Cybersecurity & cyberwarfare

2024-09-06 11:00:15

3D Print Yourself These Mini Workshop Tools

Kitting out a full workshop can be expensive, but if you’re only working on small things, it can also be overkill. Indeed, if your machining tends towards the miniature, consider building yourself a series of tiny machines like [KendinYap] did. In the video below, you can see the miniature electric sander, table saw, drill press, and cut-off saw put through their paces.

Just because the machines are small, doesn’t mean they’re not useful. In fact, they’re kind of great for doing smaller jobs without destroying what you’re working on. The tiny belt sander in particular appeals in this case, but the same applies to the drill press as well. [KendinYap] also shows off a tiny table and circular saw. The machines are straightforward in their design, relying largely on 3D printed components. They’re all powered by basic DC brushed motors which are enough to get the job done on the small scale.

They look particularly good if tiny scale model-making is your passion.

youtube.com/embed/PlPF8dURaII?…

---

hackaday.com/2024/09/06/3d-pri…

Cybersecurity & cyberwarfare

2024-09-06 10:48:41

Pavel Durov Commenta il suo Arresto. “un equilibrio tra privacy e sicurezza può essere difficile”

Pavel Durov ha pubblicato un ampio post sul suo canale Telegram dedicato alla sua recente detenzione in Francia e alle accuse mosse contro di lui. Durov ha ringraziato tutti per il supporto e ha raccontato come Telegram sta combattendo i contenuti illegali.

Nel suo messaggio, Durov definisce le azioni delle autorità francesi un “approccio fuorviante” e afferma che trovare un equilibrio tra privacy e sicurezza può essere difficile. Il capo di Telegram promette inoltre che ci saranno cambiamenti nel messenger e che i criminali che abusano della piattaforma verranno combattuti più attivamente.

Di seguito riportiamo integralmente la pubblicazione di Pavel Durov.
Grazie a tutti per il vostro supporto e amore!

Il mese scorso, dopo essere arrivato a Parigi, sono stato interrogato dalla polizia per quattro giorni. Sono stato informato che ero personalmente responsabile dell'uso illegale di Telegram da parte di altri perché le autorità francesi non hanno ricevuto risposte dal team di Telegram.

Ciò era inaspettato per diversi motivi:

Telegram ha un rappresentante ufficiale nell'UE che riceve e risponde alle richieste dell'UE. Il suo indirizzo email è pubblicamente disponibile per chiunque nell'UE digiti su Google: "Indirizzo Telegram UE per le forze dell'ordine".

Le autorità francesi avevano molti modi per contattarmi per chiedere aiuto. Come cittadino francese, ho visitato spesso il consolato francese a Dubai. Qualche tempo fa, quando me lo hanno chiesto, li ho aiutati personalmente a creare una hotline di Telegram per combattere le minacce terroristiche in Francia.

Se un Paese è insoddisfatto di qualche servizio Internet, secondo la prassi consolidata, avvia un procedimento legale contro il servizio stesso. Usare le leggi pre-smartphone per incolpare un CEO di crimini commessi da terzi sulla piattaforma che controlla è un approccio fuorviante. Creare tecnologia è già difficile. Nessun innovatore creerà nuovi strumenti se sa di poter essere personalmente responsabile del potenziale abuso di tali strumenti.

Trovare il giusto equilibrio tra privacy e sicurezza non è facile.

È necessario conciliare le leggi sulla privacy e i requisiti di applicazione della legge, nonché le leggi locali con le leggi dell’UE. Bisogna tenere conto dei limiti tecnologici. Come piattaforma, vuoi che i tuoi processi siano coerenti in tutto il mondo, ma non abusati nei paesi con forze dell’ordine deboli. Ci impegniamo a collaborare con le autorità di regolamentazione per trovare l’equilibrio ottimale. Sì, rispettiamo i nostri principi: la nostra esperienza è modellata dalla nostra missione di proteggere gli utenti nei regimi autoritari. Ma siamo sempre stati aperti al dialogo.

A volte non riusciamo a concordare con l'autorità di regolamentazione di un paese il giusto equilibrio tra privacy e sicurezza. In questi casi, siamo pronti a lasciare questo Paese. L'abbiamo fatto più di una volta. Quando la Russia ci ha chiesto di consegnare le “chiavi di crittografia” per consentire la sorveglianza, abbiamo rifiutato e Telegram è stato bandito in Russia. Quando l'Iran ha chiesto di bloccare i canali dei manifestanti pacifici, noi abbiamo rifiutato e Telegram è stato bandito in Iran. Siamo pronti a lasciare i mercati che non soddisfano i nostri principi, perché non lo facciamo per i soldi. Siamo spinti dal desiderio di fare del bene e di proteggere i diritti fondamentali delle persone, soprattutto laddove tali diritti vengono violati.

Ciò non significa che Telegram sia perfetto. Anche il fatto che le autorità possano confondersi su dove inviare le richieste è qualcosa che dobbiamo migliorare. Ma le affermazioni di alcuni media secondo cui Telegram è una sorta di paradiso anarchico sono assolutamente false. Rimuoviamo milioni di post e canali dannosi ogni giorno. Pubblichiamo quotidianamente rapporti sulla trasparenza. Disponiamo di linee telefoniche dirette con le ONG per elaborare rapidamente richieste di moderazione urgenti.

Tuttavia, sentiamo opinioni secondo cui ciò non è sufficiente. Il drammatico aumento del numero di utenti di Telegram fino a 950 milioni ha creato una maggiore complessità, rendendo più facile per i criminali abusare della nostra piattaforma. Ecco perché mi sono posto l'obiettivo di migliorare significativamente la situazione a questo riguardo. Abbiamo già avviato questo processo internamente e presto condividerò con voi maggiori dettagli sui nostri progressi.

Spero che gli eventi di agosto portino Telegram e l’industria dei social media nel suo insieme a diventare più sicuri e più forti.

Grazie ancora per il tuo amore e i tuoi meme.
Ricordiamo che Pavel Durov è stato arrestato in Francia il 24 agosto 2024, dopo che il suo aereo privato proveniente dall’Azerbaigian è atterrato all’aeroporto di Le Bourget.

Di conseguenza, il fondatore di Telegram è stato accusato di sei capi d’imputazione relativi a vari reati individuati sulla piattaforma (tra cui pedofilia, riciclaggio di denaro, traffico di droga e così via). Di seguito il link al suo messaggio divulgato su Telegram.

Le forze dell’ordine francesi affermano che il team di Telegram non combatte i contenuti illegali e non collabora con le autorità, rifiutandosi, ad esempio, di “fornire, su richiesta delle autorità autorizzate, informazioni o documenti necessari per l’attuazione e l’uso delle misure di intercettazione consentite dalla legge”.

Il 28 agosto 2024 Pavel Durov è stato rilasciato sotto controllo giudiziario. Si impegna a pagare una cauzione di 5 milioni di euro e a presentarsi alla stazione di polizia due volte a settimana. Gli è vietato lasciare il territorio francese. Secondo i media, è obbligato a rimanere nel Paese fino a marzo 2025.

L'articolo Pavel Durov Commenta il suo Arresto. “un equilibrio tra privacy e sicurezza può essere difficile” proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-09-06 08:00:51

Jump Cacti With an LDR and a Pico

By now, probably everyone is familiar with the “You’re Offline” dinosaur that stars in Google’s T. Rex game. You know — jump cacti, avoid pterodactyls. Repeat until you lose, or, we suppose, make the leaderboard. Well, what if you theoretically couldn’t lose? That’s kind of the idea behind [Bas BotBerg]’s cactus detection-and-avoidance scheme (translated from Dutch).

Like many of us, [Bas] firmly believes that repetitive tasks should be automated, and that includes the controls of the famous T. Rex. Since the cacti are always dark gray and appear along the same plane, it’s easy to register the difference between cacti and screen electronically. In order to accomplish this, [Bas] is using a light-dependent resistor and a pull-up resistor to create a resistance bridge, which is then connected to an analog input pin on a Raspberry Pi Pico.

But [Bas] didn’t do this just to cheat at Offline Dinosaur. Really! It’s for educational purposes, to get people comfortable with embedded processing, sensors, and interfaces between different devices. Check it out in brief action after the break.

Once they get familiar with these concepts, maybe introduce the ESP32 version of Offline Dinosaur.

botberg.eu/wp-content/uploads/…

---

hackaday.com/2024/09/06/jump-c…

Cybersecurity & cyberwarfare

2024-09-06 08:02:53

Come su Mr. Robot! Ma il Governo Iraniano viene a patti con i Criminali per la stabilità del sistema Bancario del paese

Chi conosce la serie Mr. Robot, si ricorderà dell’attacco alla E-Corp che controllava l’intero sistema bancario degli Stati Uniti D’America e le conseguenze che ha portato l’impossibilità di effettuare pagamenti con la moneta corrente.

Nel mese di agosto, l’Iran ha subito un attacco informatico simile, che ha messo a rischio la stabilità del sistema bancario del Paese. Fonti vicine alla situazione affermano che in seguito all’incidente il governo è stato costretto a stringere un accordo con gli hacker e a pagare un riscatto di diversi milioni di dollari.

Secondo analisti e funzionari occidentali, una società iraniana ha trasferito almeno 3 milioni di dollari per impedire la fuga di dati personali dei clienti di oltre 20 banche. L’attacco, uno dei più grandi nella storia subito dall’Iran, è stato probabilmente effettuato dall’attore di minacce IRLeaks, che in precedenza aveva effettuato attacchi simili.

Il ransomware inizialmente richiedeva un riscatto di 10 milioni di dollari in criptovaluta, minacciando di vendere i dati rubati, inclusi i dati dei conti bancari e delle carte di credito, di milioni di cittadini. Tuttavia, l’accordo è stato infine ridotto a 3 milioni di dollari. Il governo iraniano ha accettato l’accordo perché temeva che la fuga di dati potesse destabilizzare il sistema finanziario del Paese, già sotto pressione a causa delle sanzioni internazionali.

Nonostante la portata dell’incidente, le autorità iraniane non hanno riconosciuto l’hacking né denunciato il riscatto. Durante l’attacco, gli sportelli bancomat in tutto il Paese sono stati temporaneamente disattivati. I media dell’opposizione hanno coperto l’incidente, ma non sono state rilasciate dichiarazioni ufficiali sul gruppo di hacker o richieste di riscatto.

A seguito dell’attacco informatico, il leader supremo dell’Iran ha rilasciato una dichiarazione in cui accusa gli Stati Uniti e Israele di tentare di “instillare paura nel popolo iraniano” e di impegnarsi in una guerra psicologica volta a indebolire la stabilità politica ed economica del Paese. Allo stesso tempo, secondo le fonti, l’attacco informatico non sarebbe collegato né al governo statunitense né a quello israeliano, bensì sarebbe stato effettuato da hacker indipendenti per motivi finanziari.

Il gruppo IRLeaks, che in passato ha hackerato aziende iraniane, è penetrato nei server bancari attraverso Tosan, una società che fornisce servizi digitali nel settore finanziario. Utilizzando Tosan come cavallo di Troia, gli hacker hanno ottenuto l’accesso ai dati sia delle banche private che della Banca Centrale dell’Iran. Tra gli istituti finanziari colpiti figurano la Banca dell’Industria e delle Miniere, la Banca Postale dell’Iran, il Bank Day e altri.

Il sistema finanziario iraniano si trova da tempo in una posizione vulnerabile. Le banche iraniane sono sovraccariche di prestiti interni e stanno attraversando notevoli difficoltà, aggravate dalle sanzioni e dall’instabilità economica. Nonostante ciò, molti iraniani continuano a utilizzare i servizi bancari ed evitano i contanti a causa dell’elevato tasso di inflazione del Paese, che supera il 40%. Tuttavia, la vulnerabilità del sistema bancario aumenta i rischi per i singoli istituti di credito, soprattutto in caso di prelievi massicci da parte dei clienti. È stato questo rischio che potrebbe indurre le autorità iraniane a nascondere l’attacco e ad accordarsi rapidamente con gli estorsori.

A gennaio, Hudson Rock ha rivelato attacchi informatici su larga scala ai principali servizi iraniani di assicurazione e ordinazione di cibo online, che hanno colpito una parte significativa degli 88 milioni di abitanti dell’Iran. Un hacker sotto lo pseudonimo di “irleaks” ha pubblicato il 20 dicembre un messaggio sul mercato del crimine informatico, offrendo in vendita più di 160 milioni di record di dati iraniani di 23 delle principali compagnie di assicurazione del paese.

L'articolo Come su Mr. Robot! Ma il Governo Iraniano viene a patti con i Criminali per la stabilità del sistema Bancario del paese proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-09-05 12:52:22

Taci, il nemico ti ascolta! Il premier olandese, ex spia, ha paura delle spie

Il premier Dick Schoof, già capo dell'intelligence olandese, blinda le riunioni di Governo contro le spie russe e cinesi.

The post Taci, il nemico ti ascolta! Il premier olandese, ex spia, ha paura delle spie appeared first on InsideOver.

Cybersecurity & cyberwarfare

2024-09-06 06:42:17

US calls on Big Tech to help circumvent online censors in Russia, Iran

The White House convened a meeting with representatives of tech giants and civil society activists on 5 September in a bid to encourage US tech giants to offer more digital bandwidth for government-funded internet censorship evasion tools.

---

euractiv.com/section/global-eu…

Cybersecurity & cyberwarfare

2024-09-06 06:41:06

Eserciti in Azione: L’Elitè USA Hackera una Base Nemica Durante Swift Response 24

L’unità d’élite dell’esercito americano conosciuta come i Berretti Verdi ha mostrato le proprie abilità informatiche durante la recente esercitazione Swift Response 24 di maggio.

Secondo i militari, il distaccamento ha effettuato un’operazione di pirateria informatica durante il sequestro di un edificio in Svezia.

