Many smart electric meters in the US use the 900 MHz band to broadcast their usage out to meter readers as they walk the neighborhood. [Jeff Sandberg] used an RTL-SDR dongle and some software to integrate this data into his own home automation system, which lets him keep track of his home’s power usage.

Half of the comment section was appalled that the meters broadcast this data in the clear, and these readers thought this data should be encrypted even if the reach is limited to the home-owner’s front yard. But that would have stopped [Jeff] from accessing his own data as well, and that would be a shame. So there’s clearly a tradeoff in play here.

We see this tradeoff in a lot of hardware devices as well – we want to be able to run our firmware on them, but we don’t want criminals to do the same. We want the smart device to work with the cloud service, but to also work with our own home automation system if we have one. And we want to be able to listen in to our smart meters, but don’t necessarily want others to do so.

The solution here is as easy as it is implausible that it will get implemented. If the smart meters transmitted encrypted, each with their own individual password, then everyone would win. The meter reader would have a database of passwords linked to meter serial numbers or addresses, and the home owner could just read it off of a sticker, optimally placed on each unit. Privacy and usability would be preserved.

This issue isn’t just limited to electric meters. Indeed, think of all of the data that is being sent out from or about you, and what percentage of it is not encrypted and should be, but also about what data is sent out encrypted that you could use access to. The solution is to put you in control of the encryption, by selecting a password or having access to one that’s set for you. Because after all, if it’s your data, it should be your data: private and usable.

This article is part of the Hackaday.com newsletter, delivered every seven days for each of the last 200+ weeks. It also includes our favorite articles from the last seven days that you can see on the web version of the newsletter. Want this type of article to hit your inbox every Friday morning? You should sign up!

Alpha Team è un gruppo di hacker criminali che abbiano incontrato in passato. Spesso li abbiamo visti colpire con efficacia le aziende italiane. Abbiano anche conosciuto più da vicino il gruppo attraverso l’intervista al loro leader Z0rg.

Questa volta il gruppo ha rilevato un altro bug di sicurezza non documentato (0day) che affligge diverse piattaforme di Content Management System (CMS). Attraverso questo bug hanno iniziato ad utilizzarlo per rendere pubblica la falla di sicurezza individuata.

Su alcuni social sono iniziate a circolare delle print screen che riportano la violazione di alcune APP/backend con specifiche notifiche push.

La rivendicazione di Alpha Team

All’interno del noto forum underground Breach forum, Alpha Team ha pubblicato un post dove riporta una serie di aziende che utilizzano questa tecnologia CMS che è risultata essere affetta da tale bug di sicurezza.

Si parla di moltissime testate giornalistiche che utilizzano un preciso CMS su Cloud.

Alpha team ha riportato che ha a disposizione il database di 77 aziende e tra i dati disponibili sono presenti email, password, date di nascita e altro ancora.

Per attestare che i dati sottratti sono effettivamente reali, la cyber gang riporta all’interno del post dei samples che possono essere scaricati per verificarne la violazione.

Il gruppo Alpha Team

Il gruppo Alpha Team ha violato in precedenza diversi obiettivi italiani. Ricordiamo che Alpha Team ha violato in passato 10 organizzazioni italiane sempre con un bug di sicurezza non documentato. Successivamente ha rivendicato un attacco informatico alla Avantgate e a Federprivacy.

L'articolo ALPHA TEAM ha in mano 5 milioni di dati di italiani! Rivendica un attacco a 77 Aziende italiane proviene da il blog della sicurezza informatica.

We’re not sure what [Aaron Christophel] calls his automated chip glitching setup built from a 3D printer, but we’re going to go ahead and dub it the “Glitch-o-Matic 9000.” Has a nice ring to it.

Of course, this isn’t a commercial product, or even a rig that’s necessarily intended for repeated use. It’s more of a tactical build, which is still pretty cool if you ask us. It started with a proof-of-concept exploration, summarized in the first video below. That’s where [Aaron] assembled and tested the major pieces, which included a PicoEMP, the bit that actually generates the high-voltage pulses intended to scramble a running microcontroller temporarily, along with a ChipWhisperer and an oscilloscope.

The trouble with the POC setup was that glitching the target chip, an LPC2388 microcontroller, involved manually scanning the business end of the PicoEMP over the package. That’s a tedious and error-prone process, which is perfect for automation. In the second video below, [Aaron] has affixed the PicoEMP to his 3D printer, giving him three-axis control of the tip position. That let him build up a heat map of potential spots to glitch, which eventually led to a successful fault injection attack and a clean firmware dump.

It’s worth noting that the whole reason [Aaron] had to resort to such extreme measures in the first place was the resilience of the target chip against power supply-induced glitching attacks. You might not need to build something like the Glitch-o-Matic, but it’s good to keep in mind in case you run up against such a hard target.

youtube.com/embed/q9o9sKY2hk8?…

youtube.com/embed/tcqLgjmzUzM?…

Gli hacktivisti israeliani hanno rivendicato la responsabilità delle attuali interruzioni di Internet in Iran. Il gruppo, noto come WeRedEvils, esiste dall’ottobre 2023 ed è apparso probabilmente in risposta all’attacco di Hamas contro Israele che ha portato all’attuale guerra a Gaza.

Sulla loro pagina Telegram, WeRedEvils ha annunciato: “ Nei prossimi minuti attaccheremo sistemi e provider Internet in Iran. Si prevede un colpo potente .” Secondo loro, l’attacco ha avuto successo: sono riusciti a penetrare nei sistemi informatici iraniani, a rubare dati e a causare un’interruzione di Internet. Gli hacktivisti affermano di aver fornito informazioni rubate al governo israeliano.

Come prova, WeRedEvils ha sottolineato che il sito web del Ministero iraniano delle tecnologie dell’informazione e delle comunicazioni (ict.gov.ir) era inattivo, così come la maggior parte degli altri siti web del ministero iraniano che mostrano un errore “tempo di risposta troppo lungo“. Alcuni siti hanno mostrato anche un errore 403, che potrebbe indicare l’accesso negato.

WeRedEvils ha inoltre dichiarato su Telegram: “ Sappiamo che tra voi ci sono sostenitori del Corpo delle Guardie della Rivoluzione Islamica e desideriamo contattarvi personalmente. Smettila di alzare bandiere rosse e inizia ad alzare quelle bianche. Questa follia vi porterà tutti nella pattumiera della storia. L’Iran brucerà, Israele vincerà ”.

Tuttavia, non è noto quanti danni abbiano effettivamente causato WeRedEvils e se siano interamente responsabili delle attuali interruzioni di Internet, data la natura chiusa dell’Iran in tali questioni.

Il gruppo ha anche affermato di aver attaccato la rete elettrica iraniana lo scorso ottobre e di averla messa fuori uso per due ore. I WeRedEvils sono diventati così famosi anche in Israele che a giugno l’agenzia di sicurezza israeliana Shin Bet ha arrestato “diversi membri” del gruppo con l’accusa di spionaggio.

L'articolo Gli Hacktivisti Israeliani Rivendicano le Interruzioni di Internet in Iran proviene da il blog della sicurezza informatica.

There was a time — not so long ago — when a handheld terminal would have been an expensive and exotic piece of kit. Now, all it takes is a Raspberry Pi and an off-the-shelf TFT display, as [ZitaoTech] shows us.
The resemblance to a Blackberry isn’t a coincidence
Admittedly, we are now seeing these all over the place, but this build looks well thought out. It looks suspiciously like a Blackberry, which isn’t a bad thing. It also has an interesting dual-battery system that lets you swap between two identical Nokia BL-5C batteries without missing a beat.

