Security Week 32: Stagefright di Android, auto hackerate, Do Not Track 2.0

Tre notizie importanti: l’insidiosa vulnerabilità di Android, Stagefright, ancora auto hackerate e l’iniziativa per la salvaguardia della privacy Do Not Track 2.0.

Infosec digest

Solamente 23 anni fa Microsoft lanciò il sistema operativo Windows 3.1, Apple mise sul mercato il suo primo iPhone PDA e Linus Torvalds rilasciò Linux sotto licenza GNU. Eugene Kaspersky pubblicò un libro contenente una descrizione dettagliata di quelli che in futuro sarebbero stati chiamati virus e dei metodi per rimuoverli, uno tra questi mediante l’uso di programmi antivirus. Ai tempi il panorama delle minacce informatiche non era poi così esteso: tutti i virus potevano essere descritti con poche caratteristiche che rimanevano immutate per un paio d’anni.

Libro EK

The Complete Сatalogue of Malware, di Eugene Kaspersky ,1992

Allora sì che erano bei tempi. Ora abbiamo 325 mila nuovi esemplari di malware al giorno e praticamente ogni settimana si riscontrano problemi di sicurezza importanti, dalle auto agli skateboard passando per le centrali nucleari. Una notizia buona e cattiva allo stesso tempo: più la gente si preoccupa della sicurezza dei propri dati, e più si è dipendenti dai computer nel campo dell’industria o nella vita quotidiana, più ci si impegnerà a trovare soluzioni per questo tipo di problemi.

Per il momento rilassiamoci e godiamoci lo spettacolo. Ogni lunedì vi presenteremo le tre notizie più importanti della settimana, quelle che hanno ricevuto un maggior eco a livello mediatico. Le notizie saranno tratte principalmente dai nostri blog Threatpost (in inglese) e Kaspersky Daily.

Stagefright: vulnerabilità Android che non ha ancora cambiato nulla

Notizia presa da Threatpost, la risposta di Google, CERT Advisory. E i consigli di Kaspersky Lab su come affrontare questa vulnerabilità.

Wired l’ha considerata come la peggiore vulnerabilità di Android fino a oggi, ma non è cosi, potrebbe andare peggio. La differenza principale rispetto ad altre vulnerabilità tipo Heartbleed o Shellshock, è che non c’è stato bisogno d’inventarsi un nome apposta; Stagefright, infatti, è una parte dell’Open Source Project di Android, della sezione audio e video. Dal punto di vista tecnico, si tratta di un intero set di vulnerabilità (gli esperti di Zimperium hanno scoperto sette ID e CVE), principalmente legati ai buffer.

Il sistema ha il compito di attivare suoni e video e, come ha precisato ZDNet, è stato fatto apposta per avviare i video ancor prima che all’utente venga in mente di guardarli. Per alcune misteriose ragioni, queste attività si eseguono a un livello di accesso piuttosto esclusivo. In realtà, le ragioni non sono così misteriose: in questo modo il processo di codificazione è più semplice. In ogni caso, risulta piuttosto semplice raggirare la sandbox di Android,, preparata proprio per trucchetti di questo genere.

Il risultato è un bel proof of concept: un MMS al telefono e il gioco è fatto. Non è neanche necessario aprire l’MMS, il telefono lo farà in automatico perché così è stato stabilito dalla casa produttrice per la comodità dell’utente. Tutte cattive notizie, quindi? Non esattamente. Innanzitutto, a partire dalla versione 4.1 in avanti, la tecnologia Address Space Layout Randomization evita che cose del genere possano accadere o risolve almeno in parte il problema.

In secondo luogo, comportandosi responsabilmente, Zimperium ha trattenuto il codice dell’exploit, anche se si può evincere dalle patch pubblicate.

La reazione di Google è stata interessante. Vi presentiamo un breve riassunto del post pubblicato sul blog ufficiale di Android: “Va tutto bene. La nostra sandbox è fenomenale. Solo sullo 0,15% dei dispositivi Android si trova l’app dannosa (qui potremmo mettere asterischi su asterischi di precisazione). Tuttavia, affinché tutto sia a posto, i dispositivi Nexus riceveranno ogni mese degli aggiornamenti”.