L’unità altamente addestrata delle forze speciali Operational Detachment Alpha (ODA) ha ampliato le sue competenze per includere attività di hacking. Durante un’operazione vicino alla città di Skillingaryd, i soldati del 10° gruppo delle forze speciali hanno utilizzato attrezzature speciali per connettersi alle reti Wi-Fi del bersaglio, che hanno permesso loro di monitorare l’attività nell’edificio.

L’edificio è stato precedentemente scansionato utilizzando un dispositivo di accesso remoto, che ha permesso di identificare le reti che operano al suo interno. Violando le password, i combattenti hanno avuto accesso a telecamere di sorveglianza, sistemi di sicurezza e porte chiuse, che sono state poi disattivate.

Nella seconda fase dell’operazione, un’altra squadra è stata lanciata a sette miglia dal bersaglio, dopo di che i combattenti hanno effettuato la ricognizione, si sono infiltrati nell’edificio e hanno installato apparecchiature di disturbo del segnale per nascondere le tracce delle loro attività. Secondo quanto riferito, hanno anche lasciato un laptop su cui suonava “Never Gonna Give You Up” di Rick Astley, aggiungendo un elemento di umorismo alla complessa operazione militare.

L’esercitazione Swift Response 24 faceva parte di un addestramento su larga scala della NATO volto a dimostrare la disponibilità dell’alleanza ad agire insieme in caso di attacco a uno dei suoi membri. Per la prima volta, i nuovi membri della NATO, Finlandia e Svezia, hanno preso parte a tali esercitazioni. Alle manovre hanno preso parte più di 40.000 soldati provenienti dagli Stati Uniti e da altri paesi, inviando un chiaro segnale ai potenziali avversari che la NATO è pronta a difendersi.

L’esercitazione ha dimostrato l’importanza della guerra informatica e dell’uso della tecnologia in prima linea, che sta diventando parte integrante delle moderne operazioni militari.

L'articolo Eserciti in Azione: L’Elitè USA Hackera una Base Nemica Durante Swift Response 24 proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-09-06 05:56:03

Al via la Terza Edizione del Corso Darkweb & Cyber Threat Intelligence di Red Hot Cyber (CTIP)

Dopo che il secondo corso si è concluso a Luglio scorso, il team di Formazione di Red Hot Cyber avvia il nuovo corso di formazione professionale di livello intermedio sulla cyber threat intelligence. Il corso consentirà dopo aver sostenuto con successo l’esame finale di conseguire la certificazione Cyber Threat Intelligence Professional, rilasciata da Red Hot Cyber.

Sei pronto per un viaggio nel lato oscuro di Internet ed accedere al Dark Web? Sei pronto a comprendere come criminali informatici collaborano e utilizzano le risorse informatiche?

Se la risposta è sì, allora il nostro nuovo corso di Cyber Threat Intelligence (CTI) potrebbe essere esattamente ciò di cui hai bisogno.
Contattaci tramite WhatsApp al 379 163 8765 per maggiori informazioni o per bloccare il tuo posto, oppure scrivici a: formazione@redhotcyber.com. Ricorda che il corso è a numero chiuso e i posti sono limitati.
Condotta dal professor Pietro Melillo, PhD presso l’Università del Sannio e docente presso l’Università IUSI, questa esperienza formativa rivoluzionaria promette di fornire agli studenti gli strumenti e la conoscenza necessari per navigare in sicurezza le profondità del web sotterraneo.
Immagine della consegna del certificato CTIP ad un partecipante del primo corso di formazione sulla Cyber Threat Intelligence di Red Hot Cyber
Il Professore Melillo è un esperto riconosciuto nel campo della sicurezza informatica, con anni di esperienza nella ricerca e nell’insegnamento. Ha condotto ricerche innovative nel campo della minaccia informatica e ha una vasta conoscenza dei meccanismi che regolano il Dark Web.

“La threat intelligence, o CTI, consiste in dati contenenti informazioni dettagliate sulle minacce alla sicurezza informatica che prendono di mira un’organizzazione”, spiega il Professore Melillo. “Il corso fornirà sia ai neofiti che ai professionisti del settore le competenze tecnico-operative e strategiche necessarie per affrontare le nuove sfide professionali sollevate dalla cybersecurity.”
Contattaci tramite WhatsApp al 379 163 8765 per maggiori informazioni o per bloccare il tuo posto, oppure scrivici a: formazione@redhotcyber.com. Ricorda che il corso è a numero chiuso e i posti sono limitati.

Ma che cos’è la Cyber Threat Intelligence?

La Cyber Threat Intelligence (CTI), nè un campo della sicurezza informatica che si occupa di raccogliere, analizzare e interpretare informazioni relative alle minacce informatiche. Queste informazioni possono riguardare attacchi informatici in corso, potenziali vulnerabilità nei sistemi informatici, gruppi hacker, metodi di attacco e altro ancora.
Immagine della consegna del certificato CTIP da parte del Professor Pietro Melillo ad un partecipante del primo corso di formazione sulla Cyber Threat Intelligence di Red Hot Cyber
L’obiettivo principale della CTI è quello di fornire alle organizzazioni e agli individui le informazioni necessarie per comprendere le minacce alla sicurezza informatica che potrebbero mettere a rischio i loro dati, le loro reti o i loro sistemi informatici. Utilizzando queste informazioni, le organizzazioni possono prendere decisioni informate sulla protezione dei loro asset digitali e implementare strategie di difesa più efficaci.
Contattaci tramite WhatsApp al 379 163 8765 per maggiori informazioni o per bloccare il tuo posto, oppure scrivici a: formazione@redhotcyber.com. Ricorda che il corso è a numero chiuso e i posti sono limitati.
La CTI può includere sia fonti di informazioni pubbliche (OSINT), come report di sicurezza, articoli di ricerca e notizie, sia fonti di informazioni non pubbliche (CLOSINT), come dati raccolti da sensori di sicurezza, analisi di malware e rapporti di intelligence condivisi tra organizzazioni.

In sintesi, la Cyber Threat Intelligence è uno strumento fondamentale nella lotta contro le minacce informatiche, fornendo una panoramica approfondita e strategica delle attività e delle intenzioni degli attaccanti, e consentendo alle organizzazioni di prepararsi meglio e rispondere in modo più efficace alle minacce alla sicurezza informatica.

Come si articolerà il corso

Il corso si articolerà in diverse fasi cruciali:

• Dark web e reti protette
  
  • Cos’è il dark web
  • Storia del dak web
  • Come accedere al dark web in modo sicuro
  • Le risorse undeground

  
  

• Le minacce cyber
  
  • I threat actors
  • I forum underground
  • Le botnet e gli infostealer
  • Gli 0day e il mercato degli exploit
  • I broker di accesso
  • Il lato oscuro di Telegram
  • Il MaaS (Malware as a service)
  • Il Threat Hunting
  • Gli indicatori di compromissione (IoC)
  • Accesso alle risorse underground

  
  

• La cyber threat intelligence
  
  • La Cyber Threta Intelligence
  • Benefici per le organizzazioni
  • Fonti OSINT, HUMINT, TECHINT, CLOSINT
  • Traffic Light Protocol (TLP)
  • Strumenti di raccolta

  
  

• Il fenomeno del ransomware
  
  • Le cyber gang ransomware
  • La piramide del RaaS (Ransomware as a service)
  • I data leak site (DLS o siti della vergogna)
  • I ransomware monitor
  • Fonti open source
  • Accesso ai data leak site

  
  

• Strumenti di raccolta dati ed analisi
  
  • Tool open source, a pagamento e risorse online freeware
  • Tecniche di monitoraggio e rilevamento
  • Metodologie di analisi
  • Strumenti e tecniche di analisi
  • Esercitazioni pratiche

  
  

Contattaci tramite WhatsApp al 379 163 8765 per maggiori informazioni o per bloccare il tuo posto, oppure scrivici a: formazione@redhotcyber.com. Ricorda che il corso è a numero chiuso e i posti sono limitati.
Per partecipare al corso sono necessarie delle nozioni di base sulla navigazione internet e sulla sicurezza informatica. Le lezioni saranno in modalità live-webinar dove gli alunni potranno interagire con i professori online. Le lezioni sono a numero chiuso, per poter seguire al meglio ogni singola persona dal docente che sarà a vostra disposizione per eventuali dettagli o chiarimenti relativamente alle lezioni svolte.

Di seguito le date per la terza edizione del corso:

• Domenica 20 Ottobre dalle 16 alle 19
• Domenica 27 Ottobre dalle 16 alle 19
• Domenica 3 Novembre dalle 16 alle 19
• Domenica 10 Novembre dalle 16 alle 19
• Domenica 17 Novembre dalle 16 alle 19

Il professor Melillo consegna gli attestati di Certificazione CTIP ai partecipanti del corso.
Al termine del corso verrà rilasciato da Red Hot Cyber una certificazione di partecipazione al corso a seguito del completamento dei test che ne attestano il raggiungimento delle competenze acquisite;

Ma dopo il corso arriva il bello …

Il corso “Dark Web & Cyber Threat Intelligence” progettato da Red Hot Cyber offre un’esperienza pratica che continua anche dopo la conclusione del percorso formativo. I partecipanti che lo desiderano avranno l’opportunità di entrare a far parte del collettivo “DarkLab”, dove, sotto la guida di esperti, potranno contribuire alla redazione di report e articoli, interviste ai threat actors e approfondimenti legati alla cyber threat intelligence.

Questo percorso didattico è unico nel suo genere: Red Hot Cyber offre infatti un accesso esclusivo ad analisi e report di cyber threat intelligence, pubblicati regolarmente sul blog. I partecipanti avranno la possibilità di esplorare le realtà dell’underground digitale, con la possibilità di condurre analisi specifiche e mirate, un’opportunità che non troverete altrove.

Ulteriori informazioni utili:

• Pagina del corso “Darkweb e Cyber Threat Intelligence”: https://www.redhotcyber.com/training/corso-dark-web-e-cyber-threat-intelligence/
• Pagina delle certificazioni (solo per chi fornisce il consenso alla pubblicazione del nome): https://www.redhotcyber.com/academy/certificazioni/
• Conferimento alla Red Hot Cyber Conference dei certificati CTIP (minuto 2:18): youtube.com/watch?v=p71gQYUnv7…
• Alcuni post su Linkedin che riportano informazioni sul corso, da parte dei precedenti partecipanti al corso e alla certificazione CTIP.
• Il Gruppo Dark Lab https://www.redhotcyber.com/post/nasce-dark-lab-il-team-di-cyber-threat-intelligence-della-community-di-red-hot-cyber/

Contattaci tramite WhatsApp al 379 163 8765 per maggiori informazioni o per bloccare il tuo posto, oppure scrivici a: formazione@redhotcyber.com. Ricorda che il corso è a numero chiuso e i posti sono limitati.
L'articolo Al via la Terza Edizione del Corso Darkweb & Cyber Threat Intelligence di Red Hot Cyber (CTIP) proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-09-06 05:34:49

Il Direttore IT del distretto Scuole Pubbliche di New Haven è stato licenziato dopo la perdita di 6 milioni di dollari

Il direttore IT delle scuole pubbliche di New Haven è stato licenziato a seguito di un’indagine su un attacco informatico che l’anno scorso ha fatto perdere al distretto 6 milioni di dollari.

Gildemar Herrera è stato messo in congedo dopo l’incidente informatico. Si stima che l’hacking abbia compromesso anche le informazioni di 400 persone.

“La Sig.ra Herrera è stata licenziata a seguito di una lunga indagine amministrativa avviata in risposta alla valutazione del Dipartimento di tecnologia informatica delle scuole pubbliche di New Haven da parte di una società esterna di sicurezza informatica, assunta dopo la violazione della posta elettronica che ha portato a una significativa perdita finanziaria per il Consiglio scolastico”, ha affermato la Sovrintendente Madeline Negrón in una dichiarazione. “Il distretto scolastico ha concluso che, tra le altre cose, la Sig.ra Herrera non ha svolto i suoi doveri di Direttrice della tecnologia informatica”.

Da allora le forze dell’ordine hanno recuperato circa 5,1 milioni di dollari dei fondi rubati.

“Dopo la compromissione della posta elettronica aziendale, la città di New Haven e le scuole pubbliche di New Haven hanno adottato numerose misure per rafforzare i nostri sistemi”, ha affermato il sindaco Justin Elicker in una dichiarazione scritta.

“Queste misure includono l’assunzione di un responsabile della tecnologia per rafforzare la collaborazione tra la città, NHPS e altre funzioni IT per migliorare la nostra posizione in materia di sicurezza informatica. Inoltre, la città ha coinvolto esperti esterni che hanno esaminato le nostre procedure finanziarie e di sicurezza informatica e stanno lavorando con la città e NHPS per implementare questi miglioramenti, e rimarremo vigili e continueremo a migliorare i nostri sistemi per contribuire a ridurre la probabilità che un incidente come questo si verifichi di nuovo”.

L'articolo Il Direttore IT del distretto Scuole Pubbliche di New Haven è stato licenziato dopo la perdita di 6 milioni di dollari proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-09-06 05:30:55

Brussels boots on the ground in San Francisco

The EU Commission engages in 'direct' and 'intensive' collaboration with California legislators, who just approved a new AI bill that could 'strengthen' and 'complement' the EU’s AI regulation.

---

euractiv.com/section/digital/p…

Cybersecurity & cyberwarfare

2024-09-06 05:00:58

Build Yourself A Beautiful Interactive Light Toy

Sometimes, we build things with LEDs as indicator lamps or to illuminate something important. Sometimes, we build things with LEDs purely to glow and be beautiful. This interactive light toy from [Jens] falls into the latter category.

The build uses a 16×16 addressable LED matrix. [Jens] then ported some “Bouncy Bubbles” Processing code from Keith Peters to the Arduino Mega, and set it up to display on the matrix. An accelerometer was used to control the bouncing ball animations, while a second Arduino was then tapped to act as a musical synthesizer to add more vibes. The whole kit was then built into a 3D-printed housing with a nice hazy diffuser to give the LEDs a smoother, even look. [Jens] steps through how he got the diffuser just right, including a support structure that made all the difference to the aesthetic of the finished product. Getting diffusion right is key to making a nice LED project, and [Jens] got it very right here.

