Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi per incoraggiarmi a scrivere ancora. Ultimo aggiornamento: 2017/05/17 18:00.
Stamattina sono stato ospite telefonico di Radio3 per parlare di Wannacry insieme a Carola Frediani. Se volete riascoltare i consigli e gli aggiornamenti che sono stati proposti, qui trovate il podcast. Buon ascolto.
 |
| Credit: |
Pubblicazione iniziale: 2017/05/12 18:53. Ultimo aggiornamento: 2017/05/16 13:50. Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi per incoraggiarmi a scrivere ancora.
2017/05/12 18:53. Da qualche ora è in corso un attacco informatico su una scala che, senza esagerazioni, si può definire planetaria. Sono stati colpiti ospedali, università, compagnie telefoniche, aziende in almeno 70 paesi: in pratica, chiunque sia stato così idiota da non aggiornare i propri sistemi. Eh sì, perché la correzione di Windows che rende immuni a questo attacco è già disponibile da mesi. Non c’è niente di speciale o di imprevedibile in quest’incursione ricattatoria.
La tecnica è la solita: ransomware. In altre parole, i computer vengono infettati e i dati che contengono vengono cifrati con una password nota solo ai criminali. Per avere questa password bisogna pagare un riscatto. Se volete leggere il resoconto di un caso concreto che ho seguito, eccolo.
Il malware è stato denominato WanaCrypt0r 2.0 o WCry/WannaCry. La patch di aggiornamento di Windows da installare per bloccarlo è la MS17-010, disponibile da marzo scorso.
Ripeto: la patch è disponibile da marzo. Se non avete aggiornato i vostri computer, ve la siete cercata.
Aggiornerò questo articolo man mano che avrò novità. Adesso piantatela di leggere e andate immediatamente a patchare. Se non potete patchare, spegnete e scollegate i vostri computer Windows. E raccomandate la vostra anima alla vostra divinità preferita.
This is the day #wcry pic.twitter.com/yGPGfXDkNi— Vladimir Ivanov (@ivladdalvi) May 13, 2017
Just got to Frankfurt and took a picture of this… #Sbahn, you got a #Ransomware! pic.twitter.com/w0DODySL0p— Marco Aguilar (@Avas_Marco) May 12, 2017
Here’s what a London GP sees when trying to connect to the NHS network pic.twitter.com/lV8zXarAXS— Rory Cellan-Jones (@ruskin147) May 12, 2017
— Andrew Tinits (@amtinits) May 12, 2017
2017/05/13 09:00. Durante la serata e la notte ho raccolto un po’ di informazioni per rispondere alle domande più frequenti. Le trovate qui sotto.
1. Aggiornate il vostro Windows per installare gli aggiornamenti correttivi (patch). Se non sapete come fare, chiedete a qualcuno che lo sa. Microsoft ha radunato tutte le patch per le varie versioni di Windows qui (spiegone).
2. Aggiornate il vostro antivirus. Praticamente tutti gli antivirus sul mercato riconoscono ormai questo malware.
3. Fate un backup di tutti i vostri dati e scollegatelo dalla rete locale.
4. Chiedetevi perché non avete fatto queste cose prima d’ora e perché c’è voluto un disastro planetario per farvele fare.
5. Come regola generale, non aprite allegati nelle mail senza averli prima controllati con un antivirus aggiornato (anche se questo ransomware non usa la mail per propagarsi, gli altri lo fanno).
6. Disabilitate SMB 1.0 come descritto qui.
7. Controllate di non avere condivisioni SMB aperte che si affacciano a Internet, incluse quelle su VPN.
8. Se avete un computer infetto, non collegatelo alla rete locale; tenterà di infettare tutti gli altri computer della rete.
9. Se siete responsabili della sicurezza di una rete, consentite il libero accesso a questo URL per bloccare l’attacco (per ragioni descritte qui sotto): http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
1. Se avete un backup recente dei dati, usatelo per ripristinarli.
2. Se scoprite che anche il backup è cifrato (perché poco furbamente fate i backup su un disco di rete invece che su supporti fisicamente rimovibili), avete solo due possibilità: tentare di ricostruire da capo i dati cifrati oppure pagare il riscatto, sperando che i criminali vi diano davvero la chiave di decifrazione.
Non sono al corrente di vittime che abbiano pagato il riscatto, abbiano ottenuto la chiave di decifrazione e siano riusciti a recuperare i propri dati. Tutte le società di sicurezza informatica sconsigliano di pagare, perché questo alimenta e incentiva attacchi di questo genere.
