Il CTO di Firefox Bobby Holley ha respinto le preoccupazioni secondo cui il browser incentrato sulla privacy verrà utilizzato dagli inserzionisti per raccogliere dati degli utenti. L’obiettivo dell’azienda è creare un meccanismo di tutela della privacy in grado di soddisfare sia gli inserzionisti che gli utenti allontanandosi dalle pratiche predatorie di raccolta dati.

In seguito al contraccolpo sull’introduzione della nuova funzionalità Privacy Preserving Attribution (PPA) di Firefox, che raccoglie e aggrega dati anonimi sull’interazione dell’utente per gli inserzionisti, Holley ha ammesso che la società avrebbe dovuto comunicarlo meglio.

In un post dettagliato su Reddit, Holley ha spiegato che Mozilla mira a risolvere il problema della “sorveglianza di massa di Internet”. Mozilla ha già combattuto questo problema con anti-tracker che bloccavano i metodi di tracciamento più comuni. Tuttavia, questo approccio presenta due limiti significativi.

In primo luogo, gli inserzionisti hanno notevoli incentivi economici per aggirare eventuali contromisure, dando vita ad una corsa agli armamenti senza fine. In secondo luogo, il blocco aiuta, ma Mozilla vuole “migliorare la privacy per tutti”, non solo per gli utenti di Firefox.

“Non importa come consideri la pubblicità come modello economico, è un settore potente che non scomparirà”, ha detto Holley.

A differenza della situazione attuale su Internet, in cui gli inserzionisti raccolgono numerosi dati personali, Mozilla sta lavorando per creare un sistema in grado di soddisfare gli obiettivi degli inserzionisti proteggendo al tempo stesso la privacy degli utenti.

“Stiamo collaborando con Meta su questo perché qualsiasi meccanismo di successo deve avvantaggiare gli inserzionisti e sviluppare qualcosa di cui sia Mozilla che Meta siano soddisfatti è una buona indicazione che abbiamo raggiunto il nostro obiettivo”, afferma Holly.

Assicura che la funzionalità PPA introdotta nella versione 128 di Firefox non scende a compromessi sulla privacy e fornisce solo funzionalità minime agli inserzionisti. Il prototipo sperimentale è in sviluppo da diversi anni e non è legato alla recente acquisizione di Anonym. Le proprietà riservate di questa tecnologia sono state verificate dai principali crittografi.

Anche il prototipo temporaneo è limitato a pochi siti di prova e presuppone un volume di dati molto basso. “Si tratta di conteggio (dati aggregati su impressioni e conversioni), non di targeting”, ha affermato il CTO.

“La pubblicità digitale è qui per restare, ma gli elementi di sorveglianza possono scomparire se lo facciamo bene. Un meccanismo di attribuzione veramente privato consentirà alle aziende di smettere di tracciare le persone e consentirà ai browser e ai regolatori di essere molto più aggressivi nel reprimere coloro che continuano a farlo”, ha concluso.

Tuttavia, alcuni utenti esprimono ancora preoccupazioni riguardo alla condivisione di qualsiasi informazione con gli inserzionisti, anche in forma anonima.

L'articolo Mozilla: Internet è una enorme rete globale di sorveglianza proviene da il blog della sicurezza informatica.

AVO meters — literally amp, volt, ohm meters — are not very common in North America but were staples in the UK. [TheHWcave] found an AVO 8 that is probably from the 1950s or 1960s and wanted to get it working. You can see the project in the video below.

These are very different from the standard analog meters many of us grew up with. [TheHWcave] shows how the dual range knobs work together to set the measurement. There are three separate ohm settings, and each one has its own zero pot. We were surprised that the meter didn’t have a parallax-correcting mirror.

Other than dirty switch contacts, the voltage measurements still worked. After cleaning the contacts, most of the ranges worked well, although there were still some issues. Some of the resistor ranges were not working, either. Inside the case were an old D cell and a square battery, a B121 15 V battery. Replacing the 15 V battery with a bench supply made things better.

Some plugins are available to allow the meter to read low resistance or high currents. We thought using the soldering gun as a current source was clever. Once he gets it working, he opens the box around the 14:30 mark.

The inside was all hand-wiring and power resistors. Of course, there are also a ton of contacts for the switches. So it isn’t just an electrical design, but a mechanical one, too. The electrical design is also interesting, and an analysis of it winds the video down.

[Jenny List] has a soft spot for these meters, too. Why use an old meter? If you have to ask…

youtube.com/embed/_iG-ZzHIECE?…

Rimanere vigili ed aumentare l’attenzione è imprescindibile in situazioni come queste.

Come tutti sappiamo, il 19 luglio 2024, un aggiornamento di CrowdStrike Falcon® per i sistemi operativi Windows ha causato la più grande interruzione globale. Nonostante sia stato il risultato di un problema tecnico, questo incidente ha aperto le porte ai malintenzionati per sfruttare la situazione, dando il via a un’ondata di attività dannose, in particolare rivolte ai clienti latinoamericani di CrowdStrike.

CrowdStrike Intelligence ha segnalato la distribuzione di un archivio ZIP ingannevole, denominato [b]crowdstrike-hotfix.zip[/b], contenente un payload HijackLoader progettato per distribuire il RAT (strumento di accesso remoto) RemCos.

Il file ZIP, con nomi file e istruzioni in spagnolo, suggerisce un attacco mirato agli utenti LATAM. Il file è stato caricato per la prima volta da un submitter con sede in Messico che lo ha caricato su un servizio di scansione malware online.

Queste truffe spesso coinvolgono e-mail di phishing, false chiamate di supporto e offerte fraudolente di servizi di ripristino. La prassi migliore è contattare le aziende direttamente tramite i loro canali ufficiali anziché rispondere a comunicazioni indesiderate.

La sequenza di attacco inizia con l’esecuzione di Setup.exe, che utilizza il dirottamento DLL per caricare HijackLoader. Pubblicizzato come un servizio di crittografia privato noto come ASMCrypt, HijackLoader è abile nell’elusione del rilevamento.

Esegue il payload finale di RemCos, che si connette a un server di comando e controllo a 213.5.130.58:433, consentendo all’attaccante di ottenere il controllo sui sistemi infetti.

La Cyber ​​Defense Agency degli Stati Uniti, il National Cyber ​​Security Centre del Regno Unito e il National Anti-Scam Centre dell’Australia hanno emesso avvertimenti di fare attenzione alle truffe che potete trovare qui e qui .

CrowdStrike ha creato un “Remediation and Guidance Hub” per assistere le persone colpite, mentre Microsoft ha fornito guide di supporto aggiornate. Entrambe le organizzazioni sottolineano l’importanza di verificare le comunicazioni e di non precipitarsi ad agire in seguito a messaggi indesiderati.

Per contrastare queste minacce è fondamentale seguire alcune pratiche fondamentali: restare vigili sui potenziali tentativi di phishing, verificare l’autenticità delle comunicazioni, evitare di scaricare file da fonti non attendibili e segnalare alle autorità competenti eventuali sospette truffe.

L'articolo Una Hot-fix malevola per CrowdStrike diffonde HijackLoader e RemCos proviene da il blog della sicurezza informatica.

Con l’aumentare della nostra dipendenza dalle tecnologie digitali, cresce anche il rischio di attacchi informatici che possono avere conseguenze devastanti. In questo contesto, il tempo assume un ruolo cruciale nella capacità di prevenire, mitigare e rispondere.

Nella cybersecurity, il tempo è un fattore cruciale che influenza pesantemente le conseguenze di un attacco informatico e la capacità degli addetti ai lavori.

Perchè il tempo è così importante?

Più tempo ha un malintenzionato che ha accesso ad un sistema compromesso, maggiori sono i danni che può causare.

Le violazioni della sicurezza informatica possono avere un impatto finanziario significativo per le organizzazioni, non solo per i danni diretti causati dall’attacco, ma anche per i costi associati alla risposta all’incidente, alla perdita di reputazione e a possibili sanzioni legali. Una risposta rapida ed efficace può aiutare a ridurre questi costi.

La capacità di un’organizzazione di rispondere tempestivamente agli incidenti di sicurezza informatica è fondamentale per la sua resilienza complessiva. Le organizzazioni che sono in grado di contenere rapidamente i danni e ripristinare le normali operazioni sono più propense a superare gli attacchi informatici senza subire conseguenze gravi. Per questo motivo, la rapidità di risposta è fondamentale per minimizzare l’impatto di un attacco.

Come le organizzazioni possono migliorare il loro fattore tempo nella cybersecurity?

Gli operatori della cybersecurity devono essere in grado di identificare, analizzare e contenere le minacce il più rapidamente possibile.

In questo articolo, esploreremo alcune strategie chiave che i responsabili possono implementare per creare un ambiente di lavoro più favorevole. Vedremo, inoltre, alcuni esempi di come il tempo viene utilizzato nella cybersecurity.

Cosa devono fare i responsabili per aiutare gli addetti al lavoro quando il tempo diventa cruciale?

I responsabili hanno un ruolo fondamentale nel supportare i propri dipendenti e guidarli attraverso la situazione. Ecco alcuni passi chiave che possono intraprendere.

Comunicazione chiara e tempestiva:

• Fornire informazioni accurate e aggiornate sulla situazione il più rapidamente possibile.
• Utilizzare canali di comunicazione chiari e concisi.
• Evitare di diffondere disinformazione o speculazioni.

Supporto emotivo:

• Riconoscere lo stress e l’ansia che i dipendenti potrebbero provare.
• Incoraggiare i dipendenti a prendersi cura di sé stessi e a fare delle pause se necessario.

Guida pratica:

• Fornire istruzioni chiare su cosa fare.
• Assegnare compiti specifici ai dipendenti per aiutarli a sentirsi utili e coinvolti.

Mantenere la calma e la leadership:

• Dimostrare calma e compostezza anche durante la crisi.
• Rassicurare i dipendenti che la situazione è sotto controllo.
• Prendere decisioni rapide e decisive per proteggere i dipendenti e l’azienda.

