Feed RSS Reader

🔒
❌ Gestione sottoscrizioni⤓
Sono disponibili nuovi articoli, clicca qui per caricarli.
Meno recentiRSS feeds

Per infettare macOS ci vuole un file Windows

di Valerio Porcu
Per infettare un Mac ci vuole un file Windows. È quello che devono aver pensato gli autori di un attacco piuttosto subdolo, confezionato per colpire il sistema operativo Apple. Un attacco che va a segno perché Gatekeeper, il sistema di controllo integrato, non esamina i file .exe, tipici appunto di Windows. All’interno di essi si […]

Russia, test di disconessione da Internet. Controllo totale sulla rete per rendere innocui gli attacchi

di Dario D'Elia
Cosa succederebbe se la Russia venisse totalmente sconnessa da Internet, magari a seguito di attacchi informatici esterni? È una domanda che si pone il Governo e per questo motivo ha deciso di coinvolgere i provider Internet nazionali in una serie di test per determinare le migliori modalità di prevenzione e reazione. Il risultato sarà poi […]

Falla informatica per AirFrance, KLM e altre, ti possono rubare il biglietto

di Valerio Porcu
Diverse compagnie aeree hanno sistemi informatici insicuri, che espongono i dati dei viaggiatori e in qualche caso rendono possibili veri e propri furti. Lo hanno scoperto i ricercatori di Wandera, società di sicurezza IT, che puntano il dito su alcune compagnie piuttosto importanti. Si è scoperto che i sistemi di biglietteria elettronica (eticketing) di alcune compagnie […]

Fattura elettronica: arrivano i cyber-attacchi tramite PEC

di Alessandro Crea
Chi in questi giorni si sta lamentando delle difficoltà per la nuova fattura elettronica è avvisato: i guai non si esauriscono con le scocciature legate alla procedura di fatturazione. A peggiorare la situazione, infatti, ci si è messo anche un gruppo di pirati informatici che sta sfruttando la situazione per colpire le aziende italiane. Gli […]

Crittografia omomorfica, o come salvare capra e cavoli

di Valerio Porcu

La soluzione ai problemi di privacy del mondo potrebbe chiamarsi crittografia omomorfica, una soluzione che per anni è stata fuori portata per via del fatto che erano necessari computer troppo potenti ma che oggi, grazie proprio al continuo miglioramento dell’hardware, comincia a sembrare una via praticabile. E incidentalmente permetterebbe a decine di migliaia, tra aziende private ed enti pubblici, di rispettare le leggi senza mal di testa.

L’idea nasce alla fine degli anni settanta ed è riassunta in un documento firmato da Ron Rivest, Len Adleman, Michael Dertouzos. Vi si descrive un metodo per effettuare calcoli su dati crittografati in origine: a un sistema vengono forniti due valori protetti da crittografia, e ne risulterà un dato anch’esso protetto. Le chiavi di decrittazione sono necessarie solo all’inizio e alla fine del progetto, perché il sistema di calcolo può eseguire il lavoro anche senza conoscerle.

L’implicazione di questo approccio è una tutela assoluta dell’informazione. Diciamo che un ospedale deve elaborare i dati di molti pazienti per estrapolarne valori statistici, e per farlo vuole affidarsi a una società specializzata. Farlo nel pieno rispetto del GDPR, il regolamento europeo per la tutela dei dati personali, è piuttosto difficile. Con la crittografia omomorfica invece sarebbe semplice, perché il consulente non potrebbe vedere i dati, ma potrebbe comunque applicare i suoi algoritmi e generare un risultato. E non servirebbe far firmare il consenso a migliaia di persone.

Alla luce dei nuovi regolamenti, quelli approvati e quelli in fase di approvazione, per un’azienda è praticamente il Santo Graal del trattamento dati. Inoltre la crittografia omomorfica potrebbe anche rendere più solida la sicurezza di Facebook, Google o simili: perché potrebbero concedere l’uso di dati ai propri clienti (non siamo noi i clienti) senza temere abusi. E poi ci sono le migliaia di violazioni informatiche, a cui si potrebbe rispondere in modo efficace con la crittografia omomorfica.

Già, ma allora perché non l’abbiamo già messa in pratica? Semplicemente perché questo tipo di calcolo è decine di migliaia di volte più lento rispetto al calcolo su dati non crittografati. Troppo, ma comunque ci sono stati passi avanti, visto che all’inizio la differenza era nell’ordine delle migliaia di miliardi. Tra il miglioramento degli algoritmi e l’aumentare della potenza hardware, quindi, diciamo che nell’arco di qualche anno forse “si potrebbe fare”.

C’è però un altro ostacolo da superare: affinché sia possibile usare la crittografia omomorfica è necessario cambiare alla radice il modo in cui si manipolano i dati. È necessario sapere in anticipo quali operazioni andranno eseguite sul dato crittografato, affinché questo sistema si possa applicare. Questo metodo richiede dunque una grande prevedibilità sulle azioni, un criterio che ad oggi la maggior parte delle aziende non può soddisfare.

Siamo quindi ancora piuttosto lontani da una vera applicazione di questo approccio, tuttavia le norme sempre più restrittive sull’uso dei dati, e la sempre crescente richiesta di sicurezza, stanno cominciando a far sembrare la crittografia omomorfica un’opzione interessante. Contro gli enormi costi di sviluppo e implementazione, infatti, ci sono quelli per le sanzioni e il possibile blocco delle attività per cause legali.

La crittografia è una delle materie più difficili che si possano studiare. Ma se proprio vuoi provarci, ecco un manuale economico per fare i primi passi.

Videocamera Nest lancia un allarme per attacco dalla Corea del Nord, ma era uno scherzo

di Valerio Porcu

Laura Lyons, residente negli Stati Uniti, si è fatta prendere dal panico quando dalla sua videocamera Nest è uscita una voce che avvisava di un attacco missilistico lanciato dalla Corea del Nord. Una cosa ben poco credibile, ma sul momento pare che abbia generato “cinque minuti di vero terrore”.

Nelle ore successive Laura ha chiamato il servizio clienti di Nest – società controllata da Google – per chiedere spiegazioni; l’operatore le ha spiegato che lei e la sua famiglia sono stati vittime di “un hack”, e che tra l’altro non è nemmeno la prima volta che qualcuno si introduce nei sistemi di sicurezza altrui.

Già, ma non si tratta di un raffinato criminale che ha violato le misure di sicurezza di Nest per mettere in scena uno scherzone. Invece, per l’ennesima, volta siamo di fronte a un dispositivo connesso ma non protetto adeguatamente – una cosa di cui sono responsabili in egual misura sia Google sia le signore e i signori Lyons del mondo.

“I recenti fatti dipendono da clienti che usano password compromesse (esposte da violazioni su altri siti). In quasi tutti i casi, l’autenticazione a due fattori elimina questo tipo di rischio”, ha commentato un portavoce di Google, sentito dai reporter di The Verge.

Sullo sfondo, il possibile autore dello scherzo

Già, ma che significa? Che i clienti in questione hanno usato la stessa password più di una volta. Poi qualche sito, chissà quale, si è fatto rubare il suo archivio di password. L’archivio stesso non era ben protetto – è una cosa che succede abbastanza spesso, e l’ultimo caso riguarda circa 22 milioni di password. Una volta che il criminale ha ottenuto le password, o ancora meglio delle accoppiate con gli indirizzi email, non deve far altro che provare a usarle ovunque. Prima o poi troverà una porta che si apre con quelle chiavi, succede sempre.

