Alfonso Maruccia

Chrome OS, insicuro per design

Il sistema operativo realizzato da Google Ŕ affetto da fondamentali vulnerabilitÓ difficili da chiudere una volta per tutte. Le stesse che affliggono la navigazione web su un PC propriamente detto

Roma - Chrome OS, il micro-sistema operativo basato su web e installato da Google sui suoi nuovi gadget tecnologici noti come Chromebook, non è affatto "blindato" e avulso da gravi problemi di sicurezza come Mountain View ha sin qui promesso. Anzi, il fatto di essere totalmente dipendente dalle tecnologie web lo espone a un livello di rischio molto più alto di quello normale, soprattutto per quanto riguarda la salvaguardia dei dati degli utenti.

A svelare gli altarini del nuovo OS di Google sono Matt Johansen e Kyle Osborn, hacker "white hat" intervenuti alla conferenza Black Hat che si tiene in questi giorni in quel di Las Vegas. Johansen e Osborn hanno dimostrato come poter abusare delle fondamentali vulnerabilità di Chrome OS per penetrare nell'account Gmail dell'utente - il tutto dal web e senza la necessità di installare un singolo bit di codice malevolo sulla macchina locale.

L'installazione di eventuale "malware" su Chromebook è nei fatti una strada preclusa ai cyber-criminali, perché il modello di sicurezza ideato da Google prevede che il sistema faccia il check-up all'avvio ed eventualmente ripristini una copia "pulita" di se stesso nel caso in cui venissero individuate differenze.
In compenso, lasciato l'utente in balia del web, delle "app" e dei servizi "tra le nuvole", ai malintenzionato non serve altro che abusare del sistema di "estensioni" pensato da Mountain View per aggiungere funzionalità alla scarna ossatura di Chrome OS, "app" da acquistare e scaricare su un apposito store digitale e che necessitano di accedere alle informazioni dell'utente (credenziali di accesso, mail, documenti ma anche cookie) per operare correttamente.

Grazie all'ingegneria sociale, dicono i due ricercatori alla conferenza Black Hat, l'utente può essere spinto a installare estensioni malevole e a quel punto a rischio non è semplicemente la "macchina" ma lo sono tutti i dati ospitati sui server remoti. Le "nuvole" di Mountain View si trasformano in una trappola da cui è impossibile fuggire prima che l'attacco non abbia raggiunto il suo scopo nefasto.

A dimostrazione del fatto che le vulnerabilità di Chrome OS sono le stesse, pericolose "falle sistemiche" del moderno World Wide Web c'è poi l'altro vettore di attacco ipotizzato da Johansen e Osborn: se spingere all'installazione di una estensione malevola un buon numero di "vittime" può essere problematico, sfruttare eventuali - quanto prevedibilissime - vulnerabilità presenti all'interno di estensioni popolari per condurre ogni genere di nefandezze (attacchi XSS in primis) nei confronti degli utenti può essere molto più immediato e vantaggioso. Benvenuti nell'era della sicurezza sulle nuvole.

Alfonso Maruccia
Notizie collegate
  • TecnologiaChromebook, un netbook tra le nuvoleTutta la veritÓ sui computer Chrome OS in arrivo a giugno. Portatili incentrati sul sistema operativo web-centrico, realizzati insieme a Samsung e Acer, venduti con tanto di SIM per la connessione 3G
91 Commenti alla Notizia Chrome OS, insicuro per design
Ordina
  • "ecchissene" - questa è la risposta dell'utonto medio felice nelle sue stronzatine gratis gratis (ma un po' lente)
    non+autenticato
  • domanda: "l'utonto sa cos'è la sicurezza?"A bocca aperta

    imho non dà risposte perchè non conosce nemmeno le domande
    non+autenticato
  • Un sistema operativo che è un browser ha tutte le falle dei browser.
    Un sistema operativo tradizionale è esposto ai trojan.
    Ovunque ci si giri, o si fa girare solo sw interamente scritto da sé, o ci si deve fidare di qualcuno e quindi è meglio conoscere bene chi ti dà il sw, o la nuvola.
    non+autenticato
  • Quale parte di: "È tecnicamente impossibile installare malware", non ti è chiara?"
    -----------------------------------------------------------
    Modificato dall' autore il 08 agosto 2011 12.39
    -----------------------------------------------------------
    Darwin
    5126
  • - Scritto da: Darwin
    > Quale parte di: "È tecnicamente impossibile
    > installare malware", non ti è
    > chiara?"
    Cos'è tutto questo accanimento? Non eravate neutrali voi linari?
    Com'è che siete così affezionati a Google?

