Nel panorama delle minacce odierne, Defendnotrappresenta un sofisticato malware in grado di disattivare Microsoft Defender sfruttando esclusivamente meccanismi legittimi di Windows. A differenza di attacchi tradizionali, non richiede privilegi elevati, non modifica in modo permanente le chiavi di registro e non solleva alert immediati da parte dei software di difesa tradizionali o soluzioni EDR (Endpoint Detection and Response).

L’efficacia di Defendnot risiede nella sua capacità di interfacciarsi con le API e i meccanismi di sicurezza nativi del sistema operativo Windows, in particolare:

• WMI (Windows Management Instrumentation)
• COM (Component Object Model)
• Windows Security Center (WSC)

2. Processi di esecuzione del Malware

2.1 Abuso del Windows Security Center (WSC)

Il comportamento principale del malware consiste nel simulare la presenza di un antivirus attivo tramite la registrazione fittizia nel WSC, inducendo Defender a disattivarsi automaticamente.

❝ Windows Defender si disattiva se rileva la presenza di un altro antivirus “compatibile” registrato correttamente nel sistema. ❞

Questa simulazione viene ottenuta sfruttando interfacce COM, come IWSCProduct e IWSCProductList, e avvalendosi di script PowerShell o codice compilato (es. C++).

2.2 Uso di WMI e COM senza Elevazione di Privilegi

Defendnot non modifica GPO, non scrive nel registro e non uccide processi. Opera in modo stealth grazie a:

• WMI Namespace: root\SecurityCenter2
• COM Object: WSC.SecurityCenter2

In molti contesti aziendali mal configurati, questi componenti possono essere invocati anche da utenti standard, rendendo il malware estremamente pericoloso in termini di lateral movement e persistence.

2.3 Iniezione e Persistenza

In alcuni casi, Defendnot può essere iniettato in processi fidati (es. taskmgr.exe) o configurato per l’esecuzione automatica tramite Task Scheduler o chiavi Run.

3. Esempi Tecnici Pratici

3.1 Simulazione WMI via PowerShell

Questo codice è legittimo ma può essere esteso per registrare falsi antivirus con stato “attivo e aggiornato”, forzando così la disattivazione di Defender.

3.2 Spoofing avanzato in C++ (uso COM diretto)

Questa simulazione è sufficiente a ingannare Defender e farlo disattivare come da policy Microsoft.

3.3 Analisi dello Stato di Defender tramite WMI (PowerShell)

Questo script permette di interrogare direttamente lo stato di Microsoft Defender, utile per verificare se è stato disattivato in modo anomalo.

Utile per eseguire un controllo incrociato: se Defender risulta disattivato e non vi è alcun AV noto attivo, è probabile la presenza di spoofing o bypass.

3.4 Registrazione Fittizia di AV via WMI Spoof (WMI MOF Injection – Teorico)

Una tecnica usata in scenari più avanzati può includere MOF Injection per creare provider fittizi direttamente in WMI (esempio concettuale):

Compilato con:

Compilato con:

mofcomp.exe fakeav.mof

Questa tecnica è estremamente stealth e sfrutta la capacità di WMI di accettare nuovi provider persistenti. Va monitorata con attenzione.

3.5 Monitoraggio WMI Eventi in Tempo Reale (PowerShell + WQL)

Script che intercetta modifiche sospette al namespace SecurityCenter2:

Questo è particolarmente utile in ambienti aziendali: può essere lasciato in esecuzione su server o endpoint sensibili per tracciare cambiamenti in tempo reale.

3.6 Logging Persistente di AV Fittizi tramite Task Scheduler (PowerShell)

Esempio per identificare eventuali task che iniettano strumenti di bypass all’avvio:

Una semplice scansione dei task può rivelare meccanismi di persistenza non evidenti, soprattutto se il payload è un fake AV o un loader offuscato.

3.7 Ispezione della Configurazione Defender tramite MpPreference

Permette di individuare modifiche anomale o disabilitazioni silenziose:

Se DisableRealtimeMonitoring è attivo, Defender è stato disattivato. Anche UILockdown può indicare manipolazioni da malware avanzati.

3.8 Enumerazione e Verifica dei Moduli Caricati nel Processo WSC (C++)

Controllare che non vi siano DLL anomale caricate nel processo del Security Center:

Gli strumenti come Defendnot possono essere iniettati nel processo SecurityHealthService.exe. Il controllo dei moduli può rivelare DLL anomale.

