Cybersecurity & cyberwarfare

2024-04-24 11:00:22

Chinese Subs May Be Propelled Silently By Lasers

If sharks with lasers on their heads weren’t bad enough, now China is working on submarines with lasers on their butts. At least, that’s what this report in the South China Morning Post claims, anyway.

According to the report, two-megawatt lasers are directed through fiber-optic cables on the surface of the submarine, vaporizing seawater and creating super-cavitation bubbles, which reduce drag on the submarine. The report describes it as an “underwater fiber laser-induced plasma detonation wave propulsion” system and claims that the system could generate up to 70,000 newtons of thrust, more than one of the turbofan engines on a 747.

The report (this proxy can get around the paywall) claims that the key to the system are the tiny metal spheres that direct the force of the cavitation implosion to propel the submarine. Similar to a magnetohydrodynamic drive (MHD), there’s no moving parts to make noise. Such a technology has the potential to make China’s submarines far harder to detect.

Looking for more details, we traced the report back to the original paper written by several people at Harbin Engineering University, entitled “Study on nanosecond pulse laser propulsion microspheres based on a tapered optical fiber in water environment“, but it’s still a pre-print. If you can get access to the full paper, feel free to chime in — we’d love to know if this seems like a real prospect or just exaggerated reporting by the local propaganda media.

[Image via Wikimedia Commons]

Cybersecurity & cyberwarfare

2024-04-24 10:00:31

Assessing the Y, and How, of the XZ Utils incident

High-end APT groups perform highly interesting social engineering campaigns in order to penetrate well-protected targets. For example, carefully constructed forum responses on precision targeted accounts and followup “out-of-band” interactions regarding underground rail system simulator software helped deliver Green Lambert implants in the Middle East. And, in what seems to be a learned approach, the XZ Utils project penetration was likely a patient, multi-year approach, both planned in advance but somewhat clumsily executed.

This recently exposed offensive effort slowly introduced a small cast of remote characters, communications, and malicious code to the more than decade old open-source project XZ Utils and its maintainer, Lasse Collin. The backdoor code was inserted in February and March 2024, mostly by Jia Cheong Tan, likely a fictitious identity. The end goal was to covertly implement an exclusive use backdoor in sshd by targeting the XZ Utils build process, and push the backdoored code to the major Linux distributions as a part of a large-scale supply chain attack.

While this highly targeted and interactive social engineering approach might not be completely novel, it is extraordinary. Also extraordinary is the stunningly subtle insertion of malicious code leveraging the build process in plain sight. This build process focus during a major supply chain attack is comparable only to the CozyDuke/DarkHalo/APT29/NOBELIUM Solarwinds compromise and the SUNSPOT implant’s cunning and persistent presence – its monitoring capability for the execution of a Solarwinds build, and its malicious code insertion during any Solarwinds build execution. Only this time, it’s human involvement in the build process.

It’s notable that one of the key differentiators of the Solarwinds incident from prior supply chain attacks was the adversary’s covert, prolonged access to the source/development environment. In this XZ Utils incident, this prolonged access was obtained via social engineering and extended with fictitious human identity interactions in plain sight.

One of the best publicly available chronological timelines on the social engineering side of the XZ Utils incident is posted by Russ Cox, currently a Google researcher. It’s highly recommended reading. Notably, Cox writes: “This post is a detailed timeline that I have constructed of the social engineering aspect of the attack, which appears to date back to late 2021.”

A Singaporean guy, an Indian guy, and a German guy walk into a bar…

Three identities pressure XZ Utils creator and maintainer Lasse Collin in summer 2022 to provoke an open-source code project handover: Jia Tan/Jia Cheong Tan, Dennis Ens, and Jigar Kumar. These identities are made up of a GitHub account, three free email accounts with similar name schemes, an IRC and Ubuntu One account, email communications on XZ Utils developer mailing lists and downstream maintainers, and code. Their goal was to grant full access to XZ Utils source code to Jia Tan and subtly introduce malicious code into XZ Utils – the identities even interact with one another on mail threads, complaining about the need to replace Lasse Collin as the XZ Utils maintainer.

Note that the geographic dispersion of fictitious identities is a bit forced here, perhaps to dispel hints of coordination: Singaporean or Malaysian (possibly of a Hokkien dialect), northern European, and Indian. Misspellings and grammar mistakes are similar across the three identities’ communications. The “Jia Tan” identity seems a bit forced as well – the only public geolocation data is a Singaporean VPN exit node that the identity may have used on March 29 to access the XZ Utils Libera IRC chat. If constructing a fictitious identity, using that particular exit node would definitely be a selected resource.

Our pDNS confirms this IP as a Witopia VPN exit. While we might expect a “jiat75” or “jiatan018” username for the “Jia Tan” Libera IRC account, this one in the screenshot above may have been used on March 29, 2024 by the “JiaT75” actor.

One additional identity, Hans Jansen, introduced a June 2023 performance optimization into the XZ Utils source, committed by Collin, and later leveraged by jiaT75’s backdoor code. Jia Tan gleefully accepted the proposed IFUNC additions: “Thanks for the PR and the helpful links! Overall this seems like a nice improvement to our function-picking strategy for CRC64. It will likely be useful when we implement CRC32 CLMUL too :)”.

This pull request is the Jansen identities’ only interaction with the XZ Utils project itself. And, unlike the other two identities, the Jansen account is not used to pressure Collin to turn over XZ Utils maintenance. Instead, the Hans Jansen identity provided the code and then disappeared. Nine months later, following the backdoor code insertion, Jansen urged a major Linux vendor in the supply chain to incorporate the backdoored XZ Utils code in their distribution. The identity resurfaced on a Debian bug report on March 24, 2024, creating an opportunity to generate urgency in including the backdoored code in the Debian distribution.

Jia Tan Identity and Activity

The Jia Cheong Tan (JiaT75) GitHub account, eventually promoted to co-maintainer of XZ Utils, which inserted the malicious backdoor code, was created January 26, 2021. JiaT75 was not exclusively involved in XZ Utils, having authored over 500 patches to multiple GitHub projects going back to early 2022.

• oss-fuzz
• cpp-docs
• wasmtime
• xz

These innocuous patches helped to build the identity of JiaT75 as a legitimate open source contributor and potential maintainer for the XZ Utils project. The patch efforts helped to establish a relationship with Lasse Collin as well.

The first JiaT75 code contribution to XZ Utils occurred on October 29, 2021. It was sent to the xz-devel mailing list. It was a very simple editor config file introduction. Following this initial innocuous addition, over the next two years, JiaT75 authored hundreds of changes for the XZ project.

Yes, JiaT75 contributed code on both weekends and what appear to be workdays. However, an interesting anomaly is that the 2024 malicious commits occur out of sync with many previous commits. A Huntress researcher going by the alias “Alden” posted a visualization of the malicious Jia Tan commits to XZ Utils. JiaT75 commits the malicious code completely out of sync with prior work times on Feb 23–26, and March 8 and 9, 2024.

The time differences for the malicious commits is noticeable. What might this anomaly suggest? We speculate on several possibilities:

• the JiaT75 account was used by a second party to insert the malicious code, either known or unknown to the individual contributor.
• the JiaT75 individual contributor was rushed to commit the malicious backdoor code.
• the JiaT75 account was run by a team of individuals and one part of the team needed to work without interruption outside of the usual constructed work day.

Especially devious is the manner in which the obfuscated backdoor code is introduced in multiple separate pieces by JiaT75. Even though it was open-source, the bulk of the backdoor does not show up in the XZ source-code tree, is not human readable, and was not recognized.

Summer 2022 Pressure to Add a Maintainer

Multiple identities of interest pressured Lasse Collin to add a maintainer over the summer of 2022. The intensity of pressure on Collin varies per account, but they all create opportunities to pressure Collin and interact.

Name	GitHub Account	Email	Creation
Jia Tan/Jia Cheong Tan	JiaT75	jiat0218@gmail.com	January 26, 2021
Dennis Ens	–	dennis3ns@gmail.com	–
Jigar Kumar	–	jigarkumar17@protonmail.com	–

If we take the first interaction on the xz-devel mailing list as the start of the campaign, Jia Tan sent a superficial code patch on September 29, 2021. This timestamp is eight months after the github account creation date. This initial contribution is harmless, but establishes this identity within the open-source project.

A year later, Jigar Kumar pressured Lasse Collin to hand over access to Jia Tan over the spring and summer of 2022 in six chiding comments over two different threads.

Wed, 27 Apr 2022 11:42:57 -0700	Re: [xz-devel] [PATCH] String to filter and filter to string
“Your efforts are good but based on the slow release schedule it will unfortunatly be years until the community actually gets this quality of life feature.”
Thu, 28 Apr 2022 10:10:48 -0700	Re: [xz-devel] [PATCH] String to filter and filter to string
“Patches spend years on this mailing list. 5.2.0 release was 7 years ago. There is no reason to think anything is coming soon.”
Fri, 27 May 2022 10:49:47 -0700	Re: [xz-devel] [PATCH] String to filter and filter to string
“Over 1 month and no closer to being merged. Not a suprise.”
Tue, 07 Jun 2022 09:00:18 -0700	Re: [xz-devel] XZ for Java
“Progress will not happen until there is new maintainer. XZ for C has sparse commit log too. Dennis you are better off waiting until new maintainer happens or fork yourself. Submitting patches here has no purpose these days. The current maintainer lost interest or doesn’t care to maintain anymore. It is sad to see for a repo like this.”
Tue, 14 Jun 2022 11:16:07 -0700	Re: [xz-devel] XZ for Java
“With your current rate, I very doubt to see 5.4.0 release this year. The only progress since april has been small changes to test code. You ignore the many patches bit rotting away on this mailing list. Right now you choke your repo. Why wait until 5.4.0 to change maintainer? Why delay what your repo needs?”
Wed, 22 Jun 2022 10:05:06 -0700	Re: [xz-devel] [PATCH] String to filter and filter to string
“Is there any progress on this? Jia I see you have recent commits. Why can’t you commit this yourself?”

The Dennis Ens identity sets up a thread of their own, and follows up by pressuring maintainer Collin in one particularly forceful and obnoxious message to the list. The identity leverages a personal vulnerability that Collin shared on this thread. The Jigar Kumar identity responds twice to this thread, bitterly complaining about the maintainer: “Dennis you are better off waiting until new maintainer happens or fork yourself.”

Thu, 19 May 2022 12:26:03 -0700	XZ for Java
“Is XZ for Java still maintained? I asked a question here a week ago and have not heard back. When I view the git log I can see it has not updated in over a year. I am looking for things like multithreaded encoding / decoding and a few updates that Brett Okken had submitted (but are still waiting for merge). Should I add these things to only my local version, or is there a plan for these things in the future?”
Tue, 21 Jun 2022 13:24:47 -0700	Re: [xz-devel] XZ for Java
I am sorry about your mental health issues, but its important to be aware of your own limits. I get that this is a hobby project for all contributors, but the community desires more. Why not pass on maintainership for XZ for C so you can give XZ for Java more attention? Or pass on XZ for Java to someone else to focus on XZ for C? Trying to maintain both means that neither are maintained well.

Reflecting on these data points still leads us to shaky ground. Until more details are publicized, we are left with speculation:

• In a three-year project, a small team successfully penetrated the XZ Utils codebase with a slow and low-pressure campaign. They manipulated the introduction of a malicious actor into the trusted position of code co-maintainer. They then initiated and attempted to speed up the process of distributing malicious code targeting sshd to major vendor Linux distributions
• In a three-year project, an individual successfully penetrated the XZ Utils codebase with a slow and low-pressure campaign. The one individual managed several identities to manipulate their own introduction into the trusted position of open source co-maintainer. They then initiated and attempted to speed up the process of distributing malicious code targeting sshd to major vendor Linux distributions
• In an extremely short timeframe in early 2024, a small team successfully manipulated an individual (Jia Tan) that legitimately earned access to an interesting open-source project as code maintainer. Two other individuals (Jigar Kumar, Dennis Ens) may have coincidentally complained and pressured Collin to hand over the maintainer role. That leveraged individual began inserting malicious code into the project over the course of a couple of weeks.

Spring 2024 Pressure to Import Backdoored Code to Debian

Several identities attempted to pressure Debian maintainers to import the backdoored upstream XZ Utils code to their distribution in March 2024. The Hans Jansen identity created a Debian report log on March 25, 2024 to raise urgency to include the backdoored code: “Dear mentors, I am looking for a sponsor for my package “xz-utils”.”