Tutto perfetto, ma cosa succede agli altri smartphone e tablet Android? La risposta di Google non è sufficiente considerando il problema della frammentazione di Android su dispositivi tanto diversi gli uni dagli altri, oltre ai costanti ritardi nell’aggiornamento dei dispositivi più moderni alle ultime versioni del sistema operativo o la totale mancanza di aggiornamento sugli hardware meno recenti.

Per fortuna HTC, Samsung, Sony, LG e altri sviluppatori hanno dichiarato di voler aggiornare con maggiore frequenza i propri smartphone e tablet. In ogni caso rimangono ancora tante incognite, per il momento sappiamo solo che alcuni dispositivi riceveranno aggiornamenti. Forse. Se ci comportiamo bene.

Si tratta comunque di un buon segno. Prima o poi Android dovrà adottare un sistema simile al Patch Tuesday di Microsoft. Solo un anno fa Adrian Ludwign, Security Chief per Android di Google, ha dichiarato che non c’era alcun problema di sicurezza su Android e che bisognava solo fare qualche modifica a Google Play. La vulnerabilità Stagefright mette in discussione tale affermazione, o per lo meno speriamo che sia così. Qualcosa bisognerà pur fare, no?

Auto hackerate

Notizia presa da Threatpost, La prima notizia su Threatpost, il resoconto dalla conferenza Black Hat su Kaspersky Daily, altre novità dal DEF CON

Settimana scorsa c’è stato un evento importante: è stata pubblicata la prima patch per le smart car. In particolare per il sistema Uconnect utilizzato da Fiat Chrysler e che consente di a)gestire tutti i comandi più importanti (quelli che mandano un’auto in un burrone) e b) ricevere le connessioni interne mediante reti cellulari. Non posso non ripubblicare questo tweet:

È della settimana scorsa. Questa settimana è stata scoperta un’altra vulnerabilità, non così critica ma altrettanto interessante. Immaginate di trovarvi nella soleggiata Spagna, o in Bulgaria, o in Grecia non importa. Noleggiate un’auto e poi andate in spiaggia a farvi un bagno. Nel frattempo qualcuno potrebbe rubare le chiavi dell’auto. In una situazione normale, ciò non servirebbe molto al ladro perché dovrebbe mettersi a cercare l’auto tra le tante parcheggiate. Tuttavia, essendo un’auto noleggiata, sulle chiavi c’è scritto il numero della targa.

In sostanza, meglio usare la piscina dell’hotel. Samy Kamkar, ricercatore di sicurezza indipendente, ha dimostrato che si tratta di una possibilità reale se si utilizza OnStar RemoteLink (che consente di rintracciare e aprire da lontano le portiere di un’auto della General Motors). Kamkar ha progettato un dispositivo miracoloso che intercetta le connessioni tra l’app mobile e l’auto, bisogna soltanto trovarsi vicino al proprietario dell’auto.

La situazione non è cosi preoccupante come sembra: il ricercatore ha dichiarato che il problema è insito nella app, non nei veicoli e con un semplice aggiornamento si risolve. Ma c’è un altro aspetto da considerare. In molti utilizzano i sistemi multimediali delle auto moderne; la maggior parte sono simili ad Android e iOS, sono dotati di touchscreen, a volte accesso a Internet e altre diavolerie tecnologiche. Il problema è che tali sistemi sono pieni di vulnerabilità. Cito nuovamente Wired che considera “penosi“, in confronto ad Android, i sistemi multimediali delle case produttrici di automobili.

Perché? Perché questi sistemi evolvono troppo velocemente rispetto all’atteggiamento conservatore delle case produttrici di automobili, che così rimangono indietro. Per fortuna, esistono delle eccezioni.

L’industria automobilistica è indietro nel campo della sicurezza informatica. Per un esperto in sicurezza un bug in Uconnect è una vera e propria vergogna. Ma si sa, la sicurezza non è mai uno dei problemi in cima alla lista e i codici “meno sicuri” sono più economici e facili da gestire. Ed è qui che cominciano le rogne. Il relativo isolamento delle tecnologie usate nell’industria automobilistica rispetto al mondo dell’informatica in generale, fino ad ora è stato d’aiuto ma presto sarà questo il punto debole. Questi sistemi saranno hackerati e saremo colti di sorpresa, pagandone le conseguenze.

Come non essere rintracciati ed essere felici

La storia, articolo d EFF

Il meccanismo Do Not Track è compatibile con i principali browser, ma purtroppo non funziona. Era una buona idea a dire il vero: se gli utenti vogliono evitare che banner, social network, Google rintraccino i propri movimenti su Internet, basta spuntare una casella per riottenere la tanto agognata privacy.

Beh, dimenticatevi di tutto ciò. Si tratta di un’idea che circola de 10 anni ormai e non c’è stata alcuna evoluzione. Continuiamo a vedere annunci pubblicitari in base ai prodotti che abbiamo acquistato e provenienti dallo shop online che abbiamo utilizzato. Il problema di fondo è che l’industria in generale non potrà mai consentire l’uso di Do Not Track e non rispetterà mai l’intenzione dell’utente di essere lasciato in pace.

L’organizzazione Electronic Frontier Foundation considera che la soluzione si trova in uno standard che metta più alle strette i siti Internet. Ad esempio, se il sito accetta di rispettare la privacy dell’utente, non dovrà aggiungere i tasti per la condivisioni sui social. Se per questioni tecniche è necessario seguire l’attività dell’utente (per l’acquisto di un prodotto, per autorizzazioni ecc), è necessario che l’utente acconsenta.

I nuovi standard sarebbero volontarie, senza sistemi di controllo o legislazione. EFF si affida all’idea che, in alcuni paesi, si può arrivare in tribunale se vengono violati impegni presi volontariamente. Ma non si tratta di obblighi. Quindi le nuove politiche promosse possono aiutare con gli annunci pubblicitari mirati, ma per navigare in maniera davvero anonima solo le reti VPN e TOR funzionano.

Il problema è aggravato dal fatto che la maggior parte delle persone non si preoccupa di questo aspetto della vita su Internet. Le regole di Do Not Track sono discusse da piccoli gruppi di persone, il resto degli utenti neanche ne è a conoscenza. Si tratta di un atteggiamento sbagliato e non è solo colpa delle grandi corporation cattive che cercano di approfittarsene.

Alcune tecnologie come Cortana l’assistente vocale di Microsoft, oppure Google Now, Siri di Apple, per essere utili devono raccogliere e processare alcuni dati presenti nel dispositivo dell’utente, è qualcosa di necessario. Per chi ha paranoie sulla privacy sconsigliamo di leggere i termini e le condizioni d’uso di Windows 10, ci sono tante sfumature da interpretare in rigoroso legalese. È normale che i dispositivi debbano sapere alcune informazioni che ci riguardano, per darci i servizi che vogliamo.

Tuttavia, più dati vengono raccolti dalle aziende, più diventa importante il lavoro di quei pochi che, seriamente e senza eccesso di zelo, vogliono limitare con responsabilità questa raccolta di dati al minimo indispensabile.

Altro?

Hackerato il BIOS di Mac. Non è la prima volta.

Alcuni cybercriminali hanno inviato un ransomware invece dell’aggiornamento a Windows 10.

È stato scoperto in Cina un servizio VPN che, a parte dai propri server, utilizzava PC hackerati per abbattere i costi attività criminali.

Dal passato

“Proteggere” la famiglia dei malware

Alcuni virus interni pericolosi, che colpiscono file in esecuzione .com e .exe intercettano la int 21, int 1Ch e int33, a seconda della versione. Contengono la stringa “File protection”. “Protect-1157” rimuove le caratteristiche dei file e blocca il mouse. “Protect-1355” si fa vedere su schermi EGA e VGA con uno sfarfallio fastidioso.

Citazione tratta da “Computer viruses in MS-DOS” di Eugene Kaspersky, 1992

Nota: in questo post vengono espresse le opinioni personale dellautore, che possono coincidere in alcuni casi con la posizione assunta da Kaspersky Lab, in altri casi no. È questione di fortuna.

Consigli