Connect with us

Articoli

La TV è il tuo nemico

Massimiliano Zagaglia

Published

on

Il televisore ti spia

I televisori di nuova generazione possono trasformarsi in un Grande Fratello a nostra insaputa e non serve scomodare la CIA per farlo…

Hai acquistato uno Smart TV e ora ti gusti felice le tue belle trasmissioni TV? Beh, noi non staremmo tanto tranquilli davanti a un televisore di ultima generazione, almeno se è dotato di webcam e microfono…

Compromettere il televisore senza accesso fisico? Si può!

È febbraio 2017 e a Ginevra si sta tenendo un convegno a tema sicurezza informatica. Sul palco sale il ricercatore Rafael Scheel che afferma di essere in grado di eseguire un hacking su uno Smart TV senza avere accesso fisico al dispositivo. Naturalmente non si tratta solo di parole, ma di fatti che vengono dimostrati con una prova pratica. Per portare a compimento l’attacco, Scheel sfrutta la tecnologia Hybrid Broadcast Broadband TV (HbbTV), uno standard pensato per convogliare comandi specifici attraverso il segnale del digitale terrestre. Con l’HbbTV si può pertanto ordinare allo Smart TV di collegarsi in background a un sito Web e prelevare ulteriore codice, utile a prendere pieno controllo del dispositivo. Il tutto senza che l’utente finale si renda conto di qualcosa. Durante la dimostrazione, Scheel ha sfruttato due exploit che gli hanno permesso di accedere al firmware del televisore. Il primo è quello messo in luce da Hacking Team e riguarda una specifica vulnerabilità del plug-in Flash (CVE-2015-3090). Il secondo, prende in considerazione una falla presente in molti browser installati negli Smart TV, che rende la presenza del plug-in Flash inutile ai fini dell’attacco.

Questa è una delle tante minacce quotidiane alla nostra privacy. Scoprine altre nel numero 217 di Hacker Journal

Appassionato di informatica, GNU/Linux, Open Source e sicurezza da tempo immane, di solito passo il tempo libero tra una Raspberry Pi, una distro e un report di security.

Articoli

CPU sotto tiro!

Massimiliano Zagaglia

Published

on

Bug delle CPU

Intel e Microsoft non riescono proprio a trovare una patch che blocchi i danni provocati dai bug Spectre e Meltdown

Linus Torvalds che inveisce contro Intel (trovate le sue parole negli archivi della mailing list del kernel Linux su https://lkml.org)… come mai? Semplice, si è scoperto (https://hackerjournal.it/804/come-difendersi-da-spectre-e-meltdown/) che praticamente tutti i processori realizzati negli ultimi 20 anni presentano due vulnerabilità hardware che potrebbero permettere a un attaccante di accedere facilmente ai contenuti nella memoria di sistema di computer, smartphone, server.

Il fatto grave è che la scoperta delle due falle, chiamate dai ricercatori di Project Zero che le hanno individuate Spectre e Meltdown, risale ormai a un anno fa. I produttori di hardware, Intel in testa, sono stati subito avvisati e avrebbero dovuto lavorarci almeno da una decina di mesi. Evidentemente così non è stato visto che le patch proposte prima da Microsoft e ora direttamente da Intel hanno creato grossi problemi alle macchine su cui sono state installate e che alla fine di gennaio il vicepresidente di Intel, Navin Shenoy, ha dovuto chiedere direttamente dal blog dell’azienda, di ignorare gli aggiornamenti più recenti in quanto potrebbero “portare a un numero più alto del previsto di riavvii e a comportamenti imprevedibili dei sistemi”. La raccomandazione è diretta soprattutto ai produttori di computer, ai gestori dei servizi cloud e a chi realizza i sistemi operativi. I singoli utenti hanno già avuto raccomandazioni simili da parte di Microsoft che continua a lavorare alla ricerca di patch valide.

Se vuoi sapere qual è l’aspetto progettuale che si è rivelato vulnerabile, non perdere il numero 217 di Hacker Journal in edicola ora (oppure online all’URL http://sprea.it/rivista/18219)!

Continua a Leggere

Articoli

WhatsApp duro da bucare. A meno che…

Massimiliano Zagaglia

Published

on

Craccare WhatsApp

Il più diffuso sistema di messaggistica istantanea è allo stesso tempo il più difficile da craccare anche per gli hacker più agguerriti.

Il programma di messaggistica WhatsApp ha letteralmente scombussolato il settore della telefonia: oltre un miliardo di utenti ne fanno uso quotidiano, spodestando l’ormai vetusto SMS. Questo ovviamente ha attirato il mondo del cybercrimine e non solo: nelle chat di WhatsApp ci possono essere i segreti dei nostri amici, conoscenti, partner, del capo o del vicino di casa. Una miniera di informazioni che l’hacker non etico – il cosiddetto cracker – desidera da sempre! A distanza di anni WhatsApp è stato messo sotto la lente d’ingrandimento dai più grandi ricercatori di sicurezza permettendone così il raggiungimento di un livello di maturità adeguato e in grado di offrire all’utente comune un sistema relativamente sicuro; eppure basterebbe un minimo di “creatività” per imbucarsi nella chat di chiunque.

A prova di cracker

Non esiste una bacchetta magica per aprire le porte di una chat o di un account WhatsApp. Anche l’hacker più temibile sa che è necessario effettuare prima di tutto un approfondito footprinting della vittima, ossia il processo che precede l’attacco vero e proprio: in questa fase l’attacker si preoccupa di raccogliere quante più informazioni possibili sulla vittima estrapolando i dispositivi coinvolti, numeri di telefono, contatti e altre informazioni sensibili. Trovare vulnerabilità in un qualunque tipo di software significa innanzitutto mettere in luce tutte le funzionalità che quest’ultimo ha da offrire ai propri utenti. Come modalità standard WhatsApp permette di associare il proprio numero telefonico all’account attraverso un SMS o una telefonata di conferma.

Gli attacchi a WhatsApp possono arrivare sotto varie forme: da WhatsApp Web, attraverso il Social Engineering e gli SMS o il QR Code e (almeno una volta) la clonazione del MAC Address… se vuoi scoprire tutti i dettagli tecnici della questione, corri in edicola ad acquistare Hacker Journal 217 (oppure acquistalo online qui)

 

Continua a Leggere

Articoli

Col cellulare ora si pesca meglio

Massimiliano Zagaglia

Published

on

Phishing ai danni degli smartphone

Basta un link all’interno di una mail o di una chat per abboccare all’amo di un pirata che vuole appropriarsi di password e codici

Come forse saprete, phishing è il nome di una truffa che consiste nel rubare le credenziali di accesso o i dati personali di altre persone attraverso mail, chat o altri canali di comunicazione. Un allegato o un link nel messaggio può installare un malware sul dispositivo dell’utente o indirizzare a un sito Web apparentemente identico a quello originale, ma progettato per ingannare chi vi accede attraverso la memorizzazione di informazioni personali e finanziarie come password o dettagli della carta di credito.

Seppure nota da tempo, questa tecnica continua a essere una delle più popolari tra i criminali informatici in quanto richiede in realtà poche abilità tecniche: ingannare qualcuno spingendolo a cliccare su un link presente in una mail è decisamente più semplice che cercare di sfondare le normali difese di un computer attraverso un malware.

Se vuoi sapere come funziona tecnicamente un attacco di phishing e perché anche gli smartphone possono essere usati con questa tecnica, non perdere Hacker Journal 217 in edicola ora (anche in digitale).

Continua a Leggere

Abbonamenti

In Edicola


Dal 15 Febbraio 2018!

Forum

Facebook

Facebook Videos

Collezione HJ

Trending