L’acronimo è IOT, dove la esse sta ovviamente per sicurezza

E che c’entrano le videocamere di sicurezza? C’entrano perché sono oggetti connessi a Internet, fanno cioè parte di quella rete di dispositivi chiamata Internet of Things. L’acronimo è IOT, dove la esse sta ovviamente per sicurezza. Ognuno di questi oggetti, anche la videocamera, ha un suo indirizzo IP (infatti si chiamano anche videocamereIP) grazie al quale potete controllare casa vostra anche se siete dall’altra parte del mondo. E come fa il criminale a trovare l’IP della vostra videocamera? Ci sono diversi metodi relativamente semplici, ma il più ovvio di tutti è Shodan: è come Google ma cerca solo dispositivi connessi, ed è anche tanto gentile da segnalare quali sono i più esposti.

Una volta trovato l’indirizzo della videocamera e la password per entrare, collegarsi e mandare messaggi di ogni genere è una passeggiata. Ma ci si può limitare a spiare, magari raccogliendo informazioni per un ricatto o un attacco di social engineering più sofisticato.

Insomma, i protocolli di sicurezza di Nest non sono stati violati e non c’è nulla da recriminare a Google. O quasi nulla, perché dopotutto loro e qualsiasi altra azienda potrebbero senz’altro fare qualcosa di meglio per suggerire, o persino obbligare, le persone a usare password migliori. Se vi sembra una pazzia, pensate che in California hanno da poco approvato una legge apposta.

Se sapete come mettere la password, una videocamera di sicurezza Nest potrebbe essere utile.

Le spie della NSA pronte a rendere open source una delle loro armi digitali?

di Valerio Porcu

La NSA (National Security Agency) a breve dovrebbe iniziare a distribuire pubblicamente Ghidra, il suo software per il reverse engineering. Si tratta di un’applicazione per Windows, Linux e MacOS che esamina e “smonta” altri software, scomponendoli nei suoi elementi essenziali e facilitandone l’analisi.

L’esistenza di Ghidra è stata mantenuta segreta per alcuni anni, ma il mondo ha saputo della sua esistenza quando Edward Snowden ha iniziato a pubblicare un’enorme mole di documenti riservati sulle attività dell’agenzia di spionaggio – che si ritiene essere una tra le più potenti al mondo. Insieme a Ghidra, l’azione di Snowden ha fatto emergere molti strumenti di spionaggio usati sia sul software sia sull’hardware.

Quanto a Ghidra, il rappresentante della NSA Robert Joyce ne parlerà alla conferenza RSA 2019, che si terrà a San Francisco tra il quattro e l’otto marzo 2019. In quell’occasione i partecipanti riceveranno una copia gratuita dello strumento, e Ghidra dovrebbe diventare open source.

Comprensibilmente ci si chiede perché la NSA decida di distribuire pubblicamente un software del genere, che in teoria permette di disassemblare altri programmi, ridurli ai loro file essenziali e fondamentalmente scovarne facilmente tutti i segreti. Per un’agenzia di spionaggio (o controspionaggio), uno strumento come Ghidra è utile per individuare falle nei software, da sfruttare poi per introdurre malware specifici non individuabili dai software di sicurezza – non facilmente almeno. Ma può servire anche per trovare e correggere errori, senza per forza l’intenzione di spiare qualcuno.

Pare però che Ghidra non sia proprio il meglio sulla piazza, e che non regga il confronto con software commerciali e molto costosi – viene citato IDA ad esempio. Il software usato dalla NSA avrebbe prestazioni meno che ideali e diversi problemi grandi e piccoli. Renderlo open source, ragionano alcuni, potrebbe accelerare lo sviluppo del programma, migliorandone stabilità e prestazioni senza renderlo più costoso – un dettaglio sempre molto rilevante quando si parla di spendere denaro pubblico. Sarebbe possibile, dunque, che la NSA abbia deciso di seguire questa strada invece che far fronte direttamente alle sfide dello sviluppo e manutenzione software.

È possibile, ma d’altra parliamo parliamo di un’agenzia di Intelligence, un’istituzione costruita sul segreto e sul non detto: un’apertura pubblica di questo tipo forse non è la più ovvia delle scelte. Tant’è che in molti su social network e forum stanno speculando sul “significato” dell’intervento tenuto da Robert Joyce. Secondo voi qual è?

L'articolo Le spie della NSA pronte a rendere open source una delle loro armi digitali? proviene da Tom's Hardware.

Hacker si intrufola su Chromecast, Google Home e SmartTV. Ma la colpa è dei router mal configurati

di Valerio Porcu

Si chiama TheHackerGiraffe ed è un fan sfegatato dello youtuber PewDiePie. Ci tiene così tanto al successo del suo beniamino che qualche settimana fa ha violato decine di migliaia di stampanti, così da consegnare alla scrivania delle vittime un volantino promozionale. E nelle ultime ore è tornato all’attacco prendendo di mira Google Chromecast, Google Home e SmartTV di diverse marche.

I possessori dei dispositivi colpiti così hanno avuto l’occasione di ascoltare, volenti o nolenti, un messaggio che mette in guardia da una vulnerabilità informatica, e già che ci siamo chiede di iscriversi al canale di PewDiePie.

Tecnicamente l’azione non sembra essere delle più raffinate: pare che TheHackerGiraffe abbia realizzato uno script che cerca router accessibili, probabilmente sfruttando Shodan o qualcosa di simile, e poi cerca di riprodurre il video “promozionale”.

Non si può parlare, dunque, di problemi di sicurezza nei dispositivi Google o nei televisori colpiti, ma di un noto problema inerente a router e modem: i dati di accesso sono uguali per tutti i dispositivi e se il proprietario non si prende la briga di cambiarli è relativamente facile accedere senza permesso. Tant’è che in California hanno varato una legge per contrastare il fenomeno – ed è lecito sperare che succeda anche in altri Paesi.

Inoltre, sarebbe opportuno, per chiunque possieda dispositivi connessi a casa o in ufficio, regolare le impostazioni del router affinché questi oggetti non siano raggiungibili dall’esterno. Anche disabilitare la funzione UPGP (Universal Plug and Play) è una buona idea, a meno che non vi serva esplicitamente.

Diversamente si affrontano dei rischi, e a ben guardare azioni come quella di TheHackerGiraffe sono del tutto innocue – sebbene possa spaventare vedersi comparire sul televisore un video non richiesto. Che qualcuno vi spii usando le vostre stesse webcam invece sarebbe meno divertente, o che ascoltino le vostre conversazioni private solo perché non avete pensato di configurare il router come si deve. O magari un giorno il vostro televisore potrebbe dire “Hey Alexa, comprami 3000 rotoli di carta igienica!”.

In ogni caso l’hacker ha pensato bene di togliersi di torno almeno per un po’. Lo ha comunicato lui stesso tramite una lettera aperta; nel testo lascia intendere di essere preoccupato per il suo immediato futuro, e soprattutto eccessivamente stressato dai messaggi privati che ha ricevuto tramite Twitter – da persone che non hanno gradito il suo gesto.

