Antibufala: no, Skype non ha una falla gravissima e Microsoft “non vuole rimediare”
February 16, 2018 8:37Lo so, insisto spesso sul concetto che gli aggiornamenti del software sono importanti e vanno fatti perché risolvono falle di sicurezza che mettono a rischio gli utenti. Ma tanta, troppa gente insiste a non ascoltare queste raccomandazioni (che non sono solo mie, ovviamente) e continua a usare dispositivi dotati di software non solo non aggiornato ma spesso anche totalmente obsoleto. E ogni tanto arriva una lezioncina che spiega meglio di me perché aggiornarsi è bene.
Nei giorni scorsi sono uscite notizie da panico a proposito di falle gravissime in Skype, che oltretutto Microsoft avrebbe deciso di non correggere perché sarebbe stato troppo difficile farlo: La falla in Skype che Microsoft non correggerà (Zeus News), Falla Skype, codice sorgente tutto da riscrivere (Fastweb.it), Skype non è sicuro, falla nel sistema: Microsoft non vuole rimediare, troppo difficile (Investire oggi), Skype: grave bug mette in pericolo la piattaforma ma il fix richiede ''troppo'' lavoro (HWupgrade.it), eccetera eccetera.
La falla (un DLL hijacking che permetteva di prendere il controllo del PC) era stata scoperta da un ricercatore, Stefan Kanthak, ma a detta di questi articoli risolverla avrebbe comportato la riscrittura quasi totale di Skype e quindi Microsoft avrebbe lasciato perdere. Non è così. Kanthak ha frainteso la risposta datagli da Microsoft, ossia che sarebbe stato necessario un riesame approfondito del software (vero), e ne ha dedotto erroneamente che questo riesame non fosse stato fatto.
In realtà, nota The Register, la vulnerabilità è presente in Skype per Windows solo fino alla versione 7.40. Nella versione 8, rilasciata a ottobre scorso, la falla non c’è più, come ha spiegato Microsoft.
In altre parole, basta aggiornarsi e il problema sparisce. Niente panico.
Le parole di Internet: cryptojacking
February 16, 2018 8:34
La moda del momento in campo criminale, infatti, è il cosiddetto cryptomining o cryptojacking, ossia l’inserimento, nelle pagine dei siti Web, di istruzioni che prendono il controllo del dispositivo del visitatore e gli fanno eseguire i complessi calcoli matematici che generano le criptovalute, come per esempio i Bitcoin, e depositano questo denaro virtuale nei conti dei truffatori. In pratica i criminali usano i nostri dispositivi per fare soldi per loro.
A prima vista può sembrare che per noi utenti questo sia un raggiro innocuo che non ci costa nulla, ma in realtà il surriscaldamento di smartphone e tablet li fa invecchiare precocemente e può anche danneggiarli, mentre lo sforzo di calcolo aggiuntivo imposto ai computer aumenta il loro consumo di energia elettrica e quindi pesa sulla nostra bolletta.
La novità è che pochi giorni fa è stato messo a segno un attacco di cryptojacking particolarmente audace e diffuso: alcune migliaia di siti governativi, principalmente in lingua inglese, sono stati manipolati dagli aggressori informatici per fare in modo che contenessero istruzioni che facevano generare criptovalute (Monero) ai visitatori. Fra i siti colpiti spiccano quello della sanità britannica, quello ufficiale dei tribunali statunitensi (UScourts.gov) e, ironicamente, quello dell’autorità per la protezione dei dati del Regno Unito (Information Commissioner's Office (ICO)).
Invece di attaccare questi siti uno per uno, gli ignoti aggressori hanno attaccato uno dei loro fornitori, Browsealoud, i cui servizi informatici (i cosiddetti script) vengono inseriti direttamente nei siti in questione e vengono eseguiti quando un utente visita anche solo la pagina iniziale di uno di questi siti; poi hanno modificato le istruzioni di questi script in modo da aggiungere la generazione delle criptovalute, e hanno aspettato che gli utenti visitassero i siti colpiti. In sostanza, infettando un fornitore sono riusciti a infettare automaticamente tutti i siti clienti di quel fornitore.
Per fortuna la reazione degli esperti d’informatica è stata molto rapida e il fornitore infetto è stato isolato ed escluso, ma il successo di quest’incursione ispirerà sicuramente molti emuli, che potranno colpire per esempio attraverso un altro tipo di fornitore molto diffuso: gli inserzionisti pubblicitari.
Difendersi da questo abuso è per fortuna abbastanza semplice: un buon antivirus riconosce questo genere di attacco e lo blocca, sia sugli smartphone e tablet sia sui computer. Inoltre lo sfruttamento illecito dei nostri dispositivi termina quando smettiamo di visitare un sito infetto e chiudiamo il programma di navigazione, non lascia sui dispositivi virus o altri elementi informatici pericolosi e non ruba dati personali. Ma è comunque un furto, se non altro di energia elettrica, che arricchisce qualcuno alle nostre spalle e incoraggia i criminali a violare i siti per infettarli. Conviene quindi fare prevenzione, intanto che gli esperti predispongono soluzioni.
Ma intanto è già partita la moda successiva: la rivista online Salon.com ha deciso che chi la visita usando un adblocker per bloccare le pubblicità potrà accedere ai suoi articoli solo se acconsente all’uso del suo computer, tablet o telefonino per generare criptovalute.
Aggiornate Telegram per Windows: ha una falla
February 16, 2018 8:29 |
| Fonte: Kaspersky Lab. |
Gli attacchi sono in corso almeno da marzo 2017 e derivano da un difetto nella gestione delle lingue che si scrivono da destra a sinistra. Il difetto era sfruttabile, e veniva attivamente sfruttato, inviando alla vittima semplicemente un allegato che sembrava essere un’immagine ma era in realtà un JavaScript ostile che veniva eseguito sui PC privi di difese.
Per esempio, il nome vero dell’allegato poteva essere photo_high_resgnp.js, quindi un JavaScript, ma veniva presentato all’utente bersaglio come photo_high_resj.png (in modo da sembrare un’immagine PNG) perché dopo photo_high_res c’era il carattere Unicode U+202E che inverte l’ordine dei caratteri che lo seguono, per cui gnp.js viene visualizzato come sj.png. Ingegnoso.
La falla è risolta nella versione più recente di Telegram, per cui il modo migliore per risolverla è aggiornarsi.
A parte questo scivolone, è importante ricordare che Telegram non cifra i messaggi in modo client-client (molto difficile da intercettare) se non glielo chiedete appositamente usando una chat segreta (secret chat) e usa un protocollo di sicurezza ritenuto insicuro dagli esperti. Per carità, per l’utente comune usare Telegram consente una maggiore privacy rispetto a WhatsApp (che cifra tutto end-to-end ma prende i metadati dell’utente e li condivide con Facebook). Se avete esigenze davvero serie, provate Signal.
Bancomat russi violabili premendo Shift cinque volte
February 16, 2018 8:08Quando si pensa a violazioni informatiche di bancomat o sportelli bancari automatici in generale, ci si immagina di solito chissà quali abilità e diavolerie tecniche. Ma a volte queste cose sono incredibilmente facili, soprattutto quando chi realizza questi dispositivi non pensa a fondo alla sicurezza.
Prendete per esempio la banca russa Sberbank: i suoi bancomat usano ancora Windows XP. Funziona, che bisogno c’è di aggiornarlo? Windows XP ha sedici anni e ormai non è più supportato da Microsoft, a parte gli aggiornamenti che coprono gravi emergenze, e Microsoft consiglia di usare Windows 10 per ATM per queste applicazioni delicate, ma fa niente.
Secondo quanto raccontato da Techworm.net (che cita il blog russo Habrahabr), questi sportelli bancari automatici erano violabili semplicemente premendo il tasto Shift sulla tastiera, come mostra questo video.
Il Windows XP installato su questi bancomat, infatti, aveva abilitata l’opzione Sticky Keys (Tasti permanenti nella versione italiana), che fa parte degli ausilii per chi ha problemi di accessibilità: quando il sistema chiede di premere due tasti contemporaneamente (per esempio per digitare una lettera maiuscola o comporre un carattere speciale), con quest’opzione si possono premere i due o più tasti in sequenza, quindi anche con una mano sola.
Per richiamare questa funzione basta premere il tasto Shift cinque volte in rapida successione. A questo punto compare la Taskbar e il menu Start, e questo significa che su un bancomat con schermo tattile come quelli di Sberbank è possibile accedere a Windows e prenderne il controllo.
Lo scopritore della falla ha registrato il video dimostrativo e poi è stato responsabile: ha chiamato subito la banca per avvisare del problema e non ne ha approfittato. Ma altri avrebbero potuto farlo, anche compiendo solo un sabotaggio molto banale: sarebbe bastato togliere dallo schermo la schermata del programma di gestione delle transazioni per rendere inservibile quel bancomat alla stragrande maggioranza degli utenti.
E detto fra noi, anche sapendo come riportare un bancomat alla schermata standard, mi guarderei bene dall’inserire la mia carta di credito in un aggeggio che manifesta una vulnerabilità colossale del genere.
La banca ha successivamente corretto la falla e ringraziato il suo scopritore con un regalo molto generoso (si fa per dire): un’agenda e un portafogli.
Per tutti quelli che mi chiedono di debunkare “American Moon”
February 14, 2018 10:00
Personalmente credo che la risposta alle sue tesi sia già stata data abbondantemente:
- Nessun addetto ai lavori, di nessun paese al mondo, ha il minimo dubbio che le missioni lunari furono reali. Se incontrate un ingegnere aerospaziale o un astronauta dell’ESA, della NASA o di Roskosmos, chiedeteglielo.
- Gli unici che sostengono le teorie di complotto lunare sono gli ignoranti e i ciarlatani. Voi da che parte volete stare?
- Abbiamo le immagini dei resti dei veicoli lasciati sulla Luna, fotografati dalle sonde orbitanti.
- I russi non hanno sbugiardato i rivali americani, ma anzi hanno confermato e si sono pure congratulati.
- Anche gli scienziati italiani osservarono e ascoltarono direttamente le missioni sulla Luna, ricevendone i segnali radio dalla Luna, senza intermediari. Tutti bugiardi? Tutti collusi?
Ma soprattutto, dobbiamo essere andati sulla Luna perché era impossibile falsificare i dati tecnici, i segnali radio, i reperti, le foto, i video e le riprese su pellicola 16mm con la tecnologia degli effetti speciali degli anni Sessanta. Quindi qualunque “prova” presentata dai lunacomplottisti deve per forza essere falsa.
Se volete i dettagli delle prove più schiaccianti del fatto che ci siamo andati oltre ogni ragionevole dubbio, sono qui.
Se comunque ci tenete lo stesso che io prepari una risposta al “documentario” in questione che smonti le apparenti “prove” che presenta, vi faccio una proposta:
- Mandatemi una copia del “documentario”.
- Fate una donazione di 50 euro a Medici Senza Frontiere (se proprio devo spalare letame, almeno facciamo in modo che ne venga fuori qualcosa di buono).
- Mandatemi via mail copia della ricevuta della donazione.
- Per ogni donazione di 50 euro fatta a MSF risponderò a una delle argomentazioni di American Moon. Scegliete voi quale, indicando il minutaggio (in altre parole, a che punto del video è) e trascrivendo le asserzioni fatte.
Fino a quel momento, non ho altro da aggiungere sull’argomento e non voglio perdere altro tempo su questa fuffa.
