Vai al contenuto
Falla epica in macOS High Sierra: accesso locale e remoto senza password. Pronta la patch (doppia)

Falla epica in macOS High Sierra: accesso locale e remoto senza password. Pronta la patch (doppia)

Ultimo aggiornamento: 2017/12/01 11:35.

La falla di sicurezza scoperta in macOS High Sierra da Lemi Orhan Ergin è talmente grave che molti utenti fanno fatica a credere che sia reale. Lo è. Su macOS si può diventare root senza digitare una password [aggiornamento: Apple ha rilasciato la correzione].

Traduzione: la versione più recente del sistema operativo per computer di Apple consente a un aggressore di ottenere diritti di amministratore (root), quindi di essere padrone assoluto del computer, senza conoscerne la password. L’aggressore può quindi installare programmi ostili, cancellare dati, disabilitare la crittografia del disco (FileVault), cambiare le password degli altri utenti, riconfigurare il sistema operativo e altro ancora.

In alcuni casi, questa vulnerabilità è sfruttabile anche via Internet, senza neanche dover accedere fisicamente al computer. Per ora esistono soltanto dei rattoppi temporanei. La falla non è presente nelle versioni precedenti di macOS.

In estrema sintesi, per l’utente Mac comune le raccomandazioni sono queste:

  • se non siete ancora passati a High Sierra, aspettate a farlo;
  • se usate High Sierra, non lasciate incustodito il vostro Mac sbloccato, disabilitate la manutenzione remota e installate subito l’aggiornamento correttivo quando Apple lo rilascerà [aggiornamento: è stato rilasciato].

Gli utenti più esperti possono inoltre disabilitare l’utente Ospite e creare un account root con password robusta per risolvere temporaneamente il problema.

La falla di base è questa: un aggressore che ha accesso fisico al Mac incustodito seleziona il login dell’Utente ospite, va nelle Preferenze di Sistema, clicca su Utenti e gruppi e clicca sul lucchetto per abilitare le modifiche. A questo punto gli viene chiesto di immettere un nome utente e una password di amministratore: normalmente, se l’aggressore non conosce queste informazioni, non può fare nulla e il Mac è protetto.

Ma nella versione attuale di macOS High Sierra (10.13 e 10.13.1), se l’aggressore a questo punto digita root come nome utente e non immette una password ma semplicemente posiziona il cursore nella casella della password, gli basta cliccare su Sblocca ripetutamente (a me sono bastati due tentativi) e ottiene pieno accesso alle impostazioni del Mac.

Da questo momento in poi, l’aggressore ha un account onnipotente sul computer della vittima. Se il computer della vittima ha più di un account (per esempio perché ha lasciato disponibile l’utente Ospite), l’aggressore può rientrare anche dopo un riavvio, e anche a computer bloccato sulla schermata di login: gli basta digitare root senza password per entrare e fare quello che gli pare. Ho verificato personalmente.

Oops.

Questo è un video che dimostra la vulnerabilità:

La falla, tuttavia, ha anche altre manifestazioni: se la vittima ha impostato il proprio computer in modo che sia accessibile e controllabile da remoto (per esempio con VNC) e ha protetto questo accesso con una password, un aggressore può comunque accedere e prendere il controllo del Mac via Internet senza digitare alcuna password e senza alcun accesso fisico preventivo. In altre parole, un disastro. È già partita la caccia ai Mac vulnerabili, facilmente scopribili via Internet. Fra l’altro, la falla era stata segnalata un paio di settimane fa in un forum di Apple (qui, da chethan177 alle 12:48 del 13 novembre).

Per sapere se avete attiva la gestione remota, andate in Preferenze di Sistema – Condivisione e controllate lo stato delle voci Condivisione schermo e Login remoto.

Apple ha dichiarato che sta preparando un aggiornamento software che risolva il problema: nel frattempo consiglia di creare un utente root e di assegnargli una password molto lunga e complicata, come descritto qui in inglese e qui in italiano.

