Vai al contenuto

Windows Genuine Advantage bucato in 24 ore

Microsoft ha introdotto da pochi giorni il Windows Genuine Advantage, un
controllo mediante il quale soltanto gli utenti che hanno copie legittime di
Windows possono scaricare gli aggiornamenti, eccezion fatta per gli
aggiornamenti di sicurezza più critici, che restano scaricabili da tutti.

Quando si usa Windows Update, viene chiesto il numero di serie di Windows. Se
il numero è di quelli nella “lista nera” di zio Bill, viene negato il permesso
di scaricare gli aggiornamenti non critici.

Scavalcare Windows Genuine Advantage è di una banalità impressionante: per
farlo sono bastate 24 ore.
Stando a Boing Boing, è sufficiente, prima di premere i pulsanti “Custom” o “Express” nella
pagina Web di Windows Update, incollare nella barra degli indirizzi
quest’istruzione e premere Invio:

javascript:void(window.g_sDisableWGACheck='all')

In altre parole, il controllo di sicurezza viene effettuato
sul computer dell’utente. Ma allora che senso ha introdurre controlli
antipirateria che vengono eseguiti sul computer del pirata e sono quindi sotto
il suo controllo? Questa è una presa in giro, che può soltanto dare fastidio
agli utenti legittimi e non impensierisce affatto i pirati.

Una delle possibili ragioni per le quali Microsoft introduce queste stupidate
è che in questo modo
fa ufficialmente la parte dello strenuo difensore della propria proprietà
intellettuale, ma in realtà lascia che la pirateria prosegua indisturbata, e questo le fa comodo, perché ogni utente che pirata Windows è un utente in
meno che passa a Linux o a Mac OS X. Riuscendo a piratare Windows a casa,
imparerà Windows invece di imparare le alternative, e così sarà meno
invogliato a cercarle. Quando entrerà nel mondo del lavoro (dove i controlli
antipirateria sono un po’ più seri), saprà usare soltanto Windows (grazie al
fatto di averlo piratato), per cui non vorrà sentir parlare di altri sistemi
operativi. Lo stesso meccanismo vale non soltanto per Windows, ma anche per
Microsoft Office.

In altre parole, la prima dose è gratis, per accalappiare il cliente. Poi si
ci trova costretti a pagare, pagare, pagare.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Escono Windows e Mac OS nuovi: non c’è fretta di installarli

Sono disponibili al pubblico le nuove versioni dei principali sistemi operativi
per computer, ossia Windows 11 e Mac OS 12 Monterey.

Una volta tanto non è urgente installarli: non introducono miglioramenti
importanti della sicurezza, perlomeno per l’utente comune, per cui
aggiornatevi se volete, ma non sentitevi particolarmente in obbligo. Non c‘è
fretta: Windows 10 continuerà a essere supportato fino a
ottobre del 2025.

Come sempre, prima di aggiornare un sistema operativo, fate un backup completo
dei vostri dati e delle vostre applicazioni (meglio ancora, dell’intero
sistema), controllate che le applicazioni che usate e il vostro hardware siano
compatibili con la nuova versione di Windows/MacOS e ritagliatevi un paio
d’ore di tempo per l’aggiornamento. 

Ho provato a installare sia Windows 11 sia MacOS Monterey, e anche sui miei
computer non particolarmente potenti o recenti non sembrano causare
rallentamenti. In entrambi i casi, il computer stesso vi avvisa se è
compatibile o meno con l’aggiornamento non appena tentate di avviarlo.

Windows 11

La nuova versione del sistema operativo di Microsoft offre un nuovo design
molto pulito, che però ha una scelta probabilmente controversa: il pulsante
Start, che per decenni è stato nell’angolo in basso a sinistra, ora sta in
basso al centro della Taskbar, sovvertendo abitudini e automatismi ben radicati nella
memoria muscolare degli utenti. Si può riportare a sinistra andando nelle impostazioni di Windows 11.

A parte questo, una novità interessante di Windows 11 è che vi girano o gireranno anche le
applicazioni Android, grazie al Windows Subsystem for Android (WSA), anche se
con alcune
limitazioni
hardware e geografiche. C’è una gestione più potente dei monitor multipli e
delle finestre multiple, arriva un nuovo Store delle app Microsoft e ci sono alcune migliorie per i gamer. Ma non ho visto nulla che mi faccia correre ad installarlo.

