Disinformatico radio, la puntata di ieri
Come consueto, ieri (venerdì) ho condotto una puntata del Disinformatico radiofonico per la Rete Tre della RSI. Il podcast è scaricabile qui. I temi e i relativi articoli di supporto sono i seguenti:
Google infetto? No, scivolone di Microsoft
No, Google non è infetto; è l’antivirus di Microsoft che sbaglia
 |
| Da Krebs On Security |
Brian Krebs segnala che l’aggiornamento di San Valentino dell’antivirus di Microsoft (Security Essentials) ha qualche problemino: crede che Google sia un sito infetto. Lo identifica come malware JS/Blacole.BW. Le segnalazioni su Microsoft Technet abbondano. Ne parla anche l’Internet Storm Center.
Microsoft ha confermato il problema e dovrebbe aver già rilasciato l’aggiornamento/correzione quando leggerete queste righe. Non vengono cancellati o isolati file essenziali, come è successo in altri casi ad altri antivirus, ma è comunque una figura imbarazzante.
Questo articolo vi arriva grazie alla gentile donazione di “attilio.criv*”.
IPv6 Day domani
Tenetevi forte domani: è l’IPv6 Day
L’articolo è stato aggiornato dopo la pubblicazione iniziale.
Domani, come annunciato tempo addietro, Internet farà la prova generale di IPv6, il protocollo sostitutivo che risolverà l’attuale carenza di indirizzi IP. In teoria non dovreste accorgervi di nulla: semplicemente, molti dei più importanti siti della Rete (circa 400 organizzazioni, compresi Google, Facebook, Yahoo, Bing) saranno accessibili anche attraverso IPv6 oltre al normale IPv4.
Saranno possibili dei rallentamenti, ma si prevede che i problemi interesseranno meno dell’1% degli utenti. Il test durerà 24 ore a partire dalla mezzanotte UTC (grosso modo equivalente all’ora di Greenwich).
Volete sapere se siete pronti per IPv6? Ci sono dei test presso ipv6test.google.com e test-ipv6.com; ci sono anche delle istruzioni da usare in caso di problemi (meglio stamparsele prima). Se la vostra connessione funziona, potrete monitorare l’andamento del test tramite Ripe.net.
La migrazione a IPv6 si rende necessaria perché il protocollo attuale, IPv4, gestisce solo 4,3 miliardi di indirizzi IP (4.294.967.296, per i pignoli; un po’ di meno per gli ultrapignoli, come indicato nei commenti qui sotto), che non bastano più per tutti i dispositivi connessi a Internet attualmente, anche a causa di assegnazioni che lasciano inutilizzati ampi intervalli di indirizzi. IPv6 permetterà di gestire fino a 3,4 x 1038 indirizzi. Dovrebbero bastare per un po’.
Fonti: Google, WorldIPv6Day.org.
Oltre a Sony, anche Nintendo (ma poco)
Nintendo “bucata”; anche Sony, ma ormai non fa più notizia
L’articolo è stato aggiornato dopo la pubblicazione iniziale.
Lulz Security ha violato la sicurezza di un server statunitense della Nintendo alcune settimane fa, senza però sottrarre dati dei clienti o dell’azienda, secondo quanto riferito da Lulz, dalla BBC e da AFP, perché la Nintendo sta loro simpatica.
Intanto prosegue la serie di incursioni effettuate o annunciate dallo stesso gruppo di esperti di sicurezza (o giullari dell’hacking) nei siti della Sony, che si stanno dimostrando dei totali colabrodo privi delle più basilari soluzioni di sicurezza: Sony Pictures Russia (con dimostrazione), Sony Europe (NakedSecurity), SonyPictures.com (con 1 milione di dati personali sottratti) (PCMag). Anche la Sony Music Brazil è stata “bucata”, ma Lulz dice di esserne estranea.
Il riassunto cronologico della situazione, che per ora è un bel 12-0 15-0 contro Sony, è su Attrition.org, dal quale cito e traduco: “gli attacchi contro Sony non sono né coordinati né sofisticati. Sony ha dimostrato di non aver implementato quelli che qualunque amministratore o professionista della sicurezza considererebbe i fondamentali assoluti [della sicurezza]. Custodire dati e password di milioni di clienti senza usare alcuna forma di cifratura è incosciente e ridicolo”.
Incosciente e ridicolo, perché la tecnica d’incursione è sempre la stessa: una banale SQL injection. Intanto Lulz punzecchia anche una società di sicurezza, la Unveillance, e un’organizzazione affiliata all’FBI (la filiale di Atlanta della Infragard), dimostrando un’altra vulnerabilità patetica: la stessa password riutilizzata per più di un sito.
La battuta che gira per Internet riassume perfettamente il tutto: It’s better to be safe than Sony. Voglio la T-shirt, taglia L. Perché queste figuracce vanno ricordate e fatte ricordare.
Aggiornamento (16:00). Siamo a quota 16 “bucate” di Sony: del codice sorgente del Computer Entertainment Developer Network è presso http://www.mediafire.com/?ev1zo010c020764, secondo @LulzSec.
Aggiornamento (2011/06/07): Diciassette.
Sony bucata. Ancora
Server Sony bucato per phishing contro CartaSì
Mi faccio vivo brevemente dalla Sticcon, il raduno di appassionati di Star Trek e fantascienza di Bellaria, per segnalare che Sony è ancora nei guai, stavolta tramite la sua filiale tailandese, il cui server si è trovato ad ospitare pagine di phishing contro CartaSì, come riferisce Mikko Hypponen di F-Secure. La sicurezza di Sony è stata insomma compromessa di nuovo e ripulita solo pochi minuti fa. Complimenti, non c’è che dire.
PlayStation Network, update obbligato [UPD 8:50]
Chiaro, no?
Dal blog ufficiale della PlayStation, circa 25 minuti fa:
We have been working on a new PS3 system software update that requires all PSN users to change their password once PlayStation Network is restored. The update (v3.61) is mandatory and is available now.
If using a PS3, your password can only be changed on your own PS3 (or a PS3 on which your PSN account was activated), as an added layer of security. If you have never downloaded any content using your account on the system, an email will be sent to the registered sign-in ID (email address) associated with your account when you first attempt to sign-in to PSN. This e-mail will contain a link that will enable you to change your password. In this email, click on the link and follow the instructions to change your password. Once you have changed your password you can sign-in to your account using your new password.
We strongly recommend that all PSN account holders with PS3s update their systems to prepare for when PlayStation Network is back online. The release of this update is a critical step as we work to make PlayStation Network significantly more secure. Thank you for your continued support and patience.
Dedicato a tutti quelli che “Ma io volevo soltanto giocare ai videogame…”
8:50. Sony ha annunciato poco fa l’inizio del (parziale) ripristino del PlayStation Network (la versione italiana non è aggiornata ed è ferma a cinque giorni fa). Il boss di Sony Kazuo Hirai fa l’annuncio ufficiale, ma l’effetto del personaggio, della scenografia e delle parole fa sembrare che stia suggerendo di visitare le colonie extramondo. Qui c’è una mappa della riattivazione progressiva negli USA.
PlayStation Network “bucato”
Otto giorni di blackout, rubati i dati di 77 milioni di utenti: il disastro del PlayStation Network
È dal 20 aprile scorso che il PlayStation Network di Sony è offline a causa di un’intrusione informatica. Tutti i servizi della console di gioco che dipendono dalla connessione al PSN sono inutilizzabili. Niente gioco collaborativo, niente scaricamento di musica, film e telefilm legali, niente sblocco dei giochi offline lucchettati dal DRM. Come se non bastasse, l’intrusione ha permesso ai malfattori di accedere ai dati dei 77 milioni di utenti del PSN: nomi, indirizzi postali, indirizzi di mail, date di nascita, password e login PSN.
Nel gergo di Internet, questo è quel che si chiama un EPIC FAIL. Specialmente se si considera la clamorosa mancanza di trasparenza sull’accaduto da parte di Sony. I laconici comunicati ufficiali sono molto riluttanti a spiegare come è stata possibile l’intrusione, quali dati sono stati sottratti e soprattutto se fra i dati ci sono o no i codici e le date di scadenza delle carte di credito degli utenti. Un comunicato ufficiale dice che Sony “non è in grado di escluderlo”. Un altro dice che i dati delle carte di credito erano custoditi in forma cifrata: ma è lo stesso che afferma che i dati degli utenti erano “dietro un sistema di sicurezza molto sofisticato”. Non abbastanza sofisticato da tenere fuori gli intrusi, si direbbe. Speriamo che la cifratura dei dati delle carte di credito sia un po’ più “sofisticato”.
In estrema sintesi, se siete utenti del PSN, vi conviene fare quanto segue:
- se avete usato una carta di credito per qualunque attività sul PSN, tenete d’occhio il vostro estratto conto alla ricerca di eventuali addebiti anomali o bloccate la carta;
- sempre se avete usato una carta di credito sul PSN, non abboccate ad eventuali richieste di verifica che vi potrebbero arrivare via mail o per telefono apparentemente da Sony, perché sono trappole pensate per rubarvi anche i codici di sicurezza della carta;
- se avete usato altrove la stessa login e/o password che usate sul PSN, cambiatele, altrimenti chi ha rubato i dati da Sony potrebbe usarli per entrare nei vostri account di posta o nei vostri servizi online.
Le FAQ di Sony sono qui in inglese e (in forma molto più concisa) qui in italiano.
Ci sono alcune segnalazioni di prelievi indebiti dalle carte di credito degli utenti PSN, ma potrebbe anche trattarsi di semplice coincidenza (Vgn365.com; Ars Technica), e c’è chi sta già facendo causa a Sony per mancato rispetto degli standard di sicurezza.
Chi è stato? Per ora non si sa, ma l’ipotesi più probabile è che il furto sia opera del crimine informatico organizzato, con finalità economiche, e non una forma di protesta da parte di Anonymous o una forma di sabotaggio commissionato da paesi ostili.
Maggiori info sono su Sophos.com (uno, due, tre), Wired (uno, due), The Register (uno, due), Ars Technica (uno, due, tre). La mail di avviso di Sony è qui su Pastie.org. Qui, invece, c’è una discussione perlomeno interessante.
PDF censurati, ricompare il trucco della “pecetta”
La pecetta che non pecetta colpisce ancora
Ricordate il dossier Calipari e le sue censure che si potevano togliere con un copia-e-incolla? Molti avevano sospettato che si trattasse di una falla lasciata intenzionalmente. Suvvia, nessuno può essere così scemo da fare una cosa del genere per sbaglio.
All’epoca avevo trovato un paio di altri casi in cui lo stesso errore era già stato commesso disastrosamente, dimostrando secondo me che, come al solito, non è necessario tirare in ballo il complotto quando i (mis)fatti possono essere spiegati dalla semplice incompetenza.
The Register racconta che il documento formale di accusa contro il londinese Gary McKinnon, accusato di aver “bucato” il Pentagono, rivela gli indirizzi IP dei computer attaccati, coperti dalla classica “pecetta”. L’elenco di indirizzi IP include indirizzi del Pentagono, dell’USAF, e di altri server del Dipartimento della Difesa statunitense che McKinnon è accusato di aver attaccato (lui dice di averlo fatto per scoprire la verità sugli UFO).
Il documento con le pecette del piffero è tuttora scaricabile ed è ancora possibile rivelarne le parti nascoste.
Figuraccia per ZoneAlarm a pagamento
Allarme per ZoneAlarm
PI: ZoneAlarm, un update che sa di bug: “L’ultimo update disponibile, rilasciato ufficialmente il 9 giugno, ha causato crash in oltre 50mila computer… Il bug riguarda solamente le versioni commerciali del software, destinate soprattutto all’utenza aziendale su piattaforme Windows XP.
Molti utenti hanno lamentato che all’apertura del browser Internet Explorer, DLL di True Vector causano inaspettatamente il blocco della macchina non appena inizia la ricezione di dati dalla Rete.
L’azienda dichiara di avere giàidentificato ed eliminato il problema… Zone Labs si scusa pubblicamente con i numerosi clienti in tutto il mondo.”
Tablet PC, altro che grande rivoluzione
Un flop per i TabletPC
Secondo la società di rilevamento Canalys, citata nella rivista BusinessNFO di settembre 2004, nel secondo trimestre del 2004 sono stati venduti, nell’area EMEA, soltanto 35.000 Tablet PC.
In confronto, nella stessa area e nello stesso periodo, sono stati venduti tre milioni e mezzo di notebook.
Notebook batte Tablet 100 a 1, insomma. Meno male che doveva essere la grande rivoluzione dell’informatica. Vero Bill?
- « Precedente
- 1
- …
- 3
- 4
- 5
- 6
- Successivo »