Ma ricorda anche che “ci sono ancora molti dispositivi esposti su Internet“, e raccomanda a tutti noi di metterli in sicurezza. Sottolinea poi che c’è stato anche chi lo ha ringraziato per aver portato alla luce il problema, innescando una risposta positiva che ha reso almeno alcune reti più sicure. Suggerisce a tutti quelli che volessero “seguire il suo esempio”, e diventare hacker etici, di cominciare studiandosi i materiali inclusi in questa pagina.

Se non temete intrusioni illecite o se sapete cambiare la password del router, vale la pena di provare la FireTV Stick.

L'articolo Hacker si intrufola su Chromecast, Google Home e SmartTV. Ma la colpa è dei router mal configurati proviene da Tom's Hardware.

UE, più di 850mila euro per chi scova bug nei principali software open source: parte a gennaio il “bug bounty”

di Dario D'Elia

La Commissione UE ha deciso di avviare dal 7 gennaio 2019 un programma di “bug bounty”, ovvero di premi economici per chi scova bug, legato al software open source più diffuso.  Si tratta di un’iniziativa che fa parte del Free and Open Source Software Audit project (FOSSA). Da ricordare che quest’ultimo è nato nel 2014 quando emersero gravi problemi di sicurezza riguardanti la libreria di cifratura OpenSSL Open Source che è impiegata per il traffico online, le transazioni e altre operazioni.

In questi anni FOSSA ha dato vita a numerose iniziative: dalla raccolta dati alla sponsorizzazione di hackathon dedicati alla sicurezza informatica. A partire da gennaio almeno 14 progetti di “bug bounty” consentiranno di scovare problemi nelle principali applicazioni open source impiegate dalla istituzioni europee.

Ad esempio si parla di Filezilla (58mila euro di premio), Apache Kafka (58mila euro), Notepad++ (71mila euro), PuTTY (90mila euro) e VLC Media Player (58mila euro). La piattaforma di segnalazione di riferimento sarà per questi HackerOne, dal 7 gennaio al 15 agosto. Sono previste altre successive tornate per KeePass, 7-zip e tanti altri, con il premio più alto legato a Drupal (89mila euro).

La parlamentare UE Julia Reda, molto attiva e conosciuta per le sue battaglie digitali, ha pubblicato un articolo al riguardo che aggiornerà costantemente nel tempo con tutti i nuovi dettagli.

“L’ammontare delle taglie dipende dalla gravità dei problemi scoperti e dall’importanza relativa del software. I progetti software scelti sono stati precedentemente identificati come candidati negli inventory e in un sondaggio pubblico”, ha sottolineato Reda. “Puoi contribuire ai seguenti progetti analizzando il software e inviando eventuali bug o vulnerabilità che trovi alle piattaforme di bug bounty coinvolte”.

L'articolo UE, più di 850mila euro per chi scova bug nei principali software open source: parte a gennaio il “bug bounty” proviene da Tom's Hardware.

Washington accusa di nuovo Pechino di spionaggio informatico, denunciati due cinesi

di Valerio Porcu

Il governo statunitense ha accusato due cittadini cinesi di aver preso parte a un attacco informatico durato almeno dieci anni. Una campagna di spionaggio dietro a cui si nasconderebbe il governo di Pechino, e che ha portato al furto di dati da agenzie pubbliche come la NASA e aziende private come IBM. I due accusati risiedono in Cina ed è poco probabile che si arrivi a un processo negli Stati Uniti.

Congiuntamente, anche le autorità britanniche hanno rilasciato informazioni sull’operazione Cloudhopper, che dal 2017 avrebbe colpito almeno 45 grandi aziende in tutto il mondo. Anche in questo caso ci sarebbe il coinvolgimento di autori cinesi, ma le informazioni sono scarse e poco chiare. IBM e HPE, tra le aziende coinvolte, hanno già detto di non avere prove di quanto riportato. Questo non ha impedito all’Australia, per voce del responsabile per la cibersicurezza Alastair MacGibbon, di schierarsi a fianco dei due Paesi alleati.

Stando alla comunicazione del DOJ (Ministero della Giustizia degli Stati Uniti d’America) i due accusati sarebbero “associati al Ministero della Sicurezza dello  Stato“, nonché membri del gruppo (Advanced persistent threat) APT10 Hacking Group, “che ha agito in associazione con il dipartimento della Sicurezza dello stato di Tianjin e perpetrato intrusioni informatiche per oltre una decade, fino al 2018”.

Le accuse a Zhu Hua e Zhang Shilong arrivano in un momento di rinnovata tensione tra le due nazioni, che ha visto gli attacchi informatici tornare a crescere dopo un periodo di relativa calma iniziato nel 2015, grazie a un accordo tra Barack Obama e Xi Jinping. Un quadro nel quale si inserisce anche la campagna internazionale contro Huawei e l’arresto della sua direttrice finanziaria.

Gli attacchi da parte di APT10 Hacking Group sarebbero cominciati nel 2006; i criminali avrebbero fatto un uso intensivo di sphear phising (attacchi mirati a singole persone) per penetrare nei sistemi informatici, ottenendo così l’accesso a una gran quantità di informazioni riservate, tanto in ambiti governativi quanto industriali. Oltre agli Stati Uniti, sarebbero stati colpiti sistemi in altri dodici paesi.

“L’obiettivo della Cina, per metterla in parole semplici, è sostituire gli Stati Uniti come prima superpotenza mondiale. E stanno usando metodi illegali per riuscirci”, ha commentato il direttore dell’FBI Christopher Wray.

Il Procuratore Generale Rod Rosenstein aggiunge che le società prese di mira sono strategiche per il piano industriale “Made in China 2025”, che ha l’obiettivo di espandere la presenza commerciale e industriale delle aziende cinesi nel mondo. Rosenstein sembra suggerire che il furto di informazioni industriali sarebbe dunque un’azione mirata a rendere le aziende cinesi più competitive a livello globale.

Non è la prima volta che Cina e Stati Uniti si scambiano accuse di questo tipo, e nella maggior parte dei casi sono gli USA a puntare il dito e i cinesi a difendersi. Questa volta probabilmente non sarà diverso: le autorità cinesi rimanderanno le accuse al mittente ed esigeranno prove, una dimostrazione del fatto che i due hacker abbiano agito su mandato governativo.

Prove di questo tipo in genere però non se ne trovano di solito, e si finisce sempre per affermare che gli imputati sono comuni criminali. Uno stato di cose che Rosenstein non è disposto a tollerare: “È inaccettabile che noi continuiamo a portare allo scoperto cibercrimini compiuti dalla Cina contro gli Stati Uniti e altre nazioni”, ha affermato. “Nel 2015 la Cina promise di smettere di rubare segreti commerciali e altre informazioni confidenziali […]. Ma l’attività descritta in questa denuncia viola gli impegni presi dalla Cina”.

Nell’impossibilità di arrivare a un processo su suolo statunitense, comunque, il documento resta una semplice dichiarazione, più un’azione diplomatica che un atto giuridico. Dichiarazioni come questa lasciano intendere c’è una guerra digitale in corso, ma sembra difficile capire chi sta vincendo. Secondo voi?

L'articolo Washington accusa di nuovo Pechino di spionaggio informatico, denunciati due cinesi proviene da Tom's Hardware.