It’s a nice little art piece that looks kind of relaxing to play with in a dark room. We love a good glowable project here at Hackaday, so if you’ve built your own—don’t hesitate to let us know! Video after the break.

youtube.com/embed/bPiuY5Yb1Bk?…

---

hackaday.com/2024/09/05/build-…

Cybersecurity & cyberwarfare

2024-09-06 02:00:15

Build A Super Cheap RC Trainer Plane With Foam

Once upon a time, RC planes were expensive models that took months to build and big money to equip with electronics. Since the 20th century though, powerful batteries have become cheap, as have servos and radio controllers. Combine them with a bit of old packing material and you can get a little RC trainer up and running for peanuts, as [Samm Sheperd] demonstrates.

[Samm] started referring to this as the “$5 trainer,” though he admits that it will cost more than that if you don’t have some bits and pieces laying around. He demonstrates how to cut cheap foamboard with a hot guitar string, and how to form it into a viable wing. That’s the most crucial part, with the fuselage and tail surfaces relatively simple by comparison. With that complete, it’s as simple as bolting on a motor, some servos, and control horns, and you’re up and running. You can even whip up a landing gear if you’re so inclined! Then, figure out your center of gravity, get it right, and then you’re pretty much ready to fly.

It’s a great primer on how to build a basic RC model, and if you do it right, it should have pretty forgiving handling, too. Plus, it’s so cheap that it should be easy to repair if you crash. Happy modelling! Video after the break.

youtube.com/embed/aV5hILJe20U?…

---

hackaday.com/2024/09/05/build-…

Cybersecurity & cyberwarfare

2024-09-05 23:00:21

It’s Spreadsheets All The Way Down for This 80s Handheld

Unlike the today’s consumer computer market, the 1980s were the wild west in comparison. There were all kinds of different, incompatible operating systems, hardware, and programs, all competing against one another, and with essentially no networking to tie everything together. Some of these products were incredibly niche as well, only running one program or having a limited use case to keep costs down. Such was the Convergent WorkSlate, a computer that ran only a spreadsheet with any programs also needing to be built into a spreadsheet.

Upon booting the device, the user is presented with a fairly recognizable blank spreadsheet, albeit with a now-dated LCD display (lacking a backlight) and a bespoke keyboard and cursor that wouldn’t have allowed for easy touch typing. The spreadsheet itself is quite usable though, complete with formatting tools and the capability to use formulas like a modern spreadsheet program would. It also hosted a tape deck for audio and data storage, a modem for communicating with other devices, and an optional plotter-style printer. The modem port is how [Old VCR] eventually interfaces with the machine, although as one can imagine is quite a task for a piece of small-batch technology from the 80s like this. After learning how to send and receive information, a small game is programmed into the machine and then a Gopher interface is built to give the device limited Internet connectivity.

The investigation that [Old VCR] goes into on this project to get this obsolete yet unique piece of hardware running and programmed to do other tasks is impressive, and worth taking a look at especially because spreadsheets like this aren’t Turing-complete, leading to a few interesting phenomenon that most of us wouldn’t come across in the modern computing world. Since only around 60,000 units were ever made it’s difficult to come across these machines, but if you want to take a look at the spreadsheet world of the 80s without original hardware you can still run Lotus 1-2-3 natively in Linux today.

Thanks to [Cameron] for the tip!

---

hackaday.com/2024/09/05/its-sp…

Cybersecurity & cyberwarfare

2024-09-05 20:00:08

High-Speed Jelly Launcher Destroys Toast

You shouldn’t play with your food. Unless you’re designing some kind of portable cannon to fling it across the room. That’s precisely what [Backhaul Studios] did.

The first step of designing the condiment cannon was deciding what it should fire. Little low-profile tubs of jelly ended up being the ideal. They were stout enough to survive high-speed flight, while their low height was good for aerodynamics. The cannon itself is built from metal and 3D-printed parts. Multiple iterations eventually landed on a flywheel launcher design with big brushless motors and large 6-inch discs. It sounds positively awful in action and can fling jam (jelly) packets at immense speed. From there, it was simply necessary to design a magazine feed system to enable high-speed full-auto jelly delivery.

If you’ve ever hucked ketchup packets at a brick wall, you’ve understood the joy of splattering condiments everywhere. This cannon is just a way to do that faster and more hilariously. We’ve seen other fun builds along these lines before, too. Video after the break.

youtube.com/embed/ngfZ-xLuDMY?…

---

hackaday.com/2024/09/05/high-s…

Cybersecurity & cyberwarfare

2024-09-05 20:22:00

Viaggio nella fisica dei colori: Dai pigmenti ai bit

Siamo immersi in un mondo di colori, un oceano di sfumature che i nostri occhi percepiscono ogni giorno. Dai toni più vivaci ai più tenui, i colori ci circondano in casa, in strada, nella natura. Fin da bambini, interagiamo con i colori attraverso i materiali che utilizziamo, sviluppando un legame personale con essi. Ma cosa sono i colori? Come li percepiamo? In questo articolo, esploreremo brevemente la storia e i concetti scientifici che spiegano la percezione dei colori, immergendoci nella fisica della luce.

Il Colore: Un Fenomeno Luminoso

Al buio non esistono colori. Il colore è una sensazione percettiva che si manifesta quando un oggetto viene illuminato da una fonte di luce, naturale o artificiale. In sostanza, il colore è un fenomeno fisico legato alla luce e alle sue diverse lunghezze d’onda. La luce è un’onda elettromagnetica, energia che si propaga nello spazio, caratterizzata dalla frequenza, il numero di cicli compiuti in un secondo (misurata in Hertz, Hz) e dalla lunghezza d’onda (misurata in nanometri – nm – un sottomultiplo del metro, corrispondenti a un miliardesimo di metro) che rappresenta la distanza percorsa dall’onda nella direzione di propagazione, misurabile tra due punti uguali, ad esempio i due vertici di due cicli successivi.

L’origine del colore: Un regalo del Sole

Il colore e la sua percezione hanno origine nella nostra stella, il Sole. Come tutte le stelle dell’universo, il Sole emette enormi quantità di radiazioni sotto forma di luce e calore. I primi studi autorevoli sulla natura della luce risalgono al XVII secolo, quando il fisico e matematico inglese Isaac Newtoncondusse i suoi esperimenti pionieristici

Newton e la scomposizione della luce

Alla fine del Seicento, Isaac Newton rivoluzionò la nostra comprensione dei colori. Il suo esperimento chiave consisteva nel far passare un raggio di luce solare attraverso un foro praticato sulla porta di una stanza buia. Il raggio colpiva un prisma di vetro e Newton osservò due fenomeni fondamentali: la rifrazione e la dispersione cromatica o della luce.

Rifrazione e dispersione: I fenomeni alla base dei colori

La rifrazione è il fenomeno per cui un raggio di luce cambia direzione quando passa da un mezzo a un altro, come quando una cannuccia sembra spezzata se immersa in un bicchiere d’acqua. La dispersione cromatica, invece, è il fenomeno per cui la luce bianca si scompone nei suoi colori componenti (rosso, arancione, giallo, verde, blu, indaco e violetto) quando attraversa un prisma. Questo avviene perché ogni colore ha una diversa lunghezza d’onda e quindi viene deviato in modo diverso dal prisma.

Avete presente un arcobaleno? Ecco, non è altro che la manifestazione naturale della dispersione della luce solare attraverso le gocce di pioggia, sospese in aria, che agiscono come tanti piccoli prismi. Newton scoprì anche che questi colori non possono essere ulteriormente suddivisi, ma possono essere ricombinati per ottenere nuovamente la luce bianca.

Spettro visivo e oggetti colorati

Nel XIX secolo, lo scienziato James Clerk Maxwell comprese che la luce è una di radiazione elettromagnetica. Le onde elettromagnetiche, costituite dall’insieme di un campo elettrico e di un campo magnetico oscillanti in due piani tra loro perpendicolari, comprendono diverse tipologie di radiazioni, dai raggi gamma, ai raggi X, all’ultravioletto, alla luce visibile, all’infrarosso, fino alle microonde e alle onde radio. Queste onde si caratterizzano per la loro lunghezza d’onda, che va dalle più corte dei raggi gamma alle più lunghe delle onde radio. La luce visibile, percepibile dall’occhio umano, rappresenta solo una piccola porzione dell’intero spettro elettromagnetico, con lunghezze d’onda comprese approssimativamente tra i 380 e i 750 nanometri (nm). Solo queste frequenze riescono ad eccitare le cellule della retina presenti nei nostri occhi. All’interno di questa gamma ristretta si trovano i colori che percepiamo: dal violetto (con la lunghezza d’onda più corta) al rosso (con la lunghezza d’onda più lunga), passando per tutte le sfumature intermedie.

Luce e Colori

Ora, sapendo che la luce bianca è un arcobaleno nascosto, in cui ogni colore ha una diversa lunghezza d’onda, ci potremmo chiedere: come facciamo a vedere un colore specifico?

Quando la luce bianca colpisce la superficie di un oggetto, parte di essa viene riflessa. A seconda della composizione molecolare della superficie dell’oggetto, alcune lunghezze d’onda vengono assorbite, mentre altre vengono riflesse. Sono proprio queste onde riflesse che il nostro occhio percepisce come colori. I responsabili di questa interazione tra le lunghezze d’onda della luce e le superfici che le riflettono, sono alcuni tipi di molecole, i cromofori.

Sintesi sottrattiva e Sintesi additiva

Questo processo si può immaginare in questo modo: pensiamo ad una stoffa di colore verde, quando viene colpita dalla luce bianca, la lunghezza d’onda che corrisponde al colore verde viene riflessa, mentre tutte le altre lunghezze d’onda sono assorbite dai pigmenti presenti nel tessuto. Questo fenomeno di riflessione selettiva e assorbimento delle onde è detto sintesi sottrattiva. Esempi comuni di oggetti che ci restituiscono i colori tramite sintesi sottrattiva sono le foglie verdi, gli inchiostri e le tinte. Esiste però un altro fenomeno, opposto alla sintesi sottrattiva, chiamato sintesi additiva.

Nella sintesi additiva, le diverse lunghezze d’onda della luce si sommano per creare la percezione di un colore. Ad esempio, illuminando una stoffa bianca con una luce verde, la luce verde viene riflessa dalla stoffa senza alcuna alterazione. In altre parole, nessuna lunghezza d’onda viene assorbita. Questo principio (sintesi additiva) è alla base del funzionamento di tecnologie come i display dei computer e dei televisori, che utilizzano una combinazione di luce rossa, verde e blu per creare una vasta gamma di colori.

Modello RGB e colori digitali

Osservando un vostro device, vi siete mai chiesti come fanno questi dispositivi digitali a riprodurre una gamma così vasta di sfumature? Nei sistemi digitali, il gamut, ovvero la gamma dei colori, è diverso da quello utilizzato, ad esempio, dalla tavolozza di un pittore, nella stampa o nella produzione di immagini. Nei sistemi digitali, il numero possibile di colori è superiore a 15 milioni, a seconda della profondità di colore utilizzata. Ad esempio, i sistemi che utilizzano 24 bit per colore (8 bit per canale RGB) si possono rappresentare fino a 16,7 milioni di colori diversi.

In dispositivi come smartphone, notebook, PC o fotocamere, per la formazione del colore sì usa il sistema RGB. In questo sistema, la formazione del colore avviene attraverso la mescolanza additiva di diverse lunghezze d’onda. Ogni volta che si desidera ottenere un colore utilizzando la luce, invece di mescolare pigmenti, si mescolano le luci stesse. Nel sistema RGB, i colori primari utilizzati sono red (rosso), green (verde) e blue (blu). Mescolati tutti insieme, con la massima intensità, restituiscono luce bianca. Pensiamo all’ultima volta che hai scattato una foto con il tuo telefono o hai guardato un film in streaming. I colori vivaci e realistici che abbiamo visto sono il risultato diretto del modello RGB all’opera. Ogni pixel sullo schermo è composto da minuscole luci rosse, verdi e blu che si combinano per creare l’intera gamma di colori che percepiamo.

Conoscere il modello RGB è fondamentale per chiunque lavori con la grafica digitale, la fotografia o la produzione video, poiché rappresenta la base su cui si fonda la rappresentazione dei colori nei dispositivi moderni.

L'articolo Viaggio nella fisica dei colori: Dai pigmenti ai bit proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-09-05 20:22:00

Allarme FTC: Perdite Finanziarie Record a Causa di Frodi ai Bancomat Bitcoin

La Federal Trade Commission ( FTC ) degli Stati Uniti ha pubblicato dati allarmanti sull’aumento delle perdite finanziarie dei cittadini a causa delle frodi sull’utilizzo degli sportelli bancomat Bitcoin. Nel 2023, l’importo dei danni ha superato i 110 milioni di dollari, ovvero quasi dieci volte superiore a quello del 2020.

I bancomat Bitcoin (o bancomat crittografici), che sembrano simili a quelli normali, possono essere trovati nei supermercati, nelle stazioni di servizio e in altri luoghi pubblici. Ma a differenza dei bancomat tradizionali, sono progettati per l’acquisto e la vendita di criptovaluta.

I truffatori hanno da tempo adottato questi dispositivi. Chiamano le persone fingendosi dipendenti delle forze dell’ordine o di agenzie governative e le convincono che i loro conti bancari sono in pericolo. I criminali poi convincono le vittime a trasferire denaro tramite un bancomat Bitcoin, presumibilmente per “proteggere” i loro risparmi. Secondo gli ultimi dati della FTC, solo nei primi sei mesi del 2024, gli americani hanno perso 65 milioni di dollari a causa delle truffe sui bancomat crittografici. Gli anziani si sono rivelati particolarmente vulnerabili: il rischio di perdite per i cittadini di età superiore ai 60 anni è tre volte superiore rispetto ai giovani.

