La notizia più importante sulla sicurezza informatica della scorsa settimana è quella relativa all’attacco contro Lastpass, il popolare (e consigliato da quasi tutti gli esperti del settore) password manager remoto.
Archivi categoria: case study
Analisi di casi reali.
I pericoli della localizzazione
Sviluppare una buona applicazione è già di per se un lavoro molto complesso, localizzarla ancora di più.
Nella migliore tradizione del tradurre è sempre un po’ tradire è possibile commettere degli errori, più o meno gravi, specialmente quando si fanno le cose in fretta o senza riflettere troppo.
Uno di quelli più famigerati (e che ancora oggi provocano danni) è senza dubbio la localizzazione errata fatta da Microsoft in Outlook dei prefissi delle email di risposta.
Tanto per essere chiari è il motivo per cui alcune mail (in Italia) hanno nel subject una fila di R: RE: R: RE: RE: FW: I: RE: e così via. In altri paesi ci sono ancora altri prefissi. La storia è molto complessa, qui MailMate fa un ottimo excursus (visto che si parla anche di prefissi latini).
In questo caso però un problema di localizzazione ha provocato solo il classico fastidio dovuto all’evidente impossibilità di interoperare, se non si trova un linguaggio comune. Che nell’informatica è l’inglese, punto.
A volte però la localizzazione potrebbe provocare problemi più gravi di fastidi lessicali, potrebbe provocare problemi di sicurezza.
Per analizzare un caso reale, prendiamo il popolare lettore di PDF Foxit Reader.
Foxit è il principale concorrente di Adobe Reader, e uscì sul mercato qualche anno fa puntando proprio su una sua maggiore leggerezza rispetto al mammuth di Adobe, e su una sua maggiore sicurezza nel gestire i PDF.
È bene sempre ricordare che i PDF sono la fonte principale per la diffusione del malware, essendo un veicolo privilegiato, fragile ed efficiente, per far girare codice malevolo sul computer bersaglio dell’attacco. Vanno quindi sempre trattati con prudenza e se non si conosce il mittente non vanno mai aperti. Anzi, se usate servizi di webmail come Gmail è sempre bene visualizzarli prima col browser e non scaricarli se c’è qualcosa che non va.
Proprio per questo motivo è necessario che le applicazioni che li leggono siano aggiornate costantemente, per evitare possibili attacchi. E il reader di Foxit, così come quello di Adobe, non sono da meno.
E qui vengono i problemi. Perché Foxit Reader, partito solo in inglese, per espandere i suoi utenti è ora disponibile in più lingue.
Se lo andiamo a scaricare, vediamo questa finestra
Foxit Reader Inglese
Foxit Reader Italiano
Foxit Reader Francese
La vedete la differenza? Esatto la versione nelle altre lingue è inferiore. E questo significa automaticamente che è più vulnerabile.
Quindi vuol dire che se una persona non inglese sta usando (come è comprensibile) Foxit Reader nella propria lingua madre è più vulnerabile.
Tra l’altro non so se notate ma le versioni localizzate sono un po’ più pesanti di quella in inglese, il che deriva probabilmente dai file di localizzazione.
Quindi il lavoro è stato fatto bene, il “core” dell’applicazione resta stabile e per localizzarla si usano file specifici, con i dizionari ad hoc, richiamati poi dinamicamente. In questo modo non solo è facile tradurre in qualsiasi lingua, ma non si fa l’errore di rendere hardcoded un qualcosa di dinamico.
Da quello che sembra quindi il ritardo non è tanto nell’aggiornamento del codice base di Foxit, quanto del packaging delle versioni localizzate. Ma per l’utente finale cambia poco, sempre a rischio è.
Ricordo uno scenario simile anche per le prime installazioni di WordPress.org. Quando usciva una nuova release (e ne uscivano parecchie man mano che diventava più popolare, quindi più attaccato), chi aveva installato la versione di WordPress Italy doveva aspettare che uscisse la versione localizzata.
Con il rischio naturalmente di essere colpiti per primi.
Con l’evoluzione del codice i dizionari di localizzazione sono stati sempre più spostati fuori dal codice base del programma, rendendo molto più immediato un suo patching.
Firefox ad esempio fa uscire le nuove release contemporaneamente in tutte le 80 e più lingue supportate. Perché appunto ha una gestione dei language pack molto ben fatta.
