Ricerca in FOLBlog

Sicurezza

Apr 142014
 

lo scorso 7 aprile è stata scoperta l’esistenza di Heartbleed, probabilmente la più seria minaccia ai nostri dati mai comparsa su Internet.

Ecco come funziona (semplificando al massimo), quali siti colpisce e in che modo possiamo proteggere i nostri dati online e i nostri social network.

 

Che cosa è Heartbleed

Heartbleed (cuore che sanguina in inglese) è un vulnerabilità informatica.
In pratica, una falla in una componente chiave dei sistemi che garantiscono la sicurezza delle comunicazioni su Internet, e precisamente in uno dei meccanismi più diffusi per criptare i dati inviati online (OpenSSL).

Quindi, in questo caso, il semplice fatto di avere l’antivirus installato ed aggiornato non ci mette al riparo.

 

Che cosa fa Heartbleed

Come detto, colpisce OpenSSL, un sistema di cifratura (SSL) delle comunicazioni online usato dalla maggior parte dei server.
OpenSSL è utilizzato per codificare (crittografare) i dati inviati da un computer e che viaggiano nella rete per raggiungere un altro computer (il nostro o un server): nel computer di destinazione, OpenSSL esegue il processo inverso permettendo la decodifica dei i dati.

È un processo totalmente trasparente all’utente che riconosce l’invio dei dati in modo codificato solo dalla presenza di un lucchetto nella barra degli indirizzi del browser (di solito prima dell’URL del sito): significa che un servizio di crittografia SSL è abilitato.
clip_image002

clip_image004

 

Come funziona l’attacco

OpenSSL ha una funzionalità chiamata Heartbeat (battito del cuore) che viene utilizzato dai gestori dei server per avere conferma che tutto sta funzionando a dovere.
Per dirla in termini elementari è come se un computer chiedesse, ad intervalli di tempo regolari, al sistema responsabile “Sei vivo?” e ricevesse la risposta “Sì sto bene”.

Si è scoperto che Heartbeat può essere ingannato dall’invio di un codice modificato da un hacker: in questo caso quando questi gli invia il “Sei vivo?”, Heartbeat risponde inviando anche altri pacchetti di memoria presenti sul server in quel momento.
Se si tratta di un server presso il quale ci si autentica inserendo username e password (come Gmail, Facebook, Twitter, ecc), quei pacchetti di memoria potrebbero contenere dati di nomi utente e password.

 

Quali siti sono colpiti

Sono potenzialmente a rischio tutti i server che utilizzano OpenSSL e con il tool Heartbeat installato e funzionante. Si stima siano i due terzi del totale.

Tra questi ci sono Google, Facebook, Dropbox e Yahoo.

Altri siti che utilizzano differenti sistemi SSL (quali ad esempio Microsoft, Amazon, Linkedin e PayPal) sono invece al riparo dalla minaccia..

Non sono a rischio neppure i siti di home banking, protetti solitamente da protocolli proprietari.

 

Cosa fare

E’ meglio cambiare le password sei servizi indicati di seguito, dato che hanno dichiarato di aver corretto la falla.
Nel caso specifico di Heartbleed, prima di cambiarla è bene chiedere all’operatore se la falla di OpenSSL è stata corretta: altrimenti il cambiamento è inutile.

Questi alcuni siti e la situazione attuale (work in progress):