The device looks like a Blackberry because it uses the Q10 or Q20 Blackberry keyboard. There is a pass-through switch that lets you use the keyboard and pointer as a USB device on a different host computer.

Rounding out the design are three USB ports, an I2C port, and a TF card slot. Size-wise, the device is about 140 mm tall and 82 mm wide. The thickness is less than 16 mm. Even with the batteries, it weighs a lot less than 200 grams.

In the “Something-you-can-try” directory, there are images for Windows 3.1, mini VMAC, and — of course — DOOM. As you might expect, most of the project is 3D printing the intricate case.

We’ve seen similar projects, including one that has a case inspired by the ZX Spectrum. Then there is Beepy.

Buon sabato e ben ritrovato caro cyber User.

Questa settimana ci concentreremo su importanti sviluppi nel campo della sicurezza informatica che hanno visto interventi significativi delle autorità, nuove minacce emergenti e iniziative per rafforzare le difese. Scopriamo insieme cosa è successo.

Smantellamento della piattaforma di spoofing Russian Coms

Il National Crime Agency (NCA) del Regno Unito ha raggiunto un importante traguardo nella lotta contro le frodi telefoniche smantellando Russian Coms, una piattaforma di spoofing utilizzata per effettuare oltre 1,8 milioni di chiamate fraudolente. Questa operazione, parte di "Operation Henhouse," ha portato all'arresto di 290 individui coinvolti in attività criminali, dimostrando l'impegno delle autorità nel contrastare le frodi e proteggere i cittadini.

NSA introduce la Penetration Testing autonoma con AI

La National Security Agency (NSA) degli Stati Uniti ha svelato una piattaforma di Penetration Testing autonoma alimentata da intelligenza artificiale. Questo strumento è progettato per migliorare la difesa cibernetica dei fornitori dell'industria dell'intelligence, permettendo di identificare e mitigare le vulnerabilità nei sistemi del Defense Industrial Base. L'uso dell'AI consente una valutazione più precisa e continua delle vulnerabilità di rete, proteggendo dati sensibili e classificati dalle minacce cibernetiche.

Nuova iniziativa per rafforzare la cybersecurity federale negli USA

Il Center for Federal Civilian Executive Branch Resilience ha lanciato un'iniziativa per migliorare le difese informatiche delle agenzie federali statunitensi. In risposta a incidenti come l'attacco SolarWinds, questa iniziativa mira a proteggere i lavoratori governativi dai cybercriminali e dagli attacchi di stati-nazione attraverso educazione, soluzioni tecnologiche e raccomandazioni politiche. Un obiettivo chiave è l'adozione di un'architettura di zero trust da parte delle agenzie federali.

Campagne di cyber spionaggio e phishing sofisticato

La scena globale delle minacce informatiche continua a evolversi. Il gruppo APT41, ritenuto composto da cittadini cinesi, ha lanciato una campagna di cyber-spionaggio contro un istituto di ricerca taiwanese, utilizzando malware avanzati come ShadowPad e Cobalt Strike. Allo stesso tempo, falsi siti Google Authenticator promossi tramite Google ads stanno installando malware sui dispositivi degli utenti, mentre una nuova campagna di phishing con il kit Tycoon 2FA utilizza Amazon SES per ingannare le vittime.

Malware e attacchi alle piccole e medie imprese

I cybercriminali stanno prendendo di mira le piccole e medie imprese in Europa con campagne di phishing che utilizzano malware come Agent Tesla e Remcos RAT. Utilizzando account email compromessi, queste campagne diffondono malware attraverso nove ondate di attacchi, cercando di compromettere i sistemi delle aziende e rubare dati sensibili.

Nuove minacce DNS e malware Android

Un nuovo vettore di attacco DNS, chiamato Sitting Ducks, è stato sfruttato da attori di minaccia russi per dirottare oltre un milione di domini. Questo sfruttamento deriva da verifiche inadeguate della proprietà dei domini da parte dei provider DNS. Nel campo della sicurezza mobile, un nuovo malware Android chiamato BingoMod non solo ruba denaro dai conti bancari delle vittime ma cancella anche i dispositivi compromessi.

Aggiornamenti di sicurezza Apple e nuovi ransomware

Apple ha rilasciato aggiornamenti di sicurezza per iOS, macOS, tvOS, visionOS, watchOS e Safari, correggendo numerose vulnerabilità. Nel frattempo, Microsoft ha avvertito che diversi attori ransomware stanno sfruttando una vulnerabilità negli hypervisor ESXi per ottenere permessi amministrativi completi, portando a distribuzioni di ransomware come Akira e Black Basta.

Attacco ransomware a OneBlood e impatto sulla fornitura di sangue

OneBlood, una grande organizzazione di donazione di sangue negli Stati Uniti sudorientali, ha subito un attacco ransomware che ha compromesso la sua capacità di fornire sangue agli ospedali. In risposta, l'organizzazione ha implementato processi manuali e ha chiesto l'attivazione di protocolli di carenza critica di sangue nelle oltre 250 strutture ospedaliere servite. La comunità nazionale della donazione di sangue sta assistendo OneBlood per garantire la fornitura di sangue ai pazienti.

😋 FunFact

Hackerare e sbloccare nel 2024 il primo tablet Amazon basato su MediaTek: Amazon Fire HD6/HD7 del 2014.

In chiusura

Questi eventi recenti sottolineano la natura dinamica e in continua evoluzione delle minacce cibernetiche. La cooperazione internazionale, l'adozione di tecnologie avanzate e l'implementazione di strategie di difesa robuste sono essenziali per affrontare le sfide del panorama della sicurezza informatica.

Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon fine settimana, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec.

buttondown.email/ninasec/archi…

Un ricercatore di sicurezza ha scoperto una vulnerabilità nel controllore di un semaforo che potrebbe consentire agli aggressori di modificare i segnali e causare ingorghi. Andrew Lemon di Red Threat ha detto di aver trovato un bug nel dispositivo Intelight X-1, che consente a chiunque di ottenere il pieno controllo dei semafori. Il motivo è la mancanza di autenticazione sull’interfaccia web dell’apparecchio, accessibile tramite Internet.

Lemon ha provato a replicare uno scenario in cui tutti i semafori a un incrocio diventano verdi, come visto nei film. Tuttavia, un dispositivo chiamato Unità di gestione dei malfunzionamenti previene tali situazioni. Tuttavia, gli aggressori possono modificare gli orari dei semafori, causando problemi fisici come gli ingorghi.

Lemon e il suo team hanno trovato circa 30 dispositivi Intellight vulnerabili accessibili tramite Internet. Ha segnalato il problema a Q-Free, proprietaria di Intellight. Tuttavia, invece di collaborare, Q-Free gli ha inviato una lettera legale, sostenendo che il dispositivo che Lemon aveva analizzato non era più in vendita e che la sua ricerca avrebbe potuto violare la legge sulle frodi informatiche.

La società ha inoltre espresso preoccupazione per il fatto che la pubblicazione della vulnerabilità potrebbe danneggiare la sicurezza nazionale e portare ad attacchi alle infrastrutture. Lemon crede che la compagnia stia cercando di tenerlo tranquillo attraverso minacce legali.

