Tech
Taglie fino a 1 milione di dollari USA per le vulnerabilità di Tor-Browser di 0 giorni

Se in questa pagina c’è un white hat o anche un black hat, allora siate certi che il lavoro di pirata informatico diventa smepre più gradito alle forze di sicurezza internazionali.
Una società di cybersecurity ha offerto taglie fino a 1 milione di dollari USA per le vulnerabilità di Tor-Browser di 0 giorni. Il programma di taglie da 0 giorni di Zerodium’s Tor è aperto fino al 30 novembre alle ore 18:00 Eastern, o fino a quando Zerodium termina il programma dopo aver emesso 1 milione di dollari per Tor 0 giorni. La società ha dichiarato di prevedere di vendere questi sfruttamenti zero a agenzie governative, come le agenzie di contrasto. Negli Stati Uniti, gli exploit zero giorni sono stati accumulati e utilizzati da agenzie di intelligence come l’NSA e la CIA. All’inizio di quest’anno il governo ha cessato le accuse contro i sospettati di pornografia infantile quando l’FBI ha deciso di non divulgare uno sfruttamento di zero giorni che stava usando contro la rete Tor.
“Mentre la rete Tor e Tor Browser sono progetti fantastici che consentono agli utenti legittimi di migliorare la loro privacy e sicurezza su Internet, la rete Tor e il browser sono spesso utilizzati da persone malate e criminali per svolgere attività come il traffico di droga o abusi su bambini. Abbiamo lanciato questa taglia speciale per Tor-Browser “zero giorni” per aiutare i nostri clienti governativi a combattere la criminalità e rendere il mondo un posto migliore e più sicuro per tutti “, scrive Zerodium nelle FAQ per il programma Tor 0-Day Bounty. Zerodium non sarà accettata da vulnerabilità nullo che richiederebbero “il controllo o la manipolazione dei nodi Tor” e “exploit / attacchi che potrebbero causare interruzioni dell’utilizzo legittimo della rete Tor”.
Lo sfruttamento deve essere in grado di essere distribuito tramite una semplice pagina web e deve attaccare l’attuale release stabile e la versione sperimentale del Browser Tor. Lo sfruttamento non deve richiedere alcuna interazione da una vittima, a meno che farle caricare la pagina web infetta. La società sta cercando un exploit zero che influisca sul Browser Tor nella sua più alta sicurezza, con disattivato JavaScript e zero attività giornaliere che influenzano il Browser Tor nella sua impostazione di bassa sicurezza predefinita in cui è abilitato JavaScript. Gli exploit Zerodium devono consentire all’attaccante di eseguire in remoto il codice e di ottenere gli stessi privilegi dell’account utente o consentire all’attaccante di ottenere privilegi di accesso non limitati. Gli exploit che richiedono alla vittima di interagire con un messaggio popup o di scaricare e aprire un documento non sono ammissibili sotto il programma taglia da milioni di dollari, ma Zerodium sostiene che si riserva il diritto di fare offerte finanziarie separate a hacker e ricercatori di sicurezza che offrono tali informazioni o exploit.
Gli exploit zero-day funzionano sia su Tails 3 che Windows 10 e consentono l’esecuzione di codice in modalità remota e l’escalation dei privilegi locali e possono funzionare alle impostazioni di sicurezza più alte di Tor con JavaScript disabilitato possono valere fino a $ 250.000 dollari. Giorni zero che funzionano sia in Tails che in Windows 10 ma consentono solo l’esecuzione di codice in modalità remota nell’ambito della massima sicurezza di Tor può valere fino a $ 185.000 dollari USA. Gli exploit zero giornalieri che consentono l’esecuzione di codice in modalità remota e l’escalation dei privilegi locali nell’ambito della massima sicurezza di Tor, ma funzionano solo su un unico sistema operativo, ad esempio solo su Windows 10 o solo su Tails 3 e consentono l’esecuzione di JavaScript, può recuperare da $ 75.000 a $ 125.000 dollari USA. La società intende continuare ad accettare zero azioni giornaliere per Tor anche dopo la fine del programma di taglie da milioni di dollari.
