Vai al contenuto
Come prendere il controllo di un’auto via Internet

Come prendere il controllo di un’auto via Internet

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo
aggiornamento: 2015/07/25 19:20.

Credit:
Andy Greenberg/Wired

Se siete proprietari di una Jeep della Fiat Chrysler (FCA) e leggete le notizie
su Internet probabilmente siete un po’ angosciati. L’esperto di sicurezza
informatica Charlie Miller ha infatto realizzato una dimostrazione spettacolare
della vulnerabilità di questo modello d’automobile agli attacchi informatici a
distanza.

Come racconta
Wired, anche con un video eloquente, Miller è infatti riuscito dapprima a prendere
il controllo dell’aria condizionata della Jeep Cherokee guidata dal giornalista
che si era offerto come cavia, poi ha cambiato la stazione radio e ha messo il
volume al massimo. I comandi a bordo per abbassare il volume non funzionavano
più. Poi si sono accesi i tergicristalli e lo schizzo del lavavetri ha oscurato
la vista al conducente.

Non contento, Miller ha fatto comparire sullo schermo digitale dell’automobile
la propria immagine insieme a quella del collega Chris Valasek. Fatto questo, ha
disabilitato l’acceleratore e poi i freni, per cui i pedali non avevano più
effetto. Uno scenario da incubo per qualunque automobilista. E tutto questo è
stato possibile senza che l’informatico toccasse l’auto o vi si avvicinasse:
l’intero attacco è avvenuto via Internet. E a questo punto l’incubo ce l’hanno
le case automobilistiche, che per anni hanno ignorato gli avvertimenti degli
esperti e hanno trasformato le auto in computer su ruote senza pensare alle
implicazioni di sicurezza. L’idea che ci sia un sistema di controllo remoto di
sistemi vitali come i freni o l’acceleratore è pura pazzia.

Tutto questo è possibile perché è stata fatta un’altra scelta tecnica di rara
incoscienza: il ricco sistema di intrattenimento di bordo, battezzato
Uconnect,
è collegato al sistema di guida dell’auto. Consente di gestire la radio,
le telefonate cellulari e persino un accesso Wi-Fi. Miller ha approfittato di un
elemento della connessione cellulare che per ora, responsabilmente, non ha
identificato pubblicamente ma che è facilmente intuibile: per attaccare un’auto
dotata di questo sistema gli basta conoscere l’indirizzo IP della vettura. I
dettagli verranno resi pubblici prossimamente in una conferenza a Las Vegas e
sono già stati forniti mesi fa alla casa automobilistica, che ha predisposto un
aggiornamento di sicurezza.

Ebbene sì: adesso bisogna scaricare e installare gli aggiornamenti anche nelle
auto.

Per evitare inquietudini inutili, va precisato che sono affette da questa
vulnerabilità soltanto le auto dotate del sistema Uconnect vendute negli Stati
Uniti, quindi quelle acquistate in Europa non dovrebbero avere problemi. Ma
resta l’interrogativo di fondo: quante altre case automobilistiche hanno
commesso lo stesso incredibile errore di progettazione? Se Charlie Miller non
avesse scoperto il difetto, la casa automobilistica lo avrebbe trovato? E se non
fosse stata organizzata una dimostrazione discutibile ma spettacolare, FCA
sarebbe intervenuta prontamente?

La sicurezza informatica delle nostre automobili è stata presa incredibilmente
sottogamba da parte di tutto il settore automobilistico. Ora, finalmente, questa
dimostrazione renderà un po’ più consapevoli del problema.

Aggiornamento (2015/07/24 20:00): FCA ha pubblicato un
comunicato
con alcuni dettagli di marche e modelli coinvolti e con istruzioni su come
rimediare al problema. Sono coinvolti circa 1,4 milioni di veicoli, tutti
venduti negli Stati Uniti e dotati di radio con touchscreen da 8,4 pollici: Ram
1500 Pickup 2013-2014, Ram 3500 Cab Chassis 2013-2014, Ram 2500 Pickup
2013-2014, Ram 4500/5500 Cab Chassis 2013-2014, Ram 3500 Pickup 2013-2014, Grand
Cherokee 2014, Durango 2014, Viper 2013-2014, Cherokee 2014 e alcune Chrysler
200 del 2015.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
BlueBleed, a spasso i dati privati di oltre 150.000 organizzazioni grazie ai cloud malconfigurati

BlueBleed, a spasso i dati privati di oltre 150.000 organizzazioni grazie ai cloud malconfigurati

Questo articolo è disponibile anche in
versione podcast audio.

