Sembra quasi una frase fatta piuttosto abusata, ma questo inizio di agosto ha segnato davvero l’avvio un’estate bollente sul fronte della sicurezza. Complice la concomitanza del Black Hat e di Defcon , manifestazioni dedicata alla sicurezza tenutesi a Las Vegas, il numero di vulnerabilità e exploit mostrati e dimostrati dagli hacker riunitisi in Nevada e non solo si è moltiplicato: sotto la lente d’ingrandimento degli esperti di sicurezza ci sono finite procedure apparentemente innocue come l’aggiornamento di un software , capaci però di trasformarsi in un incubo sul piano sicurezza a causa di una scarsa cura del problema autenticazione in fase di progettazione.
Quella mostrata da Tomer Bitton e Itzik Kotler, di Radware , è una nuova vulnerabilità che secondo i due riguarda centinaia di applicazioni, famose e meno famose: i tecnici non si spingono fino a coinvolgere celebri applicazioni come Firefox, che pure si aggiorna via web ma che i due sostengono di non aver testato, ma chiariscono che nell’inganno potrebbero cascarci tanti nomi importanti. Il trucco consiste nell’ inserirsi nella rete WiFi di un bersaglio e attendere che tenti di aggiornare il proprio software : intercettando la comunicazione è possibile sostituirsi al legittimo server nella fornitura degli update, somministrando al posto delle patch genuine un bel pacchetto di malware.
Si tratta in pratica dell’ennesima variante dell’attacco conosciuto come man in the middle : si intercetta una comunicazione, si falsifica la risposta a proprio uso e consumo. A parziale consolazione, occorre che l’attaccante riesca a ottenere l’accesso alla rete wireless del malcapitato (o dei malcapitati) perché il tutto funzioni: ma la mancanza di un adeguato sistema di autenticazione dei pacchetti di update in molto del software in circolazione rende senz’altro la prospettiva di patch virali distribuite indebitamente piuttosto sinistra e piuttosto preoccupante.
Bitton e Kotler, peraltro, sottolineano come ci siano già alcuni produttori che incorporano una firma digitale nei propri aggiornamenti: il software Microsoft, secondo i due, ad esempio non sarebbe soggetto a questo tipo di attacco. Ma guai a ritenersi al sicuro da tutto : lo ha ribadito anche Dino Dai Zovi, già noto per i suoi hack in ambiente Mac, che nel corso di Black Hat ha mostrato la sua ultima fatica, soprannominata Machiavelli . Grazie al suo tool, un computer Apple compromesso può diventare praticamente trasparente per un malintenzionato, fornendo codici e password per qualunque servizio utilizzato tramite il browser di default sui computer della Mela: Safari.
Non è la prima volta che Dai Zovi richiama l’attenzione sui problemi legati alla piattaforma di Cupertino, e non è peraltro l’unico addetto ai lavori che ribadisca i rischi di un senso di falsa sicurezza per gli utenti Mac legato alla scarsa presenza e diffusione di exploit specifici per la piattaforma. Questione di numeri, ovviamente, vista la minor diffusione dei Mac e il conseguente poco appeal per i creatori di malware. E questione anche di architettura di sistema, grazie ad una base *nix che semplifica un po’ la vita agli utenti ma che non deve fargli abbassare la guardia.
Anche gli algoritmi ritenuti inviolabili, come il protocollo di cifratura AES selezionato dal Dipartimento del Commercio USA come standard per le proprie operazioni, negli ultimi tempi è divenuto oggetto di continue attenzioni. In questi giorni, poi, un gruppo di hacker piuttosto conosciuti (tra gli altri figurano Adi Shamir, Orr Dunkelman, Alex Biryukov, Dmitry Khovratovich, Alex Biryukov e Nathan Keller) ha messo insieme un sistema di attacco capace di svelare una chiave da 256 bit in appena 2^39 tentativi (purché si disponga di due chiavi correlate), abbattendo di un ordine di grandezza la complessità dell’operazione. Presto, conferma il guru Bruce Schneier, per fasciarsi la testa: ma abbastanza per far drizzare le orecchie a chi si riteneva al sicuro da ogni intrusione.
Lo stesso vale per i certificati Secure Sockets Layer (SSL), anche questi passati ai raggi X dagli hacker. Dan Kaminsky, altro nome noto , Moxie Marlinspike e Len Sassaman hanno illustrato l’evoluzione di un exploit che lo stesso Marlinspike aveva già presentato a febbraio: grazie ad una scadente implementazione del metodo con cui i browser interagiscono con i siti dotati di certificato SSL, è possibile carpire informazioni sensibili e ritenute al sicuro. Basta far visitare al bersaglio un sito autentico all’inizio della sua navigazione, per poi dirottarlo altrove: i sistemi automatici di salvaguardia dalle minacce non si accorgeranno di nulla, fino a quando almeno non saranno stati modificati per tenere conto di questa possibilità.
Sebbene il problema non riguardi i cosiddetti certificati Extended Validation SSL , sia Microsoft che Mozilla sono al lavoro per arginare il problema : la seconda anticipa di aver già sistemato parecchie problematiche correlate con l’ultima versione distribuita del suo browser, mentre BigM ha annunciato di stare investigando per comprendere l’entità della vulnerabilità.
Chi invece non ha ancora confermato di stare lavorando alla soluzione di un problema con le sue tastiere è Apple. Questa volta è stato K. Chen ( non è chiaro se questo sia il suo vero nome o un nome di fantasia) a descrivere una vulnerabilità non del software che gira su un Mac, ma del firmware delle tastiere disegnate a Cupertino : con un payload di appena 100KB è possibile modificare il funzionamento di queste periferiche per memorizzare e in seguito restituire (come farebbe un comune keylogger) quanto digitato. Ad essere infettato sarebbe, in altre parole, l’hardware: una formattazione del disco rigido non risolverebbe il problema, solo l’abbandono della tastiera compromessa in favore di una nuova arginerebbe la minaccia.
K. Chen ha confermato di aver informato Apple della vulnerabilità, ma di temere che Apple si limiti a risolvere il problema con un aggiornamento software del suo sistema operativo lasciando aperto il firmware della sua tastiera per futuri aggiornamenti. L’hacker si dice intenzionato a rilasciare egli stesso un tool per farlo nel caso da Cupertino non provvedano a tappare il buco come desiderato: e visto che tutte le tastiere Apple, comprese quelle dei notebook, sono dispositivi USB potenziali bersagli dell’attacco, l’auspicio è che la soluzione sia disponibile quanto prima.
Luca Annunziata