In particolare, se avete provato a replicare questa falla e volete assegnare una password all’utente root che avete involontariamente già creato con il vostro esperimento:

  • andate in Preferenze di Sistema – Utenti e Gruppi;
  • sbloccate le impostazioni usando la vostra password di amministratore;
  • cliccate su Opzioni login;
  • cliccate su Accedi o Modifica (il pulsante accanto a Server account rete);
  • cliccate su Apri Utility Directory;
  • cliccate sul lucchetto e immettete un nome utente e una password di amministratore;
  • dal menu in alto, scegliete Modifica e poi Modifica la password dell’utente root;
  • immettete una password robusta per l’account root. 

Se sapete usare la riga di comando, vi basta aprire una finestra di terminale come amministratore e digitare sudo passwd -u root.

Altre soluzioni sono descritte da ericjboyd (anche qui).

2017/11/29 18:00

Apple ha rilasciato un aggiornamento correttivo. Lo trovate nei consueti aggiornamenti di macOS. Notevole la raccomandazione di “Installare questo aggiornamento il più presto possibile”.

2017/12/01 8:30

È emerso che l’aggiornamento correttivo di Apple rilasciato inizialmente causa problemi nella condivisione di file locali, costringendo gli utenti ad effettuare una procedura (non banale per molti utenti) di ulteriore correzione. Apple ha così rilasciato un ulteriore aggiornamento che corregge la magagna e a quanto pare si installa automaticamente. Per sapere se l‘avete installato, andate nell’elenco degli aggiornamenti nell’app App Store: dovreste trovare due aggiornamenti etichettati Security Update 2017-001.

Fonti: Ars Technica, The Register, Engadget, Gizmodo, Motherboard, 9to5 mac, Intego, Sophos, Spider-Mac.com (in italiano).

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Epic fail: 30 milioni di dati personali riservati messi online

Epic fail: 30 milioni di dati personali riservati messi online

I fallimenti informatici degli altri hanno un’importante funzione consolatoria: se avete rovesciato il caffè nel laptop del capo, potete sempre dire “beh, perlomeno non ho distrutto il server della contabilità”. Oppure, se volete essere realistici, potete dire “beh, perlomeno non ho messo online a portata di tutti i dati personali di trenta milioni di persone”.

È quello che è successo in Sud Africa: i dati di una trentina di milioni di cittadini, con nomi, cognomi, indirizzi, reddito stimato, cronologia occupazionale e molto altro, compreso l’identificativo unico di 13 cifre usato dall’amministrazione pubblica sudafricana, è finito misteriosamente online, come segnala Troy Hunt di HaveIBeenPwned.com. Un archivio di circa 27 GB, perfetto per furti d’identità su vasta scala e già smerciato fra i truffatori della Rete.

I dettagli della fuga di dati, paragonabile per gravità a quella recente di Equifax che ha interessato circa 140 milioni di americani e molti cittadini europei, sono su Iafrikan.com e indicano che i dati sono stati sottratti a una delle grandi aziende che doveva custodirli. Se volete dare un’occhiata senza pericolo, gli header descrittivi dell’archivio sono qui su Pastebin.com.

Ancora una volta, insomma, le aziende che dovrebbero proteggere i nostri dati sensibili, sfruttabili per truffe e crimini di ogni genere, si sono dimostrate incapaci di farlo. Non c’è insomma da stupirsi se poi il cittadino perde fiducia nell’informatizzazione delle amministrazioni pubbliche e dei servizi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Promemoria: se lavori per la sicurezza nazionale, non usare “admin:admin” come login e password

Promemoria: se lavori per la sicurezza nazionale, non usare “admin:admin” come login e password

Credit: Twitter/@stilgherrian.
La foto dell’aggressore
è puramente simbolica.

Se pensate di aver combinato un disastro informatico, consolatevi: è difficile che possa essere peggiore di quello combinato da un’azienda che collabora con il Dipartimento della Difesa australiano.

Stando a quanto pubblicato dal Sydney Morning Herald, l’azienda, di cui non viene fatto il nome ma è descritta come una società del settore aerospaziale con una cinquantina di dipendenti, si è fatta sottrarre circa 30 gigabyte di dati tecnici delicatissimi e dettagliati riguardanti i costosissimi nuovi caccia F-35, gli aerei di sorveglianza P-8 Poseidon, varie navi militari e munizioni di precisione.

Fra i tanti dati sottratti dagli sconosciuti incursori c’è, secondo le testimonianze raccolte, persino uno schema delle nuove navi della marina australiana così dettagliato da mostrare la disposizione delle postazioni in plancia.