Pianificazione e preparazione:

• Sviluppare un piano di risposta agli incidenti che delinea le azioni da intraprendere, in caso di attacco.
• Fornire ai dipendenti una formazione regolare sulla sicurezza e sulla gestione delle crisi.
• Testare regolarmente il piano di risposta agli incidenti per assicurarne l’efficacia.

Oltre a questi passi chiave, è importante che i responsabili creino una cultura di sicurezza e supporto all’interno dell’azienda. Ciò significa incoraggiare i dipendenti a segnalare qualsiasi preoccupazione in materia di sicurezza e fornire loro le risorse e la formazione di cui hanno bisogno per rimanere al sicuro.

In caso di attacco, è fondamentale che i responsabili agiscano rapidamente e con decisione per proteggere i propri dipendenti e l’azienda. Non è sempre facile perchè diversi sono i fattori in gioco.

Fattori che influenzano il tempo di risposta

• La complessità dell’ambiente IT: un ambiente IT complesso con più sistemi e reti può allungare i tempi di rilevamento e risposta.
• La natura dell’attacco: alcuni attacchi sono più difficili da identificare e contenere rispetto ad altri.
• Le competenze del team: un team addestrato e preparato sarà in grado di rispondere più rapidamente agli incidenti.
• La disponibilità di risorse: avere a disposizione gli strumenti e le risorse adeguate è fondamentale per una risposta rapida ed efficace.

Responsabili e addetti ai lavori devono lavorare insieme per creare una cultura di sicurezza informatica che ponga l’accento sulla rapidità di risposta, sulla proattività e sulla comunicazione efficace. Solo così è possibile minimizzare i danni causati dagli attacchi informatici e garantire la continuità operativa delle organizzazioni. Ecco alcune azioni concrete che gli specialisti cyber possono intraprendere quando il tempo diventa cruciale.

Il ruolo degli addetti ai lavori:

• Essere vigili e proattivi: segnalare immediatamente qualsiasi attività sospetta o anomala ai responsabili.
• Mantenere le proprie conoscenze aggiornate: seguire le ultime minacce informatiche e le tendenze del settore per rimanere preparati.
• Comunicare in modo efficace: comunicare tempestivamente e chiaramente con i colleghi e i responsabili, ad esempio, durante un incidente.
• Collaborare con il team: lavorare in modo collaborativo con gli altri membri del team.
• Mantenere la calma e la razionalità: è normale provare paura o ansia ma è importante mantenere la calma e la razionalità. Concentrarsi su ciò che si può controllare e fare del proprio meglio per seguire le istruzioni.
• Aiutare gli altri: se possibile e sicuro, aiutare i colleghi o le persone che potrebbero aver bisogno di assistenza.
• Prendersi cura di sé: non dimenticare di prendersi cura di sé.

È importante ricordare che ogni situazione è diversa e che la risposta migliore può variare a seconda delle circostanze specifiche. Nel mondo odierno, sempre più interconnesso, la sicurezza informatica rappresenta una priorità assoluta per qualsiasi organizzazione. Garantire la protezione di dati sensibili, sistemi e reti è fondamentale per il successo di qualsiasi azienda.

In questo scenario, la collaborazione tra manager e addetti ai lavori assume un ruolo cruciale. Entrambi i gruppi hanno un ruolo chiave da svolgere per costruire una solida cultura della sicurezza informatica all’interno dell’organizzazione.

Investire nella sicurezza è investire nel futuro!

Le organizzazioni che investono in strumenti e processi per migliorare il loro fattore tempo saranno meglio preparate a difendersi dalle minacce informatiche e a ridurre al minimo il loro impatto.

L'articolo Il tempo nella cybersecurity: Perché Ogni Secondo Conta negli Attacchi Informatici proviene da il blog della sicurezza informatica.

Siamo lieti di annunciare che Red Hot Cyber ha concluso con successo il secondo corso di formazione in Darkweb & Cyber Threat Intelligence, consolidando ulteriormente la nostra missione di fornire competenze avanzate, aggiornate e soprattutto pratiche ai partecipanti.

Dopo il grande successo del primo corso, abbiamo risposto con entusiasmo alle richieste di molti professionisti desiderosi di approfondire le loro conoscenze nella Cyber Threat Intelligence (CTI) e abilità in questo settore cruciale della sicurezza informatica.

Il nostro secondo corso andato in “sold out” una settimana prima dell’inizio, ha visto la partecipazione di numerosi esperti e appassionati del settore, desiderosi di ampliare le loro competenze nella protezione contro le minacce del dark web e di migliorare la loro capacità di raccogliere e analizzare informazioni di intelligence sulle cyber minacce. Grazie a un programma di studi rigoroso e ben strutturato, i partecipanti hanno potuto beneficiare di un’istruzione pratica e teorica di alto livello.

Contattaci tramite WhatsApp per informazioni o acquisto/pre-iscrizioni al numero 379 163 8765 oppure scrivici a formazione@redhotcyber.com.

Un corso pratico che prosegue dopo il corso

Uno degli aspetti più distintivi e apprezzati dei nostri programmi formativi è la continuità pratica che offriamo ai partecipanti una volta terminato il corso. Dopo aver completato con successo il secondo corso ed eseguito le prove pratiche e i test per conseguire la nostra certificazione di Darkweb & Cyber Threat Intelligence (CTIP), i 12 discenti interessati hanno potuto entrare a far parte del prestigioso gruppo Dark Lab di Red Hot Cyber.

Questo gruppo esclusivo rappresenta una comunità dinamica e collaborativa, dove i membri possono continuare a sviluppare le proprie competenze attraverso attività pratiche sotto la guida di esperti del settore e svolgere:

• Ricerche Specifiche: Conduzione di ricerche mirate su tematiche attuali legate al dark web e alle minacce cibernetiche. Questo permette ai membri di mettere in pratica quanto appreso e realizzare report di intelligence.
• Accessi alle Underground: Esplorazione e analizzare i marketplace e i forum underground ed effettuare interviste ai threat actors. Questa pratica fornisce un’esperienza diretta su come operano i criminali informatici, contribuendo a una comprensione più profonda delle minacce.
• Redazione di Articoli tecnici: Produzione di articoli e report basati sulle ricerche effettuate, che vengono poi pubblicati sul sito web e condivisi con la community. Questo non solo rafforza le competenze analitiche e di scrittura dei membri, ma contribuisce anche alla diffusione della conoscenza e della consapevolezza sulle minacce cibernetiche.

Red Hot Cyber ha sempre sostenuto un approccio pratico alla formazione, ritenendo che l’esperienza diretta sia essenziale per sviluppare competenze reali e applicabili. Questa modalità di percorso è progettata per consentire ai partecipanti di toccare con mano le attività quotidiane di un analista di cyber threat intelligence, favorendo una crescita professionale continua.

Contattaci tramite WhatsApp per informazioni o acquisto/pre-iscrizioni al numero 379 163 8765 oppure scrivici a formazione@redhotcyber.com.

Un Programma Ricco e Approfondito del corso

Il corso ha coperto una vasta gamma di argomenti suddivisi in 5 giornate formative che possiamo sintetizzare in:

• Prima Giornata – Dark web e reti protette
  
  • Cos’è il dark web
  • Storia del dak web
  • Come accedere al dark web in modo sicuro
  • Le risorse undeground

  
  

• Seconda Giornata – Le minacce cyber
  
  • I threat actors
  • I forum underground
  • Le botnet e gli infostealer
  • Gli 0day e il mercato degli exploit
  • I broker di accesso
  • Il lato oscuro di Telegram
  • Il MaaS (Malware as a service)
  • Il Threat Hunting
  • Gli indicatori di compromissione (IoC)
  • Accesso alle risorse underground
  • Esercitazione

  
  

• Terza Giornata – La cyber threat intelligence
  
  • La Cyber Threta Intelligence
  • Benefici per le organizzazioni
  • Fonti OSINT, HUMINT, TECHINT, CLOSINT
  • Traffic Light Protocol (TLP)
  • Strumenti di raccolta
  • Esercitazione

  
  

• Quarta Giornata – Strumenti di raccolta dati ed analisi
  
  • Tool open source, a pagamento e risorse online freeware
  • Tecniche di monitoraggio e rilevamento
  • Metodologie di analisi
  • Strumenti e tecniche di analisi
  • Esercitazione

  
  

• Quinta giornata – Il fenomeno del ransomware
  
  • Le cyber gang ransomware
  • La piramide del RaaS (Ransomware as a service)
  • I data leak site (DLS o siti della vergogna)
  • I ransomware monitor
  • Fonti open source
  • Accesso ai data leak site
  • Esercitazioni

  
  

Contattaci tramite WhatsApp per informazioni o acquisto/pre-iscrizioni al numero 379 163 8765 oppure scrivici a formazione@redhotcyber.com.

Feedback Positivo dai Partecipanti

Il feedback ricevuto dai partecipanti è stato estremamente positivo. Molti hanno apprezzato la combinazione di lezioni teoriche e sessioni pratiche, che hanno permesso loro di applicare immediatamente quanto appreso in scenari reali.

Alcuni feedback della seconda edizione hanno riportato:

• Sono molto soddisfatto del corso. Non ho particolari suggerimenti perché andava tutto bene, tempi, materiale etc. Sto cercando di integrarmi nel gruppo Dark Lab ma il mio tempo è troppo poco al momento per essere reattivo … verranno tempi migliori. Vi ringrazio di tutto;
• Il corso di formazione “Dark Web & Cyber Threat Intelligence” è stato estremamente prezioso, consentendomi di esplorare nuove sfaccettature della sicurezza informatica, comprendere l’importanza del monitoraggio del dark web, e utilizzare strumenti avanzati per l’analisi. Ho apprezzato l’approfondimento sulle normative legali e la protezione dell’identità nel dark web. Un punto di miglioramento potrebbe essere l’inclusione di sessioni pratiche più estese. Complessivamente, un’esperienza formativa eccellente che consiglio vivamente. Desidero esprimere la mia sincera gratitudine per avermi dato l’opportunità di partecipare a questo corso. Le conoscenze e le competenze acquisite mi saranno di grande aiuto nel mio percorso professionale e mi consentiranno di affrontare le sfide future con maggiore sicurezza e preparazione. Grazie di cuore.
• sono molto soddisfatto del corso. È stato un percorso formativo interessantissimo. I contenuti e l’esposizione sono sempre stati chiari e coinvolgenti. Organizzazione impeccabile e di qualità. Dunque, i miei complimenti a tutti. Grazie

Contattaci tramite WhatsApp per informazioni o acquisto/pre-iscrizioni al numero 379 163 8765 oppure scrivici a formazione@redhotcyber.com.