I software Gigabyte e Asus per l’overclock e la gestione dei LED RGB sono vulnerabili

di Manolo De Agostini

Alcuni software e driver di Asus e Gigabyte hanno diverse vulnerabilità che possono essere sfruttate da malintenzionati per ottenere privilegi più alti ed eseguire del codice arbitrario sui computer. In totale si parla di sette falle di sicurezza che coinvolgono cinque software. A scoprirle i ricercatori di SecureAuth (come riportato da Bleeping Computer), che non solo le hanno identificate, ma hanno anche scritto del codice exploit per ogni falla.

Per quanto concerne Asus, due dei driver vulnerabili (GLCKIo e Asusgio) sono installati dal software Aura Sync (v1.07.22 e precedenti) e consentono di avviare del codice in locale. Sul fronte Gigabyte, le falle permettono l’elevazione dei privilegi tramite software come Gigabyte App Center (v1.05.21 e precedenti), Aorus Graphics Engine (v1.33 e precedenti), Xtreme Engine utility (v1.25 e precedenti) e OC Guru II (v2.08).

Come noto, l’utility Aura Sync consente agli utenti di sincronizzare l’illuminazione di strisce e led collegati e/o presenti su diversi prodotti di casa Asus, dalle motherboard alle schede video, fino alle periferiche. Quando s’installa il software, questo necessita anche dei driver GLCKIo e Asusgio, che hanno tre falle di sicurezza indicate dai bollettini CVE-2018-18537, CVE-2018-18536 e CVE-2018-18535.

Diego Juarez, ricercatore e scrittore di exploit per SecureAuth, ha scoperto e studiato le falle, comunicandole ad Asus seguendo le buone pratiche fissate dall’industria di sicurezza. Sembra tuttavia che nonostante la pubblicazione di due nuove versioni di Aura Sync, Asus abbia lasciato due falle aperte – CVE-2018-18537 e CVE-2018-18536.

“CVE-2018-18537 può essere sfruttata tramite il driver GLCKIo scrivendo un DWORD arbitrario verso un indirizzo arbitrario”, spiega Juarez. I ricercatori hanno pubblicato anche un proof-of-concept (PoC) che manda in crash il sistema. Il secondo problema, CVE-2018-18536, “è presente tanto in GLCKIo quanto in Asusgio ed espone un modo che permette la lettura e la scrittura di dati da e verso le porte IO. Ciò può essere sfruttato in diversi modi per far girare codice con privilegi elevati”, ha dichiarato SecureAuth. Anche in questo caso è stato creato un PoC che ha innescato il riavvio del computer, anche se il problema potrebbe portare a danni maggiori.

In base a quanto affermato da SecureAuth, i contatti con Asus sono iniziati nel novembre dello scorso anno. Asus ha preso contezza delle vulnerabilità il 2 febbraio 2018, e 19 giorni dopo ha detto che avrebbe aggiornato l’utility Aura Sync ad aprile. Il 26 marzo l’azienda taiwanese ha informato SecureAuth della risoluzione delle falle, e quella è stata l’ultima comunicazione. Purtroppo, SecureAuth ha verificato che le falle sono ancora presenti, in quanto ne è stata risolta una sola con una versione del software pubblicata a maggio.

Juarez ha anche analizzato i driver GPCIDrv e GDrv di Gigabyte, presenti nei software citati in precedenza, e riscontrato che possono ricevere chiamate di sistema da processi utente senza privilegi, anche a quelli a basso livello di integrità, considerati da Windows per l’esecuzione di codice non attendibile. La prima vulnerabilità – indicata nel bollettino CVE-2018-19320 – consente a un malintenzionato di prendere pieno controllo di un sistema. Juarez si è tuttavia limitato a creare un PoC che innesca un crash di sistema.

Il secondo bug, identificato come CVE-2018-19322, espone un modo per usare un accesso senza privilegi per leggere e scrivere dati da e verso le porte IO. Questo problema riguarda entrambi i driver di Gigabyte e permette a un malintenzionato di aumentare i propri privilegi sul sistema. Un codice exploit dimostrativo creato da Juarez si limita a riavviare il computer.

Il problema CVE-2018-19323, invece, è insito nel driver GDrv e consente di far girare codice arbitrario con permessi ring-0, accedendo ai registri MSR da un livello non privilegiato. Un exploit creato appositamente è stato in grado di innescare un BSOD – una schermata blu. Entrambi i driver sono inoltre vulnerabili a CVE-2018-19321, un glitch che innesca la corruzione della memoria e dà a un malintenzionato pieno controllo sul sistema.

SecureAuth dice di aver provato a contattare Gigabyte il 24 aprile, ricevendo risposta sei giorni dopo. Dopo alcuni scambi di email che non hanno portato a un esito positivo, Gigabyte avrebbe risposto che i suoi prodotti non erano affetti dalle vulnerabilità indicate. A maggio “il supporto tecnico di Gigabyte ha risposto che Gigabyte è un’azienda hardware e non sono specializzati nel software. Hanno richiesto dettagli tecnici e tutorial per verificare le falle”, ha sottolineato SecureAuth. Le falle riportate dai ricercatori sono quindi ancora presenti nei software dell’azienda.

L'articolo I software Gigabyte e Asus per l’overclock e la gestione dei LED RGB sono vulnerabili proviene da Tom's Hardware.

Gli italiani sanno dei pericoli online, ma la febbre da shopping spazza via ogni cautela

di Valerio Porcu

Il 32% degli italiani ha “messo le proprie credenziali bancarie nelle mani sbagliate” durante le ultime settimane. Ad affermarlo è Kasperky Lab, che ha intervistato oltre 12mila persone in 22 Paesi per giungere a tale conclusione. In Italia, il 98% delle persone “dimostra di essere consapevole delle minacce finanziarie che possono annidarsi online”, ma questo non ha impedito che un terzo di loro si esponesse a qualche rischio.

La ricerca dimostra che molte persone ancora temono di spendere denaro online, e che “sfortunatamente le loro preoccupazioni sono fondate”. Il 32% ammette di aver subito il furto delle credenziali bancarie, e un quarto di loro non ha mai recuperato il maltolto.

Uno dei problemi, forse il più rilevante, è che un terzo delle persone non riesce a ricordarsi le proprie credenziali. Il che non sarebbe un problema se fossero conservate in modo sicuro, ma spesso si trovano su un file di testo non protetto; se si perde il telefono, chi lo trova potrà leggere quel file, vedere le vostre password e spendere i vostri soldi. Un rischio a cui si aggiunge quello del malware, sempre presente.

Un’altra abitudine pericolosa è il farsi prendere dalla foga del risparmio e inserire dati di pagamento su siti non sicuri. Molti inoltre non sono in grado di dire su quali e quanti siti hanno inserito tali dati; una difficoltà più che comprensibile considerata la grande quantità di negozi online a cui ci possiamo rivolgere. La nota curiosa, rivelano i ricercatori di Kasperky, è che il 48% si dice preoccupato per la sicurezza dei dati di pagamento, e la stessa percentuale “ammette di aver dimenticato o di non aver neanche cercato di ricordare su quali siti o quali applicazioni abbia effettivamente condiviso le proprie credenziali”.