Il malware colpisce soltanto sistemi Windows e soltanto se non aggiornati. Se usate MacOS, Linux, Android, Windows Phone, iOS, ChromeOS o qualunque altro sistema operativo diverso da Windows non avete problemi.
Naturalmente se il vostro lavoro o i vostri dati dipendono da qualcun altro che ha computer Windows vulnerabili, potreste avere problemi lo stesso.
Windows Vista SP2, Windows Server 2008 SP2 e R2 SP1, Windows 7, Windows 8.1, Windows RT 8.1, Windows Server 2012 e R2, Windows 10, e Windows Server 2016 se non sono stati aggiornati da marzo scorso.
Windows XP è vulnerabile ma non è più supportato da Microsoft da aprile 2014. Se lo usate ancora su un computer connesso a Internet, come il servizio sanitario britannico, state cercando guai. In via eccezionale, Microsoft ha comunque rilasciato una patch anche per XP.
Se avete gli aggiornamenti automatici di Windows e una versione recente di Windows, siete a posto. Se avete Windows 10 Creators Update, siete immuni a questo problema.
Su Windows 7 e 8, andate a Pannello di controllo – Programmi – Programmi e funzionalità – Visualizza aggiornamenti installati. Su Windows 10 (da Anniversary Update in poi), date un’occhiata a Impostazioni – Aggiornamenti e sicurezza – Windows Update – Cronologia. Per le versioni pre-Anniversary Update di 10 vale la procedura descritta per Windows 7 e 8. Grazie a Ruggio81 per queste info.
Se siete tecnici e sapete usare Metasploit, ci sono delle istruzioni apposite; oppure potreste usare il Microsoft Baseline Security Analyzer.
Il malware si propaga da solo da una rete locale all’altra via Internet cercando e sfruttando le condivisioni di rete SMB maldestramente rivolte verso Internet: questo è quello che emerge dall’analisi fatta da Malwarebytes (v. sezione “SMB vulnerability leveraged to spread ransomware worldwide”). Non è necessaria alcuna azione da parte dell’utente.
Quando il malware riesce a insediarsi in un computer di una rete locale, cerca di propagarsi agli altri computer della rete usando di nuovo le condivisioni SMB e sfruttandone la vulnerabilità già citata. Basta quindi che in un’azienda s’infetti un singolo computer Windows per rischiare di infettare tutti gli altri computer Windows non aggiornati presenti sulla stessa rete locale.
Alcune delle fonti citate in fondo a questo articolo ipotizzano per ora che l’intrusione iniziale possa avvenire (anche) in modo classico, attraverso una mail contenente un allegato infettante oppure una pagina Web contenente codice ostile, ma finora nessuno ha presentato prove di diffusione via mail.
Va notata la scelta del momento per l’attacco: nel pomeriggio di venerdì in Europa, quando gli addetti alla sicurezza di molte aziende hanno già lasciato il posto di lavoro o lo stanno per lasciare e appena prima dei backup di fine settimana, in modo da massimizzare il danno.
Dopo alcune ore, Malwaretech ha preso il controllo (sinkhole) di uno dei domini citati nel malware:
Malwaretech ha scoperto poi (e raccontato magnificamente qui) che questo dominio veniva utilizzato dai criminali come riferimento per la gestione del malware: se esiste ed è accessibile, il malware non effettua cifratura, come spiegato qui da Malwarebytes; se il malware non riesce a raggiungere questo sito, prosegue la propria opera distruttiva. Il sito è probabilmente usato come test dal malware per sapere se sta girando in una sandbox (ambiente di test) o su un computer reale: è una tecnica usata spesso in questo campo.
Il risultato è che al momento un computer vulnerabile si può ancora infettare ma l’infezione non cifra più i dati, per cui l’attacco per ora è stato in gran parte neutralizzato da Malwaretech grazie a un colpo di fortuna e alle tecniche dilettantesche usate dai criminali. Ma se non installate gli aggiornamenti correttivi, nulla impedisce ad altri criminali di ritentare con una versione di malware più robusta. E ci sono già segnali non confermati che questo sta accadendo.
Se è aggiornato, molto probabilmente sì. Ormai lo fanno praticamente tutti.
