News

Hacker hacked by Avast and france police

Hacker hackerati, grazie ad Avast e alla polizia francese

Avast antivirus, software house con base in Repubblica Ceca, in collaborazione con la polizia francese ha smantellato una botnet specializzata nel furto di cripto valuta.

Una botnet è una rete di computer – ribattezzati zombie (o bot) – infettati da uno speciale malware, un worm in grado di diffondersi silenziosamente quanto rapidamente – controllati da remoto tramite un server “command and control”, il cosiddetto botmaster, che fa eseguire loro compiti non voluti dagli utenti.

La botnet era specializzata nella raccolta di informazioni, il cosiddetto mining, sulla cripto valuta Monero in modo da assicurare una rendita passiva ai suoi creatori.

Basata sul worm Retadup si è diffusa particolarmente nelle Americhe e in Russia infettando più di ottocentocinquantamila computer!

La collaborazione con la polizia francese ha permesso ad Avast di accedere ad un web host, situato in terra gallica, che ospitava il server command and control e da qui entrare in possesso di uno snapshot del server stesso.

Ha perciò scoperto che il malware era affetto da una falla, grazie alla quale Avast ha potuto “infettare” il virus stesso ordinandogli di autodistruggersi, bonificando i computer già infettati e fermando la creazione di nuovi PC zombie.

Infine ha ironicamente consigliato agli sviluppatori del malware di controllare il loro codice con buoni antivirus: avrebbero così scoperto la falla utilizzata per distruggere la loro creazione.

Il capo della polizia francese, Jean Dominique Nollet, ha dichiarato che i malfattori sono comunque riusciti a rubare milioni di euro in cripto valuta.

Microarchitectural Data Sampling

Microarchitectural Data Sampling

Alcune “nuove” vulnerabilità per i chip Intel, scoperti nel 2018 su chip prodotti tra il 2008 e il 2011, riassunte sotto la sigla MDS, Microarchitectural Data Sampling:

*fonte wikipedia

Secondo Intel, il grado di pericolosità reale di un possibile exploit è da considerarsi “medio-basso” e al tempo stesso pare non siano stati registrati avvenuti attacchi.

Certamente sono molti i dispositivi potenzialmente a rischio. Windows, Mac OS e Android, sebbene su macchine relativamente datate, ma ancora molto diffuse.

Il consiglio è di aggiornare il microcodice dei microprocessori, generalmente attraverso l’aggiornamento del BIOS o di UEFI.

Un valido aiuto sono gli  aggiornamenti automatici delle varie distribuzioni dei sistemi operativi, rimanendo consapevoli che le macchine così datate soffriranno certamente di fastidiosi rallentamenti.

Già il 14 maggio 2019 sono stati rilasciate le patch per zombiland per il kernel Linux, Microsoft – tramite Windows Update – Apple Update (benché i dispositivi antecedenti al 2011 non possano al momento essere aggiornati).

Aggiornamenti disponibili anche da Google e Amazon; AWS e altri cloud infatti potrebbero essere interessati al problema.

Huawei Backdoor

Bloomberg: Vodafone trova una backdoor nei dispositivi Huawei

Qualche giorno fa, il 30 aprile, Bloomberg annuncia che Vodafone Italia ha individuato delle backdoor negli apparati Huawei utilizzati nelle reti di telefonia fissa.

In realtà “la scoperta” si riferisce a episodi che risalgono al 2011 e al 2012 e sono stati prontamente risolti dalla casa cinese, su richiesta di Vodafone stessa.

I problemi software avrebbero potuto permettere di accedere a milioni di dati, da parte di Huawei oppure di qualche malintenzionato ben informato.

Vodafone Italia assicura che nessuna fuga di dati è avvenuta e nessuno è rimasto coinvolto dal problema.

Secondo BBC, il problema è nato con Telnet, il protocollo che normalmente viene usato per ragioni di debugging e assistenza remota, nel quale un servizio di debug era rimasto attivo.

Sembra infatti che succeda (troppo) spesso che software utilizzati per ragioni di debug rimangano installati dopo che gli apparecchi raggiungono il grande pubblico; di contro sembra anche che le compagnie siano più che mai attente ai dati in loro gestione.