Verso la terza edizione

La terza edizione del nostro corso di Darkweb & Cyber Threat Intelligence è programmata per il prossimo ottobre. Siamo entusiasti di annunciare che abbiamo già ricevuto sei pre-iscrizioni. Considerando che il numero massimo di partecipanti è limitato a 12 persone per garantire una formazione altamente efficace e personalizzata, vi incoraggiamo a prenotare il vostro posto il prima possibile per non perdere questa opportunità esclusiva.

Con il successo di questo secondo corso, Red Hot Cyber è più determinata che mai a continuare a offrire programmi formativi all’avanguardia. Stiamo già lavorando alla pianificazione dei prossimi corsi e a nuove iniziative per mantenere la nostra community sempre aggiornata sulle ultime tendenze e minacce nel mondo della sicurezza informatica anche assieme al gruppo Dark Lab.

In conclusione, ringraziamo tutti coloro che hanno partecipato e contribuito a questo successo. Continuate a seguirci per aggiornamenti sui nostri prossimi corsi e iniziative. La sicurezza informatica è una sfida continua, e noi di Red Hot Cyber siamo pronti ad affrontarla insieme a voi.

Contattaci tramite WhatsApp per informazioni o acquisto/pre-iscrizioni al numero 379 163 8765 oppure scrivici a formazione@redhotcyber.com.

L'articolo Red Hot Cyber Completa con Successo il Secondo Corso di Darkweb & Cyber Threat Intelligence proviene da il blog della sicurezza informatica.

Il gruppo ransomware RansomHub ha recentemente rivendicato un attacco informatico contro il gruppo ERMA Srl (ex ERMA-RTMO Spa).

ERMA RTMO. Si tratta di una azienda italiana specializzata nella lavorazione meccanica di precisione e nella produzione,. Offre una vasta gamma di servizi, tra cui la lavorazione CNC, la prototipazione e la realizzazione di componenti meccanici per diversi settori industriali.

Al momento, non possiamo confermare la veridicità della notizia, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo deve essere considerato come ‘fonte di intelligence’.

Chi è RansomHub?

Il gruppo di hacker RansomHub, ha rivendicato l’attacco sul proprio sito di Data Leak Site (DLS). Secondo quanto riportato nella pagina “Informazioni” del gruppo, RansomHub è costituito da hacker provenienti da diverse località globali, uniti dall’obiettivo comune del guadagno finanziario. Il gruppo specifica esplicitamente il divieto di attacchi a determinati paesi e organizzazioni senza scopo di lucro.

RansomHub, una nuova piattaforma di ransomware-as-a-service (RaaS), è emersa nel febbraio 2024, prendendo di mira sistemi Windows, Linux ed ESXi con malware scritto in Go e C++. L’elevato tasso di commissione del 90% attira affiliati esperti, causando un aumento delle infezioni.

Gli affiliati di RansomHub hanno colpito diverse vittime in diciotto paesi, concentrandosi principalmente sul settore IT. Il ransomware sfrutta backup di cloud storage e istanze Amazon S3 mal configurate per estorcere le vittime. Insikt Group ha identificato sovrapposizioni di codice con ALPHV e Knight Ransomware, suggerendo potenziali collegamenti.

Il sito web della banda dichiara di non prendere di mira la Comunità degli Stati Indipendenti (CIS), Cuba, Corea del Nord e Cina. Sebbene possa sembrare una comunità globale di hacker, le loro operazioni ricordano notevolmente una tradizionale configurazione ransomware russa. È inoltre degno di nota il loro atteggiamento nei confronti delle nazioni affiliate alla Russia e la sovrapposizione delle aziende prese di mira con altri gruppi ransomware russi.

Il segmento “Right Protection” della sezione “About” delinea le linee guida per gli affiliati, sottolineando l’importanza della “coscienziosità”. Questa sezione rivela che RansomHub opera come un gruppo ransomware in collaborazione con i suoi affiliati, qualificandosi quindi come un gruppo Ransomware-as-a-Service (RaaS). Nel caso in cui un affiliato si rifiuti di inviare il decrittore dopo il pagamento, è possibile contattare RansomHub, che fornirà il decrittore gratuitamente. Ciò implica che il ransomware utilizzato dal gruppo è in grado di criptare i dati prima dell’esfiltrazione.

Il gruppo recluta i suoi affiliati principalmente dal forum RAMP (Russian Anonymous Market Place), frequentato prevalentemente da russi. Gli affiliati ricevono il 90% dei proventi, mentre il restante 10% va al gruppo principale. A differenza delle pratiche comuni, il denaro viene inizialmente inviato all’affiliato, una caratteristica molto apprezzata nella comunità dei ransomware.

Questo approccio risolve la sfiducia causata dalla truffa da 22 milioni di dollari di ALPHV, in cui gli affiliati non sono stati compensati, provocando una notevole sfiducia nell’ambiente Ransomware-as-a-Service (RaaS).

Il grafico seguente rappresenta l’attività di RansomHub per mese nel 2024, con il numero di incidenti indicato per ogni mese.

Come ben visibile dal grafico appena illustrato, nei primi mesi del 2024, l’attività di RansomHub è aumentata rapidamente. Da nessun incidente a Gennaio, si passa a 4 incidenti a Febbraio e poi a 18 incidenti a Marzo, 23 ad Aprile, raggiungendo un picco a Maggio 2024 con 27 esfiltrazioni mostrando una crescita esponenziale.

Come visibile nell’immagine di seguito, il messaggio di riscatto di RansomHub è molto simile ai tipici messaggi di ransomware, includendo l’avviso di criptazione dei dati, le procedure dettagliate necessarie per negoziare il pagamento del riscatto.

L’attacco a Erma-Group

L’attacco a Erma Group è stato annunciato da RansomHub il 18 Luglio 2024 sul loro Data Leak Site, dove hanno pubblicato alcuni dettagli relativi alla violazione.

Come visibile dall’immagine seguente, il team di hacker di RansomHub ha informato l’azienda Erma di aver avuto accesso alla sua rete per un lungo periodo, scaricando centinaia di gigabyte di dati aziendali (350 GB). Gli hacker minacciano di notificare ai clienti la violazione dei dati e di rendere pubblici i dettagli se non si raggiunge un accordo. RansomHub avverte che la divulgazione causerà danni significativi alla reputazione dell’azienda e che l’unico modo per evitare ciò è negoziare. Viene richiesto di nominare una persona responsabile per le trattative.

RansomHub ha fornito delle immagini di esempio di dati esfiltrati. Le immagini sembrano raffigurare FATTURE, E-MAIL, DOCUMENTI DI IDENTITÀ, suggerendo una vasta gamma di dati potenzialmente compromessi. Tuttavia, al momento, non possiamo confermare con certezza la veridicità della violazione, poiché il gruppo ERMA non ha ancora rilasciato alcun comunicato ufficiale sul proprio sito web o canali di riferimento riguardo l’incidente.

Ad oggi, Erma-group non ha rilasciato dichiarazioni ufficiali riguardo all’attacco. Questa assenza di risposta lascia molte questioni in sospeso riguardo alla portata della violazione e alle misure adottate per mitigare i danni. Senza un comunicato stampa o una conferma ufficiale, le informazioni disponibili devono essere considerate come “fonti di intelligence” piuttosto che come conferme definitive della fuga di dati.

Conclusioni

Senza dettagli concreti, è difficile valutare l’ampiezza e la gravità dell’attacco subito. In assenza di conferme ufficiali, le informazioni attualmente disponibili devono essere trattate con cautela e considerate come ipotesi piuttosto che fatti accertati. Le fonti di intelligence possono fornire indizi utili, ma non sostituiscono conferme ufficiali.

È probabile che Erma-group rilasci ulteriori comunicazioni in futuro per chiarire la situazione. La trasparenza e la chiarezza nella gestione della crisi saranno fondamentali per comprendere appieno le implicazioni dell’attacco e le strategie di risposta adottate.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

Come proteggersi dal ransomware

Le infezioni da ransomware possono essere devastanti per un’organizzazione e il ripristino dei dati può essere un processo difficile e laborioso che richiede operatori altamente specializzati per un recupero affidabile, e anche se in assenza di un backup dei dati, sono molte le volte che il ripristino non ha avuto successo.

Infatti, si consiglia agli utenti e agli amministratori di adottare delle misure di sicurezza preventive per proteggere le proprie reti dalle infezioni da ransomware e sono in ordine di complessità:

• Formare il personale attraverso corsi di Awareness;
• Utilizzare un piano di backup e ripristino dei dati per tutte le informazioni critiche. Eseguire e testare backup regolari per limitare l’impatto della perdita di dati o del sistema e per accelerare il processo di ripristino. Da tenere presente che anche i backup connessi alla rete possono essere influenzati dal ransomware. I backup critici devono essere isolati dalla rete per una protezione ottimale;
• Mantenere il sistema operativo e tutto il software sempre aggiornato con le patch più recenti. Le applicazioni ei sistemi operativi vulnerabili sono l’obiettivo della maggior parte degli attacchi. Garantire che questi siano corretti con gli ultimi aggiornamenti riduce notevolmente il numero di punti di ingresso sfruttabili a disposizione di un utente malintenzionato;
• Mantenere aggiornato il software antivirus ed eseguire la scansione di tutto il software scaricato da Internet prima dell’esecuzione;
• Limitare la capacità degli utenti (autorizzazioni) di installare ed eseguire applicazioni software indesiderate e applicare il principio del “privilegio minimo” a tutti i sistemi e servizi. La limitazione di questi privilegi può impedire l’esecuzione del malware o limitarne la capacità di diffondersi attraverso la rete;
• Evitare di abilitare le macro dagli allegati di posta elettronica. Se un utente apre l’allegato e abilita le macro, il codice incorporato eseguirà il malware sul computer;
• Non seguire i collegamenti Web non richiesti nelle e-mail;
• Esporre le connessione Remote Desktop Protocol (RDP) mai direttamente su internet. Qualora si ha necessità di un accesso da internet, il tutto deve essere mediato da una VPN;
• Implementare sistemi di Intrusion Prevention System (IPS) e Web Application Firewall (WAF) come protezione perimetrale a ridosso dei servizi esposti su internet.
• Implementare una piattaforma di sicurezza XDR, nativamente automatizzata, possibilmente supportata da un servizio MDR 24 ore su 24, 7 giorni su 7, consentendo di raggiungere una protezione e una visibilità completa ed efficace su endpoint, utenti, reti e applicazioni, indipendentemente dalle risorse, dalle dimensioni del team o dalle competenze, fornendo altresì rilevamento, correlazione, analisi e risposta automatizzate.

