounds, an update with the fix has been released for free. As [Dan Goodin] at Ars speculates, full administrative access to this management console could provide unintended access to all the rest of the Cisco gear in a given organization. This seems like one to get patched right away.

Bye Bye Kaspersky

Kaspersky Labs has officially started started winding down their US operations, as a direct result of the US Commerce Department ban. As a parting gift, anyone who wants it gets a free six-month subscription.

Just a reminder, any Kaspersky installs will stop getting updates at that six-month mark, so don’t forget to go on a Kaspersky uninstall spree at that time. We’ve got the twin dangers, that the out-of-date antivirus could prevent another solution like Windows Defender from running, and that security products without updates are a tempting target for escalation of privilege attacks.

Uncoordinated Vulnerability Disclosure

Let’s chat a bit about coordinated vulnerability disclosure. That’s the process when a researcher finds a vulnerability, privately reports it to the vendor, and together they pick a date to make the details public, usually somewhere around 90 or 120 days from disclosure. The researcher gets credit for the find, sometimes a bug bounty payout, and the vendor fixes their bug.

Things were not always this way. Certain vendors were once well known for ignoring these reports for multiple months at a time, only to rush out a fix if the bug was exploited in the wild. This slapdash habit led directly to our current 90-day industry standard. And in turn, a strict 90-day policy is usually enough to provoke responsible behaviors from vendors.

Usually, but not always. ZDI discovered the Internet Explorer technique that we discussed last week being used in the wild. Apparently [Haifei Li] at Check Point Research independently discovered the vulnerability, and it’s unclear which group actually reported it first. What is clear is that Microsoft dropped the ball on the patch, surprising both research teams and failing to credit the ZDI researcher at all. And as the ZDI post states, this isn’t an isolated incident:

microsoft: Exploit Code Unporoven

me: i literally gave you a compiled PoC and also exploit code

m$: No exploit code is available, or an exploit is theoretical.

me: pic.twitter.com/tIXJAbkRu4

— chompie (@chompie1337) June 12, 2024

While these are Microsoft examples, there are multiple occasions from various vendors where “coordination” simply means “You tell us everything you know about this bug, and maybe something will happen.”

Bits and Bytes

Claroty’s Team82 has documented their rather impressive entry in the 2023 Pwn2Own IoT contest. The two part series starts with a WAN side attack, targeting a router’s dynamic DNS. We briefly discussed that last week. This week is the juicy details of an unauthenticated buffer overflow, leading to RCE on the device. This demonstrates the clever and terrifying trick of attacking a network from the Internet and establishing presence on an internal device.

There are times when you really need to see into an SSL stream, like security research or auditing. Often times that’s as easy as adding a custom SSL certificate to the machine’s root store, so the application sees your forced HTTPS proxy as legitimate. In the case of Go, applications verify certificates independently of the OS, making this inspection much more difficult. The solution? Just patch the program to turn on the InsecureSkipVerify feature. The folks at Cyberark have dialed in this procedure, and even have a handy Python script for ease of use. Neat!

Speaking of tools, we were just made aware of EMBA, the EMBedded Analyzer. That’s an Open Source tool to take a look into firmware images, automatically extract useful data.

Breaking BSOD

Just as we were wrapping this week’s column, a rash of Windows Blue Screens of Death, BSODs, starting hitting various businesses around the world. The initial report suggests that it’s a Crowdstrike update gone wrong, and Crowdstrike seems to be investigating. It’s reported that renaming the C:\windows\system32\drivers\crowdstrike folder from within safe mode will get machines booting again, but note that this is not official guidance at this point.

Something super weird happening right now: just been called by several totally different media outlets in the last few minutes, all with Windows machines suddenly BSoD’ing (Blue Screen of Death). Anyone else seen this? Seems to be entering recovery mode: pic.twitter.com/DxdLyA9BLA

— Troy Hunt (@troyhunt) July 19, 2024

Come abbiamo visto nella giornata di oggi, un disservizio a livello globale ha colpito i sistemi operativi windows, che non sono riusciti ad avviarsi a causa di un aggiornamento difettoso della soluzione CrowdStrike.

