Agosto, mese della prevenzione

Si moltiplicano le segnalazioni di bug, buchi e vulnerabilità. Sotto la lente finiscono Mac OSX, i certificati SSL, l'update dei software e pure la cifratura AES

Roma – Sembra quasi una frase fatta piuttosto abusata, ma questo inizio di agosto ha segnato davvero l’avvio un’estate bollente sul fronte della sicurezza. Complice la concomitanza del Black Hat e di Defcon , manifestazioni dedicata alla sicurezza tenutesi a Las Vegas, il numero di vulnerabilità e exploit mostrati e dimostrati dagli hacker riunitisi in Nevada e non solo si è moltiplicato: sotto la lente d’ingrandimento degli esperti di sicurezza ci sono finite procedure apparentemente innocue come l’aggiornamento di un software , capaci però di trasformarsi in un incubo sul piano sicurezza a causa di una scarsa cura del problema autenticazione in fase di progettazione.

Quella mostrata da Tomer Bitton e Itzik Kotler, di Radware , è una nuova vulnerabilità che secondo i due riguarda centinaia di applicazioni, famose e meno famose: i tecnici non si spingono fino a coinvolgere celebri applicazioni come Firefox, che pure si aggiorna via web ma che i due sostengono di non aver testato, ma chiariscono che nell’inganno potrebbero cascarci tanti nomi importanti. Il trucco consiste nell’ inserirsi nella rete WiFi di un bersaglio e attendere che tenti di aggiornare il proprio software : intercettando la comunicazione è possibile sostituirsi al legittimo server nella fornitura degli update, somministrando al posto delle patch genuine un bel pacchetto di malware.

Si tratta in pratica dell’ennesima variante dell’attacco conosciuto come man in the middle : si intercetta una comunicazione, si falsifica la risposta a proprio uso e consumo. A parziale consolazione, occorre che l’attaccante riesca a ottenere l’accesso alla rete wireless del malcapitato (o dei malcapitati) perché il tutto funzioni: ma la mancanza di un adeguato sistema di autenticazione dei pacchetti di update in molto del software in circolazione rende senz’altro la prospettiva di patch virali distribuite indebitamente piuttosto sinistra e piuttosto preoccupante.

Bitton e Kotler, peraltro, sottolineano come ci siano già alcuni produttori che incorporano una firma digitale nei propri aggiornamenti: il software Microsoft, secondo i due, ad esempio non sarebbe soggetto a questo tipo di attacco. Ma guai a ritenersi al sicuro da tutto : lo ha ribadito anche Dino Dai Zovi, già noto per i suoi hack in ambiente Mac, che nel corso di Black Hat ha mostrato la sua ultima fatica, soprannominata Machiavelli . Grazie al suo tool, un computer Apple compromesso può diventare praticamente trasparente per un malintenzionato, fornendo codici e password per qualunque servizio utilizzato tramite il browser di default sui computer della Mela: Safari.

Non è la prima volta che Dai Zovi richiama l’attenzione sui problemi legati alla piattaforma di Cupertino, e non è peraltro l’unico addetto ai lavori che ribadisca i rischi di un senso di falsa sicurezza per gli utenti Mac legato alla scarsa presenza e diffusione di exploit specifici per la piattaforma. Questione di numeri, ovviamente, vista la minor diffusione dei Mac e il conseguente poco appeal per i creatori di malware. E questione anche di architettura di sistema, grazie ad una base *nix che semplifica un po’ la vita agli utenti ma che non deve fargli abbassare la guardia.

Anche gli algoritmi ritenuti inviolabili, come il protocollo di cifratura AES selezionato dal Dipartimento del Commercio USA come standard per le proprie operazioni, negli ultimi tempi è divenuto oggetto di continue attenzioni. In questi giorni, poi, un gruppo di hacker piuttosto conosciuti (tra gli altri figurano Adi Shamir, Orr Dunkelman, Alex Biryukov, Dmitry Khovratovich, Alex Biryukov e Nathan Keller) ha messo insieme un sistema di attacco capace di svelare una chiave da 256 bit in appena 2^39 tentativi (purché si disponga di due chiavi correlate), abbattendo di un ordine di grandezza la complessità dell’operazione. Presto, conferma il guru Bruce Schneier, per fasciarsi la testa: ma abbastanza per far drizzare le orecchie a chi si riteneva al sicuro da ogni intrusione.

Lo stesso vale per i certificati Secure Sockets Layer (SSL), anche questi passati ai raggi X dagli hacker. Dan Kaminsky, altro nome noto , Moxie Marlinspike e Len Sassaman hanno illustrato l’evoluzione di un exploit che lo stesso Marlinspike aveva già presentato a febbraio: grazie ad una scadente implementazione del metodo con cui i browser interagiscono con i siti dotati di certificato SSL, è possibile carpire informazioni sensibili e ritenute al sicuro. Basta far visitare al bersaglio un sito autentico all’inizio della sua navigazione, per poi dirottarlo altrove: i sistemi automatici di salvaguardia dalle minacce non si accorgeranno di nulla, fino a quando almeno non saranno stati modificati per tenere conto di questa possibilità.

Sebbene il problema non riguardi i cosiddetti certificati Extended Validation SSL , sia Microsoft che Mozilla sono al lavoro per arginare il problema : la seconda anticipa di aver già sistemato parecchie problematiche correlate con l’ultima versione distribuita del suo browser, mentre BigM ha annunciato di stare investigando per comprendere l’entità della vulnerabilità.

Chi invece non ha ancora confermato di stare lavorando alla soluzione di un problema con le sue tastiere è Apple. Questa volta è stato K. Chen ( non è chiaro se questo sia il suo vero nome o un nome di fantasia) a descrivere una vulnerabilità non del software che gira su un Mac, ma del firmware delle tastiere disegnate a Cupertino : con un payload di appena 100KB è possibile modificare il funzionamento di queste periferiche per memorizzare e in seguito restituire (come farebbe un comune keylogger) quanto digitato. Ad essere infettato sarebbe, in altre parole, l’hardware: una formattazione del disco rigido non risolverebbe il problema, solo l’abbandono della tastiera compromessa in favore di una nuova arginerebbe la minaccia.

K. Chen ha confermato di aver informato Apple della vulnerabilità, ma di temere che Apple si limiti a risolvere il problema con un aggiornamento software del suo sistema operativo lasciando aperto il firmware della sua tastiera per futuri aggiornamenti. L’hacker si dice intenzionato a rilasciare egli stesso un tool per farlo nel caso da Cupertino non provvedano a tappare il buco come desiderato: e visto che tutte le tastiere Apple, comprese quelle dei notebook, sono dispositivi USB potenziali bersagli dell’attacco, l’auspicio è che la soluzione sia disponibile quanto prima.

Luca Annunziata

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Clafin scrive:
    Inesistenza telematica
    Più che inferno, lo definirei limbo...I criteri di valutazione delle pagine scammose di Google sono quantomeno "poco efficienti"; con la keyword sbagliata (escludendo parole che attengano al mondo dell'illegale) si incappa in oceani di immondizia che coprono le informazioni vitali.
    • asdrubbale scrive:
      Re: Inesistenza telematica
      gne gne gne, tutto te sai!
    • barra78 scrive:
      Re: Inesistenza telematica
      pensi che sia facile fare creare qualcosa di meglio di google? MS sono anni che ci prova e forse ci sta riuscendo ora con bing (anche se vorrei proprio vederlo su scala mondiale con le difficoltà causata da una promisquità di lingue).Non do quanti anni hai ma quando studiavo i motori di ricerca erano excite, hotbot, altavista, arianna e simili. Era già tanto se ci prendevano OGNI TANTO. Google con il suo 'mi sento fortunato' rivoluziono il settore perchè CI PRENDEVA REALMENTE.
      • nome cognome scrive:
        Re: Inesistenza telematica
        ah i bei tempi di altavista (che era il più figo perchè con il 56k si caricava più in fretta degli altri :D)
        • barra78 scrive:
          Re: Inesistenza telematica
          Siamo vecchi :P
          • Francesco_Holy87 scrive:
            Re: Inesistenza telematica
            Io ci navigavo negli internet cafè con Altavista (e anche con Jumpy), perchè in casa non avevo nemmeno il 56k :P
          • Anonimo del sublime scrive:
            Re: Inesistenza telematica
            Eran belli gli internet cafè. Comunque secondo me il problema non è quanto bravo è google.. ma quanto viola le regole sul monopolio.. in questo caso dell'informazione. Premetto che ho una Gmail un Gcalendar e un sacco di altre Gcose che mi sono utilissime e che non sostituirei con NULLA al momento... ma il problema è che G ha un potere davvero esagerato.. ho sempre visto fare scelte furbe..ma se domani decide qualcosa di strambo (come quando last.fm ha scelto di farsi pagare per farmi ascoltare una radio on line), nn si potrebbe obiettare nulla e saremmo tutti col --- per terra.
          • Wolf01 scrive:
            Re: Inesistenza telematica
            Ah bhe nessuno ti vieta di smettere di usare il servizio quando le condizioni diventano sfavorevoli.In fondo usufruendo gratuitamente dei servizi di google non hai registrato carte di credito o cose del genere, quindi non possono farti evaporare $lots_of_money$ senza il tuo consenso, inoltre dubito seriamente che vengano a bussare alla tua porta per farsi pagare.
        • SkZ scrive:
          Re: Inesistenza telematica
          poi venne hotbot che fu un passo enorme: nella prima pagina avevi sempre la risposta.Google surclasso' tutti
        • RmtCtrl scrive:
          Re: Inesistenza telematica
          - Scritto da: nome cognome
          ah i bei tempi di altavista (che era il più figo
          perchè con il 56k si caricava più in fretta degli
          altri
          :D) AAHHHH IL VECCHIO ALTAVISTA..!
        • Josafat scrive:
          Re: Inesistenza telematica
          Me li ricordo anch'io quei tempi... pensavo che nessuno avrebbe potuto superare altavista... e invece è scomparso, mentre yahoo e excite esistono ancora.Nessun'altro, a parte me, usava 37.com?
      • Clafin scrive:
        Re: Inesistenza telematica
        Chi lo ha detto? Sono un felice utente beta tester di Google da anni, ma questo non mi impedisce di criticare le miriadi di pagine di XXXXX che saltano fuori con alcune keyword!Non si può certo dire che Google offra un servizio non migliorabile, o comunque allo stato dell'arte. La loro mission è offrire buoni risultati a ricerche: con buone ricerche attrai clienti, con i clienti attrai la pubblicità. L'equazione "ricerche esatte=introiti" è lampante, lo hanno metabolizzato anche in Microsoft (vedi Bing ed accordo con Yahoo).Per quanto riguarda la questione età, che giustamente ti trattiene dal sollevare completamente, ti dico che navigavo con il 33,6 ISA su altavista (e astalavista...)Esempio: keyword Lenovo S50; guarda dov'è la pagina ufficiale del modello business di Lenovo (concordi che dovrebbe essere la prima?) http://www.google.it/search?hl=it&client=firefox-a&rls=org.mozilla%3Ait%3Aofficial&hs=2Qj&q=lenovo+s50&btnG=Cerca&meta=
        • VisualC scrive:
          Re: Inesistenza telematica
          no :Pla prima dovrebbe essere la più utile non per forza quella ufficiale :D
        • barra78 scrive:
          Re: Inesistenza telematica
          io il mio primo modem l'ho ancora da qualche parte. 28,8 esterno, grande quanto un tostapane e di un colore che definire inaffrontabile è dire poco (un panna/cappucciono che sapeva di vecchio appena comprato). Bei ricordi con le BBS e tutto il resto. Chi si ricorda Ultimo Impero e tutte le altre?CMQ non ho detto che la ricerca non si può migliorare ma che È DIFFICILE farlo. Per l'esempio da te riportato la colpa è tanto di google quanto di Lenovo. http://www.lenovo.com/think/support/site.wss/product.do?doctypeind=7&template=%2Fproductselection%2Flandingpages%2FtroubleshootingLandingPage.vm&sitestyle=lenovo una url presa a caso dal sito italiano di lenovo. Hai presente il concetto di URL friendly?
        • Wolf01 scrive:
          Re: Inesistenza telematica
          Effettivamente quando si cerca un brand, una marca o una cosa specifica, Google dovrebbe fornire come primo risultato il sito ufficiale e non 412345345647657587967985643*E2131231 risultati di online store e poi forse il sito ufficiale di quello che stavi cercando
Chiudi i commenti