Sicurezza Informatica
Marvin: riporta in vita un difetto di decrittografia vecchio di 25 anni nell’RSA
Tempo di lettura: 2 minuti. Attacco Marvin: un difetto di 25 anni nell’RSA torna a minacciare. Potenziale decrittografia e falsificazione di firme su server TLS vulnerabili
Un difetto relativo al padding PKCS #1 v1.5 nei server SSL, scoperto nel 1998 e ritenuto risolto, colpisce ancora oggi diversi progetti ampiamente utilizzati. Dopo ampi test che misurano le operazioni end-to-end, i ricercatori di Red Hat hanno scoperto diverse varianti dell’originale attacco temporale, collettivamente chiamate “Attacco Marvin”, che possono efficacemente eludere correzioni e mitigazioni.
Il problema permette agli aggressori di potenzialmente decrittografare i crittogrammi RSA, falsificare le firme e persino decrittografare le sessioni registrate su un server TLS vulnerabile. Utilizzando hardware standard, i ricercatori hanno dimostrato che eseguire l’Attacco Marvin in poche ore è possibile, dimostrando la sua praticità.
In base ai test condotti, le seguenti implementazioni sono vulnerabili all’attacco Marvin:
- OpenSSL (TLS level): Timing Oracle in RSA Decryption – CVE-2022-4304
- OpenSSL (API level): Make RSA decryption API safe to use with PKCS#1 v1.5 padding – No CVE
- GnuTLS (TLS level): Response times to malformed RSA ciphertexts in ClientKeyExchange differ from response times of ciphertexts with correct PKCS#1 v1.5 padding. – CVE-2023-0361
- NSS (TLS level): Improve constant-timeness in RSA operations. – CVE-2023-4421
- pyca/cryptography: Attempt to mitigate Bleichenbacher attacks on RSA decryption; found to be ineffective; requires an OpenSSL level fix instead. – CVE-2020-25659
- M2Crypto: Mitigate the Bleichenbacher timing attacks in the RSA decryption API; found to be ineffective; requires an OpenSSL level fix instead. – CVE-2020-25657
- OpenSSL-ibmca: Constant-time fixes for RSA PKCS#1 v1.5 and OAEP padding in version 2.4.0 – No CVE
- Go: crypto/rsa DecryptPKCS1v15SessionKey has limited leakage – No CVE
- GNU MP: mpz_powm_sec leaks zero high order bits in result – No CVE
Red Hat avverte che la vulnerabilità non è limitata all’RSA, ma si estende alla maggior parte degli algoritmi crittografici asimmetrici, rendendoli suscettibili agli attacchi laterali. Mentre il principale luogo di attacco sono i server TLS, i problemi di base che ne hanno causato la diffusione si applicano alla maggior parte degli algoritmi crittografici asimmetrici (Diffie-Hellman, ECDSA, ecc.), non solo all’RSA.
Nonostante non ci siano segni apparenti dell’utilizzo dell’Attacco Marvin da parte degli hacker, la divulgazione dei dettagli e delle parti dei test e del codice di fuzzing aumenta il rischio che ciò accada a breve. I ricercatori consigliano di non utilizzare la crittografia RSA PKCS#1 v1.5 e invitano gli utenti interessati a cercare o richiedere ai fornitori di fornire alternative vie di compatibilità retroattiva.
Sicurezza Informatica
Garante Privacy irlandese indaga sulla violazione di Dell
Tempo di lettura: < 1 minuto. Garante Privacy irlandese avvia un’indagine sulla violazione dei dati personali dei clienti di Dell, con rischi di pesanti sanzioni per l’azienda.
Il Garante Privacy irlandese ha avviato un’indagine in seguito alle recenti violazioni dei dati personali dei clienti di Dell. La conferma arriva dal vice commissario della DPC, Graham Doyle, che ha ricevuto una notifica di violazione da parte di Dell, attualmente sotto valutazione.
Dettagli delle violazioni
Dell ha informato i clienti tramite email di aver subito una violazione dei dati che ha portato al furto di nomi, indirizzi fisici e informazioni sugli ordini. Nonostante ciò, Dell ha minimizzato il rischio per i clienti, affermando che il tipo di informazioni coinvolte non rappresenta un rischio significativo. Tuttavia, un secondo attacco è stato segnalato, nel quale l’attore della minaccia, noto come Menelik, ha dichiarato di aver sottratto nomi, numeri di telefono e indirizzi email dei clienti da un diverso portale Dell.
Implicazioni per Dell
Le violazioni mettono in luce vulnerabilità significative nei portali di Dell, con dati personali di clienti dell’Unione Europea coinvolti nel furto. L’Autorità Irlandese per la Protezione dei Dati, nota per essere uno dei regolatori della privacy più attivi in Europa, ha preso in carico il caso. La DPC ha precedentemente imposto pesanti sanzioni ad altre grandi aziende tecnologiche, tra cui una multa di 379 milioni di dollari a TikTok per la gestione dei dati dei minori e una multa di 1,3 miliardi di dollari a Meta per la violazione delle norme sul trasferimento dei dati personali verso gli Stati Uniti.
