Amazon Alexa: gravissima violazione della Privacy

Un utente di Amazon Alexa (l'altoparlante "intelligente" di Amazon che riceve comandi vocali e registra suoni, rumori e voci della casa, inviandoli ad Amazon), facendo una legittima richiesta dei propri dati ad Amazon, è venuto in possesso di registrazioni di conversazioni di altre persone, che con tutta probabilità non avevano nemmeno installato Alexa a casa loro.

His request not only gave him access to his own Amazon search data, but also to around 1,700 Alexa voice files recorded in a stranger’s living room, bedroom, and shower.

(fonte: Heise.de https://www.heise.de/newsticker/meldung/Amazon-reveals-private-voice-data-files-4256015.html )

La sua richiesta non solo gli ha permesso di accedere ai propri dati di ricerca su Amazon, ma anche a circa 1.700 file vocali di Alexa registrati nel soggiorno, nella camera da letto e nella doccia di uno sconosciuto.

(trad. Google Translate - sottolineatura mia)

Consiglio:  non mettete la vostra vita nelle mani di Amazon e dei potenziali hacker o società autorizzate "a vostra insaputa" che potrebbero venire in possesso delle vostre conversazioni private.

Diffidate dei vicini di casa che detengono questi oggetti, magari a stretto contatto con la parete della vostra camera da letto o della vostra doccia.

 

Nuovo Problema Internet Explorer

Un nuovo problema (vulnerabilità grave) è stato scoperto in IE.

Microsoft sta distribuendo un aggiornamento straordinario, perché si ha notizia che questo problema è già stato sfruttato da agenti malevoli in rete.

"Esiste una vulnerabilità legata all'esecuzione di codice in modalità remota nel modo in cui il motore di scripting gestisce gli oggetti in memoria in Internet Explorer. La vulnerabilità potrebbe danneggiare la memoria in modo tale da consentire a un utente malintenzionato di eseguire codice arbitrario nel contesto dell'utente corrente. "

Fonte: Microsoft https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8653

Si consiglia vivamente di eseguire l'aggiornamento di IE appena possibile.

Altri dettagli qui: https://securityaffairs.co/wordpress/79020/hacking/emergency-patch-zero-day.html

Magellan: un nuovo bug in Chrome/Chromium 70 e SQLite

In questi giorni è stato segnalato un nuovo problema (Bug) nel Browser Chrome (o Chromium) vers. 70 e nel software SQLite per la gestione di Database.

Il problema in Chrome/Chromium è stato corretto con la versione 71.0.3578.80.
Il problema in SQLite è stato corretto con la versione 3.26.0.

Dettagli sul sito Tencent Blade: https://blade.tencent.com/magellan/index_en.html
e sul Sito: https://worthdoingbadly.com/sqlitebug/

Aggiornate il vostro software se usate questi componenti. Il problema potrebbe essere sfruttato da remoto, visitando una pagina web costruita ad-hoc.

Tencent afferma che finora non si sono verificati incidenti in conseguenza di questi problemi, e aggiunge di non aver rivelato i dettagli in pubblico, limitandosi a comunicarli a Google che ha approntato le correzioni.

London Blue - Una truffa ai danni della finanza aziendale

Un gruppo di hacker con sede in Nigeria sta cercando di ingannare migliaia di top manager in tutto il mondo per farsi inviare denaro da fondi aziendali.

Lo schema ambizioso, che si rivolge principalmente ai dirigenti finanziari via e-mail, è descritto in una nuova relazione dell'agenzia di sicurezza informatica Agari, che ha indagato sul gruppo dopo essere stato attaccato a sua volta.

"Gli obiettivi includevano aziende in una vasta gamma di settori, dalle piccole imprese alle più grandi multinazionali", avverte il rapporto. Più della metà di loro sono negli Stati Uniti.

Gli aggressori stanno portando avanti una truffa sempre più comune nota come "compromissione della posta elettronica aziendale" in cui cercano di rappresentare un insider aziendale, come l'amministratore delegato, richiedendo un trasferimento di denaro su un conto esterno.

L'FBI stima che le aziende di tutto il mondo abbiano perso più di $ 12 miliardi attraverso questo tipo di truffa via email tra ottobre 2013 e maggio 2018.

