Da un lato, come partecipante alla conferenza, si tratta di una notizia importante in quanto nel futuro assisteremo a meno interventi (o forse in egual numero, chi lo sa) circa eventuali bug individuati in misteriose piattaforme usate dalle aziende e ci occuperemo di pi\u00f9 di vulnerabilit\u00e0 presenti negli oggetti della vita di tutti i giorni. Dall\u2019altro lato, per\u00f2, il cambio di direzione della conferenza Black Hat \u00e8 un sintomo allarmante:le vulnerabilit\u00e0 nel campo della sicurezza diventano ogni giorno una minaccia pi\u00f9 concreta alla nostra vita quotidiana.<\/p>\n
L\u2019intervento principe<\/strong><\/p>\n Foto scattata durante la conferenza Black Hat 2014<\/em><\/p><\/div>\n L\u2019intervento di apertura di quest\u2019anno \u00e8 stato condotto da Dan Geer, un luminare del settore ammirato da tutti. A differenza di quanto \u00e8 accaduto l\u2019anno scorso<\/a> con il Direttore Generale della NSA il Generale Keith Alexander, non c\u2019erano guardie del corpo, disturbatori o persone pronte a lanciare uova marce. Per i quasi 60 minuti dell\u2019intervento, la gente si \u00e8 raccolta in un silenzio che trasudava interesse; Dan Geer, Chief Information Security Officer di In-Q-Tel (l\u2019azienda in venture capital della CIA) ha dettato i dieci comandamenti della sicurezza informatica.<\/p>\n Geer, tra la altre cose, ha dichiarato che il governo statunitense, per minare il potere del mercato nero delle vulnerabilit\u00e0, dovrebbero offrire dieci volte tanto il prezzo indicato per uno specifico bug, acquistarlo e creare una sorta di bacheca pubblica per consentire alle aziende di risolvere le proprie vulnerabilit\u00e0 e\u201d lasciare a zero l\u2019inventario delle armi cibernetiche\u201d. Oltre alla comodit\u00e0, alla maggiore sicurezza e libert\u00e0, si prenderebbero due piccioni con una fava: uno, sappiamo bene che nella religione e nel campo dei software non esiste fedelt\u00e0 al prodotto\u00a0 e, in secondo luogo, un provider di servizi Internet (ISP) in questo modo potr\u00e0 scegliere di caricare i contenuti che desidera, anche illegali (assumendosi la responsabilit\u00e0 delle proprie azioni), oppure stare della parte della Net Neutrality e svolgere la propria regolare attivit\u00e0.<\/p>\n \u201cBisogna fare una scelta\u201d, ha affermato Geer<\/a>, \u201cGli ISP non possono tenere i piedi in due scarpe\u201d.<\/p>\n Hackerare gli essere umani e gli ospedali<\/strong><\/p>\n Concentrandoci su aspetti della vita concreta,\u00a0 come discusso durante la tavola rotonda sulla sicurezza degli apparecchi medicali<\/a>, potremmo dire che alcune vulnerabilit\u00e0 si trovano all\u2019interno del nostro corpo. Ma pi\u00f9 preoccupanti e anche pi\u00f9 pericolose sono quelle insite nelle apparecchiature negli ospedali piuttosto che nei corpi dei pazienti.<\/p>\n \u00c8 solo questione di tempo prima che un attacco \u201cin the wild\u201d colpisca uno o pi\u00f9 dispositivi di questo tipo. La buona notizia \u00e8 che questi dispositivi sono estremamente sicuri. Ad esempio, una microinfusore di insulina esegue meglio la funzione di controllare e regolare il livello di insulina nel sangue che un ragazzino con un misuratore della glicemia e una fornitura di siringhe di insulina.<\/p>\n Le vulnerabilit\u00e0 si riscontrano quando questi dispositivi comunicano tra loro e con dispositivi esterni tenuti sotto controllo da pazienti o dottori. Dobbiamo essere chiari su questo punto, la probabilit\u00e0 che un killer utilizzi un computer per liberare una scarica elettrica letale a una persona con un pacemaker \u00e8 davvero molto bassa. Non vogliamo essere cinici, ma esistono tanti altri modi pi\u00f9 semplici di ammazzare una persona.