Name	Email address
Hans Jansen	hansjansen162@outlook.com
krygorin4545	krygorin4545@proton.me
misoeater91@tutamail.com	misoeater91@tutamail.com

The thread was responded to within a day by additional identities using the email address scheme name-number@freeservice[.]com:

From: krygorin4545 <krygorin4545@proton.me>
Date: Tue, 26 Mar 2024 19:27:47 +0000
“Also seeing this bug. Extra valgrind output causes some failed tests for me. Looks like the new version will resolve it. Would like this new version so I can continue work”

From: misoeater91@tutamail.com
Date: Tue, 26 Mar 2024 22:50:54 +0100 (CET)
“I noticed this last week and almost made a valgrind bug. Glad to see it being fixed. Thanks Hans!”

The code changes received pushback from Debian contributors, “Very much *not* a fan of NMUs doing large changes such as new upstream versions”. In turn, the supporting identity quickly raised pressure to include the “fix.”

From: krygorin4545 <krygorin4545@proton.me>
Date: Wed, 27 Mar 2024 12:46:32 +0000
“Instead of having a policy debate over who is proper to do this upload, can this just be fixed? The named maintainer hasn’t done an upload in 5 years. Fedora considered this a serious bug and fixed it weeks ago (<https://bugzilla.redhat.com/show_bug.cgi?id=2267598>). Fixing a valgrind break across many apps throughout Debian is the priority here.”

What NeXZt?

Clearly social engineering techniques have much lower technical requirements to gain full access to development environments than what we saw with prior supply chain attacks like the Solarwinds, M.E.Doc ExPetya, and ASUS ShadowHammer incidents. We have presented and compared these particular supply chain attacks, their techniques, and their complexities, at prior SAS events [registration required], distilling an assessment into a manageable table.

Unfortunately, we expect more open-source project incidents like XZ Utils compromise to be exposed in the months to come. As a matter of fact, at the time of this writing, the Open Source Security Foundation (OSSF) has identified similar social engineering-driven incidents in other open-source projects, and claims that the XZ Utils social engineering effort is highly likely not an isolated incident.

---

https://securelist.com/xz-backdoor-story-part-2-social-engineering/112476/

Cybersecurity & cyberwarfare

2024-04-24 09:53:18

Volkswagen sotto attacco: 19.000 documenti di proprietà intellettuale violati dagli hacker cinesi

In una violazione significativa che ha scosso l’industria automobilistica, i media tedeschi hanno riferito che gli aggressori si sono infiltrati nei sistemi del Gruppo Volkswagen, una delle più grandi case automobilistiche del mondo. Nell’arco di cinque anni, questi autori malintenzionati sono riusciti a rubare più di 19.000 documenti contenenti proprietà intellettuale.

Secondo quanto riportato da ZDF, gli aggressori hanno preso di mira i sistemi Volkswagen tra il 2010 e il 2015, concentrandosi su aree cruciali come lo sviluppo di motori a benzina, le tecnologie di trasmissione, la ricerca sulla trasmissione a doppia frizione e le iniziative dell’azienda sui veicoli elettrici. Si ritiene che la violazione abbia rivelato informazioni sensibili sulle tecnologie proprietarie e sugli sforzi di ricerca del colosso automobilistico tedesco.

Sebbene il team di sicurezza di Volkswagen sia riuscito a recuperare alcuni dei file esfiltrati, l’intera portata dell’attacco rimane poco chiara, sollevando preoccupazioni sul potenziale impatto a lungo termine sulla posizione competitiva dell’azienda e sui progressi tecnologici.

Gli esperti che hanno analizzato la violazione hanno evidenziato prove convincenti che suggeriscono che l’attacco abbia avuto origine dalla Cina. Dettagli come gli indirizzi IP degli aggressori, il software utilizzato nella violazione e il fuso orario in cui hanno operato indicano tutti una possibile connessione cinese. Tuttavia, è essenziale notare che attribuire gli attacchi informatici a entità o paesi specifici può essere un processo complesso, che spesso comporta analisi forensi approfondite e cooperazione internazionale.

Il Gruppo Volkswagen, con un fatturato dello scorso anno superiore a 322 miliardi di dollari e una forza lavoro di oltre 667.000 dipendenti, comprende un portafoglio di marchi rinomati, tra cui Audi, Lamborghini, Porsche, Skoda, Bentley e altri. L’ampia portata dell’azienda e le innovazioni tecnologiche la rendono un obiettivo primario per i criminali informatici che cercano di ottenere un vantaggio competitivo attraverso il furto della proprietà intellettuale o interrompere le operazioni.

Quest’ultimo incidente segue un precedente incidente informatico dello scorso settembre che aveva costretto la Volkswagen a fermare temporaneamente la produzione. A quel tempo, si escludeva che la causa fosse un attacco informatico, evidenziando la natura in evoluzione e persistente delle minacce alla sicurezza informatica affrontate dalle aziende globali.

Poiché le organizzazioni continuano a digitalizzare le proprie operazioni e fanno sempre più affidamento su sistemi interconnessi, l’importanza di solide misure di sicurezza informatica non può essere sopravvalutata.

La violazione della Volkswagen serve a ricordare duramente i rischi sempre presenti e la necessità di vigilare nella salvaguardia delle informazioni sensibili e della proprietà intellettuale dalle sofisticate minacce informatiche.

L'articolo Volkswagen sotto attacco: 19.000 documenti di proprietà intellettuale violati dagli hacker cinesi proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-04-24 09:31:24

RHC Conference 2024. I giovani in prima fila per un futuro più sicuro e illuminato nel mondo cyber!

La conferenza di RHC che si è sviluppata nelle giornate di venerdì 19 e sabato 20 aprile, ha visto la presenza di molti ragazzi giovani provenienti dalle diverse parti del nostro paese. Ho avuto il piacere di parlare con docenti che hanno accompagnato i ragazzi degli istituti tecnici all’evento che abbiamo organizzato e sono rimasto molto colpito dal loro entusiasmo verso il mondo cyber.

Nel confronto avuto con alcuni docenti è emerso come ci siano ancora difficoltà da superare per una completa consapevolezza cyber, da insegnare e far sviluppare nella didattica degli insegnamenti in Italia nelle scuole superiori, ma un barlume di speranza si intravede nel buio.

Avevo già scritto su queste pagine come la mancanza di talenti – allora rivolgendomi al direttore della neonata ACN – era, e purtroppo ancora resta un problema in Italia.
Ragazzi che giocano alla Capture The Flag (CTF) alla Red Hot Cyber Conference 2024
Questo gap è legato anche al calo demografico che il nostro paese sta affrontando ogni anno che passa. Ma venerdì e sabato, ho avuto un momento di speranza quando ho visto i molti giovani accalcarsi tra le scale del teatro Italia per ascoltare i workshop, giocare alle CTF, ed effettuare continue domande. Insieme allo staff di RHC poi, ciò che più mi ha colpito è stato come i ragazzi volessero conoscere dal vivo i personaggi che seguono sui nostri canali social.

Qualcuno mi ha chiesto di fargli conoscere Corrado Giustozzi, altri mi hanno chiesto se potevano farsi una foto con lui, altri ancora mi hanno inseguito per avere la possibilità di stringere la mano a Massimiliano Brolli, e non sono mancati i suggerimenti e le critiche all’evento, che sono state subito elaborate e valutate per migliorarsi sempre.
Workshop sulla robotica dal titolo “SPOT THE CYBER THREAT: INSPECTION PER LA SICUREZZA INDUSTRIALE”
La presenza poi di esponenti di rilievo come l’Avvocato Paolo Galdieri esperto di Cyberlaw dal 1990, lo stesso Corrado Giustozzi, Mario Nobile Direttore Generale di AGID, Roberto Rosini Direttore Sistemi Informativi alla Presidenza del Consiglio dei Ministri Dipartimento della Protezione Civile e l’amico David Cenciotti seguitissimo pilota di aviazione militare e tutti gli altri, ha contribuito a valorizzare l’evento agli occhi di questi ragazzi cosi pieni di interesse per il mondo cyber.

Le aziende che ci hanno supportato in questo evento romano, mettendo in campo i loro esperti e le loro figure professionali sono riuscite ad attivare nei ragazzi tutti quei bias cognitivi che spesso i modelli TV o social finiscono per alterare allontanandoli dal mondo cyber, ed invece ho notato l’effetto contrario.

Più domande, curiosità interessi elevati anche su piccole forme di hacking etico.
Workshop “COME HACKERARE UNA WEB APPLICATION”
Non sono mancante poi le domande su come poter aiutare le FF.OO, che i ragazzi mi hanno rivolto.

La presenza della GdF con il Colonello Tolla ed il Tenente Formisano, ha stimolato i ragazzi ad approfondire come possono essere impiegati non solo per i normali servizi ordinari, ma per un più coinvolgente impiego cyber-investigativo contro tutte quelle attività telematiche criminose, che sono presenti nel web.

Questo era il nostro obiettivo e sembra che lo abbiamo raggiunto.

Quando abbiamo iniziato l’avventura di RHC, attirare i giovani per rendere il mondo cyber meno pericoloso, meno oscuro e più utile all’Italia era il nostro obiettivo. E questo resta nel tempo e se volete essere dei nostri, seguiteci.

L'articolo RHC Conference 2024. I giovani in prima fila per un futuro più sicuro e illuminato nel mondo cyber! proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-04-24 09:22:17

ACN presenta la relazione annuale sulla cybersecurity in Italia. Segui la diretta (video)

Presentata oggi la Relazione annuale realizzata dall’Agenzia per la cybersicurezza nazionale, Acn, relativa alle attività svolte nel 2023. La relazione, di 121 pagine, è organizzata in sette sezioni che illustrano il modo in cui l’Agenzia ha operato per il

Cybersecurity & cyberwarfare

2024-04-24 08:41:00

Relazione 2023 dell’ACN: Il resoconto di un anno dell’Agenzia per la Cybersicurezza Nazionale

Poco fa è arrivato in redazione il comunicato stampa dell’ACN riguardo alla presentazione di oggi della Relazione annuale realizzata dall’Agenzia per la cybersicurezza nazionale, Acn, relativa alle attività svolte nel 2023 che pubblichiamo nella sua interezza.

La relazione, di 121 pagine, è organizzata in sette sezioni che illustrano il modo in cui l’Agenzia ha operato per il rafforzamento della resilienza cyber del Paese attraverso la protezione degli asset critici nazionali con un approccio sistemico orientato alla prevenzione, gestione e mitigazione del rischio. Tutto questo, anche mediante il man­tenimento di un quadro normativo aggiornato e coerente, e con misure, strumenti e controlli che possano contribuire a favorire una transizione digitale sicura.

Il primo capitolo, sulla Prevenzione e gestione di eventi e incidenti cyber, raccoglie tutti i numeri del Computer Security Response Team Italia dell’Agenzia: analizza gli eventi cibernetici più rilevanti e mette a fuoco le attività connesse alle tensioni geopolitiche in corso. Questo capitolo presenta un focus sugli interventi di rispristino realizzati dal Csirt a supporto delle vittime degli incidenti di strutture pubbliche e dei soggetti nazionali colpiti da questa peculiare forma di interferenza hacker, con numerosi interventi, 1411 casi trattati, 303 incidenti confermati e oltre 20mila segnalazioni. Una parte è dedicata al tema delle esercitazioni congiunte già realizzate fino alla pianificazione di Cyber Europe 2024 e che coinvolge tutti gli stati membri dell’Unione

Il secondo capitolo è dedicato alla Resilienza delle infrastrutture digitali e alla sicurezza tecnologica con un’analisi dello stato del Perimetro di sicurezza nazionale cibernetica (PSNC) e un focus sull’attuazione della Direttiva NIS 2, fino ai temi della certificazione nel mondo digitale e dello Scrutinio tecnologico per il PSNC con le attività ispettive e di verifica connesse. In questa sezione sono descritti i contributi dell’Agenzia a temi di rilievo quali l’esercizio del Golden Power, la Crittografia e la transizione al Cloud.

Il terzo capitolo riguarda gli Investimenti PNRR per la cybersicurezza: dal potenziamento della resilienza cyber della Pubblica Amministrazione agli avvisi di finanziamento finalizzati. Il focus è dedicato ai Servizi cyber nazionali e alla costruzione di una rete di CSIRT regionali fino allo stato di avanzamento di HyperSoc, dell’infrastruttura di High Performance Computing, e all’uso di strumenti di IA. Anche i laboratori di scrutinio e certificazione tecnologica sono oggetto della relazione: 134 procedimenti CVCN conclusi hanno visto i tecnici dell’Agenzia impegnati nel loro esame.

Nella relazione viene descritto in dettaglio l’Investimento 1.5 “Cybersecurity”, del PNRR, a titolarità DTD e di cui l’Agenzia è Soggetto attuatore, con una dotazione di 623 milio­ni di euro al fine di migliorare le difese del Paese ponendo la cybersicurezza e la resilienza a fondamento della trasformazione digitale sia della PA, che del settore privato.

Il quarto capitolo, sulla Cooperazione Internazionale, ricostruisce le attività svolte in ambito europeo e internazionale curate dal Servizio Strategie e cooperazione dell’ACN. Sono descritti i numerosi incontri con soggetti omologhi e le attività svolte in costante raccordo con il Mini­stero degli affari esteri e della cooperazione internazionale. Tra gli elementi qualificanti delle attività bilaterali e multilaterali uno riguarda la condivisione con la CISA, l’Agenzia cyber degli Stati Uniti, delle valutazioni sul nesso fra Intelligenza Artificiale e cybersicurezza, in linea con l’indirizzo politico del Presidente del Consiglio dei ministri, che ha consentito l’ade­sione dell’ACN al documento sulle “Linee guida per uno sviluppo sicuro dell’Intelligenza Artificiale”, adottato da agenzie di 18 Paesi. Un tema che sarà trattato nell’ambito del tavolo Gruppo di Lavoro G7 sulla Cybersicurezza del 16 maggio prossimo.

Il quinto capitolo, dedicato a Ricerca e innovazione, formazione, consapevolezza, presenta i vari programmi industriali, di investimento e di innovazione realizzati, insieme ai Programmi di sostegno alla ricerca e alle imprese in coerenza con l’Agenda per l’Innovazione e la ricerca. Tra le iniziative si segnala in particolare il Cyber Innovation Network, indispensabile produrre innovazione sicura attraverso il supporto alle start up innovative.

Il sesto capitolo descrive lo stato di attuazione della Strategia Nazionale di cybersicurezza 2022-2026 che evidenza come l’Agenzia abbia svolto nel 2023 un ruolo centrale di indirizzo, coordinamento e monitoraggio nell’attuazione del Piano in raccordo con gli altri soggetti coinvolti con un particolare riferimento all’antici­pazione dell’evo­luzione della mi­naccia cyber, alla gestione di pos­sibili scenari di crisi cibernetiche, al conseguimento dell’autonomia strategica nella dimensione cibernetica e al contrasto della disinformazione online.

Infine, vengono illustrate le attività di formazione, consapevolezza, sviluppo della forza lavoro e capacità nazionali e il potenziamento della capacità dell’Agenzia La nota finale del rapporto riguarda il potenziamento delle risorse umane e strumentali dell’Agenzia, che ha visto raddoppiare la propria consistenza organica.

L'articolo Relazione 2023 dell’ACN: Il resoconto di un anno dell’Agenzia per la Cybersicurezza Nazionale proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-04-24 08:00:34

Flute Now Included on List of Human Interface Devices

For decades now, we’ve been able to quickly and reliably interface musical instruments to computers. These tools have generally made making and recording music much easier, but they’ve also opened up a number of other out-of-the-box ideas we might not otherwise see or even think about. For example, [Joren] recently built a human interface device that lets him control a computer’s cursor using a flute instead of the traditional mouse.

Rather than using a MIDI interface, [Joren] is using an RP2040 chip to listen to the flute, process the audio, and interpret that audio before finally sending relevant commands to control the computer’s mouse pointer. The chip is capable of acting as a mouse on its own, but it did have a problem performing floating point calculations to the audio. This was solved by converting these calculations into much faster fixed point calculations instead. With a processing improvement of around five orders of magnitude, this change allows the small microcontroller to perform all of the audio processing.

[Joren] also built a Chrome browser extension that lets a flute player move a virtual cursor of sorts (not the computer’s actual cursor) from within the browser, allowing those without physical hardware to try out their flute-to-mouse skills. If you prefer your human interface device to be larger, louder, and more trombone-shaped we also have a trombone-based HID for those who play the game Trombone Champ.

Cybersecurity & cyberwarfare

2024-04-24 05:33:25

Informare gli interessati è una misura di mitigazione per ogni data breach.

Nel caso di una violazione di sicurezza da cui possa derivare una compromissione dei dati personali (sì, questa è la definizione di data breach), informare gli interessati è una misura di mitigazione sempre efficace. Nell’ipotesi più comune delle organizzazione colpite da un attacco informatico, fra l’altro, una parte degli interessati coincide con il personale che opera sui dati e dunque una corretta informazione circa l’accaduto consente di svolgere un intervento di di sensibilizzazione (che è praticamente come la cyberawareness, ma senza slide prezzolate e scintillanti) per la diffusione di una cultura di sicurezza condivisa.

Tutto questo non comporta ovviamente la condivisione di informazioni o documenti riservati, bensì una decisione strategica di empowerment: rendere consapevole ogni autorizzato all’accesso ai dati di almeno tre cose. La prima: non sottovalutare mai le minacce, ritenendo che la propria organizzazione ne sia immune o al di fuori. La seconda: le conseguenze a cui conducono delle vulnerabilità irrisolte. La terza: la portata delle misure di mitigazione che è possibile predisporre in seguito ad una violazione di sicurezza.

Il contenuto informativo della comunicazione per il personale interno dovrà dunque essere distinto rispetto a quello destinato a coloro che hanno la sola veste di interessati. Certamente, ci sono degli elementi comuni: ad esempio entrambe le comunicazioni devono avere un punto di contatto da indicare per richiedere maggiori informazioni o chiarimenti a riguardo o inviare segnalazioni, nonché chiarire l’accaduto. Il personale interno dovrà essere destinatario, se del caso, di istruzioni di sicurezza aggiuntive e della timeline per la gestione dell’incidente (ad es. gli step di ripristino operativo).

Se l’organizzazione ha designato il DPO, è bene non solo comunicare il contatto ma anche chiarire la sua funzione e la riservatezza professionale cui è tenuto nello svolgimento dei suoi compiti in modo tale da poter agevolare così l’invio di feedback e segnalazioni.

Per quanto riguarda i tempi di comunicazione, certamente un’informazione tempestiva rende più efficaci gli effetti di mitigazione ma sacrificare completezza per celerità non è affatto una buona idea in quanto comporta il rischio di ingenerare confusione.

Quando la comunicazione agli interessati è obbligatoria da GDPR.

In caso di un data breach che esponga gli interessati ad un alto rischio, è proprio la norma che richiede che la violazione vada comunicata all’interessato. Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo.

art. 34 par. 1 GDPR

Sebbene la norma non indichi – al contrario di quanto avviene per la notifica all’autorità di controllo prescritta dal precedente art. 33 GDPR – un termine esatto, questo adempimento deve comunque seguire logiche di efficace tutela degli interessati coinvolti. Ragionando in modo sistematico si può sostenere che il limite temporale dovrebbe dunque essere entro le 72 ore, dal momento che fra le misure da indicare all’autorità di controllo rientra anche tale comunicazione. Ma ad oggi, tale indicazione non è ancora stata fornita. Nonostante copiosi esempi di data breach in cui la comunicazione è stata intempestiva, incompleta o ben lungi dall’essere poco chiara, completa e comprensibile.

Il contenuto della comunicazione viene inoltre già definito dalla legge, ma allo stesso possono essere ovviamente aggiunte informazioni ulteriori. Anzi: devono. Altrimenti la tutela dell’interessato proprio nel momento più critico ed emergenziale rischia di diventare un mero adempimento burocratico. Con tutte le conseguenze del caso, fra cui la più eclatante è impedirgli di poter svolgere in autonomia una valutazione dei rischi e adottare ogni misura utile per tutelarsi dalle conseguenze negative dell’evento occorso.

L'articolo Informare gli interessati è una misura di mitigazione per ogni data breach. proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-04-24 05:39:52

Il modello SASE indirizza le criticità affrontate dalle aziende

A cura di Aldo Di Mattia, Senior Manager Systems Engineering Public Administration Italy di Fortinet

Negli ultimi anni il concetto di hybrid workforce si sta affermando come la modalità di lavoro più efficace e congeniale per le aziende. Di fatto, però, la flessibilità del “work-from-anywhere”, che consente di usufruire di tutte le funzioni aziendali indipendentemente da dove ci si trovi, in maniera trasparente e senza limitazioni, ha ampliato in modo significativo la superficie di attacco a cui un’azienda si espone, e quindi i rischi relativi alla sicurezza.

Parallelamente, la trasformazione digitale ha modificato in maniera rilevante il modello di definizione ed erogazione dei servizi infrastrutturali, in particolare, il luogo in cui risiedono le applicazioni aziendali, con un’adozione sempre più significativa delle soluzioni cloud nei vari modelli: IaaS, PaaS, SaaS (Infrastructure/Platform/Software as a Service).

La presenza e la distribuzione dei servizi aziendali su infrastrutture diverse ed eterogenee tra loro, tuttavia, richiedono una completa rivoluzione del tradizionale modello di sicurezza: non è più sufficiente proteggere solo l’accesso al proprio data center, ma è anche necessario ampliare il perimetro di sicurezza alle infrastrutture di private cloud, public cloud e ai servizi SaaS, garantendone la consistenza, sia in termini di protezione che di accesso tra i vari ambienti.

D’altra parte, la forte distribuzione e diversificazione degli scenari di accesso e delle soluzioni infrastrutturali rende difficile applicare in modo coerente le politiche di sicurezza corrette in maniera trasversale, garantendo, allo stesso tempo, un’esperienza di lavoro ottimale per gli utenti. Le soluzioni presenti, pensate in passato per coprire degli scenari puntuali, non riescono a indirizzare tutte le attuali esigenze. Questa rappresenta oggi una delle principali sfide per le aziende, le quali faticano nel fornire un approccio di sicurezza distribuito e coerente sulle varie infrastrutture. La causa principale è dovuta al fatto che tali evoluzioni aziendali sono avvenute repentinamente, senza una vera e propria crescita organica, che ha abbassato il livello di sicurezza.

Per indirizzare tutte queste criticità è stato definito il modello SASE (Secure Access Service Edge). Alla base di questo c’è l’integrazione dei servizi di networking e security, orchestrati adeguatamente per ottenere la massima efficacia in termini di protezione delle infrastrutture eterogenee e per fornire la miglior user experience agli utenti in qualsiasi scenario di lavoro. Il SASE integra fondamentalmente due componenti: SD-WAN e SSE (Security Service Edge). La componente SSE è basata su un framework che al suo interno ingloba diversi servizi e funzionalità, tra i quali, principalmente FWaaS, CASB, ZTNA, SWG. A queste si aggiungono le funzionalità di monitoraggio, sicurezza avanzata e analisi basata su AI, intelligence oltre che sui servizi di sicurezza, quali Digital Experience Monitoring (DEM), Sandboxing, Digital Risk Protection, Incident Response, Security Operation Center as a Service, etc.

Per gestire una gamma di servizi così ampia è richiesta una correlazione ottimale di tutte le informazioni e gli eventi in rete. Da qui la necessità di virare verso un modello SASE di tipo “single-vendor”, dove tutte le funzionalità e i servizi possono sfruttare un layer di orchestrazione unico. Ciò semplifica la gestione e la configurazione, consentendo inoltre di correlare tutti gli eventi di sicurezza catturati sia a livello utente che infrastrutturale, attraverso l’esecuzione di meccanismi di ML e AI.

Oltre a ottenere una convergenza completa tra networking e sicurezza in una soluzione integrata (che include anche strumenti di DEM), le soluzioni SASE single-vendor “unificate” aggiungono analisi di sicurezza avanzata AI-based, sicurezza applicativa (WAF) e, soprattutto, un agent unificato per il controllo dei dispositivi (EDR-XDR-EPP), oltre a tutti i servizi e le funzionalità già citate.

L’implementazione SASE permette una protezione dell’accesso alla rete Internet, garantendo all’utente remoto la stessa security posture presente in azienda. Inoltre, utilizzando un approccio ZTNA, le organizzazioni possono garantire un accesso granulare e puntuale alle applicazioni fornendo un continuo controllo dello stato di sicurezza del dispositivo. Allo stesso tempo, è necessaria un’integrazione nativa e trasparente con le reti SD-WAN, per trovare automaticamente il percorso più breve verso le applicazioni aziendali supportate. Nel modello SASE, infatti, la componente SD-WAN gioca un ruolo fondamentale per garantire la migliore esperienza utente, riducendo al minimo latenze e jitter, e sfruttando al meglio la banda disponibile nelle varie sedi.

Sebbene il paradigma del SASE stia diventando sempre più un modello di riferimento, esso tuttavia, rappresenta una soluzione che indirizza requisiti ben specifici e si rivolge esclusivamente ad ambienti in cui la migrazione infrastrutturale verso il mondo cloud è ben avviata. Solo in questi casi, infatti, spostare il punto di enforcement della sicurezza all’interno del cloud può generare un vantaggio reale.

L'articolo Il modello SASE indirizza le criticità affrontate dalle aziende proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-04-24 06:16:08

Attenzione professionisti IT: Nuova backdoor MadMxShell minaccia la sicurezza online

Il 17 aprile, i ricercatori di Zscaler hanno scoperto una campagna di distribuzione di software dannoso rivolta ai professionisti IT. Questa campagna utilizza pubblicità ingannevoli per popolari utility online per introdurre una nuova backdoor chiamata MadMxShell.

La campagna è iniziata nel marzo di quest’anno, quando gli aggressori hanno registrato domini molto simili ai siti ufficiali di un noto software di scansione degli indirizzi IP e di amministrazione di rete. Tra i nomi imitati figurano programmi famosi come Advanced IP Scanner e Angry IP Scanner. Questa tecnica, nota come “Typosquatting“, aumenta la probabilità che i professionisti IT facciano erroneamente clic su un collegamento dannoso.

Facendo clic su tale annuncio, l’utente viene indirizzato a una pagina mascherata da sito Web ufficiale dello sviluppatore, dove viene offerto di scaricare un file contenente la backdoor MadMxShell.

MadMxShell utilizza un processo complesso in più fasi per la distribuzione, che evita il rilevamento da parte degli strumenti di sicurezza standard. Il bootstrap avviene tramite la tecnica del sideloading DLL , in cui un programma legittimo carica una DLL dannosa. E a sua volta scarica componenti aggiuntivi che stabiliscono la comunicazione con il server di controllo degli aggressori.

Uno degli aspetti più preoccupanti di MadMxShell è l’utilizzo di query DNS MX per comunicare con il server di gestione. Questa tecnica utilizza il protocollo DNS standard in modo non standard, rendendo difficile il monitoraggio delle attività dannose. Inoltre, MadMxShell utilizza tecniche di analisi anti-memoria, il che rende difficile per i ricercatori di sicurezza capire come funziona.

Jason Soroko, vicepresidente senior del prodotto presso Sectigo, ha osservato che gli aggressori utilizzano tecniche che bloccano lo scambio di memoria a fini di analisi, il che complica il lavoro degli strumenti di protezione degli endpoint.

Per ridurre al minimo i rischi, diffidare della pubblicità non autorizzata, abilitare i blocchi pop-up, mantenere un software di sicurezza efficace e formare i dipendenti affinché siano consapevoli dei pericoli associati alla pubblicità dannosa e all’ingegneria sociale.

L'articolo Attenzione professionisti IT: Nuova backdoor MadMxShell minaccia la sicurezza online proviene da il blog della sicurezza informatica.

The Pirate Post

2024-04-24 05:00:27

European AI Roundtable [Advocacy Lab Content]

In 27 March 2024, the Computer & Communications Industry Association (CCIA Europe) hosted the inaugural edition of the European AI Roundtable in Brussels.

---

https://www.euractiv.com/section/artificial-intelligence/video/european-ai-roundtable/

Cybersecurity & cyberwarfare

2024-04-24 05:00:02

No Active Components in This Mysterious Audio Oscillator

What’s the simplest audio frequency oscillator you can imagine? There’s the 555, of course, and we can think of a few designs using just two transistors or even a few with just one. But how about an oscillator with no active components? Now there’s a neat trick.

Replicating [Stelian]’s “simplest audio oscillator on the Internet” might take some doing on your part, since it relies on finding an old telephone. Like, really old — you’ll need one with the carbon granule cartridge in the handset, along with the speaker. Other than that, all you’ll need is a couple of 1.5-volt batteries, wiring everything in one big series loop, and placing the microphone and speaker right on top of each other. Apply power and you’re off to the races. [Stelian]’s specific setup yielded a 2.4-kHz tone that could be altered a bit by repositioning the speaker relative to the mic. On the oscilloscope, the waveform is a pretty heavily distorted sine wave.

It’s a bit of a mystery to [Stelian] as to how this works without something to provide at least a little gain. Perhaps the enclosure of the speaker or the mic has a paraboloid shape that amplifies the sound just enough to kick things off? Bah, who knows? Let the hand-waving begin!

https://www.youtube.com/embed/MssPu3M-WEQ?feature=oembed

Cybersecurity & cyberwarfare

2024-04-24 02:00:27

New JEDEC DDR5 Memory Specification: Up To 8800 MT/s, Anti-Rowhammer Features

“Row hammer” by https://hackaday.comDsimic – Own work. Licensed under CC BY-SA 4.0 via Wikimedia Commons.
As DDR SDRAM increases in density and speed, so too do new challenges and opportunities appear. In the recent DDR5 update by JEDEC – as reported by Anandtech – we see not only a big speed increase from the previous maximum of 6800 Mbps to 8800 Mbps, but also the deprecation of Partial Array Self Refresh (PASR) due to security concerns, and the introduction of Per-Row Activation Counting (PRAC), which should help with row hammer-related (security) implications.

Increasing transfer speeds is primarily a matter of timings within the limits set by the overall design of DDR5, while the changes to features like PASR and PRAC are more fundamental. PASR is mostly a power-saving feature, but can apparently be abused for nefarious means, which is why it’s now gone. As for PRAC, this directly addresses the issue of row hammer attacks. Back in the 2014-era of DDR3, row hammer was mostly regarded as a way to corrupt data in RAM, but later it was found to be also a way to compromise security and effect exploits like privilege escalation.

The way PRAC seeks to prevent this is by keeping track of how often a row is being accessed, with a certain limit after which neighboring memory cells get a chance to recover from the bleed-over that is at the core of row hammer attacks. All of which means that theoretically new DDR5 RAM and memory controllers should be even faster and more secure, which is good news all around.

Cybersecurity & cyberwarfare

2024-04-23 23:00:43

FLOSS Weekly Episode 780: Zoneminder — Better Call Randal

This week Jonathan Bennett and Aaron Newcomb chat with Isaac Connor about Zoneminder! That’s the project that’s working to store and deliver all the bits from security cameras — but the CCTV world has changed a lot since Zoneminder first started, over 20 years ago. The project is working hard to keep up, with machine learning object detection, WebRTC, and more. Isaac talks a bit about developer burnout, and a case or two over the years where an aggressive contributor seems suspicious in retrospect. And when is the next stable version of Zoneminder coming out, anyway?

Did you know you can watch the live recording of the show right in the Hackaday Discord? Have someone you’d like use to interview? Let us know, or contact the guest and have them contact us! Next week we’re taping the show on Tuesday, and looking for a guest!

https://play.libsyn.com/embed/episode/id/30958173/height/192/theme/modern/size/large/thumbnail/yes/custom-color/fcab1c/time-start/00:00:00/hide-playlist/yes/download/yes/font-color/271b04

Direct Download in DRM-free MP3.

If you’d rather read along, here’s the transcript for this week’s episode.

Places to follow the FLOSS Weekly Podcast:

• Spotify
• RSS

Cybersecurity & cyberwarfare

2024-04-23 20:00:50

80s Function Generator is Both Beauty and Beast

You know how the saying goes — they don’t make them like this anymore. It’s arguably true of pretty much any electronic device given the way technology changes over time, though whether or not it’s objectively a bad thing is going to vary from case to case.

As a practical example, take a look at the insides of this 80’s vintage HP 3314A function generator shared on the EEV Blog Forum by [D Straney].
Hinged PCBs allow for easy access
With multiple PCBs stacked on top of each other, it’s hard to imagine that more components could possibly be crammed into it. One board in particular appears to be an entire Motorola 6800 computer, something which today would likely be replaced with a single microcontroller.

Which is actually why [D Straney] shared this with us in the first place. After seeing our recent post about a modern waveform generator that’s basically an empty box thanks to its modern components, they thought this would be a nice example of the opposite extreme.

So, is it a good or a bad thing that test equipment isn’t made this way anymore? Well, it’s hard to argue with the improved capabilities, smaller footprint, and reduced cost of most modern gear. But damn is the inside of this HP 3314A gorgeous. As one of the commenters on the page put it, hardware from this era was really a work of art.

Cybersecurity & cyberwarfare

2024-04-23 17:00:00

Amazon Ends California Drone Deliveries While Expanding to Arizona

The outgoing MK27 drone used by Amazon today for deliveries. (Credit: Amazon)
When Amazon started its Prime Air drone delivery service in 2022, it had picked College Station (Texas) and Lockeford (California) as its the first areas where the service would be offered. Two years later, Amazon has now announced that it will be expanding to the West Valley of the Phoenix Metro area in Arizona from a new Tolleson center, while casually mentioning buried in the press release that the Lockeford area will no longer be serviced. No reason for this closure was provided, but as a quite experimental service drastic shifts can be expected as Amazon figures out what does and does not work.

Amazon Prime Air features custom drones that can transport packages up to 5 lbs (~2.27 kg) to its destination within an hour, if the item is listed as Prime Air capable for your area. Along with the change in service areas, Amazon is also testing its new MK30 drone (pictured, top), which should be much quieter due to a new propeller design and have twice the range of the old MK27 as well.

Even if flying drone delivery isn’t quite a blow-away success yet, Amazon doesn’t seem to be letting up on investing in it, and it could be argued that for certain items like medication or perishables, it does make a certain sense over traditional delivery and pick-up methods.

Cybersecurity & cyberwarfare

2024-04-23 16:43:31

250.000 siti WordPress a rischio compromissione. Aggiornate il plugin Forminator

Gli esperti JPCERT mettono in guardia su una serie di vulnerabilità critiche nel plugin Forminator per WordPress, sviluppato da WPMU DEV. Il plugin viene utilizzato su più di 500.000 siti e offre la possibilità di creare vari moduli senza troppe conoscenze di programmazione.

Di particolare preoccupazione è la vulnerabilità identificata da CVE-2024-28890 (punteggio CVSS: 9,8), che consente agli aggressori di caricare in remoto codice dannoso sui siti che utilizzano questo plugin. Ciò può portare alla fuga di informazioni riservate, alla modifica del contenuto del sito e persino alla completa negazione del servizio.

Inoltre, JPCERT segnala altri problemi di sicurezza, tra cui una vulnerabilità di tipo SQL injection ( CVE-2024-31077 con un punteggio di 7,2) e una vulnerabilità di cross-site scripting ( CVE-2024-31857 con un punteggio di 6,1). Tutti questi difetti consentono agli aggressori remoti di ottenere e modificare le informazioni dell’utente, oltre a causare guasti al sito.

Al momento sono già stati registrati attacchi che utilizzano la vulnerabilità CVE-2024-28890. Inoltre, le statistiche di WordPress.org mostrano che ora ci sono più di 500.000 installazioni attive del plugin, ma solo il 55,9% di esse è ora aggiornato alla versione 1.29, che risolve le vulnerabilità identificate. Cioè, circa 220mila siti rimangono ancora vulnerabili agli attacchi.

Gli sviluppatori consigliano agli amministratori del sito di aggiornare il plug-in all’ultima versione il prima possibile per proteggere le proprie risorse da possibili attacchi informatici.

È interessante notare che alla fine di agosto dello scorso anno il plugin Forminator è stato affetto dalla vulnerabilità CVE-2023-4596, che consentiva agli aggressori non autorizzati di caricare file dannosi su siti vulnerabili. Ora, 8 mesi dopo, la situazione si è ripetuta nuovamente.

L'articolo 250.000 siti WordPress a rischio compromissione. Aggiornate il plugin Forminator proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-04-23 15:30:12

An Elbow Joint That Can

We’re not certain whether [Paul Gould]’s kid’s prosthetic elbow joint is intended for use by a real kid or is part of a robotics project — but it caught our eye for the way it packs the guts of a beefy-looking motorized joint into such a small space.

At its heart is a cycloidal gearbox, in which the three small shafts which drive the center gear are driven by a toothed belt. The motive power comes from a brushless motor, which is what gives the build that impressive small size. He’s posted a YouTube short showing its internals and it doing a small amount of weight lifting, so it evidently has some pulling power.

If you’re interested in working with this design, it can be downloaded for 3D printing from Thingiverse. We think it could find an application in plenty of other projects, and we’d be interested to see what people do with it. There’s certainly a comparison to be maid over robotic joints which use wires for actuation.

https://www.youtube.com/embed/uMnrzvIZLBU?feature=oembed

Cybersecurity & cyberwarfare

2024-04-23 14:14:21

EU Parliament ratifies Right to Repair Directive

Members of the European Parliament (MEPs) voted in favour of the Right to Repair Directive on Tuesday (23 April), aimed at improving consumer access to repair services in order to reduce waste.

---

https://www.euractiv.com/section/digital/news/eu-parliament-ratifies-right-to-repair-directive/

Cybersecurity & cyberwarfare

2024-04-23 14:00:37

Programming Ada: First Steps on the Desktop

Who doesn’t want to use a programming language that is designed to be reliable, straightforward to learn and also happens to be certified for everything from avionics to rockets and ICBMs? Despite Ada’s strong roots and impressive legacy, it has the reputation among the average hobbyist of being ‘complicated’ and ‘obscure’, yet this couldn’t be further from the truth, as previously explained. In fact, anyone who has some or even no programming experience can learn Ada, as the very premise of Ada is that it removes complexity and ambiguity from programming.

In this first part of a series, we will be looking at getting up and running with a basic desktop development environment on Windows and Linux, and run through some Ada code that gets one familiarized with the syntax and basic principles of the Ada syntax. As for the used Ada version, we will be targeting Ada 2012, as the newer Ada 2022 standard was only just approved in 2023 and doesn’t change anything significant for our purposes.

Toolchain Things

The go-to Ada toolchain for those who aren’t into shelling out big amounts of money for proprietary, certified and very expensive Ada toolchains is GNAT, which at one point in time stood for the GNU NYU Ada Translator. This was the result of the United States Air Force awarding the New York University (NYU) a contract in 1992 for a free Ada compiler. The result of this was the GNAT toolchain, which per the stipulations in the contract would be licensed under the GNU GPL and its copyright assigned to the Free Software Foundation. The commercially supported (by AdaCore) version of GNAT is called GNAT Pro.

Obtaining a copy of GNAT is very easy if you’re on a common Linux distro, with the package gnat for Debian-based distros and gcc-ada if you’re Arch-based. For Windows you can either download the AdaCore GNAT Community Edition, or if you use MSYS2, you can use its package manager to install the mingw-w64-ucrt-x86_64-gcc-ada package for e.g. the new ucrt64 environment. My personal preference on Windows is the MSYS2 method, as this also provides a Unix-style shell and tools, making cross-platform development that much easier. This is also the environment that will be assumed throughout the article.

Hello Ada

The most important part of any application is its entry point, as this determines where the execution starts. Most languages have some kind of fixed name for this, such as main, but in Ada you are free to name the entry point whatever you want, e.g.:
with Ada.Text_IO;
procedure Greet is
begin
-- Print "Hello, World!" to the screen
Ada.Text_IO.Put_Line ("Hello, World!");
end Greet;
Here the entry point is the Greet procedure, because it’s the only procedure or function in the code. The difference between a procedure and a function is that only the latter returns a value, while the former returns nothing (similar to void in C and C++). Comments start with two dashes, and packages are imported using the with statement. In this case we want the Ada.Text_IO package, as it contains the standard output routines like Put_Line. Note that since Ada is case-insensitive, we can type all of those names in lower-case as well.

Also noticeable might be the avoidance of any symbols where an English word can be used, such as the use of is, begin and end rather than curly brackets. When closing a block with end, this is post-fixed with the name of the function or procedure, or the control structure that’s being closed (e.g. an if/else block or loop). This will be expanded upon later in the series. Finally, much like in C and C++ lines end with a semicolon.

For a reference of the syntax and much more, AdaCore has an online reference as well as a number of freely downloadable books, which include a comparison with Java and C++. The Ada Language Reference Manual (LRM) is also freely available.

Compile And Run

To compile the simple sample code above, we need to get it into a source file, which we’ll call greet.adb. The standard extensions with the GNAT toolchain are .adb for the implementation (body) and .ads for the specification (somewhat like a C++ header file). It’s good practice to use the same file name as the main package or entry point name (unit name) for the file name. It will work if not matched, but you will get a warning depending on the toolchain configuration.

Unlike in C and C++, Ada code isn’t just compiled and linked, but also has an intermediate binding step, because the toolchain fully determines the packages, dependencies, and other elements within the project before assembling the compiled code into a binary.

An important factor here is also that Ada does not work with a preprocessor, and specification files aren’t copied into the file which references them with a with statement, but only takes note of the dependency during compilation. A nice benefit of this is that include guards are not necessary, and headaches with linking such as link order of objects and libraries are virtually eliminated. This does however come at the cost of dealing with the binder.

Although GNAT comes with individual tools for each of these steps, the gnatmake tool allows the developer to handle all of these steps in one go. Although some prefer to use the AdaCore-developed gprbuild, we will not be using this as it adds complexity that is rarely helpful. To use gnatmate to compile the example code, we use a Makefile which produces the following output:
mkdir -p bin
mkdir -p obj
gnatmake -o bin/hello_world greet.adb -D obj/
gcc -c -o obj\greet.o greet.adb
gnatbind -aOobj -x obj\greet.ali
gnatlink obj\greet.ali -o bin/hello_world.exe
Although we just called gnatmake, the compilation, binding and linking steps were all executed subsequently, resulting in our extremely sophisticated Hello World application.

For reference, the Makefile used with the example is the following:
GNATMAKE = gnatmake
MAKEDIR = mkdir -p
RM = rm -f

BIN_OUTPUT := hello_world
ADAFLAGS := -D obj/

SOURCES := greet.adb

all: makedir build

build:
$(GNATMAKE) -o bin/$(BIN_OUTPUT) $(SOURCES) $(ADAFLAGS)

makedir:
$(MAKEDIR) bin
$(MAKEDIR) obj

clean:
rm -rf obj/
rm -rf bin/

.PHONY: test src

Next Steps

Great, so now you have a working development environment for Ada with which you can build and run any code that you write. Naturally, the topic of code editors and IDEs is one can of flamewar that I won’t be cracking open here. As mentioned in my 2019 article, you can use AdaCore’s GNAT Programming Studio (GPS) for an integrated development environment experience, if that is your jam.

My own development environment is a loose constellation of Notepad++ on Windows, and Vim on Windows and elsewhere, with Bash and similar shells the environment for running the Ada toolchain in. If there is enough interest I’d be more than happy to take a look at other development environments as well in upcoming articles, so feel free to sound off in the comments.

For the next article I’ll be taking a more in-depth look at what it takes to write an Ada application that actually does something useful, using the preparatory steps of this article.

Cybersecurity & cyberwarfare

2024-04-23 14:07:47

Hacker di Anonymous attaccano le Forze di Difesa Israeliane: 233.000 documenti militari compromessi

A seguito di un sospetto attacco informatico da parte di un gruppo di hacker associato al collettivo Anonymous, le Forze di difesa israeliane (IDF) si trovano ad affrontare accuse secondo cui dati sensibili sono stati compromessi.

Secondo gli hacker hanno avuto accesso a 20 gigabyte di informazioni, tra cui più di 233.000 documenti militari in vari formati, tra cui file PDF, documenti Word e presentazioni.

Il Dipartimento della Difesa, al contrario, nega l’hacking e sottolinea che i loro sistemi informatici sono sicuri a più livelli e difficilmente sono stati compromessi direttamente. E se è avvenuto qualche tipo di hacking, molto probabilmente si è trattato di sistemi civili.

Gli hacker hanno pubblicato un video che mostra frammenti apparentemente reali di presentazioni dell’IDF, ma l’agenzia lo vede come un possibile elemento di guerra psicologica, mettendo in dubbio l’autenticità dei materiali.

All’inizio di questo mese, lo stesso gruppo avrebbe effettuato un attacco informatico all’infrastruttura informatica del Ministero della Giustizia israeliano, sostenendo che i membri del gruppo sarebbero riusciti a penetrare nei sistemi di sicurezza del dipartimento e a scaricare più di 300 gigabyte di dati. Secondo gli hacker, i dati contengono 8 milioni di file, comprese informazioni personali sensibili.

Le motivazioni del gruppo rimangono poco chiare, ma alcuni dei suoi membri hanno espresso sentimenti anti-israeliani, che potrebbero collegare l’attacco a un programma geopolitico più ampio.

Può anche darsi che non ci sia stata davvero alcuna compromissione. Abbiamo già visto una strategia simile il mese scorso con il gruppo Mogilevich, che ha semplicemente diffuso una serie di voci secondo cui avrebbe presumibilmente violato diverse grandi aziende.

Secondo il Jerusalem Post, l’agenzia informatica nazionale aveva precedentemente lanciato un avvertimento riguardo a un’ondata di attacchi informatici post-Ramadan contro l’infrastruttura online israeliana, inclusi siti Web, sistemi digitali e fughe di dati sensibili. Inoltre, gli hacker possono utilizzare programmi di sorveglianza e tentare di accedere illegalmente a sistemi a scopo di spionaggio o sabotaggio.

L'articolo Hacker di Anonymous attaccano le Forze di Difesa Israeliane: 233.000 documenti militari compromessi proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-04-23 11:02:16

EU Parliament overwhelmingly approves key telecoms regulation: price reductions down the road

The European Parliament approved on Tuesday (23 April) the EU’s broadband act, the Gigabit Infrastructure Act (GIA), which aims to accelerate the deployment of high-capacity networks and reduce prices for consumers

---

https://www.euractiv.com/section/digital/news/eu-parliament-overwhelmingly-approves-key-telecoms-regulation-price-reductions-down-the-road/

Cybersecurity & cyberwarfare

2024-04-23 11:30:49

Emails reveal how Bolt tried to shape Estonia’s opposition to gig work directive

In October 2023, mobility company Bolt, headquartered in Estonia, offered to draft a letter on behalf of the Estonian government to push back against the platform work directive — liaising directly with a government official who is a former Bolt employee.

---

https://www.euractiv.com/section/gig-economy/news/emails-reveals-how-bolt-tried-to-shape-estonias-position-on-gig-work-directive/

Cybersecurity & cyberwarfare

2024-04-23 11:00:16

Your Smart TV Does 4K, Surround Sound, Denial-of-service…

Any reader who has bought a TV in recent years will know that it’s now almost impossible to buy one that’s just a TV. Instead they are all “smart” TVs, with an on-board computer running a custom OS with a pile of streaming apps installed. It fits an age in which linear broadcast TV is looking increasingly archaic, but it brings with it a host of new challenges.

Normally you’d expect us to launch into a story of privacy invasion from a TV manufacturer at this point, but instead we’ve got [Priscilla]’s experience, in which her HiSense Android TV executed a denial of service on the computers on her network.

The root of the problem appears to be the TV running continuous network discovery attempts using random UUIDs, which when happening every few minutes for a year or more, overloads the key caches on other networked machines. The PC which brought the problem to light was a Windows machine, which leaves us sincerely hoping that our Linux boxen might be immune.

It’s fair to place this story more under the heading of bugs than of malicious intent, but even so it’s something that should never have made it to production. The linked story advises nobody to buy a HiSense TV, but to that we’d have to doubt that other manufactures wouldn’t be similarly affected.

Header: William Hook, CC-BY-SA 2.0.

Thanks [Concretedog] for the tip.

Cybersecurity & cyberwarfare

2024-04-23 09:56:07

Minacce nell’era digitale: Analisi degli attacchi ‘Man in the Middle’ e ‘Adversary in the Middle’

In un’era di crittografia avanzata, che rende le tecniche tradizionali di intercettazione meno efficaci, i cyberattacchi si evolvono diventando sempre più sofisticati e insidiosi. Tra questi, due varianti particolarmente preoccupanti per le transazioni finanziarie nel settore commerciale sono il noto attacco “Man in the Middle” (MitM), e l’ “Adversary in the Middle” (AiTM), una minaccia ancora più avanzata che utilizza tecniche di phishing o malware per compromettere la comunicazione, spesso attraverso l’uso di proxy indiretti.

Come funzionano i più recenti attacchi Man in the Middle

Questa minaccia inizia con un’operazione di spear phishing mirata o con l’exploit di una vulnerabilità del software all’interno di un sistema di posta elettronica aziendale. Una volta ottenuto l’accesso, un attaccante malintenzionato utilizza tecniche avanzate per eludere i filtri antispam e antimalware, inserendo regole di inoltro clandestine o creando regole automatizzate che reindirizzano le comunicazioni aziendali rilevanti ai server controllati dall’utente malintenzionato.

La fase critica di questo schema si verifica quando sono coinvolte transazioni finanziarie. Gli aggressori, ora in possesso di informazioni aziendali sensibili, possono creare una documentazione falsa che è quasi indistinguibile da quella autentica. Modificano l’IBAN nei dettagli di pagamento o nelle fatture, dirottando così i fondi aziendali sui loro conti.

Gli attacchi AiTM con proxy indiretto: una minaccia silenziosa ma devastante

Al centro di questa nuova ondata di truffe digitali vi è la capacità dei cybercriminali di bypassare l’autenticazione a due fattori (2FA), specialmente quelle basate su SMS o OTP. Tramite l’uso di sofisticati kit di phishing disponibili su piattaforme di phishing-as-a-service (PhaaS), i truffatori hanno perfezionato l’arte di orchestrare attacchi mirati con precisione chirurgica. Questi attacchi, utilizzando la tecnica nota come Adversary-in-the-Middle con proxy indiretto, riescono a intercettare credenziali di accesso e token 2FA, vanificando di fatto le misure di sicurezza predisposte per proteggere gli account.

L’attacco ha inizio con l’invio di email fraudolente che mimano la provenienza da entità affidabili, in questo caso il servizio di assistenza di un gestore di posta elettronica indirizzando le vittime verso link malevoli. Questi ultimi conducono a pagine di phishing che replicano con estrema fedeltà le interfacce di login ufficiali del gestore della mail. Gli utenti, credendo di accedere ai propri account, inseriscono le loro credenziali e il codice 2FA, consegnando involontariamente ai truffatori il pieno controllo sui loro account.

Gli aggressori spesso ospitano i siti truffaldini su servizi cloud per la loro affidabilità e scalabilità. Strategie come l’uso di Fast Flux networks (che nascondono l’indirizzo IP di un server dietro a una rete di host veloci e in continua modifica) o Domain Generation Algorithms (DGA, che generano automaticamente un gran numero di nomi di dominio), complicano il rilevamento e la chiusura di questi siti da parte delle autorità.

Il ruolo dei cookie di sessione

I cookie di sessione sono piccoli file di testo che un sito web invia al browser dell’utente. Questi file sono fondamentali per mantenere uno stato tra le pagine e le visite successive. In una sessione di navigazione normale, i cookie memorizzano informazioni utili come preferenze dell’utente o dettagli di autenticazione, consentendo agli utenti di navigare senza dover inserire ripetutamente le loro credenziali.

Nel contesto di un attacco AiTM con proxy indiretto, i cookie acquisiscono un’importanza cruciale. Dopo aver ingannato una vittima inducendola a inserire le credenziali in una pagina di phishing, gli attaccanti non solo catturano username e password, ma intercettano anche i cookie di sessione.

Questo consente agli aggressori di mantenere l’accesso al servizio facendosi passare per gli utenti legittimi, agevolando azioni malevole come il furto di dati, l’accesso non autorizzato a risorse sensibili e la manipolazione di transazioni. Tra queste azioni rientra anche il “session hijacking”, un’operazione in cui l’attaccante sfrutta il cookie di sessione rubato per impersonare la vittima.

Misure preventive e buone pratiche

Data la sofisticatezza di questi attacchi, è essenziale adottare misure di difesa altrettanto avanzate:

• Formazione del personale: Educare il personale a riconoscere le tecniche di phishing e le pratiche di sicurezza delle email.
• Controlli di sicurezza a doppio livello: Utilizzare canali di comunicazione secondari per confermare l’autenticità delle richieste prima di effettuare pagamenti o modifiche significative ai dettagli della transazione.
• Audit regolari e monitoraggio continuo: Verificare regolarmente le regole di inoltro e filtraggio delle email per individuare eventuali anomalie.
• Collaborazione con clienti e fornitori: Stabilire protocolli di sicurezza condivisi e standard di verifica con i partner commerciali per creare un ecosistema di sicurezza collettivo.
• Autenticazione avanzata: Utilizzare metodi di MFA più robusti, come le notifiche push o i token hardware (es. FIDO2).
• Monitoraggio del traffico: Analizzare costantemente il traffico di rete per identificare schemi anomali che potrebbero indicare un attacco in corso.
• Aggiornamento continuo dei sistemi.
• Misure preventive per la sicurezza dei cookie:
  
  • Flag Secure: Assicurarsi che i cookie vengano inviati solo su connessioni HTTPS.
  • Flag HttpOnly: Impedire l’accesso ai cookie tramite script lato client per ridurre i rischi di attacchi XSS.
  • Flag SameSite: Limitare l’invio di cookie in richieste cross-origin per prevenire attacchi.
  • Politiche di scadenza dei cookie: Definire scadenze appropriate per i cookie, limitando il tempo durante il quale sono validi e riducendo così la finestra di opportunità per gli attacchi.

  
  

Conclusione

Le implicazioni di tali attacchi vanno oltre la semplice perdita finanziaria. Possono compromettere relazioni commerciali di lunga data, danneggiare la reputazione e causare interruzioni significative nella catena di approvvigionamento. Ecco perché è fondamentale non solo rilevare, ma anche prevenire attivamente questi attacchi. Gli attacchi “Man in the Middle” e “Adversary in the Middle” con proxy indiretto rappresentano minacce significative che sfruttano le vulnerabilità sia umane che tecnologiche per compromettere dati sensibili e dirottare fondi. Questi attacchi, che eludono le misure di sicurezza tradizionali e avanzate, come l’autenticazione multi-fattore, richiedono una risposta coordinata che combini tecnologie all’avanguardia, rigorose politiche di sicurezza e un impegno continuo nella formazione degli utenti. Solo attraverso la vigilanza, l’innovazione costante in tecniche di difesa e la collaborazione tra le organizzazioni si può sperare di mitigare il rischio di queste sofisticate minacce informatiche, proteggendo così l’integrità finanziaria e la fiducia dei clienti nelle istituzioni finanziarie.

L'articolo Minacce nell’era digitale: Analisi degli attacchi ‘Man in the Middle’ e ‘Adversary in the Middle’ proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-04-23 08:41:39

Il gruppo APT29 colpisce Windows con un malware backdoor attraverso lo spooler di stampa

Negli ultimi anni, i professionisti della sicurezza hanno osservato un aumento degli attacchi informatici contro organizzazioni nell’Europa orientale e occidentale, nonché nel Nord America. Ciò è dovuto agli hacker del gruppo APT29, che sfruttano attivamente le vulnerabilità dei sistemi di sicurezza.

I ricercatori Microsoft hanno identificato l’utilizzo da parte del gruppo di un nuovo tipo di malware chiamato GooseEgg che utilizza un bug nel componente Spooler di stampa di Windows, che è stato ufficialmente corretto nell’ottobre 2022.

La vulnerabilità, nota come CVE-2022-38028 ha un punteggio CVSS di 7,8 e consente privilegi elevati sul sistema. Utilizzando il malware GooseEgg, gli aggressori lanciano programmi con diritti elevati, il che rende loro più semplice diffondere ulteriormente malware e installare backdoor.

Secondo gli esperti, le azioni di APT29 si concentrano spesso sulla raccolta di informazioni. GooseEgg, sebbene sia una semplice applicazione di avvio, supporta vari comandi per attivare vulnerabilità ed eseguire codice dannoso.

Il gruppo è stato recentemente visto anche sfruttare le vulnerabilità in Microsoft Outlook e WinRAR per l’escalation dei privilegi e l’esecuzione di codice, evidenziando la loro capacità di integrare rapidamente exploit pubblici nelle loro operazioni.

Per proteggersi dagli attacchi APT29, Microsoft consiglia di eliminare la vulnerabilità dello spooler di stampa se ciò non è stato fatto dopo il rilascio della patch, e anche di aumentare attivamente i meccanismi di protezione all’interno dell’organizzazione.

L'articolo Il gruppo APT29 colpisce Windows con un malware backdoor attraverso lo spooler di stampa proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-04-23 08:00:00

Reverse Engineering the Quansheng Hardware

In the world of cheap amateur radio transceivers, the Quansheng UV-K5 can’t be beaten for hackability. But pretty much every hack we’ve seen so far focuses on the firmware. What about the hardware?

To answer that question, [mentalDetector] enlisted the help of a few compatriots and vivisected a UV-K5 to find out what makes it tick. The result is a (nearly) complete hardware description of the radio, including schematics, PCB design files, and 3D renders. The radio was a malfunctioning unit that was donated by collaborator [Manuel], who desoldered all the components and measured which ones he could to determine specific values. The parts that resisted his investigations got bundled up along with the stripped PCB to [mentalDetector], who used a NanoVNA to characterize them as well as possible. Documentation was up to collaborator [Ludwich], who also made tweaks to the schematic as it developed.

PCB reverse engineering was pretty intense. The front and back of the PCB — rev 1.4, for those playing along at home — were carefully photographed before getting the sandpaper treatment to reveal the inner two layers. The result was a series of high-resolution photos that were aligned to show which traces connected to which components or vias, which led to the finished schematics.

There are still a few unknown components, mostly capacitors by the look of it, but the bulk of the work has been done, and hats off to the team for that. This should make hardware hacks on the radio much easier, and we’re looking forward to what’ll come from this effort. If you want to check out some of the firmware exploits that have already been accomplished on this radio, check out the Trojan Pong upgrade, or the possibilities of band expansion. We’ve also seen a mixed hardware-firmware upgrade that really shines.

Cybersecurity & cyberwarfare

2024-04-23 07:59:28

Come le soluzioni EDR possono essere utilizzate dagli hacker come armi

Lo specialista di SafeBreach Shmuel Cohen ha dimostrato che le soluzioni EDR possono essere utilizzate come strumenti di attacco. Durante lo studio, Cohen ha analizzato uno dei sistemi EDR, identificando le vulnerabilità che potrebbero consentire agli hacker di utilizzare tale strumento a scopo dannoso.

I sistemi EDR eseguiti con privilegi elevati sono progettati per proteggere i dispositivi da varie minacce, incluso il malware. Tuttavia, la compromissione di tali sistemi può fornire agli aggressori un accesso persistente e non rilevabile ai dispositivi delle vittime.

Cohen ha scoperto che il comportamento dell’EDR sotto indagine gli consentiva di aggirare la protezione dalla modifica dei file, consentendogli di eseguire software di crittografia ransomware e persino di caricare un driver vulnerabile per impedire la rimozione dell’EDR utilizzando una password di amministratore.

Inoltre, il ricercatore ha trovato un modo per iniettare codice dannoso in uno dei processi EDR, consentendo al codice di essere eseguito con privilegi elevati e di non essere rilevato. Cohen ha anche sfruttato la capacità di modificare i file Lua e Python, rendendo possibile l’esecuzione di codice dannoso e l’accesso alla macchina con i più alti privilegi di sistema.

Usando un driver vulnerabile, Cohen poteva leggere e scrivere nel kernel del sistema, permettendogli di modificare i controlli della password di controllo di EDR per consentire l’uso di qualsiasi password, o addirittura bloccare la disinstallazione del programma se era disconnesso dal server di controllo.

Lo studio evidenzia che gli attacchi alle soluzioni EDR possono fornire agli aggressori potenti funzionalità che probabilmente non verranno rilevate. Cohen osserva che i prodotti di sicurezza devono proteggere attentamente la logica dei processi di rilevamento, crittografare e firmare digitalmente i file di contenuto per impedirne la manomissione. Dovresti anche aggiungere processi agli elenchi consentiti o negati in base a diversi parametri che un utente malintenzionato non dovrebbe essere in grado di modificare.

Palo Alto Networks ha risposto alla scoperta di Cohen aggiornando i propri meccanismi di sicurezza e consigliando agli utenti di assicurarsi che i loro sistemi fossero aggiornati. Cohen ha condiviso la sua ricerca con il pubblico per aumentare la consapevolezza su tali minacce e rafforzare le misure di sicurezza nelle organizzazioni.

L'articolo Come le soluzioni EDR possono essere utilizzate dagli hacker come armi proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-04-23 06:03:34

FISA Emendament Act sezione 702. Gli Stati Uniti continueranno a monitorare il mondo!

Dopo un aspro dibattito durato fino alle prime ore di sabato mattina, il Congresso degli Stati Uniti ha votato per prorogare di due anni la Sezione 702 del Foreign Intelligence Surveillance Act (FISA).

Questo programma consente alle agenzie di intelligence statunitensi di intercettare i dati delle comunicazioni di stranieri all’estero senza mandato, anche se stanno negoziando con cittadini statunitensi.

Il Senato ha approvato la proroga con un margine di 60 voti favorevoli e 34 contrari.

Il leader della maggioranza democratica Chuck Schumer ha definito la mossa necessaria per la sicurezza nazionale. La scorsa settimana anche la Camera dei Rappresentanti ha votato a favore, nonostante l’appello dell’ex presidente Donald Trump sui social media a “seppellire” il disegno di legge.

La legge, approvata per la prima volta nel 2008 e da allora ampliata più volte, consente alla Nationl Security Agency NSA di ottenere dati su individui stranieri all’estero per scopi di intelligence senza un mandato da parte delle società tecnologiche statunitensi. Circa il 3% di queste informazioni viene trasmesso all’FBI.

Naturalmente al programma 702 viene criticato soprattutto il fatto che durante le intercettazioni i messaggi degli americani possono essere intercettati. Ecco perché da anni i sostenitori delle libertà civili di entrambi i partiti chiedono maggiori regolamentazioni.

Alla Camera dei Rappresentanti, con un drammatico voto 212-212, un emendamento che richiedeva un ordine del tribunale per accedere ai dati dei cittadini raccolti nell’ambito del programma 702 è stato respinto. Una proposta simile del senatore Dick Durbin è fallita per uno stretto margine. Altri cinque emendamenti meno ambiziosi sono stati successivamente respinti.

I funzionari dell’intelligence spingono da tempo affinché la legge venga estesa, sostenendo che la sua conclusione metterebbe a rischio molte vite. Il programma ha contribuito a contrastare un attacco terroristico su un sito di infrastrutture critiche lo scorso anno e a scoprire un attacco informatico cinese su un hub di trasporto statunitense, ha affermato il direttore dell’FBI Christopher Wray.

È interessante notare che nel 2022, il tribunale, che sovrintende alle agenzie di intelligence, ha identificato più di 278mila casi in cui l’FBI ha abusato dei termini della legge tra il 2020 e l’inizio del 2021. L’ufficio di presidenza ha chiesto, tra l’altro, dati sugli sponsor del deputato, sui partecipanti all’assalto al Campidoglio del 6 gennaio e sui manifestanti contro l’uccisione di George Floyd. Tuttavia, non c’era motivo di credere che queste informazioni fossero legate ad attività di intelligence.

Ora l’FBI ha rafforzato le sue procedure. Gli analisti devono giustificare in modo indipendente la rilevanza delle domande e gli avvocati devono approvare le ricerche di massa di ampi gruppi di persone. Tuttavia, la nuova edizione del documento ha ampliato la gamma delle aziende tenute a collaborare con le autorità. Ora questo vale non solo per le società di telecomunicazioni, ma anche per “qualsiasi altro fornitore di servizi” con accesso alle apparecchiature per la trasmissione e l’archiviazione dei dati di comunicazione, ovvero l’archiviazione nel cloud.

I difensori della privacy hanno aspramente criticato la mossa definendola una “misura orwelliana” che consentirebbe al governo di monitorare le comunicazioni private dei cittadini.

Tuttavia, uno degli autori dell’emendamento, il deputato Jim Himes, insiste sul fatto che esso ha un focus strettamente tecnico e non avrà ripercussioni sulla gente comune. Tuttavia, è probabile che il dibattito sull’equilibrio tra sicurezza nazionale e diritti alla privacy continui.

L'articolo FISA Emendament Act sezione 702. Gli Stati Uniti continueranno a monitorare il mondo! proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-04-23 05:30:26

Lungimiranti: gli “uomini straordinari” ospiti della Red Hot Cyber Conference 2024

Sono le 22:48 del 21 aprile 2024, sono passate più di 24 ore dalla fine della Conferenza di Red Hot Cyber a Roma e mentre sto guidando per tornare a casa dopo una bellissima giornata passata in famiglia, penso a cosa posso raccontarvi. Penso che dovrei iniziare con il dirvi che domenica ho potuto intervistare delle persone fantastiche e che non vedo l’ora che le ascoltiate anche voi.

La prima cosa che vi racconterò di loro è quella profonda passione che mettono nel lavoro che li vede impegnati nella difesa del nostro Paese, gliela potete leggere negli occhi. Non solo, nelle loro risposte potrete comprendere le loro grandi doti di lungimiranza, necessaria per prevedere gli imprevisti e pianificarne la gestione per prevenire l’inevitabile. Quanto amo il mio Paese. Lo capisco quando li ascolto, quando mi spiegano che gli italiani nel mondo hanno ruoli di grandissima responsabilità, ma non solo nel mondo, anche qui, oggi e adesso.

Mentre penso a tutto questo due abbaglianti mi accecano dallo specchietto retrovisore. Mi trovo su una tangenziale, mantengo il limite di velocità di 70 km orari e la linea è continua. La macchina dietro è a poco meno di due metri di distanza da me, poi, dopo qualche chilometro, prende il coraggio e mi supera, io sospiro, ma chi viene dal senso opposto ha avuto la stessa idea. E mi viene in mente che le politiche di sicurezza sono tanto forti quanto il loro anello più debole. Il comportamento umano infatti è il fattore più sensibile e ancora oggi non è del tutto prevedibile.

Certo, se riuscissimo ad avere tutte le informazioni sulla sua natura e sulle motivazioni del comportamento, probabilmente riusciremo ad essere più accurati nel prevedrlo, ma poi naturalmente subentrerebbero altre importanti questioni come: se un comportamento fosse prevedibile potrebbe essere anche manipolabile? Poi arriveremo alle questioni etiche, ad esempio se qualcuno sia o meno veramente responsabile delle proprie azioni.
Rimane il fatto che controllare il nostro comportamento nel rispetto delle regole e della sicurezza altrui è fondamentale. Questo però non accade solo sulla strada ma anche sul nostro computer. La sicurezza è una grande responsabilità, per tutti, in tutti i campi della vita ed è anche soprattutto un lavoro di squadra e non una battaglia in solitaria. Questo Red Hot Cyber lo ha sempre saputo e lo ha sempre messo in pratica al suo interno.

Soprattutto lo hanno messo in pratica i ragazzi che si sono messi alla prova con il Capture The Flag (CTF) nella giornata di sabato: per aver successo i team devono infatti lavorare insieme per identificare e sfruttare le vulnerabilità del sistema e per fare questo, potrebbero dover utilizzare una varietà di competenze e tecniche, come l’analisi di rete, il reverse engineering o la crittografia. Devono anche avere una buona comunicazione e coordinamento tra loro e difendere i propri sistemi da eventuali attacchi. Soprattutto ancora prima che tutto inizi devono leggere le regole e cercare di non trasgredirle.

Sulle spalle dei giganti si vede più lontano

Ecco una grande dote delle personalità intervistate: la lungimiranza e la capacità visione strategica. Sono tutte persone che per arrivare dove sono oggi si sono prese grandi responsabilità e che nelle cose che fanno ci mettono cuore, mani e testa. Tra loro cito: Antonio Capobianco, CEO di FATA Informatica, Mario Nobile, Direttore Generale dell’Agenzia per l’Italia Digitale (Agid), Umberto Rosini, Direttore Sistemi Informativi alla Presidenza del Consiglio dei Ministri – Dipartimento della Protezione Civile, Marco Molinaro, Security lead di Accenture per l’Italia, il centro Europa e la Grecia e Martino Bevacqua Senior Manager di Accenture Security, Gianluca Tirozzi, co-funder di BitCorp, il magnifico Paolo Galdieri, avvocato penalista, Cassazionista e docente di Diritto penale dell’informatica, David Cenciotti, ex Ufficiale di complemento dell’Aeronautica Militare e giornalista, fondatore di “The Aviationist”, uno dei siti di aviazione più autorevoli al mondo, il mitico Corrado Giustozzi, Cyber security strategist, consulente strategico, docente e divulgatore, Filippo Bonativicola, Security manager.

Con loro abbiamo spaziato dalla governance del digitale, ai sistemi logistici, dal crimine informatico ai dati geospaziali e l’intelligence per la pianificazione delle operazioni militari, abbiamo parlato di errori e sfide, ma anche di opportunità, di computer quantistici e droni in volo, di Medio Oriente e di Italia, soprattutto della nostra Italia, dei suoi ragazzi e degli scenari futuri. E poi a qualcuno abbiamo chiesto chi è davvero l’hacker?

Le risposte vi sorprenderanno, come lo hanno fatto con me e presto potrete sentirli parlare attraverso la condivisione delle video interviste. Non voglio rovinare la sopresa. Quindi vi racconterò che cosa ho imparato nei 2 giorni di conferenza e sulla tangenziale.

La realtà non è mai da interpretare attraverso la lente del sè

La realtà non è mai da interpretare attraverso la lente del sè: lo insegna l’intelligence, che attraverso il metodo scientifico seleziona le “informazioni” utili per poi prendere quelle importanti decisioni relative ad ogni singolo interesse nazionale.

L’ego non deve mai prevalere, perchè spinge a concentrarci su noi stessi invece che un obiettivo comune e perchè crea quel “bullismo intellettuale”, evidenziato da Christian Espinosa, ingegnere di sicurezza informatica – e autore di “The smartest person in the room” – come il motivo per cui potremmo perdere la guerra nella sicurezza informatica.

Ecco perchè la mia storia sulla tangenziale voleva avere un senso. Potevo permettere al mio ego di governarmi, oppure potevo metterlo da parte e cercare di agire nel modo più sicuro possibile, oppure cercando di non intepretare quel momento come offesa personale o di diventare arrogante come quelle persone che sono convinte di non sbagliare mai nel giudicare il comportamento di qualcuno.

Perchè alla base di quel comporamento che infrangeva le regole poteva esserci un padre in ansia per un figlio, o qualcuno al quale la giornata non era andata come sperava. E’ vero, superare certi limiti spesso significa mettere a rischio gli altri e noi stessi e le regole vanno rispettate, ma togliersi dal centro riesce soprattutto nel campo della sicurezza informatica a rendere le attività più sicure. Questo si può applicare anche al mondo virtuale, ai social media ad esempio, al rapporto con la nostra soggettività.

Dall’altra parte abbiamo di fronte a noi la scelta di essere un pò più consapevoli del mondo che ci circonda, che che ogni azione che noi facciamo ha dirette conseguenza con la rete di persone che ci sta vicino, i loro dati, la loro sicurezza, la loro reputazione. Soprattutto quando io scrivo di geopolitica, correlata al mondo cyber, devo sempre tenere bene in mente che “quando mi sento certa di qualcosa, risulta il più delle volte matematicamente sbagliata” e che il confronto non può mai mancare.

Lungimiranza e 404

In questo mondo, dove l’errore c’è sempre stato e sempre ci sarà e che spesse volte ha portato alla scoperta e alla crescita, dobbiamo rendercI conto che la tecnologia ci porta grandissimi vantaggi ma anche ogni sorta di problema. Abbiamo programmato una macchina di cui conosciamo tutti i pezzi e “comprendiamo tutte le parti, ma la stiamo utilizzando in modi decisamente differenti dall’uso previsto”, (Danny Hillis, The Internet could crash). Ed è vero, spesso la usiamo con superficialità, siamo un pò indietro, ma l’importante è non gettarsi da grandi altezze senza avere un paracadute o un metodo per gestire l’incertezza.
E come se ne esce? Ascoltate sempre chi ne sa davvero più di voi, come quando eravate bambini e iniziavate un sacco di domande con “perché?”. Fate domande profonde, intelligenti ed oneste, cercate la coerenza e considerate la risposte alternative. E’ davvero semplice secondo Richard Feynman: “Per cercare di risolvere il problema, credo che la cosa migliore sia quella di riunire intorno a voi una tavola di esperti, gente che ne sappia qualcosa, e studiare insieme cosa è stato fatto in passato. Ci vorrà del tempo, ma poi arriveremo a una soluzione ragionevole”. E questo è quello che ha cercato di fare Red Hot Cyber, durante la conferenza.

A proposito trovate anche il tempo per leggere “Il senso delle cose” di Richard Feynman, “Favole al telefono” di di Gianni Rodari e “Questa è l’acqua” di David Foster Wallace e non dimenticate la fantascienza, perché alcuni grandi scrittori ci hanno raccontato già negli anni ’50 le minacce che stiamo vivendo oggi. Ha! Non dimenticatevi di leggere Red Hot Cyber!

L'articolo Lungimiranti: gli “uomini straordinari” ospiti della Red Hot Cyber Conference 2024 proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-04-23 05:20:59

Akira: un ransomware da pole position! 250 organizzazioni colpite e 42 milioni di dollari di riscatto

Dall’inizio del 2023, il ransomware Akira ha compromesso le reti di oltre 250 organizzazioni e raccolto circa 42 milioni di dollari in riscatti, secondo una dichiarazione congiunta di FBI, CISA, Centro europeo per la criminalità informatica (EC3) di Europol e National Cyber ​​Security Centro dei Paesi Bassi (NCSC-NL).

Il ransomware Akira è emerso a marzo 2023 e ha rapidamente guadagnato notorietà, attaccando vittime in vari settori in tutto il mondo. Nel giugno 2023, gli sviluppatori del malware avevano creato un ransomware Linux per le macchine virtuali VMware ESXi, ampiamente utilizzate negli ambienti aziendali.

Secondo gli esperti, gli operatori di Akira richiedono in media alle vittime un riscatto che varia da 200.000 a diversi milioni di dollari, a seconda delle dimensioni dell’organizzazione hackerata. Come riferiscono ora le forze dell’ordine, a partire dal 1° gennaio 2024, il gruppo ha attaccato 250 organizzazioni in Nord America, Europa e Australia e ha chiesto alle vittime un riscatto per circa 42 milioni di dollari.

Ad esempio, nel dicembre 2023, i rappresentanti di Akira hanno segnalato un attacco ai sistemi Nissan in Australia e Nuova Zelanda e la società ha successivamente confermato una fuga di dati di 100.000 persone. Akira ha recentemente violato anche l’Università di Stanford, che il mese scorso aveva avvertito di una violazione dei dati che avrebbe interessato le informazioni personali di 27.000 persone.

In totale, dalla sua nascita nel 2023, il gruppo ha segnalato attacchi contro più di 230 organizzazioni sul suo sito web nella underground. Le forze dell’ordine hanno incluso gli indicatori di compromissione (IoC) di Akira nel loro rapporto, nonché informazioni sulle tattiche e sui metodi utilizzati dal gruppo che sono stati identificati durante le indagini dell’FBI a partire dal febbraio 2024.

Pertanto, è stato riferito che per l’accesso iniziale alle reti prese di mira, gli operatori del malware prendono di mira i servizi VPN privi di autenticazione a più fattori, utilizzando principalmente vulnerabilità note nei prodotti Cisco (come CVE-2020-3259 e CVE-2023-20269). Inoltre, gli hacker utilizzano spesso il Remote Desktop Protocol (RDP), lo spear phishing e credenziali valide per accedere agli ambienti delle vittime.

Per aumentare i privilegi, gli aggressori utilizzano soluzioni come Mimikatz e LaZagne, mentre Windows RDP viene utilizzato principalmente per gli spostamenti laterali all’interno della rete della vittima. L’esfiltrazione dei dati viene effettuata utilizzando FileZilla, WinRAR, WinSCP e RClone.

L'articolo Akira: un ransomware da pole position! 250 organizzazioni colpite e 42 milioni di dollari di riscatto proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-04-23 05:00:58

Dual-Wavelength SLA 3D Printing: Fast Continuous Printing With ROMP And RFP Resins

As widespread as 3D printing with stereolithography (SLA) is in the consumer market, these additive manufacturing (AM) machines are limited to a single UV light source and the polymerization of free-radical polymerization (FRP) resins. The effect is that the object is printed in layers, with each layer adhering not only to the previous layer, but also the transparent (FEP or similar) film at the bottom of the resin vat. The resulting peeling of the layer from the film both necessitates a pause in the printing process, but also puts significant stress on the part being printed. Over the years a few solutions have been developed, with Sandia National Laboratories’ SWOMP technology (PR version) being among the latest.

Unlike the more common FRP-based SLA resins, SWOMP (Selective Dual-Wavelength Olefin Metathesis 3D-Printing) uses ring-opening metathesis polymerization (ROMP), which itself has been commercialized since the 1970s, but was not previously used with photopolymerization in this fashion. For the monomer dicyclopentadiene (DCPD) was chosen, with HeatMet (HM) as the photo-active olefin metathesis catalyst. This enables the UV-sensitivity, with an added photobase generator (PBG) which can be used to selectively deactivate polymerization.

General overview of SWOMP chemistry using HM as the catalyst and DCPD as the monomer. (Credit: Jeffrey C. Foster et al., Advanced Science, 2022, Sandia National Laboratories)
The advantage of DCPD is that this material and the resulting objects are significantly robust and are commonly thermally post-cured (250 °C for 30 seconds for the dogbones in this experiment) to gain their full mechanical properties. Meanwhile the same dual-wavelength setup is used for continuous SLA printing as previously covered by e.g. [Martin P. de Beers] and colleagues in a 2019 paper in Science Advances. Not only does the photoinhibitor with FRP and ROMP resins prevent the attachment of polymerized resin onto the transparent film or window, due to the localized control of the photoinhibitation depth dual-wavelength SLA is not limited to single layers, but can print entire topological features in a single pass.

This method might therefore be better than both existing FRP-based mono-wavelength SLA, and the proprietary CLIP technology by Carbon with its oxygen-permeable membrane, with no peeling and with print speeds of many times that of conventional SLA. Currently Sandia is looking for partners to develop and commercialize this technology, raising the hope that such dual-wavelength SLA printers may make it onto the market by manufacturers which do not require a security clearance and/or proof of financial liquidity before you even get to talk to a salesperson.

Cybersecurity & cyberwarfare

2024-04-23 05:08:17

Rebranding di HelloKitty: ora HelloGookie! Password di CD Projekt Red e dati Cisco rivelati!

Gli autori del ransomware HelloKitty hanno annunciato il cambio di nome in HelloGookie e hanno pubblicato le password di CD Projekt Red e i dati Cisco precedentemente pubblicati online, nonché le chiavi di decrittazione per vecchi attacchi.

L’aggressore che ha fatto questa dichiarazione è noto come Gookee e kapuchin0. Sostiene di essere il creatore del malware HelloKitty.

Ricordiamo che il ransomware HelloKitty è apparso nel 2020 e ha attaccato attivamente le reti aziendali, rubando dati e crittografando i sistemi. Il primo attacco di alto profilo del gruppo è avvenuto nel febbraio 2021, quando gli hacker hanno violato CD Projekt Red , il creatore dei giochi Cyberpunk 2077, Witcher 3 e Gwent, crittografando i server dell’azienda e rubando i codici sorgente. I rappresentanti di HelloKitty hanno successivamente dichiarato di aver venduto la merce rubata nelle underground.

Nel 2022, un altro gruppo di ransomware, Yanluowang, è stato violato . Quindi, a causa dei registri delle chat interne trapelate, si è saputo che Yanluowang potrebbe essere strettamente associato allo sviluppatore HelloKitty, che utilizzava il soprannome Guki nelle conversazioni.

Lo scorso autunno, il codice sorgente di HelloKitty è stato pubblicato su un forum di hacking in lingua russa . Quindi il presunto autore del malware, nascosto sotto kapuchin0, ha detto che stava sviluppando un nuovo crittografo più potente e che non aveva più bisogno di HelloKitty.

Come scrive ora il ricercatore sulla sicurezza informatica 3xp0rt , il recente “rebranding” del ransomware in HelloGookie è stato contrassegnato dal lancio di un nuovo Data Leak Site (DLS) nelle darknet.

Per celebrare il lancio, gli operatori di ransomware hanno pubblicato su una nuova risorsa quattro chiavi di decrittazione private per le versioni precedenti di HelloKitty, che possono essere utilizzate per decrittografare i file colpiti da attacchi passati.

Sono state rilasciate anche informazioni interne rubate a Cisco durante l’attacco del 2022, nonché password per il codice sorgente di Gwent, Witcher 3 e Red Engine rubate a CD Projekt Red.

Bleeping Computer riporta che un rappresentante del gruppo che ha compilato Witcher 3 da fonti trapelate, noto con il soprannome di sventek, ha affermato che la fuga di notizie rappresenta 450 GB di dati e contiene il codice sorgente di Witcher 3, Gwent, Cyberpunk, vari SDK per console (PS4/PS5 XBOX NINTENDO), così come alcuni log di build.

In particolare, il dump contiene file binari che consentono agli sviluppatori di eseguire una build di Witcher 3.
Screenshot di una build di Witcher 3 realizzata con il codice sorgente trapelato
Per quanto riguarda i dati rubati a Cisco, la fuga di notizie contiene un elenco di hash NTLM (NT LAN Manager) presumibilmente estratti durante l’hacking dei sistemi dell’azienda. Nel 2022, Cisco ha ammesso di essere stata attaccata dal gruppo Yanluowang. Successivamente è stato affermato che l’incidente si sarebbe limitato al furto di dati minori da un account.

Come notano i giornalisti, l’accesso di kapuchin0 a questi dati indica una cooperazione più stretta tra Yanluowang e HelloKitty di quanto si pensasse in precedenza.

L'articolo Rebranding di HelloKitty: ora HelloGookie! Password di CD Projekt Red e dati Cisco rivelati! proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-04-23 02:00:58

Optical Tweezers Investigate Tiny Particles

No matter how small you make a pair of tweezers, there will always be things that tweezers aren’t great at handling. Among those are various fluids, and especially aerosolized droplets, which can’t be easily picked apart and examined by a blunt tool like tweezers. For that you’ll want to reach for a specialized tool like this laser-based tool which can illuminate and manipulate tiny droplets and other particles.

[Janis]’s optical tweezers use both a 170 milliwatt laser from a DVD burner and a second, more powerful half-watt blue laser. Using these lasers a mist of fine particles, in this case glycerol, can be investigated for particle size among other physical characteristics. First, he looks for a location in a test tube where movement of the particles from convective heating the chimney effect is minimized. Once a favorable location is found, a specific particle can be trapped by the laser and will exhibit diffraction rings, or a scattering of the laser light in a specific way which can provide more information about the trapped particle.

Admittedly this is a niche tool that might not get a lot of attention outside of certain interests but for those working with proteins, individual molecules, measuring and studying cells, or, like this project, investigating colloidal particles it can be indispensable. It’s also interesting how one can be built largely from used optical drives, like this laser engraver that uses more than just the laser, or even this scanning laser microscope.

https://www.youtube.com/embed/G7LzygHHfaw?feature=oembed

Cybersecurity & cyberwarfare

2024-04-22 23:00:44

NASA’s Voyager 1 Resumes Sending Engineering Updates to Earth

After many tense months, it seems that thanks to a gaggle of brilliant engineering talent and a lucky break the Voyager 1 spacecraft is once more back in action. Confirmation came on April 20th, when Voyager 1 transmitted its first data since it fell silent on November 14 2023. As previously suspected, the issue was a defective memory chip in the flight data system (FDS), which among other things is responsible for preparing the data it receives from other systems before it is transmitted back to Earth. As at this point in time Voyager 1 is at an approximate 24 billion kilometers distance, this made for a few tense days for those involved.

The firmware patch that got sent over on April 18th contained an initial test to validate the theory, moving the code responsible for the engineering data packaging to a new spot in the FDS memory. If the theory was correct, this should mean that this time the correct data should be sent back from Voyager. Twice a 22.5 hour trip and change through Deep Space and back later on April 20th the team was ecstatic to see what they had hoped for.

With this initial test successful, the team can now move on to moving the remaining code away from the faulty memory after which regular science operations should resume, and giving the plucky spacecraft a new lease on life at the still tender age of 46.

Cybersecurity & cyberwarfare

2024-04-22 20:00:54

Ancient Cable Modem Reveals Its RF Secrets

Most reverse engineering projects we see around here have some sort of practical endpoint in mind. Usually, but not always. Reverse-engineering a 40-year-old cable modem probably serves no practical end, except for the simple pleasure of understanding how 1980s tech worked.

You’ll be forgiven if the NABU Network, the source of the modem [Jared Boone] tears into, sounds unfamiliar; it only existed from 1982 to 1985 and primarily operated in Ottawa, Canada. It’s pretty interesting though, especially the Z80-based computer that was part of the package. The modem itself is a boxy affair bearing all the hallmarks of 1980s tech. [Jared]’s inspection revealed a power supply with a big transformer, a main logic board, and a mysterious shielded section with all the RF circuits, which is the focus of the video below.

Using a signal generator, a spectrum analyzer, and an oscilloscope, not to mention the PCB silkscreen and component markings, [Jared] built a block diagram of the circuit and determined the important frequencies for things like the local oscillator. He worked through the RF section, discovering what each compartment does, with the most interesting one probably being the quadrature demodulator. But things took a decidedly digital twist in the last compartment, where the modulated RF is turned into digital data with a couple of 7400-series chips, some comparators, and a crystal oscillator.

This tour of 80s tech and the methods [Jared] used to figure out what’s going on in this box were pretty impressive. There’s more to come on this project, including recreating the original signal with SDRs. In the mean time, if this put you in the mood for other videotext systems of the 80s, you might enjoy this Minitel terminal teardown.

https://www.youtube.com/embed/8IflOWH8fzY?feature=oembed