Vai al contenuto
Trova una falla in iPhone, iPad e Mac, incassa 75.000 dollari

Trova una falla in iPhone, iPad e Mac, incassa 75.000 dollari

Cose da fare quando sei chiuso in casa: guadagnare 75.000 dollari, e farlo legalmente. È quello che è riuscito a fare un ricercatore di sicurezza, Ryan Pickren, che ha scoperto una serie di falle tecniche che consentivano di prendere il controllo da remoto della telecamera degli iPhone, degli iPad e dei laptop Apple.

In Safari, il browser di Apple, c’erano infatti ben sette vulnerabilità (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 e CVE-2020-9787). Concatenandone tre in modo astuto e corretto, permettevano a un sito ostile di accedere alla telecamera e al microfono della vittima, due delle risorse che Apple protegge maggiormente per ovvie ragioni.

Tutto quello che doveva fare la vittima era aver autorizzato in precedenza l’uso della telecamera e del microfono da parte di una qualsiasi app di Apple, cosa che fanno praticamente tutti, e visitare il sito ostile con Safari (cosa facilissima da ottenere con un classico messaggio “clicca qui per vincere un premio” o simile).

Pickren ha segnalato il problema con la massima discrezione ad Apple, che ha un bug bounty, ossia un programma di ricompense per chi segnala in maniera responsabile i difetti dei suoi prodotti, e l’azienda lo ha ringraziato dandogli appunto 75.000 dollari.

Niente panico: le falle più gravi sono state risolte dalle versione 13.0.5 in poi di Safari, uscita a fine gennaio, e le altre sono state messe a posto con Safari 13.1 a fine marzo. Se non avete ancora aggiornato Safari, fatelo.

Se vi interessano i dettagli tecnici delle scoperte di Pickren, li trovate qui in versione estesa e qui in sintesi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Informatici trovano falle nel sito di una compagnia aerea: ricompensati con un milione di miglia gratuite

Informatici trovano falle nel sito di una compagnia aerea: ricompensati con un milione di miglia gratuite

In questi giorni grazie alla vicenda di HackingTeam si parla parecchio di come gli informatici trasformano in moneta sonante le proprie scoperte di falle di sicurezza vendendole sul mercato nero a gruppi criminali o a società che lavorano per governi, ma ci sono modi meno controversi di trarre guadagno dalla bravura informatica. Esistono infatti i cosiddetti bug bounty, ossia premi dati a chi trova e segnala in modo responsabile le falle di un software o di un sito.

Un bell’esempio di questi bug bounty arriva dagli Stati Uniti, dove la compagnia aerea United ha ricompensato due informatici per aver scoperto e segnalato responsabilmente (in privato, senza discuterne pubblicamente) delle falle nella sicurezza del sito della compagnia stessa: un milione di miglia di voli gratuiti a testa, sufficienti a pagare decine di voli interni negli USA.

Incentivi di questo genere sono comuni nel settore informatico: li offrono per esempio Google, Facebook e Yahoo. Sono assai meno comuni in altri settori, come appunto quello dell’aviazione civile, che pure ne ha bisogno. Non va dimenticato, infatti, che proprio la United è stata colpita l’8 luglio scorso da un problema informatico che ha causato ritardi considerevoli a centinaia di voli: un guasto hardware, non un attacco, secondo le dichiarazioni della compagnia aerea, ma in ogni caso una dimostrazione di quanto anche il traffico aereo dipenda dai computer.

Cosa ancora più importante, offrire a chi è bravo a trovare falle informatiche una maniera legale di trarre profitto dal proprio talento significa distoglierlo dal mondo del crimine digitale, e questo aumenta la sicurezza di tutti.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Florida, impianto di depurazione delle acque “hackerato” con rischio di avvelenamento di massa. Sicurezza sottozero

Florida, impianto di depurazione delle acque “hackerato” con rischio di avvelenamento di massa. Sicurezza sottozero

C’è parecchio clamore intorno alla notizia che aggressori informatici ignoti sono entrati via Internet nei sistemi di controllo di un impianto di trattamento delle acque a Oldsmar, in Florida, e ne hanno alterato i valori delle sostanze chimiche immesse per la depurazione, con conseguente rischio di avvelenamento della popolazione servita dall’impianto (circa 15.000 residenti).

