Proteggersi dal furto di password: cominciamo dall’email


Una ricerca di Google accende i riflettori sulle tecniche usate per sottrarre le credenziali dei servizi online. Gli account email sono quelli più bersagliati.

Sul mercato nero sono in vendita miliardi di credenziali rubate agli utenti e almeno il 15% degli utenti hanno sperimentato nel corso della loro vita un problema legato al furto delle credenziali per un qualche servizio Internet.

A dirlo è una ricerca pubblicata da Google, che ha analizzato il fenomeno del furto delle credenziali online alla ricerca di spunti e per migliorare il livello di protezione dei suoi servizi. Il quadro che emerge, però, consente di comprendere piuttosto bene le dinamiche legate alle tecniche utilizzate dai pirati informatici per mettere le mani sui dati di accesso ai servizi online.

email furto password

La ricerca di Google evidenzia, tra le altre cose, quali siano i servizi più bersagliati dagli attacchi di phishing. I servizi di posta elettronica sono in testa alla lista.

Dalla ricerca di Google nel Deep Web emerge che i cyber-criminali possono accedere a una quantità smisurata di informazioni che provengono da fonti diverse. I ricercatori hanno individuato 788.000 credenziali rubate utilizzando keylogger, 12 milioni provenienti dal phishing e la bellezza di 3,3 miliardi sottratte attraverso la violazione di sistemi di servizi online.

Account Gmail al centro del mirino

Nella ricerca si capisce immediatamente che la preoccupazione dei ricercatori è rivolta soprattutto agli account Google. Prima di archiviarla come una prospettiva “di parte”, però, serve fare qualche considerazione.

Il fatto che il servizio di posta elettronica dell’azienda di Mountain View sia il più usato al mondo, per esempio, ha una prima conseguenza immediata: la maggior parte degli account di qualsiasi servizio su Internet fanno riferimento a un indirizzo Gmail.

Dalla ricerca emerge che tra i 3,3 miliardi di account provenienti dai vari leak provocati dalla violazione di sistemi di altre società, ben il 12% fa riferimento a un account Gmail. Di questi, il 7% usa la stessa password utilizzata per la posta elettronica.

email furto password

Compromettere un account Gmail consente ai pirati di accedere anche a tutti i servizi a cui l’utente si è registrato con quell’indirizzo di posta elettronica.

Il dato ha una certa importanza. Visto che la maggior parte dei servizi prevede che il reset della password avvenga attraverso l’email usata per la registrazione, significa infatti che chi ha accesso all’account Gmail di un utente, ha accesso anche a tutti i servizi che ha registrato con quell’email.

Non è un caso che i pirati informatici dedichino significativi sforzi per violare proprio gli account di Google. Stando ai dati pubblicati nella ricerca, una percentuale tra il 12 e il 25% degli attacchi mirati tramite keylogger e phishing ne confronti di questi account ha successo.

Quanto servono i controlli?

E qui si apre un altro discorso. Tutto si può dire di Google, infatti, tranne che non presti attenzione al tema della sicurezza. Quante volte vi è capitato di ricevere un avviso (magari mentre vi trovavate all’estero) in cui si chiedeva conferma del fatto che l’accesso a un servizio Google fosse stato fatto proprio da voi?

Questo perché l’azienda di Mountain View utilizza una serie di parametri di identificazione degli utenti (per esempio la posizione) che consente di far scattare un allarme quando c’è qualche attività sospetta.

Il problema è che i pirati conoscono benissimo queste tecniche e cercano di aggirarle rubando le informazioni che possono servire per aggirare i controlli.

Dall’indagine, per esempio, emerge che l’82% degli strumenti di phishing e il 74% dei keylogger cercano anche di registrare l’indirizzo IP dell’utente e la sua posizione. Dati che permetterebbero ai pirati di eseguire l’accesso senza far scattare campanelli di allarme “scomodi”.

email furto password

I sistemi di autenticazione a due fattori rappresentano uno degli argini più efficaci al furto di credenziali.

Un discorso diverso vale per i sistemi di autenticazione a due fattori (per esempio i PIN inviati ai dispositivi mobili) che sono decisamente più difficili da eludere e che rappresentano ancora uno degli strumenti di protezione più efficaci a nostra disposizione.