3.9 Identificazione di AV Fake tramite Analisi della Firma del File

Esempio in PowerShell per analizzare i binari AV registrati:

Gli AV fake spesso non sono firmati o hanno certificati self-signed. Questo controllo può essere integrato in audit automatizzati.

4. Script di Monitoraggio e Rilevamento

Per monitorare al meglio eventuali anomalie, si può usare un modulo centralizzato da eseguire sull’host Windows per avere una visione d’insieme su:

• Stato di Defender
• Prodotti AV registrati
• Anomalie nei nomi/firme
• Task sospetti legati a fake AV

Si consiglia di schedulare l’esecuzione di questa dashboard su base oraria tramite Task Scheduler, salvando l’output in file di log o inviandolo via e-mail. È anche possibile integrarlo con SIEM (Splunk, Sentinel, etc.) via forwarding del log ed è estendibile con funzionalità di auto-remediation, ad esempio disinstallazione o terminazione di AV sospetti.

4.1 PowerShell: Rilevamento Anomalie in WSC

Questo script decodifica lo stato binario dei provider AV registrati e lancia un allarme se rileva anomalie (es. nomi generici, binari non firmati o assenti).

5. Strategie di Mitigazione e Difesa

Per contenere e prevenire gli effetti di malware come Defendnot, si raccomanda di adottare un approccio multilivello:

5.1. Monitoraggio WSC Periodico

Automatizzare il controllo su base oraria/giornaliera e inviare alert su SIEM o email.

5.2. Abilitare Tamper Protection

Blocca modifiche non autorizzate alla configurazione di Defender, comprese modifiche via WMI o PowerShell.

5.3. Applicare Policy di Lock-down

Utilizzare Group Policy per disabilitare l’opzione “Disattiva Microsoft Defender”:

Computer Configuration > Admin Templates > Microsoft Defender Antivirus > Turn off Defender = Disabled

5.4. Controllo Accessi a WMI e COM

Strumenti EDR devono tracciare accessi sospetti a:

• root\SecurityCenter2
• COM object WSC.SecurityCenter2
• Script non firmati che accedono a questi componenti

5.5. Rilevamento Comportamentale con EDR

EDR avanzati devono essere configurati per:

• Rilevare registrazioni anomale di provider AV.
• Intercettare iniezioni in processi trusted.
• Rilevare uso anomalo delle API COM/WMI da script non firmati.

6. Conclusioni

L’analisi di Defendnot ci porta a riflettere su un aspetto sempre più attuale della cybersecurity: non servono necessariamente exploit sofisticati o malware rumorosi per compromettere un sistema. In questo caso, lo strumento agisce in silenzio, sfruttando le stesse regole e API che Windows mette a disposizione per la gestione dei software di sicurezza. E lo fa in modo così pulito da passare facilmente inosservato, anche agli occhi di molti EDR.

Quello che colpisce è la semplicità e l’eleganza dell’attacco: nessuna modifica al registro, nessun bisogno di privilegi elevati, nessuna firma malevola nel file. Solo una falsa comunicazione al Security Center, che crede di vedere un altro antivirus attivo – e quindi disattiva Defender come previsto dalla logica del sistema operativo.

È un promemoria importante: oggi non basta installare un antivirus per sentirsi protetti. Serve visibilità, monitoraggio continuo e una buona dose di diffidenza verso tutto ciò che sembra “normale”. Serve anche conoscere strumenti come Defendnot per capire come si muovono gli attaccanti moderni – spesso sfruttando ciò che il sistema permette, piuttosto che forzarlo.

In ottica difensiva, è fondamentale:

• Rafforzare le impostazioni di sicurezza, ad esempio attivando Tamper Protection.
• Monitorare regolarmente lo stato dei provider registrati nel Security Center.
• Utilizzare strumenti che vadano oltre la semplice firma o il comportamento, e che osservino come cambiano i contesti e le configurazioni del sistema.

In definitiva, Defendnot non è solo un malware: è un campanello d’allarme. Dimostra che le minacce più efficaci non sempre arrivano con il “classico” malware, ma spesso passano dalla zona grigia tra funzionalità lecite e uso malevolo. Ed è lì che dobbiamo concentrare le nostre difese.

L'articolo Bypass di Microsoft Defender mediante Defendnot: Analisi Tecnica e Strategie di Mitigazione proviene da il blog della sicurezza informatica.

