Cybersecurity & cyberwarfare

2024-04-25 20:00:53

A Smart Power Distribution Unit for Home Automation

Power distribution units, as the name implies, are indispensable tools to have available in a server rack. They can handle a huge amount of power for demands of intensive computing and do it in a way that the wiring is managed fairly well. Plenty of off-the-shelf solutions have remote control or automation capabilities as well, but finding none that fit [fmarzocca]’s needs or price range, he ended up building his own essentially from scratch that powers his home automation system.

Because it is the power supply for a home automation system, each of the twelve outlets in this unit needed to be individually controllable. For that, three four-channel relay boards were used, each driven by an output on an ESP32. The ESP32 is running the Tasmota firmware to keep from having to reinvent the wheel, while MQTT was chosen as a protocol for controlling these outlets to allow for easy integration with the existing Node-RED-based home automation system. Not only is control built in to each channel, but the system can monitor the power consumption of each outlet individually as well. The entire system is housed in a custom-built sheet metal enclosure and painted to blend in well with any server rack.

Adding a system like this to a home automation system can simplify a lot of the design, and the scalable nature means that a system like this could easily be made much smaller or much larger without much additional effort. If you’d prefer to keep your hands away from mains voltage, though, we’ve seen similar builds based on USB power instead, with this one able to push around 2 kW.

Cybersecurity & cyberwarfare

2024-04-25 21:48:26

Attacchi cyber, Frattasi: “Solo 300 andati a buon fine”. Mantovano: “In Italia in un anno DDoS più del 625%”. TLC tra le più colpite

Il settore delle Telecomunicazioni è stato tra i principali bersagli di minacce e attacchi cibernetici nel 2023. A seguire i trasporti e i servizi finanziari. È quanto emerge dalla

Cybersecurity & cyberwarfare

2024-04-25 20:22:00

Guardando oltre le aspettative: la realtà dell’automazione nella sicurezza informatica operativa

L’automazione nella sicurezza informatica operativa è una realtà innegabile. Troppo spesso, tuttavia, viene considerata la soluzione miracolosa in risposta all’aumento degli attacchi informatici. Benjamin Leroux, esperto di Cybersecurity a questo proposito spiega che: “nella sicurezza informatica, l’automazione non è una bacchetta magica. È uno strumento potente che può essere incredibilmente vantaggioso se usato con saggezza. Noi di Advens, con mySOC, crediamo nell’automazione controllata, implementata all’interno di perimetri ben definiti, per semplificare le attività di basso valore e consentire ai nostri team di fornire supporto e competenze ancora maggiori ai nostri clienti”. Alessandro Rossi Ceo di Advens Italia suggerisce inoltre: “Come tutti gli strumenti di difesa estremamente efficaci e potenti, l’automazione va conosciuta e gestita con cura”.

Ad alcuni piace anche perpetuare questo mito per nascondere i limiti dell’automazione, che possono compromettere gravemente la qualità del servizio. Advens promuove la sua visione unica dell’automazione e la mette in pratica attraverso il suo Security Operations Center (SOC).

Automazione nella sicurezza informatica operativa: basta con l’hype

Nella sicurezza informatica, l’automazione è spesso ridotta a un concetto di marketing – SOAR. Questo descrive le azioni, una volta eseguite manualmente dagli analisti informatici, che ora possono essere automatizzate. L’adozione dell’automazione nella sicurezza informatica operativa è diventata cruciale per:

• Valutare e rispondere rapidamente a determinati incidenti di sicurezza quando ogni minuto conta (ad esempio attacchi ransomware).
• Ottimizzare il tempo impiegato dagli esperti lavorando e prevenire l’affaticamento informatico (limitando le attività noiose, ripetitive e dispendiose in termini di tempo).

Alte aspettative vs promesse: un circolo potenzialmente vizioso

Di fronte a una minaccia crescente e ad attacchi sempre più rapidi e sofisticati, le aziende hanno accresciuto le aspettative sulla loro protezione informatica, in particolare per quanto riguarda i tempi di reazione (identificazione e risposta agli incidenti) e gli avvisi pertinenti (evitando falsi positivi).

In risposta, gli editori di software sono inclini a offrire soluzioni rapide, che inevitabilmente faticano a mantenere le promesse. Queste soluzioni un po’ ipervendute servono principalmente a consentire agli analisti di ordinare e valutare gli avvisi più rapidamente, ma sono meno utili per rispondere agli incidenti.

Tre limiti dell’automazione nella sicurezza informatica

#1 Limitazioni tecniche

In genere è possibile automatizzare le azioni di rilevamento, classificazione e identificazione. Ma per eseguire azioni correttive, le soluzioni tecniche dei clienti devono essere orchestrabili, aiutate dalla presenza di un’API per amministrare la tecnologia mirata. È inoltre essenziale garantire la scalabilità di una soluzione di orchestrazione in modo che possa gestire più automazioni.

Una soluzione on-premise, che può essere gestita solo tramite un’interfaccia utente grafica, è molto più complicata da orchestrare in remoto.

# 2 Mancanza di contesto

Per automatizzare il processo decisionale, sono necessari contesto e modelli e modelli ripetibili e controllati. Ma mantenere i repository di contesto completi e aggiornati è quasi impossibile! Le informazioni sono spesso sparse e incomplete, o addirittura archiviate solo nella testa degli esperti all’interno dell’organizzazione. E automatizzare telepaticamente la sicurezza informatica operativa non è (ancora) possibile.

# 3 Lungo processo di approvazione

È possibile stabilire strategie di reazione automatica all’interno di aree specifiche che il cliente ha validato. Ma di solito è necessaria l’approvazione per poter intraprendere azioni concrete.

Alcuni cicli di approvazione coinvolgono più di una persona: il contatto principale potrebbe non essere autorizzato ad accettare, oppure una terza parte potrebbe dover approvare le informazioni prima che venga presa una decisione, ecc.

Come Advens sfrutta la potenza dell’automazione: un approccio incentrato sui dati e automatizzato fin dalla progettazione

In Advens, la gestione di un incidente di sicurezza è un processo composto da diverse fasi, ognuna delle quali può essere ottimizzata. I dati di background e la Cyber Threat Intelligence (CTI) devono essere integrati il prima possibile nel processo di gestione degli incidenti (approccio incentrato sui dati) per risparmiare tempo durante l’analisi e limitare il numero di avvisi.

Una parte cruciale dell’ottimizzazione di un processo è l’eliminazione delle “attività non necessarie”. Questa è l’essenza dell’automazione fin dalla progettazione: ottimizzare il flusso di lavoro e automatizzare attività banali, ripetitive o costose eseguite dagli analisti.

È così che Advens ha progettato l’automazione SOC. Integra e aggiunge valore a ogni fase del processo di risposta agli incidenti (raccolta, arricchimento, rilevamento delle minacce, classificazione, comunicazione e risoluzione).

Sinergia e intelligenza collettiva

Automatizzando la CTI e la revisione dei piani di monitoraggio, Advens è in grado di fornire una base di conoscenza condivisa a tutte le organizzazioni che protegge.

