Gli hacktivisti israeliani hanno rivendicato la responsabilità delle attuali interruzioni di Internet in Iran. Il gruppo, noto come WeRedEvils, esiste dall’ottobre 2023 ed è apparso probabilmente in risposta all’attacco di Hamas contro Israele che ha port
Gli hacktivisti israeliani hanno rivendicato la responsabilità delle attuali interruzioni di Internet in Iran. Il gruppo, noto come WeRedEvils, esiste dall’ottobre 2023 ed è apparso probabilmente in risposta all’attacco di Hamas contro Israele che ha portato all’attuale guerra a Gaza.
Sulla loro pagina Telegram, WeRedEvils ha annunciato: “ Nei prossimi minuti attaccheremo sistemi e provider Internet in Iran. Si prevede un colpo potente .” Secondo loro, l’attacco ha avuto successo: sono riusciti a penetrare nei sistemi informatici iraniani, a rubare dati e a causare un’interruzione di Internet. Gli hacktivisti affermano di aver fornito informazioni rubate al governo israeliano.
Come prova, WeRedEvils ha sottolineato che il sito web del Ministero iraniano delle tecnologie dell’informazione e delle comunicazioni (ict.gov.ir) era inattivo, così come la maggior parte degli altri siti web del ministero iraniano che mostrano un errore “tempo di risposta troppo lungo“. Alcuni siti hanno mostrato anche un errore 403, che potrebbe indicare l’accesso negato.
WeRedEvils ha inoltre dichiarato su Telegram: “ Sappiamo che tra voi ci sono sostenitori del Corpo delle Guardie della Rivoluzione Islamica e desideriamo contattarvi personalmente. Smettila di alzare bandiere rosse e inizia ad alzare quelle bianche. Questa follia vi porterà tutti nella pattumiera della storia. L’Iran brucerà, Israele vincerà ”.
Tuttavia, non è noto quanti danni abbiano effettivamente causato WeRedEvils e se siano interamente responsabili delle attuali interruzioni di Internet, data la natura chiusa dell’Iran in tali questioni.
Il gruppo ha anche affermato di aver attaccato la rete elettrica iraniana lo scorso ottobre e di averla messa fuori uso per due ore. I WeRedEvils sono diventati così famosi anche in Israele che a giugno l’agenzia di sicurezza israeliana Shin Bet ha arrestato “diversi membri” del gruppo con l’accusa di spionaggio.
There was a time — not so long ago — when a handheld terminal would have been an expensive and exotic piece of kit. Now, all it takes is a …read more
https://hackaday.com/2024/08/03/linux-handheld-packs-dual-batteries-so-its-never-out-of-juice/
There was a time — not so long ago — when a handheld terminal would have been an expensive and exotic piece of kit. Now, all it takes is a Raspberry Pi and an off-the-shelf TFT display, as [ZitaoTech] shows us. The resemblance to a Blackberry isn’t a coincidence Admittedly, we are now seeing these all over the place, but this build looks well thought out. It looks suspiciously like a Blackberry, which isn’t a bad thing. It also has an interesting dual-battery system that lets you swap between two identical Nokia BL-5C batteries without missing a beat.
The device looks like a Blackberry because it uses the Q10 or Q20 Blackberry keyboard. There is a pass-through switch that lets you use the keyboard and pointer as a USB device on a different host computer.
Rounding out the design are three USB ports, an I2C port, and a TF card slot. Size-wise, the device is about 140 mm tall and 82 mm wide. The thickness is less than 16 mm. Even with the batteries, it weighs a lot less than 200 grams.
In the “Something-you-can-try” directory, there are images for Windows 3.1, mini VMAC, and — of course — DOOM. As you might expect, most of the project is 3D printing the intricate case.
La comprensione di una grazia che non guarda a come siamo, né a cosa abbiamo fatto nella vita è alla base della nostra gioia in Gesù Cristo e cambia il nostro atteggiamento di vita. Come cristiani –alle volte– dobbiamo riscoprire la grazia sovrabbondante di Dio, insieme agli altri fratelli e sorelle, e ricomprenderla nelle varie situazioni della nostra esistenza. Anche se non sono particolarmente facili o affatto gioiose. Ricevendo il messaggio di salvezza, viviamo con gioia e allegria la nostra vita giorno per giorno, ringraziando il Salvatore.
Nel libro degli Atti si vede come l’annuncio dell’evangelo si diffonda a poco a poco oltre le ristretta cerchia dei primi discepoli. Qui c’è un etiope, che nell’idea popolare di allora viveva ai co…
Questa settimana ci concentreremo su importanti sviluppi nel campo della sicurezza informatica che hanno visto interventi significativi delle autorità, nuove minacce emergenti e iniziative per rafforzare le difese. Scopriamo insieme cosa è successo.
Smantellamento della piattaforma di spoofing Russian Coms
Il National Crime Agency (NCA) del Regno Unito ha raggiunto un importante traguardo nella lotta contro le frodi telefoniche smantellando Russian Coms, una piattaforma di spoofing utilizzata per effettuare oltre 1,8 milioni di chiamate fraudolente. Questa operazione, parte di "Operation Henhouse," ha portato all'arresto di 290 individui coinvolti in attività criminali, dimostrando l'impegno delle autorità nel contrastare le frodi e proteggere i cittadini.
NSA introduce la Penetration Testing autonoma con AI
La National Security Agency (NSA) degli Stati Uniti ha svelato una piattaforma di Penetration Testing autonoma alimentata da intelligenza artificiale. Questo strumento è progettato per migliorare la difesa cibernetica dei fornitori dell'industria dell'intelligence, permettendo di identificare e mitigare le vulnerabilità nei sistemi del Defense Industrial Base. L'uso dell'AI consente una valutazione più precisa e continua delle vulnerabilità di rete, proteggendo dati sensibili e classificati dalle minacce cibernetiche.
Nuova iniziativa per rafforzare la cybersecurity federale negli USA
Il Center for Federal Civilian Executive Branch Resilience ha lanciato un'iniziativa per migliorare le difese informatiche delle agenzie federali statunitensi. In risposta a incidenti come l'attacco SolarWinds, questa iniziativa mira a proteggere i lavoratori governativi dai cybercriminali e dagli attacchi di stati-nazione attraverso educazione, soluzioni tecnologiche e raccomandazioni politiche. Un obiettivo chiave è l'adozione di un'architettura di zero trust da parte delle agenzie federali.
Campagne di cyber spionaggio e phishing sofisticato
La scena globale delle minacce informatiche continua a evolversi. Il gruppo APT41, ritenuto composto da cittadini cinesi, ha lanciato una campagna di cyber-spionaggio contro un istituto di ricerca taiwanese, utilizzando malware avanzati come ShadowPad e Cobalt Strike. Allo stesso tempo, falsi siti Google Authenticator promossi tramite Google ads stanno installando malware sui dispositivi degli utenti, mentre una nuova campagna di phishing con il kit Tycoon 2FA utilizza Amazon SES per ingannare le vittime.
Malware e attacchi alle piccole e medie imprese
I cybercriminali stanno prendendo di mira le piccole e medie imprese in Europa con campagne di phishing che utilizzano malware come Agent Tesla e Remcos RAT. Utilizzando account email compromessi, queste campagne diffondono malware attraverso nove ondate di attacchi, cercando di compromettere i sistemi delle aziende e rubare dati sensibili.
Nuove minacce DNS e malware Android
Un nuovo vettore di attacco DNS, chiamato Sitting Ducks, è stato sfruttato da attori di minaccia russi per dirottare oltre un milione di domini. Questo sfruttamento deriva da verifiche inadeguate della proprietà dei domini da parte dei provider DNS. Nel campo della sicurezza mobile, un nuovo malware Android chiamato BingoMod non solo ruba denaro dai conti bancari delle vittime ma cancella anche i dispositivi compromessi.
Aggiornamenti di sicurezza Apple e nuovi ransomware
Apple ha rilasciato aggiornamenti di sicurezza per iOS, macOS, tvOS, visionOS, watchOS e Safari, correggendo numerose vulnerabilità. Nel frattempo, Microsoft ha avvertito che diversi attori ransomware stanno sfruttando una vulnerabilità negli hypervisor ESXi per ottenere permessi amministrativi completi, portando a distribuzioni di ransomware come Akira e Black Basta.
Attacco ransomware a OneBlood e impatto sulla fornitura di sangue
OneBlood, una grande organizzazione di donazione di sangue negli Stati Uniti sudorientali, ha subito un attacco ransomware che ha compromesso la sua capacità di fornire sangue agli ospedali. In risposta, l'organizzazione ha implementato processi manuali e ha chiesto l'attivazione di protocolli di carenza critica di sangue nelle oltre 250 strutture ospedaliere servite. La comunità nazionale della donazione di sangue sta assistendo OneBlood per garantire la fornitura di sangue ai pazienti.
😋 FunFact
Hackerare e sbloccare nel 2024 il primo tablet Amazon basato su MediaTek: Amazon Fire HD6/HD7 del 2014.
In chiusura
Questi eventi recenti sottolineano la natura dinamica e in continua evoluzione delle minacce cibernetiche. La cooperazione internazionale, l'adozione di tecnologie avanzate e l'implementazione di strategie di difesa robuste sono essenziali per affrontare le sfide del panorama della sicurezza informatica.
Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon fine settimana, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec.
Un ricercatore di sicurezza ha scoperto una vulnerabilità nel controllore di un semaforo che potrebbe consentire agli aggressori di modificare i segnali e causare ingorghi. Andrew Lemon di Red Threat ha detto di aver trovato un bug nel dispositivo Intelig
Un ricercatore di sicurezza ha scoperto una vulnerabilità nel controllore di un semaforo che potrebbe consentire agli aggressori di modificare i segnali e causare ingorghi. Andrew Lemon di Red Threat ha detto di aver trovato un bug nel dispositivo Intelight X-1, che consente a chiunque di ottenere il pieno controllo dei semafori. Il motivo è la mancanza di autenticazione sull’interfaccia web dell’apparecchio, accessibile tramite Internet.
Lemon ha provato a replicare uno scenario in cui tutti i semafori a un incrocio diventano verdi, come visto nei film. Tuttavia, un dispositivo chiamato Unità di gestione dei malfunzionamenti previene tali situazioni. Tuttavia, gli aggressori possono modificare gli orari dei semafori, causando problemi fisici come gli ingorghi.
Lemon e il suo team hanno trovato circa 30 dispositivi Intellight vulnerabili accessibili tramite Internet. Ha segnalato il problema a Q-Free, proprietaria di Intellight. Tuttavia, invece di collaborare, Q-Free gli ha inviato una lettera legale, sostenendo che il dispositivo che Lemon aveva analizzato non era più in vendita e che la sua ricerca avrebbe potuto violare la legge sulle frodi informatiche.
La società ha inoltre espresso preoccupazione per il fatto che la pubblicazione della vulnerabilità potrebbe danneggiare la sicurezza nazionale e portare ad attacchi alle infrastrutture. Lemon crede che la compagnia stia cercando di tenerlo tranquillo attraverso minacce legali.
La rappresentante di Q-Free Tricia Tunilla ha osservato che il controller non viene prodotto da quasi dieci anni e ha raccomandato agli utenti di sostituire i vecchi dispositivi con nuovi modelli. Lemon ha anche scoperto che alcuni dispositivi Econolite connessi a Internet utilizzano un protocollo NTCIP potenzialmente vulnerabile. Un portavoce di Econolite ha confermato che questi dispositivi sono ormai obsoleti e tutti gli utenti dovrebbero sostituirli con modelli più recenti.
Gli esperti consigliano di seguire le migliori pratiche per la sicurezza della rete e di limitare l’accesso alle apparecchiature critiche su Internet aperta.
