Blink and you could have missed it, but a viral sensation for a few weeks this summer was One Million Checkboxes, a web page with as you might expect, a million checkboxes. The cool thing about it was that it was interactive, so if you checked a box on your web browser, everyone else seeing that box also saw it being checked. You could do pixel art with it, and have some fun. While maintaining it, its author [eieio] noticed something weird, a URL was appearing in the raw pixel data. Had he been hacked? Investigation revealed something rather more awesome.

The display of checkboxes was responsive rather than fixed-width, on purpose to stop people leaving objectionable content. Any pixel arrangement would only appear as you made it to someone viewing with exactly the same width of checkboxes. But still, the boxes represented a binary bitfield, so of course people saw it and had fun hacking. The URLs appeared because they were ASCII encoded in the binary, and were left on purpose as a message to the developer inviting him to a forum.

On it he found a disparate group of teen hackers who’d formed a community having fun turning the game into their own version of a Pixelflut. If you’ve not seen the game previously, imagine a screen on which all pixels are individually addressable over the internet. Place it in a hackerspace or in the bar at a hacker camp, and of course the coders present indulge in a bit of competitive pixel-spamming to create a colorful and anarchic collaborative artwork. In this case as well as artwork they’d encoded the forum link in several ways, and had grown a thriving underground community of younger hackers honing their craft. As [eieio] did, we think this is excellent, and if any of the checkbox pixelflutters are reading this, we salute you!

Before he eventually took the site down he removed the rate limit for a while to let them really go to town, and predictably, they never gave up on the opportunity, and didn’t let him down.

Some people would call the activity discussed here antisocial, but in particular we agree with the final point in the piece. Young hackers like this don’t need admonishment, they need encouragement, and he’s done exactly the right thing. If you want to read more about Pixelflut meanwhile, we’ve been there before.

hackaday.com/2024/08/30/online…

Un ex ingegnere delle infrastrutture IT di un’anonima società del New Jersey è stato arrestato dopo aver bloccato l’accesso agli amministratori a 254 server e aver tentato di estorcere un riscatto al suo datore di lavoro. A causa di questo fallito tentativo di estorsione rischia fino a 35 anni di carcere.

Secondo i documenti del tribunale , il 25 novembre 2023, i dipendenti dell’azienda interessata hanno ricevuto un’e-mail con il titolo “La tua rete è stata penetrata”. La lettera affermava che tutti gli amministratori IT avevano perso l’accesso ai propri account e che i backup dei server erano stati distrutti per rendere impossibile il recupero dei dati.

Il messaggio conteneva anche una minaccia: l’aggressore prometteva di chiudere ogni giorno 40 server a caso nella rete dell’azienda per 10 giorni a meno che non gli fosse stato pagato un riscatto di 20 bitcoin (al tasso di cambio di allora – circa 750.000 dollari).

L’indagine, coordinata dall’FBI, ha rivelato che Daniel Rhyne, 57 anni, che lavorava come ingegnere delle infrastrutture IT dell’azienda del New Jersey colpita dall’attacco, il quale aveva accesso remoto non autorizzato ai sistemi dell’azienda dal 9 al 25 novembre utilizzando un account di amministrazione.

Tramite il controller di dominio, Rhyne ha pianificato un’attività per modificare le password per l’account amministratore, nonché 13 account amministratore di dominio e 301 account utente di dominio, modificandoli nella stringa di testo “TheFr0zenCrew!”

I documenti affermano che Rhyne ha anche pianificato attività per modificare le password per due account di amministratore locale, interessando un totale di 254 server, e per altri due account di amministratore locale, interessando 3.284 workstation sulla rete del suo datore di lavorob. Ha inoltre pianificato una serie di attività per spegnere server e workstation in giorni diversi nel dicembre 2023.

Secondo quanto riferito, Rhyne ha utilizzato Windows Net User e lo strumento PsPasswd di Sysinternals Utilities per questo sabotaggio.

Come ha scoperto l’indagine, mentre pianificava il suo attacco di estorsione, Rhyne avrebbe utilizzato una macchina virtuale nascosta per cercare in Internet il 22 novembre informazioni su come cancellare account, cancellare i registri di Windows e modificare le password per gli utenti del dominio utilizzando la riga di comando.

Il 15 novembre, Rhyne ha eseguito ricerche simili, tra cui “riga di comando per modificare la password dell’amministratore locale” e “riga di comando per modificare la password dell’amministratore locale da remoto”.

Rhyne è stato arrestato il 27 agosto e rilasciato dopo essere comparso in tribunale a Kansas City. È accusato di estorsione, danneggiamento intenzionale di computer e frode. Queste accuse comportano una pena massima fino a 35 anni di carcere e una multa di 750.000 dollari.

L'articolo Un ingegnere Blocca 254 Server per Estorcere la Sua Azienda, ma una Ricerca tramite Proxy lo Tradisce proviene da il blog della sicurezza informatica.

Come Steve Jobs sta a Steve Wozniak, Pavel Durov sta a suo fratello Nikolai Durov.

Nikolai Durov, nato il 21 novembre 1980 a Leningrado, è una delle figure più misteriose e talentuose nel mondo della tecnologia moderna. Fratello maggiore del famoso imprenditore Pavel Durov, Nikolai ha svolto un ruolo chiave nella creazione e nello sviluppo di progetti di successo come VKontakte e Telegram.

Fin dalla prima infanzia, Nikolai ha mostrato abilità eccezionali in matematica. Secondo suo fratello Pavel, già all’età di tre anni Nikolai leggeva come un adulto, e all’età di otto anni risolveva equazioni cubiche. All’età di dieci anni venne presentato dalla televisione italiana come un prodigio, capace di risolvere complessi problemi matematici in tempo reale.

La formazione di Nikolai era legata alla matematica e all’informatica:

• Al liceo ha vinto tre volte le Olimpiadi internazionali della matematica (1996, 1997, 1998).
• È diventato più volte il vincitore del premio delle Olimpiadi internazionali di informatica.
• Nel 2000, come studente del secondo anno presso la Facoltà di Matematica e Meccanica dell’Università Statale di San Pietroburgo, come parte di una squadra ha vinto il prestigioso campionato di programmazione ACM ICPC.
• Nel 2005 ha difeso la sua tesi presso l’Università statale di San Pietroburgo sul tema “Un nuovo approccio alla geometria di Arakelov”.
• Nel 2007 ha difeso la sua seconda tesi presso l’Università di Bonn sul tema “Geometria singolare di Arakelov”.
• Ha lavorato presso l’Istituto Max Planck per la matematica in Germania.
• Era un ricercatore senior presso il laboratorio di algebra e teoria dei numeri presso la filiale di San Pietroburgo dell’Istituto di Matematica. V. A. Steklova RAS.

Carriere nella tecnologia

All’inizio degli anni 2000, Nikolai si è unito a suo fratello Pavel nella creazione del social network VKontakte:

• Ha assunto il ruolo di direttore tecnico del progetto.
• Ha sviluppato un’architettura che garantisse stabilità e scalabilità della rete.
• Secondo le sue stesse parole, nella fase iniziale ha aiutato con consulenza generale ed è stato il primo amministratore di sistema dell’azienda.
• Successivamente, insieme ad Andrey Lopatin, ha sviluppato sistemi specializzati di archiviazione dei dati.

Dopo aver lasciato VKontakte nel 2014, i fratelli Durov si sono concentrati sullo sviluppo del messenger Telegram:

• Nikolay ha sviluppato il protocollo MTProto, che garantisce un elevato grado di protezione dei dati degli utenti e velocità di trasmissione dei messaggi.
• Ha creato i principi di base della crittografia che sono ancora utilizzati oggi in Telegram.
• Ha partecipato allo sviluppo del progetto blockchain TON nel 2018.

Vita personale e opinioni

Nikolai è noto per la sua reticenza e raramente rilascia commenti ai media. Secondo le fonti, ha “obiezioni ultra-liberali”. Dal 2013 utilizza una fotografia dell’anarchico e rivoluzionario ucraino Nestor Makhno come avatar su VKontakte.

