Nonostante adori Halloween, ottobre non è fatto solo di dolcetti e scherzetti: è anche il mese della sicurezza informatica e quest’anno si parla di molte violazioni, vulnerabilità, falle e azioni sconsiderate per mano di hacker.
Ma, dato che ottobre infonde in me anche lo spirito di Halloween, ho pensato che il modo migliore per combinare i due eventi più importanti del mese fosse quello di raccontare le più inquietanti violazioni della sicurezza informatica dell’anno e scoprire se sono ancora in agguato.
Heartbleed
Probabilmente uno dei più grandi bug dell’anno, Heartbleed ha provocato un’enorme falla nella sicurezza che ha interessato gran parte del web.
Il bug colpisce la libreria crittografica OpenSSL, una libreria software open source che protegge i nomi utenti e le password durante la navigazione online. La falla ha consentito agli hacker, che hanno intercettano una connessione potenzialmente compromessa (ovvero non correttamente criptata), di poter ottenere nomi utenti e password. La parte più spaventosa della questione non era solo il fatto che il 66% del web utilizzasse (e utilizzi ancora) la crittografia OpenSSL, ma anche che il bug era rimasto inosservato per 2 anni. Ciò vuol dire che gli hacker potrebbero aver raccolto nomi utenti e password per molto tempo.
Dalla sua scoperta nel mese di aprile, molti tra i più famosi siti coinvolti hanno creato una patch per porre rimedio al bug, ripristinando (relativamente) la loro sicurezza.
Snapchat
Anche se l’applicazione stessa è stata “violata” agli inizi di quest’anno pubblicando i nomi utente e i numeri di telefono di oltre 4 milioni di persone, gli utenti di Snapchat hanno affrontato l’esposizione ad un rischio ancora maggiore quando il popolare sito di terzi Snapsnaved è stato compromesso.
Il sito web, rimanendo fedele al suo nome, consentiva agli utenti di salvare foto e video Snapchat. La violazione ha riguardato oltre 200.000 immagini e video pubblicati sulla bacheca di messaggistica anonima del sito 4chan agli inizi del mese.
La sensibilità delle foto generalmente inviate mediante Snapchat comporta un rischio soprattutto per i minori che condividono immagini mediante tale app. Da allora Snapsaved.com ha chiuso il sito e 4chan ha rimosso le foto, ma questo non vuol dire che ci si possa ritenere al sicuro al 100%.
Snapsaved e app simili non autorizzate usano un’interfaccia per la programmazione di app (API) di Snapchat con ingegneria inversa, pubblicamente disponibile per intercettare e salvare le tue foto. Probabilmente è meglio stare ala larga da questa app Snapchat di terzi (e dalla sicurezza poco scrupolosa di Snapchat) se vuoi evitare rischi.
iCloud
Questa falla ha fatto notizia per via dei personaggi famosi che sono stati presi di mira durante gli attacchi. Ma la violazione di iCloud, avvenuta a settembre, è stata sufficiente per spaventare anche gli utenti comuni.
La falla non è stata attribuita alla vulnerabilità di per sé, ma gli hacker hanno trovato una lacuna nel sistema iCloud che ha reso relativamente facile (presumibilmente utilizzando software di terzi) accedere agli account di backup di iCloud che gli stessi hanno usato per le celebrità. Il timore maggiore riguarda la possibilità che chiunque possa accedere a foto sensibili archiviate in un dispositivo iOS. La mancanza di verifica a due passaggi è stata riconosciuta come uno dei punti deboli del sistema iCloud.
Da allora, Apple ha attuato grandi cambiamenti ai suoi servizi di archiviazione iCloud con l’uscita di iOS 8. Quest’ultimo ti invia ora un’email qualora sospetti che il tuo account iCloud sia stato violato e ha reso molto più difficile la sospensione da parte di un eventuale hacker. L’autenticazione a due passaggi è divenuta standard e Apple ti richiede di generare password specifiche per le app che non supportano l’autenticazione a due passaggi.
eBay
A maggio, eBay ha annunciato che il suo sito web era stato compromesso per via di una violazione avvenuta mesi prima. Tramite l’account di un dipendente, gli hacker hanno trovato il modo di accedere ai dati degli utenti. Tuttavia, tali dati non erano di natura finanziaria e comprendevano informazioni come email e indirizzi postali degli utenti, password e date di nascita. Fortunatamente PayPal, partner di eBay, non è stato compromesso durante l’attacco evitando situazioni molto più dannose.
eBay ha dichiarato di non aver notato alcun aumento di attività fraudolente negli account nei mesi precedenti alla scoperta della falla, ma ha richiesto ai suoi 145 milioni di utenti di cambiare le proprie password.