Microsoft su ordine di Trump interrompe il servizo di posta elettronica di un cittadino britannico, impiegato di un organo internazionale con sede all'Aia, di cui gli USA non fanno parte. Prova provata che le fliali europee di compagnie USA sono una estensione diretta del potere imperiale americano. Aziende e istituzioni europee se ne devono svincolare, e al più presto.

spreaker.com/episode/dk-9x29-c…

In occasione di BUILD 2025, Microsoft ha annunciato l’aggiunta della crittografia post-quantistica (PQC) alle build di test di Windows Insider (a partire dalla versione 27852) e alla libreria SymCrypt-OpenSSL versione 1.9.0 e successive. L’obiettivo è consentire agli utenti di testare algoritmi resistenti ai computer quantistici nelle proprie infrastrutture prima che venga attivato il calcolo quantistico di massa.

Nello specifico, Microsoft ha aggiunto due algoritmi, ML-KEM (un meccanismo di incapsulamento basato su reticolo) e ML-DSA (un algoritmo di firma digitale), alle librerie Cryptography API: Next Generation (CNG), nonché alle funzioni di elaborazione dei certificati e dei messaggi crittografici. Questi algoritmi sono disponibili per i partecipanti al programma Windows Insider.

Il supporto è fornito anche agli utenti Linux tramite la libreria SymCrypt-OpenSSL (SCOSSL), che fornisce un’interfaccia OpenSSL agli algoritmi Microsoft. ML-KEM e ML-DSA che sono tra i primi algoritmi crittografici approvati dal National Institute of Standards and Technology (NIST) degli Stati Uniti come resistenti agli attacchi quantistici.

Microsoft sottolinea che l’implementazione tempestiva del PQC è volta ad attenuare i rischi associati allo schema “raccogli ora, decifra più tardi”. Questa tattica prevede l’intercettazione di dati crittografati con metodi classici e la loro successiva decrittografia in futuro tramite computer quantistici.

Questi algoritmi post-quantistici sono stati inclusi nella libreria SymCrypt nel dicembre 2024. Sono ora disponibili per l’uso su una gamma più ampia di sistemi e applicazioni, inclusi Windows e Linux, tramite l’interfaccia SCOSSL di OpenSSL.

L'articolo Microsoft prepara Windows agli attacchi quantistici. Il programma prende vita nelle build di test proviene da il blog della sicurezza informatica.

There was a period in the 1990s when it seemed like the personal data assistant (PDA) was going to be the device of the future. If you were lucky you could afford a Psion, a PalmPilot, or even the famous Apple Newton — but to trap the unwary there were a slew of far less capable machines competing for market share.

[Nick Bild] has one of these, branded Rolodex, and in a bid to make using a generative AI less alluring, he’s set it up as the interface to an LLM hosted on a Raspberry Pi 400. This hack is thus mostly a tale of reverse engineering the device’s serial protocol to free it from its Windows application.

Finding the baud rate was simple enough, but the encoding scheme was unexpectedly fiddly. Sadly the device doesn’t come with a terminal because these machines were very much single-purpose, but it does have a memo app that allows transfer of text files. This is the wildly inefficient medium through which the communication with the LLM happens, and it satisfies the requirement of making the process painful.

We see this type of PDA quite regularly in second hand shops, indeed you’ll find nearly identical devices from multiple manufacturers also sporting software such as dictionaries or a thesaurus. Back in the day they always seemed to be advertised in Sunday newspapers and aimed at older people. We’ve never got to the bottom of who the OEM was who manufactured them, or indeed cracked one apart to find the inevitable black epoxy blob processor. If we had to place a bet though, we’d guess there’s an 8051 core in there somewhere.

youtube.com/embed/GvXCZfoAy88?…

hackaday.com/2025/05/20/an-awf…

Here’s something fun. Our hacker [Willow Cunningham] has sent us a copy of his homework. This is his final project for the “ECE 574: Cluster Computing” course at the University of Maine, Orono.

It was enjoyable going through the process of having a good look at everything in this project. The project is a “cluster” of 5x Raspberry Pi Pico microcontrollers — with one head node as the leader and four compute nodes that work on tasks. The software for the both nodes is written in C. The head node is connected to a workstation via USB 1.1 allowing the system to be controlled with a Python script.

The cluster is configured to process an embarrassingly parallel image convolution. The input image is copied into the head node via USB which then divvies it up and distributes it to n compute nodes via I²C, one node at a time. Results are given for n = {1,2,4} compute nodes.

It turns out that the work of distributing the data dwarfs the compute by three orders of magnitude. The result is that the whole system gets slower the more nodes we add. But we’re not going to hold that against anyone. This was a fascinating investigation and we were impressed by [Willow]’s technical chops. This was a complicated project with diverse hardware and software challenges and he’s done a great job making it all work and in the best scientific tradition.