    Ormai siamo ridotti al solito sfracello: la vostra credibilità scende esponenzialmente in proporzione col numero degli articoli.

    Sì dimenticavo; lascia stare risposte tipo, è abbastanza chiaro come e cosa tu possa rispondere.
    non+autenticato
  • - Scritto da: cottone
    > Cos'è tutto questo accanimento? Non eravate
    > neutrali voi
    > linari?
    Io sono sempre neutrale.

    > Com'è che siete così affezionati a Google?
    Sono affezionato a Google, quanto lo sono a Apple e Microsoft.
    Ovvero: per niente.

    > Ormai siamo ridotti al solito sfracello: la
    > vostra credibilità scende esponenzialmente in
    > proporzione col numero degli
    > articoli.
    Addirittura...abbiamo uno quì che misura la credibilità altrui.
    Mai misurata la tua?

    > Sì dimenticavo; lascia stare risposte tipo, è
    > abbastanza chiaro come e cosa tu possa
    > rispondere.
    Paura del contraddittorio?
    Darwin
    5126
  • calma calma, non è una questione di essere o non essere affezionati

    il punto è che bisogna usare i termini opportuni e valuteare dal punto di vista tecnico i sistemi prima di parlare ( e Maruccia proprio non l'ha fatto )

    tempo fa sono stato accusato su un altro forum di essere poco professionale perchè lascio trasparere il mio entusiasmo per linux in molte discussioni

    ritengo di non aver tuttavia mai detto cazzate, nonostante io tifi apertamente per linux

    il punto, in questo caso, è che google chrome ha una serie di misure di sicurezza ( molte dipendenti dalla porzione read-only del firmware, quindi non hackabili ) che garantiscono l'impossibilità di modificare il sistema in maniera persistente

    in pratica i vari rootkit mbr, spyware che girano come servizi, malware con privilegi di sistema, malware drive-by download sono tutti impossibili da installare su chromeos

    l'unica variante possibile è proprio quella delle estensioni del browser e su questo punto google o implementa un sandboxing più aggressivo o controllare il market come fa apple

    quindi non è che darwin, io o qualche altro stiamo qui per difendere google, però dire che chromeos e windows o macos o linux sono sullo stesso livello in termini di sicurezza, è una balla colossale
    non+autenticato
  • La principale falla del cloud computing e' la stessa idea di cloud computing. Una informazione personale salvata in un server da qualche parte del mondo controllato da sconosciuti e' gia' una vulnerabilita'.
    non+autenticato
  • - Scritto da: Andreabont
    > La principale falla del cloud computing e' la
    > stessa idea di cloud computing. Una informazione
    > personale salvata in un server da qualche parte
    > del mondo controllato da sconosciuti e' gia' una
    > vulnerabilita'.

    Lapalissiano!
    ruppolo
    33147
  • ma tu non sostenevi icloud ?
    Sgabbio
    26178
  • - Scritto da: Sgabbio
    > ma tu non sostenevi icloud ?

    Certo, e lo sostengo ancora.
    ruppolo
    33147
  • - Scritto da: ruppolo
    > - Scritto da: Sgabbio
    > > ma tu non sostenevi icloud ?
    >
    > Certo, e lo sostengo ancora.
    Coerenza zero...
    non+autenticato
  • > Lapalissiano!

    lapplelissiano direi.
    non+autenticato
  • piuttosto il problema è che per lui google cloud = feccia, icloud = paradiso

    cioè il cloud è male finchè non lo fa apple

    insomma, è tutto dire sulla professionalità di ruppoloA bocca aperta
    non+autenticato
  • infatti spero nell'uscita di iCloud OS o una evoluzione di iOS in senso cloud.
    Voglio vedere i commenti di ruppolo. Qualcosa mi dice chein quel momento dirà che il cloud è il futuro e che l'ha inventato AppleA bocca aperta
    Darwin
    5126
  • ovviamente è apple l'inventrice del cloud, perchè tutto ciò che esiste è emanazione di Apple, ciò che ancora non c'è è un'idea potenziale dell'Almighty JobsA bocca aperta

    del resto basta guardare qualche foto per capire come stanno le coseA bocca aperta

    Clicca per vedere le dimensioni originali
    non+autenticato
  • Premetto che per me quel "sistema operativo" non dovrebbe esistere e chi lo usa non si rende conto si quello che fa, al pari di chi vota la fiamma tricolore.