La piattaforma Advens mySoc può anche essere orchestrata tramite API. Consente a esperti e analisti di creare automazioni per processi aziendali specifici, rendendoli sia operatori che progettisti di soluzioni.

L’approccio Advens: quattro vantaggi per gli utenti finali

• Un processo di gestione degli incidenti di sicurezza ottimizzato in ogni fase.
• Tempi di classificazione e bonifica più brevi.
• Un tasso ridotto di falsi positivi.

4. Una visione adattiva e in evoluzione della sicurezza informatica: quando è necessario proteggere altre aree o vengono introdotti nuovi algoritmi, le aziende possono integrarli perfettamente nel loro processo di sicurezza.

“Automatizzare la cyber security operativa significa integrare l’intero flusso di elaborazione, dall’arricchimento dei dati raccolti alle azioni di remediation. In Advens, ciò è reso possibile dall’approccio incentrato sui dati e sull’automazione fin dalla progettazione della nostra piattaforma”.

Mickaël Beaumont, Product Manager di Advens ha chiarito: “Automatizzare la sicurezza informatica operativa significa integrare l’intero flusso di elaborazione, dall’arricchimento dei dati raccolti alle azioni di remediation. In Advens, ciò è reso possibile dall’approccio incentrato sui dati e sull’automazione fin dalla progettazione della nostra piattaforma”. Mickaël Beaumont, Product Manager di Advens”

Alla luce degli attacchi sempre più aggressivi e frequenti, l’automazione è una necessità. Ma non è una soluzione miracolosa! Il rilevamento e la gestione degli incidenti possono essere automatizzati, ma le azioni correttive devono essere eseguite manualmente. Il contesto dei dati, l’intelligenza collettiva e l’eccellenza operativa sono essenziali per raggiungere questo obiettivo. Questo è il fulcro del funzionamento della soluzione mySOC di Advens.

L'articolo Guardando oltre le aspettative: la realtà dell’automazione nella sicurezza informatica operativa proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-04-25 16:38:41

In vendita una Local Privilege Escalation su Windows a 100.000 dollari su Exploit.in

Recentemente, una Local Privilege Escalation per Windows è stata messa in vendita su Exploit.in al prezzo di 100.000 dollari. Il 2 aprile scorso, avevamo rilevato la messa in vendita di un analoga falla di sicurezza 0day sul forum undergrond XSS al costo di 80.000 dollari.

Premesso che il contatto Telegram e TOX non risultano gli stessi tra i due annunci, cosa significa tutto questo e perché dovrebbe preoccupare sia gli esperti di sicurezza che gli utenti comuni?

Cos’è Exploit.in?

Prima di tutto, Exploit.in è un noto forum clandestino frequentato da hacker e cyber criminali. Il forum è su presentazione e quindi a circuito chiuso o su pagamento di una quota di iscrizione.

Nel forum, vengono scambiate e vendute vulnerabilità informatiche, exploit e altre risorse che possono essere utilizzate per compromettere la sicurezza dei sistemi informatici. È un luogo oscuro e pericoloso nel vasto sottobosco dell’hacking.

Cos’è una Local Privilege Escalation e a cosa può servire?

Una Local Privilege Escalation (LPE) è una vulnerabilità che consente a un utente con accesso limitato a un sistema di ottenere privilegi di amministratore o di altro tipo superiori a quelli concessi. In poche parole, un hacker malintenzionato può sfruttare questa falla per ottenere un maggiore controllo e accesso al sistema di quanto dovrebbe avere.

Le LPE sono estremamente utili per gli hacker, poiché consentono loro di aumentare il livello di accesso a un sistema compromesso.

Una volta ottenuti privilegi più elevati, gli aggressori possono eseguire azioni dannose come installare malware, accedere a dati sensibili, modificare le impostazioni di sicurezza o addirittura assumere il pieno controllo del sistema. Questo può portare a gravi conseguenze per l’organizzazione o l’individuo colpito, inclusi furti di dati, violazioni della privacy e danni finanziari.

Cos’è una falla 0day?

Una falla 0day è una vulnerabilità informatica sconosciuta al produttore del software interessato o per la quale non è ancora stata rilasciata una patch correttiva. Queste vulnerabilità sono particolarmente pericolose perché gli sviluppatori non hanno avuto il tempo di creare una soluzione e gli hacker possono sfruttarle senza restrizioni. Le vulnerabilità 0day sono spesso molto ricercate e possono essere vendute a prezzi elevati sui mercati clandestini come Exploit.in.

In conclusione, la vendita di una Local Privilege Escalation per Windows su Exploit.in è un chiaro segnale dell’attività incessante degli hacker nel cercare di sfruttare le vulnerabilità dei sistemi informatici. È un promemoria della costante necessità di vigilanza e della rapida risposta alle minacce informatiche da parte della comunità della sicurezza informatica e delle aziende che desiderano proteggere i propri dati e sistemi.

Chi è l’hacker che ha pubblicato l’annuncio? E’ un possibile SCAM?

L’hacker che ha pubblicato l’annuncio vanta solo 5 messaggi pubblicati sul forum e non gode di una grande reputazione all’interno della comunità di Exploit.in. Questo solleva domande sulla sua credibilità e sulla veridicità delle sue affermazioni. Senza una storia consolidata di pubblicazioni o feedback positivi da altri membri del forum, è difficile prendere sul serio le sue rivendicazioni.

E’ anche vero che spesso si tratta di ricercatori di sicurezza informatica passati “al lato oscuro della forza”, per un breve periodo di tempo per monetizzare le proprie ricerche.

Non possiamo quindi determinare con certezza se questo presunto bug di sicurezza sia autentico o se si tratti di una truffa. Senza prove concrete o dettagli tecnici che dimostrino l’efficacia dell’exploit, è prudente mantenere un atteggiamento di scetticismo. È possibile che l’hacker stia cercando di ingannare gli acquirenti inesperti con promesse vuote al fine di lucrare sul loro denaro.

L'articolo In vendita una Local Privilege Escalation su Windows a 100.000 dollari su Exploit.in proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-04-25 16:03:07

Space agency director thinks EU space law would have GDPR-style outsized impact

A European space law would bring benefits that would ripple outside EU borders, Rodrigo da Costa, executive director at the EU Agency for the Space Programme (EUSPA) said in an interview with Euractiv.

---

https://www.euractiv.com/section/global-europe/news/space-agency-director-thinks-eu-space-law-would-have-gdpr-style-outsized-impact/

Cybersecurity & cyberwarfare

2024-04-25 18:30:30

The Myth of Propellantless Space Propulsion Refuses to Die

In a Universe ruled by the harsh and unyielding laws of Physics, it’s often tempting to dream of mechanisms which defy these rigid restrictions. Although over the past hundred years we have made astounding progress in uncovering ways to work within these restrictions — including splitting and fusing atoms to liberate immense amounts of energy — there are those who dream of making reality a bit more magical. The concept of asymmetrical electrostatic propulsion is a major player here, with the EmDrive the infamous example. More recently [Dr. Charles Buhler] proposed trying it again, as part of his company Exodus Propulsion Technologies.
This slide from Dr. Buhler’s APEC presentation shows the custom-made vacuum chamber built to test their propellantless Propulsion drive in a simulated space environment. Image Credit: Exodus Propulsion Technologies, Buhler, et al.
The problem with such propellantless space propulsion proposals is that they violate the core what we know about the physical rules, such as the conclusion by Newton that for any action there has to be an opposite reaction. If you induce an electrostatic field or whatever in some kind of device, you’d expect any kind of force (‘thrust’) this creates to act in all directions equally, ergo for thrust to exist, it has to push on something in the other direction. Rocket and ion engines (thrusters) solve this by using propellant that create the reaction mass.