Nell’agosto 2024 si è saputo che le autorità francesi avevano emesso un mandato di arresto per Nikolai Durov insieme a suo fratello Pavel. I mandati furono emessi nel marzo dello stesso anno come parte di un caso riguardante accuse di insufficiente moderazione dei contenuti su Telegram. Secondo fonti aperte, Nikolai Durov ha la cittadinanza di diversi paesi:

• Russia
• Saint Kitts e Nevis
• Presumibilmente Lettonia (non confermato ufficialmente)

Nonostante tutti i suoi successi e contributi allo sviluppo della tecnologia moderna, Nikolai Durov rimane una figura misteriosa, che preferisce lavorare dietro le quinte ed evitare la pubblicità. La sua combinazione unica di genio matematico e innovazione tecnologica continua ad avere un impatto significativo sullo sviluppo delle comunicazioni digitali su scala globale.

L'articolo Non solo Pavel Durov. Dietro Telegram e VKontakte c’è un vero Genio. Il fratello Nikolai proviene da il blog della sicurezza informatica.

We finally have some answers about the Windows IPv6 vulnerability — and a Proof of Concept! The patch was a single change in the Windows TCP/IP driver’s Ipv6pProcessOptions(), now calling IppSendError() instead of IppSendErrorList(). That’s not very helpful on its own, which is why [Marcus Hutchins]’s analysis is so helpful here. And it’s not an easy task, since decompiling source code like this doesn’t give us variable names.

The first question that needs answered is what is the list in question? This code is handling the option field in incoming IPv6 packets. The object being manipulated is a linked list of packet structs. And that linked list is almost always a single member list. When calling IppSendErrorList() on a list with a single member, it’s functionally equivalent to the IppSendError() in the fixed code. The flaw must be in the handling of this list with multiple members. The only way to achieve that criteria is to send a lot of traffic at the machine in question, so it can’t quite keep up with processing packets one at a time. To handle the high throughput, Windows will assemble incoming packets into a linked list and process them in batch.

So what’s next? IppSendErrorList(), takes a boolean and passes it on to each call of IppSendError(). We don’t know what Microsoft’s variable name is, but [Marcus] is calling it always_send_icmp, because setting it to true means that each packet processed will generate an ICMP packet. The important detail is that IppSendError() can have side effects. There is a codepath where the packet gets reverted, and the processing pointer is set back to the beginning of the packet. That’s fine for the first packet in the list, but because the function processes errors on the entire list of packets, the state of the rest of those packets is now much different from what is expected.

This unexpected but of weirdness can be further abused through IPv6 packet fragmentation. With a bit of careful setup, the reversion can cause a length counter to underflow, resulting in data structure corruption, and finally jumping code execution into the packet data. That’s the Remote Code Execution (RCE). And the good news, beyond the IPv6-only nature of the flaw, is that so far it’s been difficult to actually pull the attack off, as it relies on this somewhat non-deterministic “packet coalescing” technique to trigger the flaw.

CVE Hunting Made Easy

[Eddie Zhang] wanted to take the easy road to finding CVEs. To his immense credit, he did not ask ChatGPT to hallucinate vulnerabilities for him, but instead built an automation chain to find possible vulns. The idea is simple: Download as many WordPress plugins as he could, run Semgrep over the corpus, throw the results in a SQL database, and take a closer look at the most promising findings.

That starts by writing a SQL query, naturally. The interesting flaws were SELECTed, and then the different plugins run in a test bench setup to try to trigger actual vulnerable code. And it’s not a bad approach, judging by the 14 CVEs found in 3 afternoons of work.

Moodle

RedTeam Pentesting got to have a field day with the Moodle platform. Moodle is a web-based distance learning solution written in PHP. And to get the flavor of how this went, the test grading logic is written in PHP — and eval()‘d on the server during grading. Now it’s not quite as bad as it sounds. There is sanitization done, and the set of symbols, characters, and functions are rather limited.

PHP has a pretty interesting type system. Something like acos(2), inverse of the cosine of 2, returns a result of Not a Number, or NAN. The dot . symbol does string concatenation in PHP, and putting those together, acos(2) . acos(2) results in a string, NANNAN. It gets better, as it’s then possible to do bitwise manipulation of those strings, eventually unlocking the entire alphabet. A few more tricks like PHP’s variable functions, variable variables, and other fun language contortions. Eventually we get to system() and escape into the system.

Hacking the TSA

[Ian Carroll] and [Sam Curry] bring an unfortunate tale of clever hacking, cover ups, and incompetence. The actual hack is pretty straightforward, a SQL injection in a login system. The real problem is that this login is in the official airline security systems that controls the Known CrewMember and Cockpit Access Security System. That’s the list of people that get to skip TSA checkpoints altogether, and that get access to airplane cockpits in flight. Not good.

The good news is that after disclosure, the Department of Homeland Security quickly secured the vulnerable site. The takes a turn for the worse, when it came time for disclosure. TSA issues a factually incorrect statement about what is required to use the KCM system. [Ian] and [Sam] reached out again to try to set the record straight about the severity of the finding. In response, the TSA quietly deleted the FAQ that spells out how bad the vulnerability could be. Not a great look.

Bits and Bytes

For your data and packet capture needs, Wireshark 4.4 is out. Among the normal improvements, there’s better VoIP support, a handful of new protocols, and some IPv6 tweaks to make life easier.

Ever wondered how to do effective sandboxing in Linux? Hardened Linux has you covered. There are some obvious things like limited filesystem access, but it might be more useful to read about seccomp to limit the available system calls to your sandboxed program. The article is an overview of the individual techniques, and then some of the more popular all-in-one solutions like firejail, bubblewrap, and landlock.

Volt Typhoon, a collection of hackers believed to be working on behalf of the Chinese government has begun using a vulnerability in Versa Director to attack businesses. Version 22.1.4 of the network management platform fixes the vulnerability, which allowed for executable java filew to be disguised as PNGs and uploaded to the platform.

And finally, one of the sneakier ways to stay on a Linux system is to use udev. For attackers, it’s always a challenge to make sure the malware starts up on each boot, and yet doesn’t attract any attention. There are plenty of places to hide a startup hook, but this one creates a udev rule to automatically run early in boot when the /dev/random device is created. How often do you audit your udev files? Sneaky!

hackaday.com/2024/08/30/this-w…

If you think about it, even difficult mazes on paper are pretty easy. You can see all the places you can and can’t go, and if you use a pencil instead of a pen, well, that’s almost like cheating.

However, using a pencil is pretty much a necessity to play [penumbriel]’s Blind Maze. In this game, you can’t even see the maze, or where you are. Well, that’s not exactly true — you can “touch” the wall (or lack thereof) in front of you and to the sides, but that’s it. So you’re going to need that pencil to draw out a map as you go along.

This game runs on an Arduino Nano and a 18650 cell. There are three LEDs deep within the enclosure, which is meant to give the depth of walls. But, even the vision-impaired can play the Blind Maze, because there’s haptic feedback thanks to a small vibration motor.

If you want to play in hard mode, there’s a hidden paperclip-accessible switch that turns off the LEDs. This way, you have to rely on hitting the walls with your head. Be sure to check out the video below.

youtube.com/embed/rd01wIHwtz8?…

hackaday.com/2024/08/29/2024-t…

The Bus Pirate multi-tool has held a place of honor in many a hardware hacker’s toolbox for years, and the latest generation of the gadget powered by the Raspberry Pi RP2040/RP2350 offers significantly enhanced capabilities over the original PIC versions. We took a look at the new Bus Pirate when it started shipping back in February, and while the firmware was still in the early stages back then, it was already clear that creator [Ian Lesnet] and his team had put together a compelling product.

Over the last several months, the Bus Pirate software has improved dramatically. New features have started showing off the hardware’s capabilities, and the user experience is far improved over where it was at release. Following the firmware development is a roller coaster ride, with [Ian] sometimes pushing out several updates a day. Luckily, like the Pi Pico itself, updating the new Bus Pirate only takes a second.

But as impressive and important as those software updates have been, that’s not what we’re talking about today. In this post, we’ll take a look at one of the most exciting aspects of the new Bus Pirate — the ability to easily develop add-on modules for it.

Bus Pirate Versions

Before we get too far, I should mention that there are now a couple of new Bus Pirate versions on the market, which makes talking about the product a little confusing.
The new Bus Pirate 6
The Bus Pirate 5, which started shipping in February and remains available, is powered by the RP2040. It is the first major version of the hardware to see a wide release since the Bus Pirate 3. Since the team got early access to the RP2350 chip, they were also able to produce two new variants: the 5XL and the 6.

What are the differences between them all? The 5XL uses the RP2350A and is essentially just a faster version of the 5 thanks to the more powerful cores and additional RAM offered by the new Raspberry Pi silicon. The 6 is based on the RP2350B and takes advantage of the additional GPIO pins by deleting some of the I/O expander chips that were necessary on the 5 and 5XL. This not only makes I/O faster but frees up space on the board to implement a “follow along” logic analyzer that automatically records everything that’s happening on the bus.

