sicurezza dei dati
Twitter : Nuovo attacco
A volte gli attacchi avvengono senza consapevolezza, ma causano ugualmente disservizi.
E ‘ il caso di un adolescente di Melbourne, Australia, che ha causato un attacco informatico al social network Twitter .
Il ragazzo, Peter Delphin , 17 anni , ha scoperto un difetto del sistema che permetteva il reindirizzamento verso altri siti.
“Ingenuamente”, ammette, lo ha rivelato in rete, scatenando però gli attacchi di milioni di utenti che hanno causato il caos nel sito per oltre 5 ore e milioni di utenti che venivano reindirizzati verso siti porno che contenevamo, ovviamente, virus e malware.
0
Aumento dei virus e malware nelle inserzioni del web
Uno studio della Online Trust Alliance rende noto che le minacce informatiche camuffate da pubblicità sono in forte aumento.
Infatti fra giugno e agosto del 2010 le inserzioni online malevole sono aumentate del 250% , una crescita così preoccupante che gli esperti hanno coniato un nuovo termine, “malvertising” che sicuramente andrà ad affiancare i vari malware, spyware e compagnia “bella”.
Craig Spiezle, direttore esecutivo dell’Online Trust Allianche, ha affermato che oltre lo 0,5% delle inserzioni in rete è infetta, ovvero circa un mln di messaggi dannosi al giorno che si dirigono verso i pc degli utenti.
Nuovo exploit per Safari e Internet Explorer? Dati sensibili a rischio!
Il ricercatore Jeremiah Grossman, CTO di WhiteHat Security, ha comunicato di avere individuato una falla nel sistema di autocompletamento dei campi del browser Safari e Internet Explorer che può essere sfruttato per ottenere dati personali, password, indirizzi email e quanto altro salvato.
Il ricercatore ha fatto sapere che rilascerà un attacco proof-of-concept in occasione della conferenza Black Hat di Las Vegas in programma la prossima settimana. L’attacco dovrebbe dimostrare come, senza nessuna interazione da parte dell’utente, una pagina web costruita appositamente con alcuni Javascript, sia in grado di sottrarre i dati relativi all’autocompletamento delle form.
Jeremiah Grossman sostiene che il suo exploit funziona con le versione 4 e 5 di Safari e con le versioni 6 e 7 di Internet Explorer, lasciando intatte invece Firefox e Chrome. Sembrerebbe però che anche questi due ultimi browser soffrano di una debolezza cross-scripting che può consentire ugualmente di ottenere username e password salvate.
Restando in attesa della presentazione di questo exploit durante la conferenza di Black Hat della prossima settimana, mi sento sollevato pensando di non aver mai consentito il salvataggio delle mie password. 
Report Secunia 2010. Analizziamo i dati
Secunia.com ha pubblicato il report del 2010 sulle analisi delle vulnerabilità e dei vettori di attacco maggiormente utilizzati.
L’analisi abbraccia un arco temporale che parte dal 2005 ed estrapola i dati del 2010 basandosi sui primi 6 mesi.
Balza subito all’attenzione come , nella prima metà del 2010, Apple abbia riscontrato un numero maggiore di falla di sicurezza di ogni altro vendor, lasciando al secondo posto Oracle e al terzo la Microsoft.
Bisogna fare attenzione però ad interpretare i dati, perchè a prima vista , il sistema operativo Mac OS X potrebbe apparire il più insicuro in circolazione. Invece si osserva come le falle di sicurezza riguardino software di terze parti, come QuickTime. Adobe , con Fash e Adobe Reader, e Oracle con Java appaiono come responsabili di molte falle di sicurezza.
Basti pensare che nel report di 5 anni fa, compariva un numero molto alto di falle di sicurezza proprietarie dei software Microsoft rispetto a quelle di terze parti. Secunia analizzando i dati, ha affermato che le analisi sembrano supportare la teorica che un elevato livello di vendite implica un alto numero di vulnerabilità scoperte.
Osservare Firefox, Safari e Java occupare i primi posti del podio la dice lunga su come i prodotti di terze parti siano i principali artefici delle vulnerabilità su Windows . Trovare Adobe occupare 4 posti in classica, sembra essere una conferma di quello che gli addetti del settore sostengono da tempo: i reader Acrobat sono un vettore di attacco privilegiato e quindi l’interesse nella scoperta di exploit è più elevato. Se non si può attaccare componenti del sistema, si dirottano le attenzioni sulle applicazioni di terze parti.