L’uccisione del leader di Hamas, Ismail Haniyeh, messa in atto a Teheran dal governo israeliano va considerata secondo numerosi punti di vista. Intanto, dopo il bombardamento in Yemen e l’aumento delle operazioni in Libano, due Stati sovrani, dovrebbero far considerare l’allargamento del conflitto mediorientale come già in atto. Una fase che, coinvolgendo direttamente, non è la prima volta, l’Iran, finisce col non limitare più i confini reali del conflitto. Ma a quale scopo? Indebolire Hezbollah in Libano come si è fatto con Hamas? Garantire continuità al governo Netanyahu, costi quel che costi? Israele sta subendo in questi mesi numerose e pesanti critiche per il genocidio gazawi, anche da parte di Paesi e di governi considerati amici. Le stesse risoluzioni delle Corti internazionali dell’Aja, (penale e di giustizia), rischiano di costringere Tel Aviv a rapportarsi con meno oltraggio al diritto internazionale. Viene da pensare che questa strategia sia frutto di una scelta autonoma israeliana affinché, indipendentemente da chi sarà il prossimo Presidente USA, ci si trovi davanti ad un fatto compiuto. C’è una guerra in atto su larga scala e l’occidente non può non schierarsi con Israele né far diminuire il proprio sostegno.
Questo permetterebbe di fare carta straccia non solo dei capi di accusa rivolti al governo “dell’unico paese democratico nell’area” (come ancora ci si ostina a dire, ma e soprattutto a impedire qualsiasi prospettiva di risoluzione della questione palestinese. Gli 800 mila coloni in Cisgiordania resterebbero dove sono, Gaza se non si arrende diventerà terra di deportazione o di carestia – drammatico l’aumento dei casi di poliomielite fra i bambini – e Gerusalemme sarà capitale di un solo Stato. Questo a costo di una guerra senza fine. Del resto per gli Usa, indebolire l’Iran, indipendentemente da chi sarà eletto, è da considerare fattore positivo, l’importante è che, anche a costo di far divenire un deserto tanto quel che resta della Palestina che il sud del Libano. Problema non risolto resterebbe il traffico marittimo nel Mar Rosso dove è ancora forte lo spazio e il ruolo della minoranza Houthi. Gli attacchi come quelli condotti da Israele nei giorni scorsi non possono scuotere il Paese, peraltro confinante con gli altri del Golfo e che, non a caso, si stanno irrigidendo anche con gli Usa, in particolare l’Arabia Saudita. Quel tratto di mare è fondamentale, dal punto di vista strategico e commerciale, soprattutto per l’Europa, per Washington, soprattutto se prevarranno spinte isolazioniste, sarà l’ennesima area dimenticata in cui però, ogni giorno, transitano navi commerciali e militari, anche statunitensi.
C’è un secondo punto di vista da tenere in considerazione: per Israele e i suoi alleati, quelle che si stanno effettuando sono “operazioni speciali” contro terroristi. Si combatte contro Hamas, non contro i palestinesi, contro Hezbollah, non contro i libanesi, contro gli Houthi, non gli yemeniti. Una traduzione della lettura del conflitto che non è soltanto formale e linguistica. Si nomina il proprio nemico, lo si fa inserire, anche se si tratta come Hamas ed Hezbollah, nelle liste delle organizzazioni terroriste, pur essendo partiti, con propri statuti, che hanno partecipato ad elezioni e che hanno propri rappresentanti nelle istituzioni. E l’equiparazione partito ostile = organizzazione terroristica, permette di violare senza alcun tipo di restrizione, ogni norma di diritto internazionale.
Un diritto che è divenuto far west 2.0, il leader di Hamas è stato ucciso con un missile ad altissima precisione, così almeno pare, ma che non nasce oggi e da decenni autorizza le potenze imperialiste a operare come giustizieri, (il termine boia sarebbe più adeguato) senza neanche un minimo processo. La storia della seconda metà del XX secolo è costellata di vicende simili, dalle decine di tentativi andati a vuoto per uccidere Fidel Castro a Cuba, agli omicidi degli esuli, realizzati anche in Italia, da agenti delle dittature latino americane incaricate di eliminare chi aveva trovato scampo in Europa. Colpire a distanza, spesso anche con il silenzio complice dei governi in cui erano presenti i rifugiati. Israele, dopo l’attentato sanguinoso alle Olimpiadi di Monaco del 1972, 11 atleti uccisi anche a causa dell’assalto delle teste di cuoio tedesche, decise immediatamente, con l’allora leader Golda Meir di far partire l’operazione “l’Ira di dio”, era, curiosa coincidenza l’11 settembre 1972. E il primo ad essere ucciso fu Wael Zuaiter, intellettuale, pacifista, amico di Moravia e Jean Genet, Ennio Calabria e Giorgio La Pira. Fu ucciso a Roma, il 16 ottobre dello stesso anno. Attivista politico nella sinistra, stava lavorando alla traduzione in italiano de Le mille e una notte. L’uccisione di figure di spicco e di ampia capacità di dialogo, in grado di far conoscere in Europa le ragioni del popolo palestinese, è stato il filo rosso di quella stagione che non si è interrotta neanche dopo gli accordi di Oslo del 1993. Agenti del Mossad hanno colpito indisturbati in Europa e non solo. Omicidi mirati di cui, secondo lo storico il giornalista israeliano Ronen Bergman, sono state uccise, all’estero, da allora, oltre 500 persone. Nel 2018 fece scalpore in Italia il suo volume “Uccidi per primo” che ricostruiva molte di quelle vicende. Negli ultimi anni gli obiettivi sono stati anche dirigenti di Hamas e di Hezbollah e nonostante alcuni smacchi, non si sono fermati. Considerando anche gli omicidi mirati compiuti in Cisgiordania e aggiungendo cittadini siriani o iraniani, si è ormai superata la soglia delle 800 uccisioni, tutte rimaste impunite. Tutte compresa quella di un cameriere arabo, in Norvegia, scambiato per un palestinese, quelle di scienziati, almeno 5 eliminati in maniera diversa in Iran in quanto sospettati di lavorare ad un ordigno nucleare per Teheran, Nel 1997, guarda caso col primo governo Netanyahu, riprende la catena di omicidi e si tenta di avvelenare ad Amman, in Giordania, Khaled Meshal, considerato l’allora leader politico di Hamas. Un triplo errore perché Meshal sopravvive, gli avvelenatori vengono arrestati e il governo Giordano, che aveva da poco firmato gli accordi con Israele, minaccia di stracciarli. Come in una pessima spy story, il governo di Tel Aviv è costretto non solo a mandare l’antidoto al veleno che salva l’esponente politico ma anche a liberare l’allora vero leader spirituale del Movimento di Resistenza Islamica, Hamas, lo sceicco Ahmed Yassin che torna a Gaza accolto come un eroe. I governi israeliani, ormai da oltre 50 anni, dichiarano di “dover condurre” queste azioni perché non si fidano più dei governi europei, ma nel frattempo hanno continuato ad uccidere in Tunisia, Cipro, Turchia, Siria, Yemen, Emirati Arabi. Uno smacco si determina a Dubai nel 2010, quando, nella camera d’albergo, viene soffocato con un veleno un dirigente di Hamas. Ma come in ogni grande albergo ci sono le telecamere che tutto osservano e i killer vengono tutti identificati dall’intelligence degli Emirati.
Rispetto al 1972, gran parte dei Paesi in cui trovano rifugio esponenti palestinesi, sono dotati di tecnologia e di intelligence molto avanzata, non vale più la superiorità che, insieme al comune intento degli Usa e di altri governi UE, sancivano il potere assoluto. Oggi le armi per rispondere colpo su colpo sono in mano a numerosi Stati e ad ogni azione prima o poi corrisponde una reazione, sul piano militare, destinata a far aumentare la tensione. E non è più utilizzabile, continuando con la metafora del western, a elaborare liste di “wanted, dead or alive” ( di vivi ne prendono sempre raramente), il mondo multipolare non permette queste semplificazioni tanto care alla leggenda della vecchia frontiera su cui sono nati gli Usa. Prima o poi si dovrà tornare ad accettare che le soluzioni ai conflitti le può trovare solo la diplomazia, quella reale e non serva di interessi superiori. Ma quanti ne cadranno di leader o di uomini, donne, bambini che non sono neanche nelle liste, prima che questo possa accadere? Pace e tregua diventano perciò ancor più urgenti parole dominanti. Da ultimo, una terribile perplessità. Nel ripercorrere decenni di omicidi extragiudiziali sale un’inquietudine. Chi ci assicura che, avendo opinioni che vengono censurate anche dalle piattaforme social, che sono bandite dal sistema mediatico mainstream di non essere, che so, in quanto comunisti, anche noi un prossimo target su cui apporre la scritta wanted? Se si torna ad essere considerati come non gestibili, nelle nostre ormai caricature di democrazie, anche questo è possibile
Nel panorama dei forum underground disponibile nelle profondità del deep e dark web da pochi giorni sta nascendo un nuovo forum chiamato “Stressed Forums” che mira ad affermarsi nell’ambiente in maniera veloce e molto professionale promettendo di diventar
Nel panorama dei forum underground disponibile nelle profondità del deep e dark web da pochi giorni sta nascendo un nuovo forum chiamato “Stressed Forums” che mira ad affermarsi nell’ambiente in maniera veloce e molto professionale promettendo di diventare un punto di riferimento per chi cerca discussioni e materiale e qualità e fuori dall’ordinario.
Come nasce e quale tecnica di espansione utilizza
Stressed Forum nasce dal progetto Telegram “Stressed Projects Official”. Secondo un’analisi effettuata sul gruppo, l’attività effettiva di scambio di informazioni è iniziata intorno al febbraio 2024. Il canale è diviso in due parti: la prima è dedicata alla condivisione di materiale e aggiornamenti di notizie, mentre la seconda è una chat di gruppo dove gli utenti registrati possono interagire tra loro.
Ad oggi, risultano 602 iscritti alla chat e 468 iscritti al gruppo di condivisione di materiale.
Un messaggio di benvenuto e l’utilizzo del bot disponibile spiegano le regole e gli obiettivi del canale Telegram, invitando inoltre gli utenti a registrarsi sul forum ufficiale Stressed Forums. Le regole sono simili a quelle di molti altri canali, ma una regola aggiuntiva, evidenziata in modo particolare, è l’utilizzo della lingua inglese per comunicare. Questo sottolinea l’internazionalità del canale e suggerisce un obiettivo di espansione globale.
I primi messaggi di modifiche al vecchio forum, chiamato Forum Stressed City, risalgono al 16 aprile 2024. Da allora, i messaggi sono stati poco strutturati, fino a pochi giorni fa, quando su altri canali, come quello di “Hunt3r Kill3rs Group”, sono comparsi messaggi di invito a registrarsi sul sito Stressed Forums. Inoltre, è stato chiesto a chi fosse interessato di contribuire economicamente al sostegno del progetto, promettendo miglioramenti significativi.
Gli inviti si sono diffusi anche in altri gruppi Telegram conosciuti, come CyberVolk e The African Network, dove si parla molto di questo sito underground. L’obiettivo di questi messaggi inoltrati da gruppo a gruppo è sicuramente quello di attirare il maggior numero possibile di persone sul forum, creando un passaparola che aumenti anche la percezione di affidabilità del progetto e del forum stesso.
La struttura del Forum
Il forum si presenta in modo innovativo rispetto ai soliti forum, come ad esempio BreachForums. Si nota subito la presenza di banner pubblicitari che riportano il nome del gruppo hacker Africa Networks, lo stesso nome del canale Telegram che sponsorizza il sito. Questo tipo di attività suggerisce una possibile collaborazione tra African Network e Stressed Projects.
Le categorie proposte variano e aumentano in base ai servizi offerti dagli utenti. Il primo post è stato scritto da un utente chiamato Zulu il 31 luglio 2024.
Oltre ai post e alle categorie, il forum mette a disposizione un calendario dove vengono inseriti gli eventi principali. Ad esempio, il 5 agosto è programmato un evento Giveaway che consiste nel mettere a disposizione un “Free African C2/Api”.
Secondo le statistiche fornite direttamente sul sito web, gli utenti registrati sono 55. Tuttavia, considerando la giovane età del forum, l’attività effettuata su Telegram e i servizi proposti, il numero è destinato a crescere notevolmente.