Senza dubbio è importante che una software house aggiorni costantemente i propri prodotti. E non annoiatevi quando vi si chiede di fare un update, fatelo è per la vostra sicurezza.
Non è corretto però che la software house, specialmente se punta proprio sulla sicurezza, lasci i suoi utenti non anglofoni in balia di possibili rischi. Non importa se per pochi giorni o per poche ore, il rischio c’è sempre.
Il consiglio quindi è ancora quello di aggiornare tutto appena possibile ma, più importante, usare i software solo in inglese.
Se questo vi da noia, e se chi pubblica il vostro programma preferito non aggiorna tutto allo stesso momento, cambiate programma.
Obamacare e il cybercrime
A volte sembra che il mondo del crimine informatico, sia legato solo alle tecnologie, alla vendita di armi, droga e pedopornogrfia nel deep web.
Tutta roba più o meno da film, che ogni tanto emerge nella stampa mainstream, magari facendo di tutta l’erba un fascio per accusare tecnologie molto importanti che non si comprendono (successe qualche mese fa quando Tor fu accusato di ogni male possibile).
Però il cybercrime, essendo un’emanazione digitale del crimine organizzato fisico (cioè quello che ti brucia il negozio se non gli paghi il pizzo), è sempre molto aggiornato e, soprattutto, legato al mondo reale.
Vediamo quindi di analizzare un esempio molto concreto, partendo da una delle riforme più importanti fatte negli Stati Uniti negli ultimi anni: Obamacare.
Discutendo su LinkedIn, Luca di Abissi ha segnalato come nel deep web ci sia un gran movimento di mercato legato alla compravendita di identità con annesso profilo e informazioni mediche.
Questo è stato poi confermato da esperti nel settore del furto di identità come Robert Siciliano: Healthcare Data under Attack.
Siciliano, citando uno studio dell’Istituto Ponemon, spiega molto chiaramente la situazione
in the world of black market information, a medical record is considered more valuable than everything else
Il mercato delle identità digitali è sempre stato molto florido, in particolare con la facilità con cui è possibile recuperare informazioni in un web popolato di social network. Anzi comprare stock di profili reali, carte di credito o addirittura documenti, per chi frequenta dei market nemmeno tanto nascosti è un’attività facile e abbastanza economica.
Ora però l’asse si è spostato su qualcosa di più pregiato, ovvero le identità complete di una persona ma senza i dati finanziari, bensì quelli necessari a stipulare un’assicurazione medica.
La grande riforma di Obama, essendo fondamentalmente un filtro governativo a tante assicurazioni sanitarie private, ha aumentato a dismisura il valore di queste informazioni e quindi il loro mercato nero parallelo.
Questo accade per il solito fondamentale problema: la mancata protezione di dati personali da parte di chi li tratta.
Ma mentre una carta di credito si può bloccare con una telefonata, e se siamo assicurati riusciamo anche a ottenere un rimborso, con i dati sanitari la cosa cambia drasticamente. Anche perché i numeri di carte di credito nascono e muoiono in poco tempo, il profilo sanitario resta molto più a lungo.
Comprando un’identità sanitaria è possibile infatti presentarsi ad una struttura come se si fosse la persona derubata, e i dati saranno aggiornati su quel profilo.
Se quindi venisse fatto un trattamento ospedaliero particolare, o anche una banale analisi del sangue, i dati sarebbero riportati sul profilo della persona reale. Che ignara di tutto magari si presenterà dopo qualche mese in una struttura sanitaria, necessitando di cure, e potrebbe rischiare grosso qualora nessuno si accorgesse dei dati errati.
Anche potenzialmente la vita.
Questa storia quindi conferma il rischio che la nostra identità digitale, e quindi sempre più quella reale, siano facilmente trafugabili. È sempre più importante quindi porre estrema attenzione al trattamento di dati sensibili come quelli sanitari.
In USA la situazione è davvero a rischio, in Italia per fortuna il Codice Privacy prevede norme stringenti per questo tipo di dati. In ogni caso con la proliferazione di banche dati e dispositivi è fondamentale non perdere mai di vista i rischi che si corrono.
Questo esempio poi conferma anche la sovrapposizione tra crimine “vero” e cybercrime. Cosa che gli addetti ai lavori dicono da anni, ma che ora si sta manifestando sempre di più, minacciando elementi fondamentali della vita di ogni persona, come la salute.
Scambi la tua sicurezza per un po’ di cioccolata?
Tra gli addetti ai lavori della sicurezza informatica gira da diversi anni la battuta che molte persone scambierebbero la propria password per una barretta di cioccolata (o altro dolce a vostro piacimento).
In realtà non è propriamente una battuta, visto che la ricerca originaria del 2004 della BBC rivelava che ben il 70% degli intervistati era realmente disponibile a farlo.
Certo l’ottimo Bruce Schneier si diceva parecchio stanco di sentire questa storia girare, e lui sì che non darebbe una password per un dolce (per lo meno non una reale 🙂 ).
Il senso della storia è comunque che molta gente non ha la piena coscienza di quanto dalle proprie abitudini dipenda la propria sicurezza online, molti non usano un’autenticazione a due fattori ad esempio. E nemmeno ci si rende conto che utilizzare la stessa password (e magari dirla a qualcuno!) su siti diversi rende l’intera propria esistenza digitale a rischio
Password reuse su xkcd
Immaginate quindi la mia sorpresa quando ho visto questo cartello
Già le banche stanno spingendo molto sull’utilizzo delle carte contactless, ma ora le operazioni di marketing per farle usare stanno decisamente accelerando.
Ora non sto dicendo che le carte contactless siano uno strumento pericoloso, ma sicuramente sono più deboli rispetto ad un utilizzo con pin e più soggette ad attacchi molto facili da eseguire. Tanto per dire già da diversi anni al DEF CON vendono porta carte di credito schermati da scanner esterni.
E gran parte dei lati positivi dell’utilizzo sono a vantaggio dell’altra parte, l’esercente in primis che smaltisce le code più facilmente e senza spese per aprire altre casse, e la banca e l’operatore della carta che ottengono un uso più frequente della carta al posto del contante.
Il tutto, lato cliente, per guadagnare pochi secondi necessari ad inserire il pin e ad avere la ricevuta.
Vale la pena scambiare la vostra sicurezza per un po’ di cioccolata? Ovviamente no.
Altri esempi di social risk
Di cosa sia il social risk avevo già parlato, ma recentemente sono emersi due eventi che hanno evidenziato sia l’attualità della questione sia soprattutto i rischi reali che si corrono sottovalutando l’uso di questi strumenti.
Caso vuole che siano coinvolte le due principali aziende di fast food del mondo.
Il primo è senza dubbio quello successo a Burger King.
L’account twitter della società è stato violato ed è stato modificato per somigliare a McDonald’s, aggiungendo ovviamente un bel po’ di tweet offensivi…
Fonte abc News
Non si hanno i dettagli dell’attacco, ma sicuramente è dovuto ad una scarsa sicurezza. Di Twitter in primis (e ne ho già parlato proprio qualche giorno fa), che non dispone di una autenticazione a due fattori, ma soprattutto di chi gestisce il profilo, che ha impostato una password troppo semplice, e soprattutto non ha monitorato quello che stava succedendo.
Sicuramente non è stato un momento piacevole per la struttura di PR dell’azienda, ma la cosa grave è che l’incidente è nato da una palese sottovalutazione della sicurezza di certi strumenti.
L’altro caso lo riferisce Sophos, e riguarda (casualità) il concorrente: McDonald’s.
Quello che è successo stavolta è che è girato su Facebook una foto fake in cui un non meglio identificato ristorante McD esponeva un cartello molto razzista:
Fonte Sophos Naked Security
L’immagine ha avuto quarantamila condivisioni. Era fake perché il numero verde riportato sotto non era di McDonald’s ma addirittura dell’altro concorrente KFC.
Questo sicuramente mostra come su Facebook sia facile far girare delle bufale, ma soprattutto indica come sia necessario monitorare la presenza sui social newtork (tramite sentiment analysis), al fine di prevenire questo genere di eventi, e rispondere prontamente.
In questo caso McDonald’s non aveva ovviamente colpe, non essendo stata attaccata direttamente.
Ma senza un’accurato monitoraggio potrebbe subire un incidente ancora più grave, ad esempio perché la foto falsa potrebbe provocare un attacco pesante da parte di gruppi di hacktivist.
Bye!
Glamis on Security 