Putin sotto pressione. Il nuovo fronte ucraino che spaventa il Cremlino
[quote]L’esercito ucraino sta manovrando per assediare con quattro reattori la centrale atomica situata sulla riva del fiume Seym presso la cittadina di Kurčatov, a circa 40 chilometri a ovest di Kurks. È una delle tre centrali nucleari più grandi della Russia e una delle maggiori produttrici di elettricità del Paese.
🔁 Il Giorno del Sovraccarico Planetario #overshootday è arrivato un giorno prima rispetto al 2023, segnalando che dal 5 agosto siamo costretti a u...
Il Giorno del Sovraccarico Planetario #overshootday è arrivato un giorno prima rispetto al 2023, segnalando che dal 5 agosto siamo costretti a utilizzare la “carta di credito ambientale”. Le risorse
https://feddit.
Informa Pirata: informazione e notizie
Il Giorno del Sovraccarico Planetario #overshootday è arrivato un giorno prima rispetto al 2023, segnalando che dal 5 agosto siamo costretti a utilizzare la “carta di credito ambientale”. Le risorse https://feddit.Telegram
Lotta al Cybercrime, Onu approva primo trattato (su iniziativa di Russia e Cina). I difensori dei diritti umani e big tech: “È sorveglianza globale”
@Informatica (Italy e non Italy 😁)
“Uno Stato può, per indagare su qualsiasi reato punibile con almeno quattro anni di reclusione ai sensi della propria
Informatica (Italy e non Italy 😁) reshared this.
GAZA. Usa, Qatar ed Egitto chiedono a Israele e Hamas di riprendere i negoziati il 15 agosto
@Notizie dall'Italia e dal mondo
La situazione umanitaria nella Striscia è sempre più critica. Israele continua i suoi attacchi. Ieri i raid aerei hanno fatto almeno 40 morti e decine di feriti tra i civili e colpito altre due scuole.
L'articolo GAZA. Usa,
Notizie dall'Italia e dal mondo reshared this.
«Inefficaci»: così la Science Based Targets initiative boccia i carbon credits
@Notizie dall'Italia e dal mondo
Il nuovo articolo di @valori
La Science Based Targets initiative lancia un messaggio chiaro alle aziende: la decarbonizzazione è una cosa seria, comprare carbon credits non basta
L'articolo «Inefficaci»: così la Science Based Targets initiative boccia i carbon credits proviene da Valori.
Notizie dall'Italia e dal mondo reshared this.
Lo sciopero degli stabilimenti balneari mette in imbarazzo Meloni
@Politica interna, europea e internazionale
Nel primo mattino di oggi, venerdì 9 agosto, è andato in scena lo sciopero degli stabilimenti balneari per protestare contro il mancato intervento del Governo Meloni sul fronte delle concessioni. L’iniziativa mette in imbarazzo i partiti della maggioranza, in particolare
reshared this
500cc Of 4-Wheel Off-Road Fun
Who among us hasn’t at some point thought of building a little vehicle, and better still, a little off-road vehicle for a few high-octane rough-terrain adventures. [Made in Poland] has, and there he is in a new video with a little off-road buggy.
The video which we’ve paced below the break is quite long, and it’s one of those restful metalworking films in which we see the finished project take shape bit by bit. In this case the buggy has a tubular spaceframe, with front suspension taken from a scrap quad and a home-made solid rear axle. For power there’s a 500cc Suzuki two-cylinder motorcycle engine, with a very short chain drive from its gearbox to that axle. The controls are conventional up to a point, though we’d have probably gone for motorcycle style handlebars with a foot shift rather than the hand-grip shift.
The final machine is a pocket drift monster, and one we’d certainly like to have a play with. We’d prefer some roll-over protection and we wonder whether the handling might be improved were the engine sprung rather than being part of a huge swing-arm, but it doesn’t appear to interfere with the fun. If you fancy a go yourself it’s surprisingly affordable to make a small vehicle, just build a Hacky Racer.
Della chiusura della linea per i lavori di ammodernamento previsti (urgenti e necessari) come il raddoppio di alcune tratte, l’eliminazione dei passaggi a livello, ecc…, si parla da lunghi anni, cioè da quando c’erano il sig. Zingaretti e il sig. Civita in Regione, ma adesso pare che siamo arrivati al dunque perchè a gennaio 2025 si dovrebbero avviare i lavori.
Finalmente, dopo tanti anni di chiacchiere, stanno per arrivare i fatti.
Ma c’è un però, grande come una casa.
Intanto non esiste un piano di mobilità alternativo alla chiusura della tratta extraurbana da Montebello in avanti, nessuno lo ha ancora elaborato. E il tempo vola. Conoscendo i soggetti non ci sarà da aspettarsi niente di più che qualche navetta incarrozzata nel traffico della via Flaminia nelle ore di punta.
Teniamo presente che la Roma Viterbo, come la Roma Lido, ha perso negli anni moltissimi utenti a causa del pessimo servizio erogato ed iL rischio reale è quello di perderne molti altri, che magari preferiranno la propria auto.
Detto questo, ci viene un forte dubbio in merito alla chiusura della linea.
Sulla Roma Lido i lavori su infrastruttura, segnalamento e linea elettrica (in atto da due anni) si fanno dalle 21 alle 5 di mattina e di giorno i treni girano regolarmente.
Perché sulla Roma Viterbo no?
Perchè punire di nuovo i pendolari?
RIFONDAZIONE COMUNISTA – LAZIO
LA TRATTA EXTRAURBANA DELLA ROMA VITERBO CHIUDERA’ PER 2 ANNI. E I PENDOLARI?
