There are many claims in the air about the capabilities of AI systems, as the technology continues to ascend the dizzy heights of the hype cycle. Some of them are true, others stretch definitions a little, while yet more cross the line into the definitely bogus. [J] has one that is backed up by real code though, a compression scheme for text using an AI, and while there may be limitations in its approach, it demonstrates an interesting feature of large language models.

The compression works by assuming that for a sufficiently large model, it’s likely that many source texts will exist somewhere in the training. Using llama.cpp it’s possible to extract the tokenization information of a piece of text contained in its training data and store that as the compressed output. The decompressor can then use that tokenization data as a series of keys to reassemble the original from its training. We’re not AI experts but we are guessing that a source text which has little in common with any training text would fare badly, and we expect that the same model would have to be used on both compression and decompression. It remains a worthy technique though, and no doubt because it has AI pixie dust, somewhere there’s a hype-blinded venture capitalist who would pay millions for it. What a world we live in!

Oddly this isn’t the first time we’ve looked at AI text compression.

Recentemente sulla nostra email whistleblower è arrivato un messaggio contenente un allegato in formato .PDF relativo ad una campagna di phishing contro Zimbra. L’utente che ci ha inviato la segnalazione – e che ovviamente ringraziamo – ha effettuato una serie di verifiche che andremo ad analizzare di seguito.

Ovviamente questo genere di segnalazioni sono molto importanti(non mi stancherò mai di ripeterlo) sia perché ci permettono di essere aggiornati sulle campagne di phishing in atto e sia perché ci possono fornire un’occasione per parlarne andando ad aggiungere – soprattutto per gli utenti meno esperti – via via nuove tecniche di “know how” e di prevenzione.

I passaggi che vedremo di seguito potrebbero risultare cose estremamente complesse ad un utente poco pratico ma in realtà sono passaggi che vengono effettuati molto più frequentemente di quanto si possa immaginare…

Come si è comportato il segnalante verso il sito di phishing?

Per prima cosa ha aperto il link di phishing inserendo credenziali fittizie così da poter effettuare un’analisi dei pacchetti con Wireshark
La pagina di phishing Così scopriamo l’indirizzo IP 167.250.5.36 ed il sito pjabogados.com.ar
A questo punto il nostro segnalante ha effettuato un’analisi del codice sorgente della pagina di phishing alla ricerca di indizi
Molto interessante, uno script che rimanda a https://pjabogados.com.ar/manam/main.php
Navigando all’interno della directory ci si accorge di una cartella di log contente un file denominato “emails.txt”

All’interno dell’allora file “emails.txt”(il file viene sovrascritto ogni giorno con nuove credenziali raccolte nell’arco della giornata), il segnalante ha trovato un indirizzo IP che, una volta analizzato, è risultato essere riconducibile alla Tunisia
Il risultato dell’analisi dell’IP e relativa geolocalizzazione

Come ci siamo comportati noi – Parte “passiva”:

Una volta verificato che la pagina di phishing risulta ancora attiva, abbiamo inserito anche noi dei falsi dati che, come abbiamo visto, è una prassi molto comune:
Il nostro login con il furto delle “nostre” credenziali
Una volta inserite le “credenziali” abbiamo ricevuto un messaggio di errore, infatti i siti di phishing generalmente si comportano in due modi:

1. Forniscono un messaggio di errore invitandoti a reinserire le credenziali
2. Reindirizzano verso il sito legittimo dell’azienda colpita dall’attacco

Il finto messaggio di errore si concentra sulle maiuscole
A questo punto siamo andati nella cartella di log indicata dal segnalante, abbiamo aperto il file “emails.txt” e, tra le altre(fortunatamente tutte fittizie), abbiamo trovato le nostre credenziali:
I “nostri” dati, interessante notare come il campo “Desc” rimandi ad una pagina autentica per effettuare il login all’interno di una webmail…
Queste sono le nostre azioni di verifica, sicuramente interessanti ed utili, tuttavia, abbiamo – ovviamente – effettuato anche delle azioni proattive per contrastare attivamente la minaccia

Come ci siamo comportati noi – Parte “attiva” contro il phishing:

Una volta verificata l’esistenza della minaccia e la sua attualità, ci siamo ovviamente mobilitati per poterne ridurre l’impatto e per danneggiarne gli autori. Spesso infatti molti utenti si domandano cosa sia possibile fare – oltre ovviamente a cancellare le email di phishing – per contrastare questo genere di minacce aiutando gli altri utenti del web

Ecco le segnalazioni che abbiamo inviato per ridurre l’impatto della minaccia contribuendo quindi attivamente a depotenziarla:

1. Abbiamo segnalato il sito a “Navigazione Sicura” di Google
2. Segnalazione inviata ad Avast, un antivirus molto popolare
3. URL caricato su VirusTotal, siamo stati i primi a segnalarlo
4. Inviata segnalazione a Netcraft, anche qui siamo stati i primi
5. URL inviato a Fortinet

Questa è la history dell’URL in questione su VirusTotal:
Il primo invio su VirusTotal della risorsa di phishing Il report su NetCraft con l’attribuzione del relativo credito, il che significa che NetCraft non conosceva la risorsa e, quindi, ci ha dato un credito La risposta di Fortinet alla nostra segnalazione dove ci informano che l’URL segnalato è stato analizzato ed è stato correttamente inserito nella categoria “Phishing”

Ma tutte queste procedure sono legali?

Tutto quello che avete visto in questo articolo è assolutamente legale e totalmente legittimo. Utilizzare Wireshark sulla propria rete non costituisce alcun illecito, così come effettuare analisi del proprio traffico di rete.

Inoltre, andare ad analizzarne i risultati utilizzando servizi pubblicamente disponibili è assolutamente legittimo e, anzi, in molti casi sarebbe da consigliare Anche inserire false ed ovviamente inesistenti credenziali su siti di phishing è una prassi molto comune ed è assolutamente legittima.

Questa prassi permette di analizzare il traffico senza fornire alcun dato utile ai cybercriminali.