Dopo le critiche del presidente americano Trump e le sue esortazioni a non fornirsi da produttori cinesi per reti di comunicazione nel momento in cui in tutto il mondo si stanno costruendo le reti cellulari 5g e la competizione tra i fornitori hardware è altissima, la notizia ha il sapore retrò di una spy story anni ’70, in piena guerra fredda.

A far correre la fantasia ci pensa la realtà: proprio in questi giorni Putin ha firmato la legge che prevede l’isolamento della Russia da Internet in qualsiasi momento. Si prevede la costruzione entro pochi mesi di una rete sovrana, RUNet, che sarà pienamente operativa entro il 2021.

Maxi furto Informatico: Hacker rubano 500 milioni di dollari in criptovalute

Tokyo, 29 gennaio 2018 – Un attacco hacker ha fatto sparire dalla piattaforma di scambio Coincheck 58 miliardi di yen (pari a 530 milioni di dollari) in monete virtuali. 

Il massiccio attacco hacker è avvenuto nella giornata di venerdì, quando i tecnici del sito Coincheck, uno dei più rinomati in Asia e in Giappone, hanno rilevato un accesso non autorizzato al sistema informatico. Successivamente la società ha cercato di limitare i depositi ed i prelievi della moneta virtuale NEM (la decima più grande criptovaluta per capitalizzazione di mercato globale) e di svariate altre monte virtuali. Non sono state rubate tutte le monte ma solo quelle custodite in quello che comunemente viene chiamato hot wallet “portafoglio caldo “, un archivio di valuta digitale connesso a Internet che permette una gestione più rapida e agevole ma sicuramente più hackerabile. Le valute invece conservate negli archivi offline “cold wallet”, come i Bitcoin, non hanno subito alcun attacco.

La piattaforma di scambio Coincheck ha dichiarato di non essere ancora a conoscenza delle modalità che hanno permesso agli hacker di rubare la criptovaluta.

Dopo la divulgazione della notizia il valore della moneta virtuale NEM, presente sui portali di scambio internazionali dal 2015, è crollato del 15 percento. Nel corso di una conferenza stampa, il presidente della piattaforma giapponese, Koichiro Wada, si è ripetutamente scusato per l’accaduto e ha annunciato che utilizzerà le proprie risorse per restituire l’equivalente in yen dell’investimento iniziale dei clienti poiché, che con molta probabilità, la criptovaluta sottratta dagli hacker sarà irrecuperabile. 

L’attacco hacker ricorda quello che nel 2014 ha permesso il furto di 400 milioni di dollari in Bitcoin ai danni un altro exchange nipponico, MtGox, che successivamente ha dovuto dichiarare bancarotta. Gli analisti stanno analizzando ora i probabili sviluppi per l’exchange Coincheck nella speranza che il suo destino sia diverso da quello di MtGox.

Il tuo pc potrebbe gestire bitcoin senza che tu lo sappia

Alcuni siti web di videostreaming installano sul tuo pc , senza il tuo consenso, software per gestire criptovalute: praticamente, “regalate” soldi e potenza di calcolo inconsapevolmente.

La pubblicità sfacciata e l’utilizzo non autorizzato dei propri dati personali sono probabilmente per l’utente finale le forme di guadagno online più moleste. Purtroppo a breve dovremmo abituarci anche a questa pratica frequente che permette la vampirizzazione del nostro pc da parte di app e siti: l’utilizzo del (nostro) computer, di nascosto, per “gestire criptomoneta” (e non solo “bitcoin”).

Alcuni siti web di video streaming, in base a quanto riportato dal giornale Guardian, avrebbero misteriosamente utilizzato la potenza di calcolo del computer per minare la criptovaluta Monero, moneta diversa dai bitcoin, la cui estrazione può essere effettuata con una normale CPU poiché non richiede uno specifico processore.

PARASSITISMO   Minare le criptomonete come il bitcoin comporta un’attività molto gravosa in termini energetici perché implica l’esecuzione di svariati e complessi calcoli matematici per controllare la correttezza di tutte le transazioni compromettendo la velocità del device.  Per completare queste transazioni è necessaria una notevole potenza di calcolo: ogni operazione in bitcoin richiede infatti l’energia elettrica indispensabile a far funzionare simultaneamente 36.000 bollitori.

SENZA AVVERTIRE. Gli utenti avrebbero scaricato il software per l’attività di mining durante il download del player per i video senza rendersi conto. Non è raro che un sito web viene accusato di cryptojacking (cioè utilizzare i computer di qualcun altro a sua insaputa per insidiare bitcoin,). Era già accaduto, nel settembre scorso, col sito di videostreaming Pirate Bay, che si era difeso indicando nell’attività una nuova metodologia, alternativa alla pubblicità, per sovvenzionarsi. Ma è successo anche con provider wifi gratuito in Argentina.

BISOGNA ABITUARSI? Potrebbe essere che in futuro, come riporta un articolo su The Conversation,app e siti potrebbero utilizzare sempre più frequentemente al cryptojacking per ottenere introiti. Con alcuni tipi di criptovalute, l’attività di mining può essere effettuata da pool (gruppi) di più pc, ognuno dei quali controlla una piccola sezione di transazioni. A un pc oggetto di cryptojacking quindi potrebbero essere utilizzati solo alcuni secondi di potenza “rubata”.

COME PROTEGGERSI. Un modo per tutelarsi potrebbe essere quello d’informare gli utenti finali dell’installazione dei sw per il mining, in modo che possano decidere consapevolmente. In alternativa, è possibile provare a bloccarli attraverso un ad-blocker, come se fossero annunci pubblicitari.

Intel AMT: bastano pochi attimi per violare la sicurezza

Con il nuovo anno arriva una nuova gatta da pelare per Intel in ambito sicurezza.

Una nuova debolezza sulla sicurezza di Active Management Technology, rivelano i ricercatori di F-Secure , con il firmware di gestione che consentirebbe a qualsiasi persona che possa avere accesso fisico al PC di guadagnare i permessi di accesso remoto permanentemente. Questa vulnerabilità è all’interno del firmware Intel AMT, tecnologia installata su milioni di sistemi.

Secondo Intel la ‘colpa’ è da riferire ai produttori dei sistemi in commercio, e quindi non della stessa Intel, per non aver protetto in maniera corretta ed appropriata la configurazione di AMT all’interno dei menu di settaggio del BIOS. Intel ha avuto dei problemi con AMT a maggio 2017, per una falla del firmware, corretta lo scorso novembre e inviando la patch ai produttori hardware. Ma la più recente vulnerabilità sulla sicurezza è però stata scoperta da Harry Sintonen (F-Secure) a luglio, e rivelata negli scorsi giorni in un nuovo report, sul sito ufficiale.

Non si tratta proprio di un bug, ma di una feature che può aprire le porte ad un attacco di terze parti. Sfruttando questa funzionalità la sicurezza dei PC aventi Intel AMT può essere compromessa in pochi attimi da chiunque abbia accesso al PC, aggirando la password di sicurezza del BIOS, i numeri di autenticazione di Trusted Platform Module e anche le password di crittografia dei dischi  Bitlocker. Basta riavviare il sistema, entrare quindi nel menu di configurazione del BIOS selezionando Management Engine BIOS Extension (MEBx).

Nel caso che quest’ultima funzionalità non fosse configurata precedentemente dall’utente,  l’aggressore è in grado accedere alle impostazioni di configurazione banalmente utilizzando la password di default ‘admin’. Dopo questa operazione è possibile quindi modificare la password, abilitare l’accesso remoto e configurare il firmware.

Come tutti gli attacchi che richiedono accesso fisico al sistema la pericolosità è ridotta, anche se la breve tempistica necessaria per atturalo potrebbe essere nelle mani anche di utenti senza grandi competenze.

Intel non ha tante colpe in merito ad ogni modo: lo scorso mese ha pubblicato delle linee guida sulle best practice da seguire per la configurazione di AMT così da impedire aggressioni di questo tipo e garantirne la sicurezza.