Agari ha detto che il gruppo nigeriano, che chiama "London Blue", ha sviluppato un'operazione altamente sofisticata per ottenere con la truffa il denaro dai dirigenti finanziari.

"London Blue opera come una moderna società", afferma il rapporto. Il gruppo ha persone che lavorano su business intelligence, vendite, email marketing, operazioni finanziarie e risorse umane, secondo Agari. Effettua attacchi in più lingue e ha almeno 17 collaboratori negli Stati Uniti, nel Regno Unito e in altri paesi dell'Europa occidentale che sono principalmente coinvolti nel trasferimento di denaro rubato, ha aggiunto Agari.

Sempre più pressante diventa la diffusione di consapevolezza di questi rischi presso il top management e l'adozione di opportune misure aziendali per la protezione delle proprie risorse finanziarie.

Insicurezza multinazionale e turismo

Solo in questi giorni è venuto alla luce un episodio di furto di dati ("data breach") che pare risalga al 2014, e che riguarda una grossa multinazionale operante nel settore alberghiero.

Qui la notizia riportata da Reuters: https://t.co/GMrbZkAoXJ

Una fuga di dati in quel settore vuol dire di solito violazione della privacy (non solo sapere che il signor Tizio aveva prenotato una stanza in quel tale luogo quel giorno, ma anche quanto aveva pagato, con quale carta di credito, il suo indirizzo abituale, numero di telefono e altri dettagli minori).

Sembra abbastanza chiaro il tipo di rischio a cui la catena alberghiera ha esposto molti dei propri clienti.

Sembra altresì di capire che l'episodio si sia verificato presso le strutture informatiche di una società recentemente acquisita dalla capofila: e qui si innesta il discorso di auditing interno della sicurezza IT. Se le procedure e l'organizzazione di una società si sono dimostrate efficaci nel garantire la sicurezza IT per lungo tempo, è ben chiaro che una acquisizione di un'altra società non comporta la sostituzione immediata delle procedure e dell'organizzazione, né tanto meno l'adeguamento della sicurezza IT della società acquisita. Le operazioni finanziarie (acquisizione) viaggiano su un piano, quelle organizzative e di controllo arrivano inevitabilmente tardi. In questo caso, sembra che siano arrivate colpevolmente tardi, ben quattro anni dopo l'incidente tecnologico.

Ecco perché raccomando sempre di tenere gli occhi bene aperti e ricordare la metafora dell'anello debole della catena: è quasi sempre lui che crea problemi, anche in IT Security.

(In)Sicurezza di Apparati di Sicurezza

Quando si decide l'acquisto di videocamere di sorveglianza si sta pensando alla sicurezza fisica di un luogo (magazzino, azienda, abitazione e molti altri).

Che sorpresa sarebbe scoprire che questi apparecchi possono essere "infiltrati" da malintenzionati per spiare che cosa accade nei luoghi che volevamo proteggere, o anche soltanto per far funzionare i "nostri" apparecchi come "cavalli di Troia" per sferrare attacchi informatici ad altri utenti!

Purtroppo, è esattamente quello che è stato scoperto per gli apparecchi costruiti da una certa Azienda e rivenduti da oltre 100 Aziende diverse con i loro marchi.

Maggiori dettagli potete leggerli in questo articolo del bravo Pierluigi Paganini, esperto di Sicurezza Informatica: 

https://cybersecurity.startupitalia.eu/61880-20181015-milioni-dispositivi-videosorveglianza-xiongmai-facili-obiettivi-hacker .

In definitiva, diffidate sempre degli apparecchi che si connettono in rete, anche se sembrano in apparenza innocui e anzi molto utili nelle nostre attività quotidiane.

Fuga di dati dal Pentagono

Questa volta vi racconto di una fuga di dati avvenuta in "soli" 30.000 casi niente meno che da una organizzazione che dovrebbe essere molto protetta: il Pentagono, cioè il Ministero della Difesa USA.

Secondo Associated Press:

“It’s important to understand that this was a breach of a single commercial vendor that provided service to a very small percentage of the total population,” Lt. Col. Joseph Buccino, a Pentagon spokesman, told AP News.