Dal canto suo Microsoft con i suoi prodotti proprietari non è certo rimasta indietro nella, poco invidiabile classifica delle vulnerabilità
Passiamo ad osservare i modi attraverso i quali sono stati condotti gli attacchi. Notiamo come, in percentuale, rispetto agli Advisory, siano più elevati i dati per gli attacchi in remoto e molto meno per quelli in locale e da rete locale. Anche questo potrebbe indurre a pensare che queste due ultime tipologie di attacco siano meno pericolose. Anche se in percentuale minone, gli attacchi interni sono i più pericolosi perchè sferrati proprio da dipendenti o comunque personale interno che , conoscendo bene l’infrastruttura di rete può facilmente massimizzare le conseguenze dell’attacco. Un attaccante remoto invece devo sfruttare dei punti deboli, ma essenzialmente non ha conoscenza dell’intera infrastruttura della rete su cui sta penetrando.
Da notare la crescita esponenziale de “Exposure of sensitive information” che conferma come l’esposizione dei dati sensibili sia al centro delle preoccupazioni e rappresenti il nuovo problema delle aziende e delle pubbliche amministrazioni.
Mozilla sniffer. Furto di password con un Add-on per Firefox
Con un comunicato nel blog, Mozilla ha reso noto come un add-on , pubblicato il 6 Giugno 20010 è stato rimosso perchè pericoloso e nocivo per la sicurezza dei dati degli utenti che lo avevano installato.
Mozilla Sniffer,uno dei migliaia di add-on per Firefox, infatti trasmetteva le username e le password verso un indirizzo IP stabilito ogni volta che una form veniva compilata e inviata on line. L’IP in questione è 74.220.219.77, server localizzato in Amerca.
Questo il codice che indentifica le credenziali di accesso e le inoltra al server indicato precedentemente
Ho effettuato un trace dell’indirizzo del server che viene localizzato in America
Mozilla ha sottolineato che l’add-on Mozilla Sniffer si trovava in uno stato sperimentale tale da non essere controllato manualmente dal suo staff ( 
). Ha inoltre precisato che , come tutti gli altri add-on in fase di testing, al momento del download vengono forniti degli avvisi sui potenziali rischi per la sicurezza, lasciando agli utenti la facoltà di procedere con l’installazione.
A prescindere da questo loro giustificazione appare abbastanza grave che un keylogger sia rimasto sul portale ufficiale degli add-on di Firefox per oltre un mese, un arco di tempo durante il quale, dai dati forniti da Mozilla, l’estensione è stata scaricata circa 1800 volte ed utilizzata quotidianamente da 334 utenti.
Mozilla ha già comunicato di ave provveduto ad inviare delle notifiche a tutti quelli utenti che avevano installato l’add-on incriminato, raccomandando loro di eliminarlo e di cambiare tutte le password utilizzate nel frattempo sul Web.
Mozilla ha inoltre cancellato dal suo portale la versione 3.0.1 di CoolPreviews, che a suo dire contiene una grave vulnerabilità di sicurezza causata dalla possibilità di eseguire codice Javascript da remoto. In ogni caso, è già disponibile la nuova versione rivista e corretta.
Risulta certamente singolare come l’attenzione rivolta da Mozilla nella ricerca di trojan, virus o exploit nei suoi prodotti non sia stata applicata in questo caso. Sbagliare è umano e infatti stanno lavorando a una nuova procedura per evitare che questo tipo di problema possa ripresentarsi in futuro..
0Bug Hunter Wanted! Mozilla alza il premio !
Circa sei anni fa il quartier generale di Firefox presentò il Security Bug Bounty Program, un progetto decisamente interessante che premia coloro i quali identificano falle di sicurezza nel browser Firefox e nei loro altri prodotti. I premi furono da prima fissati in 500 dollari, ma è notizia di pochi giorni quella che riporta un aumento fino a 3000 dollari per tutti quelli esperti in sicurezza informatica che aiuteranno Mozilla a scovare bug nascosti nei loro prodotti.
Lucas Adamski, capo della divisione security engineering di Mozilla spiega con queste parole la loro iniziativa
“Molte cose sono cambiate nei sei anni dall’annuncio del nostro programma. Per questo sarebbero necessarie migliori condizioni economiche per chi fa “la cosa giusta”, ovvero per quegli esperti specializzati nella caccia ai bug.”
Una precisazione però è stata fatta dallo stesso, che ha sottolineato come Mozilla non riconoscerà nessuna ricompensa nel caso in cui ritenga che il lavoro svolto nella scoperta di falle di sicurezza e/o bug non sia stata condotto nel rispetto degli utenti stessi.
Ottima politica !
0Apple: Altro caso di frode su App Store. Uno sviluppatore cinese bannato
Continuano i problemi in casa Apple e si registra un nuovo caso di frode su App Store. Dopo il primo verificatosi la scorsa settimana, oggi è stato segnalato un nuovo casa da ArsTechica. Si tratta di uno sviluppatore cinese di applicazioni per il turismo, scritte appositamente per sottrarre denaro agli utenti.
