Ransomware mangia ransomware

Il business dei dati presi in ostaggio sta diventando sempre più proficuo, affollato (720mila attacchi nel 2015-2016) e di conseguenza competitivo. A farne le spese sono gli sviluppatori del malware Chimera, le cui 3.500 chiavi crittografiche sono ora di pubblico dominio. A rivelarle sono stati i criminali dietro il ransomware concorrente Petya/Mischa, e a tutti gli effetti questo mette Chimera fuori dal giro, almeno per il momento. Gli analisti di MalwareBytes hanno già affermato che servirà un po’ di tempo per verificare l’attendibilità delle chiavi e poter sviluppare un tool di decrittazione, ma le vittime di Chimera sono “invitate a non cancellare i file crittografati, c’è una concreta possibilità di poterli salvare”.

Chimera è il primo doxingware osservato nella scena ransomware. Oltre a chiedere un riscatto per decrittare i dati della vittima, esercita anche una seconda leva per ottenere il pagamento anche da coloro che ritenessero accettabile la perdita dei file: la minaccia di divulgare tutto il contenuto pubblicamente, in chiaro. Non si ha però una conferma se qualcuna delle vittime abbia ceduto a questo tipo di minaccia o se ci sia effettivamente stato un dump di dati sensibili.

Continua a leggere

Secure Boot, Microsoft si lascia scappare la backdoor

L’ecosistema a supporto del protocollo Secure Boot integrato nei firmware UEFI di milioni di dispositivi potrebbe aver sofferto un corpo letale proprio ad opera del suo sponsor principale. Due hacker, nickname my123 e slipstream, hanno pubblicato in un formato non esattamente austero una scoperta dalle implicazioni invece molto serie. Microsoft ha accidentalmente inserito in alcuni dispositivi arrivati sul mercato un file passepartout che è stato identificato ed estratto dai due hacker e reso installabile su qualsiasi dispositivo, bypassandone la protezione Secure Boot. Microsoft sta cercando di metterci una pezza, ma una soluzione definitiva potrebbe essere impossibile.

Continua a leggere

ProjectSauron, APT di Stato su misura?

Non è un APT (Advanced Persistent Threath) comune l’ultimo scoperto dai laboratori Kaspersky e Symantec. Il malware, ribattezzato ProjectSauron (prendendo ancora una volta ispirazione da una stringa contenuta nel codice), ha un design estremamente complesso e raggiunge un livello di sofisticazione tipico dei malware sponsorizzati da nazioni sovrane. Come però da copione in casi del genere, Kaspersky e Symantec non si sbilanciano nel fare ipotesi su quale possa essere.

La scoperta risale allo scorso Settembre, quando un cliente di un’agenzia governativa non meglio specificata ha messo sotto contratto Kaspersky per analizzare del traffico anomalo osservato sulla rete interna. Gli analisti dell’azienda russa hanno seguito le tracce fino a scovare una libreria caricata nella memoria di un controller di dominio Windows, mascherata da filtro e controllo qualità password. Con questa strategia il malware ha raggiunto l’obiettivo della persistenza in memoria (il filtro viene caricato automaticamente ad ogni login) e messo le mani su tutta una serie di dati sensibili come password, chiavi crittografiche, configurazioni e indirizzi pertinenti a ogni software di cifratura in esecuzione, apparentemente il suo principale obiettivo.

ProjectSauron, malware modulare con estensioni in Lua

ProjectSauron, malware modulare con estensioni in Lua. (Fonte immagine)

Continua a leggere

Android, a QuadRooter pensa Google

Il quartetto di vulnerabilità QuadRooter identificato nei chip Qualcomm investe realmente molto meno dei 900 milioni di smartphone vulnerabili in potenza, ovvero ancora privi dei driver aggiornati rilasciati dal produttore del chip. QuadRooter è una tipologia di vulnerabilità prona all’infezione sotto forma di app, e che quindi già richiede l’attivazione della possibilità di installare software da sorgenti sconosciute nelle impostazioni del sistema operativo mobile di Mountain View. I dispositivi con Android 4.2 o superiore hanno però attiva di default la funzionalità Verify Apps, implementata 4 anni fa da Google all’interno dei Google Play Services proprio per proteggere da questo genere di vulnerabilità integrabili nelle applicazioni, e che esegue una scansione cloud del pacchetto apk prima di consentire o rifiutare l’installazione.