The EmDrive was firmly disproven 2021 by [M. Tajmar] and colleagues in their paper titled High-accuracy thrust measurements of the EMDrive and elimination of false-positive effects as published in CEAS Space Journal, which had the researchers isolate the EmDrive from all possible outside influences. Since the reported thrust was on the level of a merest fraction of a Newton, even the impact from lighting in a room and body heat from the researchers can throw off the results, not to mention the heat developed from a microwave emitter as used in the EmDrive.

Meanwhile True Believers flock to the ‘Alt Propulsion Engineering Conference’ (APEC), as no self-respecting conference or scientific paper will accept such wishful claims. In the case of [Buhler], he claims that their new-and-improved EmDrive shows a force of 10 mN in a ‘stacked system’, yet no credible paper on the experiments can be found other than APEC presentations. Until their prototype is tested the way the EmDrive was tested by [M. Tajmar] et al., it seems fair to assume that the rules of physics as we know them today remain firmly intact.

Cybersecurity & cyberwarfare

2024-04-25 16:52:17

Stop a Birra e Alcolici! Il ransomware porta la Svezia al proibizionismo forzato

Non è la prima volta che gli hacker criminali colpiscono l’industria alcolica. Lo abbiamo visto prima con la Campari, poi con Il birrificio belga Duvel e questo è un duro colpo per tutti gli altri hacker.

La Svezia sta affrontando seri problemi con la fornitura di alcol dopo che il principale distributore Systembolaget ha subito un attacco informatico. Systembolaget è l’unico rivenditore nel paese con il diritto di vendere bevande alcoliche con una gradazione alcolica superiore al 3,5%.

A seguito dell’hacking del sistema Skanlog, responsabile della logistica di circa il 25% dei prodotti Systembolaget, molti prodotti, tra cui alcolici ed elettrodomestici, potrebbero scomparire dagli scaffali dei negozi in Svezia, Danimarca, Norvegia e Finlandia.

Skanlog ha suggerito che l’attacco sia stato effettuato da hacker nordcoreani utilizzando il ransomware LockBit 3.0. L’attacco ha colpito il “software aziendale Microsoft” e il sistema di gestione del magazzino Dynaman.

Un portavoce di Systembolaget ha avvertito che le scorte di alcuni tipi di prodotti quali birra, vino e liquori, nonché di sacchetti di carta, potrebbero presto esaurirsi. Nonostante ciò, Systembolaget ha assicurato che i prodotti alcolici non scompariranno del tutto, ma alcuni marchi potrebbero scomparire temporaneamente dagli scaffali.

Non è ancora chiaro quando Skanlog potrà riprendere integralmente il suo lavoro.

Se i problemi di consegna continuano, Systembolaget ha affermato di avere un piano di riserva. In risposta a possibili carenze di prodotti, Systembolaget ha iniziato a collaborare con altri distributori per ridurre al minimo l’impatto sui consumatori.

L'articolo Stop a Birra e Alcolici! Il ransomware porta la Svezia al proibizionismo forzato proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-04-25 13:38:17

Gli hacker Nordcoreani Utilizzano gli Aggiornamenti Antivirus per diffondere il malware GuptiMiner

Gli esperti di Avast hanno scoperto che gli hacker nordcoreani hanno utilizzato il meccanismo di aggiornamento dell’antivirus indiano eScan per distribuire il malware GuptiMiner, con il quale hanno installato backdoor in grandi reti aziendali e hanno anche distribuito minatori di criptovalute.

I ricercatori descrivono GuptiMiner come una “minaccia altamente sofisticata” in grado di eseguire query DNS contro i server degli aggressori, estrarre payload dalle immagini, firmare i propri payload ed eseguire il caricamento delle DLL.

Gli autori di GuptiMiner hanno utilizzato attacchi MitM (Man-in-the-Middle) per intercettare pacchetti di aggiornamento antivirus autentici (forniti tramite HTTP almeno dal 2019) e sostituirli con un file updll62.dlz dannoso. Questo file conteneva gli aggiornamenti necessari ai database antivirus, nonché il malware GuptiMiner (sotto forma di file DLL denominato version.dll).

I ricercatori di Avast non hanno avuto il tempo di capire come esattamente gli aggressori siano riusciti a effettuare l’intercettazione. Si ritiene che le reti prese di mira siano state probabilmente compromesse in anticipo per reindirizzare il traffico agli aggressori.

Dopo aver ricevuto l’aggiornamento, eScan ha elaborato il pacchetto normalmente, lo ha decompresso e lo ha eseguito. In questa fase, la DLL è stata caricata con file binari eScan legittimi, che alla fine hanno concesso al malware privilegi a livello di sistema.

La DLL ha quindi ricevuto ulteriori payload dall’infrastruttura degli aggressori, si è bloccata sull’host utilizzando attività pianificate, ha eseguito manipolazioni DNS, ha inserito shellcode in processi legittimi, ha utilizzato la virtualizzazione del codice, ha archiviato payload crittografati XOR nel registro di Windows ed ha estratto PE dai file. PNG.

Inoltre, GuptiMiner ha verificato se il sistema infetto disponeva di un processore con quattro core o più e di 4 GB di RAM (per evitare sandboxing) e ha determinato se Wireshark, WinDbg, TCPView, 360 Total Security, Huorong Internet Security, Process Explorer, Process Monitor e OllyDbg erano in esecuzione. Inoltre, i prodotti di sicurezza AhnLab e Cisco Talos venivano disattivati ​​sulla macchina infetta, se erano in esecuzione, e alcune varianti della catena di infezione nascondevano codice dannoso nelle immagini per renderne più difficile il rilevamento.

I ricercatori Avast ritengono che GuptiMiner possa essere associato al gruppo APT nordcoreano Kimsuki. Questa ipotesi si basa sulle somiglianze tra la funzionalità di furto dei dati e il keylogger Kimsuky, nonché sull’uso del dominio mygamesonline[.]org, che si trova spesso nelle operazioni del raggruppamento.

Secondo quanto riferito, gli hacker hanno utilizzato GuptiMiner per distribuire una varietà di malware sui sistemi delle vittime, tra cui due diverse backdoor e il minatore XMRig.

La prima backdoor è una versione migliorata di Putty Link, implementata nei sistemi aziendali per scansionare la rete locale alla ricerca di sistemi vulnerabili e punti di partenza per il movimento laterale. Questa backdoor cerca specificamente i sistemi che eseguono Windows 7 e Windows Server 2008, hackerandoli attraverso il tunneling del traffico SMB.

