Vai al contenuto
Informatico viola la sicurezza di Facebook, scopre di essere in compagnia

Informatico viola la sicurezza di Facebook, scopre di essere in compagnia

Ultimo aggiornamento: 2016/05/09 1:50.

Un informatico della società di sicurezza informatica Devcore che si fa chiamare Orange Tsai ha pubblicato un singolare racconto di come è riuscito a penetrare in Facebook e vi ha trovato una sorpresa inaspettata.

In sintesi, Orange ha iniziato con una ricognizione del bersaglio, come si fa spesso in questi casi, scoprendo che Facebook era intestataria di un nome di dominio piuttosto insolito, ossia vpn.tfbnw.net. Da lì ha scoperto che esisteva anche files.fb.com, che era un server dedicato alla collaborazione all’interno dell’azienda.

Il server aveva alcuni difetti di sicurezza, per cui Orange Tsai è riuscito a creare una web shell, ossia è stato in grado di eseguire da remoto comandi sul server come se fosse stato uno dei suoi gestori interni.

Qui è arrivata la sorpresa: si è accorto che sul server di Facebook c’erano molti file che non appartenevano a Facebook ma erano chiaramente avanzi lasciati da un intruso che era arrivato prima di lui. Uno dei file era un log che conteneva delle credenziali di login di Facebook non cifrate: nomi utente e password di dipendenti di Facebook, si presume.

Quando Orange Tsai ha informato Facebook della vulnerabilità, è stato ricompensato con 10.000 dollari di premio, ma Facebook non si è detta particolarmente preoccupata per quello che Orange aveva trovato: gli ha spiegato che l’intruso precedente era una persona che partecipa alla caccia ai difetti di sicurezza promossa da Facebook. Come faccia Facebook a saperlo resta un mistero.

Fonte aggiuntiva: Naked Security.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Bambino di 10 anni segnala una falla di Instagram, riceve 10˙000 dollari

Bambino di 10 anni segnala una falla di Instagram, riceve 10˙000 dollari

Fonte: Iltalehti.

Guadagnare diecimila dollari capita abbastanza facilmente a chi lavora bene nel settore della sicurezza informatica. Capita molto meno facilmente se l’addetto ai lavori in questione è un bambino di dieci anni, eppure è quello che è successo di recente in Finlandia, stando ad ANSA e al sito finlandese Iltalehti: un ragazzino di nome Jani, studente delle scuole elementari di Helsinki, ha scoperto una falla importante in Instagram, che gli consentiva di cancellare i commenti di qualunque account.

“Avrei potuto eliminare i commenti di chiunque, per esempio Justin Bieber”, ha dichiarato Jani.

Il giovanissimo informatico ha segnalato via mail a Instagram la falla e un paio di giorni dopo ha ricevuto la risposta: la segnalazione era valida, la falla era stata corretta e come ricompensa gli sarebbero arrivati 10.000 dollari.

Jani è diventato il più giovane beneficiario di un premio di questo genere, ma non è il solo talento giovanile nel settore: a marzo un quindicenne in Pakistan ha ricevuto un compenso dalla HackerOne per aver risolto delle falle di sicurezza per conto dell’azienda.

Jani ha imparato la sicurezza informatica guardando i tutorial su Youtube insieme al fratello gemello. Per il momento intende spendere parte del suo premio comperando una bicicletta e un pallone da calcio, ma sta già pensando di fare l’informatico a tempo pieno quando sarà grande.

Anche se il talento di Jani è ammirevole, resta il fatto che questo episodio dimostra che la sicurezza di Instagram, come degli altri social network di casa Zuckerberg (Facebook, WhatsApp), non è un granché se riesce a bucarla un bambino di dieci anni. Ricordiamocene prima di affidare a questi social network informazioni personali sperando che restino private.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Informatico scopre come avere pizza gratis per sempre

Informatico scopre come avere pizza gratis per sempre

La pizza è il sostentamento preferito di tanti informatici, soprattutto dopo una notte insonne passata a sistemare qualche magagna di lavoro, per cui la scoperta di Paul Price, consulente di sicurezza inglese, è di quelle che generano un tremito nella Forza: come avere pizza gratis per sempre.