All that being said, for the purposes of this article, it doesn’t actually matter.

One Port To Rule Them All

Regardless of which version of the Bus Pirate you get (5/5XL/6), they all feature the same 10-pin connector on the side. This is where you’d normally connect up your probes, and thanks to the display on the top of the Bus Pirate, you don’t even have to remember the pinout — when you switch modes on the device, the screen will be updated to show which pin does what.

This is where things start to get interesting. Since the connector on the side is nothing more exotic than a male 2.54 mm pitch header, interfacing with it through custom hardware is incredibly simple. You don’t need to hunt down some special connector — making a board that can plug into the BP5 (or beyond) can be as easy as soldering a female header onto a scrap of perfboard. Even better, since you don’t have to worry about creating a custom footprint, developing your own add-on PCBs is a breeze.

Designing Custom Expansions

Creating your own piece of hardware that plugs into the Bus Pirate is as easy as adding a right-angle 2.54 mm female header to the edge of your PCB. You might think the fact that the pinout changing depending on what mode the device is in would be a problem, but in practice, your add-on is likely going to require the user to set a corresponding mode anyway (I2C, SPI, UART, etc).

Over on the Bus Pirate forums, user [grymoire] is responsible for coming up with the idea of calling these expansions “planks” after drawing comparisons with the “hats” and “shields” used by other development boards. Why a plank? Well, for one, it fits the pirate theme. When plugged into the Bus Pirate, the expansions also look a bit like a plank hanging out over the side of a pirate ship.

As an example, I recently put together the SAO Plank: a small adapter that lets me connect three Simple Add-Ons to the Bus Pirate. This is not only a convenient way of powering the badge expansions and monitoring their current consumption using the Bus Pirate’s onboard display, but it also provides a way to debug and test I2C communications between several SAOs — a capability that will become more useful as we get closer to Supercon 2024.

There’s really not much going on in the SAO Plank, and frankly, I could have wired the thing up on a perfboard. Even the power LED I added is technically superfluous, as the technicolor lights produced by the Bus Pirate leave no question as to whether or not it’s turned on. But it was so cheap and easy to turn this into its own board, so why not?

I’m eager to see what the community comes up with when presented with such a low-friction path to coming up with custom Bus Pirate expansions.

Collect Em’ All

Bus Pirate planks aren’t just limited to DIY. Since releasing the Bus Pirate 5, a number of official planks have been introduced. Some of these are still in development, such as the “IR Toy” that [Ian] has been documenting in a thread on the forums. Others are already available for purchase, such as an assortment of adapters that make it easier to work with SPI flash chips and one for interfacing with SLE4442 Secure Memory Cards.

One of the advantages of the official planks is that the firmware is likely to get baked-in support for any special functions they may have. Even though the IR Toy hasn’t officially been released, last week a new mode was added to the stable build of the firmware that can interface with it and send NEC IR codes. Then again, as the firmware is open source, even DIY planks could get their own modes should somebody be so inclined to write the code for them.

Whether they’re an official product or a homebrew project from the community, the Bus Pirate Planks are a very exciting addition to an already fantastic tool. If you happen to see an interesting Plank in the wild, or end up making one yourself, be sure to let us know.

It may be the last gasp of summer here in the Northern Hemisphere, but it’s always cold somewhere, whether it’s outdoors or inside. If you suffer from cold, stiff hands, you know how difficult it can be to work comfortably on a computer all day. Somehow, all that typing and mousing does little to warm things up. What you need are hand warmers, obviously, and they might as well be smart and made to fit your hands.

Fifteen-year-old [Printerforge] created these bad boys in an effort to learn how to code LCDs and control heat like Magneto controls ferrous metals. Thanks to digital control, they can heat up to specific temperatures, and they happen to run for a long time.

Power-wise, these warmers use a 18650 cell and a TP4056 charging module. Everything is controlled by an Arduino Nano, which reads from both a thermistor and a potentiometer to control the output.

[Printerforge] really thought this project through, as you’ll see in the Instructable. There’s everything from a table of design requirements to quick but thorough explanations of nichrome wire and basic electronic theory.

And then there’s the material consideration. [Printerforge] decided that polymer clay offers the best balance of heat conductivity and durability. They ended up with two styles — flat, and joystick grip. The best part is, everything can fit in a generous pocket.

Clay is good for a lot of things, like making the perfect custom mouse.

hackaday.com/2024/08/30/adjust…

Recently Raspberry Pi released the 2GB version of the Raspberry Pi 5 with a new BCM2712 SoC featuring the D0 stepping. As expected, [Jeff Geerling] got his mitts on one of these boards and ran it through its paces, with positive results. Well, mostly positive results — as the Geekbench test took offence to the mere 2 GB of RAM on the board and consistently ran out of memory by the multi-core Photo Filter test, as feared when we originally reported on this new SBC. Although using swap is an option, this would not have made for a very realistic SoC benchmark, ergo [Jeff] resorted to using sysbenchinstead.

Naturally some overclocking was also performed, to truly push the SoC to its limits. This boosted the clock speed from 2.4 GHz all the way up to 3.5 GHz with the sysbench score increasing from 4155 to 6068. At 3.6 GHz the system wouldn’t boot any more, but [Jeff] figured that delidding the SoC could enable even faster speeds. This procedure also enabled taking a look at the bare D0 stepping die, revealing it to be 32.5% smaller than the previous C1 stepping on presumably the same 16 nm process.

Although 3.5 GHz turns out to be a hard limit for now, the power usage was interesting with idle power being 0.9 watts lower (at 2.4 W) for the D0 stepping and the power and temperatures under load also looked better than the C1 stepping. Even when taking the power savings of half the RAM versus the 4 GB version into account, the D0 stepping seems significantly more optimized. The main question now is when we can expect to see it appear on the 4 and 8 GB versions of the SBC, though the answer there is likely ‘when current C1 stocks run out’.

hackaday.com/2024/08/30/new-2-…

If there’s a reason that fancy holographic displays that respond to gestures are a science fiction staple, it’s probably because our current display technology is terrible. Oh sure, Retina displays and big curved gaming monitors are things of wonder, but they’re also things that occupy space even when they’re off — hence the yearning for a display that can appear and disappear at need.

Now, we’re not sure if [Maker Mac70]’s floating display is the answer to your sci-fi dreams, but it’s still pretty cool. And, as with the best of tricks, it’s all done with mirrors. The idea is to use a combination of a partially reflective mirror, a sheet of retroreflective material, and a bright LCD panel. These are set up in an equilateral triangle arrangement, with the partially reflective mirror at the top. Part of the light from the LCD bounces off the bottom surface of the mirror onto a retroreflector — [Mac] used a sheet of material similar to what’s used on traffic signs. True to its name, the retroreflector bounces the light directly back at the semi-transparent mirror, passing through it to focus on a point in space above the whole contraption. To make the display interactive, [Mac] used a trio of cheap time-of-flight (TOF) sensors to watch for fingers poking into the space into which the display is projected. It seemed to work well enough after some tweaking; you can check it out in the video below, which also has some great tips on greebling, if that’s your thing.

We suspect that the thumbnail for the video is a composite, but that’s understandable since the conditions for viewing such a display have to be just right in terms of ambient light level and the viewer’s position relative to the display. [Mac] even mentions the narrow acceptance angle of the display, touting it as a potential benefit for use cases where privacy is a concern. In any case, it’s very different from his last sci-fi-inspired volumetric display, which was pretty cool too.

youtube.com/embed/EctawhlzZEw?…

hackaday.com/2024/08/29/a-litt…

Round and round goes the red LED, and if you can push the button when it overlaps the green LED, then you win. Cyclone is almost too simple of a game, and that’s probably part of why it’s so addictive.

Want to make one for your desk? All it takes is an Arduino Nano R3 or comparable microcontroller, an RGB LED ring with 12 LEDs, a 16×2 LCD, a buzzer, and a momentary push button switch.

Interestingly, there aren’t successive levels with increasing speed, but each round begins with a randomized speed value. Of course, this can all be easily changed in the code, which is modified from [Joern Weise]’s original.

This is a tinier version of [mircemk]’s original project, which uses a 60-LED ring and does contain levels. As usual with [mircemk]’s builds, this project is mounted on their trademark 3 mm PVC board and covered with peel-and-stick wallpaper. Be sure to check out the demo and build video after the break.