La seconda backdoor è un malware modulare complesso che scansiona l’host alla ricerca di chiavi private memorizzate e dati del portafoglio di criptovaluta e crea anche una chiave nel registro per indicare la fine della scansione per evitare scansioni ripetute rumorose. Questa backdoor è in grado di ricevere comandi dai suoi operatori per installare moduli aggiuntivi nel registro, espandendo ulteriormente le sue capacità.

L'articolo Gli hacker Nordcoreani Utilizzano gli Aggiornamenti Antivirus per diffondere il malware GuptiMiner proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-04-25 06:52:51

ArcaneDoor: l’attacco zero-day su scala mondiale che sfrutta i dispositivi Cisco!

Il costante evolversi della tecnologia porta con sé nuove sfide per la sicurezza informatica. I dispositivi progettati per proteggere le reti, come i firewall, diventano sempre più bersaglio degli hacker, che li sfruttano come punto di ingresso per compromettere i sistemi che dovrebbero difendere. In un recente caso di campagna di hacking, Cisco ha rivelato che i suoi firewall sono stati utilizzati come ponti per infiltrarsi nelle reti governative in tutto il mondo.

Cisco ha segnalato che i suoi dispositivi Adaptive Security Appliances (ASA), che combinano firewall, VPN e altre funzionalità di sicurezza, sono stati bersagliati da spie sponsorizzate dallo stato. Questi hacker hanno sfruttato due vulnerabilità zero-dayper compromettere obiettivi governativi in una campagna di hacking denominata ArcaneDoor.

“Questo attore ha utilizzato strumenti su misura che hanno dimostrato una chiara attenzione allo spionaggio e una conoscenza approfondita dei dispositivi presi di mira, tratti distintivi di un sofisticato attore sponsorizzato dallo stato”, si legge in un post sul blog dei ricercatori Talos di Cisco.

Le intrusioni sono state condotte da un gruppo che Cisco Talos, il dipartimento di sicurezza di Cisco, ha identificato come UAT4356, mentre i ricercatori di Microsoft coinvolti nelle indagini lo hanno chiamato STORM-1849. Questi attacchi sembrano essere stati sponsorizzati da uno stato a causa della loro complessità e mira precisa.

La campagna di hacking è iniziata nel novembre 2023 e si è concentrata principalmente tra dicembre e gennaio di quest’anno, coinvolgendo reti governative in tutto il mondo.

Gli hacker hanno sfruttato due vulnerabilità nei prodotti ASA di Cisco: Line Dancer, che consente l’esecuzione di codice dannoso nella memoria dei dispositivi, e Line Runner, che mantiene l’accesso anche dopo riavvii o aggiornamenti.

Cisco ha rilasciato aggiornamenti software per correggere queste vulnerabilità e ha consigliato ai clienti di implementarli immediatamente. Tuttavia, rilevare l’accesso degli hacker ai dispositivi ASA rimane difficile.

La campagna ArcaneDoor evidenzia una tendenza più ampia di hacker sponsorizzati dallo stato che prendono di mira dispositivi perimetrali di rete come firewall e VPN per ottenere un punto di ingresso nella rete della vittima.

Mandiant, società di sicurezza di Google, ha evidenziato nel suo rapporto annuale M-Trends anche hacker russi che sfruttano dispositivi edge, come server di posta elettronica e firewall, per attacchi informatici contro obiettivi ucraini. Queste tendenze sottolineano l’importanza di proteggere non solo il cuore della rete, ma anche i dispositivi periferici.

In un panorama sempre più pericoloso della sicurezza informatica, è essenziale per le organizzazioni rimanere vigili e implementare le migliori pratiche di sicurezza per proteggere le proprie reti da minacce sempre più sofisticate.

L'articolo ArcaneDoor: l’attacco zero-day su scala mondiale che sfrutta i dispositivi Cisco! proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-04-25 06:35:23

Un caffè con gli hacker! Il sito di Nespresso utilizzato per attacchi di Phishing

I ricercatori di sicurezza informatica di Perception Point hanno recentemente scoperto una vulnerabilità sul sito web del produttore di macchine da caffè e capsule Nespresso, che viene attivamente utilizzata dai truffatori per reindirizzare gli utenti a siti dannosi.

Una vulnerabilità Open Redirect consente agli aggressori di reindirizzare un utente a un sito dannoso o addirittura di inserire contenuti dannosi direttamente in un sito web legittimo.

Gli aggressori sono in grado di manipolare il valore di un URL, creando collegamenti che sembrano provenire da Nespresso ma portano a risorse dannose. Uno di questi collegamenti inizia con “t.uk.nespresso.com/r/?id[…]”, ma alla fine reindirizza al sito Web degli aggressori.

Come accennato in precedenza, questa vulnerabilità viene sfruttata attivamente. L’attacco inizia con un’e-mail mascherata da richiesta di autenticazione a più fattori di Microsoft, sebbene il mittente non abbia nulla a che fare con essa. Il messaggio è progettato per sembrare essere stato inoltrato più volte e sembra provenire da Microsoft.

Il contenuto dell’e-mail incoraggia il destinatario a verificare l’attività del suo ultimo accesso. Quando fai clic sul collegamento nel tuo browser, si apre una falsa pagina di accesso Microsoft, il cui scopo è rubare le tue credenziali.

I ricercatori sottolineano che l’utilizzo di un dominio Nespresso legittimo e affidabile consente di aggirare i filtri antispam e altre misure di sicurezza, poiché alcuni sistemi di sicurezza controllano solo il collegamento iniziale, senza analizzare i collegamenti incorporati o nascosti.

Perception Point ha notato numerosi attacchi che utilizzano il dominio Nespresso da parte di diversi mittenti. Oltre alle e-mail su attività sospette presumibilmente provenienti da Microsoft, i ricercatori hanno osservato anche e-mail simili che imitavano Bank of America.

Al 18 aprile, cioè al momento in cui i ricercatori hanno pubblicato il loro articolo, la vulnerabilità non era ancora stata risolta. I media attendono una risposta dal servizio stampa di Nespresso.

In effetti, questo tipo di attacco che utilizza domini ad alta reputazione è abbastanza comune. Così, a gennaio è stato fatto per la BMW con attacchi di reindirizzamento. Lo sfruttamento di una falla nel suo sito ha portato a unphishing mirato a lungo termine e alla distribuzione attiva di malware.

Gli utenti dovrebbero prestare attenzione a fare clic su collegamenti sospetti contenuti nelle e-mail, anche se il mittente sembra legittimo. Gli aggressori dispongono da tempo di metodi per falsificare sia il mittente che i collegamenti stessi all’interno di una email, che è il difetto di reindirizzamento aperto descritto sopra.

L'articolo Un caffè con gli hacker! Il sito di Nespresso utilizzato per attacchi di Phishing proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-04-25 11:00:43

Chip Mystery: The Case of the Purloined Pin

Let’s face it — electronics are hard. Difficult concepts, tiny parts, inscrutable datasheets, and a hundred other factors make it easy to screw up in new and exciting ways. Sometimes the Magic Smoke is released, but more often things just don’t work even though they absolutely should, and no amount of banging your head on the bench seems to change things.