<\/p>\n Chi si occupa di creare le patch per gli apparecchi medicali? Chi ha il compito di installare le patch? Chi paga per tutto ci\u00f2? Purtroppo le risposte a queste domande portano a un intreccio confuso di responsabilit\u00e0 tra le case produttrici dei dispositivi, gli ospedali e gli stessi pazienti. E quando parliamo di apparecchi medicali, non facciamo riferimento solo a pacemaker e a microinfusori di insulina. Parliamo anche di macchinari per risonanze magnetiche, elettrocardiogrammi, radiografie, oltre ai tablet utilizzati dai medici e ai computer dell\u2019ospedale (sui quali spesso \u00e8 ancora installato Windows XP) che contengono dati sensibili dei pazienti.<\/p>\n Durante la tavola rotonda si \u00e8 arrivati alla conclusione che la manipolazione delle cartelle cliniche (in maniera accidentale o intenzionale) potrebbe portare alla somministrazione di dosi sbagliate di medicinali ed \u00e8 questo il rischio pi\u00f9 serio che corrono i pazienti.<\/p>\n Almeno chiudiamo questo argomento con una nota positiva: il fatto che si parli di queste tematiche \u00e8 gi\u00e0 un buon segno, vuol dire che qualcosa si sta muovendo.<\/p>\n Yahoo ha intenzione di criptare tutte le email<\/strong><\/p>\n Yahoo, spesso criticata per non aver critpato i messaggi delle caselle di posta degli utenti o per altre tematiche relative alla sicurezza, ha annunciato una serie di cambiamenti in questo campo che entreranno in vigore gi\u00e0 nei prossimi mesi o l\u2019anno prossimo. Una delle novit\u00e0 pi\u00f9 importanti \u00e8 la decisione di criptare tutte le webmail con un sistema end-to-end, una mossa che avvicina Yahoo agli standard di Google.<\/p>\n Per saperne di pi\u00f9, potete leggere un articolo dedicato su questo blog<\/a> o su Threatpost.<\/a><\/p>\n Hackerare le auto in remoto<\/strong><\/p>\n Sarebbe stato pi\u00f9 gradevole parlare di un intervento di due ricercatori impegnati ad hackerare una macchinina telecomandata. Purtroppo, dovr\u00f2 parlarvi di due ricercatori che stanno imparando a controllare i comandi di una vera automobile.<\/p>\n Su questo blog, l\u2019argomento ci interessa<\/a> gi\u00e0 da parecchio tempo (da poco pi\u00f9 di un anno oramai) e molto probabilmente ne parleremo anche in futuro. Il nostro interesse dipende dal fatto che le auto moderne sono connesse sempre di pi\u00f9 a Internet. Al momento, non \u00e8 facile hackerare un\u2019auto, sono necessarie delle conoscenze tecniche di protocolli specifici utilizzati solamente per le automobili.<\/p>\n Tuttavia, presto ogni auto avr\u00e0 un proprio sistema operativo, il proprio market delle applicazioni e, perch\u00e9 no, anche un browser ad hoc per navigare su Internet. Tutte funzionalit\u00e0 che i cybercriminali sanno perfettamente come sfruttare per i loro scopi. Inoltre, cos\u00ec come accade per gli apparecchi medicali, non sar\u00e0 facile produrre e installare le patch per le automobili. Pensiamo a problemi concreti: il cliente dovr\u00e0 portare l\u2019auto in concessionaria per farsi installare le patch? Dopo il richiamo, quante persone davvero si faranno installare le patch? Le case automobilistiche escogiteranno qualche meccanismo automatico di aggiornamento in remoto? In questo caso, che succede se ci sono problemi di funzionamento in seguito all\u2019aggiornamento, o peggio, un cybercriminale riesce a infiltrarsi?