Ma perché questa campagna?

Andando a leggere il file di log “emails.txt” di cui vi ho già ampiamente parlato, è possibile trovare un URL all’interno del campo “Desc” che rimanda ad una pagina di login a Zimbra:
Pagina di login alla webmail contenuta nel campo “Desc”
Il fatto che nella “Desc” sia contenuto l’URL di una webmail realmente esistente potrebbe portarci a pensare che la campagna sia stata originariamente rivolta verso una specifica organizzazione e che potrebbe essere stata promossa all’interno del mondo degli IAB.

Probabilmente, successivamente la campagna è stata estesa ad altre organizzazioni, Zimbra è una piattaforma molto utilizzata in tutto il mondo.

Queste figure una volta acquisite le credenziali possono rivenderle all’interno del darkweb a soggetti che, per le vostre organizzazioni, sono ben più pericolosi di loro(basti pensare agli affiliati ad una cybergang ransomware o, magari, ad aziende concorrenti che potrebbero comprare gli accessi per effettuare spionaggio industriale e molto altro).

Infatti, allo stato attuale, risulterebbe molto ingenuo considerare il darkweb come un luogo frequentato esclusivamente da criminali e da ragazzini con “felpa e cappuccio”, la realtà come sappiamo è ben diversa, si tratta infatti di un luogo molto frequentato da persone in giacca e cravatta, spesso con un buon livello di istruzione ed in grado di comunicare agevolmente in diverse lingue.

Conclusioni

Come già detto questo articolo è partito da una segnalazione arrivata alla nostra email dedicata al whistleblower che, chiunque abbia notizie che vuole inviarci in maniera più riservata, può utilizzare.

Quindi, questo articolo non sarebbe mai potuto esistere senza un’attività di collaborazione interna alla community e, per questo, mi sento in dovere di ringraziare l’autore dell’email.

Inoltre, con questo articolo ho cercato di fornire alcuni dettagli ed alcune risorse per permettere a chiunque di essere in prima linea contro il phishing e di poter dare il proprio contributo nel rendere il web un posto più sicuro per tutti.

L'articolo Campagna di phishing contro Zimbra. Come depotenziarla attraverso le risorse online proviene da il blog della sicurezza informatica.

La RHC Conference 2024, è un evento annuale gratuito creato dalla community di RHC per promuovere l’interesse verso le tecnologie digitali, l’innovazione e la consapevolezza dei rischi informatici. Quest’anno, l’edizione della conferenza si è svolta a Roma il 19 e 20 aprile 2024 presso il Teatro Italia a Roma.

Uno dei momenti salienti della conferenza è stato il panel dedicato al tema “Cybersecurity ed innovazione tecnologica in Italia: tra minacce informatiche e intelligenza artificiale”. Durante questo panel, esperti di sicurezza e professionisti del settore hanno discusso delle sfide e delle opportunità legate alla sicurezza informatica e all’intelligenza artificiale nel contesto italiano.

Di seguito i relatori che sono intervenuti:

1. Dott. Mario Nobile: Direttore Generale di AGID (Agenzia per l’Italia Digitale).
2. Dott. Umberto Rosini: Direttore Sistemi Informativi alla Presidenza del Consiglio dei Ministri – Dipartimento della Protezione Civile.
3. Dott. Paolo Galdieri: Avvocato penalista, Cassazionista e Docente universitario di Diritto penale dell’informatica.
4. Ing. David Cenciotti: Giornalista aerospaziale, ex ufficiale dell’Aeronautica Militare, ingegnere informatico ed esperto di cybersecurity.

Durante il panel, sono stati affrontati diversi temi collegati all’intelligenza artificiale e la sicurezza informatica. In particolare, si è discusso dell’introduzione di un intero capitolo dedicato all’intelligenza artificiale nel nuovo Piano Triennale per l’Informatica nella Pubblica Amministrazione 2024-2025 e come le AI possano essere utili in vari contesti tecnologici, oltre ad analizzare il tutto dal punto di vista legale.

Questo piano industriale coinvolge non solo le 23.000 pubbliche amministrazioni, ma anche università, centri di ricerca e imprese del settore ICT. Si è parlato delle principali obiettivi di questo capitolo e di come l’AI Act dell’Unione Europea e altri documenti internazionali influenzino le politiche sull’intelligenza artificiale in Italia.

Intervento di Mario Nobile

Mario Nobile affronta principalmente due temi: l’intelligenza artificiale (IA) e la cybersecurity, focalizzandosi sul nuovo Piano Triennale per l’informatica nella pubblica amministrazione 2024-2025.

Nel primo segmento, discute dell’importanza del piano e dei suoi obiettivi. “Oltre a descrivere qual è la strategia bisogna dare degli strumenti … Per usare l’intelligenza artificiale generativa una pubblica amministrazione o una impresa deve stare attenta a tre pilastri” riporta Nobile.

I tre pilastri cruciali per l’implementazione dell’IA spiega Nobile sono: “la qualità del dato, le competenze interne ed esterne, e una chiara definizione dei controlli e delle autorizzazioni”. Questi tre elementi che a livello teorico possono essere importanti, sono stati inseriti in dei toolkit spiegando a grandi aziende di stato o ai piccoli comuni, quella che è l’esperienza di specifici soggetti.
Dott. Mario Nobile: Direttore Generale di AGID, l’agenzia per l’Italia digitale
Successivamente Nobile affronta il legame tra l’accessibilità digitale e la cybersecurity, sottolineando “c’è sempre un antagonismo su chi vuole ampliare l’esperienza dell’utente e chi vuole proteggere un sistema informativo”.

Sottolinea che mentre l’accessibilità digitale è un diritto costituzionale che va garantito, è fondamentale mantenere la robustezza dei sistemi attraverso misure di sicurezza informatica, specialmente considerando i rischi come gli attacchi di privacy, gli abusi l’induzione di comportamenti errati nei sistemi automatizzati. “Se il mio servizio digitale amenità i suoi gradi di libertà per consentire ad una persona disabile … evidentemente il layer della sicurezza, dell’intelligenza artificiale, ci aiuta a mantenere la robustezza di quel sistema. E’ un punto facile a dire nei convegni ma molto complicato da realizzare”.

