Connect with us

Tech

Taglie fino a 1 milione di dollari USA per le vulnerabilità di Tor-Browser di 0 giorni

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 3 minuti.

Se in questa pagina c’è un white hat o anche un black hat, allora siate certi che il lavoro di pirata informatico diventa smepre più gradito alle forze di sicurezza internazionali.

Una società di cybersecurity ha offerto taglie fino a 1 milione di dollari USA per le vulnerabilità di Tor-Browser di 0 giorni. Il programma di taglie da 0 giorni di Zerodium’s Tor è aperto fino al 30 novembre alle ore 18:00 Eastern, o fino a quando Zerodium termina il programma dopo aver emesso 1 milione di dollari per Tor 0 giorni. La società ha dichiarato di prevedere di vendere questi sfruttamenti zero a agenzie governative, come le agenzie di contrasto. Negli Stati Uniti, gli exploit zero giorni sono stati accumulati e utilizzati da agenzie di intelligence come l’NSA e la CIA. All’inizio di quest’anno il governo ha cessato le accuse contro i sospettati di pornografia infantile quando l’FBI ha deciso di non divulgare uno sfruttamento di zero giorni che stava usando contro la rete Tor.

“Mentre la rete Tor e Tor Browser sono progetti fantastici che consentono agli utenti legittimi di migliorare la loro privacy e sicurezza su Internet, la rete Tor e il browser sono spesso utilizzati da persone malate e criminali per svolgere attività come il traffico di droga o abusi su bambini. Abbiamo lanciato questa taglia speciale per Tor-Browser “zero giorni” per aiutare i nostri clienti governativi a combattere la criminalità e rendere il mondo un posto migliore e più sicuro per tutti “, scrive Zerodium nelle FAQ per il programma Tor 0-Day Bounty. Zerodium non sarà accettata da vulnerabilità nullo che richiederebbero “il controllo o la manipolazione dei nodi Tor” e “exploit / attacchi che potrebbero causare interruzioni dell’utilizzo legittimo della rete Tor”.

Lo sfruttamento deve essere in grado di essere distribuito tramite una semplice pagina web e deve attaccare l’attuale release stabile e la versione sperimentale del Browser Tor. Lo sfruttamento non deve richiedere alcuna interazione da una vittima, a meno che farle caricare la pagina web infetta. La società sta cercando un exploit zero che influisca sul Browser Tor nella sua più alta sicurezza, con disattivato JavaScript e zero attività giornaliere che influenzano il Browser Tor nella sua impostazione di bassa sicurezza predefinita in cui è abilitato JavaScript. Gli exploit Zerodium devono consentire all’attaccante di eseguire in remoto il codice e di ottenere gli stessi privilegi dell’account utente o consentire all’attaccante di ottenere privilegi di accesso non limitati. Gli exploit che richiedono alla vittima di interagire con un messaggio popup o di scaricare e aprire un documento non sono ammissibili sotto il programma taglia da milioni di dollari, ma Zerodium sostiene che si riserva il diritto di fare offerte finanziarie separate a hacker e ricercatori di sicurezza che offrono tali informazioni o exploit.

Gli exploit zero-day funzionano sia su Tails 3 che Windows 10 e consentono l’esecuzione di codice in modalità remota e l’escalation dei privilegi locali e possono funzionare alle impostazioni di sicurezza più alte di Tor con JavaScript disabilitato possono valere fino a $ 250.000 dollari. Giorni zero che funzionano sia in Tails che in Windows 10 ma consentono solo l’esecuzione di codice in modalità remota nell’ambito della massima sicurezza di Tor può valere fino a $ 185.000 dollari USA. Gli exploit zero giornalieri che consentono l’esecuzione di codice in modalità remota e l’escalation dei privilegi locali nell’ambito della massima sicurezza di Tor, ma funzionano solo su un unico sistema operativo, ad esempio solo su Windows 10 o solo su Tails 3 e consentono l’esecuzione di JavaScript, può recuperare da $ 75.000 a $ 125.000 dollari USA. La società intende continuare ad accettare zero azioni giornaliere per Tor anche dopo la fine del programma di taglie da milioni di dollari.

Le taglie saranno pagate tramite bonifici bancari o tramite Bitcoin. La società è in particolare alla ricerca di exploit che lavorano su Tor in esecuzione su Tails 3.x o Windows 10. All’inizio di quest’anno Zerodium ha introdotto un bonus di mezzo milione di dollari USA per exploit di 0 giorni per le applicazioni di messaggistica crittografate Signal, WhatsApp, Facebook Messenger, consentono l’esecuzione di codice in modalità remota e l’escalation dei privilegi locali.

