Vai al contenuto
Se la spia (del computer) fa la spia: estrazione di dati da un computer “air-gapped”

Se la spia (del computer) fa la spia: estrazione di dati da un computer “air-gapped”

Il buon senso informatico dice che uno dei modi migliori per proteggere i dati presenti in un computer è isolare il computer da qualunque connessione. Se non è collegato alla rete locale o, peggio ancora, a Internet, dovrebbe essere impenetrabile.

Giusto, o quasi. Un computer completamente scollegato (in gergo “air-gapped”, ossia “isolato in aria”) è in effetti molto difficile da attaccare. Non per nulla isolare fisicamente i computer è una pratica molto comune a livello militare, governativo e commerciale per i sistemi più critici.  Ma un attacco non è impossibile, e un gruppo di ricercatori israeliani ha trovato e dimostrato un metodo decisamente creativo per sferrarlo: sfruttare le luci del disco rigido.

L’indicatore luminoso di attività di un disco rigido normalmente lampeggia durante l’uso del computer, e nessuno fa caso ai suoi bagliori intermittenti, per cui ai ricercatori del Centro di Ricerca per la Sicurezza Informatica dell’Università Ben Gurion del Negev è venuto in mente che questa luce è un segnale perfetto: una volta infettato il computer isolato (con un complice interno o con altre tecniche, come quelle usate dal malware Stuxnet nel 2010 per raggiungere e danneggiare i sistemi di controllo degli impianti nucleari iraniani), i dati da rubare vengono trasmessi codificandoli nei lampeggiamenti dell’indicatore luminoso, comandati dal malware. Questi lampeggiamenti sono una sorta di codice Morse luminoso e vengono captati a distanza da una telecamera. Un computer esamina le riprese e ne estrae i dati.

Il concetto è intrigante e sa di trovata da film, ma i ricercatori hanno architettato una dimostrazione pratica, descritta in un articolo tecnico e in un video: montano una piccola telecamera su un drone, che di notte si piazza in modo da vedere attraverso una finestra la luce del disco rigido del computer bersaglio.

Potrebbe sembrare un modo molto lento per estrarre dati, ma i ricercatori sono riusciti a trasmettere fino a 4000 bit al secondo (un megabyte in mezz’ora): più che sufficienti per trasmettere del testo o delle password o una chiave crittografica. A queste velocità, fra l’altro, il lampeggiamento del LED del disco rigido è talmente rapido da essere impercettibile all’occhio umano e la fuga di dati non lascia tracce.

Per fortuna le contromisure sono molto semplici: coprire il LED con qualcosa di opaco, orientarlo in modo che non sia visibile attraverso le finestre o (meglio ancora) collocare i computer essenziali in stanze prive di finestre. Ma bisogna avere l’accortezza di pensarci.

Una volta ti prendevano in giro perché mettevi il nastro adesivo sulla webcam, poi hanno capito che non era paranoia perché la si poteva davvero accendere di nascosto; chissà se adesso scoppierà la moda di tappare anche le lucette dei dischi rigidi. Ci sarà pure una ragione per cui quelle lucette si chiamano spie, no?

Fonti aggiuntive: Wired.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Perché la Germania vuole distruggere tutti gli esemplari di una bambola?

Perché la Germania vuole distruggere tutti gli esemplari di una bambola?

Fonte: SZ.

Pochi giorni fa le autorità tedesche hanno diramato un ordine decisamente insolito: distruggere tutti gli esemplari di una bambola. Lo ha fatto l’Autorità garante delle telecomunicazioni della Germania (Bundesnetzagentur) perché la bambola in questione, chiamata Cayla, è per le norme tedesche un dispositivo di spionaggio. Ma come è possibile?

Di Cayla avevo già raccontato qui un paio di mesi fa, quando l’Ufficio europeo delle Unioni dei Consumatori aveva pubblicato le prime segnalazioni di violazioni della privacy e della sicurezza da parte di questa bambola interattiva e del suo cugino, il robot i-Que, entrambi fabbricati dalla Genesis Toys. Ma ora in Germania è stato diffuso l’invito ufficiale a distruggere la bambola perché usarla o possederla è addirittura illegale.