Per risolvere questo equilibrio, Nobile suggerisce l’implementazione di ridondanze informative e meccanismi di controllo dei dati in tempo reale, per garantire che i servizi digitali siano inclusivi ma anche protetti da potenziali minacce. Inoltre, sottolinea l’importanza di mantenere un elevato livello di qualità dei dati e di collaborazione tra le istituzioni coinvolte nella gestione dei sistemi digitali.

Intervento di Umberto Rosini

Umberto Rosini riporta che “IT Alert” è entrato in produzione dal 13 di Febbraio. “IT Alert si poggia su 3 pilastri fondamentali, le procedure, la comunicazione e poi la parte tecnologica … on top su tutte la parte di controllo e di miglioramento continuo dei sistemi” riporta Rosini.

“Attualmente, abbiamo attivato l’allertamento sulle industrie a rischio rilevante, quelle industrie che hanno quella produzione per il quale un incidente fisico può compromettere la salute e la sicurezza dei cittadini come il rischio nucleare e sui vulcani”.

Rosini sottolinea l’importanza del controllo e del monitoraggio della catena di trasmissione dei messaggi: “tutta parte dalla conoscenza e il monitoraggio della catena, capire da quando viene generato un messaggio e quando viene inviato” anche attraverso attività di OSINT per ottenere informazioni aggiuntive.
Dott. Umberto Rosini, Direttore Sistemi Informativi alla Presidenza del Consiglio dei Ministri – Dipartimento della Protezione Civile
Nell’affrontare le sfide future, Rosini discute dell’importanza dell’intelligenza artificiale (IA) riportando “oggi l’intelligenza artificiale oggi deve essere un copilota dei tecnici” e non un sistema senza controllo umano. L’IA può migliorare l’operatività dei sistemi in emergenza tramite algoritmi per l’elaborazione delle informazioni, il monitoraggio continuo e il miglioramento dei processi.

Rosini evidenzia il ruolo cruciale della tecnologia insieme alle competenze umane, sia tecniche che psicologiche, nell’affrontare le emergenze in modo efficace.

Infine, sottolinea il lavoro delle organizzazioni come l’Agenzia per l’Italia Digitale e l’Agenzia per la Cybersicurezza Nazionale nell’adozione e nello sviluppo di tecnologie innovative per migliorare la preparazione e la risposta alle crisi.

https://www.youtube.com/embed/dEQzCF-nfMY?feature=oembed
Il Video del panel “Cybersecurity ed innovazione tecnologica in Italia: tra minacce informatiche e intelligenza artificiale“

Intervento di Paolo Galdieri

Paolo Galdieri affronta la questione della cybersecurity da una prospettiva legale. Ricorda che la cybersecurity non è stata inizialmente considerata un tema giuridico ma tecnico: “Dalla direttiva NIS, si è iniziato a parlare di sicurezza anche del punto di vista giuridico e oggi è un tema più giuridico che informatico … e si crea delle difficoltà”.

Galdieri rileva la mancanza di normative specifiche che delineino chiaramente l’ambito della cybersecurity, notando che l’evoluzione normativa ha portato a un’ampia interpretazione dei reati informatici attraverso l’uso di nuove tecnologie: “Abbiamo fatto dei processi dove degli esperti di sicurezza informatica sono stati accusati di aver commesso degli accessi non autorizzati, perché secondo i pubblici ministeri erano andati al di là di quello che erano i loro compiti. Questo paralizza l’attività in quanto per contratto devo mettere in sicurezza dei sistemi, ma allo stesso tempo ho paura di subire un procedimento penale.”

Nel contesto della responsabilità legale, Galdieri analizza la distinzione tra reati dolosi e colposi commessi tramite l’uso dell’intelligenza artificiale, mettendo in evidenza il rischio di interpretazioni errate da parte del sistema giudiziario, spesso non esperto in materia informatica. Egli osserva che le normative penali devono adattarsi all’evoluzione tecnologica, affrontando la complessità dei reati commessi tramite IA.
Dott. Paolo Galdieri: Avvocato penalista, Cassazionista, è Docente universitario di Diritto penale dell’informatica
“L’intelligenza artificiale interessa il diritto penale sotto due punti di vista. Il primo è sui reati che possono essere commessi, un secondo è come può aiutare i giudici o le forze dell’ordine” riporta Galdieri. Esamina l’applicazione dell’intelligenza artificiale nel contesto giuridico, discutendo l’importanza di evitare la cosiddetta “giustizia predittiva”, che potrebbe condizionare le decisioni giudiziarie. Sottolinea la necessità di una supervisione umana nell’utilizzo dei dati e dei sistemi automatizzati per prevenire discriminazioni e decisioni ingiuste.

Infine, affronta il tema dell’utilizzo di robot e sistemi automatizzati nelle forze dell’ordine, evidenziando le complessità legate alla responsabilità in caso di comportamenti anomali o incidenti. Relativamente a SPOT, la mascotte della Red Hot Cyber Conference 2024 Galdieri dice per fare un esempio: “ll robottino che si muoveva qui, se aggrediva colui che stava parlando chi ne risponde da un punto di vista colposo?”.

In sintesi, Galdieri evidenzia le sfide legali e etiche legate all’uso dell’intelligenza artificiale e delle tecnologie emergenti nel contesto giuridico, sottolineando la necessità di normative chiare e di una supervisione umana attenta per garantire un’applicazione equa e giusta della legge.

Intervento di David Cenciotti

David Cenciotti evidenzia come l’intelligenza artificiale (IA) sia già una realtà nel campo dell’aviazione e della difesa militare, non solo un progetto futuro: “Pensare oggi che si possa rimuovere l’elettronica da un qualsiasi tipologia di velivolo è utopistico. Si va esattamente nella direzione opposta. I velivoli sono caratterizzati da capacità computazionale e di networking elevatissima“.

