Dall’Irlanda e dall’Olanda i due progetti finalisti, scelti durante la sessione europea (svoltasi nei giorni scorsi a Roma) della competizione globale Tech4Good all’insegna della sostenibilità
Un proxy è un server che agisce come intermediario tra il dispositivo dell'utente e Internet e consente di monitorare, filtrare e gestire il traffico in entrata e in uscita, migliorando significativamente la sicurezza dei nostri sistemi informatici. Ecco le regole per una corretta implementazione
L’EDPB ha pubblicato le FAQ sul Data Privacy Framework utili alle organizzazioni europee che debbano trasferire dati personali a società USA. Ecco i passaggi fondamentali in relazione agli adempimenti preventivi al trasferimento stesso
Dall’Irlanda e dall’Olanda i due progetti finalisti, scelti durante la sessione europea (svoltasi nei giorni scorsi a Roma) della competizione globale Tech4Good all’insegna della sostenibilità L'articolo Huawei EU Seeds for the Future 2024: dopo Roma, si va in Cina proviene da Cyber Security 360.
Il crash globale dei sistemi Windows è una chiara lezione per aziende e governi sulla necessità di sviluppare soluzioni che aumentino la resilienza della rete globale mitigando la vulnerabilità di un’architettura monolitica con single points of failure significativi. Facciamo chiarezza
Microsoft ha incolpato l’Unione Europea del blocco mondiale dei sistemi Windows colpiti da un bug nel Falcon Sensor di CrowdStrike. E lo ha fatto sulla base di un accordo del 2009 sull’interoperabile con sistemi di terze parti. Facciamo chiarezza analizzando le conseguenze di una simile azione
Nonostante gli sforzi profusi nel rendere migliore la user experience degli utenti online, Google fa sapere di intraprendere “un nuovo percorso per il Privacy Sandbox sul web”, retrocedendo rispetto alla scelta, ambiziosa, di eliminare i famosi cookie di terze parti. Capiamo come e perché
Un proxy è un server che agisce come intermediario tra il dispositivo dell'utente e Internet e consente di monitorare, filtrare e gestire il traffico in entrata e in uscita, migliorando significativamente la sicurezza dei nostri sistemi informatici. Ecco le regole per una corretta
Le organizzazioni possono migliorare significativamente la loro strategia di cyber security adottando un approccio olistico che tenga conto delle differenze chiave e delle considerazioni specifiche delle reti e dei dispositivi OT e IoT e superando i silos culturali tra team InfoSec e OT che spesso hanno priorità diverse
Il trojan RAT 9002 è stato usato in due diverse campagne e ha colpito anche diverse organizzazioni italiane. Cos'è, come si diffonde e come porvi rimedio L'articolo RAT 9002 ha preso di mira le aziende italiane (anche governative): come difendersi proviene da Cyber Security 360.
L’EDPB ha pubblicato le FAQ sul Data Privacy Framework utili alle organizzazioni europee che debbano trasferire dati personali a società USA. Ecco i passaggi fondamentali in relazione agli adempimenti preventivi al trasferimento stesso L'articolo Data Privacy
Il crash globale dei sistemi Windows è una chiara lezione per aziende e governi sulla necessità di sviluppare soluzioni che aumentino la resilienza della rete globale mitigando la vulnerabilità di un’architettura
Beghe nel Fediverso: le polemiche di Uriel Fanelli contro mastodon.uno sono una boiata pazzesca Ma è anche giusto spiegare perché lo siano
Uno dei “topoi” della narrativa degli ultimi due secoli è quello di mostrare come le consuetudini sociali siano stupide, ma che tentare di violarle sia ancora più stupido. Un particolare sviluppo di questo tema è quello di raccontare il rapporto tra l’individuo “A”, chiamiamolo “Antisociale“, che si trova ai margini della società a causa di uno stigma più o meno definito e l’individuo “B”…
Le organizzazioni possono migliorare significativamente la loro strategia di cyber security adottando un approccio olistico che tenga conto delle differenze chiave e delle considerazioni specifiche delle reti e dei dispositivi OT e IoT e superando i silos
Una prova di stress che ha visto coinvolte 109 banche vigilate direttamente dalla Banca Centrale Europea chiamate a rispondere a un questionario e a sottoporre documentazione all’esame dei responsabili della vigilanza, mentre un campione di 28
Nonostante gli sforzi profusi nel rendere migliore la user experience degli utenti online, Google fa sapere di intraprendere “un nuovo percorso per il Privacy Sandbox sul web”, retrocedendo rispetto alla scelta, ambiziosa, di eliminare i famosi cookie di
The original Nintendo Wii was not a big console, per se, but you could never hope to fit one in your pocket. Or…could you? As it turns out, console modders [Wesk] and …read more
https://hackaday.com/2024/07/26/building-a-keychain-wii-looks-possible/
The original Nintendo Wii was not a big console, per se, but you could never hope to fit one in your pocket. Or…could you? As it turns out, console modders [Wesk] and [Yveltal] reckon they have found a way to make a functional Wii at the keychain scale!
