Cybersecurity & cyberwarfare

2024-04-24 15:19:26

Scopri i 10 lavori più richiesti nel campo dell’Intelligenza Artificiale

Spesso si parla di quanto le Intelligenze Artificiale sottrarranno lavoro, ma poco si parla dei nuovi lavori che verranno introdotti dall’utilizzo delle AI.

L’anno 2023 ha segnato l’esplosione dell’intelligenza artificiale. ChatGPT ha scosso le nostre convinzioni, le nostre conoscenze e ha sollevato alcune domande e anche alcune preoccupazioni. Nonostante tutto, chi dice crescita dell’IA, dice crescita anche di alcune professioni.

Scopri le 10 professioni AI che stanno avendo una crescita esponenziale nel 2024 e che sono compatibili con un progetto di riqualificazione professionale. Questi lavori potrebbero darti idee per le carriere a cui passare!

L’innovazione nell’IA ha aperto la strada a nuove frontiere di lavoro, che vanno dalla gestione dei dati all’etica e alla consulenza. Scopri come potresti adattarti e prosperare in questo mondo in continua evoluzione!

1. Scienziato dei dati

Il lavoro del Data Scientist consiste nel raccogliere, gestire e analizzare i dati. Questo specialista dei numeri interpreta le informazioni raccolte attraverso diversi mezzi per garantire il corretto funzionamento dell’IA (intelligenza artificiale). La sua missione consente a un’azienda di comprendere e fidelizzare meglio i clienti e quindi di anticipare i propri risultati finanziari.

Il lavoro del data scientist è uno dei più pagati nel settore dell’intelligenza artificiale. Il suo stipendio medio lordo si aggira attorno ai 4.500 euro lordi al mese.

Fonte : Les Echos sulle 7 professioni dell’intelligenza artificiale più pagate al mese.

2. Ingegnere dell’intelligenza artificiale

Se vuoi cambiare carriera per riorientarti professionalmente verso l’intelligenza artificiale, la professione di ingegnere dell’intelligenza artificiale potrebbe interessarti. Questa professione, molto richiesta nel 2024, prevede la progettazione di programmi per computer e sistemi di intelligenza artificiale.

Le loro missioni possono cambiare a seconda della loro area di competenza. Può lavorare nella ricerca e sviluppo delle IA, nel loro mantenimento, nella loro integrazione, ecc.

Per diventare un ingegnere AI , devi sviluppare competenze in matematica e statistica, ma anche in informatica, machine learning, robotica e intelligenza artificiale.

3. Architetto dei Big Data

Il Big data architect è una delle professioni più ambite nel settore dell’AI. Il suo ruolo è quello di recuperare, gestire e archiviare i dati, ma anche di strutturarli per analizzarli meglio.

Se vuoi cambiare percorso professionale per diventare un architetto Big Data, dovrai formarti su tecnologie avanzate come i database NoSQL.

La retribuzione di un architetto Big Data ammonterebbe in media a 4.500 euro lordi al mese.

4. Sviluppatore web

Gli sviluppatori Web sono professionisti della codifica e dell’IT. Creano siti Web e possono, a seconda delle loro missioni, lavorare con l’intelligenza artificiale per creare sistemi e software ancora più avanzati.

Puoi perseguire una formazione professionale continua per diventare uno sviluppatore web. Alcuni enti di formazione offrono brevi corsi di certificazione per insegnarti le basi e prepararti per questa nuova professione.

5. Scienziato cognitivo

Il ruolo dello scienziato cognitivo è adattare gli strumenti digitali per aumentarne le prestazioni, la sicurezza e il comfort per gli esseri umani. Ad esempio, progetta HMI (interfacce uomo-macchina) per automatizzare determinate attività.

Per cambiare lavoro e diventare uno scienziato cognitivo, devi avere una forte conoscenza delle scienze umane (psicologia, sociologia, ecc.), della biologia umana e delle tecnologie della comunicazione.

6. Ingegnere dell’apprendimento automatico

Specialista dell’apprendimento automatico, l’ingegnere del Machine Learning modifica le macchine IA per dare loro la capacità di apprendere da un insieme di dati. L’obiettivo: fargli eseguire operazioni complesse. Il ruolo di questo ingegnere è costruire e integrare algoritmi all’avanguardia nell’intelligenza artificiale.

Il Machine Learning Engineer è al centro dei modelli di machine learning. Lavora su tutte le fasi del modello AI. Per apprendere questa nuova professione dovrai seguire una formazione di ingegneria , ad esempio.

Lo stipendio medio lordo di un ingegnere di Machine Learning sarebbe di circa 3.500 euro lordi al mese.

7. Prompt Engineer

Se hai guardato ChatGPT, avrai notato che, per funzionare e produrre contenuti, ha bisogno di istruzioni. Quanto più precisa e scritta è questa “istruzione”, tanto più efficace è la risposta. Questo è chiamato “prompt”.

L’ingegnere dei prompt crea script per l’intelligenza artificiale per ottenere risultati precisi ed efficienti. Il suo ruolo è generare testo, immagini e video da istruzioni efficaci. Questo è un lavoro con competenze tecniche per testare strumenti di intelligenza artificiale generativa.

Non esistono corsi di diploma professionale per accedere a questa professione. Puoi farlo all’interno di un’azienda o come libero professionista .

8. AI Trainer

L’AI Trainer è l’allenatore dell’intelligenza artificiale. La mette alla prova e la forma in modo che possa migliorare e completare i compiti in modo indipendente. Questo professionista lavora in collaborazione con gli ingegneri per sviluppare e perfezionare gli algoritmi.

Un AI Trainer guadagnerebbe in media 3.167 euro lordi al mese.

9. Responsabile dell’etica dell’AI

L’intelligenza artificiale solleva molte domande. L’ AI Ethics Officer ha un ruolo importante nella creazione di nuova AI. Il suo ruolo è garantire che i sistemi siano sviluppati e utilizzati in modo responsabile.

Per formarsi come manager etico dell’IA, esiste una formazione professionale iniziale presso l’Università di Artois che consente di ottenere un diploma universitario Bac+5 in questo campo di attività.

Questa professione del futuro si svilupperà sempre di più nei prossimi anni. Risulta necessaria per anticipare e prevenire possibili abusi dell’IA, la sua presenza potrebbe anche rassicurare alcuni utenti.

10. Responsabile di progetto Chatbot

Il project manager o project manager di Chatbot gestisce la creazione e l’implementazione di un sistema conversazionale automatico.

Il Chatbot è la finestra che ti permette di chattare con un robot quando hai un reclamo o una domanda. Può essere utile per migliorare l’esperienza del cliente e gestire richieste generali.

Se vuoi cambiare la tua vita professionale e diventare un project manager di Chatbot, dovrai sviluppare i tuoi talenti nell’intelligenza artificiale. Generalmente i dipendenti assunti hanno una laurea in ingegneria o un master in informatica, gestione di progetti, intelligenza artificiale o marketing digitale.

L'articolo Scopri i 10 lavori più richiesti nel campo dell’Intelligenza Artificiale proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-04-24 15:30:41

The First European Pocket Calculator Came From Yugoslavia

At the start of the 1970s the pocket calculator was the last word in personal electronics, and consumers in Europe looked eagerly towards Japan or the USA for a glimpse of new products. Meanwhile the European manufacturers, perhaps Philips in the Netherlands, or Olivetti in Italy, would no doubt have been putting their best engineers on to the task of delivering the first domestic European models.

So who was first with a European-made calculator? Not the Dutch, the Italians, the Germans, or even the Brits, instead that honour went to the Yugoslavians. Digitron is a company located in Buje, in modern-day Croatia, and they pipped everyone else in Europe to the post back in 1971 with their DB800 model.

We read about the achievement through the above-linked exhibition, but perhaps the greatest surprise comes in finding relatively little technical information online about these machines. Other early calculators have been subjected to extensive teardowns, so we can see all manner of interesting period tech. This one however, other than references to using Japanese parts, has very little. Whose chip did it use, and were there any quirky design choices made? We hope that someone out there has one and is prepared to give the world a peek.

Meanwhile, we’ve looked at a few older calculators ourselves.

Cybersecurity & cyberwarfare

2024-04-24 14:18:15

Sanzioni sui Semiconduttori: Gli USA Riconsiderano la Propria Posizione per via dell’architettura aperta di RISC-V

Il Dipartimento del Commercio degli Stati Uniti vuole imporre restrizioni sull’architettura aperta del processore RISC-V. I legislatori temono che la tecnologia venga utilizzata dalla Cina, il principale rivale americano nel mercato dei chip.

RISC-V è distribuito con una licenza gratuita e consente agli sviluppatori di qualsiasi paese di creare i propri prodotti basati su di esso sia per uso commerciale che non commerciale. La sua disponibilità ha sollevato preoccupazioni tra i membri del comitato ristretto della Camera sulla concorrenza strategica con la Cina.

In una lettera datata novembre 2023, i membri del Congresso hanno espresso il timore che numerosi sforzi statunitensi per limitare la fornitura di chip avanzati al Regno di Mezzo potrebbero essere compromessi dal RISC-V, poiché il Paese lo sta già utilizzando per eludere le sanzioni statunitensi. Hanno invitato il segretario al Commercio Gina Raimondo a prendere in considerazione la creazione di “un robusto ecosistema per la cooperazione aperta tra gli Stati Uniti e i loro alleati, impedendo al tempo stesso alla Cina di trarne vantaggio”.

L’agenzia sta ora “studiando i possibili rischi associati a RISC-V e sviluppando misure nell’ambito della sua autorità per affrontare potenziali problemi”.

Ci sono anche oppositori a questa idea. Ad esempio, il capo di RISC-V International, Calista Redmond, ha difeso la collaborazione aperta, sottolineandone i vantaggi per lo sviluppo di tecnologie che un tempo portavano alla creazione di sviluppi utili come USB ed Ethernet.

Non è ancora noto quali restrizioni specifiche potrebbero essere imposte a RISC-V e quanto saranno efficaci. I precedenti divieti non sono riusciti a bloccare completamente l’accesso della Cina ai processori americani. Varie aziende e individui hanno sempre trovato soluzioni alternative e hanno continuato a fornire al Paese i prodotti sanzionati.