It was fun reading his journal in which he chronicled his progress and frustrations during the project. His final report in IEEE format was created using LaTeX and Overleaf, at only six pages it is an easy and interesting read.

For anyone interested in cluster tech be sure to check out the 256-core RISC-V megacluster and a RISC-V supercluster for very low cost.

hackaday.com/2025/05/20/pentap…

Molti credono che l’utilizzo di una VPN garantisca una protezione totale durante la navigazione, anche su reti WiFi totalmente aperte e non sicure. Sebbene le VPN siano strumenti efficaci per crittografare il traffico e impedire l’intercettazione dei dati, non sono in grado di poterci proteggere da tutti i rischi.

Nell’articolo riportato qui sotto, spieghiamo in maniera dettagliata come funziona una VPN (Virtual Private Network) . L’articolo tratta in modo approfondito le VPN , analizzando come funziona e quali vantaggi specifici offre. Vengono descritti i diversi tipi di VPN, i criteri per scegliere la soluzione migliore, e le best practices per implementare in modo sicuro.

Virtual Private Network (VPN): Cos’è, Come Funziona e Perché

redhotcyber.com/post/virtual-p…

Pur confermando quanto riportato nell’articolo, ovvero che:

Una VPN non solo migliora la sicurezza e la privacy, ma offre anche maggiore libertà e controllo sulle informazioni trasmesse online, rendendola uno strumento fondamentale per chiunque voglia proteggere la propria identità digitale e i propri dati sensibili

È fondamentale essere consapevoli dei suoi limiti e delle potenziali vulnerabilità.

Ad esempio, la vulnerabilità CVE-2024-3661, nota come “TunnelVision“, dimostra come sia possibile per un attaccante reindirizzare il traffico fuori dal tunnel VPN senza che l’utente se ne accorga. Questo attacco sfrutta l’opzione 121 del protocollo DHCP per configurare rotte statiche nel sistema della vittima, permettendo al traffico di essere instradato attraverso canali non sicuri senza che l’utente ne sia consapevole.

Mentre possiamo affermare che una VPN protegge i dati in transito, dobbiamo ricordarci che per esempio non:

• Blocca gli attacchi di phishing: Una VPN non può impedire che clicchiamo su link dannosi o che inseriamo le nostre credenziali su siti fraudolenti.
• Protegge da malware o attacchi diretti al dispositivo (compromissioni locali): Se il nostro dispositivo è vulnerabile o infetto, una VPN non offre protezione contro malware, ransomware o minacce su reti locali.

Evidenze

1- Tunnel Vision

In questo video dimostrativo viene riportato un POC della CVE-2024-3661- Zscaler (TunnelVision) che evidenzia come un attaccante possa bypassare il tunnel VPN sfruttando l’opzione 121 del DHCP:

youtube.com/embed/ajsLmZia6UU?…

Video di Leviathan Security Group

2- VPN Con sorpresa

In quest’altro articolo invece diamo evidenza come per esempio diversi siti Web LetsVPN fraudolenti condividono un’interfaccia utente comune e sono deliberatamente progettati per distribuire malware , mascherandosi da applicazione LetsVPN autentica.

VPN Con Sorpresa! Oltre all’Anonimato, Offerta anche una Backdoor Gratuitamente

redhotcyber.com/post/vpn-con-s…

3 – Gravi Vulnerabilità nei Protocolli VPN

In quest’altro articolo, trattiamo di come alcuni sistemi vpn configurati in modo errato accettano i pacchetti tunnel senza verificare il mittente. Ciò consente agli aggressori di inviare pacchetti appositamente predisposti contenenti l’indirizzo IP della vittima a un host vulnerabile, costringendo l’host a inoltrare un pacchetto interno alla vittima, che apre la porta agli aggressori per lanciare ulteriori attacchi.
Nell’articolo evidenziamo anche che sono state identificate sono le seguenti CVE:

• CVE-2024-7596 (UDP generico Incapsulamento)
• CVE-2024-7595 (GRE e GRE6)
• CVE-2025-23018 (IPv4-in-IPv6 e IPv6-in-IPv6)
• CVE-2025-23019 (IPv6- in-IPv4)

Gravi Vulnerabilità nei Protocolli VPN: 4 Milioni di Sistemi Vulnerabili a Nuovi Bug di Tunneling!

redhotcyber.com/post/gravi-vul…

Conclusioni

Le VPN rappresentano un tassello importante nella protezione della nostra identità digitale e dei dati in transito, ma non offrono una protezione completa contro tutte le minacce. Come ogni strumento di sicurezza, devono essere configurate correttamente, mantenute aggiornate e utilizzate con responsabilità e consapevolezza.