Della chiusura della linea per i lavori di ammodernamento previsti (urgenti e necessari) come il raddoppio di alcune tratte, l'eliminazione dei passaggi a livelRifondazione Comunista
Noi di Rifondazione siamo stati gli unici a votare contro la direttiva Bolkestein e trovo ridicolo che da anni quelli che l’hanno votata diano colpa a una cattiva Europa per nascondere le loro responsabilità. Il vittimismo dei balneatori è fuori luogo. Hanno goduto di un sostegno bipartisan per decenni che ha portato a prevedere il rinnovo automatico, cioè eterno, delle concessioni con canoni irrisori. Un privilegio e una rendita insostenibile sul piano giuridico su un bene demaniale dai tempi dell’imperatore Giustiniano. Questo ha consentito di creare un mercato delle concessioni che vengono cedute per milioni di euro senza che la collettività – comuni e demanio – ne ricavi nulla. Ma soprattutto ha scatenato una progressiva proliferazione di manufatti e recinzioni che hanno reso la vista mare preclusa in gran parte delle spiagge italiane. Questo è accaduto grazie alla complicità bipartisan dei legislatori e degli amministratori di comuni e regioni che si sono per anni contesi il voto della loro lobby. Che ora si lamentino degli investimenti come se fosse stata la comunità a chiedergli di costruire a più non posso è davvero fuori luogo. I balneatori sono da tempo una lobby potentissima che ha avuto un trattamento di favore da parte di centrodestra e centrosinistra. Ricordo che quando si provò ad aumentare i canoni ci fu una rivolta prepotente a cui la politica si piegò. L’alta redditività delle concessioni ha portato a una corsa alla cementificazione delle spiagge e alla sostanziale assenza di spiagge libere nel nostro paese. Se sai che la tua concessione è eterna investi un sacco di soldi per costruire sempre nuove strutture. E’ davvero triste che debba essere l’Unione Europea a imporre con criteri meramente ordoliberisti di porre fine a un regime di gestione del demanio marittimo inaccettabile. Doveva essere la Repubblica italiana a tutelare un bene comune come la spiaggia con criteri di interesse pubblico a partire dalla vista mare (la Repubblica tutela il paesaggio, recita l’articolo 9 della Costituzione) e a imporre un modello di gestione diversa. Il dibattito da tempo in corso è concentrato solo sulle gare mentre bisognerebbe mettere al primo posto la tutela ambientale-paesaggistica, la fruibilità di un bene comune, il lavoro. Sbaglia chi pensa che bastino le gare per ottenere una corretta gestione del demanio marittimo. Anzi c’è il rischio – in assenza di regolamentazione nazionale – che come soggetti economicamente più forti delle famiglie dei balneatori si approprino di questo bene di tutte/i per continuare il saccheggio. Chi lo ha detto che a scadenza delle concessioni debbano semplicemente andare a gara? E’ possibile un modello di gestione pubblico diverso. C’è bisogno di un grande piano per la rinaturalizzazione delle spiagge italiane, di aumentare i canoni, di aumentare le spiagge libere, di salvaguardare il lavoro non la rendita. La spiaggia è di tutti, riprendiamocela!
Maurizio Acerbo, segretario nazionale del Partito della Rifondazione Comunista
ACERBO(PRC): LA SPIAGGIA E’ DI TUTTI, RIPRENDIAMOCELA
Noi di Rifondazione siamo stati gli unici a votare contro la direttiva Bolkestein e trovo ridicolo che da anni quelli che l'hanno votata diano colpa a una cattiRifondazione Comunista
rag. Gustavino Bevilacqua reshared this.
Saldi nelle underground per le Botnet. Affitti a partire da 99 Dollari!
I criminali informatici utilizzano sempre più spesso le botnet, reti di dispositivi infetti che consentono loro di sferrare attacchi massicci come DDoS. Uno studio condotto dagli esperti di Kaspersky Digital Footprint Intelligence ha dimostrato che il costo per affittare o acquistare tali reti sul mercato nero parte da 99 dollari, rendendole accessibili a un’ampia gamma di aggressori.
Le botnet sono formate da dispositivi infettati da malware e consentono attacchi automatizzati su larga scala. Ad esempio, la botnet Mirai scansiona Internet alla ricerca di dispositivi IoT vulnerabili che utilizzano password standard, li cattura e li include nella sua rete.
Nella prima metà del 2024, gli analisti di Kaspersky Lab hanno registrato un aumento significativo del numero di gadget IoT infetti, che potrebbe variare da semplici dispositivi domestici a complessi sistemi industriali.
Nel mercato ombra le botnet possono essere acquistate o noleggiate. Il loro prezzo varia a seconda della qualità e della funzionalità: da 99 a 10mila dollari per l’acquisto e da 30 a 4.800 dollari per l’affitto al mese. Queste reti possono essere configurate per attività specifiche e variano in termini di metodi di infezione, tipo di software utilizzato e metodi per aggirare i sistemi di sicurezza.
Particolarmente pericolose sono le botnet il cui codice sorgente è trapelato online. Sono disponibili a costi minimi o addirittura gratuiti, ma la loro efficacia è ridotta dalla facilità di rilevamento da parte dei moderni sistemi di sicurezza. Tuttavia, tali botnet sono ancora ampiamente utilizzate negli attacchi informatici.
Inoltre, sui mercati neri compaiono offerte per la creazione di botnet personalizzate. Il costo di tali servizi parte da 3mila dollari USA e tali transazioni vengono spesso concluse privatamente.
Le botnet vengono utilizzate per qualcosa di più che semplici attacchi. Con il loro aiuto, gli aggressori possono utilizzarle per effettuare mining di criptovalute o distribuire ransomware. Il riscatto richiesto per decrittografare i dati rubati utilizzando tali programmi può arrivare fino a 2 milioni di dollari.
Come notano gli analisti di Kaspersky Digital Footprint Intelligence, nonostante la relativa accessibilità, le botnet rimangono solo uno dei tanti strumenti nell’arsenale dei criminali informatici. Tuttavia, la loro popolarità continua a crescere, ponendo notevoli minacce alla sicurezza sia per gli individui che per le organizzazioni.
L'articolo Saldi nelle underground per le Botnet. Affitti a partire da 99 Dollari! proviene da il blog della sicurezza informatica.
Hackaday Podcast Episode 283: Blinding Lasers, LEDs, and ETs
Hackaday Editors Elliot Williams and Al Williams reflect on the fact that, as humans, we have–at most–two eyes and no warp drives. While hacking might not be the world’s most dangerous hobby, you do get to work with dangerous voltages, temperatures, and frickin’ lasers. Light features prominently, as the guys talk about LED data interfaces, and detecting faster-than-light travel.
There’s also a USB sniffer, abusing hot glue, and some nostalgia topics ranging from CRT graphics to Apollo workstations (which have nothing directly to do with NASA). The can’t miss articles this week cover hacking you and how Apollo Computer: The Forgotten Workstations you make the red phone ring in the middle of a nuclear war.
Check out the links below if you want to follow along, and as always, tell us what you think about this episode in the comments!
html5-player.libsyn.com/embed/…
As always, please download the file to archive in your doomsday bunker.