La perdita media riportata dalle vittime di tutte le fasce d’età nella prima metà dell’anno ha raggiunto i 10.000 dollari. L’importo è impressionante ed è perfettamente in grado di minare seriamente il benessere finanziario di molte famiglie.

La maggior parte delle perdite è associata a tre scenari principali: gli aggressori fingono di essere rappresentanti di agenzie governative, società commerciali o servizi di supporto tecnico. È importante convincere la vittima che il problema è urgente e che non c’è tempo per pensare.

Non appena gli utenti scansionano i codici QR offerti dai truffatori, i loro soldi finiscono immediatamente nei portafogli di criptovaluta dei criminali. Questo processo è praticamente irreversibile: è improbabile che i fondi vengano restituiti.

La FTC avverte: “Le truffe ATM Bitcoin sono varie. Di solito tutto inizia con una chiamata o un messaggio su presunte transazioni sospette sul conto. A volte i truffatori spaventano le persone con falsi avvisi su problemi di sicurezza informatica, fingendosi dipendenti Microsoft o Apple. Tali messaggi sono difficili da ignorare, ed è ciò su cui contano i truffatori. Poi aggravano la situazione: potrebbero dire che tutti i tuoi risparmi sono a rischio o che sei sospettato di riciclaggio di denaro o addirittura di coinvolgimento nel traffico di droga”.

Per proteggere le persone da tali insidie, la FTC formula una serie di raccomandazioni. L’importante è non affrettarsi a seguire i collegamenti o rispondere a chiamate, messaggi o notifiche pop-up inaspettate sul tuo computer senza verificarne l’autenticità. Per fare ciò, è necessario trovare autonomamente i contatti ufficiali dell’azienda o del dipartimento e contattarli direttamente.

L'articolo Allarme FTC: Perdite Finanziarie Record a Causa di Frodi ai Bancomat Bitcoin proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-09-05 18:52:45

Hai una pagina con 10.000 follower? I Russia devi ora fornire le tue generalità

Roskomnadzor, Il Servizio federale per la supervisione delle comunicazioni, della tecnologia dell’informazione e dei mass media della Federazione Russa, ha proposto una procedura per creare un registro delle pagine sui social network che contano più di 10mila abbonati. Questa proposta è legata alla legge recentemente approvata, secondo la quale i proprietari di tali pagine sono tenuti a divulgare i propri dati.

Secondo il progetto , il registro dovrebbe includere informazioni come il nome della pagina e il suo indirizzo Internet, i dati dell’utente, compreso il nome completo delle persone fisiche e informazioni sulle persone giuridiche, compresa la forma giuridica e il numero di registrazione. È inoltre necessario fornire informazioni di contatto, come numeri di telefono ed e-mail dei proprietari e degli amministratori della pagina, nonché indirizzi IP dei computer da cui la pagina è stata registrata e mantenuta.

Si presume che queste informazioni possano essere inviate tramite il sito web Roskomnadzor o tramite e-mail. Dopo aver ricevuto i dati, il dipartimento ne verificherà l’esattezza entro una settimana e, in caso di conferma, aggiungerà la pagina al registro. I proprietari della pagina sono tenuti a notificare eventuali modifiche ai dati specificati.

Una pagina può essere rimossa dal registro se infrange la legge, cancella la pagina o riduce il numero di iscritti al di sotto di 10mila. È anche possibile includere nuovamente una pagina nel registro se le circostanze cambiano.

Le nuove regole influenzeranno i social network come TikTok, Twitter, YouTube, VKontakte, Telegram e molti altri inclusi nel registro Roskomnadzor. Allo stesso tempo, Facebook e Instagram non sono nel registro, poiché la loro società madre Meta è riconosciuta come estremista e bandita in Russia.

Ad agosto è stata promulgata una legge che regola la questione. Se il proprietario di una pagina con più di 10mila iscritti non fornisce informazioni su se stesso, non potrà inserire annunci e altri canali non potranno ripubblicare i suoi messaggi.

Durante la discussione delle nuove regole alla Duma di Stato, è stato osservato che la divulgazione dei dati sui proprietari dei canali Telegram e di altre pagine sui social network ha lo scopo di aumentare la responsabilità degli autori dei contenuti. Questo passaggio è visto come un modo per rendere lo scambio di informazioni più trasparente e controllabile, in linea con la politica generale di crescente controllo sullo spazio digitale.

Rimangono tuttavia dubbi sull’esatta interpretazione della legge. Finora non è stato chiaramente definito quali pagine siano considerate personali, il che crea incertezza. Ad esempio, le pagine dei negozi online che operano sulla piattaforma VKontakte potrebbero trovarsi in una zona grigia, poiché non è chiaro se debbano essere soggette agli stessi requisiti delle pagine personali.

Particolare attenzione è rivolta alla questione del rispetto della legislazione sulla pubblicità. I casi di violazioni relative alla pubblicità sulle pagine dei social network saranno esaminati dal Servizio federale antimonopolio (FAS). Tuttavia, come dimostra la pratica, la maggior parte dei procedimenti inizia sulla base di reclami e non sull’iniziativa del servizio stesso. Ciò crea il rischio che il nuovo meccanismo diventi uno strumento competitivo, con i reclami utilizzati per fare pressione sui proprietari di pagine di grandi dimensioni.

L'articolo Hai una pagina con 10.000 follower? I Russia devi ora fornire le tue generalità proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-09-05 17:00:52

If Wood Isn’t The Biomass Answer, What Is?

As we slowly wean ourselves away from our centuries-long love affair with fossil fuels in an attempt to reduce CO₂ emissions and combat global warming, there has been a rapid expansion across a broad range of clean energy technologies. Whether it’s a set of solar panels on your roof, a wind farm stretching across the horizon, or even a nuclear plant, it’s clear that we’ll be seeing more green power installations springing up.

One of the green power options is biomass, the burning of waste plant matter as a fuel to generate power. It releases CO₂ into the atmosphere, but its carbon neutral green credentials come from that CO₂ being re-absorbed by new plants being grown. It’s an attractive idea in infrastructure terms, because existing coal-fired plants can be converted to the new fuel. Where this is being written in the UK we have a particularly large plant doing this, when I toured Drax power station as a spotty young engineering student in the early 1990s it was our largest coal plant; now it runs on imported wood pellets.

Wood Ain’t What You Think It Is

An active coppiced woodland, this one looks about half way through its regrowth cycle. Martinvl, CC BY-SA 4.0
The coal-to-wood story has a very rosy swords-into-ploughshares spin to it, but sadly all isn’t as well as it seems with wood biomass power generation. Nature has a feature expressing concerns about it, both over its effect on the areas from which the wood is harvested, and over the CO₂ emissions it creates. The problem is that it produces so much CO₂ with such a long renewal time of regrowing all those trees, that over the next century it’s likely to make the CO₂ problem worse rather than better. The article has provoked a storm of criticism of the biomass industry from environmentalists, but in doing so do they risk tarnishing the whole biomass sector unfairly?

A millennia-old sustainable farming practice is that of coppicing. This is the repeated harvesting of wood from the same tree in a continuous cycle of cutting and regrowth of the same trees, and a typical coppiced woodland will contain trees at all stages of the cycle. This is a very practical example of carbon neutral biomass production, but the problem is that for a power-station scale operation it becomes one of replacing older trees with hew ones. While a coppiced tree will take in the order of a decade to replace its growth, a new full-sized forest tree takes many decades to do the same. The establishment of a coppiced forest is a slow process meanwhile, so there’s little prospect of their soon achieving the scale to replace the traditional forests harvested by the power industry.

The Answer Lies Down On The Farm

Fortunately, wood represents only one sector of the biomass industry. There’s an alternative model to that of the enormous former coal plant burning wood pellets, and it comes in the form of much smaller local plants running on biomass crops or crop waste from farms, usually in the form of straw. It’s worth looking at these plants in order to remind anyone tempted to dismiss biomass as a whole based on the wood pellet plants that there is a more sustainable alternative.
A straw-fired power station in Cambridgeshire, UK. Michael Trolove, CC-BY-SA 2.0.
A feature of growing up in rural England before the end of the 1980s was that at this time of year the land would be enveloped in a curious smog. We produced much more straw than we could use as a country, and the surplus used to be burned where it lay in the fields. The resulting ash would return what nutrients it contained to the soil, and the land being blanketed by smoke was just part of life.

When the practice was banned it became the norm for combine harvesters to chop the straw and distribute it across the field, where it would be ploughed in to break down naturally. Naturally this represented a significant biomass crop going to waste, so as the demand for green energy rose there appeared local plants all across the country. These typically have a capacity in the tens of MW, and buy their straw under contract from farms within an easy transport radius. This is usually surplus straw from feed crops, but is sometimes also ones specifically grown for biomass such as rye or elephant grass. It’s something of a mark of the season, when the contractors turn up with their huge high-speed baler to process the crop.

In the second half of the 20th century we concentrated on the economies of scale offered by very large coal-burning plants because it was relatively cheap to move a trainload of coal from the colliery to the power station. It’s unlikely that we’d now build similar plants to burn wood unless we already had them left over from the coal era, so it’s important to remind anyone put off biomass power by concerns similar to those in the Nature article that it doesn’t need to be done that way. There is an alternative, it relies on biomass that grows back on a yearly cycle with the harvest, and it could be coming to your county if it hasn’t already.

“Drax power station cooling towers” by [Andrew Whale], CC BY-SA 2.0.

---

hackaday.com/2024/09/05/if-woo…

Cybersecurity & cyberwarfare

2024-09-05 15:30:46

Launching Model Airplanes With a Custom Linear Induction Motor

Launching things with electromagnetism is pretty fun, with linear induction motors being a popular design that finds use from everywhere in hobby designs like [Tom Stanton]’s to the electromagnetic launchers on new US and Chinese aircraft carriers. Although the exact design details differ, they use magnetic attraction and repulsion to create a linear motion on the propulsive element, like the sled in [Tom]’s design. Much like the electromagnetic catapults on a Gerald R. Ford-class carrier, electrical power is applied to rapidly move the sled through the channel, akin to a steam piston with a steam catapult.
Model airplane sparking its way through the launcher’s channel. (Credit: Tom Stanton, YouTube)
For [Tom]’s design, permanent magnets are used along both sides of the channel in an alternating north/south pole fashion, with the sled using a single wound coil that uses brushes to contact metal rails along both sides of the channel. Alternating current is then applied to this system, causing the coil to become an electromagnet and propel itself along the channel.

An important consideration here is the number of turns of wire on the sled’s coil, as this controls the current being passed, which is around 90 A for 100 turns. Even so, the fastest sled design only reached a speed of 44 mph (~71 km/h), which is 4 mph faster than [Tom]’s previous design that used coils alongside the channels and a sled featuring a permanent magnet.

One way to increase the speed is to use more coils on the sled, with a two-coil model launching a light-weight model airplane to 10.2 m/s, which is not only a pretty cool way to launch an airplane, but also gives you a sense of appreciation for the engineering challenges involved in making an electromagnetic catapult system work for life-sized airplanes as they’re yeeted off an aircraft carrier and preferably not straight into the drink.

youtube.com/embed/v4zTAkLKgm4?…

---

hackaday.com/2024/09/05/launch…

Cybersecurity & cyberwarfare

2024-09-05 15:04:10

Creators di OnlyFans nel Mirino! Falso Tool Diffonde il Malware Lumma Stealer

Veriti ha scoperto che i criminali informatici hanno iniziato a utilizzare uno strumento falso per hackerare gli account OnlyFans, che invece di svolgere le funzioni promesse infetta gli aggressori con il malware Lumma Stealer.

OnlyFans è una piattaforma popolare per la creazione e la distribuzione di contenuti per adulti, in cui i creatori possono guadagnare denaro dagli abbonamenti dei propri fan. A causa della sua grande popolarità, la piattaforma diventa bersaglio di attacchi da parte di criminali informatici che cercano di rubare account a scopo di estorsione, ricevere pagamenti dagli abbonati o distribuire informazioni personali.

Per facilitare il processo di hacking, gli aggressori utilizzano i cosiddetti “checker” che controllano i database di dati rubati per individuare eventuali corrispondenze con gli account OnlyFans, consentendo loro di automatizzare il processo di selezione di password e credenziali. Tuttavia, a volte tali strumenti stessi si rivelano trappole.

Pubblicità su un forum della darknet

I ricercatori di Veriti hanno scoperto un caso in cui un falso checker per OnlyFans ha installato il malware Lumma Stealer sul computer invece di verificare le credenziali. Il file dannoso, scaricato da un repository su GitHub , era un programma chiamato “brtjgjsefd.exe” che, una volta avviato, iniziava a raccogliere dati personali dal dispositivo infetto.

Lumma Stealer è specializzato nel furto di dati come password, cookie, codici di autenticazione a due fattori, portafogli di criptovaluta e informazioni sulla carta di credito archiviate nel browser o nel file system della vittima. È interessante notare che Lumma Stealer non solo ruba dati, ma può anche scaricare ulteriore malware sul dispositivo infetto ed eseguire script PowerShell, il che rende il programma particolarmente pericoloso.

Inoltre, i criminali informatici hanno utilizzato anche altre piattaforme popolari: Disney+ e Instagram. Ad esempio, il repository GitHub conteneva anche file dannosi denominati “DisneyChecker.exe”, “InstaCheck.exe” e “ccMirai.exe”, che avrebbero dovuto rispettivamente verificare le credenziali di Disney+ e Instagram e creare la botnet Mirai.

I file infettavano i computer delle vittime, che tentavano di utilizzarli per i propri scopi criminali. I ricercatori hanno anche identificato i server C2 situati sui domini “.shop” che controllavano i dispositivi infetti e ricevevano dati rubati.