Per rendere più sicuro lo shopping online sarebbe utile dunque una maggiore consapevolezza da parte delle persone, ma anche strumenti migliori. Non tutti sanno però che ce ne sono molti già disponibili: molte banche impongono o almeno offrono l’opzione di usare una doppia conferma prima di autorizzare una transazione. Altre permettono di creare una carta di credito virtuale solo per gli acquisti online. E ci sono le ricaricabili, che in caso di furto aiutano a contenere il danno. E ci sono strumenti come PayPal, ApplePay o GooglePay, che rendono un po’ più difficile un eventuale attacco. Questi nuovi strumenti, secondo Kaspersky, sono già usati dal 30% degli intervistati. Il 58% ha usato PayPal, e il 13% dice di aver usato una criptovaluta.

Per stare online e al sicuro la cosa più importante è avere buone abitudini. Ma anche un software di sicurezza è di grande aiuto, come Kaspersky Internet Security 2018.

L'articolo Gli italiani sanno dei pericoli online, ma la febbre da shopping spazza via ogni cautela proviene da Tom's Hardware.

I malware che minano con il tuo PC sono aumentati del 4000% in un anno

di Manolo De Agostini

Secondo l’ultimo Threats Report di McAfee relativo al terzo trimestre, i cybercriminali hanno generato 480 nuovi pericoli per la sicurezza al minuto. Il dato che colpisce di più è però quello dei malware che fanno mining di criptovalute, che in un anno è cresciuto complessivamente del 4467%. I malware che colpiscono l’Internet of Things (IoT) sono aumentati del 73% nel terzo trimestre rispetto al Q2, mentre i malware che minano criptovalute sono saliti del 71%, anche se il valore delle criptomonete è crollato.

I dispositivi IoT come fotocamere o videoregistratori non sono usati per il criptomining, in quanto non dispongono della potenza di calcolo dei computer desktop e dei portatili. Tuttavia, i criminali informatici hanno preso atto del crescente volume e della scarsa sicurezza di molti dispositivi IoT e hanno iniziato a concentrarsi su di essi, sfruttando migliaia di dispositivi per creare supercomputer per il mining“.

Il numero di malware che prende di mira i dispositivi mobile è sceso invece del 24%, anche se si segnalano alcune minacce insolite, tra cui una falsa app per barare a Fortnite e una app fasulla per appuntamenti destinata ai membri delle Forze di Difesa Israeliane. L’app dava accesso alla posizione del dispositivo, alla lista dei contatti e alla fotocamera, oltre ad avere la capacità di ascoltare le telefonate.

I “data breach” nel settore finanziario sono aumentati del 20% nel terzo trimestre, e i McAfee Labs hanno registrato 215 incidenti di sicurezza discussi pubblicamente, un calo del 12% rispetto al secondo trimestre. Tra questi si segnala un aumento degli “incidenti” in Europa, con un +38%.

Secondo i ricercatori sono in espansione le campagne di spam che sfruttano tipi di file non comuni, nel tentativo di eludere le protezioni di base integrate nei servizi di posta elettronica. McAfee ha inoltre osservato l’emergere di una nuova famiglia di malware chiamata CamuBot, che ha colpito il Brasile. Il malware cerca di camuffarsi come un modulo di sicurezza richiesto dagli istituti finanziari.

Tra le famiglie più attive nel mondo dei ransomware troviamo GandCrab. I ransomware sono malware che limitano l’accesso al dispositivo o ai file infettati, chiedendo un riscatto per lo sblocco. Il successo di GandCrab, secondo McAfee, ha indotto i cybercriminali ad alzare la posta da 1000 a 2400 dollari.

Nel terzo trimestre l’azienda ha registrato un aumento del 53% dei sample di nuovi malware, mentre il numero totale è cresciuto del 34% negli scorsi quattro trimestri. Quanto a macOS, un sistema operativo che molti ritengono a prova di infezione (sbagliando, ndr), c’è stato un incremento dei nuovi sample di malware del 9%. Il numero totale è cresciuto del 51% nel corso di 12 mesi.

L'articolo I malware che minano con il tuo PC sono aumentati del 4000% in un anno proviene da Tom's Hardware.

L’intelligence tedesca si schiera con Huawei: “Per decisioni cosi serie come un divieto ci vogliono prove”. Il timore USA di spionaggio non convince

di Dario D'Elia

“Per decisioni cosi serie come un divieto ci vogliono prove”, ha dichiarato qualche giorno fa il capo dell’Intelligence tedesca (BSI) Arne Schönbohm, riferendosi al caso Huawei. Le pressioni statunitensi per mettere alla berlina le apparecchiature e i dispositivi cinesi per le reti di telecomunicazioni hanno registrato la prima voce ufficiale fuori dal coro.

Dopo l’ostracismo statunitense, australiano, neozelandese e inglese nei confronti di Huawei ecco una prima battuta di arresto. A tutti gli effetti nessuno ha ancora fornito prove di qualche connivenza spionistica tra il colosso cinese e il Governo di Pechino, ma diverse Intelligence sostengono che potrebbero profilarsi dei rischi. Su questo punto l’amministrazione Trump ha costruito una campagna di moral suasion internazionale. Il Wall Street Journal spiega che funzionari di Washington hanno anche incontrato i dirigenti di uno dei principali operatori italiani, ricevendo però un niet.

Come riporta Spiegel lo stesso sarebbe avvenuto in Germania con Deutsche Telekom, Vodafone e Telefónica. Ma proprio qui, esattamente a Bonn, l’azienda ha inaugurato un “laboratorio sicurezza” che consente ai suoi partner industriali di controllare fra le varie cose i codici sorgente dei suoi prodotti. Insomma, un porto franco dove tutto è condiviso e che anzi lo stesso capo della BSI vorrebbe replicato da altri produttori.

Il quotidiano tedesco sostiene inoltre che la questione non è mai stata sottovalutata, anzi. A marzo responsabili del Controterrorismo e delle telecomunicazioni avrebbero domandato alla BSI se condividesse le preoccupazioni delle agenzie USA nei confronti dei produttori cinesi. La risposta è stata che “attualmente non vi sono conclusioni affidabili”.

La linea di difesa di Huawei comunque è quella di sempre. “Non ci è mai stato chiesto di installare una backdoor per spiare in alcun luogo, non esiste legge che possa forzarci a farlo, non l’avremmo mai fatto e mai lo faremo”, ha dichiarato un portavoce.

Nel frattempo oggi l’azienda ha annunciato di aver previsto un investimento di 2 miliardi di dollari per i prossimi 5 anni da dedicare proprio alla cyber-sicurezza. Si parla di un potenziamento del personale e anche dei laboratori. Inoltre è stato confermato il superamento di quota 25 contratti per lo sviluppo delle reti 5G in diversi Paesi. A novembre erano 22.

L'articolo L’intelligence tedesca si schiera con Huawei: “Per decisioni cosi serie come un divieto ci vogliono prove”. Il timore USA di spionaggio non convince proviene da Tom's Hardware.

Google Chrome, basta ai siti che bloccano il pulsante Back

di Valerio Porcu

Google sta aggiungendo a Chrome una funzione per ostacolare i siti che bloccano il tasto indietro. Si tratta di una cosa che non capita spesso, ma se avete visitato una pagina non proprio eccellente forse vi è capitato; il sito manipola la cronologia del browser, e cliccare su “Indietro” non porta a nessun risultato.

