Connect with us

Tech

Cosa si prova ad essere attaccati da un hacker?

Tempo di lettura: 4 minuti. Cosa si prova ad essere attaccati da un hacker? Una pagina di diario di un amministratore di sistema alle prese con un attacco hacker.

Pubblicato

in data

Tempo di lettura: 4 minuti.

Una pagina di diario di un amministratore di sistema alle prese con un attacco hacker.

Oggi ho notato un rallentamento di qualche millisecondo sui tempi di risposta del server. In questi casi guardo i log con più attenzione, per evitare di deludere il nostro Direttore Responsabile che sicuramente leggerà poco distrattamente questo articolo.

L’ho già detto che il suddetto Direttore è una persona brillante e pieno di qualità?

Comunque, nei log ho subito notato diverse connessioni provenienti dal dark web da diversi server Onion. Qualcuno pensa che il dark web sia come una discoteca con una grande porta insonorizzata all’ingresso. Un luogo dove le persone entrano distinte ed educate per poi dedicarsi all’interno ad orge con minorenni mentre sniffano cocaina dal manico di un mitra dell’ex unione sovietica, tutto pagato in nero con Bitcoin.

Invece è bene ricordare che il dark web è invisibile da Internet, ma non è vero il contrario. I server del dark web non si trovano in un container nascosto nella fossa delle Marianne.

Il dark web è vicino. Il dark web è il vicino.

I computer degli utenti dal dark web hanno un normale indirizzo IP che usano per collegarsi ad un altro indirizzo IP, che è un ingresso al darkweb. (ovvero alla rete TOR).

Per questo motivo, tutto il traffico del “dark web“, viaggia fisicamente sulla rete Internet.

La sua principale particolarità è che le comunicazioni tra utenti del dark web sono completamente anonime, ovvero provenienti da luoghi non identificabili. Quando qualcuno dal dark web si collega ad un server Internet, la connessione attraversa un server Onion che dirige il traffico dal nodo del dark web a qualche altro nodo nel dark web e poi di nuovo su Internet, nascondendo solo ed esclusivamente l’indirizzo Internet originario dell’utente collegato al dark web.

Tornando al sito del nostro amato Direttore, quello che registro è un numero abbastanza alto di connessioni HTTP al server e che fanno andare in errore un pezzo di codice PHP.

l’HEADER infatti è più grande del consentito generando un problema al codice del interprete del PHP versione 7.

Analizzando il contenuto dell’header si nota una scansione di tutte le pagine del sito e di un tentativo di injection di codice javascript codificato in base64.

E’ qui che mi viene in mente di scrivere questo articolo, visto che oggi sarò costretto ad imparare una cosa nuova, perchè non condividerla con i lettori di Matrice Digitale?

Houston, abbiamo un problema.

La prima cosa da fare è capire di avere un problema. La fase iniziale del panico riguarda la negazione del problema. Nessuno ci sta attaccando, il server è solo un millisecondo più lento, non andare in paranoia.

E quelle connessioni dal dark web? Il nostro sito è letto da molti utenti che amano la rete TOR, la utilizzano anche quando non devono organizzare un attacco terroristico.

Nel frattempo la velocità del sito è tornata normale.

I 5 minuti più bui nella storia dell’Hacking

Nei 5 minuti in cui sono stati registrati i rallentamenti sono successe tante di quelle cose, nell’ordine di qualche centinaia di mega di linee di log. Dopo aver consultato a campione con la vista, e nel dettaglio con alcuni software di analisi, in quei 5 minuti sono emersi:

  • 46 “Attività dannose attenuate”
  • 24 “Rilevati indirizzi IP malevoli”
  • 2 “IP bloccati”

Il pesciolino è caduto nella trappola

E se quegli indirizzi IP non fossero dei server Onion? Cosa cambierebbe?

Conoscere l’IP dell’hacker, a noi comuni mortali, cosa può cambiare? Dopotutto non è successo niente, ho solo pranzato con un piccolo dolore aggiuntivo allo stomaco, ma non saprei come chiamare questo tipo di reato. SAD? Stressamento a Distanza?

Mio malgrado decido di capire la provenienza di questi IP, lo so che è inutile, lo so che mi sto solo auto procurando altri piccoli dolorini addominali, ma ormai ho iniziato.

La localizzazione dell’indirizzo IP

Per questioni di privacy non scriverò quale è l’indirizzo IP che è rimasto intrappolato nei log del firewall, vi dico solo come fare a stimare la provenienza di un indirizzo IP.