Le soluzioni tecnologiche di oggi sono sempre più dipendenti l’una dalle altre, e quanto avvenuto ci ricordano l’importanza di una riflessione profonda oltre il giudizio immediato nelle questioni di sicurezza informatica che riguardano le infrastrutture critiche.

Poco fa è arrivato un commento da CrowdStrike alla redazione di Red Hot Cyber che ci ha fornito chiaramente indicazioni che non si tratta di un attacco informatico, come alcuni hanno ipotizzato. Si è trattato di un problema tecnico relativo ad “un singolo aggiornamento” che ha comportato il disservizio e che ora sono pronti gli aggiornamenti per il ripristino completo.

“CrowdStrike sta lavorando attivamente con i clienti colpiti da un difetto riscontrato in un singolo aggiornamento dei contenuti per gli host Windows. Gli host Mac e Linux non sono interessati.

Questo non è un incidente di sicurezza o un attacco informatico. Il problema è stato identificato, isolato ed è stata implementata una soluzione.

Rimandiamo i clienti al portale di supporto per gli ultimi aggiornamenti e continueremo a fornire aggiornamenti completi e continui sul nostro sito web.

Raccomandiamo inoltre alle organizzazioni di assicurarsi di comunicare con i rappresentanti di CrowdStrike attraverso canali ufficiali. Il nostro team è completamente mobilitato per garantire la sicurezza e la stabilità dei clienti CrowdStrike”.

Mentre CrowdStrike lavora da sempre e incessantemente per mettere in sicurezza le nostre infrastrutture critiche – e ora per risolvere il problema contingente – questo incidente sottolinea l’importanza di una gestione rigorosa e preventiva della sicurezza informatica.

È essenziale che le organizzazioni siano preparate e attente a rispondere rapidamente a tali crisi e che collaborino strettamente con i fornitori di sicurezza per mitigare i rischi.

Rimaniamo in attesa di ulteriori aggiornamenti da CrowdStrike, sperando che la situazione sia in risoluzione e che le lezioni apprese in questa convulsa giornata possano contribuire a prevenire future interruzioni di questa portata e a fare come di consueto “lesson learned” per tutti!

L'articolo CrowdStrike invia un commento a RHC: Aggiornamento Windows In Progress proviene da il blog della sicurezza informatica.

Su basta!, un media indipendente francese, c’è un interessante articolo che presenta l’esperienza delle “banche del tempo libero“ (Fritidsbanken), in particolare la sede di Malmoe, nel sud della Svezia: basta.media/Suede-recycleries-…

La sede si trova in un centro commerciale eha l’aspetto di un normale negozio di articoli sportivi, ma lì sci, pattini in linea, racchette da tennis, palloni, tende e altri articoli sportivi sono di seconda mano e non si vendono, ma si prestano gratuitamente per due settimane, basta lasciare il proprio nome e il proprio numero di telefono.
Nella sede di Malmoe c’è spazio anche per accese partite ai due tavoli da ping pong e non mancano le attività per la riparazione delle attrezzature, secondo la responsabile al momento nel negozio si prestano circa 150 oggetti al giorno, d’inverno, il doppio.

L’associazione delle Fritidsbanken è nata nel 2013 ed ora è diffusa in molti centri del paese, ha come scopo dare nuova vita ad attrezzature sportive usate, prestandole gratuitamente per promuovere l'attività sportiva e all'aria aperta. Le “banche del tempo libero” vengono finanziate dalle amministrazioni locali da associazioni per la promozione dello sport, da fondazioni e da alcune regioni.

L’associazione ha un suo sito con una versione anche in inglese dove spiega che cosa sono e come funzionano le Fritidsbanken: fritidsbanken.se/en/how-it-wor…

Un grand merci, un grosso grazie a @Basta! per la segnalazione di questa bella iniziativa.
#EconomiaCircolare #biblioteche #Svezia #sport #ambiente #condivisione #BancheDelTempoLibero @macfranc

Investigatori di 25 paesi nella lotta contro i criminali che sfruttano il patrimonio culturale dell’umanità

@Notizie dall'Italia e dal mondo

L’ottava edizione dell’operazione contro il traffico internazionale di opere d’arte, nome in codice “Pandora”, ha visto il coinvolgimento delle autorità doganali e di polizia di 25 paesi. Guidata dalla Spagna (Guardia Civil), con il sostegno di Europol e INTERPOL, l'operazione ha portato complessivamente all'arresto di 85 persone e al recupero di oltre 6 400 beni culturali.
Durante Pandora VIII sono stati effettuati diverse migliaia di controlli in aeroporti, porti e valichi di frontiera, nonché in case d'asta, musei e residenze private. Le forze dell'ordine hanno inoltre “pattugliato” il web ed effettuato oltre 6mila controlli online, che hanno portato al recupero di 580 beni rubati. Nei paesi coinvolti sono ancora in corso circa 113 procedimenti penali e 137 amministrativi, con la previsione di ulteriori arresti e sequestri.

Punti salienti operativi
Con riguardo alla sola Italia, Pandora VIII ha portato al recupero dei seguenti manufatti rubati:
- Il Comando Carabinieri per la Tutela del Patrimonio Culturale (#TPC) è riuscito a identificare e successivamente sequestrare un dipinto contemporaneo venduto online. Se autenticato, il dipinto avrebbe un valore di circa 150.000 euro. Durante la perquisizione gli agenti hanno rinvenuto anche diversi oggetti contraffatti.
- In un'indagine separata, i Carabinieri hanno sequestrato oltre 2.000 frammenti di manufatti ceramici e litici come punte di freccia e punte di lancia. Gli oggetti antichi risalenti al Neolitico e all'età del bronzo erano stati messi in vendita online.

Cooperazione internazionale tra paesi e agenzie
In qualità di co-leader di questa operazione, #Europol ha svolto un ruolo chiave facilitando lo scambio di informazioni e fornendo supporto analitico e operativo alle singole indagini nazionali.
L' #INTERPOL ha sostenuto #PandoraVIII facilitando lo scambio di informazioni tra i paesi partecipanti, in particolare con i paesi dei Balcani. Un funzionario dedicato è stato inoltre disponibile durante tutta l’operazione al fine di verificare i sequestri in prima linea rispetto al database delle opere d’arte rubate dell’INTERPOL e supportare gli agenti sul campo nell’uso dell’app #ID-Art.
L’operazione Pandora, lanciata per la prima volta nel 2016, è un’operazione annuale delle forze dell’ordine.

Paesi partecipanti:
Albania, Austria, Bosnia ed Erzegovina, Bulgaria, Repubblica Ceca, Croazia, Cipro, Francia, Germania, Grecia, Irlanda, Italia, Lettonia, Malta, Montenegro, Paesi Bassi, Norvegia, Polonia, Portogallo, Romania, Spagna, Serbia, Svezia, Ucraina, Regno Unito

#Armadeicarabinieri

L’attuale questione riguardante una nota azienda di sicurezza informatica evidenzia un fenomeno comune nella nostra era digitale: la velocità con cui le opinioni e gli schieramenti si formano e si diffondono, spesso senza una piena comprensione della complessità sottostante.

Mentre molti di noi sono rapidi nel giudicare, è essenziale riconoscere che le questioni di sicurezza informatica, in particolare quando coinvolgono servizi critici, richiedono una riflessione più profonda e ponderata. La sicurezza informatica non è un problema monolitico; è una rete intricata di interazioni tecniche, umane e organizzative.

Ogni vulnerabilità scoperta, ogni attacco subito, ogni disservizio globale, riguarda non solo la tecnologia ma anche la fiducia riposta nei sistemi e nelle istituzioni che li gestiscono. È necessario considerare non solo gli aspetti tecnici ma anche le implicazioni economiche, sociali e politiche.

La reazione istintiva e immediata, sebbene comprensibile, rischia di semplificare eccessivamente situazioni che invece richiedono un’analisi approfondita. La vera sfida è andare oltre i giudizi rapidi e superficiali per abbracciare un approccio che riconosca la complessità, accetti l’incertezza e si impegni in un dialogo costruttivo su come migliorare e proteggere i nostri sistemi critici.

In questo contesto, la situazione attuale dovrebbe essere un invito per una riflessione collettiva.

Ogni stakeholder, dagli esperti di sicurezza ai decisori politici, dai fornitori di servizi ai singoli cittadini, deve essere coinvolto in una conversazione continua e approfondita.

Solo in questo modo possiamo costruire una resilienza autentica e duratura contro le minacce sempre più sofisticate che affrontiamo ed affronteremo.

L'articolo I fatti di oggi ci ricordano l’importanza di una riflessione profonda oltre il giudizio immediato proviene da il blog della sicurezza informatica.

The European Parliament is discussing the establishment of a monitoring group for the implementation of the Artificial Intelligence (AI) Act, which comes into force in August, a leading EU lawmaker for the file told Euractiv.

euractiv.com/section/artificia…

The CJEU dismissed all of Bytedance's arguments as to why it shouldn't be a gatekeeper under the EU's digital rules, while re-elected Commission President von der Leyen laid out a series of promises for tech policy.

euractiv.com/section/platforms…

Although most energy storage solutions on a grid-level focus on batteries, a group of researchers at MIT and Harvard University have proposed using supercapacitors instead, with their 2023 research article by [Nicolas Chanut] and colleagues published in Proceedings of the National Academy of Sciences (PNAS). The twist here is that rather than any existing supercapacitors, their proposal involves conductive concrete (courtesy of carbon black) on both sides of the electrolyte-infused insulating membrane. They foresee this technology being used alongside green concrete to become part of a renewable energy transition, as per a presentation given at the American Concrete Institute (ACI).
Functional carbon-cement supercapacitors (connected in series) (Credit: Damian Stefaniuk et al.)
Putting aside the hairy issue of a massive expansion of grid-level storage, could a carbon-cement supercapacitor perhaps provide a way to turn the concrete foundation of a house into a whole-house energy storage cell for use with roof-based PV solar? While their current prototype isn’t quite building-sized yet, in the research article they provide some educated guesstimates to arrive at a very rough 20 – 220 Wh/m3, which would make this solution either not very great or somewhat interesting.

The primary benefit of this technology would be that it could be very cheap, with cement and concrete being already extremely prevalent in construction due to its affordability. As the researchers note, however, adding carbon black does compromise the concrete somewhat, and there are many questions regarding longevity. For example, a short within the carbon-cement capacitor due to moisture intrusion and rust jacking around rebar would surely make short work of these capacitors.

Swapping out the concrete foundation of a building to fix a short is no small feat, but maybe some lessons could be learned from self-healing Roman concrete.

Nel mondo della sicurezza informatica, le notizie sui data breach sono all’ordine del giorno. Recentemente, una nuova presunta violazione ha fatto scalpore: il moderatore di BreachForums, noto come IntelBroker, ha affermato di aver divulgato i codici sorgente (SRC) di vari prodotti di Rapid4Cloud.

I Dettagli della Presunta Violazione

Secondo quanto riportato da IntelBroker sul forum, i dati rubati includerebbero i codici sorgente di diverse suite di Rapid4Cloud, nello specifico:

• RapidSuite
• RapidFusion
• RapidInject
• RapidConfig

La dichiarazione di IntelBroker è avvenuta il 17 luglio 2024, specificando che la fuga di dati sarebbe avvenuta nel corso dello stesso mese. IntelBroker ha fornito link per il download dei dati, suggerendo che una quantità significativa di informazioni sensibili è ora disponibile pubblicamente.

IntelBroker

Intelbroker è un individuo (o un gruppo di hacker criminali) operante nel dark web, tra le risorse underground quali xss, Breachforums, Exposed. Si tratta di un attore di minacce operante nel gruppo di hacker “Cyberniggers“, ed è attivo sia nelle categorie di hacktivismo che nella criminalità informatica, soprattutto come Inital Access Broker (IaB).

Implicazioni e Rischi

Se la fuga di dati dovesse essere confermata, le implicazioni per Rapid4Cloud potrebbero essere significative. La divulgazione dei codici sorgente potrebbe mettere a rischio la sicurezza dei loro prodotti e compromettere la fiducia dei clienti. Inoltre, i criminali informatici potrebbero sfruttare le vulnerabilità presenti nel codice per attacchi futuri.

Conclusioni

L’affermazione di IntelBroker riguardo la fuga di dati di Rapid4Cloud ha sollevato preoccupazioni significative nel campo della sicurezza informatica. Tuttavia, fino a quando Rapid4Cloud non rilascerà una dichiarazione ufficiale, questa notizia deve essere considerata come una fonte di intelligence piuttosto che una conferma definitiva della violazione. Nel frattempo, è essenziale che le aziende continuino a migliorare le loro misure di sicurezza per proteggere i propri dati sensibili.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

Nota: Questo articolo è basato su informazioni non confermate e dovrebbe essere considerato come una potenziale fonte di intelligence piuttosto che una verifica definitiva dell’accaduto.

L'articolo Il Threat Actors IntelBroker espone dei dati di Rapid4Cloud su Breach Forums proviene da il blog della sicurezza informatica.

A global tech outage was disrupting operations in multiple industries on Friday, with airlines halting flights, some broadcasters off-air and everything from banking to healthcare hit by system problems.

euractiv.com/section/cybersecu…

While European Union officials remain largely oblivious to blockchain technology, despite its potential to plug gaps in the bloc's digital ambitions, a large-scale crypto conference took place in Brussels last week but was largely overlooked by officials.

euractiv.com/section/digital/n…

Back in 1976, when calculators were not common or cheap, a company named MEGO made the Star Trekulator: a calculator sporting a Star Trek theme. However, it was a bit odd since the calculator didn’t correspond to anything you ever saw on the TV show. It was essentially a very simple calculator with a Star Trek picture and some blinking LEDs. [Computer History Archives Project] has two examples of the rare calculator and shows them off, including the insides, in the video below. We’ve also included a vintage commercial for the device a little farther down.

Inside the 5-inch by 9.5-inch cabinet was an unremarkable printed circuit board. The main component was a TI calculator chip, but there were a surprising amount of other components, including three that [Computer History Archives Project] could not identify.

MEGO was known for making Star Trek toys, including a cassette player that (sorta) looked like a tricorder and communicator walkie-talkies. We wish they’d made the calculator look like some sort of prop from the show, although the beeping noises, we suppose, were supposed to sound like the Star Trek computers.

Honestly, we want to 3D print a case to replicate this with modern insides that can drive a display to put different Trek clips and sound effects out. Now, that would be something. Maybe [Michael Gardi] can take a look at it when he’s got a spare minute. If anything, the calculator looks too advanced to be on the original series. They should have gone VFD. Although Mr. Spock has been seen with a flight slide rule (an E6-B, if we recall). We prefer our props to look like the real ones, thank you.

youtube.com/embed/6O96mBQF3e4?…

youtube.com/embed/0qmetIzb2Ao?…

Nelle ultime ore, si stanno moltiplicando le segnalazioni di un grave malfunzionamento di Windows che ha messo fuori uso numerosi sistemi critici, inclusi i servizi di emergenza, le banche, gli aeroporti e molto altro.

Secondo le prime indiscrezioni, i computer Windows colpiti non riescono ad avviarsi, presentando la famigerata schermata blu della morte (BSoD).

Crescente Numero di Segnalazioni

Il sito web Down Detector ha registrato un aumento significativo delle segnalazioni di interruzioni di servizio che coinvolgono aziende come Microsoft, Visa, Ryanair e molte altre. Questa ondata di problemi sta creando disagi notevoli in diversi settori chiave:

• Servizi di Emergenza: Negli Stati Uniti, i computer dei servizi di emergenza sono stati colpiti, con gravi ripercussioni sulle operazioni. Un commentatore su Hacker News ha descritto una situazione critica: “Tutto il mio pronto soccorso è stato messo offline. È davvero spaventoso quando arrivano le ambulanze e si cerca di stabilizzare un infarto. Anche il 911 è in panne in Oregon.”
• Settore Bancario: Diverse banche nel Regno Unito hanno riportato difficoltà di accesso ai loro sistemi, causando problemi nei servizi ai clienti.
• Aeroporti: I voli in vari aeroporti nel mondo sono stati bloccati, causando ritardi e disagi per migliaia di passeggeri.
• Servizi Ferroviari: Nel Regno Unito, Southern Railway ha segnalato problemi IT diffusi che stanno influenzando la rete ferroviaria, con potenziali cancellazioni dei treni sulle reti Thameslink e Great Northern.