L'articolo Creators di OnlyFans nel Mirino! Falso Tool Diffonde il Malware Lumma Stealer proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-09-05 14:00:42

I2C For Hackers: Digging Deeper

Last time, I gave you an overview of what you get from I2C, basics like addressing, interface speeds, and a breakdown of pullups. Today, let’s continue looking into I2C capabilities and requirements – level shifting, transfer types, and quirks like combined transfers or clock stretching.

Level Shifting

Today, the overwhelming majority of I2C devices are 3.3 V logic. but this wasn’t always the case. If you work with old tech or with I2C on VGA/DVI/HDMI ports, you will see 5 V I2C networks, and if you work with very new tech, you will see 1.8 V I2C networks; rarely, you might even see 2.5 V networks!

Interfacing 5 V devices with a 3. 3V controller, it might not be necessary to level shift. You need to a) wire pullups to 3.3 V, and b) win the device input tolerance lottery. Same goes interfacing 3.3 V devices with 1.8 V hosts – wire up pullups to 1.8 V and pray to the stars. It can work in production – here’s Adafruit taking the 3.3 V-pulled-up Raspberry Pi I2C bus, and connecting it to a 5 V-powered MCP23017 chip that drives a 5 V-connected HD44780 display.

If your arrangement is different, or you’re experiencing a problem, you will want a level shifter circuit. At their simplest, two N-FETs like 2N7002 will do wonders. If you want smaller PCB footprint, better parameters, or more channels, there are level shifter chips, with many of them wonderfully suited for I2C (read the datasheet!). As we’ve featured before, some shifter ICs are too smart for their own good, while others will do just fine – if in doubt, remember to use your logic analyzer judiciously.

Two Ways To Talk

There are two kinds of I2C transfers you could expect to perform – I’d call them “simple transfers” and “register transfers”. With simple transfers, you send an address, and after the device ACKs, you either send or receive a single byte – it’s just like working with a shift register. With register transfers, you send an address, then a register number, and the device sends you the “contents” of that register – it’s more like working with an SPI display.

The PCF8574 is an I2C GPIO expander that does simple transfers. It has eight GPIO pins, and it only does simple transfers. How does that work, given it does both input and output? Well, the PCF8574 has only three possible states for all pin, with two of them combined together. The “Low” state (writing 0) is a hard pull down to GND. The “High” state (writing 1) is a weak pull to VCC – which also makes the pin work as an input with a pullup enabled. To check the input state, just read the expander state, and see if any of the pins you’ve set to 1 are now reading as 0. You can’t do a lot of high-side driving, sure, but you can still drive LEDs and check buttons, plus, this scheme is dead simple and covers a ton of use cases.

A good few I2C devices use simple transfers – the LM75 temperature sensor, for instance, only has to return temperature. You can read out multiple bytes at once, of course – simple transfers aren’t inherently limited to a single byte! PCF8575, the 16-bit sister of the PCF8574, has 16 GPIOs, I’ve used simple transfers with an ATMega328P keypard controller I created at some point – it would return keycodes, taken from a ring buffer. However, at some point, I decided to add more features to it, like ADC reading to help out a Pi Zero it was connected to, and had to upgrade it to register transfers.

The MCP23017 is a GPIO expander that uses register transfers. It has 16 GPIO pins, and a ton of features, each with their own register. Since one register contains 8 bits and we have 16 GPIOs, there are two registers per feature, and as such, there are two registers for pin directions, two for enabling integrated pullups, two for reading out input states, two for setting pins as outputs, and so on. They can even be arranged in two different ways, one backwards compatible with a different chip, by changing a bit in the status register! It’s a fair bit more complex chip than the PCF8574, but the complexity pays off where you need it.

I2C EEPROMs work with register transfers, too – some use 8-bit addresses, which allows for up to 256 bytes of storage. Higher-capacity EEPROMs use 16-bit (two-byte) addresses, where you’re expected to send in two bytes before you can read data out; if you try to read from such an EEPROM using two-byte addresses, you will just read back zeroes, so beware!

Quirks

But what if the device can’t keep up with the multi-byte transactions that your microcontroller is asking for? Maybe you have an EEPROM that needs time before it can read out a value from its internal memory so that it your MCU can receive it, maybe it’s a sensor that needs to average some values quickly and it just can’t catch up with even the lax timing requirements of 100 kHz I2C.

There’s a solution – it’s called clock stretching, and it’s basically an I2C device holding SCL low after receiving a byte, extending ACK state for a long time, until it can actually return meaningful data. As long as SCL is low, the controller should wait for the device. It’s essentially a way for a device to say “wait, not yet, I need some time before I can give you what you’re looking for”.

Raspberry Pi didn’t support clock stretching for the longest time due to a silicon bug. Every single Pi version before Pi 4 couldn’t handle clock stretching, including all of the Pi Zero versions released at the time of writing this article. The workaround, if you need one – use software I2C. It consumes more CPU since you have to use a kernel driver that bitbangs the bus, but it does have functional clock stretching. And of course the Raspberry Pi isn’t alone: if you are likely to need clock stretching, make sure that the microcontroller hardware peripheral supports it properly.

Next time, we dive into the physical layer, look at logic analyzer traces, understand how communication happens, and the ways it can break despite our best intentions.

---

hackaday.com/2024/09/05/i2c-fo…

Cybersecurity & cyberwarfare

2024-09-05 12:14:04

OMS Pubblica Uno Studio Decisivo: Nessun Legame tra Cellulari e Cancro al Cervello

L’Organizzazione Mondiale della Sanità (OMS) ha pubblicato i risultati di un esperimento su larga scala che probabilmente metterà fine al dibattito di lunga data sugli effetti dei telefoni cellulari sullo sviluppo del cancro al cervello. Gli scienziati hanno analizzato più di 5.000 articoli scientifici e selezionato 63 studi condotti dal 1994 al 2022 per uno studio dettagliato.

I risultati del lavoro sono stati pubblicati sulla rivista scientifica Environmental International .

Il dibattito sui potenziali pericoli dei telefoni cellulari risale al 1993, quando David Reynard, residente in Florida, fece causa alla NEC America. Ha affermato che le radiazioni di un telefono cellulare hanno contribuito allo sviluppo di un tumore al cervello in sua moglie. Sebbene la causa sia stata archiviata nel 1995, il caso ha suscitato timore nella mente di molte persone.

Nel 2011 l’OMS e l’Agenzia internazionale per la ricerca sul cancro (IARC) hanno deciso di classificare le radiazioni dei telefoni cellulari come possibili cancerogeni per l’uomo. E nel 2016, un altro studio ha dimostrato che le radiazioni dei gadget possono effettivamente causare cancro al cervello e alle ghiandole surrenali nei topi e nei ratti.

Tuttavia, un nuovo esperimento condotto da esperti dell’Agenzia australiana per la protezione dalle radiazioni e la sicurezza nucleare (ARPANSA) smentisce queste paure. Gli scienziati hanno scoperto che, nonostante la rapida crescita dell’uso dei telefoni cellulari negli ultimi vent’anni, non si è verificato un aumento corrispondente dei casi di cancro alla testa o al collo.

Il team ha analizzato gli effetti delle onde radio provenienti dalle torri cellulari e ha anche studiato le occupazioni associate a una maggiore esposizione alle radiazioni in radiofrequenza. In entrambi i casi non è stata trovata alcuna connessione con lo sviluppo del cancro.

Mark Ellwood, professore di epidemiologia all’Università di Auckland e coautore dello studio, ha osservato che il lavoro copre un’ampia gamma di fonti di radiazioni a radiofrequenza. Hanno preso in considerazione non solo i telefoni cellulari, ma anche altri dispositivi: radio, televisori, baby monitor, router Wi-Fi, radar, nonché numerosi dispositivi industriali e medici.

Le conclusioni degli scienziati sono logiche, data l’enorme prevalenza degli smartphone nel mondo moderno. Secondo alcune stime ne fanno uso tre quarti della popolazione mondiale. Gli americani, ad esempio, trascorrono in media 4 ore e 37 minuti al giorno sui loro telefoni e questi numeri non fanno che aumentare con l’avanzare della tecnologia. Nonostante ciò, il tasso di incidenza del cancro al cervello è rimasto praticamente invariato dal 1982.

Ken Karipidis dell’ARPANSA afferma che il nuovo studio si basa su molti più dati rispetto al campione IARC del 2011. Gli scienziati hanno anche sottolineato di aver osservato persone che utilizzano i telefoni cellulari più frequentemente e per lunghi periodi – più di 10 anni.

L'articolo OMS Pubblica Uno Studio Decisivo: Nessun Legame tra Cellulari e Cancro al Cervello proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-09-05 11:00:58

Getting Root on Cheap WiFi Repeaters, the Long Way Around

What can you do with a cheap Linux machine with limited flash and only a single free GPIO line? Probably not much, but sometimes, just getting root to prove you can is the main goal of a project. If that happens to lead somewhere useful, well, that’s just icing on the cake.

Like many interesting stories, this one starts on AliExpress, where [Easton] spied some low-cost WiFi repeaters, the ones that plug directly into the wall and extend your wireless network another few meters or so. Unable to resist the siren song, a few of these dongles showed up in the mailbox, ripe for the hacking. Spoiler alert: although the attempt on the first device had some success by getting a console session through the UART port and resetting the root password, [Easton] ended up bricking the repeater while trying to install an OpenWRT image.

The second attempt, this time on a different but similar device, proved more fruitful. The rudimentary web UI provided no easy path in, although it did a pretty good job enumerating the hardware [Easton] was working with. With the UART route only likely to provide temptation to brick this one too, [Easton] turned to a security advisory about a vulnerability that allows remote code execution through a specially crafted SSID. That means getting root on these dongles is as simple as a curl command — no hardware hacks needed!

As for what to do with a bunch of little plug-in Linux boxes with WiFi, we’ll leave that up to your imagination. We like [Easton]’s idea of running something like Pi-Hole on them; maybe Home Assistant would be possible, but these are pretty resource-constrained machines. Still, the lessons learned here are valuable, and at this price point, let the games begin.

---

hackaday.com/2024/09/05/gettin…

Cybersecurity & cyberwarfare

2024-09-05 08:00:01

Tactile Communication Board Speaks the Truth

Sometimes, simple things can make a world of difference. Take for example a non-verbal person who can’t necessarily control a touch screen in order to tell someone else what they need or want or think.

This is where Augmentative and Alternative Communication (AAC) devices come in. Recently tasked with building such a device, [Thornhill!] came up with a great design that houses 160 different phrases in a fairly small package and runs on CircuitPython.

Basically, the client presses the appropriate snap-dome button button and the corresponding phrase is spoken through the speaker. The 10×16 grid of buttons is covered with a membrane that both feels nice and gives a bit of protection from spills.

The buttons can achieve high actuation forces and have a crisp tactile response, which means they’re probably gonna go a long way to keep the user from getting frustrated.

This handy AAC board is built on the Adafruit RP2040 Prop-Maker Feather and two keypad matrices. If this weren’t useful enough as it is, [Thornhill!] also built an even smaller version with 16 buttons for the client to wear around their neck.

Did you know? AAC boards aren’t just for humans.

---

hackaday.com/2024/09/05/tactil…

Cybersecurity & cyberwarfare

2024-09-05 08:00:12

Tropic Trooper spies on government entities in the Middle East

Executive summary

Tropic Trooper (also known as KeyBoy and Pirate Panda) is an APT group active since 2011. This group has traditionally targeted sectors such as government, healthcare, transportation and high-tech industries in Taiwan, the Philippines and Hong Kong. Our recent investigation has revealed that in 2024 they conducted persistent campaigns targeting a government entity in the Middle East, starting in June 2023.

Sighting this group’s TTPs in critical governmental entities in the Middle East, particularly those related to human rights studies, marks a new strategic move for them. This can help the threat intelligence community better understand the motives of this threat actor.

The infection came to our attention in June 2024, when our telemetry gave recurring alerts for a new China Chopper web shell variant (used by many Chinese-speaking actors), which was found on a public web server. The server was hosting an open-source content management system (CMS) called Umbraco, written in C#. The observed web shell component was compiled as a .NET module of Umbraco CMS.

In our subsequent investigation, we looked for more suspicious detections on this public server and identified multiple malware sets. These include post-exploitation tools, which, we assess with medium confidence, are related to and leveraged in this intrusion.

Furthermore, we identified new DLL search-order hijacking implants that are loaded from a legitimate vulnerable executable as it lacks the full path specification to the DLL it needs. This attack chain was attempting to load the Crowdoor loader, which is half-named after the SparrowDoor backdoor, detailed by ESET. During the attack, the security agent blocked the first Crowdoor loader, prompting the attackers to switch to a new, previously unreported variant, with almost the same impact.

We attribute this activity to the Chinese-speaking threat actor known as Tropic Trooper with high confidence. Our findings reveal an overlap in the techniques reported in recent Tropic Trooper campaigns. The samples we found also show a high overlap with samples previously attributed to Tropic Trooper.

Background

In June 2024, we detected a new version of the well-known China Chopper web shell. Further investigation followed as it represents a module within Umbraco CMS, receiving commands via the Umbraco controller.

On the same public server hosting Umbraco, we found other suspicious implants and malware clusters, which appeared to be part of the same attack. The installed security agent kept detecting these malware implants, and the attackers tried to drop additional post-exploitation tools to achieve their main objectives: in this intrusion we assess with high confidence that the motive is cyber espionage.

The table below shows the discovered malware families related to this intrusion. The subsequent sections of this report provide a technical analysis of these malware clusters.