Le applicazioni malevole , prontamente rimosse da App Store, sono
[EN]GYOYO Shangai Travel Helper
[EN]GYOYO Beijing Travel Helper
che come nel precedente caso , in poche ore avevano scalato la classifica del App Store posizionandosi in top 10.
Lo sviluppatore cinese ha utilizzato numerose carta di credito di ignari possesori di account iTunes per acquistare le sue applicazioni e quindi guadagnare la cima della classifica e gonfiare il conto in banca.
Al momento un solo utente ha segnalato l’hijacking del proprio account su iTunes, inviando come prova la fattura da $168.89 comprendente numeri acquisti da £3,99 pagati al venditore “Shangai WiiShii”, ovviamente senza il suo benestare. Potete vedere la fattura qui sotto.
Ovviamente lo sviluppatore è stato bannato ma anche questa volta Apple cercherà di minimizzare l’accaduto, comunicando che la violazioni di soli 400 account iTunes su 150 milioni non rappresenta una cifra preoccupante? Certamente bisognerà prendere provvedimenti per evitare future frodi.
0Skype decriptato. Crepa nel più famoso sistema Voip.
Circa un anno fa, un’agenzia dell’Unione Europea, la Eurojust, avviò un’indagine per valutare la possibilità di decriptare le telefonate VOIP e stabilire quali siano i mezzi giuridici e tecnici necessari per implementare un meccanismo di wiretapping, monitoraggio ed intercettazione di telefonate cellulari e fissi. Anche l’Italia si dimostrò interessata e tramite la rappresentanza italiana presso Eurojust si dichiarò disposta a ricoprire un ruolo fondamentale nel coordinamento e nella cooperazione per l’investigazione nell’utilizzo dei sistemi di telefonia VOIP, tenendo sempre conto delle differenti regole per la protezione dei dati e il diritto alla privacy in vigore nei vari paesi. Lo stesso ministro Roberto Maroni nel febbraio 2009 diede mandato di formare una task force con “l’obiettivo di ricercare soluzioni tecnologiche e normative per rendere fruibili ai fini investigativi e giudiziari le intercettazioni telematiche.” E’ chiaro che la principale preoccupazione è rivolta all’utilizzo che malviventi e organizzazioni criminali possano fare della tecnologia VOIP, un pensiero che pochi potrebbero contestare.
La stessa rappresentante italiana di Eurojust, Carmen Manfredda dichiarò che lo scopo di questa iniziativa comunitaria “non è impedire agli utenti di giovarsi di queste tecnologie, ma di prevenire che i criminali utilizzino Skype e altri sistemi per organizzare le loro azioni illegali.”
Però la cifratura del protocollo Skype è una questione abbastanza complessa. Ne l 2008 la Cina comunicò di aver iniziato l’intercettazione di tutte le chat testuali e a seguire anche l’Austria era giunta notizia che la cifratura delle telefonate non fosse così indecifrabile.
Skype, dal canto suo, si dichiarò favorevole a collaborare con le autorità.
E’ notizia odierna quella di un esperto di reverse engineering , Sean O’Neil, che dichiara di essere in possesso del codice in grado di decifrare le comunicazioni VOIP, una versione modificata del bel noto algoritmo RC4, usato in sistemi come SSL per le sessioni HTTP e WEP per le reti wireless.
Attraverso il suo blog egli dichiara di aver deciso di rendere pubblico il codice in grado di decriptare le chiamate VOIP di Skype perchè già in molti sono attivamente impegnati ad abusare della piattaforma VOIP e quindi tanto vale non lasciargli il vantaggio dell’iniziativa.
E’ possibile che un solo uomo sia riuscito dove anche organizzazioni militari hanno fallito ? Ovviamente la questione è molto delicata e già in molti si dichiarano scettici e hanno iniziato a verificare l’esattezza del codice pubblicato da Sean O’Neil.
La risposta di Skype ovviamente non si è fatta attendere:
“Crediamo che il lavoro svolto da Sean O‘Neil, che noi sappiamo essere formalmente noto come Yaroslav Charnovsky, stia facilitando in maniera diretta gli attacchi di spam contro Skype e stiamo valutando le azioni legali da intraprendere. Anche se comprendiamo il desiderio di de-ingegnerizzare i nostri protocolli con l’intento di migliorarne la sicurezza, il lavoro fatto da questo individuo dimostra chiaramente l’opposto. Skype ha investito pesantemente nella sicurezza e nella privacy del nostro software e siamo orgogliosi dell’alto livello di sicurezza che siamo in grado di offrire ai nostri clienti. Skype era e continua a essere estremamente sicuro, e la distribuzione di questo codice “non compromette in alcun modo questo fatto. Skype resta un metodo sicuro ed efficace di comunicazione globale e la società difenderà vigorosamente la propria sicurezza da tutte le minacce note“.