Cenciotti illustra come la quinta generazione di velivoli già impieghi l’IA per gestire e funzionare una vasta quantità di informazioni provenienti da vari sistemi a bordo e riporta: “Pilotare un velivolo oggi è molto più facile. La condotta del mezzo è semplificata, quello che è aumentata è la gestione di tutti i sistemi”. Questo consente ai piloti di concentrarsi solo sulle informazioni cruciali per le loro decisioni, riducendo il carico cognitivo e migliorando la loro capacità decisionale.

Pertanto, l’IA è essenziale per ottimizzare le prestazioni e la sicurezza nell’aviazione moderna e relativamente alla sicurezza dei nuovi velivoli riporta: “I velivoli moderni sono diversi milioni di righe di codice che volano ed è necessario metterle in sicurezza come un sistema complesso”.

Utilizza l’esempio del recente attacco dei droni da parte dell’Iran, è stato contrastato dal sistema Iron Dome il quale ha avuto un successo pari al 99%. Il sistema ha impiegano l’IA per priorizzare minacce e calcolare il momento migliore per lanciare i missili. Questa applicazione dell’IA consente una maggiore precisione e efficacia nella difesa contro attacchi nemici.
Ing. David Cenciotti: Giornalista aerospaziale, ex ufficiale dell’AM, ingegnere informatico ed esperto di cybersecurity
Infine, Cenciotti suggerisce che l’IA diventerà ancora più centrale nel futuro, con sviluppi tecnologici che continueranno a integrarla sempre più nel contesto militare e dell’aviazione.

Questo indica che l’IA sarà fondamentale per affrontare le sfide future e migliorare ulteriormente le capacità operative e difensive nelle operazioni aeree.

L'articolo I Video della RHC Conference 2024: Il Panel “Cybersecurity in Italia, tra minacce informatiche ed Intelligenza Artificiale” proviene da il blog della sicurezza informatica.

Dalle nostre attività di monitoraggio che svolgiamo costantemente nelle underground, è emerso che il 27 aprile un messaggio misterioso è comparso su Breach Forums, un noto rifugio per traffici illegali di dati. L’utente, con una buona reputazione nel sottobosco criminale, ha pubblicato informazioni riguardanti una violazione dei dati dell’UNICEF, l’organizzazione internazionale dedicata alla protezione dei diritti dei bambini.

Ancora non sappiamo con precisione se tali dati siano di proprietà dell’UNICEF, in quanto non è ancora presente all’interno del sito web alcun comunicato stampa relativo all’accaduto.

La portata di questa violazione è inquietante da quanto riportato nel post: i dati provenienti da 11 paesi sono stati compromessi, rivelando una vasta gamma di informazioni sensibili. Il threat actors riporta con un successivo messaggio che sono presenti 11 file .csv e il numero totale dei record ammonta a circa 179.000.

Tra questi, si annoverano nomi, indirizzi, numeri di telefono, nonché dettagli riguardanti il livello di istruzione e le coordinate geografiche. Questo attacco non solo mette a repentaglio la privacy di migliaia di individui, ma solleva anche domande sulle vulnerabilità dei sistemi informatici delle organizzazioni internazionali.

Breach Forums è un luogo virtuale dove gli utenti commerciano informazioni rubate, è stato il palcoscenico di questa rivelazione sconcertante. Questa piattaforma, rinomata per il suo ruolo nell’economia sotterranea digitale, facilita lo scambio di dati rubati, vulnerabilità informatiche e altro ancora. L’anonimato è la regola d’oro su Breach Forums, dove pseudonimi comuni e transazioni avvengono spesso con criptovalute per mantenere l’opacità degli scambi.

La pubblicazione del messaggio da parte dell’utente è stata accompagnata da una nota di sfida: “comunità di Breach Forums, oggi ho caricato i dati UNICEF da scaricare, grazie per aver letto e buon divertimento!” Queste parole, apparentemente casuali, indicano la spregiudicatezza degli attori dietro questa violazione. Per loro, questi dati non sono solo risorse da sfruttare, ma anche oggetto di divertimento.

La reazione dell’UNICEF e delle autorità competenti deve essere immediata e decisa. Il furto e la divulgazione di dati sensibili possono mettere a repentaglio la sicurezza e la fiducia non solo delle singole persone coinvolte, ma anche dell’intera organizzazione. È essenziale investigare sull’incidente per comprendere esattamente la portata dell’incidente di sicurezza informatica.

Questa violazione non è solo un crimine contro l’organizzazione, ma anche contro la missione stessa dell’UNICEF di proteggere i diritti dei bambini in tutto il mondo. Mentre il mercato underground continua a prosperare, è urgente che la comunità globale si unisca per contrastare questa minaccia crescente e proteggere la sicurezza e la privacy di tutti.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo I dati dell’UNICEF sono Online! 179.000 record provenienti da 11 paesi sono in vendita nelle underground proviene da il blog della sicurezza informatica.

There’s always an appeal to a cool-looking computer case or cyberdeck – and with authentic-looking Vault-Tec style, [Eric B] and [kc9psw]’s fallout-themed cyberdeck is no exception.

The case looks like it came straight out of one of the Fallout games and acts the part: while (obviously) not capable of withstanding a direct nuclear bomb impact, it can protect the sensitive electronics inside from the electromagnetic pulse and shockwave that follows – if you keep it closed.

And it’s not just the case that’s cool: This cyberdeck is packed full of goodies like long-range radios, SDRs, ADSB receivers, a Teensy 4.1, and dual Raspberry Pis. But that’s just the hardware! It also comes with gigabytes upon gigabytes of Wikipedia, Wikihow, TED talks, and other information/entertainment, for the less eventful days in the wastelands.

If you, too, would like to have one, fret not! The parts list and design files are public, even though some assembly is required.