Where to Follow Hackaday Podcast
Places to follow Hackaday podcasts:
Episode 283 Show Notes:
News:
- Tickets For Supercon 2024 Go On Sale Now!
- Taco Bell To Bring Voice AI Ordering To Hundreds Of US Drive-Throughs
What’s that Sound?
- Al was unsuccessful, but if you know the correct answer, submit it and you could win a limited edition Hackaday Podcast T-shirt.
Interesting Hacks of the Week:
- Getting A Laser Eye Injury And How To Avoid It
- Detecting Faster Than Light Travel By Extraterrestrials
- Programming Tiny Blinkenlight Projects With Light
- Need A USB Sniffer? Use Your Pico!
- Pixel Art And The Myth Of The CRT Effect
- Over-molding Wires With Hot Glue And 3D Printed Molds
Quick Hacks:
- Elliot’s Picks:
- An ESP Makes A Bicycle Odometer
- Tiny Trackpad Fits On Ergonomic Keyboard
- Get Your Glitch On With A PicoEMP And A 3D Printer
- RC Car Gets Force Feedback Steering
- Al’s Picks:
- 1000 Picks Make For A Weird Guitar
- Homebrew Relay Computer Features Motorized Clock
- Apollo Computer: The Forgotten Workstations
Can’t-Miss Articles:
Informa Pirata: informazione e notizie
➡️ https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10043752Telegram
🔁 Nuovo articolo: Asteroid’s Revenge, la vendetta degli asteroidi! feddit.it/post/9971667 Il nuovo post di lealternative_bot è su feddit....
Nuovo articolo: Asteroid’s Revenge, la vendetta degli asteroidi!
feddit.it/post/9971667
Il nuovo post di lealternative_bot è su feddit.it/c/lealternative
Informa Pirata: informazione e notizie
Nuovo articolo: Asteroid’s Revenge, la vendetta degli asteroidi! https://feddit.it/post/9971667 Il nuovo post di lealternative_bot è su feddit.it/c/lealternative https://www.lealternative.Telegram
🔁 Google e Meta hanno stretto un accordo segreto per indirizzare la pubblicità di Instagram agli utenti minorenni di YouTube feddit.it/pos...
Google e Meta hanno stretto un accordo segreto per indirizzare la pubblicità di Instagram agli utenti minorenni di YouTube
feddit.it/post/9970658
Il nuovo post di prealpinux è su feddit.
Informa Pirata: informazione e notizie
Google e Meta hanno stretto un accordo segreto per indirizzare la pubblicità di Instagram agli utenti minorenni di YouTube https://feddit.it/post/9970658 Il nuovo post di prealpinux è su feddit.Telegram
RFanciola reshared this.
Custom Pneumatic Cylinders Lock This Monitor Arm in Place
Few consumer-grade PCs are what you’d categorize as built to last. Most office-grade machines are as likely as not to give up the ghost after ingesting a few too many dust bunnies, and the average laptop can barely handle a few drops of latte and some muffin crumbs before croaking. Sticking a machine like that in the shop, especially a metal shop, is pretty much a death sentence.
And yet, computers are so useful in the shop that [Lucas] from “Cranktown City” built this neat industrial-strength monitor arm. His design will look familiar to anyone with a swing-arm mic or desk light, although his home-brew parallelogram arm is far sturdier thanks to the weight of the monitor and sheet-metal enclosure it supports. All that weight exceeded the ability of the springs [Lucas] had on hand, which led to the most interesting aspect of the build — a pair of pneumatic locks. These were turned from a scrap of aluminum rod and an old flange-head bolt; when air pressure is applied, the bolt is drawn into the cylinder, which locks the arm in place. To make it easy to unlock the arm, a pneumatic solenoid releases the pressure on the system at the touch of a button. The video below has a full explanation and demonstration.
While we love the idea, there are a few potential problems with the design. The first is that this isn’t a fail-safe design, since pressure is needed to keep the arm locked. That means if the air pressure drops the arm could unlock, letting gravity do a number on your nice monitor. Second is the more serious problem [Lucas] alluded to when he mentioned not wanting to be in the line of fire of those locks should something fail and the piston comes flying out under pressure. That could be fixed with a slight design change to retain the piston in the event of a catastrophic failure.
Problems aside, this was a great build, and we always love [Lucas]’ seat-of-the-pants engineering and his obvious gift for fabrication, of which his wall-mount plasma cutter is a perfect example.
This Week in Security: GhostWrite, Localhost, and More
You may have heard some scary news about RISC-V CPUs. There’s good news, and bad news, and the whole thing is a bit of a cautionary tale. GhostWrite is a devastating vulnerability in a pair of T-Head XuanTie RISC-V CPUs. There are also unexploitable crashes in another T-Head CPU and the QEMU soft core implementation. These findings come courtesy of a group of researchers at the CISPA Helmholtz Center for Information Security in Germany. They took at look at RISC-V cores, and asked the question, do any of these instructions do anything unexpected? The answer, obviously, was “yes”.
Undocumented instructions have been around just about as long as we’ve had Van Neumann architecture processors. The RISC-V ISA put a lampshade on that reality, and calls them “vendor specific custom ISA extensions”. The problem is that vendors are in a hurry, have limited resources, and deadlines wait for no one. So sometimes things make it out the door with problems. To find those problems, CISPA researchers put together a test framework is called RISCVuzz, and it’s all about running each instruction on multiple chips, and watching for oddball behavior. They found a couple of “halt-and-catch-fire” problems, but the real winner (loser) is GhostWrite.
Now, this isn’t a speculative attack like Meltdown or Spectre. It’s more accurate to say that it’s a memory mapping problem. Memory mapping helps the OS keep programs independent of each other by giving them a simplified memory layout, doing the mapping from each program to physical memory in the background. There are instructions that operate using these virtual addresses, and one such is vs128.v. That instruction is intended to manipulate vectors, and use virtual addressing. The problem is that it actually operates directly on physical memory addresses, even bypassing cache. That’s not only memory, but also includes hardware with memory mapped addresses, entirely bypassing the OS. This instruction is the keys to the kingdom.
So yeah, that’s bad, for this one particular RISC-V model. The only known fix is to disable the vector extensions altogether, which comes with a massive performance penalty. One benchmark showed a 77% performance penalty, nearly slashing the CPU’s performance in half. The lessons here are that as exciting as the RISC-V is, with its open ISA, individual chips aren’t necessarily completely Open Sourced, and implementation quality may very wildly between vendors.
