skip to main | skip to sidebar
0 commenti

Podcast del Disinformatico del 2016/12/09

È disponibile per lo scaricamento il podcast della puntata di ieri del Disinformatico della Radiotelevisione Svizzera. Buon ascolto!
3 commenti

Malware nelle pubblicità su siti popolarissimi: un adblocker diventa un antivirus

Usare un adblocker è sempre controverso, perché bloccare le pubblicità significa togliere ai siti la loro fonte di sussistenza. Ma il mondo delle pubblicità online ha grossi problemi, perché viene usato spesso per veicolare attacchi informatici che colpiscono anche i visitatori di siti irreprensibili, e quindi usare un adblocker finisce per essere una forma di protezione informatica.

Le pubblicità, infatti, vengono inserite nei siti usando codice fornito dalle agenzie pubblicitarie, che a loro volta ricevono questo codice dagli inserzionisti. E fra gli inserzionisti si sono intrufolati anche i criminali informatici, che infilano i propri attacchi nel codice pubblicitario. Le agenzie filtrano e controllano, ma le tecniche dei criminali sono davvero ingegnose e superano i controlli.

La società di sicurezza informatica Eset segnala infatti che nel corso degli ultimi due mesi milioni di persone che visitano siti mainstream sono stati colpiti da un attacco nel quale il codice ostile è nascosto addirittura nei parametri che regolano la trasparenza dei pixel di un’immagine legata alle campagne di app chiamate Browser Defence o Broxu.

In sintesi, il Javascript contenuto nel codice dell’inserzione di per sé è pulito, ma scarica un’immagine-banner che contiene variazioni invisibili dei pixel che il Javascript interpreta per estrarne appunto il codice ostile. Questo sistema elude i filtri di sicurezza e infetta gli utenti che usano versioni non aggiornate di Internet Explorer e di Adobe Flash.


Fonti: Malwarebytes, Ars Technica.
2 commenti

Come faccio a sapere se un allegato ricevuto è infetto?

Capita spesso di ricevere via mail o tramite sistemi di messaggistica degli allegati che purtroppo vengono usati dai criminali informatici come grimaldelli infetti per prendere il controllo dei nostri dispositivi. Un caso classico è la finta mail delle Poste o di una banca alla quale è allegato un rendiconto o una fattura in formato Word.

Per sapere se un allegato o un file ricevuto da Internet è infetto lo si può scaricare (senza aprirlo!) e poi mandare a Virustotal.com, che lo analizza e segnala se è fra i malware conosciuti dai principali antivirus. Un altro sito che offre un servizio analogo è Malwr.com. C’è anche Hybrid-analysis.com, al quale si può anche mandare semplicemente il link al file sospetto.

Ci sono alcune precauzioni importanti da prendere quando si maneggia un file sospetto. La prima, ovviamente, è che dopo averlo scaricato e inviato al sito che lo esamina va eliminato o isolato (per esempio messo su una chiavetta USB etichettata vistosamente); la seconda è che se questi siti non rilevano pericolo, questo non vuol dire che il file sia sicuro. Questi servizi, infatti, riconoscono solo i malware che sono già in circolazione da un tempo significativo: se un malware nuovo è stato disseminato pochi minuti fa e voi siete fra i suoi malcapitati destinatari, potreste ricevere un “tutto a posto” quando in realtà il pericolo c’è eccome.

In altre parole: se questi servizi danno un risultato positivo, c’è da fidarsi; se danno un risultato negativo, è meglio restare dubbiosi e cercare altri modi per verificare l’allegato, come per esempio guardare con attenzione l’indirizzo del mittente (spesso somiglia a quello autentico ma è leggermente differente) oppure chiamare per telefono il mittente, se lo conoscete, e chiedergli se vi ha davvero mandato quella mail o quel messaggio.

Gli attacchi informatici tramite allegati, in particolare tramite documenti Word contenenti macro, sono una delle forme di aggressione informatica più diffuse e di maggior successo. Non fatevi fregare.
4 commenti

80 tipi di telecamere IP Sony hanno come password “admin” e fanno la spia

Circa 80 modelli di telecamere IP Sony IPELA hanno una backdoor: un difetto che consente a un aggressore di prenderne il controllo per usarle per attacchi informatici, per inviare immagini alterate o per spiare l’utente che le ha installate. Il nome utente predefinito è admin e la password predefinita è admin. Un classico, insomma.

La segnalazione arriva dai ricercatori di sicurezza informatica della SEC Consult, che aggiungono che admin:admin non è l’unica coppia nome utente-password predefinita e vulnerabile: c’è anche un account root, di cui però non hanno cercato la password, notando che “è solo questione di tempo prima che qualcuno la trovi”.

La SEC Consult ha mantenuto segreta la scoperta ed ha avvisato Sony a metà ottobre scorso; Sony ha rilasciato un aggiornamento del firmware delle proprie telecamere il 28 novembre e la vulnerabilità è stata resa pubblica soltanto il 6 dicembre (tre giorni fa).

A questo punto chiunque abbia una telecamera Sony IPELA deve scaricare subito l’aggiornamento correttivo qui e installarlo, se non vuole essere spiato o attaccato.

Non è la prima volta che vengono scoperti errori grossolani di progettazione come questo nelle telecamere di sorveglianza, ma di solito si tratta di modelli di marche che lavorano al massimo ribasso, come per esempio VStarcam/Eye4 (se ne avete una, qui c’è una pagina per sapere se è vulnerabile). Qui abbiamo Sony che pensa, incredibilmente, che sia accettabile mettere in vendita delle telecamere costosissime che hanno delle chiavi d’accesso universali predefinite e soprattutto incredibilmente banali come admin:admin.


Fonti: Sophos, The Register.
7 commenti

Se pensavate di regalare giocattoli “smart”, pensateci due volte: sono spioni e pettegoli

L’Ufficio europeo delle Unioni dei Consumatori (BEUC) e l’Electronic Privacy Information Center (EPIC) segnalano il rischio dei giocattoli “smart” o interconnessi: i loro microfoni sempre aperti rubano informazioni, permettono a intrusi di sorvegliare e spiare i bambini e fanno pubblicità scorretta, in violazione delle direttive europee sui diritti dei consumatori, sulla privacy e sulla sicurezza.

Per esempio, la bambola con Bluetooth My Friend Cayla e il robot i-Que, fabbricati dalla Genesis Toys e dotati dei sistemi di riconoscimento vocale della Nuance Communications, dialogano con i bambini e ne registrano la voce, per poi rispondere con frasi pubblicitarie preconfezionate. “Cayla è ben contenta di parlare di quanto le piacciono i vari film della Disney”, nota la BEUC, sottolineando che guarda caso “il fornitore dell’app ha un rapporto commerciale con la Disney”.

I giocattoli sono inoltre accompagnati da una licenza d’uso (sì, adesso anche le bambole hanno una licenza d’uso) che dice che i termini di licenza possono essere cambiati senza preavviso e che i dati personali possono essere usati a scopo pubblicitario e condivisi con terzi.

Come se non bastasse, questi giocattoli sono privi della sicurezza più elementare e possono essere intercettati usando un telefonino, per cui uno sconosciuto può ascoltare quello che dicono in casa i bambini e usare quello che dicono per fare stalking e altro. Il video qui sotto è eloquentissimo:


Un’altra azienda di sicurezza, la Pen Test Partners, aveva già segnalato l’anno scorso che la bambola My Friend Cayla era afflitta da questi problemi e li aveva dimostrati modificandola in modo da farle dire parolacce.

Varie associazioni di difesa dei consumatori hanno depositato una contestazione presso la FTC statunitense. Nuance, da parte sua, dice di aver rispettato la propria politica aziendale per quanto riguarda i dati vocali raccolti attraverso questi giocattoli. Comunque sia, questo episodio è un buon promemoria di una regola da adottare più in generale quando si fa un acquisto elettronico: chiedersi sempre se l’oggetto si collega a Internet, che dati raccoglie e che sicurezze ha. Ora questa domanda va fatta persino per bambole e robot.


Fonti: The Register, BoingBoing, Consumerist.
Articoli precedenti