Sia gli individui che le organizzazioni sono scoraggiati dal pagare il riscatto, in quanto anche dopo il pagamento le cyber gang possono non rilasciare la chiave di decrittazione oppure le operazioni di ripristino possono subire degli errori e delle inconsistenze.

La sicurezza informatica è una cosa seria e oggi può minare profondamente il business di una azienda.

Oggi occorre cambiare immediatamente mentalità e pensare alla cybersecurity come una parte integrante del business e non pensarci solo dopo che è avvenuto un incidente di sicurezza informatica.

L'articolo RansomHub rivendica un attacco informatico all’italiana Erma-group proviene da il blog della sicurezza informatica.

Unless you hold a First Degree RF Wizard rating, chances are good that coax stubs seem a bit baffling to you. They look for all the world like short circuits or open circuits, and yet work their magic and act to match feedline impedances or even as bandpass filters. Pretty interesting behavior from a little piece of coaxial cable.

If you’ve ever wondered how stub filters do their thing, [Fesz] has you covered. His latest video concentrates on practical filters made from quarter-wavelength and half-wavelength stubs. Starting with LTspice simulations, he walks through the different behaviors of open-circuit and short-circuit stubs, as well as what happens when multiple stubs are added to the same feedline. He also covers a nifty online calculator that makes it easy to come up with stub lengths based on things like the velocity factor and characteristic impedance of the coax.

It’s never just about simulations with [Fesz], though, so he presents a real-world stub filter for FM broadcast signals on the 2-meter amateur radio band. The final design required multiple stubs to get 30 dB of attenuation from 88 MHz to 108 MHz, and the filter seemed fairly sensitive to the physical position of the stubs relative to each other. Also, the filter needed a little LC matching circuit to move the passband frequency to the center of the 2-meter band. All the details are in the video below.

It’s pretty cool to see what can be accomplished with just a couple of offcuts of coax. Plus, getting some of the theory behind those funny little features on PCBs that handle microwave frequencies is a nice bonus. This microwave frequency doubler is a nice example of what stubs can do.

youtube.com/embed/tQnCpV4L_6s?…

3D printing metal has been somewhat of a holy grail for the last decade in the hobby 3DP scene. We’ve seen a number of solutions, including using expensive filaments that incorporate metal into the usual plastic. In parallel, we’ve seen ceramic printers, and paste printers in general, coming into their own. What if you combined the two?

You’d get [Leah Buechly] et al’s CeraMetal process, which is the cheapest and most straightforward metal printing method we’ve seen to date. It all starts off with a custom bronze metal clay, made up of 100 g bronze powder, 0.17 g methyl cellulose, 0.33 g xanthan gum, and 9 g water. The water is fine-tuned to get the right consistency, and then it’s extruded and sintered.

The printer in question is an off-the-shelf ceramic printer that appears to use a pressurized clay feed into an augur, and prints on a linen bed. [Leah] had to write a custom slicer firmware that essentially runs in vase mode but incorporates infill as well, because the stop-start of normal slicers wreaked havoc with clay printing.

The part is then buried in activated carbon for support, and fired in a kiln. The result is a 3D printed bronze part on the cheap; the material cost is essentially just the cost of the metal powder and your effort.

We had never heard of metal clay before, but apparently jewelers have been using it for metals other than just bronze. The Metal Clay Academy, from the references section of the paper, is an amazing resource if you want to recreate this at home.

Paste printers are sounding more and more interesting. Obvious applications include printing chocolate and printing pancakes, but now that we’re talking metal parts with reasonably consistent shrinkage, they’ve got our attention.

When monitors around the world display a “Blue Screen of Death” and you know it’s probably your fault, it’s got to be a terrible, horrible, no good, very bad day at work. That’s likely the situation inside CrowdStrike this weekend, as engineers at the cybersecurity provider struggle to recover from an update rollout that went very, very badly indeed. The rollout, which affected enterprise-level Windows 10 and 11 hosts running their flagship Falcon Sensor product, resulted in machines going into a boot loop or just dropping into restore mode, leaving hapless millions to stare at the dreaded BSOD screen on everything from POS terminals to transit ticketing systems.

Tales of woe from the fallout from what’s being called “the largest IT outage in history” are pouring in, including this very bewildered game developer who while stranded at an airport had plenty of ponder about why CrowdStrike broke the cardinal rule of software development by rolling a change to production on a Friday. The good news is that there’s a workaround, but the bad news is that someone has to access each borked machine and manually delete a file to fix it. Current estimates place the number of affected machines at 8.5 million, so that’s a lot of legwork. There’s plenty of time after the fix is rolled out for a full accounting of the impact, including the search for the guilty and persecution of the innocent, but for now, let’s spare a moment’s pity for the devs who must be sweating things out this weekend.

Back in 2011, Craig Fugate of the Federal Emergency Management Agency said of disaster response in the southern US, “If you get there and the Waffle House is closed? That’s really bad.” Thus was born the “Waffle House Index,” an informal measure of a natural disaster’s impact based on where individual restaurants in the chain that prides itself on always being open are actually up and running. With over 1,900 locations in 25 states, you’d think it would cover just about any emergency, but desperate Texans eschewed the index during the recent extensive power outages in the Houston area caused by Hurricane Beryl by inventing the “Whattaburger Index.” We haven’t had the pleasure of this particular delicacy, but it seems Texans can’t get enough of the hamburger chain, enough so that their online app’s location map provides a pretty granular view of a wide swathe of Texas. Plus, the chain thoughtfully color-codes each location’s marker by whether it’s currently open or closed, making it a quick and easy way to check where the power is on or off — at least during regular business hours. Hat’s off to the enterprising Texans who figured this out, and here’s hoping that life has returned to normal for everyone by now.

While we’re generally not fans of Apple products, which seem overpriced and far too tightly controlled for our liking, we’ve been pretty impressed by some of the results people have reported using their Apple AirTags to recover lost or stolen items — this recent discovery of a cache of stolen tools (fourth item) comes to mind. Results such as that require a “me too” response from the Android side of the market, resulting in the Find My Device network that, perhaps unsurprisingly, doesn’t appear to work very well. The test was pretty much what you’d expect — drop an Android-compatible tag in the mail along with an AirTag and track their journey. The Android tag only reported in a couple of times, while the AirTag provided a comprehensive track of the parcel’s journey through the USPS. Our first thought is that this speaks mostly to the power of being first to market, allowing Apple to have a more completely built-out infrastructure. But this may say more about the previously mentioned flexibility of Android compared to Apple; we know we noped the hell out of participating in Find My Device as soon as it rolled out on our Android phone. Seems like a lot of Android users feel the same way.

And finally, while we haven’t checked out comments on this week’s podcast, we’re pretty sure we’re getting raked over the coals for betraying our ignorance of and lack of appreciation for the finer points of soccer, or football. Whatever you call it, we just don’t get it, but we do understand and agree with our own Lewin Day’s argument that instrument-enhanced officiating isn’t making the game any better. Our argument is that in any sport, the officials are like a third team, one that’s adversarial to both of the competing teams, hopefully equally so, and that giving them super-human abilities isn’t fair to the un-enhanced players on the field/pitch/court/ice. So it was with considerable dismay that we learned that Major League Baseball is experimenting with automatic umpires to call balls and strikes behind the plate. While you may not care about baseball, you have to appreciate the ability of an umpire to stand directly in the line of fire of someone who can hurl a ball fast enough to hit a strike zone about the size of a pizza box the ball in less than 500 milliseconds. Being able to determine if the ball ended up in or out of that box is pretty amazing, not to mention all the other things an umpire has to do to make sure the game is played by the rules. They’re not perfect, of course, and neither are the players, and half the fun of watching sports for us is witnessing the very human contest of wills and skills of everyone involved. It seems like a bad idea to take the humans out of that particular loop.

An annoying fridge that beeps incessantly when the door is open too long should be an easy enough thing to fix by disconnecting the speaker, but when as with [kennedn]’s model it’s plumbed in and the speaker is inaccessible, what’s to be done? The answer: create a mod chip for a fridge.

While the fridge electronics themselves couldn’t be reached, there was full access to a daughterboard with the fridge controls. It should be easy enough to use them to turn off the alarm, but first a little reverse engineering was required. It used a serial communication with an old-school set of shift registers rather than a microcontroller, but it soon became apparent that the job could be done by simply pulling the buttons down. In a move that should gladden the heart of all Hackaday readers then, the modchip in question didn’t even have to be a processor, instead it could be the venerable 555 timer. Our lives are complete, and the fridge is no longer annoying.

The 555 is unashamedly a Hackaday cliche, but even after five decades it still bears some understanding.

We’ve all been there — you forgot your lunch, but there are AC outlets galore. Wouldn’t it be so much simpler if you could just plug in like your phone? Don’t try it yet, but biologists have taken us one step further to being able to fuel ourselves on those sweet, sweet electrons.

