Vai al contenuto
Attacco di massa contro gli utenti di Teamviewer e l’azienda stessa

Attacco di massa contro gli utenti di Teamviewer e l’azienda stessa

Se usate TeamViewer, la popolarissima applicazione per il controllo remoto e la manutenzione dei computer, fate attenzione: l’azienda è stata attaccata e anche molti utenti hanno subìto incursioni che hanno sottratto password e soldi.

Secondo The Register, utenti Windows e Mac si sono visti togliere il controllo remoto dei computer usando Teamviewer. Alcuni attacchi hanno avuto successo nonostante l’uso di password ben costruite e dell’autenticazione a due fattori.

Le prime indagini indicano che gli aggressori hanno preso di mira gli account Web degli utenti di TeamViewer e li hanno usati per collegarsi ai computer di questi utenti, prendendo il controllo dei browser per vuotare conti PayPal, accedere alla mail e fare acquisti su Amazon e eBay. Molte segnalazioni sono su Reddit. Ci sono casi di furto di alcune migliaia di dollari trasformati in buoni acquisto e quindi difficili da tracciare e recuperare; altri utenti denunciano di aver perso il controllo dei server che gestivano remotamente. Considerato che TeamViewer è usatissimo anche per comandare impianti a distanza, il pericolo non è banale.

Come se non bastasse, ieri il sito di TeamViewer è diventato inaccessibile per circa tre ore, per cui gli utenti non erano in grado di connettersi da remoto ai propri computer. L’azienda dice che la sua sicurezza non è stata violata e che invece la colpa è degli utenti che hanno “usato con trascuratezza” le password, per esempio usando su TeamViewer delle password che usavano anche altrove, per esempio su siti violati come LinkedIn e Tumblr. TeamViewer ha dichiarato di essere stata attaccata da un denial of service sui propri server DNS, ma insiste che la sua sicurezza non è stata violata.

Se usate Teamviewer, verificate di usare password non ovvie e non usate altrove. Se possibile, attivate l’autenticazione a due fattori e le altre restrizioni di sicurezza sulle connessioni.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Aiuto, un virus ha preso in ostaggio i miei dati e vuole soldi per ridarmeli: cosa posso fare?

Aiuto, un virus ha preso in ostaggio i miei dati e vuole soldi per ridarmeli: cosa posso fare?

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/05/19 8:20.

Questa settimana mi è arrivata una pioggia di segnalazioni di persone e aziende messe in ginocchio da un particolare ricatto informatico: sul loro computer compare un avviso, solitamente in inglese, che comunica che tutti i loro dati (foto, musica, contabilità, fatture, progetti, lavori per la scuola) sono stati cifrati da ignoti con una password e che per avere questa password bisogna pagare un riscatto.

Questo è quello che in gergo si chiama ransomware. Ne ho già parlato in passato, segnalando per esempio il bollettino di MELANI, la Centrale d’annuncio e d’analisi per la sicurezza dell’informazione della Confederazione Svizzera, ma visto che l’epidemia prosegue e ci sono delle novità tecniche è il caso di scrivere una spiegazione dettagliata.

Cosa posso fare?

Per prima cosa, spegnete subito il computer sul quale è comparso l’avviso e spegnete tutti gli altri computer presenti sulla stessa rete informatica. Non perdete tempo. Il computer sul quale c’è l’avviso va spento brutalmente, staccando la spina o azionando il suo interruttore principale, senza spendere tempo a chiudere ordinatamente: quel computer sta probabilmente tentando di infettare gli altri computer della rete. Se non volete moltiplicare il problema, isolatelo più in fretta che potete.

Se avete una copia di sicurezza dei dati su un disco rigido collegato in rete, scollegatela immediatamente dalla rete staccando il cavo o spegnendo il Wi-Fi. Molti ransomware esplorano la rete locale e tentano di infettare e cifrare tutti i dispositivi che trovano, specialmente quelli di backup, in modo che non possiate ripristinare i vostri dati e sventare il ricatto.

Non riaccendete nulla fino a quando avete staccato il cavo di collegamento alla rete locale o spento il Wi-Fi per mantenere l’isolamento, e comunque riaccendete soltanto quando è sul posto uno specialista informatico che vi dirà se, come e quando riaccendere. Non cancellate nulla dai computer colpiti.

