sicurezza dei dati
Pwn2Own Update :iPhone 4 cade sotto i colpi di Charles Miller
Mr. Charles Miller , qui a sinistra nella foto, è riuscito anche quest’anno a violare il firmare di iIphone 4.
Miller già conosciuto per il suo precedente passato in cui era riuscito a sfruttare una falla di iPhone 2G , creato uno script in grado di leggere i log in formato chat , la rubrica, l’elenco delle chiamate e le voicemail è riuscito anche quest’anno a far nuovamente parlare di se :
All’interno del contest Pwn2own è riuscito a violare un iPhone 4 usando una falla nella versione mobile di Safari per rubarne i contatti della rubrica.
L’attacco è stato condotto facendo visitare un sito web costruito ad-hoc che ha prodotto il crash dell’iPhone 4 utilizzato come cavia.
Al riavvio è stato possibile entrare in possesso della rubrica dei contatti. Nella sua intervista rilasciata a ZDNet, Miller dichiara che l’attacco è stato condotto utilizzando un iPhone 4 con firmware iOS 4.2.1 ma non sarebbe applicabile al nuovo iOS 4.3 grazie all’introduzione di ASLR ( Address space layout randomization ), una patch di sicurezza applicata da Apple .
Da quanto si apprende dall’intervista sembrerebbe che anche aggiornando il proprio dispositivo con il nuovo firmware iOS4.3, si sarebbe a rischio di vulnerabilità , anche se di più difficile realizzazione.
1
Le App Apple spiano gli utenti ?
Secondo quanto emerso da un’indagine condotta dal Wall Street Journal lo scorso dicembre, sarebbero molte le App che in background inoltrerebbero dati senza autorizzazione.
Sono state analizzate 101 applicazioni tra le più scaricate per iPhone, iPad e Android e ben 56 trasmettono l’ID del dispositivo a terze parti, 47 localizzano senza chiedere autorizzazione e 5 raccolgono e diffondono dati personali sensibili.
Secondo il Wall Street Journal le applicazioni analizzate non propongono all’utente nessuna policy relativa alla privacy e le destinazioni delle raccolta dei dati sarebbero società di comunicazione e agenzie pubblicitarie.
Ovviamente la reazione dei consumatori americani e in breve tempo è stata avviata una “class action” contro le applicazioni incriminate e i loro sviluppatori.
Oltre Apple sono accusati di aver violato la privacy degli utenti alcune tra le più note applicazioni
TextPlus
Pandora
Paper Toss
Grindr
The Weather Channel
Dictionary.com
Qui potete trovate l’articolo originale.
0BlackHole RAT : un malware per Mac OS X
E’ stato individuato da parte della società di sicurezza informatica Sophos, un malware concepito per infiltrarsi nel sistema operativo Mac OS X che permette il controllo parziale del Mac a distanza. L’antidoto per rimuovere la minaccia è già pronto ma il cracker promette che la versione definitiva sarà molto più insidiosa.
La release Beta del RAT (Remote Administration Tool) per Mac OS X che circola online al momento è ancora limitata, ma un utente malizioso potrebbe usarlo per riavviare e spegnere il computer da remoto, impartire comandi nella shell, far comparire un file di testo sulla scrivania o una finta finestra di log-in che richiede l’inserimento della password administrator.
Come tutti i trojan, anche BlackHole deve comunque trovare un modo per arrivare ad installarsi sul computer dell’utente. Antivirus o meno, sarà quindi buona consuetudine evitare l’apertura di allegati sospetti,
A quanto pare, BlackHole RAT è stato creato partendo dal codice del “collaudato” darkComet, cavallo di Troia digitale nato sui computer con sistema operativo Windows.
Secondo i ricercatori Sophos, neanche il prossimo Mac OS X Lion potrà considerasi al riparo dalla minaccia.
0Ghostmarket.net. Il forum delle truffe on line.
Si chiama Ghostmarket.net il sito creato da quattro teenager inglesi, ora condannati a fino a cinque anni di carcere, considerato uno dei forum più operativi in tutto il mondo nelle truffe alle carte di credito. I giudici lo hanno rinominato “Crimebook” ovvero una sorta di Facebook per criminali.
Si sono stimati danni per circa 16,2 milioni di sterline, quasi 20 milioni di euro. Si pensa che il sito, che contava circa 8mila membri sparsi in tutto il mondo, sia ricollegabile a centinaia di migliaia di sterline rubate da 65mila conti bancari.
