Non ho intenzione di complicarvi la vita con terminologie astruse o concetti complessi (buffer overflow, shell script, exploit, etc., etc.) capisco che a volte si preferisca spendere il proprio tempo in attività più rilassanti. Ritengo comunque necessario ricordare che (purtroppo) esistono dei pericoli anche nel “selvaggio” mondo digitale che ci circonda e che volenti o nolenti arrivano anche nelle nostre tasche.
Ogni giorno vengono scoperti (in media) un paio di “problemi” di sicurezza che riguardano elementi software o hardware. A volte il danno è limitato ad uno specifico software/sistema, a volte è propagato e riutilizzato su diversi sistemi. Un esempio ?

Il 10 Maggio 2004 è stato riconosciuto come problema di sicurezza, la funzionalità che permetteva di includere alcuni parametri nell’indirizzo di un sito web, che di fatto dava la possibilità, tramite una sintassi particolare, di ingannare gli utenti facendo credere loro di visualizzare un sito piuttosto che un altro. L’intenzione originale era quella di permettere la trasmissione di utenti e password negli URL, es: http://user:pass@www.miosito.com passando legittimamente indirizzi di cartelle protette da password in maniera semplice.
In questo caso l’indirizzo era http://www.miosito.com e i parametri utente: user e password: pass (scusate la banalità).

Questa funzionalità del tutto legittima, veniva utilizzata indebitamente per fare “pishing” impostando URL “offuscati” e non comprensibili dai non tecnici: http://www.mia banca.com\:parametro finto&altrivalori&ticonfondo@2130706433/fregato.html

In questo caso l’indirizzo sarebbe: http://2130706433/fregato.html (che è una modalità utilizzata per indicare l’indirizzo IP di un sito) con parametri utente: www.mia banca.com\ e password: parametro_finto&altrivalori&ticonfondo (http://www.securityfocus.com/bid/10308)
(E’ da notare che su alcuni browser questa funzionalità ha continuato a funzionare fino all’anno scorso…)

Possiamo utilizzare questo caso per sottolineare un interessante concetto: a volte per “fregare” gli utenti non è necessario che ci sia un “vero” problema di sicurezza, basta “convincerli” a fare una determinata operazione usando funzioni “avanzate”

Il 31 Agosto 2006 (è un puro caso che sia la fine dell’estate in cui appassionati e ricercatori hanno tempo per approfondire alcuni sospetti..) viene scoperto da “NOPx86″ un problema legato alla gestione delle informazioni che l’utente può includere in una immagine Tiff. Bene, direte voi. Che problema c’è?   (http://www.securityfocus.com/bid/19793)

I Sistemi vulnerabili sono:
- diverse distribuzioni Linux
- diverse console Sony
- i primi Iphone e Ipod Touch

Beh, grazie a questo problema, sono state elaborate in maniera “diretta” alcune applicazioni:
- il “JailBreak” per il primo Iphone: il software che permetteva di sbloccare il telefono e installare software non autorizzati da Apple
- il “CFW enabler” per le PSP:  il software che permetteva di sbloccare le Playstation portatili

Non mi risulta nessuna “infezione” memorabile per le piattaforme PC che utilizzano le libTiff, il problema è stato risolto con le release successive del firmware per i dispositivi e con la versione successiva delle librerie.

Questo caso ci porta a sottolineare altri due concetti:
- “il periodo di esposizione”: è l’intervallo di tempo in cui si è vulnerabili a possibili attacchi che si divide in due momenti, quello in cui non è ancora stato rilasciato alcun aggiornamento (e durante il quale il problema di sicurezza viene chiamato “0-day”) e quello in cui è disponibile una patch, ma non è ancora stata applicata al sistema vulnerabile (per mancanza di tempo o a volte problemi di compatibilità con altri software installati)
- non sempre quello che è un problema di sicurezza per i produttori viene identificato come un problema di sicurezza per gli utenti, quello che per i primi può rappresentare una mancanza di introiti,  può rappresentare per i secondi un risparmio.

Veniamo a qualcosa di più aggiornato. L’8 Luglio 2010 Rosario Vallotta ha scoperto una vulnerabilità di Microsoft Exchange Server nella sezione di Outlook Web Access. Facendo una richiesta web “opportunamente formattata”
(http://www.securityfocus.com/bid/41462/exploit) è possibile ottenere il controllo della casella di posta dell’utente (tra le altre cose possibili). Questo problema attualmente rientra nella categoria degli “0-day” .

Lascio a voi le considerazioni e sperando di aver stimolato il vostro interesse passo agli strumenti per “sopravvivere alla sicurezza informatica”, indubbiamente ci sono forum, siti, newsletter, feed, tweet e decine di altri modi per avere informazioni sulla sicurezza, il problema almeno per me è quello della costanza o della continuità, non riesco SEMPRE a seguire tutto, scremando tutte le informazioni che ricevo.

Qualche anno fa ho “scoperto” i bollettini di cyber sicurezza di quello che era Dipartimento di Protezione delle Infrastrutture Nazionali, poi diventato sezione US-CERT del Dipartmento di “Homeland Security” degli USA, pubblicazione quindicinale che riassume per livello di gravità tutti i problemi riscontrati con riferimento ai sorgenti e ad eventuali aggiornamenti per ciascun problema http://www.us-cert.gov/cas/bullettins/.
E’ possibile registrarsi per ricevere comunicazione delle pubblicazioni.

Inoltre, per specifici problemi o per verificare eventuali vulnerabilità dei nostri sistemi vi invito a fare una ricerca su http://www.securityfocus.com/vulnerabilities. Il database è decisamente “ricco” e sono presenti tutti i produttori sia grandi che piccoli che hanno avuto nel tempo problemi di sicurezza, citando le categorie e non le case produttrici: software, telefoni, console, router, stampanti e altro…Voi ne avete qualcuno tra questi?

Concludo riportando due grafici dal rapporto conclusivo sull’andamento del 2009 dell’ US-CERT:

Figura 1: Incidenti ed eventi divisi per categoria

Figura 2: Top 5 incidenti rispetto agli altri

E’ da tempo che gli attacchi di sicurezza non mirano più ai sistemi centralizzati (dato che prevalentemente sono protetti e non hanno falle evidenti), ma puntano ad attaccare gli utenti, meglio se in gran numero per impossessarsi di informazioni personali o piccole quantità di danaro che moltiplicate per il numero di vittime diventano “ingenti somme”

Per stare sicuri: aggiornate periodicamente il computer e i software di protezione. Inoltre: “Casco in testa ben allacciato, luci accese anche di giorno e prudenza… sempre!”