Chiedete allo specialista di creare una copia integrale dei dischi rigidi dei computer infetti, ma senza avviarli. Di solito questo si fa estraendo fisicamente i dischi dai computer oppure usando appositi dischi/chiavette di avvio. È importante non copiare i singoli file ma creare un’immagine completa (di solito si crea una immagine ISO). Questa copia serve nel caso che in seguito venga scoperta una tecnica di decifrazione o venga rilasciata la chiave di decifrazione universale (a volte succede); se l’avete, potrete recuperare i dati, magari tra qualche mese.

Posso rimediare io? Mi serve davvero un tecnico?

Se non siete più che esperti e più che previdenti, non potete rimediare da soli (e se siete stati infettati da un ransomware, probabilmente è perché non siete sufficientemente esperti e non siete stati abbastanza previdenti). Tenete presente che questi ransomware sono scritti da professionisti del crimine: di solito sanno quello che fanno ed è difficile batterli.

Non perdete tempo e non cercate di risparmiare soldi con il fai da te: rischiate di perdere per sempre tutti i vostri dati. Non usate un antivirus dopo che è avvenuto l’attacco: non serve a nulla e rischia di peggiorare la situazione cancellando la parte del virus che serve per ripristinare i dati se pagate il riscatto. Chiamate uno specialista. Alcuni di questi ransomware hanno dei difetti che consentono il recupero dei dati: un bravo specialista sa come intervenire.

Se avete una copia di sicurezza di tutti i vostri dati essenziali, potete formattare i computer colpiti, reinstallare il sistema operativo e ripristinare i dati da questa copia. Se non l’avete, ora sapete perché gli esperti raccomandano sempre di averne almeno una.

Se siete dipendenti e vi accorgete del ransomware sul posto di lavoro, chiamate subito l’assistenza informatica e non vi preoccupate che qualcuno vi possa dare la colpa dell’infezione: se cercate di nascondere il problema non farete altro che peggiorarlo e probabilmente alla fine scopriranno il vostro tentativo d’insabbiamento, aggravando la vostra posizione.

Se siete datori di lavoro o dirigenti, vi conviene annunciare subito che non ci saranno sanzioni, in modo da avere la massima collaborazione dei dipendenti.

Mi conviene pagare?

Mi spiace dirlo, ma probabilmente sì; se non avete una copia dei vostri dati, vi conviene pagare il riscatto e imparare la lezione. Valutate quanto valgono i dati che sono stati cifrati e quanto vi costerebbe ricrearli (ammesso che sia possibile) o non averli più. Consolatevi: l’amministrazione pubblica del Lincolnshire, nel Regno Unito, è stata paralizzata da un ransomware che chiedeva un milione di sterline (1,4 milioni di franchi, 1,3 milioni di euro) di riscatto.

Se pagate, non è detto che otterrete la password di sblocco dei vostri dati: dopotutto state trattando con dei criminali. Ma di solito ai criminali che vivono di ransomware conviene che si sappia che le vittime che pagano il riscatto ricevono la password di sblocco: se si diffondesse la voce che pagare è inutile nessuno pagherebbe più.

Conviene inoltre decidere rapidamente se pagare o no, perché molti ransomware aumentano l’importo del riscatto se si lascia passare troppo tempo. Di solito non c’è modo di trattare con i criminali che gestiscono il ransomware perché non c’è un indirizzo da contattare e comunque si tratta di bande che lavorano all’ingrosso, per cui voi siete probabilmente solo una delle loro tante vittime e loro non hanno tempo da perdere in trattative: prendere o lasciare.

Che prevenzione posso fare?

La miglior forma di prevenzione è fare il più spesso possibile una copia di scorta di tutti i dati essenziali e tenerla fisicamente isolata da Internet e dalla rete locale quando non è in uso. Evitate le soluzioni di backup permanentemente connesse alla rete locale: verrebbero infettate e rese inservibili.

Tenere aggiornato il computer è fondamentale. La maggior parte dei ransomware si insedia sfruttando difetti delle versioni non aggiornate di Flash (come descritto qui), di Java, del browser o di Windows. Se possibile, comunque, Flash va rimosso o disabilitato, perché si è rivelato un colabrodo nonostante i continui aggiornamenti correttivi.

Usare un antivirus aggiornato è meglio di niente ma non garantisce l’invulnerabilità: l’antivirus bloccherà i ransomware meno recenti ma non riconoscerà quelli appena usciti.

Adottare un firewall efficace è molto utile, specialmente se consente di filtrare i tipi di file in arrivo, bloccando per esempio i file ZIP o PDF o JAR.

Usare Mac OS o Linux invece di Windows riduce il rischio, perché la maggior parte dei ransomware è scritta per Windows, ma non vuol dire che un utente Apple o Linux possa considerarsi immune: sono in circolazione ransomware scritti in Java, che funzionano su tutti i sistemi operativi che supportano Java.

È importante diffidare degli allegati ai messaggi. Anche se il mittente è qualcuno che conosciamo, se l’allegato è inatteso o se il testo del messaggio non è nello stile solito del mittente è meglio non aprire gli allegati, neanche se si tratta di documenti PDF o di file ZIP. Spesso i ransomware scavalcano le difese rubando le rubriche di indirizzi di mail, per cui le vittime ricevono mail infette provenienti da indirizzi di utenti che conoscono e di cui si fidano. Prima di aprire qualunque allegato, di qualunque provenienza, è meglio fermarsi a pensare: c’è qualcosa di sospetto? Mi aspettavo questo allegato? Posso chiamare il mittente al telefono e chiedergli se mi ha davvero mandato un allegato?

Visitare solo siti sicuri e attinenti al lavoro è una buona cautela, ma non significa che ci si possa fidare ciecamente. Evitare i siti discutibili, per esempio quelli pornografici o che ospitano app piratate o film e telefilm, riduce molto il rischio ed è saggio anche a prescindere dal ransomware, ma molti siti rispettabilissimi possono ospitare e disseminare questo tipo di attacco. In questi giorni, per esempio, è stato segnalato un numero molto elevato di siti normali, basati su WordPress, che ospitano inconsapevolmente delle varianti di ransomware.

A parte questi rimedi tecnici, è indispensabile che ci sia un comportamento sensato e prudente da parte di tutti gli utenti. Aprire allegati ricevuti inaspettatamente, visitare siti di gioco o di film o pornografici dal computer di lavoro, non stare aggiornati sono tutte abitudini diffuse che vanno abbandonate, in modo da creare terra bruciata intorno ai criminali. Soprattutto non bisogna cadere nell’errore di pensare che tanto a noi non capita: infatti il ransomware viene disseminato a caso e quindi può colpire chiunque, dal privato all’azienda all’ente pubblico. E come tutti i guai, anche il ransomware è sempre il problema di qualcun altro fino al momento in cui colpisce noi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Hacking Team, svelata la tecnica d’intrusione

Hacking Team, svelata la tecnica d’intrusione

Ricordate Hacking Team, la controversa società italiana di sicurezza informatica che è stata violata circa un anno fa e i cui dati più riservati sono stati pubblicati in Rete? Molti si sono chiesti come sia stata possibile un’intrusione così vasta, soprattutto ai danni di un’azienda informatica che vive appunto di sicurezza. Ora è stato pubblicato su Reddit un racconto che, stando al suo autore, spiega come sono andate le cose.

L’autore usa lo pseudonimo Phineas Phisher e dice di essere stato lui, da solo, con circa cento ore di lavoro, a scardinare tutta la sicurezza di Hacking Team senza mai mettervi piede, smentendo quindi le ipotesi di un complice interno o di un dipendente infedele. Il sito Web dell’azienda era ben protetto e aggiornato, per cui Phineas ha scelto un’altra strada: ha trovato un dispositivo embedded (forse una telecamera) accessibile via Internet il cui software di base (più correttamente il firmware) era difettoso e vulnerabile. L’intruso ha modificato questo software, trasformando il dispositivo in un accesso nascosto persistente (backdoor).

Da questo dispositivo ha iniziato una lenta scansione della rete interna di hacking e ha trovato un’installazione non protetta del database MongoDB. Poi si è accorto che i dispositivi usati da HackingTeam per i propri backup erano accessibili sulla sottorete locale e così li ha configurati in modo da renderli leggibili via Internet.

Nei backup ha trovato le credenziali di amministrazione, e così si è promosso ad amministratore remoto dei computer di HackingTeam. A quel punto aveva in mano le chiavi di tutto. Ha scaricato tutta la posta di HackingTeam e poi si è accorto che Christian Pozzi, uno degli amministratori dell’azienda, teneva tutte le proprie password in un volume cifrato con TrueCrypt. Phineas ha aspettato che Pozzi aprisse il volume e poi ne ha copiato i file. Da lì ha avuto accesso al codice sorgente dei prodotti dell’azienda e l’ha copiato. Infine ha pubblicato in Rete tutto quanto.

Phineas Phisher, ammesso che il suo racconto sia vero (è perlomeno tecnicamente plausibile), ha anche spiegato la motivazione della sua incursione: dimostrare “la bellezza e l’asimmetria dell’hacking: con cento ore di lavoro, una sola persona può disfare anni di lavoro di un’azienda multimilionaria. L’hacking dà al perdente la possibilità di lottare e vincere”, ponendo fine a quelli che Phisher chiama gli “abusi contro i diritti umani” di Hacking Team.

Fonti aggiuntive: Ars Technica.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
“Polizia” blocca il computer, truffa classica in versione nuova (anche Mac)

“Polizia” blocca il computer, truffa classica in versione nuova (anche Mac)

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2014/01/25.

Avete presente la truffa classica in cui il computer si blocca mostrando una schermata della SIAE, della polizia o dell’FBI che accusa il proprietario di comportamenti illegali e chiede di pagare una multa per lo sblocco? È sempre stata esclusivamente per Windows, ma ora c’è una variante che funziona anche sui Mac grazie a un po’ di Javascript.

Se volete sapere come funziona e come prevenirla, date un’occhiata a questo articolo che ho scritto per la Rete Tre della RSI.

Aggiornamento 2014/01/25. Visto che i miei articoli sul sito della RSI sono al momento irraggiungibili, ripubblico qui l’articolo integrale.

Nuova trappola blocca-computer per utenti Mac

La truffa informatica nella quale un virus blocca il computer e chiede un riscatto per sbloccarlo, spesso fingendo che il blocco sia stato imposto dalla polizia, non è una novità, anche se continua a fare vittime. Adesso ne arriva un’altra versione che se la prende con gli utenti di computer Apple e non richiede più che l’utente si faccia prima infettare: è sufficiente visitare la pagina Web sbagliata. E per “sbagliata” s’intende semplicemente una pagina trovata cercando immagini di qualche celebrità.

La novità viene segnalata dall’FBI, da F-Secure e Malwarebytes: cercando per esempio su Bing delle immagini di Taylor Swift usando il browser Safari compare un avviso dell’Europol o dell’FBI (a seconda della regione geografica nella quale ci si trova) che informa l’utente in inglese che il suo browser “è stato bloccato perché ha visualizzato o distribuito contenuto pornografico proibito” e che per sbloccare il computer ed evitare altre conseguenze legali c’è da pagare una sanzione di 300 dollari.

Se l’utente cerca di chiudere la finestra, non ci riesce; se l’utente forza la chiusura di Safari (menu Mela – Uscita forzata), al riavvio ricompare la stessa finestra di blocco. Il trucco per uscirne senza pagare è forzare la chiusura di Safari e poi riavviarlo tenendo premuto il tasto Shift. In alternativa potete andare al menu di Safari e scegliere Ripristina Safari, lasciando spuntate tutte le caselle mostrate nella finestra di dialogo. Perderete la cronologia e Safari non ricorderà le password, ma è sempre meglio che pagare 300 dollari a dei criminali o dover pagare l’assistenza tecnica che sblocchi il browser.

Se volete prevenire questo genere di problema, potete inoltre andare nelle Preferenze, scegliere la scheda Generale e scegliere Una nuova finestra nel menu Safari si apre con. In questo modo se vi capita il problema sarà sufficiente forzare la chiusura di Safari. Il prezzo di questa prevenzione è che Safari non ricorderà le pagine aperte quando lo riaprirete.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Un altro sito d’incontri violato: un milione di profili privati di BeautifulPeople è ora in Rete

Un altro sito d’incontri violato: un milione di profili privati di BeautifulPeople è ora in Rete

Ricordate Ashley Madison, il sito dedicato agli incontri intimi infedeli i cui utenti furono messi a nudo ad agosto 2015 dal furto e dalla pubblicazione dei loro dati personali maldestramente custoditi? Adesso è il turno di un altro sito dello stesso genere, BeautifulPeople.com, che si vanta di selezionare i propri membri in base al loro aspetto.

A quanto pare BeautifulPeople ha selezionato con lo stesso criterio anche i responsabili della sicurezza informatica, perché i dati personali di un milione di utenti del sito sono ora in vendita nei bassifondi di Internet: nomi utenti, indirizzi di mail, collocazione geografica, caratteristiche fisiche, professione, preferenze sessuali e altro ancora.

I dati sono stati trafugati attingendo a un server di test non protetto sul quale girava il software MongoDB, che ha seri problemi di sicurezza: per esempio, per colpa sua di recente sono finiti online 93 milioni di dati identificativi riservati degli elettori messicani e pochi mesi fa hanno fatto la stessa fine i dati di circa 13 milioni di utenti di MacKeeper. Secondo il motore di ricerca Shodan l’anno scorso c’erano circa 600 terabyte di dati esposti in circa 30.000 database di vari siti grazie alle errate configurazioni di MongoDB.

BeautifulPeople.com dice di aver avvisato tutti gli utenti coinvolti e che le password e le informazioni finanziarie non sono state compromesse. Ma anche senza questi dati le possibilità di ricatto e di furto d’identità sono enormi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Furti di dati personali, ma che male può capitare? Questo

Furti di dati personali, ma che male può capitare? Questo

In occasione di incursioni informatiche che rendono pubblici dati personali, come è capitato di recente con vari portali di ricerca di lavoro in Italia e in Ticino, capita spesso di sentire utenti liquidare l’incidente con un’alzata di spalle e l’obiezione “Cosa vuoi che se ne facciano dei miei dati personali? Non c’è niente di compromettente”.

In realtà i criminali informatici hanno un uso perfetto per questi dati personali: creare false mail infettanti perfettamente credibili, alle quali la vittima abbocca. La maggior parte dei messaggi-esca dei truffatori, quelli che fingono di provenire da banche o da servizi online e invitano a cliccare su un link per mettere in regola il proprio account o a scaricare un allegato contenente virus, è facilmente riconoscibile: è scritta in italiano traballante (o addirittura in altre lingue), è intestata a un generico “gentile utente” e contiene espressioni che una banca o un servizio online difficilmente userebbe. L’utente riconosce la trappola e cancella il messaggio senza seguirne le istruzioni.

Ma i furti di dati personali consentono di fabbricare mail di phishing estremamente personalizzate. Una falsa mail di un’agenzia di riscossione crediti, o di un corriere di spedizioni che vi avvisa di un pacco da ritirare, che riporti il vostro nome, cognome e indirizzo di casa o di lavoro ha buone probabilità di sembrare abbastanza credibile da stuzzicare la vostra curiosità e farvi aprire l’allegato. E a quel punto il danno è fatto.

Questa è la tecnica letale usata da un attacco informatico segnalato da Naked Security: una mail-trappola che riporta nome e cognome della vittima insieme al suo indirizzo postale e porta le sue vittime a scaricare un finto documento che è in realtà un ransomware per Windows, denominato Maktub, che blocca i dati delle vittime con una password complicatissima e poi chiede un riscatto in denaro per fornire questa password.

Per evitare di finire in trappole come queste conviene adottare una regola generale: non cliccare mai su un link in un messaggio di questo genere e non scaricare e aprire eventuali allegati, ma usare un altro canale (per esempio una telefonata) per verificare che il messaggio sia autentico, cliccando o aprendo solo dopo che questo controllo ha dato esito positivo.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Raffica di aggiornamenti in casa Apple: iOS 9.2, OS X 10.11.2, WatchOS 2.1, tvOS 9.1

Raffica di aggiornamenti in casa Apple: iOS 9.2, OS X 10.11.2, WatchOS 2.1, tvOS 9.1

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle gentili donazioni dei lettori.

Apple ha reso disponibile iOS 9.2, che risolve parecchie magagne di sicurezza e di stabilità. È installabile sugli iPhone dal modello 4s in su, sull’iPod touch dalla quinta generazione in su e sull’iPad dalla versione 2 in su. Al momento in cui scrivo i server di Apple sembrano parecchio intasati dall’orda di utenti, per cui conviene aspettare qualche ora (ma non troppo, visto che ci sono delle falle di sicurezza da turare).

OS X passa alla versione 10.11.2, descritta qui e qui, che richiede lo scaricamento di un paio di giga. Anche questo aggiornamento risolve falle di sicurezza e promette di stabilizzare alcuni problemi di stabilità, per esempio sul Wi-Fi. Mettete in preventivo una buona mezz’ora di scaricamento e installazione.

C’è anche un aggiornamento di WatchOS, per chi ha Apple Watch: è la versione 2.1.

Infine per chi ha Apple TV (quarta generazione) c’è l’aggiornamento di sicurezza a tvOS 9.1.

Come al solito, prima di fare qualunque aggiornamento è prudente creare una copia esterna di tutti i dati contenuti nel dispositivo da aggiornare. Utente Apple avvisato, mezzo salvato.

Fonti aggiuntive: Ars Technica.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Cinque attacchi informatici incredibilmente stupidi ma veri

Cinque attacchi informatici incredibilmente stupidi ma veri

Avete mai combinato un pasticcio informatico? Capita a tutti, non vi preoccupate. Consolatevi con questa serie di epic fail da parte di gente che in teoria dovrebbe saper gestire i dati digitali e invece s’è fatta fregare per inettitudine o maldestrezza.

Direttore CIA mette dati riservati su AOL

È di pochi giorni fa la notizia della presunta violazione della casella di mail del direttore della CIA John Brennan da parte di alcuni giovani informatici che su Twitter si fanno chiamare @_CWA_ e @phphax e che avrebbero prelevato da questa casella documenti riservati (contenenti nomi e altri dati di dipendenti dei servizi di sicurezza statunitensi, registri di telefonate con funzionari della Casa Bianca, il modulo di richiesta di verifica delle credenziali di sicurezza e altro ancora), pubblicandoli poi su Twitter e su Wikileaks.

Ma la vera notizia è che la casella di mail in questione non risiede sui server superprotetti della CIA: sta su AOL, un comune fornitore d’accesso Internet commerciale. Il direttore della CIA avrebbe insomma depositato documenti confidenziali presso un normale fornitore commerciale di accesso a Internet a basso prezzo.

Se confermato, sarebbe un gesto di stupidità monumentale in termini di sicurezza, che però sarebbe battuto dall’ingenuità delle misure di sicurezza di AOL. Gli intrusi avrebbero infatti ottenuto accesso alla casella di mail di Brennan usando dati pubblicamente reperibili per fingere di essere lui, contattare il servizio clienti di AOL e farsi inviare un ripristino della password, secondo la tecnica classica del social engineering, e descrivono tutti i dettagli della loro incursione.

Può sembrare poco credibile che il direttore della CIA commetta simili passi falsi, ma non è la prima volta che capita qualcosa del genere: nel 2013 furono violate, saccheggiate e pubblicate varie caselle di mail dei familiari dell’ex presidente degli Stati Uniti George H. W. Bush (nonché ex direttore della CIA). Indovinate dove erano custodite queste caselle? Sempre presso AOL.

La Banca d’Inghilterra spedisce piani segretissimi via mail

Un altro mirabile esempio di violazione della sicurezza informatica incredibilmente stupido arriva dal Regno Unito: in questo caso l’aggressore non ha dovuto fare nulla e anzi non c’è, perché il danno l’ha fatto tutto la vittima della fuga, ossia niente meno che la Banca d’Inghilterra.

A maggio 2015 il capo ufficio stampa della Banca, Jeremy Harrison, ha trasmesso via mail il Project Bookend, ossia i piani segretissimi d’emergenza per gestire un’eventuale uscita del Regno Unito dall’Unione Europea. Li ha trasmessi in chiaro, senza proteggerli neanche con una password o men che meno con un pizzico di crittografia. Non solo: li ha trasmessi al destinatario sbagliato. E fra tutti i destinatari possibili è riuscito a digitare l’indirizzo di mail di un redattore del giornale The Guardian, che ha prontamente reso nota la cosa.

Come è stato possibile un disastro simile? Merito del completamento automatico degli indirizzi. La soluzione adottata dalla Banca d’Inghilterra per evitare che imbarazzi del genere capitino di nuovo è altrettanto epica nella sua follia: invece di educare gli utenti a usare la crittografia o altri canali di trasmissione più sicuri per i documenti sensibili, ha fatto disabilitare il completamento automatico degli indirizzi di mail a tutti i dipendenti, col risultato che ora “tutti alla Banca d’Inghilterra devono faticosamente digitare ogni singolo carattere di ogni singolo indirizzo di mail che scrivono”.

Intrusione tramite…bollitore?

Restiamo nel Regno Unito: cosa ci può essere di più squisitamente inglese di un attacco informatico eseguito tramite i bollitori per il tè? Una marca di questi bollitori ha infatti messo in vendita iKettle, ossia un bollitore per l’acqua del tè che è comandabile a distanza tramite un’app per telefonini iOS o Android, in modo da far risparmiare al proprietario dei secondi preziosi quando si alza al mattino o quando rientra (lo so, lo so, problemi da primo mondo). Ma questo comando a distanza viene inviato via Wi-Fi ed è facilmente manipolabile per rivelare la password del Wi-Fi dell’utente.

“Se il bollitore non viene configurato,” spiegano gli esperti della società di sicurezza Pen Test Partners con dovizia di dettagli, “è banale per gli aggressori localizzare la casa e prendere il controllo del bollitore… mando due comandi e il bollitore mi rivela la password [del Wi-Fi] in chiaro.” La società ha anche creato una mappa londinese dei bollitori informaticamente vulnerabili, ma ha scelto di non divulgarla.

USA, dati personali 21 milioni di dipendenti governativi saccheggiati per un anno

Una delle più grandi violazioni di dati governativi della storia degli Stati Uniti è stata resa nota a giugno 2015. I dati personali di circa 21 milioni di dipendenti o ex dipendenti del governo americano (nomi, cognomi, date e luoghi di nascita, indirizzi, impronte digitali, stipendi, informazioni sui familiari, valutazioni psicologiche e altro) sono stati sottratti dagli archivi dell’Office of Personnel Management (OPM). Gli intrusi sono rimasti nel sistema informatico per almeno un anno.

Lo scopo del furto è probabilmente l’acquisizione di informazioni sui dipendenti governativi statunitensi da parte di una potenza straniera; queste informazioni possono essere sfruttate per ricattare i dipendenti oppure per identificare gli agenti governativi in incognito (avendo le loro impronte, anche se cambiano identità sono comunque tracciabili).

Anche qui gli aggressori sono entrati nei sistemi informatici usando, a quanto risulta dalle indagini, la tecnica del social engineering abbinandola alla totale mancanza di protezioni moderne, dovuta al fatto che alcuni dei sistemi hanno più di vent’anni e sono quasi impossibili da sostituire o aggiornare per dotarli di autenticazione a più fattori; oltretutto il governo statunitense rifiuta da anni di assegnare fondi significativi alla sicurezza informatica dell’OPM.

Audio porno inarrestabile dagli altoparlanti del grande magazzino

Per finire, un “attacco informatico” decisamente atipico: un centro commerciale Target vicino a San Jose, in California, è stato “attaccato” diffondendo l’audio esplicito di un video pornografico attraverso gli altoparlanti interni del grande magazzino. Mentre i dipendenti ridevano e riprendevano la scena con i telefonini, molti clienti sono scappati per l’imbarazzo e per non rispondere alle domande dei bambini che chiedevano di spiegare cos’erano i gemiti che riecheggiavano nelle corsie e sono proseguiti per almeno un quarto d’ora prima che qualcuno trovasse la maniera di zittirli.

Inizialmente era stato ipotizzato che qualche dipendente avesse deciso di guardare video a luci rosse sul computer del centro commerciale usato per la gestione degli altoparlanti, ma poi si è scoperto che l’attacco non è stato il solo del suo genere: analoghi fenomeni sono avvenuti almeno tre altre volte in in altri centri commerciali della stessa catena.

Alla fine è emersa una falla di sicurezza davvero demenziale: i centralini telefonici digitali dei negozi della catena Target hanno un numero interno che è chiamabile da fuori e diffonde la telefonata direttamente sugli altoparlanti senza poter essere escluso. È andata tutto sommato bene, perché gli intrusi avrebbero potuto approfittare del controllo totale che avevano per diffondere falsi allarmi e creare panico.