Don’t forget! You have until Tuesday, September 10th to enter the 2024 Tiny Games Contest, so get crackin’!

youtube.com/embed/Hs9-PIE7uxU?…

hackaday.com/2024/08/29/2024-t…

You know, it feels as though it’s getting more and more difficult to compete for Father of the Year around here. And [Jon Petter Skagmo] just laid down a new gauntlet — the incredibly overly-engineered kids car.

While the original plan was to build the entire car from scratch, [Jon] eventually opted to use an off-the-shelf car that had a dead battery.

While the original architecture was quite simple, the new hardware has just about everything a kid could want in a tricked-out ride, most of which is accessible through the really cool dashboard.

We’re talking headlights, a music player, a siren, a selfie video cam that doubles as two-way communication with the driver, and even a garage door opener that uses an MQTT connection.

Under the cute little hood is where you’ll find most of the electronics. The car’s brain is a Raspberry Pi 3B, and there’s a custom daughter board that includes GPS/GNSS. This was originally meant to geofence [Baby Girl Skagmo] in, but Dad quickly realized that kids are gonna kid and disabled it pretty soon after.

This isn’t the first high-tech rebuild of a kiddie car that we’ve seen here at Hackaday. Makes us wish we were quite a bit smaller…

youtube.com/embed/6S74HPwhZlI?…

hackaday.com/2024/08/29/driven…

Welcome to Euractiv’s Tech Brief, your weekly update on all things digital in the EU. You can subscribe to the newsletter here.

euractiv.com/section/digital/n…

Paris prosecutors have opened a formal investigation against Telegram founder Pavel Durov as part of a probe into organised crime-related activities on the messaging app. To break it all down, we are joined by our Paris-based technology reporter, Théophane Hartmann.

euractiv.com/section/digital/p…

A French judge put Telegram boss Pavel Durov under formal investigation on Wednesday (28 August) in a probe into organised crime on the messaging app, but granted the entrepreneur bail.

euractiv.com/section/justice-h…

GovTech has the potential to enhance public services but faces challenges like complex regulations and lack of awareness. In addition to EU-led projects such as SPIN4EIC, GovTech Connect and PSTW, such issues can be addressed by a unified EU platform for procurement, that consolidates opportunities and connects startups with public administrations, who should at the same time simplify procurement processes to ease the access for SMEs.

euractiv.com/section/digital/o…

I ricercatori di BforeAI hanno identificato una massiccia campagna di phishing contro le catene internazionali di pizzerie, con conseguenti perdite finanziarie significative. L’indagine è iniziata dopo aver ricevuto informazioni dalle forze di polizia di Singapore su una minaccia di phishing, come evidenziato in un articolo di Yahoo News Singapore. L’indicatore iniziale di compromissione ha portato alla scoperta di un attacco più complesso e in corso che si estende su più paesi e prende di mira più marchi di pizza.

La campagna è stata inizialmente rilevata tramite il dominio domino-plza[.]com, provocando la perdita di 27.000$ da parte di sette vittime attraverso pagine di ordini falsi che imitavano il sito web di Domino’s Pizza. Gli aggressori hanno utilizzato la pubblicità a pagamento sui motori di ricerca per spingere i loro domini falsi in cima ai risultati di ricerca, superando i siti originali. Questi metodi, combinati con le tecniche SEO black hat, hanno reso gli utenti vulnerabili al phishing.

Dopo gli attacchi riusciti a Singapore, gli aggressori hanno registrato i domini prendendo di mira altre importanti catene di pizzerie internazionali come PizzaPizza, Little Caesars, Blaze Pizza, 241 Pizza, Panago Pizza e Boston Pizza. Questi domini sono molto simili a quelli reali, ma contengono piccole modifiche che possono facilmente confondere gli utenti.

Gli aggressori continuano a registrare nuovi domini utilizzando indirizzi IP associati a registrazioni di domini sospetti con estensioni di dominio insolite come “.life” e “.top”, che non sono comuni per i marchi legittimi. Gli attacchi iniziano con la creazione di siti web falsi, praticamente identici a quelli originali. Quando effettuano un ordine, gli utenti inseriscono una password monouso (OTP), che consente agli aggressori di ottenere i dettagli della carta e utilizzarli per transazioni non autorizzate, con conseguente perdita di fondi da parte delle vittime.

La campagna non è limitata a un paese ed è una minaccia globale, con particolare attenzione alle catene di pizzerie canadesi. La capacità degli aggressori di registrare e mantenere più domini indica un’operazione ben organizzata volta a sfruttare la popolarità e la fiducia di questi marchi.

Sebbene i primi attacchi abbiano causato vittime significative nel 2023, la campagna continua nel 2024. Ci sono state attività rivolte alle pizzerie canadesi tra cui PizzaPizza, Little Caesars, Pizzaiolo, Panago Pizza e Boston Pizza. Gli spostamenti dei server e le modifiche alle date attive nei record DNS passivi indicano una campagna in corso.

Ricerche recenti mostrano che alcuni domini di phishing continuano ad aggiornarsi, indicando possibili attacchi futuri. L’emergere di nuove registrazioni di domini associati allo stesso gruppo di aggressori conferma la necessità di un monitoraggio costante delle minacce.

Gli attacchi si stanno espandendo ad altre organizzazioni esterne al settore della pizza, evidenziando la necessità di maggiore attenzione e azione per prevenire ulteriori perdite finanziarie.

L'articolo Una Pizza Margherita Molto Cara! Phishing e frodi telematiche che mirano allo Stomaco proviene da il blog della sicurezza informatica.

I ricercatori hanno scoperto che il gruppo sudcoreano APT-C-60 sta utilizzando una vulnerabilità critica legata all’esecuzione di codice in modalità remota in Kingsoft WPS Office per Windows per implementare una backdoor SpyGlace.

Il pacchetto WPS Office (ex Kingsoft Office) è apparso nel 1989 ed è stato creato dall’azienda cinese Kingsoft. Oggi viene utilizzato mensilmente da circa 500 milioni di persone in tutto il mondo.

ESET segnala che la vulnerabilità zero-day, identificata come CVE-2024-7262, è stata utilizzata negli attacchi almeno dalla fine di febbraio 2024 e colpisce le versioni da 12.2.0.13110 (rilasciata ad agosto 2023) alla 12.1.0.16412 (rilasciata a marzo 2024).

Kingsoft ha risolto il problema nel marzo di quest’anno, ma non ha informato i clienti che il bug era già stato attivamente sfruttato dagli hacker. Ciò ha spinto i ricercatori ESET a pubblicare un rapporto dettagliato su ciò che davvero è accaduto.

Va notato che oltre al CVE-2024-7262, l’indagine di ESET ha rivelato un altro grave difetto: CVE-2024-7263, che gli sviluppatori di Kingsoft hanno corretto alla fine di maggio 2024 nella versione 12.2.0.17119.

La radice del problema del CVE-2024-7262 è il modo in cui il programma funziona con gestori di protocollo personalizzati, in particolare ksoqing://, che consente di avviare applicazioni esterne tramite URL appositamente predisposti nei documenti.

A causa della convalida e della gestione errata di tali URL, la vulnerabilità consente agli aggressori di creare collegamenti ipertestuali dannosi che alla fine portano all’esecuzione di codice arbitrario.

Secondo gli esperti, per sfruttare il bug, i partecipanti all’APT-C-60 hanno creato fogli di calcolo (file MHTML) in cui hanno inserito collegamenti dannosi nascosti sotto un’immagine esca per indurre le vittime a cliccarvi sopra, innescando l’exploit.

Pertanto, i parametri URL contengono un comando codificato base64 per eseguire un plug-in specifico (promecefpluginhost.exe), che tenta di caricare una DLL dannosa (ksojscore.dll). Questa DLL è un componente del loader APT-C-60, progettato per ottenere il payload finale (TaskControler.dll) dal server degli aggressori, una backdoor SpyGlace personalizzata.

SpyGlace è stato precedentemente studiato in dettaglio da Threatbook quando APT-C-60 lo ha utilizzato negli attacchi contro organizzazioni legate alla formazione e al commercio.

Come accennato in precedenza, durante lo studio degli attacchi APT-C-60, i ricercatori ESET hanno scoperto un’altra vulnerabilità, il CVE-2024-7263. Consente l’esecuzione di codice arbitrario in WPS Office ed è causato da una correzione errata del problema CVE-2024-7262.