Ebbene, tra le novità presenti in Chromium ce n’è una che potrebbe risolvere il problema: quando un sito aggiunge voci alla cronologia, così che cliccando su Indietro si resti sulla stessa pagina, Chrome le ignorerà. Così premendo il pulsante si tornerà davvero alla pagina precedente.

Ci sono diversi dettagli da sistemare, e almeno per il momento la novità non sarà attiva di default in Chromium – bisognerà attivare il flag #enable-skip-redirecting-entries-on-back-forward-ui. Nel giro di alcune settimane però la modifica dovrebbe farsi strada in Google Chrome.

A chi interessa questo cambiamento? Ebbene, i siti che usano maggiormente questa tecnica sono quelli che diffondono contenuti tutelati da copyright: si visita un sito alla ricerca di un certo contenuto, diciamo un film, e poi sembra impossibile tornare indietro: in verità cliccando decine di volte dovrebbe essere possibile, ma è più probabile che si chiuda la pagina per frustrazione. Si può incappare in questa tecnica anche su alcuni siti per adulti, e molto raramente su pagine di altro genere.

Perché lo fanno? Nella maggior parte dei casi è una combinazione di fattori: trattenere l’utente su una pagina è utile in primo luogo a prolungare l’esposizione agli annunci pubblicitari, aumentando i profitti a spese di inserzionisti ignari. Inoltre, in genere queste pagine sono associate anche a falsi avvisi di sicurezza (il tuo PC è infetto!), con l’invito a cliccare su un nuovo link. A quel punto è molto probabile che ci sia un’infezione da malware, o che si rischi il furto di dati personali tramite false pagine di supporto.

Perché modificare Google Chrome? Il browser rappresenta in un certo senso la nostra “pelle” online, la parte esposta ai pericoli online, e per questo deve garantire la maggiore sicurezza possibile. Anche perché la sicurezza informatica ha il suo effetto gregge: mantenere al minimo i computer infetti e tenere sotto controllo i rischi serve a tutti, a chi visita “certi siti” ma anche a tutti gli altri. Infatti, un computer infetto in meno è un rischio in meno per chiunque: se Tizio si prende un malware, potrebbe passarlo a Caio con una mail apparentemente legittima, da lì raggiungere Sempronio e così via. Nella storia sono stati molti i virus che si sono propagati in questo modo, e anche se oggi i filtri antispam fanno un lavoro egregio non bisogna abbassare la guardia.

Un computer sicuro al 100% non esiste, ma non per questo bisogna rinunciare a un buon software di sicurezza come Kaspersky Internet Security 2018.

L'articolo Google Chrome, basta ai siti che bloccano il pulsante Back proviene da Tom's Hardware.

Operation Sharpshooter, pioggia di malware contro i settori energia, difesa, nucleare e finanza

di Valerio Porcu

McAfee ha individuato una nuova campagna di attacchi informatici che prendono di mira società attive in settori strategici quali energia, difesa, nucleare e finanza. La ricerca, sviluppata da McAfee Advanced Threat Research insieme a McAfee Labs Malware Operations Group, mette in luce un’operazione di grandi proporzioni, che è stata ribattezzata Operation Sharpshooter.

Il nome indica solo la prima parte dell’azione, che consiste nell’infettare la memoria dei sistemi e rende possibile l’attivazione della fase due – chiamata Rising Sun – che rende l’attacco completo. L’analisi del codice di Rising Sun mostra parti del codice di Duuzer, un trojan scoperto nel 2015 e creato dal cosiddetto Lazarus Group. I tecnici di McAfee suggeriscono prudenza, e ricordano che potrebbe trattarsi di un falso indizio. I criminali hanno costruito false campagne di assunzione per raccogliere informazioni su persone specifiche all’interno delle aziende, per poi prenderli di mira con campagne mirate.

Il risultato? Tra ottobre e novembre 2018 Rising Sun è stato individuato in 87 aziende, la maggior parte degli Stati Uniti, ma con una presenza non irrilevante anche in Europa, Russia e altre aree del mondo. Il settore più colpito è quello delle telecomunicazioni, ma Rising Sun ha raggiunto anche società attive nel campo della Difesa, del nucleare e altri settori strategici.

La scoperta, secondo i tecnici di McAfee, è un altro esempio di attacchi mirati come azioni di intelligence. “Il malware agisce in diverse fasi. Il vettore iniziale è un documento che contiene una macro, il cui scopo è scaricare la fase successiva, che viene eseguita in memoria e raccoglie informazioni. I dati della vittima vengono spediti al server di controllo affinché gli autori  possano controllarli e determinare i passi successivi”. Il documento completo di McAfee offre altri dettagli per chi volesse approfondire.

Gli analisti rilevano inoltre come questo tipo di attacco non sia stato mai rilevato in precedenza. Si chiedono dunque se fosse solo un’operazione esplorativa, oppure il primo passo di un’azione più grande.

Mantenersi al sicuro è prima di tutto una questione di attenzione personale, ma è un buon software di sicurezza è di grande aiuto.

L'articolo Operation Sharpshooter, pioggia di malware contro i settori energia, difesa, nucleare e finanza proviene da Tom's Hardware.

Ministeri italiani sotto attacco, rubati i dati di 20.000 persone

di Valerio Porcu

20.800 account di funzionari italiani sono finiti sotto il mirino degli hacker, e sono attualmente in vendita sul Darkweb. Come racconta la società specializzata Group-IB, l’attacco non ha riguardato solo l’Italia: sono oltre 30 infatti i paesi coinvolti, ma nel nostro paese si trova oltre la metà (52%) delle 40.000 vittime. Seguono Arabia Saudita e Portogallo. L’azienda ha immediatamente allertato i CERT dei paesi coinvolti: La Stampa riporta tuttavia una smentita da parte di “fonti informate”, secondo cui le autorità italiane non avrebbe ricevuto alcuna notifica.

Tra i siti colpiti Group-IB segnala difesa.it e il Ministero degli Esteri, e specifica che l’intrusione sarebbe durata circa 18 mesi. Secondo gli esperti dell’azienda i dati sarebbero stati rubati usando spyware specializzato e con email di phishing e spear phising (studiato per colpire bersagli specifici).

“L’infezione era nascosta in un allegato email. Una volta aperto lanciava un trojan progettato per il furto di dati personali. Per esempio, Pony Formgrabber copia le credenziali di login dai file di configurazione, database e aree di memoria segrete in oltre 70 programmi, e poi manda le informazioni rubate ai server C&C dei criminali”. I software usati sarebbero in ogni caso molti e variegati, in modo da poter colpire con precisione in ogni contesto.

Guardando ai dati in vendita, i ricercatori rilevano che le informazioni sono in gran parte di tipo personale, mentre i dati di accesso a servizi governativi sono relativamente scarsi – potrebbe significare che erano pochi già in partenza, ma anche che sono stati rivenduti con altri sistemi. Aleksandr Kalinin, responsabile del CERT interno a Group-IB, sottolinea come la causa principale in questi casi è la scarsa formazione del personale, che risulta facile da aggirare con una email ben confezionata.

È importante sottolineare che le vittime non sono per forza solo i dipendenti pubblici: le azioni di spionaggio sui computer infatti hanno estratto anche i dati di persone terze, che hanno interagito con i bersagli. In altre parole, chi ha scambiato mail con una persona colpita, potrebbe similmente aver sofferto il furto di dati.