Il 19 ottobre scorso Microsoft ha
annunciato
che i dati riservati di alcuni suoi clienti e potenziali clienti sono stati
resi pubblicamente accessibili via Internet a causa di un suo errore di
configurazione. I dati includono dettagli delle strutture aziendali, le
fatture, i listini prezzi, i dettagli dei progetti, i nomi e numeri di
telefono dei dipendenti e il contenuto delle loro mail.

L’azienda minimizza e nota che l’errore è stato corretto poco dopo la sua
segnalazione da parte della società di sicurezza informatica SOCRadar il 24
settembre scorso, ma
alcuni
esperti
non sono altrettanto rassicuranti.

I dati sono stati infatti catalogati da siti come
Grayhat Warfare e come
avviene sempre in questi casi non c’è modo di sapere quanti malintenzionati
hanno avuto il tempo di procurarsene una copia.

Secondo l’avviso pubblicato da SOCRadar, il problema non riguarda soltanto Microsoft ma tocca anche Amazon e Google,
che hanno malconfigurato vari server contenenti dati sensibili dei propri
clienti aziendali.

SOCRadar ha raccolto le informazioni su queste violazioni di riservatezza in
un’apposita pagina del proprio sito, che consente di sapere se un’azienda è coinvolta o meno digitandone il nome
di dominio nella casella di ricerca, e ha dato alla vicenda il nome
BlueBleed.

In totale sono circa 150.000 le aziende interessate, che appartengono a 123
paesi. Le mail rese troppo visibili sono circa un milione e gli utenti sono
circa 800.000. Responsabilmente, SOCRadar non rivela i dati ma si limita a
dire se sono presenti o meno negli archivi resi eccessivamente accessibili dai
servizi cloud di Microsoft, Amazon e Google. Se la vostra azienda usa
servizi cloud di questi tre grandi nomi è opportuno dedicare un minuto
a un controllo per vedere se è fra quelle coinvolte.

Va ricordato che i dati ottenuti da fughe di questo genere vengono solitamente
utilizzati dai criminali online per ricatti ed estorsioni o per carpire
illecitamente la fiducia dei dipendenti di un’azienda presa di mira
manifestando di conoscere informazioni aziendali riservate, ma vengono anche a
volte semplicemente rivenduti al miglior offerente, per cui non è mai il caso
di ignorare segnalazioni di cloud colabrodo come questa. 

2022/10/27 8:45. I bucket lasciati aperti non sono finiti:

 

Fonte aggiuntiva:
Bleeping Computer, Graham Cluley.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Attenzione ai documenti Word, una falla di Windows consente di usarli per attacchi informatici

Attenzione ai documenti Word, una falla di Windows consente di usarli per attacchi informatici

Ultimo aggiornamento: 2022/06/02 9:00.

Morto un malware se ne fa un altro, si potrebbe dire: si è appena concluso
felicemente il problema di
Flubot
e già siamo alle prese con un nuovo aggressore informatico, che stavolta
colpisce gli utenti di Microsoft Word e Windows tramite documenti Word infettanti.

Lo fa sfruttando una vulnerabilità, presente in tutte le versioni recenti di
Office e di Windows, che sorprendentemente riesce ad agire anche se sono state disabilitate
le macro, che sono un vettore abituale di attacco, e anche se il documento
Word non viene aperto ma soltanto visualizzato da un’anteprima in Esplora
file.

Una volta avviato l’attacco, l’aggressore può prendere il controllo
sostanzialmente completo del computer della vittima, per esempio installando programmi o guardando, modificando o cancellando dati a suo piacimento. Un bel guaio, insomma.

Microsoft non ha ancora diffuso un aggiornamento di sicurezza che corregga il
problema, e la falla viene già sfruttata attivamente dai criminali
informatici, ma i principali antivirus riconoscono già i documenti Word infettanti e quindi proteggono abbastanza bene gli utenti.