La rappresentante di Q-Free Tricia Tunilla ha osservato che il controller non viene prodotto da quasi dieci anni e ha raccomandato agli utenti di sostituire i vecchi dispositivi con nuovi modelli. Lemon ha anche scoperto che alcuni dispositivi Econolite connessi a Internet utilizzano un protocollo NTCIP potenzialmente vulnerabile. Un portavoce di Econolite ha confermato che questi dispositivi sono ormai obsoleti e tutti gli utenti dovrebbero sostituirli con modelli più recenti.

Gli esperti consigliano di seguire le migliori pratiche per la sicurezza della rete e di limitare l’accesso alle apparecchiature critiche su Internet aperta.

L'articolo Luce Verde per il Caos: una Vulnerabilità nei Semafori è stata scoperta da Ricercatore! proviene da il blog della sicurezza informatica.

Nel panorama dei forum underground disponibile nelle profondità del deep e dark web da pochi giorni sta nascendo un nuovo forum chiamato “Stressed Forums” che mira ad affermarsi nell’ambiente in maniera veloce e molto professionale promettendo di diventare un punto di riferimento per chi cerca discussioni e materiale e qualità e fuori dall’ordinario.

Come nasce e quale tecnica di espansione utilizza

Stressed Forum nasce dal progetto Telegram “Stressed Projects Official”. Secondo un’analisi effettuata sul gruppo, l’attività effettiva di scambio di informazioni è iniziata intorno al febbraio 2024. Il canale è diviso in due parti: la prima è dedicata alla condivisione di materiale e aggiornamenti di notizie, mentre la seconda è una chat di gruppo dove gli utenti registrati possono interagire tra loro.

Ad oggi, risultano 602 iscritti alla chat e 468 iscritti al gruppo di condivisione di materiale.

Un messaggio di benvenuto e l’utilizzo del bot disponibile spiegano le regole e gli obiettivi del canale Telegram, invitando inoltre gli utenti a registrarsi sul forum ufficiale Stressed Forums. Le regole sono simili a quelle di molti altri canali, ma una regola aggiuntiva, evidenziata in modo particolare, è l’utilizzo della lingua inglese per comunicare. Questo sottolinea l’internazionalità del canale e suggerisce un obiettivo di espansione globale.

I primi messaggi di modifiche al vecchio forum, chiamato Forum Stressed City, risalgono al 16 aprile 2024. Da allora, i messaggi sono stati poco strutturati, fino a pochi giorni fa, quando su altri canali, come quello di “Hunt3r Kill3rs Group”, sono comparsi messaggi di invito a registrarsi sul sito Stressed Forums. Inoltre, è stato chiesto a chi fosse interessato di contribuire economicamente al sostegno del progetto, promettendo miglioramenti significativi.

Gli inviti si sono diffusi anche in altri gruppi Telegram conosciuti, come CyberVolk e The African Network, dove si parla molto di questo sito underground. L’obiettivo di questi messaggi inoltrati da gruppo a gruppo è sicuramente quello di attirare il maggior numero possibile di persone sul forum, creando un passaparola che aumenti anche la percezione di affidabilità del progetto e del forum stesso.

La struttura del Forum

Il forum si presenta in modo innovativo rispetto ai soliti forum, come ad esempio BreachForums. Si nota subito la presenza di banner pubblicitari che riportano il nome del gruppo hacker Africa Networks, lo stesso nome del canale Telegram che sponsorizza il sito. Questo tipo di attività suggerisce una possibile collaborazione tra African Network e Stressed Projects.

Le categorie proposte variano e aumentano in base ai servizi offerti dagli utenti. Il primo post è stato scritto da un utente chiamato Zulu il 31 luglio 2024.

Ad oggi le categorie presenti sono:

• Community Hub
• DDoS
• SEO
• Professional Private Investigation Services
• Server Hosting
• Botnet
• Database Leaks
• Exploit
• Fraud
• White Hat Category
• Gaming

Oltre ai post e alle categorie, il forum mette a disposizione un calendario dove vengono inseriti gli eventi principali. Ad esempio, il 5 agosto è programmato un evento Giveaway che consiste nel mettere a disposizione un “Free African C2/Api”.

Secondo le statistiche fornite direttamente sul sito web, gli utenti registrati sono 55. Tuttavia, considerando la giovane età del forum, l’attività effettuata su Telegram e i servizi proposti, il numero è destinato a crescere notevolmente.

Conclusioni

La presenza di Stressed Forums sul web e i suoi collegamenti a gruppi e community vere e proprie indicano la tendenza sempre più dominante dei cyber criminali a organizzarsi in veri e propri team, con una suddivisione interna e collaborazioni esterne ben strutturate e gestite come progetti complessi.

Oggi, Stressed Forums si aggiunge ai numerosi forum underground già esistenti. Le categorie che espone non sono una novità assoluta, ma è sempre utile effettuare analisi e ricerche approfondite per rimanere al passo con i cambiamenti e studiare nel migliore dei modi le nuove tecniche di comunicazione e organizzazione utilizzate dai criminali per scambiarsi dati e servizi di vario tipo.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo Stressed Forums: Espansione e Collaborazioni nel Mondo Underground proviene da il blog della sicurezza informatica.

“Hacktivism, un messaggio speciale di speranza.” Così inizia la “Dichiarazione di Hacktivismo”, pubblicata il 4 luglio del 2001 dal celebre gruppo hacker Cult of the dead Cow (chiamati anche cDc o Omega).

“La libertà di parola è sotto assedio ai margini di internet. Parecchi paesi stanno censurando l’accesso al web…”

Inizialmente c’era l’attivismo

Si trattava di quell’attività che tenta di promuovere, impedire, dirigere o intervenire nelle riforme sociali, in quelle politiche ed economiche, con il desiderio principale di avviare dei forti cambiamenti all’interno di una società attraverso manifestazioni, sit-in, scioperi della fame e tanto altro ancora.

A seguito dell’avvento dei microcomputer e l’incremento della “cultura hacker”, si pensò che l’utilizzo dei computer per fini di attivismo, fosse un potente mezzo di protesta, che permettesse una maggiore efficacia. Pertanto dall’unione dei due termini appunto Hacking e Actvivism nacque Hacktivism.

L’idea generale dell’hacktivismoè stata articolata per la prima volta da John Perry Barlow, co-fondatore della Electronic Frontier Foundation, nella sua “Dichiarazione di indipendenza nel cyberspazio” del 1996, della quale abbiamo parlato su RHC.

Ma nessuno utilizzò questa parola prima del 1998, quando Omega (pseudonimo di Misha Kubecka), un membro di lunga data dei cDc, la cominciò ad utilizzare come fosse una sorta di battuta. Oxblood Ruffin, un membro dei cDc riporta in un documento: “in origine questa parola era più una battuta o uno scherzo. Ma dal primo momento in cui l’ho sentita dire da Omega, sapevo che avrebbe avuto un significato profondo, non solo per il cDc, ma per milioni di persone su Internet”.

Oxblood Ruffin

La parola Hacktivism inizia a diffondersi nel web

Quasi immediatamente “hacktivism” si diffuse a macchia d’olio. La parola suonava così bella che tutti volevano usarla come un parola di tendenza, anche se i giornalisti e gli attivisti avevano da poco scoperto la posta elettronica. All’improvviso, tutti sono diventati “hacktivist“. Nessuno aveva la più pallida idea di cosa significasse, ma suonava bene dirlo.

Le persone dei cDc principalmente interessate all’hacktivism erano Omega, Reid Fleming, Count Zero, Nightstalker, Tweety Fish e Oxblood Ruffin e ne discutevano sul loro listserv, attraverso e-mail private e alle convention di hacker, uno dei pochi posti in cui si sono incontrati fisicamente.