<\/p>\n La buona notizia \u00e8 che Charlie Miller di Twitter e Chris Valasek di IOActive hanno sviluppato un sistema, simile a un antivirus, in grado di individuare se qualcuno sta cercando di manipolare le comunicazioni tra i sensori e i computer installati nelle automobili e bloccare il traffico generato dall\u2019intruso.<\/p>\n USB: brutta cosa \u00a0<\/strong><\/p>\n Foto scattata durante la conferenza Black Hat 2014<\/em><\/p><\/div>\n Karsten Nohl (nell\u2019immagine) ha sviluppato un exploit che sfrutta un dato di fatto: praticamente tutti i computer aziendali e degli utenti riconoscono e accettano memorie USB. Nohl, ricercatore capo di Security Research Labs, ha chiamato l\u2019exploit\u00a0 BadUSB: in sostanza, ha sovrascritto il firmware presente in questi dispositivi per poi far eseguire una serie di operazioni dannose, tra cui iniettare codici malware nei dispositivi e reindirizzare il traffico.<\/p>\n \u201cUna chiavetta USB funziona in questo modo e nessuno ha fatto qualcosa di sbagliato\u201d, ha dichiarato Nohl. \u201cNon c\u2019\u00e8 una soluzione; finch\u00e9 useremo le USB, avremo dispositivi che prendono le sembianze di altri dispositivi. \u00c8 un problema strutturale di sicurezza\u201d.<\/p>\n Proprio per l\u2019estrema diffusione delle chiavette USB, miliardi di dispositivi sono potenzialmente vulnerabili. Nohl, inoltre, \u00e8 preoccupato che l\u2019estrema diffusione del bug possa seminare il panico e il sospetto in quanto \u201cnon esiste uno strumento per rimuovere il firmware dannoso o per sovrascrivere. Le probabilit\u00e0 d\u2019infezione sono maggiori e risulta essere pi\u00f9 difficile porvi rimedio\u201d.<\/p>\n Nohl \u00e8 venuto a conoscenza dell\u2019attacco dal catalogo della NSA degli strumenti hacker.<\/p>\n Cryptolocker e la banda di \u00a0\u201cgentiluomini\u201d<\/strong><\/p>\n Il gruppo di lavoro che \u00e8 riuscito a disattivare il ransomware Cryptolocker<\/a> era presente anche alla conferenza Black Hat. Durante il loro intervento, gli esperti hanno mostrato un\u2019email arrivata a una vittima di Cryptolocker, una mamma single che non disponeva del denaro richiesto per pagare il riscatto e per riavere il suo computer funzionante, dispositivo che utilizzava per lavoro.<\/p>\n Storie di questo tipo hanno spinto il gruppo di esperti a lavorare duramente per eliminare la minaccia Cryptolocker<\/a>. La cosa curiosa \u00e8 che i cybercriminali che hanno creato questo ransomware erano molto fedeli\u00a0 alla parola data. Vi abbiamo ripetuto per mesi di non pagare il riscatto per sbloccare i file perch\u00e9 non c\u2019\u00e8 nessuna garanzia di riavere intatti i documenti sequestrati. Per quanto riguarda Cryptolocker, i cybercriminali sono stati abbastanza onesti, se cos\u00ec possiamo dire. Alla fine della presentazione, il gruppo di esperti ha spiegato che questo ransomware cos\u00ec insidioso ed efficace era solo una delle tante forme attraverso le quali i cybercriminali riuscivano a guadagnare denaro in maniera illecita.<\/p>\n Computrace, un alone di mistero <\/strong><\/p>\n Vitaly Kamluk, ricercatore di Kaspersky Lab (amico del nostro blog), assieme al co-fondatore e ricercatore Anibal Sacco, hanno presentato una serie di aggiornamenti circa una vulnerabilit\u00e0 di un software piuttosto popolare di cui abbiamo parlato in passato sul questo blog.