    Però questa critica mi sembra un po' campata per aria. Certo che attraverso l'ingegneria sociale, cioè l'imbroglio, si può convincere (con una facilità estrema) qualcuno a installare qualcosa. Questa è la vulnerabilità principale di qualsiasi sistema informatico, ed è nata con la rete. In questo campo, Google non fa altro che facilitare qualcosa che di per sè era già facile.

    Ma il problema principale è che ogni applicazione, eccetto il browser, il de e il software di base, gira su un server gestito da gente che non conosci e che non ha nessun interesse a tutelare la tua privacy. Per non lucrare sui tuoi dati sensibili (da quello che scrivi alla tua ragazza ai tuoi dati finanziari) dovrebbero essere o l'azienda più onesta del mondo o persone inimmaginabilmente stupide. Purtroppo, in base a ciò che sappiamo di loro, sono ben lungi dall'essere entrambe le cose.

    Oltre a questo, basta un terremoto a Googlandia perchè tutti i "chromebook" del mondo diventeranno spazzatura non riciclabile. Voi direte: beh, ma perchè dovrebbe esserci un terremoto proprio lì! Complimenti: è esattamente la stessa arguzia dimostrata a Fukujima!

    Infine c'è il divertentissimo entusiamo di alcuni sostenitori di GNU/Linux. Costoro sostengono il sistema operativo perchè gli piace la X o perchè amano i pinguini, e non sanno nulla di libertà del software. Diversamente, non si capisce perchè dovrebbero essere contenti di non sapere quale software (sicuramente proprietario) processano i dati inviati dai loro miseri client.
    non+autenticato
  • - Scritto da: uno nessuno
    > Premetto che per me quel "sistema operativo" non
    > dovrebbe esistere e chi lo usa non si rende conto
    > si quello che fa, al pari di chi vota la fiamma
    > tricolore.

    Concordo con la premessa.

    > Però questa critica mi sembra un po' campata per
    > aria. Certo che attraverso l'ingegneria sociale,
    > cioè l'imbroglio, si può convincere (con una
    > facilità estrema) qualcuno a installare qualcosa.
    > Questa è la vulnerabilità principale di qualsiasi
    > sistema informatico, ed è nata con la rete. In
    > questo campo, Google non fa altro che facilitare
    > qualcosa che di per sè era già
    > facile.

    Si, ma non è detto che ciò che installa l'utente possa in qualche modo danneggiare il sistema lato cloud.

    > Ma il problema principale è che ogni
    > applicazione, eccetto il browser, il de e il
    > software di base, gira su un server gestito da
    > gente che non conosci e che non ha nessun
    > interesse a tutelare la tua privacy.

    Diciamo pure che nel caso di Google l'interesse è diametralmente opposto: carpire ogni cosa possibile dell'utente e venderla al mercato dell'advertising.

    > Per non
    > lucrare sui tuoi dati sensibili (da quello che
    > scrivi alla tua ragazza ai tuoi dati finanziari)
    > dovrebbero essere o l'azienda più onesta del
    > mondo o persone inimmaginabilmente stupide.

    O una azienda che guadagna da altre attività, per cui il cloud rappresenta un valore aggiunto al prodotto.

    > Purtroppo, in base a ciò che sappiamo di loro,
    > sono ben lungi dall'essere entrambe le
    > cose.

    Dipende sempre da CHI fornisce il servizio: se chi ti lava il parabrezza è il benzinaio, esso non vorrà essere pagato per il servizio, perché il suo business è vendere benzina. Se invece è un tizio al semaforo, questo vorrà essere pagato.

    > Oltre a questo, basta un terremoto a Googlandia
    > perchè tutti i "chromebook" del mondo
    > diventeranno spazzatura non riciclabile. Voi
    > direte: beh, ma perchè dovrebbe esserci un
    > terremoto proprio lì! Complimenti: è esattamente
    > la stessa arguzia dimostrata a
    > Fukujima!

    Già, ma la gente è sostanzialmente stupida e abbocca al "gratis" più di una trota al verme.

    > Infine c'è il divertentissimo entusiamo di alcuni
    > sostenitori di GNU/Linux. Costoro sostengono il
    > sistema operativo perchè gli piace la X o perchè
    > amano i pinguini, e non sanno nulla di libertà
    > del software.

    L'unica libertà, sempre esistita, è quella di farsi il software da sé. Peccato che non sia facile...

    > Diversamente, non si capisce perchè
    > dovrebbero essere contenti di non sapere quale
    > software (sicuramente proprietario) processano i
    > dati inviati dai loro miseri
    > client.