MacOS 12 (Monterey)

Il nuovo MacOS è installabile anche su computer piuttosto vecchiotti (ho appena finito di installarlo su un Mini del 2014). Anche qui non ci sono miglioramenti che fanno venire fretta di installarlo: sono arrivati gli shortcut, ossia dei “programmi” o script che permettono di automatizzare le operazioni ripetitive (tipo creare una GIF partendo da un video). I Mac possono ora essere usati come monitor e altoparlanti per altri dispositivi, tramite AirPlay: si può mostrare sullo schermo del Mac lo schermo di un iPhone, per esempio. I MacBook recenti hanno una funzione di consumo energetico ridotto (è nelle impostazioni della batteria). C’è un’opzione che consente di limitare notifiche e distrazioni.

La novità forse più interessante è lo Universal Control, che però non è ancora disponibile ma dovrebbe consentire prossimamente di usare una sola tastiera e un solo trackpad o mouse di un Mac per comandare altri Mac e iPad nelle sue vicinanze (che siano sulla stessa rete Wi-Fi e usino lo stesso Apple ID e soprattutto permetterà di trascinare e mollare un file da un dispositivo all’altro.

I nuovi MacBook Pro, per contro, rivelano una magagna piuttosto comica: il loro schermo ha una tacca, il notch, per ospitare la webcam, ma la barra menu situata in alto non ne tiene conto e alcune sue voci finiscono per essere nascoste dalla tacca. Piuttosto imbarazzante, per un’azienda che ha il culto del design e dell’estetica.

Questo tweet https://twitter.com/thelazza/status/1453307197115490317 mostra un
problema serio dei nuovi Mac con la tacca per la webcam:

Il problema è parzialmente risolvibile cambiando le impostazioni dello schermo in modo da sacrificarne una fettina.

Fonti aggiuntive:
Howtogeek, Gizmodo.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Attacchi informatici usando documenti Office, l’allerta di Microsoft

Attacchi informatici usando documenti Office, l’allerta di Microsoft

Il 7 settembre scorso Microsoft ha pubblicato un advisory che mette in guardia contro documenti Microsoft Office alterati per trasformarli in vettori di attacchi informatici. Questa tecnica di attacco viene già sfruttata attivamente dai criminali informatici per colpire gli utenti Windows.

La vulnerabilità in questione, la CVE-2021-40444, si basa su un difetto presente in MSHTML/Trident, il motore di rendering usato dall’obsoleto Internet Explorer e oggi utilizzato da Office per visualizzare i contenuti Web nei documenti Word, Excel e PowerPoint.

Se si apre con Microsoft Office su Windows un documento Office alterato in questo modo (includendovi un controllo ActiveX), l’aggressore che ha inviato il documento può prendere il controllo del computer della vittima, perché il motore di rendering esegue il codice ActiveX con gli stessi privilegi dell’utente. Il codice ActiveX usa questo potere per scaricare e installare un malware scelto dall’aggressore.

La vulnerabilità è insomma potenzialmente molto seria, ma va detto che se Microsoft Office viene usato con le sue impostazioni predefinite l’attacco non va a segno perché i documenti scaricati da Internet vengono aperti in Visualizzazione protetta o in Application Guard e quindi non possono accedere alle risorse trusted del computer attaccato. L’attacco non ha effetto su chi usa Microsoft Office su Mac ma riguarda tutte le versioni di Windows dalla 8.1 alla 10.

Defender, l’antivirus di Microsoft, già riconosce i documenti-trappola che sfruttano questa vulnerabilità, e lo stesso fanno i principali antivirus di altre marche, se li aggiornate.

Dovrebbe uscire a breve un aggiornamento di sicurezza che correggerà la falla, ma nel frattempo Microsoft consiglia a tutti non solo di aggiornare il proprio antivirus ma di disabilitare l’installazione di tutti i controlli ActiveX in Internet Explorer (nel modo spiegato nell’advisory) per contenere i danni di un eventuale attacco. Un altro consiglio è non usare un account Windows che abbia privilegi di amministratore, non disattivare la Visualizzazione protetta per nessun motivo e non aprire documenti Office inattesi, ricevuti via mail o scaricati da siti Internet non fidati.

Tutte cose ovvie, in linea di principio, ma purtroppo molti utenti non rispettano questi principi e poi finiscono per essere scottati. 

