Look, if something happened to you every three weeks or so to basically turn you into a different person and factored heavily into whether any new humans were created, you’d probably want to keep abreast of the schedule, yeah? Yeah. So, while there are, of course, a ton of ways to do this with your phone, most of those apps do gross things with your data. Are you angry yet?

[Jakoba the Online Witch] certainly was, or if not angry, at least annoyed. So she built a glowing egg timer, which shines a different color based on current point in her cycle, to let her know when she is fertile and expecting Aunt Flo.

The coolest part is that this is an actual egg from one of [Jakoba]’s backyard chickens. No. The coolest part is how she was able to make so many holes without breaking it. (It took four tries.)

After bleaching the insides, the egg was ready to glow. As [Jakoba] says, the guts are simple — just a Wemos D1 Mini ESP8266, a WS2812 LED, and a heatsink. The enclosure consists of an inverted peanut bowl with a glass ornament hot-glued in place.

Once it was put together, all she had to do was add it in Home Assistant and use the current calendar state to trigger services from the YAML configuration.

Would you prefer an on-body solution? Here’s an earring that tracks temperature.

hackaday.com/2024/09/07/glowin…

Nella sua recente pubblicazione, Pavel Durov ha riportato di come Telegram stia combattendo il fatto che la piattaforma viene abusata dai criminali.

Gli sviluppatori del Messenger hanno rimosso la funzione “Persone nelle vicinanze“, utilizzata da meno dello 0,1% degli utenti di Telegram, e hanno anche disabilitato il caricamento dei media in Telegraph. Attualmente puoi allegare immagini e video ai post su Telegraph solo utilizzando collegamenti da altre risorse.

Abbiamo notato inoltre che la funzione “Persone nelle vicinanze” ha smesso di funzionare per molti utenti alla fine di agosto, poco dopo l’arresto di Pavel Durov in Francia.

Il nuovo messaggio di Durov afferma che Telegram Premium ha recentemente raggiunto i 10 milioni di abbonati ed è ora di introdurre una serie di nuove funzionalità e abbandonare “molte di quelle obsolete”.

“Abbiamo rimosso la funzione Persone nelle vicinanze, che veniva utilizzata da meno dello 0,1% degli utenti di Telegram, ma causava problemi con bot e truffatori.

Telegram sta lanciando la funzione “Business nelle vicinanze”, dove verranno presentate le aziende verificate. Queste organizzazioni saranno in grado di visualizzare i cataloghi dei loro prodotti e accettare pagamenti.

È stato anche disabilitato il caricamento di nuovi media per Telegraph, il nostro strumento di blogging offline, che sembra essere stato utilizzato in modo improprio da individui anonimi.

Mentre il 99,999% degli utenti di Telegram non ha nulla a che fare con la criminalità, lo 0,001% delle persone coinvolte in attività illegali crea una cattiva immagine dell’intera piattaforma, mettendo a repentaglio gli interessi di quasi un miliardo dei nostri utenti.

Ecco perché quest’anno intendiamo trasformare la moderazione su Telegram da oggetto di critica a oggetto di lode”, afferma Durov.

Ricordiamo che Pavel Durov è stato arrestato in Francia il 24 agosto 2024, dopo che il suo aereo privato proveniente dall’Azerbaigian è atterrato all’aeroporto di Le Bourget.

Di conseguenza, il fondatore di Telegram è stato accusato di sei capi d’imputazione relativi a vari reati individuati sulla piattaforma (tra cui pedofilia, riciclaggio di denaro, traffico di droga e così via).

Le forze dell’ordine francesi affermano che il team di Telegram non combatte i contenuti illegali e non collabora con le autorità, rifiutandosi, ad esempio, di “fornire, su richiesta delle autorità autorizzate, informazioni o documenti necessari per l’attuazione e l’uso delle misure di intercettazione consentite dalla legge”. e significa.”

Il 28 agosto 2024 Pavel Durov è stato rilasciato sotto controllo giudiziario. Si impegna a pagare una cauzione di 5 milioni di euro e a presentarsi alla stazione di polizia due volte a settimana.

L'articolo Telegram: Addio a “Persone Nelle Vicinanze”, ma grandi novità all’orizzonte sulla Moderazione proviene da il blog della sicurezza informatica.

Buon sabato e ben ritrovato caro cyber User.

Bentornati al nostro appuntamento settimanale con le principali novità dal mondo della sicurezza informatica. Questa settimana, governi e organizzazioni globali stanno intensificando gli sforzi per proteggere infrastrutture critiche e dati sensibili. Allo stesso tempo, le minacce cyber continuano a evolversi, colpendo settori chiave con tattiche sempre più sofisticate. Esaminiamo insieme gli eventi più rilevanti.

Roadmap della Casa Bianca per proteggere il Border Gateway Protocol

In risposta alla crescente minaccia di attacchi informatici contro le infrastrutture di rete, la Casa Bianca ha pubblicato un piano dettagliato per migliorare la sicurezza del Border Gateway Protocol (BGP), fondamentale per l'instradamento dei dati su internet. Il piano prevede l'implementazione di tecnologie come la Resource Public Key Infrastructure (RPKI) per validare la legittimità dei dati che entrano nelle reti governative e prevenire attacchi di BGP hijacking. Viene inoltre raccomandato l'uso di filtri avanzati e il monitoraggio dei fornitori di servizi di rete per migliorare la gestione del rischio cyber.