It’s at times like this that one questions their sanity, as [Gili Yankovitch] probably did when he discovered that not all CH32V003s are created equal. In an attempt to recreate the Linux-on-a-microcontroller project, [Gili] decided to go with the A4M6 variant of the dirt-cheap RISC-V microcontroller. This variant lives in a SOP16 package, which makes soldering a bit easier than either of the 20-pin versions, which come in either QFN or TSSOP packages.

Wisely checking the datasheet before proceeding, [Gili] was surprised and alarmed that the clock line for the SPI interface didn’t appear to be bonded out to a pin. Not believing his eyes, he turned to the ultimate source of truth and knowledge, where pretty much everyone came to the same conclusion: the vendor done screwed up.

Now, is this a bug, or is this a feature? Opinions will vary, of course. We assume that the company will claim it’s intentional to provide only two of the three pins needed to support a critical interface, while every end user who gets tripped up by this will certainly consider it a mistake. But forewarned is forearmed, as they say, and hats off to [Gili] for taking one for the team and letting the community know.

Cybersecurity & cyberwarfare

2024-04-25 14:00:36

Keebin’ with Kristina: the One With the Transmitting Typewriter

Image by [SrBlonde] via Hackaday.IOOkay, so we’re opening with more than just a keyboard, and that’s fine. In fact, it’s more than fine, it’s probably the cutest lil’ ZX Spectrum you’ll see today.

[SrBlonde]’s wonderful micro Spectrum project has only the essential inputs, which makes for an interesting-looking keyboard for sure. Inside you’ll find an Orange Pi Zero 2 board loaded with Batocera so [SrBlonde] can play all their favorite childhood games on the 5″ IPS display.

Something else that’s interesting is that the switches are a mix of blues and blacks — clickies and linears. I can’t figure out how they’re distributed based on the numbers in the components list, but I could see using clickies on the alphas and linears everywhere else (or vice versa). At any rate, it’s a great project, and you can grab the STL files from Thingiverse if you’re so inclined.

Zoom Keyboard Keeps It Simple

Image by [Olga Pavlova] via Hackaday.IOIf you’ve ever used Zoom with any regularity, you may have longed for a keyboard much like this macro pad from [Olga Pavlova].

[Olga] is using this bad boy in an educational setting, so the hot keys are set up as follows: raise/lower hand, mute/un-mute audio, and show/hide the in-meeting chat panel. Simple plus useful equals elegant in my book. This keyboard is built on the ATtiny85, and you can find more details on GitHub including the code.

I’m quite drawn to the interesting design of this one, and I’m not quite sure what it reminds me of. Maybe an upside-down Steam logo. What do you think it looks like?

The Centerfold: Peel Slowly and See

Image by [ItsameDoody] via redditYep, this time we’re going with nature’s energy bar, the KBDFans banana desk mat. Although there’s no edible banana for scale, there is a nice Mammoth75 keyboard, and a really lovely wrist rest that totally blends in with the desk. Believe it or not, those creamy keycaps aren’t from a group buy or anything crazy, they’re just some milky white PBTs from the Bezos Barn.

Do you rock a sweet set of peripherals on a screamin’ desk pad? Send me a picture along with your handle and all the gory details, and you could be featured here!

Historical Clackers: the Yetman Transmitting Typewriter

Image via Oz Typewriter
The remarkably heavy Yetman Transmitting Typewriter of 1903 was a bit like a laptop of its time in that you could hook into the telegraph wires and send a message from anywhere. (Well, anywhere with telegraph wires.) And, at the same time, if you wanted, you could produce a hard copy of that message. Or, you could just use the thing as a normal typewriter.

And as far as normal typewriters go, the Yetman isn’t too outstanding aside from its transmitting capabilities. In order to transmit, you simply pressed the lever on the left side of the keyboard. To engage the typebars, you pressed a lever on the right.

You may have noticed the shelf above the keyboard with the strange knob. That is a Morse keyer for sending messages the traditional way. Many sources claimed that the Yetman could also receive transmissions, but that’s not the case.

There are many mysteries surrounding the Yetman, its inventor, and the company’s president, which you can read all about on the Oz Typewriter blog.

ICYMI: KanaChord, the Japanese Macro Pad

The red light means an invalid combination was pressed. Image by [Mac Cody] via Hackaday.IOWant to input a little Japanese here and there on your computer? Normally you’d need to switch languages, but why not switch peripherals instead? That’s the idea behind [Mac Cody]’s KanaChord, which generates Unicode macros that render Japanese Kana characters by way of chords — multiple keys at once, like on a piano.

It’s simple, really, as long as you know your table of Kana — that’s how the Hirigana and Katakana elements of the Japanese language are collectively known. There’s also the Kanji, or Chinese characters that round it all out. This version of the KanaChord lacks the Kanji, but the KanaChord Plus Keyboard will have 6,000+ characters.

KanaChord uses color to differentiate between character types, to indicate Kana mode, and even provide error feedback whenever an invalid chord is pressed. Inside you’ll find a Raspberry Pi Pico and an Adafruit NeoKey 5×6 Ortho Snap-Apart keyboard PCB, which simplifies things considerably. Underneath those cool 3D-printed keycaps are thirty Cherry MX switches of unknown color, but which I choose to believe are blue.

---

Got a hot tip that has like, anything to do with keyboards? Help me out by sending in a link or two. Don’t want all the Hackaday scribes to see it? Feel free to email me directly.

Cybersecurity & cyberwarfare

2024-04-25 08:00:02

Implantable Battery Charges Itself

Battery technology is the major limiting factor for the large-scale adoption of electric vehicles and grid-level energy storage. Marginal improvements have been made for lithium cells in the past decade but the technology has arguably been fairly stagnant, at least on massive industrial scales. At smaller levels there have been some more outside-of-the-box developments for things like embedded systems and, at least in the case of this battery that can recharge itself, implantable batteries for medical devices.

The tiny battery uses sodium and gold for the anode and cathode, and takes oxygen from the body to complete the chemical reaction. With a virtually unlimited supply of oxygen available to it, the battery essentially never needs to be replaced or recharged. In lab tests, it took a bit of time for the implant site to heal before there was a reliable oxygen supply, though, but once healing was complete the battery’s performance leveled off.

Currently the tiny batteries have only been tested in rats as a proof-of-concept to demonstrate the chemistry and electricity generation capabilities, but there didn’t appear to be any adverse consequences. Technology like this could be a big improvement for implanted devices like pacemakers if it can scale up, and could even help fight diseases and improve healing times. For some more background on implantable devices, [Dan Maloney] catches us up on the difficulties of building and powering replacement hearts for humans.

Cybersecurity & cyberwarfare

2024-04-25 15:30:05

Reverse Engineering A Fancy Disposable Vape

Many readers will be aware of the trend for disposable vapes, and how harvesting them for lithium-ion batteries has become a popular pastime in our community. We’re all used to the slim ones about the size of a marker pen, but it’s a surprise to find that they also come in larger sizes equipped with colour LCD screens. [Jason Gin] received one of this type of vape, and set about reverse engineering it.

What he found inside alongside the lithium-ion cell (we love his use of the term ” street lithium” by the way) was an ARM Cortex M0 microcontroller, 1 MB of flash, and that 80×160 display. Some investigation revealed this last part to have an ST7735S controller with an SPI interface. He turned his attention to the flash, which was filled with the bitmaps for the display. Seeing an opportunity there, this lead to the creation of a Windows 95 theme for the device.

