Ultime Notizie

Ultimi articoli pubblicati

sabato 28 dicembre 2019

Oltre 5000 password delle videocamere Ring sul Dark Web


In particolare, stando anche a quanto riportato da TechCrunch, sulla rete oscura sono state trovate le credenziali di oltre 1500 account relativi alle videocamere di sorveglianza Ring. Come potete vedere dallo screenshot, la lista sembra essere particolarmente precisa, con tanto di indicazioni su ciò che si può vedere attraverso il dispositivo coinvolto (es. "Living room", ovvero "soggiorno"). Oltre a questo, Buzzfeed News sostiene di aver trovato altre 3600 credenziali di questo tipo, portando quindi il numero di account coinvolti a oltre 5000.
I dispositivi al centro della falla di sicurezza sembrano essere principalmente i Ring Doorbell, ovvero dei "campanelli/citofoni smart" che solitamente vengono posizionati all'esterno della casa. Tuttavia, esistono anche delle Indoor Cam, che si posizionano appunto all'interno dell'abitazione. Questo spiegherebbe il motivo per cui gli hacker dichiarano di essere in grado di visionare anche parti interne alle case. L'azienda che produce questi prodotti ha dichiarato ai microfoni di Buzzfeed News che i suoi sistemi non sono stati violati, quindi non è ben chiaro come queste informazioni sensibili siano finite nelle mani degli hacker.

Secondo quanto riportato da TechCrunch, le password utilizzate dagli utenti coinvolti non sarebbero state particolarmente efficaci e quindi i malintenzionati potrebbero aver utilizzato qualche attacco brute force.

FONTE

sabato 21 dicembre 2019

VPN a rischio a causa di una vulnerabilità nei sistemi Unix


I ricercatori hanno trovato il modo per analizzare il traffico e "dirottare" la VPN sui sistemi Linux, macOS, iOS e Android. 

A dirlo è un gruppo di ricercatori del team di ricerca Breakpointing Bad dell’università del New Mexico.

Gli accademici hanno pubblicato un report in cui spiegano che i sistemi Unix soffrono di una vulnerabilità che permette di “sondare” il traffico delle VPN per raccogliere informazioni e, in buona sostanza, dirottare la connessione. La falla di sicurezza (CVE-2019-14899) consente infatti di iniettare del codice a livello TCP.

Per farlo, un pirata informatico deve essere collegato alla stessa rete locale della vittima. L’attacco avviene attraverso l’invio di speciali pacchetti ai sistemi basati su Unix (Linux, FreeBSD, OpenBSD, macOS, iOS e Android) e l’analisi delle risposte.

Sulla base di queste, è possibile determinare se l’utente è connesso a una VPN, individuare l'indirizzo IP virtuale assegnato dal server VPN e (in alcuni casi) l’esatta sequenza dei pacchetti nella connessione. Il team ha sperimentato la tecnica su diverse tecnologie VPN come OpenVPN, WireGuard e IKEv2/IPSec e ha confermato la sua efficacia.

Secondo i ricercatori, la vulnerabilità può essere mitigata introducendo alcuni accorgimenti non tanto a livello dei sistemi operativi interessati, quanto dei server VPN. La tecnica, infatti, è basata principalmente sull'analisi dei pacchetti inviati dalla vittima, un aspetto su cui è più facile intervenire lato server.

Nel loro report iniziale, in ogni caso, spiegano di aver redatto un white paper completo sulla falla di sicurezza che verrà pubblicato, però, solo quando sarà stata trovata una soluzione per correggere la vulnerabilità.

FONTE

mercoledì 20 novembre 2019

WhatsApp non è sicuro: scoperta vulnerabilità che permette a un hacker di prendere il controllo di uno smartphone

Nuova allerta per gli utenti di WhatsApp, l’applicazione di messaggistica istantanea più popolare al mondo. Questa volta l’allarme arriva direttamente da Facebook, la società proprietaria dell’app, che avvisato gli utenti dell’arrivo di un pericoloso file mp4. Basterebbe ricevere questo “malware” sul proprio smartphone per generare da remoto un codice malevolo capace di rubare informazioni sensibili dalla memoria interna.

In questo modo il controllo del dispositivo potrebbe essere preso da malintenzionati. Per questo motivo Facebook ha invitato gli utenti ad aggiornare l’app all’ultima versione, in cui è stata inserita una correzione di sicurezza. Secondo il sito GbHackers, al momento non ci sono evidenze del fatto che questa vulnerabilità sia stata sfruttata.