· Google Vulnerabilità corretta, cambiare password

· Facebook Vulnerabilità corretta, cambiare password

· YouTube Vulnerabilità corretta, cambiare password

· Yahoo! Vulnerabilità corretta, cambiare password

· Amazon Non a rischio

· Wikipedia Vulnerabilità corretta, cambiare password

· LinkedIn Non a rischio

· eBay Non a rischio

· Twitter Non a rischio

· Craigslist In attesa di risposta

· Bing Vulnerabilità corretta, cambiare password

· Pinterest Vulnerabilità corretta, cambiare password

· Blogspot Vulnerabilità corretta, cambiare password

· CNN In attesa di risposta

· Live Non a rischio

· PayPal Non a rischio

· Instagram Vulnerabilità corretta, cambiare password

· Tumblr Vulnerabilità corretta, cambiare password

· Espn.go.com Vulnerabilità corretta, cambiare password

· WordPress In attesa di risposta

· Imgur In attesa di risposta

· Huffington Post In attesa di risposta

· Reddit Vulnerabilità corretta, cambiare password

· MSN Non a rischio

· Netflix Vulnerabilità corretta, cambiare password

· Weather.com Vulnerabilità corretta, cambiare password

· IMDb Non a rischio

· Yelp Vulnerabilità corretta, cambiare password

· Apple Non a rischio

· AOL In attesa di risposta

· Microsoft Non a rischio

· NYTimes In attesa di risposta

· Bank of America Non a rischio

· Ask Non a rischio

· Fox News Non a rischio

· Chase Non a rischio

· GoDaddy Vulnerabilità corretta, cambiare password

· About Non a rischio

· BuzzFeed In attesa di risposta

· Zillow Non a rischio

· Wells Fargo Non a rischio

· Etsy Vulnerabilità corretta, cambiare password

· XVideos In attesa di risposta

· Walmart Non a rischio

· CNET Non a rischio

· Pandora Non a rischio

· xHamster In attesa di risposta

· PornHub In attesa di risposta

· Comcast In attesa di risposta

· Stack Overflow Vulnerabilità corretta, cambiare password

· Salesforce Non a rischio

· Daily Mail In attesa di risposta

· Vimeo Vulnerabilità corretta, cambiare password

· Condui In attesa di risposta

· Flickr Vulnerabilità corretta, cambiare password

· Zedo Non a rischio

· Forbes Non a rischio

· LiveJasmin In attesa di risposta

· USPS Vulnerabilità corretta, cambiare password

· Indeed In attesa di risposta

· Hulu Non a rischio

· Answers Non a rischio

· HootSuite Non a rischio

· Amazon Web Services In attesa di risposta

· Adobe In attesa di risposta

· Blogger Vulnerabilità corretta, cambiare password

· Dropbox Vulnerabilità corretta, cambiare password

· Reference.com Non a rischio

· AWeber Non a rischio

· UPS Non a rischio

· Intuit In attesa di risposta

· NBC News In attesa di risposta

· USA Today Non a rischio

· Outbrain Vulnerabilità corretta, cambiare password

· The Pirate Bay In attesa di risposta

· The Wall Street Journal In attesa di risposta

· Bleacher Report In attesa di risposta

· Constant Contact Non a rischio

· Wikia Vulnerabilità corretta, cambiare password

· CBSSports Non a rischio

· Publishers Clearing House In attesa di risposta

· Washington Post Vulnerabilità corretta, cambiare password

· Target Non a rischio

· Drudge Report In attesa di risposta

· TripAdvisor Non a rischio

· FedEx Non a rischio

· Capital One Non a rischio

· wikiHow Non a rischio

· Googleusercontent.com Vulnerabilità corretta, cambiare password

· Groupon Non a rischio

· Best Buy In attesa di risposta

· AT&T In attesa di risposta

· Home Depot In attesa di risposta

· Trulia Non a rischio

· TMZ In attesa di risposta

· Feedbin Vulnerabilità corretta, cambiare password

· Pinboard Vulnerabilità corretta, cambiare password

· GetPocket Vulnerabilità corretta, cambiare password

· IFTTT Vulnerabilità corretta, cambiare password

· ManageWP Non a rischio

· PayScale Non a rischio

· OKCupid Vulnerabilità corretta, cambiare password

· Dillard’s Non a rischio

· NetZero Non a rischio

· Classmates Non a rischio

· MyPoints Non a rischio

Per verificare la sicurezza del protocollo SSL su altri siti è possibile utilizzare il servizio Qualsys che sottopone ad analisi il sito e restituisce un voto che va da A+ (il migliore) a F (il peggiore)

  • Facebook
  • Twitter
  • Delicious
  • StumbleUpon
  • Wikio
  • Reddit
  • Technorati
  • Segnalo
  • Live
  • Add to favorites
  • Email
  • RSS
Gen 292013
 

image

In molti siti web si fa uso di applicazioni Java per offrire contenuti interattivi.

Java non ha mai brillato dal punto di vista della sicurezza e pochi giorni fa è stata scoperta una nuova, grave falla di sicurezza che permetterebbe l’esecuzione di comandi arbitrari sui computer vulnerabili tramite il browser; la falla potrebbe essere sfruttata da qualche malintenzionato per commettere reati informatici (furto di identità o di dati sensibili, cancellazione di dati personali, ecc.).