0.0.0.0 Day Vulnerability
We’ve come a long way since the days when the web was young, and the webcam was strictly for checking on how much coffee was left. Now we have cross-site scripting attacks and cross-site request forgeries to deal with. You might be tempted to think that we’ve got browser security down. You’d be wrong. But finally, a whole class of problems are getting cleaned up, and a related problem you probably didn’t even realize you had. That last one is thanks to researchers at Oligo, who bring us this story.
The problem is that websites from the wider Internet are accessing resources on the local network or even the localhost. What happens if a website tries to load a script, using the IP address of your router? Is there some clever way to change settings using nothing but a JS script load? In some cases, yes. Cross Origin Resource Sharing (CORS) fixes this, surely? CORS doesn’t prevent requests, it just limits what the browser can do after the request has been made. It’s a bit embarrassing how long this has been an issue, but PNA finally fixes this, available as an origin trial in Chrome 128. This divides the world into three networks, with the Internet as the least privileged layer, then the local network, and finally the local machine and localhost as the inner, most protected. A page hosted on localhost can pull scripts from the Internet, but not the other way around.
And this brings us to 0.0.0.0. What exactly is that IP address? Is it even an IP address? Sort of. In some cases, like in a daemon’s configuration file, it indicates all the network devices on the local machine. It also gets used in DHCP as the source IP address for DHCP requests before the machine has an IP address. But what happens when you use it in a browser? On Windows, nothing much. 0.0.0.0 is a Unixism that hasn’t (yet) made its way into Windows. But on Linux and MacOS machines, all the major browsers treat it as distinct from 127.0.0.1, but also as functionally equivalent to localhost. And that’s really not great, as evidenced by the list of vulnerabilities in various applications when a browser can pull this off. The good news is that it’s finally getting fixed.
PLCs Sleuthing
Researchers at Claroty have spent some time digging into Unitronics Programmable Logic Controllers (PLCs), as those were notably cracked in a hacking campaign last fall. This started with a very familiar story, of rigging up a serial connection to talk to the controller. There is an official tool to administrate the controller over serial, so capturing that data stream seemed promising. This led to documenting the PCOM protocol, and eventually building a custom admin application. The goal here is to build tooling for forensics, to pull data off of one of those compromised devices.
You Don’t Need to See My JWT
Siemens had a bit of a problem with their AMA Cloud web application. According to researchers at Traceable ASPEN, it’s a surprisngly common problem with React web applications. The login flow here is that upon first visiting the page, the user is redirected to an external Single Sign On provider. What catches the eye is that the React application just about fully loads before that redirect fires. So what happens if that redirect JS code is disabled? There’s the web application, just waiting for data from the back end.
That would be enough to be interesting, but this goes a step further. After login, the authenticated session is handled with a JSON Web Token (JWT). That token was checked for by the front-end code, but the signature wasn’t checked. And then most surprisingly, the APIs behind the service didn’t check for a JWT either. The authentication was all client-side, in the browser. Whoops. Now to their credit, Siemens pushed a fix within 48 hours of the report, and didn’t drop the ball on disclosure.
(Hackaday’s parent company, Supplyframe, is owned by Siemens.)
Bits and Bytes
If you run NeatVNC, 0.8.1 is a pretty important security update. Specifying the security type is left up to clients, and “none” is a valid option. That’s not great.
Apparently we owe Jia Tan a bit of our thanks, as the extra attention on SSH has shaken loose a few interesting findings. While there isn’t a single glaring vulnerabiltiy to cover, HD Moore and Rob King found a bunch of implementation problems, particularly in embedded devices. This was presented at Black Hat, so hopefully the presentation will eventually be made available. For now, we do have a nifty new tool, SSHamble, to play with.
In 2023, the Homebrew project undertook an audit by Trail of Bits. And while there weren’t any High severity problems found, there were a decent handful of medium and lower issues. Those have mostly been fixed, and the audit results have now been made public. Homebrew is the “missing package manager for MacOS”, and if that sounds interesting, be sure to watch for next week’s FLOSS Weekly episode, because we’re chatting with Homebrew about this, their new Workbrew announcement, and more!
EEUU: Las consecuencias de un eventual ataque iraní a Israel serían "bastante significativas" - 09.08.2024, Sputnik Mundo
noticiaslatam.lat/20240809/eeu…
Google rilascia le patch di sicurezza per Android incluso uno zero-day critico nel kernel
Questa settimana Google ha rilasciato le patch di sicurezza di agosto per Android. L’elenco delle vulnerabilità risolte includeva, tra le altre cose, un bug zero-day (CVE-2024-36971, punteggio CVSS 7.8) associato all’esecuzione di codice remoto nel kernel.
Secondo quanto riferito, lo zeroday è stato scoperto dallo specialista di Google Threat Analysis Group (TAG) Clement Lecigne e rappresenta un bug use-after-free nella gestione dei percorsi di rete nel kernel Linux. Il suo corretto funzionamento richiede privilegi a livello di sistema per consentire di modificare il comportamento di determinate connessioni di rete.
Google rileva che il CVE-2024-36971 potrebbe già essere “soggetto a sfruttamento limitato e mirato” e gli aggressori potrebbero sfruttare la vulnerabilità per eseguire codice arbitrario senza l’interazione dell’utente.
Finora l’azienda non ha rivelato dettagli su come viene sfruttata esattamente la vulnerabilità e chi potrebbe utilizzarla nei suoi attacchi. Vale la pena notare che gli specialisti di TAG stanno monitorando gli hacker governativi, nonché i fornitori di software commerciale, inclusi i creatori di Pegasus (NSO Group) e Predator (Intellexa). Ad esempio, nel 2023, gli esperti di TAG hanno scoperto 25 vulnerabilità zero-day, 20 delle quali sono state utilizzate da fornitori di sorveglianza commerciale.
In totale, questo mese sono state corrette più di 40 vulnerabilità in Android. Google, come di consueto, ha rilasciato due serie di aggiornamenti: livello 2024-08-01 e livello 2024-08-05. Quest’ultimo include tutte le correzioni di sicurezza del primo set e correzioni aggiuntive per componenti closed source di terze parti e il kernel. Ad esempio, questo livello risolve una vulnerabilità critica (CVE-2024-23350) in un componente Qualcomm closed-source.