Well, it’s official — AI is ruining everything. That’s not exactly news, but learning that LLMs are apparently being used to write scientific papers is a bit alarming, and Andrew Gray, a librarian at University College London, has the receipts. He looked at a cross-section of scholarly papers from 2023 in search of certain words known to show up more often in LLM-generated text, like “commendable”, “intricate”, or “meticulous”. Most of the words seem to have a generally positive tone and feel a little fancier than everyday speech; one rarely uses “lucidly” or “noteworthy” unless you’re trying to sound smart, after all. He found increases in the frequency of appearance of these and other keywords in 2023 compared to 2022, when ChatGPT wasn’t widely available.

It doesn’t always take a statistical analysis of word distributions to detect the footprints of an LLM, though. The article includes examples of text copied and pasted directly from the chatbot, without any attempt at editing or even basic proofreading. How not only the authors of the papers but also the journal editors and reviewers managed not to pick up an obvious chatbot error message that had been copy-pasted is hard to imagine. And let’s not even get started on the Midjourney-generated diagram of a monstrously well-endowed rat that was used to illustrate an article (since retracted) on spermatogenesis, complete with nonsensical captions and callouts to non-existent body parts. This is why we can’t have nice things.

Speaking of nice things, did you know that the largest manufacturer of vintage lamps in history is a little company called “Underwriter’s Laboratory”? At least it seems that way looking at eBay, where sellers listing old lamps often claim the manufacturer is the storied safety standards organization. We suppose it makes sense if the only label on an old lamp is the UL listing label and you had no idea what UL is. But really, that’s the least of the problems with some of these listings. “Vintage” is a stretch for a green banker’s lamp with a polarized plug that was clearly made sometime in the last 30 years.

Switching gears a bit, it’s one thing to know that everything you do online is tracked, but it’s quite another thing to find out exactly how much information is shooting back and forth between your computer and the Hive Mind. That’s what Bert Hubert built Tracker Beeper to do, and it’s a little terrifying. The tool emits a short beep every time your computer sends off a bit of data to a tracker. It started just monitoring data going to Google, which was alarming enough. The tool was later modified to include most of the trackers we’re likely to come across in our daily travels, and wow! It sounds like a Geiger counter when the tube gets saturated by a highly active source. Probably just as dangerous, too.

Heads up — the HOPE conference is gearing up. Hackers on Planet Earth XV will be held July 12-14 on the campus of St. John’s University in Queens, New York. The “Call for Participation” is now open; it’s always nice to see a big Hackaday contingent at HOPE, so make sure you get your proposals for talks, workshops, or panels together soon.

And finally, what should you do if the FCC comes knocking at your door? It’s not just an academic question; the US Federal Communications Commission does a lot of field investigation, and if you do any kind of RF experimentation, there’s a non-zero chance that you’ll make some kind of spurious emission that gets their attention. Josh from Ham Radio Crash Course dropped a video that addresses the dreaded knock. TL;DW — come back with a warrant. But it’s more complicated than that, as illustrated by a hilarious IRL account of one such encounter. We won’t spoil the surprise, but suffice it to say that if your house is under the approach to a major international airport, you probably want to be extra careful with anything radio-related.

https://www.youtube.com/embed/B-3-GFv8u5U?feature=oembed

What do you do when you find an ancient piece of test gear and want to have fun? Well, you can always try getting BASIC running on it, and that’s precisely what [David Kuder] did.

The HP4952A Protocol Analyzer actually looks a lot like an old computer, even if it was never meant for general-purpose use. The heart of the machine is a Zilog Z80 CPU, though, so it shares a lot in common with microcomputers of its era.

Among other hacks, [David] worked to get Microsoft Basic-80 running on the machine. Initially, he was only able to get it up and running on the display, with no way to read the keyboard, disk, or access the serial port. Eventually, by diving into the nitty-gritty of the machine, he was able to at least get the keyboard working along with some basic BASIC programs. Usable memory is just 8KB, but you can do a fair bit with that when you’ve only got a 32×16 display for output anyway!

It’s a neat hack and one that was extendable to the HP4957A as well. We’ve seen similar machines on these pages before, too! If you’ve got your own neat retro hacks on the boil, don’t hesitate to drop us a line!

[Thanks to Christopher Zell for the tip!]

[Steve Mould] came across an interesting little phenomenon of blue flames zipping around a circular track. This led to diving down a bit of a rabbit hole about excitable mediums, ultimately leading him to optimize the shapes and come up with some pretty wild variations which he shows off in a video (also embedded below.)

After figuring out that the moving flame depended on combustion of fuel vapor in an environment that didn’t allow for the whole surface to stay lit at once, [Steve] tried to optimize the design of 3d-printed channels and raceways to encourage this effect, and he came up with some pretty novel ones. The 3D models are here if you’d like to try them for yourself (we especially like the “figure eight” and “rays” models.)

The video is an excellent show & tell of everything [Steve] dove into, complete with plenty of demonstrations of harnessing this effect to create some nifty running flames. Check it out in the video below, and if unintuitive physical effects are your thing, don’t miss [Steve]’s peeling apart of the turntable paradox.

https://www.youtube.com/embed/SqhXQUzVMlQ?feature=oembed

I ricercatori hanno scoperto un nuovo trojan bancario Brokewell. Il malware si maschera da falsi aggiornamenti per Chrome ed è in grado di intercettare qualsiasi evento avvenga sul dispositivo, dai clic e le informazioni visualizzate sullo schermo al testo inserito e alle applicazioni avviate dall’utente.

ThreatFabric si è imbattuto in Brokewell dopo aver scoperto una falsa pagina di aggiornamento di Chrome che conteneva il payload del malware.
Pagina Chrome reale (a sinistra) e aggiornamento falso (a destra)
Dopo aver studiato le campagne precedenti, i ricercatori hanno concluso che Brokewell si era precedentemente mascherato da servizi “acquista ora, paga dopo”, nonché dall’applicazione di autenticazione digitale austriaca ID Austria.