Un solo fornitore commerciale di un servizio che copre una piccola parte della popolazione che ogni giorno affolla il Pentagono, attraverso un qualche non meglio specificato malfunzionamento, ha consentito che questi dati "fuggissero" dove non avrebbero dovuto finire.

Morale della storia: nessuno è autorizzato a sentirsi "assolutamente sicuro", quando si parla di dati.

Fonte: https://www.bleepingcomputer.com/news/security/pentagon-data-breach-exposes-up-to-30-000-travel-records/

Ancora phishing

Sofisticata campagna di phishing volta a distribuire nuovamente il malware URSNIF
Fonte: CERT PA https://www.cert-pa.it/web/guest/news?id=11791

Ancora una volta siamo in presenza di campagne generalizzate di Phishing: attraverso mail malevole, opportunamente mascherate, l'utente ignaro è indotto ad aprire allegati che contengono codice malevolo, finalizzato al furto di credenziali e all'asservimento del computer a Control Center remoti.

Il meccanismo di mascheramento, in questo caso, si presenta come una risposta a una mail (legittima) inviata precedentemente, traendo in inganno l'utente ignaro.

Non è indicata nell'articolo la copertura dei più diffusi antivirus, ma si presume che, data la pubblicazione dei soliti dettagli tecnici, non passerà molto tempo prima che i vari antivirus riescano a riconoscere e rendere innocue anche queste minacce.

Nel frattempo: attenzione agli allegati delle mail.

Facebook (in)security - reprise

Riemergo dal mio letargo su questo Blog per commentare il recente episodio di attacco informatico subito da Facebook, che sta provocando non poco imbarazzo (e lavoro di indagine dietro le quinte) presso il colosso americano dei Social Network.

Qui la brava Carola Frediani pubblica qualche informazione compatta su questo evento, con riferimenti ad altre fonti e commenti.

In sostanza, qualcuno (ancora da identificare, ma la stessa Facebook pare che abbia dichiarato che difficilmente riusciranno a identificarli) ha sfruttato una falla del software per entrare in Facebook.

Al momento non è di pubblico dominio il tipo di azione dannosa condotta dagli intrusi. Si sa che hanno sfruttato almeno tre diversi problemi del software, partendo dal componente che permetteva di caricare su Facebook i video di Buon Compleanno.

Può darsi che successivamente siano pubblicati altri dettagli, ne qual caso non mancheremo di informare il nostro pubblico, sempre citando le fonti e sempre in italiano, come al solito.

Per il momento, è buona norma che gli utenti di Facebook cambino le loro password e, soprattutto, le impostino differenti da quelle usate su altri servizi online, in modo che chiunque entrasse in possesso delle credenziali Facebook non possa sfruttarle per accedere ad altri ben più importanti servizi personali online.

Intervallo

Lascio un saluto ai lettori di questo Blog.
Ultimamente sono stato piuttosto impegnato, per diversi motivi.
Riprenderò presto le pubblicazioni.

Comunicazione relativa al trattamento dei dati personali ai sensi del GDPR

Quadro normativo e motivazioni della presente Comunicazione

L’attuale quadro normativo in materia di protezione dei dati personali è stato riformato dal nuovo regolamento europeo sulla protezione dei dati personali (Reg. UE 2016/679 nel seguito indicato con l’acronimo GDPR).

L’attuazione del GDPR ha già comportato la recente approvazione di due leggi: la legge 163/2017 (legge di delega al Governo, entrata in vigore il 21 novembre 2017) e la legge 167/2017 (in vigore dal 12 dicembre 2017).

In base a questi Regolamenti, Leggi e Disposizioni, il Titolare del presente Blog dichiara di NON essere in possesso di alcun dato personale dei lettori, ed è pertanto esente dalle prescrizioni del suddetto GDPR.

Per quanto riguarda la Cookie Policy, si prega di fare riferimento all'apposita informativa disponibile presso Google.

Truffe bancarie

Aggiornamento in fondo al post.

Leggo questo articolo su Repubblica.it: finora non ho trovato ulteriori informazioni sui fatti riportati, quindi lo prendo come punto di partenza di alcune considerazioni.