L’azienda aveva una sola persona responsabile per la sicurezza informatica, non c’erano le normali misure di protezione (niente DMZ), non venivano installati gli aggiornamenti di sicurezza e la password di amministratore su tutti i server era la stessa. I servizi dell’azienda affacciati a Internet avevano ancora le password predefinite, ossia admin:admin e guest:guest. Gli intrusi sono entrati sfruttando una falla per la quale l’aggiornamento correttivo era disponibile da dodici mesi e sono rimasti nei sistemi informatici per tre mesi, saccheggiandoli, fino a quando le autorità australiane sono state allertate e sono intervenute.

Nonostante queste lacune evidenti, l’azienda era stata comunque certificata per trattare documenti governativi riservati a livello ITAR. Se vi siete mai chiesti come fanno le spie a rubare informazioni nel mondo reale, ora lo sapete: non servono tecniche da Mission: Impossible. Siamo in buone mani.

Fonti aggiuntive: ZDnet, Tripwire, ABC.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Kaspersky accusata (senza prove) di rubare dati all’NSA. Che se li è fatti fregare come una dilettante

Kaspersky accusata (senza prove) di rubare dati all’NSA. Che se li è fatti fregare come una dilettante

Ultimo aggiornamento: 2017/10/06 19:40.

Facciamo un quiz informatico? Premessa: sei un collaboratore esterno o un dipendente dell’NSA. Ti porti a casa documenti e malware segretissimi, usati dall’NSA per penetrare le reti informatiche degli altri paesi e per difendere quelle americane (primo errore). Metti il tutto su un computer non sicuro (secondo errore). Il computer è connesso a Internet (terzo errore). Sul computer c’è un antivirus (quarto errore), che come tutti gli antivirus fa il proprio dovere e quindi rileva la presenza del malware e la segnala via Internet alla casa produttrice.

A questo punto delle spie informatiche legate alla Russia usano l’accesso fornito dall’antivirus per procurarsi una copia del malware dell’NSA prelevandola dal tuo computer e se la studiano, rendendola così inutilizzabile e compiendo l’ennesimo furto di dati ai danni della superagenzia americana. Epic fail.

Domanda: quanto devi essere cretino per fare una sequenza di errori del genere?

Domanda di riserva: quanto sono incompetenti quelli dell’NSA, che non riescono a impedire ai collaboratori di portarsi a casa malware top secret e scelgono ripetutamente gente che fa queste cose?

Questa, a mio avviso, è la vera storia dietro un articolo del Wall Street Journal che invece di sottolineare l’inettitudine dell’NSA tenta di dare la colpa di tutto a Kaspersky Lab, l’azienda russa che produce l’antivirus usato dallo sciagurato collaboratore esterno dell’agenzia (o dipendente, secondo il New York Times), insinuando che Kaspersky collabori con il governo russo senza però presentare prove e usando soltanto fonti anonime (che comunque non dichiarano che Kaspersky abbia attivamente aiutato la Russia a scoprire o rubare questi dati). Per quel che ne sappiamo finora, è molto plausibile che i criminali informatici che hanno sottratto i dati dell’NSA abbiano sfruttato qualche falla del software di Kaspersky senza il consenso dell’azienda.

In effetti, se ci pensiamo, un antivirus è il bersaglio ideale per una campagna di spionaggio: è un prodotto conosciuto e fidato, estremamente diffuso, aggiornato frequentemente, al quale gli utenti concedono per forza di cose un accesso totale ai propri dati. Riuscire a infettare un antivirus o prendere il controllo dei server dove gli utenti dell’antivirus caricano i campioni di malware rilevati sarebbe un colpo gobbo. Quello che è (a quanto pare) successo a Kaspersky, insomma, potrebbe succedere a qualunque produttore di antivirus, e non è detto che gli altri produttori siano immuni alle intrusioni o alle persuasioni delle proprie agenzie di sicurezza nazionale (o di quelle straniere).

Sottolineo che la vicenda è ancora nebulosa, anche se ben riassunta da Ars Technica, e non è chiaro se sia la ragione del recente divieto statunitense di usare prodotti di Kaspersky, su qualunque computer delle agenzie governative, visto che il furto risale al 2015. L’azienda ha negato con forza di aver collaborato con i servizi di spionaggio russi e Eugene Kaspersky in persona ha dichiarato che il suo antivirus ha semplicemente fatto quello che fanno tutti gli antivirus.

Una spy-story in piena regola, con risvolti geopolitici enormi, insomma: ma noi utenti comuni, che magari abbiamo scelto proprio Kaspersky come antivirus, cosa dobbiamo fare? Sicuramente ci conviene continuare a usare un buon antivirus, perché il rischio di essere attaccati da criminali informatici comuni è immensamente superiore (con poche eccezioni altolocate) a quello di essere presi di mira dalle spie informatiche russe. Mettiamola così: se per il governo russo (o per qualsiasi governo) siete un bersaglio informatico allettante, la scelta della marca di antivirus è l’ultimo dei vostri problemi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Molti laptop HP contengono un keylogger che registra ogni digitazione. Ce l’ha messo HP

Molti laptop HP contengono un keylogger che registra ogni digitazione. Ce l’ha messo HP

Credit: @jarwidmark.

Ultimo aggiornamento: 2017/05/12 15:45.

Numerosi modelli di computer portatili venduti da HP registrano di nascosto tutto quello che digitate, comprese le password, consentendo a un malintenzionato di recuperarle facilmente. Non è colpa di un malware installato da chissà chi: il registratore di digitazioni, o keylogger in gergo tecnico, è preinstallato direttamente da HP.

La bizzarra scoperta è opera di una società svizzera di sicurezza informatica, chiamata modzero, che l’ha segnalata pubblicamente in questo articolo e in questa nota tecnica.

Il registratore è integrato in un driver audio della Conexant, specificamente in un file chiamato MicTray64.exe, che intercetta tutte le digitazioni e le registra in un file sul disco rigido del computer presso C:\Users\Public\MicTray.log. Non si sa perché esista questa funzione di registrazione non dichiarata.

Il file MicTray.log può essere letto da qualunque applicazione, per cui un malware che infettasse uno di questi laptop potrebbe leggerselo per rubare tutte le password e tutto quello che viene scritto senza fare nulla che possa allarmare l’antivirus. Allo stesso modo, se un computer viene usato da più di una persona, un utente può sbirciare facilmente tutto quello che è stato scritto dagli altri.

L’unica attenuante è che il file viene azzerato a ogni riavvio, per cui è abbastanza difficile recuperare digitazioni e password del passato (ma in teoria lo si potrebbe fare attingendo a qualche backup).

Secondo modzero, sia HP sia Conexant sono state avvisate a fine aprile ma non hanno risposto costruttivamente e quindi per ora chi ha un computer dotato di questo grave difetto può risolverlo provvisoriamente cancellando il file C:\Windows\System32\MicTray64.exe e l’archivio delle digitazioni presso C:\Users\Public\MicTray.log.

L’elenco parziale dei modelli HP colpiti è qui, ma il problema potrebbe riguardare anche altre marche che usano i driver Conexant.

2017/05/12 15:45. HP ha rilasciato una dichiarazione in proposito, che riporto qui sotto, e il Telegraph segnala che HP ha messo a disposizione tramite Windows Update un aggiornamento che corregge il problema per i modelli del 2016. La correzione per i modelli del 2015 dovrebbe arrivare a breve.

HP is committed to the security and privacy of its customers and we are aware of the keylogger issue on select HP PCs. HP has no access to customer data as a result of this issue. Our supplier partner developed software to test audio functionality prior to product launch and it should not have been included in the final shipped version. Fixes will be available shortly via HP.com

Ancora una volta, purtroppo, è stato necessario rivelare pubblicamente un problema informatico perché contattare privatamente l’azienda responsabile non è servito a nulla.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Giornata difficile? Mai come quella di chi ha rivelato per errore l’esistenza di un supercomputer NSA

Giornata difficile? Mai come quella di chi ha rivelato per errore l’esistenza di un supercomputer NSA

Se pensate che la vostra vita informatica sia una valle di lacrime costellata di errori imbarazzanti, consolatevi. Qualunque scivolone abbiate fatto ultimamente, è difficile che sia grosso come quello di chi ha rivelato per sbaglio l’esistenza di un supercomputer segreto che si sospetta venga usato dall’NSA.

E non si è limitato a rivelarla: ne ha messi online, accessibili a chiunque, anche i dettagli tecnici e i manuali, sparsi su centinaia di pagine di documenti liberamente scaricabili senza digitare password o scavalcare firewall o altro.

La scoperta è stata fatta a dicembre scorso da un informatico che ha comprensibilmente chiesto di restare anonimo e ha raccontato tutto a The Intercept. L’informatico si è accorto, facendo una normale ricerca, che all’Institute for Mathematics and Advanced Supercomputing della New York University c’era un disco di backup connesso a Internet. Questo disco era pieno di documenti dedicati al sistema di supercalcolo finora segreto, denominato WindsorGreen, che secondo gli esperti sarebbe usato dall’NSA per analizzare i sistemi crittografici e trovarne le vulnerabilità oppure per fare decifrazione per forza bruta (tentando centinaia di miliardi di password).

Trovare questi dati era incredibilmente facile usando il motore di ricerca Shodan (e, mi raccomando, non cercate in Google frasi come “DISTRIBUTION LIMITED TO U.S. GOVERNMENT AGENCIES ONLY”, “REQUESTS FOR THIS DOCUMENT MUST BE REFERRED TO AND APPROVED BY THE DOD” oppure “IBM Confidential”). Il disco è stato rimosso da Internet dopo che l’informatico ha avvisato l’università: cosa che gli è stato particolarmente facile fare, perché su quel disco c’era anche la corrispondenza privata dei responsabili dell’istituto con i loro committenti militari.

Quanto è potente questo supercomputer finora segreto? Secondo gli esperti consultati da The Intercept, è largamente superiore a qualunque dei supercomputer suoi contemporanei, perlomeno in campo crittografico. E i documenti risalgono al 2012, per cui chissà cos’altro è già stato realizzato per arrivare a potenze di decrittazione ancora più vertiginose.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Amazon ha mandato in tilt mezza Internet con un errore di battitura

Amazon ha mandato in tilt mezza Internet con un errore di battitura

Ultimo aggiornamento: 2017/03/04 2:00. 

Avete presente il mito secondo il quale Internet, essendo nata come progetto militare, sarebbe in grado di funzionare anche in caso di attacco nucleare? È un mito, appunto, e molti utenti se ne sono accorti molto chiaramente martedì scorso, quando molti dei siti e servizi più popolari di Internet hanno smesso di colpo di funzionare.

Sono andati in tilt siti come Quora, Gizmodo, Slack, Medium, Imgur, Giphy, e molti utenti hanno scoperto che le loro lampadine “smart” e persino i mouse (Razer) dipendevano dalla connessione a Internet.

Il blackout ha colpito soprattutto gli utenti e i siti statunitensi, ma ha avuto ripercussioni in tutto il pianeta. Non si è trattato di un attacco informatico, ma di un incidente che è capitato a un tecnico di Amazon.

Moltissimi siti, infatti, dietro le quinte dipendono dai servizi online di Amazon, gli Amazon Web Services o AWS. Alcuni server di questi servizi Amazon erano lenti, per cui un tecnico ha tentato di sistemare il problema mettendo offline alcuni server di gestione dei pagamenti AWS, come è normale in questi casi.

Ma come spiega Amazon nella sua lettera pubblica di scuse, il comando per metterli offline è stato immesso in modo erroneo e così sono stati scollegati da Internet molti più server del previsto, in particolare quelli del Simple Storage Service (S3), che affittano spazio su disco e in memoria alle app più popolari.

Alcuni di questi sistemi non venivano riavviati completamente da anni, per cui è stato necessario parecchio tempo, circa quattro ore, per rimetterli online in modo sicuro e affidabile. È stato in queste quattro ore che gli internauti si sono resi conto che dai servizi di Amazon passa circa un terzo di tutto il traffico di Internet, e che dipendere totalmente da un unico fornitore di servizi cloud significa che se quel fornitore va in tilt non funziona più niente.

Si potrebbe argomentare che un blackout del genere è l’equivalente di un’interruzione della corrente elettrica, ma non per questo ci equipaggiamo tutti di un generatore elettrico: vero, ma l’equivalenza è un po’ fallace, perché un generatore domestico costa e richiede installazione e manutenzione, mentre progettare lampadine o mouse in modo che possano essere impostati anche senza la connessione a Internet è solo questione di software.