Nel frattempo, gli sviluppatori cinesi continuano a sviluppare i propri progetti basati su RISC-V. Pertanto, Loongson ha utilizzato questa architettura per creare chip per PC desktop, che ora vengono implementati nelle scuole cinesi. E Alibaba Cloud prevede di lanciare quest’anno un server basato su RISC-V.

Il desiderio di indipendenza tecnologica della Cina è comprensibile. Il Paese fa affidamento su architetture aperte come RISC-V per evitare la dipendenza da fornitori esterni. Negli ultimi anni Pechino ha approvato solo processori che possono essere modificati e controllati dalle autorità cinesi. Inoltre, il Paese ha introdotto restrizioni sull’importazione di tecnologia americana per ridurre la dipendenza dagli Stati Uniti in questo settore.

Qualunque sia la decisione del Dipartimento del Commercio degli Stati Uniti in merito a RISC-V, sembra che l’uso della tecnologia in Cina non farà altro che aumentare nei prossimi anni.

L'articolo Sanzioni sui Semiconduttori: Gli USA Riconsiderano la Propria Posizione per via dell’architettura aperta di RISC-V proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-04-24 14:00:07

Mining and Refining: Uranium and Plutonium

When I was a kid we used to go to a place we just called “The Book Barn.” It was pretty descriptive, as it was just a barn filled with old books. It smelled pretty much like you’d expect a barn filled with old books to smell, and it was a fantastic place to browse — all of the charm of an old library with none of the organization. On one visit I found a stack of old magazines, including a couple of Popular Mechanics from the late 1940s. The cover art always looked like pulp science fiction, with a pipe-smoking father coming home from work to his suburban home in a flying car.

But the issue that caught my eye had a cover showing a couple of rugged men in a Jeep, bouncing around the desert with a Geiger counter. “Build your own uranium detector,” the caption implored, suggesting that the next gold rush was underway and that anyone could get in on the action. The world was a much more optimistic place back then, looking forward as it was to a nuclear-powered future with electricity “too cheap to meter.” The fact that sudden death in an expanding ball of radioactive plasma was potentially the other side of that coin never seemed to matter that much; one tends to abstract away realities that are too big to comprehend.

Things are more complicated now, but uranium remains important. Not only is it needed to build new nuclear weapons and maintain the existing stockpile, it’s also an important part of the mix of non-fossil-fuel electricity options we’re going to need going forward. And getting it out of the ground and turned into useful materials, including its radioactive offspring plutonium, is anything but easy.

Lixiviants and Leachates

Despite its rarity in everyday life, uranium is surprisingly abundant. It’s literally as common as dirt; stick a shovel into the ground almost anywhere on Earth and you’ll probably come up with a detectable amount of uranium. The same goes for seawater, which has about 3.3 micrograms of uranium dissolved in every liter, on average. But as with most elements, uranium isn’t evenly distributed, resulting in deposits that are far easier to exploit commercially than others. Australia is the winner of this atomic lottery, with over 2 million tonnes of proven reserves, followed by Kazakhstan with almost a million tonnes, and Canada with 873,000.

While most of the attention uranium garners has to do with the properties of its large, barely stable nucleus, the element also participates in a lot of chemical reactions, thanks to its 92 electrons. The most common uranium compounds are oxides like uranium (IV) oxide, or uranium dioxide (UO2), the main mineral in the ore uranite, also known as pitchblende. Uranite also contains some triuranium octoxide (U3O8), which forms when UO2 reacts with atmospheric oxygen. The oxides make up the bulk of commercially significant ores, with at least a dozen other minerals including uranium silicates, titanates, phosphates, and vanadates being mined somewhere in the world.

Getting uranium out of the ground used to be accomplished through traditional hard-rock mining techniques, where ore is harvested from open-pit mines or via shafts and tunnels running into concentrated seams. The ore is then put through the usual methods of extraction that we’ve seen before in this series, such as crushing and grinding followed by physical separation steps like centrifugation, froth flotation, and filtration. However, the unique chemical properties of uranium, especially its ready solubility, make in situ leaching (ISL) an attractive alternative to traditional extraction.

ISL is a hydrometallurgical process that has become the predominant extraction method for uranium. ISL begins by drilling boreholes into an ore-bearing seam, either from drill rigs on the surface or via tunnels and shafts dug by traditional mining methods. The boreholes are then connected to injection wells that pump a chemical leaching agent or lixiviant into the holes. For uranium, the lixiviant is based on the minerals in the ore and the surrounding rock, and is generally something like a dilute sulfuric acid or an aqueous solution of sodium bicarbonate. Oxygen is often added to the solution, either via the addition of hydrogen peroxide or by bubbling air through the lixivant. The solution reacts with and solubilizes the uranium minerals in the ore seam.

https://www.youtube.com/embed/V94M_E7RuT0?feature=oembed

ISL offers huge advantages compared to conventional mining. Although uranium is abundant, it’s still only a small percentage of the volume of the rock bearing it, and conventional mining requires massive amounts of material to be drilled and blasted out of the ground and transported to the surface for processing. ISL, on the other hand, gets the uranium into aqueous solution while it’s still in the ground, meaning it can be pumped to the processing plant. This makes ISL a more continuous flow process, as opposed to the more batch-wise processing methods of conventional mining. Plus, the lixiviant can be tailored to the minerals in the ore so that only the uranium is dissolved, leaving the rock matrix and unwanted minerals underground.

Reacting With Hex

Yellow cake is a mixture of various oxides of uranium. Source: Nuclear Regulatory Commission, public domain.
Uranium dioxide (UO2) is the primary endpoint of uranium refinement. It’s a dark gray powder; the so-called “yellow cake” powder, which is also produced by chemical leaching, is an intermediate form in uranium processing and contains a mix of oxides, particularly U3O8. Natural uranium oxide, however, is not especially useful as a nuclear fuel; only a few reactors in the world, such as the Canada Deuterium Uranium (CANDU) reactor can use natural uranium directly. Every other application requires the uranium dioxide to be enriched to some degree.

Enrichment is the process of increasing the concentration of the rare fissile isotope 235U in the raw uranium dioxide relative to the more abundant, non-fissile isotope 238U. Natural uranium is about 99.7% 238U, which can’t sustain a chain reaction under normal conditions, but with three fewer neutrons in its nucleus, 235U is just unstable enough to be fissionable under the right conditions.

Unlike refining, which takes advantage of the chemical properties of uranium, enrichment is based on its nuclear properties. Separating one isotope from another, especially when they differ by only three neutrons, isn’t a simple process. The vast majority of the effort that went into the Manhattan Project during World War II was directed at finding ways to sort uranium atoms, and many of those methods are still in use to this day.

For most of the Cold War period, the principal method for enriching uranium was the gaseous diffusion method. Uranium oxide is first turned into a gas by reacting it with hydrofluoric acid to form uranium tetrafluoride, which is then treated with fluorine to first yield uranium pentafluoride and finally uranium hexafluoride:

Cascade of gas centrifuges used to enrich uranium, circa 1984. Source: Nuclear Regulatory Commission, public domain.
The highly volatile, incredibly corrosive uranium hexafluoride gas, or hex, is pumped at high pressure into a pressure vessel that contains a semi-permeable separator made from sintered nickel or aluminum. The pore size is tiny, only about 20 nanometers. Since the rate at which a gas molecule passes through a pore depends on its mass, the slightly lighter 235UF6 tends to get through the barrier faster, leaving the high-pressure side of the chamber slightly depleted of the desirable 235U6. Multiple stages are cascaded together, with the slightly enriched output of each stage acting as the input for the next stage, eventually resulting in the desired enrichment — either low-enriched uranium (LEU), which is in the 2-3% 235U range needed for civilian nuclear reactor fuel, or high-enriched uranium (HEU), which is anything greater than 20% enriched, including the 85-90% required for nuclear weapons.

These days, gaseous diffusion is considered largely obsolete and has given way to gas centrifugation enrichment. In this method, gaseous hex is pumped into a tall, narrow cylinder spinning in a vacuum at very high speed, often greater than 50,000 revolutions per minute. The heavier 238UF6 is flung against the outer wall of the centrifuge while the lighter 235UF6 migrates toward the center. The slightly enriched hex is pumped from the center of the centrifuge and fed into the next stage in a cascade, resulting in the desired enrichment. The enriched hex can then be chemically converted back into uranium dioxide for processing into fuel.

Made, Not Found

Unlike any of the other elements we’ve covered in the “Mining and Refining” series so far, plutonium is neither mined nor refined, at least not in the traditional sense. Trace amounts of plutonium do exist in nature, but at the parts per trillion level. So to get anything approaching usable quantities, plutonium, the primary fuel for nuclear weapons, needs to be synthesized in a nuclear reactor.

The main fissile isotope of plutonium, 239Pu, is made by bombarding 238U with neutrons. Each atom of 238U that absorbs a neutron becomes 239U, a radioactive isotope with a half-life of only 23.5 minutes. That decays via beta radiation to neptunium-239 (239Np), another short half-life (52 hours) isotope that decays to 239Pu:
Uranium decay series. Adding a neutron to uranium-238 in a reactor “breeds” plutonium-239.
The process of creating 239Pu from uranium is called “breeding.” From the look of the reaction above, it seems like a civilian nuclear reactor, with its high neutron flux and fuel rods composed of about 96% unenriched uranium, would be the perfect place to make plutonium. There are practical reasons why that won’t work, though, and it has to do with one little neutron.
Elemental plutonium “buttons” are recovered from the bottoms of crucibles after reduction. Buttons are the raw material that then goes to forging and machining to form the pits of nuclear weapons. Source: Los Alamos National Lab, public domain.
Plutonium isn’t really enriched the way that uranium is. Rather, plutonium is graded by the amount of 240Pu it contains; the lower the concentration relative to 239Pu, the higher the grade. That’s because 240Pu tends to undergo spontaneous fission, releasing neutrons that could pre-detonate the plutonium core of the bomb before it’s completely imploded. Weapons-grade plutonium has to have less than 7% 240Pu, and the longer the reaction is allowed to continue, the more it accumulates. Weapons-grade plutonium can only cook for a couple of weeks, which means a civilian reactor would need to be shut down far too often for it to both generate power and synthesize plutonium. So, special production reactors are used to create fissile plutonium.