In particolare, il tentativo iniziale di Kingsoft di risolvere il bug ha comportato l’aggiunta della convalida per alcuni parametri. Tuttavia, alcuni di essi, come CefPluginPathU8, non erano ancora adeguatamente protetti, consentendo agli aggressori di fornire percorsi a DLL dannosi tramite promecefpluginhost.exe.

ESET spiega che la vulnerabilità potrebbe essere sfruttata localmente o tramite una risorsa di rete che ospitava una DLL dannosa. Allo stesso tempo, i ricercatori sottolineano di non aver trovato alcun caso in cui APT-C-60 o altri gruppi abbiano sfruttato questo bug.

Gli esperti consigliano agli utenti di WPS Office di eseguire l’aggiornamento alla versione più recente il prima possibile o di aggiornare il software almeno alla 12.2.0.17119 per eliminare entrambe le vulnerabilità di esecuzione del codice.

L'articolo Zero-day in WPS Office. Il gruppo APT-C-60 utilizza exploit per installare la backdoor SpyGlace proviene da il blog della sicurezza informatica.

Google raddoppia i pagamenti per le vulnerabilità riscontrate nel browser Chrome. Ora la ricompensa massima per un bug raggiunge i 250.000 dollari.

È stato riferito che la società ora valuterà le vulnerabilità della corruzione della memoria in base alla qualità dei rapporti e agli sforzi dei ricercatori per identificare l’impatto completo dei problemi scoperti.

Pertanto, la ricompensa per i report di base che dimostrano la corruzione della memoria in Chrome con uno stack trace e una prova di concetto (PoC) sarà fino a 25.000 dollari. I report di qualità superiore, con dimostrazioni dell’esecuzione di codice remoto (RCE) e di un exploit funzionante, saranno molto più preziosi.

“È ora di modificare il VRP (Vulnerability Reward Program) di Chrome per creare una struttura più chiara e aspettative più chiare per i ricercatori di sicurezza che ci segnalano bug e per incoraggiare segnalazioni di qualità e ricerche più approfondite sulle vulnerabilità di Chrome” scrive Amy Ressler, ingegnere della sicurezza di Chrome. – La ricompensa massima possibile per problema è ora di 250.000 dollari per la dimostrazione di RCE in un processo non sandbox. “Se l’RCE può essere raggiunto senza compromettere il renderer, l’importo della ricompensa aumenta, incluso il pagamento per l’RCE del renderer.”

Inoltre, la società ha più che raddoppiato i premi per aver aggirato MiraclePtr portandoli a 250.128 dollari (in precedenza 100.115 dollari).

Google è inoltre disposto a pagare ricompense per la segnalazione di altre classi di vulnerabilità, a seconda del loro livello, impatto e potenziale danno per gli utenti di Chrome.

“Tutti i rapporti rimangono idonei per il bonus se soddisfano tutti i requisiti richiesti. Continueremo a esplorare ulteriori opportunità di ricompensa simili al precedente programma Full Chain Exploit Reward e evolveremo il nostro programma per servire meglio la comunità della sicurezza”, aggiunge Ressler. “I rapporti che non dimostrano sufficientemente implicazioni sulla sicurezza o potenziali danni agli utenti, o che sono puramente teorici e speculativi, difficilmente potranno beneficiare dei premi VRP.”

Va notato che dal lancio del programma di ricompensa per le vulnerabilità scoperte nel 2010, Google ha pagato più di 50 milioni di dollari ai ricercatori di sicurezza informaticache hanno trovato più di 15.000 vulnerabilità.

L'articolo Nuovo Bug Bounty per Google Chrome: fino a 250.000 dollari per un exploit RCE proviene da il blog della sicurezza informatica.

Un ex funzionario della sicurezza informatica statunitense ha affermato che gli sforzi di hacking di Pechino sono “molto più avanzati di prima”. Negli ultimi mesi, gli hacker cinesi sostenuti dallo Stato sono penetrati nei fornitori di servizi Internet statunitensi per spiare i loro utenti, accedendo anche ad almeno due dei principali fornitori statunitensi con milioni di clienti, ha affermato il Washington Post, citando persone che hanno familiarità con la questione.

Gli attacchi hanno sollevato preoccupazioni e due persone hanno affermato che alcune delle tecniche e delle risorse utilizzate dagli hacker erano correlate a quelle utilizzate l’anno scorso da un gruppo sostenuto dalla Cina chiamato Volt Typhoon.

Funzionari dell’intelligence statunitense hanno affermato che il gruppo ha cercato di acquisire attrezzature nei porti del Pacifico e altre infrastrutture in modo che la Cina potesse seminare paura e panico in caso di conflitto armato e interrompere la capacità degli Stati Uniti di fornire truppe, armi e rifornimenti a Taiwan.

“Per la Cina è ormai tutto come al solito, ma è notevolmente aumentato rispetto a prima. È di un ordine di grandezza peggiore”, ha affermato Brandon Wales, che fino all’inizio di questo mese era direttore esecutivo della Cybersecurity and Infrastructure Security Agency, CISA.

Gli attacchi informatici destano preoccupazione perché si ritiene che tra i loro obiettivi vi siano personale governativo e militare che lavora sotto copertura, nonché gruppi di interesse strategico per la Cina.

“Si tratta di una connettività privilegiata e di alto livello con clienti interessanti”, ha affermato Mike Horka, ex agente dell’FBI e attuale ricercatore presso Lumen Technologies, che ha descritto una delle campagne ma non ha identificato gli ISP colpiti.

È stato degno di nota, ha aggiunto, che i gruppi hanno considerato lo sforzo abbastanza importante da sfruttare difetti software precedentemente non scoperti (0day) che avrebbero potuto essere stati utilizzati per un uso successivo.

In un rapporto separato all’inizio di questo mese, la società di sicurezza Volexity ha affermato di aver trovato un’altra tecnica di fascia alta in gioco presso un altro ISP senza nome. In quel caso, ha affermato che un gruppo di hacker statali cinesi distinto da Volt Typhoon è stato in grado di arrivare abbastanza in profondità all’interno del fornitore di servizi tanto da modificare gli indirizzi web del Domain Name System (DNS) che gli utenti stavano cercando di raggiungere e dirottarli altrove, consentendo agli hacker di inserire backdoor per lo spionaggio.

L'articolo Gli hacker Cinesi colpiscono duramente i provider internet statunitensi con bug 0day proviene da il blog della sicurezza informatica.

Gli specialisti di Kaspersky Lab hanno scoperto la versione macOS della backdoor HZ Rat, che attacca gli utenti dei servizi di messaggistica aziendale DingTalk e WeChat. Alcune versioni della backdoor si connettono ai server di comando e controllo utilizzando indirizzi IP locali, portando i ricercatori a credere che gli attacchi potrebbero essere mirati.

HZ Rat è stato scoperto per la prima volta a novembre 2022 da DCSO. Successivamente il malware si rivolgeva ai sistemi Windows e riceveva comandi sotto forma di script PowerShell. Come affermano ora i ricercatori, la versione macOS della backdoor è quasi identica alla versione per Windows, differisce solo per il payload, ricevuto anche sotto forma di script di shell dal server degli aggressori.

Il punto di distribuzione iniziale del nuovo HZ Rat è sconosciuto, ma gli esperti hanno scoperto un pacchetto di installazione per uno dei campioni di backdoor: un file chiamato OpenVPNConnect.pkg. È stato caricato su VirusTotal nel luglio 2023 e, al momento della ricerca, non è stato rilevato da nessun fornitore, come altri esempi di backdoor.

È interessante notare che questo pacchetto di installazione, secondo VirusTotal, è stato precedentemente scaricato da uno dei domini di proprietà di miHoYo, uno sviluppatore cinese di giochi per computer. Al momento non è noto come questo file sia arrivato al dominio legittimo e se l’azienda sia stata hackerata.

Al momento dell’avvio HZ Rat stabilisce una connessione con il server di controllo in base all’elenco degli indirizzi IP specificati. Nella maggior parte dei casi, per la connessione è stata utilizzata la porta 8081 e sono stati trovati anche esempi di connessione al server utilizzando indirizzi IP privati. In questo caso per la comunicazione con il server di controllo viene utilizzata la crittografia XOR con chiave 0x42.

La backdoor supporta solo quattro comandi di base: eseguire un comando shell, scrivere un file su disco, inviare un file al server e verificare la disponibilità della vittima.