Un articolo su Vice spiega infatti che il consulente ha trovato un difetto nella versione inglese dell’app di Domino’s Pizza: i pagamenti non venivano verificati correttamente, per cui era abbastanza facile convincere l’app ad accettare pagamenti non validi, col risultato di avere appunto pizza gratis.

Pensando a un errore che si limitava all’app ma che sarebbe stato corretto dagli addetti alla gestione dell’ordine, ha provato a ordinare una pizza senza pagarla. L’ordine è stato eseguito senza problemi e la pizza gli è stata recapitata a casa. “Il mio primo pensiero: fantastico. Il mio secondo pensiero: perdindirindina”, racconta Paul Price. Ovviamente al posto di perdindirindina c’è un’espressione un po’ più colorita.

Price è stato onesto e ha pagato la pizza in contanti, avvisando poi la ditta, che ha corretto il difetto. Non tutti gli hacker sono malvagi: alcuni sanno resistere persino alla tentazione di avere pizza gratis per sempre.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Falla nel TCP/IP di Windows permette di infettare i PC

Falla nel TCP/IP di Windows permette di infettare i PC

L’articolo è stato aggiornato dopo la pubblicazione iniziale.

Il bollettino di sicurezza MS11-083 di Microsoft (Vulnerability in TCP/IP Could Allow Remote Code Execution) definisce “critica“ la falla nel TCP/IP di Windows Vista, Windows Server 2008 e Windows 7 che “potrebbe consentire l’esecuzione di codice da remoto se un aggressore invia un flusso continuo di pacchetti UDP appositamente confezionati a una porta chiusa del sistema-bersaglio… un aggressore potrebbe eseguire codice arbitrario in kernel mode” e “potrebbe poi installare programmi; visualizzare, modificare o cancellare dati; oppure creare nuovi account con pieni permessi d’utente”. Ironicamente, Windows XP è immune al problema. Idem dicasi per Windows Server 2003.

Secondo Kevin Mitnick via Twitter, questo potrebbe essere un video che dimostra la falla e il suo utilizzo (su una rete locale):

È una falla decisamente bizzarra, perché è così facile da sfruttare e perché è sorprendente che esista: mandi via Internet i pacchetti UDP malformati e prendi il controllo della macchina-bersaglio. Tutto qui. Oltretutto attraverso una porta chiusa, che come tale dovrebbe dare una certa protezione. Anche per F-Secure la falla è piuttosto soprendente; Technet di Microsoft fornisce dettagli e smorza la sfruttabilità del difetto. L’aggiornamento è in arrivo già disponibile fra quelli mensili del Patch Tuesday dell’altroieri; se usate i sistemi operativi affetti, aggiornateli appena possibile.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Generatore elettrico italiano comandabile da chiunque via Internet

Generatore elettrico italiano comandabile da chiunque via Internet

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2016/04/15 11:30.

Dan Tentler, uno degli ideatori di Shodan (motore di ricerca per l’Internet delle cose), ha segnalato su Twitter questo generatore idroelettrico collegato a Internet e comandabile da chiunque tramite VNC non criptato e senza password. La presento qui senza mascherarne i dati perché comunque tutti i dettagli sono appunto su Shodan e perché ho avvisato i responsabili, che l’hanno scollegata.

Ho verificato che la segnalazione su Shodan era ancora valida: mi sono collegato tramite VNC all’indirizzo IP 88.147.120.248 (pubblicato da Shodan) e ho trovato la schermata, aggiornata in tempo reale, con quel pulsante “START/STOP” disponibile a qualunque malintenzionato. Non l’ho toccato. Pochi clic su siti pubblicamente disponibili mi hanno permesso di scoprire che si trattava dell’impianto idroelettrico Rio Brent.

Altri, però, sono stati meno rispettosi di me: ho visto qualcuno azionare lo “START/STOP”. Ho cercato e trovato online il numero di telefono dell’azienda in questione e l’ho chiamato. Ha risposto una voce che ha avuto una risposta decisamente incredula quando mi sono presentato, con nome e cognome, qualificandomi come giornalista informatico, e gli ho spiegato il problema. Ha risposto che solitamente mettono le password a protezione degli accessi VNC ai loro generatori e che stavolta se ne sono dimenticati. Ha ringraziato per la mia segnalazione.