Once the fuel rods in a production reactor are finished, the plutonium is chemically separated from any remaining 238U and other contaminating fission byproducts using a long, complicated process of extraction. One such process, PUREX (plutonium uranium reduction extraction), uses nitric acid and a combination of organic solvents like kerosene to dissolve the uranium, plus aqueous solvents and reducing agents to solubilize the plutonium. Plutonium dioxide can then be reduced to metallic plutonium, for example by heating it with powdered aluminum. The resulting metal is notoriously difficult to machine, and so is often alloyed with gallium to stabilize its crystal structure and make it easier to handle.

Cybersecurity & cyberwarfare

2024-04-24 12:49:24

Frattasi (ACN): “Più di 300 cyber attacchi messi a segno nel 2023”

La videointervista a Bruno Frattasi, direttore generale dell’Agenzia per la Cybersicurezza Nazionale, a margine della presentazione al Parlamento della Relazione 2023 dell’ACN. Guarda la videointervista
The post Frattasi (ACN): “Più di 300 cyber attacchi messi a segno nel 2023” appeared first on Key4biz.

Cybersecurity & cyberwarfare

2024-04-24 12:38:03

Amazon’s Anthropic investment latest to face antitrust headwinds with UK Competition inquiry

The UK's competition authority is examining whether the Amazon's investment into Anthropic, and others of its type, fall under merger rules.

---

https://www.euractiv.com/section/digital/news/amazons-anthropic-investment-latest-to-face-antitrust-headwinds-with-uk-competition-inquiry/

Cybersecurity & cyberwarfare

2024-04-24 11:03:18

Gig-gling at last: EU adopts gig work directive

The European Parliament overwhelmingly approved a watered-down version of the EU's long-awaited platform work directive at a plenary on Wednesday (24 April), ending two years of intense negotiations with 554 votes in favour and 56 against.

---

https://www.euractiv.com/section/economy-jobs/news/gig-gling-at-last-eu-adopts-gig-work-directive/

Cybersecurity & cyberwarfare

2024-04-24 11:00:22

Chinese Subs May Be Propelled Silently By Lasers

If sharks with lasers on their heads weren’t bad enough, now China is working on submarines with lasers on their butts. At least, that’s what this report in the South China Morning Post claims, anyway.

According to the report, two-megawatt lasers are directed through fiber-optic cables on the surface of the submarine, vaporizing seawater and creating super-cavitation bubbles, which reduce drag on the submarine. The report describes it as an “underwater fiber laser-induced plasma detonation wave propulsion” system and claims that the system could generate up to 70,000 newtons of thrust, more than one of the turbofan engines on a 747.

The report (this proxy can get around the paywall) claims that the key to the system are the tiny metal spheres that direct the force of the cavitation implosion to propel the submarine. Similar to a magnetohydrodynamic drive (MHD), there’s no moving parts to make noise. Such a technology has the potential to make China’s submarines far harder to detect.

Looking for more details, we traced the report back to the original paper written by several people at Harbin Engineering University, entitled “Study on nanosecond pulse laser propulsion microspheres based on a tapered optical fiber in water environment“, but it’s still a pre-print. If you can get access to the full paper, feel free to chime in — we’d love to know if this seems like a real prospect or just exaggerated reporting by the local propaganda media.

[Image via Wikimedia Commons]

Cybersecurity & cyberwarfare

2024-04-24 10:00:31

Assessing the Y, and How, of the XZ Utils incident

High-end APT groups perform highly interesting social engineering campaigns in order to penetrate well-protected targets. For example, carefully constructed forum responses on precision targeted accounts and followup “out-of-band” interactions regarding underground rail system simulator software helped deliver Green Lambert implants in the Middle East. And, in what seems to be a learned approach, the XZ Utils project penetration was likely a patient, multi-year approach, both planned in advance but somewhat clumsily executed.

This recently exposed offensive effort slowly introduced a small cast of remote characters, communications, and malicious code to the more than decade old open-source project XZ Utils and its maintainer, Lasse Collin. The backdoor code was inserted in February and March 2024, mostly by Jia Cheong Tan, likely a fictitious identity. The end goal was to covertly implement an exclusive use backdoor in sshd by targeting the XZ Utils build process, and push the backdoored code to the major Linux distributions as a part of a large-scale supply chain attack.

While this highly targeted and interactive social engineering approach might not be completely novel, it is extraordinary. Also extraordinary is the stunningly subtle insertion of malicious code leveraging the build process in plain sight. This build process focus during a major supply chain attack is comparable only to the CozyDuke/DarkHalo/APT29/NOBELIUM Solarwinds compromise and the SUNSPOT implant’s cunning and persistent presence – its monitoring capability for the execution of a Solarwinds build, and its malicious code insertion during any Solarwinds build execution. Only this time, it’s human involvement in the build process.

It’s notable that one of the key differentiators of the Solarwinds incident from prior supply chain attacks was the adversary’s covert, prolonged access to the source/development environment. In this XZ Utils incident, this prolonged access was obtained via social engineering and extended with fictitious human identity interactions in plain sight.

One of the best publicly available chronological timelines on the social engineering side of the XZ Utils incident is posted by Russ Cox, currently a Google researcher. It’s highly recommended reading. Notably, Cox writes: “This post is a detailed timeline that I have constructed of the social engineering aspect of the attack, which appears to date back to late 2021.”

A Singaporean guy, an Indian guy, and a German guy walk into a bar…

Three identities pressure XZ Utils creator and maintainer Lasse Collin in summer 2022 to provoke an open-source code project handover: Jia Tan/Jia Cheong Tan, Dennis Ens, and Jigar Kumar. These identities are made up of a GitHub account, three free email accounts with similar name schemes, an IRC and Ubuntu One account, email communications on XZ Utils developer mailing lists and downstream maintainers, and code. Their goal was to grant full access to XZ Utils source code to Jia Tan and subtly introduce malicious code into XZ Utils – the identities even interact with one another on mail threads, complaining about the need to replace Lasse Collin as the XZ Utils maintainer.

Note that the geographic dispersion of fictitious identities is a bit forced here, perhaps to dispel hints of coordination: Singaporean or Malaysian (possibly of a Hokkien dialect), northern European, and Indian. Misspellings and grammar mistakes are similar across the three identities’ communications. The “Jia Tan” identity seems a bit forced as well – the only public geolocation data is a Singaporean VPN exit node that the identity may have used on March 29 to access the XZ Utils Libera IRC chat. If constructing a fictitious identity, using that particular exit node would definitely be a selected resource.

Our pDNS confirms this IP as a Witopia VPN exit. While we might expect a “jiat75” or “jiatan018” username for the “Jia Tan” Libera IRC account, this one in the screenshot above may have been used on March 29, 2024 by the “JiaT75” actor.

One additional identity, Hans Jansen, introduced a June 2023 performance optimization into the XZ Utils source, committed by Collin, and later leveraged by jiaT75’s backdoor code. Jia Tan gleefully accepted the proposed IFUNC additions: “Thanks for the PR and the helpful links! Overall this seems like a nice improvement to our function-picking strategy for CRC64. It will likely be useful when we implement CRC32 CLMUL too :)”.

This pull request is the Jansen identities’ only interaction with the XZ Utils project itself. And, unlike the other two identities, the Jansen account is not used to pressure Collin to turn over XZ Utils maintenance. Instead, the Hans Jansen identity provided the code and then disappeared. Nine months later, following the backdoor code insertion, Jansen urged a major Linux vendor in the supply chain to incorporate the backdoored XZ Utils code in their distribution. The identity resurfaced on a Debian bug report on March 24, 2024, creating an opportunity to generate urgency in including the backdoored code in the Debian distribution.

Jia Tan Identity and Activity

The Jia Cheong Tan (JiaT75) GitHub account, eventually promoted to co-maintainer of XZ Utils, which inserted the malicious backdoor code, was created January 26, 2021. JiaT75 was not exclusively involved in XZ Utils, having authored over 500 patches to multiple GitHub projects going back to early 2022.

• oss-fuzz
• cpp-docs
• wasmtime
• xz

These innocuous patches helped to build the identity of JiaT75 as a legitimate open source contributor and potential maintainer for the XZ Utils project. The patch efforts helped to establish a relationship with Lasse Collin as well.

The first JiaT75 code contribution to XZ Utils occurred on October 29, 2021. It was sent to the xz-devel mailing list. It was a very simple editor config file introduction. Following this initial innocuous addition, over the next two years, JiaT75 authored hundreds of changes for the XZ project.

Yes, JiaT75 contributed code on both weekends and what appear to be workdays. However, an interesting anomaly is that the 2024 malicious commits occur out of sync with many previous commits. A Huntress researcher going by the alias “Alden” posted a visualization of the malicious Jia Tan commits to XZ Utils. JiaT75 commits the malicious code completely out of sync with prior work times on Feb 23–26, and March 8 and 9, 2024.

The time differences for the malicious commits is noticeable. What might this anomaly suggest? We speculate on several possibilities:

• the JiaT75 account was used by a second party to insert the malicious code, either known or unknown to the individual contributor.
• the JiaT75 individual contributor was rushed to commit the malicious backdoor code.
• the JiaT75 account was run by a team of individuals and one part of the team needed to work without interruption outside of the usual constructed work day.

Especially devious is the manner in which the obfuscated backdoor code is introduced in multiple separate pieces by JiaT75. Even though it was open-source, the bulk of the backdoor does not show up in the XZ source-code tree, is not human readable, and was not recognized.

Summer 2022 Pressure to Add a Maintainer

Multiple identities of interest pressured Lasse Collin to add a maintainer over the summer of 2022. The intensity of pressure on Collin varies per account, but they all create opportunities to pressure Collin and interact.

Name	GitHub Account	Email	Creation
Jia Tan/Jia Cheong Tan	JiaT75	jiat0218@gmail.com	January 26, 2021
Dennis Ens	–	dennis3ns@gmail.com	–
Jigar Kumar	–	jigarkumar17@protonmail.com	–

If we take the first interaction on the xz-devel mailing list as the start of the campaign, Jia Tan sent a superficial code patch on September 29, 2021. This timestamp is eight months after the github account creation date. This initial contribution is harmless, but establishes this identity within the open-source project.

A year later, Jigar Kumar pressured Lasse Collin to hand over access to Jia Tan over the spring and summer of 2022 in six chiding comments over two different threads.