Ad essere affetta da questa temibile falla di sicurezza è la versione 7 della piattaforma Java.

Oracle ha prontamente rilasciato un aggiornamento di Java (Java 7 Update 11) che modifica le impostazioni di sicurezza di default, impostandole su un livello più alto (High), in modo che l’utente venga avvisato della presenza di un’applet Java e possa consentire o meno la sua esecuzione.

Il fatto che  Java 7 Update 11 chieda agli utenti una conferma prima di procedere con l’esecuzione di un’applet all’interno del browser, non è una soluzione al problema, pur rappresentando un passo avanti.

Gli utenti che fanno uso di applicazioni Java per desktop (si pensi ai tanti applicativi che consentono un’interazione con l’Amministrazione Pubblica, ad esempio) possono invece stare tranquilli e continuare ad utilizzare le loro applicazioni Java.

Al momento in cui scrivo, l’unico modo per mettere al sicuro il proprio browser dai rischi derivanti dai bug in Java è quello di disattivare il plugin installato nel browser e che consente l’esecuzione delle applets.

Oracle spiega come disattivare, in uno colpo solo, Java per tutti browser installati nel proprio PC.
Abilitare Java

Di seguito, invece, è spiegata la procedura per disabilitare i plugin Java in ciascuno dei browser più diffusi.

Leggi il seguito »

  • Facebook
  • Twitter
  • Delicious
  • StumbleUpon
  • Wikio
  • Reddit
  • Technorati
  • Segnalo
  • Live
  • Add to favorites
  • Email
  • RSS

Apple al BlackHat 2012

 Scritto da alle 06:27 del 26/07/2012  1 Risposta »
Lug 262012
 

event-logo

Questa per me è una grande notizia: Apple parteciperà alla conferenza sulla sicurezza BlackHat 2012.

Il keynote della conferenza non lascia dubbi al riguardo: oggi sarà la volta di Dallas De Atley, Stefan Esser, Justin Engler, Seth Law, Joshua Dubik, David Vo ad illustrare, in diversi interventi quanto Apple sta facendo per la sicurezza di IOS, il sistema operativo che fa funzionare i device mobili by Cupertino.

E’ per me una grande notizia in quanto, finalmente, Apple sembra abbandonare, almeno per quanto riguarda IOS, la politica negazionista relativa ai problemi di sicurezza dei propri sistemi e partecipa attivamente ad una conferenza sulla sicurezza.

Di OSX sembra che Apple non voglia parlare, nonostante i recenti malware saliti alla ribalta delle cronache e nonostante Charlie Miller ed altri abbiano dimostrato, nei vari Pwn2Own degli scorsi anni, quanto vulnerabile possa essere il sistema operativo Apple.

Speriamo perciò non si tratti della solita manovra a scopo di marketing per gettare un po’ di fumo negli occhi, ma del segnale di una mutata attenzione alle tematiche della sicurezza, da sempre snobbate da quelle parti.

  • Facebook
  • Twitter
  • Delicious
  • StumbleUpon
  • Wikio
  • Reddit
  • Technorati
  • Segnalo
  • Live
  • Add to favorites
  • Email
  • RSS

iLarità

 Scritto da alle 10:38 del 26/06/2012  Nessuna risposta »
Giu 262012
 

image

Piccola parentesi di ilarità tratta da cervellilavati.it

E tutto questo accadeva dopo un anno dal clamoroso voltafaccia di Apple stessa.

Oggi, finalmente, il risveglio stile back to reality:

Apple decides that Macs aren’t immune to viruses (Apple decide che i Mac non sono immuni da virus)

Apple decide che i Mac non sono immuni ai virus

Godiamoci quello che ora assomiglia tanto a uno spassoso pezzo da cabaret.

MAC, PC e i virus
  • Facebook
  • Twitter
  • Delicious
  • StumbleUpon
  • Wikio
  • Reddit
  • Technorati
  • Segnalo
  • Live
  • Add to favorites
  • Email
  • RSS

PDFCreator, NOD32 e OpenCandy

 Scritto da alle 18:26 del 27/03/2012  Nessuna risposta »
Mar 272012
 

image

Chiunque utilizzi NOD32 come antivirus e tenti di scaricare PDFCreator, l’utility gratuita per generare PDF con un semplice comando di stampa, si sarà imbattuto nell’avviso mostrato nell’immagine soprastante.

OpenCandy viene identificata come applicazione potenzialmente pericolosa.

Ma cos’è OpenCandy?

OpenCandy è una piattaforma adottata da un network di sviluppatori di software per promuovere l’utilizzo di altri programmi sviluppati da chi appartiene al network stesso.

La promozione avviene sotto forma di proposta di installazione di un altro programma durante l’installazione del programma di cui si sta eseguendo la procedura di setup.

Installando PDFCreator, ad esempio, può venir consigliata l’installazione di RealPlayer
image

In questo caso è sufficiente non accettare i termini del contratto di licenza togliendo il segno di spunta (che viene inserito di default) dall’apposito campo per evitare che Real Player venga installato.

Come funziona?

Quando si avvia l’installazione di un software appartenente al network, viene richiesta ai server OpenCandy una lista di applicazioni che lo sviluppatore del programma che si sta installando ha deciso di proporre sulla base della lingua, del sistema operativo e del Paese.
Il plugin OCSetupHlp.dll seleziona la prima delle raccomandazioni valide nell’elenco.
La selezione viene effettuata in base ad alcuni criteri quali la presenza o meno sul PC del software nell’elenco delle raccomandazioni, o la presenza di tutti i file necessari alla sua installazione.
Per effettuare la raccomandazione opportuna, OpenCandy invia ai server i seguenti dati:

  • L’installer in esecuzione (quello di PDFCreator nel mio caso);
  • La versione del sistema operativo;
  • La lingua dell’installer e del sistema;
  • L’ora locale;
  • La versione del client OpenCandy.

La scelta effettuata dall’utente di installare o meno il programma proposto, viene memorizzata in forma anonima per fini statistici; questo è quanto emerge dalla lettura delle condizioni di privacy pubblicate sul sito OpenCandy.

I più maliziosi considerano OpenCandy un adware per il fatto che veicola pubblicità non richiesta, ed uno spyware (per il fatto che invia in rete dei dati relativi al computer su cui viene effettuata la procedura di installazione di un programma appartenente al network).
Altre critiche vengono mosse  per il fatto che i dati relative alla scelta effettuata dall’utente vengano memorizzati senza l’esplicito consenso dell’utente stesso.

C’è chi invece lo considera un innocuo metodo promozionale che rispetta la privacy dell’utente e gli fornisce un servizio potenzialmente utile.

Uso regolarmente PDFCreator e, dopo essermi informato, ho deciso di ignorare l’avviso di NOD32 anche rinfrancato dal fatto che una scansione antivirus successiva all’installazione non ha segnalato nulla di anomalo.

Devo ammettere però il fastidio per questo sistema di “proposte” e “raccomandazioni” che fa leva più che altro sulla distrazione dell’utente, portato a premere su Avanti con troppa fretta e senza accorgersi di accettare le condizioni di licenza di un programma diverso da quello che sta installando.
Avrei preferito che di default fosse necessaria un’azione dell’utente per acconsentire all’installazione piuttosto che una per evitarla.

Per il resto ritengo che OpenCandy operi in una sorta i zona grigia in cui il comportamento adottato si presta a diverse interpretazioni favorevoli e sfavorevoli.

  • Facebook
  • Twitter
  • Delicious
  • StumbleUpon
  • Wikio
  • Reddit
  • Technorati
  • Segnalo
  • Live
  • Add to favorites
  • Email
  • RSS

Amazon Kindle Fire e walled garden

 Scritto da alle 07:27 del 14/11/2011  2 Risposte »
Nov 142011
 

image

La fidelizzazione dei clienti è quell’insieme di pratiche messe in atto dalle aziende con lo scopo di mantenere la propria clientela.
Di solito si tratta di azioni tese ad incentivare acquisti dei propri prodotti rendendo meno appetibile l’acquisto di prodotti concorrenti.
Raccolte punti, buoni sconto su acquisti attuali da sfruttare per acquisti futuri sono solo alcuni esempi, tra i tanti che sono a noi ben noti.

Nel campo delle tecnologie IT e delle telecomunicazioni (e non solo) questa pratica, che può essere considerata in un certo senso positiva per il consumatore, si è estesa, ed è stata integrata da altri metodi un po’ meno “piacevoli” per il consumatore.