Fu Reid Fleming che portò sul tavolo la parola hacktivism, qualcosa di unico e nuovo, con quel tocco tecnologico che in quel periodo non guastava affatto. Reid creò hacktivism.org che conteneva una citazione dalla Dichiarazione universale dei diritti umani delle Nazioni Unite (UNDHR). Era l’articolo 19 e diceva: “Ogni individuo ha diritto alla libertà di opinione e di espressione; questo diritto include la libertà di avere opinioni senza interferenze e di cercare, ricevere e diffondere informazioni e idee attraverso qualsiasi media indipendentemente dalle frontiere”.

L’Hacktivista non è motivato da un guadagno economico

E l‘”indipendentemente senza frontiere” era l’elemento focale, il cyberspace è immateriale, come la radio e la televisione. Subito dopo i membri di cDc hanno iniziato a registrare i domini di primo livello. Count Zero ha preso hacktivism.net mentre Fleming prenotò, senza mai finire hacktivism.com.

L’Hacktivista non è motivato da un guadagno economico, ma da tutto ciò che viene considerato come “sbagliato” o “ingiusto”. Le motivazioni includono anche la vendetta, incentivi politici o sociali, ideologia, protesta, il desiderio di mettere in imbarazzo governi e le organizzazioni. Più precisamente, L’hacktivismo è un atto di attivismo sociale o politico che viene realizzato irrompendo e scatenando il caos all’interno di un sistema informatico ritenuto sicuro.

L’hacktivismo di solito è diretto verso obiettivi aziendali o governativi e le persone o i gruppi che svolgono attività di hacktivismo vengono definiti hacktivisti. Si tratta dell’utilizzo della tecnologia come mezzo dell’attivismo. Gli atti di hacktivismo generalmente ostacolano in qualche modo la normale attività dei sistemi causano quelli che chiamiamo “deface” (defacciamento in italiano), o significative perdite di dati.

Deface all’FBI del 22 dicembre 2016

cDc ha da sempre descritto come siamo finiti nel caos in cui ci troviamo oggi, dove i governi e società detengono un potere immenso sugli individui e come stiamo finalmente combattendo. Siamo disgustati da queste gravi violazioni delle informazioni e dei diritti umani. Ma gli hacker non sono disposti a guardare.

Gli attivisti sono criminali informatici? Molte persone la pensano in modo diverso.

Se sei l’unico a beneficiarne, non stai facendo hacking e tanto meno hacktivism.

Tu come la pensi a riguardo?

Di seguito la traduzione in italiano di “A Special Message of Hope” dei Cult Of The Dead Cow (cDc) realizzata da Olivia Terragni.
Hacktivismo: uno speciale messaggio di speranza
“Rogo internazionale di libri in corso”

4 luglio, 2001, Lubbock, Texas. La libertà di parola è sotto assedio, ai margini di Internet. Un bel po' di paesi stanno censurando l'accesso al Web tramite il filtraggio DNS [Domain Name Service]. Questo è un processo in cui le informazioni politicamente scorrette sono bloccate dall’indirizzo di dominio – il nome che appare prima del suffisso dot com.
Altri impiegano il filtraggio che nega politicamente o socialmente temi difficili da affrontare
In base al loro contenuto.

Hacktivismo e CULT OF THE DEAD COW hanno deciso che questo è troppo. Siamo hacker e sostenitori della libertà di parola, e stiamo sviluppando tecnologie per sfidare la censura di Internet sponsorizzata dallo stato.

La maggior parte dei paesi utilizza intimidazioni e filtri di un tipo o dell’altro che includono la Repubblica popolare cinese, Cuba e molti paesi islamici. La maggior parte afferma di bloccare i contenuti pornografici. Ma il vero motivo è impedire la diffusione di contenuti impegnativi attraverso regimi repressivi. Ciò include informazioni che vanno dalle opinioni politiche alle notizie "straniere", dalle questioni femminili ai lavori accademici, dalle informazioni religiose a quelle che riguardano i gruppi etnici sfavoriti e le notizie sugli abusi dei diritti umani, documenti che presentano le droghe in una luce positiva, nonché contenuti sui gay e lesbiche, tra gli altri.

La capricciosità della censura statale è di ampia portata.

[1]*Nello Zambia il governo ha tentato di censurare le informazioni rivelando i loro piani per referendum costituzionali.

* In Mauritania – come nella maggior parte dei paesi – i proprietari dei cybercafè sono tenuti a fornire agli agenti dell'intelligence governativa copie della posta elettronica inviati o ricevuti presso i loro stabilimenti.

*Anche governi meno draconiani, come quello della Malesia, hanno minacciato gli editori del web per aver violato le loro licenze di pubblicazione pubblicando aggiornamenti frequenti: le informazioni – tempestive e pertinenti – sono viste come una minaccia.

* La legge sulla sicurezza nazionale della Corea del Sud vieta ai sudcoreani di avere contatti, incluso il contatto su Internet, con i loro vicini nordcoreani.

* Lo Sri Lanka ha minacciato i siti di informazione di possibile revoca delle loro licenze in caso che la copertura di un'elezione presidenziale non sia a favore del partito del presidente uscente.

I rischi connessi all’accesso o alla diffusione delle informazioni sono spesso elevati.

* In Ucraina si ritiene che un corpo decapitato rinventuo vicino al villaggio di Tarachtcha sia quello di Georgiy Gongadze, fondatore ed editore di un quotidiano on-line critico nei confronti delle autorità.

* Nell'agosto del 1998 il diciottenne turco Emre Ersoz fu ritenuto colpevole di "insulto alla polizia nazionale" in un forum Internet dopo aver partecipato ad una manifestazione repressa violentemente dalla polizia. Il suo ISP ha fornito alle autorità il suo indirizzo.

* Il giornalista Miroslav Filipovic ha il triste primato di essere stato il primo giornalista accusato di spionaggio a causa di articoli pubblicati su Internet – in questo caso descrivendo dettagliatamente gli abusi di alcune unità dell'esercito jugoslavo in Kosovo.

Siamo disgustati da queste vergognose violazioni dell'informazione e dei diritti umani. Le democrazie liberali sono di gran lunga migliori a parole che nei fatti sull'accesso alle informazioni. Ma gli hacker non sono disposti a guardare i custodi della
Convenzione Internazionale sui diritti civili e politici e della Dichiarazione Universale dei Diritti Umani trasformarsi in una farsa. Noi vogliamo far seguire le parole ai fatti.

Hacktivismo e CULT OF THE DEAD COW pubblicano la HACKTIVISMO DECLARATION come dichiarazione di sdegno e dichiarazione di intenti. È la nostra Magna Carta per il diritto all’informazione. Le persone hanno un diritto ad un accesso ragionevole alle informazioni altrimenti pubblicate legittimamente. Se i nostri leader non sono preparati a difendere Internet, lo siamo noi.