Finally, the microcontroller turned out to be accessible with programming tools, with an unprotected firmware. The reverse engineering effort is ongoing, but we hope the result is a small dev board that will at least save some of the from being e-waste. If you’re curious, all the tools used are in a GitHub repository.

Meanwhile, we’ve looked at street lithium harvesting before.

Thanks [DeadFishOnTheLanding] for the tip!

Cybersecurity & cyberwarfare

2024-04-25 05:00:19

Sticky Situation Leads To Legit LEGO Hack

[samsuksiri] frequently uses a laptop and has an external drive to store projects. The drive flops around on the end of its tether and gets in the way, so they repurposed their old iPod pouch and attached it to the laptop lid with double-sided tape. You can guess how that went — the weight of the drive caused the pocket to sag and eventually detach over time.

Then [samsuksiri] remembered that they had LEGO DOTS patch stashed somewhere. It’s an 8×8 plate with adhesive on the back so you can build almost anywhere. Then the problem was this: how to attach LEGO to the drive itself? You’d think this is where the hot glue comes in, but that didn’t work because the drive is too slippery.

Nothing worked, really — not until [samsuksiri] flipped the drive over to work with the dimpled side that has un-coated plastic. Finally, the answer turned out to be mounting tape. Now, [samsuksiri] can attach the drive in any orientation, or even attach a second drive. Be sure to check it out after the break.

Looking for slightly more astounding LEGO creations? Check out this hydroelectric dam.

https://www.youtube.com/embed/gXnPz3bdTRc?feature=oembed

Thanks to [Keith Olson] for the tip!

Cybersecurity & cyberwarfare

2024-04-25 06:14:37

Cani robot nella striscia di Gaza. La Ghost Robotics sotto accusa per l’uso di cani armati

Un produttore di cani robot con sede a Filadelfia è diventato il bersaglio delle proteste per la guerra a Gaza. Ghost Robotics, con sede presso il centro di ricerca Pennovation Works dell’Università della Pennsylvania, sta promuovendo attivamente l’uso militare dei suoi dispositivi robotici.

Gli attivisti hanno espresso insoddisfazione per il fatto che i prodotti Ghost Robotics vengano utilizzati dall’esercito israeliano nella Striscia di Gaza. Negli ultimi mesi ci sono state diverse marce e proteste contro l’azienda a Filadelfia. I manifestanti chiedono che l’università smetta di collaborare con l’azienda. Un membro del movimento Shut Down Ghost Robotics ha dichiarato: “Siamo preoccupati che le nostre tasse possano sostenere la produzione di questi cani robotici. Questo è inaccettabile”.

A differenza del noto concorrente Boston Dynamics, Ghost Robotics non solo ha abbandonato gli accordi internazionali per disarmare i suoi robot, ma sta anche collaborando attivamente con altre aziende per installare armi sui suoi dispositivi. L’azienda afferma che armare i robot è parte della sua missione. “Se hanno bisogno di montare un’arma sul nostro robot per completare le attività, lo accogliamo con favore”, ha affermato il dirigente dell’azienda.

Il prodotto di punta dell’azienda, il robot Vision 60, è progettato per l’uso in ambienti urbani e naturali difficili. Costando 165.000 dollari, questi dispositivi terrestri autonomi a quattro zampe sono dotati di più telecamere e microfoni. Sono in grado di rialzarsi indipendentemente dalle cadute e di raccogliere informazioni dai sensori per scopi che includono il targeting di armi.

I robot Vision 60 sono già utilizzati per monitorare i perimetri delle basi militari dell’aeronautica americana e ai confini degli Stati Uniti per rilevare i migranti. In Giappone, questi robot sono stati utilizzati per aiutare a evacuare le vittime del terremoto.

Nell’ottobre 2021, in una conferenza militare a Washington, l’azienda ha presentato il suo cane robot con un fucile telecomandato montato sulla schiena. “Permettiamo che il nostro robot venga utilizzato in applicazioni militari e altre applicazioni governative per proteggere la nostra gente”, ha osservato un rappresentante dell’azienda in un’intervista a una pubblicazione tecnologica.

In risposta alle critiche e alla luce degli ultimi eventi, il capo del laboratorio di ricerca GRASP, dove sono state sviluppate le tecnologie per Ghost Robotics, ha espresso il suo disaccordo con la direzione di sviluppo militare. Ha invitato l’azienda a rimuovere i riferimenti al suo gruppo da tutte le pubblicazioni perché armare i robot “oltrepassa importanti confini etici” e potrebbe portare ad abusi nell’uso civile e di polizia.

L’azienda deve affrontare anche una causa legale da parte della Boston Dynamics, che accusa Ghost Robotics di aver violato diversi brevetti sui progetti dei suoi cani robot. Ghost Robotics ha definito la causa “un tentativo infondato di rallentare lo sviluppo di un nuovo arrivato sul mercato”.

Inoltre, in risposta all’uso dei robot nelle operazioni militari a Gaza, dove vengono utilizzati per ispezionare i tunnel e cercare militanti, sono emerse preoccupazioni che i robot potrebbero essere utilizzati per selezionare autonomamente obiettivi e uccidere senza diretta supervisione umana, sollevando allarme tra gli oppositori.

Le armi robotiche stanno sempre più portando una richiesta di una nuova legislazione che regoli l’uso di sistemi d’arma autonomi.

L'articolo Cani robot nella striscia di Gaza. La Ghost Robotics sotto accusa per l’uso di cani armati proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-04-25 06:14:14

VPN in pericolo. Un attacco globale con milioni di tentativi di accesso colpisce le Reti Globali

Gli aggressori prendono di mira le reti globali in un massiccio attacco di compromissione delle credenziali. Cisco Talos ha lanciato l’allarme riguardo a questa campagna su larga scala, che mira ad ottenere l’accesso a account VPN, SSH e applicazioni web.

Gli attacchi, che non discriminano regioni o settori specifici, sono iniziati il ​​18 marzo 2024 e continuano a crescere. I ricercatori Talos avvertono che questa minaccia potrebbe compromettere l’intera rete e gli account degli utenti. Gli aggressori utilizzano una serie di nomi utente e password aziendali valide per ottenere l’accesso.

La difficoltà nel tracciare gli aggressori è ulteriormente complicata dal fatto che gli attacchi provengono da nodi di uscita TOR e altri servizi di anonimizzazione come VPN Gate, Proxy Rack e TOR.

Cisco ha reagito aggiungendo gli indirizzi IP utilizzati agli elenchi di blocchi per i suoi prodotti VPN.

Tra i servizi colpiti ci sono i firewall VPN di Cisco, checkpoint VPN, Fortinet VPN, SonicWall VPN, servizi di desktop remoto, Microtik, Draytek e Ubiquiti.

Gli esperti consigliano agli utenti di bloccare i tentativi di connessione da fonti dannose, abilitare la registrazione dettagliata per monitorare gli attacchi su diversi endpoint di rete e proteggere gli account di accesso remoto bloccandoli per impostazione predefinita.

