Turate subito la falla di Flash: i criminali la stanno già usando
mayo 13, 2016 6:11
C’è una falla importante in Adobe Flash che viene già sfruttata dai criminali informatici, ma niente paura: Adobe ha annunciato il problema con l’advisory APSA16-02 e poi ha reso disponibile l’aggiornamento che lo risolve.
La falla riguarda i sistemi Windows, Mac, Linux e Chrome OS e consente agli aggressori di mandare in crash questi sistemi e di prenderne il controllo semplicemente convincendo la vittima a visitare un sito contenente un’animazione o una pubblicità in formato Flash.
L’aggiornamento, fra l’altro, tura anche altre 24 falle, per cui è decisamente consigliabile.
Molti dispositivi sono configurati per aggiornarsi automaticamente, ma se necessario il software aggiornato è scaricabile manualmente qui o qui. Google Chrome e Microsoft Edge aggiornano separatamente e automaticamente il proprio player Flash.
Come consueto, potete verificare quale versione di Flash avete visitando questa pagina di Adobe con ciascuno dei browser che avete installato: la versione più aggiornata è la 21.0.0.242 per Windows e Mac e la 11.2.202.621 per Linux. Dato che anche siti rispettabili possono veicolare attacchi Flash attraverso le pubblicità, gli esperti consigliano di impostare Flash in modo che vi chieda il consenso per attivarsi sito per sito oppure di rimuovere Flash del tutto: le istruzioni in italiano sono qui per Windows e qui per Mac.
“Ti Porto la Luna” oggi è a Genova
mayo 9, 2016 2:46
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).
Oggi Ti Porto la Luna fa tappa a Genova: sarò insieme a Luigi Pizzimenti, organizzatore dell’evento, per la giornata di esposizione, che inizierà alle 10, e per la conferenza, che avrà inizio alle 18. Tutto si svolgerà presso la sede centrale dell'Università di Genova, in Via Balbi 5. L’ingresso è gratuito.
L’evento è reso possibile grazie a Swhard, con la collaborazione dell'Osservatorio Astronomico del Righi e del Comitato Antikithera, e ha il patrocinio dell'Università di Genova.
Informatico viola la sicurezza di Facebook, scopre di essere in compagnia
mayo 7, 2016 19:01
Un informatico della società di sicurezza informatica Devcore che si fa chiamare Orange Tsai ha pubblicato un singolare racconto di come è riuscito a penetrare in Facebook e vi ha trovato una sorpresa inaspettata.
In sintesi, Orange ha iniziato con una ricognizione del bersaglio, come si fa spesso in questi casi, scoprendo che Facebook era intestataria di un nome di dominio piuttosto insolito, ossia vpn.tfbnw.net. Da lì ha scoperto che esisteva anche files.fb.com, che era un server dedicato alla collaborazione all’interno dell’azienda.
Il server aveva alcuni difetti di sicurezza, per cui Orange Tsai è riuscito a creare una web shell, ossia è stato in grado di eseguire da remoto comandi sul server come se fosse stato uno dei suoi gestori interni.
Qui è arrivata la sorpresa: si è accorto che sul server di Facebook c'erano molti file che non appartenevano a Facebook ma erano chiaramente avanzi lasciati da un intruso che era arrivato prima di lui. Uno dei file era un log che conteneva delle credenziali di login di Facebook non cifrate: nomi utente e password di dipendenti di Facebook, si presume.
Quando Orange Tsai ha informato Facebook della vulnerabilità, è stato ricompensato con 10.000 dollari di premio, ma Facebook non si è detta particolarmente preoccupata per quello che Orange aveva trovato: gli ha spiegato che l’intruso precedente era una persona che partecipa alla caccia ai difetti di sicurezza promossa da Facebook. Come faccia Facebook a saperlo resta un mistero.
Hacking Team, svelata la tecnica d’intrusione
mayo 7, 2016 13:00
Ricordate Hacking Team, la controversa società italiana di sicurezza informatica che è stata violata circa un anno fa e i cui dati più riservati sono stati pubblicati in Rete? Molti si sono chiesti come sia stata possibile un’intrusione così vasta, soprattutto ai danni di un’azienda informatica che vive appunto di sicurezza. Ora è stato pubblicato su Reddit un racconto che, stando al suo autore, spiega come sono andate le cose.
L’autore usa lo pseudonimo Phineas Phisher e dice di essere stato lui, da solo, con circa cento ore di lavoro, a scardinare tutta la sicurezza di Hacking Team senza mai mettervi piede, smentendo quindi le ipotesi di un complice interno o di un dipendente infedele. Il sito Web dell’azienda era ben protetto e aggiornato, per cui Phineas ha scelto un’altra strada: ha trovato un dispositivo embedded (forse una telecamera) accessibile via Internet il cui software di base (più correttamente il firmware) era difettoso e vulnerabile. L’intruso ha modificato questo software, trasformando il dispositivo in un accesso nascosto persistente (backdoor).
Da questo dispositivo ha iniziato una lenta scansione della rete interna di hacking e ha trovato un’installazione non protetta del database MongoDB. Poi si è accorto che i dispositivi usati da HackingTeam per i propri backup erano accessibili sulla sottorete locale e così li ha configurati in modo da renderli leggibili via Internet.
Nei backup ha trovato le credenziali di amministrazione, e così si è promosso ad amministratore remoto dei computer di HackingTeam. A quel punto aveva in mano le chiavi di tutto. Ha scaricato tutta la posta di HackingTeam e poi si è accorto che Christian Pozzi, uno degli amministratori dell’azienda, teneva tutte le proprie password in un volume cifrato con TrueCrypt. Phineas ha aspettato che Pozzi aprisse il volume e poi ne ha copiato i file. Da lì ha avuto accesso al codice sorgente dei prodotti dell’azienda e l’ha copiato. Infine ha pubblicato in Rete tutto quanto.
Phineas Phisher, ammesso che il suo racconto sia vero (è perlomeno tecnicamente plausibile), ha anche spiegato la motivazione della sua incursione: dimostrare “la bellezza e l’asimmetria dell’hacking: con cento ore di lavoro, una sola persona può disfare anni di lavoro di un’azienda multimilionaria. L’hacking dà al perdente la possibilità di lottare e vincere”, ponendo fine a quelli che Phisher chiama gli “abusi contro i diritti umani” di Hacking Team.
Fonti aggiuntive: Ars Technica.
Podcast del Disinformatico del 2016/04/15
mayo 7, 2016 12:22È disponibile per lo scaricamento il podcast della puntata di venerdì del Disinformatico della Radiotelevisione Svizzera. Buon ascolto!