    Manco sanno cos'è tutto questo, sanno solo che è gratis.
    ruppolo
    33147
  • - Scritto da: ruppolo
    > - Scritto da: uno nessuno
    > > Premetto che per me quel "sistema operativo"
    > non
    > > dovrebbe esistere e chi lo usa non si rende
    > conto
    > > si quello che fa, al pari di chi vota la
    > fiamma
    > > tricolore.
    >
    > Concordo con la premessa.
    >
    > > Però questa critica mi sembra un po' campata
    > per
    > > aria. Certo che attraverso l'ingegneria
    > sociale,
    > > cioè l'imbroglio, si può convincere (con una
    > > facilità estrema) qualcuno a installare
    > qualcosa.
    > > Questa è la vulnerabilità principale di
    > qualsiasi
    > > sistema informatico, ed è nata con la rete.
    > In
    > > questo campo, Google non fa altro che
    > facilitare
    > > qualcosa che di per sè era già
    > > facile.
    >
    > Si, ma non è detto che ciò che installa l'utente
    > possa in qualche modo danneggiare il sistema lato
    > cloud.
    >
    > > Ma il problema principale è che ogni
    > > applicazione, eccetto il browser, il de e il
    > > software di base, gira su un server gestito
    > da
    > > gente che non conosci e che non ha nessun
    > > interesse a tutelare la tua privacy.
    >
    > Diciamo pure che nel caso di Google l'interesse è
    > diametralmente opposto: carpire ogni cosa
    > possibile dell'utente e venderla al mercato
    > dell'advertising.
    >
    > > Per non
    > > lucrare sui tuoi dati sensibili (da quello
    > che
    > > scrivi alla tua ragazza ai tuoi dati
    > finanziari)
    > > dovrebbero essere o l'azienda più onesta del
    > > mondo o persone inimmaginabilmente stupide.
    >
    > O una azienda che guadagna da altre attività, per
    > cui il cloud rappresenta un valore aggiunto al
    > prodotto.
    >
    > > Purtroppo, in base a ciò che sappiamo di
    > loro,
    > > sono ben lungi dall'essere entrambe le
    > > cose.
    >
    > Dipende sempre da CHI fornisce il servizio: se
    > chi ti lava il parabrezza è il benzinaio, esso
    > non vorrà essere pagato per il servizio, perché
    > il suo business è vendere benzina. Se invece è un
    > tizio al semaforo, questo vorrà essere
    > pagato.
    >
    > > Oltre a questo, basta un terremoto a
    > Googlandia
    > > perchè tutti i "chromebook" del mondo
    > > diventeranno spazzatura non riciclabile. Voi
    > > direte: beh, ma perchè dovrebbe esserci un
    > > terremoto proprio lì! Complimenti: è
    > esattamente
    > > la stessa arguzia dimostrata a
    > > Fukujima!
    >
    > Già, ma la gente è sostanzialmente stupida e
    > abbocca al "gratis" più di una trota al
    > verme.
    >
    > > Infine c'è il divertentissimo entusiamo di
    > alcuni
    > > sostenitori di GNU/Linux. Costoro sostengono
    > il
    > > sistema operativo perchè gli piace la X o
    > perchè
    > > amano i pinguini, e non sanno nulla di
    > libertà
    > > del software.
    >
    > L'unica libertà, sempre esistita, è quella di
    > farsi il software da sé. Peccato che non sia
    > facile...
    >
    > > Diversamente, non si capisce perchè
    > > dovrebbero essere contenti di non sapere
    > quale
    > > software (sicuramente proprietario)
    > processano
    > i
    > > dati inviati dai loro miseri
    > > client.
    >
    > Manco sanno cos'è tutto questo, sanno solo che è
    > gratis.


