Cyber-notizie dal lato oscuro: 26 luglio 2014

Automobili controllate in remoto: sì, proprio la vostra auto, e mentre state guidando

Le notizie su nuovi attacchi hacker, attacchi mirati e malware stanno iniziando ad annoiare il pubblico. È vero anche che si pubblicano continuamente notizie di questo tipo e l’attenzione dei lettori viene colpita da notizie più inusuali come quando i cybercriminali riescono ad hackerare gli oggetti più strani.

Secondo una ricerca cinese, alcuni cybercriminali sono riusciti ad hackerare alcune strumentazioni presenti nell’automobile Tesla; il progetto faceva parte di un concorso avuto luogo durante una conferenza. Perché Tesla? Cos’ha di speciale?

Si tratta di un’auto elettrica con tanti gadget tecnologici che sembra più un supercomputer con quattro ruote che un’auto. Ancora una volta, che caratteristiche ha Tesla? Qualsiasi sua funzionalità, soprattutto quelle sviluppate senza il conivolgimento degli esperti in sicurezza IT, porta con sé una serie di minacce dovute alle vulnerabilità intrinseche, vulnerabilità che sono state trovate dagli hacker in occasione della conferenza in Cina.

L’esperimento in Cina ha dimostrato che un cybercriminale può prendere il controllo dei freni, delle luci del veicolo e di tanto altro, anche quando l’automobile è in movimento. Praticamente Watch_Dogs trasportato nella vita reale! Non sono ancora stati pubblicati i dettagli su come ciò sia possibile, in teoria sarà la stessa Tesla a fornirli quando risolverà le vunlerabilità trovate.

In ogni caso ci tocca aspettare per sapere per saperne di più. Dopotutto, non è la prima volta vengono date queste notizie e poi si è venuto a sapere che si trattava di operazioni impossibili da portare a termine o solo in condizioni niente affatto realistiche. Dall’altro lato, però, non ci stupirebbe se si venisse a sapere che è tutto vero: proprio poco tempo fa abbiamo realizzato un’interessante ricerca su alcuni gadget tecnologici di un nuovo modello di BMW. Effettivamente le possibilità di hackerare un’automobile sono infinite.

Boomerang

E ora qualche notizie su cybercrimine e password.

Un giornalista del Wall Street Journal ha fatto da “cavia” in un esperimento mirato a dimostrare l’inutilità delle password (ormai esistono tecnologie più raffinate come la verifica in due o più passaggi, che comprendono l’uso di password temporanee inviate via SMS).

Io non ho nulla contro le verifiche in due passaggi, funzionano, anche se comunque possono essere raggirate. In ogni caso, l’esperimento non ha avuto risvolti positivi: il giornalista ha pubblicato la sua password di Twitter, dopo aver attivato la conferma di login sul sul telefono. L’account non è stato hackerato ma ha dovuto abbandonare subito l’esperimento poiché coloro che confutavano la sua teoria circa l’irrilevanza delle password erano così tanti che il suo telefono è “esploso” per le tante richieste via SMS!

Consiglio pericoloso

La questione delle password è molto sentita. Ecco un’altra notizia in proposito proveniente dal mondo dei cybercriminali.

Quanti servizi Internet utilizzate normalmente? E quante password diverse adoperate? La maggioranza delle persone ha una sola password per tutto, indipendentemente dal numero di servizi utilizzati. Ebbene sì, utilizziamo la stessa password praticamente per tutto: la cosa peggiore è che ciò non vale soltanto per Internet in generale, ma anche per le reti aziendali. Non ci dobbiamo stupire di ciò: d’altronde è impossibile per la maggior parte di noi ricordare decine e decine di password diverse.

Cosa si può fare allora?

Microsoft ha creato un modello matematico abbastanza affidabile per gestire tutti gli account mediante l’uso di poche password. Bisogna soltanto creare differenti gruppi in cui racchiudere  i vari servizi a seconda dell’importanza e poi stabilire una password per ogni gruppo: più il gruppo è importante, più robusta dovrà essere la password. C’è solo una condizione fondamentale: questo modello non è consigliato per i servizi di home banking o per quei servizi che implicano il passaggio o la gestione di grandi quantità di denaro (un piccolo dettaglio, diciamo…).

Ebbene, se la cosa non vi convince (“se questo sistema non può proteggere la mia banca online, che senso ha usarlo per le e-mail?), c’è comunque una soluzione più semplice (e più affidabile): servirsi di un password manager.

So cosa farà il vostro OPC quest’estate

Torniamo a parlare dei sistemi di controllo industriali (ICS).

Tempo fa avevo fatto delle previsioni su come sarebbe andata a finire e, purtroppo, alcune si sono realizzate. Tra le varie, avevo previsto la comparsa di malware per ICS, e il mio momento Cassandra ora non sembra poi così insensato. E comunque sia, ci si stupisce ancora quando sorge qualche problema in questo settore.

I malware si stanno avvicinando pericolosamente agli ICS. E ve ne darò la prova: è stato individuato da poco un modulo del Trojan Havex in grado di analizzare i server OPC (che fanno da “interpreti” tra  il sistema di controllo e i controllori logici programmabili). In sostanza, Havex si insinua nella rete aziendale (ad esempio attraverso i computer che si occupano della contabilità) e poi i cybercriminali riescono ad arrivare a tutti gli altri processi industriali dell’azienda.

La buona notizia è che, in teoria, questo modulo di Havex è solo un malware in potenza, almeno per il momento. Tuttavia, non ci sono dubbi circa la sua efficacia. Diciamo che il passo dalla teoria alla pratica sarà molto breve.

Un’altra botnet è stata sconfitta

In collaborazione  con Europol, FBI, GCHQ e altre organizzazioni, abbiamo fatto chiudere Shylock. Non esiste più. Quest’operazione molto complessa ha richiesto un lavoro immane di organizzazione oltre alla raccolta e all’analisi di un volume enorme di informazioni. Inoltre si è trattato di un lavoro che ha coinvolto diversi paesi. L’importante è che tutto abbia funzionato bene, il che vuol dire che la tanta invocata da me collaborazione porta i suoi frutti! Solo cinque anni fa era davvero difficile che operazioni di questo genere si potessero portare avanti, anche perché gli ostacoli burocratici erano tanti. Dieci anni fa era praticamente impossibile che ciò accadesse a causa della diversa natura del cybercrimine dell’epoca e per la mancanza di risorse della polizia informatica, tra cui anche la mancanza di personale.

Java: vale la pena?

Sempre la stessa storia, lo sappiamo. Java si trova ovunque, è praticamente impossiibile evitarla. Molti servizi non funzionano senza Java. Per questo motivo la presenza continua di vulnerabilità, bug  che portano ad attacchi malware a questa piattaforma rendono il tutto davvero seccante. Il paradosso è, che ci crediate o no, doveva essere la piattaforma più sicura al mondo! Oramai sappiamo tutti che non lo è. Sembra che Oracle non sia stata in grado di gestire adeguatamente il problema della sicurezza. Si potrebbe avere l’impressione che, dopo aver acquisito Sun, sia stata proprio accantonata la questione della sicurezza per Java.

Mi chiedo allora: in quanti hanno disabilitato Java sui propri browser?

Consiglio per chi non l’ha ancora disabilitato: installate immediatamente le patch!

LEGGI I COMMENTI 0
Scrivi un commento
  • RT @kaspersky: Yara is an essential tool for every malware researcher. Here's 3 reasons why you need to master it - and now you can from yo…
    20 ore fa