In linea generale, le VPN non rappresentano una soluzione definitiva né sufficiente per garantire la sicurezza. È fondamentale affrontare il tema della sicurezza delle reti partendo dalla loro natura: molte infrastrutture — in particolare le reti Wi-Fi aperte — nascono insicure “by design”.

Nei prossimi articoli inizieremo a esplorare le misure tecniche che possono essere adottate per rafforzare queste reti, proteggere gli utenti e ridurre il rischio di attacchi, anche in ambienti esposti o pubblici.

➡️ Adottare una postura di sicurezza proattiva è essenziale: l’uso consapevole della VPN deve essere solo uno degli strumenti in un approccio più ampio e strutturato, che approfondiremo passo dopo passo nei prossimi articoli sulle mitigazioni.

L'articolo Falso Mito: Se uso una VPN, sono completamente al sicuro anche su reti WiFi Aperte e non sicure proviene da il blog della sicurezza informatica.

Lo strumento Defendnot, creato da un ricercatore nel campo della sicurezza informatica, è in grado di disattivare la protezione Microsoft Defender sui dispositivi Windows registrando un falso prodotto antivirus nel sistema, anche se l’antivirus reale non è installato.

Defendnot è stato creato da un esperto di sicurezza informatica con il nickname es3n1n e sfrutta in modo improprio l’API non documentata di Windows Security Center (WSC), registrando sul sistema un falso prodotto antivirus in grado di superare tutti i controlli di Windows.

L’esperto spiega che il software antivirus utilizza l’API WSC per comunicare a Windows di essere installato e di iniziare a gestire la protezione del dispositivo in tempo reale. Dopo aver registrato il software antivirus, Windows disattiva automaticamente Microsoft Defender per evitare conflitti che possono verificarsi quando si eseguono più soluzioni di sicurezza sullo stesso dispositivo.

Il nuovo strumento si basa su un progetto precedente, es3n1n – no-defender , che utilizzava il codice di un prodotto antivirus di terze parti per falsificare le registrazioni WSC. Lo strumento precedente è stato rimosso da GitHub dopo che il produttore dell’antivirus ha presentato un reclamo DMCA.

“Poche settimane dopo il rilascio, il progetto è decollato e ha ottenuto circa 1500 stelle, dopodiché gli sviluppatori dell’antivirus che stavo usando hanno presentato un reclamo DMCA. “Non ho fatto nulla, l’ho solo eliminato e ho chiuso”, spiega il ricercatore sul suo blog.

Defendnot non dovrebbe presentare problemi di copyright, poiché la funzionalità richiesta è stata creata da zero utilizzando una DLL antivirus fittizia.

In genere, l’API WSC è protetta tramite Protected Process Light (PPL), firme digitali valide e altri meccanismi. Per aggirare questi requisiti, Defendnot inietta la sua DLL nel processo di sistema Taskmgr.exe, che è firmato e già considerato attendibile da Microsoft. Grazie a questo processo è possibile registrare un falso antivirus con un nome falso.

Una volta registrato il falso, Microsoft Defender viene immediatamente disattivato, lasciando il dispositivo senza protezione attiva.

Inoltre, l’utilità include un caricatore che trasmette i dati di configurazione tramite il file ctx.bin e consente di specificare il nome dell’antivirus utilizzato, di disabilitare la registrazione e di abilitare la registrazione dettagliata.

Per garantire la persistenza, Defendnot si insinua all’avvio tramite Utilità di pianificazione, consentendone l’esecuzione ogni volta che si accede a Windows.

Vale la pena notare che attualmente Microsoft Defender rileva Defendnot e lo mette in quarantena come Win32/Sabsik.FL.!ml.

L'articolo Defendnot: Il Tool Che Finge di Essere un Antivirus e Spegne Microsoft Defender proviene da il blog della sicurezza informatica.

È una serie su Netflix che ho finito ieri sera, molto divertente e molto gay friendly.

Ve la consiglio.

#Netflix

Although Nintendo is mostly famous for making great games, they also have an infamous reputation for being highly litigious not only for reasonable qualms like outright piracy of their games, but additionally for more gray areas like homebrew development on their platforms or posting gameplay videos online. With that sort of reputation it’s not surprising that they don’t release open-source drivers for their platforms, especially those like the Wii U with unique controllers that are difficult to emulate. This Wii U gamepad emulator seeks to bridge that gap.