Questi giocattoli “smart”, infatti, si collegano senza fili, tramite Bluetooth, a un telefonino e da lì si connettono a Internet; hanno un microfono nascosto che ascolta le parole dei bambini, che vengono registrate e trasmesse via Internet alla Nuance Communication, un’azienda specializzata nel riconoscimento vocale. Presso la Nuance le parole ascoltate vengono convertite in testo, che viene usato per generare delle risposte automatiche, pronunciate quasi istantaneamente dalla bambola o dal robot, creando l’illusione di un dialogo. Cayla e i-Que, insomma, sono una sorta di Siri incorporata in un giocattolo.

Il problema di questi giocattoli è che non hanno alcuna protezione contro le intrusioni, per cui un malintenzionato può semplicemente usare uno smartphone generico per collegarsi alla bambola – non c’è nessun codice PIN da digitare per farlo – e ascoltare a distanza (una decina di metri) quello che viene detto nelle vicinanze del giocattolo e per esempio circuire o molestare un bambino.

Può anche essere usata per sbloccare una serratura comandata a voce o per attivare qualunque altro oggetto comandabile a voce:

In altre parole, la bambola Cayla agli occhi delle autorità tedesche è una cosiddetta “cimice”: un radiomicrofono dissimulato in un oggetto comune, che non rivela esplicitamente la propria funzione di dispositivo d’ascolto. E questo genere di oggetti è vietato severamente dalla legge tedesca, memore della terrificante sorveglianza di massa effettuata dai governi della Germania nazista e della Germania Est prima della riunificazione.

Cayla è stata già tolta dal mercato in Germania, e non è il primo oggetto del genere a subire questa sorte. Le autorità tedesche hanno dichiarato che al momento non sono previste sanzioni per chi ha acquistato la bambola e che spetterà ai genitori renderla innocua, per esempio togliendole le batterie.

A livello europeo, e quindi anche in Italia, le norme sui registratori o microfoni dissimulati non sono così severe, ma resta il fatto che Cayla e i-Que sono giocattoli digitali privi di qualunque sicurezza informatica e captano le conversazioni domestiche per mandarle a un’azienda estera. Anche con le migliori intenzioni del mondo, abituare i nostri figli a crescere con un microfono sempre acceso in casa probabilmente non è un’idea molto “smart”.



Fonti aggiuntive: BBC; BoingBoing; SZ; La Stampa; Codacons.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Oggi le comiche: la Presidenza Trump e la sicurezza di Twitter

Oggi le comiche: la Presidenza Trump e la sicurezza di Twitter

Considerato che Twitter è il canale di comunicazione online preferito dal neopresidente statunitense Donald J. Trump e che un tweet sbagliato del presidente degli Stati Uniti può far crollare mercati e creare tensioni internazionali, ci si potrebbe aspettare che lui e il suo staff lo usino con le migliori impostazioni possibili, ma non è così: le disavventure informatiche della Presidenza Trump stanno facendo sbellicare gli informatici e preoccupare chi si occupa di sicurezza.

Il suo addetto stampa e portavoce, Sean Spicer, ha pubblicato due tweet che contengono quelle che sembrano decisamente delle password: n9y25ah7 e Aqenbpuu. I tweet sono stati subito cancellati, ma non prima di essere stati salvati da molti utenti, che li hanno ripubblicati. La speranza semiseria è che non si trattasse dei codici di lancio dei missili nucleari di cui Trump ha ora il controllo. Va da sé che se si è davvero trattato di password, si presume che ormai siano state cambiate e che quindi tentare di usarle per accedere all’account di Spicer sarebbe inutile, e va ricordato che qualunque tentativo di questo genere sarebbe un reato molto grave.

La CNN segnala che WauchulaGhost, un informatico noto per aver violato circa 500 account dell’ISIS, sostituendone il contenuto con immagini pornografiche e messaggi di orgoglio gay, ha notato che gli account Twitter di Trump (@POTUS), del vicepresidente Pence (@VP) e della First Lady Melania Trump (@FLOTUS) sono più vulnerabili a causa di un errore d’impostazione di base: se si tenta di accedervi cliccando su Password dimenticata, compare una schermata che mostra un indirizzo di mail, parzialmente mascherato, al quale verrà mandato un link di recupero password.

WauchulaGhost ha sottolineato che non è difficile indovinare le lettere mascherate di questi indirizzi e quindi sapere quale casella di mail attaccare per recuperare il link di recupero password e prendere il controllo dell’account (avvertenza: non ci provate). Per esempio, quello del vicepresidente degli Stati Uniti era vi***************@gmail.com, che WauchulaGhost ha decifrato in un ovvio vicepresident2017@gmail.com. L’account è stato cambiato.

Se usate Twitter, potete evitare anche voi di fare questo errore di sicurezza: entrate nel vostro account, scegliete Impostazioni – Sicurezza e privacy e attivate l’opzione Richiedi informazioni personali per reimpostare la password.

In questo modo chi clicca su Password dimenticata non vede l’indirizzo di mail associato al vostro account Twitter ma vede invece la richiesta di questo indirizzo e ha quindi un appiglio in meno per tentare di rubarvi l’account.

Fonti aggiuntive: Govinfosecurity.com, @musalbas.

Fonti: Gizmodo, Snopes.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Cose informatiche da fare a Natale (o prima di Natale)

Capita sempre più spesso di fare acquisti natalizi su Internet, e così la società di sicurezza informatica Sophos ha pubblicato un promemoria in dodici punti su come tenersi in sicurezza durante le feste. Ecco un assaggio dei temi principali.

Pulizia delle password. La pausa di Natale è una buona occasione per fare riordini di vario genere. Magari ci sta anche quello delle password, che devono essere differenti per ciascun sito, per evitare che un sito violato permetta a un criminale di rubarvi tutti gli account. Non è difficile, se usate un password manager che crea e si ricorda per voi tutte le password usando codici complicatissimi.

Aggiornamenti. Se ricevete in regalo qualche dispositivo digitale che si connette a Internet, per prima cosa aggiornate il suo software, per evitare che s’infetti. Fatelo subito.

Cambiate le password predefinite dei nuovi dispositivi. Molti dispositivi che potreste ricevere come regalo hanno delle password standard che sono note a tutti i malandrini della Rete: cambiatele, dunque, prima di affacciarvi a Internet. La raccomandazione vale in particolare per telecamerine di sorveglianza, monitor per bebè, televisori, lettori DVD e Blu-Ray, console di gioco e decoder TV.

Lucchetti nello shopping. Se andate su un sito a fare acquisti, controllate che accanto al nome del sito, nella casella dell’indirizzo del browser, ci sia un lucchetto chiuso: indica che la connessione al sito è cifrata e che nessuno può intercettarla per leggere i dati della vostra carta di credito.

Attenzione alle false mail degli spedizionieri. I criminali informatici in questo periodo sanno che stiamo ricevendo tanti regali per posta o tramite spedizionieri, per cui hanno avviato campagne di ransomware e rubapassword basate su mail che sembrano provenire dalle Poste o simili e sembrano annunciare l’arrivo di un pacco, sapendo che molti utenti si aspettano mail di questo genere e quindi le apriranno e soprattutto ne apriranno gli allegati infettanti.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Se pensavate di regalare giocattoli “smart”, pensateci due volte: sono spioni e pettegoli

Se pensavate di regalare giocattoli “smart”, pensateci due volte: sono spioni e pettegoli

Ultimo aggiornamento: 2016/12/13 14:35. 

State pensando di regalare per Natale qualche giocattolo elettronico “smart” e interconnesso? Pensateci bene e soprattutto informatevi, per non trovarvi con sorprese spiacevolmente ficcanaso. Molti di questi oggetti, infatti, permettono a sconosciuti di spiarvi in casa, raccolgono dati personali e sono privi delle misure di sicurezza informatica di base.

In particolare, l’Ufficio europeo delle Unioni dei Consumatori (BEUC) e l’Electronic Privacy Information Center (EPIC) segnalano che i microfoni sempre aperti di molti di questi dispositivi rubano informazioni, permettono a intrusi di sorvegliare e spiare i bambini e fanno pubblicità scorretta, in violazione delle direttive europee sui diritti dei consumatori, sulla privacy e sulla sicurezza.

L’Ufficio europeo fa nomi e cognomi, citando per esempio la bambola My Friend Cayla e il robot i-Que, fabbricati dalla Genesis Toys e dotati dei sistemi di riconoscimento vocale della Nuance Communications. Questi giocattoli dialogano con i bambini e ne registrano la voce, per poi rispondere con frasi pubblicitarie preconfezionate. “Cayla è ben contenta di parlare di quanto le piacciono i vari film della Disney”, nota il BEUC, sottolineando che guarda caso “il fornitore dell’app ha un rapporto commerciale con la Disney”.

Questi giocattoli sono inoltre accompagnati da una licenza d’uso (sì, adesso anche le bambole hanno una licenza d’uso). Questa licenza dice che i suoi termini possono essere cambiati senza preavviso e che i dati personali raccolti – quelli dei vostri figli – possono essere usati a scopo pubblicitario e condivisi con terzi.

Come se non bastasse, questi dispositivi digitali possono essere intercettati usando un telefonino, per cui uno sconosciuto può ascoltare quello che dicono in casa i bambini e usare quello che dicono per fare stalking e altro, come dimostrato in un video preparato da un’associazione norvegese di consumatori. Il narratore del video prende il controllo di una bambola, ascolta quello che viene detto vicino ad essa e le fa dire quello che vuole nonostante lui sia all’esterno dell’edificio nel quale sta il giocattolo.

Fra l’altro, l’azienda di sicurezza Pen Test Partners aveva già segnalato l’anno scorso che la bambola My Friend Cayla era afflitta da questi problemi e li aveva dimostrati modificandola in modo da farle dire parolacce.

Varie associazioni di difesa dei consumatori hanno depositato una contestazione presso la FTC, la principale agenzia governativa statunitense per la protezione dei consumatori. Nuance Communications, da parte sua, dice di aver rispettato la propria politica aziendale per quanto riguarda i dati vocali raccolti attraverso questi giocattoli.

Comunque sia, questo episodio è un buon promemoria di una regola da adottare più in generale quando si fa un acquisto elettronico: chiedersi sempre se l’oggetto si collega a Internet, che dati raccoglie e che sicurezze ha, e se tutto questo è realmente necessario e soprattutto utile. Ora questa domanda va fatta persino per bambole e robot. Viviamo in tempi interessanti.

Fonti: The Register, BoingBoing, Consumerist.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Criminali informatici sfruttano lo shock dell’elezione di Donald Trump

Criminali informatici sfruttano lo shock dell’elezione di Donald Trump

Poche ore dopo la diffusione della notizia dell’elezione di Donald Trump a presidente degli Stati Uniti sono partite almeno cinque ondate di attacchi informatici piuttosto sofisticati e mirati che sfruttano l’emozione e l’interesse per l’evento.

Secondo la società di sicurezza informatica Volexity, gli attacchi si basano su mail che contengono allegati pericolosi o link che portano a siti-trappola e prendono di mira specificamente persone che lavorano per governi, università e organizzazioni non governative.

I messaggi sembrano provenire per esempio da un professore di Harvard che apparentemente inoltra una notizia diffusa dalla Clinton Foundation e promette di rivelare “cosa è successo veramente durante le elezioni”. La cosa più preoccupante è che alcuni antivirus non rilevano la trappola, che è un allegato in formato ZIP protetto da una password fornita nel messaggio.

La migliore difesa contro questo tipo di attacco è il buon senso: lo stile del messaggio e il fatto che includa un allegato protetto da password (con la password inclusa nel messaggio) sono indizi sospetti, perché cifrare un documento e includerne la password è un assurdo dal punto di vista della sicurezza. In realtà questa cifratura serve solo a impedire che gli antivirus possano analizzare l’allegato e scoprire che è infetto.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Donald Trump usa server obsoleti e insicuri e finti contatori di donazioni

Donald Trump usa server obsoleti e insicuri e finti contatori di donazioni

Anche il candidato repubblicano alla presidenza, Donald Trump, ha qualche problema con l’informatica. Sul suo sito elettorale, DonaldJTrump.com, fino a ieri c’era un contatore a scorrimento (in alto nell’immagine qui accanto) che sembrava essere un elenco in tempo reale dei nuovi donatori e sostenitori della sua campagna elettorale.

Ma il creatore del contatore non ha fatto i conti con la sagacia degli informatici. Uno di loro, Jack Canty, ha twittato di aver scoperto che il contatore è semplicemente un file in formato XML, contenente circa 500 nomi, che risale a dieci giorni fa e si ripete a ciclo continuo. Lo si vedeva esaminando il codice sorgente del sito, come ha confermato anche The Concourse.

Il responsabile digitale della campagna Trump, Brad Parscale, ha dichiarato a Business Insider che “il contatore non è pensato per essere in tempo reale e semplicemente rappresenta persone che, come milioni di altre, hanno fatto una donazione alla campagna”. Però intanto il file XML è ora scomparso.

Vari server di mail di Trump.org, legati alle attività commerciali di Donald Trump, inoltre, usano Windows Server 2003 e IIS 6.0, che è obsoleto e insicuro (Microsoft non fornisce più aggiornamenti di sicurezza da luglio 2015) oltre che mal configurato senza autenticazione a due fattori, secondo l’esperto di sicurezza Kevin Beaumont, che ha segnalato pubblicamente queste vulnerabilità, poi riprese da Motherboard. Tutte, va notato, sono state scoperte usando dati pubblicamente accessibili.

Non è la prima volta che i siti legati a Trump denotano una disinvoltura sorprendente nella sicurezza informatica: il suo sito rendeva pubblicamente accessibili i dati personali dei candidati in cerca di lavoro e il negozio online elettorale del candidato repubblicano, shop.donaldjtrump.com, non offre una connessione HTTPS, per cui trasmette i dati personali e i numeri delle carte di credito degli acquirenti in chiaro su Internet. Piuttosto ironico, visto che Trump ha fatto pesare molto l’uso di un server di posta insicuro da parte di Hillary Clinton per lo scambio di mail di lavoro.

Fonte aggiuntiva: Motherboard.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
È bastata una mail per fregare l’account di posta al capo della campagna Clinton

È bastata una mail per fregare l’account di posta al capo della campagna Clinton

Credit: The Smoking Gun

Pochi giorni fa ho raccontato l’epic fail informatico di John Podesta, capo della campagna presidenziale di Hillary Clinton, che si è fatto fregare gli account iCloud e Twitter perché non erano protetti dalla verifica in due passaggi nonostante fosse chiaramente sotto attacco, visto che le sue mail riservate di lavoro erano finite in mano a Wikileaks. Ma come c’erano finite? Ora lo sappiamo, e non è una bella storia.

Secondo l’analisi della società di sicurezza informatica SecureWorks, pubblicata su Motherboard, John Podesta si è fatto soffiare la casella di mail di lavoro (su Gmail) perché il 19 marzo scorso ha cliccato su un link ostile in una finta mail di allerta apparentemente proveniente da Google. Il link portava a una finta pagina di login di Gmail, precompilata con il suo indirizzo, nella quale il malcapitato ha presumibilmente immesso la propria password, regalandola così agli spioni.

La stessa cosa è successa tre giorni dopo a William Rinehart, un membro dello staff della campagna presidenziale Clinton, e a molti altri giornalisti e componenti dello staff di Hillary, in un attacco che secondo gli esperti è di matrice governativa russa.

Chiunque ne sia l’artefice, sembra incredibile che tutte queste persone in posizioni di grandissima responsabilità abbiano abboccato all’esca e non sappiano che non si deve mai, mai, mai cliccare su un link in un messaggio d’allerta, non importa chi ne è il mittente apparente, e specialmente se il link è mascherato tramite un abbreviatore come Bit.ly (per esempio, http://bit.ly/2eppfIw porta al mio articolo precedente sul caso Podesta).

Nel loro resoconto, gli esperti di SecureWorks sottolineano queste raccomandazioni e aggiungono un trucco: per sapere dove porta un link abbreviato basta copiaincollarlo nella casella del browser e aggiungergli un “+” in coda (per esempio http://bit.ly/2eppfIw+): si viene portati in modo sicuro al sito di Bit.ly, che mostra il link di destinazione esteso.



Fonte aggiuntiva: Esquire.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Capo della campagna elettorale di Hillary Clinton si fa fregare account iCloud e Twitter

Capo della campagna elettorale di Hillary Clinton si fa fregare account iCloud e Twitter

Ultimo aggiornamento: 2016/10/20 9:40. 

Il 12 ottobre scorso l’account Twitter di John Podesta, capo della campagna presidenziale di Hillary Clinton, ha pubblicato un annuncio clamoroso: “Ho cambiato squadra. Votate Trump 2016. Salve, pol”. “Pol” è un riferimento a una sezione del sito 4chan nella quale si discute, fra l’altro, di violazioni informatiche in campo politico: l’account di Podesta era infatti stato violato e ignoti ne avevano preso il controllo.

Una figuraccia informatica epica per il team Clinton, anche perché non ha richiesto un attacco particolarmente sofisticato. Infatti, pur trovandosi in una posizione di enorme responsabilità, John Podesta non aveva preso neppure le misure minime di sicurezza.

Podesta sapeva di essere nel mirino, non solo perché ha un ruolo politico cruciale ma anche perché aveva già subito una violazione informatica pesante: Wikileaks sta infatti pubblicando man mano le sue mail trafugate. Giornali e telegiornali stanno dando ampio risalto alla cosa, per cui Podesta era al corrente di questa violazione, già di per sé imbarazzante.

Una di queste mail pubblicate indicava che la password del suo account iCloud, associato al suo iPhone, era Runner4567. Già il fatto stesso di inviare una password via mail in chiaro è un errore di sicurezza madornale, ma c’è di peggio: nonostante Podesta fosse chiaramente sotto attacco, a quanto risulta non aveva attivato la verifica in due passaggi (autenticazione a due fattori) sui propri account Twitter e iCloud. E così i dati sensibili custoditi nel suo iPhone (nomi, numeri di telefono, appuntamenti e altro ancora) e nel cloud di Apple sono finiti online, visibili a tutti.

È possibile che l’account Twitter di Podesta sia stato violato con facilità perché usava la stessa password usata per iCloud, come fanno incoscientemente in tanti; in tal caso va ricordato che se ci fosse stata attiva la verifica in due passaggi gli intrusi non avrebbero potuto sfruttare la password ma avrebbero avuto bisogno di accedere fisicamente a uno dei dispositivi di autenticazione di Podesta.

Le voci secondo le quali l’iPhone e l’iPad di Podesta sarebbero stati azzerati grazie ai dati trovati nelle mail di Podesta pubblicate da Wikileaks sono state smentite da Wikileaks stessa, che dice di aver “verificato che le credenziali erano già state cambiate” prima di pubblicare le mail che le contenevano.

La leggerezza con la quale i politici trattano la sicurezza informatica, anche quando c’è letteralmente di mezzo la sicurezza nazionale, non cessa mai di meravigliarmi. Ma è una meraviglia del secondo tipo: quello in cui fai fatica a credere che qualcuno in un ruolo così importante sia così informaticamente ingenuo e incompetente da non assumere un consulente informatico e seguirne le raccomandazioni.

Fonte: Ars Technica.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Come prendere il controllo di una Pagina Facebook

Come prendere il controllo di una Pagina Facebook

Ad agosto scorso il ricercatore di sicurezza Arun Sureshkumar ha scoperto una falla in Facebook che gli avrebbe permesso di prendere il controllo completo di qualunque Pagina del social network.

Potete immaginare il valore commerciale di una conoscenza del genere: un potenziale di disinformazione e ricatto straordinario, dato che le Pagine vengono usate da aziende e celebrità per gestire la propria immagine.

Ma Sureshkumar, invece di cercare acquirenti nel sottobosco del crimine informatico, ha agito responsabilmente, informando privatamente gli addetti alla sicurezza di Facebook. La falla era semplicissima: bastava sostituire, in un link, un business ID con quello della pagina da attaccare per diventare gestore della pagina attaccata e cambiarla a piacimento. I dettagli verranno presentati alla conferenza di sicurezza 0SecCon che si terrà in India a fine ottobre.

Per la sua bravura e correttezza, Sureshkumar è stato ricompensato da Facebook con 16.000 dollari e la falla è stata rapidamente corretta. Una cifra notevole, ma probabilmente molto modesta rispetto a quella che avrebbe potuto chiedere a un’organizzazione criminale.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.