Sequestrati 32 domini web legati alla disinformazione russa

Il Dipartimento di Giustizia degli Stati Uniti ha annunciato il sequestro di 32 domini web collegati a una campagna di disinformazione russa, progettata per influenzare il pubblico americano in vista delle prossime elezioni presidenziali. L'operazione, soprannominata Doppelgänger, coinvolgeva aziende e individui russi, alcuni dei quali sono stati incriminati e sanzionati per aver orchestrato un programma da 10 milioni di dollari. Tra i soggetti colpiti vi sono dirigenti di RT e altre entità legate all'amministrazione presidenziale russa.

Sprint di assunzioni nel settore cyber negli Stati Uniti

Per rispondere alla crescente domanda di esperti di cybersecurity, l'Office of the National Cyber Director (ONCD) ha lanciato un'iniziativa di assunzione chiamata "Service to America". L'obiettivo è colmare le circa 500.000 posizioni aperte nel settore cyber negli Stati Uniti, sensibilizzando sui posti di lavoro disponibili e facilitando l'accesso alla carriera, anche rimuovendo requisiti di laurea per alcuni ruoli. Si spera così di attirare più talenti, compresi i coniugi militari e altri individui che tradizionalmente incontrano barriere all'ingresso nel mondo del lavoro.

Nuove minacce: ransomware e cyber-spionaggio

Il gruppo di ransomware Fog ha spostato il proprio focus sui servizi finanziari, combinando furto di dati ed encrittazione di file per esercitare pressioni sulle vittime. Questo gruppo, noto in precedenza per aver colpito il settore educativo e ricreativo, utilizza un approccio multistrato per bloccare i file e minacciare di rilasciare dati sensibili.

Nel frattempo, in Malesia, figure politiche di alto profilo sono sotto attacco del malware Babylon RAT, distribuito tramite file ISO malevoli. Questo malware permette agli aggressori di ottenere il controllo completo dei sistemi compromessi, rubando informazioni sensibili.

Malware contro gli hacker: Lummac Stealer

Non solo le vittime comuni, ma anche gli stessi hacker sono ora nel mirino. È stato scoperto il malware Lummac Stealer, che si maschera come uno strumento per controllare account OnlyFans, ma in realtà ruba credenziali, informazioni finanziarie e portafogli di criptovalute. Questo malware si diffonde attraverso software craccato, dimostrando che nessuno è al sicuro dalle minacce cyber, nemmeno coloro che operano nell'illegalità.

Nuove vulnerabilità e aggiornamenti di sicurezza

La CISA ha aggiunto due vulnerabilità critiche presenti nei router DrayTek VigorConnect al suo catalogo Known Exploited Vulnerabilities. Questi difetti, risalenti al 2021, consentono agli attaccanti di scaricare file con privilegi di root, ed è stato recentemente osservato un aumento degli attacchi che sfruttano tali vulnerabilità.

Inoltre, Cisco Talos ha scoperto una nuova ondata di documenti Office malevoli creati con il framework MacroPack, utilizzati per distribuire payload come Havoc e PhantomCore RAT. Questi attacchi sono particolarmente insidiosi poiché i documenti vengono generati in modo rapido e distribuiti globalmente, con vari temi per ingannare le vittime.

Malware e minacce emergenti

Nuove minacce continuano ad apparire su tutti i fronti. Il malware mobile SpyAgent, ad esempio, si camuffa come app legittime per rubare chiavi mnemoniche di portafogli di criptovalute in Corea, e potrebbe presto colpire anche utenti iOS. Al contempo, il malware DarkCracks sta prendendo di mira siti WordPress e GLPI, utilizzando tecniche avanzate per evadere gli antivirus e stabilire un controllo a lungo termine dei server compromessi.

Infine, il gruppo Cicada3301 ha fatto scalpore con il suo ransomware scritto in Rust, mirato sia ai sistemi Windows che Linux/ESXi, e ha già rivendicato 23 vittime sulla propria piattaforma di estorsione.

😋 FunFact

Il FunFact di oggi è divertente, altrimenti, a guardarlo seriamente, farebbe piangere: come ti installo una estensione Chrome in maniera silente!

Infine

Le minacce informatiche continuano a evolversi, colpendo in modo sempre più mirato settori cruciali come la finanza, la politica e i servizi digitali. Allo stesso tempo, governi e organizzazioni stanno rispondendo con piani e iniziative per rafforzare la resilienza cyber e proteggere infrastrutture vitali. Restate sintonizzati per ulteriori aggiornamenti e analisi sul mondo digitale.

Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon fine settimana, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec.

buttondown.com/ninasec/archive…

As technology progresses, we generally expect processing capabilities to scale up. Every year, we get more processor power, faster speeds, greater memory, and lower cost. However, we can also use improvements in software to get things running on what might otherwise be considered inadequate hardware. Taking this to the extreme, while large language models (LLMs) like GPT are running out of data to train on and having difficulty scaling up, [DaveBben] is experimenting with scaling down instead, running an LLM on the smallest computer that could reasonably run one.

Of course, some concessions have to be made to get an LLM running on underpowered hardware. In this case, the computer of choice is an ESP32, so the dataset was reduced from the trillions of parameters of something like GPT-4 or even hundreds of billions for GPT-3 down to only 260,000. The dataset comes from the tinyllamas checkpoint, and llama.2c is the implementation that [DaveBben] chose for this setup, as it can be streamlined to run a bit better on something like the ESP32. The specific model is the ESP32-S3FH4R2, which was chosen for its large amount of RAM compared to other versions since even this small model needs a minimum of 1 MB to run. It also has two cores, which will both work as hard as possible under (relatively) heavy loads like these, and the clock speed of the CPU can be maxed out at around 240 MHz.

Admittedly, [DaveBben] is mostly doing this just to see if it can be done since even the most powerful of ESP32 processors won’t be able to do much useful work with a large language model. It does turn out to be possible, though, and somewhat impressive, considering the ESP32 has about as much processing capability as a 486 or maybe an early Pentium chip, to put things in perspective. If you’re willing to devote a few more resources to an LLM, though, you can self-host it and use it in much the same way as an online model such as ChatGPT.

hackaday.com/2024/09/07/large-…

I ricercatori di sicurezza cinesi hanno recentemente scoperto attacchi che utilizzano la vulnerabilità CVE-2024-30051 (punteggio CVSS: 7,8), utilizzata negli attacchi informatici legati a QakBot, un noto trojan bancario. La vulnerabilità è stata notata per la prima volta dagli specialisti di Kaspersky Lab nell’aprile 2024. Il difetto è legato alla libreria “dwmcore.dll”, responsabile del processo Desktop Window Manager in Windows.

Sfruttando questa vulnerabilità, gli aggressori possono controllare il processo di allocazione della memoria, che porta a un buffer overflow e consente la scrittura dei dati al di fuori dell’area allocata. Ciò apre la porta all’esecuzione di codice arbitrario sul computer di destinazione.

Gli aggressori hanno sfruttato una vulnerabilità nel sistema DirectComposition, responsabile della gestione degli elementi visivi in ​​Windows. Hanno inviato comandi speciali attraverso funzioni vulnerabili, che hanno interrotto il normale funzionamento del sistema. Ciò ha permesso di modificare i processi di sistema e ottenere diritti di accesso elevati.

È interessante notare che per sfruttare la vulnerabilità è stata utilizzata una complessa tecnica di manipolazione della memoria, inclusa la creazione di oggetti speciali come CHolographicInteropTextureMarshaler. Durante l’attacco gli aggressori hanno inserito codice dannoso in questi oggetti e hanno controllato l’esecuzione dei comandi a livello di sistema.

Dopo aver sfruttato con successo la vulnerabilità, gli aggressori hanno caricato librerie dannose che consentivano loro di eseguire comandi arbitrari ed eseguire programmi con privilegi elevati. Ad un certo punto gli aggressori hanno addirittura sfruttato la vulnerabilità per interagire con il processo UAC (User Account Control) di Windows, che dava loro accesso alle funzioni del sistema e permetteva loro di aggirare i meccanismi di sicurezza standard.

I ricercatori sottolineano che tali tecniche per sfruttare le vulnerabilità indicano che gli sviluppatori di malware sono altamente qualificati. In particolare, gli esperti suggeriscono che QakBot abbia le risorse per acquisire e sfruttare le vulnerabilità 0day, il che conferma la sua attività a lungo termine nel campo degli attacchi informatici.

Secondo gli esperti in futuro è prevedibile un aumento del numero di tali attacchi, soprattutto da parte di gruppi finanziariamente motivati che sfruttano le moderne vulnerabilità per attaccare le grandi organizzazioni.

L'articolo QakBot e CVE-2024-30051: Nuovi Metodi di Attacco Basati su Vulnerabilità Windows proviene da il blog della sicurezza informatica.

Le autorità americane hanno accusato Michael Smith, 52 anni, di aver frodato i servizi di streaming per oltre 10 milioni di dollari. Si ritiene che Smith abbia utilizzato l’intelligenza artificiale per creare centinaia di migliaia di brani di band defunte e poi distribuirli tramite servizi di streaming (Spotify, Apple Music, YouTube Music e Amazon Music). Allo stesso tempo, Smith ha aumentato il numero di ascolti utilizzando i robot.

Il procuratore degli Stati Uniti Damian Williams ha affermato: “Come affermato, Michael Smith ha trasmesso in streaming fraudolento miliardi di volte canzoni create con l’intelligenza artificiale per rubare royalties. Attraverso il suo sfacciato schema di frode, Smith ha rubato milioni di royalties che avrebbero dovuto essere pagate a musicisti, cantautori e altri detentori di diritti le cui canzoni erano state legittimamente trasmesse in streaming. Oggi, grazie al lavoro dell’FBI e dei procuratori di carriera di questo ufficio, è tempo che Smith affronti la musica”.