-----------------------------------------------------------------------------------------------------------------------

[1] alcune informazioni citate nel presente comunicato stampa erano entrambe parafrasate, o citate direttamente, dal rapporto "Nemici di Internet" pubblicato da Reporters Without Frontiers e può essere trovato su rsf.fr

/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>

HACKTIVISMO DECLARATION
affermazioni di libertà a sostegno di un internet senza censura

PROFONDAMENTE ALLARMATI che la censura di Internet sponsorizzata dallo stato si stia rapidamente diffondendo tramite l'assistenza delle società transnazionali,

PRENDENDO COME BASE i principi e gli scopi sanciti nell'Articolo 19 della Dichiarazione universale dei diritti umani (UDHR) che afferma,
_Ogni individuo ha diritto alla libertà di opinione e di espressione; questo diritto include la libertà di avere opinioni senza interferenze e di cercare, ricevere e impartire informazioni e idee attraverso ogni mezzo e senza riguardo alle frontiere_, e l'Articolo 19 del Patto internazionale sui diritti civili e politici (ICCPR) che afferma,

1. Ogni individuo ha il diritto di avere opinioni senza interferenze.

2. Ogni individuo ha diritto alla libertà di espressione; questo diritto include la libertà di cercare, ricevere e impartire informazioni e idee di ogni genere, senza riguardo alle frontiere, sia oralmente, per iscritto o a mezzo stampa, in forma artistica, o attraverso ogni altro mezzo di sua scelta.

3. L'esercizio dei diritti previsti nel paragrafo 2 di questo articolo comporta doveri e responsabilità speciali. Può quindi essere soggetto a determinate restrizioni, ma queste saranno solo quelle previste dalla legge e necessarie:

(a) Per il rispetto dei diritti o della reputazione altrui;

(b) Per la protezione della sicurezza nazionale o dell'ordine pubblico, o della salute o della morale pubblica.

RICORDANDO che alcuni stati membri delle Nazioni Unite hanno firmato l'ICCPR o l'hanno ratificato in modo tale da impedire ai loro cittadini di utilizzarlo nei tribunali,

CONSIDERANDO che tali stati membri continuano a sopprimere volontariamente l'accesso su vasta scala alle informazioni pubblicate legalmente su Internet, nonostante il chiaro linguaggio dell'ICCPR secondo cui la libertà di espressione esiste in tutti i media,

PRENDENDO NOTA che le multinazionali continuano a vendere tecnologie dell'informazione ai regimi più repressivi del mondo sapendo benissimo che saranno utilizzate per tracciare e controllare una cittadinanza già tormentata,

TENENDO CONTO che Internet sta rapidamente diventando un metodo di
repressione piuttosto che uno strumento di liberazione,

TENENDO PRESENTE che in alcuni paesi è un crimine richiedere il
diritto di accesso alle informazioni pubblicate legalmente e di altri diritti umani fondamentali,

RICORDANDO che gli stati membri delle Nazioni Unite hanno fallito nel fare pressione sui più eclatanti violatori dei diritti di informazione del mondo a standard più elevati,

CONSAPEVOLI che negare l'accesso alle informazioni potrebbe portare a un declino spirituale, intellettuale ed economico, promozione della xenofobia e alla
destabilizzazione dell’ordine internazionale,

PREOCCUPATI che governi e multinazionali siano complici nel mantenere lo status quo,

PROFONDAMENTE ALLARMATI dal fatto che i leader mondiali non siano riusciti a gestire l’informazione su questioni relative ai diritti direttamente e senza equivoci,

RICONOSCENDO l'importanza di lottare contro le violazioni dei diritti umani con
rispetto all’accesso ragionevole alle informazioni su Internet,

SIAMO QUINDI CONVINTI che la comunità internazionale degli hacker abbia un imperativo morale ad agire, e noi

DICHIARIAMO:

*QUEL PIENO RISPETTO DEI DIRITTI UMANI E DELLE LIBERTÀ FONDAMENTALI
CHE INCLUDE LA LIBERTÀ DI UN ACCESSO EQUO E RAGIONEVOLE ALLE INFORMAZIONI, SIA TRAMITE LA RADIO A ONDE CORTE, LA POSTA AEREA, LA TELEFONIA SEMPLICE, L’INTERNET GLOBALE O ALTRI SUPPORTI.

* CHE RICONOSCIAMO IL DIRITTO DEI GOVERNI DI VIETARE LA PUBBLICAZIONE DI SEGRETI DI STATO ADEGUATAMENTE CATEGORIZZATI, PORNOGRAFIA INFANTILE,
E QUESTIONI LEGATE ALLA PRIVACY E AI PRIVILEGI PERSONALI, TRA LE ALTRE
RESTRIZIONI ACCETTATE. MA NOI CI OPPONIAMO ALL'USO DEL POTERE STATO PER IL CONTROLLO DELL’ACCESSO ALLE OPERE DI CRITICI, INTELLETTUALI, ARTISTI O RELIGIOSI.

*CHE LA CENSURA DI INTERNET SPONSORIZZATA DALLO STATO ERODE LA PACIFICO E CIVILIZZATA CONVIVENZA, INFLUISCE SULL’ESERCIZIO DELLA DEMOCRAZIA E METTE IN PERICOLO LO SVILUPPO SOCIOECONOMICO DELLE NAZIONI.

*CHE LA CENSURA DI INTERNET SPONSORIZZATA DALLO STATO È UNA FORMA SERIA DELLA VIOLENZA ORGANIZZATA E SISTEMATICA CONTRO I CITTADINI, MIRA A GENERARE CONFUSIONE E XENOFOBIA, ED È UNA VIOLAZIONE RIPROVEVOLE DELLA FIDUCIA.

* CHE STUDIEREMO MODI E MEZZI PER AGGIRARE LA CENSURA DI INTERNET SPONSORIZZATA DALLO STATO E IMPLEMENTERA' TECNOLOGIE PER SFIDARE LE
VIOLAZIONI DEI DIRITTI D'INFORMAZIONE.

Pubblicato il 4 luglio 2001 da Hacktivismo e CULT OF THE DEAD COW.

Collegamenti Web rilevanti:

Dichiarazione Universale dei Diritti Umani
un.org/Overview/rights.html

Patto internazionale sui diritti civili e politici
unhchr.ch/html/menu3/b/a_ccpr.…

Reporter Without Frontiers
rsf.fr

CULT OF THE DEAD COW
cultdeadcow.com

Fonti
cs.stanford.edu/people/erobert…
web.archive.org/web/2009050205…

L'articolo Sai davvero cosa vuol dire Hacktivismo? E’ un “messaggio speciale di speranza!” proviene da il blog della sicurezza informatica.

Before the age of lithium batteries, any project needing to carry its own power had to rely on batteries that were much less energy-dense and affordable. In many ways, we take modern lithium technology for granted, and can easily put massive batteries in our projects by the standards of just a few decades ago. While the affordability of lithium batteries has certainly decreased the amount of energy we need to put in to our projects to properly size batteries, there’s still a lot of work to be done if you’re working on a bigger project or just want to get the maximize the efficiency and effectiveness of your DIY battery pack.

The main problem with choosing a battery, as [ionworks] explains, is that batteries can’t be built for both high energy and high power, at least not without making major concessions for weight or cost. After diving in to all of the possible ways of customizing a battery, the battery guide jumps in to using PyBaMM to perform computational modeling of potential battery designs to hopefully avoid the cumbersome task of testing all of the possible ways of building a battery. With this tool virtually all of a battery’s characteristics can be simulated and potential problems with your setup can be uncovered before you chose (or start production of) a specific battery system.

While customizing a battery pack to this extent might not be a consideration for most of us unless the project is going to be big enough to run something like an electric car or a whole-house generator, it’s a worthwhile tool to know about as even smaller projects like ebikes can benefit from choosing the right cell for the application. Some of the nuances of battery pack design can be found in this guide to building packs from the standard 18650 cells.

Header: Lead holder, CC BY-SA 3.0 .

