Cybersecurity & cyberwarfare

2024-09-26 12:03:03

Presunta violazione colpisce EasyMPS. Esposte informazioni sensibili di milioni di persone

Un recente post su un forum del Dark Web ha riportato la notizia di una presunta violazione di dati che ha colpito EasyMPS, azienda che offre software ERP per il settore della stampa.

La violazione sembrerebbe aver portato all’esposizione di circa 3,3 milioni di righe di dati sensibili, incluse informazioni personali e aziendali.

Al momento, non possiamo confermare la veridicità della notizia, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo deve essere considerato come ‘fonte di intelligence’.

Dettagli della violazione

Secondo quanto riportato nel post, la violazione dei dati sarebbe avvenuta nel settembre 2024, con il Threat Actor “grep” che avrebbe rivendicato il Data Breach con la conseguente esposizione nell’underground di circa 3,3 milioni di righe di dati sensibili appartenenti all’azienda EasyMPS. La pubblicazione è avvenuta il giorno 14 settembre 2024 sul noto sito BreachForums, con il Threat Actorche ha reso disponibili i dati al pubblico.

I dati compromessi dovrebbero includere:

• Nomi completi
• Indirizzi e-mail
• Aziende
• Numeri di telefono
• Indirizzi e altri dettagli riservati

Attualmente, non siamo in grado di confermare con precisione l’accuratezza delle informazioni riportate, poiché non è stato rilasciato alcun comunicato stampa ufficiale sul sito web riguardante l’incidente.

Conclusioni

La presunta violazione dei dati rappresenterebbe un rischio elevato per l’azienda colpita ed evidenzia l’importanza cruciale della sicurezza informatica. Le informazioni divulgate potrebbero essere utilizzate per vari scopi illeciti e malevoli.

Le aziende devono porre attenzione e adottare misure proattive per proteggere i propri dati. Nel frattempo, gli utenti coinvolti dovrebbero monitorare attentamente le loro informazioni personali e adottare misure precauzionali per proteggersi da potenziali minacce.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, nel caso in cui ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzareredhotcyber.com/whistleblowerla mail crittografata del whistleblower.

L'articolo Presunta violazione colpisce EasyMPS. Esposte informazioni sensibili di milioni di persone proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-09-26 11:00:22

Broadcast TV Simulator Keeps the Nostalgia Flowing

Watch out, Gen X-ers — there’s a nostalgia overload heading your way, courtesy of this over-the-air TV simulator. And it has us feeling a little Saturday morning cartoon-ish, or maybe even a bit Afterschool Special.

[Shane C Mason]’s “FieldStation42” build centers around a period-correct color TV, and rightly so — a modern TV would be jarring here, and replacing the CRT in this irreplaceable TV would be unthinkable. Programming comes via painstakingly collected sitcoms, dramas, news broadcasts, and specials, all digitized and stored on disk and organized by the original networks the programs came from. Python running on a Raspberry Pi does the heavy lifting here, developing a schedule of programs for the week that makes sense for the time of day — morning news and talk, afternoon soaps, the usual family hour and prime time offerings, and finally [Carson] rounding out the day, because that’s all we had for late night.

As for switching between stations, rather than risk damaging the old TV, [Shane] really upped his nostalgia game and found an old antenna rotator control box. These were used to steer the directional antenna toward different transmitters back in the day, especially in fringe areas like the one he grew up in. He added a set of contacts to the knob and a Pi Pico, which talks to the main Pi and controls which “channel” is being viewed. He also added an effect of fading and noise in the video and audio between channels, simulating the antenna moving. The video below shows it in action.

For those who missed the Golden Age of TV, relax; as [Shane] correctly surmises after going through this whole project, Golden Ages only exist in your mind. Things were certainly different with 70s mass media, a fact which this build captures neatly, but that doesn’t mean they were better. Other than Saturday mornings, of course — those were objectively better in every way.

youtube.com/embed/k_BkD85yIg0?…

---

hackaday.com/2024/09/26/broadc…

Cybersecurity & cyberwarfare

2024-09-26 09:16:58

Mozilla nel Mirino: il famoso Browser spia davvero gli utenti?

L’organizzazione europea per i diritti digitali NOYB (None Of Your Business) ha presentato un reclamo contro Mozilla all’autorità austriaca per la protezione dei dati. Si presume che la funzione di attribuzione di tutela della privacy di Firefox (abilitata senza il consenso dell’utente) venga utilizzata per tenere traccia del comportamento online delle persone.

La funzionalità Privacy-Preserving Attribution (PPA) , sviluppata in collaborazione con Meta, è stata annunciata nel febbraio 2022 ed è stata automaticamente inclusa nella versione 128 di Firefox, rilasciata nel luglio di quest’anno.

Mozilla descrive i PPA come “un’alternativa non invasiva al monitoraggio tra siti” progettata per aiutare gli inserzionisti a misurare l’efficacia dei loro annunci senza trasmettere direttamente informazioni sul comportamento online degli utenti. Gli sviluppatori sottolineano che la PPA non condivide le informazioni di navigazione con terze parti (inclusa l’organizzazione stessa) e gli inserzionisti ricevono solo dati aggregati sull’efficacia della loro pubblicità.

In generale, il PAA ricorda il Privacy Sandbox di Google (che l’azienda alla fine ha abbandonato). L’idea, è quella di sostituire i cookie di terze parti con una serie di API integrate nel browser con cui gli inserzionisti possono interagire per determinare gli interessi degli utenti e mostrare loro annunci mirati.

La denuncia di NOYB sostiene che Mozilla sta utilizzando un PPA progettato per proteggere la privacy per lo scopo opposto, vale a dire per monitorare il comportamento degli utenti di Firefox su vari siti.

Contrariamente al suo nome, questa funzionalità consente a Firefox di tracciare il comportamento degli utenti sui siti web. In sostanza, il tracciamento è ora controllato dal browser, non dai singoli siti, scrive NOYB. “Sebbene questo possa rappresentare un miglioramento rispetto alla pratica ancora più invasiva del tracciamento dei cookie, l’azienda non ha mai chiesto ai propri utenti se volessero abilitare questa funzionalità. Invece, Mozilla ha scelto di abilitarlo per impostazione predefinita, subito dopo che le persone hanno installato un recente aggiornamento software.”

Il PPA consente a Firefox di archiviare dati sulle attività pubblicitarie degli utenti e di raccogliere tali informazioni per gli inserzionisti, affermano i difensori della privacy. Gli sviluppatori di Mozilla, a loro volta, affermano che questo sistema, al contrario, aumenta il livello di privacy misurando l’efficacia della pubblicità senza raccogliere dati personali sui singoli siti.

Tuttavia, NOYB insiste sul fatto che se parte del tracciamento viene effettuato all’interno di Firefox stesso, ciò viola i diritti degli utenti ai sensi del Regolamento generale sulla protezione dei dati (GDPR) dell’UE.

“Sebbene Mozilla possa avere buone intenzioni, è altamente improbabile che “l’attribuzione che preserva la privacy” sostituirà i cookie e altri strumenti di tracciamento. Questo è solo un nuovo modo aggiuntivo per tracciare gli utenti”, afferma NOYB.

L'articolo Mozilla nel Mirino: il famoso Browser spia davvero gli utenti? proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-09-26 08:00:48

Threat landscape for industrial automation systems, Q2 2024

Statistics across all threats

In the second quarter of 2024, the percentage of ICS computers on which malicious objects were blocked decreased by 0.9 pp from the previous quarter to 23.5%.

The percentage has decreased by 3.3 pp compared to the second quarter of 2023, when the indicator reached its highest level since records began in 2022.

Percentage of ICS computers on which malicious objects were blocked, by quarter, 2022-2024

Regions ranking

In most regions, the percentage of ICS computers that blocked malicious objects decreased compared to the first quarter of 2024. The indicator increased only in East Asia (by 1.0 pp), Western Europe (by 0.8 pp), Australia and New Zealand (by 0.7 pp) and the USA and Canada (by 0.2 pp).

Regions ranked by percentage of ICS computers where malicious objects were blocked, Q2 2024

Industries ranking

The building automation sector continues to lead the surveyed industries in terms of the percentage of ICS computers on which malicious objects were blocked. In general, this indicator continues to decrease across all industries for the second quarter in a row.

Percentage of ICS computers on which the activity of malicious objects of various categories was prevented

Diversity of detected malware

In the second quarter of 2024, Kaspersky’s protection solutions blocked malware from 11,349 different malware families of various categories on industrial automation systems.

Percentage of ICS computers on which the activity of malicious objects of various categories was prevented

Compared to the previous quarter, the most noticeable proportional increase in the second quarter of 2024 was in the percentage of ICS computers on which ransomware was blocked – a 1.2-fold increase.

Malicious object categories in numbers

Malicious objects used for initial infection

This category includes dangerous web resources, malicious scripts and malicious documents.

• Denylisted internet resources – 6.63% (-0.21 pp compared to the first quarter of 2024);
• Malicious scripts and phishing pages (JS and HTML) – 5.69% (-0.15 pp);
• Malicious documents (MSOffice+PDF) – 1.96% (+0.24 pp).

Next-stage malware

Malicious objects used to initially infect computers deliver next-stage malware – spyware, ransomware, and miners – to victims’ computers. As a rule, the higher the percentage of ICS computers on which the initial infection malware is blocked, the higher the percentage for next-stage malware.

• Spyware (spy Trojans, backdoors and keyloggers) – 4.08% (+0.18 pp);
• Ransomware – 0.18% (+0.03 pp);
• Miners (in the form of executable files for Windows) – 0.89% (-0.03 pp).

Self-propagating malware

These are worms and viruses. Worms and virus-infected files were originally used for initial infection, but as botnet functionality evolved, they took on next-stage characteristics.

To spread across ICS networks, viruses and worms rely on removable media, network folders, infected files including backups, and network attacks on outdated software.

• Worms – 1.48% (-0.03 pp);
• Viruses – 1.54% (-0.02 pp).

AutoCAD malware

This category of malware is typically a low-level threat, coming last in the malware category rankings in terms of the percentage of ICS computers on which it was blocked.

• AutoCAD malware – 0.42% (+0.01 pp).

Main threat sources

The internet, email clients and removable storage devices remain the primary sources of threats to computers in an organization’s technology infrastructure. (Note that the sources of blocked threats cannot be reliably identified in all cases.)

Percentage of ICS computers on which malicious objects from various sources were blocked

The full global report is available on the Kaspersky ICS CERT website.

---

securelist.com/industrial-thre…

Cybersecurity & cyberwarfare

2024-09-26 08:00:00

Inside a 1999 Ramtron Ferroelectric RAM Chip

Structure of the Ramtron FeRAM. The image is focus-stacked for clarity. (Credit: Ken Shirriff)
Although not as prevalent as Flash memory storage, ferroelectric RAM (FeRAM) offers a range of benefits over the former, mostly in terms of endurance and durability, which makes it popular for a range of (niche) applications. Recently [Ken Shirriff] had a look inside a Ramtron FM24C64 FeRAM IC from 1999, to get an idea of how it works. The full die photo can be seen above, and it can store a total of 64 kilobit.

One way to think of FeRAM is as a very small version of magnetic core memory, with lead-zirconate-titanate (PZT) ferroelectric elements making up the individual bits. These PZT elements are used as ferroelectric capacitors, i.e. the ferroelectric material is the dielectric between the two plates, with a positive voltage storing a ‘1’, and vice-versa.

In this particular FeRAM chip, there are two capacitors per bit, which makes it easier to distinguish the polarization state and thus the stored value. Since the distinction between a 0 and a 1 is relatively minor, the sense amplifiers are required to boost the signal. After a read action, the stored value will have been destroyed, necessitating a write-after-read action to restore the value, all of which adds to the required logic to manage the FeRAM. Together with the complexity of integrating these PZT elements into the circuitry this makes these chips relatively hard to produce and scale down.

You can purchase FeRAM off-the-shelf and research is ongoing, but it looks to remain a cool niche technology barring any kind of major breakthrough. That said, the Sega Sonic the Hedgehog 3 cartridges which used an FeRAM chip for save data are probably quite indestructible due to this technology.

---

hackaday.com/2024/09/26/inside…

Cybersecurity & cyberwarfare

2024-09-26 07:26:32

Winamp Open Source? Sì, ma con forti Limitazioni! Ecco Tutto Ciò che Devi Sapere

Llama Group ha pubblicato il codice sorgente per il lettore multimediale Winamp. Questo codice è scritto in C++ e utilizza dipendenze come Qt, libvpx, libmpg123, OpenSSL e DirectX 9 SDK.

L’assembly del programma è supportato esclusivamente per la piattaforma Windows e richiede il compilatore Visual Studio 2019, nonché le librerie Intel IPP versione 6.1.1.035. Il codice open source è distribuito solo per la versione desktop dell’applicazione, mentre restano chiuse le versioni per macOS, Android e iOS.

Nonostante le dichiarazioni di intenzione di trasferire il progetto ad un modello di sviluppo aperto, il codice pubblicato è distribuito sotto la licenza proprietaria WCL (Winamp Collaborative License). La licenza impone restrizioni agli sviluppatori: sono tenuti a presentare modifiche, miglioramenti e correzioni al repository ufficiale del progetto. Apportare modifiche senza impegnarsi nel repository principale è consentito solo per uso personale. È vietata la creazione di fork e la distribuzione di versioni modificate di Winamp, il che limita la capacità degli sviluppatori che desiderano apportare modifiche al codice del programma.

Il repository principale di Winamp è ospitato su GitHub, ma le restrizioni specificate nella licenza WCL creano un problema, poiché il processo di sviluppo tipico di questa piattaforma, in cui vengono creati fork e poi le modifiche vengono trasferite tramite richieste pull, viola formalmente le restrizioni di licenza .

Winamp è stato creato nel 1997 da Justin Frankel e Dmitry Boldyrev. Questo lettore multimediale è ancora popolare e conta circa 83 milioni di utenti. Grazie alla sua flessibilità e alla possibilità di modificare l’interfaccia tramite skin, Winamp ha ispirato la creazione di numerosi cloni per Linux, come XMMS, XMMS2, Beep Media Player, Audacious e Qmmp.

L’anno scorso, Llama Group ha dovuto affrontare difficoltà finanziarie, che l’hanno costretta a licenziare il team principale dietro la versione classica di Winamp per Windows e a concentrarsi sullo sviluppo del servizio di streaming e delle applicazioni mobili.

L'articolo Winamp Open Source? Sì, ma con forti Limitazioni! Ecco Tutto Ciò che Devi Sapere proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-09-26 06:06:29

Flax Typhoon Sta Arrivando! Il Gruppo Cinese Minaccia le Infrastrutture Critiche con Botnet IoT

La settimana scorsa, le agenzie di intelligence dell’alleanza Five Eyes, che comprende Stati Uniti, Regno Unito, Canada, Australia e Nuova Zelanda, hanno emesso un avvertimento congiunto sugli attacchi informatici legati alla Repubblica popolare cinese.

Il documento descrive le azioni del gruppo informatico Flax Typhoon, che sfrutta le vulnerabilità dei router e dei dispositivi Internet of Things (IoT) per creare una botnet mirata che consente di essere il veicolo per attaccare infrastrutture critiche.

