Tag Archives: sicurezza

Paolo Attivissimo
novembre 17, 2010

Stuxnet, si accumulano gli indizi [UPD 2010/12/01]

Se non per colpire una centrale nucleare, a cosa serviva un attacco così mirato come Stuxnet?


Symantec ha pubblicato un'analisi approfondita del virus/worm Stuxnet, sospettato di essere un attacco informatico costruito su misura per sabotare le centrali nucleari iraniane. Gli indizi si accumulano: Stuxnet agisce soltanto se il sistema di controllo industriale è dotato di convertitori di frequenza di due particolari marche e usa specifiche marche di moduli di comunicazione. Non solo: Stuxnet interviene soltanto se i convertitori di frequenza pilotano motori a velocità molto elevate. Per esempio le velocità delle centrifughe di un impianto per l'arricchimento dell'uranio. A parte le centrali nucleari, quali altri sistemi industriali utilizzano apparati del genere?

Symantec ha anche descritto il metodo di funzionamento di Stuxnet: l'attacco modifica le frequenze di uscita e quindi le velocità dei motori per brevi periodi nell'arco di mesi, sabotando così il normale funzionamento del processo industriale controllato dai PLC presi di mira. Il rapporto tecnico aggiornato è qui.

Grazie a Luigi e a Siamogeek.com per la segnalazione.


2010/12/01 - L'Iran ammette: Stuxnet ha colpito sistemi nucleari


Il 29 novembre il presidente iraniano Ahmadinejad ha ammesso che Stuxnet ha danneggiato alcune centrifughe per l'arricchimento dell'uranio, secondo quanto riportato per esempio da The Register.
 
◆   Donazioni   ◆   |   ◆   Copyright   ◆   |   ◆   Segnalazioni   ◆   |
Paolo Attivissimo
agosto 28, 2010

Come farsi dare soldi dai bancomat (UPD 20100831)

A Las Vegas si fa jackpot ai bancomat


L'articolo è stato aggiornato dopo la pubblicazione iniziale. In particolare, il nome del ricercatore è stato corretto: era stato indicato come Branaby Jack perché varie fonti lo riportavano con questa grafia, ma sul sito della sua azienda il nome è Barnaby Jack.

Las Vegas, fine luglio scorso. Un uomo si avvicina a un bancomat, apre uno sportello, inserisce una penna USB, e lo sportello automatico inizia ad erogare soldi gratis, fra gli applausi dei presenti.

L'uomo è Barnaby Jack, direttore della ricerca sulla sicurezza della IOActive Labs, e non è stato arrestato per la semplice ragione che il suo insolito jackpot è stato effettuato su un palcoscenico come dimostrazione tecnica durante la conferenza di sicurezza Black Hat, tenutasi appunto a Las Vegas.

Jack ha saputo fare anche di meglio: mentre in questo attacco ha dovuto accedere fisicamente al bancomat aprendone il frontale, in un'altra dimostrazione è riuscito a riprogrammare l'apparecchio da remoto, senza neppure toccarlo.

Le dimostrazioni di Jack erano mirate ai bancomat di due marche specifiche, la Triton e la Tranax. Gli apparecchi di una di queste aziende, ha spiegato Jack a Wired, avevano una vulnerabilità nella funzione di monitoraggio remoto, che era attiva per default, era accessibile via Internet o telefonicamente e permetteva di scavalcarne i sistemi di autenticazione. Il monitoraggio remoto è stato disabilitato da poco dalla casa produttrice, anche in seguito alla segnalazione di Jack.

L'altra marca, invece, aveva una falla di sicurezza, successivamente corretta, che consentiva l'esecuzione di programmi non autorizzati.

Una delle scoperte più interessanti di Jack è che le serrature standard dei pannelli di manutenzione di tutti i bancomat di una delle marche coinvolte nella sua dimostrazione si aprono con una chiave universale, facilmente acquistabile via Internet per una decina di dollari (la ditta offre una serratura personalizzata solo come accessorio supplementare). Questo consente a qualunque malintenzionato di accedere facilmente alle parti interne dell'apparecchio, cosa che ha permesso a Jack di inserire una penna USB contenente del software ostile per Windows CE, il sistema operativo utilizzato da entrambe le marche.

Questo software, una volta installato, rimaneva in attesa di un codice di attivazione digitato sulla tastiera del bancomat. In alternativa, il malintenzionato poteva inserire una speciale tessera di controllo. Fatto questo, sullo schermo compariva un menu nascosto che consentiva di far erogare soldi allo sportello automatico.