Commenti da Facebook

Tech

Attacchi zero-day, scoprirli è già troppo tardi. Anche per gli antivirus

Condividi questo contenuto

Tempo di lettura: 2 minuti. Gli attacchi che sfruttano vulnerabilità precedentemente sconosciute vengono chiamati zero-day proprio perché gli sviluppatori hanno avuto a disposizione zero giorni per risolvere il problema prima dell’attacco.

Pubblicato

il

Allarme Timer scaduto
Condividi questo contenuto
Tempo di lettura: 2 minuti.

Gli attacchi zero-day sono particolarmente difficili da rilevare, semplicemente perché la vulnerabilità del prodotto target presa di mira, al momento dell’attacco, risulta sconosciuta agli sviluppatori del codice. Ecco perché i criminali informatici cercano e sfruttano sempre di più questa opportunità per agire malevolmente, danneggiando software e sistemi critici.

Pertanto gli attacchi che sfruttano vulnerabilità precedentemente sconosciute vengono  chiamati attacchi zero day proprio perché gli sviluppatori hanno avuto a disposizione zero giorni per risolvere il problema prima dell’attacco.

Criminali informatici contro sviluppatori, una lotta perenne

È continua la lotta tra gli sviluppatori che tentano di ridurre al minimo le vulnerabilità e i cyber criminali che cercano di sfruttare difetti e punti deboli. Le vulnerabilità del software non possono essere completamente evitate essendo difetti che possono inevitabilmente nascondersi nella progettazione di un particolare programma, software o sistema operativo, inficiandone la funzionalità e offrendo agli autori della minaccia l’opportunità di attaccare un dispositivo o una intera rete. Solitamente non appena viene individuata una vulnerabilità, gli sviluppatori si affrettano a risolvere il problema tramite un aggiornamento software (la cosiddetta patch), per negare la possibilità che la vulnerabilità possa essere ulteriormente sfruttata. L’ideale sarebbe individuarla prima che venga scoperta da malintenzionati.

Alla ricerca di vulnerabilità da sfruttare

I criminali informatici si concentrano attivamente sulla ricerca di vulnerabilità sfruttabili all’interno di programmi, browser e sistemi operativi più diffusi, allo scopo di colpire il maggior numero possibile di utenti prima che venga pubblicata una patch per sanare il problema. Una tecnica comune per sfruttare una vulnerabilità prevede l’uso di metodi basati sul phishing allo scopo di attirare i destinatari a visitare siti web compromessi o indurli a scaricare documenti malevoli.

Dal momento in cui viene rilasciato un nuovo prodotto software gli attaccanti, in una corsa contro il tempo (con il passare del tempo diminuisce la probabilità di trovare un difetto che non sia stato già scoperto) cercheranno di stanare falle di sicurezza o di progettazione che possano essere sfruttate per attacchi zero-day.

Attacchi zero-day una minaccia in agguato

Poichè potrebbe trascorrere del tempo fino a quando non viene resa disponibile una nuova patch per correggere una vulnerabilità, lasciando gli utenti finali pericolosamente esposti, gli attacchi zero-day rappresentano davvero una grave e pericolosa minaccia per la sicurezza che potrebbe comportare anche pesanti ripercussioni.

Questo è un altro buon motivo per mantenere sempre aggiornato il proprio software antivirus e optare, eventualmente, verso prodotti di protezione capaci di individuare le minacce ancora non note tramite algoritmi euristici (i sistemi antivirus tradizionali utilizzano strumenti di rilevamento delle minacce basati su firme rivelatrici solo di minacce note).

Una volta rilevato un attacco zero-day, per ridurre il prima possibile l’impatto, gli addetti alla sicurezza informatica e allo sviluppo del software dovranno intervenire sinergicamente, ciascuno secondo la propria competenza, per individuare la falla, correggerla ed emettere un aggiornamento correttivo.

Commenti da Facebook
Prosegui la lettura

Tech

Vedere tutte le password WIFI salvate con comando Cmd di Windows 10

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: < 1 minuto.
Commenti da Facebook
Prosegui la lettura

Tech

Apple: salute, espressioni facciali…e i dati sensibili?

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 3 minuti.

Apple è da sempre in prima linea nell’utilizzo dei dati misurati dai dispositivi mobili ed indossabili per migliorare il nostro stato di salute. A breve si potranno utilizzare anche le nostre espressioni facciali. Ma i nostri dati sensibili sono tutelati?

Apple collabora con l’azienda Fierce Biotech e con l’università della California a Los Angeles (UCLA) per utilizzare le espressioni facciali nell’intento di diagnosticare in futuro ansia, depressione e decadimento cognitivo. Questo è quanto emerge da un articolo del Wall Street Journal.

L’impresa sembra particolarmente ardua ma se pensiamo che già ora l’Apple Watch è in grado di segnalare problemi cardiaci come la Fibrillazione Atriale e misurare la saturazione di ossigeno nel sangue (SpO2), allora questo obiettivo non sembra più così difficile da raggiungere almeno in teoria.