Le taglie saranno pagate tramite bonifici bancari o tramite Bitcoin. La società è in particolare alla ricerca di exploit che lavorano su Tor in esecuzione su Tails 3.x o Windows 10. All’inizio di quest’anno Zerodium ha introdotto un bonus di mezzo milione di dollari USA per exploit di 0 giorni per le applicazioni di messaggistica crittografate Signal, WhatsApp, Facebook Messenger, consentono l’esecuzione di codice in modalità remota e l’escalation dei privilegi locali.
Tech
8 consigli per usare Telegram in sicurezza
Tempo di lettura: 3 minuti. Tutorial per sfruttare meglio i reali punti di forza dell’app di messagistica

Telegram è una popolare alternativa alle app di messaggistica come WhatsApp e Facebook Messenger. Ma mentre gli utenti potrebbero affollare Telegram per evitare le discutibili politiche sulla privacy di Meta, l’app ha molte opzioni che rispettano la privacy e che in realtà non sono abilitate di default. Vediamo le migliori e perché dovreste attivarle.
Usare le chat segrete per la privacy
A differenza di app come Signal e WhatsApp, le chat di Telegram non sono crittografate end-to-end per impostazione predefinita, il che significa che le vostre chat non sono veramente private fin dall’inizio. Tuttavia, Telegram ha una funzione chiamata Chat segrete, che è protetta dalla crittografia end-to-end.
Potete attivare la crittografia aprendo una qualsiasi chat in Telegram, toccando il nome del contatto > icona con tre puntini > Avvia chat segreta. Il vostro contatto riceverà una richiesta di chat segreta e, una volta approvata, voi due sarete privati.
La funzione Chat segreta di Telegram presenta però alcuni inconvenienti, tra cui il fatto che non funziona su tutti i dispositivi, quindi potreste essere in grado di avviare queste chat dal telefono ma non dalle app desktop di Telegram. La Chat segreta è inoltre specifica per ogni dispositivo, il che significa che se avviate una chat dal vostro iPhone, non sarete in grado di vederla sul vostro Android.
Nascondere il numero di telefono
Telegram vi permette di nascondere il vostro numero di telefono a tutti. Potete farlo andando su Impostazioni di Telegram > Privacy e sicurezza > Numero di telefono. Selezionate Nessuno per nascondere il vostro numero a tutti.
Cancellare le vecchie foto del profilo (o nasconderle agli estranei)
Tutte le foto del profilo che avete caricato su Telegram sono memorizzate sul vostro profilo e chiunque può andare sul vostro profilo e scorrere per vederle. Se volete evitarlo, potete toccare la vostra immagine del profilo su Telegram e premere Modifica. A questo punto potete scorrere il dito verso destra per vedere tutte le vostre vecchie foto.
Su iPhone, potete eliminare le vecchie foto toccando l’icona del cestino nell’angolo in basso a destra della pagina. Su Android, è possibile farlo toccando i tre puntini nell’angolo in alto a destra e selezionando Elimina.
Già che ci siete, dovreste anche nascondere la vostra immagine del profilo agli estranei. Andate su Impostazioni di Telegram > Privacy e sicurezza > Foto del profilo. Selezionate I miei contatti nella pagina successiva.
Rimuovere i link al proprio account nei messaggi inoltrati
Se qualcuno inoltra uno dei vostri messaggi ad altri su Telegram, l’app aggiunge un link al vostro profilo insieme al messaggio inoltrato. Potete impedire che ciò avvenga andando su Impostazioni di Telegram > Privacy e sicurezza > Messaggi inoltrati. Selezionate Nessuno da questo elenco per rimuovere il link. Il vostro nome continuerà a essere allegato ai messaggi inoltrati, ma se volete potete aggiornare la vostra biografia di Telegram per cambiare il vostro nome con le sole iniziali o il vostro soprannome per migliorare la privacy.
Impedire alle persone di chiamarvi o di aggiungervi ai gruppi
Le chiamate di Telegram sono una buona alternativa alle normali chiamate telefoniche, ma se non volete usare la funzione di chiamata di questa app, potete disabilitarla. Andate nelle impostazioni di Telegram > Privacy e sicurezza > Chiamate e selezionate Nessuno.