Fonti aggiuntive: The Hacker News, Cybersecurity360.it, Sophos, Tripwire.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Arriva Windows 11. Non abbiate fretta di installarlo

Arriva Windows 11. Non abbiate fretta di installarlo

Windows 11 offrirà una nuova interfaccia, funzioni di gioco migliorate e un
app store
che includerà sia applicazioni Windows tradizionali, sia applicazioni Android.
Sì, perché Windows 11 potrà far girare anche le applicazioni Android dello store
di Amazon. Se sentite il bisogno di avere TikTok sul vostro computer, potrete
farlo.

Non correte a cercare di installarlo: Microsoft
prevede di
offrire Windows 11 “a inizio 2022” come scaricamento gratuito e che i
PC con Windows 11 preinstallato siano disponibili
“nel corso dell’anno”, anche se sono già in
circolazione
copie molto, molto preliminari. Attenzione, come al solito, a fidarvi di
fornitori sconosciuti. 

Questo è Windows 11 nella sintesi di due minuti e 42 secondi preparata da Microsoft:

Prima di pensare di installare Windows 11 sul vostro computer attuale, usate
questa app
(Controllo Integrità) per sapere se è compatibile. Poi, se proprio non
resistete all’attesa e volete sperimentare le anteprime che saranno
disponibili tra pochi giorni, potete iscrivervi al programma
Windows Insider. Attenzione: queste anteprime sono appunto sperimentali, vanno
usate con cautela
e non sono consigliate come ambiente di lavoro. Meglio aspettare; tanto
Windows 10 resterà supportato fino al
2025

Però mi raccomando: aspettare non significa continuare a usare Windows
7.

Fonti aggiuntive:
Ars Technica, Punto Informatico.

 

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Una falla vecchia di 17 anni in Windows: turatela

Una falla vecchia di 17 anni in Windows: turatela

Microsoft ha rilasciato un aggiornamento che risolve una falla, denominata SigRed, presente in Windows da ben 17 anni. Denominata CVE-2020-1350, riguarda principalmente i server, non i computer personali, ma è comunque importante da conoscere per tutti e l’aggiornamento correttivo va installato appena possibile usando la consueta procedura (Windows Update).

La falla riguarda il DNS, o Domain Name System, vale a dire la “rubrica telefonica” di Internet che associa il nome di un sito all’indirizzo IP del server che ospita quel sito, un po’ come la vostra rubrica telefonica associa i nomi dei vostri contatti ai loro numeri telefonici.

Il problema è che la sicurezza del DNS dei computer Windows era difettosa, come ha scoperto la società di sicurezza israeliana Check Point, e questo è importante per tutti noi perché il difetto rende molto più facile per un aggressore dirottarci verso un sito falso, nel quale magari immettiamo dati personali o coordinate di carte di credito.

La falla normalmente sarebbe difficile da sfruttare, perché solitamente i server sono ben protetti e non sono esposti direttamente a Internet e quindi l’aggressore dovrebbe accedere al Wi-Fi aziendale o alla rete cablata dell’azienda bersaglio, ma la pandemia ha imposto a molte aziende dei rapidi cambi di struttura delle proprie reti che potrebbero renderle più vulnerabili.

Il difetto è classificato al massimo livello di criticità (10 su 10), tanto che il Dipartimento per la Sicurezza Interna statunitense ha ordinato alle autorità federali del paese di installare immediatamente l’aggiornamento correttivo, riguarda tutte le versioni di Windows Server dal 2008 a oggi ed è wormable, ossia propagabile automaticamente da un server all’altro, ma la buona notizia è che non è ancora stato sfruttato dagli aggressori. Una volta tanto, le guardie sono in anticipo sui ladri.

Fonti aggiuntive: Sophos, Ars Technica, Wired, Gizmodo.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Microsoft tura 99 falle con un aggiornamento massiccio

Microsoft tura 99 falle con un aggiornamento massiccio

Se usate Windows, fate appena possibile gli aggiornamenti di sicurezza rilasciati pochi giorni fa da Microsoft: risolvono ben 99 falle, alcune delle quali vengono già sfruttate dai criminali informatici.

Una, in particolare (CVE-2020-0674), consente di attaccare e prendere il controllo completo del computer semplicemente convincendo l’utente a visitare una pagina infettante di un sito.

Un’altra (CVE-2020-0729) consente di prendere il controllo di un computer semplicemente infilandovi una chiavetta USB contenente un file .LNK appositamente confezionato.