Le principali funzionalità di Brokewell, che è ancora in fase di sviluppo attivo, sono incentrate sul furto di dati e sulla fornitura agli aggressori del controllo remoto di un dispositivo infetto. Pertanto, Brokewell dispone di tutte le funzionalità standard dei trojan bancari e fornisce anche accesso remoto agli aggressori.

E’ quindi in grado di

• utilizzare overlay, ovvero imitare pagine di accesso per applicazioni target (al fine di rubare credenziali);
• utilizzare il proprio WebView per intercettare e recuperare i cookie dopo che un utente accede a un sito legittimo;
• Intercettare qualsiasi azione della vittima, inclusi clic, scorrimento e digitazione, al fine di rubare dati sensibili visualizzati o immessi sul dispositivo;
• raccogliere informazioni sull’hardware e sul software del dispositivo;
• recuperare i registri delle chiamate;
• determinare la posizione fisica del dispositivo;
• catturare l’audio utilizzando il microfono del dispositivo;
• fornire a un utente malintenzionato l’opportunità di vedere lo schermo del dispositivo in tempo reale;
• eseguire da remoto vari gesti (tocchi e passaggi);
• fare clic da remoto su elementi o coordinate specificati sullo schermo;
• simulare lo scorrimento e inserire il testo nei campi specificati;
• simulare la pressione di pulsanti fisici come Indietro, Home e App recenti;
• attivare da remoto lo schermo del dispositivo per rendere qualsiasi informazione disponibile per l’acquisizione;
• Regolare le impostazioni come luminosità e volume.

Secondo ThreatFabric, lo sviluppatore di Brokewell è un hacker criminale con il soprannome di Baron Samedit, che da almeno due anni vende strumenti per il controllo di conti rubati.

Va inoltre notato che lo studio ha rivelato un altro strumento chiamato Brokewell Android Loader, anch’esso creato da questo autore. Lo strumento era ospitato su uno dei server di controllo di Brokewell. In particolare, questo downloader è in grado di aggirare le restrizioni introdotte da Google in Android 13 e versioni successive del sistema operativo per combattere l’abuso del servizio di accessibilità da parte degli APK caricati al di fuori del Google Play Store.

Gli esperti concludono che molto probabilmente Brokewell verrà finalizzato e nel prossimo futuro inizierà a essere venduto ad altri criminali sulla darknet secondo lo schema Malware-as-a-Service (MaaS).

L'articolo Una nuova MaaS fa capolino. E’ Brokewell: Il malware che colpisce con falsi aggiornamenti di Chrome proviene da il blog della sicurezza informatica.

[Nick Lombardy] took on a job almost every maker imagines themselves doing at some point. He built a giant LED wall and he did a damn fine job of it, too. Introducing BoneBlocker.

BoneBlocker is an 8 x 14 wall of glass blocks that lives at a bar called Coin-Op. Each block was given a length of WS2812B LED strip. 30 LED/meter strips were chosen, as initial maths on the 60 LED/meter strips indicated the whole wall would end up drawing 1.5 kW. Discretion, and all that.
The glowing game controller.
The whole display is run from a WT32-ETH01 board, which is a fast ESP32-based module that has onboard Ethernet to boot. [Nick] used the WLED library as he’d seen others doing great things with it, performance-wise. He ended up using one board per column to keep things fast, but he reckons this was also probably a little bit of overkill.

His article steps through the construction of the wall, the electronics, and the software required to get some games working on the display. The final result is quite something. Perhaps the best bit is his explanation of the custom controller he built for the game. Dig into it, you won’t be disappointed.

In particular, we love how the glass blocks elevate this display to a higher aesthetic level. We’ve seen other great projects tread this same route, too. Video after the break.

https://www.youtube.com/embed/ocrCUYP6DxY?feature=oembed

It’s with a tinge of sadness that we and many others reported on the recent move by Zilog to end-of-life the original Z80 8-bit microprocessor. This was the part that gave so many engineers and programmers their first introduction to a computer of their own. Even though now outdated its presence has been a constant over the decades. Zilog will continue to sell a Z80 derivative in the form of their eZ80, but that’s not the only place the core can be found on silicon. [Rejunity] is bringing us an open-source z80 core on real hardware, thanks of course to the TinyTapeout ASIC project. The classic core will occupy two tiles on the upcoming TinyTapeout 7. While perhaps it’s not quite the same as a real 40-pin DIP in your hands, like all of the open-source custom silicon world, it’s as yet early days.

The core in question is derived from the TV80 open-source core, which we would be very interested to compare when fabricated at TinyTapeout’s 130nm process with an original chip from a much larger 1970s process. While It’s true that this project is more of an interesting demonstration of TinyTapeout than a practical everyday Z80, it does at least serve as a reminder that there may be a future point in which a run of open-source real Z80s or other chips might become possible.

This isn’t the first time we’ve featured a TinyTapeout project.

[Andrej Karpathy] recently released llm.c, a project that focuses on LLM training in pure C, once again showing that working with these tools isn’t necessarily reliant on sprawling development environments. GPT-2 may be older but is perfectly relevant, being the granddaddy of modern LLMs (large language models) with a clear heritage to more modern offerings.

LLMs are fantastically good at communicating despite not actually knowing what they are saying, and training them usually relies on PyTorch deep learning library, itself written in Python. llm.c takes a simpler approach by implementing the neural network training algorithm for GPT-2 directly. The result is highly focused and surprisingly short: about a thousand lines of C in a single file. It is a highly elegant process that does the same thing the bigger, clunkier methods accomplish. It can run entirely on a CPU, or it can take advantage of GPU acceleration, where available.

This isn’t the first time [Andrej Karpathy] has bent his considerable skills and understanding towards boiling down these sorts of concepts into bare-bones implementations. We previously covered a project of his that is the “hello world” of GPT, a tiny model that predicts the next bit in a given sequence and offers low-level insight into just how GPT (generative pre-trained transformer) models work.