Nicholas Webber, proprietario e fondatore del sito, era stato arrestato nell’ottobre del 2009 insieme all’amministratore Ryan Thomas, dopo aver cercato di pagare un conto di un hotel usando i dati di una delle carta di credito sottratta.
I due avevano rispettivamente 18 e 17 anni. Ora, il tribunale ha condannato Webber a cinque anni di carcere e Thomas a quattro anni di reclusione.
Dalle analisi dei dati dei notebook degli arrestati la polizia ha scoperto la presenza di oltre 100mila numeri di carte di credito.
Dopo il primo arresto, il giovane avrebbe minacciato su un forum gli agenti di polizia specializzati in cybercrime e avrebbe sfruttato le sue abilità di cracker per tracciare gli indirizzi dei poliziotti.
Il giudice ha affermato che i crimini di cui si è macchiato Ghostmarket sono stati realizzati su larga scala: “È stata un’avventura criminale che ha offerto consigli sofisticati su come manomettere un computer, causando malfunzionamenti e il prelievo di informazioni personali, il tutto condotto su larghissima scala“.
0
Nato: priorità per la cyberdifesa! Ancora
Davvero I sistemi di sicurezza Nato sono tra i bersagli preferiti degli hacker, arrivando a contare circa 100 attacchi al giorno
Il segretario della Nato Anderson Fogh Rasmussesn, durante un summit sul tema “Nuovo concetto strategico” ha affermato che la lotta e la difesa contro gli attacchi informatici è la priorità assoluta in questi tempi. La difesa dei territori e dei cittadini non passa solo dalle potenze armate e non si ferma ai confini di stato, e per questo la Nato deve essere in grado di contrastare ogni possibile minaccia.
Nel frattempo il consiglio Europeo assicura che la ”liberta”’ della rete e’ indispensabile per garantire il diritto degli utenti ad accedere alle informazioni. Per questo, i rappresentanti dei 47 Stati membri del Consiglio d’Europa si sono impegnati a difendere la neutralita’ della rete. Benvenuti nell’epoca del cyberpunk!
0Hacker catanese fermato per truffe telefoniche
Il Compartimento Polizia postale e delle Comunicazioni di Catania, su delega della procura distrettuale, ha denunciato in stato di liberta’ un catanese di 28 anni per truffa e uso di falsi documenti di riconoscimento. Su disposizione del sostituto procuratore Giuseppe Sturiale, gli uomini della Postale hanno effettuato perquisizioni e sequestrato numerosi telefoni cellulari e schede telefoniche utilizzate per la truffa. Il giovane, studente di ingegneria informatica, gia’ noto per analoghi raggiri, ha incassato oltre 350 mila euro sfruttando dei buchi nel sistema informatico di addebito di una societa’ di telefonia mobile. Per effettuare la truffa dapprima, alcune societa’ riconducibili all’indagato attivavano numerose utenze a valore aggiunto, quelle con prefisso 899, i cui servizi (in generale linee erotiche) consentivano di guadagnare gia’ 15 euro alla risposta. Successivamente, venivano attivate, utilizzando anche false identita’, numerose utenze cellulari prepagate da una societa’ di telefonia mobile che, per un iniziale difetto del sistema poi corretto, non riconoscevano l’immediato addebito al cliente dei costi per numeri a tariffazione aggiunta, consentendo comunque all’utente di effettuare i primi minuti di chiamata al servizio 899. In tal modo, l’indagato ha effettuato, tramite le schede sim in suo possesso, in meno di 24 ore, oltre 21 mila telefonate agli 899 intestate alle sue societa’ che a loro volta hanno permesso di fatturare e incassare la consistente somma dall’operatore di telefonia proprietario delle linee 899.
0Mobile malware : la nuova minaccia per gli smartphone
Nel solo mese di settembre sono state inviati oltre 1500 files dannosi contenenti malware, virus, trojan verso smartphone.
Sono questi i dati emersi dalla riunione degli esperti di sicurezza che si sono riuniti a Arlingthon , in Texas.
Queste minacce sono potenzialmente molto gravi perché gli smartphone vengono usati anche per acquistare servizi e contenuti su Internet. Ma c’é anche il pericolo di inviare sms a pagamento all’insaputa dei proprietari.
Tim Armstrong, analista del KasperskyLab, afferma che
“il 2010 potrebbe essere l’anno del mobile malware. Assisteremo presto a infezioni seriali”
Parole che rimbombano pesanti, sopratutto se si pensa che al momento la piattaforma Symbian di Nokia è il maggiore obiettivo di questa nuova ondata di attacchi, anche se non vi sono stati casi di particolare interesse.