Implementare un sistema di controllo e gestione degli accessi a livello di interfaccia può anche rivelarsi cruciale nella difesa contro tali minacce.

L'articolo VPN in pericolo. Un attacco globale con milioni di tentativi di accesso colpisce le Reti Globali proviene da il blog della sicurezza informatica.

FSFE

2023-11-30 04:14:37

SFSCON23 - Luca Bonissi - Windows and Office “tax” refund

The right to install any software on any device and various cases about the refund of pre-installed software

Some manufacturers try to force to use the preinstalled software on the PC you acquire, sometimes also claiming that alternative software will not work properly.

On 2018 Luca purchases a Lenovo Tablet/PC and, since it comes with Microsoft Windows pre-installed, he requested the refund to Lenovo, but Lenovo denied to refund Luca. A court case was initiated, and Lenovo was condemned to pay a punitive damages of 20’000 euros for its abusive behaviour.

After this “historic” case, some other refund were request to other companies, such as HP, Dell, Microsoft, Acer, and again to Lenovo. Each OEM tried to deny the refund, with various reasons such as contractual clauses contained in the sale contract or in the same license agreement, or the need to delete the Product Key stored in the MSDM BIOS ACPI table and therefore they require to send the PC to their laboratories. These reasons have no valid legal basis, because – at least in Italy – the license agreement is a contract totally unrelated to the sale contract, so a third party may not impose any action on your material good, and the license agreement has remained without causal and economic justification, because not accepted and missed to be concluded.

Cybersecurity & cyberwarfare

2024-04-24 20:00:48

More Mirrors (and a Little Audio) Mean More Laser Power

Lasers are pretty much magic — it’s all done with mirrors. Not every laser, of course, but in the 1980s, the most common lasers in commercial applications were probably the helium-neon laser, which used a couple of mirrors on the end of a chamber filled with gas and a high-voltage discharge to produce a wonderful red-orange beam.

The trouble is, most of the optical power gets left in the tube, with only about 1% breaking free. Luckily, there are ways around this, as [Les Wright] demonstrates with this external passive cavity laser. The guts of the demo below come from [Les]’ earlier teardown of an 80s-era laser particle counter, a well-made instrument powered by a He-Ne laser that was still in fine fettle if a bit anemic in terms of optical power.

[Les] dives into the physics of the problem as well as the original patents from the particle counter manufacturer, which describe a “stabilized external passive cavity.” That’s a pretty fancy name for something remarkably simple: a third mirror mounted to a loudspeaker and placed in the output path of the He-Ne laser. When the speaker is driven by an audio frequency signal, the mirror moves in and out along the axis of the beam, creating a Doppler shift in the beam reflected back into the He-Ne laser and preventing it from interfering with the lasing in the active cavity. This forms a passive cavity that greatly increases the energy density of the beam compared to the bare He-Ne’s output.

The effect of the passive cavity is plain to see in the video. With the oscillator on, the beam in the passive cavity visibly brightens, and can be easily undone with just the slightest change to the optical path. We’d never have guessed something so simple could make such a difference, but there it is.

https://www.youtube.com/embed/ad4hxXz4bwA?feature=oembed

Cybersecurity & cyberwarfare

2024-04-25 02:00:40

The Performance Impact of C++’s `final` Keyword for Optimization

In the world of software development the term ‘optimization’ is generally reason for experienced developers to start feeling decidedly nervous, especially when a feature is marked as an ‘easy and free optimization’. The final keyword introduced in C++11 is one of such features. It promises a way to speed up object-oriented code by omitting the vtable call indirection by marking a class or member function as – unsurprisingly – final, meaning that it cannot be inherited from or overridden. Inspired by this promise, [Benjamin Summerton] figured that he’d run a range of benchmarks to see what performance uplift he’d get on his ray tracing project.

To be as thorough as possible, the tests were run on three different systems, including 64-bit Intel and AMD systems, as well as on Apple Silicon (M1). For the compilers various versions of GCC (12.x, 13.x), as well as Clang (15, 17) and MSVC (17) were employed, with rather interesting results for final versus no final tests. Clang was probably the biggest surprise, as with the keyword added, performance with Clang-generated code absolutely tanked. MSVC was a mixed bag, as were the GCC versions other than GCC 13.2 on AMD Ryzen, which saw a bump of a few percent faster.

Ultimately, it seems that there’s no free lunch as usual, and adding final to your code falls distinctly under ‘only use it if you know what you’re doing’. As things stand, the resulting behavior seems wildly inconsistent.

Cybersecurity & cyberwarfare

2024-04-24 23:00:36

Downloading Satellite Imagery With a Wi-Fi Antenna

Over the past century or so we’ve come up with some clever ways of manipulating photons to do all kinds of interesting things. From lighting to televisions and computer screens to communication, including radio and fiber-optics, there’s a lot that can be done with these wave-particles and a lot of overlap in their uses as well. That’s why you can take something like a fairly standard Wi-Fi antenna meant for fairly short-range communication and use it for some other interesting tasks like downloading satellite data.

Weather satellites specifically use about the same frequency range as Wi-Fi, but need a bit of help to span the enormous distance. Normally Wi-Fi only has a range in the tens of meters, but attaching a parabolic dish to an antenna can increase the range by several orders of magnitude. The dish [dereksgc] found is meant for long-range Wi-Fi networking but got these parabolic reflectors specifically to track satellites and download the information they send back to earth. Weather satellites are generally the target here, and although the photons here are slightly less energy at 1.7 GHz, this is close enough to the 2.4 GHz antenna design for Wi-Fi to be perfectly workable and presumably will work even better in the S-band at around 2.2 GHz.

For this to work, [dereksgc] isn’t even using a dedicated tracking system to aim the dish at the satellites automatically; just holding it by hand is enough to get a readable signal from the satellite, especially if the satellite is in a geostationary orbit. You’ll likely have better results with something a little more precise and automated, but for a quick and easy solution a surprisingly small amount of gear is actually needed for satellite communication.

https://www.youtube.com/embed/Z5-WOpuKWkg?feature=oembed

Cybersecurity & cyberwarfare

2024-04-24 18:30:34

DIY Electronics Plus Woodworking Equal Custom Lamp

There is something about wooden crafts that when combined with electronics, have a mesmerizing effect on the visual senses. The Gesture Controlled DNA Wooden Desk Lamp by [Timber Rough] is a bit of both with a nice desk piece that’s well documented for anyone who wants to build their own.

Construction starts with a laser cutter being employed to add kerfs, such that the final strips can be bent along a frame tube to form the outer backbone of the DNA helix structure. Add to the mix some tung oil, carnauba wax, and some glue — along with skill and patience — and you get the distinct shape of sugar-phosphate backbone.

The electronics include an ESP8266 with the PAJ7620 gesture sensor that controls two WS2812B RGB LED Strips. The sensor in question is very capable, and comes with the ability to recognize nine human hand gestures along with proximity which makes it apt for this application. The sensor is mounted atop the structure with the LEDs twisting down the frame to the base where the ESP8266 is tucked away. Tiny glass bottles are painted with acrylic spray varnish and then glued to the LEDs to form the base pairs of the double helix. We thought that the varnish spray was a clever idea to make light diffusers that are quick and cheap for most DIYers.