Potete anche impedire agli estranei di aggiungervi ai gruppi di Telegram andando in Impostazioni di Telegram > Privacy e sicurezza > Gruppi e canali e selezionando I miei contatti.
Controllare quali foto vengono salvate automaticamente
È possibile impedire a Telegram di salvare le foto in arrivo direttamente nella galleria del telefono, consentendo di visualizzarle senza aggiungerle al rullino fotografico e occupare spazio sul telefono. Potete farlo andando su Impostazioni di Telegram > Dati e archiviazione > Salva foto in arrivo e disattivando tutte le opzioni della pagina.
Per una privacy ancora migliore, potete eliminare automaticamente foto e video da Telegram a un determinato intervallo di tempo. Andate in Impostazioni di Telegram > Dati e archiviazione > Utilizzo dell’archivio e spostate il cursore in alto su 3 giorni, 1 settimana o 1 mese.
Eliminare i contatti memorizzati sui server di Telegram
Potete usare Telegram senza dargli accesso alla vostra rubrica. Se in precedenza avete dato a Telegram l’accesso ai vostri contatti, potete facilmente eliminare tutti i vostri contatti dai server di Telegram. In questo modo avrete nomi utente e numeri di telefono nell’elenco delle chat invece dei nomi memorizzati nell’elenco dei contatti. In questo modo è più difficile identificare le persone con cui state messaggiando, ma per alcuni vale la pena fare questo compromesso per migliorare la privacy.
Potete farlo andando su Impostazioni di Telegram > Privacy e sicurezza > Impostazioni dati > Elimina contatti sincronizzati.
Aggiungere un codice di blocco
Infine, potete tenere le vostre chat di Telegram lontane da occhi indiscreti impostando un codice di blocco nell’app. Visitate le impostazioni di Telegram > Privacy e sicurezza > Passcode per farlo.
Tech
NewProfilePic è una app spia dei russi?

Una nuova applicazione per telefoni sta facendo scalpore sui social media, in quanto le persone la usano per ricreare i loro selfie in caricature di se stessi.
Ma secondo un numero crescente di reclami, l’applicazione NewProfilePic è una cattiva notizia.
“RAGAZZI! Se avete scaricato la nuova app che sta facendo diventare le vostre foto dei personaggi, CANCELLATELA!” avverte un post su Facebook. “Gli state dando il permesso di accedere alle vostre carte di credito, alle informazioni bancarie sul vostro telefono, ai contatti, ecc. Viene da un’azienda con sede in Russia e ci sono già notizie di cancellazioni di conti bancari“.
Questo post, insieme ad altri, si è rapidamente diffuso sui social media e anche il Daily Mail ha riportato la notizia.
Il post è stato segnalato come parte degli sforzi di Facebook per combattere le notizie false e la disinformazione sul suo News Feed.
Ma queste voci non dipingono il quadro giusto: l’app non sta inviando le vostre informazioni alla Russia. Ecco come si fa a capirlo.
A chi appartiene l’app e come funziona?
NewProfilePic è stata creata da un gruppo di sviluppo mobile chiamato Informe Laboratories, Inc. e coperta da copyright da Linerock Investments LTD, ha dichiarato Kristina Lunina, portavoce di Linerock Investments. L’applicazione è disponibile su Google Play e App Store.
Sono state controllate PolitiFact le autorizzazioni dell’applicazione in entrambi gli store: in nessuno di essi si legge che l’applicazione accede alle informazioni bancarie o di contatto delle persone.
Quando hanno cliccato sull’informativa sulla privacy dell’app sia per Google che per Apple, sono stati indirizzati al sito web di Linerock Investments. L’informativa sulla privacy elenca i dati a cui le app possono accedere, ma contrariamente a quanto affermato, non include informazioni bancarie o contatti.
“Raccogliamo il vostro nome, indirizzo e-mail, nome utente, informazioni sui social network e altre informazioni che ci fornite quando vi registrate, create un account, ci contattate via e-mail o utilizzate i nostri servizi“, afferma Linerock Investment Ltd.. “Possiamo anche ottenere informazioni da altre società e combinarle con le informazioni che raccogliamo sui Servizi“.
Hanno provato ed esplorato NewProfilePic in prima persona. Ecco come funziona: Una volta che l’utente scarica e apre l’applicazione, viene chiesto se si desidera provare la versione pro, che costa 29,99 dollari, per tre giorni. Gli utenti possono ignorare questa richiesta e accedere alla schermata iniziale dell’applicazione, che include un pulsante Scegli foto.
L’applicazione chiede quindi il permesso di accedere alle foto e ai contenuti multimediali del dispositivo. Le persone possono selezionare la foto che desiderano trasformare in un cartone animato e l’applicazione genererà immediatamente l’immagine in una caricatura.
Lunina ha detto che le autorizzazioni dell’app non sono molto diverse da quelle di Instagram o TikTok. E’ stato scoperto che è vero, tranne che per una differenza fondamentale: sia TikTok che Instagram chiedono il permesso di accedere agli elenchi di contatti delle persone per connettere gli utenti con i loro amici sulle app.
NewProfilePic invia le informazioni degli utenti in Russia?
In una parola, no. Lunina ha spiegato che tutte le foto degli utenti sono ospitate ed elaborate sui server di Amazon Web Services (AWS) e Microsoft Azure, che si trovano negli Stati Uniti.
Gli sviluppatori dell’applicazione hanno alcuni legami con la Russia, ma non così estesi come alcuni hanno affermato. La sede centrale di Linerock si trova nelle Isole Vergini britanniche e ha uffici di sviluppo in Russia, Ucraina e Bielorussia. Snopes ha riportato che il dominio dell’azienda era precedentemente registrato a Mosca, ma ora è registrato in Florida.
Lunina ha dichiarato che l’indirizzo del dominio a Mosca è l’ex indirizzo di Victor Sazhin, il fondatore di Linerock. “Ora non vive nella Federazione Russa“, ha scritto in un’e-mail a PolitiFact. “Attualmente l’indirizzo è stato cambiato per evitare qualsiasi confusione“.
Sazhin ha scritto in un post su Instagram di avere origini russe e ucraine, sottolineando che il team dell’azienda è composto da persone provenienti da entrambi i Paesi.
“Ci rendiamo conto che, a causa degli attuali eventi in Ucraina, qualsiasi collegamento con la Russia potrebbe destare sospetti“, ha dichiarato Lunina. “Non abbiamo avuto e non abbiamo intenzione di avere alcuna affiliazione con organizzazioni governative di alcun Paese“.
La sentenza di Politifact
“I post sui social media sostengono che l’app NewProfilePic accede alle informazioni bancarie e agli elenchi di contatti delle persone e li invia in Russia.
L’app non chiede queste informazioni. Chiede l’accesso alla fotocamera, alle foto e ai media dell’utente. Un portavoce di uno degli sviluppatori dell’app ha dichiarato che le immagini degli utenti sono memorizzate su server situati negli Stati Uniti, non in Russia.
Il dominio dell’applicazione era precedentemente registrato a Mosca perché il fondatore viveva lì. Tuttavia, da allora si è trasferito e l’indirizzo del dominio dell’app è cambiato.
Riteniamo questa affermazione falsa”.
Tech
WhatsApp lancia nuovi strumenti per il business
Tempo di lettura: 2 minuti. Il social di messaggistica più famoso al mondo chiede conto al business

WhatsApp prevede di far pagare gli utenti in base al numero di conversazioni che hanno con i clienti al giorno, da una frazione di centesimo a più di 10 centesimi a conversazione, a seconda della regione. È inoltre prevista l’offerta di un livello gratuito con servizi limitati per le piccole imprese.
La mossa è il segnale più forte di Meta di voler iniziare a ricavare entrate significative da WhatsApp, soprattutto perché deve affrontare sfide commerciali su diversi fronti. Facebook ha acquisito WhatsApp nel 2014 per 22 miliardi di dollari, l’acquisizione più costosa della società. Per anni WhatsApp è stata gratuita, ma è costata a Meta centinaia di milioni di dollari per il funzionamento e il supporto.
Ora fare più soldi è diventato fondamentale. L’attività pubblicitaria di Meta è stata danneggiata dalle modifiche apportate da Apple al sistema operativo dell’iPhone e l’azienda ha perso decine di milioni di utenti in Russia dopo essere stata bandita nel Paese. Anche la guerra in Ucraina ha sconvolto alcune delle operazioni pubblicitarie di Meta.
Inoltre, Meta sta affrontando una difficile transizione per diventare un’azienda di “metaversi” che offre alle persone esperienze digitali coinvolgenti. A febbraio, un quarto del valore di mercato dell’azienda è stato spazzato via, più di 230 miliardi di dollari, dopo un rapporto negativo sugli utili.
WhatsApp ha storicamente esitato a fare soldi con il suo servizio. I fondatori dell’azienda hanno giurato di non inserire pubblicità nell’applicazione e, dopo aver provato l’idea di far pagare a ogni utente 1 dollaro all’anno per utilizzare il servizio, i dirigenti di Facebook hanno bocciato l’idea ritenendola troppo anemica e difficile da scalare.
Nel 2018, i fondatori di WhatsApp stavano per uscire dalla porta. Zuckerberg ha annunciato un piano per ricucire tutti i servizi di messaggistica sulle app di sua proprietà, WhatsApp, Messenger e Instagram. L’azienda ha apportato modifiche che hanno permesso a Facebook di ottenere maggiori informazioni sull’utilizzo di WhatsApp da parte delle persone. WhatsApp sostiene che nessuna di queste modifiche è stata utilizzata per scopi di ad-tracking.
Contemporaneamente, la portata di WhatsApp ha continuato a diffondersi a livello globale, abbracciata da milioni di utenti in Brasile e Sud America, oltre che in Medio Oriente e in gran parte dell’Unione Europea.
Molti di loro includevano piccole e medie imprese che usavano WhatsApp gratuitamente per parlare con i clienti. Ma l’esperienza, secondo WhatsApp, è stata goffa e a volte difficile da navigare, e non è stata progettata pensando ai servizi per le aziende.
Il nuovo prodotto di WhatsApp dovrebbe rispondere a questi problemi e permettere alle aziende di comunicare più facilmente con i propri clienti utilizzando l’applicazione. I servizi di hosting cloud saranno forniti gratuitamente alle aziende che utilizzano l’API cloud.
Zuckerberg ha dichiarato che ogni settimana più di un miliardo di utenti si connette con le aziende attraverso i servizi di messaggistica di Meta e che il nuovo prodotto renderà le cose più semplici per le aziende e i clienti.
“Oggi la maggior parte di noi utilizza i propri feed per scoprire contenuti interessanti e rimanere aggiornati“, ha dichiarato Zuckerberg durante l’evento. “Ma per livelli di interazione più profondi, la messaggistica è diventata il centro della nostra vita digitale“.
-
DeFi3 settimane fa
Altro furto nella blockchain. 15 milioni sottratti a Deus Finance
-
DeFi3 settimane fa
L’esperimento bitcoin di El Salvador non riscuote il successo sperato
-
DeFi3 settimane fa
Prestiti flash: come gli hacker truffano la DeFi per miliardi di dollari l’anno
-
DeFi2 settimane fa
Continuano le truffe “milionarie” DeFi nell’infallibile blockchain
-
Editoriali2 settimane fa
Se vi dicessi che nei riguardi di Orsini è in essere uno stupro di gruppo?
-
Inchieste1 settimana fa
KillNet ed il suo battaglione Legion ostile alla NATO. Intervista esclusiva agli hacker russi che hanno colpito l’Italia
-
Inchieste2 settimane fa
Un “cyborg” dentro Azovstal: la propaganda occidentale elogia Terminator Azov
-
Inchieste2 settimane fa
Cina attacca militari del Sud Est Asiatico con l’APT OverridePanda