Using an “electrobiological module” of 3-4 enzymes, the amusingly named AAA (acid/aldehyde ATP) cycle regenerates ATP in biological systems directly from electricity. The process takes place at -0.6 V vs a standard hydrogen electrode (SHE), and is compatible with biological transcription/translation processes like “RNA and protein synthesis from DNA.”

The process isn’t dependent on any membranes to foul or more complicated sets of enzymes making it ideal for in vitro synthetic biology since you don’t have to worry about keeping as many components in an ideal environment. We’re particularly interested in how this might apply to DNA computing which we keep being promised will someday be the best thing since the transistor.

Maybe in the future we’ll all jack in instead of eating our daily food pill? If this all seems like something you’ve heard of before, but in reverse, maybe you’re thinking of microbial fuel cells.

Suppose you decide you want to become a novelist. You enroll in the Hackaday Famous Novelists School where your instructor announces that since all truly great novels are written in Russian, our first task will be to learn Russian. You’d probably get up and leave. The truth is, what makes a great (or bad) novel transcends any particular language, and you could make the same argument for programming languages.

Despite the pundits, understanding the basics of how computers work is more important than knowing C, Java, or the language of the week. A recent post by [lackofimagination] proposes that we should teach programming using BASIC. And not a modern whizz-pow BASIC, but old-fashioned regular BASIC as we might have used it in the 1980s.

Certainly, a whole generation of programmers cut their teeth on BASIC. On the other hand, the programming world has changed a lot since then. While you can sort of apply functional and object-oriented techniques to any programming language, it isn’t simple and the details often get in the way of the core ideas.

Still, some things don’t change. The idea of variables, program flow, loops, and arrays all have some parallel in just about anything, so we can see some advantages to starting out simply. After all, you don’t learn to drive by trying it out in the Indy 500, right?

What do you think? If you were teaching programming today, would you start with BASIC? Or with something else? You can modernize a little bit with QB64. Or try EndBasic which just recently had a new release.

Can you weld wood? It seems like a silly question — if you throw a couple of pieces of oak on the welding table and whip out the TIG torch, you know nothing is going to happen. But as [Action Lab] shows us in the video below, welding wood is technically possible, if not very practical.

Since experiments like this sometimes try to stretch things a bit, it probably pays to define welding as a process that melts two materials at their interface and fuses them together as the molten material solidifies. That would seem to pose a problem for wood, which just burns when heated. But as [Action Lab] points out, it’s the volatile gases released from wood as it is heated that actually burn, and the natural polymers that are decomposed by the heat to release these gases have a glass transition temperature just like any other polymer. You just have to heat wood enough to reach that temperature without actually bursting the wood into flames.

His answer is one of the oldest technologies we have: rubbing two sticks together. By chucking a hardwood peg into a hand drill and spinning it into a slightly undersized hole in a stick of oak, he created enough heat and pressure to partially melt the polymers at the interface. When allowed to cool, the polymers fuse together, and voila! Welded wood. Cutting his welded wood along the joint reveals a thin layer of material that obviously underwent a phase change, so he dug into this phenomenon a bit and discovered research into melting and welding wood, which concludes that the melted material is primarily lignin, a phenolic biopolymer found in the cell walls of wood.

[Action Lab] follows up with an experiment where he heats bent wood in a vacuum chamber with a laser to lock the bend in place. The experiment was somewhat less convincing but got us thinking about other ways to exclude oxygen from the “weld pool,” such as flooding the area with argon. That’s exactly what’s done in TIG welding, after all.

youtube.com/embed/SRDfOPH_DTA?…

I problemi di aggiornamento del software CrowdStrike hanno colpito 8,5 milioni di dispositivi in ​​tutto il mondo con il sistema operativo Microsoft Windows. Lo hanno riferito i rappresentanti di Microsoft Corp. , chiarendo che i dispositivi interessati rappresentano meno dell’1% di tutti gli utenti Windows, anche se le conseguenze sono state significative.

Microsoft (MS) ha affermato il 20 (ora locale), “Un totale di 8,5 milioni di dispositivi Windows sono stati interessati dagli aggiornamenti software della società di sicurezza CrowdStrike”, aggiungendo, “Sebbene la percentuale fosse dell’1%, molti problemi si sono verificati perché le aziende che utilizzavano i servizi di CrowdStrike”.

L’aggiornamento CrowdStrike ha causato una schermata BSOD sui dispositivi Windows, facendo entrare i dispositivi in un ciclo di riavvio infinito, rendendoli inutilizzabili. L’errore era dovuto a una modifica nel file di configurazione, che ha causato un errore logico e ha bloccato il sistema operativo. CrowdStrike ha rilasciato una correzione, ma molti dispositivi non sono riusciti a connettersi a Internet per scaricare l’aggiornamento. La soluzione ad oggi è eliminare manualmente il file problematico in modalità provvisoria di Windows. A volte è stato utile riavviare Windows più volte , fino a 15 volte.

Le agenzie governative per la sicurezza informatica di tutto il mondo e il CEO di CrowdStrike George Kurtz stanno mettendo in guardia aziende e privati ​​dai nuovi schemi di phishing che coinvolgono malintenzionati che si spacciano per dipendenti di CrowdStrike o altri specialisti della tecnologia e si offrono di aiutare coloro che si stanno riprendendo dall’interruzione.

“Sappiamo che avversari e malintenzionati cercheranno di sfruttare eventi come questo”, ha affermato Kurtz in una dichiarazione. “Incoraggio tutti a rimanere vigili e ad assicurarsi di interagire con i rappresentanti ufficiali di CrowdStrike”.

Il Cyber ​​Security Center del Regno Unito ha affermato di aver notato un aumento dei tentativi di phishing in relazione a questo evento.

Il prezzo delle azioni di CrowdStrike è sceso notevolmente e la società ha subito enormi perdite finanziarie. Nel 2024 la società è stata coinvolta anche in una serie di altre grandi transazioni e ha continuato a collaborare attivamente con le agenzie governative.

L'articolo L’interruzione di CrowdStrike ha colpito meno dell’1% dei dispositivi Windows. Attenzione Alle Frodi! proviene da il blog della sicurezza informatica.

La giornata del 19 Luglio 2024 ha sicuramente segnato una data importante per quanto riguarda il mondo IT e, ovviamente, il mondo della security. RHC ha già coperto la notizia in maniera esaustiva spiegando la causa dei disservizi ICT in tutto il mondo e non necessita di ulteriori approfondimenti. In questa sede, invece, andremo a porre delle riflessioni su tutte le conseguenze (sia tecniche che non) che questo “semplice” errore ha portato alla luce. L’incidente CrowdStrike ha molto di più da insegnare.

Il contenuto di questo articolo è un’estensione di una breve ma coincisa analisi già pubblicata sempre su RHC dove è stata evidenziata una corsa repentina al criticare ed incolpare i diversi protagonisti nella faccenda.

Verrà oltretutto offerto uno scenario (raccontato sempre in questo blog) che si avvicina molto all’incidente di oggi e che richiede attenzione, tempo e, soprattutto, conoscenze per poter essere affrontato a dovere.

Tra gli Orsi e i Falchi

Le critiche a CrowdStrike, incolpandoli dell’outage mondiali, non si sono fatte aspettare. Certamente devono rispondere ad una responsabilità non da poco perché aeroporti, banche e servizi IT tra i più disparati fanno affidamento sul software Falcon.

Questo lo rende uno strumento sensibile non solo per il suo obbiettivo ma anche sul come ottiene quest’ultimo, ogni singolo cambiamento deve essere testato a dovere prima di essere rilasciato ai clienti finali.

Il semplice incolpare CrowdStrike mostra un modu operandi troppo semplice per problemi complessi.

È vero che tutti possono commettere errori, e per questo è importante concentrarsi sull’analisi dell’errore stesso piuttosto che lamentarsi del suo accaduto. Purtroppo la calma e freddezza non appartiene alla totalità della community infosec togliendo attenzione a pensieri edificanti e lasciando spazio a divisioni.

Kaspersky, dopo il ban dei suoi prodotti negli USA, ha voluto precisare come i loro prodotti non portino gli endpoint a crollare su se stessi.

You wouldn't see this with any of our products (just sayin.) 🤷 pic.twitter.com/39veWooFio
— Kaspersky (@kaspersky) July 19, 2024

Chiaramente si tratta di un joke a fini di marketing, anche prodotti Kaspersky sono stati causa di crash e malfunzionamenti passati. Dovrebbe farci riflettere come quasi tutti i big players di soluzioni EDR abbiano rilasciato software o update contenenti errori tra i quali : Palo Alto Networks, TrendMicro, SentinelOne e WatchGuard.

Le dichiarazioni di Kaspersky devono essere trattate come quello che sono e cioè una risposta ironica ai danni causati dal “bug” di CrowdStrike (controparte USA dalla quale sono attualmente bannati prodotti Kaspersky) a fini di sponsorizzare i loro software. Come gia analizzato su RHC [2][3], i “muri digitali” che si stanno innalzando in questi ultimi anni iniziano a creare fazioni ed a dividere la community con un pizzico di disinformazione.

C’è poi chi ha cavalcato l’onda per sfruttare il problema contingente di CrowdStrike per ottenerne vantaggio e chi ha evidenziano un bias sempre più prepotente che risulta nocivo per l’intera community. Il caso del ban di Kaspersky è già stato coperto a dovere in questa sede ma per chiarezza sul perché tali pregiudizi siano non solo sbagliati ma dannosi è necessaria una breve digressione.