Nel Regno Unito sono stati colpiti in particolare l’intero sistema sanitario nazionale (costretto a sospendere tutte le attività non urgenti; sono coinvolti ospedali, cliniche, ambulatori, anche a livello dei centralini telefonici; si prevede una paralisi di vari giorni) e la Nissan.
In Francia è stata colpita la Renault.
In Slovenia il malware ha bloccato la produzione dello stabilimento Renault.
In Spagna hanno avuto gravi problemi la compagnia telefonica spagnola Telefónica e altre aziende nel settore dell’energia (Iberdola e Gas Natural).
Negli Stati Uniti anche FedEx è stata colpita.
In Russia ci sono segnalazioni di problemi presso banche (Sberbank, VTB) e ferrovie (RZD).
Sono segnalate infezioni in Russia, Turchia, Germania, Vietnam, Filippine, Italia, Cina, Ucraina, Stati Uniti, Argentina e altri paesi, per un totale di almeno 74 paesi secondo la BBC.
La Svizzera è stata sostanzialmente risparmiata, grazie anche all’informativa diramata da MELANI (la Centrale d’annuncio e d’analisi per la sicurezza dell’informazione).
Il New York Times parla di 45.000 attacchi (e presumibilmente altrettante infezioni). Su Malwaretech.com c’è una mappa animata.
Se cercate su Google intitle:”index of” “WNCRY” troverete un elenco di siti colpiti.
In less than 3 hours (even can say less than 2 hours if we count it from the explosion), they got victims already from 11 countries: pic.twitter.com/cKOF4YpVbT— MalwareHunterTeam (@malwrhunterteam) 12 maggio 2017
Boom, we have insight!#WannaCrypt pic.twitter.com/Tji2e1D6sK— MalwareTech (@MalwareTechBlog) 12 maggio 2017
Ci sono quelle di Kaspersky e quelle di rain1 (che include tutti i testi del malware in varie lingue); anche Ars Technica ne ha pubblicate. Emsisoft ha scritto un’analisi della crittografia usata. VirusTotal ha ottime info. C’è anche un video dimostrativo di un attacco. E Talos Intelligence ha info anche sul sinkholing usato per bloccare l’attacco. L’analisi di Microsoft è qui; le informazioni di F-Secure sono qui e qui.
2017/05/13 11:10: The Register ha fatto un ottimo punto della situazione; idem Malwarebytes qui.
Ci guadagnano i criminali, per ora sconosciuti, che incassano i Bitcoin pagati dalle vittime. Uno dei portafogli digitali usati dai criminali dovrebbe essere questo, ma per ora non sembra che stia crescendo granché (ma mentre scrivo queste righe è venerdì sera, per cui molte aziende reagiranno lentamente). Un altro sarebbe qui. Queste fonti sono confermate da Kaspersky.
In chiaro:
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
Un conteggio aggiornato alle 10 del 13/5 stima un incasso totale circa 14 bitcoin, ossia circa 21.000 euro al cambio attuale. Ma probabilmente il grosso arriverà lunedì, alla riapertura degli uffici.
Un conteggio aggiornato alle 14 del 15/5 stima circa 29,4 bitcoin, ossia circa 50.000 dollari.
L’attacco usa una tecnica presente in uno strumento d’intrusione sviluppato dall’NSA, chiamato EternalBlue/DoublePulsar, che è stato trafugato insieme ad altri da un’organizzazione criminale che si fa chiamare ShadowBrokers e che ha dapprima cercato di guadagnare mettendo all’asta la refurtiva e poi, di fronte al fallimento dell’asta, ha pubblicato tutto online, a disposizione di chiunque. EternalBlue/DoublePulsar è stato analizzato e poi ricreato da criminali informatici che lo stanno sfruttando per questo attacco.
Fondamentalmente è dell’NSA, che ha fabbricato armi informatiche pericolosissime e non ha saputo tenerle al sicuro: è come se avesse fabbricato un’arma batteriologica (che già è una pessima idea perché uccide chiunque, non solo il nemico) e poi oltretutto l’avesse lasciata su un davanzale, a portata di tutti.
Ed è colpa dell’NSA anche perché ha tenuto per sé la conoscenza delle falle sfruttate da queste armi invece di condividerla con Microsoft e consentirle di correggere la vulnerabilità diffondendo un aggiornamento del proprio software. In sintesi, l’NSA ha scoperto un pericolo riguardante migliaia di aziende e sistemi vitali degli Stati Uniti e non ne ha informato nessuno per tenersi un vantaggio operativo: lo ha annunciato a Microsoft soltanto dopo che si è accorta che Shadowbrokers aveva rubato le sue tecniche.
Despite warnings, @NSAGov built dangerous attack tools that could target Western software. Today we see the cost: https://t.co/u6J3bcHnXE— Edward Snowden (@Snowden) May 12, 2017
Whoa: @NSAGov decision to build attack tools targeting US software now threatens the lives of hospital patients. https://t.co/HXRV9uYOuU— Edward Snowden (@Snowden) May 12, 2017
No: è un equivoco piuttosto diffuso. Gli strumenti d’attacco dell’NSA sono stati trafugati e poi pubblicati da ShadowBrokers, non da Wikileaks.
NOTE: WikiLeaks has not released exploit code to the CIA’s “zero day” hacking software. See https://t.co/h5wzfrReyy for details— WikiLeaks (@wikileaks) May 12, 2017
Fonti: CCN-CERT, scheda informativa Microsoft, informazioni Microsoft sulla falla MS17-010, bollettino Microsoft sulla falla MS17-010, New York Times, The Register, Motherboard, Brian Krebs, BBC, The Intercept, Graham Cluley, Sophos, ANSA.
L’articolo è stato aggiornato dopo la pubblicazione iniziale.
Il bollettino di sicurezza MS11-083 di Microsoft (Vulnerability in TCP/IP Could Allow Remote Code Execution) definisce “critica“ la falla nel TCP/IP di Windows Vista, Windows Server 2008 e Windows 7 che “potrebbe consentire l’esecuzione di codice da remoto se un aggressore invia un flusso continuo di pacchetti UDP appositamente confezionati a una porta chiusa del sistema-bersaglio… un aggressore potrebbe eseguire codice arbitrario in kernel mode” e “potrebbe poi installare programmi; visualizzare, modificare o cancellare dati; oppure creare nuovi account con pieni permessi d’utente”. Ironicamente, Windows XP è immune al problema. Idem dicasi per Windows Server 2003.
Secondo Kevin Mitnick via Twitter, questo potrebbe essere un video che dimostra la falla e il suo utilizzo (su una rete locale):
È una falla decisamente bizzarra, perché è così facile da sfruttare e perché è sorprendente che esista: mandi via Internet i pacchetti UDP malformati e prendi il controllo della macchina-bersaglio. Tutto qui. Oltretutto attraverso una porta chiusa, che come tale dovrebbe dare una certa protezione. Anche per F-Secure la falla è piuttosto soprendente; Technet di Microsoft fornisce dettagli e smorza la sfruttabilità del difetto. L’aggiornamento è in arrivo già disponibile fra quelli mensili del Patch Tuesday dell’altroieri; se usate i sistemi operativi affetti, aggiornateli appena possibile.
Martedì 12 gennaio le versioni 8, 9 e 10 di Internet Explorer raggiungeranno la “fine vita” (end of life), ossia non saranno più supportate da Microsoft per quanto riguarda aggiornamenti di sicurezza o correttivi. Chi li usa resterà quindi vulnerabile alle falle note e a quelle che verranno presumibilmente scoperte in futuro.
L’avviso di Microsoft (in italiano) consiglia agli utenti di passare a Internet Explorer 11, “che continuerà a ricevere aggiornamenti della sicurezza, correzioni rapide per la compatibilità e supporto tecnico in Windows 7, Windows 8.1 e Windows 10”.
Chi non segue questo consiglio ma scarica gli aggiornamenti periodici di Microsoft si troverà con un promemoria sullo schermo a partire sempre da questo martedì. L’unica versione di Internet Explorer che resterà supportata è la 11, ma in realtà Microsoft sta spingendo affinché gli utenti abbandonino anche questa in favore del suo nuovo browser, denominato Edge.
Per chi sviluppa software e gestisce sistemi informatici la cessazione del supporto alle vecchie versioni di Internet Explorer, celebri per le loro idiosincrasie e incompatibilità, è probabilmente una buona notizia, perché semplifica il numero di versioni di browser da gestire e offre una giustificazione per andare dal capo e finalmente costringerlo ad aggiornare il software.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle gentili donazioni di “miacom*” e “maxmara*”. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento, come ha fatto “gaino*”).
“Siamo nel 2015 e il tuo PC Windows può ancora essere fregato da una pagina web”, titola The Register. Premesso che in realtà non è un problema che affligge soltanto Windows, in effetti dovremmo chiederci come è possibile che tolleriamo computer, tablet, telefonini che possono infettarsi semplicemente aprendo una pagina Web. È come se i televisori esplodessero sintonizzandoli su un certo canale, o le lavatrici si disintegrassero inserendovi mutande di una certa marca, o le automobili cadessero a pezzi semplicemente entrando su una certa autostrada, e noi fossimo rassegnati ad accettare questo stato di cose, convinti che di meglio non si possa fare. Anzi, peggio che rassegnati: contenti di andare a comperare l’ennesimo gadget o installare l’ennesima versione di sistema operativo che continua ad avere un difetto così patetico.
Stavolta è il turno di Microsoft, che ha rilasciato ben cinquantasei correzioni di sicurezza per i propri prodotti, compreso il nuovissimo browser Edge. Ci sono rattoppi per Office, Internet Explorer e Windows 10, oltre che per le vecchie versioni di Windows (Vista, 7, 8 e 8.1). Nei dettagli tecnici di moltissime di queste correzioni viene spiegato che la falla è sfruttabile da un aggressore semplicemente convincendo l’utente a visitare una pagina web appositamente confezionata.
Almeno due delle falle turate vengono già sfruttate in questo momento dai criminali informatici per attaccare gli utenti, per cui non c’è tempo da perdere: aggiornatevi.
Questo articolo vi arriva grazie alle gentili donazioni di “alecorcella”, “kurotogane” e “fizzoni”.
La eEye Digital Security ha scoperto una falla di Windows Media Player che consente di prendere il controllo di un PC Windows usando semplicemente un’immagine. No, questa notizia non è un doppione: stavolta il formato d’immagine a rischio non è il vetusto WMF che ha causato il panico ai primi di gennaio 2006, ma il più diffuso BMP.
Secondo l’annuncio di eEye, la falla è costituita da un buffer non controllato presente nel codice di Windows Media Player, dalle versioni 7.1 alla 10, per Windows NT, Windows 2000 SP4, Windows XP con Service Pack 1 e 2, e Windows 2003.
Per sfruttare la falla è sufficiente confezionare un’immagine in formato BMP e darla in pasto a Windows Media Player, oppure confezionare un documento, per esempio con Word, immettendovi un’immagine in formato WMP (Windows Media Player). Securityfocus indica anche la possibilità di usare una skin di Media Player.
Se l’utente ha privilegi di amministratore (la norma, purtroppo, in Windows), la falla consente all’aggressore di prendere completamente il controllo del computer della vittima: installare programmi e vedere, cambiare o cancellare dati, per esempio.
Microsoft ha pubblicato la patch (aggiornamento) che ripara questa falla e varie altre, documentate dal bollettino Microsoft di febbraio. Una di queste altre falle, come quella BMP, è considerata “critica” e riguarda Internet Explorer; le altre cinque sono classificate come “importanti”.
È ovviamente consigliabile scaricare e installare subito questi aggiornamenti di sicurezza, usando la normale funzione Windows Update.
eEye segnala inoltre che ci sono ancora tre falle aperte riguardanti il software Microsoft: due di esse sono ad alto rischio, e la più vecchia attende di essere rimediata da 225 giorni. Zio Bill non è l’unico a prendersela un po’ troppo comoda: eEye nota che il software di Real Networks, per esempio, ha due falle in attesa di rattoppo rispettivamente da 30 e 16 giorni.
Punto Informatico, inoltre, segnala la scoperta tutta italiana di un’altra vulnerabilità grave in Windows, che non viene risolta dalle patch Microsoft più recenti.
 |
| Credit: Medieval Reactions |
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle gentili donazioni di “fabio.turch*” e “mario.cop*”. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).
Se dovete ancora avere Flash sui vostri computer, aggiornatelo alla versione più recente, ossia la 18.0.0.232: chiuderete 35 falle, molte delle quali sono classificate come gravi. Controllate la pagina di test di Adobe per verificare quale versione avete a bordo. Se vi siete stufati o volete ridurre il rischio, le istruzioni per obbligare Flash a chiedere il vostro consenso prima di eseguire il contenuto di una pagina sono qui. Scoprirete con piacere quanti pezzi di pagine Web apparentemente normali sono in realtà contenuto Flash mascherato.
Google Chrome (che contiene una propria versione auto-aggiornante di Flash) è stato aggiornato alla versione 44.0.2403.155.
Firefox ha fatto cifra tonda: l’aggiornamento più recente è la versione 40.0. Se state usando versioni precedenti, vi conviene aggiornarle. Le istruzioni per aggiornare Firefox sono qui. La nuova versione di Firefox risolve 14 falle (di cui quattro critiche, inclusa una buona fetta di Stagefright) e introduce maggiori controlli di sicurezza: per esempio, blocca i download automatici di malware identificati da Google Safe Browsing e le pagine Web contenenti “software ingannevole” (eufemismo, dettato da cautele legali, usato per indicare adware e altre forme di malware gestite da una struttura aziendale). Inoltre richiede che le estensioni siano firmate digitalmente da Mozilla; se non lo sono, ricevete un avviso.
Internet Explorer (tutte le versioni dalla 7 alla 11) va aggiornato per risolvere alcune falle definite “critiche” da Microsoft, e anche Windows 10 ha delle vulnerabilità da rattoppare. Le istruzioni dettagliate per aggiornare questi prodotti Microsoft sono qui, ma in sostanza basta usare Windows Update o lasciare che Windows provveda automaticamente. Tuttavia alcuni utenti di Windows 10, caratterizzato dall’installazione automatica degli aggiornamenti, segnalano problemi che bloccano i loro computer in un loop infinito di riavvio e reinstallazione.
L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2015/07/21 1:50.
La fuga massiccia di dati da HackingTeam continua a rivelare falle gravissime finora pubblicamente sconosciute nei componenti software più diffusi. Dopo una vulnerabilità in Windows, una in Internet Explorer e tre in Adobe Flash scoperte e risolte, stavolta è di nuovo il turno di Windows. Tutte le versioni. Niente panico: c’è già l’aggiornamento, a meno che abbiate Windows Server 2003 o Windows XP, nel qual caso siete e resterete vulnerabili.
La falla è decisamente critica e per esserne colpiti basta ricevere un documento o visitare una pagina Web contenente un font particolare. Sì, non ridete: si possono infettare i computer usando i font. E una volta che l’attacco ha avuto successo, un aggressore può usarlo per prendere il controllo completo del sistema colpito, installare programmi, vedere o modificare o cancellare dati o creare account nuovi. Se vi sembro eccessivamente catastrofico, tenete presente che sto soltanto citando testualmente il bollettino di Microsoft MS15-078.
Per ora Microsoft non ha notizia di attacchi basati su questa falla, ma è soltanto questione di tempo: tipicamente un paio di giorni, a giudicare dagli eventi analoghi più recenti. È già pronto l’aggiornamento d’emergenza, che dovrebbe installarsi automaticamente per la maggior parte degli utenti.
L’aggiornamento, rilasciato poco fa, risolve questa falla per Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows RT e RT 8.1. Non c’è aggiornamento per Windows Server 2003 e per Windows XP, perché non sono più supportati (a meno di contratti speciali con Microsoft).
La falla è stata trovata da Mateusz Jurczyk di Google Project Zero e da Genwei Jiang di FireEye studiando i documenti di HackingTeam, secondo quanto riportato da The Register.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “giovanni.por*”. Se vi piace, potete incoraggiarmi a scrivere ancora.
Mettete in preventivo un po’ di tempo oggi per aggiornare i vostri computer: Microsoft ha rilasciato degli aggiornamenti importanti che tappano una cinquantina di falle di sicurezza in Windows e in altri suoi prodotti (.NET, Office, Silverlight) e Adobe ha fatto altrettanto per chiudere una ventina di vulnerabilità in Flash Player, Air, Reader e Acrobat per Windows, OS X e Linux.
Questi aggiornamenti non sono da trascurare: tre sono stati classificati da Microsoft come “critici”, perché consentono di attaccare il computer senza che l’utente debba fare nulla di speciale. Una delle falle corrette, la MS15-044, permette l’attacco informatico semplicemente convincendo l’utente a visualizzare una pagina Web o un documento appositamente confezionato.
Per quanto riguarda il software Adobe, controllate se avete installato Flash usando questo link in italiano: se l’avete installato, verificate di avere la versione indicata nella tabella mostrata dal link. Se necessario, aggiornatevi facendo attenzione a non installare software indesiderato come per esempio Security Scan di McAfee.