Nel Regno Unito, i servizi ferroviari sono stati colpiti dal guasto. “Stiamo attualmente riscontrando diffusi problemi IT in tutta la nostra rete”, ha scritto il team Southern Railway su X, che è responsabile di molti dei servizi ferroviari nel sud dell’Inghilterra. “Non siamo in grado di accedere ai diagrammi dei conducenti in determinate località, il che comporta potenziali cancellazioni con breve preavviso, in particolare sulle reti Thameslink e Great Northern.”

Sky News è attualmente sospesa nel Regno Unito, in quanto anche lei sarebbe stata colpita dal problema.

Reazioni e Dichiarazioni

Troy Hunt, creatore del sito web HaveIBeenPwned, ha riportato su X di aver ricevuto numerose segnalazioni di PC Windows che presentano la schermata blu della morte. Hunt ha scritto: “Sta succedendo qualcosa di davvero strano in questo momento: sono appena stato chiamato da diversi media negli ultimi minuti, tutti con computer Windows che improvvisamente hanno mostrato una schermata blu della morte (BSoD).”

Potenziali Cause

Non è ancora chiaro se questo malfunzionamento sia dovuto a un cyberattacco o a un altro tipo di problema tecnico. Sembrerebbe che l’origine del guasto sia scaturito da un aggiornamento dei sensori da parte di CrowdStrike come riportato da windowslatest che riporta anche una soluzione per il ripristino.

Anche se rimaniamo in attesa di una conferma ufficiale di CrowdStrike, ricordiamo che l’azienda offre protezione degli endpoint e altri servizi, che sono utilizzati da moltissime aziende nel mondo, in quanto leader del mercato di soluzioni EDR come ad esempio Falcon.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo Windows in Crisi Globale: Servizi di Emergenza e Banche Bloccati! La Schermata Blu Della Morte (BSOD) dilaga proviene da il blog della sicurezza informatica.

Un nuovo attacco ransomware ha colpito il Ministero della Cultura italiano. Il gruppo di hacker responsabile, Mad Liberator, ha rivendicato l’attacco sul proprio Data Leak Site, sollevando preoccupazioni riguardo alla sicurezza dei dati e all’integrità delle informazioni sensibili.

Chi è Mad Liberator?

Mad Liberator è un gruppo di hacker noto per attacchi ransomware mirati. Sul loro sito di fuga di dati, affermano di essere un gruppo globale di hacker con l’obiettivo di aiutare le aziende a risolvere i problemi di sicurezza e recuperare i propri file. Mad Liberator avverte le aziende prima di pubblicare i loro nomi e concede un preavviso di cinque giorni per pagare il riscatto. Se il riscatto non viene pagato entro il termine stabilito, pubblicano le informazioni dell’azienda coinvolta.

Secondo quanto dichiarato sul loro sito, i file con estensioni casuali non sono danneggiati ma criptati usando l’algoritmo AES/RSA. Mad Liberator sostiene di non affiliarsi a nessun gruppo e di prendere grandi precauzioni per criptare i file senza danneggiarli.

Il “Mad Liberator”, attraverso il suo DLS (Data Leak Site), avverte che le vittime dei suoi attacchi potrebbero essere soggette a severe sanzioni governative, come quelle previste dal GDPR, CCPA, POPIA, e altre normative simili. Inoltre, avverte che le informazioni personali trafugate potrebbero essere utilizzate per scopi illeciti e fraudolenti. La gang di ransomware continua a intimidire sostenendo che i dati rubati, ora nelle mani di hacker globali, potrebbero essere sfruttati impropriamente, inclusi possibili attacchi di ingegneria sociale e un potenziale uso da parte di aziende concorrenti per discriminare le vittime.

L’attacco al Ministero della Cultura

L’attacco al Ministero della Cultura è stato annunciato da Mad Liberator sul loro Data Leak Site, dove hanno pubblicato alcuni dettagli relativi alla violazione. Nelle immagini fornite dal DLS, si può vedere una lista di directory e file presumibilmente presi dal sistema del Ministero.

Le cartelle elencate includono nomi come “ACCORDI”, “DOCUMENTAZIONE”, e “FOTOGRAFIE”, tra gli altri, suggerendo una vasta gamma di dati potenzialmente compromessi. Tuttavia, al momento, non possiamo confermare con certezza la veridicità della violazione, poiché il Ministero della Cultura non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente.