Durante lo studio, gli specialisti sono riusciti a ottenere dal server di controllo comandi shell volti a raccogliere i seguenti dati:

• stato della funzione protettiva System Integrity Protection (SIP);
• informazioni sul sistema e sul dispositivo (indirizzo IP locale, informazioni sui dispositivi Bluetooth, reti Wi-Fi disponibili, adattatori di rete wireless disponibili e rete a cui è connesso il dispositivo, caratteristiche hardware, informazioni sulla memorizzazione dei dati);
• elenco delle applicazioni;
• informazioni sull’utente da WeChat;
• informazioni sull’utente e sull’organizzazione da DingTalk;
• coppie di valori nome utente-sito web dal gestore password di Google.

Da WeChat il malware tenta quindi di ottenere il WeChatID, l’e-mail e il numero di telefono della vittima. Questi dati vengono archiviati in testo non crittografato nel file userinfo.data.

In DingTalk gli aggressori sono interessati a dati più dettagliati delle vittime, vale a dire: il nome dell’organizzazione e del dipartimento in cui lavora l’utente, il nome utente, l’indirizzo e-mail aziendale e il numero di telefono.

Lo script tenta di raccogliere questi dati da orgEmployeeModel. Se il file manca, il malware cercherà il numero di telefono e l’e-mail dell’utente nel file sAlimailLoginEmail. Se fallisce, HZ Rat tenterà di trovare la posta dell’utente in uno dei file di cache dell’applicazione DingTalk chiamato .holmes.mapping. Questi file non sono crittografati e memorizzano i dati in testo non crittografato.

Gli esperti scrivono che durante lo studio erano attivi quattro server di controllo. Come accennato in precedenza, in alcuni campioni tra gli indirizzi IP indicati figuravano anche indirizzi privati.

“Questi campioni sono stati probabilmente utilizzati per controllare il dispositivo della vittima, sulla cui rete locale era già installato un computer infetto con un proxy, reindirizzando la connessione al server dell’aggressore. Questo di solito viene fatto per nascondere la presenza del malware nella rete, poiché solo il dispositivo su cui è installato il proxy comunicherà con il server di controllo dell’aggressore”, afferma il rapporto.

Si segnala inoltre che alcuni indirizzi IP sono già stati riscontrati in attacchi mirati contro dispositivi con sistema operativo Windows. Le loro prime apparizioni risalgono al 2022: uno degli indirizzi apparve negli attacchi HZ Rat di quel periodo.

Quasi tutti i server di controllo scoperti si trovavano in Cina. Le eccezioni sono due indirizzi situati negli Stati Uniti e nei Paesi Bassi.

L'articolo Backdoor HZ Rat per Apple macOS: Attacchi Mirati a WeChat e DingTalk proviene da il blog della sicurezza informatica.

Il Consiglio Nazionale delle Ricerche (CNR) ha confermato di essere stato vittima di un attacco informatico il 25 agosto 2024, che ha compromesso l’applicazione Arch-Motro, usata per la gestione dell’archivio documentale dell’ente.

In seguito all’incidente, il CNR ha emesso un comunicato stampa riportando che i dati esfiltrati non includono informazioni sensibili, e non vi è stata interruzione di servizi né richiesta di riscatto. Sono state attuate misure di sicurezza immediate per proteggere i sistemi coinvolti e per prevenire ulteriori compromissioni.
In data 25 agosto, il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC) ha segnalato un data leak, cioè la divulgazione non autorizzata di dati, del contenuto di un database associato al Cnr. Da un'analisi effettuata si è evidenziato che il data leak è avvenuto tramite un accesso non autorizzato al database relativo all'applicazione denominata Arch-Motro, che gestisce gli elenchi di versamento della documentazione non più di uso corrente e destinata all’Archivio di Deposito dell’Ente.

Il Cnr ha immediatamente effettuato le opportune verifiche circa lo stato delle informazioni pubblicate e al contempo attuato le relative misure per mettere in sicurezza i sistemi interessati e quelli correlati.

È stato appurato che il Cnr non è stato oggetto di alcun criptaggio dati, né c’è stata alcuna interruzione dei servizi. Inoltre, l’esfiltrazione dati non è avvenuta a seguito di alcun attacco ransomware e, ad oggi, non risulta nessuna richiesta di riscatto.

Si sottolinea che i dati oggetto della violazione sono metadati descrittivi che indentificano i faldoni conservati nell’Archivio di Deposito e non dei dati relativi ai documenti in essi contenuti.

Si precisa che nel database sottratto non sono presenti dati, riferimenti, atti e progettualità, inerenti ad affari o pratiche in corso di trattazione o svolgimento, né dati o informazioni sensibili riferibili a progetti, proprietà intellettuale e/o ai nominativi del personale Cnr su di essi impiegato, così come non sono presenti informazioni relative a interessi strategici, politici e organizzativi dell’Ente.

Il Cnr già dal 2022, con l’avvio della digitalizzazione delle attività dell’Ente, ha migliorato la postura di sicurezza concentrandosi sui sistemi più vulnerabili, riducendo significativamente i fattori di rischio seguendo il percorso indicato dalle linee guida Agid. Negli ultimi due anni questi sforzi hanno consentito di rinnovare i servizi di collaborazione digitale, sostituire il sistema di protocollo, della conservazione documentale e attivare il nuovo catalogo dei prodotti della ricerca.

Per ogni chiarimento o ulteriore informazione in relazione alla violazione in oggetto con riferimento ai dati esfiltrati ad eventuali questioni relative ai profili privacy: violazione.archmotro@cnr.it
Il comunicato stampa è stato emesso in risposta alle notizie fornite dal Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC) della Polizia Postale e diffuse inizialmente da Red Hot Cyber, che hanno riportato la pubblicazione di un file SQL contenente metadati sottratti all’ente sul famoso forum underground Breach Forums.

Questo file, benché non contenga dati sensibili, ha destato preoccupazioni sulla sicurezza delle infrastrutture informatiche del CNR.

Il CNR ha sottolineato che l’attacco non ha avuto impatti significativi sulla sicurezza dei dati personali, ma l’incidente evidenzia la necessità di rafforzare le misure di sicurezza e la vigilanza contro minacce informatiche sempre più sofisticate.

Le autorità competenti sono state informate e sono in corso ulteriori indagini per determinare la portata dell’attacco e prevenire futuri incidenti.

L'articolo Attacco informatico al CNR. Esposto database, ma nessun dato sensibile compromesso. La Nota Stampa proviene da il blog della sicurezza informatica.

Gli analisti di Arkose Labs , una società specializzata nella lotta alle frodi e nell’identificazione dei bot, hanno parlato dell’azienda Greasy Opal, la cui attività è in una zona grigia da molti anni.

Sebbene Greasy Opal non si nasconda alle autorità e paghi le tasse, il suo strumento di soluzione CAPTCHA è ampiamente utilizzato dai criminali che prendono di mira prodotti di Amazon, Apple, Steam, Joomla, WhatsApp, VKontakte e così via.

Secondo i ricercatori che monitorano Greasy Opal da molto tempo, il sistema è attivo da più di due decenni e crea strumenti in base alle esigenze dei suoi clienti. E tra i suoi clienti c’è, ad esempio, il gruppo di hacker Storm-1152, noto per aver registrato circa 750 milioni di account Microsoft falsi nel 2023 e aver guadagnato milioni di dollari vendendoli ad altri criminali.

Lo strumento è pubblicizzato come “il miglior risolutore di CAPTCHA al mondo” e ha avuto diverse modifiche nel corso degli anni, pur essendo regolarmente aggiornato e adattato ai nuovi tipi di CAPTCHA.

Gli esperti scrivono che lo strumento è molto efficace, basato sulla tecnologia OCR avanzata (riconoscimento ottico dei caratteri) e utilizza modelli di apprendimento automatico “per la risoluzione altamente accurata di CAPTCHA di testo comuni e strumenti più specializzati per altri CAPTCHA di testo specifici“. Allo stesso tempo, i ricercatori ritengono che dietro lo sviluppo della menzionata tecnologia OCR ci sia proprio Greasy Opal.

Il risolutore di CAPTCHA è disponibile in due versioni: una versione gratuita, meno precisa e più lenta, e una versione a pagamento che identifica le immagini con una precisione del 90-100% e può riconoscere gli oggetti in meno di un secondo.

Apparentemente, Greasy Opal è guidato esclusivamente dal guadagno finanziario e non si preoccupa di chi siano i suoi clienti o cosa facciano. I ricercatori lo descrivono come uno sviluppatore di software “molto intelligente ma non molto etico“, interessato solo a fare soldi.