Malware Set	Description	Oldest Variant	Earliest Variant	Sample Count
1 – Web shells	.NET Web shells found dropped into path c:\microsoft.net\framework64\v4.0.30319\temporary asp.net files\rootwith filename similar to this pattern App_Web_{8}[a-z0-9].dll	2023.08.25	2024.04.18	37
2 – Post-exploitation tools	Multiple post-exploitation tools dropped into path c:\sql\tools\attunitycdcoracle\x64\1033Main usage: network scanning, lateral movement, defense evasion Main tools: Fscan, Swor and batch scripts	2024.05.07	2024.05.08	5
3 – DLL search-order hijacking implants – Crowdoor loaders	Multiple malicious DLLs, side-loaded into other legitimate executables, dropped into paths c:\Windows\branding\data and c:\Users\Public\Music\dataThe malicious samples are called Crowdoor, which, when run, drop CobaltStrike and maintain persistence.	2024.04.18	2024.05.15	5

Technical details

Webshells — Umbraco modules

MD5	3f15c4431ad4573344ad56e8384ebd62
Sha-1	311d1d50673fbfc40b84d94239cd4fa784269465
Sha256	8df9fa495892fc3d183917162746ef8fd9e438ff0d639264236db553b09629dc
Link-Time	2024-05-06 10:19:28
File Type	dynamic-link-library, 32-bit, console / Microsoft Visual C# / Basic .NET | Microsoft.NET
File Name	App_Web_dentsd54.dll

The module exhibits characteristics commonly associated with malicious activity, including obfuscation and dynamic execution of commands. The commands are received and dispatched by the
umbraco_bind_aspx module, as can be seen below.

Malicious module found inside Umbraco CMS on the compromised server

The
umbraco_bind_aspx is a class generated by the ASP.NET framework for an ASPX page within Umbraco CMS. The framework automatically calls the __BuildControlTree() function. This function, implemented by the attackers, is responsible for calling malicious code as the argument to the RenderMethod() function. Also, event validation, which is a security feature in ASP.NET that prevents unauthorized events from being logged on the server, is disabled by setting EnableEventValidation to false as can be seen in the screenshot below.

Malicious function implementing China Chopper registered as a callback function

__Render__control1() is the main malicious function. As can be seen in the screenshot below, a Base64 string is decoded and then executed via dynamic evaluation using JavaScript.

Obfuscated dynamic JS code execution

The script employs multiple Base64 decodings before the final JavaScript payload is generated and executed. The resulting code resembles the known functionality associated with the China Chopper web shell, a popular web shell used by attackers for remote access and control over compromised web servers.

China Chopper web shell functionality

The attackers then started dropping various samples on this server, notably a dropper that was pushing more compiled variants carrying the same functionality, but using different module names. These module names all match the pattern
App_Web_{8}[a-z0-9].dll. In our telemetry, we noticed exploitation attempts of several CVEs (CVE-2021-34473, CVE-2021-34523 and CVE-2021-31207 in Microsoft Exchange, CVE-2023-26360 in Adobe ColdFusion). Therefore, we believe with moderate confidence that these web shells were dropped by exploiting an existing unpatched vulnerability.
According to the timeline of the detection logs, the attackers were able to leverage some of these web shells to execute commands on the affected server and drop more post-exploitation tools utilized for lateral movement. The majority of observed software are open-source tools maintained by Chinese-speaking developers. These implants are dropped into the Umbraco CMS root directory.

We found the following tools:

• Fscan: A tool for vulnerability scanning including host status detection, port scanning, service enumeration, exploitation, etc. The tool documentation is in simplified Chinese and maintained by Chinese-speaking accounts. The attackers created a script, named i.bat, to identify available machines on the network using simple ICMP ping requests. The output is directed to a text file, which is used later for lateral movement.
• Swor: A simple penetration testing tool whose author tried to make it immune to removal by security solutions. Based on its documentation, it can deploy mimikatz, FRP and ElevationStation. The tool is open-source and maintained by Chinese-speaking developers. This tool was previously sighted being leveraged in attacks on government entities in Malaysia, which is a similar industry vertical to the Middle East intrusion victimology. We found the same compiled sample in the wild at [domain]/wampthemes/simple/123/In-Swor-v2/1.exe.
• Neo-reGeorg: An open-source SOCKS5 proxy, the attackers used it to pivot to other machines and evade network-level security controls. Some detections suggest that this tool may be used to proxy traffic, but we have not been able to verify the actual purpose of proxying traffic through this server.
• ByPassGodzilla: A Chinese web shell encryptor used to obfuscate other deployed web shells to bypass detections. We were able to source different implementations of encrypted web shells in .NET and ASPX scripts from the same server. According to our telemetry, the newly discovered web shell was also associated with a campaign leveraging CVE-2023-26360 early this year targeting vulnerable servers in the Middle East.

Backdoor implants using DLL search-order hijacking

The attackers tried to load a malicious DLL,
datast.dll, from c:\Users\Public\Music\data three times. After these attempts failed, the attackers relied on another malicious loader, VERSION.dll, which was dropped into C:\Windows\branding\data. We discuss this below in the “New samples” section. We believe, based on our telemetry, that the Umbraco web shells were used to drop these files on the infected server.
Since the timeframe for loading the two malicious DLLs,
VERSION.dll and datast.dll, were very close, it allowed us to link the two files. Additionally, the same approach was used for both: leveraging a legitimate executable file vulnerable to DLL search-order hijacking, which would load a malicious DLL dropped into the same path as the legitimate executable.

The datast.dll library

MD5	a213873eb55dc092ddf3adbeb242bd44
Sha-1	3650899c669986e5f4363fdbd6cf5b78a6fcd484
Sha256	23dea3a74e3ff6a367754d02466db4c86ffda47efe09529d3aad52b0d5694b30
Link-Time	Thu Jul 27 16:21:38 2023 (UTC)
File Type	dynamic-link-library | 32-bit
File Name	datast.dll

In this incident, our telemetry points to the malware export being called using the rundll32 command from the
a.bat file (MD5: fca94b8b718357143c53620c6b360470), which we were unable to obtain. A second assumption is that it was loaded through a legitimate executable using DLL search-order hijacking, as datast.dll has been observed before, associated with Tropic Trooper and loaded by the same method. We believe with low to medium confidence that the batch script was merely used for testing purposes as the whole malware-loading chain was designed to be loaded from a legitimate executable.
Once loaded,
datast.dll exports a single function named InitCore. This function usually gets imported by another DLL called datastate.dll. The function implements the main functionality for this loader, decrypting the shellcode for the next stage from a memory buffer inside the datastate.dll file using a variant of the RC4 stream cipher. The first code block is the Key Scheduling Algorithm (KSA), while the second block (the “for” loop in the image below) is the core of the KSA, where it scrambles the initial permutation using the hardcoded RC4 key fYTUdr643$3u.

Code stub responsible for decrypting the next stage

Code stub responsible for decrypting the next stage

After decryption, the shellcode is executed, then the next stage is loaded into the address space of the process that loaded
datast.dll.

Hunting for new loaders

As mentioned, the infection chain was not fully executed, forcing the attackers to shift to new undetected variants. By pivoting on the hardcoded RC4 key, we found a new set of files sharing similar code, which turned out to be new updated variants of this family with minor differences in functionality. Below is the chronological view of the evolution of this specific loader as observed from our telemetry and scanning third-party malware repositories.

MD5 hashes	File name	Exported functions	File creation date	Size
fd8382efb0a16225896d584da56c182c	datastate.dll	Clear – Server	2024-02-23	81KB
1dd03936baf0fe95b7e5b54a9dd4a577	datast.dll	Ldf/rcd	2024-02-23	80KB
8a900f742d0e3cd3898f37dbc3d6e054	NA	Clear – Server	2023-10-30	80kB
a213873eb55dc092ddf3adbeb242bd44	datast.dll	InitCore	2023-07-21	178KB
dd7593e9ba80502505c958b9bbbf2838	datastate.dll	Clear – Server	2023-03-22	178KB
2c7ebd103514018bad223f25026d4db3	datastate.dll	Clear – Server	2023-03-10	81KB

Recent variants

Updated loader variant in February 2024

In February 2024, a user uploaded three Crowdoor-related files to a multiscanner platform:

File name	MD5 hash	Description
datastate.dll	fd8382efb0a16225896d584da56c182c	Malicious loader DLL
datast.dll	1dd03936baf0fe95b7e5b54a9dd4a577	Utility DLL used by datastate.dll
WinStore	c10643b3fb304972c650e593b69faaa1	Encrypted shellcode payload file

These files are also involved in a DLL search-order hijacking sequence:

1. A legitimate executable loads a vulnerable DLL (datastate.dll);
2. This DLL then loads a malicious Crowdoor DLL (datast.dll);
3. The loader DLL uses this malicious DLL to decrypt and load the Crowdoor payload.

This method is hard to detect since the malicious functions are split across two DLLs, which mostly perform seemingly benign tasks, such as reading files or decrypting RC4 data. Both DLLs have build timestamps future-dating them to 26 May 2027.

The
datastate.dll loader imports two functions from datast.dll — one called rcd (likely “run code”) to execute the shellcode and another called ldf (likely “load file”) to read content from a file that is named after a legitimate executable but without the file extension. In this case, the payload file uploaded is named WinStore, meaning the legitimate executable is WinStore.exe. The loader uses the RC4 key fYTUdr643$3u, the same key as found in the initial sample discussed in the previous section, to decrypt the payload file containing the same Crowdoor shellcode.
The Crowdoor payload from this chain stays active by creating a Windows service named WinStore, which is used as the service name, display name and description. If creation of the service fails, the payload uses the registry auto-start extensibility point (ASEP) at
HKCU\Software\Microsoft\Windows\CurrentVersion\Run with the value WinStore to persist.
When executed, it injects itself into the
colorcpl.exe process with the command-line argument “2” and tries to contact a C2 server that is hardcoded in the payload using its configuration (blog.techmersion[.]com on port 443).
We compared the collected samples with the reference sample (MD5: a213873eb55dc092ddf3adbeb242bd44) and revealed a degree of code similarity in them. For example, the core functions responsible for loading the next stage are almost identical. Based on this, we believe with medium confidence that the newly found samples are related to Tropic Trooper, the same actor behind the Middle East intrusion.

The actor has likely been using this search-order hijacking technique since at least June 2022, which marks the first known instance of a malicious DLL being loaded through a vulnerable executable using this method, according to our telemetry. Tropic Trooper employs this technique to split the malicious code across several stages. In the first stage, only the extraction of the next stage, which was encrypted with the same RC4 key, occurs. Subsequently, the actual loader for the final implant is deployed.

New samples

We investigated the second attempt made by the threat actor after failing to load the previously covered loader. The actor uploaded new samples detailed in the table below:

MD5 Hash	File name	File path	File creation date	Compilation timestamps
e845563ba35e8d227152165b0c3e769f (variant 1)	VERSION.dll	c:\Windows\branding\data	2024.04.28	Tue Jun 10 10:39:52 2025 (UTC)
0b9ae998423a207f021f8e61b93bc849 (variant 2)	VERSION.dll	c:\Windows\branding\data	2024.05.15	Thu Oct 24 10:23:24 2024 (UTC)
475aa86ae60c640eec4fdea93b5ed04d (legitimate executable)	inst.exe	c:\Windows\branding\data	2024.04.28	NA

As usual, the same DLL search-order hijacking was used. Note that
inst.exe, which is a legitimate executable, imports three functions from VERSION.dll:

• VerQueryValueW;
• GetFileVersionInfoW;
• GetFileVersionInfoSizeW.

Each variant of the dropped
VERSION.dll implements the three exported functions, with minimal differences between both samples. Upon analyzing the three malicious exports from the samples, it is very likely that the attackers built them incrementally. The first sample (MD5: e845563ba35e8d227152165b0c3e769f) was dropped on April 28, immediately after the failed attempt to execute the old loader. This variant had fewer capabilities than the one dropped on May 15, which had a complete implementation for all the malicious capabilities needed to load the same shellcode that would load Crowdoor into memory.
Both variants have compilation timestamps set in the future. Looking at the
GetFileVersionInfoSizeW implementation between the two samples, we see that the most recently dropped sample has the full implementation, while the earlier sample has an empty implementation, implying gradual testing and development of this loader.
The main loading functionality was designed to execute a legitimate
msiexec.exe process, then inject the next stage by writing into its remote address space and creating a remote thread to execute it.

The victim

We sighted this targeted intrusion in a government entity in the Middle East. At the same time, we saw a subset of these samples being used to target a government entity in Malaysia. This matches the type of targets and their location as described in recent Tropic Trooper reports.

Attribution

Based on the samples found, we are reassessing the relationship between Tropic Trooper and the FamousSparrow group, reported by ESET in 2021. Some industry reports link the two groups together.

The following reasons led us to attribute the campaign described in this report and all the observed implants to Tropic Trooper and its associated group, FamousSparrow:

• Hardcoded RC4 key: the attackers tried to launch a loader previously attributed to Tropic Trooper (MD5: a213873eb55dc092ddf3adbeb242bd44), after they failed to load it from the a.bat file. They relied on a new method maintaining the same approach by using DLL search-order hijacking and used a new loader. Both samples share the same RC4 key.
• Post-exploitation tools: some of the post-exploitation tools the attackers used were seen before in other attacks within the same timeframe of this campaign, in which the victims aligned with the targeted regions and industry verticals targeted by this threat group.
• The code similarity between the Middle East intrusion sample and the sample found in the third-party malware repository from February 2024 (MD5: c10643b3fb304972c650e593b69faaa1): both were loading Crowdoor into memory. Also, the command-line argument “2” found in a variant related to Tropic Trooper samples is very similar to SparrowDoor “-k” switch functionality.

Conclusion

The event that made us investigate Tropic Trooper was the recurring detection of the China Chopper web shell. Following our investigation into this incident, we found more samples written by Tropic Trooper as well as third-party tools used in the post-exploitation phase. This improved insights into this threat actor’s TTPs. Notable is the discrepancy in skill set used in various stages of the attack, as well as the choices made after failure. When the actor became aware that their backdoors were detected, they tried to upload newer samples to evade detection, thereby increasing the risk of their new set of samples being detected in the near future. In the same light, the loader sequence goes to great lengths to avoid detection. However, the usage of publicly available tools such as Fscan for further exploitation of the victim’s network again highlights the discrepancy between some relatively advanced parts of their operation and the “noisier” parts.