The major issue with the Wii U compared to other Nintendo platforms like the SNES or GameCube is that the controller looks like a standalone console and behaves similarly as well, with its own built-in screen. Buying replacement controllers for this unusual device isn’t straightforward either; outside of Japan Nintendo did not offer an easy path for consumers to buy controllers. This software suite, called Vanilla, aims to allow other non-Nintendo hardware to bridge this gap, bringing in support for things like the Steam Deck, the Nintendo Switch, various Linux devices, or Android smartphones which all have the touch screens required for Wii U controllers. The only other hardware requirement is that the device must support 802.11n 5 GHz Wi-Fi.

Although the Wii U was somewhat of a flop commercially, it seems to be experiencing a bit of a resurgence among collectors, retro gaming enthusiasts, and homebrew gaming developers as well. Many games were incredibly well made and are still experiencing continued life on the Switch, and plenty of gamers are looking for the original experience on the Wii U instead. If you’ve somehow found yourself in the opposite position of owning of a Wii U controller but not the console, though, you can still get all the Wii U functionality back with this console modification.

Thanks to [Kat] for the tip!

hackaday.com/2025/05/19/an-ope…

Quanto è rilevante il ruolo della community per la creazione di contenuti informativi relativi alla sicurezza cyber? Possiamo dire che è tutta una questione di stile.

O di format. E di volontà.

C’è chi predilige un approccio alla “ve lo spiego io”. Il che risulta sempre meno credibile nel momento in cui c’è la tendenza a proporsi come tuttologi senza mai riconoscere alcun contributo, merito o ispirazione ad altri soggetti. Inoltre, il rischio di transitare dal cringe al cancer diventa piuttosto rilevante.

Gli scenari di sicurezza cyber sono un multiverso particolarmente complesso. Che tenderà a richiedere skill sempre più varie, verticalizzazioni e soprattutto valorizzerà ogni esperienza. Se conoscere i fondamentali è sempre utile, anche sapere da dove si proviene non è male. E no, non significa diventare dei necromanti della tecnologia (necrotek?), ma conoscere la storia della (in)sicurezza e la sua evoluzione nel tempo.

Ci può essere spazio per l’illusione allucinatoria di una one-man-band?

Semmai, ci può essere un gruppo e un frontman. Come in un buon party c’è il face. Ma è un membro del party, per l’appunto. Chi può raccontare meglio una storia, divulgare, farla conoscere. Ma senza il supporto del gruppo sarebbe più nudo di quel Cyber Re che ritiene – errando – di poter silenziare il mondo. Ma prima o poi la realtà, che come ci ricorda Philip K. Dick ha la brutta abitudine di continuare ad esistere nonostante la nostra volontà di negarla, presenta il conto.

Insomma: la community è una mitica forgia di idee per chi fa informazione e divulgazione in ambito cyber. Il quale, beninteso, non è detto che debba essere un esperto (nota: non deve nemmeno presentarsi come “appassionato” nel tentativo di simulare understatement) ma che abbia il rispetto di riconoscere il ruolo della community, così come la dignità delle fonti e dei riconoscimenti, avendo il coraggio di impiegare anche un linguaggio tecnico senza cadere nelle trappole della banalizzazione. E resistere alla tentazione di asservirsi all’hype o al trend del momento.

Instaurare una buona sinergia con la community dà valore all’informazione. Un valore che il pubblico percepisce, dal momento che la domanda di informazione dei lettori – o dei follower – è tutto ciò che inevitabilmente, nel tempo, comanda l’offerta. Una maggiore educazione digitale, che comprende quanto meno una consapevolezza delle tecnologie, delle dinamiche della società digitale e dei comportamenti, comporta una richiesta di contenuti di qualità, interattivi e non forniti “a cucchiaiate” senza ricercare feedback o interazioni.

Dal momento che la moneta spirituale richiesta è quella del tempo e dell’attenzione, relegare il destinatario ad un ruolo passivo è non solo irrispettoso ma è una strategia destinata a fallire nel lungo periodo. Massima resa con un “effetto wow”, ma prima o poi la saturazione arriva.

Al contrario, offrire al lettore l’opportunità di assumere un ruolo attivo ed entrare a far parte della community è quell’azione di ricollocare l’umano al centro che è un intento che oggi tanto si racconta e troppo poco si persegue. Soprattutto quando bisogna fare la propria parte rinunciando a facili scorciatoie.