Truffe sul web : 2 milioni al giorno
Ogni anno vanno smarriti circa un miliardo di euro in truffe telematiche, sono questi i dati diffusi dal nucleo speciale frodi telematiche della Guardia di Finanza al convegno “Uso Etico, legale e criminale di Internet”.
Le cifre sono da capogiro ma comunque rappresentano solo lo 0,78% del totale delle transazioni effettuate sul web, a testimonianza dell’enorme mole di traffico generato quotidianamente. Basti pensare che ogni anno si muovono circa 56 miliardi di euro con pagamenti con carte di credito.
0Attacco a LinkedIn. Social Network nel mirino!
Problemi di sicurezza anche un’altra delle piattaforme più utilizzate del panorama Web 2.0. , il noto social network professionale LinkedIn. Da qualche ora, infatti, Cisco Security Intelligence segnala un attacco di spam che. Da ieri circolano e-mail spazzatura indirizzate ai membri della rete sociale professionale, che hanno ricevuto messaggi di posta con false richieste di contatto. Le e-mail contengono il link a una pagina web con il messaggio ‘WAITING 4 SECONDS‘, un tempo utile per infettare i PC (sistemi operativi microsoft windows ) con un malware in grado di rubare i dati personali. L’attacco è iniziato circa alle ore 12 del 27 settembre e, segnala Cisco, «Tali messaggi hanno rappresentato il 24% dello spam totale inviato in 15 minuti».
L’email chiede in particolare false richieste di contatto sul noto social network, approfittando quindi dell’ignaro click dell’utenza per avviare la pagina verso un download del tutto indesiderato
Dalle analisi di Cisco l’obiettivo di questo attacco è quello di effettuare il download e l’installazione del malware ZeuS (noto anche come Zbot) a insaputa degli utenti che vengono indirizzati verso una pagina web che mostrava un avviso .Questo è il secondo attacco di spam di questo mese di tale portata, che segue a distanza di poche settimane il worm diffuso via email intitolato “Here You Have”. Ovviamente lo scopo è sempre quello di entrare in possesso di dati sensibili, spesso riguardanti le aziende i cui profili sono presenti su LinkedIn.
Il consiglio è sempre lo stesso da tempo ormai : evitare di visualizzare qualsiasi tipo di richiesta proveniente da social network di cui non abbiamo certezza.
Secondo l’Fbi, gli autori dell’attacco sono con tutta probabilità gli stessi che nel 2009 hanno portato a termine un’operazione simile incassando oltre 100 milioni di dollari.
1Intercettazioni Skype. La storia continua!
Tempo fa avevamo parlato dei progetti di intercettazione delle chiamate Skype , per contrastare il fenomeno della criminalità organizzata o quanto altro possa essere illegale.
Gli USA stanno preparando una proposta di legge per facilitare le intercettazioni on line e già è preoccupazione accesa per la violazione della privacy e per l’eccessiva regolamentazione che sta investendo il fenomeno Internet.
L’amministrazione Obama vuole dare un netto colpo di timone alla faccenda, obbligando di fatto i servizi online, tra i quali Facebook e i software peer-to-peer e le mail criptate, a consegnare al governo le intercettazione che possano essere utili alla lotta al crimine e al terrorismo.
Ottimo i motivi ma ovviamente viene spontaneo chiedersi quali siano i metri di misura per distinguere una innocua comunicazione da un summit virtuale della mala vita organizzata. Infatti la proposta ha sollevato immediatamente una nuova ondata di preoccupazione e dubbi su come l’amministrazione possa bilanciare la necessità di sicurezza nazionale con la privacy del singolo cittadino. Gli organi che stanno ragionando e formulando la legge ( FBI, Dipartimento di Giustizia, NSA) respingono al mittente le critiche sostenendo che si tratta di una proposta che mira solo alla sicurezza della nazione e quindi orientata solo verso soggetti verso i quali si nutrono delle serie preoccupazioni, e non di una intercettazione a tappeto su tutti i cittadini statunitensi. D’altra parte, da anni si discute delle possibilità di comunicare in modo completamente criptato che offre un software comune come Skype, ormai disponibile su tutti gli smartphone in commercio, e gli ufficiali delle forze dell’ordine lamentano da molto tempo i rischi connessi alle nuove possibilità comunicative offerte dalla tecnologia a criminali e terroristi.