Con l’indagine della del Garante Privacy irlandese in corso, Dell rischia sanzioni significative in caso di violazioni confermate del GDPR, che possono arrivare fino al 4% del fatturato globale annuo. L’azienda ha dichiarato di collaborare con i regolatori per risolvere la situazione e proteggere i dati dei clienti.
Sicurezza Informatica
CISA: nuova direttiva e aggiornamenti di sicurezza
Tempo di lettura: 2 minuti. CISA rilascia nuovi avvisi di sicurezza per ics, aggiunge vulnerabilità al catalogo e Adobe rilascia diversi aggiornamenti di sicurezza
Cybersecurity and Infrastructure Security Agency (CISA) ha recentemente rilasciato una serie di aggiornamenti e avvisi di sicurezza significativi unitamente a una direttiva. Tra le principali notizie, CISA ha pubblicato diciassette nuovi avvisi riguardanti sistemi di controllo industriale per fornitori come Siemens e Rockwell Automation. Inoltre, sono state aggiunte tre nuove vulnerabilità conosciute al catalogo delle vulnerabilità sfruttate, che includono criticità nei router D-Link e in Google Chromium. CISA ha anche aggiornato il catalogo con due ulteriori vulnerabilità relative ai prodotti Microsoft. Infine, Adobe ha rilasciato importanti aggiornamenti di sicurezza per numerosi prodotti software, evidenziando la necessità di aggiornamenti tempestivi per prevenire potenziali exploit.
CISA rilascia diciassette avvisi sui sistemi di controllo industriale
- ICSA-24-137-01 Siemens Parasolid
- ICSA-24-137-02 Siemens SICAM Products
- ICSA-24-137-03 Siemens Teamcenter Visualization and JT2Go
- ICSA-24-137-04 Siemens Polarion ALM
- ICSA-24-137-05 Siemens Simcenter Nastran
- ICSA-24-137-06 Siemens SIMATIC CN 4100 Before V3.0
- ICSA-24-137-07 Siemens SIMATIC RTLS Locating Manager
- ICSA-24-137-08 Siemens PS/IGES Parasolid Translator Component
- ICSA-24-137-09 Siemens Solid Edge
- ICSA-24-137-10 Siemens RUGGEDCOM CROSSBOW
- ICSA-24-137-11 Siemens RUGGEDCOM APE1808
- ICSA-24-137-12 Siemens Desigo Fire Safety UL and Cerberus PRO UL Fire Protection Systems
- ICSA-24-137-13 Siemens Industrial Products
- ICSA-24-137-14 Rockwell Automation FactoryTalk View SE
- ICSA-23-044-01 Mitsubishi Electric MELSEC iQ-R Series Safety CPU and SIL2 Process CPU (Update A)
- ICSA-24-074-14 Mitsubishi Electric MELSEC-Q/L Series (Update A)
- ICSMA-20-049-02 GE Healthcare Ultrasound Products (Update A)
Il Cybersecurity and Infrastructure Security Agency (CISA) ha pubblicato diciassette nuovi avvisi relativi ai sistemi di controllo industriale (ICS) per vari fornitori, tra cui Siemens, Rockwell Automation, Mitsubishi Electric e GE Healthcare. Questi avvisi forniscono informazioni dettagliate su vulnerabilità che potrebbero essere sfruttate da attori malevoli per compromettere i sistemi critici.
CISA aggiunge tre nuove vulnerabilità conosciute al catalogo
CISA ha aggiunto tre nuove vulnerabilità al suo catalogo delle vulnerabilità conosciute, basate su prove di sfruttamento attivo:
- CVE-2014-100005 D-Link DIR-600 Router Cross-Site Request Forgery (CSRF) Vulnerability
- CVE-2021-40655 D-Link DIR-605 Router Information Disclosure Vulnerability
- CVE-2024-4761 Google Chromium V8 Out-of-Bounds Memory Write Vulnerability
Queste vulnerabilità rappresentano vettori di attacco comuni per i cyber attori e pongono rischi significativi per l’infrastruttura federale.
CISA aggiunge due nuove vulnerabilità conosciute al catalogo
CISA ha aggiunto altre due vulnerabilità al catalogo delle vulnerabilità conosciute:
- CVE-2024-30051 Microsoft DWM Core Library Privilege Escalation Vulnerability
- CVE-2024-30040 Microsoft Windows MSHTML Platform Security Feature Bypass Vulnerability
La direttiva operativa vincolante (BOD) 22-01 della CISA richiede alle agenzie del ramo esecutivo federale civile (FCEB) di risolvere le vulnerabilità identificate entro la data di scadenza per proteggere le reti contro le minacce attive.