Drive-throughs are a popular feature at fast-food places, where you can get some fast grub without even leaving your car. For the fast-food companies running them they are also a big focus of automation, with the ideal being a voice assistant that can take orders and pass them on to the (still human) staff. This probably in lieu of being able to make customers use the touch screens-equipped order kiosks that are common these days. Pushing for this drive-through automation change is now Taco Bell, or specifically the Yum Brands parent company.

This comes interestingly enough shortly after McDonalds deemed its own drive-through voice assistant to be a failure and removing it. Meanwhile multiple Taco Bell in the US in 13 states and five KFC restaurants in Australia are trialing the system, with results apparently encouraging enough to start expanding it. Company officials are cited as it having ‘improved order accuracy’, ‘decreased wait times’ and ‘increased profits’. Considering the McDonalds experience which was pretty much the exact opposite in all of these categories we will remain with bated breath. Feel free to share your Taco Bell or other Voice AI-enabled drive-through experiences in the comments. Maybe whoever Yum Brands contracted for their voice assistant did a surprisingly decent job, which would be a pleasant change.

Top image: Taco Bell – Vadnais Heights, MN (Credit: Gabriel Vanslette, Wikimedia)

Organizing things in your home or workshop is a constant battle for some of us. Until we have access to a Tardis or bag of holding, maybe the next best thing is a sliding shelf system.

[HAXMAN] found a great set of sliding shelves online, but after recovering from sticker shock decided he could build something similar for much less. The frame for the shelving was built from 4×4 posts, some 2x4s, and strut channel track welded to steel 2x6s. Aluminum plates bolted to strut trolleys support the weight of the shelving units he built from plywood.

Everything was painted with a multi-material paint formulated for covering both wood and metal so everything has a uniform appearance. We love the bright shelving offset by the more classic black appearance of the rack. Just because its storage, doesn’t mean it has to look boring!

Looking for more clever storage solutions? You might like your to make your own shadow boards, favor Gridfinity, or just wonder what other readers do to organize their electronic odds and ends.

youtube.com/embed/qyl1mLTaY6M?…

Metrology fans are usually at least a little bit in love with Mitutoyo, and rightfully so. The Japanese company has been making precision measuring instruments for the better part of 100 years, and users appreciate their precision almost as much as the silky smooth feel of their tools. If you can afford it, a Mitutoyo caliper is quite an addition to your toolbox.

As good as they are, though, they’re not perfect, which is what led to this clever Mitutoyo digital caliper hack by [turbanedengineer]. The calipers in question, a digital set from the early 1980s, happen to have a unique history with a tangential Hackaday angle — they belonged to [Dhaval], mechanical engineer and avid motorcyclist who happens to be the late elder brother of our own [Anool Mahidharia].

The tool, in need of a little TLC, made its way to [turbanedengineer] who first restored the broken battery contacts. Once powered up again, it became apparent that while the caliper’s native metric measurements were spot on, the internal conversion to inches was considerably off. This led [turbanedengineer] to the data port on the tool, which is intended to send serial data to an external computer for logging measurements. After a little experimentation to nail down the data format, he prototyped a tiny circuit using an ATtiny85 and an OLED display that reads the caliper data, converts metric to inches, and displays both measurements on the screen. The prototype led to a more permanent version, which cleverly sits over the original display and taps into the data port without any free wires. The video below shows the very slick results.

Our hearts go out to [Anool] and his family for their loss, and we tip our hats to [turbanedengineer] for his thoughtful and respectful hack of a storied tool. We know that anthropomorphizing tools makes no rational sense, but we think it’s safe to say that a tool like this has a soul, and it’s probably happy to be back in the game.

youtube.com/embed/r8xpCtS69Pg?…

We’ve said it before and we’ll say it again: water always finds a way in. That’s particularly problematic for things like wire splices in damp environments, something that no amount of electrical tape is going to help. Heat shrink tubing might be your friend here, but for an electrically isolated and mechanically supported repair, you may want to give over-molding with a hot glue gun a try.

The inspiration for [Print Practical]’s foray into over-molding came from a video that’s making the rounds showing a commercially available tool for protecting spliced wires in the automotive repair trade. It consists of a machined aluminum mold that the spliced wires fit into and a more-or-less stock hot glue gun, which fills the mold with melted plastic. [Print Practical] thought it just might be possible to 3D print custom molds at home and do it himself.

His first attempt didn’t go so well. As it turns out, hot glue likes to stick to things — who knew? — including the PETG mold he designed. Trying to pry apart the mold after injection was a chore, and even once he got inside it was clear the glue much preferred to stay in the mold. Round two went much better — same wire, same mold, but now with a thin layer of vegetable oil to act as a release agent. That worked like a charm, with the over-mold standing up to a saltwater bath with no signs of leaking. [Print Practical] also repaired an iPhone cable that has seen better days, providing much-needed mechanical support for a badly frayed section.

This looks like a fantastic idea to file away for the future, and one that’s worth experimenting with. Other filament types might make a mold better able to stand up to the hot glue, and materials other than the ethylene-vinyl acetate copolymer found in most hot glue sticks might be explored. TPU over-molds, anyone? Or perhaps you can use a printer as an injector rather than the glue gun.

youtube.com/embed/-uNsyOG0eZY?…

I ricercatori di CISPA , SBA Research e dell’Università di Vienna hanno scoperto due vulnerabilità nel protocollo mobile Voice over WiFi (VoWiFi) che compromettono la sicurezza delle comunicazioni per milioni di utenti di telefoni cellulari in tutto il mondo. Al momento, le carenze sono state eliminate, ma gli scienziati hanno parlato della loro scoperta.

Gli smartphone moderni possono stabilire connessioni telefoniche non solo tramite reti mobili, ma anche tramite Wi-Fi ( chiamate WLAN ), fornendo la comunicazione anche in luoghi con segnale debole.

Dal 2016 quasi tutti i principali operatori di telefonia mobile offrono le chiamate Wi-Fi, preinstallate su tutti i nuovi smartphone.

Architettura per Telefonate da portatile (UE) a centrale (IMS): confronto tra connessione VoLTE e VoWiFi

Le vulnerabilità hanno interessato i servizi di 13 dei 275 operatori di telefonia mobile studiati, compresi operatori di Austria, Slovacchia, Brasile e Russia, mettendo a rischio la sicurezza delle comunicazioni di circa 140 milioni di clienti.

L’errore è correlato a un importante componente di rete nell’architettura delle reti LTE e 5G: Evolved Packet Data Gateway (ePDG). Per le chiamate WLAN lo smartphone deve registrarsi sulla rete principale dell’operatore. Per garantire che ciò avvenga in modo sicuro, vengono stabiliti tunnel IPsec tra il dispositivo e ePDG.

I tunnel IPsec vengono creati in più fasi. La sicurezza delle comunicazioni è garantita principalmente attraverso lo scambio di chiavi crittografiche mediante il protocollo Internet Key Exchange (IKE). Le chiavi devono essere private e casuali, ma gli operatori non rispettano queste condizioni.

13 operatori hanno utilizzato lo stesso set di 10 chiavi private statiche anziché impostarne di nuove e casuali. Un malintenzionato in possesso di queste chiavi potrebbe facilmente intercettare le comunicazioni tra smartphone e operatori. Hanno accesso alle chiavi tutti gli operatori interessati, il produttore ed eventualmente i servizi di sicurezza di ciascun paese. Anche le reti del provider cinese ZTE erano minacciate.