Secondo il rapporto , Flax Typhoon sfrutta attivamente 66 vulnerabilità note per hackerare router, dispositivi IoT e altre applicazioni web. Tra i principali produttori i cui prodotti sono sotto attacco ci sono:

• Apache (10 vulnerabilità)
• Cisco (5 vulnerabilità)
• Zyxel (3 vulnerabilità)
• QNAP (3 vulnerabilità)
• Fortinet (3 vulnerabilità)
• Draytek (3 vulnerabilità)
• WordPress (2 vulnerabilità)
• IBM (2 vulnerabilità)
• F5 (2 vulnerabilità)

Si consiglia alle organizzazioni che utilizzano apparecchiature di queste società di scansionare immediatamente i propri sistemi e risolvere eventuali vulnerabilità identificate.

Secondo l’analisi, il 47,9% dei dispositivi infetti si trova negli Stati Uniti, il che indica una seria minaccia per le infrastrutture critiche del Paese. Altri obiettivi di attacco significativi includono il Vietnam (8%), la Germania (7,2%) e una serie di altri paesi, tra cui Canada, Regno Unito e India.

Al momento della pubblicazione dell’avviso, 41 delle 66 vulnerabilità erano già incluse nel database VulnCheck KEV . In particolare, solo 27 di queste vulnerabilità sono state incluse nel catalogo delle vulnerabilità sfruttabili note (KEV) della CISA. Dopo l’avviso, VulnCheck ha aggiornato la sua risorsa per includere tutte le 66 vulnerabilità e si prevede che anche CISA aggiornerà presto il suo catalogo.

Per proteggersi dagli attacchi botnet Flax Typhoon e da altre minacce simili, l’FBI consiglia i seguenti passaggi:

1. Disabilita i servizi e le porte inutilizzati per ridurre la superficie di attacco.
2. Implementazione della segmentazione della rete per limitare la diffusione della minaccia in caso di compromissione.
3. Monitorare volumi elevati di traffico di rete che potrebbero indicare attività botnet.
4. Applicazione tempestiva di patch e aggiornamenti per eliminare le vulnerabilità note.
5. Sostituisci le password predefinite con password complesse e univoche per ciascun dispositivo.
6. La pianificazione regolare dei riavvii del dispositivo può aiutare a rimuovere il malware dalla RAM.
7. Sostituzione di software o apparecchiature obsoleto non supportati dal produttore.

Gli esperti sottolineano la necessità di un approccio globale alla gestione delle vulnerabilità. È importante considerare non solo la presenza di vulnerabilità, ma anche prove di sfruttamento attivo, contesto ambientale e ulteriori fattori di rischio. L’utilizzo di informazioni aggiornate sulle minacce consente alle organizzazioni di prendere decisioni informate per dare priorità alle vulnerabilità e mitigare efficacemente i rischi.

L'articolo Flax Typhoon Sta Arrivando! Il Gruppo Cinese Minaccia le Infrastrutture Critiche con Botnet IoT proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-09-26 05:40:57

SPF, DKIM e DMARC. Scopri Come Migliorare la Sicurezza delle Comunicazioni EMail

Nell’era digitale odierna, le email sono uno strumento essenziale per la comunicazione personale e professionale.

Tuttavia, con l’aumento del volume di messaggi inviati e ricevuti ogni giorno, il fenomeno dello spam è diventato una minaccia sempre più pressante e un pericolo sempre maggiore per le aziende. Lo spam non solo intasa le caselle di posta, ma può anche rappresentare un rischio per la sicurezza, veicolando malware e phishing e coinvolge gli utenti, che solitamente rappresentano l’anello debole della sicurezza informatica.

In questo articolo parleremo di SPF, DKIM e DMARK, esploreremo le principali strategie per proteggere le email dallo spamming e far capire ai destinatari che le nostre mail siano affidabili.

Accenno fin da subito che nel semplificare il più possibile i processi legati alla mail, alcuni dettagli saranno semplificati ed ommessi.

Com’è composta una mail?

La mail è composta da 3 parti fondamentali: Envelope, Header e il Body.

Possiamo fin da subito dividere la busta(envelope) dalla lettera (che contiene header e body). Vediamo le differenze:

L’envelope (busta) è una parte invisibile sia al mittente (MAIL FROM) che al destinatario (RCPT TO). Viene utilizzata dai server di posta elettronica per gestire la consegna del messaggio.

Contiene informazioni tecniche come:

• Indirizzo del mittente e destinatario utilizzati dai server per instradare la mail
• Comandi SMTP che servono per le attività di consegna..

L’header (intestazione) di una mail contiene informazioni visibili e non visibili che sono cruciali per la consegna del messaggio.

Queste informazioni sono utili per tracciare l’origine e il percorso della mail, verificare l’autenticità del mittente e diagnosticare eventuali problemi di consegna.

I principali metadata del header sono:

• From: contiene informazioni sul mittente.
• To: mostra il nome e l’indirizzo e-mail del destinatario, inclusi tutti gli indirizzi e-mail nei campi CC (copia conoscenza) e CCN (copia conoscenza nascosta) .
• Subject: il titolo o l’argomento che il mittente imposta nella riga dell’oggetto.
• Return Path: campo obbligatorio che contiene l’indirizzo a cui il sistema invia un’email. Se non c’è reply-to, verrà utilizzato come indirizzo a cui i destinatari potranno rispondere.
• Reply-To: campo facoltativo che contiene l’indirizzo a cui i destinatari possono rispondere.
• Envelope-To: indica che un’e-mail è stata inviata all’indirizzo presente su questa riga.
• Data: timestamp di quando un client di posta elettronica ha inviato un’e-mail, solitamente segue il formato giorno, gg mese aaaa hh:mm:ss . Ad esempio, mer, 16 dic 2020 16:57:23.
• Received: vengono riportati tutti gli indirizzi che l’email ha attraversato durante l’invio da un MTA all’altro.
• Message-ID: un identificatore univoco di lettere e numeri creato quando si scrive per la prima volta un’e-mail.
• Versione MIME: la versione Multipurpose Internet Mail Extensions (MIME) è uno standard Internet che estende il formato e la funzionalità di un’email. Un’email può avere video, immagini e altri file allegati grazie a MIME.
• Content-type: dice se il mittente ha scritto l’email come testo normale o usando HTML.

Il body invece contiene il messaggio vero e proprio.

Cosa succede quando invii una e-mail?

Supponiamo che pippo info@pippo.acme voglia inviare una mail a pluto info@pluto.acme.

Pippo comporrà la mail con il suo client di posta e la invierà a un server SMTP di invio, server configurato nel proprio client di posta per invio della posta in uscita confidato di solito assieme a quello di ricezione.

Pensiamo a una persona che deve inviare una lettera a un destinatario, una volta compilata la consegnerà all’ufficio postale più vicino per farla arrivare a un destinatario, questo è il nostro SMTP configurato nel nostro client di posta!

Questo ufficio postale (smtp.pippo.acme) una volta accettata la mail, cercherà di capire qual è l’indirizzo dell’ufficio postale del paese di destinazione (SMTP del destinatario) leggendo il envelope RCPT TO, ricavando il dominio del del destinatario (pluto.acme). Inoltre scriverà nel metadata Received il passaggio.

Per capire dove si trova l’ufficio postale del destinatario, l’ufficio postale mittente controllerà uno speciale record nel dominio pubblico di pluto.acme chiamato record MX (Mail Exchanger), un registro pubblico (pensiamo a una sorta di pagine gialle) in cui tutti possono consultare è presente l’indirizzo dell’ufficio postale del destinatario dovono essere inviate le mail per pluto.

In questo caso sarà una sorta di indirizzo come smtp.pluto.acme, quindi la mail verrà indirizzata qui.

Potrebbe inoltre accadere che la lettera passi da uffici postali intermedi (MTA), anche questi punti intermedi verranno scritti cronologicamente nel metadata Recived.

Una volta che la mail è arrivata all’ufficio postale di destinazione (smtp.pluto.acme), l’ufficio postale rimuoverà envelope e consegnerà la mail alla cassetta postale del destinatario. Anche questo aggiungerà un ultimo “Receiver” con le sue informazioni.

Capito questo meccanismo, sappiamo tutti che potrei sia consegnare la stessa lettera con lo stesso mittente a un ufficio postale diverso, magari a km di distanza, oppure Pippo potrebbe fare uno scherzo a Pluto cambiando il mittente in info@minnie.acm, in quanto l’ufficio postale non controllerà questo dato.

La lettera verrebbe comunque consegnata, il destinatario leggendo sempre i metadata potrebbe non accorgersi dell’errore e credere che sia stata effettivamente inviata da Minnie.

Magari questo non è stato proprio un errore ma un tentativo di falsificazione, la nostra mail è diventata quindi una mail di spam o spoofing.

Infatti:

• È molto facile scrivere un indirizzo falso nel comando MAIL FROM nella comunicazione SMTP (nella busta dell’email)
• È molto facile scrivere un indirizzo falso nel metadata del header Da:
• Sia il mittente nel envelope che il mittente nel header possono essere falsificati
• L’indirizzo email del mittente nel header Da: può essere diverso da MAIL FROM della evelope

Come possiamo far capire al destinatario che la mail è falsa?

Autenticando la mail attraverso SPF e DKIM e ovviamente avere un antispam che possa fare queste verifiche.

Inoltre è necessario capire se qualcuno sta spedendo con il nostro dominio a ignari destinatari tramite il DMARC.

SPF

SPF (Sender Policy Framework) si occupa attraverso un record DNS pubblico, presente nel dominio del mittente, di identificare tutti gli IP pubblici autorizzati a spedire per conto del dominio mittente (tutti gli uffici postali autorizzati a ritirare e spedire la posta per pluto).

In poche parole SPF è una stringa, un record TXT, in cui sono inseriti la lista di host autorizzati a inviare che possono essere IP o FQDN.

Come funziona?

Quando l’ufficio postale di pluto riceverà la mail inviata da pippo, prima di accettarla e consegnala controllerà che l’ufficio postale di provenienza sia stato autorizzato del mittente, tramite questo record SPF che appunto contiene le informazioni dell’ufficio postale autorizzato, che il mittente ha dichiarato.

Se il mittente è pippo ma l’ufficio postale di provenienza è diverso da quello che ha dichiarato, pluto scarterà la mail. Questo vale per qualunque mail che pluto riceverà da qualsiasi mittente.

Questa attività di controllo in generale viene fatta da un antispam.

Spf nel dettaglio

Spf è un valore del tipo:

v=spf1 ip4: include: -all

Il record SPF è configurabile sia con indirizzi ip (esempio: v=spf1 ip4: -all) che con nomi di dominio (esempio: v=spf1 include: -all) che entrambi (esempio: v=spf1 include: ip4: -all), è possibile aggiungere anche piu host e IP assieme in quanto è ammesso sono un SPF per dominio.

L’ultimo parametro indicherà all’antispam di destinazione quale comportamento dovrà eseguire durante il controllo può variare in:

+all (Pass): se il controllo fallisce la mail verrà comunque recapitata

-all (Fail): se il controllo fallisce la mail non verrà consegnata

~all (Soft Fail): se il controllo SPF fallisce, l’email sarà consegnata al server di destinazione ma verrà contrassegnata come spam

?all (Neutral): Il controllo SPF sarà ignorato.

Per verificare la corretta configurazione del SPF possiamo usare il noto servizio web mxtoolbox.

mxtoolbox.com/SuperTool.aspx?a…

DKIM

Mentre l’obiettivo dell’SPF è verificare che la mail provenga da un server di invio affidabile, il DKIM (acronimo di DomainKeys Identified Mail) è un altro sistema di autenticazione che consente di impedire che il contenuto delle mail venga alterato durante la consegna.

Allo stesso tempo il destinatario potrà verificare che il messaggio ricevuto sia autentico e generato dal mittente senza alcun dubbio.

Torniamo ai nostri uffici postali. L’esempio più verosimile è che durante la spedizione, qualcuno apra la busta e scambi il messaggio originale con uno diverso.

Il mittente riceverà un messaggio diverso, controllando SPF il messaggio risulterà comunque inviato da un ufficio postale autorizzato. Il mittente non riuscirà a riconoscere lo scambio effettuato e la considera valida.

Per questo è necessario il DKIM! Il DKIM può essere visto come il sigillo per verificare che la lettera non sia stata manomessa durante il viaggio.

Vediamo come funziona nel dettaglio.

Il DKIM si basa sulla crittografia a chiave pubblica/privata.

Il mittente prima di spedire con la propria chiave privata firma la mail e la inserisce nell’intestazione del messaggio in uno specifico metadata, come nel esempio.

dkim=pass header.i=@pippo.acme header.s=selector1 header.b=asdsdf4er;

Quando il destinatario riceve un’e-mail con DKIM, questo controlla la firma digitale per assicurarsi che sia valida tramite la chiave pubblica presente in un record TXT del mittente del suo DNS.

TXT selector1._domainkey

v=DKIM1; k=rsa; p=MIIBIjANBgkq…

Se la firma è valida, il messaggio è rimasto inalterato durante il trasferimento e quindi verrà accettato, in caso contrario sarà considerato spam.

La chiave pubblica è disponibile in un record TXT nel dominio pubblico, mentre quella privata la conosce solo il server del mittente che la userà per firmare la mail prima di inviarla.

Qui una rappresentazione grafica del processo (fare attenzione ai colori di chiavi e lucchetti).

Anche in questo caso potremmo verificare la corretta presenza del dkim tramite il tool online

mxtoolbox.com/SuperTool.aspx?a…

DMARK

Finché siamo i diretti destinatari, possiamo utilizzare i metodi visti prima per dividere le mail buone da quelle cattive.

Ma se qualcuno sta spedendo utilizzando il nostro dominio ad altri destinatari ,non potremmo mai capire di essere vittime di questo attacco.

Esiste un sistema che potrebbe avvisarci di questa attività: il DMARK (Domain-based Message Authentication, Reporting and Conformance)

Il DMARK serve a contrastare le mail di spoofing, avvisando i destinatari di queste attività fraudolente.

Il DMARC aiuta i proprietari di domini ad avere un controllo migliore sulla loro attività di posta elettronica. Questo genera report sulle attività di posta elettronica di un’organizzazione che forniscono informazioni su dati che non possono essere trovati altrove.

I rapporti includono le seguenti informazioni:

1. Origine della mail ricevuta
2. Numero di email autorizzate
3. Numero di email non autorizzate
4. Destinatari dell’email

Nel DMARK sono inserite anche le azioni di default che l’antispam di chi ha ricevuto la mail deve eseguire una volta ricevuta la mail non autentica (none, quarantine, rejected)

Esempio di un record DMARK:

v=DMARC1; p=reject; sp=reject; adkim=r; aspf=r; pct=100; fo=1; rf=afrf; ri=86400; rua=mailto:dmarc_rua@examplecom; ruf=mailto:dmarc_ruf@examplecom

Vediamo i parametri:

• p: definisce le regole con le quali i server di posta di destinazione tratteranno le email (obbligatorio).
  
