{"id":6526,"date":"2015-08-24T15:24:55","date_gmt":"2015-08-24T15:24:55","guid":{"rendered":"https:\/\/kasperskydaily.com\/italy\/?p=6526"},"modified":"2017-11-13T17:06:31","modified_gmt":"2017-11-13T15:06:31","slug":"security-week-34","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/security-week-34\/6526\/","title":{"rendered":"Security Week 34: le difficolt\u00e0 delle patch"},"content":{"rendered":"

Settimana burrascosa per la sicurezza informatica; dopo un\u2019altra settimana di nuovi bug<\/a>, zero-day e altre interessanti curiosit\u00e0,<\/a> ecco che tutto ci\u00f2 si fa reale e arrivano ai software vulnerabili. Aspetto importante ma che a volte pu\u00f2 risultare noioso se troppo frequente. Il nostro blog Threatpost<\/a> ci fornisce notizie fresche fresche riguardanti la sicurezza informatica; in questo caso abbiamo tre casi interessanti sulle patch.<\/p>\n

\"security-week-34-featured\"<\/a>L\u2019argomento \u201cpatch\u201d \u00e8 abbastanza delicato. Dopo aver individuato una vulnerabilit\u00e0, la parte pi\u00f9 difficile arriva quando bisogna creare una patch che risolva il problema senza per\u00f2 compromettere tutto il resto. Ci sono tanti motivi per cui un bug non viene risolto immediatamente, a volte passa un bel po\u2019 di tempo o addirittura rimane tutto cos\u00ec com\u2019\u00e8! In ogni caso, bisogna pur sempre trovare una soluzione.<\/p>\n

Nel post di oggi abbiamo tre storie di bug rimasti irrisolti. Ricordiamo brevemente le regole di questo post: ogni settimana, il team di Threatpost seleziona le tre notizie pi\u00f9 rilevanti e che io consiglio caldamente di leggere. Tutte le precedenti edizioni della nostra rubrica si trovano a questo link<\/a>.<\/p>\n

Un altro bug su Android, stavolta tocca a Google Admin <\/strong><\/p>\n

La notizia su Threatpost,<\/a> Ricerca condotta<\/a> da MWR<\/p>\n

Cosa \u00e8 stato trovato?<\/em><\/p>\n

Avete notato che ultimamente si susseguono notizie su notizie di bug? Ad esempio, c\u2019\u00e8 un\u2019auto hackerata<\/a>? Ecco che vengono trovati decine di nuovi bug nelle smart car<\/a>! Lo stesso sta accadendo con Android. Siamo partiti con Stagefright<\/a>, poi siamo passati a un paio di bug pi\u00f9 piccoli, ora \u00e8 la volta di Google Admin e della redenzione di Shawshank<\/span> delle maniere di raggirare la sandbox.<\/p>\n

\"security-week-34-kid\"<\/a>Google Admin, una delle app di Android a livello di sistema, pu\u00f2 accettare URL da altre app; sembra che qualsiasi URL possa andare bene, anche quelle che cominciano per \u201cfile: \/\/\u201d. In questo modo, anche il download di pagine web potrebbe trasformarsi in un file manager. Ma tutte le app di Android non dovrebbero essere isolate le une dalle altre? Mmm, sembrerebbe di no, Google Admin gode di grandi privilegi e, per il fatto che passano per URL anche cose che non lo sono, fa s\u00ec che alcune app possano eludere la sandbox e accedere a dati privati.<\/p>\n

In che modo si \u00e8 risolto il problema? <\/em><\/p>\n

Innanzitutto vediamo brevemente come alcuni ricercatori indipendenti siano riusciti a individuare questa vulnerabilit\u00e0. Dobbiamo ritornare al marzo scorso e a un report inviato a Google. Cinque mesi dopo, i ricercatori hanno verificato come si stava evolvendo la situazione e si sono resi conto che per il bug non era stata creata alcuna patch. Il 13 agosto il bug \u00e8 stato reso pubblico, costringendo Google a porvi rimedio.<\/p>\n

Ricordiamo che Google dispone di un team di ricerca interno che utilizza tempo e risorse per individuare i bug e non solo sui propri software. ProjectZero<\/a> di Google ha di solito 90 giorni di margine di anticipo prima che il bug venga reso noto all\u2019opinione pubblica, ma a questo punto ci domandiamo se Google sia in grado di creare patch adeguate in 90 giorni.<\/p>\n

Nel caso Google Admin \u00e8 andato tutto storto; innanzitutto, l\u2019intera situazione \u00e8 stata gestita nel modo sbagliato e, in secondo luogo, sappiamo benissimo che anche quando la patch c\u2019\u00e8, non \u00e8 detto che arrivi a tutti i dispositivi Android vulnerabili. Cosa dire degli aggiornamenti di sicurezza mensili<\/a>? Perch\u00e9 a questo punto non li facciamo ogni sei mesi? Dai, andiamo\u2026<\/p>\n

\"security-week-34-kitten\"<\/a> Vulnerabilit\u00e0 aperta su SCADA di Schneider Electric<\/strong><\/p>\n

La notizia su Threatpost,<\/a> ICS-CERT Advisory<\/a><\/p>\n

Benvenuti nell\u2019affascinante mondo delle infrastrutture critiche! Vi preghiamo di prendere posto, di mettervi comodi e di non toccare quel famoso pulsante rosso o quel groviglio di cavi che fuoriescono a proposito. \u00c8 tutto ok, sono l\u00ec da secoli. Se li toccate, siamo fritti.<\/p>\n

I sistemi SCADA fanno parte delle infrastrutture critiche che si occupano di gestire oggetti importanti, dalle caldaie nei nostri appartamenti alle centrali nucleari. Tali sistemi non possono essere spenti o resettati, non si pu\u00f2 giocare con impostazioni o parametri, meglio non toccare nulla!<\/p>\n

#SecurityWeek34: nuove vulnerabilit\u00e0 non risolte su #Android, Mac #OSX, #SCADA di Schneider Electric e altri<\/p>Tweet<\/a><\/blockquote>\n

Nel caso aveste qualche domanda in merito, questo articolo fa al caso vostro<\/a>. Purtroppo, per\u00f2, \u00e8 un dato di fatto che questi sistemi cos\u00ec importanti spesso siano gestiti su PC normali con il caro, vecchio Windows. A differenza di quanto accada nella maggior parte delle aziende, dove si aggiornano o sostituiscono hardware e software per lo meno ogni cinque anni, alcuni impianti industriali robotizzati che gestiscono sostanze chimiche anche pericolose, possono funzionare 24 ore al giorno tutto l\u2019anno, e per decenni, con lo stesso hardware.<\/p>\n

Cosa \u00e8 stato trovato?<\/em><\/p>\n

Ebbene, sono stati trovati non si sa quanti bug in uno di questi sistemi, la stazione PLC P34 CPU Modicon M340<\/a> di Scheider Electric. In sostanza, grazie a queste vulnerabilit\u00e0 si pu\u00f2 prendere il controllo praticamente di tutto ci\u00f2 che gestisce questo sistema. Una falla piuttosto diffusa (riscontrata anche in router e altri apparecchi appartenenti al mondo dell\u2019IoT) riguarda le credenziali hard-coded.<\/p>\n

\n

Risky Schneider Electric SCADA Vulnerabilities Remain Unpatched https:\/\/t.co\/2oGDTbr7qE<\/a> via @threatpost<\/a> pic.twitter.com\/eyPAY6Aikn<\/a><\/p>\n

\u2014 Kaspersky (@kaspersky) August 17, 2015<\/a><\/p><\/blockquote>\n