<\/p>\n Il software, sviluppato da Absolut Software conosciuto ai pi\u00f9 con il nome Computrace, \u00e8 un prodotto antifurto adottato da compagnie di hardware e considerato legittimo dalla maggior parte dei prodotti antivirus. E perch\u00e9 non dovrebbe essere cos\u00ec? \u00c8 un software legale.<\/p>\n In ogni caso, un alone di mistero circonda Computrace.<\/a> Per ragioni che rimangono sconosciute, Computrace \u00e8 attivo di default su milioni di computer nel mondo. Absolute Software ha dichiarato che cos\u00ec non dovrebbe essere, in quanto il software \u00e8 stato progettato per essere attivato dall\u2019utente o dall\u2019ufficio informatico dell\u2019azienda.\u00a0 Quando Computrace \u00e8 attivo, resiste anche ad operazioni come il ripristino delle impostazioni di fabbrica e formattazioni.<\/p>\n Inoltre, il software contiene alcune vulnerabilit\u00e0 (l\u2019azienda ha minimizzato il problema ma si \u00e8 comunque proposta di risolverlo) che lo rende sensibile a possibii e pericolosi attacchi man-in-the-middle.<\/p>\n Tutta colpa dei satelliti<\/strong><\/p>\n Il ricercatore Reuben Santamarta di IOActive ha scoperto che quasi tutti i dispositivi coinvolti nelle comunicazioni via satellite (SATCOM) contengono vulnerabilit\u00e0 quali backdoor, credenziali hardcoed, protocolli non securi e sistemi di crittografia deboli.<\/p>\n Secondo Santamarta, queste vulnerabilit\u00e0 consentirebbero ai cybercriminali di compromettere i prodotti coinvolti.<\/p>\n SATCOM gioca un ruolo importantissimo nell\u2019ambito delle telecomunicazioni a livello globale. Si sospetta che gli attacchi informatici potrebbero coinvolgere anche navi, strutture militari, servizi di emergenza, media e strutture industriali come oleodotti, gasdotti, impianti di trattamento delle acque e cos\u00ec via.<\/p>\n In breve<\/strong><\/p>\n Alcuni comandi danno alle compagnie telefoniche e ai cybercriminali (visto che possono essere hackerati) la possibilit\u00e0 di controllare totalmente i dispositivi mobili<\/a>. Un importante bug su\u00a0 Android<\/a> potrebbe fare in modo che un\u2019app dannosa possa \u201ctravestirsi\u201d da app legittima. I modem mobile a banda larga o le schede dati sono obiettivi facili<\/a> per i cybercriminali.<\/p>\n Foto scattata durante la conferenza Black Hat 2014<\/em><\/p><\/div>\n Durante la conferenza Black Hat di quest\u2019anno ci sono state molti interventi interessanti, ma non posso elencarli tutti. Se volete sapere tutto ci\u00f2 di cui si \u00e8 parlato alla conferenza Black Hat, Dennis Fisher e Mike Mimoso di Threatpost hanno elaborato un riassunto dettagliato della prima<\/a> e della seconda giornata<\/a> (podcast in inglese). Fisher e Mimoso hanno anche registrato un podcast riassuntivo (<\/a>sempre in inglese) dell\u2019intero evento, dando anche un\u2019occhiata alla conferenza DEF CON, iniziata subito dopo la conclusione di Black Hat.<\/p>\n Oltre a quanto pubblicato qui e su Threatpost, potete trovare alcuni articoli interessanti nella sezione sala stampa sul sito Internet dedicato a Black Hat<\/a>. Anche consultando l\u2019hashtag #blackhat<\/a> possono venir fuori risultati interessanti. E poi potete sempre cercare notizie su Google in merito.<\/p>\n![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2014\/08\/05232822\/BH-IMAGE-2.jpg\")
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2014\/08\/05232821\/BH-IMAGE-5.png\")
<\/p>\n![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2014\/08\/05232821\/BH-IMAGE-3.jpg\")
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2014\/08\/05232820\/BH-IMAGE-4.jpg\")