Un portavoce di Google ha confermato ad Android Central che “tre delle quattro vulnerabilità sono già coperte dall’ultimo patch level di Agosto, e il fix per quella rimanente è in arrivo nel prossimo” ma soprattutto che la protezione Verify Apps è efficace contro QuadRooter: il risultato è un messaggio “installazione bloccata” che impedisce di proseguire o confermare l’azione. Verify Apps è disponibile anche per Android 4.1 e inferiori, ma va abilitato esplicitamente.

I numeri della distribuzione Android di Agosto 2016, Android 4.2 o superiore è 89% dei device attivi

I numeri della distribuzione Android di Agosto 2016, Android 4.2 o superiore è 89% dei device attivi. Fonte immagine

Continua a leggere

Android, calato il poker di root

Non c’è pace per Qualcomm, il principale produttore di system-on-a-chip per il mercato Android. Dopo la scoperta di un bug nella tecnologia proprietaria TrustZone che minava alla base l’efficacia della crittografia full-disk disponibile in Android, dalla conferenza DEF CON arriva un quartetto di exploit a danno di tutti i dispositivi dotati di SoC Qualcomm, ognuno dei quali consente ad un attaccante di ottenere accesso completo (root) al device colpito.

Le vulnerabilità, ribattezzate collettivamente QuadRooter, sono state presentate da un team di ricercatori di Check Point alla conferenza DEF CON. I device potenzialmente attaccabili sono tutti quelli dotati di SoC Qualcomm, più di 900 milioni tra i dispositivi Android attivi, per tutte le versioni di Android, da Marshmallow in giù. Qualcomm ne è stata informata già ad aprile, e le ha classificate come “ad alto rischio” dopo la propria analisi.

Continua a leggere

Tesla, come ti confondo l’AutoPilot

La funzionalità di guida automatica in dotazione ai veicoli elettrici prodotti da Tesla è sotto i riflettori in seguito al primo incidente mortale avvenuto lo scorso 5 luglio. Gli ultimi a testare i limiti attuali del sistema sono stati alcuni ricercatori cinesi della Zhejiang University in collaborazione con gli esperti della compagnia di sicurezza informatica Qihoo 360, in uno studio presentato in occasione della conferenza DEF CON. Il risultato è stato quello di ingannare tutta la dotazione dei sensori di supporto al pilota automatico Tesla, portando alla mancata rilevazione degli ostacoli invece presenti di fronte al veicolo.

Le vulnerabilità identificate non sono affatto ad appannaggio esclusivo di Tesla: anche veicoli Audi, Volkswagen e Ford dotati di funzioni di guida automatica sono risultati attaccabili, ma i ricercatori si sono concentrati su una Tesla Model S perché ritenuta un test più probante in quanto dotata di sensori più sofisticati. La Tesla è dotata di sensori a ultrasuoni nei paraurti, un medium range radar montato all’interno della presa d’aria frontale, e telecamere su tutti e quattro i lati della vettura. I sensori svolgono funzioni differenti, ma operano tutti misurando la quantità di segnale riflesso dagli ostacoli.

Continua a leggere

HEIST, vulnerabilità HTTPS di servizio

Dopo il famigerato Heartbleed e i successivi FREAK, Shellshock e POODLE, dalla storica conferenza sulla sicurezza informatica Black Hat emerge un altro bug di sicurezza degno di un nome tutto suo: HEIST, abbreviazione di HTTP Encrypted Information can be Stolen Through TCP-Windows (“Informazioni crittografate con HTTP possono essere trafugate tramite TCP windows”). Non è direttamente questa nuova vulnerabilità a decifrare i dati sensibili nelle comunicazioni HTTPS, ma grazie ad essa due vulnerabilità scoperte tra il 2012 e il 2013 e finora solo teoriche, BREACH e CRIME, diventeranno un pericolo concreto. HEIST infatti rende molto più semplice sfruttarle, rimuovendo l’ostacolo principale: la necessità di intercettare il traffico.