James X. Dempsey, vicepresidente di un’organizzazione che si chiama Centro per la Democrazia e la Tecnologia, ha detto che la legge avrebbe «enormi implicazioni» e sfiderebbe «gli elementi fondanti della rivoluzione di internet», affermando che
«Stanno chiedendo l’autorità di ripensare i servizi che si avvantaggiano dell’architettura unica di internet. Vogliono portare indietro le lancette dell’orologio e far funzionare i servizi di internet allo stesso modo del telefono»
Naturalmente non si tratta di un problema confinato negli USA. Era notizia di un paio di mesi fa quella di una disputa tra il governo indiano e la società canadese che produce i BlackBerry per l’incapacità di entrambe le parti di decriptare le mail del servizio.
Scrive il New York Times
<<A volte le autorità riescono a intercettare comunicazioni quando queste passano da uno “scambio” creato ad hoc dalle società che amministrano quelle comunicazioni. Molte altre volte — come quando l’indagato usa un servizio che permette di inviare messaggi criptati tra computer e server — devono ordinare al fornitore del servizio di consegnare le versioni decifrate dei messaggi.>>
Secondo la legge del 1994 che regolamenta i rapporti tra i servizi di comunicazione e le forze dell’ordine, i telefoni e le reti a banda larga devono prevedere sistemi di intercettazione a uso delle autorità. Ma la legge non si applica a tutti i fornitori dei servizi: nonostante qualcuno di loro preveda già sistemi d’intercettazione, altri li sviluppano solo eventualmente ricevuta la richiesta del governo. L’intero processo solo nell’ultimo anno è costato 9,75 milioni di dollari alla sezione tecnologica dell’FBI e ne costerà altri 9 alla fine di quest’anno, nell’ambito del programma “Going Dark” creato per sostenere la sorveglianza dei sistemi elettronici.
La proposta di legge conterrà tre richieste principali:
- I servizi di comunicazione che permettono lo scambio di messaggi criptati dovranno possedere un sistema per decriptarli.
- I fornitori esteri che lavorano negli Stati Uniti dovranno installare dei sistemi locali che permettano le intercettazioni.
- Gli sviluppatori dei programmi che permettono comunicazioni peer-to-peer dovranno ripensare i loro servizi per permettere le intercettazioni.
E’ chiaro che la sicurezza nazionale deve essere posta al primo posto , ma non è chiaro come il governo americano potrà regolare la privacy dei cittadini, i servizi che hanno sede al di fuori dei confini USA e i programmi peer-to-peer .
Tra le “voci” autorevoli che criticano questo disegno di legge anche Michael Sussmann, un ex avvocato del Dipartimento di Giustizia che ora lavora come consigliere per servizi di comunicazione.
Egli dichiara
«sarà un cambiamento enorme per le nuove società» che porterà molte spese, perché «il carico che prima gravava sulle forze dell’ordine graverà sui fornitori dei servizi».
Attacchi arrivano anche dagli esperti informatici , preoccupati che il nuovo sistema possa creare della inevitabili falle di sistema che potranno essere sfruttate da malintenzionati hacker che si troverebbero ad utilizzare uno strumento potentissimo per invadere completamente la vita privata di ogni singolo cittadino.
E’ obbligo seguire la vicenda da vicino, perchè sicuramente questa proposta non resterà confinata in USA ma rapidamente condizionerà tutto il mondo.
Preoccupato e un pò incuriosito vi lascio alle vostre riflessioni.
Special Partners
Segui EndlessLab.org
Apple News
- Scarica l’applicazione ufficiale “12 giorni di regali” 21 dicembre 2011
- Apple presenta iPhone 4S, iOS 5 e iCloud. 4 ottobre 2011
- iCloud disponibile per Mac, PC e dispositivi iOS. 4 ottobre 2011
- Nuove funzioni e nuovi prezzi per iPod touch e iPod nano. 4 ottobre 2011
- Siamo aperti: Apple Store, Centro Sicilia 23 settembre 2011
- Siamo aperti: Apple Store, Via Rizzoli 13 settembre 2011
- Siamo aperti: Apple Store, Campania 3 settembre 2011
- Lion conferma le aspettative 22 agosto 2011
- Bombolone, ovvero il primo film italiano girato con iPod touch. 16 agosto 2011
- Siamo aperti: Apple Store, I Gigli 13 agosto 2011
Segnalato da:
