Windows, all’assalto della modalità provvisoria

La modalità provvisoria (Safe Mode) è una particolare tipologia di boot disponibile fin dalle prime versioni di Windows che procedere a caricare solo lo stretto indispensabile (driver e sottosistemi critici) alle funzioni del sistema operativo, in modo da ovviare ad eventuali problemi che sorgono durante le normali operazioni. In questi elementi base non rientrano molti dei controlli di sicurezza e da qui Doron Naim dei laboratori CyberArk ha tratto spunto, studiando come questo ambiente ridotto può essere sfruttato dai malintenzionati.

L’attacco può essere eseguito se l’attaccante ha accesso fisico o logico alla macchina, e può abilitare al furto delle credenziali. Una volta compromessa la prima macchina, l’attaccante imposta l’accesso alla modalità provvisoria al prossimo riavvio. A quel punto ha due opzioni. Nel primo caso inietta una finta schermata di login, potenzialmente del tutto indistinguibile da quella reale, per sottrarre nome utente e password in chiaro. In alternativa può sfruttare il suo iniziale accesso alla macchina per caricare un servizio compatibile con il Safe Mode e pertanto eseguito quando l’utente riavvierà per la prima volta il PC: il servizio può accedere agli hash delle password salvate e sfruttare note debolezze per eseguire attacchi pass the hash a sottosistemi di Windows che consentono l’autenticazione conoscendo anche solo questo dato. Continua a leggere

MIT, come leggere un libro dalla sua copertina

I ricercatori del Massachusets Institute of Technology hanno presentato sulla rivista Nature una nuova ricerca che spinge ancora più in là i limiti della femtofotografia. Dopo essere riusciti a sbirciare dietro gli angoli, ora il MIT Media Lab ha costruito un prototipo di fotocamera che è in grado di distinguere il testo stampato su una pila di nove fogli. Barmak Heshmat, uno degli studiosi coinvolti, afferma che il sistema può essere adattato ad ogni materiale disposto in strati sottili.

Continua a leggere

USA, inizio della fine per i Note 7 esplosivi

Sono partite negli Stati Uniti le operazioni per il richiamo di massa di tutti i Samsung Galaxy Note 7 affetti da un difetto in una cella della batteria a litio capace di provocare surriscaldamenti e conseguenti esplosioni durante la fase di ricarica. Samsung ha infatti annunciato i dettagli della procedura coordinata assieme alla Commissione per la Sicurezza dei Consumatori (CPSC) americana.

Tutti i clienti che hanno acquistato un Galaxy Note 7 prima del 15 settembre avranno a disposizione tre opzioni: la sostituzione del terminale con uno nuovo e privo del pericoloso difetto, da ritirare nel punto vendita dove è stato effettuato l’acquisto; la sostituzione con un Galaxy S7/S7 Edge, con un rimborso della differenza di prezzo; il rimborso completo dell’acquisto. Nei termini Samsung afferma che entro il 21 settembre saranno pronti in magazzino i terminali sostitutivi per tutti quelli interessati dal difetto. In Corea del Sud invece la data garantita è il 19 settembre.

Continua a leggere

Akamai, DDoS da record nel Q2 2016

Akamai ha rilasciato uno dei suoi quattro consueti bollettini annuali sulla sicurezza di Internet, questa volta relativo al periodo Aprile-Giugno 2016, che ha visto l’attacco di più ampia portata finora registrato dalla rete Akamai: 363 gigabit al secondo. Si sono inoltre registrati 2 eventi superiori ai 300 Gbps e 12 che hanno raggiunto i 100 Gbps.

Continua a leggere

iOS 10, falsa partenza per i primi update

Brutta sorpresa per gli entusiasti che hanno aggiornato iOS alla neonata versione 10 appena dopo il rilascio, attraverso il meccanismo Over The Air. Un problema rimasto non diagnosticato per tutta la prima ora di disponibilità del software ha provocato l’impossibilità di portare a termine l’installazione di iOS 10, rendendo il sistema non più avviabile.

Gli utenti afflitti dal problema vengono freddati da una schermata che suggerisce di collegare il dispositivo ad iTunes. È proprio il ripristino completo attraverso iTunes l’unico modo di risolvere il soft-brick e completare l’aggiornamento. Questo comporta, in assenza di un backup preliminare in locale o attraverso il cloud Apple, la perdita dei dati presenti sul dispositivo.

Continua a leggere

Android, vulnerabilità di fine estate

Il mondo Android ripropone, in occasione del bollettino e aggiornamento di sicurezza mensile prodotto da Google, la stessa sceneggiatura già vista nel recente passato. Nuove vulnerabilità critiche, con patch pronte nel ramo AOSP e negli aggiornamenti over-the-air inviati ai Nexus, ma delle quali non gioveranno la quasi totalità dei dispositivi in circolazione. I due bug di sicurezza sono indicizzati come CVE 2016-3861 e 2016-3862.

La prima vulnerabilità è stata scoperta da Mark Brand del team di Google Project Zero, che ne ha esposto i dettagli sul blog ufficiale. La ragione per l’assegnazione del livello “critico” al problema è una combinazione tra la facilità con cui è possibile scovare la vulnerabilità (a posteriori ci si è accorti che la porzione di codice incriminato era stata individuata già da un anno) e il numero molto alto di possibili vettori (sottosistemi che vanno ad eseguire quella code path). Il bug consente l’esecuzione di codice da remoto e di assumere livelli di privilegio equivalenti a quelli di codice di sistema, potenzialmente anche privilegi di root. Google e i ricercatori hanno opinioni diverse su quanto sia concreta la possibilità che il bug venga sfruttato, ma tutti sono unanimi nel considerare “molto seria” la vulnerabilità.

Continua a leggere

IDF2016/ Intel produrrà chip ARM

Dopo aver infruttuosamente cercato di ritagliarsi uno spazio nell’affollatissimo settore mobile per poi gettare la spugna nel corso di quest’anno, ora Intel cambia strategia e prova a monetizzare questo mercato rifacendosi al suo predominio nel layer immediatamente sottostante, quello della produzione. Intel e ARM hanno annunciato in occasione dell’Intel Developer Forum 2016 il rilascio di una licenza ARM a Intel che consentirà al gigante di Santa Clara di produrre chip progettati da ARM per conto di terze parti. Intel aprirà quindi il suo programma Intel Custom Foundry a nuovi clienti nell’ecosistema ARM che potranno dunque accedere ad un processo produttivo a 10 nanometri.

Intel incrementerà quindi l’output delle proprie fonderie producendo i core ARM a 64 bit alla base dei prossimi Cortex-A. Il principale produttore mondiale di chip non otterrà proprietà intellettuale dal rivale embedded, ma si collocherà come produttore alternativo a Samsung e TSMC (Taiwan Semiconductor Manufacturing Company) per le aziende come Apple, Qualcomm o Nvidia che personalizzano i loro design basandosi sui core ARM.

Continua a leggere

Fuchsia, il misterioso sistema operativo di Google

Nonostante qualche tentativo di unificazione poi svanito nel nulla, i sistemi operativi utilizzati da Google nei differenti ecosistemi in cui integrare i suoi servizi cloud si sono finora sempre basati sul kernel Linux: da Android, re del mercato smartphone/tablet, ai Chromebook dotati di Chrome OS, passando per i vari livelli di interazione con Android presenti nei firmware per Android Auto, Wear e gadget come Chromecast e OnHub. Inevitabili quindi gli sguardi attirati dal nuovo progetto software apparso nei repository di Mountain View, nome in codice Fuchsia, un nuovo sistema operativo su cui Google per il momento dice pochissimo, ma il cui kernel non è Linux e pare avere caratteristiche tali da adattarsi ad ognuno dei settori che coinvolgono il gigante della ricerca.

Ipotetico logo di Google Fuchsia

Ipotetico logo di Google Fuchsia (Fonte immagine)

Continua a leggere

Volkswagen, le serrature elettroniche si possono scassinare

Flavio Garcia e il team di ricercatori dell’Università di Birmingham tornano all’attacco di Volkswagen. Dopo la scopertadatata 2013 (ma pubblicata solo l’anno scorso dopo una causa legale intentata dal gruppo) di un bug nel sistema di accensione a distanza che permetteva di attivare l’iniezione senza possedere la chiave, nella ricerca presentataalla Usenix Conference di Austin viene svelata una vulnerabilità che consente l’apertura remota di 100 milioni di veicoli prodotti dai marchi del gruppo Volkswagen a partire dal 1995. Non è tutto: una seconda vulnerabilità consente di fare lo stesso con un range di produttori molto più vasto.

Entrambe le vulnerabilità possono essere sfruttate praticamente con hardware a bassissimo costo: è sufficiente un Arduino dotato di una software defined radio (un range di frequenze pilotabile dal firmware, per adattarsi ad una moltitudine di veicoli), con un costo complessivo intorno ai 50 euro. Questo setup consente di intercettare i segnali della chiave della vittima e, sfruttando le scoperte contenute nell’ultimo lavoro di Garcia e la sua squadra, “replicare esattamente il telecomando originale”.

Schema di un sistema di apertura keyless

Schema di un sistema di apertura keyless (Fonte immagine)

Continua a leggere

Ransomware mangia ransomware

Il business dei dati presi in ostaggio sta diventando sempre più proficuo, affollato (720mila attacchi nel 2015-2016) e di conseguenza competitivo. A farne le spese sono gli sviluppatori del malware Chimera, le cui 3.500 chiavi crittografiche sono ora di pubblico dominio. A rivelarle sono stati i criminali dietro il ransomware concorrente Petya/Mischa, e a tutti gli effetti questo mette Chimera fuori dal giro, almeno per il momento. Gli analisti di MalwareBytes hanno già affermato che servirà un po’ di tempo per verificare l’attendibilità delle chiavi e poter sviluppare un tool di decrittazione, ma le vittime di Chimera sono “invitate a non cancellare i file crittografati, c’è una concreta possibilità di poterli salvare”.

Chimera è il primo doxingware osservato nella scena ransomware. Oltre a chiedere un riscatto per decrittare i dati della vittima, esercita anche una seconda leva per ottenere il pagamento anche da coloro che ritenessero accettabile la perdita dei file: la minaccia di divulgare tutto il contenuto pubblicamente, in chiaro. Non si ha però una conferma se qualcuna delle vittime abbia ceduto a questo tipo di minaccia o se ci sia effettivamente stato un dump di dati sensibili.

Continua a leggere