È ormai chiaro che l’amministrazione Biden-Harris abbia eseguito il ritiro obbligato di ogni tipo di software Kaspersky per un motivo ideologico senza l’ombra di fatti. Per chi non avesse letto i vari statement ufficiali verranno qui riportate parti di quest’ultimi :

• “Kaspersky employees could potentially transfer U.S. customer data to Russia […]” [1]
• “Kaspersky has the ability to use its products to install malicious software on U.S. customers’ computers or to selectively deny updates, leaving U.S. persons and critical infrastructure vulnerable to malware and exploitation.” [1]
• “Third-party transactions such as these create circumstances where the source code for the software is unknown. This increases the likelihood that Kaspersky software could unwittingly be introduced into devices or networks containing highly sensitive U.S. persons data.” [1]
• “[…] Kaspersky’s products are effective at identifying viruses and other malware, but whether they can be used strategically to cause harm to the United States.” [2]
• “Kaspersky’s founder, majority owner, and current Chief Executive Officer, Eugene Kaspersky, is a Russian national who resides in Russia.” [2]

Si può notare la totale assenza di prove o fatti che abbiano portato alla decisione finale usando il termine ombrello “national security risk” ed avanzando potenziali metodi di spionaggio tramite il software.

Totalmente fuori luogo il giudicare una intera azienda dal background del fondatore. Ad esempio, Sergey Brin (co-founder di Google) ha un background russo ma non per questo andremo mai a dubitare di un possibile rischio nazionale riguardante Google ed i suoi prodotti. Inoltre aziende come Xiaomi e Tesla hanno più volte dimostrato (coi fatti) l’uso improprio dei loro prodotti creando un danno alla privacy e sicurezza nazionale, sono aziende che rispondono a giurisdizione diverse dalla Russia (rispettivamente Cina e USA) ma non è stata presa nessuna iniziativa a tutela dei cittadini.

Rimanendo nel campo di AV e EDR, l’antivirus Avast (repubblica Cieca) vende a terze parti dati legati all’identità e privacy dell’utente ma rimane comunque popolare grazie alla sua licenza gratuita. Tutti questi fatti portano ad una sola conclusione, oramai non importa più l’essere spiati o meno ma semplicemente da chi si viene spiati creando fazioni buone e fazioni cattive. I sintesi “Muri Digitali”.

Le critiche a Kaspersky (che tra l’altro ha sempre collaborato con CrowdStrike in maniera trasparente con ottimi risultati) e sul come non si dovrebbe permettere di utilizzare il recente outage come pretesto pubblicitario sono la prova che ci stiamo avvicinando a scenari pessimi con spaccature sempre più evidenti.

La privacy è un diritto fondamentale che va a favore anche di chi non la pensa cosi, invece di bloccare software potenzialmente dannoso è importante aprire tavoli di discussioni per cambiare la visione degli utenti a scegliere autonomamente come preservarla senza imposizioni camuffate da sicurezza nazionale.

Security is not (just) Prevention

Uno dei più grandi disservizi IT della storia è stato causato, ironicamente, da un update per un software di cybersecurity. CrowdStrike nelle ultime ore ha rilasciato lo statement riguardante l’incidente riportando che non si tratta di un attacco informatico (“This was not a cyberattack.”) ma possiamo definire tutte le conseguenze e procedure “cybersecurity”?

La parola “sicurezza” deriva dal latino se (“senza”) e cure (“ansia”) e definisce sia una sensazione che uno stato delle cose, spesso però viene definita come l’assenza di danno tralasciando concetti come resilienza, secrecy e recovery. Quando si vuole “mettere in sicurezza” qualcosa (edifici, reti, persone, ecc…) bisogna avere in mente cosa si sta proteggendo, perchè la si sta proteggendo, da chi/cosa ci si difende e, sopratutto, perchè si sta mettendo in sicurezza un determinato asset.

Prendiamo il caso dei sistemi ICT nell’ambito della borsa economica, in linea generale quello che si cerca di proteggere è la continuazione delle attività senza blocchi improvvisi per evitare perdite finanziare. I temuti blocchi dei dispositivi digitali posso avvenire per diverse cause : attacchi informatici, perdite di corrente e malfunzionamenti di terze parti (ecc…). Chiaramente molti sforzi andranno alla prevenzione di tali minacce che devono essere ben definite e classificiate ma poche volte si sente discutere sul come attuare processi di recupero e resilienza.

Quando una rete informatica si blocca (per qualsivoglia motivo) non è automaticamente sintomo di mancanza di security ed il caso CrowdStrike ne è un esempio lampante. Avere dei piani alternativi e procedure di Incident Response (si, IR non riguarda solo attacchi informatici) sono parte fondamentale tanto quanto la prevention. Notare come tantissimi stakeholder si siano trovati nel panico senza sapere bene come continuare le loro attività con metodi alternativi nel mentre si cercavo di fixare il problema è sintomo di mancanza di security. La mitigazione dei danni e preparazione per il worst case deve riguardare tutti gli stakeholder.

Durante i diversi continui processi di sicurezza è importante far comprendere come chiunque e qualunque cosa rientri nella definizione “senza ansia”. L’esecuzione di aggiornamenti in bulk e diretti ai processi di produzione, come dimostrato dall’elevato numero di asset interessati da un singolo update, non rappresenta un approccio efficace per la sicurezza delle reti.

La sensibilizzazione sulla sicurezza informatica non si limita a campagne di red teaming o bug bounty. È fondamentale far comprendere perché procedure apparentemente noiose e inutili, come il rilascio graduale degli aggiornamenti di terze parti, siano invece cruciali per raggiungere gli obiettivi di sicurezza desiderati. Bisogna inoltre affrontare il conflitto percepito tra il “perdere tempo” con queste buone pratiche e la mission aziendale, dimostrando come esse siano un investimento nella sicurezza e nella produttività a lungo termine.

Inoltre, molti in questo periodo hanno portato all’attenzione che la protezione si limita alla semplice configurazione di tool come EDR. Tralasciando i metodi di bypass e di DoS di tali programmi , l’aumento di livello non è intrinseco ai tool usati (stessa cosa valida anche per gli attaccanti) ma dal loro utilizzo. Un semplice download-&-install sugli endpoint ha un valore aggiunto molto limitato, ogni rete è diversa e bisogna sapere come configurarli in modo da evitare il più possibile falsi positivi, cosa tenere sotto controllo per avere una visione chiara di cosa si sta monitorando e soprattutto come agire in caso di detection.

Mai dare troppa attenzione solo agli EDR, o qualsiasi altro strumento, perché proteggono da un sottoinsieme di minacce (e procedure) e hanno le loro limitazioni che devono essere integrate con altri software e procedure. Definireste “sicura” una rete con tutti gli endpoint sotto EDR ma con misconfiguration di Active Directory che permettono la chiusura del software? E una situazione similare ma dove gli user sugli endpoint sono amministratori locali? Un sistema EDR che non viene monitorato a dovere?

Per chiudere questa sezione e tornare al tema CrowdStrike si può concludere come tutti le “good practices” che vengono esplicitate per riprendersi da un attacco ransomware sono congruenti per altri tipi di danni alla security delle infrastrutture digitale. L’incidente del 19 Luglio 2024 evidenzia come la sensibilizzazione sul tema vada presa seriamente perché le minacce non sono solo quelle criminali.

Conclusioni – What If : Nitro Zeus

Iniziamo quest’ultima sezione con due ovvietà ormai ripetute all’estremo : il mondo è globalmente interconnesso e tutti i settori sono digitalizzati. Non c’è da stupirsi delle cadute in borsa generali assieme all’effetto domino portato dalla interruzione di buona parte dei servizi, uno scenario inquietante dove servizi 911, ospedali ed infrastrutture critiche hanno dovuto interfacciarsi.

Quando ci si chiede perchè tutti gli sforzi nella sensibilizzazione sulla conoscenza e “pignoleria” in ambito security vengono fatti in maniera cosi persistente (come RHC) la risposta è semplice. Proteggere realmente la rete di una azienda (grande o piccola che sia), di un ospedale, di un servizio supply chain ed anche dei servizi pubblici ha benificio per tutti.

Le vittime dei data breach non sono le aziende ma gli owner dei dati esfiltrati, l’interruzione di una azienda crea danno a chi beneficia dei servizi di tale azienda e il danno finanziario è solo una conseguenza. Lavorare per mantenere la security su ogni asset digitale è un servizio pubblico che copre tutti i cittadini, non solo per motivi economici strettamente legati al proprietario dell’asset. Un attacco digitale è un attacco alla società ed il sottovalutare la sicurezza digitale vuol dire mettere a rischio i membri di quest’ultima.

RHC ha voluto raccontare (nonostante le poche informazioni a riguardo) l’operazione Nitro Zeus, pianificata dal governo USA contro l’intero Iran ma mai attuata. Tale scenario comprendeva la volontaria interruzione e “disruption” di ogni servizio ICT comprendendo compagnie telefoniche, dighe, telecomunicazioni militari, servizi di energia e altro tramite l’installazione di implant su tutto il territorio iraniano. Tale scenario si sarebbe dovuto attivare durante un potenziale bombardamento aereo da parte di Israele mandando nel caos il governo e la sua popolazione, con costo relativamente basso rende tali operazioni una alternativa efficente alla guerra cinetica.

Il caso di CrowdStrike può essere considerato un antipasto di cosa potrebbe succedere quando, invece di un errore di codice, un threat actor vuole far si che reti su scala nazionale vengano disabilitati portando la società nel caos e non solo con disservizi o rallentamenti delle attività. Sicuramente un fix per tale attacco non sarebbe facile da attuare perché si entra in conflitto con un attore maligno che ha la motivazione per mantenere la situazione di caos integra il più possibile.

Se doveste ancora avere dubbi sul perchè sia importante che tutti gli stakeholder, dai più ai meno tecnici, ed ogni governo assieme alla società intera debba affrontare in maniera seria e continua il tema della sicurezza informatica domandatevi cosa succederebbe in un caso come quello di Nitro Zeus. Importante ribadire come la security sia sia uno stato d’animo che uno stato “delle cose” : ci si può sentire al sicuro in un ambiente totalmente opposto e ci si può trovare in una situazione sicura ma continuando a credere di non esserlo. L’obbiettivo di tutti, proprio chiunque anche gli esterni all’industria, è quello di bilanciare questi due aspetti per mantenere nel tempo un ecosistema florido e benefico alla società.