La vulnerabilità è stata soprannominata Follina dal ricercatore di
sicurezza Kevin Beaumont; un nome strano, visto che
Follina
è una località italiana in provincia di Treviso. Ma non c’è alcun intento di
accusare i follinesi di essere artefici di attacchi informatici: Beaumont ha
semplicemente visto che uno dei primi esemplari di documento Word infetto si
chiamava
05-2022-0438.doc e il significato della prima parte del nome gli pareva
ovvio (“maggio 2022”) ma non riusciva a spiegarsi lo 0438. Ha notato
che 0438 era il prefisso telefonico di Follina, e così lo ha
scelto
come nome facilmente ricordabile per questa vulnerabilità, che altrimenti
sarebbe identificata formalmente dall’assai meno memorabile sigla tecnica
CVE-2022-30190. Gli informatici sono fatti così.

La vulnerabilità viene sfruttata almeno da aprile scorso, quando sono stati
segnalati a Microsoft dei documenti Word, costruiti appositamente per
utilizzarla, che fingevano di essere richieste di interviste dell’agenzia di
notizie russa Sputnik. Ma ci sono anche altri esempi di attacco informatico
che usano questa falla, per esempio ad opera di gruppi criminali cinesi e per
rubare password

Una volta scoperta, insomma, questa vulnerabilità ha cominciato a circolare fra i malviventi
informatici, che stanno usando i pretesti emotivi più disparati per incuriosire le
vittime e indurle a scaricare e visualizzare il documento Word infettante. Uno
dei
primi casi
di Follina, per esempio, si presentava come una denuncia di un’infedeltà di
coppia, corredata da foto compromettenti e da una promessa di vendetta e
ricatto: una tentazione morbosamente irresistibile per molti utenti. 

In attesa che Microsoft distribuisca un aggiornamento correttivo,
sono state pubblicate delle
istruzioni tecniche
per disabilitare le funzioni di Windows che rendono possibile la falla. In
sostanza si tratta di modificare una chiave del Registro di Windows che riguarda il servizio Microsoft Support Diagnostic Tool (MSDT), come
descritto
per esempio da Paul Ducklin di Sophos, cosa che però molti utenti non sono in
grado di fare. Per cui se usate Windows vi conviene aggiornare il vostro antivirus, fare molta
attenzione ai documenti Word inattesi, specialmente se hanno contenuti che
possono stuzzicare la curiosità, e aspettare con impazienza l’aggiornamento di Microsoft. 

Per i più coraggiosi, le istruzioni per disabilitare temporaneamente la chiave del Registro sono queste:

  1. Eseguire il Prompt dei comandi come Amministratore.
  2. Fare una copia di backup della chiave, dando il comando reg export HKEY_CLASSES_ROOT\ms-msdt nome_file (dove nome_file è il nome del file nel quale salvate il backup)
  3. Eseguire il comando reg delete HKEY_CLASSES_ROOT\ms-msdt /f.

 

Fonti aggiuntive:
Huntress,
Cisa.gov,
Graham Cluley, Ars Technica,
The Register,
BleepingComputer.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Aggiornate Zoom, fino alla versione 5.10.0 basta un messaggio in chat per infettare PC, Mac e telefoni

Se usate Zoom, la popolarissima app per videoconferenze, aggiornatela subito: le versioni fino alla 5.10.0 compresa hanno una serie di falle di sicurezza importanti, che hanno un effetto sorprendente. Consentono infatti a un aggressore di usare la funzione di chat di Zoom per installare malware sul dispositivo della vittima, senza che la vittima debba fare nulla. In pratica, se l’aggressore è in una chat di Zoom con voi, può prendere il controllo del vostro computer, tablet o telefonino.

Il problema riguarda l’app di Zoom su Android, iOS, Linux, macOS e Windows. Per risolverlo, Zoom va aggiornato alla versione 5.10.1 o successiva.

La falla, composta in realtà da una serie di difetti concatenati (CVE-2022-22784, 785, 786 e 787) è stata scoperta da Ivan Fratric, un ricercatore informatico che fa parte del Project Zero di Google dedicato alla ricerca di vulnerabilità nelle app. La scoperta risale a febbraio, ma è stata resa pubblica solo il 24 maggio scorso.

Fonti: The Register, Ars Technica, The Hacker News.

 

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Informatico prende il controllo di alcune decine di Tesla. Ha sfruttato una falla di un’app non-Tesla

David Colombo.
Credit:
Bloomberg.

Ultimo aggiornamento: 2022/02/04 11:30.