Ho aspettato che il generatore venisse scollegato da Internet e poi ho pubblicato queste note.

Forse sarò paranoico io, ma collegare un generatore idroelettrico a Internet e renderlo non solo monitorabile ma addirittura comandabile con un semplice VNC, senza né cifratura né password, non mi sembra una buona idea. E “dimenticarsi” di attivare la cifratura e anche di impostare una password indica un errore umano o di procedura che semplicemente non dovrebbe esistere in circostanze come queste.

Il problema di fondo è che ci sono ancora molti tecnici di altri settori (non informatici) che ora si trovano a doversi assumere delle competenze da informatici senza avere la cultura della sicurezza online e quindi non sanno che tenere segreto un indirizzo IP non è affatto una misura di protezione accettabile, specialmente se quell’IP offre accesso a macchinari importanti. E da quando esistono motori di ricerca come Shodan, scoprire questi IP “segreti” è ormai un gioco da ragazzi.

Spero che questo episodio risolto felicemente serva da monito ai tanti, troppi gestori di dispositivi sensibili che ancora usano queste prassi pericolose.

2016/04/12 20:10: Il generatore è tornato online allo stesso indirizzo IP senza cifratura ma perlomeno con password.

2016/04/15 11:30: Altre funzioni dello stesso operatore sono vulnerabili o protette da password ridicole. Grazie a tutti di non parlarne nei commenti: non potrei pubblicarli. Avviso l’operatore e aggiornerò l’articolo quando la falla sarà stata risolta.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Android troppo insicuro? Colpa dei mancati aggiornamenti

Android troppo insicuro? Colpa dei mancati aggiornamenti

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2015/11/07 15:15.

È più sicuro Android o iOS? Capita spesso di sentire domande apparentemente semplici come questa, ma la risposta non è altrettanto semplice. In parte la sicurezza dipende dalle abitudini degli utenti, ma va detto che nel caso di Android c’è una grossa responsabilità dei produttori di telefonini, che non mettono a disposizione degli utenti gli aggiornamenti di sicurezza o lo fanno con ritardi enormi, rendendo vulnerabili anche gli utenti Android più diligenti e dotati di dispositivi recenti. La mancanza di aggiornamenti colpisce in particolare i dispositivi Android di fascia economica. Apple, invece, aggiorna sistematicamente tutti gli iPhone e gli altri dispositivi iOS ragionevolmente recenti.

Secondo una ricerca pubblicata da Skycure.com, un dispositivo Android su tre ha una versione di Android obsoleta e non aggiornabile, mentre nel mondo iOS i dispositivi non aggiornati sono circa uno su quattro (il 26%). Questa situazione porta gli utenti Android ad essere più facilmente infettabili: secondo i dati di Skycure, circa il 3% dei dispositivi Android è infetto con app ostili di pericolosità media o alta.

Inoltre più di un dispositivo Android su quattro (27%) ha attiva l’opzione di installare app di provenienza diversa da Google Play e oltre il 15% ha abilitato il debugging USB, che facilita il trasferimento delle app di malware dal dispositivo al computer collegato. Queste sono opzioni che l’utente deve scegliere di attivare (sono normalmente spente), per cui la riduzione di sicurezza che ne deriva è colpa dell’utente. Fra l’altro, la maggior parte degli utenti di telefonini (il 52%) non mette una password sull’accesso al dispositivo.

Per chi vuole usare Android e vuole la certezza di avere sempre aggiornamenti di sicurezza prontamente disponibili le opzioni sono poche: la più rapida è quella di acquistare un Nexus, il telefonino Android venduto e aggiornato direttamente da Google.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
App nell’App Store rubano le password. Sono demo dei ricercatori, ma la falla è seria

App nell’App Store rubano le password. Sono demo dei ricercatori, ma la falla è seria

Varie app rubapassword sono state inserite con successo nel controllatissimo App Store di Apple: se installate sul dispositivo della vittima, erano capaci di estrarne le password di iCloud, Mail, Gmail, Faceboook, Twitter, Evernote, Google Chrome e anche le password custodite da app di protezione come 1Password.