The concept is called the Kawaii, and as you might expect, some sacrifices are necessary to get it down to pocketable size of 60 x 60 x 16 mm. It’s all based around the “Omega Trim,” an established technique in the modding community to cut a standard Wii motherboard down to size. Controllers are hooked up via a dock connection that also provides video out. There’s no Bluetooth, so Wiimote use is out of the question. You can still play some Wii games with GameCube Controllers by using GC2Wiimote, though. The Wii hardware is under-volted to allow for passive cooling, too, with an aluminum enclosure used to shed heat. Custom PCBs are used to handle power and breakouts, which will be open sourced in due time.
The forum post featured an expression of interest for those eager to order aluminium enclosures to pursue their own Kawaii build. Slots quickly filled up and the EOI was soon closed.
As of now, the Kawaii is still mostly conceptual, with images being very compelling renders. However, it relies on established Wii modding techniques, so there shouldn’t be any shocking surprises in the next stage of development. Expect to see finished Kawaii builds in gorgeous machined aluminum housings before long.
We’ve seen some other great Wii portables over the years. The console remains cheap on the used market and was built in great numbers. Thus, it remains the perfect platform for those eager to get their feet wet in the console modding community!
Cats, to those of us who appreciate their company, are fascinating creatures, with their infinite curiosity and playfulness. [Makers Muse] has a pair of half-grown-up kittens, and set out to …read more
https://hackaday.com/2024/07/26/can-cats-solve-puzzl
Cats, to those of us who appreciate their company, are fascinating creatures, with their infinite curiosity and playfulness. [Makers Muse] has a pair of half-grown-up kittens, and set out to provide them with a plaything far better than those the market could offer. The result is the Snak Attak, a gravity puzzle maze that delivers kibble for the cat prepared to puzzle it out.
The point of this exercise isn’t to give kibble but to provide the optimum play experience for a pair of younger cats. The premise is that kibble is held back by a set of wooden pegs each with a temptingly dangly string, and they should after some investigation be able to pull the pegs out and release it. What’s interesting is how the two different cats approach the problem, while one pulls the out as expected, the other pushes them from the back of the device.
The conclusion is that the two cats can indeed solve puzzles, and gain hours of play from the device. An updated version was produced with a few more challenges, and as you can see in the video below the break, it’s captivated their attention. It’s not the first cat toy we’ve brought you by any means, this robotic mouse springs to mind, but it’s certainly upped the ante on feline entertainment.
Sono trascorsi almeno 6 “anni della privacy” a partire dal 2018 in cui si è parlato della figura del DPO. Probabilmente non in modo corretto, nonostante eventi più o meno altisonanti e per lo più autocelebrativi. Lo dimostrano alcune gare d’appalto, fra c
Sono trascorsi almeno 6 “anni della privacy” a partire dal 2018 in cui si è parlato della figura del DPO. Probabilmente non in modo corretto, nonostante eventi più o meno altisonanti e per lo più autocelebrativi.