Le tempistiche indicate da Group-IB coincidono grossolanamente con gli attacchi subiti dalla Farnesina a giugno 2017. Ai tempi si era parlato di Anonymous e della sottrazione di alcuni dati. È possibile, ma andrà verificato, che in quell’occasione sia anche partito l’attacco di cui abbiamo appreso in questi giorni.

Leggere questi articoli ti fa venire voglia di saperne di più? Soddisfa la tua curiosità con Hacklog Volume 1 e Hacklog Volume 2. In versione digitale sono gratis!

L'articolo Ministeri italiani sotto attacco, rubati i dati di 20.000 persone proviene da Tom's Hardware.

Top 10: errori imbarazzanti per la sicurezza informatica

di Valerio Porcu

Ci sono le liste delle peggiori password, ormai ordinarie e scontate. E poi c’è la lista dei peggiori “attentati alla sicurezza”: è quella che ha pubblicato Dashlane (che produce l’omonimo password manager) e che inanella uno dopo l’altro persone e aziende che hanno fatto cose deprecabili per la sicurezza informatica. Una lista del disonore che riserva un posto anche per l’italiana Ferrero.

Mediamente ognuno di noi ha 200 account che richiedono una password, spiega la nota dell’azienda, che potrebbero diventare 400 nei prossimi cinque anni. “Ognuno è prono a fare gli stessi errori dei criminali della password“, afferma l’AD di Dashlane Emmanuel Schalit. L’idea sembra quindi quella di far vergognare almeno un po’ chi si vede messo all’indice, nella speranza che cambino atteggiamento e diventino ambasciatori di pratiche più sicure.

Kanye West

La popolare pop-star si è fatta beccare a sbloccare il suo iPhone con il Pin “00000”, durante un incontro alla Casa Bianca. Già sarebbe grave usare una protezione inesistente, “ma ostentare sfacciatamente brutte abitudini in una stanza piena di videocamere è la cosa peggiore”.

Il pentagono

Un recente audit del GAO (Government Accountability Office) ha individuato diversi problemi al Ministero della Difesa statunitense. Uno di questi è che gli ispettori sono riusciti a indovinare molte password degli amministratori, in tempi non superiori ai nove secondi. E hanno anche scoperto diversi software protetti con le password predefinite, compresi alcuni sistemi di armamento.

Investitori in criptomonete

Sono centinaia di migliaia di persone in tutto il mondo, che hanno investito cifre più o meno rilevanti in Bitcoin o simili. Gli exchange e i portafogli non permettono di usare password deboli, e spesso obbligano a usare l’autenticazione a due fattori. Bene, peccato che un sacco di gente continui a dimenticarsi la password. A quanto racconta Eitan Katz di Dashlane c’è chi ha provato persino l’ipnosi per estrarre qualcosa dalla sua memoria.

Nutella

Cosa c’entra la crema spalmabile più famosa del mondo con la sicurezza informatica? Semplice: hanno dato il peggior consiglio della storia ai loro follower su Twitter, suggerendo di usare “nutella” come password. Ciliegina sulla torta, hanno pensato bene di farlo nella Giornata Mondiale della Password. Tutta da ridere.

Gli avvocati britannici

500 dei più importanti studi legali britannici si sono fatti rubare le password, che sono finite pubblicate sul darkweb. In formato testuale, pronte all’uso. Un deplorevole imprevisto, sir.

Lo stato del Texas

C’era una volta in Texas … un server con i dati di 14 milioni di elettori, online e non protetto da password. Imbarazzante. Una caduta di stile piccante come la cucina tex-mex e maleodorante quanto i pozzi di petrolio.

La Casa Bianca

Lo staff del presidente Trump era già comparso in questa lista, nel 2017, al primo posto. Arrivare solo settimi nel 2017 è quasi un successo. Quest’anno un membro dello staff si è appuntano email e password su un documento ufficiale. E poi se lo è dimenticato alla fermata dell’autobus, per non farsi mancare niente. Che non si accusi il team presidenziale di voler nascondere informazioni al popolo degli Stati Uniti.

Google

In genere Google è un esempio da seguire in termini di sicurezza, ma tutti hanno una giornata storta prima o poi. Come quando uno studente di Kerale, India, è entrato in una loro pagina semplicemente lasciando in bianco i campi utente e password. Complimenti!

Nazioni Unite

Questa organizzazione è composta da gruppi variegati, che usano molti strumenti per la collaborazione online, quindi con diversi documenti in cloud. Purtroppo hanno pensato che non fosse necessario proteggerli con una password. Chiunque con il link giusto poteva leggere documenti segreti, accordi internazionali e … liste di password. Era meglio proteggersi con un casco blu.

Università di Cambridge

L’ateneo britannico ha ospitato alcune tra le più grandi menti della storia, ma tra queste non rientra quella di chi si è dimenticata una password in chiaro, in un documento pubblicato su GitHub. Dava accesso ad alcune ricerche universitarie, che ahimè includevano i dati di milioni di persone, raccolti tramite l’app Facebook myPersonality. D’altra parte anche Isaac Newton e Stephen Hawking avranno dimenticato qualcosa di importante quando studiavano lì, ma l’autore di questa gaffe forse non finirà nella prestigiosa lista di ex alunni famosi.

Se proprio non potete farne a meno, e se siete certi di non perderlo mai, esiste anche un quaderno di carta fatto apposta per tenerci le password.

L'articolo Top 10: errori imbarazzanti per la sicurezza informatica proviene da Tom's Hardware.

Gli attacchi informatici peggiori del 2018, quando il data breach fa storia

di Valerio Porcu

Si dice “data breach” quando un’azienda subisce un attacco informatico e le vengono sottratti i dati dei suoi utenti. È purtroppo una cosa che capita spesso, tant’è che si sta cominciando a considerare seriamente l’idea di abbandonare la password in favore di metodi alternativi. Business Insider ha stilato una classifica dei peggiori attacchi registrati nel 2018. Riportiamo nelle righe che seguono quelli che potrebbero aver coinvolto anche l’Italia.

British Airways

La compagnia aerea britannica ha subito il furto dei dati di 380mila clienti, con informazioni che comprendono nome, numero di telefono, indirizzo e dati di pagamento. I clienti coinvolti sono stati contattati direttamente dall’azienda.

Cathay Pacific

Il numero di account compromessi sale a 9,6 milioni nel caso di Cathay Pacific, compagnia aerea che si guadagnò gli onori della cronaca lo scorso 25 ottobre. Anche in questo caso sono stati trafugati dati di identificazione, oltre che informazioni sui viaggi effettuati. Le carte di credito dovrebbero essere rimaste al sicuro, ma non è certo.

Facebook

Tra luglio e settembre 2018 un bug ha permesso di estrarre i token di accesso, e di conseguenza i dati personali degli utenti coinvolti. In risposta Facebook resettò gli accessi di 90 milioni di account, anche se poi si scoprì che quelli effettivamente messi a rischio erano un po’ meno.

Google+

Photo credit - Piter2121/depositphotos.com

Google+ ha fatto parlare di sé in due diverse occasioni. La prima per l’esposizione di 500mila account, la seconda per 52,5 milioni. In entrambi i casi si è trattato di bug i cui effetti negativi sembrano essere solo potenziali, ma l’azienda ha fatto sapere in entrambi i casi di non aver trovato segni di furto o abusi. Non che sia una garanzia totale, ma è meglio di niente. Google ha deciso di chiudere il social network, anche perché non ha mai davvero preso piede, entro aprile 2019.