In caso siate gia convinti, o lo diveniate in futuro, armatevi di pazienza e buona volontà per far comprendere a chi vi sta attorno cosa davvero si intende per sicurezza, perchè la sicurezza informatica deve essere trattata come un bene pubblico e quale è il ruolo che ognuno dovrebbe ricoprire per ottenere tale obbiettivo. Anche questa è “security”, non solo le disposizioni tecniche e legali. La cosa positiva di questo incidente è che ora sempre più persone vorrano sapere cosa è un EDR, perchè questo impatto enorme e come si poteva prevenire tutto ciò. Siate di supporto a questi quesiti perchè sul lungo termine tutti ne avranno beneficio.

Ransomware Gang, APT e Sponsored State Actors stanno crescendo divenendo sempre più sofisticati e per difenderci abbiamo bisogno di comprensione, lucidità, assenza di pregiudizi e unione. Richiede tempo e sforzi ma è l’unico modo per evitare che il prossimo disservizio ICT globale possa portare a conseguenze peggiori di quelle causate da CrowdStrike.

Il fascino, e allo stesso tempo ostacolo, di questo mondo è che tutti devono possono farne parte a prescindere dal loro background e conoscenze. Non pensiate che la security venga dall’alto senza che venga richiesto uno sforzo (anche piccolo) ad ognuno di noi altrimenti, prima o dopo, saremo costretti ad interfacciarsi con la realtà senza gli strumenti necessari per affrontarla.

Per chi volesse approfondire eccovi alcune fonti da cui iniziare :

• Why Resilience—Not Prevention—Should Be Your Cybersecurity Goal
• Cybersecurity Is Not (Just) a Tech Problem
• Cybersecurity is Everyone’s Job
• Cyber security is no longer enough: businesses need cyber resilience
• Cybersecurity isn’t just for ‘tech people’ anymore.

L'articolo Incidente CrowdStrike: Riflessioni sulla Security di oggi e di Domani. “Non importa se si viene spiati, importa da chi” proviene da il blog della sicurezza informatica.

In the early days, PNP bipolar transistors were common, but the bulk of circuits you see today use NPN transistors. As [Aaron Danner] points out, many people think PNP transistors are “backward” but they have an important role to play in many circuits. He explains it all in a recent video you can see below.

He does explain why PNP transistors don’t perform as well as corresponding NPN transistors, but they are still necessary sometimes. Once you get used to it, they are no problem to handle at all. Common cases where you want a PNP are, for example, when you want to switch a voltage instead of a ground. There are also certain amplifier configurations that need PNP units.

Like an NPN transistor, a PNP can operate in saturation, linear operation, reverse active, or it can be cut off. [Aaron] shows you how to bias a transistor and you’ll see it isn’t much different from an NPN except the base-emitter diode junction is reversed.

As you might expect, current has to flow through that diode junction to turn the transistor on. The arrow points in the direction of the diode junction. If you want a refresher on transistor biasing, we got you. Sure, you don’t need to do it every day now, but it still is a useful skill to have.

youtube.com/embed/NKeQzRoNP80?…

Art. 617-quinquies c.p.: Chiunque, fuori dai casi consentiti dalla legge, installa apparecchiature atte ad intercettare, impedire o interrompere comunicazioni relative ad un sistema informatico o telematico ovvero intercorrenti tra più sistemi, è punito con la reclusione da uno a quattro anni.
La pena è della reclusione da uno a cinque anni nei casi previsti dall'art.617-quater, quarto comma.

Il contenuto della norma

L’art 617-quinquies c.p. punisce fatti prodromici alla commissione del delitto di cui all’articolo 617- quater c.p., indicando come penalmente rilevante l’installazione di apparecchiature atte a captare o impedire comunicazioni relative ad un sistema informatico o tra sistemi telematici.

Mentre con l’art.617-quater , quindi , si punisce la ricezione comunque avvenuta, con l’art.617 – quinquies si colpisce l’organizzazione voluta e predisposta per quel fine.

La semplice installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni, informatiche o telematiche, è sottoposta ad una sanzione da uno a quattro anni.

E’ prevista una pena da uno a cinque anni qualora gli stessi fatti siano commessi in danno di un sistema informatico dello Stato, oppure siano commessi da un pubblico ufficiale con abuso dei poteri o con abuso della qualità di operatore del sistema, o se commessi da chi eserciti, anche abusivamente, la professione di investigatore privato.

Cosa dice la giurisprudenza

Ricorre l’aggravante prevista dagli artt. 617 quinquies, co. 2, e 617 quater, co. 4, cod. pen. nel caso in cui vengano apposti presso gli sportelli “bancomat” i dispositivi denominati skimmer atti ad intercettare fraudolentemente comunicazioni di dati. L’attività bancaria di raccolta del risparmio, infatti, costituisce un servizio di pubblica necessità esercitata da soggetti privati, risponde a un interesse pubblico ed è svolta a seguito del rilascio di specifica autorizzazione, sicché qualsiasi attività di intercettazione abusiva di dati a suo danno deve ritenersi esercitata a danno di un esercente un soggetto esercente servizio di pubblica necessità (Cass., Sez. V, sent.n. 17814/23) .

Si tratta di un reato di pericolo concreto “per la cui configurazione è necessario accertare la idoneità dell’apparecchiatura installata a consentire la raccolta o memorizzazione dei dati e non che tali operazioni siano state effettivamente eseguite”(Cass.,Sez.V,sent.n. 3236/19).

Integra il reato di cui all’art. 617- quinquies c.p. la condotta di colui che installi, all’interno del sistema bancomat di un’agenzia di banca, uno scanner per bande magnetiche con batteria autonoma di alimentazione e microchip per la raccolta e la memorizzazione dei dati, al fine di intercettare comunicazioni relative al sistema informatico. Trattandosi di reato di pericolo, non è necessario accertare, ai fini della sua consumazione, che i dati siano effettivamente raccolti e memorizzati (Cass., sent. n. 36601/10).

Parimenti ravvisabile tale delitto nella condotta di colui che installa abusivamente apparecchiature atte ad intercettare comunicazioni relative ad un sistema informatico posizionando nel «postamat» di un ufficio postale una fotocamera digitale, considerato che l’intercettazione implica l’inserimento nelle comunicazioni riservate, traendo indebita conoscenza delle stesse (Cass., sent.n. 3252/07).

L'articolo Digital Crime: Detenzione, diffusione e installazione abusiva di apparecchiature e di altri mezzi atti a intercettare, impedire o interrompere comunicazioni informatiche o telematiche proviene da il blog della sicurezza informatica.

Qualche giorno fa, i sistemi basati su Windows sono stati scossi da un bug di CrowdStrike che ha causato il Blue Screen of Death (BSOD). Sono stati colpiti 8,5 milioni di computer, il che sembra molto sulla carta; tuttavia, è una goccia nell’acqua se confrontato con il numero totale di dispositivi Windows utilizzati.

Sfortunatamente, quegli 8,5 milioni di computer avevano più probabilità di essere incaricati di mantenere in vita importanti sistemi critici, il che significa che le persone hanno visto il BSOD su schermi pubblici in tutto il mondo.

Nonostante ciò, sembra che alcune aziende siano riuscite a non incorrere a questo problema.

Come? Con un sistema operativo vecchio di 30 anni.

Questa notizia è iniziata con un post su X di Artem Russakovskii. In tale tweet, ha affermato che alcune compagnie aeree statunitensi erano state messe a terra a causa del bug, ma Southwest stava ancora operando normalmente.

Questo perché, in barba alle buone regole sull’obsolescenza tecnologica, i sistemi dell’azienda giravano ancora su Windows 3.1.

Delta, United, American Airlines flights are all grounded right now.

The reason Southwest is not affected is because they still run on Windows 3.1.t.co/ezFubvKVNA
— Artem Russakovskii (@ArtemR) July 19, 2024

Southern non usa solo Windows 3.1. Usa ancora il buon vecchio Windows 95 come parte del suo sistema di pianificazione del personale.

Di conseguenza, i suoi sistemi erano così vecchi che non potevano ospitare soluzioni di sicurezza evolute come quella di CrowdStrike, pertanto non ha risentito del BSOD come altre aziende.

Uno sguardo al fenomeno dell’obsolescenza tecnologica

Questo cosa vuol dire che l’Obsolescenza tecnologica è un bene?

Assolutamente no, in quanto occorre sempre aggiornare i software in End Of Life, ma c’è anche un fenomeno da noi analizzato diversi anni fa che vede il software in EoL particolarmente vecchio più protetto di altri software appena entrati all’interno della fase di EoL.

La strada del replatforming (qualora possibile) risulta sempre la migliore, ma sulle applicazioni legacy/enterprise già obsolete non sempre è percorribile, a causa dei massicci investimenti richiesti. Qualora non sia possibile un buon “cleaning” (hardenizzazione e messa in sicurezza delle vulnerabilità rilevate) può consentire una drastica riduzione – e alle volte una completa bonifica – del rischio dovuto all’obsolescenza tecnologica.

Questo intervento (normalmente di basso costo) dovrà essere eseguito “da mani esperte” in quanto può bastare una sola vulnerabilità per rendere vano l’intero lavoro svolto, oltre al fatto che non sempre è possibile.

L'articolo Diverse aziende salvate dal BSOD di CrowdStrike con Windows 3.1. Ma l’Obsolescenza è un bene? proviene da il blog della sicurezza informatica.

Hidden states are a fascinating aspect of matter, as these can not normally be reached via natural processes (i.e. non-ergodic), but we can establish them using laser photoexcitation. Although these hidden states are generally very unstable and will often decay within a nanosecond, there is evidence for more persistent states in e.g. vanadates. As for practical uses of these states, electronics and related fields are often mentioned. This is also the focus in the press release by the Ecole Polytechnique Federale de Lausanne (EPFL) when reporting on establishing hidden states in magnetite (Fe3O4), with the study published in PNAS (Arxiv preprint link).

[B. Truc] and colleagues used two laser frequencies to either make the magnetite more conductive (800 nm) or a better insulator (400 nm). The transition takes on the order of 50 picoseconds, allowing for fairly rapid switching between these metastable states. Naturally, turning this into practical applications will require a lot more work, especially considering the need for femtosecond pulsed lasers to control the process, which makes it significantly more cumbersome than semiconductor technology. Its main use at this point in time will remain a fascinating demonstration of these hidden states of matter.