Wed, 27 Apr 2022 11:42:57 -0700	Re: [xz-devel] [PATCH] String to filter and filter to string
“Your efforts are good but based on the slow release schedule it will unfortunatly be years until the community actually gets this quality of life feature.”
Thu, 28 Apr 2022 10:10:48 -0700	Re: [xz-devel] [PATCH] String to filter and filter to string
“Patches spend years on this mailing list. 5.2.0 release was 7 years ago. There is no reason to think anything is coming soon.”
Fri, 27 May 2022 10:49:47 -0700	Re: [xz-devel] [PATCH] String to filter and filter to string
“Over 1 month and no closer to being merged. Not a suprise.”
Tue, 07 Jun 2022 09:00:18 -0700	Re: [xz-devel] XZ for Java
“Progress will not happen until there is new maintainer. XZ for C has sparse commit log too. Dennis you are better off waiting until new maintainer happens or fork yourself. Submitting patches here has no purpose these days. The current maintainer lost interest or doesn’t care to maintain anymore. It is sad to see for a repo like this.”
Tue, 14 Jun 2022 11:16:07 -0700	Re: [xz-devel] XZ for Java
“With your current rate, I very doubt to see 5.4.0 release this year. The only progress since april has been small changes to test code. You ignore the many patches bit rotting away on this mailing list. Right now you choke your repo. Why wait until 5.4.0 to change maintainer? Why delay what your repo needs?”
Wed, 22 Jun 2022 10:05:06 -0700	Re: [xz-devel] [PATCH] String to filter and filter to string
“Is there any progress on this? Jia I see you have recent commits. Why can’t you commit this yourself?”

The Dennis Ens identity sets up a thread of their own, and follows up by pressuring maintainer Collin in one particularly forceful and obnoxious message to the list. The identity leverages a personal vulnerability that Collin shared on this thread. The Jigar Kumar identity responds twice to this thread, bitterly complaining about the maintainer: “Dennis you are better off waiting until new maintainer happens or fork yourself.”

Thu, 19 May 2022 12:26:03 -0700	XZ for Java
“Is XZ for Java still maintained? I asked a question here a week ago and have not heard back. When I view the git log I can see it has not updated in over a year. I am looking for things like multithreaded encoding / decoding and a few updates that Brett Okken had submitted (but are still waiting for merge). Should I add these things to only my local version, or is there a plan for these things in the future?”
Tue, 21 Jun 2022 13:24:47 -0700	Re: [xz-devel] XZ for Java
I am sorry about your mental health issues, but its important to be aware of your own limits. I get that this is a hobby project for all contributors, but the community desires more. Why not pass on maintainership for XZ for C so you can give XZ for Java more attention? Or pass on XZ for Java to someone else to focus on XZ for C? Trying to maintain both means that neither are maintained well.

Reflecting on these data points still leads us to shaky ground. Until more details are publicized, we are left with speculation:

• In a three-year project, a small team successfully penetrated the XZ Utils codebase with a slow and low-pressure campaign. They manipulated the introduction of a malicious actor into the trusted position of code co-maintainer. They then initiated and attempted to speed up the process of distributing malicious code targeting sshd to major vendor Linux distributions
• In a three-year project, an individual successfully penetrated the XZ Utils codebase with a slow and low-pressure campaign. The one individual managed several identities to manipulate their own introduction into the trusted position of open source co-maintainer. They then initiated and attempted to speed up the process of distributing malicious code targeting sshd to major vendor Linux distributions
• In an extremely short timeframe in early 2024, a small team successfully manipulated an individual (Jia Tan) that legitimately earned access to an interesting open-source project as code maintainer. Two other individuals (Jigar Kumar, Dennis Ens) may have coincidentally complained and pressured Collin to hand over the maintainer role. That leveraged individual began inserting malicious code into the project over the course of a couple of weeks.

Spring 2024 Pressure to Import Backdoored Code to Debian

Several identities attempted to pressure Debian maintainers to import the backdoored upstream XZ Utils code to their distribution in March 2024. The Hans Jansen identity created a Debian report log on March 25, 2024 to raise urgency to include the backdoored code: “Dear mentors, I am looking for a sponsor for my package “xz-utils”.”

Name	Email address
Hans Jansen	hansjansen162@outlook.com
krygorin4545	krygorin4545@proton.me
misoeater91@tutamail.com	misoeater91@tutamail.com

The thread was responded to within a day by additional identities using the email address scheme name-number@freeservice[.]com:

From: krygorin4545 <krygorin4545@proton.me>
Date: Tue, 26 Mar 2024 19:27:47 +0000
“Also seeing this bug. Extra valgrind output causes some failed tests for me. Looks like the new version will resolve it. Would like this new version so I can continue work”

From: misoeater91@tutamail.com
Date: Tue, 26 Mar 2024 22:50:54 +0100 (CET)
“I noticed this last week and almost made a valgrind bug. Glad to see it being fixed. Thanks Hans!”

The code changes received pushback from Debian contributors, “Very much *not* a fan of NMUs doing large changes such as new upstream versions”. In turn, the supporting identity quickly raised pressure to include the “fix.”

From: krygorin4545 <krygorin4545@proton.me>
Date: Wed, 27 Mar 2024 12:46:32 +0000
“Instead of having a policy debate over who is proper to do this upload, can this just be fixed? The named maintainer hasn’t done an upload in 5 years. Fedora considered this a serious bug and fixed it weeks ago (<https://bugzilla.redhat.com/show_bug.cgi?id=2267598>). Fixing a valgrind break across many apps throughout Debian is the priority here.”

What NeXZt?

Clearly social engineering techniques have much lower technical requirements to gain full access to development environments than what we saw with prior supply chain attacks like the Solarwinds, M.E.Doc ExPetya, and ASUS ShadowHammer incidents. We have presented and compared these particular supply chain attacks, their techniques, and their complexities, at prior SAS events [registration required], distilling an assessment into a manageable table.

Unfortunately, we expect more open-source project incidents like XZ Utils compromise to be exposed in the months to come. As a matter of fact, at the time of this writing, the Open Source Security Foundation (OSSF) has identified similar social engineering-driven incidents in other open-source projects, and claims that the XZ Utils social engineering effort is highly likely not an isolated incident.

---

https://securelist.com/xz-backdoor-story-part-2-social-engineering/112476/

Cybersecurity & cyberwarfare

2024-04-24 09:53:18

Volkswagen sotto attacco: 19.000 documenti di proprietà intellettuale violati dagli hacker cinesi

In una violazione significativa che ha scosso l’industria automobilistica, i media tedeschi hanno riferito che gli aggressori si sono infiltrati nei sistemi del Gruppo Volkswagen, una delle più grandi case automobilistiche del mondo. Nell’arco di cinque anni, questi autori malintenzionati sono riusciti a rubare più di 19.000 documenti contenenti proprietà intellettuale.

Secondo quanto riportato da ZDF, gli aggressori hanno preso di mira i sistemi Volkswagen tra il 2010 e il 2015, concentrandosi su aree cruciali come lo sviluppo di motori a benzina, le tecnologie di trasmissione, la ricerca sulla trasmissione a doppia frizione e le iniziative dell’azienda sui veicoli elettrici. Si ritiene che la violazione abbia rivelato informazioni sensibili sulle tecnologie proprietarie e sugli sforzi di ricerca del colosso automobilistico tedesco.

Sebbene il team di sicurezza di Volkswagen sia riuscito a recuperare alcuni dei file esfiltrati, l’intera portata dell’attacco rimane poco chiara, sollevando preoccupazioni sul potenziale impatto a lungo termine sulla posizione competitiva dell’azienda e sui progressi tecnologici.

Gli esperti che hanno analizzato la violazione hanno evidenziato prove convincenti che suggeriscono che l’attacco abbia avuto origine dalla Cina. Dettagli come gli indirizzi IP degli aggressori, il software utilizzato nella violazione e il fuso orario in cui hanno operato indicano tutti una possibile connessione cinese. Tuttavia, è essenziale notare che attribuire gli attacchi informatici a entità o paesi specifici può essere un processo complesso, che spesso comporta analisi forensi approfondite e cooperazione internazionale.

Il Gruppo Volkswagen, con un fatturato dello scorso anno superiore a 322 miliardi di dollari e una forza lavoro di oltre 667.000 dipendenti, comprende un portafoglio di marchi rinomati, tra cui Audi, Lamborghini, Porsche, Skoda, Bentley e altri. L’ampia portata dell’azienda e le innovazioni tecnologiche la rendono un obiettivo primario per i criminali informatici che cercano di ottenere un vantaggio competitivo attraverso il furto della proprietà intellettuale o interrompere le operazioni.

Quest’ultimo incidente segue un precedente incidente informatico dello scorso settembre che aveva costretto la Volkswagen a fermare temporaneamente la produzione. A quel tempo, si escludeva che la causa fosse un attacco informatico, evidenziando la natura in evoluzione e persistente delle minacce alla sicurezza informatica affrontate dalle aziende globali.

Poiché le organizzazioni continuano a digitalizzare le proprie operazioni e fanno sempre più affidamento su sistemi interconnessi, l’importanza di solide misure di sicurezza informatica non può essere sopravvalutata.

La violazione della Volkswagen serve a ricordare duramente i rischi sempre presenti e la necessità di vigilare nella salvaguardia delle informazioni sensibili e della proprietà intellettuale dalle sofisticate minacce informatiche.

L'articolo Volkswagen sotto attacco: 19.000 documenti di proprietà intellettuale violati dagli hacker cinesi proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-04-24 09:31:24

RHC Conference 2024. I giovani in prima fila per un futuro più sicuro e illuminato nel mondo cyber!

La conferenza di RHC che si è sviluppata nelle giornate di venerdì 19 e sabato 20 aprile, ha visto la presenza di molti ragazzi giovani provenienti dalle diverse parti del nostro paese. Ho avuto il piacere di parlare con docenti che hanno accompagnato i ragazzi degli istituti tecnici all’evento che abbiamo organizzato e sono rimasto molto colpito dal loro entusiasmo verso il mondo cyber.

Nel confronto avuto con alcuni docenti è emerso come ci siano ancora difficoltà da superare per una completa consapevolezza cyber, da insegnare e far sviluppare nella didattica degli insegnamenti in Italia nelle scuole superiori, ma un barlume di speranza si intravede nel buio.