Grazie alla community che è e che sarà, però, si può ancora essere in grado di resistere a sacrificare la qualità dell’informazione cyber sull’altare di algoritmi e delle facili leve di engagement.
Il meme proviene dritto per dritto dalla conclusione del mio intervento alla RHC Conference 2025.
L'articolo Cyber Divulgazione: Fine della One-Man-Band? La Community è la Nuova Sicurezza proviene da il blog della sicurezza informatica.

Gli esperti del Politecnico federale di Zurigo (ETH Zurigo) hanno scoperto un problema che minaccia tutti i moderni processori Intel. Il bug consente agli aggressori di estrarre dati sensibili dalla memoria allocata ai componenti di sistema privilegiati, come il kernel del sistema operativo.

Queste aree di memoria contengono in genere informazioni quali password, chiavi crittografiche, memoria di altri processi e strutture dati del kernel, pertanto è fondamentale garantire che siano protette da perdite dei dati. Secondo i ricercatori, le protezioni contro la vulnerabilità Spectre v2 durano da circa sei anni, ma un nuovo attacco chiamato Branch Predictor Race Conditions consente di aggirarle.

La vulnerabilità associata a questo fenomeno è stata definita dagli esperti “branch privilege injection” alla quale è stata assegnato il seguente CVE-2024-45332. Questo problema causa una condizione di competizione nel sottosistema predittore di diramazione utilizzato nei processori Intel.

I branch predictors (predittori di diramazione), come il Branch Target Buffer (BTB) e l’Indirect Branch Predictor (IBP), sono componenti hardware che tentano di prevedere l’esito di un’istruzione di diramazione prima del suo completamento, al fine di ottimizzare le prestazioni. Tali previsioni sono speculative, il che significa che vengono annullate se si rivelano errate. Tuttavia, se sono corrette, contribuiscono a migliorare le prestazioni.

I ricercatori hanno scoperto che gli aggiornamenti dei branch predictors nei processori Intel non sono sincronizzati con l’esecuzione delle istruzioni, il che consente loro di “infiltrarsi” oltre i limiti dei privilegi. Pertanto, se si verifica un cambio di privilegio (ad esempio dalla modalità utente alla modalità kernel), esiste una piccola finestra temporale durante la quale l’aggiornamento potrebbe essere associato al livello di privilegio sbagliato.

Di conseguenza, l’isolamento tra l’utente e il kernel viene interrotto e un utente non privilegiato può far trapelare dati dai processi privilegiati. I ricercatori hanno creato unexploit PoC che addestra il processore a prevedere un target di branch specifico, quindi effettua una chiamata di sistema per spostare l’esecuzione al kernel del sistema operativo, con conseguente esecuzione speculativa tramite un target controllato dall’aggressore (gadget). Il codice accede quindi ai dati segreti nella cache utilizzando metodi side-channel e le informazioni vengono trasmesse all’aggressore.

I ricercatori hanno dimostrato il loro attacco su Ubuntu 24.04 con meccanismi di protezione predefiniti abilitati per leggere il contenuto del file /etc/shadow/ contenente le password degli account con hash. L’exploit raggiunge una velocità massima di estrazione dati di 5,6 KB/s e dimostra una precisione del 99,8%. Sebbene l’attacco sia stato dimostrato su Linux, il problema è presente anche a livello hardware, quindi potrebbe teoricamente essere utilizzato anche contro i sistemi Windows.

Si segnala che la vulnerabilità CVE-2024-45332 colpisce tutti i processori Intel a partire dalla nona generazione (Coffee Lake, Comet Lake, Rocket Lake, Alder Lake e Raptor Lake). Sono stati esaminati anche i chip Arm Cortex-X1, Cortex-A76 e AMD Zen 5 e Zen 4, ma non sono risultati interessati al CVE-2024-45332.

I ricercatori hanno comunicato le loro scoperte agli ingegneri Intel nel settembre 2024 e l’azienda ha rilasciato aggiornamenti del microcodice che hanno risolto il problema CVE-2024-45332. Si dice che le patch del firmware riducano le prestazioni del 2,7%, mentre le patch del software riducono le prestazioni dell’1,6-8,3% a seconda del processore.

Il team dell’ETH di Zurigo ha affermato che presenterà il suo exploit in tutti i dettagli durante una conferenza alla conferenza USENIX Security 2025.