Articoli correlati

Altro in questa categoria


EavesDropper: a rischio messaggi e conversazioni sulla piattaforma Twilio


La vulnerabilità consente di accedere alla piattaforma che gestisce le comunicazioni di centinaia di app per Android e iOS. Ma non è colpa di Twilio…

Una falla di sicurezza terribilmente banale mette a rischio la riservatezza delle comunicazioni di tutte quelle aziende che usano app mobile basate sulla piattaforma Twilio.

Twilio è una piattaforma cloud su cui si appoggiano numerosi sviluppatori per consentire di effettuare telefonate e inviare SMS o messaggi di testo nelle loro app.

Come hanno scoperto i ricercatori di Apptrhority, però, la maggior parte degli sviluppatori che sfruttano Twilio hanno commesso un errore imperdonabile: incorporare le credenziali di accesso alla piattaforma nel codice delle loro app.

Risultato: chiunque analizza il codice dell’applicazione può estrarre user name e password che consentono di accedere all’account dello sviluppatore e di conseguenza al database, da cui è possibile sottrarre messaggi, metadati delle chiamate e anche intere conversazioni di tutti gli utenti che usano l’app.

Dal punto di vista della privacy è un vero disastro. La maggior parte delle app in questione sono infatti utilizzate in ambito business ed è quindi probabile che in quei messaggi e in quelle conversazioni ci siano informazioni riservate, dati sulle trattative in corso e chissà cos’altro.

EavesDropper Twilio

Le credenziali (qui offuscate) sono in bella vista all’interno del codice delle app. Una volta individuate, un cyber-criminale può accedere a tutto il materiale trasmesso.

La vulnerabilità, battezzata dai ricercatori con il nome di EavesDropper, può essere sfruttata con una semplicità disarmante. Come spiegano nel loro report, una volta individuata un’app che usa la piattaforma è sufficiente eseguire una ricerca con la stringa “twilio” all’interno del codice.

Appthority ha individuato la vulnerabilità in aprile e ha contattato Twilio in luglio, segnalando la presenza di 685 app (il 44% per Android e il 56% per iOS) vulnerabili all’attacco. Ancora alla fine di agosto, però, su Google Play ce n’erano ancora 75 e su App Store ben 102.

Risolvere il problema non sarà facile. Non si tratta infatti di un problema nella piattaforma, ma della classica sciatteria di programmatori che non considerano la sicurezza come una priorità.

Twilio, in un comunicato, ha specificato che la pratica di inserire le credenziali senza protezione all’interno delle app è fortemente sconsigliata nella documentazione che viene fornita agli utenti e c’è da scommettere che nelle prossime versioni quella parte sarà evidenziata in rosso e sottolineata.

Visto che la vulnerabilità sarebbe presente fin dal 2011, però, è impossibile sapere se qualcuno ne abbia già approfittato.



Articoli correlati

Altro in questa categoria


Attenzione alla truffa di Movie Maker


Sul Web è comparsa una versione “farlocca” del software di montaggio video. I truffatori cercano di scucire denaro a chi lo installa.

Lo scorso gennaio Microsoft ha smesso di distribuire il suo software gratuito di editing video Movie Maker sostituendolo con l’inguardabile Story Remix e lasciando milioni di utenti senza uno strumento che (con tutti i suoi limiti) permette di elaborare facilmente i video su PC.

Alla delusione degli utenti Windows, però, adesso si aggiunge la beffa. Come segnalato da ESET, infatti, migliaia di persone stanno cadendo nella trappola di un gruppo di truffatori che propongono un “clone” del popolare software.

Il programma è esattamente quello che eravamo abituati a trovare in Windows, ma con qualche piccola differenza. In particolare funziona come una classica versione di prova, con alcune funzioni disattivate (tra cui il salvataggio dei file) per la cui attivazione viene chiesto il pagamento di 29,95 dollari.

truffa Movie Maker

Sembra tutto normale, ma il software proposto è in realtà una versione pirata dell’originale. E per giunta proposta a pagamento.

Non si tratta di una truffa particolarmente originale, ma la diffusione del software negli ultimi giorni ha raggiunto picchi spaventosi e la colpa è tutta… di Google!