Conclusioni
La presenza di Stressed Forums sul web e i suoi collegamenti a gruppi e community vere e proprie indicano la tendenza sempre più dominante dei cyber criminali a organizzarsi in veri e propri team, con una suddivisione interna e collaborazioni esterne ben strutturate e gestite come progetti complessi.
Oggi, Stressed Forums si aggiunge ai numerosi forum underground già esistenti. Le categorie che espone non sono una novità assoluta, ma è sempre utile effettuare analisi e ricerche approfondite per rimanere al passo con i cambiamenti e studiare nel migliore dei modi le nuove tecniche di comunicazione e organizzazione utilizzate dai criminali per scambiarsi dati e servizi di vario tipo.
RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.
“Hacktivism, un messaggio speciale di speranza.” Così inizia la “Dichiarazione di Hacktivismo”, pubblicata il 4 luglio del 2001 dal celebre gruppo hacker Cult of the dead Cow (chiamati anche cDc o Omega). “La libertà di parola è sotto assedio ai margini d
“La libertà di parola è sotto assedio ai margini di internet. Parecchi paesi stanno censurando l’accesso al web…”
Inizialmente c’era l’attivismo
Si trattava di quell’attività che tenta di promuovere, impedire, dirigere o intervenire nelle riforme sociali, in quelle politiche ed economiche, con il desiderio principale di avviare dei forti cambiamenti all’interno di una società attraverso manifestazioni, sit-in, scioperi della fame e tanto altro ancora.
A seguito dell’avvento dei microcomputer e l’incremento della “cultura hacker”, si pensò che l’utilizzo dei computer per fini di attivismo, fosse un potente mezzo di protesta, che permettesse una maggiore efficacia. Pertanto dall’unione dei due termini appunto Hacking e Actvivism nacque Hacktivism.
Ma nessuno utilizzò questa parola prima del 1998, quando Omega (pseudonimo di Misha Kubecka), un membro di lunga data dei cDc, la cominciò ad utilizzare come fosse una sorta di battuta. Oxblood Ruffin, un membro dei cDc riporta in un documento: “in origine questa parola era più una battuta o uno scherzo. Ma dal primo momento in cui l’ho sentita dire da Omega, sapevo che avrebbe avuto un significato profondo, non solo per il cDc, ma per milioni di persone su Internet”.
Oxblood Ruffin
La parola Hacktivism inizia a diffondersi nel web
Quasi immediatamente “hacktivism” si diffuse a macchia d’olio. La parola suonava così bella che tutti volevano usarla come un parola di tendenza, anche se i giornalisti e gli attivisti avevano da poco scoperto la posta elettronica. All’improvviso, tutti sono diventati “hacktivist“. Nessuno aveva la più pallida idea di cosa significasse, ma suonava bene dirlo.
Le persone dei cDc principalmente interessate all’hacktivism erano Omega, Reid Fleming, Count Zero, Nightstalker, Tweety Fish e Oxblood Ruffin e ne discutevano sul loro listserv, attraverso e-mail private e alle convention di hacker, uno dei pochi posti in cui si sono incontrati fisicamente.
Fu Reid Fleming che portò sul tavolo la parola hacktivism, qualcosa di unico e nuovo, con quel tocco tecnologico che in quel periodo non guastava affatto. Reid creò hacktivism.org che conteneva una citazione dalla Dichiarazione universale dei diritti umani delle Nazioni Unite (UNDHR). Era l’articolo 19 e diceva: “Ogni individuo ha diritto alla libertà di opinione e di espressione; questo diritto include la libertà di avere opinioni senza interferenze e di cercare, ricevere e diffondere informazioni e idee attraverso qualsiasi media indipendentemente dalle frontiere”.
L’Hacktivista non è motivato da un guadagno economico
E l‘”indipendentemente senza frontiere” era l’elemento focale, il cyberspace è immateriale, come la radio e la televisione. Subito dopo i membri di cDc hanno iniziato a registrare i domini di primo livello. Count Zero ha preso hacktivism.net mentre Fleming prenotò, senza mai finire hacktivism.com.
L’Hacktivista non è motivato da un guadagno economico, ma da tutto ciò che viene considerato come “sbagliato” o “ingiusto”. Le motivazioni includono anche la vendetta, incentivi politici o sociali, ideologia, protesta, il desiderio di mettere in imbarazzo governi e le organizzazioni. Più precisamente, L’hacktivismo è un atto di attivismo sociale o politico che viene realizzato irrompendo e scatenando il caos all’interno di un sistema informatico ritenuto sicuro.
L’hacktivismo di solito è diretto verso obiettivi aziendali o governativi e le persone o i gruppi che svolgono attività di hacktivismo vengono definiti hacktivisti. Si tratta dell’utilizzo della tecnologia come mezzo dell’attivismo. Gli atti di hacktivismo generalmente ostacolano in qualche modo la normale attività dei sistemi causano quelli che chiamiamo “deface” (defacciamento in italiano), o significative perdite di dati.
Deface all’FBI del 22 dicembre 2016
cDc ha da sempre descritto come siamo finiti nel caos in cui ci troviamo oggi, dove i governi e società detengono un potere immenso sugli individui e come stiamo finalmente combattendo. Siamo disgustati da queste gravi violazioni delle informazioni e dei diritti umani. Ma gli hacker non sono disposti a guardare.
Gli attivisti sono criminali informatici? Molte persone la pensano in modo diverso.
Se sei l’unico a beneficiarne, non stai facendo hacking e tanto meno hacktivism.
Tu come la pensi a riguardo?
Di seguito la traduzione in italiano di “A Special Message of Hope” dei Cult Of The Dead Cow (cDc) realizzata da Olivia Terragni. Hacktivismo: uno speciale messaggio di speranza “Rogo internazionale di libri in corso”
4 luglio, 2001, Lubbock, Texas. La libertà di parola è sotto assedio, ai margini di Internet. Un bel po' di paesi stanno censurando l'accesso al Web tramite il filtraggio DNS [Domain Name Service]. Questo è un processo in cui le informazioni politicamente scorrette sono bloccate dall’indirizzo di dominio – il nome che appare prima del suffisso dot com. Altri impiegano il filtraggio che nega politicamente o socialmente temi difficili da affrontare In base al loro contenuto.
Hacktivismo e CULT OF THE DEAD COW hanno deciso che questo è troppo. Siamo hacker e sostenitori della libertà di parola, e stiamo sviluppando tecnologie per sfidare la censura di Internet sponsorizzata dallo stato.
La maggior parte dei paesi utilizza intimidazioni e filtri di un tipo o dell’altro che includono la Repubblica popolare cinese, Cuba e molti paesi islamici. La maggior parte afferma di bloccare i contenuti pornografici. Ma il vero motivo è impedire la diffusione di contenuti impegnativi attraverso regimi repressivi. Ciò include informazioni che vanno dalle opinioni politiche alle notizie "straniere", dalle questioni femminili ai lavori accademici, dalle informazioni religiose a quelle che riguardano i gruppi etnici sfavoriti e le notizie sugli abusi dei diritti umani, documenti che presentano le droghe in una luce positiva, nonché contenuti sui gay e lesbiche, tra gli altri.
La capricciosità della censura statale è di ampia portata.
[1]*Nello Zambia il governo ha tentato di censurare le informazioni rivelando i loro piani per referendum costituzionali.
* In Mauritania – come nella maggior parte dei paesi – i proprietari dei cybercafè sono tenuti a fornire agli agenti dell'intelligence governativa copie della posta elettronica inviati o ricevuti presso i loro stabilimenti.
*Anche governi meno draconiani, come quello della Malesia, hanno minacciato gli editori del web per aver violato le loro licenze di pubblicazione pubblicando aggiornamenti frequenti: le informazioni – tempestive e pertinenti – sono viste come una minaccia.
* La legge sulla sicurezza nazionale della Corea del Sud vieta ai sudcoreani di avere contatti, incluso il contatto su Internet, con i loro vicini nordcoreani.
* Lo Sri Lanka ha minacciato i siti di informazione di possibile revoca delle loro licenze in caso che la copertura di un'elezione presidenziale non sia a favore del partito del presidente uscente.
I rischi connessi all’accesso o alla diffusione delle informazioni sono spesso elevati.
* In Ucraina si ritiene che un corpo decapitato rinventuo vicino al villaggio di Tarachtcha sia quello di Georgiy Gongadze, fondatore ed editore di un quotidiano on-line critico nei confronti delle autorità.
* Nell'agosto del 1998 il diciottenne turco Emre Ersoz fu ritenuto colpevole di "insulto alla polizia nazionale" in un forum Internet dopo aver partecipato ad una manifestazione repressa violentemente dalla polizia. Il suo ISP ha fornito alle autorità il suo indirizzo.
* Il giornalista Miroslav Filipovic ha il triste primato di essere stato il primo giornalista accusato di spionaggio a causa di articoli pubblicati su Internet – in questo caso descrivendo dettagliatamente gli abusi di alcune unità dell'esercito jugoslavo in Kosovo.
Siamo disgustati da queste vergognose violazioni dell'informazione e dei diritti umani. Le democrazie liberali sono di gran lunga migliori a parole che nei fatti sull'accesso alle informazioni. Ma gli hacker non sono disposti a guardare i custodi della Convenzione Internazionale sui diritti civili e politici e della Dichiarazione Universale dei Diritti Umani trasformarsi in una farsa. Noi vogliamo far seguire le parole ai fatti.
Hacktivismo e CULT OF THE DEAD COW pubblicano la HACKTIVISMO DECLARATION come dichiarazione di sdegno e dichiarazione di intenti. È la nostra Magna Carta per il diritto all’informazione. Le persone hanno un diritto ad un accesso ragionevole alle informazioni altrimenti pubblicate legittimamente. Se i nostri leader non sono preparati a difendere Internet, lo siamo noi.
[1] alcune informazioni citate nel presente comunicato stampa erano entrambe parafrasate, o citate direttamente, dal rapporto "Nemici di Internet" pubblicato da Reporters Without Frontiers e può essere trovato su rsf.fr
HACKTIVISMO DECLARATION affermazioni di libertà a sostegno di un internet senza censura
PROFONDAMENTE ALLARMATI che la censura di Internet sponsorizzata dallo stato si stia rapidamente diffondendo tramite l'assistenza delle società transnazionali,
PRENDENDO COME BASE i principi e gli scopi sanciti nell'Articolo 19 della Dichiarazione universale dei diritti umani (UDHR) che afferma, _Ogni individuo ha diritto alla libertà di opinione e di espressione; questo diritto include la libertà di avere opinioni senza interferenze e di cercare, ricevere e impartire informazioni e idee attraverso ogni mezzo e senza riguardo alle frontiere_, e l'Articolo 19 del Patto internazionale sui diritti civili e politici (ICCPR) che afferma,
1. Ogni individuo ha il diritto di avere opinioni senza interferenze.
2. Ogni individuo ha diritto alla libertà di espressione; questo diritto include la libertà di cercare, ricevere e impartire informazioni e idee di ogni genere, senza riguardo alle frontiere, sia oralmente, per iscritto o a mezzo stampa, in forma artistica, o attraverso ogni altro mezzo di sua scelta.
3. L'esercizio dei diritti previsti nel paragrafo 2 di questo articolo comporta doveri e responsabilità speciali. Può quindi essere soggetto a determinate restrizioni, ma queste saranno solo quelle previste dalla legge e necessarie:
(a) Per il rispetto dei diritti o della reputazione altrui;
(b) Per la protezione della sicurezza nazionale o dell'ordine pubblico, o della salute o della morale pubblica.