Internet Explorer
Nel mese di aprile, un quarto del mercato dei browser è stato colpito quando Microsoft ha annunciato una vulnerabilità critica della sicurezza su Internet Explorer, dalla versione 6 alla 11. Infatti, Microsoft ha considerato la vulnerabilità molto profonda tanto da provvedere ad un aggiornamento di sicurezza per gli utenti di XP anche dopo che, settimane prima, aveva smesso di supportare l’obsoleto sistema operativo.
La stessa vulnerabilità ha sostanzialmente lasciato gli utenti esposti, consentendo agli hacker gli stessi diritti degli utenti sui loro PC, oltre alla possibilità di accedere e installare malware. Fortunatamente, la vulnerabilità è stata colmata pochi giorni dopo la sua scoperta.
Adobe Flash
Adobe ha rilasciato un aggiornamento Flash di sicurezza all’inizio di questa estate, dopo aver scoperto un exploit che ha reso vulnerabili i cookie dei browser. In genere i cookie archiviano informazioni per rendere la navigazione sul web un po’ più veloce (ad esempio ricordano i dati di log-in senza chiedere di digitarli ogni volta). La vulnerabilità complicata dal punto di vista tecnico ha reso questo genere di dati vittima di intercettazioni, consentendo agli hacker di spacciarsi per gli utenti online.
Dato che Flash è parte integrante di migliaia di siti web come YouTube, Google e Tumblr, l’exploit ha messo in pericolo molte persone. Fortunatamente, la patch è stata aggiornata velocemente senza creare problemi su larga scala.
Shellshock Bash
Ecco quella che sarebbe potuta essere la peggiore e più grande falla di sempre: alla fine del mese scorso Shellshock Bash ha riscontrato un falla nei sistemi di Mac OS X, Linux e Unix, fornendo agli hacker la possibilità di eseguire comandi da remoto su computer, dispositivi e siti web.
Bash, una specie di interprete utilizzato per eseguire comandi su qualsiasi cosa da laptop, verso router e siti web, ha fatto sì che il bug Shellshock avesse la possibilità di mettere in pericolo milioni di dispositivi. Dopo la scoperta del bug Bash, gli hacker hanno subito iniziato a testare i siti web per capire quali fossero quelli vulnerabili. Molte società, compresa Apple, hanno subito eseguito la patch del bug, ma il bug Bash può ancora interessare la maggior parte dei servizi web presenti sui siti internet.
Ad ogni modo, niente panico! È probabile che tu sia al sicuro dal bug dato che le principali società di software hanno provveduto alla patch correttiva del bug. Tuttavia, puoi adottare misure per proteggerti aggiornando i tuoi computer e dispositivi con il software più recente.
Niente paura
Sembra che le violazioni della sicurezza vadano e vengano spesso in questi giorni, ma sebbene molte di esse siano fuori dal nostro controllo, puoi comunque pensare di adottare misure per proteggerti.
In particolare, faresti una cosa semplice e ottima se utilizzassi un software gestore di password per essere sicuro che tutte le tue password siano uniche e sicure. Quando puoi, ricorri alla verifica a due passaggi per una maggiore sicurezza, aggiorna sempre il tuo software con l’ultima versione, la quale comprende, in genere, le patch di sicurezza e le correzioni dei bug e, ogni volta che puoi, evita di usare app di terzi o servizi con impostazioni relative alla privacy e termini di servizio poco chiari.
Leggi anche:
È arrivato il momento di usare un gestore di password. Scopri perché!
Qual è il miglior password manager? LastPass,1Password o Dashlane?
Cerco di proteggere la mia privacy: pillole di sicurezza di Mikko Hypponen, l’esperto di antivirus
Articolo tradotto dall’inglese. Seguimi su Twitter @suzieblaszQwicz