Lo dimostrano alcune gare d’appalto, fra cui una recentemente caricata sul MEPA per un servizio di DPO per un Comune, che fa venire in mente epoche romane dei celeberrimi Magazzini MAS per l’approccio a favore del low cost.
La richiesta si apre presentando la misura del compenso proposto per l’incarico triennale: il quale ovviamente può essere soggetto a ribassi, per un importo di 15 mila euro che include tutti i costi per l’esecuzione del servizio.
Ovviamente il servizio deve prevedere lo svolgimento dei compiti propri del Data Protection Officer indicati dal GDPR, dettagliati in modo puntuale come di seguito:
informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento europeo e da altre disposizioni dell’Unione relative alla protezione dei dati;
sorvegliare l’osservanza del Regolamento europeo, delle altre disposizioni dell’Unione relative alla protezione dei dati nonché delle politiche del titolare in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’art. 35 del Regolamento;
cooperare con il Garante per la protezione dei dati personali;
fungere da punto di contatto per l’Autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’art. 36 ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione;
guidare e orientare il titolare del trattamento dati nel caso di violazione dei dati, analizzando il rischio e assistendolo nella gestione dell’evento (data breach);eseguire i propri compiti considerando debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento stesso;
riferire al vertice gerarchico del titolare del trattamento o del responsabile del trattamento.
Cosa richiede l’incarico.
Nell’appalto, però, viene richiesta qualcosa di più. O per meglio dire, viene precisato il livello di servizio richiesto nelle modalità di esecuzione: andando così a definire un impegno minimo di presenze per il professionista, che prescinde dalle attività svolte in backoffice. Inoltre, nel prevedere la redazione di pareri senza alcun limite massimo, possiamo dire che ci si trova nel campo dell’ineffabile. Ma si torna presto alla dimensione più materica facendo i conti della serva: si richiede un’attività in presenza di almeno 4 ore x 52 settimane l’anno x 3 anni = 624 ore. E dunque il compenso orario è di ben 24 euro dovendo considerare solo le presenze. Peccato che poi si debbano considerare anche le ulteriori ore da impiegare per la redazione di pareri e per lo svolgimento dei compiti propri del DPO.
E quindi?
Si potrebbe dire che il Comune non abbia fatto bene ma benissimo ad aver formulato una proposta di incarico se qualcuno la accetta e può garantire un livello e una qualità di servizio tali da garantire quanto richiesto all’interno dell’appalto, ovverosia:
conoscenza approfondita del regolamento europeo n. 679/2016 e della prassi in materia di privacy;
conoscenza dello specifico settore di attività e dell’organizzazione del titolare;
capacità di promuovere una cultura della protezione dei dati all’interno dell’organizzazione del titolare.
Si può però dubitare che un professionista con qualità professionali e competenze possa accettare di svolgere un incarico con una tariffa oraria così bassa.
Eppure, siamo certi che non mancheranno offerte.
Nel migliore dei mondi, potremmo declinare una nota canzone di De André immaginando che c’è chi il DPO lo fa per noia, chi se lo sceglie per professione e che qualche affidatario lo fa per passione.
Ma questo non è affatto il migliore dei mondi. E dal punto di vista della data protection e della cultura della privacy, si attesta decisamente ad un livello che possiamo eufemisticamente indicare come sub ottimale. Dopotutto, sono i fatti a parlare. E sono sempre meno confortanti.
L’appello è sempre quello: mandare deserte gare con compensi inadeguati.
Il caso CrowdStrike non è isolato. Numerosi altri episodi hanno visto driver di EDR/AV provocare instabilità nei sistemi operativi. Probabilmente molti se ne sono dimenticati o forse non sono andati a scavare in problematiche analoghe nel tempo, ma è impo
Il caso CrowdStrike non è isolato. Numerosi altri episodi hanno visto driver di EDR/AV provocare instabilità nei sistemi operativi. Probabilmente molti se ne sono dimenticati o forse non sono andati a scavare in problematiche analoghe nel tempo, ma è importante sottolineare che tale incidente non è stato il solo.