Il Tampa Bay Times riferisce che uno degli addetti all’impianto stava monitorando i sistemi quando ha visto che il cursore del mouse si stava muovendo da solo e che qualcuno lo stava usando per cambiare la quantità di idrossido di sodio (soda caustica) da 100 parti per milione a 11.100 parti per milione. L’operatore ha subito ripristinato il valore originale. La vicenda viene ora investigata dall’FBI oltre che dalle autorità locali.

A prima vista sembrerebbe un attacco molto sofisticato, opera di terroristi o altri grandi malfattori. Ma leggendo il resoconto ufficiale delle autorità emerge un quadro ben diverso: gli intrusi sono entrati facilmente perché la gestione remota dell’impianto usava un semplice TeamViewer che permetteva di accedere a tutti i computer usando la stessa password di accesso remoto, e i computer erano collegati direttamente a Internet senza alcuna protezione (firewall o simili). Inoltre tutti i computer erano connessi al sistema SCADA di gestione dell’impianto e usavano ancora Windows 7.

Come se non bastasse, l’impianto aveva smesso di usare TeamViewer sei mesi fa, ma l’aveva lasciato installato.

Insomma, un disastro annunciato. Probabilmente si tratta di un ex dipendente oppure di qualcuno che pigramente ha usato i motori di ricerca che trovano gli impianti lasciati aperti online, come Shodan, e fra i tanti honeypot (trappole) ha trovato quel bersaglio assurdamente facile.

Se avete impianti di qualunque tipo comandabili da remoto, pensate alla sicurezza; aggiornateli, usate password robuste e differenti, e non lasciate tutto spalancato sperando che nessuno vi trovi. Esistono motori di ricerca appositi: vi troveranno. Non fate come quell’impianto idrico italiano che è rimasto aperto e visibile per mesi nonostante le mie segnalazioni.

Fonti aggiuntive: The Verge, AP.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Il Touring Club Italiano pubblica login e password di accesso a un suo sito

Il Touring Club Italiano pubblica login e password di accesso a un suo sito

Ultimo aggiornamento: 2021/01/24 16:45. 

Poi la gente si chiede come mai i siti vengono “hackerati” così spesso e
immaginano chissà quali acrobazie hanno fatto i criminali per violarli. Magari,
in realtà, hanno semplicemente trovato con Google
un documento PDF messo online che contiene login e password.

È quello che è successo al Touring Club Italiano qualche giorno fa. Sul suo
sito http://www.bandierearancioni.it c’era un documento (qui), in formato PDF, che conteneva dettagliate istruzioni su come accedere
all’area riservata del sito e quali credenziali inserire.

Ho segnalato la cosa pubblicamente al Touring Club Italiano:

Ho ricevuto risposta:

Il documento è stato rimosso, per cui ne posso parlare pubblicamente.

Il problema è che quella login e quella password sono pubblicati da vari altri siti, non solo in PDF ma esplicitamente su pagine web pubbliche, e sono facilmente reperibili in Google. Per cui è sostanzialmente inutile che io li mascheri. Posso solo sperare che nel frattempo i responsabili abbiano cambiato login e password (ovviamente non ho potuto verificarlo). I documenti sembrano risalire ad alcuni anni fa, per cui c’è qualche speranza. Ma va considerato che all’epoca quella password era sicuramente valida ed era pubblicata.

 

 

In ogni caso, questa vicenda è un buon promemoria del fatto che le password non si mettono mai online in cartelle pubblicamente accessibili contando sul fatto che tanto nessuno ne conosce il link, perché se sono pubblicamente accessibili verranno esplorate dai motori di ricerca e il link verrà pubblicato.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle
donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere
ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o
altri metodi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Perché Senato.it e altri siti istituzionali pubblicano la password per richiedere un certificato per corrieri fiduciari?

Perché Senato.it e altri siti istituzionali pubblicano la password per richiedere un certificato per corrieri fiduciari?

Un documento PDF pubblico su Senato.it
contiene login e password per richiedere un certificato digitale per “corrieri
fiduciari”. Le stesse istruzioni sono presenti su molti altri siti istituzionali dell’UE, facilmente reperibili con una ricerca in Google.

Non capisco il senso di mettere una password su una
procedura, se poi si pubblica quella password. Dove sto sbagliando?

 

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Un altro giorno, un altro documento con password del server visibile in Google: Regione Veneto

Il 22 gennaio scorso, a seguito di una segnalazione confidenziale, ho scritto questo tweet:

Ho cercato sul sito della Regione Veneto e ho trovato l’indirizzo del responsabile della protezione dei dati personali (DPO), ossia dpo[chiocciola]regione.veneto.it. Gli ho scritto subito questa mail:

Buongiorno,

sono un giornalista informatico, collaboratore della Radiotelevisione
Svizzera. Vi segnalo questo vostro documento, accessibile via web,
contenente le credenziali di accesso.

http://repository.regione.veneto.it/[OMISSIS].doc

Credo sia opportuno rimuoverlo e aggiornare le credenziali citate,
specificamente la password, qualora sia ancora corrente.