Riassumo ciò che ho capito da quell'articolo:

• alcuni criminali informatici sono riusciti a sostituire gli indirizzi PEC di alcune Banche con indirizzi creati ad-hoc per svolgere questa attività criminale
• questi indirizzi PEC sono stati usati (l'articolo non dice come) per sottrarre le credenziali di accesso di alcuni conti correnti presso quelle Banche
• dai suddetti conti correnti sono state illegalmente eseguite operazioni di trasferimento denaro verso conti controllati dai criminali di cui si parla

Se è corretta la mia interpretazione, si tratta di un'operazione combinata di intrusione (sui siti delle Banche relativamente agli indirizzi PEC) seguita da phishing (ai danni dei malcapitati titolari di quei conti). Non vedo dove si possa collocare la tecnica "man-in-the-middle" riportata nell'articolo.

Oppure semplicemente l'articolo non riporta tutti gli elementi del caso in esame. Naturalmente, metto in conto il fatto che potrei non aver capito niente di quello che c'è scritto.

Cercherò altre fonti e informazioni, ed eventualmente pubblicherò un aggiornamento a questo post.

---------

Aggiornamento: questo articolo del giornale online Strettoweb.com fornisce molti dettagli sul modo in cui i criminali hanno operato e sono stati scoperti. Sempre più mi sembra un caso di phishing sofisticato.

Privacy & The Web

Non ho molto da aggiungere, purtroppo, alle notizie riguardanti la misera gestione dei dati dei propri utenti fatta da Facebook. A molti ancora non è chiaro che Facebook offre gratis i servizi che offre, in cambio esattamente di quei dati che solo ora molti scoprono di aver fornito a Facebook e ai suoi partner di business.

E non è soltanto un "problema" di Facebook: come ripeto nei miei seminari, nulla di ciò che facciamo online può essere cancellato definitivamente. Viviamo ormai in una casa di vetro, in cui chi passa al piano di sotto può vedere le condizioni in cui si trovano le suole delle nostre scarpe, e molto altro.

Quale può essere allora la soluzione, per chi vuole rimanere libero da manipolazioni di orwelliana memoria? Io dico: ragionare, ragionare, ragionare e infine ragionare. Senza farsi catturare dagli impulsi scatenati dalla lettura superficiale di un dato o di un'informazione necessariamente parziale.

Buon proseguimento di navigazione.

Spectre e Meltdown: lo stato dell'arte

Torno oggi, a distanza di circa un mese dalla "disclosure" di questi problemi ormai noti anche attraverso la stampa generalista (CVE-2017-5753, CVE-2017-5715, CVE-2017-5754), per cercare di fare il punto della situazione a proposito delle soluzioni (patch, mitigation) ad oggi disponibili.

Firmware / Microcodice

Dopo un'iniziale euforia, le correzioni al firmware / microcodice predisposte da Intel, propagate tramite i fornitori hardware e incluse negli aggiornamenti dei sistemi sono state ritirate, ripristinando ove possibile la versione precedente senza patch, a causa dell'incompatibilità con alcune combinazioni hardware / software (alcuni sistemi diventavano inutilizzabili, soggetti a frequenti riavvii e a malfunzionamenti vari). Al momento non è chiaro quando saranno disponibili versioni di firmware / microcodice applicabili alla generalità dei sistemi.

Software

Per quanto riguarda il software:

• Per i sistemi Linux (varie "distribuzioni", cito a titolo di esempio non esaustivo: Ubuntu, Debian, Devuan, Arch, Red Hat senza escludere tutte le altre) si è riusciti a fornire aggiornamenti del Kernel (la parte strettamente Linux) che risolvono o mitigano due delle tre vulnerabilità: Meltdown (CVE-2017-5754) e Spectre Variant 1 (CVE-2017-5753). La soluzione o mitigazione del problema Spectre Variant 2 (CVE-2017-5715) richiede invece, oltre a correzioni software già presenti e distribuite con le più recenti versioni del Kernel, anche la presenza di firmware / microcodice opportunamente aggiornato, la cui distribuzione è stata bloccata da Intel, come detto nel paragrafo precedente.
• Per i sistemi Windows, la situazione è pressoché analoga, per le versioni per le quali Microsoft distribuisce regolarmente gli aggiornamenti (segnatamente Windows 10). Anche in questo caso, per Spectre Variant 2 (CVE-2017-5715) niente si può fare finché Intel non distribuirà il firmware / microcodice aggiornato.

Sintesi e conclusioni

• I problemi Spectre Variant 1 e Spectre Variant 3 (detto anche Meltdown) sono stati corretti o mitigati tramite correzioni software già distribuite (per chi ha gli aggiormenti attivi).
• Il problema Spectre Variant 2 richiede la disponibilità di Firmware / Microcodice aggiornato, ad oggi non disponibile: Intel ha dichiarato che sarà disponibile a breve (per quanto ne so, senza indicazione di una data esatta).

Riferimenti

• Discussione generale: https://meltdownattack.com/
• CVE-MITRE: https://cve.mitre.org/
• Microsoft: https://support.microsoft.com/en-us/help/4073119/windows-client-guidance-for-it-pros-to-protect-against-speculative-exe
• Intel: https://newsroom.intel.com/wp-content/uploads/sites/11/2018/01/microcode-update-guidance.pdf

il crypto-jacking: guadagno (illecito) con crypto-currency

Segnalo un interessante articolo di Carola Frediani (esperta divulgatrice di IT security) su La Stampa online. Vale la pena di leggerlo tutto fino in fondo:

• Qualcuno potrebbe minare criptovalute col tuo browser, ecco come funziona il fenomeno

Altri riferimenti utili:

• Definizione di crypto-jacking: https://www.enisa.europa.eu/publications/info-notes/cryptojacking-cryptomining-in-the-browser
• Un'analisi sul campo: https://badpackets.net/cryptojacking-2017-year-end-review/
• APP Android che fanno CJ: https://securelist.com/jack-of-all-trades/83470/

Buona lettura e soprattutto sempre attenti ai siti che visitate!

Inferno dei chip

[Aggiornamenti in Appendice]

Non c'è pace per i produttori di CPU, il "cuore" di ogni computer, smartphone, device. Ormai molti aspetti della vita comune nei Paesi industrializzati sono affidati a qualcosa di computerizzato.

Tanto più importante, quindi, la sicurezza che si riesce a mantenere su questi computer e device, partendo dai componenti base. Ed è proprio uno di questi componenti, la CPU, che stavolta è stata colpita da un "difetto" che è presente da almeno un decennio, ma è stato portato alla luce solo di recente.

Ricordiamo che recentemente anche qui si è parlato di altri problemi apparentemente simili:

• Intel ME: https://professione-it-security.blogspot.it/2017/11/intel-firmware-vulnerability.html
• Laptop Lenovo: https://professione-it-security.blogspot.it/2017/12/laptop-lenovo-ubuntu.html

Stavolta però i problemi sembrano essere leggermente diversi, e non meno preoccupanti.

Per semplificare al massimo, si è scoperto che un normale programma utente (persino il browser con cui state leggendo questo articolo) potrebbe, se opportunamente istruito, andare a leggere informazioni che normalmente sono riservate per il buon funzionamento del sistema: la memoria riservata del Sistema Operativo, sia esso Windows, Linux, Android o altro.

Il problema è talmente pervasivo che entro questo weekend si procederà a mettere in esercizio le correzioni che nel frattempo sono state sviluppate a passo di carica. Sono in ballo interessi enormi, come Google, Microsoft e tutti i maggiori servizi a cui siamo ormai abituati, senza contare tutti i computer personali e i dispositivi tipo smartphone e tablet ormai onnipresenti.

Per chi volesse approfondire alcuni aspetti tecnici, consiglio di leggere (in inglese, as usual) questo bell'articolo di The Register: https://www.theregister.co.uk/2018/01/02/intel_cpu_design_flaw/

Appendice: Aggiornamenti

(upd: 2018-01-04 16:00 CET)
Altri aggiornamenti a breve, quando si renderanno disponibili.

• Blog Google: https://t.co/GTgOw4kbLc
• CERT Nazionale https://www.certnazionale.it/news/2018/01/04/moderni-processori-vulnerabili-ad-attacchi-side-channel/
• a cui siamo grati per questa delucidazione divulgativa sugli attacchi "side channel": https://www.certnazionale.it/glossario/side-channel/
• Linus Torvalds*: https://lkml.org/lkml/2018/1/3/797 [*per chi non lo sapesse, è il "padre" di Linux]