I ricercatori hanno anche scoperto che molti nuovi chip (compreso il 5G) del produttore taiwanese MediaTek , utilizzati in alcuni smartphone Android di Xiaomi, Oppo, Realme e Vivo, presentano un’altra vulnerabilità.

Il chip funziona con la carta SIM per registrare gli utenti sulla rete mobile utilizzando VoWiFi. Gli scienziati hanno scoperto che il livello di crittografia lato smartphone può essere ridotto al minimo mediante attacchi mirati. Dall’analisi delle configurazioni di altri produttori, Google, Apple, Samsung e Xiaomi, è emerso che fino all’80% dei casi utilizzavano metodi crittografici obsoleti.

I ricercatori non possono confermare quanti utenti in tutto il mondo siano stati effettivamente colpiti dagli attacchi o siano stati intercettati. Gli scienziati hanno segnalato il problema al GSMA e ai relativi fornitori, dando loro l’opportunità di sviluppare aggiornamenti. Gli aggiornamenti sono già stati rilasciati. Solo dopo una divulgazione responsabile i ricercatori hanno pubblicato il loro lavoro al Simposio sulla sicurezza USENIX del 2024, rendendo i loro risultati disponibili ad altri ricercatori.

Vulnerabilità:

• CVD-2024-0089 – Riconoscimenti della ricerca sulla sicurezza mobile GSMA;
• CVE-2024-20069 (punteggio CVSS: 6,5) – Selezione di un algoritmo meno sicuro durante la negoziazione (downgrade dell’algoritmo) Bollettino sulla sicurezza del prodotto MediaTek di giugno 2024 ;
• CVE-2024-22064 (punteggio CVSS: 8,3) è un problema di configurazione in ZTE ZXUN-ePDG .

L'articolo Dei bug su Voice Over WiFi hanno permesso l’intercettazione delle chiamate proviene da il blog della sicurezza informatica.

In this episode, the CrowdStrike fiasco has Hackaday Editors Elliot Williams and Tom Nardi pondering the fragility of our modern infrastructure. From there the discussion moves on to robotic sailboats, the evolving state of bespoke computers, and the unique capabilities of the Super Nintendo cartridge. You’ll also hear about cleaning paintings with lasers, the advantages of electronic word processors, stacking 3D printed parts, and the joys of a nice data visualization. They’ll wrap the episode up by marveling at the techniques required to repair undersea fiber optic cables, and the possibilities (and frustrations) of PCB panelization using multiple designs.

Check out the links below if you want to follow along, and as always, tell us what you think about this episode in the comments!

html5-player.libsyn.com/embed/…

As always, the Hackaday Podcast is available in DRM-free MP3 for offline listening.

Where to Follow Hackaday Podcast

Places to follow Hackaday podcasts:

• iTunes
• Spotify
• Stitcher
• RSS
• YouTube
• Check out our Libsyn landing page

Episode 282 Show Notes:

News:

• A History Of Internet Outages
• Connections (British TV series) – Wikipedia

What’s that Sound?

• Congrats to [Arawn Greyson], who knows his Time Lords.

Interesting Hacks of the Week:

• Saildrones Searching The Sea For Clues To Hurricane Behavior
  
  • GREENBIRD SMASHES WORLD RECORD!!
  • Supercon 2023: [Pierce Nichols] Is Teaching Robots To Sail
  • Canary Island Team Wins World Robotic Sailing 2016

  
  

• Printed Portable Computer Inspired By The Classics
  
  • Mechanical Keyboard + Laptop = Clacktop

  
  

• A Look Inside The Super Nintendo Cartridges And Video System
  
  • Reverse-Emulating NES: Nintendception!
  • Doom On The NES

  
  

• A Brief History Of AlphaSmart
  
  • AlphaSmart Neo Teardown: This Is The Way To Write Without Distractions

  
  

• Read Utility Meters Via SDR To Fill Out Smart Home Stats
• George Washington Gets Cleaned Up With A Laser
  
  • Laser Removes Rust Like Magic

  
  

Quick Hacks:

• Elliot’s Picks:
  
  • Need Many Thin Parts? Try Multi-material Stack Printing
  • AI Image Generator Twists In Response To MIDI Dials, In Real-time
  • This Home Made Mac Has A Real CRT

  
  

• Tom’s Picks:
  
  • Foliodeck Squeezes A Writerdeck Into A Planner
  • Junk Bin Build Lets You Test Fuel Injectors On The Cheap
  • An RC Tracked Robot, Without The Pain

  
  

Can’t-Miss Articles:

• Undersea Cable Repair
• Hacker Tactic: Multi-Design Panels

Sometimes off-the-shelf solutions to a problem don’t meet your expectations. That’s what led [TomGoff] to build his own solar pond fountain.

This build features a lot of creative reuse of materials [TomGoff] already had on hand, like the end of a cable reel for the platform and a wheelbarrow inner tube for flotation. A 3D printed nozzle in the center of this apparatus is attached to a 12 V water pump and the whole thing is controlled by an Arduino running 30 seconds on and 3 minutes off to conserve battery power.

A hand-built perfboard contains a light dependent resistor (LDR) to tell the Arduino not to run at night, the relay for the pump, and a battery charge monitor. Be sure to check out the full write-up to see the video of the Tinkercad electronics simulation as well as the code. A 20 W solar panel keeps the whole thing charged so you don’t have to run mains power out to your pond.

If you need more solar projects for your garden, how about this Charmander lamp or a solar powered irrigation system?

youtube.com/embed/6y-9VMeOzck?…

It’s a bit of bitter irony, when a security product gets used maliciously, to pull off the exact attack it was designed to prevent. Enter Proofpoint, and the EchoSpoofing attack. Proofpoint offers an email security product, filtering spam and malicious incoming emails, and also handling SPF, DKIM, and DMARC headers on outgoing email. How does an external service provide those email authentication headers?

One of the cardinal sins of running an email server is to allow open relaying. That’s when anyone can forward email though an SMTP server without authentication. What we have here is two nearly open relays, that wound up with spoofed emails getting authenticated just like the real thing. The first offender is Microsoft’s Office365, which seems to completely skip checking for email spoofing when using SMTP relaying from an allowed IP address. This means a valid Office365 account allows sending emails as any address. The other half relies on the way Proofpoint works normally, accepting SMTP traffic from certain IP addresses, and adding the authentication headers to those emails. There’s an option in Proofpoint to add the Microsoft Office 365 servers to that list, and apparently quite a few companies simply select that option.

The end result is that a clever spammer can send millions of completely legitimate looking emails every day, that look very convincing even to sophisticated users. At six months of activity, averaging three millions emails a day, this campaign managed just over half a billion malicious emails from multiple high-profile domains.

The good news here is that Proofpoint and Guardio discovered the scheme, and worked with Microsoft to develop the X-OriginatorOrg header that is now applied to every email sent from or through the Office365 servers. This header marks the account tenant the email belongs to, giving vendors like Proofpoint a simple way to determine email validity.

Ransomware Gets Bigger

It’s not just spam emails that posted eye-watering numbers this year. We’ve broken the record for the biggest ransomware payment, too. Zscaler is reporting a $75 million ransom payment from a “Fortune 50” company. Reading the tea leaves indicates Cencora as a likely candidate, as this pharmaceutical giant was hit by an attack in February, and none of the usual suspects ever claimed responsibility. This leads one to suspect that it was the Dark Angels ransomware operation.