Le aziende, infatti, hanno iniziato ad inserire limiti “artificiali” per scoraggiare lo switch verso altri prodotti.
Esempi potrebbero essere l’impossibilità (salvo contromisure) di scaricare la posta elettronica da caselle email gestite da providers diversi da quello utilizzato per l’accesso ad Internet; oppure i limiti che Apple inserisce nei propri device mobili per scoraggiarne utilizzi diversi da quelli che convengono all’azienda (vedi limiti sull’utilizzo del bluetooth, o quelli relative all’utilizzo di Siri, ad esempio), o il soffocante abbraccio a cui sottopone i propri clienti con iTunes (reso in certi casi obbligatorio).

Questo tipo di pratiche sono negative per i consumatori perché, in pratica, hanno l’obiettivo di costringere, più che di indurre, i propri clienti  a restare nel “walled garden” costruito dall’azienda.
Non sempre è possibile aggirare queste limitazioni e spesso è possibile farlo solo a patto di perdere la garanzia sul prodotto.

Amazon, che fino ad ora ha brillato per il rispetto degli utenti ed è riuscita a trasformare in moneta sonante l’alto livello di fiducia che è riuscita meritatamente ad ispirare, pare non abbia resistito alla tentazione di costruire il suo recinto virtuale in cui tentare di confinare per i propri clienti e, anzi, con il Kindle Fire da $199,00, sembra andata addirittura oltre.

Per come viene presentato, il Kindle Fire è un normalissimo tablet basato su Android, su cui gira il “rivoluzionario” [sic!] browser Silk.
In realtà, a causa della personalizzazione effettuata da Amazon, sembra più uno strumento prettamente orientato alla fruizione dei contenuti venduti dall’azienda di Seattle. E questo è il male minore.

Il Kindle Fire con Silk si collega ad Internet attraverso il servizio cloud di Amazon (Amazon Elastic Compute Cloud, aka EC2) con cui costituisce una sorta di recinto teso ad impedire usi alternativi.

Infatti, a differenza con quanto avviene con iTunes e GoogleApp, attraverso cui Apple e Google hanno la possibilità di effettuare un controllo dell’utente tramite le applicazioni che questi utilizza, con il suo tablet Amazon è in grado di controllare il modo in cui il device dialoga con la rete: le richieste di contenuti effettuate dal browser Silk vengono elaborate da EC2, adattate e confrontate con il profilo comportamentale associato all’utente e poi inviate al tablet.
In sostanza Silk e EC2 si comportano come una sorta di entità che si pone tra l’utente ed i contenuti richiesti con lo scopo di individuare una eventuale regolarità di comportamenti negli utenti, in modo da fornire i contenuti richiesti nel più breve tempo possibile.
Si realizza, in questo modo, una canalizzazione dell’attività dell’utente che consente ad Amazon la raccolta dei dati più disparati incrociabili nei modi più diversi. Roba da far impallidire Google.

Balzano immediatamente agli occhi i potenziali problemi legati alla privacy e pare evidente l’intenzione di Amazon di confinare la navigazione Internet degli utenti in un luogo virtuale in cui l’azienda è potenzialmente in grado di controllare tutte le attività degli utenti a cui associare i contenuti richiesti.

Questa struttura ha scopi prettamente commerciali e probabilmente i potenziali rischi su citati non si concretizzeranno.
Ma proprio perché assomiglia più ad una Intranet aziendale che alla fornitura di un accesso ad Internet, potrebbe venir meno il principio di neutralità, che pone il provider di servizi di comunicazione al riparo dalle responsabilità conseguenti l’utilizzo da parte dei propri clienti dei servizi forniti.
Come si comporterà l’azienda di Seattle a fronte di richieste di contenuti borderline, forse leciti, forse no, che potrebbero essere considerati critici o inopportuni?
Amazon, a causa della diversa responsabilità, potrebbe perciò vedersi costretta a controllare, filtrare, censurare.
In ogni caso, avrebbe comunque a disposizione una possibilità di controllo tali da far raggelare il sangue.

  • Facebook
  • Twitter
  • Delicious
  • StumbleUpon
  • Wikio
  • Reddit
  • Technorati
  • Segnalo
  • Live
  • Add to favorites
  • Email
  • RSS