Google Chrome, che include una propria versione di Flash, si aggiorna automaticamente al riavvio; in alternativa potete forzare l’aggiornamento facendo clic sulle tre barrette a destra della casella dell’indirizzo e scegliendo la voce Informazioni su Google Chrome.
Se usate Adobe Reader o Acrobat, procuratevi i rispettivi aggiornamenti. Buon divertimento.
Fonti aggiuntive: Microsoft Technet, Krebs On Security.
L’articolo è stato aggiornato dopo la pubblicazione iniziale.
Incredibile. Lenovo ha distribuito intenzionalmente dei PC Windows sui quali aveva preinstallato un software pubblicitario che iniettava pubblicità nei siti Web visitati dagli utenti e devastava la sicurezza della loro navigazione.
Il software, denominato Superfish, installa infatti falsi certificati digitali di sicurezza che gli permettono di intercettare i dati degli utenti anche quando viaggiano su connessioni protette cifrate, per esempio per effettuare transazioni bancarie o immettere password.
C’è di peggio: la chiave di cifratura di questi falsi certificati è la stessa per tutti gli esemplari di computer della Lenovo ed è nota (è basata sul nome dell’azienda che ha creato il software), per cui grazie a Superfish qualunque criminale informatico può creare falsi siti che si autenticano con HTTPS (il lucchetto chiuso, solitamente considerato garanzia di autenticità di un sito). I computer della Lenovo dotati di Superfish accetteranno questi siti come autentici invece di avvisare gli utenti che si tratta di trappole. Rubare le password di questi utenti diventa una passeggiata.
Non è finita: altre marche di computer potrebbero essere vulnerabili allo stesso modo perché altri software, per esempio alcuni sistemi di controllo parentale, usano lo stesso sistema di falsi certificati digitali.
Questo genere di comportamento si chiama in gergo man in the middle (“uomo in mezzo” o “intromissione”, per usare una traduzione libera) ed è tipico del peggior malware. Il fatto che lo installi un’azienda molto nota come Lenovo non cambia i fatti: se inietta pubblicità come fa il malware, se falsifica certificati digitali come fa il malware, se intercetta i contenuti delle navigazioni personali come fa il malware, se rende vulnerabili gli utenti come fa il malware, allora è malware, tant’è vero che alcuni antivirus lo segnalano, sia pure chiamandolo “adware” per evitare di accusare Lenovo di crimini informatici e quindi esporsi a liti legali.
Lenovo si è scusata, ha dichiarato di aver smesso di preinstallare Superfish a gennaio 2015 e di aver disabilitato Superfish sui suoi computer in vendita; ha inoltre pubblicato l’elenco dei modelli coinvolti (esclusivamente laptop), ribadendo che l’utente può rifiutare Superfish durante l’attivazione iniziale del computer e offrendo istruzioni per rimuovere Superfish e il suo falso certificato di sicurezza. Il problema, ovviamente, è che molti acquirenti di computer di questa marca non verranno a sapere che esiste questa vulnerabilità e comunque non saranno in grado di seguire le complesse istruzioni di rimozione (descritte in dettaglio da Ars Technica) o di reinstallare da capo una copia pulita di Windows.
Alcuni esperti di sicurezza informatica hanno già predisposto siti di test (per esempio https://filippo.io/Badfish o https://canibesuperphished.com) che permettono agli acquirenti di computer Lenovo (e anche di altre marche) di sapere se sono vulnerabili o no a questo problema. Il test vale solo per Internet Explorer o Chrome (non per Firefox) e va effettuato con ciascuno dei browser installati. I primi risultati di questi siti di test indicano che circa il 10% degli utenti che effettuano il test risulta essere affetto da Superfish.
Molti si chiederanno cosa possa spingere una grande marca come Lenovo a installare software che mina alla base la sicurezza dei suoi clienti e rovina la reputazione dell’azienda. La spiegazione più probabile è puramente economica: i margini di profitto su prodotti generici come i personal computer Windows per uso privato sono bassissimi e la concorrenza è spietata, per cui molti produttori (non solo Lenovo) si fanno pagare da società di marketing per preinstallare software pubblicitario. Lenovo ha dichiarato che il suo intento era di “aiutare i clienti a scoprire potenzialmente dei prodotti interessanti durante lo shopping” e che “il rapporto con Superfish non è finanziariamente significativo”, ma i dati tecnici rendono poco credibili queste giustificazioni.
Fonti: BBC, Ars Technica, TheNextWeb, Engadget, Lenovo, Punto Informatico.