Le accuse contro Smith includono frode telematica, associazione a delinquere finalizzata a commettere frode telematica e associazione a delinquere finalizzata al riciclaggio di denaro. Se condannato, Smith rischia fino a 20 anni di carcere per ogni accusa.

Secondo le forze dell’ordine, la truffa di Smith è durata circa sette anni (dal 2017 al 2024), durante i quali ha utilizzato migliaia di account fittizi creati utilizzando indirizzi email acquistati.

Smith presumibilmente ha sviluppato il proprio software per riprodurre all’infinito la sua musica AI da diversi computer, e questo software ha imitato con successo l’attività di ascoltatori reali provenienti da diverse regioni.

Secondo l’indagine, inizialmente Smith ha caricato le sue composizioni originali sui servizi di streaming, ma è diventato subito chiaro che ciò non portava molti guadagni. Cercando di aumentare la scala, ha collaborato per qualche tempo con altri musicisti, offrendosi di eseguire le loro canzoni a pagamento, ma questi tentativi non sono stati coronati da successo.

Alla fine Smith è passato alla musica generata dall’intelligenza artificiale nel 2018 e ha collaborato con un dirigente e promotore musicale di una società di musica AI senza nome. Insieme hanno creato un’enorme libreria di musica AI. Vale la pena notare che i documenti del tribunale non specificano esattamente quale metodo abbiano utilizzato Smith e i suoi complici per generare le tracce create dall’IA, o come ciò sia avvenuto esattamente.

Smith stimava di poter riprodurre in streaming le sue tracce fino a 661.440 volte al giorno, guadagnando potenzialmente 3.307,20 dollari al giorno (fino a 1,2 milioni all’anno).

Si ritiene che al culmine della sua attività, Smith abbia utilizzato più di 1.000 account bot per potenziare artificialmente le audizioni su varie piattaforme. Da un messaggio che Smith ha inviato a se stesso, aveva scritto di gestire 52 account cloud, ognuno dei quali ospitava 20 bot.

A giugno 2019, Smith guadagnava effettivamente circa 110.000 dollari al mese, condividendo una parte del reddito con i suoi co-cospiratori anonimi. Secondo il New York Times , in un’e-mail inviata all’inizio di quest’anno, Smith si vantava con il suo interlocutore di aver raggiunto i 4 miliardi di stream e di aver guadagnato un totale di 12 milioni di dollari in royalties dal 2019.

Secondo la pubblicazione, quando una società di distribuzione musicale ha denunciato “numerosi abusi nel settore dello streaming” nel 2018, Smith è rimasto scioccato e ha negato fermamente qualsiasi accusa, insistendo sul fatto che “non c’era assolutamente alcuna frode”.

L'articolo Crea Musica con le AI e la fa ascoltare dai Bot. Una frode da 12 milioni di dollari ai servizi di streaming proviene da il blog della sicurezza informatica.

Gli specialisti di Kaspersky Lab hanno parlato della scoperta di numerose vulnerabilità nel terminale biometrico del produttore ZKTeco. I problemi potrebbero essere utilizzati per aggirare i sistemi di controllo degli accessi ed entrare fisicamente in aree protette, nonché per rubare dati biometrici, apportare modifiche ai database e installare backdoor.

I lettori biometrici studiati dai ricercatori sono ampiamente utilizzati in una varietà di settori in tutto il mondo, dalle centrali nucleari e manifatturiere agli uffici e alle organizzazioni sanitarie. I dispositivi supportano quattro metodi di autenticazione dell’utente: biometrico (utilizzando un volto), password, badge elettronico o codice QR, e possono memorizzare i dati biometrici di migliaia di persone.

Uno dei problemi più seri riguarda un gruppo di vulnerabilità che consente agli aggressori di ottenere l’accesso fisico ad aree riservate ( CVE-2023-3938 ), associate alle iniezioni SQL.

Gli aggressori possono incorporare dati in un codice QR per accedere a luoghi che non possono essere raggiunti senza autorizzazione. Se il terminale inizia a elaborare una richiesta contenente un codice QR così dannoso, il database lo identificherà erroneamente come proveniente dall’ultimo utente legittimo autorizzato. Alla fine, l’attacco darà all’hacker la possibilità di penetrare fisicamente in aree riservate.

“Oltre alla sostituzione del codice QR, esiste un’altra potenziale opportunità per ingannare il sistema e ottenere l’accesso alle aree protette chiuse. Se un utente malintenzionato riesce ad accedere al database di un dispositivo, può sfruttare altre vulnerabilità per scaricare una foto di un utente legittimo, stamparla e utilizzarla per ingannare la fotocamera del dispositivo e ottenere l’accesso a un’area protetta. Questo metodo, ovviamente, presenta alcune limitazioni. La foto deve essere stampata o visualizzata sullo schermo del telefono e i sensori termici del terminale biometrico devono essere disabilitati. Tuttavia, questo metodo rappresenta ancora una seria minaccia”, afferma Georgy Kiguradze, esperto di sicurezza informatica presso Kaspersky Lab.