In attesa di altri sviluppi io stesso ho scaricato il codice C e ho proprio voglia di provarne l’efficienza.
0YouTube sotto attacco. 4chan in prima fila!
Una falla nel sistema dei commenti di YouTube ha permesso a un gruppo di “smanettoni” noto con la sigla 4chan di attaccare i sistemi di protezione dei contenuti e pubblicare migliaia di video pornografici e scritte provocatorie.
Sembra che l’obiettivo del gruppo fosse il cantante sedicenne Bieber, da tempo già bersagliato da minacce da parte di 4chan.
Nei giorni precedenti all’attacco, gli utenti del forum imageboard 4chan, si erano movimentati avviando una campagna di provocazioni e avvisi per l’imminente attacco del 4 luglio. Uno degli utenti scrisse infatti “Ricordate questo giorno, la giornata di oggi ci ricorda che possiamo ancora scuotere Internet dalle fondamenta”
L’attacco è stato reso possibile grazie a una vulnerabilità nel sistema YouTube, che ha permesso di iniettare codice HTML da far eseguire direttamente nel sito. E’ stato così possibile compiere diverse azioni come forzare messaggi pop-up per sbeffeggiare i video, o deviare le utente dirette ai video di Bibier verso sito contenenti pornografia e malware.
Google ha dichiarato di avere disabilitato i commenti ad un’ora dall’attacco e aver sanato la falla di vulnerabilità in due ore.
Al momento non risultano compromessi i dati degli account di YouTube.
0iTunes e le transazioni pirata! Il giorno dell’insicurezza di rete
Il 4 luglio , il giorno dell’indipendenza degli Stati Uniti , non è stato certamente una ricorrenza felice per la sicurezza della Rete.
Oltre all’attacco a YouTube si sono verificati pure strani eventi in casa Apple e in particolare nello Store di iTunes.
Si è assistito infatti alla rapida scalata in classifica di circa 40 ebook pubblicati da uno sviluppatore vietnamita, identificato come Thuat Nguyes, rilegato fino al giorno prima nelle zone basse delle classifiche di Ituns.
La situazione che apparentemente sembrava riguardare solo uno sviluppatore in grado di gonfiare le proprie vendite si è trasformata in qualcosa di più importante, arrivando a coinvolgere le carte di credito di molti utenti dello Store on line di Apple.
Un utente ha infatti dichiarato di aver rilevato un addebito di oltre 558 dollari sulla sua carta di credito per oltre 10 transazioni da lui non effettuate ma con il passare delle ore sono apparse diverse simili testimonianze. Dietro l’attacco sembra non esservi solo lo sviluppatore vietnamita, ma anche un cracker asiatico che avrebbe sfruttato alcune applicazioni fasulle e dirottato le transazioni a proprio favore.
Apple ha prontamente provveduto a rimuovere l’account dello sviluppatore coinvolto e ogni sua applicazione dallo Store iTunes e ha consigliato a tutti gli utenti di monitorare le ultime operazioni bancarie e a cambiare il numero della carta di credito e la password immesse. Gli utenti coinvolti non sarebbero solo statunitensi ma anche europei
Apple ha comunicato che solo 400 account sono stati violati il 4 luglio 2010. Una cifra irrisoria, rispetto ai 150 milioni di utenti che conta iTunes Store. Apple minimizza quindi l’accaduto sottolineando che questo rappresenta meno del 0.0003% degli utenti di iTunes Store.
Questa manovra degli hacker non ha compromesso in nessuna misura i server di iTunes.
2Special Partners
Segui EndlessLab.org
Apple News
- Siamo aperti: Apple Store, Porta di Roma 21 aprile 2012
- Inaugurazione dell’Apple Store, Porta di Roma 17 aprile 2012
- Nuova linea di software FileMaker 12 ora disponibile 13 aprile 2012
- L’App Store sta per raggiungere i 25 miliardi di download 22 febbraio 2012
- Se Botticelli avesse un iPad: la primavera di Londra secondo David Hockney 17 febbraio 2012
- Scarica l’applicazione ufficiale “12 giorni di regali” 21 dicembre 2011
- Apple presenta iPhone 4S, iOS 5 e iCloud. 4 ottobre 2011
- iCloud disponibile per Mac, PC e dispositivi iOS. 4 ottobre 2011
- Nuove funzioni e nuovi prezzi per iPod touch e iPod nano. 4 ottobre 2011
- Siamo aperti: Apple Store, Centro Sicilia 23 settembre 2011
Segnalato da:
