Furto di più di un miliardo di login e password, ma occhio a chi se ne approfitta
agosto 8, 2014 6:16 - no comments yetUn bottino senza precedenti: oltre un miliardo di login e password rubate in mano a un gruppo di criminali informatici russi. Lo ha annunciato una società di sicurezza del Wisconsin, la Hold Security: si tratterebbe di una collezione di nomi utente e di password relative a circa 420.000 siti grandi e piccoli, compresi quelli di molte aziende di punta.
Secondo le informazioni fornite da Hold Security, i criminali userebbero quest'immensa raccolta principalmente per fare spamming diretto ma anche per vendere credenziali d'accesso ad altre bande: si tratterebbe di una dozzina di persone che risiedono in una cittadina nella zona fra Kazakistan e Mongolia e si dividono i compiti: c'è chi scrive il software per rubare dati e chi effettua materialmente il furto usando il software che sfrutta le falle dei siti.
I furti sarebbero avvenuti grazie a vulnerabilità dei siti, non degli utenti, ed è anche per questo che la notizia è un buon promemoria del fatto che non bisogna utilizzare mai la stessa password per più di un sito importante, ma va comunque presa con circospezione, perché la società che l'ha diffusa ora sta chiedendo agli utenti ben 120 dollari a testa per sapere se il loro sito o il loro account è fra quelli violati.
La faccenda, insomma, puzza un po' di trovata autopromozionale, ma il messaggio di fondo resta valido: in generale, non fidatevi dei siti che propongono di “verificare” se le vostre password sono state rubate, perché potrebbe essere una tecnica astuta per convincervi a digitarle e quindi farvele rubare proprio da chi diceva di volervi proteggere.
Svizzera: dava ordini via mail su conto bancario milionario, la banca li accettava. Indovinate cos'è successo
agosto 3, 2014 14:38 - no comments yet
Oggi è arrivata dalla RSI la notizia che un cliente di una banca luganese non meglio precisata si è trovato con il conto bancario alleggerito di un milione di franchi. Come è stato possibile? Intrusi informatici superscaltri che hanno violato i sistemi informatici della banca? Noooo. Semplicemente, il cliente “effettuava i pagamenti per e-mail”.
E così, come era ovvio che dovesse accadere, un aggressore dall'estero (genericamente dall'Asia, secondo l'articolo) ha preso il controllo della sua casella di mail e l'ha usata per mandare alla banca ordini di bonifico verso “un conto estero aperto per l'occasione” e poi “ha prelevato i soldi ed è scomparso prima che si scoprisse l'ammanco”.
Non si sanno ancora i dettagli della vicenda, che ora è sotto indagine da parte della magistratura, ma per quel poco che conosco dell'ambiente bancario ticinese non sarei sorpreso se la banca avesse avvisato il cliente del rischio colossale di usare a) una mail in chiaro b) per dare ordini di bonifico con importi milionari c) verso conti non preventivamente concordati, e il cliente avesse insistito per mantenere un metodo di dare disposizioni che non lo facesse tribolare con codici, password e altre menate da informatici. Tanto, cosa poteva mai andare storto?
Antibufala: attenti ai salassi in bolletta per chiamate ricevute!
agosto 2, 2014 21:46 - no comments yet
L'articolo inizia con queste frasi:
“Le telefonate arrivano da un numero normale. Non certo di quelli che iniziano col prefisso 899 e che mettono subito in guardia perché chiaramente a pagamento. Come riporta il Secolo XIX, la trappola arriva da un numero "geografico", cioè da un abbonato fisico: 0824052. Si tratta di un'utenza di Benevento anche se non risulta operativo. Eppure basta una risposta perché il credito inizi a scalare.”
Il titolo e l'ultima frase sono fortemente ingannevoli: fanno sembrare che basti rispondere alla chiamata per trovarsi degli addebiti. In realtà l'addebito truffaldino scatta solo se si richiama il numero.
Questa differenza fondamentale è chiarita dal testo dell'articolo del Secolo XIX (a firma di Marco Menduni) citato dal Giornale, che ha comunque un titolo altrettanto ingannevole: Allarme telefonini: dici «pronto» e sei truffato. Niente affatto: per essere truffati non basta dire “pronto” quando squilla il telefonino, bisogna richiamare il numero che ci ha chiamato.
Soluzione semplice: se vedete chi vi hanno chiamato da un numero che non riconoscete e non avete in rubrica, non richiamate quel numero. Se siete giornalisti o titolisti, invece, ripassate la differenza fra rispondere e richiamare.
Instagram, account rubabili usando Wi-Fi pubblici
julio 31, 2014 7:33 - no comments yetQuesto articolo vi arriva grazie alla gentile donazione di “stefano@gr*”.
C'è una falla in Instagram che permette di rubare gli account di chi lo usa su una rete Wi-Fi pubblica: la correzione è stata promessa, ma non è ancora attiva, per cui fino a quel momento è meglio usare Instagram soltanto su reti Wi-Fi private (o che non possano ospitare aggressori) oppure tramite la trasmissione dati della rete cellulare.
Stando alla descrizione di questa falla, rubare un account Instagram via Wi-Fi è davvero semplice a causa di una scelta tecnica ottusa da parte di Facebook, a riprova dell'idea che noi utenti, per i gestori dei social network, siamo carne da cannone: della nostra sicurezza e della nostra privacy, a loro, non frega assolutamente nulla.
Il problema è stato segnalato a Facebook da uno sviluppatore londinese, Stevie Graham, che però si è sentito dire che non verrà ricompensato per la sua segnalazione responsabile, come invece è avvenuto in altri casi, perché la falla è già nota a Facebook. Per cui ha deciso di rendere pubblica la vulnerabilità, in modo da spingere finalmente Facebook (proprietaria di Instagram) a sistemarla invece di ignorarla.
La falla sta nel fatto che l'app di Instagram usa l'HTTP per buona parte del proprio scambio di dati: il nome dell'account e il relativo numero vengono scambiati senza cifratura, per esempio, e c'è un cookie che può essere intercettato per accedere a Instagram spacciandosi per l'utente senza doversi riautenticare, potendo quindi leggere i messaggi dell'utente e postare a suo nome.
La tecnica è questa: l'aggressore si collega alla stessa rete Wi-Fi usata dalla vittima. Non importa se la rete è cifrata (Graham specifica WEP) o aperta. Poi l'aggressore mette la propria interfaccia di rete in modalità promiscua, ascoltando tutto il traffico della rete Wi-Fi, e lo filtra alla ricerca di riferimenti a i.instagram.com. Quando la vittima si collega a Instagram su quella rete Wi-Fi, l'aggressore cattura il cookie che viene trasmesso e lo usa per sostituirsi alla vittima e controllare il suo account. Tutto qui.
I dettagli sono descritti in questo post di Graham: nei miei test fatti di corsa, tuttavia, non sono riuscito a replicare l'attacco sui miei account Instagram usando dispositivi iOS e Android su una mia rete Wi-Fi senza cifratura. Se qualcuno riesce a fare di meglio, lo segnali nei commenti.
L'attacco è molto simile al Firesheep di qualche anno fa, tanto che Graham l'ha battezzato Instasheep. Un attacco praticamente identico è descritto qui da Mazin Ahmed, che consiglia di evitare l'app e di usare invece il sito Web per accedere a Instagram da dispositivi mobili.
Resta valida la raccomandazione di sempre: qualunque cosa postiate su un social network, date per scontato che sia pubblica e intercettabile.
Instagram, account rubabili usando Wi-Fi pubbliici
julio 30, 2014 8:13 - no comments yetQuesto articolo vi arriva grazie alla gentile donazione di “stefano@gr*”.
C'è una falla in Instagram che permette di rubare gli account di chi lo usa su una rete Wi-Fi pubblica: la correzione è stata promessa, ma non è ancora attiva, per cui fino a quel momento è meglio usare Instagram soltanto su reti Wi-Fi private (o che non possano ospitare aggressori) oppure tramite la trasmissione dati della rete cellulare.
Stando alla descrizione di questa falla, rubare un account Instagram via Wi-Fi è davvero semplice a causa di una scelta tecnica ottusa da parte di Facebook, a riprova dell'idea che noi utenti, per i gestori dei social network, siamo carne da cannone: della nostra sicurezza e della nostra privacy, a loro, non frega assolutamente nulla.
Il problema è stato segnalato a Facebook da uno sviluppatore londinese, Stevie Graham, che però si è sentito dire che non verrà ricompensato per la sua segnalazione responsabile, come invece è avvenuto in altri casi, perché la falla è già nota a Facebook. Per cui ha deciso di rendere pubblica la vulnerabilità, in modo da spingere finalmente Facebook (proprietaria di Instagram) a sistemarla invece di ignorarla.
La falla sta nel fatto che l'app di Instagram usa l'HTTP per buona parte del proprio scambio di dati: il nome dell'account e il relativo numero vengono scambiati senza cifratura, per esempio, e c'è un cookie che può essere intercettato per accedere a Instagram spacciandosi per l'utente senza doversi riautenticare, potendo quindi leggere i messaggi dell'utente e postare a suo nome.
La tecnica è questa: l'aggressore si collega alla stessa rete Wi-Fi usata dalla vittima. Non importa se la rete è cifrata (Graham specifica WEP) o aperta. Poi l'aggressore mette la propria interfaccia di rete in modalità promiscua, ascoltando tutto il traffico della rete Wi-Fi, e lo filtra alla ricerca di riferimenti a i.instagram.com. Quando la vittima si collega a Instagram su quella rete Wi-Fi, l'aggressore cattura il cookie che viene trasmesso e lo usa per sostituirsi alla vittima e controllare il suo account. Tutto qui.
I dettagli sono descritti in questo post di Graham: nei miei test fatti di corsa, tuttavia, non sono riuscito a replicare l'attacco sui miei account Instagram usando dispositivi iOS e Android su una mia rete Wi-Fi senza cifratura. Se qualcuno riesce a fare di meglio, lo segnali nei commenti.
L'attacco è molto simile al Firesheep di qualche anno fa, tanto che Graham l'ha battezzato Instasheep. Un attacco praticamente identico è descritto qui da Mazin Ahmed, che consiglia di evitare l'app e di usare invece il sito Web per accedere a Instagram da dispositivi mobili.
Resta valida la raccomandazione di sempre: qualunque cosa postiate su un social network, date per scontato che sia pubblica e intercettabile.