I file sono stati resi pubblici il 17 luglio 2024 e, esaminando le date associate a questi documenti, è possibile stimare che i relativi timestamp variano dal 2017 al 2024.

È cruciale notare che il 30 agosto 2023, LOCKBIT, una dei gruppi ransomware più rinomati degli ultimi tempi, ha rivendicato un attacco informatico contro il Ministero dei Beni Culturali Italiani, mostrando campioni di dati esfiltrati evidenziati nella figura seguente.

È possibile consultare l’articolo redatto da RHC tramite questo link.

Le vittime di Mad Liberator

Al momento della stesura di questo articolo, Mad Liberator ha esposto solo sei rivendicazioni sulla propria pagina, ovvero:

1. Vitaldent (Spagna);
2. Il Ministero per i Beni Culturali e Ambientali (Italia);
3. Montero e Segura (Spagna);
4. CROSSWEAR TRADING LTD (Regno Unito);
5. Cities Network (Africa del Sud);
6. ZB Financial Holdings (Zimbabwe).

La Situazione Attuale

Finora, il Ministero della Cultura non ha rilasciato dichiarazioni ufficiali sull’attacco. Questa mancanza di risposta ufficiale lascia molte domande senza risposta riguardo all’entità della violazione e alle misure adottate per mitigare il danno. Senza un comunicato stampa o una conferma ufficiale, l’informazione deve essere considerata come una ‘fonte di intelligence’ piuttosto che una conferma definitiva della fuga di dati.

Conclusioni

L’attacco rivendicato da Mad Liberator contro il Ministero della Cultura evidenzia la crescente minaccia del ransomware e la vulnerabilità delle istituzioni pubbliche. È essenziale che il Ministero della Cultura e altre organizzazioni similari prendano misure immediate per rafforzare la sicurezza informatica e prevenire future violazioni.

Rimanete aggiornati per ulteriori sviluppi su questa situazione, mentre attendiamo una risposta ufficiale dal Ministero della Cultura riguardo all’entità dell’attacco e le misure di risposta adottate.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

Come proteggersi dal ransomware

Le infezioni da ransomware possono essere devastanti per un’organizzazione e il ripristino dei dati può essere un processo difficile e laborioso che richiede operatori altamente specializzati per un recupero affidabile, e anche se in assenza di un backup dei dati, sono molte le volte che il ripristino non ha avuto successo.

Infatti, si consiglia agli utenti e agli amministratori di adottare delle misure di sicurezza preventive per proteggere le proprie reti dalle infezioni da ransomware e sono in ordine di complessità:

• Formare il personale attraverso corsi di Awareness;
• Utilizzare un piano di backup e ripristino dei dati per tutte le informazioni critiche. Eseguire e testare backup regolari per limitare l’impatto della perdita di dati o del sistema e per accelerare il processo di ripristino. Da tenere presente che anche i backup connessi alla rete possono essere influenzati dal ransomware. I backup critici devono essere isolati dalla rete per una protezione ottimale;
• Mantenere il sistema operativo e tutto il software sempre aggiornato con le patch più recenti. Le applicazioni ei sistemi operativi vulnerabili sono l’obiettivo della maggior parte degli attacchi. Garantire che questi siano corretti con gli ultimi aggiornamenti riduce notevolmente il numero di punti di ingresso sfruttabili a disposizione di un utente malintenzionato;
• Mantenere aggiornato il software antivirus ed eseguire la scansione di tutto il software scaricato da Internet prima dell’esecuzione;
• Limitare la capacità degli utenti (autorizzazioni) di installare ed eseguire applicazioni software indesiderate e applicare il principio del “privilegio minimo” a tutti i sistemi e servizi. La limitazione di questi privilegi può impedire l’esecuzione del malware o limitarne la capacità di diffondersi attraverso la rete;
• Evitare di abilitare le macro dagli allegati di posta elettronica. Se un utente apre l’allegato e abilita le macro, il codice incorporato eseguirà il malware sul computer;
• Non seguire i collegamenti Web non richiesti nelle e-mail;
• Esporre le connessione Remote Desktop Protocol (RDP) mai direttamente su internet. Qualora si ha necessità di un accesso da internet, il tutto deve essere mediato da una VPN;
• Implementare sistemi di Intrusion Prevention System (IPS) e Web Application Firewall (WAF) come protezione perimetrale a ridosso dei servizi esposti su internet.
• Implementare una piattaforma di sicurezza XDR, nativamente automatizzata, possibilmente supportata da un servizio MDR 24 ore su 24, 7 giorni su 7, consentendo di raggiungere una protezione e una visibilità completa ed efficace su endpoint, utenti, reti e applicazioni, indipendentemente dalle risorse, dalle dimensioni del team o dalle competenze, fornendo altresì rilevamento, correlazione, analisi e risposta automatizzate.