Avevo già scritto su queste pagine come la mancanza di talenti – allora rivolgendomi al direttore della neonata ACN – era, e purtroppo ancora resta un problema in Italia.
Ragazzi che giocano alla Capture The Flag (CTF) alla Red Hot Cyber Conference 2024
Questo gap è legato anche al calo demografico che il nostro paese sta affrontando ogni anno che passa. Ma venerdì e sabato, ho avuto un momento di speranza quando ho visto i molti giovani accalcarsi tra le scale del teatro Italia per ascoltare i workshop, giocare alle CTF, ed effettuare continue domande. Insieme allo staff di RHC poi, ciò che più mi ha colpito è stato come i ragazzi volessero conoscere dal vivo i personaggi che seguono sui nostri canali social.

Qualcuno mi ha chiesto di fargli conoscere Corrado Giustozzi, altri mi hanno chiesto se potevano farsi una foto con lui, altri ancora mi hanno inseguito per avere la possibilità di stringere la mano a Massimiliano Brolli, e non sono mancati i suggerimenti e le critiche all’evento, che sono state subito elaborate e valutate per migliorarsi sempre.
Workshop sulla robotica dal titolo “SPOT THE CYBER THREAT: INSPECTION PER LA SICUREZZA INDUSTRIALE”
La presenza poi di esponenti di rilievo come l’Avvocato Paolo Galdieri esperto di Cyberlaw dal 1990, lo stesso Corrado Giustozzi, Mario Nobile Direttore Generale di AGID, Roberto Rosini Direttore Sistemi Informativi alla Presidenza del Consiglio dei Ministri Dipartimento della Protezione Civile e l’amico David Cenciotti seguitissimo pilota di aviazione militare e tutti gli altri, ha contribuito a valorizzare l’evento agli occhi di questi ragazzi cosi pieni di interesse per il mondo cyber.

Le aziende che ci hanno supportato in questo evento romano, mettendo in campo i loro esperti e le loro figure professionali sono riuscite ad attivare nei ragazzi tutti quei bias cognitivi che spesso i modelli TV o social finiscono per alterare allontanandoli dal mondo cyber, ed invece ho notato l’effetto contrario.

Più domande, curiosità interessi elevati anche su piccole forme di hacking etico.
Workshop “COME HACKERARE UNA WEB APPLICATION”
Non sono mancante poi le domande su come poter aiutare le FF.OO, che i ragazzi mi hanno rivolto.

La presenza della GdF con il Colonello Tolla ed il Tenente Formisano, ha stimolato i ragazzi ad approfondire come possono essere impiegati non solo per i normali servizi ordinari, ma per un più coinvolgente impiego cyber-investigativo contro tutte quelle attività telematiche criminose, che sono presenti nel web.

Questo era il nostro obiettivo e sembra che lo abbiamo raggiunto.

Quando abbiamo iniziato l’avventura di RHC, attirare i giovani per rendere il mondo cyber meno pericoloso, meno oscuro e più utile all’Italia era il nostro obiettivo. E questo resta nel tempo e se volete essere dei nostri, seguiteci.

L'articolo RHC Conference 2024. I giovani in prima fila per un futuro più sicuro e illuminato nel mondo cyber! proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-04-24 09:22:17

ACN presenta la relazione annuale sulla cybersecurity in Italia. Segui la diretta (video)

Presentata oggi la Relazione annuale realizzata dall’Agenzia per la cybersicurezza nazionale, Acn, relativa alle attività svolte nel 2023. La relazione, di 121 pagine, è organizzata in sette sezioni che illustrano il modo in cui l’Agenzia ha operato per il

Cybersecurity & cyberwarfare

2024-04-24 08:41:00

Relazione 2023 dell’ACN: Il resoconto di un anno dell’Agenzia per la Cybersicurezza Nazionale

Poco fa è arrivato in redazione il comunicato stampa dell’ACN riguardo alla presentazione di oggi della Relazione annuale realizzata dall’Agenzia per la cybersicurezza nazionale, Acn, relativa alle attività svolte nel 2023 che pubblichiamo nella sua interezza.

La relazione, di 121 pagine, è organizzata in sette sezioni che illustrano il modo in cui l’Agenzia ha operato per il rafforzamento della resilienza cyber del Paese attraverso la protezione degli asset critici nazionali con un approccio sistemico orientato alla prevenzione, gestione e mitigazione del rischio. Tutto questo, anche mediante il man­tenimento di un quadro normativo aggiornato e coerente, e con misure, strumenti e controlli che possano contribuire a favorire una transizione digitale sicura.

Il primo capitolo, sulla Prevenzione e gestione di eventi e incidenti cyber, raccoglie tutti i numeri del Computer Security Response Team Italia dell’Agenzia: analizza gli eventi cibernetici più rilevanti e mette a fuoco le attività connesse alle tensioni geopolitiche in corso. Questo capitolo presenta un focus sugli interventi di rispristino realizzati dal Csirt a supporto delle vittime degli incidenti di strutture pubbliche e dei soggetti nazionali colpiti da questa peculiare forma di interferenza hacker, con numerosi interventi, 1411 casi trattati, 303 incidenti confermati e oltre 20mila segnalazioni. Una parte è dedicata al tema delle esercitazioni congiunte già realizzate fino alla pianificazione di Cyber Europe 2024 e che coinvolge tutti gli stati membri dell’Unione

Il secondo capitolo è dedicato alla Resilienza delle infrastrutture digitali e alla sicurezza tecnologica con un’analisi dello stato del Perimetro di sicurezza nazionale cibernetica (PSNC) e un focus sull’attuazione della Direttiva NIS 2, fino ai temi della certificazione nel mondo digitale e dello Scrutinio tecnologico per il PSNC con le attività ispettive e di verifica connesse. In questa sezione sono descritti i contributi dell’Agenzia a temi di rilievo quali l’esercizio del Golden Power, la Crittografia e la transizione al Cloud.

Il terzo capitolo riguarda gli Investimenti PNRR per la cybersicurezza: dal potenziamento della resilienza cyber della Pubblica Amministrazione agli avvisi di finanziamento finalizzati. Il focus è dedicato ai Servizi cyber nazionali e alla costruzione di una rete di CSIRT regionali fino allo stato di avanzamento di HyperSoc, dell’infrastruttura di High Performance Computing, e all’uso di strumenti di IA. Anche i laboratori di scrutinio e certificazione tecnologica sono oggetto della relazione: 134 procedimenti CVCN conclusi hanno visto i tecnici dell’Agenzia impegnati nel loro esame.

Nella relazione viene descritto in dettaglio l’Investimento 1.5 “Cybersecurity”, del PNRR, a titolarità DTD e di cui l’Agenzia è Soggetto attuatore, con una dotazione di 623 milio­ni di euro al fine di migliorare le difese del Paese ponendo la cybersicurezza e la resilienza a fondamento della trasformazione digitale sia della PA, che del settore privato.

Il quarto capitolo, sulla Cooperazione Internazionale, ricostruisce le attività svolte in ambito europeo e internazionale curate dal Servizio Strategie e cooperazione dell’ACN. Sono descritti i numerosi incontri con soggetti omologhi e le attività svolte in costante raccordo con il Mini­stero degli affari esteri e della cooperazione internazionale. Tra gli elementi qualificanti delle attività bilaterali e multilaterali uno riguarda la condivisione con la CISA, l’Agenzia cyber degli Stati Uniti, delle valutazioni sul nesso fra Intelligenza Artificiale e cybersicurezza, in linea con l’indirizzo politico del Presidente del Consiglio dei ministri, che ha consentito l’ade­sione dell’ACN al documento sulle “Linee guida per uno sviluppo sicuro dell’Intelligenza Artificiale”, adottato da agenzie di 18 Paesi. Un tema che sarà trattato nell’ambito del tavolo Gruppo di Lavoro G7 sulla Cybersicurezza del 16 maggio prossimo.

Il quinto capitolo, dedicato a Ricerca e innovazione, formazione, consapevolezza, presenta i vari programmi industriali, di investimento e di innovazione realizzati, insieme ai Programmi di sostegno alla ricerca e alle imprese in coerenza con l’Agenda per l’Innovazione e la ricerca. Tra le iniziative si segnala in particolare il Cyber Innovation Network, indispensabile produrre innovazione sicura attraverso il supporto alle start up innovative.

Il sesto capitolo descrive lo stato di attuazione della Strategia Nazionale di cybersicurezza 2022-2026 che evidenza come l’Agenzia abbia svolto nel 2023 un ruolo centrale di indirizzo, coordinamento e monitoraggio nell’attuazione del Piano in raccordo con gli altri soggetti coinvolti con un particolare riferimento all’antici­pazione dell’evo­luzione della mi­naccia cyber, alla gestione di pos­sibili scenari di crisi cibernetiche, al conseguimento dell’autonomia strategica nella dimensione cibernetica e al contrasto della disinformazione online.

Infine, vengono illustrate le attività di formazione, consapevolezza, sviluppo della forza lavoro e capacità nazionali e il potenziamento della capacità dell’Agenzia La nota finale del rapporto riguarda il potenziamento delle risorse umane e strumentali dell’Agenzia, che ha visto raddoppiare la propria consistenza organica.

L'articolo Relazione 2023 dell’ACN: Il resoconto di un anno dell’Agenzia per la Cybersicurezza Nazionale proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-04-24 08:00:34

Flute Now Included on List of Human Interface Devices

For decades now, we’ve been able to quickly and reliably interface musical instruments to computers. These tools have generally made making and recording music much easier, but they’ve also opened up a number of other out-of-the-box ideas we might not otherwise see or even think about. For example, [Joren] recently built a human interface device that lets him control a computer’s cursor using a flute instead of the traditional mouse.

Rather than using a MIDI interface, [Joren] is using an RP2040 chip to listen to the flute, process the audio, and interpret that audio before finally sending relevant commands to control the computer’s mouse pointer. The chip is capable of acting as a mouse on its own, but it did have a problem performing floating point calculations to the audio. This was solved by converting these calculations into much faster fixed point calculations instead. With a processing improvement of around five orders of magnitude, this change allows the small microcontroller to perform all of the audio processing.