  • none: nessun avviso specifico sarà dato al server di posta di destinazione,
  • quarantine: avvisa il server di posta di destinazione di trattare qualsiasi email che fallisce il test DKIM e/o SPF come sospetta ed esegue controlli aggiuntivi
  • reject: avvisa il server di posta di destinazione di rifiutare qualsiasi email che fallisce il test DKIM e/o SPF

  
  

• rua: definisce l’elenco delle email alle quali viene inviato il report aggregato (obbligatorio).
• ruf: definisce l’elenco delle email alle quali viene inviato il report forense (obbligatorio).
• sp: indica le regole da applicare a tutti i sottodomini del dominio principale. (opzionale: se omesso il tag “p” coprirà il dominio principale e anche tutti i suoi sottodomini)
• adkim: specifica la “modalità di allineamento” per la firma DKIM. (opzionale il valore di default sarà adkim=r.)
• aspf: specifica la “modalità di allineamento” per il controllo SPF. (opzionale: se omesso il valore di default sarà aspf=r)
• pct: definisce la percentuale di email alle quali le regole del DMARC sono applicate. (opzionale: se omesso il valore di default sarà pct=100)
• fo: definisce le regole per quando deve essere generato il report DMARC. (opzionale: se omesso il valore di default sarà fo=0)
• rf: definisce il formato del report DMARC. (opzionale: se omesso il valore di default sarà rf=afrf)
• ri: definisce l’intervallo di tempo in secondi tra l’invio di un report DMARC e l’altro. (opzionale: se omesso il valore di default sarà ri=86400)

Per verificare la presenza del DMARK utilizzeremo invece questo link

mxtoolbox.com/SuperTool.aspx?a…

Facciamo un Test Finale

Una volta compreso questi metodi di autenticazione, potremmo fare un test di delivery utilizzando questo servizio

mail-tester.com/feed

Otterremo un punteggio da 1 a 10 che ci indicherà quanto completa è la configurazione.

Non meno importante il check del header. Qualora avessimo una mail sospetta potremmo prelevare e verificare se i parametri siano configurati correttamente e la mail sia correttamente autenticata è possibile usare questo strumento:

mxtoolbox.com/EmailHeaders.asp…

GESTORI DMARK

Come abbiamo visto è possibile gestire le segnalazioni mail a un indirizzo interno, ma potrebbe essere difficoltoso da comprendere e difficile avere una visione d’insieme delle campagne e mail segnalate..

Esistono dei tool che ci semplificano la vita, i report DMARK verranno inviati a questi servizi online.

Questi raccolgono questi dati, e li classificano, mostrandoli in modo semplice con dashboard grafiche.

Per citarne 2:

VALIMAIL: Valimail aiuta i professionisti IT e gli addetti al marketing non solo a implementare l’applicazione DMARC 4 volte più velocemente, ma anche a mantenerla, con una sicurezza maggiore rispetto a qualsiasi altra piattaforma di autenticazione e-mail.

valimail.com/feed

CLOUDFLARE: Cloudflare DMARC Management aiuta a monitorare ogni origine che invia email dal dominio e a esaminare i report Domain-based Message Authentication Reporting and Conformance (DMARC) per ogni origine. I report DMARC aiutano a capire se i messaggi inviati dal tuo dominio superano l’autenticazione DMARC, l’autenticazione DKIM e i criteri SFP.

developers.cloudflare.com/dmar…

Conclusioni

Abbiamo visto come funziona l’invio di una mail e le tecniche per difendere noi e gli altri da quelle fraudolente che potrebbero arrivare e il motivo per cui dovremmo difenderci attraverso gli antispam, che effettuano questi controlli per noi.

Essendo le mail uno dei principali vettori di attacco, consiglio vivamente di fare un piccolo check su tutti i domini in possesso, che solitamente impiega qualche decina di minuti per ridurre questi rischi.

Una volta configurati correttamente, non è più necessario intervenire su questi parametri, a meno che non aggiungete nuovi server smtp di inoltro. In questo caso sarà necessario aggiungere il nuovo server di inoltro nel SFP e il nuovo selettore nel DKIM.

Se sono presenti domini che non inviano mail (ma magari hanno siti web o landing page), è bene configurare anche questi domini privi di autenticazione che potrebbero essere usati per campagne di phishing o spoofing.

L'articolo SPF, DKIM e DMARC. Scopri Come Migliorare la Sicurezza delle Comunicazioni EMail proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-09-26 05:00:00

Bread Proofing Box for the Hungry Hacker

While normally more comfortable with a soldering iron, [LucidScience] recently took a dive into woodworking and hardware store electronics to build a DIY proofing box. It’s a clever design that doubles as furniture, with some cool problem-solving along the way. While it might not be your typical hack, repurposing seedling heat mats and working with insulation makes it a neat project for anyone who likes to tinker. Plus, the whole thing cranks out two loaves of sourdough bread each week!

The setup includes an 8 watt heat mat, typically used for aquariums or seedlings, and a temperature control box, so no complicated wiring is needed. The entire box is insulated with rigid foam, which makes it energy efficient—once the foam was installed, the heat mat only needed to turn on about a quarter of the time. To give it a more polished look, [LucidScience] hid the raw plywood edges with oak trim, and even added an adjustable vent for moisture control. Pretty slick for something built from basic materials and a few tools!

While this proofing box isn’t a groundbreaking electronics project, it shows how even simple hardware can be repurposed for entirely new applications. The combination of woodworking and basic electronics makes it an approachable project for DIYers looking to stretch their skills. Whether you’re into hacking, woodworking, or just love good bread, this build has something for everyone. [LucidScience]’s clear instructions and simple materials make this a great weekend project that can upgrade your baking game.

youtube.com/embed/swhsYEFDD-A?…

---

hackaday.com/2024/09/25/bread-…

Cybersecurity & cyberwarfare

2024-09-26 05:11:25

Aggiornare o Rischiare? Scopri i Pericoli Nascosti nei Software Obsoleti!

“Vecchio software, aggiorno o rischio il crash? Dilemma Eterno“. Aggiornare o non aggiornare? Questo è il dilemma che spesso attanaglia molti, tanto da essere stato inserito nella OWASP Top 10 con il nome di “Vulnerable and Outdated Components” (Componenti software Obsoleti e Vulnerabili…qui il sito ufficiale) . Mi sono immaginato intervistatore di un possibile CTO di una ipotetica azienda. Riferimenti a fatti o persone reali sono puramente casuali.

Un Caffè con il CTO

Oggi ci sediamo virtualmente con la nostra tazza di caffè (o tè, se preferite) e parliamo di qualcosa che potrebbe sembrare un po’ noioso, ma che è in realtà cruciale per la sicurezza della nostra azienda: i Componenti Vulnerabili ed Obsoleti. Sì, lo so, non è il tipo di argomento che fa scaldare i cuori, ma fidatevi di me, è importante!

Intervistatore: Oggi abbiamo l’onore di ospitare il nostro CTO, che ci parlerà di un tema cruciale per la sicurezza delle nostre applicazioni: i componenti vulnerabili ed obsoleti. Benvenuto CTO!

CTO: Grazie, è un piacere essere qui!

Intervistatore: Cominciamo con una domanda semplice. Può spiegarci cosa sono esattamente i componenti software vulnerabili ed obsoleti?

CTO: Pensate ai componenti software come ai mattoncini che usiamo per costruire le nostre applicazioni. Alcuni di questi mattoncini possono essere vecchi e non più supportati dai produttori. Quando parliamo di componenti vulnerabili, ci riferiamo a pezzi di software che hanno falle di sicurezza note. Gli obsoleti, invece, sono quelli che non ricevono più aggiornamenti o supporto. Entrambi possono rappresentare un grosso rischio per la sicurezza delle nostre applicazioni.

Intervistatore: Interessante! Può fare un esempio per aiutarci a capire meglio?

CTO: Immaginate di avere una vecchia auto d’epoca. Funziona ancora e ha anche un certo fascino, ma i pezzi di ricambio sono difficili da trovare e la sicurezza non è al livello delle auto moderne. I componenti software obsoleti sono simili: possono funzionare, ma sono più suscettibili agli attacchi e difficili da mantenere sicuri.

Componenti Obsoleti e Vulnerabili

Intervistatore: Parlando di sicurezza, quali sono i rischi associati all’utilizzo di questi componenti?

CTO: Il rischio principale è che le vulnerabilità nei componenti software possono essere sfruttate dai criminali informatici per accedere ai nostri sistemi. È come avere una serratura difettosa: se un ladro scopre che non funziona bene, cercherà sicuramente di entrare. Le vulnerabilità permettono ai malintenzionati di fare proprio questo, mettendo a rischio i dati e le operazioni dell’azienda.

Intervistatore: Capisco. E quali strategie adottare per affrontare questo problema?

CTO: Abbiamo diverse strategie in atto. Prima di tutto, monitoriamo costantemente i nostri componenti per assicurarci che siano aggiornati e privi di vulnerabilità note. Poi, applichiamo aggiornamenti e patch regolarmente testandoli prima su una infrastruttura speculare ma non produttiva. Utilizziamo anche strumenti che verificano automaticamente le nostre dipendenze software, avvisandoci se qualcosa non va. Teniamo sempre aggiornati i manuali in modo che tutti possano sapere le versioni dei software o librerie presenti in produzione. Infine, investiamo molto nella formazione continua del nostro team per essere sempre pronti ad affrontare nuove minacce.

Consigli per i Componenti Datati

Intervistatore: È rassicurante sapere che ci sono così tante misure in atto. C’è qualche consiglio che vorrebbe dare alle altre aziende che affrontano lo stesso problema?

CTO: Sicuramente. Il primo consiglio è di non sottovalutare l’importanza degli aggiornamenti. Possono sembrare noiosi, ma sono fondamentali per mantenere la sicurezza. Inoltre, investire in strumenti di monitoraggio e formazione del personale è essenziale. E, naturalmente, avere sempre un piano di backup per quando le cose non vanno come previsto.

Intervistatore: Grazie mille per questi preziosi consigli! Prima di salutarci, c’è qualcos’altro che vorrebbe aggiungere?

CTO: Solo una cosa: la sicurezza non è mai un argomento da prendere alla leggera. Un buon controllo oggi può risparmiarci grandi problemi domani. Grazie per avermi ospitato, e buon lavoro a tutti!

Intervistatore: Grazie a lei per aver condiviso la sua esperienza e competenza. E grazie a voi per averci seguito.

Dover modificare profondamente un software o delle procedure perché un elemento del nostro processo di lavoro è datato è una attività sicuramente noiosa e snervante, specialmente se il lavoro fatto in precedenza non è adeguatamente documentato. Dover sistemare le cose perché è entrato un malware…è decisamente peggio.

L'articolo Aggiornare o Rischiare? Scopri i Pericoli Nascosti nei Software Obsoleti! proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-09-26 02:00:49

Remembering CompuServe: the Online Experience Before the World Wide Web

July 1981 cover of CompuServe’s magazine.
Long before the advent of the Internet and the World Wide Web, there were other ways to go online, with Ohio-based CompuServe being the first to offer a consumer-oriented service on September 24, 1979. In an article by [Michael De Bonis] a listener-submitted question to WOSU’s Curious Cbus is answered, interspersed with recollections of former users of the service. So what was CompuServe’s contribution to society that was so important that the state of Ohio gave historical status to the building that once housed this company?

The history of CompuServe and the consumer-facing services which it would develop started in 1969, when it was a timesharing and remote access service for businesses who wanted to buy some time on the PDP-10s that Golden United Life Insurance as the company’s subsidiary used. CompuServe divested in 1975 to become its own, NASDAQ-listed company. As noted in the article, while selling timeshares to businesses went well, after business hours they would have these big computer systems sitting mostly idly. This was developed by 1979 into a plan to give consumers with their newfangled microcomputers like the TRS-80 access.

Originally called MicroNet and marketed by Radio Shack, the service offered the CompuServe menu to users when they logged in, giving access to features like email, weather, stock quotes, online shipping and booking of airline tickets, as well as online forums and interactive text games.

Later renamed to CompuServe Information Service (CIS), it remained competitive with competitors like AOL and Prodigy until the mid-90s, even buying one competitor called The Source. Ultimately it was the rise of Internet and the WWW that would close the door on this chapter of computing history, even as for CompuServe users this new Internet age would have felt very familiar, indeed.

---

hackaday.com/2024/09/25/rememb…

Cybersecurity & cyberwarfare

2024-09-25 23:00:17

The Statial-b Open Source Adjustable Mouse

Many of us are very heavy computer users, and two items that can affect our comfort and, by extension, our health are the keyboard and the mouse. We’ve covered many ergonomic and customisable keyboards over the years, but we are not sure we’ve covered a fully adjustable mouse until now. Here’s [Charlie Pyott] with their second take on an adjustable mouse, the open source, statial-b.

[Charlie] goes into an extensive discussion of the design process in the video after the break, which is a fascinating glimpse into the methods used by a professional industrial designer. The statial concept breaks the contact surfaces of the mouse into fixed and moveable sections. The moveable sections are attached to the mouse core via a pair of ball joints connected with extendible arms, allowing the surfaces to be adjusted for both position and orientation. The design process starts with 3D scanning their ‘workhorse mouse,’ a Razer Deathadder Elite. This creates a reference volume within which the statial body should fit in its minimal configuration.
So which mouse grip style are you into?
The design has a fixed central core, with each button (including the central scroller) separately adjustable. The side panel with a pair of thumb buttons is also moveable. Creating a model in Rhino 3D working with the grasshopper visual programming environment [Charlies] explored the surface constraints for the base, claw, finger and vertical grip styles common among mouse users. This model was then fed into Fusion 360 for the detailed design. After completing the design, it was passed back into Rhino 3D to add lattice effects to the panel. This helps reduce weight and lets the internal LEDs shine through. The design is intended for resin printing, so you could go wild with the visuals by missing custom resins if you were so inclined.

For the electronics, [Charlie] based the design around an Arduino Pro Micro, taking input from a PWM3389 laser direction sensor module. These are soldered to a simple base PCB, which also houses PH series connectors for the moveable switches to hook into. Check out the GitHub project page for all the files and an excellent build guide! As mentioned earlier, we don’t see many custom mouse hacks, but here’s a nice DIY gaming mouse to look into. If desk space is tight, perhaps a DIY trackball is in order? And while thinking about input devices, what about a neat DIY PCB-coil 3D mouse?

youtube.com/embed/HTKbrcy7GT0?…

Thanks to [Keith] for the tip!

---

hackaday.com/2024/09/25/the-st…

Cybersecurity & cyberwarfare

2024-09-25 20:00:12

A DaVinci Screw-Cutting Machine

It’s not news that Leonardo DaVinci was somewhat ahead of his time, and over the centuries many of the creations in his sketchbooks have been created and proved quite functional. The guys from the YouTube channel How To Make Everything have been looking at one such sketch, a screw thread-cutting machine. At first glance, it seems a little flawed. Threads are hard to make by hand, and you can see that this thread-cutting machine needs two identical threads operating as a reference to make it work. However, as the guys demonstrate, you can create threads by hand using simple methods.

Starting with an offset blade mounted on a block with a hole through it, a dowel can be scribed with a starter thread. This can then be worked by hand to cut enough of a groove for the application. They demonstrated that the machine was viable using nothing but wood for construction. A metal blade was mounted, and some preload force was applied to it with a spring. The dowel to be cut was loaded, and the machine ran back and forth enough times to create a very nice-looking screw thread. And once you’ve made two identical threaded dowels, you can use them to upgrade the machine or even build a second. Once you have a repeatable way to make such threads, all kinds of applications become more accessible. Need a bench vice? No problem now!

Whilst the demonstration doesn’t precisely follow the plans laid out by the master inventor, they aren’t all that clear on the cutting tool after all, it’s nice to see people still wanting to build his ideas, and we’ll certainly be following along.

If you like these “from scratch” builds, you’ll like this other one. Leonardo’s work wasn’t just about machines; he was also very interested in science. Here’s a recreation of his demonstration of gravity as a form of acceleration.

youtube.com/embed/cdqTrMHQET8?…

Thanks to [Keith] for the tip!