L'articolo Scoperto un nuovo Side-Channel sui processori Intel che consente l’estrazione dei segreti dal Kernel proviene da il blog della sicurezza informatica.

Durante una conferenza nazionale dedicata alla sicurezza informatica, sono stati ufficialmente premiati enti, aziende e professionisti che nel 2024 hanno dato un contributo significativo al National Information Security Vulnerability Database (CNNVD). L’evento ha messo in luce l’importanza della collaborazione tra istituzioni pubbliche, aziende private e mondo accademico per migliorare la capacità del Paese di individuare, segnalare e mitigare le vulnerabilità nelle infrastrutture critiche.

Nel corso dell’evento sono stati consegnati undici premi distinti, tra cui il “Premio Miglior Esordiente”, il “Premio per il Contributo Eccezionale al Reporting di Alta Qualità”, quello per le “Vulnerabilità di Alta Qualità”, il premio per il “Controllo delle Vulnerabilità”, e ulteriori riconoscimenti a università, esperti tecnici e produttori impegnati nella condivisione delle informazioni. I vincitori includono grandi nomi del settore tech e della cybersicurezza cinese come Huawei, Tencent, Qi’anxin, Sangfor e molte altre realtà emergenti.

Grande attenzione è stata data anche alle collaborazioni accademiche, con premi conferiti a istituzioni come l’Università di Aeronautica e Astronautica di Pechino e l’Istituto tecnico di Qingyuan. L’importanza del contributo universitario è stata sottolineata come elemento chiave per la formazione di nuovi talenti e lo sviluppo di soluzioni innovative nel campo della sicurezza informatica.

Numerose aziende, tra cui anche i principali operatori di telecomunicazioni, fornitori energetici e realtà industriali strategiche, sono state premiate per la cooperazione nel rafforzare la sicurezza delle infrastrutture critiche. Questo dimostra come il tema della cybersicurezza sia ormai centrale per la resilienza nazionale, coinvolgendo settori trasversali e fondamentali per la stabilità del Paese.

Non sono mancati i riconoscimenti individuali: esperti tecnici selezionati per il loro contributo specifico sono stati premiati come “Specially Appointed Technical Experts of the Year”, tra cui figure provenienti da aziende leader come CyberKunlun, Huashun Xinan e Douxiang. I loro interventi hanno rappresentato un esempio di eccellenza nella risposta alle minacce informatiche.

A conclusione dell’evento, i rappresentanti delle istituzioni accademiche e aziendali hanno tenuto discorsi che hanno riaffermato la necessità di continuare a costruire un ecosistema coeso e proattivo per la gestione delle vulnerabilità.

Il CNNVD ha ribadito il proprio impegno a rafforzare il ruolo del database come punto di riferimento nazionale, ponte tra talenti, istituzioni e aziende, per garantire una sicurezza informatica sempre più avanzata e coordinata.

L'articolo In Cina il CNVD premia i migliori ricercatori di sicurezza e la collaborazione tra istituzioni e aziende proviene da il blog della sicurezza informatica.

Fabrication of uranium-based components via DLP. (Zanini et al., Advanced Functional Materials, 2024)
Within the nuclear sciences, including fuel production and nuclear medicine (radiopharmaceuticals), often specific isotopes have to be produced as efficiently as possible, or allow for the formation of (gaseous) fission products and improved cooling without compromising the fuel. Here having the target material possess an optimized 3D shape to increase surface area and safely expel gases during nuclear fission can be hugely beneficial, but producing these shapes in an efficient way is complicated. Here using photopolymer-based stereolithography (SLA) as recently demonstrated by [Alice Zanini] et al. with a research article in Advanced Functional Materials provides an interesting new method to accomplish these goals.

In what is essentially the same as what a hobbyist resin-based SLA printer does, the photopolymer here is composed of uranyl ions as the photoactive component along with carbon precursors, creating solid uranium dicarbide (UC₂) structures upon exposure to UV light with subsequent sintering. Uranium-carbide is one of the alternatives being considered for today’s uranium ceramic fuels in fission reactors, with this method possibly providing a reasonable manufacturing method.

Uranium carbide is also used as one of the target materials in ISOL (isotope separation on-line) facilities like CERN’s ISOLDE, where having precise control over the molecular structure of the target could optimize isotope production. Ideally equivalent photocatalysts to uranyl can be found to create other optimized targets made of other isotopes as well, but as a demonstration of how SLA (DLP or otherwise) stands to transform the nuclear sciences and industries.

hackaday.com/2025/05/19/3d-pri…