[Joren] also built a Chrome browser extension that lets a flute player move a virtual cursor of sorts (not the computer’s actual cursor) from within the browser, allowing those without physical hardware to try out their flute-to-mouse skills. If you prefer your human interface device to be larger, louder, and more trombone-shaped we also have a trombone-based HID for those who play the game Trombone Champ.

Cybersecurity & cyberwarfare

2024-04-24 05:33:25

Informare gli interessati è una misura di mitigazione per ogni data breach.

Nel caso di una violazione di sicurezza da cui possa derivare una compromissione dei dati personali (sì, questa è la definizione di data breach), informare gli interessati è una misura di mitigazione sempre efficace. Nell’ipotesi più comune delle organizzazione colpite da un attacco informatico, fra l’altro, una parte degli interessati coincide con il personale che opera sui dati e dunque una corretta informazione circa l’accaduto consente di svolgere un intervento di di sensibilizzazione (che è praticamente come la cyberawareness, ma senza slide prezzolate e scintillanti) per la diffusione di una cultura di sicurezza condivisa.

Tutto questo non comporta ovviamente la condivisione di informazioni o documenti riservati, bensì una decisione strategica di empowerment: rendere consapevole ogni autorizzato all’accesso ai dati di almeno tre cose. La prima: non sottovalutare mai le minacce, ritenendo che la propria organizzazione ne sia immune o al di fuori. La seconda: le conseguenze a cui conducono delle vulnerabilità irrisolte. La terza: la portata delle misure di mitigazione che è possibile predisporre in seguito ad una violazione di sicurezza.

Il contenuto informativo della comunicazione per il personale interno dovrà dunque essere distinto rispetto a quello destinato a coloro che hanno la sola veste di interessati. Certamente, ci sono degli elementi comuni: ad esempio entrambe le comunicazioni devono avere un punto di contatto da indicare per richiedere maggiori informazioni o chiarimenti a riguardo o inviare segnalazioni, nonché chiarire l’accaduto. Il personale interno dovrà essere destinatario, se del caso, di istruzioni di sicurezza aggiuntive e della timeline per la gestione dell’incidente (ad es. gli step di ripristino operativo).

Se l’organizzazione ha designato il DPO, è bene non solo comunicare il contatto ma anche chiarire la sua funzione e la riservatezza professionale cui è tenuto nello svolgimento dei suoi compiti in modo tale da poter agevolare così l’invio di feedback e segnalazioni.

Per quanto riguarda i tempi di comunicazione, certamente un’informazione tempestiva rende più efficaci gli effetti di mitigazione ma sacrificare completezza per celerità non è affatto una buona idea in quanto comporta il rischio di ingenerare confusione.

Quando la comunicazione agli interessati è obbligatoria da GDPR.

In caso di un data breach che esponga gli interessati ad un alto rischio, è proprio la norma che richiede che la violazione vada comunicata all’interessato. Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo.

art. 34 par. 1 GDPR

Sebbene la norma non indichi – al contrario di quanto avviene per la notifica all’autorità di controllo prescritta dal precedente art. 33 GDPR – un termine esatto, questo adempimento deve comunque seguire logiche di efficace tutela degli interessati coinvolti. Ragionando in modo sistematico si può sostenere che il limite temporale dovrebbe dunque essere entro le 72 ore, dal momento che fra le misure da indicare all’autorità di controllo rientra anche tale comunicazione. Ma ad oggi, tale indicazione non è ancora stata fornita. Nonostante copiosi esempi di data breach in cui la comunicazione è stata intempestiva, incompleta o ben lungi dall’essere poco chiara, completa e comprensibile.

Il contenuto della comunicazione viene inoltre già definito dalla legge, ma allo stesso possono essere ovviamente aggiunte informazioni ulteriori. Anzi: devono. Altrimenti la tutela dell’interessato proprio nel momento più critico ed emergenziale rischia di diventare un mero adempimento burocratico. Con tutte le conseguenze del caso, fra cui la più eclatante è impedirgli di poter svolgere in autonomia una valutazione dei rischi e adottare ogni misura utile per tutelarsi dalle conseguenze negative dell’evento occorso.

L'articolo Informare gli interessati è una misura di mitigazione per ogni data breach. proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-04-24 05:39:52

Il modello SASE indirizza le criticità affrontate dalle aziende

A cura di Aldo Di Mattia, Senior Manager Systems Engineering Public Administration Italy di Fortinet

Negli ultimi anni il concetto di hybrid workforce si sta affermando come la modalità di lavoro più efficace e congeniale per le aziende. Di fatto, però, la flessibilità del “work-from-anywhere”, che consente di usufruire di tutte le funzioni aziendali indipendentemente da dove ci si trovi, in maniera trasparente e senza limitazioni, ha ampliato in modo significativo la superficie di attacco a cui un’azienda si espone, e quindi i rischi relativi alla sicurezza.

Parallelamente, la trasformazione digitale ha modificato in maniera rilevante il modello di definizione ed erogazione dei servizi infrastrutturali, in particolare, il luogo in cui risiedono le applicazioni aziendali, con un’adozione sempre più significativa delle soluzioni cloud nei vari modelli: IaaS, PaaS, SaaS (Infrastructure/Platform/Software as a Service).

La presenza e la distribuzione dei servizi aziendali su infrastrutture diverse ed eterogenee tra loro, tuttavia, richiedono una completa rivoluzione del tradizionale modello di sicurezza: non è più sufficiente proteggere solo l’accesso al proprio data center, ma è anche necessario ampliare il perimetro di sicurezza alle infrastrutture di private cloud, public cloud e ai servizi SaaS, garantendone la consistenza, sia in termini di protezione che di accesso tra i vari ambienti.

D’altra parte, la forte distribuzione e diversificazione degli scenari di accesso e delle soluzioni infrastrutturali rende difficile applicare in modo coerente le politiche di sicurezza corrette in maniera trasversale, garantendo, allo stesso tempo, un’esperienza di lavoro ottimale per gli utenti. Le soluzioni presenti, pensate in passato per coprire degli scenari puntuali, non riescono a indirizzare tutte le attuali esigenze. Questa rappresenta oggi una delle principali sfide per le aziende, le quali faticano nel fornire un approccio di sicurezza distribuito e coerente sulle varie infrastrutture. La causa principale è dovuta al fatto che tali evoluzioni aziendali sono avvenute repentinamente, senza una vera e propria crescita organica, che ha abbassato il livello di sicurezza.

Per indirizzare tutte queste criticità è stato definito il modello SASE (Secure Access Service Edge). Alla base di questo c’è l’integrazione dei servizi di networking e security, orchestrati adeguatamente per ottenere la massima efficacia in termini di protezione delle infrastrutture eterogenee e per fornire la miglior user experience agli utenti in qualsiasi scenario di lavoro. Il SASE integra fondamentalmente due componenti: SD-WAN e SSE (Security Service Edge). La componente SSE è basata su un framework che al suo interno ingloba diversi servizi e funzionalità, tra i quali, principalmente FWaaS, CASB, ZTNA, SWG. A queste si aggiungono le funzionalità di monitoraggio, sicurezza avanzata e analisi basata su AI, intelligence oltre che sui servizi di sicurezza, quali Digital Experience Monitoring (DEM), Sandboxing, Digital Risk Protection, Incident Response, Security Operation Center as a Service, etc.

Per gestire una gamma di servizi così ampia è richiesta una correlazione ottimale di tutte le informazioni e gli eventi in rete. Da qui la necessità di virare verso un modello SASE di tipo “single-vendor”, dove tutte le funzionalità e i servizi possono sfruttare un layer di orchestrazione unico. Ciò semplifica la gestione e la configurazione, consentendo inoltre di correlare tutti gli eventi di sicurezza catturati sia a livello utente che infrastrutturale, attraverso l’esecuzione di meccanismi di ML e AI.

Oltre a ottenere una convergenza completa tra networking e sicurezza in una soluzione integrata (che include anche strumenti di DEM), le soluzioni SASE single-vendor “unificate” aggiungono analisi di sicurezza avanzata AI-based, sicurezza applicativa (WAF) e, soprattutto, un agent unificato per il controllo dei dispositivi (EDR-XDR-EPP), oltre a tutti i servizi e le funzionalità già citate.

L’implementazione SASE permette una protezione dell’accesso alla rete Internet, garantendo all’utente remoto la stessa security posture presente in azienda. Inoltre, utilizzando un approccio ZTNA, le organizzazioni possono garantire un accesso granulare e puntuale alle applicazioni fornendo un continuo controllo dello stato di sicurezza del dispositivo. Allo stesso tempo, è necessaria un’integrazione nativa e trasparente con le reti SD-WAN, per trovare automaticamente il percorso più breve verso le applicazioni aziendali supportate. Nel modello SASE, infatti, la componente SD-WAN gioca un ruolo fondamentale per garantire la migliore esperienza utente, riducendo al minimo latenze e jitter, e sfruttando al meglio la banda disponibile nelle varie sedi.

Sebbene il paradigma del SASE stia diventando sempre più un modello di riferimento, esso tuttavia, rappresenta una soluzione che indirizza requisiti ben specifici e si rivolge esclusivamente ad ambienti in cui la migrazione infrastrutturale verso il mondo cloud è ben avviata. Solo in questi casi, infatti, spostare il punto di enforcement della sicurezza all’interno del cloud può generare un vantaggio reale.

L'articolo Il modello SASE indirizza le criticità affrontate dalle aziende proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-04-24 06:16:08

Attenzione professionisti IT: Nuova backdoor MadMxShell minaccia la sicurezza online

Il 17 aprile, i ricercatori di Zscaler hanno scoperto una campagna di distribuzione di software dannoso rivolta ai professionisti IT. Questa campagna utilizza pubblicità ingannevoli per popolari utility online per introdurre una nuova backdoor chiamata MadMxShell.

La campagna è iniziata nel marzo di quest’anno, quando gli aggressori hanno registrato domini molto simili ai siti ufficiali di un noto software di scansione degli indirizzi IP e di amministrazione di rete. Tra i nomi imitati figurano programmi famosi come Advanced IP Scanner e Angry IP Scanner. Questa tecnica, nota come “Typosquatting“, aumenta la probabilità che i professionisti IT facciano erroneamente clic su un collegamento dannoso.