---

hackaday.com/2024/09/25/a-davi…

Cybersecurity & cyberwarfare

2024-09-25 18:52:52

Crisi nel mondo Open Source. Si rischia di perdere il 60% dei manutentori

Tidelift, azienda specializzata nel supporto e nella manutenzione di software open source, ha pubblicato il rapporto “2024 State of the Open Source Mantainer” . Lo studio si basa su un sondaggio condotto su 437 manutentori di progetti Open Source e rivela una serie di problemi e tendenze in quest’area.

Secondo il rapporto, il 12% degli intervistati riceve la maggior parte del proprio reddito da progetti Open Source. Gli sviluppatori che svolgono attività di manutentore come hobby non retribuito è pai al 60%, di cui il 44% vorrebbe ricevere un compenso monetario per il proprio contributo. Rispetto allo scorso anno la distribuzione delle risposte è rimasta pressoché invariata.

I manutentori pagati per il loro lavoro dedicano molto più tempo allo sviluppo dei progetti. Tra i manutentori “professionali” retribuiti, l’82% dedica più di 20 ore settimanali allo sviluppo. Tra i “dilettanti” solo l’8% degli intervistati può permettersi un carico di lavoro così temporaneo.

I manutentori “professionisti” hanno notato che i finanziamenti hanno permesso loro di lavorare su richieste di nuove funzionalità (64%), investigare e correggere bug e problemi di sicurezza (52%) e reclutare altri manutentori (26%).

Negli ultimi tre anni si è verificato un cambiamento significativo nella distribuzione del tempo dedicato alle questioni di sicurezza. Se nel 2021 trascorrevano il 4% del tempo, ora questa cifra ha raggiunto l’11%. Allo stesso tempo, i manutentori retribuiti dedicano il 13% del loro tempo alla sicurezza rispetto al 10% dei colleghi non retribuiti.

Dallo studio è emerso che il 60% dei manutentori ha pensato di abbandonare il progetto e il 22% lo ha già fatto. Tra i principali motivi di insoddisfazione per il proprio ruolo nel progetto, gli intervistati hanno citato: pagamento insufficiente o mancato (50%), sentirsi sottovalutati (48%), stress aggiuntivo (43%) e aspettative gonfiate degli utenti (39%).

Il rapporto dimostra anche il cambiamento della struttura per età della comunità dei manutentori. Negli ultimi tre anni, la percentuale di sviluppatori di età compresa tra 46 e 55 anni o tra 56 e 65 anni è raddoppiata. Allo stesso tempo, la percentuale dei manutentori sotto i 26 anni è scesa dal 25% nel 2021 al 10% quest’anno.

È interessante notare che il 45% degli intervistati sono manutentori Open Source da più di 10 anni.

L'articolo Crisi nel mondo Open Source. Si rischia di perdere il 60% dei manutentori proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-09-25 18:59:18

Reviving a 15-Year Old Asus eeePC With Modern MX Linux

Welcome back to 2010 and the Asus eeePC Netbook, Seashell series. (Credit: Igor Ljubuncic)
It’s often said these days that computers don’t become outdated nearly as quickly as they did in the past, with even a decade-old computer still more than capable of handling daily tasks for the average person. Testing that theory, [Igor Ljubuncic] revisited the Asus eeePC which he purchased back in 2010. Although it’s not specified exactly which model it is, it features an Intel Atom N450 (1 core, 2 threads) running at 1.67 GHz, 1 GB of 667 MHz DDR2 and a 250 GB HDD, all falling into that ultra-portable, 10.1″ Netbook category.

When new, the netbook came with Windows 7 Starter Edition, which [Igor] replaced with Ubuntu Netbook Remix 10.04, which was its own adventure, but the netbook worked well and got dragged around the world on work and leisure assignments. With increasingly bloated updates, Ubuntu got replaced by MX Linux 18, which improved matters, but with the little CPU struggling more and more, [Igor] retired the netbook in 2019. That is, until reviving it recently.

Upon booting, the CMOS battery was of course empty, but the system happily continued booting into MX Linux. The Debian update repositories were of course gone, but changing these to the archive version allowed for some (very old) updates. This raised the question of whether modern Linux would even run on this ancient Atom CPU, the answer of which turned out to be a resounding ‘yes’, as MX Linux still offers 32-bit builds of its most recent releases. A 15 minute upgrade process later, and a 2 minute boot later, the system was running a Linux 6.1 kernel with Xfce desktop.

As for the performance, it’s rather what you expect, with video playback topping out at 480p (on the 1024×600 display) and applications like Firefox lacking the compact density mode, wasting a lot of screen space. Amazingly the original battery seems to still deliver about half the runtime it did when new. All of which is to say that yes, even a ‘low-end’ 2010-era netbook can still be a very usable system in 2024, with a modern OS.

---

hackaday.com/2024/09/25/revivi…

Cybersecurity & cyberwarfare

2024-09-25 18:30:21

FLOSS Weekly Episode 802: Emba – Layers Upon Layers of Bash

This week Jonathan Bennett and and Randal Schwartz chat with Michael and Benedikt about Emba, the embedded firmware analyzer that finds CVEs and includes the kitchen sink! It does virtualization, binary analysis include version detection, and more. Check it out!

• github.com/e-m-b-a/
• github.com/e-m-b-a/emba/wiki#p…
• medium.com/@iugkhgf/leveraging…
• youtu.be/8sXyRv21jPY?si=J9H3HK…
• github.com/e-m-b-a/emba/wiki/R…

youtube.com/embed/LycT0T4SUfM?…

Did you know you can watch the live recording of the show Right on our YouTube Channel? Have someone you’d like us to interview? Let us know, or contact the guest and have them contact us! Take a look at the schedule here.

play.libsyn.com/embed/episode/…

Direct Download in DRM-free MP3.

If you’d rather read along, here’s the transcript for this week’s episode.

Places to follow the FLOSS Weekly Podcast:

• Spotify
• RSS

---

hackaday.com/2024/09/25/floss-…

Cybersecurity & cyberwarfare

2024-09-25 17:00:42

2024 Hackaday Superconference Speakers, Round Two

It’s honestly amazing the range of fascinating talks we have lined up for this year’s Supercon. From art robots that burp and belch to gliders returning from near-space, from hardcore DSP to DIY PCBs, and sketching with machines, Hackaday’s Supercon is like nothing else out there.

And in case you’re already coming, you don’t have a talk slot reserved, but you’ve still got something that you want to say, please sign yourself up for a Lightning Talk! In the spirit of the Lightning, we’ll be taking submissions up to the absolute last minute, and we will fit in as many short talks as possible, but when it does fill up, we’ll be giving priority to those who got in first.

We’ve got one more speaker announce coming up, and of course our keynote speaker and the badge reveal. Supercon will sell out so get your tickets now before it’s too late. So without further ado, here is our next round of stellar speakers!

Katherine Connell
Sprite Lights: LED Body Art

Sprite Lights are 1.5 mm thick LED body art, think a light up temporary tattoo. Join Katherine “Smalls” Connell to hear about the 6-year journey to create the impossible as a self taught maker. From hundreds of rapid prototypes, and smelting metal in her driveway to reflowing home made flexible circuits on a griddle, Sprite Lights is a testament that when you’re willing to try anything, you can create everything.

James Rowley
Using an Oscilloscope to Peek Below the Noise Floor

In this talk, we will explore the DSP magic that allows lock-in amplifiers to detect signals hidden below the noise floor. By making a change to the measurement setup, these devices can isolate and measure faint signals amidst noise a hundred dB higher. Lock-in amplifiers are used in various applications, from sensitive photonics research to next-generation battery research and quantum computing.
We’ll also show you how to use your oscilloscope as a lock-in amplifier, enabling a low-cost entry point to these niche instruments.

Nanik Adnani
A Hacker’s Guide to Analog Design in a Digital World

When someone says analog design – what do you think of? If I had to guess I would say you don’t associate it with modern technology. And yet – analog circuits and the designers that build them play a critical role in every modern electronic device, especially the digital ones. In this talk I will provide an overview of the incredible analog circuits in our pockets, and often already in our projects. Once you’re convinced – I’ll show that analog design isn’t as hard as you think and how a few simple concepts can significantly improve your next project, while providing examples with some of mine.

Justin McAllister and Nick Foster
Finding Beamo – from interference to numbers stations, how to track down radio transmissions

In a world increasingly reliant on wireless communication, the ability to track down and understand the sources of radio transmissions has never been more critical. From identifying interference in urban environments to the enigmatic world of numbers stations, “Finding Beamo” will take the audience on a journey through the fascinating and often mysterious world of locating radio transmissions.

Randy Glenn
Yes, you CAN use the Controller Area Network outside of cars

The Controller Area Network (CAN) is used in cars, trains, buses, planes, and spacecraft – but it’s useful for all sorts of cases where systems need to communicate. I’ll talk about how you can use this technology to transfer data between microcontrollers and larger computers, and will present an example application that you can use as a starting point.

Yohan Hadji
Ultralight Glider Returns Home from the Stratosphere

This talk will give you an overview of all the technical challenges to solve to get a sub-250g UAV to autonomously return to home after releasing from a stratospheric balloon at 100,000 ft altitude.

Zach Fredin
The Circuit Graver

We all must strive to minimize iteration time. Designing and testing an idea in a single sitting spawns great things! It’s why we visit fab labs and love laser cutters and push the 3D printers in the corners of our apartments to the absolute limit. But circuit tools haven’t kept up; once you’re done mashing together breakout boards, your choices of milling, conductive-pasting, or home etching all leave a bit to be desired; they’re often messy, delicate, and lack the precision to reach the funnest parts in the catalog. Ugh, I need to go smaller than SOICs, and I don’t want to wait a week for commercial boards!

Here, I present and freely share significant progress on a novel method I’ve been poking at over the last few years which demonstrates the feasibility of fabricating 4/4 PCBs at home!

Priyanka Makin
Tech to Hack Embodiment

Tech constantly takes us out of the present moment and beckons us into the internet wormhole, but can we use technology to explore our emotions and root us in the now or even our physical bodies? At supercon, I would love to talk about my Body of Work series and how I used technology to interrogate my own embodiment.

My Body of Work is a series of tech-powered body part sculptures that relate to my own relationship with my body and come together to make an unconventional self-portrait. I’d like to start my talk with a bit of my research on the origins of artificial life, what embodiment is, and why acknowledging our bodies is important.

Blair Subbaraman
Sketching with Machines

Artists, craftspeople, and scientists are highly skilled makers. Yet, software for making physical things often overlooks existing skill sets, forcing practitioners to work against built-in assumptions to accomplish their goals. Using examples from digital art, ceramics, and plant biology, this talk will consider how creative practices can guide the development of digital fabrication systems and communities.

Eduardo Contreras
“Cats Turned Plumbers: Embedded Linux Adventures”

A bit of our journey deploying embedded Linux systems, and integrating drivers on the Linux kernels, from the hardware, to the kernel.

[If you read this far, you probably want tickets. Just sayin’.]

---

hackaday.com/2024/09/25/2024-h…

Cybersecurity & cyberwarfare

2024-09-25 14:40:18

Deepfake, rischio disinformazione per un italiano su due. L’indagine Ipsos

@Informatica (Italy e non Italy 😁)
L’indagine Ipsos sul fenomeno deepfake, tra consapevolezza e preoccupazione Il 46% degli italiani crede che l’intelligenza artificiale aumenti di molto il rischio di disinformazione, secondo una nuova indagine Ipsos dal titolo “Deepfake: consapevolezza e

Cybersecurity & cyberwarfare

2024-09-25 14:09:27

Octo2: Il Trojan che colpisce gli utenti Android sbarca in Europa

In Europa si sta diffondendo una nuova variante del malware Android chiamata Octo2, che è una versione migliorata di Octo (ExobotCompact). Secondo gli esperti di ThreatFabric, la nuova versione potrebbe avere un impatto significativo sul panorama della sicurezza informatica.

Octo2 è un aggiornamento di un malware popolare tra i criminali informatici, distribuito secondo il modello Malware-as-a-Service (MaaS). Questa versione presenta funzionalità migliorate per il controllo remoto dei dispositivi delle vittime e l’uso di nuovi metodi di camuffamento, inclusa la generazione di nomi di dominio (DGA), che consente di aggirare i meccanismi di sicurezza e non essere rilevati.

La famiglia Exobot è stata notata per la prima volta nel 2016 come trojan bancario in grado di eseguire attacchi di overlay di interfaccia e intercettare chiamate e messaggi. Nel 2019 è apparsa una versione leggera di ExobotCompact e già nel 2021 la sua variante migliorata chiamata Octo. È stata questa versione a diventare la base per ulteriori modifiche.

Nel 2022, i criminali informatici hanno discusso attivamente di Octo nei forum clandestini. Da allora l’attività del malware non ha fatto altro che aumentare e presto ha cominciato ad essere utilizzato in diverse regioni del mondo, tra cui Europa, Stati Uniti e Asia.

Il cambiamento principale nel 2024 è dovuto alla fuga del codice sorgente di Octo, che ha portato a diversi fork del programma. Tuttavia, la minaccia più grande è l’originale Octo2, sviluppato dal creatore di Octo e distribuito a coloro che in precedenza utilizzavano la prima versione.

Octo2 ha ricevuto aggiornamenti significativi, inclusi miglioramenti alla stabilità della gestione remota dei dispositivi e metodi per aggirare i sistemi di rilevamento e analisi. Octo2 dispone anche di un sistema che permette di intercettare le notifiche push provenienti dai dispositivi delle vittime e di nasconderle, privando così gli utenti di avvisi importanti. Ciò rappresenta una minaccia per molte applicazioni mobili poiché gli aggressori possono facilmente reindirizzare i dati ed eseguire attività fraudolente.

Le prime campagne con Octo2 sono già state registrate in paesi come Italia, Polonia, Moldavia e Ungheria. Il malware si maschera da applicazioni popolari come Google Chrome e NordVPN, permettendogli di intrufolarsi nei dispositivi degli utenti senza essere notato.

Nelle campagne rilevate, il servizio Zombinder funge da prima fase di installazione: dopo il lancio, Zombinder richiede l’installazione di un “plugin” aggiuntivo, che in realtà è Octo2, aggirando così con successo le restrizioni di Android 13+. Zombinder richiede l’autorizzazione per installare un “plug-in richiesto” sotto forma di trojan Octo2

Uno degli elementi chiave di Octo2 è stata l’integrazione di un nuovo metodo di generazione dei nomi di dominio (Domain Generation Algorithm, DGA), che consente al malware di cambiare dinamicamente i server di controllo (C2). Ciò rende difficile per i ricercatori e le aziende antivirus poiché i nuovi domini vengono creati automaticamente, rendendoli più difficili da bloccare.

Inoltre, Octo2 utilizza un nuovo sistema di crittografia dei dati trasmessi ai server di controllo, con una chiave dinamica per ogni richiesta, che migliora la protezione dall’analisi e dal rilevamento.

Considerando il suo migliore accesso remoto e le sue capacità invisibili, Octo2 rappresenta una seria minaccia per gli utenti mobili, in particolare quelli che utilizzano applicazioni bancarie. Il programma è in grado di eseguire silenziosamente operazioni fraudolente direttamente sul dispositivo della vittima, il che rende il malware uno dei trojan mobili più pericolosi.

L'articolo Octo2: Il Trojan che colpisce gli utenti Android sbarca in Europa proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-09-25 15:14:39

Deepfake, rischio disinformazione per un italiano su due. L’indagine Ipsos

@Informatica (Italy e non Italy 😁)
L’indagine Ipsos sul fenomeno deepfake, tra consapevolezza e preoccupazione Il 46% degli italiani crede che l’intelligenza artificiale aumenti di molto il rischio di disinformazione, secondo una nuova indagine Ipsos dal titolo “Deepfake: consapevolezza e

Cybersecurity & cyberwarfare

2024-09-25 15:30:00

Copper Bling Keeps Camera Chill

Every action camera these days seems prone to overheating and sudden shutdowns after mere minutes of continuous operation. It can be a real pain, especially when the only heat problem a photographer might face back in the day was fogged film from storing a camera in a hot car. Then again, the things a digital camera can do while it’s not overheated are pretty amazing compared to analog cameras. Win some, lose some, right?

Maybe not. [Zachary Tong], having recently acquired an Insta360 digital camera, went to extremes to solve its overheating problem with this slick external heat sink project. The camera sports two image sensor assemblies back-to-back with fisheye lenses, allowing it to capture 360° images, but at the cost of rapidly overheating. [Zach]’s teardown revealed a pretty sophisticated thermal design that at least attempts to deal with the excess heat, including an aluminum heat spreader built into the case, which would be the target of the mod.

He attached a custom copper heatsink to a section of the heat spreader, which had been carefully milled flat to provide the best thermal contact. [Zach] used a fancy boron nitride heat transfer paste and attached the heat sink to the spreader with epoxy. A separate aluminum enclosure was bonded to the copper heat sink, giving [Zach] a place to mount his audio sync and timecode recorder and providing extra thermal mass.

Does it help? It sure seems to; where [Zach] was previously getting about twenty minutes before thermal shutdown with both cameras running, the heatsink-adorned rig was able to run about six times longer, with the battery giving out first. True, the heatsink takes away from the original sleek lines of the camera and might make it tough to use while snowboarding or surfing, but it’s still more portable than some external camera heatsinks we’ve seen. And besides, the copper is pretty gorgeous.

youtube.com/embed/IpzBdVeJ_jo?…

---

hackaday.com/2024/09/25/copper…

Cybersecurity & cyberwarfare

2024-09-25 15:40:57

Deepfake, rischio disinformazione per un italiano su due. L’indagine Ipsos

@Informatica (Italy e non Italy 😁)
L’indagine Ipsos sul fenomeno deepfake, tra consapevolezza e preoccupazione Il 46% degli italiani crede che l’intelligenza artificiale aumenti di molto il rischio di disinformazione, secondo una nuova indagine Ipsos dal titolo “Deepfake: consapevolezza e

Cybersecurity & cyberwarfare

2024-09-25 14:01:28

Tech in Plain Sight: Zipper Bags

You probably think of them as “Ziploc” bags, but, technically, the generic term is zipper bag. Everything from electronic components to coffee beans arrive in them. But they weren’t always everywhere, and it took a while for them to find their niche.
Image from an early Madsen patent
A Dane named Borge Madsen was actually trying to create a new kind of zipper for clothes in the 1950s and had several patents on the technology. The Madsen zipper consisted of two interlocking pieces of plastic and a tab to press them together. Unfortunately, the didn’t work very well for clothing.

A Romanian immigrant named Max Ausnit bought the rights to the patent and formed Flexigrip Inc. He used the zippers on flat vinyl pencil cases and similar items. However, these still had the little plastic tab that operated like a zipper pull. While you occasionally see these in certain applications, they aren’t what you think of when you think of zipper bags.

Zipping

Ausnit’s son, Steven, figured out how to remove the tab. That made the bags more robust, a little handier to use, and it also rendered them less expensive to produce. Even so, cost was a barrier because the way they were made was to heat seal the zipper portion to the bags.

That changed in the 1960s when the Ausnits learned of a Japanese company, Seisan Nippon Sha, that had a process to integrate the bags and zippers in one step which slashed the production cost in half. Flexigrip acquired the rights in the United States and created a new company, Minigrip, to promote this type of bag.

Enter Dow

In 1964, Dow Chemical wanted to acquire the rights to the Minigrip bags to sell in supermarkets using Down’s polyethylene bags. And with this marriage, the Ziploc bag as we know it was born.

Dow continued driving down the cost, tasking R. Douglas Behr to improve how the Ziploc production line worked. Eventually, the bags were flying off the line at 150 feet per minute.

You can find plenty of videos of machines that “make” zipper bags on YouTube (like the one below). Many of them are surprisingly light on detail, and it isn’t clear now how many of them are molding zippers and how many are sealing premade zippers to bags or using rolls of bags with zippers in them already. However, the video below shows making “zip lines” from pellets and then creating bags from film. This creates giant rolls of zipper bag stock which are then cut into individual bags.

youtube.com/embed/ivPZQNOEDWo?…

Slow Start

At first, consumers weren’t sure what to do with the zipper bags. Supposedly, a record company was set to put records in the bags but when an executive handed one to his assistant, the assistant ripped the bag open without using the zipper.

Regardless, consumers finally figured it out. Now, the zipper bag is a staple in electronics, food storage, and many other areas, too.

More Than Meets the Eye

Even the most ordinary things have details you don’t think about, but someone does. For example, zip bags can have one, two, or three zippers. Some have color indicators that show the seal. Some have strips that conceal the zipper so you can tell if the bag was opened.

There are special zippers for liquids and different ones that resist getting powder stuck in the seal. Some zip bags still have pulls, and some of those pulls are child-proof, requiring the user to pinch the tab to slide it. You can even get zipper bags that don’t use locking zippers but hook-and-loop closures.

Even though zipper bags don’t seem very glamorous, you can learn a lot from the Ausnits. Improve your product in ways that make people want to use it. Also, improve your product in ways that lower costs. We’d guess that when Ausnit bought the zipper patents, he’d never imagine how the market would grow.

You can see a talk from Steve Ausnit at Marquette University in the video below. If you’ve ever had the urge to be an entrepreneur, you can learn a lot from his talk.

youtube.com/embed/abSGq9cE6G8?…

---

hackaday.com/2024/09/25/tech-i…

Cybersecurity & cyberwarfare

2024-09-25 13:01:16

Google accuses Microsoft of stifling cloud competition in fresh antitrust complaint

Google has filed an antitrust complaint accusing Microsoft of unfair licensing practices in cloud computing contracts with the EU Commission on Wednesday (25 September).

---

euractiv.com/section/competiti…

Cybersecurity & cyberwarfare

2024-09-25 11:36:58

ITU CYBER SECURITY INDEX 2024

L’Italia è un Paese modello per la sua postura nella cybersicurezza. A dirlo è l’ITU, l’International Telecommunication Union, agenzia delle Nazioni Unite specializzata in ICT, che promuove a pieni voti (100/100) il nostro Paese nel report Global Cybersecurity Index 2024. Con questa pubblicazione, giunta alla quinta edizione, l’agenzia ONU valuta il livello di maturità della cybersicurezza di oltre 190 Paesi, prendendo come parametro 5 aspetti: legale, tecnico, organizzativo, sviluppo delle capacità e cooperazione. L’ITU suddivide i Paesi in gruppi: dai più virtuosi (Tier 1) a quelli in via di costruzione (Tier 5). Il primo gruppo, a cui si accede con un voto minimo di 95/100, è composto dai 46 Paesi che hanno dimostrato un forte impegno nel settore, coordinando le attività del governo con quelle dei privati e dimostrando solidità in tutti e cinque i parametri.

L’Italia è stata quindi promossa per la normativa nazionale sulla cybersicurezza e sul cybercrime, le sue capacità tecniche come la presenza di un CSIRT nazionale, l’adozione di una strategia nazionale e la presenza di un’agenzia governativa specializzata (l’ACN appunto), gli incentivi per lo sviluppo, il miglioramento delle competenze e della consapevolezza. E, infine, per la collaborazione a livello internazionale e con i privati.

Per la rilevazione, ogni Paese ha compilato un questionario tramite il punto di contatto, che per l’Italia è l’Agenzia per la cybersicurezza nazionale. I dati così raccolti sono stati arricchiti e verificati da fonti indipendenti. Il report 2024 è stato realizzato analizzando 30mila url e più di mille pdf, fa sapere l’ITU.

Nonostante il miglioramento globale nella postura di cybersicurezza, l’ITU invita a non abbassare la guardia. Tra le minacce persistenti segnala: i ransomware, gli attacchi informatici – che toccano industrie chiave causando anche interruzioni di servizi – e le violazioni della privacy che riguardano individui e organizzazioni.

---

dicorinto.it/agenzia-per-la-cy…

Cybersecurity & cyberwarfare

2024-09-25 10:00:19

From 12 to 21: how we discovered connections between the Twelve and BlackJack groups

While analyzing attacks on Russian organizations, our team regularly encounters overlapping tactics, techniques, and procedures (TTPs) among different cybercrime groups, and sometimes even shared tools. We recently discovered one such overlap: similar tools and tactics between two hacktivist groups – BlackJack and Twelve, which likely belong to a single cluster of activity.

In this report, we will provide information about the current procedures, legitimate tools, and malware used by the BlackJack group, and demonstrate their similarity to artifacts found in Twelve’s attacks. We will also analyze another recently discovered activity that has much in common with the activity of the potential cluster.

Who are BlackJack?

BlackJack is a hacktivist group that emerged at the end of 2023, targeting companies based in Russia. In their Telegram channel, the group states that it aims to find vulnerabilities in the networks of Russian organizations and government institutions.

As of June 2024, BlackJack has publicly claimed responsibility for over a dozen attacks. Our telemetry also contains information on other unpublicized attacks, where indicators suggest BlackJack’s involvement.

The group only uses freely available and open-source software, such as the SSH client PuTTY or the wiper Shamoon, which has been available on GitHub for several years. This confirms that the group operates as hacktivists and lacks the resources typical of large APT groups.

Malware and legitimate tools in BlackJack attacks

Wiper – Shamoon

BlackJack uses a version of the Shamoon wiper written in Go in their attacks. Static analysis helped us extract the following characteristic strings:

Strings from the wiper

During our research, we found Shamoon samples in the following locations:
Sysvol\domain\scripts
\\[DOMAIN]\netlogon\
C:\ProgramData\

Ransomware – LockBit

In addition to the wiper, BlackJack also uses a leaked version of the LockBit ransomware to harm their victims.

Verdicts with which BlackJack’s version of LockBit was detected, source: Kaspersky Threat Intelligence Portal (TIP)

We found the ransomware in the same directories as the wiper:
Sysvol\domain\scripts
\\[DOMAIN]\netlogon\
C:\ProgramData\
The network directories for placing the malware were not chosen at random. This allows the attackers to spread their samples across the victim’s infrastructure and later place them in
C:\ProgramData\ for further execution in the system.
To launch LockBit, the attackers use scheduled tasks containing the following command line (the 32-character password may vary depending on the host or victim):
C:\ProgramData\bj.exe -pass aa83ec8e98326e234260ebb650d48f20
The ransom note only contains the name of the group:

Contents of the LockBit ransom note

This confirms that the group is not aiming for financial gain, but rather to cause damage to the compromised organization.

Ngrok

To maintain persistent access to compromised victim resources, the attackers use tunneling with the common ngrok utility. We found the utility and its configuration file in the following directories:

Paths	Description
\Users\[USER]\Downloads\ngrok-v3-stable-windows-amd64.zip	Archive containing executable and configuration files.
\Program Files\Windows Media Player\ngrok.exe	Ngrok executable file.
\Users\[USER]\AppData\Local\ngrok\ngrok.yml	Configuration file containing an authentication token and other information.

Here is a list of commands related to ngrok execution:

Commands	Description
.\ngrok.exe config add-authtoken <TOKEN>	Ngrok authentication process.
Start-Process -FilePath "ngrok.exe" -WindowStyle Hidden -ArgumentList 'tcp 3389'	Launches the ngrok.exe process and creates a TCP tunnel on port 3389 (RDP).
.\ngrok.exe tcp 3389	Alternative for creating a TCP tunnel on port 3389 (RDP).
.\ngrok.exe udp 3389	Creates a UDP tunnel on port 3389 (RDP).

Radmin, AnyDesk, PuTTY

To ensure remote access to the system, BlackJack installs various remote access tools (RATs). Judging by the incidents we studied, the attackers initially attempted to use the Radmin utility, but all the external connections we observed were made through AnyDesk.

During the RAT installation, the attackers created the following services:

Service name	Launch commands
Radmin Server V3	"C:\Windows\SysWOW64\rserver30\RServer3.exe" /service
raddrvv3	C:\Windows\SysWOW64\rserver30\raddrvv3.sys
AnyDesk Service	"C:\Program Files (x86)\AnyDesk\AnyDesk.exe" --service

Additionally, the popular SSH client PuTTY was used to connect to certain hosts within the infrastructure.

Connection with the Twelve group

The malware and legitimate tools described above significantly overlap with the arsenal of the hacktivist group Twelve. This group also relies on publicly available software and does not use proprietary tools in its attacks.

Most of the connections and overlaps between the two groups were discovered through Kaspersky Security Network (KSN) telemetry and Kaspersky Threat Intelligence solutions. KSN telemetry is anonymized data from users of our products who have consented to share and process this information.

Malware sample similarities

Let’s first examine the similarities between the ransomware and wiper samples from the BlackJack and Twelve groups. Below is the information from the Kaspersky Threat Intelligence Portal (TIP) on the LockBit ransomware file discovered while investigating the BlackJack attacks:

BlackJack file information

The sample is named bj.exe, presumably an abbreviation for the BlackJack group. Among other things, the TIP page shows a list of similar files compiled using the Similarity technology, which identifies files with similar patterns. Although the sample used by the hacktivists was created with the leaked LockBit builder, Similarity first identifies the most closely related files. Note the first hash in the list: 39B91F5DFBBEC13A3EC7CCE670CF69AD.

List of similar files

Checking this hash on the Threat Intelligence Portal reveals that it was mentioned in our recent investigation into the Twelve group.

This suggests that the two groups use similar LockBit samples. Additionally, analysis of the configuration of the two samples (BlackJack and Twelve) showed that their exclusion lists (files, directories, and extensions to leave unencrypted) are identical.

Just like the BlackJack’s LockBit sample, the Twelve group’s ransomware also has a list of similar files.

List of similar files

Upon checking one of them (underlined in red on the screenshot), we found that the file was also named
bj.exe. This means that it is another instance of the BlackJack group’s ransomware, further indicating that the two groups use nearly identical LockBit samples.
Below is a list of paths where LockBit samples were found during the investigation of incidents related to the BlackJack and Twelve groups:

BlackJack	Twelve
\\[DOMAIN]\netlogon\	\\[DOMAIN]\netlogon\
C:\ProgramData\	C:\ProgramData\
Sysvol\domain\scripts	–

Summing up the ransomware analysis, we can draw the following conclusions:

• Both groups use similar LockBit ransomware samples;
• The paths where these samples were found are almost identical.

Let’s continue searching for further connections.

Wiper reuse

The study of wiper samples from incidents involving the BlackJack and Twelve groups also revealed similarities between them.

Both wipers overwrite the MBR record with almost identical placeholder strings:

MBR placeholder of the BlackJack wiper

MBR placeholder of the Twelve wiper

By analyzing the BlackJack wiper on the Threat Intelligence Portal, we found that in some cases it was extracted from the following archive:

Information about the archive containing the BlackJack wiper

Examining the archive, we found the Chaos ransomware – 646A228C774409C285C256A8FAA49BDE:

Ransomware file in the archive

Moreover, this file was mentioned in our report on the Twelve group. That is, malware from both groups is distributed in the same archive.

Checking the file names and paths, we discovered a familiar network directory
\sysvol\domain\script.

File names and paths

In addition, during our investigation of attacks carried out by the Twelve group, we also found the use of Shamoon-based wipers. Moreover, according to KSN data, a specific variant of Shamoon, which was involved in BlackJack group attacks, was also seen in some Twelve attacks.

Similar to the analysis of the LockBit ransomware, we decided to study the paths where the wipers were found in incidents related to the BlackJack and Twelve groups. As you can see from the table below, these paths are identical:

BlackJack	Twelve
Sysvol\domain\scripts	Sysvol\domain\scripts
\\[DOMAIN]\netlogon\	\\[DOMAIN]\netlogon\
C:\ProgramData\	C:\ProgramData\

Summing up the analysis of the Shamoon wiper, we can confidently say that both groups use it or its components in their attacks and place them in identical directories. Moreover, the version of Shamoon that became available as a result of the leak was written in C#, whereas the variants of this wiper used in the BlackJack and Twelve attacks were rewritten in Go, further supporting the connection between these groups.

Familiar commands and utilities

In addition to the connections identified through analyzing the malware samples, we also discovered overlaps in the commands and tools used by both groups.

Below are the commands found in the BlackJack and Twelve group attacks.

Creating scheduled tasks:

BlackJack	Twelve
reg:\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{ID}:Actions","`powershell.exe` Copy-Item `\\[DOMAIN]\netlogon\bj.exe` -Destination `C:\ProgramData`	reg:\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{ID}:Actions","`POWERSHELL.EXE` Copy-Item `\\[DOMAIN]\netlogon\twelve.exe` -Destination `C:\ProgramData'
reg:\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{ID}:Actions","`powershell.exe` Copy-Item `\\[DOMAIN]\netlogon\wip.exe` -Destination `C:\ProgramData`	reg:\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{ID}:Actions","`powershell.exe` Copy-Item `\\[DOMAIN]\netlogon\wiper.exe` -Destination `C:\ProgramData'

Clearing event logs:

BlackJack	Twelve
powershell -command wevtutil el | Foreach-Object {Write-Host Clearing $_; wevtutil cl $_}	powershell -command wevtutil el | Foreach-Object {Write-Host Clearing $_; wevtutil cl $_}

As you can see, apart from the names of the executable files, the commands are identical.

The list of publicly available utilities used by the groups also partially overlaps:

BlackJack	Twelve
Mimikatz PsExec Ngrok PuTTY XenAllPasswordPro Radmin AnyDesk	Mimikatz PsExec Ngrok PuTTY XenAllPasswordPro chisel BloodHound adPEAS PowerView RemCom CrackMapExec WinSCP

New activity

During our research, we also discovered another activity that closely resembles the ones described above. At this point, we cannot definitively determine which specific group is responsible for this activity; however, the malware samples and procedures clearly indicate that the source is the activity cluster under investigation.

The similarities we found are listed below:

1. The discovered wiper contains the characteristic strings we saw in the Twelve and BlackJack wipers and also creates a similar MBR record.
2. The wiper is spread through the sysvol network directory and saved using a scheduled task, which copies it to that same C:\ProgramData directory.
   reg:\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows
   NT\CurrentVersion\Schedule\TaskCache\Tasks\<GUID>:Actions","`powershell.exe` Copy-Item
   `\\[DOMAIN]\SYSVOL\[DOMAIN]\SCRIPTS\letsgo.exe` -Destination `C:\ProgramData`
3. As in the BlackJack and Twelve attacks, before wiping data with the wiper, the attackers launch the ransomware (enc.exe), which is also copied from the network folder to C:\ProgramData:
   reg:\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows
   NT\CurrentVersion\Schedule\TaskCache\Tasks\<GUID>:Actions","`powershell.exe` Copy-Item
   `\\[DOMAIN]\SYSVOL\[DOMAIN]\SCRIPTS\enc.exe` -Destination `C:\ProgramData`
4. As in Twelve group attacks, the execution of the wiper, as well as copying the wiper and ransomware from the network directory to the C:\ProgramData folder, are performed using scheduled tasks:

Unknown threat	Twelve
reg:\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\<GUID>:Actions","`cmd.exe` /c \\[DOMAIN]\SYSVOL\[DOMAIN]\SCRIPTS\letsgo.exe	reg:\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\<GUID>:Actions","`cmd.exe` /c \\[DOMAIN]\netlogon\wiper.exe
reg:\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\<GUID>:Actions","`powershell.exe` Copy-Item `\\[DOMAIN]\SYSVOL\[DOMAIN]\SCRIPTS\letsgo.exe` -Destination `C:\ProgramData`	reg:\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\<GUID>:Actions","`powershell.exe` Copy-Item `\\[DOMAIN]\netlogon\wiper.exe` -Destination `C:\ProgramData
reg:\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\<GUID>:Actions","`powershell.exe` Copy-Item `\\[DOMAIN]\SYSVOL\[DOMAIN]\SCRIPTS\enc.exe` -Destination `C:\ProgramData`	reg:\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\<GUID>:Actions","`POWERSHELL.EXE` Copy-Item `\\[DOMAIN]\netlogon\twelve.exe` -Destination `C:\ProgramData`

Also during the investigation of this activity, various artifacts and procedures were discovered that we had not seen in the BlackJack and Twelve attacks:

1. Using the PowerShell cmdlet Get-MpPreference to gather information about disabled Windows Defender features.
   powershell.exe` -ex bypass -c Get-MpPreference | fl disable*
2. Creating scheduled tasks:

   Task name	Command line	Description
   \run1	reg:\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\<GUID>:Actions","`cmd.exe` /c C:\ProgramData\letsgo.exe	Executing the wiper from the C:\ProgramData folder
   \def	reg:\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\<GUID>:Actions","`powershell.exe` -ex bypass -c Get-MpPreference | fl disable*	Collecting information about disabled Windows Defender features

3. Using WMIExec for lateral movement into the root directory.
   cmd.exe /Q /c cd \ 1> \\127.0.0.1\ADMIN$\__1710197641.3559299 2>&1

Victims

The mentioned malware samples, utilities, and command lines were found in the infrastructures of government, telecommunications, and industrial companies in Russia.

Attribution

Based on our research, we cannot be sure that the same actors are behind the activities of both groups. However, we suspect that the BlackJack and Twelve groups are part of a unified cluster of hacktivist activity aimed at organizations located in Russia.

Conclusion

In this study, we demonstrated that the BlackJack and Twelve groups have similar targets and use similar malware, distributing and executing it using the same methods. At the same time, they are not interested in financial gain but aim to inflict maximum damage on target organizations by encrypting, deleting, and stealing data and resources.

Indicators of compromise

Wiper – Shamoon

ED5815DDAD8188C198E0E52114173CB6 wip.exe/wiper.exe
5F88A76F52B470DC8E72BBA56F7D7BB2 letsgo.exe

Ransomware – LockBit

DA30F54A3A14AD17957C88BF638D3436 bj.exe
BF402251745DF3F065EBE2FFDEC9A777 bj.exe

File paths

Sysvol\domain\scripts\wip.exe
\\[DOMAIN]\netlogon\wip.exe
C:\ProgramData\wip.exe
Sysvol\domain\scripts\bj.exe
\\[DOMAIN]\netlogon\bj.exe
C:\ProgramData\bj.exe
C:\ProgramData\letsgo.exe
\\[DOMAIN]\SYSVOL\[DOMAIN]\SCRIPTS\letsgo.exe
C:\ProgramData\enc.exe
\\[DOMAIN]\SYSVOL\[DOMAIN]\SCRIPTS\enc.exe
C:\Users\[USER]\Downloads\ngrok-v3-stable-windows-amd64.zip
C:\Program Files\Windows Media Player\ngrok.exe
C:\Users\[USER]\AppData\Local\ngrok\ngrok.yml

Scheduled task names

\copy
\run1
\go2
\im
\def

---

securelist.com/blackjack-hackt…

Cybersecurity & cyberwarfare

2024-09-25 10:06:49

Hungary to drop reference to telecoms market consolidation in new Council conclusions

The Hungarian Presidency of the Council of the EU should delete any reference to consolidation in the telecommunications market in the next iteration of the draft Council conclusions which should be published on 9 October, four sources with insider knowledge told Euractiv.

---

euractiv.com/section/digital/n…

Cybersecurity & cyberwarfare

2024-09-25 10:43:06

FreeBSD soffre di una pericolosa RCE! Analisi e implicazioni

Di recente, il canale Telegram di SecActor ha rivelato una notizia di notevole importanza per la sicurezza informatica: una vulnerabilità critica di esecuzione di codice da remoto (RCE) che affligge il sistema operativo FreeBSD. Questa vulnerabilità, CVE-2024-41721, scoperta dal team di sicurezza di Synacktiv, riguarda il suo hypervisor bhyve e rappresenta una seria minaccia per la sicurezza delle macchine virtuali che operano su questo sistema.

Origine del problema e impatto sulla sicurezza

La vulnerabilità ha origine nell’emulazione del controller XHCI (eXtensible Host Controller Interface) del componente bhyve, il cui scopo è emulare l’hardware USB all’interno delle macchine virtuali. Il problema risiede nella mancata verifica dei limiti di memoria, che permette al codice di leggere al di fuori dell’area designata, causando potenzialmente un crash del processo hypervisor o, peggio, l’esecuzione di codice arbitrario sulla macchina host.

Questa vulnerabilità è particolarmente pericolosa perché consente a un eventuale malware, eseguito su una macchina virtuale ospite, di acquisire il controllo dell’intero sistema fisico. In questo contesto, il fatto che il processo bhyve sia eseguito con privilegi elevati (root) non fa che amplificare le conseguenze di un attacco riuscito.

Nonostante bhyve utilizzi una tecnologia di sandboxing (Capsicum) per ridurre le capacità dei processi e isolarli, il rischio di sfruttamento rimane presente, soprattutto nelle configurazioni che emulano dispositivi USB.

Un problema esteso a tutte le versioni di FreeBSD

Tutti i sistemi FreeBSD che utilizzano l’emulazione XHCI sono vulnerabili e, al momento della pubblicazione del bollettino, non esiste un workaround alternativo. L’unica soluzione per mitigare il rischio consiste nell’applicazione delle patch rilasciate il 19 settembre 2024, che correggono questa vulnerabilità.

L’importanza di aggiornare tempestivamente i sistemi e riavviare le macchine virtuali è cruciale per garantire che le correzioni abbiano effetto e per evitare che le vulnerabilità persistano nelle istanze in esecuzione.

La vulnerabilità CVE-2024-41721 colpisce uno dei componenti chiave di FreeBSD, l’hypervisor bhyve, il quale è ampiamente utilizzato per la virtualizzazione delle macchine. La criticità risiede nel codice USB, specificamente nell’emulazione XHCI, dove una mancanza di verifica dei limiti di memoria può permettere a un utente malintenzionato di leggere o scrivere fuori dai confini della memoria allocata, ottenendo il controllo del sistema host.

Ipervisori e sicurezza

Gli hypervisor, come bhyve, sono utilizzati per creare e gestire macchine virtuali (VM), e svolgono un ruolo cruciale nell’infrastruttura IT moderna, soprattutto in ambienti cloud e data center. La virtualizzazione permette a più sistemi operativi di girare simultaneamente su una singola macchina fisica, aumentando l’efficienza dell’uso delle risorse. Tuttavia, proprio a causa di questo modello condiviso, una vulnerabilità in un hypervisor può esporre l’intero sistema a rischi.

Il contesto della vulnerabilità

La vulnerabilità in questione è particolarmente insidiosa perché può essere sfruttata da un software dannoso eseguito in una macchina virtuale ospite, permettendo così l’esecuzione di codice arbitrario sull’host. Questo tipo di vulnerabilità rappresenta una minaccia per la separazione tra VM e host, uno dei principali vantaggi della virtualizzazione. In effetti, un attacco di questo genere compromette il modello di sicurezza dell’hypervisor.

Secondo il bollettino di sicurezza di FreeBSD, la vulnerabilità deriva da una cattiva gestione della memoria nell’emulazione del controller XHCI. Il controller XHCI è una parte del sistema utilizzata per gestire i dispositivi USB 3.0 e superiori, permettendo alle VM di interagire con dispositivi USB virtuali. La mancata verifica delle dimensioni dei dati che passano attraverso l’emulazione USB può portare a un’alterazione dei dati in memoria, consentendo a un attaccante di leggere o scrivere al di fuori delle aree di memoria consentite, violando l’integrità del sistema.

Exploit potenziale e scenari di attacco

Questa vulnerabilità è particolarmente critica perché bhyve opera con privilegi di root, aumentando il potenziale impatto di un exploit riuscito. Un attaccante che sfrutta questa vulnerabilità potrebbe provocare il crash dell’hypervisor o, peggio, eseguire codice malevolo con i privilegi più elevati disponibili. La possibilità di controllo remoto dell’host da parte di un attaccante su una VM vulnerabile rende questa vulnerabilità una delle minacce più gravi per gli ambienti FreeBSD.

Il fatto che bhyve operi in una sandbox tramite la tecnologia Capsicum mitiga solo parzialmente il rischio. Capsicum è un framework di sicurezza che limita i privilegi dei processi, ma non è sufficiente a eliminare del tutto la possibilità di attacchi sfruttando questa vulnerabilità. Inoltre, la vulnerabilità riguarda tutte le versioni supportate di FreeBSD che utilizzano bhyve con l’emulazione XHCI, rendendo necessario un aggiornamento immediato.

Impatto e mitigazione

L’unica soluzione per gli amministratori di sistema è aggiornare le loro installazioni di FreeBSD alla versione che include la patch rilasciata il 19 settembre 2024. Questo aggiornamento corregge la vulnerabilità risolvendo il problema della gestione errata della memoria. Inoltre, è fondamentale riavviare tutte le macchine virtuali che utilizzano dispositivi USB emulati per garantire che la correzione venga applicata correttamente.

In ambienti di produzione, dove l’uptime è critico, questo tipo di vulnerabilità rappresenta una seria minaccia. Un exploit di successo potrebbe causare danni significativi, incluse interruzioni del servizio, perdita di dati e accesso non autorizzato a informazioni sensibili. Il processo di patching richiede dunque un’attenta pianificazione per minimizzare l’impatto sulle operazioni quotidiane, ma è una misura imprescindibile per garantire la sicurezza dei sistemi.

Implicazioni più ampie nel contesto della sicurezza informatica

Questa vulnerabilità solleva diverse riflessioni. In primo luogo, evidenzia ancora una volta come le tecnologie di virtualizzazione, sempre più diffuse, siano divenute un bersaglio appetibile per i cybercriminali. Colpire un hypervisor significa potenzialmente avere accesso a più macchine virtuali e, di conseguenza, a una vasta gamma di dati e servizi.

In secondo luogo, la scoperta del bug di sicurezza da parte di Synacktiv, un’azienda francese nota per la sua esperienza nel campo delle vulnerabilità critiche, sottolinea l’importanza di una costante attività di auditing e testing sui software utilizzati, anche su sistemi apparentemente sicuri come FreeBSD.

Infine, questo caso specifico ci ricorda quanto sia pericoloso sottovalutare le vulnerabilità legate a componenti “periferici” come l’emulazione USB. Anche se a prima vista possono sembrare secondarie rispetto a falle più note e critiche, possono comunque essere sfruttate per ottenere un accesso non autorizzato ai sistemi principali.

Conclusione

La vulnerabilità RCE scoperta in FreeBSD è un chiaro segnale di allarme per amministratori di sistema e responsabili della sicurezza. In un panorama in cui le minacce continuano a evolversi e ad adattarsi, mantenere sistemi costantemente aggiornati e monitorati è fondamentale per prevenire attacchi potenzialmente devastanti. L’adozione di misure preventive, come la tempestiva applicazione delle patch e un attento controllo delle configurazioni di sistema, rimane l’unico modo efficace per mitigare il rischio di violazioni della sicurezza.