Un altro gruppo di vulnerabilità ( CVE-2023-3940 ) è legato al furto di dati biometrici e all’installazione di backdoor. Pertanto, un potenziale utente malintenzionato può accedere a qualsiasi file sul sistema ed estrarlo. Ciò significa che gli aggressori avranno accesso ai dati biometrici sensibili degli utenti e agli hash delle password e potranno successivamente compromettere le credenziali aziendali, sebbene l’interpretazione dei dati biometrici rubati rimanga estremamente complessa.

Un altro gruppo di vulnerabilità ( CVE-2023-3941 ) consente di apportare modifiche al database del lettore biometrico. Di conseguenza, gli aggressori possono caricare i propri dati (ad esempio fotografie) nel database e aggiungersi autonomamente all’elenco degli utenti autorizzati, per poi passare attraverso tornelli o porte. Questo gruppo di vulnerabilità consente inoltre la sostituzione dei file eseguibili, rendendo potenzialmente possibile la creazione di una backdoor.

Altri gruppi di vulnerabilità ( CVE-2023-3939 , CVE-2023-3943 ) consentono l’esecuzione di comandi o codici arbitrari sul dispositivo, offrendo agli aggressori il pieno controllo con il massimo livello di privilegi. Ciò significa che l’apparecchio può essere utilizzato per sferrare attacchi ad altri nodi della rete, mettendo a rischio l’intera infrastruttura aziendale.

In totale, i ricercatori hanno scoperto 24 vulnerabilità nei terminali biometrici ZKTeco:

• 6 SQL injection;
• 7 stack buffer overflow;
• 5 command injection;
• 6 vulnerabilità varie sul file system;

Gli esperti hanno raggruppato in gruppi tutte le vulnerabilità riscontrate (molte di esse erano simili tra loro perché sorte a causa di un errore in un punto all’interno della libreria che funge da “wrapper” per il database) e le hanno registrate, dopo aver prima segnalato i problemi al produttore.

L'articolo Vulnerabilità nei Terminali ZKTeco: Gli Hacker Possono Accedere ad Aree Riservate proviene da il blog della sicurezza informatica.

Zyxel ha rilasciato patch per risolvere una vulnerabilità critica che colpisce diversi modelli di router aziendali e potenzialmente consente agli aggressori non autenticati di eseguire l’iniezione di comandi. Zyxel ha inoltre risolto quasi una dozzina di vulnerabilità negli altri suoi prodotti.

La vulnerabilità più pericolosa tra tutte quelle corrette viene tracciata con l’identificatore CVE-2024-7261 e ha ricevuto un punteggio CVSS di 9,8, che è considerato critico. Il problema è dovuto alla cattiva gestione dei dati forniti dagli utenti, che consente agli aggressori remoti di eseguire comandi arbitrari sul sistema operativo host.

“La neutralizzazione errata di elementi speciali nel parametro host nel programma CGI su alcuni punti di accesso e modelli di router potrebbe consentire a un utente malintenzionato non autorizzato di eseguire comandi inviando un cookie appositamente predisposto a un dispositivo vulnerabile“, avvertono gli ingegneri di Zyxel.

Il CVE-2024-7261 interessa i seguenti dispositivi.

• Serie NWA : NWA50AX, NWA50AX PRO, NWA55AXE, NWA90AX, NWA90AX PRO, NWA110AX, NWA130BE, NWA210AX, NWA220AX-6E. Tutte le versioni firmware fino alla 7.00 sono vulnerabili; si consiglia l’aggiornamento alla 7.00 (ABYW.2) e alle versioni successive.
• NWA1123-AC PRO: tutte le versioni firmware fino alla 6.28 sono vulnerabili, si consiglia l’aggiornamento alla 6.28 (ABHD.3) e versioni successive.
• NWA1123ACv3, WAC500, WAC500H: tutte le versioni firmware fino alla 6.70 sono vulnerabili, si consiglia l’aggiornamento alla 6.70 (ABVT.5) e successive.
• Serie WAC : WAC6103D-I, WAC6502D-S, WAC6503D-S, WAC6552D-S, WAC6553D-E, tutte le versioni firmware fino alla 6.28 sono vulnerabili, si consiglia di aggiornare alla 6.28 (AAXH.3) e alle versioni successive.
• Serie WAX : WAX300H, WAX510D, WAX610D, WAX620D-6E, WAX630S, WAX640S-6E, WAX650S, WAX655E, tutte le versioni firmware 7.00 sono vulnerabili, si consiglia l’aggiornamento a 7.00 (ACHF.2) e successive.
• Serie WBE : WBE530, WBE660S, tutte le versioni firmware fino alla 7.00 sono vulnerabili, si consiglia l’aggiornamento alla 7.00 (ACLE.2) e successive.

Zyxel segnala inoltre che anche i router USG LITE 60AX che eseguono V2.00 (ACIP.2) sono interessati da questo problema, ma questo modello si aggiornerà automaticamente tramite il cloud alla versione V2.00 (ACIP.3), che contiene già una patch per CVE-2024-7261.

Tuttavia, il bug critico non è stato l’unico problema risolto da Zyxel questa settimana. Pertanto, il produttore ha messo in guardia su sette ulteriori vulnerabilità che colpiscono alcune serie di firewall, tra cui ATP, USG-FLEX e USG FLEX 50(W)/USG20(W)-VPN:

• CVE-2024-6343 (CVSS Score 4.9): un buffer overflow in CGI che consente a un utente malintenzionato autenticato con privilegi amministrativi di causare un rifiuto di servizio inviando richieste HTTP appositamente predisposte;
• CVE-2024-7203 (CVSS Punteggio 7.2): iniezione di comandi post-autenticazione, che consente a un utente malintenzionato autenticato con privilegi amministrativi di eseguire comandi eseguendo comandi CLI appositamente predisposti. Tale bug è stato scoperto dai ricercatori di Red Hot Cyber del gruppo di HackerHood.
• CVE-2024-42057 (CVSS Score 8.1): iniezione di comandi in VPN IPSec, che consente a un utente malintenzionato non autenticato di eseguire comandi inviando un nome utente falsificato (l’attacco avrà successo solo se il dispositivo è configurato per l’autenticazione basata sull’utente PSK e ha un utente con un nome più lungo di 28 caratteri).
• CVE-2024-42058 ( punteggio CVSS 7.5): un de referenziamento del puntatore NULL in alcune versioni di firewall, che consente a un utente malintenzionato non autenticato di condurre attacchi DoS inviando pacchetti modificati.
• CVE-2024-42059 (CVSS Punteggio 7.2): un’iniezione di comandi post-autenticazione che consente a un utente malintenzionato autenticato con privilegi amministrativi di eseguire comandi su un dispositivo interessato caricando un file di lingua compresso tramite FTP.
• CVE-2024-42060 (punteggio CVSS 7.2): iniezione di comandi post-autenticazione, che consente a un utente malintenzionato autenticato con privilegi amministrativi di eseguire comandi scaricando un file del contratto utente interno modificato su un dispositivo interessato.
• CVE-2024-42061 (punteggio CVSS 6.1): il CGI XSS riflesso Dynamic_script.cgi consente a un utente malintenzionato di indurre un utente a visitare un URL creato con un payload XSS. Un utente malintenzionato sarà in grado di ottenere informazioni sul browser se nel browser della vittima viene eseguito uno script dannoso.

Un’altra vulnerabilità ( CVE-2024-5412 , punteggio CVSS 7,5) è stata identificata in 50 prodotti Zyxel, tra cui alcune apparecchiature client, terminali in fibra ottica e router. Il problema è legato a un buffer overflow nella libreria libclinkc e consente a un utente malintenzionato non autenticato di condurre un attacco DoS inviando richieste HTTP modificate.

L'articolo Vulnerabilità critica nei router Zyxel! Patch disponibili per evitare attacchi di iniezione proviene da il blog della sicurezza informatica.

Polypropylene (PP) is a thermoplastic that has a number of properties that sets it apart from other thermoplastics which see common use with 3D printing, including PLA, ABS and nylon (PA). Much like ABS (and the similar ASA), it is a pretty touchy material to print, especially on FDM printers. Over at the [All3DP] site [Nick Loth] provides a quick start guide for those who are interested in using PP with 3D printing, whether FDM, SLS or others.

A nice aspect of printing with PP is that it requires similar temperatures for the extruder (205 – 275 °C) and print bed (80 – 100 °C) as other common FDM filaments. As long as airflow can be controlled in the (enclosed) printer, issues with warping and cracking as the extruded filament cools should not occur. Unlike ABS and ASA which also require an enclosed, temperature-controlled printing space, PP has an advantage that printing with it does not produce carcinogenic fumes (styrene, acrylonitrile, etc.), but it does have the issue of absolutely not wanting to adhere to anything that is not PP. This is where the article provides some tips, such as the use of PP-based adhesive tape on the print bed, or the use of PP-based print plates.

As far as PP longevity and recyclability goes, it compares favorably with ABS and PA, meaning it’s quite resilient and stable, though susceptible to degradation from UV exposure without stabilizers. Recycling PP is fairly easy, though much like with polymers like PLA, the economics and logistics of recycling remain a challenge.

hackaday.com/2024/09/06/gettin…

The Bluetooth SIG recently released the core specification for version 6.0 of Bluetooth. Compared to 5.x, it contains a number of changes and some new features, the most interesting probably being Channel Sounding. This builds upon existing features found in Bluetooth 5.x to determine the angle to, and direction of another device using Angle of Arrival (AoA) and Angle of Departure (AoD), but uses a new approach to much more precisely determine these parameters. as defined in the Technical Overview document for this feature.

In addition to this feature, there are also new ways to filter advertising packets, to reduce the number of packets to sift through (Decision-Based Advertising Filtering) and to filter out duplicate packets (Monitoring Advertisers). On a fundamental level, the Isochronous Adaptation Layer (ISOAL) received a new framing mode to reduce latency and increase reliability, alongside frame spacing now being negotiable and additional ways to exchange link layer information between devices.