Sono state inoltre risolte 11 gravi vulnerabilità relative all’escalation dei privilegi nel componente Framework che potevano essere sfruttate dagli aggressori senza privilegi aggiuntivi.
L'articolo Google rilascia le patch di sicurezza per Android incluso uno zero-day critico nel kernel proviene da il blog della sicurezza informatica.
Passo storico: L’ONU adotta all’unanimità il Trattato globale sulla criminalità informatica
Le Nazioni Unite hanno adottato all’unanimità il Trattato globale sulla criminalità informatica. Il documento ha rappresentato un passo importante nella creazione di un quadro giuridico internazionale per la lotta alla criminalità informatica e allo scambio di dati tra paesi. Il trattato è stato approvato all’unanimità l’8 agosto e sarà messo ai voti in autunno nell’Assemblea generale delle Nazioni Unite.
Il trattato è stato proposto dalla Russia nel 2021, il suo obiettivo principale è sviluppare standard globali riguardo al problema dei crimini informatici transnazionali.
Successivamente, Russia ed USA presentarono un documento che descriveva le regole di comportamento nel cyberspazio, ad ottobre del 2021.
Da quando sono iniziati i lavori sul trattato nel 2019, la comunità internazionale non ha raggiunto un consenso sulle sue necessità e sui suoi obiettivi. Nonostante tutti i dubbi, l’accordo è stato adottato dopo 3 anni di negoziati, conclusisi con una sessione di due settimane.
Tuttavia, i gruppi per i diritti umani e le grandi aziende tecnologiche hanno già sollevato preoccupazioni riguardo alle clausole che consentono alle forze dell’ordine di richiedere prove e dati elettronici ai fornitori di servizi Internet di altri paesi.
Alcuni hanno osservato che i tentativi di modificare il testo del trattato non hanno avuto successo e che il documento non contiene ancora garanzie sufficienti per la tutela dei diritti umani. Inoltre, il trattato potrebbe portare ad una maggiore sorveglianza e all’erosione della fiducia delle persone nella tecnologia digitale.
Molti credono che gli stati membri delle Nazioni Unite abbiano adottato il trattato sulla base del principio secondo cui “un cattivo trattato è meglio di nessun trattato”. Prima esistevano solo accordi regionali, come la Convenzione di Budapest, di cui Cina, Russia, India e Brasile non erano firmatari.
Il Centro per gli studi strategici e internazionali (CSIS) ha sottolineato l’importanza del trattato adottato, sottolineando che la comunità globale dispone ora di un documento comune che consentirà di progredire nella lotta contro la criminalità informatica.
L'articolo Passo storico: L’ONU adotta all’unanimità il Trattato globale sulla criminalità informatica proviene da il blog della sicurezza informatica.
UN approves landmark controversial cybercrime treaty
United Nations member states approved its first-ever treaty aimed at combating cybercrime, a controversial text opposed by digital rights organisations and Big Tech companies.
L'hanno truffata via SMS, ma il marito ha smascherato l'operazione!
Una donna ha ricevuto un SMS che sembrava provenire dal servizio postale degli Stati Uniti (USPS) dove si diceva che Il servizio dovendo di consegnare un pacco aveva bisogno di ulte…
Liquid (Reversibly) Solidifies at Room Temperature, Gets Used for 3D Prints
Researchers demonstrate sustainable 3D printing by using poly(N-isopropylacrylamide) solutions (PNIPAM), which speedily and reliably turn solid by undergoing a rapid phase change when in a salt solution.
What’s also interesting is that the process by which the PNIPAM-based solutions solidify is entirely reversible. Researchers demonstrate printing, breaking down, then re-printing, which is an awfully neat trick. Finally, by mixing different additives in with PNIPAM, one can obtain different properties in the final product. For example, researchers demonstrate making conductive prints by adding carbon nanotubes.
While we’ve seen the concept of printing with liquids by extruding them into a gel bath or similar approach, we haven’t seen a process that prides itself on being so reversible before. The research paper with all the details is available here, so check it out for all the details.
Microsoft 365: come bypassare la sicurezza anti-phishing di Outlook con il CSS
I ricercatori di Certitude hanno dimostrato un modo per aggirare la protezione anti-phishing in Microsoft 365 (ex Office 365). Tuttavia, le vulnerabilità non sono state ancora risolte.
Gli esperti dicono che esiste un modo per nascondere il suggerimento di sicurezza del primo contatto. Come suggerisce il nome, First Contact Safety Tip è progettato per avvisare gli utenti di Outlook quando ricevono e-mail da nuovi contatti. Viene visualizzato un messaggio come questo: “Non ricevi spesso email da xyz@example.com. Scopri perché è importante.”
La chiave qui è che l’avviso viene aggiunto direttamente al corpo HTML principale dell’e-mail, il che apre la possibilità di manipolare il CSS incorporato nell’e-mail.
I ricercatori di Certitude scrivono che questo messaggio può essere facilmente nascosto nel modo seguente.
Cioè, il testo e il colore dello sfondo vengono cambiati nel colore bianco, la dimensione del carattere viene impostata su 0, il che alla fine nasconde l’avviso e lo rende invisibile all’utente.
Portando avanti questa idea, gli esperti hanno scoperto che potevano aggiungere ulteriore codice HTML alle e-mail che imitavano le icone che Microsoft Outlook aggiunge alle e-mail crittografate e firmate per farle sembrare sicure. Sebbene alcune limitazioni di formattazione impediscano una perfetta corrispondenza visiva, questo trucco può comunque aiutare a bypassare controlli poco approfonditi.
I ricercatori sottolineano di non essere a conoscenza di casi di sfruttamento dei bug descritti e di non aver trovato modi per manipolare l’HTML per visualizzare testo arbitrario in un’e-mail.
Certitude ha informato Microsoft delle sue scoperte inviando una PoC e un rapporto dettagliato agli sviluppatori tramite il Microsoft Researcher Portal (MSRC). Tuttavia, i rappresentanti di Microsoft hanno dato ai ricercatori la seguente risposta:
“Abbiamo stabilito che le tue informazioni sono valide, ma non soddisfano i nostri criteri per una risposta immediata poiché [il problema] può essere utilizzato principalmente per attacchi di phishing. Tuttavia, abbiamo preso nota di queste informazioni per un’ulteriore revisione volta a migliorare i nostri prodotti.”