Ma niente panico: l’incursione è stata fatta a fin di bene da alcuni ricercatori di sicurezza. della Indiana University, dell’Università di Pechino e del Georgia Institute of Technology.

La falla nei sistemi di protezione di Apple esiste da oltre sei mesi e non è ancora stata sistemata: i ricercatori l’hanno discussa privatamente con Apple, come è consuetudine in questi casi, e poi di fronte alla lentezza dell’azienda nel prendere contromisure l’hanno pubblicata (anche in un video) insieme a un software che esamina le app per sapere se sono protette contro questa falla.

La dimostrazione è un grande successo per i ricercatori, dato che il modello di sicurezza di Apple ha resistito per anni a questo genere di tentativo, ma pone una domanda di fondo: se ci sono riusciti i ricercatori, possono esserci riusciti anche i criminali informatici? In attesa che Apple rimedi al problema, il consiglio di prudenza è di installare dall’App Store soltanto app strettamente necessarie e di indubbia reputazione: cosa che andrebbe fatta sempre e comunque.

Fonti aggiuntive: Ars Technica, InfoSecurity Magazine, Intego.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
C’era un modo per vedere tutti i dati privati di tutti gli utenti di Facebook

C’era un modo per vedere tutti i dati privati di tutti gli utenti di Facebook

Un ricercatore di sicurezza indiano, Anand Prakash, ha scoperto che esisteva un modo per entrare in qualunque account Facebook. Ma niente panico: Anand è uno dei buoni e il difetto è stato risolto.

Il ricercatore ha pubblicato la spiegazione del metodo e ne ha anche creato un video: in sintesi, si sfruttava la funzione “Ho dimenticato la password” di Facebook che manda all’utente un SMS o una mail che contiene un codice di sei cifre da immettere in Facebook per reimpostare la password e accedere al proprio profilo.

Un aspirante intruso potrebbe in teoria attivare “Ho dimenticato la password” sull’account della vittima e poi tentare tutte le combinazioni possibili delle sei cifre del codice fino a trovarlo, ma Facebook limita il numero di tentativi. Anand Prakash si è accorto, però, che questo limite non c’era nei siti di test (come beta.facebook.com) e quindi era possibile tentare infinite volte fino a trovare il codice per prendere il controllo dell’account e ottenere accesso ai messaggi, ai dati delle carte di credito memorizzate, alle foto personali, eccetera.

Il ricercatore ha segnalato la falla a Facebook, che l’ha chiusa nel giro di un giorno il 23 febbraio scorso e ha  ricompensato Prakash con 15.000 dollari.

Fonte: The Hacker News

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Ennesima falla in Flash, attacchi in corso: che fare?

Ennesima falla in Flash, attacchi in corso: che fare?

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/03/11 17:20. Link breve: http://tinyurl.com/blocca-flash.

Ieri (2 giugno) è stato pubblicato un altro aggiornamento di Adobe Flash che chiude ben diciotto falle di sicurezza, alcune delle quali permettono ai criminali informatici di prendere il controllo dei computer Windows, OS X e Linux semplicemente convincendo i loro proprietari a visitare un sito appositamente confezionato.

Secondo Adobe, almeno una delle falle chiuse con quest’ultimo aggiornamento viene già sfruttata attivamente: non si tratta quindi di un rischio teorico ma di una minaccia concreta.

Nei giorni scorsi sono stati segnalati attacchi che sfruttano le falle di Flash attraverso le pubblicità presenti in siti popolari come Dailymotion e altri, per cui non si può neanche proporre di ridurre il rischio evitando di visitare siti discutibili o poco conosciuti. Occorre aggiornarsi: per sapere se state usando la versione più aggiornata di Flash, visitate la pagina apposita di Adobe con ciascuno dei browser che usate.

C’è, tuttavia, chi suggerisce di disinstallare completamente Flash dai computer, soprattutto ora che molti dei siti più popolari di Internet funzionano anche senza: è il caso, per esempio, di Youtube, che ora mostra i video senza dover ricorrere al software di Adobe. Molti dispositivi mobili, come gli iPod touch, gli iPhone e gli iPad di Apple, non lo supportano affatto e vivono bene lo stesso.