Facendo clic su tale annuncio, l’utente viene indirizzato a una pagina mascherata da sito Web ufficiale dello sviluppatore, dove viene offerto di scaricare un file contenente la backdoor MadMxShell.

MadMxShell utilizza un processo complesso in più fasi per la distribuzione, che evita il rilevamento da parte degli strumenti di sicurezza standard. Il bootstrap avviene tramite la tecnica del sideloading DLL , in cui un programma legittimo carica una DLL dannosa. E a sua volta scarica componenti aggiuntivi che stabiliscono la comunicazione con il server di controllo degli aggressori.

Uno degli aspetti più preoccupanti di MadMxShell è l’utilizzo di query DNS MX per comunicare con il server di gestione. Questa tecnica utilizza il protocollo DNS standard in modo non standard, rendendo difficile il monitoraggio delle attività dannose. Inoltre, MadMxShell utilizza tecniche di analisi anti-memoria, il che rende difficile per i ricercatori di sicurezza capire come funziona.

Jason Soroko, vicepresidente senior del prodotto presso Sectigo, ha osservato che gli aggressori utilizzano tecniche che bloccano lo scambio di memoria a fini di analisi, il che complica il lavoro degli strumenti di protezione degli endpoint.

Per ridurre al minimo i rischi, diffidare della pubblicità non autorizzata, abilitare i blocchi pop-up, mantenere un software di sicurezza efficace e formare i dipendenti affinché siano consapevoli dei pericoli associati alla pubblicità dannosa e all’ingegneria sociale.

L'articolo Attenzione professionisti IT: Nuova backdoor MadMxShell minaccia la sicurezza online proviene da il blog della sicurezza informatica.

The Pirate Post

2024-04-24 05:00:27

European AI Roundtable [Advocacy Lab Content]

In 27 March 2024, the Computer & Communications Industry Association (CCIA Europe) hosted the inaugural edition of the European AI Roundtable in Brussels.

---

https://www.euractiv.com/section/artificial-intelligence/video/european-ai-roundtable/

Cybersecurity & cyberwarfare

2024-04-24 05:00:02

No Active Components in This Mysterious Audio Oscillator

What’s the simplest audio frequency oscillator you can imagine? There’s the 555, of course, and we can think of a few designs using just two transistors or even a few with just one. But how about an oscillator with no active components? Now there’s a neat trick.

Replicating [Stelian]’s “simplest audio oscillator on the Internet” might take some doing on your part, since it relies on finding an old telephone. Like, really old — you’ll need one with the carbon granule cartridge in the handset, along with the speaker. Other than that, all you’ll need is a couple of 1.5-volt batteries, wiring everything in one big series loop, and placing the microphone and speaker right on top of each other. Apply power and you’re off to the races. [Stelian]’s specific setup yielded a 2.4-kHz tone that could be altered a bit by repositioning the speaker relative to the mic. On the oscilloscope, the waveform is a pretty heavily distorted sine wave.

It’s a bit of a mystery to [Stelian] as to how this works without something to provide at least a little gain. Perhaps the enclosure of the speaker or the mic has a paraboloid shape that amplifies the sound just enough to kick things off? Bah, who knows? Let the hand-waving begin!

https://www.youtube.com/embed/MssPu3M-WEQ?feature=oembed

Cybersecurity & cyberwarfare

2024-04-24 02:00:27

New JEDEC DDR5 Memory Specification: Up To 8800 MT/s, Anti-Rowhammer Features

“Row hammer” by https://hackaday.comDsimic – Own work. Licensed under CC BY-SA 4.0 via Wikimedia Commons.
As DDR SDRAM increases in density and speed, so too do new challenges and opportunities appear. In the recent DDR5 update by JEDEC – as reported by Anandtech – we see not only a big speed increase from the previous maximum of 6800 Mbps to 8800 Mbps, but also the deprecation of Partial Array Self Refresh (PASR) due to security concerns, and the introduction of Per-Row Activation Counting (PRAC), which should help with row hammer-related (security) implications.

Increasing transfer speeds is primarily a matter of timings within the limits set by the overall design of DDR5, while the changes to features like PASR and PRAC are more fundamental. PASR is mostly a power-saving feature, but can apparently be abused for nefarious means, which is why it’s now gone. As for PRAC, this directly addresses the issue of row hammer attacks. Back in the 2014-era of DDR3, row hammer was mostly regarded as a way to corrupt data in RAM, but later it was found to be also a way to compromise security and effect exploits like privilege escalation.

The way PRAC seeks to prevent this is by keeping track of how often a row is being accessed, with a certain limit after which neighboring memory cells get a chance to recover from the bleed-over that is at the core of row hammer attacks. All of which means that theoretically new DDR5 RAM and memory controllers should be even faster and more secure, which is good news all around.

Cybersecurity & cyberwarfare

2024-04-23 23:00:43

FLOSS Weekly Episode 780: Zoneminder — Better Call Randal

This week Jonathan Bennett and Aaron Newcomb chat with Isaac Connor about Zoneminder! That’s the project that’s working to store and deliver all the bits from security cameras — but the CCTV world has changed a lot since Zoneminder first started, over 20 years ago. The project is working hard to keep up, with machine learning object detection, WebRTC, and more. Isaac talks a bit about developer burnout, and a case or two over the years where an aggressive contributor seems suspicious in retrospect. And when is the next stable version of Zoneminder coming out, anyway?

Did you know you can watch the live recording of the show right in the Hackaday Discord? Have someone you’d like use to interview? Let us know, or contact the guest and have them contact us! Next week we’re taping the show on Tuesday, and looking for a guest!

https://play.libsyn.com/embed/episode/id/30958173/height/192/theme/modern/size/large/thumbnail/yes/custom-color/fcab1c/time-start/00:00:00/hide-playlist/yes/download/yes/font-color/271b04

Direct Download in DRM-free MP3.

If you’d rather read along, here’s the transcript for this week’s episode.

Places to follow the FLOSS Weekly Podcast:

• Spotify
• RSS

Cybersecurity & cyberwarfare

2024-04-23 20:00:50

80s Function Generator is Both Beauty and Beast

You know how the saying goes — they don’t make them like this anymore. It’s arguably true of pretty much any electronic device given the way technology changes over time, though whether or not it’s objectively a bad thing is going to vary from case to case.

As a practical example, take a look at the insides of this 80’s vintage HP 3314A function generator shared on the EEV Blog Forum by [D Straney].
Hinged PCBs allow for easy access
With multiple PCBs stacked on top of each other, it’s hard to imagine that more components could possibly be crammed into it. One board in particular appears to be an entire Motorola 6800 computer, something which today would likely be replaced with a single microcontroller.

Which is actually why [D Straney] shared this with us in the first place. After seeing our recent post about a modern waveform generator that’s basically an empty box thanks to its modern components, they thought this would be a nice example of the opposite extreme.

So, is it a good or a bad thing that test equipment isn’t made this way anymore? Well, it’s hard to argue with the improved capabilities, smaller footprint, and reduced cost of most modern gear. But damn is the inside of this HP 3314A gorgeous. As one of the commenters on the page put it, hardware from this era was really a work of art.

Cybersecurity & cyberwarfare

2024-04-23 17:00:00

Amazon Ends California Drone Deliveries While Expanding to Arizona

The outgoing MK27 drone used by Amazon today for deliveries. (Credit: Amazon)
When Amazon started its Prime Air drone delivery service in 2022, it had picked College Station (Texas) and Lockeford (California) as its the first areas where the service would be offered. Two years later, Amazon has now announced that it will be expanding to the West Valley of the Phoenix Metro area in Arizona from a new Tolleson center, while casually mentioning buried in the press release that the Lockeford area will no longer be serviced. No reason for this closure was provided, but as a quite experimental service drastic shifts can be expected as Amazon figures out what does and does not work.

Amazon Prime Air features custom drones that can transport packages up to 5 lbs (~2.27 kg) to its destination within an hour, if the item is listed as Prime Air capable for your area. Along with the change in service areas, Amazon is also testing its new MK30 drone (pictured, top), which should be much quieter due to a new propeller design and have twice the range of the old MK27 as well.

Even if flying drone delivery isn’t quite a blow-away success yet, Amazon doesn’t seem to be letting up on investing in it, and it could be argued that for certain items like medication or perishables, it does make a certain sense over traditional delivery and pick-up methods.

Cybersecurity & cyberwarfare

2024-04-23 16:43:31

250.000 siti WordPress a rischio compromissione. Aggiornate il plugin Forminator

Gli esperti JPCERT mettono in guardia su una serie di vulnerabilità critiche nel plugin Forminator per WordPress, sviluppato da WPMU DEV. Il plugin viene utilizzato su più di 500.000 siti e offre la possibilità di creare vari moduli senza troppe conoscenze di programmazione.

Di particolare preoccupazione è la vulnerabilità identificata da CVE-2024-28890 (punteggio CVSS: 9,8), che consente agli aggressori di caricare in remoto codice dannoso sui siti che utilizzano questo plugin. Ciò può portare alla fuga di informazioni riservate, alla modifica del contenuto del sito e persino alla completa negazione del servizio.

Inoltre, JPCERT segnala altri problemi di sicurezza, tra cui una vulnerabilità di tipo SQL injection ( CVE-2024-31077 con un punteggio di 7,2) e una vulnerabilità di cross-site scripting ( CVE-2024-31857 con un punteggio di 6,1). Tutti questi difetti consentono agli aggressori remoti di ottenere e modificare le informazioni dell’utente, oltre a causare guasti al sito.

Al momento sono già stati registrati attacchi che utilizzano la vulnerabilità CVE-2024-28890. Inoltre, le statistiche di WordPress.org mostrano che ora ci sono più di 500.000 installazioni attive del plugin, ma solo il 55,9% di esse è ora aggiornato alla versione 1.29, che risolve le vulnerabilità identificate. Cioè, circa 220mila siti rimangono ancora vulnerabili agli attacchi.

Gli sviluppatori consigliano agli amministratori del sito di aggiornare il plug-in all’ultima versione il prima possibile per proteggere le proprie risorse da possibili attacchi informatici.