L'articolo Microsoft 365: come bypassare la sicurezza anti-phishing di Outlook con il CSS proviene da il blog della sicurezza informatica.
Fixing a Busted Fluke While Fighting a Wonky Schematic
Fluke meters have been around for a long, long time. Heck, we’ve got a Fluke 73 that we bought back in 1985 that’s still a daily driver. But just because they’ve been making them forever doesn’t mean they last forever, and getting a secondhand meter back in the game can be a challenge. That’s what [TheHWCave] learned with his revival of a wonky eBay Fluke 25, an effort that holds lessons for anyone in the used Fluke market.
Initial inspection of the meter showed encouragingly few signs of abuse, somewhat remarkable for something built for the military in the early 1980s. A working display allowed a few simple diagnostics revealing that the ammeter functions seemed to work, but not the voltmeter and ohmmeter functions. [TheHWCave]’s teardown revealed a solidly constructed unit with no obvious signs of damage or blown fuses. Thankfully, a service schematic was available online, albeit one with a frustrating lack of detail, confusing test point nomenclature, and contradictory component values.
Despite these hurdles, [TheHWCave] was able to locate the culprit: a bad fusible power resistor. Finding a direct replacement wasn’t easy given the vagaries of the schematic and the age of the instrument, but he managed to track down a close substitute cheap enough to buy in bulk. He searched through 40 units to find the one closest to the listed specs, which got the meter going again. Fixing the bent pin also gave the meter back its continuity beeper, always a mixed blessing.
If you’re in the market for a meter but can’t afford the Fluke name, picking up a busted meter and fixing it up like this might be one way to go. But are they really worth the premium? Well, kinda yes.
Attacchi Persistenti: Come NetSupport RAT Sfrutta JavaScript e PowerShell
Gli specialisti di Cisco Talos stanno monitorando attivamente diverse campagne dannose che utilizzano NetSupport RAT per infezioni persistenti. Queste campagne sfuggono al rilevamento grazie all’offuscamento e agli aggiornamenti regolari.
Nel novembre 2023, i fornitori di sicurezza hanno identificato una nuova campagna NetSupport RAT che utilizzava falsi aggiornamenti del browser per indurre gli utenti a scaricare codice dannoso. Questo codice scarica ed esegue comandi PowerShell che installano l’agente NetSupport sul computer della vittima per scopi di persistenza.
Nel gennaio 2024, i ricercatori di eSentire hanno pubblicato un’altra analisi della stessa campagna, identificando i cambiamenti nel codice sorgente JavaScript e nel percorso di installazione dell’agente. Questi cambiamenti dimostrano il desiderio degli aggressori di migliorare le tecniche di offuscamento e di evasione.
Cisco Talos ha condotto la propria analisi e ha identificato molteplici tecniche di offuscamento ed evasione utilizzate nella campagna. Questa conoscenza ha portato alla creazione di strumenti di rilevamento accurati che aiutano a proteggere gli utenti. Talos utilizza strumenti open source come Snort e ClamAV per sviluppare tecniche di rilevamento e protezione.
NetSupport Manager esiste dal 1989 e viene utilizzato per la gestione remota dei dispositivi. Tuttavia, dal 2017, gli aggressori hanno iniziato ad utilizzarlo per i propri scopi. Il passaggio al lavoro remoto negli anni 2020 ha portato a un aumento dell’uso di NetSupport RAT negli attacchi di phishing e drive-by . Questa campagna è una delle più significative degli ultimi anni, con centinaia di varianti di downloader dannosi utilizzate in una massiccia campagna pubblicitaria.
La prima fase della campagna è un file JavaScript scaricato da siti pubblicitari o risorse compromesse. Questo file è offuscato e contiene il loader della fase successiva. La seconda fase include uno script PowerShell che scarica ed esegue l’agent NetSupport, mantenendolo persistente nel registro di sistema.
Per rilevare la campagna, vengono utilizzate le regole di Snort per identificare i file dannosi e la loro trasmissione attraverso vari protocolli. Queste regole aiutano anche a monitorare l’attività di PowerShell e altri segnali della presenza di un RAT NetSupport.
Il malware e le tattiche di attacco in continua evoluzione richiedono ai professionisti della sicurezza informatica di rimanere costantemente vigili e adattarsi. È importante ricordare che anche gli strumenti legittimi possono essere utilizzati dagli aggressori, quindi il pensiero critico e la cautela quando si interagisce con qualsiasi risorsa online stanno diventando competenze chiave per ogni utente al giorno d’oggi.
L'articolo Attacchi Persistenti: Come NetSupport RAT Sfrutta JavaScript e PowerShell proviene da il blog della sicurezza informatica.
L’Italia ripudia la pace
di Marco Travaglio
La guerra in Ucraina iniziò nel 2014 col golpe bianco di piazza Maidan che rovesciò il presidente democraticamente eletto Yanukovich, reo di non piacere agli Usa, e rimpiazzarlo con i loro fantocci – prima Poroshenko, poi Zelensky – al grido della loro emissaria Victoria Nuland “Fuck Europe!”. Dieci anni dopo, sta finendo con gli Usa che “chiedono spiegazioni” al regime ucraino che, sfuggito totalmente di mano e persa la guerra in casa, si abbandona a crimini di guerra e atti di terrorismo in Russia e persino nell’Africa subsahariana filo-russa. E i camerieri d’Europa, anziché dissociarsi, scavalcano a destra il padrone americano, avallando ex post la deriva di Kiev. Dice la Commissione Ue: “L’Ucraina combatte una legittima guerra di difesa dall’aggressione illegale russa e ha il diritto di colpire ovunque ritenga necessario, sul suo territorio e in quello nemico”. Parla dell’incursione ucraina con truppe, carri armati e missili nella regione russa di Kursk che ha ucciso 5 persone, causato l’evacuazione di migliaia di persone, colpito una centrale elettrica e un antico monastero. Obiettivi civili che nulla c’entrano con la resistenza all’invasore e la riconquista (finora miseramente fallita) delle terre occupate. Crimini di guerra e atti di terrorismo come l’assassinio di Darya Dugina a Mosca con un’autobomba; la distruzione dei gasdotti Nord Stream 1 e 2; i raid in Russia di miliziani di estrema destra detti amabilmente “partigiani russi” anche se partono dall’Ucraina; gli omicidi di giornalisti non allineati definiti dal capo dei Servizi militari Budanov “propagandisti russi” da “eliminare ovunque sulla faccia della terra”; l’assistenza, rivendicata dagli stessi 007 di Kiev, a gruppi jihadisti e Isis in Mali e in Niger per destabilizzarne i governi e compiere stragi di soldati indigeni e mercenari Wagner.