In Windows, i driver vengono caricati durante il processo di avvio del sistema operativo. Il caricamento dei driver segue una sequenza ben definita, che dipende dalle esigenze del sistema per garantire che tutte le componenti necessarie siano operative prima che l’utente interagisca con il sistema.
Come abbiamo avuto modo di vedere, analogamente al problema relativo a CrowdStrike, si tratta molto spesso di problemi relativi a driver che girano a basso livello proprio perché una soluzione di sicurezza deve avere un controllo specifico sul sistema operativo. Purtroppo tutti questi incidenti sottolineano l’importanza critica di test su larga scala e di una rigorosa verifica degli aggiornamenti prima del loro rilascio.
È fondamentale creare un catalogo dettagliato di queste soluzioni, effettuando un censimento delle tecnologie altamente diffuse e critiche. Questo catalogo dovrebbe identificare le soluzioni che, a livello di integrazione, hanno il potenziale di compromettere la funzionalità di un sistema per poi definire dei processi su tali soluzioni che ne intensificano le attività di controllo.
Per garantire la massima affidabilità e sicurezza, sarebbe ipotizzabile che tali controlli vengano svolti da entrambe le aziende coinvolte: sia quella che sviluppa il sistema operativo sia quella che fornisce il software di sicurezza.
Questo approccio integrato e collaborativo dovrebbe assicurare dei controlli al di sopra delle parti e su vasta scala, riducendo ulteriormente i rischi e garantendo che le soluzioni di basso livello siano adeguatamente testate e validate prima di essere rilasciate in produzione.
Conclusione: tutti commettono questi errori, l’importante è migliorarsi!
Lo abbiamo visto che, nel corso del tempo, tutti hanno commesso errori di questo tipo, magari essendo più fortunati per la “scala” del problema.
Diventa quindi cruciale focalizzarsi nell’analizzare la storia di questi errori piuttosto che demonizzare le aziende che producono software di sicurezza, in quanto tutte hanno il proprio BSOD nell’armadio.
Tenendo sempre in considerazione che il “rischio zero” none esiste – e questo deve essere ben chiaro – Per prevenire futuri incidenti simili, le aziende dovrebbero adottare misure preventive e più rigorose, garantire una vigilanza costante e promuovere una comunicazione tempestiva con i loro fornitori.
Come sempre la collaborazione premia soprattutto in situazioni di crisi. Inoltre dobbiamo privilegiare un approccio più critico a questi incidenti, attraverso una riflessione più profonda oltre il giudizio immediato.
La società di formazione sulla sicurezza informatica con sede in Florida KnowBe4 ha condiviso un incidente riscontrato di recente. Un hacker nordcoreano si è spacciato per ingegnere del software, ha aggirato tutti i controlli di assunzione e ha ottenuto u
La società di formazione sulla sicurezza informatica con sede in Florida KnowBe4 ha condiviso un incidente riscontrato di recente. Un hacker nordcoreano si è spacciato per ingegnere del software, ha aggirato tutti i controlli di assunzione e ha ottenuto un lavoro presso KnowBe4. Subito dopo ha installato il malware sul computer dell’azienda.
KnowBe4 riferisce che tutto è iniziato quando il suo team di sicurezza ha rilevato attività sospette provenienti dalla workstation di un ingegnere informatico assunto di recente. “Gli abbiamo inviato una workstation Mac e, non appena l’ha ricevuta, ha iniziato immediatamente a scaricare malware”, afferma Stu Sjouwerman, CEO di KnowBe4.
KnowBe4 ha scoperto cosa è successo il 15 luglio 2024, quando il software antivirus ha inviato un avviso di attività anomala sul computer di un nuovo dipendente. Durante l’indagine sull’incidente, ha dichiarato che stava semplicemente cercando di risolvere i problemi con la velocità del router seguendo il manuale, e questo presumibilmente potrebbe aver portato alla segnalazione.