Il metodo più semplice è andare su un sito, come ad esempio https://whatismyipaddress.com/ip/x.x.x.x e sostituire ad x.x.x.x l’IP che volete esaminare.

Adesso, ve lo dico chiaramente, nessun hacker utilizzerebbe mai un indirizzo IP di una ADSL con indirizzo statico di uno di quei pochi provider che ha una localizzazione esatta dell’indirizzo. Per questo motivo, quando sulla cartina geografica ho individuato il punto esatto da dove è partita la connessione che ha fatto rallentare il server di un millisecondo (e per 5 minuti di fila), il mio dolorino allo stomaco si è trasformato in un’ulcera perforante.

L’indirizzo IP era del Direttore, persona amabile, che fuori programma ha scritto una “breaking news” e la ha pubblicato d’urgenza. Il Direttore di una testata ha questi poteri, inoltrare una notizia sul web (e sul dark web), e twittare subito…

Quando si pubblica una breaking news, il server cancella tutta la cache e ricrea tutte le pagine del portale per essere pronto ad un traffico più intenso. Una operazione che svolta in orari di traffico può causare il rallentamento di un millisecondo, per un tempo approssimativo di 5 minuti.

Il rientro in caserma

Non siamo in guerra, non siamo sotto attacco, ed il nostro Direttore è sempre una persona amabile e stimabile.

Tech

Nothing Phone 2a: nuovi render ci avvicinano al lancio

Tempo di lettura: 2 minuti. Il Nothing Phone (2a) si svela con nuovi rendering autentici, mostrando design e specifiche prima del lancio ufficiale del 5 marzo.

Pubblicato

in data

Nothing Phone 2a render
Tempo di lettura: 2 minuti.

I nuovi render del Nothing Phone (2a) sono stati rivelati, offrendo una visione più chiara del design e delle specifiche del dispositivo. A differenza dei precedenti rendering che si sono rivelati falsi, questi sembrano essere autentici, in particolare perché il design della fotocamera corrisponde al teaser “Fresh Eyes” che ha accompagnato l’annuncio del telefono, previsto per il 5 marzo.

Secondo il render, Nothing Phone (2a) presenterà una cornice piatta con tre pulsanti metallici, un pulsante di accensione sul lato destro e due pulsanti per il volume sul lato sinistro. La parte posteriore del telefono dovrebbe ospitare due fotocamere, una grandangolare da 50MP ISOCELL S5KG9 e un’ultra grandangolare da 50MP ISOCELL JN1, mentre la fotocamera frontale sarà presumibilmente una unità da 32MP.

Il display atteso è un AMOLED FHD+ da 6,7 pollici con un refresh rate di 120Hz, e si prevede che la batteria sia da 5.000mAh con ricarica a 45W. Il telefono dovrebbe misurare 161.7mm x 76.3mm x 8.55mm e pesare 190g.

Una delle caratteristiche principali del Nothing Phone (2a) sarà il chipset Dimensity 7200 Pro personalizzato, sviluppato in collaborazione con MediaTek. Questo chip dovrebbe offrire prestazioni del 18% superiori rispetto al Snapdragon 778G del Phone (1), riducendo contemporaneamente il consumo energetico del 16%. Il Dimensity 7200 Pro è prodotto con un processo a 4nm di TSMC di seconda generazione.

Quanto al prezzo, si suggerisce che il Nothing Phone (2a) sarà disponibile per un prezzo inferiore a 25.000 INR (circa 280€ o 240£).

Infine, è stata condivisa una foto sfocata del Nothing Phone (2a) dal vivo, mostrandolo in colore nero e confermando ulteriormente l’autenticità dei rendering rivelati.

Prosegui la lettura

Tech

Ransomware Knight: la terza versione in vendita in un forum di hacking

Tempo di lettura: 2 minuti. Il codice sorgente del ransomware Knight è in vendita su un forum di hacker, segnalando la possibile chiusura dell’operazione dopo aver violato 50 organizzazioni.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Il codice sorgente della terza versione del ransomware Knight è in vendita su un forum di hacker da un rappresentante del gruppo. Il ransomware Knight, lanciato alla fine di luglio 2023 come rebrand dell’operazione Cyclops, ha preso di mira i sistemi Windows, macOS e Linux/ESXi. L’operazione ha guadagnato trazione fornendo info-stealer e una versione ‘lite’ del suo encryptor per affiliati di livello inferiore che attaccavano organizzazioni più piccole.

