Il Disinformatico di Paolo Attivissimo del 22 Aprile 2016 - #WhatsApp #Spoofing #HackingTeam #Facebook #Viber #Prince






Puntata 449

I titoli di ogni notizia contengono un link all'articolo originale pubblicato sul blog Disinformatico di Paolo Attivissimo.


SOMMARIO

Esperti contro: disinstallare Quick Time oppure no



Secondo il CERT (Computer Emergency Readiness Team) conviene disinstallare Quick Time dai pc windows a causa di due falle di sicurezza che permetterrebbero di infettare la macchina visitando pagine preparate apposta; tanto più che non esisitono aggiornamenti visto che il programma è obsoleto. Secondo Adobe però, togliendo Quick Time, i codec legati al famoso programma After Effect smetterebbero di funzionare. Insomma se avete After Effect non sembra ancora possibile eliminare Quick Time: si dovrà pertanto non navigare con queste macchine o farlo a proprio rischio e pericolo, a meno di aggiornamenti straordinari da parte di Apple.


In questo video si cerca di aggirare il problema disintallando Quick Time per installare la versione Q-LITE.








Hacking Team: Phineas Fisher racconta come ha aperto la breccia in questa azienda

L'estate scorsa la famigerata società di Milano è stata vittima di hackeraggio da parte di Phineas Fisher, grazie alla cui opera siamo riusciti a conoscere gli affari loschi intrattenuti (ma sempre negati) dall'azienda con diversi regimi dittatoriali (Hacking Team forniva a tali nazioni gli strumenti per incarcerare ed eliminare i dissidenti).

Ma come è avvenuto l'hackeraggio?

L'autore afferma di esserci riuscito in circa 100 ore di lavoro.

Mentre il sito web aziendale era troppo protetto per cercare l'eventuale exploit, un dispositivo embedded (forse una telecamera) aveva un software difettoso, prontamente riscritto e usato come testa di ponte per entrare nell'infrastruttura informatica di Hacking Team. Successivamente ha individutao una installazione poco sicura di Mongo DB (un database Open Source) che gli ha permesso di infiltrasi nella macchina dell'amministratore di sistema: quest'ultimo usava TrueCript per salvare le password e non appena lo ha utilizzato, Fisher si è trovato tutte le password utili per accedere ai 400 giga di dati (documenti, email...) successivamente riversati in rete.

Questa è l'asimmetria dell'hacking: una persona con tempo e risorse limitate può abbattere un colosso come Hacking Team.





WhatsApp: un ulteriore passo per garantire la sicurezza

Si è parlato molto dell'introduzione della crittografia end-to-end. Per attivare questa protezione non si deve fare nulla, solo scaricare la versione più aggiorata della App.

Inoltre se due interlocutori si conoscono di persona possono scambiarsi un codice QR in modo da evitare casi di spoofing (banalizzando, un furto di identità): in pratica il processo di scambio dei codici autentica i dispositivi coinvolti nelle conversazioni,. garantendo agli interlocutori di parlare con la persona voluta (sempre che uno dei due no si faccia sotrarre il telefono, sia chiaro).

Sempre a proposito di WhatsApp e sicurezza:

ricordarsi sempre che i metadati delle comunicazioni sono comunque raccolti da WhatsApp a scopo di marketing ("Se è gratis il prodotto sei tu"). E poi, per quanto le comunicazoini siano cripatate, le copie delle conversazioni si trovano sui dispositivi dei destinatari e sui loro repository di backup (e quindi in qualche modo sono accessibili a terzi in caso di hacking).



Facebook violata a fin di bene da un informatico

Orange Tsai di mestiere "Penetration Tester" è riuscito ad entrare in questo modo nei server di Facebook: ha fatto prima un po' di ricerche su Google e, sfrutando le proprie competenze tecniche, ha scoperto alcuni siti poco pubblicizzati appartenneti al colosso di Menlo Park. In uno di questi siti era presente un protocollo di trasferimento file poco sicurio che gli ha dato accesso ai dati sensibili dell'azienda. E si pure accorto che qualcuno stava già spiando i loro dati: l'hacker dal capppello bianco, ha prontamente avvisato Facebook della falla e della concomitante intrusione. In questo modo ha ottenuto la ricompensa di 10K dollari prevista per i collaboratori e con la rassicurazione che l'altro attacante era un esperto di sicurezza come lui che testava la stessa vulnerabilità (almeno si spera).


Viber

Anche Viber introduce la crittografia end-to-end: anche in questo caso basta aggiornarsi alla nuova versione (per quanto non si sappia ancora nulla, a differenza di WhatsApp, sul protocollo di criptazione utilizzato).




Antibufala: Prince ucciso dalle scie chimiche

Oltre alla castroneria citata nel titolo, altre bufale vogliono la Torre Eiffel tinta di viola per la sua scomparsa, e il cambio di pic sui social del cantante, in realtà non sono vere poichè riguardanti gli account fake di Prince.