Come tutte le altre storie di violazione informatica raccontate in questa carrellata, anche questa è un buon promemoria del fatto che qualunque vulnerabilità, anche la più nascosta, prima o poi verrà trovata e sfruttata, ma in molti casi la vittima non ha preso neppure le misure di sicurezza minime di buon senso e soprattutto non ha pensato che quando si introduce una funzione nuova in un sistema informatico bisogna chiedersi sempre se per caso quella funzione possa essere abusata.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Storia di un furto telematico da tre milioni di dollari

Storia di un furto telematico da tre milioni di dollari

Colpo grosso via Internet ai danni della Mattel: l’anno scorso tre milioni di dollari hanno preso il volo per via di una singola mail truffaldina.

La mail interna aziendale proveniva dal nuovo direttore generale della Mattel e ordinava il pagamento di questa cifra a un nuovo fornitore in Cina. L’ordine arrivava poco dopo un ricambio del personale a vari livelli, per cui la manager finanziaria che l’ha ricevuto era ansiosa di dimostrare la propria solerzia e diligenza. Così ha verificato la conformità dell’ordine ai protocolli di sicurezza, che esigevano che i trasferimenti di denaro avessero l’approvazione di due manager di alto livello. Lei aveva questa qualifica, e l’aveva anche il direttore generale, per cui il bonifico da tre milioni di dollari è partito subito alla volta di un conto presso la Bank of Wenzhou, in Cina.

Qualche ora dopo la manager ha accennato al pagamento durante una conversazione con il direttore generale, che però ha negato di aver dato un ordine del genere. Panico: è partita subito una serie di chiamate alla banca che doveva inviare il bonifico, alla polizia e all’FBI. Ma la risposta è stata inesorabile: troppo tardi, i soldi sono già in Cina.

La Mattel era finita in una trappola che ha già causato frodi per quasi due miliardi di dollari soltanto fra le aziende statunitensi: non il solito phishing generico e sgrammaticato, ma una mail accuratamente confezionata, molto realistica, che conteneva i nomi giusti delle persone (in questo caso quello del direttore generale e quello della manager), tratti probabilmente dalle notizie pubblicamente disponibili, e rispettava le prassi e i cicli di pagamento abituali dell’azienda. Si sospetta che in questo caso la Mattel abbia subito un’intrusione informatica che ha permesso di conoscere queste informazioni.

Ma stavolta il maltolto è stato ripreso dalle grinfie dei ladri informatici, perché Mattel ha agito tempestivamente e ha anche avuto fortuna: il bonifico è stato effettuato quando in Cina le banche erano chiuse per una festività locale e quindi la Mattel ha avuto tempo di avvisare la polizia cinese, che a sua volta ha avuto tempo di indagare. Quando la Bank of Wenzhou ha riaperto c’era già sul posto un responsabile antifrode della Mattel che recava una lettera dell’FBI che ha consentito alla polizia cinese di bloccare il conto destinatario del bonifico. Due giorni dopo i tre milioni di dollari sono stati restituiti. 

Fonte: AP.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
App nell’App Store rubano le password. Sono demo dei ricercatori, ma la falla è seria

App nell’App Store rubano le password. Sono demo dei ricercatori, ma la falla è seria

Varie app rubapassword sono state inserite con successo nel controllatissimo App Store di Apple: se installate sul dispositivo della vittima, erano capaci di estrarne le password di iCloud, Mail, Gmail, Faceboook, Twitter, Evernote, Google Chrome e anche le password custodite da app di protezione come 1Password.

Ma niente panico: l’incursione è stata fatta a fin di bene da alcuni ricercatori di sicurezza. della Indiana University, dell’Università di Pechino e del Georgia Institute of Technology.

La falla nei sistemi di protezione di Apple esiste da oltre sei mesi e non è ancora stata sistemata: i ricercatori l’hanno discussa privatamente con Apple, come è consuetudine in questi casi, e poi di fronte alla lentezza dell’azienda nel prendere contromisure l’hanno pubblicata (anche in un video) insieme a un software che esamina le app per sapere se sono protette contro questa falla.

La dimostrazione è un grande successo per i ricercatori, dato che il modello di sicurezza di Apple ha resistito per anni a questo genere di tentativo, ma pone una domanda di fondo: se ci sono riusciti i ricercatori, possono esserci riusciti anche i criminali informatici? In attesa che Apple rimedi al problema, il consiglio di prudenza è di installare dall’App Store soltanto app strettamente necessarie e di indubbia reputazione: cosa che andrebbe fatta sempre e comunque.

Fonti aggiuntive: Ars Technica, InfoSecurity Magazine, Intego.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.