Apple è impegnata da tempo in diversi studi e collaborazioni con aziende specializzate ed università. Già in ad inizio 2021 si era parlato della collaborazione tra Apple, l’università del Michigan e l’OMS (Organizzazione Mondiale della Sanità) nell’ambito della salute dell’udito.

Analogamente, e non solo in casa Apple, si cerca di rilevare, attraverso l’analisi di decine di parametri misurati dai dispositivi indossabili, possibili indizi di infezione da Covid-19.

Negli studi che approfondiamo oggi il focus è la salute mentale. Proprio lo scorso 10 ottobre è stata la Giornata Mondiale della Salute Mentale 2021.

Il primo studio in corso è svolto in collaborazione con l’azienda Fierce Biotech. In questo caso verranno monitorati i dati raccolti dagli iPhone e dagli Apple Watch di circa 20.000 partecipanti. I parametri considerati saranno i livelli di attività fisica, l’utilizzo dello smartphone ed anche la modalità di scrittura in termini di velocità ed errori commessi. L’obiettivo dello studio è utilizzare i dati per monitorare le funzioni cerebrali nel tempo, nella speranza di cogliere anche piccoli segnali di un deterioramento cognitivo che potrebbe poi evolvere in Alzheimer.

Lo studio segue quello del 2019 nato per scoprire le possibili connessioni tra l’uso della tecnologia e le funzioni cognitive. Quello studio ha rilevato che i pazienti, già diagnosticati con lieve deterioramento cognitivo o lieve demenza, digitavano più lentamente sui loro smartphone rispetto a quelli del gruppo di controllo sano, utilizzavano inoltre i dispositivi in modo più irregolare, inviavano meno messaggi di testo e utilizzavano le App di supporto molto più spesso.

Il secondo studio parallelo e in corso è con la UCLA. In questo caso Apple e UCLA si concentrano sulla rilevazione di condizioni come stress, ansia e depressione. Lo studio, iniziato quest’anno reclutando 3.000 partecipanti volontari, analizzerà molti dati raccolti dai dispositivi. I principali saranno le immagini dalla fotocamera frontale dell’iPhone per acquisire le nostre espressioni facciali, le digitazioni dalla tastiera, l’audio, il movimento, la frequenza cardiaca e le funzioni di monitoraggio del sonno dell’Apple Watch. Tutti dati già utilizzati, al netto delle immagini che sono la vera novità, per alimentare l’APP Apple Salute.

I ricercatori sperano di tracciare una baseline (livello base di controllo) solida dal punto di vista scientifico e basata, per esempio, sulla velocità e precisione di digitazione, sulle espressioni facciali del momento, sul ritmo e frequenza dei passi e sugli schemi del sonno. Tutti dati che possono essere indicatori di salute mentale e legati alle emozioni, alla concentrazione, al livello di energia e allo stato d’animo.

I dati rilevati saranno integrati con questionari sottoposti ai volontari in merito al loro stato emotivo ed analisi cliniche specifiche.

In futuro le informazioni raccolte dagli studi di Apple con Biogen e UCLA potrebbero essere tradotte in strumenti integrati negli iPhone che possano identificare automaticamente i cambiamenti dello stato emotivo o le funzioni cognitive dell’utente. Questi risultati potranno essere usati dall’utente stesso come alert da sottoporre al proprio medico curante che è, e deve rimanere, il punto di riferimento quando si parla di salute.

Ma è tutto rose e fiori? Insomma…Non possiamo non pensare all’altro lato della medaglia cioè i problemi legati alla privacy e all’utilizzo che di questi dati potrebbero fare terze parti nel caso ne venissero in possesso.

Già perchè non parliamo più solo dei nostri spostamenti, delle nostre abitudini di acquisto o delle nostre interazioni con i Social Network, qui parliamo dei dati legati alla nostra salute. Sono dati sensibili che, se utilizzati da mani sbagliate, potrebbero profilarci anche da questo punto di vista, creando, per esempio, liste di utenti con problemi di salute e liste di utenti sani. Sarà quindi ancora più importante conoscere ed approfondire le funzioni che possano limitare la diffusione di questi dati, ma anche essere consapevoli che i rischi esistono e non possono essere azzerati.

Su questo punto specifico Apple, come riferisce il WSJ, sta pianificando di archiviare i dati raccolti solo su iPhone, senza trasferirli ai server di Apple.

Seguiremo gli sviluppi di questi e degli altri studi legati alla salute ed all’utilizzo dei dati provenienti dai dispositivi che abbiamo sempre nelle nostre tasche o al nostro polso.


Commenti da Facebook
Prosegui la lettura

Tendenza

MatriceDigitale.it - Copyright © 2021, Livio Varriale - Privacy Policy