Cambridge Analytica

Il caso di Cambridge Analytica è forse quello più famoso del 2018. Ne hanno parlato i notiziari in prima serata, sono state fatte indagini (alcune ancora in corso), e il dirigente Mark Zuckerberg è stato chiamato a parlare davanti a una commissione parlamentare. In pochissime parole, Facebook ha permesso a società esterne di raccogliere i dati dei suoi utenti, che poi li hanno rivenduti o usati per comunicazioni politiche – sono note azioni mirate anche a turbare le operazioni elettorali in diversi paesi, compresi Stati Uniti e Gran Bretagna.

Quora

Quora non è molto usato in Italia ma la sua presenza non è del tutto trascurabile. È un servizio di domande e risposte, che lo scorso novembre ha subito un’intrusione nei propri sistemi e il furto di circa 100 milioni di utenze. I dati includevano nome, indirizzo email, password (crittografata) e attività sul sito, cioè le domande e le risposte pubblicate.

MyFitnessPal

MyFitnessPal è un servizio piuttosto diffuso anche nel nostro paese, usato sia da chi si allena intensamente sia da chi cerca un piccolo aiuto per mantenersi in salute. L’app contiene informazioni personali come nome o email, abitudini alimentari, attività sportive e altro. Lo scorso febbraio ha subito il furto di 150 milioni di account, che sembra non aver esposto dati particolarmente sensibili.

Marriot

La notizia è solo di qualche giorno fa: la catena Marriot si è fatta rubare i dati di 500 milioni di persone, che si erano registrate ai servizi della sua controllata Starwood. I dati rubati sono particolarmente sensibili e includono anche le carte di credito, ma non è tutto. Secondo il New York Times infatti si tratta di un’operazione sponsorizzata dal governo cinese.

Vale infine la pena di citare l’attacco ad Aadhar. Probabilmente il nome non dice nulla, a meno che non abbiate un qualche rapporto con l’India. Sono i residenti in questo Paese le vittime dell’attacco, ed è il numero degli account compromessi a far girare la testa: 1,1 miliardi di persone coinvolte, quasi l’intera popolazione.

Aadhar è infatti un database pubblico gestito dalle autorità indiane, su cui sono conservati i dati delle carte d’identità e quelli biometrici – come impronte digitali o scansioni dell’iride. È usato per accessi ad altri sistemi, usato anche da terzi come per esempio Amazon. A quanto pare chi lo gestiva non ha fatto le cose a regola d’arte quanto a sicurezza informatica; anzi, i reporter di ZDNet riportano di aver segnalato ripetutamente i problemi rilevati, senza ottenere risposte per oltre un mese.

Possiamo considerare questa lista un parziale bollettino di guerra del 2018, che potremmo definire un annus horribilis per la sicurezza informatica. Forse è però una triste realtà a cui dobbiamo abituarci; anzi, visto che è sempre più diffusa l’idea (concretizzata nel GDPR) che le aziende debbano comunicare questi avvenimenti obbligatoriamente, non è da escludere che nel 2019 la lista si allunghi ulteriormente.

L'articolo Gli attacchi informatici peggiori del 2018, quando il data breach fa storia proviene da Tom's Hardware.

I 500 milioni di account rubati a Marriot sono la punta di un iceberg cinese

di Valerio Porcu

L’attacco agli hotel Starwood (Marriot) potrebbe essere la fase preparatoria di un’operazione ancora più grande, legata al governo cinese. Lo suggerisce un’indagine del New York Times, che aggiunge complessità alla già tesa situazione tra Stati Uniti e Cina.

Secondo i reporter l’attacco alla catena di alberghi, che mette a rischio 500 milioni di persone, sarebbe parte di un’operazione più grande volta a raccogliere quanti più dati possibili, di cui sarebbero vittime anche società assicurative. Le fonti del NYT affermano che gli intrusi starebbero lavorando per il Ministero per la Sicurezza dello Stato cinese, definito senza mezzi termini “un’agenzia di spionaggio”.

L’articolo si inserisce in un quadro più ampio, che comprende le proposte del governo Trump per inasprire le misure contro lo spionaggio digitale, come avrebbero rivelato quattro ufficiali governativi ai reporter. Le azioni del governo includerebbero anche le mosse contro Huawei e ZTE, l’ultima delle quali sembra essere l’arresto di Meng Wanzhou in Canada. Due dei quattro ufficiali avrebbero affermato che l’attacco a Marriot ha aumentato la pressione per approvare e attivare le nuove misure.

Geng Shuang, portavoce del ministero cinese, ha pubblicamente rigettato le accuse. “La Cina si oppone fermamente a ogni forma di ciberattacco e li persegue in accordo con la legge”, ha affermato. “Se ci sono delle prove, i dipartimenti Cinesi responsabili faranno delle indagini come prescritto dalla legge”.

Nei prossimi giorni ci saranno nuovi sviluppi, visto che il Ministero della Giustizia si starebbe preparando a incriminare cittadini cinesi per attacchi informatici dei mesi scorsi – per quanto il caso Marriot non entrerebbe in gioco, almeno in questo frangente.

Nel frattempo i dirigenti delle due nazioni stanno portando avanti trattative commerciali, che in teoria viaggiano su un binario separato rispetto alla sicurezza informatica. Difficile però credere che le due cose si possano considerare compartimenti stagni. A tal proposito, lo stesso presidente Trump si è detto disponibile a intervenire nel caso Huawei se potesse aiutare la sicurezza nazionale o a ottenere un buon accordo con la Cina.

Per il momento, comunque, sul caso Marriot non ci sono prove definitive. Ci sono segnali che suggerirebbero l’azione di “operatori cinesi”, ma questo non implica direttamente il governo di Pechino. Le informazioni raccolte, insieme a quelle ottenute con altri attacchi, servirebbero comunque a “individuare le nostre spie, reclutare agenti di intelligence e costruire un grande database di dati personali statunitensi da usare in futuro”.

“I cinesi vedono nell’intrusione nei database degli hotel un tipo di spionaggio standard. E lo stesso vale per gli Stati Uniti, che spesso hanno raccolto dati in alberghi stranieri”.

In altre parole, secondo il famoso quotidiano newyorkese, il sistematico furto di dati è un elemento essenziale nelle operazioni di spionaggio (e controspionaggio) eseguite da Pechino. Ma se da una parte è facile affermare che certi dati possono servire per reclutare nuove spie o individuare quelle esistenti, dall’altra manca una prova definitiva e assoluta che implichi il governo cinese. E visto che stiamo parlando di spie, forse tale prova non ci sarà mai.

L’assenza della prova definitiva in ogni caso non impedisce ai governi in questione di agire come se le azioni di spionaggio fossero assodate e sistemiche – e in effetti tutto lascia intuire che lo siano. “Una cosa mi è chiara, ed è che non si fermeranno“, commenta Dmitri Alperovitch (CrowdStrike), “è ciò che farebbe qualsiasi agenzia di intelligence nazionale e statale. Nessuno stato sovrano si metterà le manette da solo per dire hey, questo non si fa, perché in realtà lo fanno tutti”.

L'articolo I 500 milioni di account rubati a Marriot sono la punta di un iceberg cinese proviene da Tom's Hardware.

❌