Inoltre, casi come questo ci ricordano l’importanza di una collaborazione costante tra aziende di sicurezza, sviluppatori di software e utenti, affinché le vulnerabilità siano identificate e risolte il più rapidamente possibile.

L'articolo FreeBSD soffre di una pericolosa RCE! Analisi e implicazioni proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-09-25 10:29:47

L’AI Scrive Codice con Stile! Commenti Eccezionali per il Malware AsyncRAT

Gli analisti di HP Wolf Security hanno esaminato i recenti attacchi contro gli utenti francesi e hanno scoperto che il malware AsyncRATè stato distribuito utilizzando un codice dannoso chiaramente creato con l’aiuto dell’intelligenza artificiale.

In precedenza, gli specialisti della sicurezza informatica avevano già avvertito che i criminali informatici possono utilizzare l’intelligenza artificiale generativa per creare e-mail di phishing convincenti, deepfake vocali e altre attività poco legali.xakep.ru/2024/01/11/fake-voice…

Inoltre, si è già arrivati ​​all’utilizzo dell’intelligenza artificiale per sviluppare malware. Così, nella primavera di quest’anno, i ricercatori della società Proofpoint hanno avvertito che per distribuire l’infostealer Rhadamanthys è stato utilizzato uno script PowerShell, probabilmente creato utilizzando LLM.

Un nuovo caso simile è stato registrato dagli specialisti di HP Wolf Security all’inizio di giugno.

Gli attacchi sono iniziati con normali e-mail di phishing contenenti l’esca sotto forma di fattura sotto forma di allegato HTML crittografato.

“In questo caso, gli aggressori hanno inserito una chiave AES in JavaScript all’interno di un allegato. Ciò non accade molto spesso e questo è stato il motivo principale per cui abbiamo prestato attenzione a questa minaccia”, spiegano gli esperti e aggiungono che sono riusciti a bypassare la crittografia utilizzando la forza bruta regolare, poiché si sapeva che il file decrittografato doveva essere un archivio ZIP.

L’allegato decriptato conteneva VBScript, dall’esame del quale è emerso che “l’aggressore ha commentato e strutturato attentamente tutto il codice”, cosa che accade raramente se il codice è stato elaborato da una persona (gli aggressori di solito cercano di nascondere il funzionamento del loro malware). Lo scopo di VBScript era di rimanere attaccato alla macchina infetta, creando attività pianificate e nuove chiavi nel registro di Windows.

“Questi commenti descrivevano in dettaglio esattamente lo scopo del codice. Questo è ciò che di solito fanno i servizi di intelligenza artificiale generativa quando forniscono esempi di codice con spiegazioni”, scrivono gli esperti.

Inoltre, il lavoro dell’IA, secondo gli esperti, è stato indicato dalla struttura degli script, dai commenti su ogni riga, nonché dalla scelta del francese per i nomi delle funzioni e delle variabili.
Codice dannoso scritto dall’intelligenza artificiale
Di conseguenza, AsyncRAT è stato scaricato ed eseguito sul sistema della vittima. Si tratta di un malware gratuito e open source che consente di intercettare le sequenze di tasti, fornisce una connessione crittografata al computer della vittima e può anche scaricare payload aggiuntivi.

I ricercatori concludono che l’intelligenza artificiale generativa può aiutare i criminali poco qualificati a scrivere malware in pochi minuti e ad adattarlo per attaccare diverse piattaforme (Linux, macOS, Windows, ecc.). E anche se gli aggressori sofisticati non utilizzano l’intelligenza artificiale per lo sviluppo vero e proprio, possono utilizzarla per accelerare le cose.

L'articolo L’AI Scrive Codice con Stile! Commenti Eccezionali per il Malware AsyncRAT proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-09-25 09:44:16

Cybersecurity, l’ITU promuove l’Italia a pieni voti

@Informatica (Italy e non Italy 😁)
L’ITU, l’agenzia Onu che gestisce le politiche globali sullo spettro radio, elogia l’Italia nel Global Cybersecurity Index 2024. Il nostro paese ha passato a pieni voti (100/100) l’esame dell’agenzia, che ci riconosce come leader mondiale per la sua postura nella cybersicurezza, grazie a: Un ottimo traguardo che ci

Cybersecurity & cyberwarfare

2024-09-25 09:16:01

Cybersecurity: solo un’organizzazione su tre è in grado di gestire la sicurezza informatica 24 ore su 24

Solo un’organizzazione su tre è in grado di gestire la sicurezza informatica 24 ore su 24. La maggior parte delle aziende, inoltre, non dispone di risorse sufficienti e del supporto dei vertici aziendali per poter intercettare e mitigare al meglio le minacce che colpiscono la propria infrastruttura. Il dato emerge da “Underfunded and unaccountable: How a lack of corporate leadership is hurting cybersecurity”, l’ultima ricerca Trend Micro, leader globale di cybersecurity.

Lo studio Trend Micro approfondisce l’attitudine dei responsabili alla gestione del rischio legato alle superfici di attacco, evidenziando le lacune che potrebbero compromettere gravemente la resilienza informatica delle organizzazioni.

Dalla ricerca emerge che:

• Solo il 36% del campione dispone di personale sufficiente per garantire la copertura della sicurezza informatica 24 ore su 24, 7 giorni su 7, tutto l’anno
• Solo il 35% utilizza tecniche di attack surface management per misurare il rischio della superficie di attacco
• Solo il 34% è conforme a quadri normativi comprovati, come ad esempio il NIST

L’incapacità, della maggior parte delle aziende, di soddisfare questi requisiti fondamentali di sicurezza, potrebbe essere correlata a una mancanza di leadership e responsabilità dei vertici dell’organizzazione. La metà (48%) degli intervistati ha, infatti, affermato che i responsabili aziendali non considerano la sicurezza informatica un loro compito. Alla domanda su chi abbia o dovrebbe avere la responsabilità di mitigare il rischio aziendale, le risposte hanno indicato una mancanza di chiarezza sulle linee guida. Il 31% ha però affermato che la responsabilità spetterebbe ai team IT.

La mancanza di una direzione certa sulla strategia di sicurezza informatica potrebbe essere il motivo per cui oltre la metà (54%) degli intervistati si è lamentata dell’atteggiamento della propria organizzazione nei confronti del rischio informatico, indicato come incoerente e variabile a seconda del periodo (54%).

La mancanza di una strategia chiara in ambito cyber può influenzare negativamente la capacità di un’organizzazione di prendere decisioni rapide e coerenti.

“È importante che i Chief Information Security Officer (CISO) comunichino i rischi informatici con chiarezza, utilizzando tutti gli strumenti a disposizione e coinvolgendo attivamente i Consigli di Amministrazione”, afferma Alessandro Fontana, Country Manager di Trend Micro Italia. “Per affrontare al meglio queste sfide, le aziende dovrebbero prendere in considerazione l’adozione di una soluzione integrata. Tale soluzione non solo deve proteggere l’intera superficie di attacco, ma anche permettere un monitoraggio dei rischi in tempo reale e una gestione automatizzata delle criticità. Questo approccio rafforza notevolmente la resilienza dell’organizzazione ed è inoltre cruciale che la piattaforma sia integrabile con soluzioni di terze parti, per garantire una protezione completa e una gestione più fluida della sicurezza”.

Lo studio ha infatti rivelato che in molte organizzazioni questo non avviene e circa il 96% degli intervistati nutre preoccupazioni circa la propria superficie di attacco. Il 36% vorrebbe trovare un modo per scoprire, valutare e mitigare le aree ad alto rischio, mentre il 19% non è in grado di lavorare su un’unica fonte di verità.

L'articolo Cybersecurity: solo un’organizzazione su tre è in grado di gestire la sicurezza informatica 24 ore su 24 proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-09-25 07:30:42

LIVE NOW! Tech and the new mandate – What are the opportunities and challenges?

The AI Act addresses the risks associated with AI and positions Europe to play a leading role globally.

---

euractiv.com/section/digital/v…

Cybersecurity & cyberwarfare

2024-09-25 08:00:00

Learn GPU Programming With Simple Puzzles

Have you wanted to get into GPU programming with CUDA but found the usual textbooks and guides a bit too intense? Well, help is at hand in the form of a series of increasingly difficult programming ‘puzzles’ created by [Sasha Rush]. The first part of the simplification is to utilise the excellent NUMBA python JIT compiler to allow easy-to-understand code to be deployed as GPU machine code. Working on these puzzles is even easier if you use this linked Google Colab as your programming environment, launching you straight into a Jupyter notebook with the puzzles laid out. You can use your own GPU if you have one, but that’s not detailed.

The puzzles start, assuming you know nothing at all about GPU programming, which is totally the case for some of us! What’s really nice is the way the result of the program operation is displayed, showing graphically how data are read and written to the input and output arrays you’re working with. Each essential concept for CUDA programming is identified one at a time with a real programming example, making it a breeze to follow along. Just make sure you don’t watch the video below all the way through the first time, as in it [Sasha] explains all the solutions!

Confused about why you’d want to do this? Then perhaps check out our guide to CUDA first. We know what you’re thinking: how do we use non-nVIDIA hardware? Well, there’s SCALE for that! Finally, once you understand CUDA, why not have a play with WebGPU?

youtube.com/embed/K4T-YwsOxrM?…

---

hackaday.com/2024/09/25/learn-…

Cybersecurity & cyberwarfare

2024-09-25 07:02:08

Siamo tutti fregati? La dura verità sulla sicurezza online spiegata da Bruce Schneier

Vi siete mai sentiti insicuri online? Non siete i soli. Anche gli esperti di cybersecurity si confrontano con questa domanda: ma come proteggere i nostri dati online? Bruce Schneier, uno dei massimi esperti al mondo di sicurezza digitale, ha spesso sottolineato la complessità della sicurezza informatica. In una delle sue numerose interviste ha specificato che gli viene frequentemente chiesto:

cit: “Spesso mi chiedono che cosa può fare l’uomo della strada per mettersi al riparo dai rischi di sicurezza informatica.”

Si potrebbe rispondere con un fatalistico:” Niente, siamo già tutti fregati”

L’ingresso dell’intelligenza artificiale sullo scenario tecnologico ha reso la sicurezza digitale ancora più complessa, aumentando le minacce informatiche come il phishing, i malware, le violazioni di dati su larga scala, deep-fake, disinformazione. Tuttavia, come ha sottolineato Schneier, per la tutela dei propri dati anche le misure più semplici possono fare la differenza. Il fattore umano può contribuire a prevenire e creare un ambiente online più sicuro.

Nell’attuale panorama tecnologico, la cybersecurity è indubbiamente uno degli argomenti più discussi. I media sono pieni di esperti che con il loro linguaggio tecnico, spesso lasciano anche l’utente più attento disorientato, convinto che proteggere i dati sia roba da esperti.

Ma la cybersecurity è materia riservata agli specialisti? Come ha sottolineato Schneier, anche l’utente comune può adottare semplici ma fondamentali precauzioni per migliorare significativamente la sicurezza online.

L’obiettivo di questo articolo è quello guidare l’utente meno esperto al complesso mondo della cybersecurity fornendo quelle informazioni necessarie per una maggiore consapevolezza senza addentrarsi in eccessivi tecnicismi. Scopriremo come semplici accorgimenti possono fare una grande differenza nella protezione della nostra privacy.

Cos’è Cybersecurity

Cos’è la Cybersecurity? Semplificando, possiamo considerarla l’insieme delle misure che adottiamo per proteggere i nostri dati e i nostri dispositivi da attacchi, occhi indiscreti o ficcanaso digitali (accessi non autorizzati)

I tre pilastri a sostegno della cybersecurity sono:

• Persone: Sono la prima linea di difesa, e le nostre azioni (o mancate azioni) fanno la differenza.
• Processi: Il modo in cui creiamo una password (è un processo), le procedure di backup, definiscono la nostra sicurezza.
• Tecnologie: Antivirus e firewall, sono gli strumenti che fanno da argine e ci proteggono dalle minacce più comuni.

Processo: un esempio di buona pratica in cybersecurity è la creazione di una password forte: scegliendo una combinazione unica di lettere, numeri e simboli, evitando l’uso di parole comuni o informazioni personali. Da evitare anche il riutilizzo delle password.

Ma la sicurezza online non si limita a questo. Le nostre scelte quotidiane, come cliccare su link sospetti, o la condivisione di informazioni sensibili sui social media, influenzano significativamente la nostra vulnerabilità agli attacchi informatici. La nostra sicurezza online. Oltre alle nostre azioni, le tecnologie di sicurezza come antivirus, firewall e software di backup costituiscono la prima linea di difesa proteggendo i nostri dati. È di fondamentale importanza mantenere questi strumenti aggiornati per garantire la massima protezione.

Tuttavia, anche servizi esterni, come e-mail e piattaforme cloud, possono rappresentare un rischio se non gestiti correttamente. Affidare i nostri dati a terzi, ci obbliga a scegliere provider affidabili. Per questo motivo è fondamentale adottare misure di sicurezza adeguate, sia a livello individuale (come l’utilizzo di password forti e l’autenticazione a due fattori) sia a livello organizzativo. la cybersecurity in quanto tale richiede una combinazione di: consapevolezza, attenzione e strumenti tecnologici.

Cybersecurity, principali di minacce informatiche

Nel mondo digitale sempre più connesso, le minacce informatiche rappresentano un pericolo costante per la nostra privacy e la sicurezza dei nostri dati. Il panorama delle minacce e in continua evoluzione, ma alcune tipologie sono particolarmente diffuse. Il termine Malware deriva dalle parole inglesi “malicius” (malevolo, cattivo) e software, e sta ad indicare un software creato per danneggiare un sistema informatico o violarne l’integrità. I tipi di malware più comuni sono: Virus, Worm, Trojan, Spyware, Adware, Ransomware, Rootkit, keylogger. Analizzeremo solo alcune di queste minacce.

• Phishing (Social Engineering: convincerci a fare qualcosa)
• Malware (Ransomware: prende il controllo del PC. Spyware: rubano dati)
• Attacchi basati sul web (sfruttano le vulnerabilità di siti ed app)
• attacchi SQL injection o XSS, sfruttano vulnerabilità nell’applicazione web ed errori di programmazione di pagine HTML (non tratteremo questa tipologia)

Il Phishing basato sull’ingegneria sociale (Social Engineering) inganna l’utente con tecniche di persuasione e psicologiche. Mira a ingannare gli utenti per indurli a rivelare informazioni sensibili, come password, numeri di carte di credito o codici di accesso. Gli attacchi di phishing possono avvenire tramite e-mail, SMS (smishing), social media e app di messaggistica. Un esempio tipico di Phishing è un’e-mail che imita una notifica della banca, chiedendo all’utente di aggiornare i propri dati personali.

Malware: è una delle possibili conseguenze di un attacco di phishing, persuasi tramite phishing, all’apertura di un file, un allegato tramite link, viene data via libera al malware che non necessariamente deve subito installarsi. Può rimanere inattivo e silenzioso, nascondendosi nel sistema, diventando difficilmente rilevabile.