Sia gli individui che le organizzazioni sono scoraggiati dal pagare il riscatto, in quanto anche dopo il pagamento le cyber gang possono non rilasciare la chiave di decrittazione oppure le operazioni di ripristino possono subire degli errori e delle inconsistenze.

La sicurezza informatica è una cosa seria e oggi può minare profondamente il business di una azienda.

Oggi occorre cambiare immediatamente mentalità e pensare alla cybersecurity come una parte integrante del business e non pensarci solo dopo che è avvenuto un incidente di sicurezza informatica.

L'articolo Il Ministero della Cultura colpito da Mad Liberator! Pubblicati i dati online proviene da il blog della sicurezza informatica.

Recentemente è stata rilasciata una proof of concept (PoC) per una vulnerabilità critica identificata come CVE-2024-33544 che affligge il plugin WZone di WordPress.

Questa vulnerabilità riguarda un’iniezione SQL senza autenticazione, che rappresenta una seria minaccia per la sicurezza di molte applicazioni web. Il National Vulnerability Database (NVD) ha pubblicato i dettagli di questa vulnerabilità, evidenziando l’importanza di affrontare tempestivamente il problema.

Dettagli della Vulnerabilità

CVE-2024-33544 è una vulnerabilità di tipo SQL Injection che consente agli attaccanti di eseguire comandi SQL arbitrari su un database senza necessità di autenticazione. Questo tipo di attacco sfrutta le lacune nella convalida degli input forniti dall’utente, permettendo di manipolare le query SQL inviate al database. Quando sfruttata, questa vulnerabilità può portare a gravi conseguenze, come l’accesso non autorizzato ai dati sensibili, la modifica o la cancellazione dei dati e, in alcuni casi, il completo controllo del sistema interessato.

Impatto Potenziale

L’impatto di CVE-2024-33544 è estremamente elevato a causa della sua natura non autenticata. Gli attaccanti non necessitano di credenziali di accesso per sfruttare questa vulnerabilità, rendendola facilmente sfruttabile da remoto. I sistemi vulnerabili possono includere applicazioni web, piattaforme di e-commerce, sistemi di gestione dei contenuti e qualsiasi altra applicazione che interagisca con un database tramite comandi SQL.

Proof of concept (PoC)

Una proof of concept (PoC) per CVE-2024-33544 è stata resa disponibile pubblicamente in rete. Questa PoC dimostra come la vulnerabilità può essere sfruttata, fornendo un esempio pratico di attacco. Gli amministratori di sistema e gli sviluppatori possono utilizzare questa PoC per comprendere meglio la vulnerabilità e testare l’efficacia delle loro misure di mitigazione.

Conclusioni

La vulnerabilità CVE-2024-33544 rappresenta una minaccia significativa per la sicurezza delle applicazioni web e dei dati che esse gestiscono. La disponibilità di una PoC rende ancora più urgente l’adozione di misure di sicurezza adeguate. È fondamentale che gli amministratori di sistema e gli sviluppatori prendano provvedimenti immediati per mitigare i rischi associati a questa vulnerabilità, proteggendo così i dati sensibili e garantendo la continuità operativa delle loro applicazioni.

Per ulteriori dettagli su CVE-2024-33544 e le misure di mitigazione, è possibile consultare il National Vulnerability Database.

L'articolo PoC Rilasciata per la SQL Injection Senza Autenticazione sul plugin WordPress WZone proviene da il blog della sicurezza informatica.