RICORDANDO che alcuni stati membri delle Nazioni Unite hanno firmato l'ICCPR o l'hanno ratificato in modo tale da impedire ai loro cittadini di utilizzarlo nei tribunali,
CONSIDERANDO che tali stati membri continuano a sopprimere volontariamente l'accesso su vasta scala alle informazioni pubblicate legalmente su Internet, nonostante il chiaro linguaggio dell'ICCPR secondo cui la libertà di espressione esiste in tutti i media,
PRENDENDO NOTA che le multinazionali continuano a vendere tecnologie dell'informazione ai regimi più repressivi del mondo sapendo benissimo che saranno utilizzate per tracciare e controllare una cittadinanza già tormentata,
TENENDO CONTO che Internet sta rapidamente diventando un metodo di repressione piuttosto che uno strumento di liberazione,
TENENDO PRESENTE che in alcuni paesi è un crimine richiedere il diritto di accesso alle informazioni pubblicate legalmente e di altri diritti umani fondamentali,
RICORDANDO che gli stati membri delle Nazioni Unite hanno fallito nel fare pressione sui più eclatanti violatori dei diritti di informazione del mondo a standard più elevati,
CONSAPEVOLI che negare l'accesso alle informazioni potrebbe portare a un declino spirituale, intellettuale ed economico, promozione della xenofobia e alla destabilizzazione dell’ordine internazionale,
PREOCCUPATI che governi e multinazionali siano complici nel mantenere lo status quo,
PROFONDAMENTE ALLARMATI dal fatto che i leader mondiali non siano riusciti a gestire l’informazione su questioni relative ai diritti direttamente e senza equivoci,
RICONOSCENDO l'importanza di lottare contro le violazioni dei diritti umani con rispetto all’accesso ragionevole alle informazioni su Internet,
SIAMO QUINDI CONVINTI che la comunità internazionale degli hacker abbia un imperativo morale ad agire, e noi
DICHIARIAMO:
*QUEL PIENO RISPETTO DEI DIRITTI UMANI E DELLE LIBERTÀ FONDAMENTALI CHE INCLUDE LA LIBERTÀ DI UN ACCESSO EQUO E RAGIONEVOLE ALLE INFORMAZIONI, SIA TRAMITE LA RADIO A ONDE CORTE, LA POSTA AEREA, LA TELEFONIA SEMPLICE, L’INTERNET GLOBALE O ALTRI SUPPORTI.
* CHE RICONOSCIAMO IL DIRITTO DEI GOVERNI DI VIETARE LA PUBBLICAZIONE DI SEGRETI DI STATO ADEGUATAMENTE CATEGORIZZATI, PORNOGRAFIA INFANTILE, E QUESTIONI LEGATE ALLA PRIVACY E AI PRIVILEGI PERSONALI, TRA LE ALTRE RESTRIZIONI ACCETTATE. MA NOI CI OPPONIAMO ALL'USO DEL POTERE STATO PER IL CONTROLLO DELL’ACCESSO ALLE OPERE DI CRITICI, INTELLETTUALI, ARTISTI O RELIGIOSI.
*CHE LA CENSURA DI INTERNET SPONSORIZZATA DALLO STATO ERODE LA PACIFICO E CIVILIZZATA CONVIVENZA, INFLUISCE SULL’ESERCIZIO DELLA DEMOCRAZIA E METTE IN PERICOLO LO SVILUPPO SOCIOECONOMICO DELLE NAZIONI.
*CHE LA CENSURA DI INTERNET SPONSORIZZATA DALLO STATO È UNA FORMA SERIA DELLA VIOLENZA ORGANIZZATA E SISTEMATICA CONTRO I CITTADINI, MIRA A GENERARE CONFUSIONE E XENOFOBIA, ED È UNA VIOLAZIONE RIPROVEVOLE DELLA FIDUCIA.
* CHE STUDIEREMO MODI E MEZZI PER AGGIRARE LA CENSURA DI INTERNET SPONSORIZZATA DALLO STATO E IMPLEMENTERA' TECNOLOGIE PER SFIDARE LE VIOLAZIONI DEI DIRITTI D'INFORMAZIONE.
Pubblicato il 4 luglio 2001 da Hacktivismo e CULT OF THE DEAD COW.
Before the age of lithium batteries, any project needing to carry its own power had to rely on batteries that were much less energy-dense and affordable. In many ways, we …read more
https://hackaday.com/2024/08/02/better-battery-design-through-science/
Before the age of lithium batteries, any project needing to carry its own power had to rely on batteries that were much less energy-dense and affordable. In many ways, we take modern lithium technology for granted, and can easily put massive batteries in our projects by the standards of just a few decades ago. While the affordability of lithium batteries has certainly decreased the amount of energy we need to put in to our projects to properly size batteries, there’s still a lot of work to be done if you’re working on a bigger project or just want to get the maximize the efficiency and effectiveness of your DIY battery pack.
The main problem with choosing a battery, as [ionworks] explains, is that batteries can’t be built for both high energy and high power, at least not without making major concessions for weight or cost. After diving in to all of the possible ways of customizing a battery, the battery guide jumps in to using PyBaMM to perform computational modeling of potential battery designs to hopefully avoid the cumbersome task of testing all of the possible ways of building a battery. With this tool virtually all of a battery’s characteristics can be simulated and potential problems with your setup can be uncovered before you chose (or start production of) a specific battery system.
While customizing a battery pack to this extent might not be a consideration for most of us unless the project is going to be big enough to run something like an electric car or a whole-house generator, it’s a worthwhile tool to know about as even smaller projects like ebikes can benefit from choosing the right cell for the application. Some of the nuances of battery pack design can be found in this guide to building packs from the standard 18650 cells.
Drive-throughs are a popular feature at fast-food places, where you can get some fast grub without even leaving your car. For the fast-food companies running them they are also a …read more
https://hackaday.com/2024/08/02/taco-bell-to-bring-voice-ai-orde
Drive-throughs are a popular feature at fast-food places, where you can get some fast grub without even leaving your car. For the fast-food companies running them they are also a big focus of automation, with the ideal being a voice assistant that can take orders and pass them on to the (still human) staff. This probably in lieu of being able to make customers use the touch screens-equipped order kiosks that are common these days. Pushing for this drive-through automation change is now Taco Bell, or specifically the Yum Brands parent company.
This comes interestingly enough shortly after McDonalds deemed its own drive-through voice assistant to be a failure and removing it. Meanwhile multiple Taco Bell in the US in 13 states and five KFC restaurants in Australia are trialing the system, with results apparently encouraging enough to start expanding it. Company officials are cited as it having ‘improved order accuracy’, ‘decreased wait times’ and ‘increased profits’. Considering the McDonalds experience which was pretty much the exact opposite in all of these categories we will remain with bated breath. Feel free to share your Taco Bell or other Voice AI-enabled drive-through experiences in the comments. Maybe whoever Yum Brands contracted for their voice assistant did a surprisingly decent job, which would be a pleasant change.
Top image: Taco Bell – Vadnais Heights, MN (Credit: Gabriel Vanslette, Wikimedia)
Bright green shelving units suspended with silver hardware from a black frame. They are against a dark wooden wall.
Organizing things in your home or workshop is a constant battle for some of us. Until we have access to a Tardis or bag of holding, maybe t
Organizing things in your home or workshop is a constant battle for some of us. Until we have access to a Tardis or bag of holding, maybe the next best thing is a sliding shelf system.
[HAXMAN] found a great set of sliding shelves online, but after recovering from sticker shock decided he could build something similar for much less. The frame for the shelving was built from 4×4 posts, some 2x4s, and strut channel track welded to steel 2x6s. Aluminum plates bolted to strut trolleys support the weight of the shelving units he built from plywood.
Everything was painted with a multi-material paint formulated for covering both wood and metal so everything has a uniform appearance. We love the bright shelving offset by the more classic black appearance of the rack. Just because its storage, doesn’t mean it has to look boring!
Ma i soldi per le armi e da regalare all'UE e a tutta la banda m@fiosa, ci sono sempre. Mancano le stecche: gamba ingessata con il cartone imolaoggi.it/2024/08/02/mancan…
Metrology fans are usually at least a little bit in love with Mitutoyo, and rightfully so. The Japanese company has been making precision measuring instruments for the better part of …read more
https://hackaday.com/2024/08/02/custom-hat-gives-vintage-mit
Metrology fans are usually at least a little bit in love with Mitutoyo, and rightfully so. The Japanese company has been making precision measuring instruments for the better part of 100 years, and users appreciate their precision almost as much as the silky smooth feel of their tools. If you can afford it, a Mitutoyo caliper is quite an addition to your toolbox.
As good as they are, though, they’re not perfect, which is what led to this clever Mitutoyo digital caliper hack by [turbanedengineer]. The calipers in question, a digital set from the early 1980s, happen to have a unique history with a tangential Hackaday angle — they belonged to [Dhaval], mechanical engineer and avid motorcyclist who happens to be the late elder brother of our own [Anool Mahidharia].
The tool, in need of a little TLC, made its way to [turbanedengineer] who first restored the broken battery contacts. Once powered up again, it became apparent that while the caliper’s native metric measurements were spot on, the internal conversion to inches was considerably off. This led [turbanedengineer] to the data port on the tool, which is intended to send serial data to an external computer for logging measurements. After a little experimentation to nail down the data format, he prototyped a tiny circuit using an ATtiny85 and an OLED display that reads the caliper data, converts metric to inches, and displays both measurements on the screen. The prototype led to a more permanent version, which cleverly sits over the original display and taps into the data port without any free wires. The video below shows the very slick results.
Our hearts go out to [Anool] and his family for their loss, and we tip our hats to [turbanedengineer] for his thoughtful and respectful hack of a storied tool. We know that anthropomorphizing tools makes no rational sense, but we think it’s safe to say that a tool like this has a soul, and it’s probably happy to be back in the game.
We’ve said it before and we’ll say it again: water always finds a way in. That’s particularly problematic for things like wire splices in damp environments, something that no amount …read more
https://hackaday.com/2024/08/02/over-molding-wires-with-hot-g
We’ve said it before and we’ll say it again: water always finds a way in. That’s particularly problematic for things like wire splices in damp environments, something that no amount of electrical tape is going to help. Heat shrink tubing might be your friend here, but for an electrically isolated and mechanically supported repair, you may want to give over-molding with a hot glue gun a try.
The inspiration for [Print Practical]’s foray into over-molding came from a video that’s making the rounds showing a commercially available tool for protecting spliced wires in the automotive repair trade. It consists of a machined aluminum mold that the spliced wires fit into and a more-or-less stock hot glue gun, which fills the mold with melted plastic. [Print Practical] thought it just might be possible to 3D print custom molds at home and do it himself.
His first attempt didn’t go so well. As it turns out, hot glue likes to stick to things — who knew? — including the PETG mold he designed. Trying to pry apart the mold after injection was a chore, and even once he got inside it was clear the glue much preferred to stay in the mold. Round two went much better — same wire, same mold, but now with a thin layer of vegetable oil to act as a release agent. That worked like a charm, with the over-mold standing up to a saltwater bath with no signs of leaking. [Print Practical] also repaired an iPhone cable that has seen better days, providing much-needed mechanical support for a badly frayed section.
This looks like a fantastic idea to file away for the future, and one that’s worth experimenting with. Other filament types might make a mold better able to stand up to the hot glue, and materials other than the ethylene-vinyl acetate copolymer found in most hot glue sticks might be explored. TPU over-molds, anyone? Or perhaps you can use a printer as an injector rather than the glue gun.
FOLLE DIVIETO CANNABIS LIGHT: UN DANNO PER TANTE IMPRESE
“Il divieto che il governo ha inserito nel ddl sicurezza è una follia oscurantista che, se approvata, colpirebbe una filiera produttiva importante e in crescita”, dichiara Maurizio Acerbo, segretario nazionale del Partito della Rifondazione Comunista. “Per questo ho invitato due operatori del settore a intervenire in conferenza stampa per dare voce a chi lavora e investe”.
Domani, sabato 3 agosto, alle 11,30 presso sede PRC a Pescara in via Giulio Tedesco 8
CONFERENZA STAMPA
Interverranno: Maurizio Acerbo, segretario nazionale di PRC Lucio Boschi, Mario Muzii coordina Viola Arcuri, co- segretaria regionale PRC
FOLLE DIVIETO CANNABIS LIGHT: UN DANNO PER TANTE IMPRESE "Il divieto che il governo ha inserito nel ddl sicurezza è una follia oscurantista che, se approvat
I ricercatori di CISPA , SBA Research e dell’Università di Vienna hanno scoperto due vulnerabilità nel protocollo mobile Voice over WiFi (VoWiFi) che compromettono la sicurezza delle comunicazioni per milioni di utenti di telefoni cellulari in tutto il mo
I ricercatori di CISPA , SBA Research e dell’Università di Vienna hanno scoperto due vulnerabilità nel protocollo mobile Voice over WiFi (VoWiFi) che compromettono la sicurezza delle comunicazioni per milioni di utenti di telefoni cellulari in tutto il mondo. Al momento, le carenze sono state eliminate, ma gli scienziati hanno parlato della loro scoperta.
Gli smartphone moderni possono stabilire connessioni telefoniche non solo tramite reti mobili, ma anche tramite Wi-Fi ( chiamate WLAN ), fornendo la comunicazione anche in luoghi con segnale debole.
Dal 2016 quasi tutti i principali operatori di telefonia mobile offrono le chiamate Wi-Fi, preinstallate su tutti i nuovi smartphone. Architettura per Telefonate da portatile (UE) a centrale (IMS): confronto tra connessione VoLTE e VoWiFi
Le vulnerabilità hanno interessato i servizi di 13 dei 275 operatori di telefonia mobile studiati, compresi operatori di Austria, Slovacchia, Brasile e Russia, mettendo a rischio la sicurezza delle comunicazioni di circa 140 milioni di clienti.
L’errore è correlato a un importante componente di rete nell’architettura delle reti LTE e 5G: Evolved Packet Data Gateway (ePDG). Per le chiamate WLAN lo smartphone deve registrarsi sulla rete principale dell’operatore. Per garantire che ciò avvenga in modo sicuro, vengono stabiliti tunnel IPsec tra il dispositivo e ePDG.
I tunnel IPsec vengono creati in più fasi. La sicurezza delle comunicazioni è garantita principalmente attraverso lo scambio di chiavi crittografiche mediante il protocollo Internet Key Exchange (IKE). Le chiavi devono essere private e casuali, ma gli operatori non rispettano queste condizioni.
13 operatori hanno utilizzato lo stesso set di 10 chiavi private statiche anziché impostarne di nuove e casuali. Un malintenzionato in possesso di queste chiavi potrebbe facilmente intercettare le comunicazioni tra smartphone e operatori. Hanno accesso alle chiavi tutti gli operatori interessati, il produttore ed eventualmente i servizi di sicurezza di ciascun paese. Anche le reti del provider cinese ZTE erano minacciate.
I ricercatori hanno anche scoperto che molti nuovi chip (compreso il 5G) del produttore taiwanese MediaTek , utilizzati in alcuni smartphone Android di Xiaomi, Oppo, Realme e Vivo, presentano un’altra vulnerabilità.
Il chip funziona con la carta SIM per registrare gli utenti sulla rete mobile utilizzando VoWiFi. Gli scienziati hanno scoperto che il livello di crittografia lato smartphone può essere ridotto al minimo mediante attacchi mirati. Dall’analisi delle configurazioni di altri produttori, Google, Apple, Samsung e Xiaomi, è emerso che fino all’80% dei casi utilizzavano metodi crittografici obsoleti.
I ricercatori non possono confermare quanti utenti in tutto il mondo siano stati effettivamente colpiti dagli attacchi o siano stati intercettati. Gli scienziati hanno segnalato il problema al GSMA e ai relativi fornitori, dando loro l’opportunità di sviluppare aggiornamenti. Gli aggiornamenti sono già stati rilasciati. Solo dopo una divulgazione responsabile i ricercatori hanno pubblicato il loro lavoro al Simposio sulla sicurezza USENIX del 2024, rendendo i loro risultati disponibili ad altri ricercatori.
Vulnerabilità:
CVD-2024-0089 – Riconoscimenti della ricerca sulla sicurezza mobile GSMA;
@Politica interna, europea e internazionale “Sono profondamente e personalmente colpita dagli attacchi ingiustificati e fuori misura che sono stati rivolti, in questa giornata di commemorazione, alla sottoscritta e al Governo. Sostenere che le “radici di quell’attentato oggi figurano a pieno titolo nella destra di
In this episode, the CrowdStrike fiasco has Hackaday Editors Elliot Williams and Tom Nardi pondering the fragility of our modern infrastructure. From there the discussion moves on to robotic sailboats, …read more
https://hackaday.com/2024/08/02/hackaday-
In this episode, the CrowdStrike fiasco has Hackaday Editors Elliot Williams and Tom Nardi pondering the fragility of our modern infrastructure. From there the discussion moves on to robotic sailboats, the evolving state of bespoke computers, and the unique capabilities of the Super Nintendo cartridge. You’ll also hear about cleaning paintings with lasers, the advantages of electronic word processors, stacking 3D printed parts, and the joys of a nice data visualization. They’ll wrap the episode up by marveling at the techniques required to repair undersea fiber optic cables, and the possibilities (and frustrations) of PCB panelization using multiple designs.
Check out the links below if you want to follow along, and as always, tell us what you think about this episode in the comments!
A circular concrete pond in a garden. A small round fountain jets water out in the center and a solar panel and control box are visible attached to the end of the pond opposite the camera. On the top left is the text, "3D printed, Solar powered, and Ardui
Sometimes off-the-shelf solutions to a problem don’t meet your expectations. That’s what led [TomGoff] to build his own solar pond fountain.
This build features a lot of creative reuse of materials [TomGoff] already had on hand, like the end of a cable reel for the platform and a wheelbarrow inner tube for flotation. A 3D printed nozzle in the center of this apparatus is attached to a 12 V water pump and the whole thing is controlled by an Arduino running 30 seconds on and 3 minutes off to conserve battery power.
A hand-built perfboard contains a light dependent resistor (LDR) to tell the Arduino not to run at night, the relay for the pump, and a battery charge monitor. Be sure to check out the full write-up to see the video of the Tinkercad electronics simulation as well as the code. A 20 W solar panel keeps the whole thing charged so you don’t have to run mains power out to your pond.
It’s a bit of bitter irony, when a security product gets used maliciously, to pull off the exact attack it was designed to prevent. Enter Proofpoint, and the EchoSpoofing attack. …read more
https://hackaday.com/2024/08/02/this-week-in-security-echospoofi
It’s a bit of bitter irony, when a security product gets used maliciously, to pull off the exact attack it was designed to prevent. Enter Proofpoint, and the EchoSpoofing attack. Proofpoint offers an email security product, filtering spam and malicious incoming emails, and also handling SPF, DKIM, and DMARC headers on outgoing email. How does an external service provide those email authentication headers?
One of the cardinal sins of running an email server is to allow open relaying. That’s when anyone can forward email though an SMTP server without authentication. What we have here is two nearly open relays, that wound up with spoofed emails getting authenticated just like the real thing. The first offender is Microsoft’s Office365, which seems to completely skip checking for email spoofing when using SMTP relaying from an allowed IP address. This means a valid Office365 account allows sending emails as any address. The other half relies on the way Proofpoint works normally, accepting SMTP traffic from certain IP addresses, and adding the authentication headers to those emails. There’s an option in Proofpoint to add the Microsoft Office 365 servers to that list, and apparently quite a few companies simply select that option.
The end result is that a clever spammer can send millions of completely legitimate looking emails every day, that look very convincing even to sophisticated users. At six months of activity, averaging three millions emails a day, this campaign managed just over half a billion malicious emails from multiple high-profile domains.
The good news here is that Proofpoint and Guardio discovered the scheme, and worked with Microsoft to develop the X-OriginatorOrg header that is now applied to every email sent from or through the Office365 servers. This header marks the account tenant the email belongs to, giving vendors like Proofpoint a simple way to determine email validity.
Ransomware Gets Bigger
It’s not just spam emails that posted eye-watering numbers this year. We’ve broken the record for the biggest ransomware payment, too. Zscaler is reporting a $75 million ransom payment from a “Fortune 50” company. Reading the tea leaves indicates Cencora as a likely candidate, as this pharmaceutical giant was hit by an attack in February, and none of the usual suspects ever claimed responsibility. This leads one to suspect that it was the Dark Angels ransomware operation.
The Linux CNA, with a Grain of Salt
One of the interesting recent security developments is the proliferation of CNAs, CVE Numbering Authorities, particularly among Open Source projects. Part of the reason is the growing prevalence of CVE issued on bogus bugs, or with completely overblown CVSS scores. One of these new CNAs is the Linux Kernel itself, which has taken an odd approach to handing CVEs: Every bug gets one. On one hand, the kernel developers make a valid point that in kernel land, basically any bug can be a vulnerability. And it’s certainly one way to put the pressure on vendors to use more up-to-date kernel releases. On the other hand, Linux is now the most prolific CNA measured in CVEs generated each year.
The situation does not sit well with everyone. Grsecurity has published a case study on CVE-2021-4440, that highlights some issues. The emphasis here seems to be that the kernel team uses a lot of automation tools to manage CVEs, and these tools aren’t always great at accuracy or clarity. Now one thing to keep in mind, grsecurity in particular has had a rocky relationship with the upstream kernel, so a grain of salt might be taken with this one. Regardless, it seems like the kernel is experiencing some growing pains, as it comes into its new role as CNA.
Github Adds Attestation
Github has added a new attestation feature, presumably spurred by the XZ attack. Github Attestations are a cryptographic proof that a tarball or binary was built from the source code publicly available, and hasn’t been tampered with. This has been out for about a month now, and this week is joined by a quick starter guide to publishing attestations with everything a project releases. There’s also a Kubernetes project that only allows running images that have valid attestations in place, which is handy!
ZDI on Windows
ZDI has some interesting coverage of some recently discovered vulnerabilities in antivirus products, all around the idea of link following. Put simply, what if an antivirus detects a malicious file, but before it can delete that file, an attacker switches the file out with a filesystem link to a different file? In many cases, the antivirus follows the link and deletes something it shouldn’t. Part two is some more advanced ways to pull off this trick, like using NTFS Alternate Data Streams to trick the antivirus into action.
While we’re talking ZDI disclosures, there’s a Deep Sea Electronics communication module that had some problems, like a configuration backup endpoint that has no authentication check. There are a couple of other endpoints missing authentication, as well as trivial Denial of Service situations. Unfortunately this is a case where the vendor dropped the ball, and these vulnerabilities are assumed to be unpatched for this device.
Bits and Bytes
The unfortunate state of mobile applications is that just because it’s published on an official app store, there is no guarantee that an app is safe. Mandrake was first seen in 2016, with several waves of malicious activity, to disappear for a couple years. It’s back, and has eluded notice til very recently. I was intrigued by the idea that it excluded 90 countries from being targeted, and found this in the source document: “It avoids running in low income states, African nations, former Soviet Union countries or predominantly Arabic-speaking nations.”
While it didn’t rise to the Crowdstrike level, Microsoft had an Azure outage this week, that caused some headache. It turns out it was a DDoS attack, and Microsoft’s own Denial of Service mitigation tooling amplified the attack instead of mitigating it. Decidedly non-ideal.
Kamala Harris, la retorica neoliberale dell’intersectional capitalism e la “democrazia” americana l L'Antidiplomatico
"Sappiamo benissimo che, in qualunque caso, chiunque vinca porterà avanti senza fine le volontà dell'unipolarismo a trazione atlantista e le sue guerre senza variazioni sostanziali di programma tra Repubblicani e Democratici. Nonostante ciò tutta l'euro-anglo-sfera si fa continuamente abbindolare, affascinare e appassionare dalle campagne elettorali USA come se fossero un evento unico nel suo genere, mentre in realtà sono solo un fenomeno scontato e prevedibile, oltre ad essere un prodotto di comunicazione politica in nome del marketing pubblicitario."
Most people love lasers, because they can make cats chase, read music from a shiny disc, etch and cut materials, and be very shiny in Hollywood blockbusters, even when their …read more
https://hackaday.com/2024/08/02/getting-a-laser-eye-injury-and-how-to
Most people love lasers, because they can make cats chase, read music from a shiny disc, etch and cut materials, and be very shiny in Hollywood blockbusters, even when their presence makes zero sense. That said, lasers are also extremely dangerous, as their highly focused nature and wide range of power levels can leave a person dazzled, blinded or dead from direct and indirect exposure. A lapse in laser safety was how [Phil Broughton] ended up with part of his retina forever marked, as he describes his adventures with an overly enthusiastic laser company sales person. Quanta Ray PRO350 with frequency doubling, emitting a 532 nm beam – Sales brochure image from Quanta Ray, unknown date It didn’t take much, just this sales person who made a really poor decision while trying to please some customers and nearly ended with multiple adults, a local school, pilots at a nearby airfield getting their retinas blasted out due to an absolutely harebrained idea to use a fairly high-powered Quanta-Ray Nd:YAG laser on reflective surfaces in the open.
This was in 1999, and fortunately [Phil] only suffered some fairly minor damage to his retina from the laser beam reflection. What happened to the customers (who wore argon laser safety glasses) or the sales critter (who left soon after) is not described, but both may have received some bad news when they had their eyes checked shortly after after at the ophthalmologist.
These kind of stories are a stark reminder that laser safety is not optional. Lasers producing a visible (400 – 700 nm) wavelength above Class 2 should only be operated in a fully secured environment, with safety glasses for the appropriate laser wavelength. Class 2 lasers producing a non-visible wavelength can cause permanent damage because the blink reflex of the eye does not offer any protection here.
As even some dodgy laser pointers are being (illegally) sold online are actually Class 2, this should make it clear that laser eye injury can happen to anyone, and it only takes a second to change someone’s life forever.
Quest’anno la competizione hacker Pwn2Own si terrà per la prima volta in Irlanda. È già noto che verrà offerta una ricompensa di 300.000 dollari per explot 0click del messenger WhatsApp. Gli specialisti della Trend Micro Zero Day Initiative (ZDI) hanno an
Quest’anno la competizione hacker Pwn2Own si terrà per la prima volta in Irlanda. È già noto che verrà offerta una ricompensa di 300.000 dollari per explot 0click del messenger WhatsApp.
Gli specialisti della Trend Micro Zero Day Initiative (ZDI) hanno annunciato che il prossimo Pwn2Own si terrà in Irlanda, dal 22 al 25 ottobre 2024. Il concorso si è svolto per molti anni presso l’ufficio Trend Micro di Toronto, ma ora questo ufficio ha chiuso e l’evento ha dovuto trovare una nuova sede.
È stato inoltre riferito che Meta si è unito a Pwn2Own come sponsor quest’anno. Di conseguenza, l’azienda è pronta a offrire fino a 300.000 dollari per exploit0-day/0-click mirati al messenger WhatsApp.
In confronto, il rinomato broker di exploit Zerodium offre attualmente fino a 1 milione di dollari per un exploit WhatsApp che consentono l’esecuzione di codice da remoto e l’escalation dei privilegi locali. Gli exploit zero-click possono costare fino a 1,5 milioni di dollari.
Inoltre, su Pwn2Own Ireland verranno offerti grandi premi per exploit per vari smartphone. Ad esempio, le vulnerabilità di Pixel 8 e iPhone 15 possono costare agli hacker fino a 250.000 dollari e, se la catena di exploit include l’accesso a livello di kernel, fino a 300.000 dollari.
Anche i bug nel Samsung Galaxy S24 hanno un valore di ben 50.000 dollari.
Anche quest’autunno gli specialisti della sicurezza informatica concorreranno per i seguenti premi:
gli exploit per gli hub di casa intelligente (prodotti di AeoTec, Apple, Amazon e Google) possono portare esperti da 40.000 a 60.000 dollari;
nella categoria Sistemi di videosorveglianza, i partecipanti possono guadagnare fino a 30.000 dollari per le soluzioni di hacking di Lorex, Nest, Synology, Ubiquiti e Arlo;
le vulnerabilità nelle stampanti HP, Lexmark e Canon sono stimate a 20.000 dollari, e per gli altoparlanti intelligenti di Sonos, Google e Amazon a 60.000 dollari;
I membri di Pwn2Own Ireland potranno anche guadagnare 40.000 dollari per l’hacking del NAS (inclusi Synology, TrueNAS e QNAP).
Ricordiamo che al Pwn2Own dell’anno scorso i ricercatori hanno guadagnato più di un milione di dollari USA con un totale di 58 vulnerabilità zero-day uniche scoperte.
LAGOS, Nigeria – Almeno sette persone sono state uccise in Nigeria durante le proteste a livello nazionale contro l’aumento del costo della vita e il malgoverno. Migliaia di
@Notizie dall'Italia e dal mondo Sono disperse, fatte schiave, rifugiate nelle tendopoli o morte in cattività molte delle persone catturate o cacciate durante il terribile attacco dello Stato islamico a Shengal, che ebbe inizio il 3 agosto 2014. L'articolo Dieci anni dopo il massacro di Shengal gli
@Notizie dall'Italia e dal mondo Il nuovo articolo di @valori Il Wwf propone l’Isbt (Independent Science Based Taxonomy), tassonomia fondata su parametri rigorosi e non su valutazioni politiche o lobbistiche L'articolo Il Wwf propone una nuova tassonomia, indipendente e innovativa proviene da Valori.
@Informatica (Italy e non Italy 😁) Dopo l’incidente informatico che ha coinvolto 8,5 milioni di dispositivi in tutto il mondo, l’azienda americana di sicurezza informatica CrowdStrike, è stata citata in giudizio dai suoi azionisti. La causa accusa l’azienda di aver fatto dichiarazioni “false e
@Politica interna, europea e internazionale A margine dei Giochi di Parigi, la presidente del Consiglio italiana Giorgia Meloni ha avuto un incontro con il presidente del Cio Thomas Bach. I due hanno discusso del caso della pugile algerina Imane Khelif, dopo le perplessità avanzate da diversi esponenti del Governo italiano
@Elezioni e Politica 2024 Questa manfrina è umiliante per tutti i coinvolti. Quelli che dimostrano di che pasta son fatti blaterando che "è un uomo", il CIO che si trova costretto a fare anche da insegnante e gli atleti colpiti da certe osservazioni burine.
Una catastrofica combinazione di guerra, sfollamento e limitazioni all’accesso umanitario ha provocato la carestia in un campo che ospitava centinaia di migliaia di sfollati nel Nord Darfur. La situazione nel campo di Zamzam –
An odd looking apparatus for cleaning floppy disks. A neon green disk tray is suspended on metal linear rails in a vertical orientation. It can move back and forth through a set of cleaning heads and a set of drying fans. There are some control buttons on
Floppies were once the standard method of information exchange, but decades of storage can render them unreadable, especially if mold sets in. [Rob Smith] wanted to clean some floppies in style and made a Disco Rube Goldberg-Style device for the job.
Starting with a disk caddy on linear rails, [Smith] has a track for the floppy to follow. First it goes through a set of pads with cleaning solution on them, and is then dried off with heating elements. To make it more fun, the device has LEDs and a set of speakers at the bottom to treat the disk to a more complete car wash-esque experience.
Cotton swabs and a cleaning solution are all you really need to do the job by hand, but if you have a lot of floppies, that can get tedious quickly. [Smith] compares his machine’s performance to doing it by hand with both IPA and a dish soap solution showing that his machine does indeed clean the disks and usually makes them more readable than they were before. He cautions that it might be best to make multiple copies of the disk during the cleaning process as it isn’t always constructive though.
Durante delle analisi di sicurezza effettuate su alcuni prodotti di vari vendor, il Red Team Research di TIM (RTR), ha rilevato 7 nuove vulnerabilità 0day. Il Red Team Research è il laboratorio di ricerca dei bug di sicurezza non documentati sviluppato al
Durante delle analisi di sicurezza effettuate su alcuni prodotti di vari vendor, il Red Team Research di TIM (RTR), ha rilevato 7 nuove vulnerabilità0day. Il Red Team Research è il laboratorio di ricerca dei bug di sicurezza non documentati sviluppato all’interno di Telecom Italia Mobile.
RTR opera attraverso il processo di Coordinated Vulnerability Disclosure (CVD), quel processo che consente ai vendor di prodotto di implementare le patch di sicurezza prima della diffusione pubblica e quindi prima della quotazione della severity della CVE effettuata dal NIST degli Stati Uniti D’America.
Si tratta di 7 vulnerabilità emesse su tre differenti prodotti, tra i quali OpenText Vertica, Livebox e Italtel. Di seguito l’elenco completo delle CVE Emesse sui vari Vendor:
Nel dettaglio, le principali vulnerabilità rilevate sono le seguenti:
Credits: Gabriele Duchi, Davide Brian Di Campi, Tiziano Di Vincenzo, Massimiliano Brolli
Certain functionality in OpenText Vertica Management console might be prone to bypass via crafted requests. The vulnerability would affect one of Vertica’s authentication functionalities by allowing specially crafted requests and sequences.
OpenText Vertica Management Console è uno strumento di gestione e monitoraggio per il database analitico Vertica. Fornisce un’interfaccia utente grafica che consente agli amministratori di database di eseguire attività come configurazione, monitoraggio delle prestazioni, gestione degli utenti e manutenzione del sistema. La console è stata progettata per semplificare la gestione e ottimizzare le operazioni relative al database.
CVE-2022-45171– Livebox Collaboration vDesk
Vulnerability Description: Unrestricted Upload of File with Dangerous Type – CWE-434
Credits: Massimiliano Ferraresi, Andrea Carlo Maria Dattola, Luca Borzacchiello, Mario Cola, Massimiliano Brolli
An issue was discovered in LIVEBOX Collaboration vDesk through v018. An Unrestricted Upload of a File with a Dangerous Type can occur under the vShare web site section. A remote user, authenticated to the product, can arbitrarily upload potentially dangerous files without restrictions.
Livebox Collaboration vDesk è una piattaforma di collaborazione aziendale che offre strumenti per comunicazione, condivisione di file e gestione dei progetti. Consente ai team di lavorare insieme in tempo reale, attraverso chat, videoconferenze e condivisione di documenti. La piattaforma è progettata per facilitare il lavoro remoto e la collaborazione tra membri del team, indipendentemente dalla loro posizione geografica.
Di seguito vengono elencati I bug hunter che hanno riscontrato le varie vulnerabilità:
Massimiliano Ferraresi
Andrea Carlo Maria Dattola
Luca Borzacchiello
Mario Cola
Luca Carbone
Fabio Romano
Gabriele Duchi
Davide Brian Di Campi
Tiziano Di Vincenzo
Il Red Team Research di TIM
Il Red TIM Research (o Red Team Research), è uno tra i pochi centri italiani di ricerca sui bug di sicurezza, nato da una idea di Massimiliano Brolli nel 2018. In questo laboratorio da diverso tempo vengono effettuate attività di “Bug hunting” che mirano alla ricerca di vulnerabilità non documentate. Le attività condotte dal team, portano ad una successiva emissione di CVE sul National Vulnerability Database degli Stati Uniti D’America, terminato il percorso di Coordinated Vulnerability Disclosure (CVD) con il vendor del prodotto.
Nel corso di 6 anni di attività, il Red Team Research ha rielevato moltissimi bug 0-day su prodotti best-in-class e big vendor di valenza internazionale, come ad esempio Oracle, IBM, Fortinet, F5, Ericsson, Red Hat, Nokia, Computer Associates, Siemens, F5, Fortinet, QNAP, Johnson & Control, Schneider Electric, oltre ad altri fornitori su tipologie differenti di architetture software/hardware.
Nel corso del tempo, sono stati emessi oltre 110 CVE, dove più di 10 risultano con severità Critical (9,8 di score CVSSv3).
Relativamente ad una vulnerabilità rilevata dal gruppo di ricerca sul prodotto Metasys Reporting Engine (MRE) Web Services, del fornitore Johnson & Control, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti D’America, ha emesso un avviso di sicurezza riportando come Background i settori quali: “CRITICAL INFRASTRUCTURE SECTORS, COUNTRIES/AREAS DEPLOYED e COMPANY HEADQUARTERS LOCATION”.
Si tratta di una realtà tutta italiana che emette una CVE con costanza, contribuendo in maniera fattiva alla ricerca delle vulnerabilità non documentate a livello internazionale. RTR si sta distinguendo a livello paese sull’elevata caratura delle attività svolte, oltre a contribuire all’innalzamento dei livelli di sicurezza dei prodotti utilizzati da organizzazioni e singole persone.
Un nuovo malware Android chiamato BingoMod è in grado di rubare denaro dai conti bancari delle vittime e quindi distruggere i dati sui dispositivi infetti. Il malware si diffonde tramite messaggi SMS e finge di essere un prodotto di sicurezza per i dispos
Un nuovo malware Android chiamato BingoMod è in grado di rubare denaro dai conti bancari delle vittime e quindi distruggere i dati sui dispositivi infetti. Il malware si diffonde tramite messaggi SMS e finge di essere un prodotto di sicurezza per i dispositivi mobili.
Gli specialisti di Cleafy scrivono che BingoMod è ancora in fase di sviluppo e il suo autore si concentra principalmente sull’offuscamento del codice e su vari meccanismi di evasione del rilevamento. Sulla base dei commenti nel codice, i ricercatori ritengono che BingoMod potrebbe essere opera di uno sviluppatore rumeno.
BingoMod Mascherato da APP Sicure
Come accennato in precedenza, il malware viene distribuito tramite SMS e solitamente utilizza nomi diversi, tra cui: APP Protection, Antivirus Cleanup, Chrome Update, InfoWeb, SicurezzaWeb, WebSecurity, WebsInfo, WebInfo e APKAppScudo. Allo stesso tempo, è stato notato che in un caso il malware utilizzava l’icona del vero strumento gratuito AVG AntiVirus & Security, disponibile nel Google Play Store.
Durante l’installazione, BingoMod chiede all’utente il permesso di utilizzare i servizi di accessibilità, che consentono di abusare delle funzionalità avanzate per controllare il dispositivo.
Una volta che inizia a funzionare sul dispositivo della vittima, il malware ruba tutte le credenziali rilevate, acquisisce screenshot e intercetta i messaggi SMS. Crea inoltre un canale socket per ricevere comandi e un canale basato su HTTP per l’invio di screenshot, consentendo agli operatori del malware di eseguire operazioni remote quasi in tempo reale.
Va notato che una delle caratteristiche principali di BingoMod è che si basa sulle capacità dei servizi di accessibilità per impersonare l’utente e consentire la richiesta di trasferire il contenuto dello schermo tramite l’API di proiezione multimediale.
Comandi Remoti e Controllo del Dispositivo
“Il motore VNC (Virtual Network Computing) abusa dell’API Media Projection di Android per recuperare i contenuti dello schermo in tempo reale. Una volta ricevuto, viene convertito in un formato adeguato e trasmesso tramite HTTP all’infrastruttura degli aggressori”, scrivono i ricercatori.
Tra i comandi che gli operatori remoti possono inviare a BingoMod ci sono quello di fare clic su un’area specifica dello schermo, inserire testo in una posizione specifica e avviare un’applicazione specifica.
Inoltre, il malware consente attacchi manuali utilizzando overlay e notifiche false create dagli aggressori. Inoltre, un dispositivo infetto da BingoMod può essere utilizzato per diffondersi ulteriormente tramite SMS.
Tuttavia, il malware ha altre caratteristiche interessanti. Ad esempio, è in grado di rimuovere soluzioni di sicurezza dai dispositivi infetti, nonché di bloccare applicazioni specifiche specificate dall’operatore.
Evitare il rilevamento e cancellare i dati
Secondo Cleafy, per evitare il rilevamento, i creatori di malware utilizzano l’appiattimento del codice e l’offuscamento delle stringhe. A giudicare dalle statistiche di VirusTotal, questi trucchi producono il risultato desiderato e il malware è difficile da rilevare dai prodotti antivirus. Inoltre, se BingoMod viene registrato sul dispositivo come applicazione con diritti di amministratore, gli aggressori possono inviare da remoto un comando per cancellare il sistema. Gli analisti notano che questa funzione viene attivata solo dopo il successo del trasferimento dei dati e influisce solo sulla memoria esterna. Tuttavia, per distruggere completamente i dati, gli hacker criminali possono utilizzare le funzionalità di accesso remoto esistenti, cancellare tutti i dati e ripristinare le impostazioni di fabbrica del dispositivo.
Astra Group , uno dei leader nel mercato russo dello sviluppo software, ha rilasciato una nuova versione del suo prodotto di punta : il sistema operativo Astra Linux 1.8. La nuova Astra 1.8 è un fork del famoso progetto internazionale Debian 12.5 Bookworm
Astra Group , uno dei leader nel mercato russo dello sviluppo software, ha rilasciato una nuova versione del suo prodotto di punta : il sistema operativo Astra Linux 1.8.
La nuova Astra 1.8 è un fork del famoso progetto internazionale Debian 12.5 Bookworm, più della metà del cui pacchetto base è stato modificato e migliorato dagli sviluppatori russi. Perché era necessario, dal momento che Debian sviluppa e supporta attivamente la comunità?
Innanzitutto, il sistema operativo russo deve soddisfare i requisiti di certificazione. In secondo luogo è necessario eliminare tutte le vulnerabilità note presenti nei pacchetti. In terzo luogo, la revisione del fornitore russo mira a migliorare le applicazioni per il pubblico domestico. La portata del lavoro svolto è testimoniata dal fatto che il processo di sviluppo della versione 1.8 ha richiesto più di cento anni-uomo.
Una delle innovazioni chiave di Astra Linux 1.8 sono i profili di configurazione consigliati già pronti per gli strumenti di sicurezza delle informazioni (IS) per vari scenari di utilizzo. Questa innovazione faciliterà il lavoro degli specialisti della sicurezza delle informazioni responsabili del funzionamento dei sistemi la cui sicurezza è regolata dalle autorità di regolamentazione (ISPDn, GIS, sistemi di controllo automatizzato dei processi, sistemi di controllo elettronico. Per ogni tipo di sistema esiste un proprio ordine FSTEC, suddiviso in classi/livelli).
Astra Linux 1.8 include un DBMS relazionale sicuro, creato sulla base e compatibile con PostgreSQL 15 e che soddisfa i requisiti normativi della 1a categoria di FSTEC, introdotta nel 2023 nella Federazione Russa.
L’innovazione più evidente in Astra Linux 1.8 è lo stile visivo di Astra Proxima, sviluppato sulla base di un’analisi delle reali esigenze degli utenti. Si distingue per sobrietà, design minimalista, facile navigazione e soluzioni grafiche moderne. Nello stile Astra Proxima, è stato progettato un programma di installazione del sistema operativo migliorato, che consente di installare il sistema operativo in un solo passaggio dopo aver raccolto i parametri necessari.
Lo sviluppatore ha inoltre fornito un meccanismo per aggiornare il sistema senza reinstallarlo e la possibilità di ripristinare l’aggiornamento in caso di errore, il che rende il processo più sicuro.
Astra Linux 1.8 rappresenta un miglioramento significativo rispetto alla versione 1.7. Miglioramenti nelle prestazioni, supporto per nuovo hardware, automazione degli aggiornamenti, installazione, impostazioni di sicurezza delle informazioni, stile visivo e struttura del repository rendono questo sistema operativo più conveniente, funzionale e sicuro.
@Notizie dall'Italia e dal mondo Il nuovo articolo di @valori Oblò è un podcast di Valori.it che guarda al mondo là fuori. Questo mese intervistiamo il fisico dell'atmosfera Antonello Pasini L'articolo Come stanno gli scienziati? proviene da Valori.
Illustrative models of collinear ferromagnetism, antiferromagnetism, and altermagnetism in crystal-structure real space and nonrelativistic electronic-structure momentum space. (Credit: Libor Šmejkal et al., Phys. Rev. X, 2022)
Magnetic materials are typi
Magnetic materials are typically divided into ferromagnetic and antiferromagnetic types, depending on their magnetic moments (electron spins), resulting in either macroscopic (net) magnetism or not. Altermagnetism is however a recently experimentally confirmed third type that as the name suggests alternates effectively between these two states, demonstrating a splitting of the spin energy levels (spin-split band structure). Like antiferromagnets, altermagnets possess a net zero magnetic state due to alternating electron spin, but they differ in that the electronic band structure are not Kramers degenerate, which is the feature that can be tested to confirm altermagnetism. This is the crux of the February 2024 research paper in Nature by [J. Krempaský] and colleagues.
Specifically they were looking for the antiferromagnetic-like vanishing magnetization and ferromagnetic-like strong lifted Kramers spin degeneracy (LKSD) in manganese telluride (MnTe) samples, using photoemission spectroscopy in the UV and soft X-ray spectra. A similar confirmation in RuO2 samples was published in Science Advances by [Olena Fedchenko] and colleagues.
What this discovery and confirmation of altermagnetism means has been covered previously in a range of papers ever since altermagnetism was first proposed in 2019 by [Tomas Jungwirth] et al.. A 2022 paper published in Physical Review X by [Libor Šmejkal] and colleagues details a range of potential applications (section IV), which includes spintronics. Specific applications here include things like memory storage (e.g. GMR), where both ferromagnetic and antiferromagnetics have limitations that altermagnetism could overcome.
Naturally, as a fairly new discovery there is a lot of fundamental research and development left to be done, but there is a good chance that within the near future we will see altermagnetism begin to make a difference in daily life, simply due to how much of a fundamental shift this entails within our fundamental understanding of magnetics.
Heading image: Illustrative models of collinear ferromagnetism, antiferromagnetism, and altermagnetism in crystal-structure real space and nonrelativistic electronic-structure momentum space. (Credit: Libor Šmejkal et al., Phys. Rev. X, 2022)
E se Musk volesse farsi sbattere fuori dall'Europa? @Test: palestra e allenamenti :-) La nuova azione disdicevole di Elon Musk che pubblica un Deep fake su kamala Harris è un atto ponderato per farsi sbattere fuori dall'Europa oppure è semplicemente la so
Il titano pazzo ha condiviso un video deepfake di Kamala Harris, ma il post sembra violare le policy della piattaforma contro quei contenuti Il video fa dire alla candidata che “ha trascorso quattro anni sotto la tutela del burattino definitivo dello stato profondo, un meraviglioso mentore, Joe Biden”. theverge.com/2024/7/29/2420867…
E se Musk volesse farsi sbattere fuori dall’Europa?
@test@feddit.it
La nuova azione disdicevole di Elon Musk che pubblica un Deep fake su kamala Harris è un atto ponderato per farsi sbattere fuori dall’Europa oppure è semplicemente la solita stupida follia di chi si crede onnipotente?
E se Musk volesse farsi sbattere fuori dall’Europa? @test@feddit.it La nuova azione disdicevole di Elon Musk che pubblica un Deep fake su kamala Harris è un…
Mandrake spyware threat actors resume attacks with new functionality targeting Android devices while being publicly available on Google Play.
Introduction
In May 2020, Bitdefender released a white paper containing a detailed analysis of Mandrake, a sophisticated Android cyber-espionage platform, which had been active in the wild for at least four years.
In April 2024, we discovered a suspicious sample that appeared to be a new version of Mandrake. Ensuing analysis revealed as many as five Mandrake applications, which had been available on Google Play from 2022 to 2024 with more than 32,000 installs in total, while staying undetected by any other vendor. The new samples included new layers of obfuscation and evasion techniques, such as moving malicious functionality to obfuscated native libraries, using certificate pinning for C2 communications, and performing a wide array of tests to check if Mandrake was running on a rooted device or in an emulated environment.
Our findings, in a nutshell, were as follows.
After a two-year break, the Mandrake Android spyware returned to Google Play and lay low for two years.
The threat actors have moved the core malicious functionality to native libraries obfuscated with OLLVM.
Communication with command-and-control servers (C2) uses certificate pinning to prevent capture of SSL traffic.
Mandrake is equipped with a diverse arsenal of sandbox evasion and anti-analysis techniques.
Kaspersky products detect this threat as HEUR:Trojan-Spy.AndroidOS.Mandrake.*.
