Tra le notizie di questa settimana: le patch per la vulnerabilit\u00e0 Heartbleed di OpenSSL vengono installate a rilento, tante novit\u00e0 dai nostri amici ricercatori del Global Research & Analysis Team, una grave vulnerabilit\u00e0 nell\u2019autenticazione a doppio fattore di PayPal e tanto altro.<\/p>\n
Heartbleed e le patch<\/strong><\/p>\n Sappiamo che il pericoloso bug che ha colpito OpenSSL, e che si \u00e8 diffuso a macchia d\u2019olio su Internet, consente di rubare informazioni importanti. Anche se non ne parliamo da un po\u2019, il problema non \u00e8 stato risolto del tutto<\/a>. Ovvero, ogni settimana leggiamo nuove ricerche e report dove si consiglia caldamente agli utenti di aggiornare alcuni software o sistemi per installare le patch per OpenSSL pubblicate dalle case produttrici. Purtroppo, una nuova ricerca evidenzia che, l\u2019entusiasmo iniziale di volersi sbarazzare di questo bug capace di rubare le chiavi crittografiche, sembra scemare.<\/p>\n Rob Graham di Errata Security ha analizzato uno dei principali canali Internet di traffico criptato per verificare quanti sistemi continuino ad utilizzare una versione vulnerabile di OpenSSL.\u00a0 Alla prima analisi, alcuni giorni dopo essere stato reso pubblico il bug, vi erano 600 mila sistemi vulnerabili. La seconda analisi era abbastanza incoraggiante, con 300 mila sistemi che avevano installato la patch; ci\u00f2 voleva dire che met\u00e0 dei sistemi vulnerabili alla prima analisi in un mese erano stati messi in sicurezza. Invece, alla terza analisi, quasi tre mesi dopo la notizia del bug, \u00e8 stato rilevato che 300 mila sistemi rimangono vulnerabili.<\/p>\n \u201cQuesto dato indica che gli utenti hanno smesso di installare le patch\u201d, ha scritto Graham sul suo blog<\/a>. \u201cNei prossimi dieci anni dovremmo registrare una lieve diminuzione dei dispositivi a rischio, dal momento che i vecchi sistemi poco a poco verranno sostituiti. Tra dieci anni o forse pi\u00f9, tuttavia, ci saranno ancora migliaia di sistemi vulnerabili, alcuni anche di infrastrutture critiche\u201d.<\/p>\n Tool per la sorveglianza e campagne fraudolente<\/strong><\/p>\n Un team di ricercatori di Kaspersky Lab insieme a Citizen Lab della Munk School of Global Affairs e l\u2019Universit\u00e0 di Toronto hanno rilasciato un report sulla controversa societ\u00e0 italiana Hackingteam<\/a>. Parce che HackingTeam venda \u201cspyware legali\u201d ai governi e \u201csoluzioni offensive\u201d per le indagini informatiche alle forze dell\u2019ordine di tutto il mondo. Citizien e Kaspersky Lab hanno esaminato l\u2019attivit\u00e0 di HackingTeam per un po\u2019, tuttavia la nuova ricerca,<\/a> pubblicata questa settimana, esamina i tool di spionaggio mobile di HackingTeam.<\/p>\n I prodotti della societ\u00e0 italiana darenne ai governi e alle forze dell\u2019ordine la possibilit\u00e0 di monitorare localit\u00e0 specifiche, rubare dati dai dispositivi, usare il microfono in real time, intercettare messaggi vocali e SMS via app come Skype, WhatsApp, Viber e molte altre.<\/p>\n Inoltre, questa settimana, i ricercatori di Kaspersky Lab hanno parlato di un\u2019interessante campagna fraudolenta conosciuta come Luuuk<\/a>. La campagna ha permesso agli hacker di rubare da un banco europeo pi\u00f9 di mezzo milione di euro<\/a>. Per farlo hanno utilizzato una versione personalizzabile di Zeus<\/a> e sono riusciti cos\u00ec a truffare circa 200 clienti con una serie di attacchi man-in-the-browser.<\/strong><\/p>\n Seria vulnerabilit\u00e0 colpisce la sicurezza di PayPal<\/strong><\/p>\n Mercoled\u00ec scorso \u00e8 emersa una vulnerabilit\u00e0<\/a> riguardante il modo in cui PayPal gestisce alcune richieste realizzate dai clienti che usano i dispositivi mobili. Tale vulnerabilit\u00e0 consentirebbe ai cybercriminali di bypassare il meccanismo dell\u2019autenticazione a doppio fattore per poi trasferire il denaro dall\u2019account della vittima a un altro account.<\/p>\n Il problema ha a che vedere con la gestione da parte di PayPal del sistema di autenticazione nelle sue app per iOS e Android. PayPal \u00e8 a conoscenza del problema da marzo (sono stati informati dai ricercatori di Duo Security); per il momento hanno adottato un workaround (una soluzione temporanea al problema), ma la patch definitiva si avr\u00e0 solo per la fine di luglio. La vulnerabilit\u00e0 che colpisce la sicurezza di PayPal \u00e8 piuttosto seria; gli utenti dovrebbero tenere sotto controllo i propri account fino a quando non \u00e8 tutto a posto.\u00a0<\/strong><\/p>\n Risolto un bug su Android<\/strong><\/p>\n