C’è qualcosa che non va in Google Wallet, anche se il pericolo di vedersi derubare è praticamente inesistente, una falla per la sicurezza esiste ed è stata trovata: il PIN del sistema è presente sullo smartphone, ed in un apparecchio che è stato soggetto al rooting è raggiungibile.
Non sono poi numerosissimi quelli che hanno sottoposto il proprio smartphone a tale procedura, che consente di accedere all’accesso di root dell’apparecchio, se li confrontiamo con gli utenti “regolari”. Con tali privilegi, nel caso un hacker avesse accesso fisico allo smartphone potrebbe rintracciare il file crittografato contenente il PIN e ottenerne i dati con un attacco brute force. Diciamo che le possibilità sono piuttosto scarse, ma il fatto che questa falla esista è piena responsabilità di Google.
La corporation, infatti, ha volontariamente fatto in modo che la struttura di sicurezza conservasse questa chiave sull’apparecchio e non l’affidasse alle banche che sostengono Google Wallet, rimuovendolo così dalla portata dei malintenzionati. Per chi non lo sapesse, il servizio serve a “conservare” carte di credito sul proprio telefonino, pagando poi grazie alla near field communication. Se i dati sensibili fossero conservati nell’elemento NFC, non ci sarebbero problemi di sorta, ma Google sarebbe ora costretta a cambiare completamente l’architettura del servizio.
L’agenzia di sicurezza informatica Zvelo, che ha scoperto il problema, dice che a questo punto solo le banche stesse potrebbero far cambiare idea a Google. Di fatto il pericolo è remoto, e coinvolge solo gli utenti che hanno volontariamente rinunciato a qualsiasi protezione o garanzia da parte di Google, dei produttori dell’hardware e del network telefonico su cui si basano.
Il codice sorgente di PCAnywhere, il software prodotto dalla Symantec, è stato pubblicato online. La minaccia di @AnonymousIRC, ne parlavamo ieri, si è concretizzata: con un archivio .rar di 1.3GB rilasciato tramite BitTorrent, il gruppo di hacker ha così messo la parola fine alla finta trattativa condotta con un presunto impiegato della Symantec, Sam Thomas. In realtà, come dichiarato da Yamatough, uno degli hacker coinvolti, non c’è mai stata una vera e propria trattativa: la richiesta di 50 mila dollari per non pubblicare il codice sarebbe stata soltanto una presa in giro, “un modo per umiliare l’azienda“.
La stessa versione è stata confermata dalla Symantec, che si è sempre detta certa dell’intenzione dell’hacker di rilasciare il codice. Sam Thomas, si legge su Forbes, sarebbe in realtà un nome fittizio utilizzato dalle autorità nel tentativo di rintracciare ed incastrare YamaTough. Negoziazioni e prese in giro a parte, la Symantec sostiene che al momento gli utenti che utilizzano PCAnywhere non corrono alcun rischio.
Dal 23 gennaio scorso ad oggi sono state rilasciate diverse patch per correggere le vulnerabilità conosciute ed altre potrebbero essere rilasciate quanto prima, non appena i programmatori della Symantec avranno terminato di analizzare i file rilasciati dall’hacker. Intanto, fanno sapere dall’azienda, è atteso a giorni anche il rilascio dei codici sorgenti di altri due software, Norton AntiVirus Corporate Edition e Norton Internet Security, entrambi relativi alle versioni uscite nel 2006, sottratti dagli hacker all’inizio dell’anno.
Via | The Washington Post
Brutta gatta da pelare ancora una volta per Symantec. Dopo la minaccia di qualche tempo fa da parte del gruppo hacker Yama Tough, da tale @AnonymousIRC arriva ora lo stesso tipo di promessa: quello di rilasciare via Internet i codici sorgenti di PCAnywhere e Norton Antivirus, sottratti come saprete in occasione di un furto avvenuto a inizio 2012 e del quale ci siamo già occupati.
Da Pastebin arrivano inoltre interessanti retroscena sull’intera vicenda, secondo i quali l’impiegato Symantec Sam Thomas avrebbe contrattato nelle ultime settimane direttamente con tale Yamatough (uno degli hacker coinvolti), in quello che è stato un vero e proprio tentativo d’estorsione ai danni dell’azienda specializzata in sicurezza informatica. La richiesta sarebbe stata infatti quella di pagare 50.000$ per evitare la pubblicazione dei codici sorgenti, in un primo momento accettata anche da Thomas.
Lo stesso impiegato Symantec avrebbe chiesto garanzie sulla non-pubblicazione, promettendo un pagamento “a rate” di 2.500$ mensili: qualcosa però deve è andato alla fine storto, facendo spuntare l’intera storia fuori concludendo tutto con un nulla di fatto e questa nuova minaccia.
Via | Cnet.com
Kaspersky avrebbe individuato una nuova installazione di Kelihos, la botnet debellata appena quattro mesi fa in un’operazione coordinata da Microsoft. La nuova versione di Kelihos ha fatto la propria apparizione il giorno stesso del comunicato, col quale Kaspersky e Microsoft avevano annunciato la sconfitta della botnet originaria.
Tuttavia, Microsoft precisa che la scoperta di Kaspersky non è associabile a una botnet: sarebbe soltanto un malware, basato sul codice di Kelihos. In pratica, non esisterebbe ancora l’evidenza d’una rete di sistemi utilizzati per crimini informatici. L’infezione sarebbe a uno stadio precedente — pericolosa quanto molti altri virus.
La botnet originaria, comunque, è passata da 41.000 a 10.000 terminali infetti. Un numero esiguo – rispetto al passato – che, però, non equivale all’estinzione. Le affinità tra i due malware sono consistenti: Microsoft minimizza, ma il report di Kaspersky è preciso. Kelihos è tornata e, probabilmente, non se n’è neppure mai andata.
Via | Microsoft
Un impegno comune per combattere il phishing: è quello messo in atto da Google, Facebook, Microsoft, Yahoo, PayPal e altre società, impegnate nel creare uno standard che possa essere usato attraverso Internet per bloccare le email contenenti tentativi d’inganno ai danni di ignari utenti, sempre più bersagliati da messaggi di ogni tipo coi quali i malintenzionati sperano di ottenere dati privati.
Quindici società impegnate nella realizzazione di DMARC (sito web DMARC.org), vale a dire Domain-based Message Authentication, Reporting, and Conformance: al di là del nome complicato, un sistema per verificare che le email arrivino da mittenti effettivamente reali e autorizzati, e non da impostori impegnati a fingere di essere qualcun altro.
Già a novembre in realtà era stato annunciato il coinvolgimento di altre aziende come Microsoft e la start-up Agari: a quanto pare il numero di società che ha aderito è aumentato ulteriormente, portandoci a ben sperare per la possibilità di vedere una casella di posta elettronica finalmente libera da spazzatura, o almeno con meno messaggi contenenti tentativi di phishing.
Il Data Privacy Day è un evento, dedicato alla sicurezza dei dati sul web, che si tiene ogni anno il 28 gennaio. Si celebra dal 2009 negli Stati Uniti, in Canada e nell’Unione Europea: la data ricorda la firma, avvenuta nel 1981, della Convenzione per la Protezione degli Individui riguardo ai Processi Automatici sui Dati Personali.
Curiosamente, la Convenzione è stata redatta dal Consiglio d’Europa… mentre il Data Privacy Day è un’idea degli Stati Uniti. Microsoft, uno tra i partner dell’iniziativa, ha proposto alcuni suggerimenti per affrontare al meglio l’evento: sono dei consigli utili — a prescindere dall’utilizzo di Windows, Internet Explorer oppure Bing.
Molti potrebbero trovare questi suggerimenti piuttosto banali, eppure la maggioranza degli utenti del web si ostina a ignorarli. Si parte dalla presenza sui motori di ricerca ai profili sulle reti sociali, passando per le pubblicità orientate alle abitudini. Sono tre aspetti fondamentali, che coinvolgono chiunque acceda a internet.
Continua a leggere: Microsoft prepara il Data Privacy Day 2012 offrendo dei suggerimenti
Preoccupati dalla possibilità di essere spiati da keylogger su un PC non vostro? Sappiate che Google sta lavorando per voi, studiando un sistema per effettuare il login ai propri servizi con l’uso di uno smartphone e di un QR code, in modo da bypassare la necessità di inserire sul computer le proprie credenziali d’accesso.
Come funzionerebbe il tutto? Ecco il procedimento: dal PC dove ci si vuole connettere alla piattaforma Google visitare il sito accounts.google.com/sesame per visualizzare il QR code. Il codice deve poi essere letto con uno smartphone attraverso una qualsiasi applicazione che permetta di farlo: verrà aperto un indirizzo sul telefono dove Google chiederà d’inserire username e password, oppure neanche questi nel caso in cui il dispositivo abbia dei cookie validi in memoria. Dopo il login, la pagina web mostrerà un warning di sicurezza permettendo poi di procedere ai servizi Google.
Se vi siete già precipitati sul sito web sopra linkato, vi sarete accorti che purtroppo è offline: probabilmente in quel di Mountain View non hanno gradito di vedere la cosa diventare pubblica. Quelli di Neowin comunque, giurano di averlo provato e che tutto è andato per il verso giusto. Che ve ne pare dell’idea?
Un gruppo di hacker che si fa chiamare Yama Tough ha annunciato via Twitter l’intenzione di rilasciare nella giornata di oggi il codice sorgente di Norton Antivirus, il celebre software prodotto dalla Symantec. Dall’account di Twitter del gruppo non sono emersi altri particolari, ma in un post su Pastebin, ormai rimosso, gli hacker sostenevano di essere in possesso dei sorgenti di decine di compagnie, ottenuti dopo esser riusciti ad entrare nei server dell’intelligence indiana che, a seguito di un controllo sulla sicurezza dei sorgenti stessi, aveva dimenticato di cancellarli.
Ci eravamo già occupati di quel furto ed anche la Symantec era intervenuta sulla questione tranquillizzando gli utenti e dichiarando che uno dei sorgenti rubati era relativo alla versione 10.2 di Norton Antivirus - l’altro è di Endpoint Protection 11.0 - risalente a cinque anni fa: “La versione attuale di Norton Utilities è stata completamente ricostruita e non ha nessun codice in comune con Norton Utilities 2006 e la pubblicazione del codice relativo alla versione del 2006 non costituisce alcuna minaccia per gli utilizzatori della versione corrente“.
L’azienda ha escluso, quindi, che un’eventuale manipolazione di quel codice possa portare ad un attacco diretto ai prodotti Norton attuali. O meglio, ha usato il termine “unlikely“, improbabile. Se non c’è pericolo per gli utenti, però, lo stesso non si può dire per la Symantec: col rilascio del codice la comunità degli antivirus potrà scoprire come funzionano i software dell’azienda e permettere a terzi di migliorare i loro prodotti. Si attendono ulteriori sviluppi: l’account Twitter da tenere d’occhio è questo.
UPDATE: Yama Tough, sempre tramite Twitter, ha fatto dietro front sostenendo di voler attendere ancora prima del rilascio del codice. La minaccia, per il momento, è andata a vuoto.
Via | ZDNet
Brutte notizie per tutti coloro che possiedono un account sul sito Zappos.com, rivenditore online fondato nel 1999 e nel 2009 diventato di proprietà di Amazon: un attacco a un server in Kentucky avrebbe infatti esposto gli account personali di 24 milioni di clienti, come annunciato dalla stessa società tramite il proprio blog.
Le informazioni rubate includerebbero generalità varie, indirizzi email, indirizzi reali di fatturazione e spedizione, numeri di telefono, ultime quattro cifre delle carte di credito e la password dell’account, per fortuna in maniera criptata (sembrerebbe scontato, ma a volte non lo è). I numeri completi di carta di credito per fortuna sembrerebbero essere scampati all’attacco, anche se come spesso succede in questi casi prima di tirare un sospiro di sollievo è bene aspettare la fine delle indagini, attualmente in corso con l’aiuto delle autorità.
Zappos ha ovviamente chiesto ai propri clienti di cambiare la loro password come conseguenza all’attacco, e di fare lo stesso ovunque essi facciano uso di password identica o simile. Al momento il sito non accetta nemmeno connessioni, permettendo il traffico apparentemente solo dall’interno degli Stati Uniti.
Via | Neowin.net
Se la sicurezza mentre navigate sul web è giustamente la vostra preoccupazione principale, nel caso in cui il vostro browser preferito sia Google Chrome c’è un’estensione che potrebbe fare al caso vostro. Nel dettaglio, l’attenzione è rivolta alla connessione tramite SSL, praticamente obbligatoria per essere sicuri nel caso in cui ci si trovi collegati a una rete pubblica come quelle di aeroporti, bar e simili.
SSL Enforcer serve proprio a far sì che Chrome forzi la connessione SSL su tutti i siti web e servizi che la supportano, rilevando automaticamente questa possibilità e “preferendola” altrettanto automaticamente connettendosi tramite https per migliorare la sicurezza durante la navigazione.
Chi usa Firefox conoscerà probabilmente già HTTPS Everywhere, estensione simile per il browser Mozilla: la differenza sostanziale tra le due estensioni è che SSL Enforcer non fa affidamento su un database come invece HTTPS Everywhere, funzionando così su tutti i siti e servizi presenti online. SSL Enforcer offre inoltre una lista dei siti che supportano SSL, in modo da velocizzarne eventuali connessioni successive alla prima.
Via | Ghacks.net
downloadblog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967. Contatti, chi siamo
© 2004-2011 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Downloadblog.it contattare la concessionaria esclusiva Populis Engage.