As with any Bluetooth update, it will take a while before chipsets supporting it become widely available, and for the new features to be supported, but it gives a glimpse of what we can likely expect from Bluetooth-enabled devices in the future.

hackaday.com/2024/09/06/blueto…

It’s 2024, and there’s no getting around it. Grid energy is expensive. [Darrell] realized that a lot of his money was going on water heating, and he came up with a neat solution. What if he could hack in some solar power to slash his bills at a minimum of fuss? It worked so well for him, he’s whipped up a calculator to help others do the same.

[Darrell]’s idea was simple enough. He hooked up solar panels to just the bottom heating element of his hot water heater. This cut his power bill in half. His calculator is now up at pvh20.com, and it’s designed to help you figure out if it’s feasible for you. It takes into account your location, local power prices, and the amount of sun your area tends to get on a regular basis. It also takes into account the solar panels you intend to use and your water heater to determine how many panels you’ll need for properly hot water. Key all that in, and you’re well on your way to speccing a decent solar hot water setup. From there you’ll just need to buy the right stuff and wire it all up properly.

If you live in an area where the sun shines freely and the power is more expensive than printer ink, this could be a project well worth pursuing. Cheaper hot water is a grand thing, after all. [Darrell’s] calculator is really only the first step, and it doesn’t deal with the practicalities of installation, but that’s half the fun of a good project, right? Happy hacking!

hackaday.com/2024/09/06/hot-wa…

We’ve seen a great many cat feeders over the years. Some rely on the Internet of Things, and some rely on fancy microcontrollers. [Larry Cook], on the other hand, built his using a simple 4060 binary counter chip.

The feeder is built out of old plywood, and the whole thing runs off an old 12-volt DC wall wart and a lead-acid battery to keep it going in a power outage. The dry cat food is stored in hopper above a drum, with the drum rotated by a 12-volt DC gearmotor. The gearmotor is activated on a schedule—either every 4 hours, or every 5.5 hours, depending on setting. There’s then a four-digit 7-segment display for counting the total number of feedings.

The manner of operation is simple. The 4060 binary counter slowly counts up to 8,196 on a 1.11 Hz or 0.83 Hz clock, for four hour or 5.5 hour operation respectively. When it hits that threshold, it fires the gear motor. The gear motor then rotates the drum for one revolution, dumping a preset amount of food. At the end of a revolution, it triggers a hall sensor which resets the circuit.

The best thing about this design? It’s been in service for ten years. [Larry’s] original video is a big contrast to his latest one, but it shows the same feeder doing the same job, all this time.

We love a good cat feeder, and it’s great to see one built with simple old-school parts, too. Video after the break.

youtube.com/embed/PT58t5Y_sG4?…

youtube.com/embed/rK-8faJf2jY?…

[Thanks to Cprossu for the tip!]

hackaday.com/2024/09/06/an-aut…

Gli analisti di JFrog hanno scoperto un nuovo attacco, a cui hanno dato il nome Revival Hijack . Si è scoperto che gli aggressori registrano nuovi progetti in PyPI utilizzando i nomi di pacchetti precedentemente eliminati per sferrare attacchi alle catene di approvvigionamento.

Secondo i ricercatori, questa tecnica “avrebbe potuto essere utilizzata per dirottare 22.000 pacchetti PyPI, portando successivamente a centinaia di migliaia di download di pacchetti dannosi”.

Tali attacchi sono possibili perché i nomi dei pacchetti rimossi da PyPI diventano nuovamente disponibili per la registrazione. Cioè, gli sviluppatori che decidono di rimuovere il proprio progetto da PyPI ricevono solo un avvertimento sulle possibili conseguenze.

“L’eliminazione di questo progetto renderà il suo nome disponibile a qualsiasi altro utente PyPI”, si legge nell’avviso. “Gli utenti potranno creare nuove versioni utilizzando questo nome di progetto purché i nomi dei file distribuiti non corrispondano ai nomi dei file precedentemente distribuiti.”

Si segnala che PyPI dispone di una blacklist chiusa che contiene i nomi dei pacchetti per i quali non è possibile registrare nuovi progetti. Tuttavia, la maggior parte dei pacchetti rimossi non sono inclusi in questo elenco.

Secondo JFrog, più di 22.000 pacchetti vulnerabili al Revival Hijack sono già stati rimossi da PyPI, alcuni dei quali erano piuttosto popolari. Pertanto, in media, 309 pacchetti vengono rimossi da PyPI al mese, il che significa che si aprono costantemente nuove opportunità per gli aggressori.

I ricercatori citano ad esempio il caso del pacchetto pingdomv3, che è stato rimosso da PyPI il 30 marzo 2024. Il nome del pacchetto è stato intercettato lo stesso giorno e gli aggressori hanno immediatamente pubblicato un aggiornamento in cui è stato aggiunto al pacchetto un trojan Python, offuscato tramite Base64 e destinato all’ambiente CI/CD Jenkins.