    omg quanta ignoranza, almeno non spacciarti per consulente informatico ruppolo, sembra che tu non abbia mai sentito parlare di legge sulla privacy, o forse è veramente cosi?
    non+autenticato
  • - Scritto da: ruppolo
    > - Scritto da: uno nessuno
    > > Premetto che per me quel "sistema operativo"
    > non
    > > dovrebbe esistere e chi lo usa non si rende
    > conto
    > > si quello che fa, al pari di chi vota la
    > fiamma
    > > tricolore.
    >
    > Concordo con la premessa.
    >
    > > Però questa critica mi sembra un po' campata
    > per
    > > aria. Certo che attraverso l'ingegneria
    > sociale,
    > > cioè l'imbroglio, si può convincere (con una
    > > facilità estrema) qualcuno a installare
    > qualcosa.
    > > Questa è la vulnerabilità principale di
    > qualsiasi
    > > sistema informatico, ed è nata con la rete.
    > In
    > > questo campo, Google non fa altro che
    > facilitare
    > > qualcosa che di per sè era già
    > > facile.
    >
    > Si, ma non è detto che ciò che installa l'utente
    > possa in qualche modo danneggiare il sistema lato
    > cloud.
    >
    > > Ma il problema principale è che ogni
    > > applicazione, eccetto il browser, il de e il
    > > software di base, gira su un server gestito
    > da
    > > gente che non conosci e che non ha nessun
    > > interesse a tutelare la tua privacy.
    >
    > Diciamo pure che nel caso di Google l'interesse è
    > diametralmente opposto: carpire ogni cosa
    > possibile dell'utente e venderla al mercato
    > dell'advertising.
    >
    > > Per non
    > > lucrare sui tuoi dati sensibili (da quello
    > che
    > > scrivi alla tua ragazza ai tuoi dati
    > finanziari)
    > > dovrebbero essere o l'azienda più onesta del
    > > mondo o persone inimmaginabilmente stupide.
    >
    > O una azienda che guadagna da altre attività, per
    > cui il cloud rappresenta un valore aggiunto al
    > prodotto.
    >
    > > Purtroppo, in base a ciò che sappiamo di
    > loro,
    > > sono ben lungi dall'essere entrambe le
    > > cose.
    >
    > Dipende sempre da CHI fornisce il servizio: se
    > chi ti lava il parabrezza è il benzinaio, esso
    > non vorrà essere pagato per il servizio, perché
    > il suo business è vendere benzina. Se invece è un
    > tizio al semaforo, questo vorrà essere
    > pagato.
    >
    > > Oltre a questo, basta un terremoto a
    > Googlandia
    > > perchè tutti i "chromebook" del mondo
    > > diventeranno spazzatura non riciclabile. Voi
    > > direte: beh, ma perchè dovrebbe esserci un
    > > terremoto proprio lì! Complimenti: è
    > esattamente
    > > la stessa arguzia dimostrata a
    > > Fukujima!
    >
    > Già, ma la gente è sostanzialmente stupida e
    > abbocca al "gratis" più di una trota al
    > verme.
    >
    > > Infine c'è il divertentissimo entusiamo di
    > alcuni
    > > sostenitori di GNU/Linux. Costoro sostengono
    > il
    > > sistema operativo perchè gli piace la X o
    > perchè
    > > amano i pinguini, e non sanno nulla di
    > libertà
    > > del software.
    >
    > L'unica libertà, sempre esistita, è quella di
    > farsi il software da sé. Peccato che non sia
    > facile...
    >
    > > Diversamente, non si capisce perchè
    > > dovrebbero essere contenti di non sapere
    > quale
    > > software (sicuramente proprietario)
    > processano
    > i
    > > dati inviati dai loro miseri
    > > client.
    >
    > Manco sanno cos'è tutto questo, sanno solo che è
    > gratis.


    Ruppolo siamo quasi d'accordo.
    Condivido specialmente l'esempio del benzinaio che ti lava i vetri.

    L'unica cosa e' che google i tuoi dati personali non li rivende, se li tiene per se belli stretti, dato che gestisce la pubblicita' per conto proprio e campa di quello.
    Credo invece che aziende come apple/microsoft si rivendano i tuoi dati dato che loro fanno altro per vivere e il loro impero non e' basato su quello.
    non+autenticato
  • - Scritto da: ruppolo
    > Concordo con la premessa.
    Chissà come mai.... Rotola dal ridere
    Scommetto che se Apple farà iCloud OS sarai il primo a dire: Apple ha inventnato l'OS cloud.

    > O una azienda che guadagna da altre attività, per
    > cui il cloud rappresenta un valore aggiunto al
    > prodotto.
    Deciditi: o parli di Apple o parli di Google.

    > L'unica libertà, sempre esistita, è quella di
    > farsi il software da sé. Peccato che non sia
    > facile...
    Esiste anche la libertà di farci quello che vuoi con i sorgenti.
    Solo che tu non sai cosa sia, visto che non sai cosa sia la libertà.

    > Manco sanno cos'è tutto questo, sanno solo che è
    > gratis.
    Pensa che tu paghi per ottenere lo stesso risultato...
    Darwin
    5126
  • > L'unica libertà, sempre esistita, è quella di
    > farsi il software da sé. Peccato che non sia facile...
    Diciamola tutta: per te che di informatica non capisci nulla non è difficile, è impossibile. Poi, fare SW partendo da prodotti chiusi è di nuovo non difficile, impossibile.
    Ma qui entriamo in una campo a te sconosciuto (si parla di intelligenza, libertà, collaborazione) quindi lasciamo perdere.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 20 discussioni)