Ma tutto questo l’Europa, ormai più filo-Usa degli Usa, non lo sa. O finge di ignorarlo. E Tajani fa tenerezza quando dice che “non siamo in guerra con la Russia” perché “abbiamo sempre detto che le nostre armi non devono essere utilizzate in territorio russo”: l’Ucraina è fallita da ben prima del 2022, tenuta in vita artificialmente dai miliardi Usa, Ue e Nato, ma grazie a loro ha l’esercito più armato d’Europa. Nulla di ciò che sta facendo sarebbe possibile senza i nostri soldi e armamenti, anche italiani. Che, non essendo tracciati, possono benissimo essere usati per colpire in Russia e in Africa. In guerra con la Russia ci siamo eccome. Se non vogliamo esserci più, abbiamo una sola cosa da fare: ricordarci dell’articolo 11 della Costituzione e smettere immediatamente di armare Zelensky. È vero: anche Putin&C. compiono crimini di guerra e atti di terrorismo. Ma con i loro soldi, non con quelli di noi “buoni".
Bianchi Photojournalist
E sarebbe ora...
Diputado japonés: "EEUU, que lanzó bombas atómicas, debe disculparse" - 09.08.2024, Sputnik Mundo
noticiaslatam.lat/20240809/dip…
Mouse Doesn’t Play Pong… It IS Pong!
From the “why didn’t we think of that” department comes [dupontgu’s] pong mouse project. The mouse appears and acts like a normal computer mouse until you click the scroll wheel. When you do, the mouse rapidly moves the cursor on the connected computer to play pong. Obviously, though, the paddles and the ball all look like your cursor, whatever that happens to be. So, how do you tell the score? Well, when a score happens, the cursor shows between the two paddles. In the middle means the game is tied. Otherwise, the player closest to the score indicator is winning. The mouse is an off-the-shelf unit, but inside is a tiny XIAO RP2040 board that can act as both a USB host and a USB device. The RP2040 intercepts the USB traffic and can modify it as it sees fit or just pass it unchanged. Part of the secret sauce is to make the mouse use absolute mode so that it can teleport the cursor between two spots. This is common with, for example, touchscreen drivers. However, it is unusual for a mouse to use this mode. Of course, the cursor is actually only in one place at a time, but your eye thinks it is in multiple places at the same time.
The code itself isn’t very long. A few hundred lines of C++ and, of course, plenty of libraries to handle the USB. We can think of lots of reasons we might want to filter a USB device.
This version of pong doesn’t take a lot of mechanical parts. Or, you could try making one with no parts at all.
Muri Digitali: Blocco di Internet e Repressione Digitale in Venezuela
Il presidente venezuelano Nicolas Maduro continua a inasprire il suo governo, utilizzando la tecnologia per reprimere il dissenso e limitare l’accesso alle informazioni. Più di 100 organizzazioni della società civile e attivisti per i diritti umani hanno firmato una lettera aperta in cui annunciano il blocco di 62 mezzi di informazione.
La situazione relativa alla soppressione digitale e alle violazioni dei diritti umani in Venezuela è peggiorata in modo significativo durante e dopo le elezioni presidenziali del 28 luglio, ampiamente considerate fraudolente.
VEsinFiltro, un’organizzazione che monitora la censura di Internet nel paese, ha riscontrato 12 nuovi casi di blocco dei siti Web dei media e delle organizzazioni per i diritti umani, nonché delle VPN.
Oltre ai 62 media bloccati, secondo Access Now sono stati messi offline anche i più grandi fornitori di servizi Internet del paese, colpendo 86 domini. Il giorno prima delle elezioni sono stati bloccati anche i siti wikipedia[.]org ed es.wikipedia[.]org.
VEsinFiltro ha inoltre confermato le restrizioni all’accesso al sito web dell’Ufficio Elettorale contenente i dati ufficiali sulle elezioni presidenziali. Il sito non è stato aperto né all’interno né all’esterno del Venezuela.
Secondo alcuni rapporti, dal 2016 la società cinese ZTE fornisce al Venezuela tecnologie di sorveglianza avanzate. Maduro ha anche confermato la presenza di tecnologie di hacking telefonico sviluppate dall’azienda israeliana Cellebrite.
Le autorità venezuelane utilizzano il servizio di messaggistica VenApp di proprietà statale per raccogliere rapporti sui personaggi dell’opposizione. Inoltre, la videosorveglianza e i droni vengono utilizzati attivamente per spiare i cittadini. Il programma di sorveglianza è accompagnato dall’operazione Knock-Knock del governo, che facilita la denuncia e la detenzione arbitraria di attivisti, giornalisti e cittadini comuni.
Secondo Reuters tre gruppi per i diritti umani hanno riferito che le forze di sicurezza hanno molestato e arrestato i manifestanti, compresi minorenni, senza consentire loro di consultare gli avvocati. In totale, secondo Access Now, sono state arrestate più di 2.000 persone, tra cui 20 morti, e almeno 25 persone sono risultate scomparse.
L'articolo Muri Digitali: Blocco di Internet e Repressione Digitale in Venezuela proviene da il blog della sicurezza informatica.
WhatsUp Gold Sotto Attacco: Aggiornamento Immediato Essenziale
Immagina di avere una serratura difettosa sulla porta di casa. Un ladro esperto potrebbe sfruttare questa debolezza per entrare e saccheggiare la tua abitazione. Allo stesso modo, la vulnerabilità CVE-2024-4885 ha creato una falla enorme nella sicurezza di migliaia di organizzazioni che utilizzano WhatsUp Gold, un popolare software di monitoraggio delle reti. Questa grave vulnerabilità consente agli hacker di aggirare completamente le difese informatiche e di prendere il controllo dei sistemi, con potenziali conseguenze devastanti per le aziende.
Una vulnerabilità critica (CVE-2024-4885) è stata recentemente scoperta in WhatsUp Gold, un’applicazione di monitoraggio delle reti sviluppata da Progress Software. Questa falla di sicurezza, con un punteggio CVSS di 9.8 su 10, consente l’esecuzione di codice remoto senza autenticazione e sta già venendo attivamente sfruttata dagli attaccanti. Le versioni del software precedenti alla 2023.1.3 sono tutte vulnerabili, rendendo l’aggiornamento immediato una priorità per tutte le organizzazioni che utilizzano questo strumento.
