Quattro post che pongono in discussione di quanto sia vulnerabile, in generale, il sistema informatico e di quanto le agenzie spionistiche dei vari paesi investano economicamente in questo settore per voler conoscere le opinioni e i dati personali della popolazione. Agenzie spionistiche che spesso (per non dire sempre) spinte da un unico motivo specifico se non quello di conoscere e influenzare le opinioni delle persone a favore dell’oligarchia… e, sovente, in combutta con le società produttrici dei software. Alcune riviste specializzate provano a spiegare le cause ed i rimedi…
MOWA
Whatsapp di nuovo nei guaiFalla di sicurezza scoperta nonostante i sistemi di crittografia. I gruppi particolarmente vulnerabili I gruppi su WhatsApp sono a rischio di infiltrazioni nonostante i sistemi di crittografia che dovrebbero tenere le conversazioni lontane da occhi indiscreti. Una falla di sicurezza può infatti consentire a un hacker di inserire una nuova persona all’interno di un gruppo, come se ne fosse l’amministratore. Il nuovo membro sarà in grado di leggere i messaggi inviati dagli altri partecipanti, anche se non ha accesso a quelli scambiati prima del suo ingresso. La scoperta, che riguarda la chat da 1,3 miliardi di utenti nel mondo, è di alcuni crittografi dell’università tedesca di Bochum che l’hanno presentata giovedì alla conferenza “Real World Crypto” di Zurigo. WhatsApp, così come Facebook che ne è proprietaria, non hanno negato la vulnerabilità, ma hanno rassicurato sulla portata reale dei rischi. La “lacuna” non è sfruttabile da tutti, giacché per aggiungere nuovi membri è necessario prendere il controllo dei server di WhatsApp. I bersagli non sono il gruppo delle mamme o dei colleghi, quanto attivisti in Stati non democratici. ATS/Reuters/AP/EnCa 12/01/18
|
Pentagono lavora per inserire software nei social networkL’ufficio stampa dell’agenzia d’intelligence e sicurezza delle forze terrestri americane (INSCOM) ha confermato a Russia Today la volontà del Pentagono di coinvolgere aziende private per sviluppare software da usare nei social network.
“L’agenzia di intelligence e sicurezza delle forze terrestri americane (INSCOM) gestisce le unità di ricognizione e sicurezza durante lo svolgimento delle loro missioni; conduce e coordina le attività di intelligence a livello mondiale basate sull’analisi di informazioni provenienti da tutti i tipi di fonti e in vari campi, nonché sulla sicurezza; fornisce supporto linguistico e formazione d’intelligence avanzata, segue il processo di acquisti, la logistica, le comunicazioni ed altri compiti particolari nell’interesse del comando delle forze terrestri degli Stati Uniti, così come dei servizi segreti.
13.01.2018 |
Meltdown e Spectre, i super-bug dell’hi-techQuello che all’inizio sembrava un problema dei chip di Intel si è rivelato essere una falla “sistemica” dell’intero mercato delle CPU. I bug sono tre, le aziende coinvolte innumerevoli e gli effetti a lungo termine difficili da calcolare Roma – Dopo le prime indiscrezioni degli ultimi giorni, in queste ore il baco dei chip Intel si è trasformato in una nuova tempesta informativa destinata a coinvolgere – in un modo o nell’altro – l’intero settore tecnologico. Santa Clara non è l’unica azienda interessata al problema, mentre le patch in arrivo sono copiose e i benchmark prefigurano scenari contraddittori in merito agli effetti degli aggiornamenti sulle prestazioni. I bug scoperti da un team di ricercatori (Google Project Zero, Cyberus Technology, Graz University of Technology) sono tre, classificati rispettivamente come Variante 1, Variante 2 e Variante 3. La Variante 1 (CVE-2017-5753) riguarda un problema di bounds check bypass, la Variante 2 (CVE-2017-5715) presta il fianco a una branch target injection e la Variante 3 (CVE-2017-5754) permette di accedere alla memoria cache della CPU in maniera inappropriata. Complessivamente, i bug sono noti come Meltdown (Variante 3) e Spectre (Variante 1 e 2). Meltdown è il più grave dei bug, ed è quello che è stato reso noto dalle indiscrezioni dei giorni scorsi; gli effetti più nefasti della vulnerabilità sono stati individuati sulle microarchitetture x86 dei chip Intel, ovvero su quelli capaci di eseguire le istruzioni software in maniera non sequenziale (“out-of-order”) grazie alla predizione speculativa gestita direttamente in hardware.Si parla, in sostanza, di una vulnerabilità che potenzialmente interessa tutte le CPU di Santa Clara prodotte dal 1995 (Pentium) in poi a esclusione di Itanium e Atom precedenti al 2013, mentre i ricercatori hanno sperimentato gli effetti concreti della falla sulle CPU x86-64 uscite dal 2011 in poi. Interessati da Meltdown sono anche i processori ARM per gadget mobile, mentre AMD è interessata soprattutto dalle vulnerabilità di Spectre. Per quanto riguarda gli effetti concreti delle falle, Meltdown può essere sfruttata per leggere i contenuti della memoria privata assegnata al kernel partendo da programmi con normali privilegi di accesso utente, mentre Spectre può portare all’estrazione di informazioni gestite da processi diversi da quello attualmente in esecuzione. Ancora più in concreto, oltre alla compromissione – di per se gravissima – della memoria virtuale del kernel gli utenti e le aziende potrebbero andare incontro alla violazione di dati sensibili come password, carte di credito, informazioni riservate, database; sui server cloud, una macchina virtuale guest potrebbe in teoria avere accesso al sistema operativo host del server con tutte le nefaste conseguenze del caso. Come prevedibile, Meltdown e Spectre coinvolgono un gran numero di aziende, produttori OEM, software, sistemi operativi e piattaforme di computing, e non è un caso che le tre falle abbiamo velocemente fatto il giro di Internet riversandosi infine sui media generalisti con i soliti toni allarmistici in stile “Millennium bug”. I bug – soprattutto nel caso di Meltdown – riguardano difetti presenti direttamente nell’hardware delle CPU, ma le aziende coinvolte si sono mosse per cercare di porre rimedio e mitigarne gli effetti con patch e aggiornamenti a pioggia tendenti a isolare il kernel dal resto della memoria di sistema. Microsoft ha rilasciato un aggiornamento in anticipo sul suo tradizionale martedì di patch mensile, permettendo agli utenti di Windows 7, Windows 8.1 e Windows 10 di mettersi al riparo da eventuali exploit e attacchi – finora inesistenti – in arrivo nel prossimo futuro. Sugli OS di Redmond è possibile verificare la presenza delle falle sul proprio sistema grazie a uno script PowerShell, mentre i sistemi della linea Surface hanno ricevuto aggiornamenti per il firmware UEFI. Mozilla ha approntato due misure in grado di mitigare gli effetti dei bug con Firefox 57.0.4, mentre Google ha promesso di rilasciare un fix per Chrome entro la fine del mese. Ubuntu rilascerà una patch il prossimo 9 gennaio. Una lista aggiornata di tutti gli update disponibili o in arrivo è stata pubblicata da Bleeping Computer. Meltdown e Spectre sono inesorabilmente destinati a far parlare di se per molto tempo ancora, soprattutto nel secondo caso visto che le vulnerabilità 1 (CVE-2017-5753) e 2 (CVE-2017-5715) sono più difficili da eliminare con un aggiornamento software. AMD continua a sostenere di essere “immune” al problema, cosa oggettivamente vera nel caso di Meltdown, mentre Intel deve fare i conti con polemiche inesorabilmente destinate a intaccare il buon nome dell’azienda oltre alle vendite di CPU. Il CEO Brian Krzanich deve poi spiegare il perché di una vendita in blocco delle azioni seguita alla scoperta dei bug. Gli effetti degli aggiornamenti anti-Meltdown sul fronte delle prestazioni delle CPU, infine, sono forse quelli che più interessano aziende e utenti finali: le prime stime parlavano di un impatto compreso tra il 5 e il 30%, ma i primi benchmark seguiti alle patch Microsoft per Windows hanno confermato che l’utenza consumer – e quella appassionata di videogiochi – non ha praticamente nulla da temere. Più complesso il discorso per il settore enterprise e cloud, dove le operazioni intensive su database, macchine virtuali e risorse di computing distribuite potrebbero sperimentare un degrado delle performance sensibilmente più percepibile. Alfonso Maruccia 5 gennaio 2018 |
Spectre/Meltdown FAQ: tutto sul bug delle CPU e sulla soluzione, che rallenterà PC e serverTutto quel che sappiamo finora sulla vulnerabilità che colpisce le CPU e può permettere furto di informazioni, sulle soluzioni e sui loro effetti collaterali (il vostro PC diventerà più lento)
|