Un diciannovenne tedesco, David Colombo, ha fatto prendere uno spavento a
tanti possessori di auto elettriche Tesla: ha
dichiarato
pubblicamente, pochi giorni fa, di essere riuscito a prendere il controllo
remoto di una ventina di queste automobili, che come tante auto moderne sono
costantemente connesse a Internet. 

Ha detto di aver fatto sbloccare le loro portiere, abbassare i finestrini,
suonare il clacson. Colombo ha anche affermato di essere riuscito ad
accedere a molti dati personali dei proprietari di questi veicoli e ad
attivare la funzione di guida senza chiave, quella che consente di condurre il
veicolo anche se il guidatore non ha con sé la speciale chiave o tessera
elettronica che sblocca l’auto. 

Una mappa dei viaggi di un utente Tesla in California, acquisita da David
Colombo e pubblicata da
TechCrunch.

Ma niente panico: David Colombo si è comportato in maniera responsabile e non
ha divulgato al mondo i dettagli della sua tecnica. Però li ha comunicati a
Tesla e soprattutto ai gestori di
TeslaMate, che è
una popolare app di telemetria, realizzata da privati non associati a Tesla.
Infatti la falla non era nel software originale di Tesla, ma nell’app non
ufficiale (TeslaMate), che non custodiva correttamente le chiavi digitali dei
proprietari che si affidavano all’app e in particolare non proteggeva
adeguatamente la cosiddetta API Key.

Dopo che Tesla e TeslaMate hanno corretto l’errore che aveva consentito a
Colombo di prendere il controllo delle auto, il giovane informatico ha
pubblicato
il metodo di intrusione che aveva utilizzato, spiegando che le auto erano
vulnerabili soltanto se i proprietari usavano l’app TeslaMate. Tutti quelli
che usavano soltanto l’app ufficiale di Tesla non erano a rischio. Colombo ha
ribadito
che la colpa della vulnerabilità era principalmente degli utenti incauti.

Gli errori dell’app non ufficiale, comunque, erano piuttosto grossi: il
pannello di controllo dell’app consentiva l’accesso anonimo e l’uso di
password predefinite che molti utenti non cambiavano.  Quando Colombo si
è accorto della situazione, ha avviato una scansione di tutta Internet alla
ricerca di pannelli di controllo di TeslaMate accessibili da remoto e ne ha
trovati parecchi nel Regno Unito, in Europa (Germania, Belgio, Finlandia, Danimarca, Italia, Irlanda, Francia, Austria e Svizzera), in Canada, in Cina e negli Stati
Uniti.

A quel punto il suo problema principale è diventato quello di allertare i
proprietari senza violare la loro sicurezza, ma si è dovuto arrendere di
fronte all’impossibilità di farlo in troppi casi. E così ha pubblicato la sua
generica segnalazione iniziale.

Sia Tesla, sia TeslaMate hanno reagito molto rapidamente,
correggendo
il problema nel giro di poche ore, ma episodi come questo sottolineano la
delicatezza dei veicoli connessi a Internet di qualunque marca: se non vengono
adottati standard elevati di sicurezza e se non si educano gli utenti ad
essere altrettanto diligenti nell’uso delle password e di app non ufficiali,
incidenti come questo capiteranno ancora. 

Siate prudenti e, se avete un’auto iperconnessa o comunque comandabile da
remoto, custodite la sua password con la stessa attenzione con la quale
custodite le sue chiavi. La gestione remota è una grande comodità, ma comporta
anche nuove abitudini di sicurezza.

Fonti: David Colombo (comunicazione personale),
TechCrunch,
Bloomberg,
Business Insider.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Panico da Log4Shell: cosa c’è da sapere e da fare

Da alcuni giorni, precisamente dal 9 dicembre scorso, c’è un panico
informatico diffuso a proposito di Log4Shell, che secondo molti esperti
è una delle falle di sicurezza più gravi di sempre e la
peggiore del decennio.

Provo a fare il punto della situazione e chiarire cosa possiamo fare noi
comuni mortali per evitare problemi.

In estrema sintesi, la falla consiste in questo: in molti siti e giochi online
basta scrivere una particolare sequenza di caratteri che inizia con
${jndi: per mandarli in tilt o addirittura prenderne il
controllo. Non serve conoscere password o altro.

Per esempio, può essere sufficiente digitare nella chat di Minecraft
quella particolare sequenza di lettere e simboli per prendere il controllo dei
computer degli altri utenti o di un server Minecraft oppure causare altri
danni, come
mostra in dettaglio l’informatico John Hammond.

Un altro esempio: nei giorni scorsi se si cambiava il nome del proprio iPhone
nelle sue impostazioni e si usava come nome quella sequenza di caratteri, era
possibile
far scattare questa vulnerabilità nei server di Apple

Fra i siti che sono stati colpiti ci sono Steam, iCloud di Apple, Microsoft, Cisco, Amazon, Twitter, Tesla, Cloudflare e tanti altri. Trovate un elenco di questi siti, con i relativi screenshot, qui su Github.

Gli esperti di sicurezza hanno già pubblicato gli aggiornamenti correttivi, e
moltissime aziende li hanno installati e hanno pubblicato
apposite pagine informative per i loro utenti, ma non tutti i responsabili dei siti e tutti gli utenti li hanno
installati, e quindi restano ancora molte persone e organizzazioni esposte e
vulnerabili.

In estrema sintesi: 

  • se gestite un server esposto a Internet, installate subito
    gli aggiornamenti della cosiddetta libreria software di logging denominata log4j, se la usate;
  • se siete utenti comuni, installate appena possibile tutti gli
    aggiornamenti di tutte le app che usate su qualunque dispositivo: computer,
    tablet, smartphone, router, stampanti, eccetera;
  • in ogni caso, non fidatevi di inviti o avvisi che vi propongono di scaricare presunti “antivirus” o correzioni da siti mai visti prima: usate soltanto le normali procedure di aggiornamento;
  • non fate l’errore di pensare “ma io uso Mac / Linux / Windows e quindi non sono vulnerabile”. Questa falla colpisce un po’ tutti: un elenco molto dettagliato dei software vulnerabili è su Github.  

Il Centro nazionale svizzero
per la cibersicurezza (Ncsc.admin.ch) ha pubblicato una pagina
riassuntiva,
disponibile anche in italiano, e un
avviso tecnico
molto più dettagliato in inglese. Anche Microsoft ha un’apposita pagina informativa e la vulnerabilità è classificata formalmente con la sigla CVE-2021-44228.

Schema d’attacco tratto da Ncsc/Govcert.ch.

Il Govcert svizzero sta contattando le organizzazioni svizzere che risultano ancora vulnerabili. È infatti possibile verificare a distanza se un sito o un server connesso a Internet non è stato aggiornato.

Gli attacchi che sfruttano questa falla e colpiscono chi non si è aggiornato sono già in corso: finora gli aggressori mettono a segno l’attacco installando sui server non aggiornati dei programmi che servono a effettuare altri attacchi (DDOS), tentare estorsioni (ransomware) o sfruttare i computer altrui per generare criptovalute. Secondo quanto scrive Microsoft, molti attacchi provengono da gruppi in Cina, Iran, Corea del Nord e Turchia.

Greynoise pubblica un quadro della situazione qui. Gli attacchi lanciati finora sono almeno 840.000.

 —-

Se vi state chiedendo come sia possibile un disastro del genere, per cui basta scrivere qualcosa in una casella di chat per attaccare un sito, la spiegazione è che Log4J è una libreria software, ossia una serie di
istruzioni di programmazione, che viene usata da moltissime applicazioni,
soprattutto nei computer collegati in rete. Serve a fare il cosiddetto
logging, ossia a registrare tutto quello che avviene sui quei computer:
per esempio quale utente ha fatto una certa cosa, quando l’ha fatta, da che
dispositivo l’ha fatta, eccetera.

È una libreria libera e gratuita, per cui la
possono usare tutti liberamente, e infatti la usano moltissime aziende.

Questa libreria ha un difetto: non controlla bene il contenuto dei dati che
registra. Se un utente ostile fa in modo che nel log ci sia quella sequenza di caratteri che ho citato prima (per esempio la usa come nome del proprio telefonino oppure come User agent del proprio browser), Log4J riceve la sequenza e la interpreta come istruzioni da eseguire. Un errore classico e clamoroso, spiegato in dettaglio qui da Sophos.

Se volete saperne di più: LunaSec (anche qui), Minecraft.net (anche qui), Howtogeek, Ars Technica (anche qui e qui), Graham Cluley, Gizmodo, Sophos.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Disabilitare il Wi-Fi di un iPhone usando semplicemente il nome di una rete Wi-Fi

Per mandare in crisi un iPhone o un iPad è sufficiente collegarlo a una rete
Wi-Fi con un nome particolare. Lo ha segnalato Carl Schou su Twitter pochi
giorni fa.

Se il nome (SSID) della rete Wi-Fi al quale si collega è %p%s%s%s%s%n,
il dispositivo Apple perde completamente la capacità di collegarsi a qualunque
rete Wi-Fi, e riavviarlo non risolve il problema. Il difetto è presente in tutte le versioni recenti di iOS/iPadOS, compresa la 14.6.

L’unico modo per riattivare il Wi-Fi sull’iPad o iPhone è andare in
Impostazioni – Generali – Ripristina – Ripristina impostazioni rete.
Bisognerà poi reimmettere tutti i parametri della propria connessione Wi-Fi.

Perché mai qualcuno dovrebbe usare un nome così bizzarro per una rete Wi-Fi?
Per esempio per fare burle pesanti o vandalismi. Un malintenzionato potrebbe
dare questo nome alla propria rete Wi-Fi in modo da paralizzare gli iPhone o
iPad altrui che tentano di collegarsi a scrocco. Questa falla non colpisce i
dispositivi Android o Windows, per cui qualcuno che ce l’ha con Apple potrebbe sfruttarla per danneggiare soltanto i dispositivi di questa marca. 

Sì, gente così
esiste. Già circolano gli scherzi, tipo questo, che consiglia crudelmente agli utenti iPhone di usare quel nome per il proprio Wi-Fi per rendere più veloce la connessione:

Apple non ha rilasciato dichiarazioni in proposito e non si sa se il difetto verrà corretto. 

Il motivo per cui questo nome di Wi-Fi ha quest’effetto è che questi caratteri con il simbolo di percentuale vengono usati come istruzioni di formattazione in alcuni linguaggi di programmazione, ed iOS e iPadOS accettano questi caratteri come nome di Wi-Fi senza controllarli, scartarli o convertirli: è una uncontrolled format string, una vulnerabilità classica che non dovrebbe esserci in un sistema operativo moderno.

Il consiglio, ovviamente, è non collegarsi mai ai Wi-Fi di sconosciuti, specialmente se hanno nomi che contengono
caratteri bizzarri. E di non credere ciecamente a tutti i “consigli per velocizzare” che si trovano su Internet.

Fonti aggiuntive: Ars Technica, Engadget, BleepingComputer, AppleInsider.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Usate Microsoft Office? Aggiornatelo: ci sono vecchie falle da turare

Cybersecurity360.it segnala che ci sono quattro vulnerabilità di sicurezza in
Microsoft Office che “se sfruttate con successo, potrebbero consentire a
un attaccante di creare documenti Word ed Excel contenenti codici
malevoli con cui attaccare i sistemi non aggiornati.“

Le falle (CVE-2021-31174, CVE-2021-31178, CVE-2021-31179 e CVE-2021-31939)  sono state scoperte a febbraio e rese note ora, in occasione del rilascio dei rispettivi aggiornamenti correttivi. Le prime tre sono state corrette con gli aggiornamenti di maggio 2021, mentre l’ultima è stata corretta con il Patch Tuesday di giugno.

Si sospetta che queste falle siano presenti da anni in Office, perché sono state trovate nel codice legacy per Excel 95, per cui chi usa versioni vecchie di questa suite può essere a rischio. Installate quindi subito gli aggiornamenti di sicurezza di MS Office e installate la versione più recente della suite.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Falla (risolta) in Facebook frutta 40.000 dollari al suo scopritore

Falla (risolta) in Facebook frutta 40.000 dollari al suo scopritore

Capita spesso di parlare dei pericoli e delle falle di Internet e dei loro danni; capita meno spesso di poter raccontare di un pericolo scampato e sventato dietro le quinte. Ma stavolta si può fare: a ottobre del 2016 un informatico, Andrey Leonov, si è accorto che in Facebook era rimasto annidato un difetto in un componente usato da molti siti per la gestione delle immagini. Il difetto, chiamato dagli addetti ai lavori ImageTragick, stava causando grave scompiglio in tutta Internet, perché era sfruttabile da chiunque semplicemente inviando a un sito un’immagine appositamente confezionata.

In pratica, qualunque sito che consentisse agli utenti il caricamento di immagini poteva essere attaccato e in molti casi scardinato, prendendone il controllo. Ovviamente Facebook, essendo un social network basato proprio sul caricamento di immagini da parte degli utenti, era un bersaglio molto esposto e molto appetibile.

Leonov avrebbe potuto sfruttare la propria scoperta per attaccare Facebook, oppure venderla sul mercato nero del crimine informatico, come purtroppo fanno in molti, ma ha scelto un’altra strada: ha tenuto segreta la scoperta, condividendola soltanto con gli addetti alla sicurezza di Facebook. Il social network ha corretto la falla nel giro di tre giorni. Gli utenti, oltre un miliardo e mezzo in tutto il mondo, non si sono accorti di nulla.

Ê andata davvero bene, perché il difetto del componente usato da Facebook era noto pubblicamente da alcuni mesi e se un malintenzionato si fosse accorto, prima di Leonov, che il difetto era presente anche in Facebook avrebbe potuto prendere il controllo dei server del social network (i computer che ospitano i dati caricati e pubblicati dagli utenti) e manipolarli o cancellarli in massa. Sarebbe stato un disastro.

L’informatico ha mantenuto il riserbo sulla vicenda fino a pochi giorni fa, quando ne ha pubblicato i dettagli rivelando anche un ulteriore lieto fine molto particolare: una ricompensa di 40.000 dollari, datagli da Facebook una settimana dopo la risoluzione del problema per aver gestito in modo responsabile la scoperta della vulnerabilità, usando gli appositi canali di comunicazione.

Il social network di Zuckerberg non è l’unico sito che offre ricompense in denaro per chi segnala in modo sicuro e responsabile i difetti e le vulnerabilità (i cosiddetti bug bounty): lo fanno quasi tutti i principali siti e servizi di Internet, come Google, Apple e Microsoft. Ma ci sono molte aziende che preferiscono ignorare le segnalazioni e far finta di niente, mettendo così a rischio la sicurezza degli utenti. Di solito questo significa che dopo un lasso di tempo ragionevole la falla verrà resa pubblica oppure venduta ai criminali: in entrambi i casi le conseguenze saranno pesanti. E tutta questa guerra avviene quasi ogni giorno dietro le quinte di Internet.

Fonti aggiuntive: Graham Cluley.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Scopre falle informatiche, ricompensato con 100.000 dollari. Due volte

Scopre falle informatiche, ricompensato con 100.000 dollari. Due volte

Il ricercatore di sicurezza informatica è uno di quei mestieri che di solito si fanno per vocazione e passione, ma ogni tanto può essere anche fonte di guadagno tutt’altro che trascurabile.

Prendete il caso di Gzob Qq (non è il suo vero nome, che è ignoto): a settembre dell’anno scorso ha scoperto una grave falla in Chrome OS, il sistema operativo usato dai computer Chromebook di Google, e l’ha segnalata a Google. L’azienda lo ha ricompensato con 100.000 dollari.

È già un bel risultato, ma poco tempo fa lo stesso ricercatore ha trovato un’altra falla in Chrome OS e si è aggiudicato altri centomila dollari di premio.

Non è l’unico caso: nel 2014 George Hotz aveva trovato una serie di falle importanti, sempre in Chrome OS, e si era aggiudicato un premio di 150.000 dollari, come racconta Naked Security.

Ricompense di questo livello richiedono competenze elevatissime e investimenti di tempo ingenti, ma esistono anche maniere relativamente più semplici di essere premiati per aver trovato una falla: per esempio, c’è il Google Play Security Reward Program, che offre mille dollari per ogni vulnerabilità scoperta in un’app Android di Google o di altri fornitori molto noti come Alibaba, Dropbox, SnapChat o Tinder.

Come mai tanta generosità? Alle aziende informatiche questi bug bounty costano meno di quanto costerebbe assumere a tempo pieno dei ricercatori di sicurezza e offrono pubblicità gratuita facendo parlare del proprio prodotto. Noi utenti, in cambio, abbiamo delle applicazioni meno insicure. Per cui se vi piace studiare la sicurezza informatica, datevi da fare: ma ricordatevi di seguire le linee guida per la gestione responsabile delle vostre scoperte.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.