La procedura di aggiornamento è quella solita: in Windows 10, scegliete Start – Impostazioni – Aggiornamento e sicurezza – Windows Update – Controlla aggiornamenti. Eseguitela dopo aver fatto un backup o un punto di ripristino, in modo da poter tornare indietro se scoprite che l’aggiornamento causa problemi.

Il rischio di problemi non è una buona scusa per rinviare gli aggiornamenti. Ora che sono stati resi noti i dettagli di queste falle e le loro correzioni, è solo questione di tempo (qualche giorno) prima che i criminali informatici creino degli attacchi su misura per prendere di mira chi non si aggiorna.

Fonti aggiuntive: Cybersecurity360.it, Graham Cluley.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Perché Windows rifiuta di aggiornarsi? Colpa dell’antivirus

Perché Windows rifiuta di aggiornarsi? Colpa dell’antivirus

Se state cercando di seguire le normali raccomandazioni di sicurezza informatica e quindi volete installare gli aggiornamenti di sicurezza di Windows ma non ci state riuscendo, la colpa potrebbe essere dell‘antivirus. Sì, siamo arrivati all’assurdo che un antivirus, concepito per migliorare la sicurezza, finisce per impedirla.

Il problema nasce dalle due gravi falle Spectre e Meltdown, già descritte in un articolo precedente. Microsoft ha già rilasciato gli aggiornamenti che le correggono (almeno in parte), ma non permette di installarli a chi usa alcuni tipi di antivirus.

Questo, spiega Microsoft, è necessario perché alcuni antivirus usano metodi che sono incompatibili con i più recenti aggiornamenti di Windows e mandano il sistema operativo in crash, con un classico Schermo Blu della Morte.

Spetta ai produttori di antivirus modificare i propri prodotti per tenere conto delle novità di sicurezza generate da Spectre e Meltdown: nel frattempo Microsoft si trova costretta a scegliere fra lasciare i propri utenti con un computer vulnerabile ma funzionante e bloccarli del tutto.

Il ricercatore di sicurezza Kevin Beaumont ha pubblicato un documento, progressivamente aggiornato, che elenca gli antivirus che non intralciano gli aggiornamenti di sicurezza di Microsoft. Consultatelo per sapere se il vostro antivirus è diventato un ostacolo o si è aggiornato.

Chicca finale: Microsoft ha imposto ai produttori di antivirus di autocertificare la propria compatibilità aggiungendo un’apposita chiave al Registro di Windows ogni volta che si avviano. Quanto tempo ci vorrà, si chiede l’esperto di sicurezza Graham Cluley, prima che i criminali informatici imparino a modificare questa chiave del Registro per impedire ai PC di aggiornarsi e così mantenerli vulnerabili?

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Meltdown e Spectre, le cose da sapere e da fare (senza panico)

Meltdown e Spectre, le cose da sapere e da fare (senza panico)

Ultimo aggiornamento: 2018/01/07 00:40.

Se avete sentito parlare in toni drammatici di due importanti falle informatiche annunciate in questi primi giorni del 2018, rilassatevi.

Sì, il problema è serio, ma se non siete informatici per lavoro (per esempio gestite una banca o un servizio cloud) probabilmente vi basta aggiornare il vostro Windows, Mac, Linux, Android o iOS e le vostre applicazioni (in particolare il browser) come consueto, senza panico. Forse dovrete aggiornare anche il firmware del vostro processore. Se invece siete informatici per lavoro, vi aspettano giorni difficili e mi dispiace molto per voi.

In estrema sintesi, Meltdown e Spectre sono i nomi dati a gravi difetti di progettazione e di funzionamento presenti in buona parte dei processori fabbricati dal 1995 in poi da Intel e in alcuni di quelli prodotti da AMD e progettati da Arm. Sono processori usati in computer, tablet, telefonini e molti altri dispositivi (comprese le auto “intelligenti”). Non si tratta dei soliti difetti di app o sistemi operativi: qui sono proprio i chip stessi a essere fallati.

Specificamente, Meltdown è un difetto dei processori della Intel (e del futuro Cortex-A75 della Arm), mentre Spectre (in due varianti) tocca non solo i processori di Intel ma anche quelli di AMD (Ryzen) e Arm usati sugli smartphone, secondo The Register. Meltdown è risolvibile via software; Spectre per ora no.

Questi difetti hanno una caratteristica comune: entrambi risiedono nelle funzioni di speculative execution dei processori e intaccano le barriere protettive fondamentali che isolano un processo da un altro (per esempio un’app da un’altra). Normalmente un’app non può spiare i dati usati da un’altra app, ma con Meltdown e Spectre questo isolamento cade, e cade malamente, come racconta questo articolo tecnico.

Questo consente per esempio a una pagina Web o a un’app ostile di rubare password (persino da un gestore di password), chiavi crittografiche, Bitcoin e altre criptovalute, mail, foto, documenti o altri dati o di eseguire istruzioni a suo piacimento sul vostro dispositivo. Basta usare del Javascript in un browser non aggiornato. In altre parole, è male.

Per i sistemi aziendali che usano macchine virtuali, è stato dimostrato che un attacco eseguito su una macchina virtuale può leggere la memoria fisica della macchina ospite (host) e da lì leggere la memoria di un’altra macchina virtuale presente sullo stesso host. Per chi gestisce o usa servizi cloud, insomma, è malissimo.

Tanto per darvi un’idea di quanto sia brutta questa situazione, il CERT statunitense aveva inizialmente consigliato di cambiare tutti i processori (“Fully removing the vulnerability requires replacing vulnerable CPU hardware.”) (copia su Archive.is). Poi si è ricreduto.

Non risulta al momento che ci siano attacchi attivi che sfruttano queste falle, ma è probabilmente solo questione di tempo [2017/01/05 19:00: sono arrivati]. Le dimostrazioni di efficacia di queste falle realizzate dagli esperti, invece, sono già in circolazione:

Siccome cambiare processore non è granché fattibile nella maggior parte dei dispositivi, è necessario ricorrere a correzioni software, da scaricare tramite aggiornamenti del firmware, del sistema operativo e delle applicazioni.

Nonostante le preoccupazioni iniziali su possibili riduzioni delle prestazioni dei processori dovuti a queste correzioni, le prime indicazioni non rivelano rallentamenti avvertibili in circostanze normali [2018/01/07 00:40 segnalati tempi quasi doppi per il mining della criptovaluta Monero].

  • Per il firmware, Intel ha annunciato di aver già pubblicato aggiornamenti correttivi per “la maggior parte dei processori introdotti negli ultimi cinque anni”, ma solo per Meltdown; Spectre rimane. AMD ha pubblicato delle informazioni di base; Arm ha messo online un elenco dei prodotti vulnerabili e le patch per Linux.
  • Per i dispositivi Apple, iOS risulta già corretto dalla versione 11.2, macOS dalla 10.13.2 e tvOS dalla 11.2 (watchOS non richiede aggiornamenti correttivi). Il browser Safari dovrebbe ricevere a breve un aggiornamento.
  • Per Linux è disponibile un aggiornamento (piuttosto manuale). Il kernel 4.14.11, rilasciato il 3 gennaio, risolve le falle. Per sapere quale kernel avete, il comando (a terminale) è uname -r o uname -a.
  • Per i dispositivi Android sono disponibili gli aggiornamenti della patch 2018-01-05 (almeno per i telefonini e tablet supportati dai produttori); per sapere se il vostro Android è aggiornato, seguite Impostazioni – Sistema – Informazioni sul telefono (o tablet) – Livello patch di sicurezza.
  • Firefox è corretto dalla versione 57.0.4. Se avete una versione precedente, aggiornatela.
  • Google Chrome sarà corretto dalla versione 64, che dovrebbe uscire il 23 gennaio; nel frattempo conviene attivare la site isolation come descritto qui

Il problema principale è Windows.

  • Microsoft Edge, Internet Explorer 11, Windows 10, Windows 8.1 e Windows 7 SP1 sono corretti con l’aggiornamento KB4056890 del 3 gennaio scorso (come spiegato nella Client Guidance for IT Pros, nella Server Guidance e nell’Advisory ADV180002 di Microsoft) e con l’aggiornamento KB4056892: lanciate Windows Update per aggiornarvi.
  • Tuttavia ci sono conflitti con alcuni antivirus, per cui gli aggiornamenti non si installano sui dispositivi che hanno quegli antivirus (la lista è in continua evoluzione; Kaspersky era già a posto da fine dicembre). Siamo insomma all’ironia che gli antivirus ostacolano la sicurezza.
  • Esiste un’app gratuita per verificare la corretta installazione degli aggiornamenti in Windows: si chiama SpecuCheck.

