È iniziata la Black Hat, una conferenza in cui i maggiori esperti di hacking mondiale si riuniscono per fare il punto della situazione. Al centro di manifestazioni di questo genere ci sono da sempre i browser e anche stavolta non si faranno eccezioni (anche se l'occhio cadrà sul mondo mobile). Tutti i browser sono vulnerabili e non è difficile entrare in possesso d'informazioni personali che permettono di accedere a conti bancari. "Nessuno degli strumenti che dimostrerò è realmente difficile", ha affermato Jeremiah Grossman, capo delle tecnologie di WhiteHat Security.
Gli exploit realizzati da Grossman permettono di entrare in possesso dei dati immagazzinati nei browser grazie alla tecnologia conosciuta come "autocompletamento", molto utile per chi usa assiduamente il browser (permette di completare dei campi automaticamente senza digitare - email, nomi e password), ma a quanto pare insicura.
"È un problema di privacy e di sicurezza", ha dichiarato Grossman. L'hacker ha realizzato exploit differenti per Internet Explorer, Safari, Chrome e Firefox e tutti riescono a superare le difese della funzionalità di autocompletamento. L'uomo ha dichiarato che ha notificato agli sviluppatori dei browser le vulnerabilità, ma nessuno ha risposto dicendo come intende agire.
"Più di un exploit usa la scrittura simulata, iniziando a scrivere il nome utente. Poi la funzionalità fa il resto e completa il tutto. Il fatto che ogni browser richieda un differente exploit indica che i problemi sono nella codifica software", scrive Computerworld. "Penso che possano essere risolti", ha affermato l'hacker, aggiungendo che la falla in IE era già stata scoperta nel 2008, ma non è ancora stata risolta.
Alla Black Hat si parlerà anche del rapporto tra chi scova le falle e i produttori di software. Recentemente un ingegnere di Google ha scovato una fatta in Windows e dopo pochi giorni ha pubblicato l'exploit in Rete senza attendere che Microsoft avesse deciso come agire (Windows XP: 10mila attacchi per colpa di Google). Un caso che fa sicuramente da precedente e alla Black Hat si discuterà proprio su come comportarsi in situazioni simili e insieme alle aziende si potrebbe definire una deadline prima della quale si terranno "in cassaforte" eventuali exploit.
Al centro del dibattito due filosofie: la full disclosure (viene pubblicato tutto quasi subito) e la responsible disclosure (si pubblica il codice exploit solo dopo la patch rilasciata dall'azienda).
Da una parte la pubblicazione del codice exploit mette sotto pressione l'azienda sviluppatrice di software, che interviene rapidamente per risolvere la falla - ma mette in pericolo anche gli utenti che usano il software con la falla. La seconda opzione è invece più comoda per le aziende: un ricercatore trova il bug e lo comunica al produttore del software, poi aspetta che venga risolto e in seguito può pubblicare tutti i dettagli. Come abbiamo visto però ci sono falle note da anni che non ricevono fix. Allora che strada scegliere, qual è la migliore? Gli hacker s'interrogano.
Telecom gioca con i costi dell'unbundling, siamo fritti
Sparkle GTX 470 e 465, GF100 meno bollente
AMD e USB 3.0: con Hudson D1 già da quest'anno?
Basta rame, la fibra è la chiave dei PC di domani
Seagate GoFlex Home per archiviazione di rete
Quadro 6000 e 5000, Fermi si fa professionale
Qi è lo standard di ricarica wireless a induzione
StarCraft II, il grande giorno tra attesa e problemi
Apple Battery Charger, chic come un caricabatterie
Gli indirizzi IP scarseggiano, IPv6 alla riscossa
Dragon Age II, uno sguardo al dietro le quinte
Nokia N8 in preordine, 469 euro per Symbian 3
Un milione di e-book per la trilogia Millennium
SIAE spreme anche YouTube, per le tracce audio
App Android a pagamento: misure contro la pirateria
Audiweb Trends, senza ADSL vince la chiavetta
Canon lavora ai nuovi super-teleobiettivi 400mm e 600mm Cellulare TTM Outlimits Solaris con pannello solare integrato Mio Cyclo 300 e Mio Cyclo 305 HC sono GPS da bicicletta Facebook vuole Opera per realizzare un nuovo browser? Microchip nei cetacei per studiare il clima e la fauna marina Le offerte 3 Italia per il Samsung Galaxy SIII in anteprima Steve Jobs geniale ma Cook è il capo perfetto per Apple Absinthe 2.0 per il jailbreak del Nuovo iPad e iOS 5.1.1 Google cancella 1,2 milioni di link pirata al mese TV a Ultra Alta Definizione: si parla già di standard
Originariamente inviata da Dav1de
le banche serie hanno il log in tramite generatore casuale di numeri, il che lo rende virtualmente sicurissimo...
4 esempi:
Poste Italiane (come tutte le cose italiane il più mer**so, il che genera ovviamente più phishing da parte degli hackers): log in + password + codice di sicurezza alfanumerico da 10 caratteri non variabile - possibilità di phishing, soprattutto per utenti polli, molto elevata
Originariamente inviata da Dav1de
le banche serie hanno il log in tramite generatore casuale di numeri, il che lo rende virtualmente sicurissimo...
4 esempi:
Poste Italiane (come tutte le cose italiane il più mer**so, il che genera ovviamente più phishing da parte degli hackers): log in + password + codice di sicurezza alfanumerico da 10 caratteri non variabile - possibilità di phishing, soprattutto per utenti polli, molto elevata
Permanent TSB (irlanda): log in + password, tuttavia per poter effettuare un passaggio di denaro è necessario telefonare in banca. Sistema preistorico ma efficace, anche in caso di phishing non possono rubarti i soldi
Barclays (UK): log in + password + debit card da inserire nel generatore di codici casuali - virtualmente impossibile da riprodurre, e anche in caso di phishing l'hacker nulla può fare!
HSBC (UK): log in + password + dettagli utente, stranamente parecchio facile da aggirare... non so come funziona per i trasferimenti di danaro in quanto ancora non ho provato. Comunque troppo semplice per i miei gusti...
Originariamente inviata da Skafloc
Era così, adesso le poste mi hanno consegnato il lettore bancoposta, che genera numeri casuali ad ogni operazione effettuata.
http://www.poste.it/bancoposta/lettore/index.html
Originariamente inviata da Skafloc
Era così, adesso le poste mi hanno consegnato il lettore bancoposta, che genera numeri casuali ad ogni operazione effettuata.
http://www.poste.it/bancoposta/lettore/index.html
Originariamente inviata da Dav1de
le banche serie hanno il log in tramite generatore casuale di numeri, il che lo rende virtualmente sicurissimo...
4 esempi:
Poste Italiane (come tutte le cose italiane il più mer**so, il che genera ovviamente più phishing da parte degli hackers): log in + password + codice di sicurezza alfanumerico da 10 caratteri non variabile - possibilità di phishing, soprattutto per utenti polli, molto elevata
Anche l'Italia avrà la sua cyber-roccaforte di difesa Windows 8 tutela i minori bloccando i siti e l'uso del PC Carta da parati che blocca il Wi-Fi per sicurezza e salute 60mila utenze Twitter rubate, ma è solo un fuoco di paglia Giochi invece dei CAPTCHA per provare che siamo umani I virus su Mac rendono molti soldi: Flashback conferma Skype passa al P2P Linux per volere di Microsoft Apple è dietro di dieci anni rispetto a Microsoft in sicurezza Norton Identity Safe per gli smemorati delle password Tanti i Mac infettati da Flashback per colpa di Wordpress
23 commenti
Commenti