Il problema è stato classificato dalla società come “critico”. “WhatsApp lavora costantemente per migliorare la sicurezza del servizio. Rendiamo pubblici i potenziali problemi che abbiamo, risolvendoli con le migliori pratiche del settore”, ha spiegato un portavoce di Menlo Park, precisando: “In questo caso, non vi è motivo di credere che gli utenti siano stati colpiti”.

Secondo il sito GbHackers, le versioni interessate da questo problema sono, nello specifico, quelle precedenti alla 2.19.274 su Android (e alla 2.19.104 per quanto concerne WhatsApp Business), alla 2.19.100 su iOS (e alla 2.19.100 per Business), e pari o inferiori alla 2.18.368 su Windows Phone. Per mettersi al sicuro gli utenti devono mantenere l’applicazione aggiornata e non aprire file o filmati (in particolare quelli con estensione mp4) provenienti da fonti non conosciute.

Solo poche settimane fa, a fine ottobre, l’app aveva fatto causa alla società israeliana Nso, accusandola di essere responsabile di attacchi mirati a circa 1.400 suoi utenti, effettuati lo scorso maggio utilizzando uno spyware, cioè un software spia.

venerdì 11 ottobre 2019

Come rubare i dati delle carte di credito violando i router


I dati delle carte di credito sono da sempre nel mirino dei pirati informatici e rappresentano uno dei settori più profittevoli nel settore del crimine informatico.

Fino a oggi, gli attacchi che puntavano a intercettare le informazioni di pagamento prendevano di mira i singoli computer o i siti di e-commerce. Ora però sembra che i criminali puntino direttamente alle infrastrutture dei siti e, in particolare, ai router.

La tecnica è quella dello skimming attraverso l’uso di script specializzati. Niente di particolarmente nuovo a livello di codice: script di questo tipo sono stati ampiamente utilizzati dai famigerati gruppi MageCart, che detengono un ruolo di leader indiscussi in questo settore.

Normalmente, gli attacchi di MageCart prendono di mira i siti Internet, iniettando lo script all’interno delle pagine per il pagamento degli acquisti online.

Come spiega un report pubblicato su Internet da IBM, però, è comparsa una variante che adotta una strategia completamente diversa. Secondo i ricercatori, infatti, i pirati informatici starebbero testando uno script pensato per agire a livello dei router L7, utilizzati prevalentemente da catene commerciali, hotel, aeroporti e simili.


I router L7 sono dispositivi che non si discostano molto, dai normali router. Consentono però di gestire il traffico utilizzando un numero di parametri maggiore rispetto ai normali device di questo tipo, consentendo di selezionare il traffico anche in base ai cookie, il dominio e il tipo di browser.

Il codice individuato dagli esperti si basa sullo script originale di MageCart, ma è pensato per essere caricato a livello del router e, in seguito, iniettato nel browser dei visitatori.

A quanto pare, si tratterebbe di un malware ancora in fase di sperimentazione. I ricercatori, infatti, avrebbero individuato il codice su VirusTotal, l’aggregatore che viene utilizzato per analizzare un file utilizzando più motori antivirus.

L’ipotesi è che a caricarlo siano stati gli stessi pirati informatici per verificare quale fosse il livello di rilevazione da parte dei software antivirus. Non è chiaro, di conseguenza, se il codice sia già stato utilizzato o si tratti di un “prototipo” in fase di sperimentazione.

mercoledì 14 agosto 2019

Le DSLR Canon possono essere hackerate con ransomware da remoto

La minaccia del ransomware sta diventando sempre più diffusa e grave in quanto l'attenzione degli aggressori si è ora spostata oltre i computer verso smartphone e altri dispositivi intelligenti connessi a Internet.

Nella sua ultima ricerca, i ricercatori sulla sicurezza della società di sicurezza informatica CheckPoint hanno dimostrato quanto sia facile per gli hacker infettare a distanza una fotocamera digitale DSLR con ransomware e tenere in ostaggio foto e video privati ​​fino a quando le vittime non pagano un riscatto.