Aggiornamenti di sicurezza di Adobe per più prodotti
Adobe ha rilasciato aggiornamenti di sicurezza per affrontare vulnerabilità nei suoi prodotti software. Gli utenti e gli amministratori sono incoraggiati a rivedere i bollettini di sicurezza di Adobe e applicare gli aggiornamenti necessari per prevenire il controllo del sistema da parte di attori malevoli.
- Adobe Acrobat and Reader
- Adobe Illustrator
- Substance 3D Painter
- Adobe Aero
- Substance 3D Designer
- Adobe Animate
- Adobe FrameMaker
- Adobe Dreamweaver
Sicurezza Informatica
Iran ripropone la controversa legge sull’Internet: a rischio le VPN
Tempo di lettura: 2 minuti. L’Iran ripropone la Cyberspace Protection Bill, mettendo a rischio l’uso dei VPN e aumentando le restrizioni sull’Internet.
L’Iran ha riproposto una controversa legge sull’Internet mirata a rafforzare il controllo delle autorità sul web. La Cyberspace Protection Bill, precedentemente sospesa nel 2022, intende limitare significativamente i contenuti accessibili online per gli iraniani, rendendo più difficile l’uso dei servizi VPN per bypassare le restrizioni.
Impatto sulla popolazione iraniana
La ripresa della legge, segnalata da Iran International, giunge come un tentativo dell’ultimo minuto per intensificare le restrizioni prima dell’inizio del mandato del nuovo Parlamento, previsto per il 27 maggio 2024. Azam Jangravi, analista di sicurezza informatica presso Citizen Lab, ha spiegato che se la legge dovesse diventare effettiva, estenderebbe notevolmente la capacità del governo di restringere lo spazio digitale nazionale, minacciando la neutralità della rete e permettendo alle autorità di controllare i contenuti online.
Uso dei VPN e nuove restrizioni
L’uso di VPN in Iran è stato a lungo un obiettivo delle autorità. I VPN, abbreviazione di virtual private network, sono software di sicurezza che falsificano l’indirizzo IP e criptano le connessioni internet, permettendo agli utenti di accedere ai servizi globali bypassando le restrizioni online e migliorando la privacy. Tuttavia, nel 2023, l’Iran ha ufficialmente vietato l’uso di VPN “non autorizzati”. Nonostante il divieto, alcuni cittadini continuano a utilizzare questi strumenti per aggirare le limitazioni.
Secondo Jangravi, la legge potrebbe rendere ancora più difficile l’uso dei VPN, allineandosi perfettamente con gli sforzi del governo di stringere il controllo sull’Internet. In passato, le autorità iraniane hanno interrotto la connettività durante le proteste, dimostrando la loro volontà di limitare l’accesso.
Conseguenze economiche e sui diritti dei cittadini
Le misure di blocco dell’Internet e dei servizi VPN hanno inflitto un duro colpo all’economia iraniana. Secondo una stima della Internet Society, il blocco dell’Internet e dei servizi VPN costa all’Iran oltre un milione di dollari al giorno in termini di PIL. Tuttavia, il prezzo più preoccupante è quello pagato dai diritti dei cittadini, con la legge che potrebbe peggiorare una situazione già critica.
Nel 2023, l’Iran è stato uno dei maggiori perpetratori di blackout internet a livello mondiale, con 34 incidenti rispetto ai 19 del 2022. Le autorità hanno mantenuto i blocchi su app e servizi specifici come Signal, WhatsApp, Instagram, Skype, LinkedIn e Viber, limitando ulteriormente la libertà online.
Salvaguardia della privacy e diritti digitali
Jangravi consiglia agli iraniani di prendere misure per proteggere la loro privacy. L’uso di servizi VPN affidabili è vitale per affrontare le nuove restrizioni. Raccomanda inoltre di crittografare le comunicazioni per prevenire la sorveglianza, suggerendo Signal come una delle app di messaggistica più sicure grazie alla sua crittografia end-to-end.
Infine, Jangravi sottolinea l’importanza di rimanere informati sui diritti digitali e di sostenere un Internet aperto. La lotta per la libertà online continua, e la consapevolezza e l’azione collettiva sono cruciali per resistere a queste restrizioni oppressive.
- Inchieste1 settimana fa
Perchè il motore di ricerca OpenAI fa paura ai giornalisti?
- L'Altra Bolla1 settimana fa
Meta arriva l’intelligenza artificiale per la Pubblicità
- L'Altra Bolla1 settimana fa
TikTok: azione legale contro Stati Uniti per bloccare il divieto
- L'Altra Bolla1 settimana fa
Meta testa la condivisione incrociata da Instagram a Threads
- L'Altra Bolla1 settimana fa
X sotto indagine dell’Unione Europea
- Robotica5 giorni fa
Come controllare dei Robot morbidi ? MIT ha un’idea geniale
- Smartphone1 settimana fa
Xiaomi 14 e 14 Ultra, problemi di condensa nelle fotocamere
- Smartphone1 settimana fa
Google Pixel 8a vs Pixel 8: quale scegliere?