“I criminali possono acquistare il kit di strumenti Greasy Opal per 70 dollari. Per ulteriori 100 dollari, i clienti possono aggiornare e accedere alla versione beta. Indipendentemente dalla versione, Greasy Opal richiede ai clienti di pagare ulteriori 10 dollari al mese come quota di abbonamento”, affermano gli esperti.

Il pacchetto più costoso, che include tutti gli strumenti, costa 190 dollari (più 10 dollari di abbonamento mensile) e i ricercatori sottolineano che si tratta di un prezzo molto basso, anche se il numero di installazioni consentite in questa versione è limitato.

C’è anche un pacchetto business che costa 300 dollari (più una quota di abbonamento simile). Consente un numero maggiore di installazioni consentite.

Gli esperti stimano che questi strumenti siano utilizzati da centinaia di aggressori e Greasy Opal ha generato entrate per almeno 1,7 milioni di dollari solo lo scorso anno. Sebbene i suoi strumenti vengano utilizzati per attività illegali, Greasy Opal mantiene l’apparenza di un’attività legale e paga le tasse.

Gli analisti di Arkose Labs ritengono che Greasy Opal abbia sede nella Repubblica Ceca e, oltre a un risolutore CAPTCHA, venda strumenti per lo spamming, promozione di contenuti sui social media e SEO black hat.

Il fatto è che dopo che Microsoft ha confiscato l’infrastruttura del gruppo di hacker Storm-1152 sopra menzionato, gli specialisti di Arkose Labs sono riusciti a studiare il software Greasy Opal utilizzato negli attacchi.

Sebbene molti degli strumenti siano utilità di marketing piuttosto comuni, i ricercatori hanno notato che il risolutore CAPTCHA era specificamente mirato a prendere di mira organizzazioni specifiche. Tra i suoi obiettivi c’erano quindi: i servizi pubblici e governativi russi (Polizia stradale statale, Sistema unificato di navigazione e informazione di Mosca, Servizio fiscale, Servizio giudiziario federale, passaporti elettronici), il Ministero brasiliano delle Infrastrutture e l’Ufficio americano degli affari consolari del Dipartimento di Stato americano.

L'articolo Greasy Opal: Il Nuovo Strumento che Sconfigge i CAPTCHA proviene da il blog della sicurezza informatica.

Nei Paesi Bassi si è verificata una grave interruzione della rete integrata delle forze armate olandesi (NAFIN), causando interruzioni diffuse sia ai servizi militari che a quelli civili in tutto il paese.

Nella sua lettera al Parlamento, il ministro della Difesa Ruben Brekelmans ha spiegato che il guasto è stato causato da un bug nel codice del software che ha causato un problema di sincronizzazione dell’ora nella rete. Ciò ha reso impossibile la connessione a NAFIN, con ripercussioni su telefoni fissi, posta elettronica e telefonia.

Il fallimento ha avuto un impatto significativo sul funzionamento delle infrastrutture chiave. L’aeroporto di Eindhoven ha riscontrato gravi problemi di controllo del traffico aereo, che hanno portato a cancellazioni e ritardi dei voli. Alcuni passeggeri sono stati reindirizzati all’aeroporto di Bruxelles per proseguire il viaggio. L’aeroporto di Eindhoven funge anche da base militare, il che ha aggravato la situazione.

Inoltre, il guasto ha compromesso i sistemi di comunicazione e di allarme dei servizi di emergenza come la guardia costiera. I numeri di emergenza, compreso il 112 e le linee dei vigili del fuoco, sono rimasti operativi, ma la polizia e altri servizi sono stati costretti a utilizzare telefoni cellulari e messaggi di testo per coordinare gli sforzi.

L’incidente ha avuto un impatto anche sulla piattaforma DigiD, utilizzata dai dipartimenti governativi per gestire i conti dei cittadini. In alcuni comuni si sono verificati problemi che hanno impedito ai cittadini di ottenere passaporti o patenti di guida o di iscriversi alle vaccinazioni contro il coronavirus dai propri dispositivi mobili.

Il ministro della Giustizia David van Wel ha affermato nei suoi commenti che tali interruzioni potrebbero diventare più comuni in futuro, suscitando le critiche di alcuni parlamentari che hanno insistito sulla necessità di rafforzare le misure per prevenire tali situazioni. Si prevede che la questione verrà discussa in dettaglio nella prossima riunione della commissione difesa del parlamento olandese.

Da un lato, l’incidente ha evidenziato la vulnerabilità delle moderne infrastrutture e la dipendenza dei sistemi civili dalle reti militari. D’altro canto, i Paesi Bassi hanno dimostrato una certa resilienza: nonostante le gravi interruzioni, i servizi di emergenza sono stati in grado di utilizzare rapidamente scenari di backup e molti processi all’interno e all’esterno del Ministero della Difesa sono proseguiti come al solito.

L'articolo Olanda nel Caos! Un Blackout della Rete Militare blocca Aeroporti e Servizi di Emergenza proviene da il blog della sicurezza informatica.

Nelle ultime ore diversi siti francesi sarebbero stati presi di mira da attacchi informatici. All’origine di queste azioni: piccoli gruppi di hacker che chiedono la liberazione del boss di Telegram, arrestato sabato 24 agosto nei pressi di Parigi, o sfruttano l’evento per autopromozione.

Su Telegram gli URL dei siti francesi si susseguono. Tra due paragrafi scritti in russo, su diversi canali di messaggistica si condividono collegamenti ai siti della Corte di cassazione, del tribunale amministrativo di Parigi o della confederazione contadina. “Oggi […] colpiamo obiettivi sospetti ” , ha scritto un utente, invitando “chiunque desideri partecipare all’attacco” a inviare un messaggio a un altro utente di Internet. Il tutto adornato con emoji esplosivi, teschi e l’hashtag #FreeDurov.

Sabato 24 agosto il boss dell’applicazione Telegram, Pavel Durov, è stato arrestato dalle autorità francesi . La giustizia francese accusa il miliardario 39enne di non aver agito contro l’uso criminale del sistema di messaggistica.

Con i suoi gruppi di discussione che possono raggiungere fino a 200.000 persone, Telegram è regolarmente accusato di aumentare il potenziale virale di informazioni false e la proliferazione di contenuti odiosi, neonazisti, pedofili, cospiratori o terroristici.

Colpiti “almeno trenta” siti

Denunciando un arresto abusivo, diversi utenti del sistema di messaggistica hanno lanciato un appello per vendicarsi attaccando siti francesi. Un’operazione chiamata #opDurov si è scagliata contro la Francia.

Tra i siti colpiti l’amministrazione francese della città di Marsiglia o della rappresentanza permanente della Francia presso le Nazioni Unite. Ma anche la Confédération paysanne, La Voix du Nord e Doctolib. Mentre alcuni affermano di non aver notato alcuna attività insolita, altri confermano di essere stati presi di mira.

“Abbiamo notato che intorno alle 18 di sabato c’è stato un picco con 80.000 tentativi di connessione”, concorda il team della Confédération Paysanne, il che “confermerebbe il fatto che il sito è stato attaccato“.

Una volta presi di mira, diversi siti hanno subito rallentamenti o sono stati addirittura resi temporaneamente non disponibili. Questo lunedì, tuttavia, la maggior parte sembra funzionare di nuovo normalmente.

“Siamo ospitati su un server di grandi dimensioni, che risolve abbastanza facilmente questo tipo di problemi”, sottolinea la Confédération paysanne. “Non abbiamo invece informazioni sulle origini dell’azione. Perché siamo presi di mira? Non ne ho idea”. Il sindacato non è l’unico a porsi questa domanda. Tanto più che una miriade di siti che a priori non hanno nulla a che fare con Pavel Durov sono stati colpiti, come Syane, l’unione energetica e digitale dell’Alta Savoia.

L'articolo Dopo l’arresto di Pavel Durov, un’ondata di attacchi informatici ha preso di mira la Francia proviene da il blog della sicurezza informatica.

Le informazioni corrette dovrebbero essere disponibili per la persona o le persone giuste al momento giusto. Questo crede Alexey Soldatov, fisico nucleare, ex viceministro delle Comunicazioni (2008- 2010) e pioniere russo di Internet negli anni ‘90, che ora si troverebbe in carcere dopo la condanna a due anni da un tribunale di Mosca nel 2019. L’inchiesta penale sarebbe stata avviata da Andrei Lipov, il capo del dipartimento su Internet presso l’amministrazione presidenziale. Soldatov sarebbe stato tenuto agli arresti domiciliari per sei mesi e poi rilasciato su cauzione in attesa del processo, avvenuto questa estate nel luglio 2024. Le accuse sono state modificate in abuso di autorità, che comportano comunque una pena minore di quella del 2022.