Tuttavia, è diventato subito chiaro che l’insider stava effettivamente utilizzando il Raspberry Pi per scaricare malware, manipolare file di sessione ed eseguire software non autorizzati. Poiché l’insider ha tentato di installare un infostealer sulla macchina, prendendo di mira i dati memorizzati nei browser, si presume che sperasse di estrarre le informazioni rimaste nel sistema dal precedente proprietario.
“Ha usato un Raspberry Pi per scaricare malware. Abbiamo cercato di ottenere informazioni più dettagliate dal dipendente, offrendogli anche di contattarlo telefonicamente, ma ha detto che non era disponibile e in seguito ha smesso di rispondere”, afferma l’azienda. Quella sera l’azienda ha isolato la postazione di lavoro infetta. Si sottolinea che “i sistemi KnowBe4 non sono stati accessibili o compromessi”.
Prima di assumere il dipendente, KnowBe4 ha esaminato il suo background, le referenze fornite e ha condotto quattro interviste video per assicurarsi che fosse una persona reale. Ma in seguito si è scoperto che aveva utilizzato un’identità rubata a un cittadino statunitense per aggirare i controlli e utilizzato strumenti di intelligenza artificiale per creare foto e volti durante le videoconferenze.
Il dipendente, la cui identità è stata falsificata dall’intelligenza artificiale, è l’ennesimo esempio di una serie di centinaia di casi di agenti nordcoreani che si sono infiltrati in aziende americane sotto le spoglie di specialisti IT, ha detto Schuwerman.
Ricordiamo che nel maggio di quest’anno, le forze dell’ordine americane hanno accusato cinque persone (un cittadino statunitense, un ucraino e tre cittadini di altri paesi) per aver partecipato a programmi che consentivano ai cittadini nordcoreani di ottenere lavoro a distanza in società informatiche americane e presumibilmente “portare entrate al programma nucleare della Corea del Nord.”
Il capo di KnowBe4 avverte che lo sconosciuto agente nordcoreano ha dimostrato “un alto livello di sofisticatezza nel creare una copertura plausibile, e ha anche sfruttato i punti deboli nel processo di assunzione e nei controlli dei precedenti”.
The European Commission has initiated infringement procedures for Belgium, Spain, Croatia, Luxembourg, the Netherlands, and Sweden, asking them to comply with the EU's Digital Services Act (DSA), according to a Friday (26 July) press release.
A group of digital rights organisation said that Apple’s plans to comply with the Digital Markets Act (DMA) are ineffective in a submission to the European Commission.
Aylo, Pornhub's parent company, is appealing to the Court of Justice of the European Union (CJEU) to avoid having to disclose the natural names of users in its ad repository, as required by its Digital Services Act (DSA) designation.
L'articolo proviene da #Euractiv Italia ed è stato ricondiviso sulla comunità Lemmy @Intelligenza Artificiale Due commissioni del Parlamento europeo hanno istituito un gruppo di lavoro congiunto per monitorare
@Notizie dall'Italia e dal mondo Il nuovo articolo di @Valori.it Harris si è opposta al fracking e ha indagato Big Oil. Ma da vicepresidente ha fatto poco per il clima. Come si comporterà se sarà eletta? L'articolo Cosa pensa Kamala Harris della crisi climatica? proviene da Valori.
@Politica interna, europea e internazionale Giovanni Toti si è dimesso dalla carica di presidente della Regione Liguria. L’annuncio è arrivato nel mattino di oggi, venerdì 26 luglio, con il governatore agli arresti domiciliari da ottanta giorni, indagato per corruzione e finanziamento illecito ai partiti. “Giovanni Toti – si
@Notizie dall'Italia e dal mondo Da oltre cinque mesi, 25mila braccianti e contadini chiedono migliori condizioni di lavoro e prezzi. L'articolo INDIA. Prosegue la protesta degli agricoltori del Punjab proviene da Pagine Esteri.