Per i computer, i tablet e i telefonini (almeno quelli aggiornabili), insomma, il problema è risolvibile, anche se ci sarà sicuramente qualcuno che non si aggiornerà perché si crede più intelligente degli altri o perché ha un capo che si crede più intelligente degli altri. Ma restano i vecchi smartphone e tutti gli altri dispositivi connessi a Internet, quelli dell’Internet delle Cose, come sistemi di monitoraggio e controllo remoto, “smart TV”, automobili, impianti di domotica, che forse non vedranno mai un aggiornamento.

Se volete saperne di più, in italiano potete leggere per esempio Siamogeek o Il Post; in inglese c’è una panoramica dettagliata su Gizmodo e nei siti dedicati alle vulnerabilità, ossia Meltdownattack.com e Spectreattack.com.

Se siete responsabili informatici di un’azienda, potreste trovare ispirazione in questi consigli per definire un piano d’azione. Preparate i fazzoletti.

2018/01/05 19:00

Come facilmente prevedibile, cominciano ad arrivare i primi attacchi, basati su Spectre.


 Fonti aggiuntive: Bruce Schneier, The Verge, Google Project Zero, Medium, ANSA, CERT, The Register, VirusBulletin, Sophos, BleepingComputer, BBC, Repubblica.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Panico per Wi-Fi insicuro? Da ridimensionare

Panico per Wi-Fi insicuro? Da ridimensionare

Se ne parla ovunque da qualche giorno: come ho già segnalato, è stato scoperto che il WPA2, il protocollo di sicurezza che protegge abitualmente le connessioni Wi-Fi contro le intercettazioni, ha una serie di falle gravi che sono state denominate KRACK. Queste falle consentono di intercettare dati sensibili, come per esempio le password usate per collegarsi ai siti, e riguardano praticamente tutti i dispositivi digitali di ogni marca dotati di Wi-Fi: televisori “smart”, router Wi-Fi, smartphone, computer. Ma non è il caso di farsi prendere dal panico.

I fabbricanti di dispositivi, infatti, sono stati avvisati a luglio scorso dai ricercatori che hanno scoperto le falle e quindi quelli diligenti hanno già distribuito gli appositi aggiornamenti di sicurezza. Trovate qui una chilometrica lista di produttori di software vulnerabili e aggiornati: Apple, Microsoft, Linux, iOS e Android sono tutti coinvolti, ma hanno già distribuito gli aggiornamenti o li stanno per distribuire (eccetto quelli per i vecchi dispositivi Android, che è comunque il caso di cambiare per molte altre ragioni).

Un attacco basato su KRACK, inoltre, funziona soltanto se la vittima si collega a un sito usando HTTP (connessione non cifrata); se usa HTTPS, come avviene ormai in molti siti e soprattutto quando si digita la password di accesso, questo attacco non è possibile. Lo stesso vale se usate una buona VPN.

Ma il limite più importante di KRACK è che è sfruttabile soltanto se l’aggressore è nel raggio di azione della rete Wi-Fi usata dalla vittima. Questo rende impraticabili gli attacchi a distanza fatti a casaccio e in massa, che sono il metodo preferito dai criminali informatici. In altre parole, l’aggressore dovrebbe avercela proprio con voi: questo non capita molto spesso, e comunque si risolve usando le già citate connessioni cifrate (HTTPS e VPN).

Ci sono anche altre limitazioni che rendono KRACK difficile da sfruttare, ma quello che conta è che se aggiornate il software dei vostri principali dispositivi siete sostanzialmente al sicuro da KRACK. Il vero problema è fare l’inventario di tutti i dispositivi che usano il Wi-Fi: rimboccatevi le maniche e preparatevi a dedicare un po’ di tempo a questa magagna.

Fonti: Graham Cluley, Ars Technica, F-Secure, The Register.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Aggiornamenti di rito (ma importanti) per Flash e Microsoft

Aggiornamenti di rito (ma importanti) per Flash e Microsoft

È tempo di aggiornamenti: Adobe Flash Player ha una nuova collezione di vulnerabilità gravi che consentono a un aggressore di prendere il controllo del computer della vittima via Internet, per cui va aggiornato alla versione 26.0.0.137. La raccomandazione vale per Windows, Macintosh, Linux e Chrome OS; Google Chrome e Microsoft Edge si aggiornano automaticamente.

Microsoft, invece, ha rilasciato una serie di aggiornamenti che chiudono ben 19 vulnerabilità critiche in vari prodotti, compresi gli occhiali per realtà aumentata Hololens. Scaricateli e installateli, se non lo ha già fatto automaticamente Windows per voi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.