Investigating the motives of this threat actor led us to conclude that the significance of this intrusion lies in the sighting of a Chinese-speaking actor targeting a content management platform that published studies on human rights in the Middle East, specifically focusing on the situation around Israel-Hamas conflict. Our analysis of this intrusion revealed that this entire system was the sole target during the attack, indicating a deliberate focus on this specific content.

A more detailed analysis of this campaign is available to users of our private Threat Intelligence Portal, with another upcoming report on this activity. To learn more about this report, please contact intelreports@kaspersky.com.

Indicators of Compromise

Umbraco Webshells
3F15C4431AD4573344AD56E8384EBD62
78B47DDA664545542ED3ABE17400C354
3B7721715B2842CDFF0AB72BD605A0CE
868B8A5012E0EB9A48D2DAF7CB7A5D87

Post-Exploitation Tools
149A9E24DBE347C4AF2DE8D135AA4B76
103E4C2E4EE558D130C8B59BFD66B4FB
E0D9215F64805E0BFF03F4DC796FE52E
27C558BD42744CDDC9EDB3FA597D0510
4F950683F333F5ED779D70EB38CDADCF

File Paths:
c:\sql\tools\attunitycdcoracle\x64\1033
c:\microsoft.net\framework64\v4.0.30319\temporary asp.net files\root\fc88e889\b64f0276
c:\microsoft.net\framework64\v4.0.30319\temporary asp.net files\root\5b841946\ca5a9bf5

Tropic Trooper Loaders
FD8382EFB0A16225896D584DA56C182C
1DD03936BAF0FE95B7E5B54A9DD4A577
8A900F742D0E3CD3898F37DBC3D6E054
A213873EB55DC092DDF3ADBEB242BD44
DD7593E9BA80502505C958B9BBBF2838
2C7EBD103514018BAD223F25026D4DB3
0B9AE998423A207F021F8E61B93BC849
E845563BA35E8D227152165B0C3E769F
A213873EB55DC092DDF3ADBEB242BD44

Domains and IPs
51.195.37[.]155
162.19.135[.]182
techmersion[.]com

Yara Rules

rule tropictrooper_umbraco_compiled_webshells {
meta:
description = "Rule to detect Tropic Trooper Umbraco webshells .NET sample"
author = "Kaspersky"
copyright = "Kaspersky"
distribution = "DISTRIBUTION IS FORBIDDEN. DO NOT UPLOAD TO ANY MULTISCANNER OR SHARE ON ANY THREAT INTEL PLATFORM"
sample = "3f15c4431ad4573344ad56e8384ebd62"

strings:
$s1 = { 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 25 1F 0A 72 ?? ?? ?? ?? A2 25 1F 0B 72 ?? ?? ?? ?? A2 25 1F 0C 72 ?? ?? ?? ?? A2 25 1F 0D 72 ?? ?? ?? ?? A2 25 1F 0E 72 ?? ?? ?? ?? A2 25 1F 0F 72 ?? ?? ?? ?? A2 25 1F 10 72 ?? ?? ?? ?? A2 25 1F 11 72 ?? ?? ?? ?? A2 25 1F 12 72 ?? ?? ?? ?? A2 25 1F 13 72 ?? ?? ?? ?? A2 25 1F 14 72 ?? ?? ?? ?? A2 25 1F 15 72 ?? ?? ?? ?? A2 25 1F 16 72 ?? ?? ?? ?? A2 25 1F 17 72 ?? ?? ?? ?? A2 25 1F 18 72 ?? ?? ?? ?? A2 }

condition:
$s1 and
filesize < 1MB
}

---

securelist.com/new-tropic-troo…

Cybersecurity & cyberwarfare

2024-09-05 08:10:47

Olimpiadi 3028: L’IA Reinventa lo Sport del Futuro con Stadi Fluttuanti e Grattacieli

Si sono da poco conclusi i Giochi Olimpici di Parigi, ma le Paralimpiadi continuano. Mancano ancora alcuni anni alle Olimpiadi di Los Angeles del 2028, ma il regista Josh Kahn sta già pensando al futuro: come potrebbero essere i Giochi di Los Angeles nel 3028?

Kahn, noto per il suo lavoro per LeBron James e i Chicago Bulls, si è interessato al tema delle future Olimpiadi grazie alle nuove tecnologie di creazione video che utilizzano l’intelligenza artificiale. Con l’avvento di Sora di OpenAI e di altri strumenti come Runway e Synthesia, la creazione di video è diventata accessibile e veloce. Questi strumenti ti consentono di generare video di alta qualità in pochi minuti, rendendo il processo molto più semplice rispetto ai metodi tradizionali come CGI o animazione.

Sebbene la tecnologia non sia ancora perfetta e siano possibili distorsioni – ad esempio dita in più sulle mani o oggetti che scompaiono – ha un potenziale enorme. Agenzie pubblicitarie, aziende e creatori di contenuti possono utilizzarli per produrre video in modo rapido ed economico.

Utilizzando l’ultima versione di Runway, Kahn ha creato un video immaginando come potrebbero essere i Giochi Olimpici tra mille anni. Per ogni scena, ha inserito una nuova query, ottenendo un video di un minuto che raffigura una Los Angeles futuristica, dove il livello del mare è aumentato in modo significativo e la città è proprio sul bordo dell’acqua. Lo stadio di calcio si trova sul tetto di un grattacielo e la cupola con i campi da beach volley si trova proprio nel porto.

Il video, presentato al MIT Technology Review, illustra le capacità delle moderne tecnologie di intelligenza artificiale piuttosto che fungere da vero e proprio progetto per lo sviluppo della città. Kahn ha osservato che i Giochi Olimpici sono sempre accompagnati dalla narrativa culturale della città ospitante, e Los Angeles, nota per la sua cultura dell’immaginazione e della narrazione, potrebbe essere un luogo ideale per i Giochi tra mille anni. Secondo lui sarebbe interessante mostrare come potrebbero essere i Giochi Olimpici in futuro.

youtube.com/embed/nTaTC6AgKeI?…

La creazione di un video del genere non è stata priva di sfide, il che mostra sia le possibilità che i limiti delle tecnologie generative. Kahn non ha rivelato richieste specifiche o il numero di tentativi necessari per creare ogni scena, ma ha sottolineato che lavorare con l’intelligenza artificiale richiede pazienza e molta sperimentazione.

Una delle difficoltà è stata la creazione di soluzioni architettoniche non standard, come uno stadio sull’acqua. I modelli di intelligenza artificiale addestrati su dati limitati non sono sempre in grado di riprodurre immagini così insolite. Ogni nuovo fotogramma richiede una serie separata di query, il che rende difficile mantenere uno stile visivo coerente: i modelli hanno ancora difficoltà a coordinare colori, angoli di illuminazione e forme degli edifici. La mancanza di primi piani delle persone è dovuta anche al fatto che l’intelligenza artificiale non è ancora in grado di ricreare in modo affidabile i dettagli del volto e del corpo umano.

Secondo Kahn, le tecnologie generative in questa fase sono più efficaci nel gestire oggetti e panorami su larga scala che con scene dettagliate o interazione umana. Suggerisce quindi che le prime applicazioni del video generativo nel cinema saranno in ampie riprese di paesaggi o scene di folla.

Anche Alex Mashrabov, che ha fondato Higgsfield AI dopo aver lavorato presso Snap, sottolinea gli attuali limiti della tecnologia. Crede che creare dialoghi utilizzando l’intelligenza artificiale sia ancora difficile, poiché richiede un’espressione accurata delle espressioni facciali e dei gesti. Molti creatori di contenuti possono essere intimiditi dalla necessità di effettuare ricerche su più query per ottenere lo scatto giusto. Mashrabov osserva che in media solo uno su venti query ha successo e talvolta sono necessarie dozzine di tentativi.

Nonostante queste sfide, la tecnologia è già in uso. Mashrabov sottolinea l’aumento dell’uso di video generativi per creare pubblicità, soprattutto tra le grandi aziende. In Cina, i generatori video vengono utilizzati attivamente per la pubblicità di prodotti rapida ed economica. Anche se il video generativo richiede molti tentativi, è comunque molto più economico delle riprese tradizionali effettuate con persone e attrezzature reali. Mashrabov ritiene che tali esempi potrebbero diventare i primi casi di utilizzo di massa di video generativi man mano che le tecnologie migliorano.

Secondo Mashrabov, anche se il percorso di sviluppo dell’IA generativa sarà lungo, è già possibile trovare ambiti in cui questa tecnologia sta dando buoni risultati.

L'articolo Olimpiadi 3028: L’IA Reinventa lo Sport del Futuro con Stadi Fluttuanti e Grattacieli proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-09-04 16:05:48

Ce l’abbiamo tutti in casa ma lo sottovalutiamo: il router, potenziale nemico domestico

Immaginate la scena: siete seduti sul divano a guardare la vostra serie tv preferita. Fuori è buio, ma niente può farvi paura: avete da poco installato un sistema d’allarme all’avanguardia, le vostre finestre sono protette da pesanti grate e in giardino scodinzola un cane di 50 kg. E se vi dicessimo che in realtà nel […]
Continua a leggere

The post Ce l’abbiamo tutti in casa ma lo sottovalutiamo: il router, potenziale nemico domestico appeared first on InsideOver.

Cybersecurity & cyberwarfare

2024-09-05 06:20:13

La Storia di Max: Fallimenti di Identificazione e Autenticazione in un E-commerce

Questa è la storia di Max, il fondatore di un e-commerce specializzato in dispositivi tecnologici: una storia di pura invenzione (perdonerete la mia vena di scrittore) per introduttore un altro dei OWASP TOP 10 (qui il sito ufficiale ): “Identification and Authentication Failures” cioè i fallimenti di identificazione ed autenticazione.

Questa storia ci insegnerà alcuni accorgimenti per aiutare a prevenire i fallimenti di identificazione ed autenticazione in un e-commerce.

Da quando Max ha creato il suo e-commerce, questo non ha fatto che crescere con il fatturato. La vasta gamma di prodotti unita alla puntuale assistenza, ha fatto dell’e-commerce di Max un punto di riferimento per gli appassionati. Ma questa non è una storia di successo. É una storia di perdite finanziarie, multe e di perdita di fiducia dei clienti. Questo è il palcoscenico di un incidente informatico.

L’ombra dell’incubo dei Fallimenti di Identificazione ed Autenticazione

Le cose, in genere, iniziano da qualcosa di molto piccolo, quasi insignificante. Max prestava attenzione alla sicurezza informatica, pensava di farlo al meglio. Oltre all’e-commerce utilizzava molti altri servizi online. La password che usava era complessa e faceva sempre il logout dalle applicazioni. Era convinto che bastasse.

Visto che la password era complessa e pensava che non fosse una buona pratica segnarla in foglietti in bella vista, usava sempre la stessa in modo tale da ricordarla, dovendola inserire più volte al giorno quindi…servizi diversi, stesse credenziali.

Inoltre per l’account di amministratore del suo e-commerce, non era presente la MFA (Multi Factor Authentication), ritenuta una noia. La password era complessa e tanto bastava. Non era presente neanche un time-out per login errati. Aveva paura di essere chiuso fuori.

Immersione nel Caos

Quella mattina, quando si collegò all’e-commerce tutto era sparito ma nel back-end trovò un file con la richiesta di riscatto di 3 bitcoin per avere indietro i dati e perché questi non fossero venduti nel Dark Web. Max si sentì scosso fino alle fondamenta. I backup più recenti erano online ed anche quelli erano stati rimossi. Ma quello che più lo sconvolgeva era la possibilità che i dati dei clienti fossero venduti dai trafficanti. Chiamò immediatamente il team di sviluppo che si mise al lavoro. Furono giorni frenetici.

Alla fine capirono il problema: le credenziali di Max, che erano sempre uguali in tutti i servizi online, erano state trafugate da uno di questi e finite in un grande database molto diffuso negli ambienti.

I criminali, provando tutto il database, avevano trovato la combinazione giusta. Non essendoci poi time-out o ban per tentativi errati o MFA, l’accesso era stato veloce.

Verso una nuova Alba

Max ha subito delle perdite che ancora non ha del tutto recuperato: i giorni di fermo, la multa, la fiducia dei clienti, ma è determinato a ricostruirla diventando più forte di prima. Adesso utilizza credenziali diverse per diversi servizi online e per il suo e-commerce ha attivato sia il time-out dopo alcuni tentativi errati che il ban dell’IP (dopo molti tentativi) oltre che il Multi Factor Authentication.

“Oggi segna il ritorno della fiducia. La lezione più grande che abbiamo imparato è che la sicurezza informatica non è mai una destinazione finale, ma un viaggio di continuo miglioramento. Spero che la mia storia possa servire ad altri imprenditori: investire nella sicurezza informatica non è più una scelta ma un imperativo assoluto.”

A Max gli auguri di una pronta ripresa.

L'articolo La Storia di Max: Fallimenti di Identificazione e Autenticazione in un E-commerce proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-09-05 06:03:08

Violazione dei Dati Sanitari: IntelBroker rivendica un attacco a Prime Healthcare

Recentemente, il noto Threat Actor IntelBroker, amministratore di BreachForums, ha pubblicato una nuova presunta violazione ai danni di un’azienda sanitaria privata degli Stati Uniti

Da quanto riportato nel post, IntelBroker fa sapere che nel settembre 2024, Prime Healthcare, insieme a tutta una serie di aziende, ha subito violazioni dei dati.

Al momento, non possiamo confermare la veridicità della notizia, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo deve essere considerato come ‘fonte di intelligence’.

Dettagli della violazione

Prime Healthcare Services è una società privata statunitense operante nel settore sanitario. È stata fondata nel 2001 dal presidente e CEO Prem Reddy , MD, e gestisce 44 ospedali in 14 stati. È affiliata alla fondazione non-profit Prime Healthcare Foundation.