Technical details
Background
The original Mandrake campaign with its two major infection waves, in 2016–2017 and 2018–2020, was analyzed by Bitdefender in May 2020. After the Bitdefender report was published, we discovered one more sample associated with the campaign, which was still available on Google Play.
The Mandrake application from the previous campaign on Google Play
In April 2024, we found a suspicious sample that turned out to be a new version of Mandrake. The main distinguishing feature of the new Mandrake variant was layers of obfuscation designed to bypass Google Play checks and hamper analysis. We discovered five applications containing Mandrake, with more than 32,000 total downloads. All these were published on Google Play in 2022 and remained available for at least a year. The newest app was last updated on March 15, 2024 and removed from Google Play later that month. As at July 2024, none of the apps had been detected as malware by any vendor, according to VirusTotal.
We were not able to get the APK file for com.brnmth.mtrx, but given the developer and publication date, we assume with high confidence that it contained Mandrake spyware. Application icons
Malware implant
The focus of this report is an application named AirFS, which was offered on Google Play for two years and last updated on March 15, 2024. It had the biggest number of downloads: more than 30,000. The malware was disguised as a file sharing app.
AirFS on Google Play
According to reviews, several users noticed that the app did not work or stole data from their devices.
Application reviews
Infection chain
Like the previous versions of Mandrake described by Bitdefender, applications in the latest campaign work in stages: dropper, loader and core. Unlike the previous campaign where the malicious logic of the first stage (dropper) was found in the application DEX file, the new versions hide all the first-stage malicious activity inside the native library libopencv_dnn.so, which is harder to analyze and detect than DEX files. This library exports functions to decrypt the next stage (loader) from the assets/raw folder. Contents of the main APK file
Interestingly, the sample com.shrp.sght has only two stages, where the loader and core capabilities are combined into one APK file, which the dropper decrypts from its assets. While in the past Mandrake campaigns we saw different branches (“oxide”, “briar”, “ricinus”, “darkmatter”), the current campaign is related to the “ricinus” branch. The second- and third-stage files are named “ricinus_airfs_3.4.0.9.apk”, “ricinus_dropper_core_airfs_3.4.1.9.apk”, “ricinus_amber_3.3.8.2.apk” and so on.
When the application starts, it loads the native library:
Loading the native library
To make detection harder, the first-stage native library is heavily obfuscated with the OLLVM obfuscator. Its main goal is to decrypt and load the second stage, named “loader“. After unpacking, decrypting and loading into memory the second-stage DEX file, the code calls the method dex_load and executes the second stage. In this method, the second-stage native library path is added to the class loader, and the second-stage main activity and service start. The application then shows a notification that asks for permission to draw overlays. When the main service starts, the second-stage native library libopencv_java3.so is loaded, and the certificate for C2 communications, which is placed in the second-stage assets folder, is decrypted. The treat actors used an IP address for C2 communications, and if the connection could not be established, the malware tried to connect to more domains. After successfully connecting, the app sends information about the device, including the installed applications, mobile network, IP address and unique device ID, to the C2. If the threat actors find their target relevant on the strength of that data, they respond with a command to download and run the “core” component of Mandrake. The app then downloads, decrypts and executes the third stage (core), which contains the main malware functionality.
Second-stage commands:
Command
Description
start
Start activity
cup
Set wakelock, enable Wi-Fi, and start main parent service
cdn
Start main service
stat
Collect information about connectivity status, battery optimization, “draw overlays” permission, adb state, external IP, Google Play version
apps
Report installed applications
accounts
Report user accounts
battery
Report battery percentage
home
Start launcher app
hide
Hide launcher icon
unload
Restore launcher icon
core
Start core loading
clean
Remove downloaded core
over
Request “draw overlays” permission
opt
Grant the app permission to run in the background
Third stage commands:
Command
Description
start
Start activity
duid
Change UID
cup
Set wakelock, enable Wi-Fi, and start main parent service
cdn
Start main service
stat
Collect information about connectivity status, battery optimization, “draw overlays” permission, adb state, external IP, Google Play version
apps
Report installed applications
accounts
Report user accounts
battery
Report battery percentage
home
Start launcher app
hide
Hide launcher icon
unload
Restore launcher icon
restart
Restart application
apk
Show application install notification
start_v
Load an interactive webview overlay with a custom implementation of screen sharing with remote access, commonly referred to by the malware developers “VNC”
start_a
Load webview overlay with automation
stop_v
Unload webview overlay
start_i, start_d
Load webview overlay with screen record
stop_i
Stop webview overlay
upload_i, upload_d
Upload screen record
over
Request “draw overlays” permission
opt
Grant the app permission to run in the background
When Mandrake receives a start_v command, the service starts and loads the specified URL in an application-owned webview with a custom JavaScript interface, which the application uses to manipulate the web page it loads. While the page is loading, the application establishes a websocket connection and starts taking screenshots of the page at regular intervals, while encoding them to base64 strings and sending these to the C2 server. The attackers can use additional commands to adjust the frame rate and quality. The threat actors call this “vnc_stream”. At the same time, the C2 server can send back control commands that make application execute actions, such as swipe to a given coordinate, change the webview size and resolution, switch between the desktop and mobile page display modes, enable or disable JavaScript execution, change the User Agent, import or export cookies, go back and forward, refresh the loaded page, zoom the loaded page and so on.
When Mandrake receives a start_i command, it loads a URL in a webview, but instead of initiating a “VNC” stream, the C2 server starts recording the screen and saving the record to a file. The recording process is similar to the “VNC” scenario, but screenshots are saved to a video file. Also in this mode, the application waits until the user enters their credentials on the web page and then collects cookies from the webview. The start_a command allows running automated actions in the context of the current page, such as swipe, click, etc. If this is the case, Mandrake downloads automation scenarios from the URL specified in the command options. In this mode, the screen is also recorded. Screen recordings can be uploaded to the C2 with the upload_i or upload_d commands. The main goals of Mandrake are to steal the user’s credentials, and download and execute next-stage malicious applications.
Data decryption methods
Data encryption and decryption logic is similar across different Mandrake stages. In this section, we will describe the second-stage data decryption methods.
The second-stage native library libopencv_java3.so contains AES-encrypted C2 domains, and keys for configuration data and payload decryption. Encrypted strings are mixed with plain text strings. To get the length of the string, Mandrake XORs the first three bytes of the encrypted array, then uses the first two bytes of the array as keys for custom XOR encoding.
Strings decryption algorithm
The key and IV for decrypting AES-encrypted data are encoded in the same way, with part of the data additionally XORed with constants.
AES key decryption
Mandrake uses the OpenSSL library for AES decryption, albeit in quite a strange way. The encrypted file is divided into 16-byte blocks, each of these decrypted with AES-CFB128.
The encrypted certificate for C2 communication is located in the assets/raw folder of the second stage as a file named cart.raw, which is decrypted using the same algorithm.
Installing next-stage applications
When Mandrake gets an apk command from the C2, it downloads a new separate APK file with an additional module and shows the user a notification that looks like something they would receive from Google Play. The user clicking the notification initiates the installation process. Android 13 introduced the “Restricted Settings” feature, which prohibits sideloaded applications from directly requesting dangerous permissions. To bypass this feature, Mandrake processes the installation with a “session-based” package installer.
Installing additional applications
Sandbox evasion techniques and environment checks
While the main goal of Mandrake remains unchanged from past campaigns, the code complexity and quantity of the emulation checks have significantly increased in recent versions to prevent the code from being executed in environments operated by malware analysts. However, we were able to bypass these restrictions and discovered the changes described below.
The versions of the malware discovered earlier contained only a basic emulation check routine.
Emulator checks in an older Mandrake version
In the new version, we discovered more checks.
To start with, the threat actors added Frida detection. When the application starts, it loads the first-stage native library libopencv_dnn.so. The init_array section of this library contains the Frida detector function call. The threat actors used the DetectFrida method. First, it computes the CRC of all libraries, then it starts a Frida detect thread. Every five seconds, it checks that libraries in memory have not been changed. Additionally, it checks for Frida presence by looking for specific thread and pipe names used by Frida. So, when an analyst tries to use Frida against the application, execution is terminated. Even if you use a custom build of Frida and try to hook a function in the native library, the app detects the code change and terminates. Next, after collecting device information to make a request for the next stage, the application checks the environment to find out if the device is rooted and if there are analyst tools installed. Unlike some other threat actors who seek to take advantage of root access, Mandrake developers consider a rooted device dangerous, as average users, their targets, do not typically root their phones. First, Mandrake tries to find a su binary, a SuperUser.apk, Busybox or Xposed framework, and Magisk and Saurik Substrate files. Then it checks if the system partition is mounted as read-only. Next, it checks if development settings and ADB are enabled. And finally, it checks for the presence of a Google account and Google Play application on the device.
C2 communication
All C2 communications are maintained via the native part of the applications, using an OpenSSL static compiled library.
To prevent network traffic sniffing, Mandrake uses an encrypted certificate, decrypted from the assets/raw folder, to secure C2 communications. The client needs to be verified by this certificate, so an attempt to capture SSL traffic results in a handshake failure and a breakdown in communications. Still, any packets sent to the C2 are saved locally for additional AES encryption, so we are able to look at message content. Mandrake uses a custom JSON-like serialization format, the same as in previous campaigns. Example of a C2 request: node #1 { uid "a1c445f10336076b"; request "1000"; data_1 "32|3.1.1|HWLYO-L6735|26202|de||ricinus_airfs_3.4.0.9|0|0|0||0|0|0|0|Europe/Berlin||180|2|1|41|115|0|0|0|0|loader|0|0|secure_environment||0|0|1|0||0|85.214.132.126|0|1|38.6.10-21 [0] [PR] 585796312|0|0|0|0|0|"; data_2 "loader"; dt 1715178379; next #2; } node #2 { uid "a1c445f10336076b"; request "1010"; data_1 "ricinus_airfs_3.4.0.9"; data_2 ""; dt 1715178377; next #3; } node #3 { uid "a1c445f10336076b"; request "1003"; data_1 "com.airft.ftrnsfr\n\ncom.android.calendar\n\[redacted]\ncom.android.stk\n\n"; data_2 ""; dt 1715178378; next NULL; } Example of a C2 response: node #1 { response "a1c445f10336076b"; command "1035"; data_1 ""; data_2 ""; dt "0"; next #2; } node #2 { response "a1c445f10336076b"; command "1022"; data_1 "20"; data_2 "1"; dt "0"; next #3; } node #3 { response "a1c445f10336076b"; command "1027"; data_1 "1"; data_2 ""; dt "0"; next #4; } node #4 { response "a1c445f10336076b"; command "1010"; data_1 "ricinus_dropper_core_airfs_3.4.1.9.apk"; data_2 "60"; dt "0"; next NULL; } Mandrake uses opcodes from 1000 to 1058. The same opcode can represent different actions depending on whether it is used for a request or a response. See below for examples of this.
Request opcode 1000: send device information;
Request opcode 1003: send list of installed applications;
Request opcode 1010: send information about the component;
Response opcode 1002: set contact rate (client-server communication);
Response opcode 1010: install next-stage APK;
Response opcode 1011: abort next-stage install;
Response opcode 1022: request user to allow app to run in background;
Response opcode 1023: abort request to allow app to run in background;
Response opcode 1027: change application icon to default or Wi-Fi service icon.
Attribution
Considering the similarities between the current campaign and the previous one, and the fact that the C2 domains are registered in Russia, we assume with high confidence that the threat actor is the same as stated in the Bitdefender’s report.
Victims
The malicious applications on Google Play were available in a wide range of countries. Most of the downloads were from Canada, Germany, Italy, Mexico, Spain, Peru and the UK.
Conclusions
The Mandrake spyware is evolving dynamically, improving its methods of concealment, sandbox evasion and bypassing new defense mechanisms. After the applications of the first campaign stayed undetected for four years, the current campaign lurked in the shadows for two years, while still available for download on Google Play. This highlights the threat actors’ formidable skills, and also that stricter controls for applications before being published in the markets only translate into more sophisticated, harder-to-detect threats sneaking into official app marketplaces.
Giovanni
in reply to Elezioni e Politica 2025 • • •