Il post di vendita, avvistato da analisti di minacce della società di cyber-intelligence KELA, è stato pubblicato su RAMP forums da un utente con l’alias Cyclops, noto rappresentante della gang di ransomware Knight. Il post specifica che la vendita includerà il codice sorgente del pannello e del locker, tutto scritto in Golang C++.

La versione 3.0 del locker di Knight, rilasciata il 5 novembre 2023, ha presentato un’encryptazione del 40% più veloce, un modulo ESXi riscritto per supportare versioni più recenti dell’hypervisor e vari altri miglioramenti. Non è stato specificato un prezzo, ma è stato sottolineato che il codice sorgente sarà venduto a un unico acquirente per preservarne il valore come strumento privato.

La ragione dietro la vendita del codice sorgente del ransomware Knight non è chiara, ma gli strumenti di monitoraggio del dark web di KELA non hanno registrato attività da parte dei rappresentanti di Knight su vari forum da dicembre 2023. Inoltre, il portale di estorsione delle vittime dell’operazione ransomware è attualmente offline, con l’ultima vittima elencata l’8 febbraio. Da luglio 2023, Knight ha affermato di aver violato 50 organizzazioni.

Basandosi sui dettagli forniti da KELA, sembra che l’operazione ransomware Knight sia inattiva da un po’ di tempo, quindi è possibile che il gruppo stia cercando di chiudere e vendere i propri asset.

Prosegui la lettura

Tech

Vietnam raccoglie registrazioni vocali, DNA e campioni biometrici per l’identificazione dei cittadini

Tempo di lettura: < 1 minuto. Il Vietnam inizia a raccogliere dati biometrici e campioni di DNA dai cittadini per le nuove carte d’identità per l’identificazione

Pubblicato

in data

Tempo di lettura: < 1 minuto.

Il governo del Vietnam ha iniziato la raccolta di dati biometrici dai cittadini, inclusi scansioni dell’iride, registrazioni vocali e campioni di DNA, per scopi di identificazione. Questa iniziativa, richiesta dal Primo Ministro Pham Minh Chinh, è gestita dal Ministero della Pubblica Sicurezza del Vietnam in collaborazione con altri rami governativi per integrare il nuovo sistema di identificazione nel database nazionale.

La decisione segue gli sforzi del governo per implementare una Legge di Identificazione del Cittadino modificata che consente la raccolta di dati biometrici e informazioni relative al DNA. Questi dati sensibili verranno conservati in un database nazionale e condivisi tra le agenzie per consentire loro di svolgere le loro funzioni. La legge è stata approvata il 27 novembre 2023 e sarà implementata a partire dal 1° luglio 2024.

Le nuove carte d’identità vietnamite, rafforzate dai dati biometrici, incorporeranno le funzioni di altri documenti di identificazione come patenti di guida, certificati di nascita e matrimonio, libretti di assicurazione sociale e tessere sanitarie. Le impronte digitali saranno sostituite da un codice QR collegato ai dati biometrici e di identificazione dell’individuo.

La raccolta dei dati biometrici di circa 70 milioni di adulti in Vietnam rappresenta una sfida significativa. Inoltre, c’è la necessità di garantire che le informazioni personali profondamente private contenute nelle carte siano protette a tutti i livelli, considerando che i dati biometrici sono diventati un obiettivo primario per i criminali informatici.

Prosegui la lettura

Facebook

CYBERSECURITY

NSO Group: cambia proprietario NSO Group: cambia proprietario
Notizie11 ore fa

NSO Group è capace di estrarre dati dagli smartphone senza l’interazione della vittima

Tempo di lettura: 2 minuti. La nota azienda israeliana di spyware commerciale NSO Group è stata recentemente al centro dell’attenzione...

Playstation Portal Hackerato da ingegneri di Google Playstation Portal Hackerato da ingegneri di Google
Notizie11 ore fa

Il PlayStation Portal di Sony hackerato da ingegneri di Google

Tempo di lettura: < 1 minuto. Ingegneri di Google hanno hackerato il PlayStation Portal di Sony per eseguire giochi PSP...

Notizie12 ore fa

97.000 server Microsoft Exchange vulnerabili ad attacchi NTLM relay

Tempo di lettura: 2 minuti. Oltre 28.500 server Exchange sono a rischio a causa di CVE-2024-21410, con gli hacker che...

WordPress Bricks WordPress Bricks
Notizie1 giorno fa

WordPress, falla critica RCE in Bricks sfruttata dagli hacker

Tempo di lettura: < 1 minuto. Una falla critica RCE nel tema Bricks Builder di WordPress, identificata come CVE-2024-25600, viene...