Cordiali saluti

Paolo Attivissimo

Sul sito, a quell’URL, c’era infatti un documento Word, scritto da andrea-altinier, contenente login e password per accedere al repository del sito. Non ne riporto il testo e l’URL completo per ovvie ragioni.

Il documento è stato sostituito il giorno stesso con una nuova versione priva di dati sensibili e oso sperare che anche la password sia stata cambiata, perché il documento originale risaliva al 18 luglio 2012 (il che significa che nel 2012 era valido e a qualcuno pareva sensato mettere online la propria password).

Ma la rimozione di un documento accessibile via web non comporta automaticamente la scomparsa di tutte le copie di quel documento, e in più non posso sapere se la password è ancora valida, perché provarla potrebbe essere considerata una violazione di domicilio informatico. Non ho ricevuto una parola di risposta dal DPO, ma pazienza.

Continua insomma la litania dei siti che pubblicano disinvoltamente le proprie password in documenti accessibili a chiunque, senza pensare che qualunque documento visibile verrà indicizzato da Google e sarà quindi facilmente scopribile. I livelli di inettitudine e di incoscienza necessari per fare queste cose sono agghiaccianti. E non è ancora finita.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Sito per testare la competenza di sicurezza informatica aveva falle di sicurezza informatica

Sito per testare la competenza di sicurezza informatica aveva falle di sicurezza informatica

Il sito Test your Hacker IQ è partito con buoni propositi: mettere alla prova la competenza degli utenti nel riconoscere i sintomi di un attacco informatico. Ma non provate a visitarlo, perché al momento non è raggiungibile.

Come segnalato da The Register, il sito dedicato alla sicurezza informatica aveva dimenticato di proteggere il proprio file di configurazione, che era quindi pubblicamente accessibile. 

All’interno di questo file, in chiaro, c’erano il nome utente e la password di accesso al database mySQL del sito. La falla è stata scoperta da una persona svizzera che si occupa di informatica ed è nota con il nome Twitter @antiproprietary

Il sito, come se non bastasse, usava Ubuntu Linux 14.04, che non riceve più aggiornamenti da aprile del 2019 e ha 11 falle note.

Il sito era stato creato alcuni anni fa nell’ambito di una campagna promozionale ma era evidentemente stato abbandonato senza manutenzione. Anche i siti non aggiornati e dimenticati sono appigli molto preziosi per i criminali informatici e sono una falla classica in molte aziende.

Insomma, la lezione di sicurezza informatica c’è stata, ma non quella prevista.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Come farsi mandare file sensibili con un link e un gattino in MacOs e iOS

Come farsi mandare file sensibili con un link e un gattino in MacOs e iOS

Falle di sicurezza così epiche e ridicolmente facili da sfruttare non càpitano spesso. Basta mandare una mail o un messaggio a un utente MacOS o iOS per rubargli file sensibili, come la cronologia di navigazione di Safari, se non è particolarmente attento. Sì, prendetevi pure il tempo di rileggere questa frase.

La trappola funziona così: l’aggressore manda alla vittima una mail o un messaggio contenente un link a una foto di un gattino (o altra immagine accattivante) e l’invito a condividere la foto con un amico. Una cosa tutto sommato normale.

Quando la vittima clicca sul link per vedere la foto (tipo quella mostrata qui sopra) e clicca sul pulsantino di condivisione, MacOS o iOS compone automaticamente una mail o un messaggio che contiene un allegato. Quell’allegato è il file history.db della vittima. Se la vittima invia la mail, invia anche quel file, che l’aggressore può esplorare per trovare informazioni compromettenti. Ta-da!

Una dimostrazione pratica di questa tecnica è stata pubblicata qui e i dettagli tecnici sono spiegati su Redteam.pl. Questo è il banalissimo codice, inseribile in qualsiasi sito Web, che fa scattare la trappola.