IN BREVE:

• Le accuse di “abuso di potere”.
• Gli avvenimenti correlati: Internet Society ISOC-Bulgaria esprime la sua preoccupazione, L’instabilità politica della Bulgaria.
• Alexey Soldatov: il sogno di connettersi con il mondo e il primo collegamento al World Wide Web

Le accuse di “abuso di potere” per il traferimento illegale dei diritti di una serie di indirizzi IP

Chi ha fornito il motivo delle accuse è stato il figlio, il giornalista Andrei Soldatov – specializzato nel reportage sui servizi di sicurezza russi, tra cui l’FSB – che insieme a Irina Borog è uno degli autori di un articolo del 24 luglio 2024 pubblicato sul sito del Center for European Policy Analysis (CEPA). Nell’articolo si legge che Alexey Soldatov è accusato di “abuso di potere” per il traferimento illegale dei diritti di una serie di indirizzi IP legati a una organizzazione – il Telegraph cita una anonima società ceca – con la quale non ha alcun legame. L’agenzia di stampa Tass in un articolo del 25 dicembre 2019 citava: “Secondo Meduza il caso era legato al trasferimento di circa 490.000 indirizzi IPv4 alla società dell’imputato registrata nella Repubblica ceca“. All’epoca il tribunale si era rifiutato di accogliere la mozione dell’Unità investigativa della Direzione investigativa principale di Mosca del Ministero degli Interni russo di scegliere la custodia cautelare, mettendolo invece agli arresti domiciliari (il cui termine sarebbe scaduto il 28 gennaio 2020).

L’articolo di Andrei Soldatov evidenzia ora come l’incriminazione “una assurdità giuridica” che obbligherà Soldatov a rimanere in prigione anche se malato, nonostante la Corte non avrebbe dovuto stabilire una pena detentiva. Il giudice avrebbe emesso una sentenza più severa di quella richiesta dai pubblici ministeri e ignorato la malattia terminale del padre: a detta dei familiari, quella contro Soldatov è essenzialmente una condanna a morte.

Gli avvenimenti correlati

Internet Society ISOC-Bulgaria esprime la sua preoccupazione

Alcuni membri dell’Internet Society – Internet Society (ISOC – Bulgaria) – hanno espresso la loro seria preoccupazione per l’imprigionamento di Alexey Soldatov – e chiedono alle autorità russe di rilasciarlo urgentemente. Soldatov (72 anni) secondo quanto riportato è sopravvissuto a due interventi chirurgici correlati al cancro, ha problemi cardiovascolari cronici e altri problemi di salute. Anche se Soldatov è stato trasferito in un’altra prigione per le cure mediche, un articolo pubblicato da MK.ru lunedì 26 agosto ne riporta le condizioni critiche: “ha la febbre alta, problemi respiratori e il suo polmone sinistro non funziona” e le dure mediche di base sarebbero ben lontane da ciò di cui avrebbe bisogno una persona anziana e gravemente malata.

ISOC – Bulgaria ha invitato altre organizzazioni della Internet Society, pionieri di Internet, ingegneri, scienziati e attivisti online in tutto il mondo a sollecitare i loro governi a contattare il Cremlino e richiedere l’immediato rilascio del signor Alexey Soldatov, mentre è in corso il suo processo di appello anche tramite gli hashtag #FreeAlexeySoldatov, #RussianInternet.

L’instabilità politica della Bulgaria

Dopo lo scoppio con mosca la maggior parte dei cittadini bulgari ha iniziato a mettere in discussione i rapporti con Mosca (circa il 62% da un sondaggio Euractiv). La Bulgaria, rifiutandosi di pagare le forniture in rubli, ha inoltre ha cercato di ridurre le sue dipendenze energetiche dalla Russia che forniva il 90% delle risorse energetiche, passando a fornitori alternativi come la Turchia, Grecia, USA.

La Bulgaria vive uno stato di incertezza politica, e dopo sei elezioni in tre anni il Parlamento bulgaro non ha ancora una solida e chiara maggioranza. La prossima votazione sarebbe fissata per il 27 ottobre 2024. Il terzo gruppo più forte è rappresentato dal partito radicale filorusso (Revival) e secondo quanto riportato da Euractiv, alla fien di questo mese invierà una delegazione al forum BRICS a Mosca (mossa a sopresa dato che la Bulgaria non ha relazioni con i BRICS), rimanendo però ancorato al fatto che la Bulgaria dovrebbe rimanere “indipendente e coerente” solo con i suoi interessi nazionali.

Alexey Soldatov: il sogno di connettersi con il mondo e il primo collegamento al World Wide Web

Soldatov, fisico nucleare ha lavorato presso il Kurchatov Institute of Atomic Energy, un importante centro di ricerca nucleare sovietico durante la Guerra Fredda. Nell’articolo si afferma che “oltre alla ricerca sulle armi atomiche, gli scienziati del Kurchatov erano coinvolti in molti progetti di difesa cruciali, che spaziavano dai sottomarini nucleari sovietici alle armi laser. Di conseguenza, l’istituto godeva di uno status elevato nell’Unione Sovietica” che corrispondeva ad un maggiore grado di libertà rispetto ad altri istituti, come quello di poter essere “in grado di effettuare chiamate internazionali”. Il sogno di Soldatov era però quello di costruire una rete presso l’Istituto, quindi mise insieme un team di programmatori (1990) per iniziare a lavorare sul progetto e per collegare l’istituto con altri centri di ricerca nel paese. Il risultato fu la rete “Relcom”, che effettivamente creò una connessione tra il Kurchatov Institute di Mosca e l’Institute of Informatics and Automation di Leningrado (460 miglia di distanza), per poi stabilire “una connessione con i centri di ricerca di Dubna, Serpukhov e Novosibirsk”. Ma il sogno di Soldatov andava ben oltre allo scambio di semplici email, Soldatov voleva connettersi con il mondo.

Quello successe il 28 agosto 1990, quando fu attivata la prima connessione sovietica all’Internet globale: allora l’Istituto Kurchatov fu in grado di scambiarsi email con un’università di Helsinki, in Finlandia. Era il primo collegamento dell’Unione Sovietica al World Wide Web! Il sogno era diventato realtà ma l’idea allora andava contro i principi di ottenere una pre-autorizzazione obbligatoria, e nonostante tutto Alexey Soldatov – che credeva nella natura orizzontale di Internet – lottò per evitare lo sviluppo di un sistema operativo nazionale per computer o un motore di ricerca nazionale che avrebbe separato Internet russa dalla rete globale. Ha sempre creduto nella natura orizzontale e globale della rete.

Ma il resto della storia potete leggerlo nell’articolo di Andrei Soldatov:The Kremlin Jails the Father of Russia’s Internet

Leggi anche su Red Hot Cyber: Il Mondo Ha Bisogno di Nuovi Muri: come la Sicurezza Nazionale Sta Cambiando il Panorama Geopolitico Globale

L'articolo Alexey Soldatov uno dei padri dell’Internet russo si trova in prigione proviene da il blog della sicurezza informatica.

La diffusione della Generative AI ha consentito l’impiego massivo dell’AI in diversi contesti della vita umana, ma ha consentito anche il diffondersi di utilizzi distorti come le fake news. Per questo un uso corretto e consapevole dell’AI non può prescindere dalla guida e dalla supervisione dell’intelligenza umana

L'articolo Intelligenza e Gen AI, la convergenza di due mondi: un approccio by design e by default proviene da Cyber Security 360.

Le Pmi sono la spina dorsale del tessuto economico italiano e, spesso, per questione di budget sacrificano la cyber security. Ci sono soluzioni a costo ridotto che possono essere adottate da chiunque. Ma c’è da tenere conto di un incomodo ingombrante a cui quasi nessuno fa caso

L'articolo Cyber security e budget limitati. Queste le soluzioni per le Pmi proviene da Cyber Security 360.

Telegram è stato attenzionato dalle autorità francesi, a differenza di altre piattaforme di messaggistica, per due motivi tecnici. La crittografia di default e la conservazione dei dati sul server in chiaro. A differenza di altre piattaforme, Telegram potrebbe dare un supporto alle autorità ma sceglie di non farlo

L'articolo Ecco perché la Francia ha colpito Telegram e non le altre piattaforme proviene da Cyber Security 360.