Wyze Wyze
Notizie1 giorno fa

Wyze Camera Breach: intrusione espone la Privacy e la sicurezza di 13.000 Utenti

Tempo di lettura: 3 minuti. Wyze affronta una grave violazione della sicurezza che ha esposto le immagini private di 13.000...

Notizie1 giorno fa

KeyTrap: come una singola richiesta DNS può disabilitare l’accesso a Internet

Tempo di lettura: 2 minuti. Scopri KeyTrap, una vulnerabilità in DNSSEC che consente l'interruzione dell'accesso a Internet con una singola...

anatsa anatsa
Notizie1 giorno fa

Trojan Android Anatsa elude la sicurezza di Google Play e si diffonde in Europa

Tempo di lettura: 2 minuti. Il trojan bancario Android Anatsa elude la sicurezza di Google Play dimostrando la capacità di...

Agid Agid
Notizie2 giorni fa

Digitale nella PA, AGID vara il Piano Triennale 2024-2026

Tempo di lettura: 3 minuti. Agid vara il Piano Triennale 2024-2026 per l'informatica nella PA italiana e mira a accelerare...

Notizie3 giorni fa

Hai perso il tuo numero di telefono? Il tuoi Account sono a rischio

Tempo di lettura: 2 minuti. Meta ignora il rischio di furto di account tramite il riciclo dei numeri di telefono,...

Notizie3 giorni fa

Malware Bumblebee ritorna dopo una pausa di 4 Mesi con una campagna phishing

Tempo di lettura: 2 minuti. Dopo una pausa di quattro mesi, il malware Bumblebee torna a colpire con nuove campagne...

Truffe recenti

dimarcoutletfirenze sito truffa dimarcoutletfirenze sito truffa
Inchieste2 giorni fa

Truffa dimarcoutletfirenze.com: merce contraffatta e diversi dalle prenotazioni

Tempo di lettura: 2 minuti. La segnalazione alla redazione di dimarcoutletfirenze.com si è rivelata puntuale perchè dalle analisi svolte è...

sec etf bitcoin sec etf bitcoin
Economia1 mese fa

No, la SEC non ha approvato ETF del Bitcoin. Ecco perchè

Tempo di lettura: 3 minuti. Il mondo delle criptovalute ha recentemente assistito a un evento senza precedenti: l’account Twitter ufficiale...

Notizie2 mesi fa

Europol mostra gli schemi di fronde online nel suo rapporto

Tempo di lettura: 2 minuti. Europol’s spotlight report on online fraud evidenzia che i sistemi di frode online rappresentano una grave...

Notizie3 mesi fa

Polizia Postale: attenzione alla truffa dei biglietti ferroviari falsi

Tempo di lettura: < 1 minuto. Gli investigatori della Polizia Postale hanno recentemente individuato una nuova truffa online che prende...

app ledger falsa app ledger falsa
Notizie3 mesi fa

App Falsa di Ledger Ruba Criptovalute

Tempo di lettura: 2 minuti. Un'app Ledger Live falsa nel Microsoft Store ha rubato 768.000 dollari in criptovalute, sollevando dubbi...

keepass pubblicità malevola keepass pubblicità malevola
Notizie4 mesi fa

Google: pubblicità malevole che indirizzano a falso sito di Keepass

Tempo di lettura: 2 minuti. Google ospita una pubblicità malevola che indirizza gli utenti a un falso sito di Keepass,...

Notizie4 mesi fa

Nuova tattica per la truffa dell’aggiornamento del browser

Tempo di lettura: 2 minuti. La truffa dell'aggiornamento del browser si rinnova, con i criminali che ora ospitano file dannosi...

Notizie4 mesi fa

Oltre 17.000 siti WordPress compromessi negli attacchi di Balada Injector

Tempo di lettura: 2 minuti. La campagna di hacking Balada Injector ha compromesso oltre 17.000 siti WordPress sfruttando vulnerabilità nei...

Truffe online5 mesi fa

ChatGPT cerca di ingannare cuori solitari appassionati di AI

Tempo di lettura: < 1 minuto. La truffa LoveGPT rappresenta una nuova minaccia nel mondo degli appuntamenti online, sfruttando l'AI...

Notizie5 mesi fa

Nuovo avviso della Polizia Postale: attenzione allo “Spoofing telefonico”

Tempo di lettura: 2 minuti. Attenzione ai tentativi di truffa tramite "Spoofing telefonico": la Polizia Postale avvisa e fornisce consigli...

Tendenza