È interessante notare che alla fine di agosto dello scorso anno il plugin Forminator è stato affetto dalla vulnerabilità CVE-2023-4596, che consentiva agli aggressori non autorizzati di caricare file dannosi su siti vulnerabili. Ora, 8 mesi dopo, la situazione si è ripetuta nuovamente.

L'articolo 250.000 siti WordPress a rischio compromissione. Aggiornate il plugin Forminator proviene da il blog della sicurezza informatica.

Cybersecurity & cyberwarfare

2024-04-23 15:30:12

An Elbow Joint That Can

We’re not certain whether [Paul Gould]’s kid’s prosthetic elbow joint is intended for use by a real kid or is part of a robotics project — but it caught our eye for the way it packs the guts of a beefy-looking motorized joint into such a small space.

At its heart is a cycloidal gearbox, in which the three small shafts which drive the center gear are driven by a toothed belt. The motive power comes from a brushless motor, which is what gives the build that impressive small size. He’s posted a YouTube short showing its internals and it doing a small amount of weight lifting, so it evidently has some pulling power.

If you’re interested in working with this design, it can be downloaded for 3D printing from Thingiverse. We think it could find an application in plenty of other projects, and we’d be interested to see what people do with it. There’s certainly a comparison to be maid over robotic joints which use wires for actuation.

https://www.youtube.com/embed/uMnrzvIZLBU?feature=oembed

Cybersecurity & cyberwarfare

2024-04-23 14:14:21

EU Parliament ratifies Right to Repair Directive

Members of the European Parliament (MEPs) voted in favour of the Right to Repair Directive on Tuesday (23 April), aimed at improving consumer access to repair services in order to reduce waste.

---

https://www.euractiv.com/section/digital/news/eu-parliament-ratifies-right-to-repair-directive/

Cybersecurity & cyberwarfare

2024-04-23 14:00:37

Programming Ada: First Steps on the Desktop

Who doesn’t want to use a programming language that is designed to be reliable, straightforward to learn and also happens to be certified for everything from avionics to rockets and ICBMs? Despite Ada’s strong roots and impressive legacy, it has the reputation among the average hobbyist of being ‘complicated’ and ‘obscure’, yet this couldn’t be further from the truth, as previously explained. In fact, anyone who has some or even no programming experience can learn Ada, as the very premise of Ada is that it removes complexity and ambiguity from programming.

In this first part of a series, we will be looking at getting up and running with a basic desktop development environment on Windows and Linux, and run through some Ada code that gets one familiarized with the syntax and basic principles of the Ada syntax. As for the used Ada version, we will be targeting Ada 2012, as the newer Ada 2022 standard was only just approved in 2023 and doesn’t change anything significant for our purposes.

Toolchain Things

The go-to Ada toolchain for those who aren’t into shelling out big amounts of money for proprietary, certified and very expensive Ada toolchains is GNAT, which at one point in time stood for the GNU NYU Ada Translator. This was the result of the United States Air Force awarding the New York University (NYU) a contract in 1992 for a free Ada compiler. The result of this was the GNAT toolchain, which per the stipulations in the contract would be licensed under the GNU GPL and its copyright assigned to the Free Software Foundation. The commercially supported (by AdaCore) version of GNAT is called GNAT Pro.

Obtaining a copy of GNAT is very easy if you’re on a common Linux distro, with the package gnat for Debian-based distros and gcc-ada if you’re Arch-based. For Windows you can either download the AdaCore GNAT Community Edition, or if you use MSYS2, you can use its package manager to install the mingw-w64-ucrt-x86_64-gcc-ada package for e.g. the new ucrt64 environment. My personal preference on Windows is the MSYS2 method, as this also provides a Unix-style shell and tools, making cross-platform development that much easier. This is also the environment that will be assumed throughout the article.

Hello Ada

The most important part of any application is its entry point, as this determines where the execution starts. Most languages have some kind of fixed name for this, such as main, but in Ada you are free to name the entry point whatever you want, e.g.:
with Ada.Text_IO;
procedure Greet is
begin
-- Print "Hello, World!" to the screen
Ada.Text_IO.Put_Line ("Hello, World!");
end Greet;
Here the entry point is the Greet procedure, because it’s the only procedure or function in the code. The difference between a procedure and a function is that only the latter returns a value, while the former returns nothing (similar to void in C and C++). Comments start with two dashes, and packages are imported using the with statement. In this case we want the Ada.Text_IO package, as it contains the standard output routines like Put_Line. Note that since Ada is case-insensitive, we can type all of those names in lower-case as well.

Also noticeable might be the avoidance of any symbols where an English word can be used, such as the use of is, begin and end rather than curly brackets. When closing a block with end, this is post-fixed with the name of the function or procedure, or the control structure that’s being closed (e.g. an if/else block or loop). This will be expanded upon later in the series. Finally, much like in C and C++ lines end with a semicolon.

For a reference of the syntax and much more, AdaCore has an online reference as well as a number of freely downloadable books, which include a comparison with Java and C++. The Ada Language Reference Manual (LRM) is also freely available.

Compile And Run

To compile the simple sample code above, we need to get it into a source file, which we’ll call greet.adb. The standard extensions with the GNAT toolchain are .adb for the implementation (body) and .ads for the specification (somewhat like a C++ header file). It’s good practice to use the same file name as the main package or entry point name (unit name) for the file name. It will work if not matched, but you will get a warning depending on the toolchain configuration.

Unlike in C and C++, Ada code isn’t just compiled and linked, but also has an intermediate binding step, because the toolchain fully determines the packages, dependencies, and other elements within the project before assembling the compiled code into a binary.

An important factor here is also that Ada does not work with a preprocessor, and specification files aren’t copied into the file which references them with a with statement, but only takes note of the dependency during compilation. A nice benefit of this is that include guards are not necessary, and headaches with linking such as link order of objects and libraries are virtually eliminated. This does however come at the cost of dealing with the binder.

Although GNAT comes with individual tools for each of these steps, the gnatmake tool allows the developer to handle all of these steps in one go. Although some prefer to use the AdaCore-developed gprbuild, we will not be using this as it adds complexity that is rarely helpful. To use gnatmate to compile the example code, we use a Makefile which produces the following output:
mkdir -p bin
mkdir -p obj
gnatmake -o bin/hello_world greet.adb -D obj/
gcc -c -o obj\greet.o greet.adb
gnatbind -aOobj -x obj\greet.ali
gnatlink obj\greet.ali -o bin/hello_world.exe
Although we just called gnatmake, the compilation, binding and linking steps were all executed subsequently, resulting in our extremely sophisticated Hello World application.

For reference, the Makefile used with the example is the following:
GNATMAKE = gnatmake
MAKEDIR = mkdir -p
RM = rm -f

BIN_OUTPUT := hello_world
ADAFLAGS := -D obj/

SOURCES := greet.adb

all: makedir build

build:
$(GNATMAKE) -o bin/$(BIN_OUTPUT) $(SOURCES) $(ADAFLAGS)

makedir:
$(MAKEDIR) bin
$(MAKEDIR) obj

clean:
rm -rf obj/
rm -rf bin/

.PHONY: test src

Next Steps

Great, so now you have a working development environment for Ada with which you can build and run any code that you write. Naturally, the topic of code editors and IDEs is one can of flamewar that I won’t be cracking open here. As mentioned in my 2019 article, you can use AdaCore’s GNAT Programming Studio (GPS) for an integrated development environment experience, if that is your jam.

My own development environment is a loose constellation of Notepad++ on Windows, and Vim on Windows and elsewhere, with Bash and similar shells the environment for running the Ada toolchain in. If there is enough interest I’d be more than happy to take a look at other development environments as well in upcoming articles, so feel free to sound off in the comments.

For the next article I’ll be taking a more in-depth look at what it takes to write an Ada application that actually does something useful, using the preparatory steps of this article.

Cybersecurity & cyberwarfare

2024-04-23 14:07:47

Hacker di Anonymous attaccano le Forze di Difesa Israeliane: 233.000 documenti militari compromessi

A seguito di un sospetto attacco informatico da parte di un gruppo di hacker associato al collettivo Anonymous, le Forze di difesa israeliane (IDF) si trovano ad affrontare accuse secondo cui dati sensibili sono stati compromessi.

Secondo gli hacker hanno avuto accesso a 20 gigabyte di informazioni, tra cui più di 233.000 documenti militari in vari formati, tra cui file PDF, documenti Word e presentazioni.

Il Dipartimento della Difesa, al contrario, nega l’hacking e sottolinea che i loro sistemi informatici sono sicuri a più livelli e difficilmente sono stati compromessi direttamente. E se è avvenuto qualche tipo di hacking, molto probabilmente si è trattato di sistemi civili.

Gli hacker hanno pubblicato un video che mostra frammenti apparentemente reali di presentazioni dell’IDF, ma l’agenzia lo vede come un possibile elemento di guerra psicologica, mettendo in dubbio l’autenticità dei materiali.

All’inizio di questo mese, lo stesso gruppo avrebbe effettuato un attacco informatico all’infrastruttura informatica del Ministero della Giustizia israeliano, sostenendo che i membri del gruppo sarebbero riusciti a penetrare nei sistemi di sicurezza del dipartimento e a scaricare più di 300 gigabyte di dati. Secondo gli hacker, i dati contengono 8 milioni di file, comprese informazioni personali sensibili.

Le motivazioni del gruppo rimangono poco chiare, ma alcuni dei suoi membri hanno espresso sentimenti anti-israeliani, che potrebbero collegare l’attacco a un programma geopolitico più ampio.

Può anche darsi che non ci sia stata davvero alcuna compromissione. Abbiamo già visto una strategia simile il mese scorso con il gruppo Mogilevich, che ha semplicemente diffuso una serie di voci secondo cui avrebbe presumibilmente violato diverse grandi aziende.

Secondo il Jerusalem Post, l’agenzia informatica nazionale aveva precedentemente lanciato un avvertimento riguardo a un’ondata di attacchi informatici post-Ramadan contro l’infrastruttura online israeliana, inclusi siti Web, sistemi digitali e fughe di dati sensibili. Inoltre, gli hacker possono utilizzare programmi di sorveglianza e tentare di accedere illegalmente a sistemi a scopo di spionaggio o sabotaggio.

L'articolo Hacker di Anonymous attaccano le Forze di Difesa Israeliane: 233.000 documenti militari compromessi proviene da il blog della sicurezza informatica.