Non si tratta di dimostrazioni ipotetiche: attacchi analoghi sono stati scoperti in Russia e in Ucraina l'anno scorso ai danni di sportelli della Diebold e della NCR, ma richiedevano un complice interno (per esempio un tecnico). Questo può succedere: all'inizio del 2010, un membro del personale informatico della Bank of America, Rodney Reed Caverly, è stato incriminato con l'accusa di aver installato software ostile sui bancomat del suo datore di lavoro, in modo da poter prelevare migliaia di dollari senza lasciare traccia delle transazioni.

Ma perché ricercatori come Barnaby Jack fanno queste rivelazioni? Non sarebbe più prudente stare zitti, affinché i ladri non possano approfittare delle tecniche divulgate? No, spiega Jack: le dimostrazioni pubbliche di vulnerabilità servono a convincere i responsabili delle ditte che producono sportelli automatici ad esaminare con maggiore attenzione la sicurezza dei loro apparati, troppo spesso venduti e usati dando per scontato che siano invulnerabili. Inoltre servono anche a noi consumatori, perché se veniamo colpiti da una frode di questo genere e non sappiamo che è possibile effettuarla, spesso spetta a noi dimostrare di essere vittime innocenti, perché le banche presumono che siamo stati noi a commettere qualche errore di sicurezza o a divulgare i nostri codici di accesso.
x-free
agosto 24, 2010

Con Sandboxie provi qualsiasi software senza compromettere il PC

Fai girare i software in uno spazio sicuro e indipendente per non rischiare danni. Sandboxie è una soluzione potente e facile da usare.

Alzino la mano coloro ai quali non è mai successo di ritrovarsi con il sistema operativo corrotto per colpa di un programma malfunzionante o di un virus che, sfruttando un bug di un software, si insidia nel nostro PC; tutto ciò comporta inevitabilmente seccature di vario tipo, dalla formattazione alla possibile perdita di tutti i dati, per non parlare del tempo che si spende davanti al computer per ricaricare tutti i software.

Continua su MegaLab.it

Paolo Attivissimo
agosto 11, 2010

Come intercettare una stampante ad aghi

Le stampanti ad aghi sono intercettabili: basta ascoltarle


Ebbene sì, c'è ancora chi usa le stampanti ad aghi: quelle rumorosissime che fanno "bzzz-zzz-zzzz" e che hanno afflitto una generazione di informatici e impiegati. E continuano a farlo, perché in alcuni paesi sono addirittura obbligatorie ancora oggi per la stampa di certi tipi di documenti nei quali è necessaria la copia carbone, per esempio per le ricette mediche e le ricevute delle transazioni bancarie o le stampe dei PIN delle carte di credito, come raccontano i ricercatori dell'Università del Saarland e del Max Planck Institute for Software Systems in Germania che hanno scoperto un fatto curioso: ascoltando una stampante ad aghi è possibile intercettare quello che sta stampando.

La tecnica consiste nel registrare il rumore della stampante usando un comune microfono radio situato nelle vicinanze per poi analizzare la registrazione alla ricerca degli schemi acustici ricorrenti, che identificano spazi, parole o sequenze di lettere, procedendo non sulla base del riconoscimento dei singoli caratteri ma usando metodi statistici e un "dizionario" precompilato di suoni corrispondenti a parole specifiche, assegnando una probabilità a ciascuna parole anche in base al contesto (ossia alle parole che la circondano), come si fa con i sistemi di riconoscimento vocale. Questa tecnica è in grado di recuperare fino al 95% delle parole stampate se si conosce il contesto del materiale intercettato e fino al 72% del testo se non è noto il contesto.

L'articolo dei ricercatori spiega che questa tecnica è stata messa alla prova nel mondo reale in uno studio medico (usando, per motivi di privacy, ricette simulate per un paziente inesistente). Nonostante il rumore di fondo delle conversazioni in corso nella sala d'attesa, i ricercatori sono riusciti a ricostruire una ricetta medica nonostante il nome di un medicinale fosse stato abbreviato.

Il sistema non è perfetto: richiede per esempio un "addestramento" basato su campioni di rumori della stampante di cui si sappia già il significato e ha comunque un certo tasso d'errore. Ma per chi ha a che fare con documenti delicati e teme intercettazioni è importante sapere che esiste la sorprendente possibilità di origliare letteralmente una stampante e che quindi è opportuno prendere delle contromisure. La più banale, segnalata anche dai ricercatori, è una protezione acustica isolante intorno alla stampante: cosa che farà piacere anche a chi lavora nelle sue vicinanze. Se avete un capo tirchio ma paranoico che si rifiuta di sopprimere il baccano della stampante che vi fa impazzire, giocate con la sua paranoia e raccontategli cos'ha scoperto questa ricerca.