Da quando Microsoft ha “ritirato” Movie Maker, infatti, il sito che offre il programma è riuscito a scalare le classifiche nell’indicizzazione di Google e compare al primo posto quando si esegue la ricerca con il nome del software.

truffa Movie Maker

La scelta del domino e il fatto che il programma è sparito dai siti ufficiali di Microsoft sono i fattori che hanno permesso ai truffatori di posizionarsi in testa ai risultati quando si cerca Movie Maker.

La diffusione del software, che ESET ha battezzato come Win32/Hoax.MovieMaker, è di conseguenza schizzata alle stelle e a inizio di novembre era tra le tre minacce più rilevate al mondo (addirittura primo in Israele) e in Italia è arrivato a rappresentare il 9% dei software pericolosi individuati dalla società di sicurezza.

Fortunatamente il clone di Movie Maker non è un vero e proprio malware (almeno per il momento) e si limita a visualizzare in maniera ossessiva il messaggio che ne propone l’acquisto.



Articoli correlati

Altro in questa categoria


Nuove polemiche sul sistema Management Engine di Intel


Dentro il controller ci sarebbe una versione modificata del sistema operativo Minix. Google “mette a rischio la sicurezza”.

La tempesta sui processori Intel dedicati al mondo professionale non accenna a placarsi. Anzi, sembra essere decisamente aumentata d’intensità.

Ad alimentare le polemiche ora ci si è messa Google con una rivelazione che apre scenari imprevedibili: il famoso controller Management Engine (ME) sarebbe gestito da una versione modificata di Minix, un sistema operativo basato su Unix realizzato nel 1987 nei confronti del quale Intel aveva dimostrato interesse anni fa.

Andiamo con ordine: ME è un controller che Intel ha introdotto nel 2008 nei suoi processori di fascia alta e che consente agli amministratori IT di monitorare e gestire a distanza le macchine.

Intel Management Engine

Nei nuovi processori Intel, il Management Engine ha accesso a praticamente tutti i componenti del PC.

Il problema, però, è che quello che accade in ME è assolutamente “blindato” e a partire dall’anno scorso i ricercatori di sicurezza hanno cominciato a segnalare il rischio che potesse trasformarsi in un formidabile strumento per aggirare i sistemi di sicurezza.

Il primo allarme è stato segnalato una prima volta l’anno scorso, ma i problemi si sono susseguiti. Al punto che la notizia comparsa questa estate dell’esistenza di un metodo per disattivare ME è stata salutata da molti come una benedizione.

Il vero “botto” però potrebbe arrivare a dicembre, quando Positive Technologies dovrebbe presentare una tecnica di attacco che prende di mira proprio ME e può essere portata utilizzando come vettore una semplice chiavetta USB.

Ora si scopre che dentro ME c’è un intero sistema operativo derivato da Minix di cui nessuno sa nulla. Secondo i ricercatori Google, la presenza di un sistema operativo separato e completamente “chiuso” rappresenta un rischio enorme per la sicurezza. Soprattutto perché stiamo parlando di un livello di attività (quello che viene definito ring -3) che è praticamente invisibile per l’utente.

Google, per bocca del suo ricercatore Ron Minnich, ha messo alla sbarra ME esponendo tutti i potenziali problemi di sicurezza legati alla presenza di un sistema nascosto che può gestire connessioni di rete (anche usando un Web Server integrato), funzionalità di sicurezza e qualsiasi altro aspetto del funzionamento di un server.

Per il momento, però, la sorpresa maggiore l’ha avuta l’ideatore di Minix OS, il professore universitario Andrew S. Tanenbaum. Come spiega in una lettera aperta a Intel ha scoperto solo ora che il suo sistema operativo è probabilmente il più utilizzato al mondo. Peccato che nessuno dalle parti di Intel si sia degnato di dirglielo.



Articoli correlati

Altro in questa categoria


Hackerare Linux? Con la chiave USB è facile


Emergono una raffica di vulnerabilità nei driver Linux per la gestione dei dispositivi USB. Basta una chiavetta per installare un malware.

Sono 14 le vulnerabilità individuate e alcune di esse. A soffrirne è il sistema di gestione delle USB a livello Kernel in Linux.

La notizia arriva con la segnalazione da parte di Andrey Konovalov, uno degli esperti di sicurezza di Google che scandaglia sistemi operativi e software alla ricerca di bug e falle di sicurezza.

Per la verità Konovalov, che spiega i dettagli delle vulnerabilità in un report pubblicato lunedì, di bug ne avrebbe trovati ben 79, ma nella pubblicazione si è (saggiamente) limitato a elencare i 14 per cui sono già disponibili le patch.

Alcune delle falle di sicurezza porterebbero semplicemente a una “situazione di denial of service” (blocco del sistema o riavvio) ma nella descrizione il ricercatore parla di “altri possibili impatti non specificati”.

Tradotto: possono portare a un’escalation dei privilegi e all’esecuzione di codice. Basterebbe quindi avere accesso fisico a una macchina con il sistema Open Source per installare un malware usando una chiavetta USB.

Linux USB

Nessun rischio di attacco in remoto, ma l’idea che il semplice inserimento di una chiavetta USB possa “abbattere” o compromettere un server è decisamente inquietante.

Konovalov ha individuato le falle di sicurezza utilizzando uno strumento messo a punto dal team di Google chiamato syzkaller che utilizza la tecnica del “fuzzing”, cioè l’invio di dati invalidi o casuali al software per valutarne le reazioni.

Come riporta Bleeping Computer, le preoccupazioni riguardanti le falle di sicurezza relative ai dispositivi USB in Linux non sono una novità, al punto che un gruppo di ricercatori ha messo a punto uno strumento specifico (chiamato POTUS) per analizzare i driver USB Linux a caccia di falle di sicurezza.

Secondo i ricercatori che lo hanno sviluppato (James Patrick-Evans, Lorenzo Cavallaro e Johannes Kinder) i driver USB sono software particolarmente “sensibili” da questo punto di vista.

Prima di tutto perché “girano” a un livello con elevati privilegi e in secondo luogo per il fatto che il gran numero di dispositivi e la velocità con cui diventano obsoleti o vengono sostituiti impedisce che i driver vengano testati con la sufficiente attenzione.



Articoli correlati

Altro in questa categoria


Falso WhatsApp su Google Play. E lo scarica 1 milione di utenti…


L’app farlocca pubblicata in modo da sembrare originale. Prima che i ragazzi di Google se ne accorgessero era già installata su 1 milione di dispositivi Android.

Ennesima “distrazione” su Google Play ma, a questo giro, la presenza dell’app galeotta è di quelle che fanno notizia. Si tratta infatti niente meno che di un “clone” di WhatsApp. Il fattaccio è avvenuto lo scorso 3 novembre ed è stato denunciato su Reddit da Dexter Genius.

L’app in questione richiedeva solo i permessi per accedere a Internet e aveva come obiettivo quello di impestare di pubblicità i dispositivi degli utenti che cadevano nel tranello.

Ma com’è stato possibile che un’app del genere facesse la sua comparsa sullo store ufficiale di Google? Stando a quanto viene riportato dagli utenti, le informazioni riguardanti il clone di WhatsApp erano falsificate utilizzando un trucchetto di quelli semplici semplici: un abuso di Unicode che visualizzava come sviluppatore WhatsApp Inc.

Falso WhatsApp Google Play

Trova le differenze: a destra l’app originale di WhatsApp, a sinistra quella caricata sfruttando un banale trucchetto per farla sembrare proveniente dallo sviluppatore.

Peccato che all’interno del nome ci fosse uno spazio “nascosto”, così come era in grado di nascondersi l’app stessa. Una volta installata, infatti, utilizzava un’icona “vuota” che le permetteva di passare inosservata nell’elenco.

Falso WhatsApp Google Play

Usando un’icona “nascosta” gli autori dell’app clandestina speravano di riuscire a farne passare inosservata la presenza. E chissà quanti utenti Android ce l’’hanno ancora installata sul telefono…

Resta ora da capire come sia potuta sfuggire al controllo dei “guardiani” di Google Play. A questo giro non rappresentava un vero pericolo, ma in futuro distrazioni come queste potrebbero costare caro a milioni di utenti…



Articoli correlati

Altro in questa categoria