Inoltre, l’aggiornamento alla versione 2023.1.3 risolve altre vulnerabilità critiche, tra cui CVE-2024-4883, CVE-2024-4884 e CVE-2024-5009, aumentando l’urgenza dell’applicazione del patch.
Cos’è WhatsUp Gold?
WhatsUp Gold è una soluzione di monitoraggio delle reti utilizzata da aziende di tutto il mondo per ottenere visibilità in tempo reale sulle loro infrastrutture IT. Questo strumento permette agli amministratori di rete di monitorare server, applicazioni e dispositivi, identificando rapidamente problemi di prestazioni o di connettività. Grazie a queste capacità, WhatsUp Gold è diventato un componente essenziale per la gestione delle reti, ma proprio la sua diffusione lo rende un obiettivo interessante per gli attaccanti informatici.
Tipo di Attacco e Vulnerabilità
La vulnerabilità CVE-2024-4885 si annida nel metodo ‘GetFileWithoutZip‘ di WhatsUp Gold, che non esegue un’adeguata validazione dei percorsi forniti dagli utenti prima del loro utilizzo. Questo difetto permette agli attaccanti di eseguire codice arbitrario con i privilegi del servizio associato all’applicazione, NMConsole. La gravità della situazione è ulteriormente accentuata dal rilascio di un exploit proof-of-concept (PoC) da parte del ricercatore di sicurezza Sina Kheirkhah.
Gli amministratori sono dunque invitati non solo ad aggiornare il software, ma anche a monitorare attentamente il traffico di rete e ad implementare regole firewall per limitare l’accesso ai soli IP attendibili, specialmente sulle porte 9642 e 9643.
Oltre a CVE-2024-4885, la versione 2023.1.3 di WhatsUp Gold affronta altre due vulnerabilità critiche, CVE-2024-4883 e CVE-2024-4884, che permettono anch’esse l’esecuzione di codice remoto non autenticato tramite NmApi.exe e il controller CommunityController. Inoltre, è stato risolto un problema di escalation dei privilegi (CVE-2024-5009), che permetteva agli attaccanti locali di aumentare i propri privilegi sfruttando il metodo SetAdminPassword.
Conclusioni
La scoperta della vulnerabilità CVE-2024-4885 evidenzia l’importanza cruciale di mantenere aggiornati gli strumenti di monitoraggio e gestione delle reti. Con exploit “attivi” in circolazione, gli amministratori IT devono agire tempestivamente per aggiornare WhatsUp Gold alla versione 2023.1.3, proteggendo così i loro sistemi da potenziali compromissioni. Questo incidente dimostra anche la necessità di una vigilanza costante, dato che come in questo caso, anche i software più affidabili possono diventare bersagli di attacchi se non adeguatamente protetti. Monitorare attentamente il traffico di rete e applicare regole di accesso restrittive rappresentano ulteriori misure preventive fondamentali per mitigare future minacce.
L'articolo WhatsUp Gold Sotto Attacco: Aggiornamento Immediato Essenziale proviene da il blog della sicurezza informatica.
Apple changes EU app store policy after Commission probe
Apple on Thursday (8 August) changed its policy in the European Union to allow developers to communicate with their customers outside its App Store after the commission charged the iPhone maker in June for breaching the bloc's tech rules.
X’s handling of UK riots could influence ongoing EU probe into the platform
An ongoing European Commission investigation into social media platform X could take its handling of harmful content related to the recent UK riots into account, a spokesperson said on Thursday (8 August).
Kickflips and Buffer Slips: An Exploit in Tony Hawk’s Pro Skater
[Ryan Miceli] wanted to build some reverse engineering skills by finding a new exploit for an original Xbox. Where he ended up was an exploit that worked across the network, across several games, and several different consoles. But it all started with an unbounded strcpy in Tony Hawk Pro Skater (THPS).
Xbox, PlayStation 2, and Gamecube (often referred to as the sixth generation) are wonderful hacking targets as they don’t possess many of the security enhancements of the seventh generation, like hypervisors, privilege levels, and hardware executability protections. The console launches the game, and control is fully within the game, so once you get your code executing, you’re done. The exploit started with a feature in many Tony Hawk games, the custom map editor. In the editor, you can create gaps between jumps with a name so that when a player completes the gap, it can flash “you jumped x” in big letters. However, on Xbox, the gap name is copied with an unbounded strcpy to the stack, meaning you can overwrite the return pointer. Additionally, there are no stack cookies for THPS, which meant nothing stopped [Ryan] from smashing his way through. He includes a small memcpy stub in the header of the level, which the gap name jumps to, which then copies and executes his full payload.
The other games in the series, like Tony Hawk’s Pro Skater 3 (THPS3), had the bug, but the gap name was copied to the heap, not the stack. However, he could overflow into a vtable of the next object that would call his code when the object was freed. However, the level save data wasn’t an executable region of memory, which meant he needed ROP (return-oriented programming). Just a few gadgets later, and [Ryan] had another exploit working.
Tony Hawk’s Underground 1 and 2 had stack cookies turned on. This meant a random value was placed on the stack before a function, then popped off and checked. This meant the program could check if its stack had been smashed. Unfortunately for [Ryan], this proved to be a major roadblock. However, the PC and PS2 versions of these games do not have stack cookies, which means they can be exploited in the same manner.
The beauty of the exploit is that the game allows you to invite a friend to play a custom level. This means once the level is transferred over the network, their console is hacked as well. However, the full payload wasn’t sent to the client console, which meant the exploit had to send the payload to the other console using the game’s existing net code. The exploit sets up an asynchronous file transfer then hands control back to the game. Of course, there was a memory leak in the netcode, because the game had never sent large amounts of data over the network before. So, part of the exploit was a hot patch for a memory leak.
As a last hurrah, [Ryan] ported the hack to Gamecube, PS2, and PC. The code is on GitHub, and the video is after the break. We love the attention the Xbox has been getting, and if you’re curious about a hardware hack, this 256MB ROM mod goes deep into the internals.
A Gaza è 7 ottobre ogni giorno, da 10 mesi,ma non frega un cazzo a nessuno.
https://x.com/avantibionda/status/1821486108959453506
Stizzah
in reply to Elezioni e Politica 2025 • • •