Per mitigare i rischi derivanti dal Revival Hijack, gli specialisti di JFrog sono intervenuti e hanno creato nuovi progetti Python, utilizzando un account denominato security_holding per “assumere” i nomi dei pacchetti remoti più popolari. I ricercatori hanno anche cambiato i numeri di versione in 0.0.0.1 per garantire che gli utenti attivi non potessero ricevere l’aggiornamento.

Tre mesi dopo, JFrog scoprì che questi pacchetti erano stati scaricati quasi 200.000 volte, grazie a script automatizzati ed errori degli utenti.

Per proteggersi da tali attacchi, gli esperti raccomandano che gli utenti e le organizzazioni utilizzino il blocco dei pacchetti per rimanere su determinate versioni note e affidabili, nonché per verificare l’integrità dei pacchetti, verificarne i contenuti, monitorare i cambiamenti di proprietà e l’attività di aggiornamento atipica.

L'articolo La fantasia dell’Hacking non ha confini! Revival Hijack: sfrutta pacchetti PyPI eliminati per attacchi alla supply chain proviene da il blog della sicurezza informatica.

Have you ever scanned old negatives or print photographs? Then you’ve probably wondered about the resolution of your scanner, versus the resolution of what you’re actually scanning. Or maybe, you’ve looked at digital cameras, and wondered how many megapixels make up that 35mm film shot. Well [ShyStudios] has been pondering these very questions, and they’ve shared some answers.

The truth is that film doesn’t really have a specific equivalent resolution to a digital image, as it’s an analog medium that has no pixels. Instead, color is represented by photoreactive chemicals. Still, there are ways to measure its resolution—normally done in lines/mm, in the simplest sense.

[ShyStudios] provides a full explanation of what this means, as well as more complicated ways of interpreting analog film resolution. Translating this into pixel equivalents is messy, but [ShyStudios] does some calculations to put a 35mm FujiColor 200 print around the 54 megapixel level. Fancier films can go much higher.

Of course, there are limitations to film, and you have to use it properly. But still, it gives properly impressive resolution even compared to modern cameras. As it turns out, we’ve been talking about film a lot lately! Video after the break.

youtube.com/embed/Ch_1_f4K78w?…

Thanks to [Stephen Walters] for the tip!

hackaday.com/2024/09/06/how-mu…

Writing for Hackaday involves drinking from the firehose of tech news, and seeing the latest and greatest of new projects and happenings in the world of hardware. But sometimes you sit back in a reflective mood, and ask yourself: didn’t this all used to be more exciting? If you too have done that, perhaps it’s worth considering how our world of hardware hacking is fueled, and what makes stuff new and interesting.

Hardware projects are like startup fads

When AliExpress has hundreds of kits for them, Nixie clocks are a mature project sector, by any measure.
Hardware projects are like startup fads, they follow the hype cycle. Take Nixie clocks for instance, they’re cool as heck, but here in 2024 there’s not so much that’s exciting about them. If you made one in 2010 you were the talk of the town, in 2015 everyone wanted one, but perhaps by 2020 yours was simply Yet Another Nixie Clock. Now you can buy any number of Nixie clock kits on Ali, and their shine has definitely worn off. Do you ever have the feeling that the supply of genuinely new stuff is drying up, and it’s all getting a bit samey? Perhaps it’s time to explore this topic.

I have a theory that hardware hacking goes in epochs, each one driven by a new technology. If you think about it, the Arduino was an epoch-defining moment in a readily available and easy to use microcontroller board; they may be merely a part and hugely superseded here in 2024 but back in 2008 they were nothing short of a revolution if you’d previously has a BASIC Stamp. The projects which an Arduino enabled produced a huge burst of creativity from drones to 3D printers to toaster oven reflow and many, many, more, and it’s fair to say that Hackaday owes its early-day success in no small part to that little board from Italy. To think of more examples, the advent of affordable 3D printers around the same period as the Arduino, the Raspberry Pi, and the arrival of affordable PCB manufacture from China were all similar such enabling moments. A favourite of mine are the Espressif Wi-Fi enabled microcontrollers, which produced an explosion of cheap Internet-connected projects. Suddenly having Wi-Fi went from a big deal to built-in, and an immense breadth of new projects came from those parts.

Tell us then, What’s new?

So back to 2024, and a Hackaday writer at her desk in the English countryside. 3D printers are still our bread and butter, but they’re on Amazon special offer these days. Small Linux boards are ten a penny, and microcontrollers that put the Arduino’s ATmega in the shade are only a few cents from China. It almost feels as though everything is mainstream, and all we’re getting are increments rather than huge leaps. I want new stuff again, I want exciting stuff!

Happily, the world of technology doesn’t stand still. We all know that the Next Big Thing is just around the corner, and our desire to make cool new stuff will be revitalised by it. But what will it be? My eyes are on ASIC fabrication, I think Tiny Tapeout must only be the start of perhaps the most exciting epoch of them all. But what do you think on the matter, where will your Next Big Thing come from? We’re really interested to hear your views in the comments.

Header image: The RepRap Mendel 3D printer, one of the more successful early affordable designs. Dkoukoul, CC BY-SA 3.0.

hackaday.com/2024/09/06/ask-ha…