I ricercatori hanno scoperto una campagna di hacking chiamata Dev Popper che prende di mira gli sviluppatori di software. Gli aggressori si travestono da datori di lavoro e pubblicizzano posti vacanti fittizi per specialisti IT.

Il loro vero obiettivo è iniettare un pericoloso trojan di accesso remoto (RAT) in Python nei computer delle vittime. Durante il processo di colloquio simulato, ai candidati viene chiesto di completare una “attività di test”: scaricare ed eseguire il codice da un repository su GitHub.

L’attacco viene effettuato in più fasi utilizzando tecniche di ingegneria sociale per compromettere gradualmente il sistema. Per cominciare, viene suggerito di scaricare un archivio ZIP contenente un pacchetto NPM di supporto con un file README.md e cartelle separate per il codice client e server.

Successivamente viene attivato il file JavaScript mascherato imageDetails.js nella directory backend. Attraverso Node.js esegue i comandi curl per scaricare un ulteriore archivio p.zi crittografato da un server esterno.

All’interno dell’archivio p.zi si trova il componente principale dell’attacco: uno script Python npl offuscato, ovvero il Trojan stesso. Una volta che il RAT si trova sulla macchina infetta, raccoglie informazioni di base: tipo di sistema operativo, nome host, dati di rete, che vengono poi inviate al server degli aggressori.

Oltre a raccogliere dati, il Trojan ha una vasta gamma di funzionalità:

• Supporto di un canale di comunicazione stabile per il controllo remoto
• Comandi per rilevare e rubare file di interesse dal file system
• Possibilità di esecuzione remota di codice dannoso
• Trasferimento diretto dei dati dalla vittima tramite FTP
• Cattura delle sequenze di tasti e dei dati degli appunti per rubare credenziali

Secondo gli analisti di Securonix , è molto probabile che le tattiche della campagna Dev Popper vengano utilizzate da gruppi di hacker della Corea del Nord, noti per l’utilizzo di tecniche di ingegneria sociale. Tuttavia, non ci sono ancora ragioni sufficienti per incolpare direttamente le autorità della RPDC degli attacchi.

Gli esperti sottolineano che gli aggressori sfruttano abilmente la fiducia degli specialisti IT nel processo di assunzione. La riluttanza a perdere una potenziale opportunità di lavoro a causa della mancata osservanza delle istruzioni del datore di lavoro immaginario rende l’attacco estremamente efficace.

L'articolo Sviluppatori, attenti ai colloqui di lavoro! Scopri cosa si nasconde dietro le offerte di lavoro false proviene da il blog della sicurezza informatica.

La popolare app di messaggistica WhatsApp è al centro di una situazione di stallo con il governo indiano. L’azienda, di proprietà di Meta, è pronta a lasciare il mercato indiano se sarà costretta a divulgare i dati degli utenti e a violare il sistema di crittografia end-to-end.

La controversia è scoppiata dopo che WhatsApp e Meta si sono rivolti all’Alta Corte di Delhi contestando i requisiti delle Social Media Rules 2021. In particolare, le aziende contestano la necessità di individuare la fonte originaria delle informazioni diffuse. Tejas Kariya, rappresentante di WhatsApp, ha dichiarato: “Se ci verrà ordinato di infrangere la crittografia, WhatsApp lascerà l’India”.

Le nuove regole introdotte dal governo indiano nel 2021 richiedono che le piattaforme online nominino responsabili della conformità e pubblichino anche rapporti mensili. Tuttavia, la preoccupazione maggiore è dovuta all’obbligo di identificare la “fonte originale” dei messaggi distribuiti, che, secondo i critici, mette a repentaglio la privacy degli utenti.

I sostenitori del diritto alla privacy notano che il rilascio di tali dati potrebbe violare i diritti fondamentali dei cittadini. WhatsApp, a sua volta, insiste sull’integrità della crittografia end-to-end della corrispondenza, garantendo che il contenuto dei messaggi e dei file multimediali sia noto solo al mittente e al destinatario.

Da parte loro, le autorità indiane sottolineano la necessità di monitorare la diffusione di informazioni false e contrastare l’estremismo. Durante la pandemia di COVID-19, la società indiana ha dovuto affrontare un’ondata su larga scala di materiali falsi e provocatori che rappresentano una minaccia per la sicurezza dei cittadini.

La chiave per risolvere il problema potrebbe essere l’attuazione di una legge sulla protezione dei dati personali in India. Nonostante le lunghe discussioni, nel Paese manca ancora una legge completa sulla privacy dei dati simile a quella dell’Unione Europea.

La legge sulla protezione dei dati personali, approvata dal Parlamento lo scorso anno, attende le regole definitive dopo le elezioni. Una volta entrata in vigore, questa legge potrebbe creare un quadro solido per la protezione dei dati degli utenti e la regolamentazione delle società tecnologiche.

L'articolo WhatsApp Minaccia di Lasciare l’India: la Crittografia E2E non si Tocca! proviene da il blog della sicurezza informatica.

WPScan ha rilevato una campagna di attacchi che sfrutta un errore nel plugin WP-Automatic per creare account amministrativi e prendere il controllo dei siti WordPress.

Che cos’è WP-Automatic e perché è vulnerabile?

WP-Automatic è un plugin WordPress che consente di importare contenuti da vari siti web e fonti come feed RSS, social media, articoli, video, immagini e altro. Il plugin ha più di 30.000 installazioni attive e offre diverse funzionalità per personalizzare e automatizzare la creazione di contenuti.

Tuttavia, il plugin ha anche una grave vulnerabilità che mette a rischio la sicurezza dei siti WordPress che lo utilizzano. Si tratta di una SQL injection (SQLi), ovvero un tipo di attacco che sfrutta la mancata validazione dei dati in ingresso per eseguire query SQL arbitrarie al database del sito web. Questo può portare a vari scenari dannosi, come il furto di dati sensibili, la modifica o la cancellazione di dati, la creazione di account utente con privilegi elevati, l’esecuzione di codice arbitrario e il compromesso totale del sito web.