We previously covered how this particular gesture sensor can be used to control much more than a lamp if you seek more ideas in that realm.

https://www.youtube.com/embed/EM0RZgBZ6-U?feature=oembed

Cybersecurity & cyberwarfare

2024-04-24 17:00:00

Supercon 2023: Alex Lynd Explores MCUs in Infosec

The average Hackaday reader hardly needs to be reminded of the incredible potential of the modern microcontroller. While the Arduino was certainly transformative when it hit the scene, those early 8-bit MCUs were nothing compared to what’s on the market now. Multiple cores with clock speeds measured in the hundreds of megahertz, several MB of flash storage, and of course integrated WiFi capability mean today’s chips are much closer to being fully-fledged computers than their predecessors.

It’s not hard to see the impact this has had on the electronics hobby. In the early 2000s, getting your hardware project connected to the Internet was a major accomplishment that probably involved bringing some hacked home router along for the ride. But today, most would consider something like an Internet-connected remote environmental monitor to be a good starter project. Just plug in a couple I2C sensors, write a few lines of Python, and you’ve got live data pouring into a web interface that you can view on your mobile device — all for just a few bucks worth of hardware.

But just because we’re keenly aware of the benefits and capabilities of microcontrollers like the ESP32 or the Pi Pico, doesn’t mean they’ve made the same impact in other tech circles. In his talk Wireless Hacking on a $5 Budget, Alex Lynd goes over some examples of how he’s personally put these devices to work as part of his information security (infosec) research.

When Less is More

Like so many before him, Alex started his journey with Linux on the Raspberry Pi. It was, at least in the days before the chip shortage, a cheap and easy way to start exploring the intersection of hardware and software. But once they got too rare and expensive for a young hacker to experiment with, he started looking for alternatives.

This lead him to the work of security researchers such as Spacehuhn, who had used the ESP8266 to perform various attacks and techniques (such as WiFi deauthentication) which could previously only be done on a computer. While a Linux box filled with all the latest offensive and defensive security tools would of course always have its place, Alex immediately saw the appeal in developing these sort of single-purpose infosec gadgets.
Dumping the firmware from an ESP32-based smart bulb.
The most obvious one, naturally, is cost. Most modern microcontrollers are so cheap that they’re essentially disposable — something that can be a huge benefit while performing reconnaissance or other penetration testing tasks. If you don’t have to go and retrieve your deployed gear, that’s one less chance to get caught. In a similar vein, the fact that a microcontroller is so much smaller than even a Raspberry Pi makes it easier to hide.

On the subject of covert operations, Alex also points out the potential to commandeer an existing IoT device that may very well already have your favorite chip onboard. We’ve seen plenty of smart light bulbs that used some member of the ESP family internally, and hackers have demonstrated how easily they can be reprogrammed. Crafting a custom firmware for one of these devices that maintains its original functionality while adding in some malicious functions is certainly within the realm of possibility.

Hidden or otherwise, Alex also believes MCUs can be easier to configure and deploy in the wild. If you’re just looking to perform a single task, such as logging all of the devices going into or out of a particular building, you don’t need to configure and run a whole operating system. Without the added complexity of that OS, your deployment can be faster and potentially more reliable. It can also be easier and faster to replicate. Whether your goal is to share your work with others, or simply spin up multiple instances of your own personal tool, it doesn’t get much easier than flashing a firmware file to a fresh MCU.

Targeted Applications

Alex quickly move from the theoretical to the practical, showing off a number of devices he’s built and operated over the last several years.

The first was a discreet reconnaissance tool made up of an ESP-01 hidden inside of a USB phone charger. It could detect when particular WiFi devices were present or had joined a particular network, and alert him with email and SMS notifications. In his case, Alex was just keeping tabs on his father’s comings and goings, but it’s not difficult to see how this capability could be put to use during a penetration test.

He then goes on to describe an expedient WiFi capture device made from nothing more than an ESP32, an SD card, and a salvaged lithium ion battery tucked into an inconspicuous enclosure. Alex explains that the more powerful ESP32 has the ability to perform full WiFi packet capture, which is dumped to a Wireshark-compatible file on the SD card. The device, which looked like any other piece of trash laying on the street, was then able to intercept the communications of a nearby wireless security camera.
The “$10 wardriving rig” uses public WiFi to return its results, and is cheap enough to be disposable.
Alex also describes his experiments with a technique known as warshipping, which is when a device is physically shipped to a destination (such as an office building) for the purposes of surveillance or penetration testing. The idea is to send the package to an employee or department that doesn’t exist — you want it to be in the building long enough to capture useful data, but then have it ultimately returned to sender. The catch here is that you need a lightweight device that can run for as long as possible on an internal battery pack. A Raspberry Pi can do it, but in terms of runtime per milliwatt-hour, there’s no beating a modern microcontroller with a properly configured sleep routine.

Going Beyond WiFi

Alex ends the presentation by talking about what’s he has planned for the future. Thus far he’s limited himself largely to WiFi, but he’d really like to start experimenting with other wireless protocols using similar low-cost hardware.

Bluetooth is the next logical step, as several microcontrollers have that built-in. This offers some interesting potential for tracking assets and even individuals, as Bluetooth Low Energy (BLE) has become essentially the defacto communications method for wearable devices. Tracking a target’s phone is one thing, but if you can keep tabs on where their smart watch or earbuds are, you’ll really be able to zero in on their movement.

Beyond that he’d like to start working with radio modules (or even software defined radio) that will let him tap into the unlicensed frequencies such as 433 MHz, as there’s a whole world of interesting devices out there just waiting to hear the right signal. But Alex is also interested in the potential for using microcontrollers to physically interface with devices, which is where I/O powerhouse platforms like the Pi Pico come into play.

Ultimately, Alex sees nothing but potential for the use of microcontrollers in information security. Each year they get faster and more capable, while still remaining affordable enough that you can buy a handful just to play around with the various platforms. His high water mark is the Sensor Watch from Joey Castillo: he reasons that if an individual hacker can pack a programmable microcontroller and sensors into such a constrained platform while having the device remain completely inconspicuous externally, imagine what else is possible if you’re willing to really lean into the minimalist approach.

https://www.youtube.com/embed/FjKcJBw0gWc?feature=oembed

Cybersecurity & cyberwarfare

2024-04-24 16:43:28

TikTok ‘voluntarily’ suspends Reward Program amidst European Commission concerns

TikTok is "voluntarily" suspending the rewards functions in TikTok Lite, the company said on Wednesday (24 April), just days after the European Commission announced a second round of formal proceedings against the rewards programme.

---

https://www.euractiv.com/section/platforms/news/tiktok-voluntarily-suspends-reward-program-amidst-european-commission-concerns/

Cybersecurity & cyberwarfare

2024-04-24 16:17:32

EU Space Law: Commission official reveals details on cybersecurity aspects

A Commission official revealed key details of the content and shape of the upcoming EU Space Law, in particular its cybersecurity aspects at an event in Paris.

---

https://www.euractiv.com/section/cybersecurity/news/eu-space-law-commission-official-reveals-details-on-cybersecurity-aspects/