Fonti aggiuntive: Gizmodo, Engadget.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
PewDiePie mollato da Disney e YouTube per video “antisemiti”

PewDiePie mollato da Disney e YouTube per video “antisemiti”

Ultimo aggiornamento: 2017/02/18 7:50.

Grossi guai per PewDiePie (Felix Kjellberg), un popolarissimo Youtuber ventisettenne che vanta 53 milioni di iscritti ai suoi canali video e oltre 9 milioni di seguaci su Twitter e ha incassato (secondo Forbes) la bellezza di 15 milioni di dollari nel 2016: ha appena perso un contratto multimilionario con YouTube e Disney, che prevedeva fra l’altro una serie televisiva via Web di cui PewDiePie sarebbe stato il protagonista principale.

La ragione di questi guai è che PewDiePie ha incluso nei propri video varie immagini filonaziste e antisemite che, tolte dal loro contesto, sono state interpretate dai gruppi neonazisti come una sorta di messaggio in codice di sostegno ai loro deliri razzisti. Il Wall Street Journal le ha segnalate alla Disney, che ha definito “inadatti” i video in questione, che avevano totalizzato 13 milioni di visualizzazioni.

Uno degli spezzoni di video più contestati è quello dell’11 gennaio scorso, in cui PewDiePie mostra due persone indiane che reggono uno striscione con uno slogan violentemente antisemita e ridono (i due uomini hanno dichiarato di non sapere cosa significasse lo striscione). Lo Youtuber dice di averlo realizzato perché voleva dimostrare l’assurdità di siti come Fiverr, dove si può chiedere ad altri utenti Internet di fare qualcosa in cambio di un minimo di cinque dollari.

Ma il risultato è stato non solo la perdita del contratto con Disney e la rimozione da YouTube di due suoi video : come se non bastasse, PewDiePie ha registrato un video nel quale dice “se io facessi un video nel quale dico…” e prosegue, dopo uno stacco, dicendo frasi naziste con espressione seria, invitando gli ascoltatori a ripeterle. Tolte di nuovo dal loro contesto, queste frasi sono state celebrate ripetutamente da uno dei più seguiti siti neonazisti statunitensi (che non cito per non regalargli visibilità).

Felix Kjellberg ha scritto che non vuole in alcun modo sostenere “atteggiamenti d’odio di nessun genere”, ha pubblicato un video di scuse e ha dichiarato che “queste battute erano in ultima analisi offensive” (Capitan Ovvio finalmente è riuscito a farsi sentire), ma al tempo stesso dice di essere vittima di un “attacco personale” dei media tradizionali.

L’accusa di neonazismo o di antisemitismo è forzata (il rimontaggio fuori contesto è evidente), ma di certo PewDiePie, se non gli è passato per la mente che fare “battute” antisemite poco dopo aver ottenuto un contratto con la Disney poteva forse andare storto ha fornito una spettacolare dimostrazione della regola di Internet “Think Before You Post” (“prima di postare, pensa”).

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Criminale informatico lascia qualche piccolo indizio di troppo

Criminale informatico lascia qualche piccolo indizio di troppo

Ultimo aggiornamento: 2016/11/08 15:35.

Mi capita spesso di raccontare storie di criminali informatici che usano tecniche sofisticate e ingegnose, e questo potrebbe far pensare che questo genere di reato sia facile e magari indurre qualcuno in tentazione, ma in realtà la parte difficile di un reato informatico è quella che di solito non si racconta, ossia quella non informatica. In sé violare un sistema informatico può essere alla portata di molti, ma farlo senza lasciare tracce nel mondo reale che permettano agli inquirenti di rintracciare i colpevoli è estremamente difficile.

Anche alcuni aspiranti criminali sottovalutano questa difficoltà. Va ricordato, infatti, che non tutti coloro che pensano di fare soldi illegalmente con l’informatica sono geni del male.

Prendete per esempio Dwayne Cartouche Hans Jr, un ventisettenne americano dello stato di Washington. Nella sua meteorica carriera criminosa, è accusato di aver violato, fra aprile e luglio 2016, un importante sito per la gestione dei pagamenti del governo degli Stati Uniti e di aver dirottato un milione e mezzo di dollari su un conto di cui aveva il controllo.

Ma secondo quanto racconta il Dipartimento di Giustizia statunitense, nel suo piano ci sono state alcune piccole imperfezioni: ha violato il sito governativo usando il proprio computer e il proprio indirizzo IP di casa. Non solo: nelle credenziali che ha usato per avere accesso illecito al sito governativo ha dato il proprio indirizzo di mail, che è dwayne.hansjr@outlook.com.

Come se non bastasse, l’uomo ha poi dirottato i soldi governativi modificando i dati sul sito che aveva violato in modo che al posto di uno dei conti correnti di un beneficiario legittimo ci fosse un conto controllato da lui. In questo modo, quando il governo ha effettuato il pagamento di un milione e mezzo di dollari al beneficiario regolare, i soldi sono finiti invece sul conto gestito dal criminale. Che però aveva aperto quel conto dando il proprio nome e cognome e il proprio indirizzo di casa.

Il pagamento anomalo è stato notato e interrotto prima che Dwayne Cartouche Hans Jr potesse prelevare o ritrasferire i soldi bonificati. Come avrete intuito, a questo punto non è stato particolarmente difficile per l’FBI risalire all’autore del reato. La vicenda ha anche altri risvolti, riportati in dettaglio nella deposizione dell’FBI; ora l’uomo si ritrova accusato di frode telematica, frode informatica e riciclaggio di denaro.

Il Dipartimento di Giustizia, nel suo comunicato stampa, dice che l’arresto del criminale “manda a tutti gli aspiranti cybercriminali un messaggio: vi troveremo e vi condurremo di fronte alla giustizia”. Belle parole, ma va anche detto che in questo caso trovare il criminale non richiedeva esattamente un fiuto da Sherlock Holmes. E in ogni caso agli inquirenti spesso basta che il malfattore commetta una singola svista invece del poker di pasticci confezionato da Dwayne Cartouche Hans Jr.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
È bastata una mail per fregare l’account di posta al capo della campagna Clinton

È bastata una mail per fregare l’account di posta al capo della campagna Clinton

Credit: The Smoking Gun

Pochi giorni fa ho raccontato l’epic fail informatico di John Podesta, capo della campagna presidenziale di Hillary Clinton, che si è fatto fregare gli account iCloud e Twitter perché non erano protetti dalla verifica in due passaggi nonostante fosse chiaramente sotto attacco, visto che le sue mail riservate di lavoro erano finite in mano a Wikileaks. Ma come c’erano finite? Ora lo sappiamo, e non è una bella storia.

Secondo l’analisi della società di sicurezza informatica SecureWorks, pubblicata su Motherboard, John Podesta si è fatto soffiare la casella di mail di lavoro (su Gmail) perché il 19 marzo scorso ha cliccato su un link ostile in una finta mail di allerta apparentemente proveniente da Google. Il link portava a una finta pagina di login di Gmail, precompilata con il suo indirizzo, nella quale il malcapitato ha presumibilmente immesso la propria password, regalandola così agli spioni.

La stessa cosa è successa tre giorni dopo a William Rinehart, un membro dello staff della campagna presidenziale Clinton, e a molti altri giornalisti e componenti dello staff di Hillary, in un attacco che secondo gli esperti è di matrice governativa russa.

Chiunque ne sia l’artefice, sembra incredibile che tutte queste persone in posizioni di grandissima responsabilità abbiano abboccato all’esca e non sappiano che non si deve mai, mai, mai cliccare su un link in un messaggio d’allerta, non importa chi ne è il mittente apparente, e specialmente se il link è mascherato tramite un abbreviatore come Bit.ly (per esempio, http://bit.ly/2eppfIw porta al mio articolo precedente sul caso Podesta).

Nel loro resoconto, gli esperti di SecureWorks sottolineano queste raccomandazioni e aggiungono un trucco: per sapere dove porta un link abbreviato basta copiaincollarlo nella casella del browser e aggiungergli un “+” in coda (per esempio http://bit.ly/2eppfIw+): si viene portati in modo sicuro al sito di Bit.ly, che mostra il link di destinazione esteso.



Fonte aggiuntiva: Esquire.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.