vulnerabilità

Wi-Fi, una nuova vulnerabilità mette a rischio i router

Vulnerabilità router Wi-Fi

Stefan Viehbock, ricercatore di sicurezza, ha recentemente preso di mira il sistema Wi-Fi Protected Setup, una tecnologia adottata da numerosi produttori di router wireless per semplificare la procedura di collegamento di vari ed eventuali dispositivi, scoprendo una falla che, a quanto pare, risulta essere molto pericolosa.

La tecnologia in questione, infatti, può essere attaccata da eventuali malintenzionati con estrema semplicità e nel giro di breve tempo, da un paio d’ore al massimo di un giorno nel caso dei router “più resistenti”.

Ad essere sotto accusa, nello specifico, è il meccanismo di autenticazione di WPS basato su codici PIN mediante cui i vari device hanno l’opportunità di autenticarsi al router Wi-Fi fornendo un apposito codice costituito da otto cifre.

Infatti, ad ogni tentativo di accesso il dispositivo oggetto dell’attenzione restituisce un messaggio EAP-NACK che avvisa il destinatario in merito l’eventuale riuscita della procedura di autenticazione e proprio in tale messaggio sarebbe presente una falla.

Allarme sicurezza per la rete GSM: scovata una nuova vulnerabilità

Nuova vulnerabilità rete GSM

La notizia ha iniziato a diffondersi a macchina d’olio e l’allerta arriva direttamente dai Security Research Labs di Berlino che, nelle ultime ore, hanno scoperto una nuova e grave vulnerabilità nella rete GSM, il network di comunicazione cellulare di prima generazione che, ancora oggi, è impiegato su larga scala, grazie alla quale un hacker può, all’insaputa dell’utente, effettuare chiamate ed inviare SMS, il tutto, ovviamente, a spese dell’effettivo proprietario del device.

Il bug in questione è di tipo software e, a quanto pare, risulta presente nelle infrastrutture mobile di ben 32 operatori telefonici di 11 differenti paesi tra cui risulta compresa anche l’Italia.

Per verificare la presenza del bug Karsten Nohl, esperto di sicurezza mobile e responsabile dei Security Research Labs, ha sfruttato un cellulare Motorola di vecchia data unitamente ad un tool apposito mediante cui è riuscito a decifrare le chiavi impiegate dagli operatori per stabilire una connessione tra la rete GSM ed il device impiegato.

Windows Phone, grave falla nel sistema di messaggistica

Il sito Internet WinRumors ha scovato una grave falla nel sistema di messaggistica di Windows Phone. Inviando un SMS appositamente progettato al telefono della vittima, lo smartphone si riavvia automaticamente e al rientro dal reboot non è più in grado di far partire l’applicazione per gli SMS.

Il problema non è legato a singoli dispositivi ma al sistema con il quale Windows Phone gestisce i messaggi. È stato infatti riscontrato su diversi dispositivi e su diverse versioni dell’OS (compreso il recente “Mango”). Inoltre, a quanto pare, affligge anche l’invio dei messaggi sulla chat di Facebook e Windows Libe Messenger.

Pass-O-Meter, testare l’effettivo livello di vulnerabilità delle password

Utilizzare una password sicura, considerando i tempi che corrono, costituisce sempre più una vera e propria necessità al fine di preservare l’accesso a dati ed informazioni di una certa rilevanza.

Spesse volte, però, si tende a sottovalutare l’effettivo grado di affidabilità derivante dall’impiego di uno specifico insieme di caratteri alfanumerici che, a seconda dei diversi utilizzi e, sopratutto, delle diverse circostanze, potrebbero risultare più o meno efficaci.

Onde evitare di andare incontro a brutte sorprese risulterebbe quindi piuttosto utile testare l’effettiva sicurezza delle proprie password servendosi di un apposito ed fficiente strumento accessibile direttamente dal proprio desktop quale lo è Pass-O-Meter.

Microsoft Patch Tuesday Febbraio 2011: corrette tante vulnerabilità, tranne quella MHTML


Dopo l’esile carico di patch di gennaio, Microsoft saluta il secondo mese dell’anno con un Patch Tuesday di quelli coi fiocchi: sono ben 12 i rattoppi rilasciati ieri sotto l’etichetta di “critical” e “important”, con alcuni accorgimenti extra riguardanti perfino Windows 7 SP1 (che non è stato ancora rilasciato ufficialmente).

A generare qualche brusio, però, non è stata la corposità dell’aggiornamento (giustificato anche dall’imminente Pwn2own 2011, in cui Microsoft vuole fare buona figura) ma la mancanza in esso della patch più attesa, quella per l’ormai famigerata vulnerabilità MHTML che affligge tutte le versioni di Windows.

Internet Explorer è più sicuro di Chrome e Firefox, dice Bit9. Intanto esce IE9 Tech Preview 7

Giornata campale, quella di ieri, per Internet Explorer. Stranamente senza brutte notizie per il browser di Microsoft.

Innanzitutto, è uscita la Tech Preview 7 di Internet Explorer 9 che pare aumentare notevolmente le prestazioni del nuovo motore javascript di IE (Chakra). Poi – e questa è la vera notizia del giorno – è stato pubblicato uno studio che sembrerebbe confermare quanto Secunia, tra infinite polemiche, aveva già certificato qualche mese fa, ossia che Internet Explorer è meno vulnerabile degli altri browser.

Internet Explorer? È meno vulnerabile degli altri browser

Provate a fermare un geek per strada e a dirgli questa frase: “Internet Explorer è il browser più sicuro del mondo”, questo si rotolerà in terra colto da crampi allo stomaco per le troppe risate. Eppure i risultati delle ricerche Secunia riguardanti il periodo giugno 2009-giugno 2010 sembrerebbero dire altro, ossia che nell’ultimo anno il tanto vituperato IE è stato soggetto a meno CVE (vulnerabilità ed esposizioni comuni) di tutti i suoi principali concorrenti.

Dati alla mano, Internet Explorer è nono nella top 20 dei software più vulnerabili dell’anno, mentre Firefox, Safari e Chrome figurano, rispettivamente, al primo, secondo e quarto posto nella graduatoria dei programmi più vulnerabili fra quelli non prodotti dall’azienda di Redmond. Nella tabella che segue, la classifica completa.

Damn Vulnerable Linux, il sistema operativo meno sicuro del mondo

Uno dei dubbi più annosi del mondo geek è sicuramente quello riguardante la sicurezza dei vari sistemi operativi. Windows è più sicuro di OS X? Qual è più affidabile fra Linux e Windows? Sarà più vulnerabile un Mac o un sistema Linux? Domande alle quali, ammettiamolo, è praticamente impossibile dare una risposta certa. Almeno fin quando non si ha la ventura di avere a che fare con Damn Vulnerable Linux, il sistema operativo meno sicuro del mondo.

Sì, cari amici, avete letto bene. Damn Vulnerable Linux è – come recita anche la sua presentazione ufficiale – tutto quello che una buona distribuzione Linux non dovrebbe essere. Un’accozzaglia di software obsoleto, mal configurato e soggetto ad exploit, che rende il sistema vulnerabile ad attacchi informatici di ogni grado di pericolosità.

Sappiamo già cosa state pensando: Microsoft avrà deciso di sviluppare una sua distro Linux e questo è il risultato. No, tranquilli. Damn Vulnerable Linux (abbreviato DVL) è molto più semplicemente una versione speciale del sistema del pinguino studiata per far impratichire gli studenti di sicurezza informatica.

Office 2010, scoperte le prime due vulnerabilità e Microsoft s’inalbera

Volete far arrabbiare Microsoft? Individuate una falla di sicurezza nei suoi prodotti e comunicatelo al mondo senza avvertire Ballmer e soci. Proprio come ha fatto Vupen Security, un’azienda abbastanza attiva nel campo della sicurezza informatica (130 le vulnerabilità scoperte nel solo 2010), che sul suo blog ha pubblicato la notizia relativa all’individuazione delle prime due falle di sicurezza in Office 2010 senza comunicare la cosa ai diretti interessati, che si sono – forse giustamente – risentiti.

Secondo quanto si apprende dal post della Vupen, i ricercatori sono riusciti a creare “un codice exploit che funziona su Office 2010, bypassando il DEP (Data Execution Prevention) e la funzione di validazione dei file di Office” sfruttando “un problema di corruzione della memoria che affigge Excel”.

I dettagli tecnici della vulnerabilità non sono stati ancora pubblicati né riferiti a Microsoft, ma gli esperti di Vupen Security assicurano: “è stata scoperta una seconda vulnerabilità in Office 2010 (questa volta in Word), e contiamo di scoprirne altre nei prossimi giorni”. Anche in questo caso, i dettagli tecnici li conoscono solo loro.

Mozilla rilascia Firefox 3.5.4, corrette alcune vulnerabilità di sicurezza

Mozilla Firefox

Il team di Mozilla Firefox ha appena rilasciato una nuova versione del celeberrimo browser opensource, la 3.5.4, la cui installazione è caldamente consigliata a causa della correzione di alcune gravi falle di sicurezza riscontrate dal team. Oltre alla correzione delle vulnerabilità è stata migliorata la stabilità del browser, fixati alcuni bug minori ed applicate delle patch generiche per piccoli problemi di poco conto. Dopo il salto, trovate l’elenco dei problemi corretti.

Rilasciato WordPress 2.8.4, corretta una grave vulnerabilità

WordPress 2.8.4

Come vi abbiamo già anticipato, lo staff di WordPress è stato costretto a rilasciare in tempi brevissimi una nuova versione di WordPress, la 2.8.4, per correggere una grave vulnerabilità che permetteva ad eventuali utenti malintenzionati di resettare la password di qualsiasi utente, compreso l’amministratore. Una volta azzerata, la password veniva inviata via email all’amministratore, o a chiunque altro fosse stato preso di mira dagli utenti malintenzionati. Ciò non consente a terzi di effettuare un accesso a WordPress, ma può risultare estremamente fastidioso.

Disponibile WordPress 2.8.3, corrette ulteriori falle di sicurezza

A poche settimane dal rilascio della versione 2.8.2, lo staff di WordPress rilascia una nuova versione, la 2.8.3, per correggere alcune falle di sicurezza non corrette con la 2.8.1. In sostanza, questa versione estende le modifiche fatte con la versione 2.8.1 sulla possibilità di scalare i privilegi utente, modifiche che purtroppo non avevano coperto tutte le possibili falle di sicurezza. Grazie al duro lavoro della community, ed a una profonda analisi del codice, lo staff di WordPress è riuscito a correggere tutte le falle e a rilasciare la nuova versione.

Come per ogni security release, l’aggiornamento è obbligatorio. Lo staff di WordPress Italy ha rilasciato a tempo di record, soprendendo moltissimi utenti, la versione italiana, già disponibile tramite Aggiornamento Automatico. E’ altamente consigliato aggiornare appena possibile, come d’altronde consigliato dallo stesso staff di WordPress Italy, il quale in un primo tempo aveva dichiarato di poter rilasciare la versione tradotta solo nel weekend, consigliando caldamente a tutti di aggiornare prima alla versione inglese e poi a quella italiana.

Microsoft ammonisce, mai abbassare la guardia dai trojan

Mamma Microsoft, nell’annuale presentazione del report sulla sicurezza, ha lanciato l’allarme: non dobbiamo abbassare la guardia nei confronti dei trojan.

Anche se, dati alla mano, le vulnerabilità sono in forte calo, la pericolosità delle minacce è in aumento poichè più facilmente sfruttabili dai “geni del male“. In poche parole i creatori di virus, trojan e malware si stanno specializzando nella creazione di software malefici sempre più sofisticati.

In vetta alla classifica dei paesi più in paricolo di browser exploit c’è stabile la Cina con il 47% dei sistemi a rischio, seguita a ruota dagli USA con il 23%. Ma non solo di browser exploit parla il report di casa Microsoft, il 30% dell’aumento dei file maligni riguarda infatti i soli trojan.

+ Leggi tutto