Recentemente, un noto attore di minacce, identificato come 888, ha reso pubblica una presunta violazione dei dati ai danni di L’Oréal, famosa azienda operante nel settore bellezza e cosmetici.

La fuga di notizie sembrerebbe portare alla compromissione di circa 5110 righe di informazioni personali della nota azienda.

Al momento, non possiamo confermare la veridicità della notizia, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo deve essere considerato come ‘fonte di intelligence’.

Dettagli della violazione

Secondo quanto riportato nel post, la violazione dei dati comprenderebbe informazioni personali di migliaia di dipendenti della nota azienda. La pubblicazione è avvenuta il 20 luglio 2024 sul noto sito BreachForums, con il Threat Actor 888 che ha reso disponibili i dati al pubblico.

I dati compromessi dovrebbero includere:

• Nome e cognome
• Qualifica professionale
• Indirizzo e-mail
• Città
• Stato
• Paese

Attualmente, non siamo in grado di confermare con precisione l’accuratezza delle informazioni riportate, poiché non è stato rilasciato alcun comunicato stampa ufficiale sul sito web riguardante l’incidente.

Conclusioni

La presunta violazione dei dati rappresenterebbe un rischio elevato per i dipendenti di L’Oréal ed evidenzia l’importanza cruciale della sicurezza informatica. Le informazioni divulgate potrebbero essere utilizzate per vari scopi illeciti e malevoli.

Le aziende devono porre attenzione e adottare misure proattive per proteggere i propri dati. Nel frattempo, gli utenti coinvolti dovrebbero monitorare attentamente le loro informazioni personali e adottare misure precauzionali per proteggersi da potenziali minacce.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, nel caso in cui ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzareredhotcyber.com/whistleblowerla mail crittografata del whistleblower.

L'articolo Il Threat Actor 888 espone informazioni personali dei dipendenti dell’Oréal proviene da il blog della sicurezza informatica.

Poland wants the European Union to launch a campaign in the United States to raise awareness with the American public about the importance of the joint relationship.

euractiv.com/section/elections…

[The Engineering Experience] has an ambitious series of videos. He’s working through circuit examples from the awesome book “The Art of Electronics.” In the latest installment, he’s looking at a pulse generator that uses bipolar transistors. So far, there are 43 videos covering different exercises.

If you’ve read the book — and you should — you know the examples and exercises sometimes have little explanation. Honestly, that’s good. You should try to work through them yourself first. But once you have an idea of how it works, hearing someone give their take on it may help you out. In fact, even if you don’t have the book, we’d suggest pausing the video and looking at the circuit to see what you can figure out before playing the explanation. You’ll learn more that way.

Admittedly, some of the early videos will be cakewalks for Hackaday readers. The first few, for example, walk through parallel and series resistors. However, if you are starting out or just want a refresher, you can probably enjoy all of them. The later ones get a bit more challenging.

If you want to double-check your work, you can simulate the circuit, too. Our simulation got 4.79 V and he computed 4.8, which is certainly close enough.

We do love “The Art of Electronics.” The book’s author also enjoys listening for aliens.

youtube.com/embed/jM6Vf623wT8?…

Additive Manufacturing (AM) is a field of ever-growing importance, with many startups and existing companies seeking to either improve on existing AM technologies or market new approaches. At the RAPID + TCT 2024 tradeshow it seems that we got two more new AM approaches to keep an eye on to see how they develop. These are powder-based Hot Isostatic Pressing (HIP) by Grid Logic and centrifugal 3D printing by Fugo Precision.
Grid Logic demo at RAPID + TCT 2024. (Credit: Ian Wright)
Grid Logic’s HIP uses binder-less powders in sealed containers that are compressed and deposited into a HIP can according to the design being printed, followed by the HIP process. This is a common post-processing step outside of AM as well, but here HIP is used as the primary method in what seems like a budget version of typical powder sintering AM printers. Doubtlessly it won’t be ‘hobbyist cheap’, but it promises to allow for printing ceramic and metal parts with minimal wasted powder, which is a major concern with current powder-based sintering printers.

While Grid Logic’s approach is relatively conservative, Fugo’s Model A printer using centrifugal printing is definitely trying to distinguish itself. It uses 20 lasers which are claimed to achieve 30 µm accuracy in all directions with a speed of 1 mm/minute. It competes with SLA printers, which also means that it works with photopolymers, but rather than messing with FEP film and pesky Earth gravity, it uses a spinning drum to create its own gravitational parameters, along with a built-in parts cleaning and curing system. They claim that this method requires 50% fewer supports while printing much faster than competing commercial SLA printers.

Even if not immediately relevant to AM enthusiasts, it’s good to see new ideas being tried in the hope that they will make AM better for all of us.

Today, if you want a computer for a particular task, you go shopping. But in the early days of computing, exotic applications needed custom computers. What’s more is that with the expense of computers, you likely got one made that fit exactly what you needed and no more. That led to many oddball one-off or nearly one-off computers during that time frame. Same for peripheral devices — you built what you had to and you left the rest on the drafting table. [Vintage Geek] got his hands on what appears to be one of them: the Gerber Scientific 6200.

While Gerber Scientific is still around, we’ve never heard of the 6200. Based on the serial number, we would guess at least 62 of them were made and this one has an interesting backstory of living in someone’s home who worked at the Pentagon. We presume the tapes were erased before it was sold!

Design-wise, it is pretty standard stuff. A 19-inch rack, a standard tape drive from Kennedy, a power supply, and some cards. The box takes 240 V, so the computer didn’t get powered up, but an examination of the inside looked like this really was a one-off with handwritten labels on masking tape.

We couldn’t tell for sure if the device was a computer itself, or just a tape drive and maybe plotter interface for another computer. If you know anything about this device, we are sure [Vintage Geek] would like to hear from you.

If this does turn out to have a CPU onboard, we’d bet it is bit sliced. If you have a 9-track tape machine, you may have to make your own tapes soon.

youtube.com/embed/b9Qe-7SuLk0?…

A business card form factor can be quite limiting, but that didn’t stop [Schwimmflugel] from creating CardTunes, an ESP32-based Bluetooth audio speaker that tried something innovative to deliver the output.

What’s very interesting about this design is the speaker itself. [Schwimmflugel] aimed to create a speaker out of two coils made from flexible circuit board material, driving them with opposite polarities to create a thin speaker without the need for a permanent magnet.

The concept is sound, but in practice, performance was poor. One could identify the song being played, but only if holding the speaker up to one’s ear. The output was improved considerably with the addition of a small permanent magnet behind the card, but of course this compromised the original vision.

Even though the concept of making a speaker from two flexible PCB panel coils had only mixed success, we love seeing this kind of effort and there’s a lot to learn from the results. Not to mention that it’s frankly fantastic to even have a Bluetooth speaker on a business card in the first place.

The 2024 Business Card Challenge is over, but judging by all the incredible entries we received, we’re thinking it probably won’t be too long before we come up with another sized-constrained challenge.

youtube.com/embed/qcwfLV3TDHw?…

I ricercatori di Infoblox hanno scoperto il gruppo Revolver Rabbit, che ha registrato più di 500.000 domini per le sue campagne dannose rivolte agli utenti Windows e macOS.

Gli esperti affermano che gli hacker utilizzano algoritmi per generare domini (RDGA), ovvero registrare automaticamente nomi di dominio in un breve periodo di tempo.

L’essenza di RDGA è simile al metodo DGA, utilizzato dal malware per creare elenchi di possibili posizioni per i server di controllo. La differenza è che DGA è integrato direttamente nel codice del malware e registra solo alcuni dei domini generati, mentre RDGA lavora dalla parte degli aggressori e registra tutti i domini generati.

E mentre i ricercatori possono scoprire un DGA e poi decodificare gli indirizzi di eventuali server di comando e controllo, con un RDGA tutto è segreto, e trovare un modello per generare domini diventa un compito più difficile.
Confronto tra DGA e RDGA
Secondo l’azienda, il gruppo controlla più di 500.000 domini di primo livello .BOND, che vengono utilizzati per creare server di controllo sia falsi che reali per il malware. Allo stesso tempo, Infoblox osserva che i domini nella zona .BOND sono semplicemente i più facili da rilevare, ma in totale gli hacker hanno già registrato più di 700.000 domini in una varietà di zone.

I ricercatori stimano che Revolver Rabbit utilizzi RDGA per acquistare centinaia di migliaia di domini e che la sua spesa abbia già superato 1 milione di dollari, dato che un singolo dominio .BOND costa circa 2 dollari.

Nelle loro operazioni, gli hacker distribuiscono il malware XLoader, in grado di rubare informazioni riservate ed eseguire file dannosi sui sistemi che eseguono Windows e macOS. “Il modello RDGA più comune utilizzato da questo gruppo è una serie di una o più parole del dizionario seguite da un numero di cinque cifre, con ogni parola o numero separato da un trattino”, hanno detto gli analisti di Infoblox.

I domini tendono a concentrarsi su un argomento o una regione specifica e hanno molta varietà. Ecco alcuni esempi:

• usa-online-laurea-29o[.]bond
• reggiseno-condizionatore-portatile-9o[.]bond
• crociere-fluviali-uk-8n[.]bond
• ai-courses-17621[.]bond
• app-sviluppo-software-formazione-52686[.]bond
• assistenza-alla-vita-11607[.]bond
• lavori-online-42681[.]bond
• profumi-76753[.]bond
• telecamere-di-sorveglianza-di-sicurezza-42345[.]bond
• lezioni-di-yoga-35904[.]bond

I ricercatori scrivono di aver monitorato Revolver Rabbit per circa un anno, ma l’uso di RDGA ha nascosto gli obiettivi degli aggressori fino a poco tempo fa.

L'articolo Revolver Rabbit: La Nuova Minaccia Cyber supportata da 500.000 Domini di primo livello proviene da il blog della sicurezza informatica.