Nella bibliografia dell'articolo, inoltre, spiccano vari lavori di altri ricercatori che mostrano come si può intercettare il contenuto dello schermo usando il suo bagliore riflesso su una parete, intercettare segnali emessi da porte seriali non schermate, tastiere, cavi di collegamento per monitor e persino dai LED di stato di vari apparati, come modem e router. C'è di che sbizzarrirsi per gli aspiranti James Bond informatici, e c'è di che strapparsi i capelli per chi ha paura delle intercettazioni d'ogni sorta.
Paolo Attivissimo
luglio 23, 2010

Safari, IE, Firefox si fanno rubare dati e password

I principali browser si fanno rubare dati e password semplicemente visitando un sito. Provare per credere


Questo articolo vi arriva grazie alle gentili donazioni di "antonella.ch*" e "motogio" ed è stato aggiornato dopo la pubblicazione iniziale.

Usate Safari, il browser di Apple, su Mac o Windows? Allora provate a visitare la pagina Web ha.ckers.org/weird/safari_autofill.html. con Safari versione 4 o la 5, la più recente. Cliccate sul pulsante Start che trovate nella pagina e state a guardare. In pochi secondi compariranno il vostro nome e cognome, il nome della vostra organizzazione, la città e lo stato in cui abitate e il vostro indirizzo di e-mail. Tutto senza che abbiate digitato nulla.

Tranquilli, quella pagina è una demo innocua, ma in una versione ostile della pagina i vostri dati personali possono essere trasmessi al gestore del sito senza che voi facciate nulla e senza che venga visualizzato il procedimento. In altre parole, con Safari è possibile rubare l'identità a un visitatore senza che se ne accorga. Addio anonimato. Immaginate di mettere una trappola del genere su un sito dal contenuto discutibile e di carpire così le identità dei visitatori. Le possibilità di spamming e di ricatto sono facili da intuire.

La segnalazione di questo baco imbarazzante è opera di Jeremiah Grossman, della WhiteHat Security. Grossman ha pubblicato un articolo nel quale spiega che il problema sta in una funzione molto conosciuta e pratica di Safari, il riempimento automatico (AutoFill): quello che capisce automaticamente quali informazioni immettere quando visitate una pagina Web contenente dei campi da compilare. Questa funzione è attivata per default (ossia salvo intervento dell'utente).

Il riempimento automatico è presente anche in altri browser, ma in Safari è realizzato in una maniera particolare: se l'HTML del modulo nella pagina Web visitata ha campi chiamati name, company, city, state, country o email, Safari li compila automaticamente attingendo ai dati personali dell'utente memorizzati nella rubrica degli indirizzi del sistema operativo (secondo TUAW, anche Safari per Windows è vulnerabile, ma in misura leggermente minore). E a differenza degli altri browser, lo fa anche se questi dati non sono mai stati immessi nel sito visitato o in un altro sito.

"Tutto quello che deve fare un sito ostile per estrarre di nascosto da Safari i dati della scheda della Rubrica è creare dinamicamente dei campi di testo in un modulo con i nomi citati sopra, probabilmente in modo invisibile, e poi simulare delle digitazioni dalla A alla Z usando Javascript" spiega Grossman. Per fortuna questa tecnica non consente di estrarre dati che iniziano con cifre, quindi non permette di rubare numeri di telefono o simili. Grossman ha avvisato Apple il 17 giugno scorso, ma la falla non è ancora stata rattoppata. In attesa che venga sistemata, gli utenti di Safari faranno bene a disabilitare il riempimento automatico andando nelle preferenze di Safari, cliccando sull'icona omonima e disattivando l'opzione Utilizza informazioni dalla mia scheda Rubrica Indirizzi.

Se usate altri browser, comunque, Grossman ha in serbo sorprese anche per voi. Tra pochi giorni presenterà ai partecipanti alla conferenza Black Hat a Las Vegas le dimostrazioni di come sfruttare meccanismi fallati analoghi presenti in Internet Explorer 6 e 7 (ma non in IE 8) e in Firefox e rubare anche le password degli utenti. Conviene quindi disattivare il riempimento automatico e cancellare i propri dati personali dalla rubrica, o sostituirli con dati fittizi, se non volete esporvi a questa vulnerabilità.

Come ciliegina sulla torta, Grossman mostrerà come cancellare di nascosto tutti i cookie di un utente che visita un sito, con tutti i disagi o danni che ne possono conseguire. Nei browser c'è un limite al numero di cookie che possono memorizzare, e quando viene superato questo limite i cookie più vecchi vengono eliminati per far posto a quelli nuovi. La tecnica descritta da Grossman non fa altro che indurre la vittima a visitare un sito che imposta silenziosamente un numero molto grande di altri cookie, che rimpiazzano quelli preesistenti. Bastano meno di tre secondi.