Un’altra possibilità per ridurre il rischio anche per il futuro è impostare i browser in modo che non lancino Flash automaticamente ma lo facciano soltanto se l’utente lo consente esplicitamente. Per non essere assillati da continue richieste di permesso di lanciare Flash, si possono anche definire siti ritenuti sicuri, nei quali Flash verrà eseguito automaticamente:

– Firefox 39: Strumenti – Componenti aggiuntivi – Plugin; impostate Shockwave Flash a Chiedi prima di attivare. Per abilitare un sito all’avvio automatico di Flash, si visita il sito in questione e si clicca su Attiva e poi su Consenti sempre. Per revocare un’abilitazione, si va in Strumenti – Informazioni sulla pagina – Permessi  e si sceglie Utilizza predefiniti (oppure Blocca se lo si vuole bloccare permanentemente).

– Chrome 49.0.x (2016/03): Impostazioni (chrome://settings o l’icona con le tre righe orizzontali in alto a destra) – Mostra impostazioni avanzate (in basso) – Privacy – Impostazioni contenuti – Plug-in – Fammi scegliere quando eseguire i contenuti dei plug-in. La gestione dei siti nei quali si vuole autorizzare l’esecuzione automatica di Flash è accessibile cliccando su Gestisci eccezioni. Chrome chiederà di digitare Ctrl-clic e di scegliere Esegui questo plug-in sui siti non preautorizzati.
– Safari 9.0.3 (2016/03): Preferenze – Sicurezza – Plugin Internet: cliccare su Impostazioni siti web, selezionare Adobe Flash Player e impostare tutti i siti eventualmente elencati a Chiedi; ripetere per il menu a discesa Quando visito altri siti web.
– Internet Explorer 11: Impostazioni (icona dell’ingranaggio in alto a destra) – Gestione componenti aggiuntivi – Mostra: tutti i componenti aggiuntivi – Shockwave – Disabilita.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Falla DROWN, cosa c’è da sapere (niente panico)

Falla DROWN, cosa c’è da sapere (niente panico)

Si sta facendo un gran parlare di DROWN, una vulnerabilità dei siti Web che viene spesso presentata con toni catastrofici. Ma se non siete gestori di un sito Web c’è poco da preoccuparsi.

Il nome della falla è un acronimo (sta per Decrypting RSA with Obsolete and Weakened eNcryption, ossia “decifrazione RSA tramite cifratura obsoleta e indebolita”): descrive un problema del protocollo di sicurezza TLS/SSL, che per intenderci è quello che fa comparire il lucchetto nei browser e protegge le comunicazioni della maggior parte dei servizi di webmail.

Il problema è che esiste una versione vecchia e indebolita di questo protocollo, la cosiddetta Export grade, imposta molti anni fa dal governo statunitense per consentire una protezione ragionevole delle comunicazioni che al tempo stesso consentisse alle agenzie di sicurezza di intercettare e decifrare il traffico di dati in caso di necessità. Ormai questa versione è obsoleta e decifrarla è abbastanza banale, ma molti siti non l’hanno mai disattivata, per cui è ancora sfruttabile per attacchi alle singole connessioni TLS.

Tuttavia la tecnica di attacco è talmente complessa da renderla poco praticabile, come spiegato in dettaglio da questo articolo tecnico, per cui non c’è molto da preoccuparsi: esistono altre forme d’intrusione molto più efficienti. Di fatto, però, questo problema è una dimostrazione perfetta della pericolosità delle richieste governative di creare passepartout o di indebolire i sistemi di protezione, come sta facendo per esempio l’FBI con Apple in questi giorni. Non si crea maggiore sicurezza indebolendo la sicurezza di tutti: un concetto ovvio che purtroppo sembra sfuggire a molti governanti.

Presso Test.drownattack.com
potete verificare se un sito è vulnerabile a DROWN, ma attenzione: i
risultati sono tratti da una lista precompilata che potrebbe non
rispecchiare la situazione corrente del sito, che magari nel frattempo è
stato aggiornato e corretto.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.