Secondo IntelBroker, la violazione ha portato alla compromissione delle seguenti informazioni

Dati compromessi:

“fid”, “faxnumid”, “companyid”, “faxpath”, “pages”, “faxcatid”, “did_id”, “description”, “lastoperation”, “lastmoddate”, “archstamp”, “modemdev”, “userid”, “origfaxnum”, “faxcontent”, “inbox”

Ci sono anche informazioni su prescrizioni, nomi completi, indirizzi e-mail, SSN, numeri di telefono, indirizzi, ecc.

Inoltre, sempre nel post, IntelBroker fa saspere che che altri database delle società menzionate in questo fax verranno inclusi in un secondo momento nel mercato delle fughe di notizie o nella sezione database.

Conclusioni

La divulgazione di informazioni personali comporta rischi significativi. I dati condivisi da IntelBroker includono informazioni identificabili come nomi, email numeri di telefono e indirizzi. Tali informazioni possono essere utilizzate per effettuare attacchi di phishing, furti d’identità e altre forme di criminalità informatica

La presunta violazione dei dati rappresenta perciò un rischio elevato per gli utenti interessati. Gli utenti sono quindi invitati a tenere d’occhio qualsiasi attività sospetta.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzareredhotcyber.com/whistleblowerla mail crittografata del whistleblower.

L'articolo Violazione dei Dati Sanitari: IntelBroker rivendica un attacco a Prime Healthcare proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-09-05 05:34:07

Come Avviare un Programma Cyber: Le Prime Cose da Fare

La cybersicurezza è diventata una componente cruciale per la protezione delle informazioni aziendali e dei dati sensibili. Avviare un programma di cybersicurezza non è solo una necessità, ma un obbligo per qualsiasi organizzazione che voglia proteggere il proprio patrimonio informativo. Ma come si inizia un percorso di cybersicurezza efficace? In questo articolo, esploreremo le prime fasi essenziali per avviare un programma cyber, focalizzandoci su concetti fondamentali come l’analisi dei rischi (Risk Analysis), la Business Impact Analysis (BIA) e la classificazione dei dati.

Classificazione dei Dati: La Pietra Angolare della Cybersicurezza

Il primo passo cruciale per avviare un programma di cybersicurezza è la classificazione dei dati. Questa fase consiste nel catalogare e organizzare i dati in base alla loro importanza e alla sensibilità. La classificazione permette di stabilire quali dati richiedono maggior protezione e quali possono essere gestiti con misure di sicurezza meno stringenti.

Perché è Importante?

La classificazione dei dati è fondamentale perché consente di identificare quali informazioni sono più critiche per l’organizzazione e quindi necessitano di protezioni avanzate. Dati sensibili, come informazioni personali, proprietà intellettuale o dati finanziari, richiedono un livello di sicurezza elevato per evitare furti, perdite o compromissioni.

Come Classificare i Dati?

• Identificare i tipi di dati: Determinare quali dati sono trattati dall’organizzazione (es. dati personali, dati finanziari, proprietà intellettuale).
• Valutare il valore dei dati: Definire il valore e la sensibilità dei dati per l’organizzazione.
• Assegnare una classificazione: Assegnare una categoria a ciascun tipo di dato (es. pubblico, confidenziale, segreto).

Analisi dei Rischi (Risk Analysis)

Una volta classificati i dati, il passo successivo è la Risk Analysis. Questa attività consiste nell’identificare le minacce che potrebbero compromettere la sicurezza dei dati e nel valutare i rischi associati.

Che Cos’è la Risk Analysis?

La Risk Analysis è un processo metodico per identificare, valutare e prioritizzare i rischi in base alla probabilità che un evento negativo si verifichi e all’impatto che tale evento avrebbe sull’organizzazione. L’obiettivo è identificare i rischi più critici e mettere in atto misure di mitigazione.

Come si Conduce una Risk Analysis?

• Identificazione delle minacce: Elencare le potenziali minacce, come attacchi informatici, errori umani, guasti hardware o disastri naturali.
• Valutazione delle vulnerabilità: Analizzare le vulnerabilità dell’organizzazione che potrebbero essere sfruttate da queste minacce.
• Determinazione del rischio: Valutare la probabilità e l’impatto di ciascuna minaccia sulle diverse classi di dati.
• Pianificazione delle contromisure: Stabilire le misure di sicurezza da implementare per ridurre il rischio a un livello accettabile.

Business Impact Analysis (BIA)

La Business Impact Analysis (BIA) è un altro strumento fondamentale per avviare un programma di cybersicurezza. La BIA aiuta a comprendere l’impatto che la compromissione dei dati potrebbe avere sull’organizzazione, non solo in termini finanziari, ma anche operativi e reputazionali.

A Cosa Serve la BIA?

La BIA serve a stabilire le priorità per il recupero delle operazioni aziendali in caso di incidente. Attraverso la BIA, si determinano quali processi aziendali sono critici, quanto tempo è tollerabile che siano interrotti e quali risorse sono necessarie per il loro ripristino.

Come si Conduce una BIA?

• Identificazione dei processi critici: Determinare quali processi aziendali sono essenziali per il funzionamento dell’organizzazione.
• Valutazione dell’impatto: Stimare l’impatto finanziario e operativo di un’interruzione di tali processi.
• Stabilire le priorità di ripristino: Definire i tempi massimi accettabili di interruzione (RTO – Recovery Time Objective) e le risorse necessarie per il ripristino.

Implementazione delle Soluzioni di Sicurezza

Dopo aver condotto la classificazione dei dati, la Risk Analysis e la BIA, il passo successivo è implementare le soluzioni di sicurezza più appropriate. Queste soluzioni possono includere l’adozione di software di sicurezza, la crittografia dei dati, l’implementazione di firewall, l’adozione di politiche di accesso rigorose e la formazione dei dipendenti.

Misure Tecniche e Organizzative

• Crittografia: Protegge i dati sensibili sia a riposo che in transito.
• Firewall e IDS/IPS: Monitorano e bloccano traffico sospetto o non autorizzato.
• Controllo degli accessi: Assicura che solo personale autorizzato possa accedere a dati critici.
• Formazione e sensibilizzazione: Fondamentale per ridurre il rischio di errori umani, che rappresentano una delle principali cause di violazione della sicurezza.

Il Percorso Ciclico della Cybersicurezza

Un aspetto chiave della cybersicurezza, secondo gli standard NIST (National Institute of Standards and Technology), è la sua natura ciclica. Un programma di cybersicurezza non è mai completo una volta per tutte. È necessario un processo continuo di definizione, realizzazione, misurazione e ottimizzazione delle attività di sicurezza.

La Ciclicità del Processo

• Definizione: Continuare a valutare i rischi emergenti e aggiornare le politiche di sicurezza.
• Realizzazione: Implementare le nuove soluzioni di sicurezza e rafforzare quelle esistenti.
• Misurazione: Monitorare l’efficacia delle misure implementate attraverso audit e controlli periodici.
• Ottimizzazione: Apportare miglioramenti continui per affrontare nuove minacce e ridurre i rischi residui.

Documentazione e Revisione Continua

Ogni fase del percorso deve essere accuratamente documentata, per garantire che tutte le attività siano tracciabili e revisionabili. La documentazione non solo aiuta a mantenere una visione chiara dello stato della sicurezza, ma è anche essenziale per conformarsi a normative e standard internazionali.

Conclusione

Avviare un programma di cybersicurezza è un compito complesso, che richiede un approccio metodico e continuo. La classificazione dei dati, la Risk Analysis e la Business Impact Analysis sono le fondamenta su cui costruire una strategia di sicurezza robusta. Seguendo un approccio ciclico, come suggerito dagli standard NIST, le organizzazioni possono migliorare continuamente la loro postura di sicurezza, affrontando in modo efficace le minacce in continua evoluzione.

Proteggere i dati non è un’attività una tantum, ma un processo continuo di adattamento e miglioramento. Solo con un approccio disciplinato e ciclico è possibile garantire che la sicurezza delle informazioni rimanga sempre al passo con le nuove sfide del mondo digitale.

L'articolo Come Avviare un Programma Cyber: Le Prime Cose da Fare proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-09-05 05:39:53

Spamouflage, ecco come si intensifica la campagna di disinformazione legata alla Cina in vista delle presidenziali Usa

@Informatica (Italy e non Italy 😁)
Mentre gli elettori americani si preparano a esprimere il loro voto questo autunno, una rete di account social media cinese sta diffondendo messaggi divisivi. Ecco che

Cybersecurity & cyberwarfare

2024-09-05 05:00:00

How Sony Mastered the Transistor

When you think of Sony, you probably think of a technology company that’s been around forever. However, as [Asianometry] points out, it really formed in the tough years after World War II. The two people behind the company’s formation were an interesting pair. One of them was a visionary engineer and one was a consummate businessman.

While it is hard to imagine today, securing a license to produce transistors was difficult in the early days. What’s worse is, even with the license, it was not feasible to use the crude devices in a radio.

The devices were poor by today’s standards, and while transistors would work at audio frequencies for hearing aids, getting them to work at AM radio frequencies was a challenge. The Sony founders had to decide whether to use alloy transistors or grown crystal transistors.

Western Electric did not want to share its crystal-growing technology, so in 1954, the team created an alloy transistor. However, it failed to work well at radio frequencies, so they shifted to growing crystals, which seemed more amenable to scaling. One of the team tried using phosphorous and indium doping and created a transistor that could work at higher frequencies. But there was a problem.

Despite the transistor’s superior performance, they couldn’t make another one. Common wisdom at the time was that phosphorus doping was a dead end, but it had worked once. It just took time to find the right way to do it. By 1955, they produced usable transistors, even though the yield was at around 5%.

Texas Instruments beat them to market with a transistor radio, the Regency TR-1, in 1954, but in 1955, they produced the TR-55. Of the five transistors inside, some were alloyed transistors, and some were grown crystals. The factory had to hand-select crystal transistors to make each unit work. The radios were on sale for about 19,000 yen (the TR-1 cost about 50 bucks; recall that in 1954, that was nearly $600 in today’s money). Adjusting for inflation, in today’s money, a Japanese teenager would shell out about $850 for the TR-55.

The TR-55 wasn’t the first Sony radio to have transistors. The TR-52 was a prototype, but it had case problems and never made it into the hands of the public. The radio didn’t make it to the United States until 1957. By then, Texas Instruments, Raytheon, and GE all had radios available, too.

It is a fascinating look into the history of an iconic electronics brand and a window into another world that, honestly, wasn’t that long ago. We couldn’t help but note similarities with Apple, who also had a businessman and engineer combination. Sony would go on to innovate in a number of areas, including optical data storage.

youtube.com/embed/7pi9k5n7Wrw?…

---

hackaday.com/2024/09/04/how-so…

Cybersecurity & cyberwarfare

2024-09-05 05:24:01

Come Google, Apple e Discord Diffondono siti AI per “Spogliare” le Persone

Le principali aziende tecnologiche come Google , Apple e Discord stanno facilitando l’accesso rapido degli utenti a siti dannosi che utilizzano l’intelligenza artificiale per “spogliare” le persone nelle fotografie, creando immagini di nudo senza il loro consenso. Nel corso di diversi mesi, più di una dozzina di questi siti hanno utilizzato i sistemi di autorizzazione di queste società, che consentivano agli utenti di registrarsi facilmente su tali risorse.

Un’analisi di WIRED ha identificato 16 dei più grandi siti di immagini di nudo false che utilizzano l’infrastruttura di accesso tramite Google, Apple, Discord, Twitter, Patreon e Line. Questa integrazione ha creato l’illusione di legittimità per tali siti, consentendo agli utenti di creare rapidamente account e acquistare crediti per la generazione di immagini.

Il numero di siti che creano immagini intime senza consenso è aumentato in modo significativo con l’avvento dell’intelligenza artificiale generativa. È particolarmente allarmante che tali tecnologie siano state utilizzate attivamente dagli adolescenti che creano immagini dei loro coetanei. Nonostante l’ovvietà del problema, le grandi aziende tecnologiche non hanno fretta di adottare misure per combattere tali siti, che vengono facilmente trovati attraverso i motori di ricerca, promossi attivamente attraverso la pubblicità sui social network e finiscono persino negli app store.

I sistemi di accesso utilizzati su questi siti consentono agli utenti di registrarsi tramite i propri account esistenti. Google era presente su 16 di questi siti, Discord su 13 e Apple su sei. Quando sono state contattate da WIRED, alcune società hanno affermato di aver preso provvedimenti per rimuovere gli account sviluppatore associati ai siti, ma altre società non hanno commentato o hanno rifiutato di discutere di siti specifici.

Negli ultimi anni, le tecnologie deepfake hanno reso molto più semplice la creazione di tali immagini e i siti impegnati in questa attività hanno iniziato a operare come aziende. Spesso nascondono informazioni sui proprietari e sulle modalità operative, offrono i propri servizi in diverse lingue e si sviluppano attivamente, aggiungendo nuove funzionalità come la possibilità di personalizzare il proprio aspetto e scaricare immagini da Instagram.

Alcuni siti creano persino le proprie criptovalute per pagare i servizi. Nonostante le critiche e le affermazioni secondo cui tali tecnologie contribuiscono alla violenza sessuale e allo sfruttamento delle donne, i siti continuano a funzionare e il loro traffico non fa che crescere.

Le forze dell’ordine e le organizzazioni pubbliche continuano a combattere tali siti, ma il problema rimane ancora rilevante. La richiesta da parte dei giganti della tecnologia di una regolamentazione più rigorosa e di una restrizione dell’accesso a tali tecnologie si fa sempre più forte, ma per ora la maggior parte delle misure vengono adottate solo dopo un’ampia copertura mediatica della questione.

L'articolo Come Google, Apple e Discord Diffondono siti AI per “Spogliare” le Persone proviene da il blog della sicurezza informatica.