Being immunised against shingles has been linked to a reduced dementia risk before and now a study suggests that the newer vaccine wards off the condition more effectively than an older one
George Kurtz, CEO di CrowdStrike, ha dichiarato che oltre il 97% dei sensori di Windows sono stati ripristinati dopo l’interruzione informatica senza precedenti causata da un aggiornamento errato dell’azienda. L’interruzione, avvenuta il 19 luglio, ha por
George Kurtz, CEO di CrowdStrike, ha dichiarato che oltre il 97% dei sensori di Windows sono stati ripristinati dopo l’interruzione informatica senza precedenti causata da un aggiornamento errato dell’azienda.
“Questo progresso è dovuto agli instancabili sforzi dei nostri clienti, dei nostri partner e alla dedizione del nostro team di CrowdStrike”. Ha affermato Kurtz in un post su LinkedIn giovedì. “Tuttavia, sappiamo che il nostro lavoro non è ancora terminato e rimaniamo impegnati a ripristinare ogni sistema interessato”
Delta, la compagnia aerea più colpita, ha dichiarato che “l’affidabilità operativa è tornata alla normalità giovedì mattina” con zero voli cancellati giovedì mattina. Nel complesso, la ripresa è quasi completa, secondo Kurtz.
CrowdStrike ha rivelato che un bug nel processo di convalida per gli aggiornamenti della configurazione di sicurezza che ha causato l’interruzione. L’interruzione è stata definita come la più grande interruzione IT di tutti i tempi con perdite finanziarie dirette stimate a 5,4 miliardi di dollari per le aziende Fortune 500.
Kurz sottolinea una “risposta mirata ed efficace per risolvere il problema”
Kurtz ha sottolineato l’impegno continuo dell’azienda nel ripristinare i sistemi e ha chiesto scusa per l’interruzione causata.
Ha anche delineato le misure future per prevenire simili incidenti. Queste includono miglioramenti nei test delle distribuzioni di contenuti di risposta rapida e un maggiore controllo per i clienti sulla distribuzione degli aggiornamenti.
“Non ci fermeremo finché non raggiungeremo la piena ripresa”, ha concluso Kurtz, promettendo una risposta mirata ed efficace per risolvere il problema. Ha aggiunto “Sono profondamente dispiaciuto per l’interruzione e mi scuso personalmente con tutti coloro che sono stati colpiti. Sebbene non possa promettere la perfezione, posso promettere una risposta mirata, efficace e con un senso di urgenza”.
Gli sforzi di risposta di CrowdStrike, ha aggiunto, sono stati “migliorati grazie allo sviluppo di tecniche di recupero automatico e alla mobilitazione di tutte le nostre risorse per supportare i nostri clienti”.
Kurtz ha anche fatto riferimento alla “Preliminary Post Incident Review” dell’azienda, che descrive in dettaglio le “misure che stiamo adottando per prevenire simili incidenti in futuro”. In futuro, CrowdStrike ha affermato che intende migliorare i test per le distribuzioni di “contenuti a risposta rapida”.
Ciò includerà la scaglionatura delle distribuzioni per i contenuti di risposta rapida, il miglioramento del monitoraggio delle prestazioni dei sensori e dei sistemi e, soprattutto, la fornitura ai clienti di “un maggiore controllo sulla distribuzione dei contenuti di risposta rapida“, ha affermato l’azienda.
@Notizie dall'Italia e dal mondo Dopo 13 anni di carcere e due ai domiciliari, è stata riarrestata lo scorso febbraio insieme a musicisti, attivisti, avvocati L'articolo Due ergastoli all’attivista comunista Ayten Öztürk proviene da Pagine pagineesteri.it/2024/07/26/med…
@Notizie dall'Italia e dal mondo Il nuovo articolo di @Valori.it Per adesso hanno dichiarato di investire in armi Crédit Agricole e BNP Paribas, colossi francesi che controllano diverse banche italiane L'articolo Cade anche l’ultimo tabù: due banche dichiarano di investire in armi proviene da Valori.
