Molti di noi conosceranno o avranno la Raspberry Pi 400, cioè la tastiera che integra una Raspberry Pi 4. Ebbene, ora questo dispositivo ha un rivale che si chiama Orange Pi 800. Scopriamo se è un degno avversario.

Tutto dentro la tastiera

Anche la Orange Pi 800 sembra una tastiera, invece è un intero computer – un miniPC – con CPU, memoria, disco e porte di collegamento. In pratica la tastiera ha al suo interno un chipset Rockchip RK3399 che integra una CPU a sei core (due di essi sono dei Cortex-A72 a 1,8 GHz, gli altri quattro sono dei Cortex-A53s a 1,4 GHz). Troviamo poi una GPU (scheda grafica) Mali-T860MP4, 4 GB of RAM di tipo LPDDR4 e un disco da 64 GB di tipo eMMC.

Orange Pi 800 è disponibile solo con il layout americano, tra i 78 tasti non troviamo cioè le lettere accentate che usiamo di norma. I programmatori gradiranno questo layout visto che usano spesso le parentesi quadre e graffe. In tutti i casi è possibile impostare nel sistema operativo il layout italiano: se si è abituati a digitare ci si adatta velocemente trovando comunque le lettere accentate pur non vedendole scritte.

Distro Linux

Orange Pi 800 arriva con il sistema Linux Orange Pi OS preinstallato, ma sul sito del produttore troviamo altri sistemi installabili: Manjaro, Ubuntu 22.04 e Debian 11. Queste distribuzioni Linux devono essere salvate su scheda microSD. Di OrangePi OS esiste anche una versione basata su Android. Avviata la macchina, ci troviamo di fronte un classico desktop: in alto a sinistra troviamo il menu Applications (Applicazioni, una volta che avremo messo in italiano il sistema) con i vari programmi installati divisi per categorie (Impostazioni, Internet, Multimedia, Grafica, Ufficio, ecc.). Per mettere in italiano il sistema operativo il modo più rapido è usare il programma OrangePi config che troviamo nel menu delle impostazioni. Tramite esso è anche possibile installare vari programmi non presenti all’inizio, come LibreOffice, il media center Plex o la soluzione per la sincronizzazione dei file Syncthing. Sempre in alto, a destra, ci sono invece le icone che indicano lo stato della rete, l’orario, il Bluetooth, ecc. Prima che ce la chiediate, la password dell’utente predefinito è orangepi. La tastiera è tutto sommato comoda nella digitazione. è necessario dotarsi di un mouse, non incluso nella confezione (nello store ufficiale su Amazon, https://bit.ly/ci272_orangepi800), dove invece troviamo l’alimentatore da rete, Orange Pi 800, infatti, non va a batteria. Noi l’abbiamo usata come un classico sistema desktop, con buone prestazioni. Orange Pi 800 può piacere anche ai programmatori e agli appassionati di elettronica, anche se bisogna notare che il GPIO presente non permette l’uso delle schede pensate per la Raspberry Pi. E ovviamente, installando il software adatto, diventa tranquillamente una stazione da hacking!

Grazie alle porte HDMI 2.0 (con uscita in 4K) e VGA possiamo collegare due monitor alla tastiera, che integra un altoparlante non eccelso ma comodo.

Decentraleyes è un componente aggiuntivo per browser che consente di navigare aggirando le principali CDN presenti online. Come quella di Google, Amazon, Meta e via discorrendo. Non sapete cos’è una CDN? Beh, il concetto è semplice… CDN è l’acronimo di Content Delivery Network, in altre parole una rete per la distribuzione dei contenuti. Un insieme di server, tecnicamente, distribuiti in più aree geografiche che – mediante la memorizzazione sui PC di piccoli file, velocizza la navigazione degli utenti. Ma allo stesso tempo memorizza informazioni personali, come ad esempio le ricerche in base ai gusti e alle preferenze manifestate in Rete. In parole povere, svolge la cosiddetta attività di “profilazione”. Ecco quindi l’importanza di un software come Decentraleyes, in grado di aggirare tutto questo e garantire una protezione della privacy e, al contempo, di velocizzare un po’ il caricamento delle pagine. Come? Vediamolo subito…

Come funziona?

Decentraleyes non fa altro che emulare i file di tracciamento, riproponendo agli utenti quelli più diffusi e presenti sul Web. In pratica, l’add-on memorizza al suo interno le librerie e, quando intercetta una richiesta da parte di un sito di una di queste, la fornisce direttamente, così che nessun altro sito venga più contattato per scaricarla. Crea una sua personale CDN. Ciò, inizialmente, non apporta grandi agevolazioni, ma col passare del tempo evita che gli utenti scarichino altri file di tracciamento non richiesti. Protegge così la privacy e, indirettamente, accelera la navigazione. Decentraleyes è un add-on che è fa parte dell’ormai nota “Cassetta degli attrezzi anticensura” di cui abbiamo scritto nei numeri scorsi. Nei prossimi passi vi facciamo vedere come si utilizza in pratica.

IN PRATICA

Create la vostra CDN personale

 Installazione
Installate l’add-on per Firefox collegandovi a questo indirizzo e cliccando su Aggiungi a Firefox; oppure su Aggiungi se adoperate Google Chrome, o ancora su Ottieni per Edge. Scegliete il pulsante Installa e aspettate qualche secondo.

Anche in finestra anonime?
Al termine dell’installazione, apparirà un messaggio in alto a destra che vi consentirà di impostare questo add-on anche per le finestre anonime del browser. Se volete attivare questa funzione mettete una spunta sul messaggio e, infine, cliccate sul pulsante OK.

 Un test
Per provare l’add-on appena installato, il produttore ha inserito (in basso a sinistra della schermata principale) un link dedicato alla realizzazione di un test. Cliccate qui: vedrete che il componente bloccherà un paio di risorse e mostrerà il numero 2. Provate ora a disabilitarlo cliccando sul tasto di accensione…

Le impostazioni
Entrate adesso nelle impostazioni dell’add-on cliccando sul tasto degli ingranaggi riportato in basso a destra della schermata principale. Dalla schermata che si apre potete scegliere tra quattro opzioni. Il consiglio, comunque, è quello di lasciare tutto inviato.

Un altro test
Per vedere le risorse che Decentraleyes ha bloccato finora, cliccate con il tasto destro su una qualsiasi parte vuota di un sito e scegliete Analizza. Poi entrate nella scheda Rete e scorrete il listato che vi appare. Da qui è possibile constatare che alcune librerie sono servite all’istante senza nemmeno che ci sia una richiesta.

Rimuoverlo
Come detto, l’efficacia di Decentraleyes la si apprezzerà di più con il passare del tempo. Se però non siete soddisfatti del suo funzionamento o non volete aspettare, per rimuovere l’add-on vi basta cliccare con il tasto destro sul simbolo in alto a destra e scegliere Rimuovi estensione.

È difficile identificare le minacce informatiche di uno spazio che non esiste ancora completamente. Ma su una cosa siamo sicuri: quando arriveranno, saranno micidiali. Perché il Metaverso, quella specie di rete che collega e rende interoperabili differenti ambienti di realtà virtuale con l’ausilio di visori e occhiali VR, oggi sembra una barzelletta mal riuscita raccontata da Mark Zuckerberg, ma domani potrebbe diventare una serie di ambienti giganteschi e molto reali dal punto di vista economico e sociale. E conoscendo la natura umana, ci sarà chi cercherà di sfruttarlo per il suo lato oscuro.

RICERCA RIVELATORIA

Una delle prime ricerche che mette in luce quali configurazioni potrebbe avere questo spazio virtuale è quella condotta dall’azienda di cybersecurity Trend Micro. Ma i ricercatori non sono gli unici a preoccuparsi: sono in molti quelli che già provano a immaginare come i primi abbozzi di Metaverso verranno trasformati anche in luoghi di incontro e scambio illegale.

CRIMINALI VIRTUALI

I rischi possibili nell’immediato futuro sono davvero molti. Il Metaverso prevede l’utilizzo degli NFT per la regolamentazione della proprietà, viste le loro caratteristiche di immutabilità. Però, proprio come accade con i furti di Bitcoin e delle altre criptovalute oggi, gli NFT saranno oggetto di phishing, furti, frodi anche in 3D. Non solo. Le proprietà di “spazi fisici” virtuali nel Metaverso daranno la possibilità di riciclare soldi sporchi con compravendite con valori artificialmente gonfiati e generare un’economia parallela e illegale. Inoltre, la privacy sarà completamente stravolta, perché non solo la possibilità di tracciare i comportamenti degli utenti è ancora tutta da definire, ma il tipo di dati e di azioni che possono essere viste è enormemente più sofisticato e complesso. Infine, fake news, propaganda e ingegneria sociale la faranno da padroni in spazi molto realistici dove però è tutto generato digitalmente e quindi tutto potenzialmente falso.

IL FAR WEST

La base del ragionamento che viene fatto è che oggi il Metaverso è ancora sul tavolo da disegno dei progettisti della Rete. Meta, cioè Facebook, ma anche le centinaia di aziende che stanno cercando il modo di investire e personalizzare gli ambienti a loro vantaggio, sono ancora agli inizi. È, a quanto pare, un ambiente embrionale dove non esistono regole e dove sembra che nessuno le voglia mettere. Anzi, come la corsa all’Ovest del vecchio Far West, quando i coloni sbarcati dall’Europa potevano correre verso le grandi pianure e fermarsi per colonizzare gratuitamente tutta la terra che fossero stati in grado di prendere, così nel Metaverso le aziende oggi stanno cercando di acchiappare visibilità e “spazi” (rappresentati dagli NFT) in maniera tale da avere un vantaggio. Ma, proprio come nel Far West dell’Ottocento, nel Metaverso troveranno casa criminali e truffatori. E le forze dell’ordine potranno fare molto poco.

LE DOMANDE APERTE

ll vero problema, infatti, non è soltanto l’insicurezza, ma anche la difficoltà a capire come fare a introdurre delle forme di controllo e di sicurezza credibili. Come fare a sorvegliare i territori virtuali? Come attribuirsi le competenze e la giurisdizione? Come ridefinire i reati quando questi diventano virtuali? Sono molti i problemi aperti che stanno preoccupando i ricercatori e gli esperti. E le domande sono tante: come saranno moderate le attività degli utenti e il parlato nel Metaverso? E chi saranno i responsabili? Come verranno controllate e applicate le violazioni del diritto d’autore? Come faranno gli utenti a sapere se stanno interagendo con una persona reale o unbot? Ci sarà un test di Turing per differenziare le AI dagli esseri umani? C’è un modo per salvaguardare la privacy impedendo che il Metaverso venga dominato da poche grandi aziende tecnologiche, come vorrebbe per esempio Meta? Sono tutte domande aperte che, se non trovano risposta adesso, potrebbero diventare problemi cronici del nuovo spazio virtuale.

Amazon Web Services è il cloud di Amazon, una delle principali piattaforme cloud disponibili. La quantità di servizi che offre è enorme, praticamente qualsiasi cosa si possa immaginare nel mondo del cloud computing, e sono solitamente indicati con delle sigle. S3, per esempio, è un semplice storage cloud. EC2 offre macchine virtuali. Mentre EKS (Elastic Kubernetes Service) è l’implementazione in chiave Amazon di Kubernetes. Naturalmente, nella logica di Amazon, tutti i vari servizi sono interconnessi, in particolare per quanto riguarda l’autenticazione. Su Kubernetes è, infatti, presente un meccanismo di autenticazione basato su utenti e ruoli, per cui a ogni utente vengono assegnati dei token identificativi e una serie di autorizzazioni per l’accesso a specifiche risorse. Questo permette di definire con estrema precisione quali attività possano essere svolte da ciascun utente, rendendo l’ambiente molto sicuro, perché non è necessario dare a qualcuno più permessi di quanti ne servono. L’aspetto interessante è che già da prima che esistesse Kubernetes, il sistema di autenticazione di Amazon, AWS IAM, funzionava con la stessa logica.

DOVE RISIEDE LA VULNERABILITÀ

Per evitare di dover ripetere tutto due volte, cosa piuttosto complicata in aziende con centinaia o migliaia di dipendenti, Amazon ha deciso di integrare il proprio IAM con la sua implementazione di Kubernetes, così è possibile utilizzare le utenze AWS preesistenti, magari già in uso per accedere a servizi come S3 o CloudFront, per accedere anche alle risorse allocate sul cluster Kubernetes. È quindi stato pubblicato il modulo AWS IAM authenticator for Kubernetes, che permette l’utilizzo del sistema di autenticazione di Amazon per accedere alle risorse di un cluster Kubernetes (uno qualsiasi, in realtà, non necessariamente EKS). Kubernetes è infatti open source, quindi chiunque può realizzarsi un cluster sul proprio hardware, e Amazon ha rilasciato come open source anche la propria implementazione, col nome di “EKS Anywhere”. E chiunque può decidere di utilizzare come autenticatore il servizio IAM di Amazon, su qualsiasi cluster Kubernetes. Semplicemente, Kubernetes continua a gestire i suoi ruoli e permessi come al solito, ma per l’autenticazione di un accesso non si fa il classico scambio di chiave direttamente in Kubernetes: l’utente si autentica su Amazon e riceve un token di autorizzazione temporaneo, che viene poi utilizzato nelle varie chiamate alle KubeAPI per collegare l’attività all’utente. Il modulo  aws-iam-authenticator si occupa proprio di mettere in relazione i ruoli nativi di Kubernetes con l’autenticazione di Amazon. Ed è in questa “traduzione” che è stato trovata una vulnerabilità, a meno di un anno dalla pubblicazione di EKS Anywhere.

Figura 1 – Il problema è che il nome utente viene cercato come lowercase, quindi è possibile che due nomi, che differiscono solo per le maiuscole, vengano confusi. [Fonte]

UN DIZIONARIO PER LA TRADUZIONE

La procedura di autenticazione percorre sostanzialmente sei passi:

1. L’utente invia una richiesta alle API di EKS, per ottenere delle risorse Kubernetes (per esempio, “kubectl get pods”). La richiesta include un token di autorizzazione nell’intestazione, che è una stringa base64 di AWS Security Token Service.
2. Il server riceve la richiesta, estrae il token, e lo invia nel corpo della richiesta verso il server di AWS IAM.
3. Il server di autenticazione di AWS IAM riceve il token dal server API, lo decodifica e lo verifica. Se è corretto, il server IAM invia la richiesta di autenticazione firmata ad AWS STS.
4. AWS STS riceve la richiesta e contolla la firma. Se la firma è valida, poi invia i dettagli dell’identità IAM dell’utente come risposta alla chiamata GetCallerIdentityResponse (chiamata che IAM fa a STS).
5. L’autenticatore IAM riceve la risposta della propria chiamata GetCallerIdentityResponse da STS e traduce l’identità IAM collegata a quel token in un serviceaccount di Kubernetes, basandosi sulle regole scritte nella ConfigMap aws-auth. L’identità Kubernetes che viene riconosciuta grazie a questa ConfigMap deve ovviamente essere presente nel cluster, e avere delle regole RBAC che le permettano l’accesso a delle risorse. AWS IAM passa l’identità Kubernetes corrispondente alla propria alle API di EKS.
6. Il server delle API riceve l’identità, controlla i permessi tramite RBAC, e verifica se la richiesta (“get pods”, nell’esempio) è autorizzata per questo serviceaccount. In caso positivo, esegue la richiesta e restituisce il risultato direttamente al chiamante.

Uno dei punti deboli è che è possibile modificare la ConfigMap, come si farebbe con una qualsiasi altra ConfigMap:

kubectl edit configmaps aws-auth -n kube-system

Se si aggiungesse un elemento di questo tipo alla sezione mapUsers:

mapUsers: |
– userarn: arn:aws:iam::000000000000:user/testuser
username: user:

Sarebbe possibile assegnare una access key IAM arbitraria (per esempio la propria) all’utente testuser. Naturalmente, per poterlo fare bisogna prima di tutto avere l’accesso alla ConfigMap in questione, ma è possibile che un utente possa accedere al namespace kube-system senza però avere altri privilegi. Con questo meccanismo, potrebbe modificare la ConfigMap e assegnarsi un serviceaccount Kubernetes che ha maggiori privilegi, andando quindi a impersonare un altro ruolo. Ci si potrebbe chiedere: ma, se viene mappato un utente già presente nella ConfigMap, non dovrebbe generare un errore? La realtà è che questo non accade a causa di questo bug nella lettura della ConfigMap da parte del sistema di verifica dei token:

queryParamsLower.Set(strings.ToLower(key), values[0])

Come si può vedere, la chiave (l’utente) viene trasformata in minuscolo. È quindi possibile modificare la ConfigMap per sostituire l’utente “amministratore” con un piccolo trucco: basta aggiungere la propria access key per l’utente “Amministratore”. Siccome le due stringhe sono diverse, non ci sarà una sovrascrittura e nessun errore nell’inserimento. Poi, quando AWS cercherà di confrontare le varie access key, selezionerà questa stringa ma trasformandola in minuscolo, quindi dando l’accesso al service account “amministratore”.

LA SOLUZIONE

Amazon ha risolto il problema semplicemente aggiungendo al codice una funzione che faccia un vero controllo dei duplicati, per assicurarsi che nessuno aggiunga una seconda volta l’access key per un utente già esistente. Il nuovo codice è stato caricato su tutte le istanze EKS gestite da Amazon, e per quelle installate dagli utenti sul proprio hardware basta fare un aggiornamento di EKS Anywhere. A ogni modo, il bug era presente fin dal 2020, e non sappiamo se sia stato sfruttato da qualcuno prima che venisse scoperto e corretto, quindi conviene assicurarsi che i permessi degli utenti nel proprio cluster EKS siano rimasti come previsto. In particolare, all’amministratore basta controllare la ConfigMap aws-auth nel namespace kube-system, per assicurarsi che non ci siano “duplicati” (pur con differenze tra maiuscole e minuscole) dei nomi degli account.

Figura 2 – Il problema è stato risolto con una nuova funzione che controlla la presenza di eventuali utenti duplicati  a prescindere da maiuscole e minuscole, e segnala l’errore. [Fonte]

Quando pensiamo a un cyber attacco, la prima cosa che ci viene in mente è un pirata informatico che, collegato col suo PC magari a migliaia di chilometri, sferra un attacco sfruttando la rete Internet come mezzo per raggiungere le vittime e violare la sicurezza dei loro dispositivi. Tuttavia, esistono attacchi che permettono a un hacker di prendere possesso di dati sensibili senza sfruttare falle di sicurezza, né connessioni di rete; in gergo vengono chiamati attacchi sul canale laterale (Side Channel Attack).

Che cos’è un attacco di canale laterale?

Un attacco di tipo side-channel tenta di raccogliere informazioni da un sistema misurando o sfruttando gli effetti indiretti dello stesso, senza quindi irrompere direttamente nei dispositivi. Ad esempio, un attacco di questo tipo è quello conosciuto come phreaking di van Eck, noto anche come radiazione di Van Eck; in questo tipo di offensiva vengono impiegati dispositivi in grado di captare le emissioni elettromagnetiche provenienti ad esempio da tastiere e display di PC o smartphone; tali segnali, opportunamente elaborati, consentono a un malintenzionato di ricostruire le informazioni digitate o visualizzate. Un altro esempio di attacco di canale laterale è quello in cui vengono captati i toni DTMF tipici di alcuni tastierini d’allarme o dei telefoni cordless. Ad ogni tasto premuto corrisponde un numero/codice digitato, è quindi possibile decodificare i suoni per capire quale tasto è stato premuto e quindi quale sequenza è stata digitata.

Lo strumento dell’hacker: la fotocamera termica

È di qualche settimana fa la pubblicazione di una ricerca che strizza l’occhio agli attacchi a canale laterale. Alcuni ricercatori dell’Università di Glasgow – con a capo il prof. Mohamed Khamis – hanno sviluppato un sistema, battezzato ThermoSecure, per dimostrare come il calo dei prezzi delle termocamere sta invogliando nuove tipologie di cyber attacchi conosciuti come “attacchi termici”; si possono attuare dopo che gli utenti hanno digitato dati sensibili sulla tastiera di un PC, sullo schermo di uno smartphone o finanche sul tastierino di un bancomat prima di lasciare il dispositivo incustodito.
Un pirata dotato di una termocamera può scattare una foto che rivela i punti caldi in cui le dita dell’ignaro utente hanno toccato il dispositivo. Più un’area appare luminosa nell’immagine termica, più recentemente è stata toccata. Misurando l’intensità relativa delle zone più calde, è così possibile determinare le lettere, i numeri oi simboli specifici che compongono la password o altri dati sensibili, determinando anche l’ordine in cui i caratteri sono stati digitati. Una precedente ricerca ha dimostrato che si possono indovinare con successo le password digitate semplicemente osservando attentamente le immagini termiche scattate tra 30 e 60 secondi dopo che le superfici sono state toccate.

Un’immagine ottenuta da ThermoSecure. Sono ben evidenti i tasti digitati dall’utente pochi secondi prima di scattare la foto. Photo Credits: Università di Glasgow

È attivo da oltre un anno, ma finora era appannaggio dei soli fortunati in possesso di un invito. Adesso è aperto a tutti coloro volessero provarlo. Di cosa stiamo parlando già lo sapete: del servizio di email forwarding di DuckDuckGo. Non sapete cos’è DuckDuckGo? In poche parole, è una software house con sede in Pennsylvania che ha come mission la tutela della privacy: tutti i sui prodotti abbracciano questo scopo, a partire dal noto motore di ricerca, così come le app e gli add-on per browser. E ora c’è anche il suo servizio dedicato alla posta elettronica. Ma procediamo per gradi…

Perchè scegliere DuckDuckGo?

Semplice: per la sua capacità di salvaguardare i dati personali degli utenti. Le email che riceviamo, infatti, nascondono spesso tracker, celati dietro link o immagini allegate. Questi permettono di scoprire quando l’utente apre il messaggio, dove si trova e quale dispositivo sta usando. Addio privacy, in sostanza! Anche perché queste informazioni vengono poi adoperate per generare un profilo dell’utente, sfruttato in seguito per l’invio di pubblicità.
O, peggio ancora, venduto ad altre aziende, con tutto quello che ne consegue! Ecco quindi perché scegliere Email Protection di DuckDuckGo: ripulisce la posta elettronica e ci protegge da tracker e attacchi spoofing.

Come funziona?

Il meccanismo è semplice: sono previste due funzionalità principali. La prima è il forwarding. In sostanza, prevede la creazione di una casella ex novo, che avrà la forma [email protected], e l’indicazione di un secondo indirizzo funzionante; tutta la posta inviata all’account Duck appena generato verrà controllata e successivamente inoltrata all’altra casella. Si riceveranno, in pratica, solo messaggi senza “intrusi”. La seconda funzionalità riguarda la creazione di indirizzi email casuali. Basterà cliccare su un link per creare un indirizzo del tipo [email protected]. Questo nuovo indirizzo email potrà essere utilizzato, ad esempio, per la registrazione su siti poco attendibili o per la compilazione di qualche modulo online al quale non voler fornire una casella che sarà magari oggetto di spam. Le caselle così create potranno essere disattivate in ogni momento.

Anche per smartphone

Email Protection è disponibile per browser Firefox, Edge, Chrome e Brave, ma solo dopo aver installato l’estensione DuckDuckGo Privacy Essentials) e per dispositivi iOS e Android (tramite apposite applicazioni).

IN PRATICA

Creiamo il nostro primo indirizzo email su DuckDuckGo

L’estensione per il browser
Colleghiamoci su https://duckduckgo.com/email/. Per installare l’add-on sul browser Firefox, clicchiamo su Add to Firefox e subito dopo scegliamo Installa. Dopo qualche secondo il sistema porterà a termine l’operazione, non ci resta che selezionare il pulsante Ok. Siamo pronti…

Pochi dati!
Installata l’estensione, ricolleghiamoci su https://duckduckgo.com/email/ e scegliamo il pulsante Get Started. Poi Next per un paio di volte. Infine, inseriamo il nome che preferiamo, un indirizzo email a cui forwardare i messaggi e clicchiamo su Continue. L’ultimo passo è cliccare su This is correct.

Tutto pronto!
Un paio di messaggi ci avvisano che il nostro indirizzo è pronto e che da subito le email inviate al nostro nuovo indirizzo Duck verranno inoltrate (dopo essere state controllate) all’indirizzo indicato al passo precedente. Avendo anche installato l’add-on, saremo facilitati nell’individuazione dei campi durante la compilazione della email. Clicchiamo sul pulsante Next.

Un’altra casella?
DuckDuckGo offre anche la possibilità di creare caselle email casuali, ideali per compilare moduli online. Per farlo, dal menu dell’add-on basterà selezionare la voce Create new Duck Address. Ultima nota: la rimozione dell’account o il cambio dell’indirizzo, si fanno dalla pagina https://duckduckgo.com/email/settings/autofill.

Il bug a cui facciamo riferimento in questo articolo appartiene a uno dei programmi più diffusi sui PC (soprattutto quelli dotati di Windows) di tutto il mondo: Adobe Reader. Quando un utente scarica un PDF, c’è buona probabilità che lo apra automaticamente con questo programma. Per capire meglio come funziona, bisogna capire come funzionano i PDF. Il loro “progenitore”, il formato PostScript, è una sorta di linguaggio di programmazione vero e proprio, che contiene le istruzioni per la stampa. Queste istruzioni devono poi essere interpretate dalle stampanti (e dai programmi che visualizzano l’anteprima). Un po’ come un programma in Python. Invece, i PDF sono una sorta di versione già compilata, come un programma binario. Ciò non toglie che debbano essere “interpretati” per poterli visualizzare sullo schermo, ma con la differenza che l’interpretazione parte proprio da un binario. È più simile a una emulazione, come quando si usa una macchina virtuale per far girare un programma scritto per una architettura diversa da quella nativa del processore del proprio PC.

[figura #1] – Il codice di Adobe Acrobat Reader non è pubblico, ma con un debugger è possibile vedere le porzioni in cui l’indirizzo di memoria viene liberato e nonostante questo il programma continua a usarlo (FONTE: https://zscaler.com)

Il cuore del problema

Nel corso degli anni il formato PDF è diventato uno standard indiscusso, ma gli utilizzi dell’informatica sono cambiati negli ultimi 30 anni, e da un po’ di tempo i PDF hanno iniziato a supportare i form, per consentire una semplice compilazione dei moduli. Non soltanto: hanno anche iniziato a supportare JavaScript (https://opensource.adobe.com/dc-acrobat-sdk-docs/acrobatsdk/pdfs/acrobatsdk_jsapiref.pdf) per automatizzare la gestione dei form stessi. Ed è qui che si annida il problema: se un PDF di per sé non contiene del codice da interpretare o eseguire, il codice JavaScript deve essere eseguito, e questo può dare spazio di manovra a qualche malintenzionato. Nel caso specifico, Adobe ha sviluppato alcune apposite API che permettono al codice JavaScript di accedere a determinate parti della pagina. Per esempio, la funzione print stampa un subset di pagine del documento PDF. Questa funzione ha una serie di parametri opzionali: nStart e nEnd indicano il numero di inizio e fine del range di pagine da stampare, bShrinkToFit indica se sia necessario ridimensionare le pagine per adattarle all’area di stampa, eccetera. In particolare, da Acrobat 6 in poi i vari parametri sono supportati per retrocompatibilità, ma è disponibile un nuovo elemento: printParams. Questo oggetto dovrebbe contenere tutte le impostazioni necessarie per la stampa e se è specificato tutti gli altri parametri vengono ignorati. Questa comodità prevista da Adobe, che in teoria facilita queste attività perché si può creare l’oggetto con le preferenze di stampa una volta sola e poi usarlo quando si vuole, ha in realtà un problema di implementazione. L’oggetto printParams viene infatti utilizzato senza prima verificare che contenga qualcosa di legittimo. Quindi per un malintenzionato è possibile creare un PDF che contenga questo codice:

/OpenAction <<
/JS (
fthis = this;
try {
uAnwU19 = new Object(unescape(‘%EA7%DF’));
} catch(e) {};
try {
fthis.print({
bUI: true,
nStart: 1,
nEnd: 2,
bSilent: true,
bPrintAsImage: true,
bReverse: true,
bAnnotations: true,
printParams: uAnwU19
});
} catch(e) {};
fthis.resetForm();)
/S /JavaScript
>>

L’interprete JavaScript di Adobe Reader eseguirà la funzione print, ignorando i vari parametri legittimi, e utilizzando per le preferenze di stampa soltanto l’oggetto uAnwU19. Questo è per JavaScript un oggetto corretto, ma in realtà non contiene alcuna informazione utile per la stampa. Quanto accade, quindi, è che Acrobat Reader scarta l’oggetto ma poi, per un bug nella programmazione, cerca di usarlo comunque per continuare la stampa. Questo è un errore detto use after free: si tratta di un accesso non autorizzato a un’area di memoria, perché ovviamente prima poteva anche accedervi ma ora non più. Inserendo un adeguato shellcode nell’oggetto incriminato è possibile sovrascrivere un’area di memoria che poi verrà eseguita, dando la possibilità al malintenzionato di ottenere, per esempio, un terminale remoto sul PC della vittima.

Entità della vulnerabilità

Questa vulnerabilità è piuttosto seria, non soltanto perché il programma colpito è uno dei più diffusi sui computer di tutto il mondo, ma anche perché è piuttosto semplice da sfruttare. Per un malintenzionato è sufficiente creare un PDF malevolo e caricarlo su un sito web, o inviarlo via email. La vittima, ignara, finirebbe con l’aprire il file e innescare l’esecuzione del codice. Al momento non abbiamo segnalazioni di PC crackati con questo meccanismo, ma è anche abbastanza palese che un utente potrebbe essere stato colpito e non rendersene conto. Il bug si presenta in buona parte dei casi come un crash di Adobe Reader, la maggior parte degli utenti tende a ignorare questi eventi, al massimo bollandoli come un difetto del file. Va detto che è anche un bug difficile da identificare, perché il pdf è del tutto legittimo, quindi anche eseguendo una scansione del file non c’è un modo semplice per capire se sia “infetto”.

[figura #2] – La documentazione ufficiale di Adobe spiega come funzionano le API JavaScript dei PDF (FONTE: https://opensource.adobe.com/dc-acrobat-sdk-docs/acrobatsdk/pdfs/acrobatsdk_jsapiref.pdf)

La soluzione

Gli scopritori del bug hanno contattato Adobe, e l’azienda ha rilasciato dei bugfix per tutte le principali versioni di Acrobat Reader. È importante ricordare che questo non è un bug nel formato PDF, ma nel modo in cui Acrobat Reader gestisce JavaScript all’interno del PDF. Quindi chi sta utilizzando qualche altro visualizzatore di PDF non è colpito dal problema, e non deve adottare particolari contromisure. Gli utenti di Acrobat Reader, invece, devono semplicemente aggiornare il programma all’ultima versione disponibile.