La dimostrazione qui sopra preleva il file /etc/passwd, che non contiene le password ma comunque contiene informazioni sensibili come i nomi degli account esistenti sul dispositivo bersaglio. Per ottenere il file con la cronologia di navigazione è sufficiente linkarlo come segue:

file:///private/var/mobile/Library/Safari/History.db

In sintesi: viene usata la funzione navigator.share abbinata a uno schema file:, che MacOS e iOS autorizzano ad andare a prendere file dal disco della vittima. Il resto del codice (la fila di \n) serve solo a creare un po’ di a capo per nascondere meglio la presenza dell’allegato.

La mail risultante (di Mail.app) ha un aspetto del tutto innocuo: solo scorrendo in basso si nota che è allegato un file di nome passwd o altro.

Anche il messaggio composto da Messages cliccando sul pulsante di condivisione non rivela dettagli dell’allegato.

Certo, in questa dimostrazione il file rubato viene mandato a una persona scelta dalla vittima. La tecnica per far mandare il file a un destinatario complice viene lasciata alla creatività e all’immaginazione del lettore.

Al momento non esiste alcun aggiornamento correttivo: Apple è stata avvisata del problema ad aprile scorso e secondo Redteam.pl dice che non rimedierà prima della primavera del 2021.

Morale della storia: se usate MacOs o iOS, fate attenzione agli inviti di questo genere.

Ringrazio @Decio per la segnalazione.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Usate ancora Internet Explorer? Meglio smettere

Usate ancora Internet Explorer? Meglio smettere

Lo so che sembra il classico annuncio-bufala che gira nelle catene di Sant’Antonio, ma stavolta è vero che Microsoft ha pubblicato un avviso che segnala un difetto importante nella sicurezza di Internet Explorer (CVE-2020-0674), che permette a un aggressore di prendere il controllo del computer della vittima, per esempio installando programmi, leggendo i dati oppure cambiandoli o cancellandoli.

L’attacco richiede soltanto che la vittima venga indotta a visitare un sito Web appositamente confezionato.

Il difetto al momento non ha un rimedio sotto forma di aggiornamento correttivo, ma Microsoft dice che ci sta lavorando. L’azienda precisa inoltre di aver già rilevato casi di attacco mirato che sfruttano questa falla.

La soluzione, per il momento, è semplice: non usare Internet Explorer per accedere a siti Internet e sostituirlo con qualunque altro browser, come Firefox, Google Chrome, Opera o Edge della stessa Microsoft.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Come “hackerare” una Tesla legalmente e vincere oltre mezzo milione di dollari

Come “hackerare” una Tesla legalmente e vincere oltre mezzo milione di dollari

Le auto di oggi sono sempre più dei computer su ruote. Sono quindi “hackerabili” come lo sono i computer? Spesso sì, e per risolvere questo problema bisogna trovare il modo di incoraggiare gli esperti a scoprire le falle informatiche delle auto e permettere ai costruttori di turarle.

Uno di questi modi è la gara annuale di hacking denominata Pwn2Own (si pronuncia “poun-tu-oun”), organizzata da Trend Micro, si terrà a Vancouver, in Canada, dal 18 al 20 marzo 2020. Anche quest’anno, come nel 2019, oltre ai premi per chi supera le difese di sistemi operativi e browser per computer verrà messa in palio anche una delle auto più informatizzate del mondo: una Tesla Model 3. Chi riuscirà a prenderne il controllo informatico se la porterà a casa, probabilmente insieme a qualche centinaio di migliaia di dollari in premi aggiuntivi.

Le regole della sfida sono strutturate in vari livelli: al primo livello (Tier 1) ci si aggiudica l’auto e mezzo milione di dollari se si riesce a prendere pieno controllo dei tre sottosistemi informatici del veicolo passando attraverso la sua connessione Wi-Fi o Bluetooth o il suo modem o sintonizzatore per raggiungere il sistema di infotainment e poi arrivare al sottosistema di guida assistita (Autopilot). Se poi l’attacco è persistente (ossia sopravvive a un riavvio dell’auto, ci sono altri 200.000 dollari.

Al secondo livello (Tier 2) il premio in denaro scende leggermente ma è sufficiente prendere il controllo di due sottosistemi su tre; al terzo livello (Tier 3) è sufficiente prendere il controllo di un solo sottosistema.

L’altra regola fondamentale è che la tecnica usata deve restare segreta e deve essere comunicata soltanto al costruttore (in questo caso Tesla).

Nel 2019 due ricercatori erano riusciti a prendere il controllo del browser del sottosistema di infotainment dell’auto con questa tecnica. Tesla aggiornò subito il software di tutte le auto per eliminare la falla.

Fonti aggiuntive: Macrumors, Zero Day Initiative.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.