La vulnerabilità in questione, identificata come CVE-2024-27956, è stata scoperta da Patchstack, una piattaforma di sicurezza per WordPress, e ha ricevuto un punteggio CVSS di 9,9 su un massimo di 10, indicando un livello di gravità molto alto. La vulnerabilità riguarda tutte le versioni del plugin fino alla 3.9.2.0, che è stata rilasciata il 15 marzo 2024 per correggere il problema. Gli utenti di WP-Automatic sono fortemente invitati ad aggiornare il plugin alla versione più recente per evitare di essere vittime di attacchi.

Come funziona l’attacco e quali sono le sue conseguenze?

WPScan, una società di sicurezza specializzata in WordPress, ha recentemente segnalato l’inizio di un’attiva campagna di attacchi che sfrutta la vulnerabilità di WP-Automatic per creare account amministrativi controllati e prendere il controllo dei siti WordPress vulnerabili. WPScan ha rilevato più di 100.000 tentativi di attacco in una sola settimana, provenienti da diversi indirizzi IP.

L’attacco funziona in questo modo: gli aggressori inviano una richiesta HTTP POST al file /wp-content/plugins/wp-automatic/inc/csv.php, che è responsabile dell’importazione dei dati da file CSV. La richiesta contiene un parametro chiamato “user” che contiene una query SQL arbitraria, che viene eseguita dal file senza alcuna validazione.

La query SQL permette agli aggressori di creare un nuovo account utente con privilegi di amministratore, fornendo un nome utente, una password e un indirizzo email a loro scelta. Una volta creato l’account, gli aggressori possono accedere al pannello di amministrazione del sito WordPress e installare plugin di caricamento file o modificare il codice per eseguire azioni dannose.

Dopo aver violato un sito WordPress, gli aggressori assicurano la persistenza creando backdoor e offuscando il codice. Per evitare il rilevamento, gli aggressori rinominano il file vulnerabile di WP-Automatic (da /wp-content/plugins/wp-automatic/inc/csv.php a wp-content/plugins/wp-automatic/inc/csv65f82ab408b3.php), anche per bloccare gli attacchi da parte di altri aggressori. In questo modo, gli aggressori possono mantenere l’accesso al sito WordPress anche se il plugin viene aggiornato o disinstallato.

Le conseguenze di un attacco di questo tipo possono essere devastanti per i proprietari dei siti WordPress, che possono perdere la fiducia dei loro utenti, subire danni alla reputazione, incorrere in sanzioni legali o finanziarie, o essere vittime di ulteriori attacchi, come il ransomware, il phishing o il defacement.

Qual è la portata dell’attacco e quali sono i dettagli tecnici?

Da allora, sono stati rilevati oltre 5,5 milioni di tentativi di attacco volti a sfruttare questa vulnerabilità. Ulteriori dettagli tecnici sulla vulnerabilità del plugin WP-Automatic rivelano che il plugin, attualmente installato su oltre 30.000 siti web, consente agli amministratori di automatizzare l’importazione di contenuti (ad esempio, testo, immagini, video) da varie fonti online e la pubblicazione sul loro sito WordPress.

Dopo aver ottenuto l’accesso da amministratore al sito web di destinazione, gli aggressori creano backdoor e offuscano il codice per renderlo più difficile da trovare. Per prevenire altri attacchi da parte di altri aggressori e per evitare il rilevamento, gli aggressori rinominano anche il file vulnerabile “csv.php”. Una volta ottenuto il controllo del sito web, l’attore della minaccia spesso installa ulteriori plugin che consentono il caricamento di file e la modifica del codice.

Gli amministratori possono verificare la presenza di un account amministratore che inizia con “xtw” e di file denominati web.php e index.php, che sono le backdoor piantate nella recente campagna. Per mitigare il rischio di violazione, i ricercatori raccomandano agli amministratori dei siti WordPress di aggiornare il plugin WP Automatic alla versione 3.92.1 o successiva. WPScan raccomanda inoltre ai proprietari dei siti web di creare frequentemente backup del loro sito in modo da poter installare rapidamente copie pulite in caso di compromissione.

Come proteggersi da questo tipo di attacchi?

La prima e più importante misura di protezione è aggiornare il plugin WP-Automatic alla versione più recente, che corregge la vulnerabilità. Gli utenti possono verificare la versione del plugin dal pannello di amministrazione di WordPress, sotto la sezione Plugin. Se il plugin non è aggiornato, è necessario farlo il prima possibile, cliccando sul pulsante Aggiorna ora.

Inoltre, è consigliabile seguire alcune buone pratiche di sicurezza per WordPress, come:

• Utilizzare password forti e uniche per gli account utente e il database.
• Limitare il numero di tentativi di accesso e bloccare gli indirizzi IP sospetti.
• Utilizzare un plugin di sicurezza che offra protezione da attacchi comuni, come i firewall, gli scanner di malware, i backup e i ripristini.
• Monitorare regolarmente il sito web per rilevare eventuali anomalie, modifiche o attività sospette.
• Mantenere aggiornati WordPress, i plugin e i temi, e rimuovere quelli inutilizzati o obsoleti.

Conclusione

WP-Automatic è un plugin WordPress che può facilitare la creazione di contenuti, ma che presenta una grave vulnerabilità SQLi che espone i siti web a possibili attacchi. Gli utenti di questo plugin devono aggiornarlo al più presto per prevenire la compromissione dei loro siti.

Inoltre, devono seguire le raccomandazioni di sicurezza per WordPress e monitorare il loro sito per eventuali segni di intrusione. La sicurezza dei siti WordPress dipende in gran parte dalla responsabilità degli utenti e dalla qualità dei plugin che installano. È quindi fondamentale scegliere plugin affidabili e mantenere il proprio sito al passo con le ultime novità in materia di sicurezza.

L'articolo WP-Automatic, un plugin WordPress con una grave vulnerabilità SQLi proviene da il blog della sicurezza informatica.