Ransomware, esistono due famiglie: cryptor e blocker. I cryptor cifrano i dati rendendoli inaccessibili mentre i secondi bloccano l’accesso al dispositivo. L’hacker o l’organizzazione attaccante che posseggono la chiave per decrittare i dati posoono chiedere così un riscatto per il ripristino della macchina o dei dati in essa contenuti. Avendo un alto margine di profitto e una catena piuttosto semplice e molto efficiente di persone che devono essere coinvolte, sono molto diffusi.

Per spyware sì intende una forma di malware che non cifra i dati ma si nasconde nei dispositivi, monitora le attività svolte dall’utente e ruba informazioni sensibili registrando tutto quello che viene battuto sulla tastiera. Come le credenziali di posta elettronica alla quale accede per inviare messaggi contenenti altro malware.

Attacchi basati sul web, questo tipo di attacco sfrutta vulnerabilità dei siti web o delle applicazioni basati sul web. I siti web commerciali sono dei siti web dinamici, proprio la natura dinamica di questi siti, consente ad un malintenzionato di utilizzarlo, farlo funzionare, in maniera diversa da quella per cui era stato progettato. A queste tecniche appartengono le cosiddette vulnerabilità zero-click. Un tipo di attacco molto insidioso, infatti se con il phishing per installare un malware è necessario cliccare su di un link, con un attacco zero-click, il software malevolo può essere installato nel dispositivo o nel PC senza che la vittima faccia clic su alcun collegamento (Link)

Un’operazione da fare per proteggersi dai malware è quello di installare un antivirus e tenerlo necessariamente sempre aggiornato. Tenere aggiornati i sistemi operativi e fare attenzione a tutti quei dispositivi piccoli che possono collegarsi alla rete. Dispositivi IoT (Internet of Things), come smart TV, assistenti vocali e dispositivi indossabili, rappresentano un bersaglio sempre più ambito per gli hacker. Oggetti che, se non gestiti ma inseriti nella rete domestica, possono essere usati come sponda per accedere ai nostri dati.

Cybersecurity e minacce nel mondo digitale

Secondo il rapporto del Clusit, associazione italiana specializzata in cybersecurity, il numero di attacchi informatici è cresciuti del 79% tra il 2018 e il 2023. L’obiettivo principale di questi attacchi è l’estorsione, con oltre l’83% degli attacchi a livello globale mirati ad ottenere un riscatto in denaro. In Italia, sebbene la percentuale sia leggermente inferiore (64%), le aziende, soprattutto nei settori della sanità e dei servizi finanziari, sono particolarmente colpite dai ransomware. Non solo le aziende sono nel mirino: anche i singoli individui sono bersaglio di truffe online, ricatti e altre forme di cybercrime. Inoltre, le cronache recenti ci mostrano come anche le istituzioni pubbliche, i servizi di pubblica utilità siano vulnerabili. Un attacco a un’infrastruttura critica può avere conseguenze disastrose, non solo in termini economici, ma anche per la privacy, la sicurezza nazionale e la continuità dei servizi essenziali.

Per proteggersi da queste minacce, è fondamentale adottare misure di sicurezza adeguate, come effettuare regolarmente il backup dei dati, mantenere aggiornati i software e i sistemi operativi, diffidare delle e-mail sospette e formare il personale sulle migliori pratiche di sicurezza informatica.

Cybersecurity, come proteggersi

Per proteggersi dalle minacce informatiche, è fondamentale prestare attenzione sia al fattore umano che a quello tecnologico.

Fattore Umano: diffidare dalle offerte di vincite facili o da allegati sospetti. Non sempre si mettono in palio costosi smartphone. Evitare di scaricare file da fonti non affidabili e fare attenzione alle penne USB che potrebbero contenere malware. Esistono dispositivi di protezione che rendono le pen-drive a sola lettura, impedendo modifiche accidentali o malevole ai dati. Le reti Wi-Fi pubbliche sono spesso insicure, quindi evita di effettuare operazioni sensibili come l’home banking o lo shopping online.

Proteggi la tua connessione con una VPN (serve a cifrare il traffico) e limita al minimo la condivisione di informazioni personali online. Per i social network, preferire piattaforme che consentono al proprio account di mascherare il proprio numero telefonico. Meglio sarebbe non fornirlo, per limitare ancora di più la tracciabilità. Non condividere informazioni personali online, poiché potrebbero essere utilizzate per scopi fraudolenti. Con l’avvento dell’AI generativa, da poche immagini è possibile generare interi video. Infine, utilizzo dell’autenticazione a più fattori.

Fattore tecnologico: Utilizza password forti e uniche per ogni account e considera l’utilizzo di un password manager per generarne e memorizzarne in sicurezza. Mantieni aggiornati tutti i tuoi dispositivi e software, evitando di installare applicazioni da fonti non ufficiali. Non rootare o jailbreakare il tuo smartphone, poiché queste operazioni compromettono la sicurezza del dispositivo e lo rendono più vulnerabile agli attacchi.

Cybersecurity un osservazione Finale

L’utente ha sempre meno controllo sui dati e questo è un problema sempre più pressante nel mondo digitale. Per arginare questo rischio, è fondamentale rivolgersi a fornitori di servizi digitali in grado di offrire garanzie concrete sulla sicurezza dei dati. Una certificazione ISO 27001 rappresenta un punto di riferimento importante in questo senso.

L’ISO 27001 è una norma internazionale che stabilisce i requisiti per un sistema di gestione della sicurezza delle informazioni (SGSI). Un’azienda certificata ISO 27001 ha implementato una serie di controlli e misure rigorose per proteggere i dati dei suoi clienti, garantendo un impegno concreto nei confronti della sicurezza informatica.

L'articolo Siamo tutti fregati? La dura verità sulla sicurezza online spiegata da Bruce Schneier proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-09-25 05:20:49

È Ufficiale! Microsoft Depreca WSUS: Il Futuro degli Aggiornamenti Cambia!

Microsoft ha annunciato ufficialmente che Windows Server Update Services (WSUS) è ​​ora in stato di deprecato, ma prevede di preservare le attuali funzionalità e continuare a pubblicare gli aggiornamenti tramite il canale.

D’altronde, la notizia non dovrebbe sorprendere, Microsoft aveva fatto indicato per la prima volta WSUS come una delle “funzionalità rimosse o non più sviluppate a partire da Windows Server 2025” già nell’agosto scorso.

Panoramica su Windows Server Update Services (WSUS)

Windows Server Update Services è stato introdotto nel 2005 come servizio di aggiornamento software, WSUS permette agli amministratori IT di gestire e distribuire gli aggiornamenti per i prodotti Microsoft su vaste reti aziendali che richiedono aggiornamenti sempre coerenti e controllati per un gran numero di dispositivi Windows. Il servizio, agisce come tramite e offre un controllo centralizzato degli aggiornamenti piuttosto che farli scaricare individualmente da ogni dispositivo dai server Microsoft.

Mentre le nuove funzionalità e lo sviluppo di WSUS cesseranno, Microsoft ha affermato che prevede di continuare a supportare le funzionalità e gli aggiornamenti esistenti del servizio, che saranno comunque distribuiti, anche dopo la deprecazione. “In particolare, ciò significa che non stiamo più investendo in nuove funzionalità, né stiamo accettando nuove richieste di funzionalità per WSUS. Tuttavia, stiamo preservando le funzionalità correnti e continueremo a pubblicare aggiornamenti tramite il canale WSUS. Supporteremo anche qualsiasi contenuto già pubblicato tramite il canale WSUS.” afferma in una nota Nir Froimovici Commercial Servicing and Intelligence di Microsoft.

La modifica riguarderà tutti gli ambienti aziendali che si affidano alla gestione e distribuzione degli aggiornamenti ai dispositivi tramite WSUS, e non avrà ovviamente alcun impatto sugli utenti privati.

Dopo la deprecazione di WSUS, il ruolo resterà disponibile in Windows Server 2025, ma Microsoft consiglia fortemente alle aziende di passare a soluzioni Cloud per gli aggiornamenti client e server, come ad esempio Windows Autopatch, Microsoft Intune e Azure Update Manager.

Conclusione

Questa decisione da parte di Microsoft, segna un cambiamento significativo nel panorama della gestione dei dispositivi all’interno delle organizzazioni. Rappresenta inoltre, un’importante opportunità per aziende di modernizzare la propria infrastruttura e migliorarne l’efficacia operativa. Gli amministratori IT sono chiamati a intraprendere soluzioni moderne e alternative sempre più basate su Cloud, mantenendo alti gli standard di sicurezza e riducendo al minimo le interruzioni dei flussi di lavoro esistenti.

L'articolo È Ufficiale! Microsoft Depreca WSUS: Il Futuro degli Aggiornamenti Cambia! proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-09-25 05:58:04

Accesso a 20.000 VPN Italiane a 350 Dollari in Vendita nelle underground! Le VPN sono una cosa seria

Un recente post apparso su un forum underground in lingua russa, mette in vendita account VPN di utenti italiani per soli 350 dollari.

Questo tipo di offerta, include l’accesso a VPN aziendali e utenti di dominio, rappresenta una minaccia significativa per l’integrità delle infrastrutture IT aziendali. Analizziamo l’evento e facciamo consapevolezza sui rischi legati alla vendita di credenziali e accessi nelle darknet.

Cosa è emerso dal post

Nel post, pubblicato da un utente con il nickname “Fuckyy”, vengono messe in vendita credenziali VPN (con specifica menzione del protocollo Cisco SSL VPN – cscoe) e account aziendali relativi a un’azienda di servizi italiani con 91 dipendenti.

Il venditore specifica l’offerta di 20kk (presumibilmente 20.000 record o credenziali), proponendo il tutto per 350$ e garantendo l’affidabilità del servizio solo a chi si dimostri di fiducia tramite un deposito o reputazione pregressa. Il numero di credenziali rispetto ad una azienda di 91 dipendenti sembra spropositato, pertanto si potrebbe immaginare che le informazioni in esso contenute siano maggiori rispetto a quanto riportato dal criminale informatico, oppure l’azienda si occupa proprio di vendita delle VPN.

Perché queste vendite sono un pericolo?

La disponibilità di VPN e account aziendali in vendita nei mercati underground rappresenta una grave minaccia. Accedere a una VPN aziendale senza autorizzazione non solo permette agli attaccanti di muoversi lateralmente all’interno di una rete, ma consente loro di farlo camuffando la loro presenza dietro legittimi credenziali aziendali. Questo porta a vari rischi:

1. Furto di Dati Sensibili: Una volta ottenuto l’accesso alla rete aziendale, gli attaccanti possono sottrarre dati critici come informazioni sui clienti, dati finanziari o progetti riservati.
2. Attacchi mirati e persistenti: L’accesso alla VPN permette di condurre attacchi più sofisticati e mirati. Gli hacker possono mantenere un accesso persistente alla rete, osservando movimenti e raccogliendo dati nel tempo.
3. Ransomware: Con l’accesso a una rete aziendale, i cybercriminali possono installare ransomware che paralizza l’attività dell’azienda. A quel punto, possono chiedere riscatti milionari per sbloccare i sistemi o ripristinare i dati crittografati.
4. Compromissione della reputazione: Se i dati aziendali vengono compromessi, le aziende colpite potrebbero subire gravi danni reputazionali. Questo può avere conseguenze disastrose sia a livello finanziario che legale.

L’aumento delle vendite di VPN e credenziali aziendali nelle underground

La vendita di accessi VPN aziendali è diventata sempre più comune negli ultimi anni, complice la crescente digitalizzazione e l’aumento del lavoro da remoto. Le aziende si affidano massicciamente a VPN e infrastrutture remote, ma spesso non adottano misure di sicurezza sufficienti. Le VPN, se non configurate o gestite correttamente, possono diventare l’anello debole della catena di sicurezza.

Una cattiva gestione delle credenziali, come l’uso di password deboli o la mancata implementazione di autenticazione a due fattori, può permettere agli hacker di accedere facilmente a questi sistemi. E una volta ottenuto l’accesso, lo stesso può essere venduto o condiviso nei forum del dark web, come quello mostrato nell’immagine. Inoltre la minaccia degli infostealer è sempre in agguato e moltissimi market underground vendono proprio le VPN come vettori iniziali di compromissione aziendale.

Come difendersi?

Per prevenire l’accesso non autorizzato attraverso VPN e credenziali compromesse, è essenziale che le aziende adottino una serie di misure di sicurezza:

1. Autenticazione a più fattori (MFA): Questo è un passaggio essenziale per garantire che anche se le credenziali vengono compromesse, gli hacker non possano accedere senza il secondo fattore di autenticazione.
2. Monitoraggio continuo: Implementare soluzioni di monitoraggio della rete che siano in grado di rilevare attività sospette o non autorizzate.
3. Controllo e rotazione delle credenziali: Le credenziali dovrebbero essere aggiornate regolarmente, e gli account inutilizzati o inattivi dovrebbero essere disabilitati.
4. Formazione del personale: I dipendenti dovrebbero essere istruiti riguardo le minacce informatiche e sull’importanza della sicurezza delle credenziali.
5. Penetration testing: Le aziende dovrebbero regolarmente eseguire test di penetrazione per verificare la robustezza delle proprie difese e l’eventuale esistenza di vulnerabilità.

Conclusione

La vendita di accessi VPN e credenziali aziendali in mercati underground come quello descritto evidenzia la vulnerabilità delle infrastrutture aziendali, in particolare in un contesto in cui il lavoro da remoto e l’uso di VPN sono sempre più diffusi. Le aziende devono adottare misure proattive per prevenire questi rischi e garantire la protezione delle loro reti. Solo un approccio olistico alla sicurezza informatica, che comprende tecnologie avanzate, monitoraggio costante e formazione, può mitigare il rischio di cadere vittime di simili attacchi.

L'articolo Accesso a 20.000 VPN Italiane a 350 Dollari in Vendita nelle underground! Le VPN sono una cosa seria proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-09-25 05:01:42

Largest EU telcos shift focus on green transition in renewed call for investments

The EU's largest telecom operators are taking up sustainability as part of their call for more investments in their industry, according to a policy agenda published by lobby Connect Europe.

---

euractiv.com/section/digital/n…

Cybersecurity & cyberwarfare

2024-09-25 05:00:48

A Space Walk Through ISS

The International Space Station (ISS) might not be breaking news, but this February, National Geographic released a documentary that dives into the station’s intricate engineering. It’s a solid reminder of what human ingenuity can achieve when you put a team of engineers, scientists, and astronauts together. While the ISS is no longer a new toy in space, for hackers and tinkerers, it’s still one of the coolest and most ambitious projects ever. And if you’re like us—always looking for fresh inspiration—you’ll want to check this one out.

The ISS is a masterpiece, built piece by piece in space, because why make things easy? With 16 pressurized modules, it’s got everything needed to keep humans alive and working in one of the harshest environments imaginable. Add in the $150 billion price tag (yes, billion), and it’s officially the most expensive thing humans have ever built. What makes it especially interesting to us hackers is its life support systems—recycling water, generating oxygen, and running on solar power. That’s the kind of closed-loop system we love to experiment with down here on Earth. Imagine the implications for long-term sustainability!

But it’s not just a survival bunker in space. It’s also a global science lab. The ISS gives researchers the chance to run experiments that could never happen under Earth’s gravity—everything from technology advancements to health experiments. Plus, it’s our testing ground for future missions to Mars. If you’re fascinated by the idea of hacking complex systems, or just appreciate a good build, the ISS is a dream project.

Catch the documentary and dive into the world of space-grade hacking. The ISS may be orbiting out of sight, but for those of us looking to push the boundaries of what’s possible, it’s still full of inspiration.

youtube.com/embed/Ei-TcECJVXU?…

---

hackaday.com/2024/09/24/a-spac…