Per comprendere la svolta rappresentata da HEIST è prima necessario esplorare il funzionamento di BREACH, altro bug presentato al mondo in un’edizione della Black Hat, quella 2013. BREACH è un cosiddetto oracle attack, una categoria di vulnerabilità in cui l’attaccante crea un testo in chiaro (o cifrato) e lo invia in input al sistema sotto attacco, che produrrà un output: dall’analisi dell’output e dalla sua relazione con l’input prescelto, l’attaccante è in grado di dedurre informazioni altrimenti segrete anche senza eseguire un algoritmo di decifrazione.

Dimostrazione di un attacco HEIST

Dimostrazione di un attacco HEIST

Continua a leggere

Firefox 48, finalmente Electrolysis

La nuova versione del browser open source di Mozilla non può essere considerata semplicemente come parte dei miglioramenti incrementali che contraddistinguono il tipico ciclo di sviluppo di Firefox. C’è infatti da registrare l’introduzione della funzionalità di separazione dei processi, nome in codice Electrolysis (E10S), e delle prime porzioni del browser scritte in Rust, il linguaggio di programmazione orientato alla sicurezza sviluppato da Mozilla in collaborazione con la comunità open source.

Il progetto Electrolysis rende Firefox un’applicazione multiprocesso, separando il processo responsabile dell’interfaccia grafica del browser da quello del motore di rendering Gecko (e, in futuro, Servo) che gestisce il contenuto web. I vantaggi di questa soluzione sono essenzialmente tre: maggiore stabilità (un crash causato da una pagina web non si ripercuote su tutto il browser), reattività (un sito particolarmente pesante non costringe a rimandare l’elaborazione degli eventi UI) e sicurezza (ogni processo può essere eseguito con permessi più limitati). L’intensità di questi benefici sarà tanto maggiore quanto lo sarà il livello di separazione tra i processi, un aspetto sul quale Mozilla ora potrà concentrarsi, dopo aver posto le basi in questa release.

Continua a leggere

Mercato tablet, non ride nessuno

Continua a restringersi il mercato tablet, secondo le ultime analisi pubblicate da Canalys e IDC e dai dati largamente concordanti. Nel secondo trimestre del 2016 il numero tablet venduti è calato tra il 13 e il 16 percento, arrivando ad appena 35 milioni di unità. iPhone, da solo, ha venduto 40 milioni di esemplari nello stesso periodo di tempo.

Nonostante la flessione complessiva del 23 per cento e la lotta intestina con le linee Windows che molti produttori cominciano ad offrire (9 per cento di quota mercato), la parte da leone la fanno ancora i dispositivi Android. Ma tra le singole aziende in cima c’è ancora Apple con i suoi iPad, responsabili per un quarto dell’intero mercato. Samsung (6 milioni di unità) comanda tra i vendor Android, seguita da Lenovo e Huawei. La crescita maggiore la osserva Amazon, che si assesta al 4 per cento.

Continua a leggere

WhatsApp, chat a cancellazione differita

Dopo una serie di gaffe di sicurezza nei primi anni di vita del servizio, WhatsApp ha adottato da qualche tempo, per tutte le conversazioni, il protocollo di crittografia end-to-end Signal. Il ricercatore Jonathan Zdziarski ha però scovato una falla di tipologia completamente differente, riguardante la cosiddetta crittografia a riposo, la cifratura che interessa i dati quando sono memorizzati in locale.

“La questione chiave è che le comunicazioni effimere non lo sono quando arrivano su un disco”, ammonisce il ricercatore di sicurezza nel post in cui descrive la sua scoperta. Ogni operazione con cui l’utente pensa di agire su una conversazione singola o di gruppo, sia essa la cancellazione, lo svuotamento di singoli messaggi o l’archiviazione, non comporta l’effettiva rimozione dei messaggi sul disco. I record del database SQLite utilizzato da WhatsApp come backend per la memorizzazione non vengono alterati immediatamente, e rimangono quindi disponibili per l’estrazione con semplici tecniche di computer forensics a chiunque riesca a mettere le mani sul database. L’unico modo con cui Zdziarski è riuscito a cancellare realmente ogni traccia è attraverso la disinstallazione e reinstallazione dell’app.

Continua a leggere