Il ricercatore di sicurezza Eyal Itkin ha scoperto diverse vulnerabilità della sicurezza nel firmware delle fotocamere Canon che possono essere sfruttate sia tramite USB che WiFi, consentendo agli aggressori di scendere a compromessi e assumere la fotocamera e le sue funzionalità. Secondo un avviso di sicurezza rilasciato da Canon, i difetti di sicurezza segnalati riguardano la reflex digitale Canon serie EOS e le fotocamere mirrorless, PowerShot SX740 HS, PowerShot SX70 HS e PowerShot G5X Mark II.

Tutte queste vulnerabilità, elencate di seguito, risiedono nel modo in cui Canon implementa Picture Transfer Protocol (PTP) nel suo firmware, un protocollo standard che le moderne fotocamere DSLR utilizzano per trasferire file tra fotocamera e computer o dispositivi mobili tramite cavo (USB) o wireless (WiFi ).




Come mostrato nella dimostrazione video, il firmware dannoso è stato modificato per crittografare tutti i file sulla fotocamera e visualizzare una richiesta di riscatto sul suo schermo utilizzando le stesse funzioni AES integrate che Canon utilizza per proteggere il proprio firmware.


La responsabilità dei ricercatori ha segnalato queste vulnerabilità a Canon nel marzo di quest'anno. Tuttavia, la società ha attualmente rilasciato solo un firmware aggiornato per il modello Canon EOS 80D.


Cosa fare per difendersi da questi attacchi? Innanzitutto connettere la propria fotocamera solo a dispositivi sicuri, evitando PC che sono a loro volta connessi a reti aperte, o che sono esposti particolarmente ad infezioni. Inoltre si invita a disabilitare le varie connessioni (Wi-Fi specialmente) quando non vengono utilizzate e, importante, tenere sempre il firmware aggiornato.


Per maggiori dettagli sulle vulnerabilità dei modelli di fotocamere Canon, è possibile consultare il rapporto CheckPoint.

mercoledì 17 luglio 2019

FaceApp che fine fanno le nostre foto?

FaceApp ha fatto il botto: l'app che invecchia e ringiovanisce il nostro volto è diventata famosissima in poco tempo, con l'effetto di diventare un vero e proprio trend virale (effetto ricercatissimo da molte aziende che si occupano di app simili).

Migliaia di persone la stanno scaricando in questi giorni in modo da vedere come sarà il proprio viso tra qualche decina di anni, compresi i VIP come Leonardo Di Caprio e il presidente degli USA Donald Trump, che però ha postato il proprio volto ringiovanito.
image
L'app è disponibile sia per i sistemi Android che per iOS e ha cominciato a circolare già dal gennaio del 2017, quando la società russa Wireless Lab la mise online per la prima volta per mano di Yaroslav Goncharov, il suo direttore. Certo, l'app è gratuita, anche se alcuni dei filtri in realtà sono a pagamento (3,99 euro al mese, oppure 19,99 all'anno o 43,99 per sempre), ma l'aspetto preoccupante non è quello economico, ma quello della sicurezza. Sì perché l'app non applica semplicemente un filtro alle immagini, ma applica alle immagini delle nostre facce dei processi gestiti da intelligenze artificiali che potrebbero anche funzionare da "schedatura", nel senso che potrebbero (l'autorizzazione la diamo noi installando l'app) catalogare chiunque conservandone la foto in una banca dati.
Risultati immagini per faceapp security
Quando elaborate un selfie con FaceApp, questo passa dai server dell’azienda, la russa Wireless Lab OOO, sede a San Pietroburgo. Per generare questi filtri, come la faccia che invecchia, si usano reti neurali generative avversarie, che devono girare su computer potenti, la potenza di calcolo di uno smartphone, insomma, non basta. La prova del nove? Se sei in modalità aereo, la app non funziona e ti segnala di collegarti a internet. Dimostra che l’immagine va sul loro server.