The Linux CNA, with a Grain of Salt

One of the interesting recent security developments is the proliferation of CNAs, CVE Numbering Authorities, particularly among Open Source projects. Part of the reason is the growing prevalence of CVE issued on bogus bugs, or with completely overblown CVSS scores. One of these new CNAs is the Linux Kernel itself, which has taken an odd approach to handing CVEs: Every bug gets one. On one hand, the kernel developers make a valid point that in kernel land, basically any bug can be a vulnerability. And it’s certainly one way to put the pressure on vendors to use more up-to-date kernel releases. On the other hand, Linux is now the most prolific CNA measured in CVEs generated each year.

The situation does not sit well with everyone. Grsecurity has published a case study on CVE-2021-4440, that highlights some issues. The emphasis here seems to be that the kernel team uses a lot of automation tools to manage CVEs, and these tools aren’t always great at accuracy or clarity. Now one thing to keep in mind, grsecurity in particular has had a rocky relationship with the upstream kernel, so a grain of salt might be taken with this one. Regardless, it seems like the kernel is experiencing some growing pains, as it comes into its new role as CNA.

Github Adds Attestation

Github has added a new attestation feature, presumably spurred by the XZ attack. Github Attestations are a cryptographic proof that a tarball or binary was built from the source code publicly available, and hasn’t been tampered with. This has been out for about a month now, and this week is joined by a quick starter guide to publishing attestations with everything a project releases. There’s also a Kubernetes project that only allows running images that have valid attestations in place, which is handy!

ZDI on Windows

ZDI has some interesting coverage of some recently discovered vulnerabilities in antivirus products, all around the idea of link following. Put simply, what if an antivirus detects a malicious file, but before it can delete that file, an attacker switches the file out with a filesystem link to a different file? In many cases, the antivirus follows the link and deletes something it shouldn’t. Part two is some more advanced ways to pull off this trick, like using NTFS Alternate Data Streams to trick the antivirus into action.

While we’re talking ZDI disclosures, there’s a Deep Sea Electronics communication module that had some problems, like a configuration backup endpoint that has no authentication check. There are a couple of other endpoints missing authentication, as well as trivial Denial of Service situations. Unfortunately this is a case where the vendor dropped the ball, and these vulnerabilities are assumed to be unpatched for this device.

Bits and Bytes

The unfortunate state of mobile applications is that just because it’s published on an official app store, there is no guarantee that an app is safe. Mandrake was first seen in 2016, with several waves of malicious activity, to disappear for a couple years. It’s back, and has eluded notice til very recently. I was intrigued by the idea that it excluded 90 countries from being targeted, and found this in the source document: “It avoids running in low income states, African nations, former Soviet Union countries or predominantly Arabic-speaking nations.”

Once again, in IoT the S stands for security. A wifi security camera with a generic brand name shipped with a hard-coded root password. On this one, the journey is most of the fun. But really, WiFi cameras have bigger problems, and it’s apparently becoming common for thieves to use wifi jammers to cover their tracks. Hardwire your cameras, and keep them away from the Internet.

While it didn’t rise to the Crowdstrike level, Microsoft had an Azure outage this week, that caused some headache. It turns out it was a DDoS attack, and Microsoft’s own Denial of Service mitigation tooling amplified the attack instead of mitigating it. Decidedly non-ideal.

Most people love lasers, because they can make cats chase, read music from a shiny disc, etch and cut materials, and be very shiny in Hollywood blockbusters, even when their presence makes zero sense. That said, lasers are also extremely dangerous, as their highly focused nature and wide range of power levels can leave a person dazzled, blinded or dead from direct and indirect exposure. A lapse in laser safety was how [Phil Broughton] ended up with part of his retina forever marked, as he describes his adventures with an overly enthusiastic laser company sales person.
Quanta Ray PRO350 with frequency doubling, emitting a 532 nm beam – Sales brochure image from Quanta Ray, unknown date
It didn’t take much, just this sales person who made a really poor decision while trying to please some customers and nearly ended with multiple adults, a local school, pilots at a nearby airfield getting their retinas blasted out due to an absolutely harebrained idea to use a fairly high-powered Quanta-Ray Nd:YAG laser on reflective surfaces in the open.

This was in 1999, and fortunately [Phil] only suffered some fairly minor damage to his retina from the laser beam reflection. What happened to the customers (who wore argon laser safety glasses) or the sales critter (who left soon after) is not described, but both may have received some bad news when they had their eyes checked shortly after after at the ophthalmologist.

These kind of stories are a stark reminder that laser safety is not optional. Lasers producing a visible (400 – 700 nm) wavelength above Class 2 should only be operated in a fully secured environment, with safety glasses for the appropriate laser wavelength. Class 2 lasers producing a non-visible wavelength can cause permanent damage because the blink reflex of the eye does not offer any protection here.

As even some dodgy laser pointers are being (illegally) sold online are actually Class 2, this should make it clear that laser eye injury can happen to anyone, and it only takes a second to change someone’s life forever.

Quest’anno la competizione hacker Pwn2Own si terrà per la prima volta in Irlanda. È già noto che verrà offerta una ricompensa di 300.000 dollari per explot 0click del messenger WhatsApp.

Gli specialisti della Trend Micro Zero Day Initiative (ZDI) hanno annunciato che il prossimo Pwn2Own si terrà in Irlanda, dal 22 al 25 ottobre 2024. Il concorso si è svolto per molti anni presso l’ufficio Trend Micro di Toronto, ma ora questo ufficio ha chiuso e l’evento ha dovuto trovare una nuova sede.

È stato inoltre riferito che Meta si è unito a Pwn2Own come sponsor quest’anno. Di conseguenza, l’azienda è pronta a offrire fino a 300.000 dollari per exploit 0-day/0-click mirati al messenger WhatsApp.

In confronto, il rinomato broker di exploit Zerodium offre attualmente fino a 1 milione di dollari per un exploit WhatsApp che consentono l’esecuzione di codice da remoto e l’escalation dei privilegi locali. Gli exploit zero-click possono costare fino a 1,5 milioni di dollari.

Inoltre, su Pwn2Own Ireland verranno offerti grandi premi per exploit per vari smartphone. Ad esempio, le vulnerabilità di Pixel 8 e iPhone 15 possono costare agli hacker fino a 250.000 dollari e, se la catena di exploit include l’accesso a livello di kernel, fino a 300.000 dollari.

Anche i bug nel Samsung Galaxy S24 hanno un valore di ben 50.000 dollari.

Anche quest’autunno gli specialisti della sicurezza informatica concorreranno per i seguenti premi:

• gli exploit per gli hub di casa intelligente (prodotti di AeoTec, Apple, Amazon e Google) possono portare esperti da 40.000 a 60.000 dollari;
• nella categoria Sistemi di videosorveglianza, i partecipanti possono guadagnare fino a 30.000 dollari per le soluzioni di hacking di Lorex, Nest, Synology, Ubiquiti e Arlo;
• le vulnerabilità nelle stampanti HP, Lexmark e Canon sono stimate a 20.000 dollari, e per gli altoparlanti intelligenti di Sonos, Google e Amazon a 60.000 dollari;
• I membri di Pwn2Own Ireland potranno anche guadagnare 40.000 dollari per l’hacking del NAS (inclusi Synology, TrueNAS e QNAP).

Ricordiamo che al Pwn2Own dell’anno scorso i ricercatori hanno guadagnato più di un milione di dollari USA con un totale di 58 vulnerabilità zero-day uniche scoperte.

L'articolo Pwn2Own 2024 si Sposta in Irlanda: Ricompense per 300.000 dollari per gli Exploit di WhatsApp proviene da il blog della sicurezza informatica.