E su questi server le foto restano archiviate per un tempo indefinito, potenzialmente per sempre, perché la società, fondata e diretta da Yaroslav Goncharov, studi all'università di San Pietroburgo e un passato in Yandex (motore di ricerca russo), non si cura di dichiarare per quanto tempo le conserverà. Né dove. I dati “potranno essere archiviati e lavorati negli Stati Uniti o in qualsiasi altro paese in cui Faceapp, i suoi affiliati o i fornitori del servizio possiedono le infrastrutture”, si legge nella privacy policy.
FaceApp dichiara di avere base negli Stati Uniti. Su Google Play si fa riferimento a un indirizzo a Wilmington, città del Delaware (considerato uno dei paradisi fiscali Usa), dove la società immobiliare Regus appoggia “uffici virtuali” per aziende straniere che vogliono mettere piede nel continente americano. A occhio, senza avere una vera scrivania là, ma solo una casella di posta. Per la società di analisi di mercato Sensor Tower, solo a giugno 2019 FaceApp è stata scaricata 400mila volte e ha generato introiti per 300mila dollari.

martedì 16 luglio 2019

Scopriamo come funziona il malware “Agent Smith” che ha infettato 25 milioni di dispositivi Android


Si chiama Agent Smith il nuovo Adware che si aggira per la rete e che colpisce i dispositivi Android per intasarli di pubblicità indesiderate.

Il malware sarebbe comparso su alcuni store di terze parti, infettando la bellezza di 25 milioni di dispositivi Android. Secondo Check Point, che descrive le caratteristiche del malware in un report sul suo sito Internet, il primo “focolaio” sarebbe stato 9Apps, uno store Android molto usato in India.



Il malware, contenuto all'interno di applicazioni gratuite e giochi per smartphone, agisce in maniera particolarmente insidiosa. Il codice del modulo principale è crittografato all'interno di un’immagine JPEG.

Una volta installata l’applicazione, il codice del malware viene estratto e avviato sullo smartphone sfruttando una serie di vulnerabilità conosciute che consentono la sua installazione senza che sia necessaria alcuna interazione da parte dell’utente.

Agent Smith si “mimetizza” per sembrare un’applicazione di Google e nasconde la sua icona in modo che la vittima non riesca a individuarne la presenza. I nomi utilizzati possono cambiare, ma sono sempre del tipo “Google Updater” o “Google Update for U”.

In una seconda fase, il malware si collega al server Command and Control e, subito dopo, controlla l’elenco delle applicazioni installate sullo smartphone alla ricerca di alcune app di uso comune, come Whatsapp.


Utilizza poi una vulnerabilità conosciuta come Janus, che permette di sostituire le applicazioni legittime con una versione malevola, al cui interno è presente il modulo che gestisce la visualizzazione di pubblicità indesiderate sul telefono.

Una volta completata la sua opera, il malware deve solo preoccuparsi di garantire la persistenza delle applicazioni “modificate”. Per farlo, evita che possano eseguire gli aggiornamenti da parte del legittimo sistema di update.

I trucchi utilizzati sono due. Il primo è un sistema di monitoraggio che controlla costantemente la directory dedicata agli aggiornamenti e cancella immediatamente qualsiasi file di installazione compaia al suo interno.

Il secondo, invece, impatta sul sistema che gestisce il controllo degli aggiornamenti per fare in modo che l’applicazione non abbia scadenze per il controllo.

Oltre alle caratteristiche tecniche, i ricercatori di Check Point sottolineano nel loro report il fatto che la campagna di attacchi avviata da questo gruppo di pirati informatici è estremamente aggressiva. Analizzando lo store 9Apps, gli esperti hanno infatti individuato più di 360 varianti del dropper.

Non solo: l’elenco delle applicazioni che Agent Smith prende di mira è estremamente ampio. Secondo le analisi della società di sicurezza, i 25 milioni di dispositivi infetti conterrebbero in totale 2,8 miliardi di app “modificate”. Una media di 112 per dispositivo.


Le preoccupazioni, però, riguardano anche altri aspetti. Secondo quanto si legge nel report, infatti, gli autori del malware starebbero pianificando un attacco che prenderebbe di mira direttamente Google Play. Gli esperti di Check Point, infatti, hanno individuato 11 app nello store ufficiale di Google che contengono una versione “dormiente” del malware.

Il vero rischio, però, è che Agent Smith possa evolvere in maniera ancora più preoccupante. La struttura modulare del malware, infatti, permette di introdurre qualsiasi tipo di funzionalità. In futuro potremmo assistere alla comparsa di varianti con obiettivi decisamente più nocivi rispetto alla semplice visualizzazione di messaggi pubblicitari.

Ma chi c’è dietro questo attacco? Dalle indagini dei ricercatori emerge un collegamento con una società cinese con sede a Guangzhou, che opera alla luce del sole, proponendo servizi di assistenza per gli sviluppatori Android che vogliono pubblicare le loro app sulle piattaforme estere. In pratica, una copertura perfetta.